Of ceScan - Trend Micro Internet Securityfiles.trendmicro.com/documentation/readme/OSCE docs/DE/de... · 2013-08-30 · Die OfficeScan Firewall testen ..... 12-35 Teil III: OfficeScan

For Enterprise and Medium Business

Administratorhandbuch

OfficeScanTM

Endpoint Security Protected Cloud Web Security

Trend Micro Incorporated behält sich das Recht vor, Änderungen an diesem Dokumentund den hierin beschriebenen Produkten ohne Vorankündigung vorzunehmen. LesenSie vor der Installation und Verwendung der Software die Readme-Dateien, dieAnmerkungen zu dieser Version und die neueste Version der verfügbarenBenutzerdokumentation durch:

http://docs.trendmicro.com/de-de/enterprise/officescan.aspx

Trend Micro, das Trend Micro T-Ball-Logo, OfficeScan, Control Manager, DamageCleanup Services, eManager, InterScan, Network VirusWall, ScanMail, ServerProtectund TrendLabs sind Marken oder eingetragene Marken von Trend Micro Incorporated.Alle anderen Produkt- oder Firmennamen können Marken oder eingetragene Markenihrer Eigentümer sein.

Copyright © 2013. Trend Micro Incorporated. Alle Rechte vorbehalten.

Dokument-Nr. OSEM105883_130313

Release-Datum: Juli 2013

Dokumentversion: 1.0

Produktname und Versionsnummer: OfficeScan™ 10.6 Service Pack 3

Geschützt durch U.S. Patent-Nr.: 5,951,698


In der Benutzerdokumentation für Trend Micro OfficeScan 10.6 Service Pack 3 sind diewesentlichen Funktionen der Software und Installationsanweisungen für IhreProduktionsumgebung erläutert. Vor der Installation oder Verwendung der Softwaresollten Sie die Kurzanleitung durchlesen.

Ausführliche Informationen über die Verwendung bestimmter Funktionen der Softwarefinden Sie in der Online-Hilfe und der Knowledge Base auf der Homepage von TrendMicro.

Trend Micro ist stets bemüht, seine Dokumentation zu verbessern. Ihre Meinung ist unswichtig. Bitte bewerten Sie diese Dokumentation auf der folgenden Website:

http://www.trendmicro.com/download/documentation/rating.asp


i

InhaltsverzeichnisVorwort

Vorwort ............................................................................................................... ix

OfficeScan Dokumentation .............................................................................. x

Zielgruppe ........................................................................................................... x

Dokumentationskonventionen ....................................................................... xi

Begriffe .............................................................................................................. xii

Teil I: Einführung und erste SchritteKapitel 1: Einführung in OfficeScan

Info über OfficeScan ..................................................................................... 1-2

Was ist neu in dieser Version? ...................................................................... 1-2

Wichtigste Funktionen und Vorteile ......................................................... 1-15

Der OfficeScan Server ................................................................................. 1-19

Der OfficeScan Client .................................................................................. 1-20

Integration in Trend Micro Produkte und Services ................................ 1-20

Kapitel 2: Erste Schritte in OfficeScanDie Webkonsole ............................................................................................. 2-2

Das Dashboard "Übersicht" ......................................................................... 2-5

Server-Migrationstool .................................................................................. 2-31

Active Directory-Integration ...................................................................... 2-34

Die OfficeScan Client-Ansicht ................................................................... 2-38

OfficeScan Domänen .................................................................................. 2-53

OfficeScan™ Administratorhandbuch 10.6 SP3

ii

Kapitel 3: Erste Schritte mit DatenschutzDatenschutzinstallation .................................................................................. 3-2

Datenschutzlizenz ........................................................................................... 3-4

Datenschutz auf Clients verteilen ................................................................ 3-6

Ordner der forensischen Daten und DLP-Datenbank ............................. 3-9

Den Datenschutz deinstallieren ................................................................. 3-15

Teil II: Netzwerkcomputer schützenKapitel 4: Trend Micro Smart Protection verwenden

Info über Trend Micro Smart Protection ................................................... 4-2

Smart Protection Dienste .............................................................................. 4-3

Smart Protection Quellen .............................................................................. 4-6

Pattern-Dateien von Smart Protection ........................................................ 4-8

Smart Protection Services einrichten ......................................................... 4-13

Smart Protection Services verwenden ....................................................... 4-35

Kapitel 5: OfficeScan Client installierenOfficeScan Client-Erstinstallationen ........................................................... 5-2

Überlegungen zur Installation ...................................................................... 5-2

Überlegungen zur Verteilung ...................................................................... 5-11

Migration zum OfficeScan Client .............................................................. 5-68

Nach der Installation .................................................................................... 5-72

OfficeScan Client-Deinstallation ................................................................ 5-75

Kapitel 6: Schutzfunktionen aktuell haltenOfficeScan Komponenten und Programme .............................................. 6-2

Update-Übersicht ......................................................................................... 6-12

Inhaltsverzeichnis

iii

OfficeScan Server-Updates ......................................................................... 6-15

Updates für den integrierten Smart Protection Server ........................... 6-28

OfficeScan Client-Updates .......................................................................... 6-28

Update-Agents .............................................................................................. 6-56

Komponenten-Update - Zusammenfassung ............................................ 6-66

Kapitel 7: Nach Sicherheitsrisiken suchenInfo über Sicherheitsrisiken .......................................................................... 7-2

Suchmethoden ................................................................................................. 7-8

Suchtypen ....................................................................................................... 7-15

Gemeinsame Einstellungen für alle Suchtypen ....................................... 7-29

Suchberechtigungen und andere Einstellungen ....................................... 7-55

Allgemeine Sucheinstellungen .................................................................... 7-72

Benachrichtigungen bei Sicherheitsrisiken ............................................... 7-83

Sicherheitsrisiko-Protokolle ........................................................................ 7-91

Ausbrüche von Sicherheitsrisiken ............................................................ 7-104

Kapitel 8: Verhaltensüberwachung verwendenVerhaltensüberwachung ................................................................................ 8-2

Einstellungen der globalen Verhaltensüberwachung konfigurieren ....... 8-8

Verhaltensüberwachungsberechtigungen ................................................. 8-11

Benachrichtigungen der Verhaltensüberwachung für OfficeScan Client-Benutzer ......................................................................................................... 8-13

Verhaltensüberwachungsprotokolle .......................................................... 8-14

Kapitel 9: Die Gerätesteuerung verwendenGerätesteuerung .............................................................................................. 9-2

Berechtigungen für Speichergeräte .............................................................. 9-3


iv

Berechtigungen für Nicht-Speichergeräte ................................................. 9-10

Gerätesteuerungsbenachrichtigungen ändern .......................................... 9-17

Protokolle der Gerätesteuerung ................................................................. 9-17

Kapitel 10: Prävention vor Datenverlust verwendenInfo über die Funktion "Prävention vor Datenverlust" ......................... 10-2

Richtlinien für 'Prävention vor Datenverlust' .......................................... 10-3

Datenbezeichnertypen ................................................................................. 10-5

Vorlagen für 'Prävention vor Datenverlust' ........................................... 10-21

DLP-Kanäle ................................................................................................ 10-26

Aktionen der Funktion "Prävention vor Datenverlust" ....................... 10-38

Ausnahmen für Prävention vor Datenverlust ........................................ 10-39

Richtlinienkonfiguration der Funktion "Prävention vor Datenverlust" 10-45

Benachrichtigungen der Funktion "Prävention vor Datenverlust" .... 10-51

Protokolle für "Prävention vor Datenverlust" ....................................... 10-56

Kapitel 11: Computer vor Internet-Bedrohungen schützenInfo über Internet-Bedrohungen ............................................................... 11-2

Command & Control-Kontaktalarmdienste ............................................ 11-2

Web Reputation ............................................................................................ 11-5

Web-Reputation-Richtlinien ....................................................................... 11-5

Allgemeine C&C-Callback-Einstellungen konfigurieren ...................... 11-12

Benachrichtigungen über Internet-Bedrohungen für Client-Benutzer 11-13

C&C-Callback-Benachrichtigungen für Administratoren konfigurieren ........................................................................................................................ 11-14

OfficeScan C&C-Kontaktalarmbenachrichtigungen für Client-Benutzer ........................................................................................................................ 11-18

Web-Reputation-Protokolle ...................................................................... 11-20

Inhaltsverzeichnis

v

Kapitel 12: Die OfficeScan Firewall verwendenInfo über die OfficeScan Firewall .............................................................. 12-2

Die OfficeScan Firewall aktivieren oder deaktivieren ............................ 12-6

Firewall-Richtlinien und -Profile ................................................................ 12-8

Firewall-Berechtigungen ............................................................................ 12-25

Allgemeine Firewall-Einstellungen .......................................................... 12-28

Benachrichtigungen bei Firewall-Verstößen für OfficeScan Client-Benutzer ....................................................................................................... 12-29

Firewall-Protokolle ..................................................................................... 12-31

Ausbrüche bei Firewall-Verstoß .............................................................. 12-33

Die OfficeScan Firewall testen ................................................................. 12-35

Teil III: OfficeScan Server und Clientsverwalten

Kapitel 13: Den OfficeScan Server verwaltenRollenbasierte Administration .................................................................... 13-2

Trend Micro Control Manager ................................................................. 13-24

Referenzserver ............................................................................................ 13-31

Einstellungen für die Administratorbenachrichtigungen ..................... 13-33

Systemereignisprotokolle ........................................................................... 13-36

Protokollmanagement ................................................................................ 13-37

Lizenzen ....................................................................................................... 13-41

OfficeScan Datenbanksicherung ............................................................. 13-44

OfficeScan Informationen zum Webserver ........................................... 13-46

Kennwort der Webkonsole ....................................................................... 13-47

Einstellungen der Webkonsole ................................................................. 13-47


vi

Quarantäne-Manager ................................................................................. 13-48

Server Tuner ................................................................................................ 13-49

Smart Feedback .......................................................................................... 13-52

Kapitel 14: Den OfficeScan Client verwaltenComputerstandort ........................................................................................ 14-2

Verwaltung des OfficeScan Client-Programms ....................................... 14-6

Client-Server-Verbindung ......................................................................... 14-26

Proxy-Einstellungen für OfficeScan Client ............................................ 14-51

OfficeScan Client-Informationen anzeigen ............................................ 14-56

Client-Einstellungen importieren und exportieren ............................... 14-56

Einhaltung von Sicherheitsrichtlinien ..................................................... 14-58

Unterstützung für Trend Micro Virtual Desktop .................................. 14-78

Allgemeine Client-Einstellungen .............................................................. 14-92

Client-Berechtigungen und weitere Einstellungen konfigurieren ....... 14-93

Teil IV: Zusätzlichen Schutz bereitstellenKapitel 15: Plug-In Manager verwenden

Info über Plug-In Manager ......................................................................... 15-2

Plug-In Manager Installation ...................................................................... 15-3

Verwaltung nativer OfficeScan Funktionen ............................................. 15-4

Plug-in-Programme verwalten .................................................................... 15-4

Plug-In Manager wird deinstalliert ............................................................. 15-9

Fehlerbehebung bei Plug-In Manager ..................................................... 15-10

Kapitel 16: Policy Server für Cisco NAC verwendenÜber Policy Server für Cisco NAC ............................................................ 16-3

Inhaltsverzeichnis

vii

Komponenten und Begriffe ........................................................................ 16-3

Cisco NAC Architektur ............................................................................... 16-7

Die Client-Validierungssequenz ................................................................. 16-8

Der Policy Server ........................................................................................ 16-10

Systemvoraussetzungen für Policy Server .............................................. 16-22

Systemvoraussetzungen für Cisco Trust Agent (CTA) ........................ 16-23

Unterstützte Plattformen und Anforderungen ...................................... 16-24

Policy Server für NAC verteilen .............................................................. 16-25

Kapitel 17: OfficeScan mit Software anderer Anbieterkonfigurieren

Überblick über die Funktionsweise und Konfiguration von Check Point .......................................................................................................................... 17-2

Konfigurieren der Secure Configuration Verification-Datei fürOfficeScan ..................................................................................................... 17-4

SecureClient Support installieren ............................................................... 17-6

Kapitel 18: Hilfe anfordernRessourcen zur Fehlerbehebung ................................................................ 18-2

Kontaktaufnahme mit dem technischen Support ................................. 18-25

Anhang A: IPv6-Unterstützung in OfficeScanIPv6-Unterstützung für OfficeScan Server und Clients .......................... A-2

Voraussetzungen für OfficeScan Server ............................................ A-2OfficeScan Client Voraussetzungen ................................................... A-3Einschränkungen bei reinen IPv6-Servern ........................................ A-3Einschränkungen bei reinen IPv6-Clients ......................................... A-5

IPv6-Adressen konfigurieren ....................................................................... A-6

Fenster, auf denen IP-Adressen angezeigt werden ................................... A-7


viii

Anhang B: Unterstützung für Windows Server Core2008/2012

Unterstützung für Windows Server Core 2008/2012 .............................. B-2

Installationsmethoden für Windows Server Core ..................................... B-2Installieren des OfficeScan Clients mit Hilfe des Anmeldeskript-Setup ........................................................................................................ B-3Installieren des OfficeScan Clients mit Hilfe eines OfficeScan Client-Pakets ....................................................................................................... B-4

OfficeScan Client-Funktionen unter Windows Server Core ................... B-6

Windows Server Core Befehle ..................................................................... B-7

Anhang C: Unterstützung für Windows 8 und WindowsServer 2012

Informationen zu Windows 8 und Windows Server 2012 ...................... C-2OfficeScan im Windows-Benutzeroberflächenmodus .................... C-3Aktivieren von Popupbenachrichtigungen ........................................ C-3

Internet Explorer 10 ...................................................................................... C-4OfficeScan Funktionsunterstützung in Internet Explorer 10 ......... C-6

Anhang D: OfficeScan RollbackRollback von OfficeScan Server und OfficeScan Clients durchführen ........................................................................................................................... D-2

Rollback der OfficeScan Clients durchführen .................................. D-2Rollback des OfficeScan Servers durchführen ................................. D-4

Anhang E: Glossar

StichwortverzeichnisStichwortverzeichnis ................................................................................... IN-1

ix

Vorwort

VorwortWillkommen beim Administratorhandbuch von Trend Micro™ OfficeScan ™. DiesesDokument enthält Informationen über die ersten Schritte, die Verfahren zur Client-Installation und die Verwaltung von OfficeScan Server und Client.

Themen in diesem Kapitel:

• OfficeScan Dokumentation auf Seite x

• Zielgruppe auf Seite x

• Dokumentationskonventionen auf Seite xi

• Begriffe auf Seite xii


x

OfficeScan DokumentationDie OfficeScan Dokumentation umfasst Folgendes:

TABELLE 1. OfficeScan Dokumentation

DOKUMENTATION BESCHREIBUNG

Installations- undUpgrade-Handbuch

Ein PDF-Dokument, in dem Anforderungen und Verfahren zumInstallieren und Aktualisieren des Servers und der Clientsbeschrieben werden

Administratorhandbuch

Ein PDF-Dokument mit folgenden Inhalten: Informationen über dieersten Schritte, Verfahren zur Client-Installation, OfficeScan Serverund Client-Verwaltung

Hilfe Im WebHelp- oder CHM-Format erstellte HTML-Dateien, dieAnleitungen, allgemeine Benutzerhinweise und feldspezifischeInformationen enthalten. Auf die Hilfe kann über die OfficeScanServer-, Client- und Policy Server Konsolen sowie über dasOfficeScan Master Setup zugegriffen werden.

Readme-Datei Enthält eine Liste bekannter Probleme und grundlegendeInstallationsschritte. Die Datei kann auch neuesteProduktinformationen enthalten, die noch nicht in der Hilfe oder ingedruckter Form zur Verfügung stehen.

Knowledge Base Eine Online-Datenbank mit Informationen zur Problemlösung undFehlerbehebung. Sie enthält aktuelle Hinweise zu bekanntenSoftwareproblemen. Die Knowledge Base finden Sie im Internetunter folgender Adresse:

http://esupport.trendmicro.com

Sie können die neueste Version der PDF-Dokumente und Readme-Dateien von derfolgenden Adresse herunterladen:


ZielgruppeDie OfficeScan Dokumentation ist für die folgenden Benutzergruppen gedacht:

http://esupport.trendmicro.com


Vorwort

xi

• OfficeScanAdministratoren: Verantwortlich für die Verwaltung von OfficeScan,einschließlich Installation und Verwaltung von OfficeScan Servern und OfficeScanClients. Von diesen Benutzern wird erwartet, dass sie über detaillierte Kenntnisseim Zusammenhang mit der Netzwerk- und Serververwaltung verfügen.

• Cisco NAC Administratoren: Verantwortlich für den Entwurf und dieVerwaltung von Sicherheitssystemen mit Cisco NAC Servern und CiscoNetzwerkausrüstung. Es wird vorausgesetzt, dass sie Erfahrung mit diesen Gerätenhaben.

• Endbenutzer: Benutzer, auf deren Computer der OfficeScan Client installiert ist.Die Kenntnisse dieser Personen reichen von Anfänger bis Power-Benutzer.

DokumentationskonventionenDamit Sie Informationen leicht finden und einordnen können, werden in der OfficeScanDokumentation folgende Konventionen verwendet:

TABELLE 2. Dokumentationskonventionen

KONVENTION BESCHREIBUNG

NURGROSSBUCHSTABEN

Akronyme, Abkürzungen und die Namen bestimmter Befehlesowie Tasten auf der Tastatur

Fettdruck Menüs und Menübefehle, Schaltflächen, Registerkarten,Optionen und Aufgaben

Kursivdruck Verweise auf andere Dokumentation oder neueTechnologiekomponenten

Netzwerkcomputer >Client-Verwaltung

Ein "Brotkrumen"-Pfad zu Beginn jedes Vorgangs, der demBenutzer das Navigieren zum betreffenden Fenster derWebkonsole erleichtert. Mehrere Pfade bedeuten, dass derZugriff auf ein Fenster über mehrere Wege möglich ist.

<Text> Gibt an, dass der in spitze Klammern gesetzte Text durch dietatsächlichen Daten ersetzt werden sollte. Beispiel: C:\Programme\<Dateiname> kann C:\Programme\beispiel.jpg sein.


xii

KONVENTION BESCHREIBUNG

Hinweis Stellt Konfigurationshinweise oder Empfehlungen bereit

Tipp Stellt Best-Bractice-Informationen und Trend MicroEmpfehlungen bereit

Warnung! Gibt Warnungen über Aktivitäten an, die die Computer imNetzwerk schädigen könnten

BegriffeDie folgende Tabelle enthält die offizielle Terminologie, die innerhalb der OfficeScanDokumentation verwendet wird:

TABELLE 3. OfficeScan Terminologie

BEGRIFFE BESCHREIBUNG

OfficeScan Client Das OfficeScan Client-Programm.

Client-Computer Der Computer, auf dem der OfficeScan Client installiertist.

Client-Benutzer (oderBenutzer)

Die Person, die den OfficeScan Client auf dem Client-Computer verwaltet.

Server Das OfficeScan Server-Programm.

Server-Computer Der Computer, auf dem der OfficeScan Server installiertist.

Administrator (oderOfficeScan Administrator)

Die Person, die den OfficeScan Server verwaltet.

Vorwort

xiii


Konsole Die Benutzeroberfläche zur Konfiguration und Verwaltungder Einstellungen für den OfficeScan Server und dieClients.

Die Konsole für das OfficeScan Server-Programm wird"Webkonsole" und die Konsole für das OfficeScan Client-Programm wird "Client-Konsole" genannt.

Sicherheitsrisiko Der Oberbegriff für Viren/Malware, Spyware/Graywareund Internet-Bedrohungen

Lizenz-Dienst Umfasst die Module Antivirus, Damage CleanupServices, Web Reputation und Anti-Spyware, die alle beider Installation von OfficeScan Server aktiviert werden.

OfficeScan Dienste Über die Microsoft Management-Konsole (MMC)verwaltete Dienste. Beispiel: ofcservice.exe, derOfficeScan Master Service.

Programm Umfasst den OfficeScan Client, Cisco Trust Agent undPlug-In Manager

Komponenten Suchen und entdecken Sicherheitsrisiken und führenAktionen gegen sie durch.

Installationsordner desClients

Der Ordner auf dem Computer, in dem die OfficeScanClient-Dateien enthalten sind. Wenn Sie während derInstallation die Standardeinstellungen akzeptieren, findenSie den Installationsordner an einem der folgendenSpeicherorte:

C:\Programme\Trend Micro\OfficeScan Client

C:\Programme\Trend Micro (x86)\OfficeScanClient


xiv


Installationsordner desServers

Der Ordner auf dem Computer, in dem die OfficeScanServer-Dateien enthalten sind. Wenn Sie während derInstallation die Standardeinstellungen akzeptieren, findenSie den Installationsordner an einem der folgendenSpeicherorte:

C:\Programme\Trend Micro\OfficeScan

C:\Programme\Trend Micro (x86)\OfficeScan

Wenn sich z. B. eine bestimmte Datei imInstallationsordner des Servers unter \PCCSRV befindet,lautet der vollständige Pfad der Datei:

C:\Program Files\Trend Micro\OfficeScan\PCCSRV\<dateiname>.

Client der intelligentenSuche

Ein OfficeScan Client wurde so konfiguriert, dass dieintelligente Suche verwendet wird.

Client der herkömmlichenSuche

Ein OfficeScan Client wurde so konfiguriert, dass dieherkömmliche Suche verwendet wird.

Dual-Stack Ein Gerät, das sowohl über IPv4- als auch IPv6-Adressenverfügt. Beispiel:

• Ein Dual-Stack-Endpunkt ist ein Computer, dersowohl über IPv4- als auch über IPv6-Adressenverfügt.

• Ein Dual-Stack-Client ist ein Client, der auf einemDual-Stack-Endpunkt installiert ist.

• Ein Dual-Stack-Update-Agent verteilt Updates an dieClients.

• Ein Dual-Stack-Proxy-Server, wie etwa DeleGate,kann zwischen IPv4- und IPv6-Adressenkonvertieren.

Reines IPv4 Ein Gerät, das nur über IPv4-Adressen verfügt

Reines IPv6 Ein Gerät, das nur über IPv6-Adressen verfügt

Vorwort

xv


Plug-in-Lösungen Native OfficeScan Funktionen und Plug-in-Programme,die über Plug-In Manager bereitgestellt werden

Teil IEinführung und erste Schritte

1-1

Kapitel 1

Einführung in OfficeScanDieses Kapitel enthält eine Einführung in Trend Micro™ OfficeScan™ und bietet einenÜberblick über die einzelnen Funktionen.


• Info über OfficeScan auf Seite 1-2

• Was ist neu in dieser Version? auf Seite 1-2

• Wichtigste Funktionen und Vorteile auf Seite 1-15

• Der OfficeScan Server auf Seite 1-19

• Der OfficeScan Client auf Seite 1-20

• Integration in Trend Micro Produkte und Services auf Seite 1-20


1-2

Info über OfficeScanTrend Micro™ OfficeScan™ schützt Unternehmensnetzwerke vor Malware,Netzwerkviren, webbasierten Bedrohungen, Spyware und kombinierten Bedrohungen.OfficeScan ist eine integrierte Lösung und besteht aus dem OfficeScan Client-Programm am Endpunkt sowie einem Serverprogramm, das alle Clients verwaltet. DerOfficeScan Client überwacht den Computer und sendet dessen Sicherheitsstatus an denServer. Über die webbasierte Management-Konsole vereinfacht der Server das Festlegenkoordinierter Sicherheitsrichtlinien und verteilt Updates an alle Clients.

OfficeScan wird vom Trend Micro Smart Protection Network™ unterstützt, einerSicherheitsinfrastruktur mit webbasiertem Client der nächsten Generation, dieintelligentere Sicherheit als herkömmliche Ansätze liefert. Die einzigartige In-the-Cloud-Technologie und ein leichtgewichtiger Client verringern die Abhängigkeit vonkonventionellen Pattern-Downloads und sorgen dafür, dass im Zusammenhang mitDesktop-Updates keine Verzögerungen mehr auftreten. Unternehmen profitieren vonder größeren Netzwerkbandbreite, dem reduzierten Verarbeitungsaufwand und dendamit verbundenen Kostenersparnissen. Benutzer können standortunabhängig auf dieneuesten Sicherheitsfunktionen zugreifen – innerhalb des Unternehmensnetzwerks, vonzu Hause oder von unterwegs.

Was ist neu in dieser Version?Trend Micro OfficeScan umfasst die folgenden neuen Funktionen und Verbesserungen.

Verbesserungen beim DatenschutzDie Verbesserungen beim Datenschutz in dieser Version umfassen folgendeFunktionen.

Einführung in OfficeScan

1-3

TABELLE 1-1. Verbesserungen beim Datenschutz

FUNKTION BESCHREIBUNG

ForensischeDatenquarantäne

OfficeScan Clients erstellen verschlüsselte forensischeDatendateien und laden sie auf den Server hoch. Dadurchkönnen Unternehmen spezifischeDatenverlustpräventionsvorfälle im Netzwerk verfolgen undaufzeichnen. Zur Überprüfung und zur Wahrung der Integritätgeneriert OfficeScan für jede forensische Datei einenHashwert.

Über die Integration in Control Manager könnenSicherheitsbeauftragte genau sehen, welches digitale Assetfür den einzelnen Vorfall verantwortlich war, undentsprechende Gegenmaßnahmen treffen.

Weitere Informationen finden Sie unter Ordner derforensischen Daten und DLP-Datenbank auf Seite 3-9.

DLP-Richtlinien mitmehreren Regeln

Administratoren können nun für eine Richtlinie mehrereRegeln erstellen. Jede Regel kann mehrere Vorlagenenthalten, denen spezifische Aktionen zugewiesen werdenkönnen, je nachdem, welchen Typ das digitale Asset aufweistoder in welchem Kanal die Übertragung stattfand. GlobaleAusnahmen gelten für alle Regeln in einer Richtlinie, so dassEinstellungen nicht mehr kopiert werden müssen.

Weitere Informationen finden Sie unter Richtlinien für'Prävention vor Datenverlust' auf Seite 10-3.

Detailliertere DLP-Protokolle

Protokolle enthalten nun detailliertere Einträge über jedenDatenverlustpräventionsvorfall. Diese umfassen nicht nur dieRegeln, durch die der Vorfall ausgelöst wurde, sondern auchdie genaue Vorlage zur Identifizierung des digitalen Assets.

Weitere Informationen finden Sie unter Protokolle für"Prävention vor Datenverlust" auf Seite 10-56.

Erweiterter Nicht-Speichergerät-Support

Die Gerätesteuerung kann jetzt Bluetooth-Adapter undWireless-NICs überwachen.

Weitere Informationen finden Sie in der Datenschutzliste unterhttp://docs.trendmicro.com/de-de/enterprise/officescan.aspx.



1-4


Erweiterter DLP-Kanal-Support

Die Funktion "Prävention vor Datenverlust" kann jetztFolgendes überwachen:

• 126.com Webmail

• 139 Webmail

• 163.com Webmail

• Tencent QQ (über Instant Messaging versendeteDateien)

• Tencent QQ Webmail

• SINA Webmail

• Sohu Webmail

Weitere Informationen finden Sie in der Datenschutzliste unterhttp://docs.trendmicro.com/de-de/enterprise/officescan.aspx.

Command & Control-KontaktalarmdiensteDiese Version von OfficeScan bietet Administratoren ausgereiftereErkennungsfunktionen für Command & Control-Server.



1-5

TABELLE 1-2. C&C-Kontaktdienste


GlobalIntelligence-und VirtualAnalyzer-C&C-Serverlisten

OfficeScan kann anhand der Trend Micro Smart Protection NetworkGlobal Intelligence-Liste automatisch jeden bekannten C&C-Servererkennen. Web-Reputation-Dienste gleichen sämtliche URLs sowohlmit der herkömmlichen Liste bösartiger Websites als auch mit derneuen Global Intelligence-C&C-Serverliste ab.

Administratoren, die einen Smart Protection Server in Deep DiscoveryAdvisor integriert haben, können anhand der Virtual Analyzer-C&C-Serverliste außerdem die Risikostufe von verdächtigenNetzwerkverbindungen überprüfen. Virtual Analyzer stellt diese Listeauf Grundlage von Daten zusammen, die von verbundenen TrendMicro Produkten empfangen werden, und gewährleistet somit einenäußerst unternehmensspezifischen Schutz.

Weitere Informationen finden Sie unter Command & Control-Kontaktalarmdienste auf Seite 11-2.

C&C-IP-Liste Zusammen mit der Prüf-Engine für Netzwerkinhalte (Network ContentInspection Engine, NCIE) sorgt die C&C-IP-Liste dafür, dassNetzwerkverbindungen mit bekannten C&C-Servern erkannt werden.NCIE erkennt Kontakte mit C&C-Servern in allen Netzwerkkanälen.

Weitere Informationen finden Sie unter Command & Control-Kontaktalarmdienste auf Seite 11-2.

Benachrichtigungen fürAdministratorenund Benutzer

Die OfficeScan C&C-Callback-Alarmdienste bieten Standard- undAusbruchsbenachrichtigungen, mit denen Administratoren undBenutzer stets über jegliche aus dem Netzwerk stammendenbekannten oder potenziellen erweiterten permanenten Bedrohungenbzw. C&C-Callbacks informiert sind.

Widget fürC&C-Callback-Ereignisse

Das Widget für C&C-Callback-Ereignisse bietet Administratoreneinen schnellen Überblick über sämtliche Callbacks aus demNetzwerk, Ziele und Risikostufen von Angriffen sowie Callback-Adressen.

Weitere Informationen finden Sie unter Widget für C&C-Callback-Ereignisse auf Seite 2-26.


1-6

Verbesserungen bei der SucheDiese Version von OfficeScan bietet außerdem die folgenden Verbesserungen beiSuchvorgängen.

TABELLE 1-3. Verbesserungen bei der Suche

SUCHTYP BESCHREIBUNG

Verhaltensüberwachung

Zusammen mit den Web-Reputation-Diensten überprüft dieVerhaltensüberwachung die bisherige Verbreitung von Dateien,die über HTTP-Kanäle oder E-Mail-Anwendungenheruntergeladen werden. Sobald eine "neu entdeckte" Dateierkannt wird, können Administratoren eine Systemaufforderungan die Benutzer ausgeben, bevor sie die Datei ausführen. TrendMicro stuft ein Programm auf der Grundlage der Anzahl derDateierkennungen oder des historischen Alters der Datei wiedurch das Smart Protection Network als neu gefunden ein.

Weitere Informationen finden Sie unter Einstellungen der globalenVerhaltensüberwachung konfigurieren auf Seite 8-8.

Leistung vom Viren-Scan

Die OfficeScan Viren-Scan-Engine (VSAPI 9.713 oder höher)wurde mit einer Funktion für verzögerte Suchvorgängeausgestattet, um die Leistung beim Kopieren von Dateien zuerhöhen.

Weitere Informationen finden Sie unter Verzögerte Suche fürDateivorgänge aktivieren auf Seite 7-76.

Pattern-Verbesserung der Web-ReputationDiese Version von OfficeScan verbessert das Web-Reputation-Pattern des integriertenSmart Protection Servers. Das Web-Reputation-Pattern wurde optimiert und bietetfolgende Vorteile:

• Geringerer Arbeitsspeicherbedarf

• Inkrementelle Pattern-Updates, die die Bandbreitenauslastung erheblich reduzieren


1-7

Rollback-Verbesserungen

Die Version von OfficeScan vereinfacht den Vorgang, der für das Rollback vonOfficeScan Server und OfficeScan Clients erforderlich ist. Während der Installation vonOfficeScan können die Administratoren die Server-Dateien sichern, die anschließend fürdas Rollback des Servers und der Clients auf die zuvor installierte Version verwendetwerden können.

Weitere Informationen zu den Rollback-Anweisungen finden Sie unter OfficeScanRollback auf Seite D-1.

Neu in Version 10.6 SP2

Trend Micro OfficeScan SP2 umfasst die folgenden neuen Funktionen undVerbesserungen.

Plattform- und Browser-Unterstützung

Diese Version von OfficeScan unterstützt Client-Installationen unter Windows 8™ undWindows Server™ 2012 / Server Core 2012.

Diese Version von OfficeScan unterstützt außerdem Server-Installationen unterWindows Server™ 2012.

Diese Version von OfficeScan unterstützt Internet Explorer™ 10.

Hinweis

Clients, die im Windows-Benutzeroberflächenmodus betrieben werden, werdeneingeschränkt unterstützt. Weitere Informationen finden Sie unter Unterstützung für Windows8 und Windows Server 2012 auf Seite C-1.

Verbesserung bei Erkennung und Leistung

Diese Version von OfficeScan bietet die folgende Verbesserung bei Erkennung undLeistung.


1-8

TABELLE 1-4. Verbesserung bei Erkennung und Leistung

VERBESSERUNG BESCHREIBUNG

MSI-Installation Die Echtzeitsuche überprüft nun die Dateisignatur eines MSI-Installationspakets, bevor die Installation fortgesetzt wird. SobaldOfficeScan die Bestätigung erhält, dass die Dateisignaturvertrauenswürdig ist, lässt die Echtzeitsuche die Installation ohneweitere Dateiüberprüfungen zu.

VDI Verbesserung

Diese Version von OfficeScan verbessert die Update-Funktion der intelligenten Suchefür virtuelle Umgebungen. Wenn eine große Zahl von Clients der intelligenten Suche einUpdate des Patterns anfordern, platziert der Server die Client-Anforderungen jetzt biszum Senden einer Antwort in einer Warteschlange. Sobald ein Client das Updateabgeschlossen hat, fordert der Server den nächsten Client in der Warteschlange auf, mitder Aktualisierung zu beginnen.

Verbesserungen der Prävention vor Datenverlust

Diese Version von OfficeScan verbessert die Funktion "Prävention vor Datenverlust"und bietet:

• Unterstützung für Windows 8, Windows Server 2012 und Windows Server Core2012

• Unterstützung der Windows Store App in der Windows-Benutzeroberflächesowie Unterstützung von Desktopanwendungen

• HTTPS-Unterstützung unter Verwendung von Internet Explorer 10

• HTTPS-Unterstützung unter Verwendung von Chrome™, Versionen 19, 20, 21und 22

• Unterstützung des aktualisieren Gmail

• Microsoft Office™ 2013-Unterstützung


1-9

Neu in Version 10.6 SP1Trend Micro OfficeScan SP1 umfasste die folgenden neuen Funktionen undVerbesserungen.

Richtlinienverwaltung über Control Manager

Mit Control Manager 6.0 können Administratoren Richtlinien erstellen und auf denOfficeScan Servern bereitstellen, die von Control Manager verwaltet werden. WeitereInformationen finden Sie im Administratorhandbuch für Trend Micro Control Manager.

64-Bit-Support für die Verhaltensüberwachung

Die Funktionen der Verhaltensüberwachung von OfficeScan unterstützen nun 64-Bit-Versionen der folgenden Plattformen:

• Windows Server 2008™

• Windows 7™

• Windows Vista™ mit SP1 (oder höher)

64-Bit-Support für Eigenschutz des Clients

Die Funktion "Eigenschutz des Clients" unterstützt nun die 64-Bit-Versionen derfolgenden Plattformen:

• Windows Server 2008™

• Windows 7™



1-10

64-Bit-Support der Gerätesteuerung für UnauthorizedChange Prevention

Die Funktionen der Gerätesteuerung von OfficeScan unterstützen nun die 64-Bit-Versionen der folgenden Plattformen während der Überwachung durch UnauthorizedChange Prevention:

• Windows 2008™

• Windows 7™


Hinweis

Die Gerätesteuerung für den Datenschutz unterstützt alle 64-Bit-Versionen der Windows-Plattformen. Weitere Informationen über das Konfigurieren von 64-Bit-Berechtigungenfinden Sie unter Berechtigungen für Speichergeräte auf Seite 9-3.

Verbesserungen beim Datenschutz

Die Verbesserungen beim Datenschutz in OfficeScan 10.6 SP1 umfassen die folgendenUnterstützungen und Upgrades:

• Die Funktionen "Prävention vor Datenverlust" und "Gerätesteuerung"unterstützen die 64-Bit-Versionen der Windows-Plattformen

• Über 100 neue vorkonfigurierte Vorlagen und Datenbezeichner für die Funktion"Prävention vor Datenverlust"

Erweiterungen der Virtual Desktop Infrastructure (VDI)

Bei dieser Version von OfficeScan wurde die Unterstützung für und derFunktionsumfang von Virtual Desktop Infrastructure (VDI) erweitert.

• Unterstützung für Microsoft Hyper-V™: Administratoren können nun virtuelleClients mit Microsoft Hyper-V™ Server zusätzlich zur bestehenden Unterstützungfür VMware vCenter™ Server und Citrix XenServer™ verwalten.


1-11

• Verbesserungen für nicht-persistente Umgebungen: OfficeScan identifiziertnun virtuelle Clients mit Hilfe der MAC-Adresse (Media Access Control). Aufdiese Weise wird verhindert, dass OfficeScan demselben Client mehrere weltweiteindeutige Bezeichner (GUIDs) in nicht-persistenten Umgebungen zuweist.

Weitere Informationen finden Sie unter Unterstützung für Trend Micro Virtual Desktop aufSeite 14-78.

Erweitertes Port-Scanning für Web Reputation

OfficeScan kann nun den HTTP-Datenverkehr auf allen Ports nach Verstößen gegendie Web-Reputation-Richtlinie durchsuchen. Wenn Administratoren nicht denDatenverkehr an allen Ports durchsuchen möchten, ermöglicht OfficeScan wahlweisedie Durchsuchung des Datenverkehrs an den HTTP-Standardports 80, 81 und 8080.

Weitere Informationen finden Sie unter Eine Web-Reputation-Richtlinie konfigurieren auf Seite11-6.

Neu in Version 10.6Trend Micro OfficeScan 10.6 umfasste die folgenden neuen Funktionen undVerbesserungen.

• Datenschutz

Das Datenschutzmodul stellt die Funktion "Prävention vor Datenverlust" bereitund erweitert den Bereich der von der Gerätesteuerung überwachten Geräte.

Plug-in Manager verwaltet die Installation und Lizenzierung desDatenschutzmoduls. Weitere Informationen finden Sie unter Datenschutzinstallationauf Seite 3-2.


1-12

TABELLE 1-5. OfficeScan Datenschutzfunktionen

DATENSCHUTZFUNKTIONEN

DETAILS

Prävention vorDatenverlust

Die Funktion "Prävention vor Datenverlust" schützt diedigitalen Assets einer Organisation vor versehentlichenoder beabsichtigten Lecks. Die Funktion "Prävention vorDatenverlust" ermöglicht Folgendes:

• Die zu schützenden digitalen Assets erkennen

• Richtlinien erstellen, die die Übertragung von digitalenAssets über gemeinsam genutzte Übertragungskanälewie E-Mail und externe Geräte einschränken oderverhindern

• Die Einhaltung bewährter Datenschutzstandardsdurchsetzen

Weitere Informationen finden Sie unter Info über dieFunktion "Prävention vor Datenverlust" auf Seite 10-2.

Gerätesteuerung Die OfficeScan Standardversion ist mit einerGerätesteuerungsfunktion ausgestattet, die den Zugriff aufUSB-Speichergeräte, CD/DVD, Disketten undNetzlaufwerke regelt. Die Gerätesteuerung imDatenschutzmodul erweitert die Geräteauswahl, indemzusätzlich der Zugriff auf die folgenden Geräte reguliertwird:

• Bildverarbeitungsgeräte

• Modems

• Ports (COM und LPT)

• Infrarotgeräte

• PCMCIA-Karten

• Druck-Taste

• IEEE 1394-Schnittstelle

Weitere Informationen finden Sie unter Gerätesteuerungauf Seite 9-2.

• Plug-in Manager 2.0


1-13

Plug-in Manager 2.0 wird zusammen mit dem OfficeScan Server installiert. DieseVersion von Plug-in Manager stellt Widgets bereit.

Widgets bieten eine schnelle visuelle Referenz für die OfficeScan Funktionen undPlug-in-Lösungen, die Sie für Ihr Unternehmen am wichtigsten erachten. Widgetssind im Dashboard 'Zusammenfassung' des OfficeScan Servers enthalten, welchesdas Fenster 'Zusammenfassung' in früheren OfficeScan Versionen ersetzt. WeitereInformationen finden Sie unter Das Dashboard "Übersicht" auf Seite 2-5.

• IPv6-Unterstützung

OfficeScan Server und Clients können jetzt auf IPv6-Computern installiert werden.

Neue Versionen von Control Manager und Smart Protection Server unterstützenjetzt außerdem IPv6, um eine nahtlose Integration mit dem OfficeScan Server undden Clients zu ermöglichen.

Weitere Informationen finden Sie unter IPv6-Unterstützung für OfficeScan Server undClients auf Seite A-2.

• Cache-Dateien für Suchen

Der OfficeScan Client erstellt jetzt Cache-Dateien mit Informationen über sichereDateien, die bereits durchsucht wurden, und Dateien, die Trend Micro alsvertrauenswürdig erachtet. Cache-Dateien ermöglichen während On-Demand-Suchen eine schnelle Referenz, wodurch die Nutzung von Systemressourcenreduziert wird. Bedarfsgesteuerte Suchvorgänge (Manuelle Suche, ZeitgesteuerteSuche und Sofortsuche) sind jetzt noch effizienter und erreichen eine bis zu 40 %höhere Geschwindigkeitsleistung.

Weitere Informationen finden Sie unter Cache-Einstellungen für die Suche auf Seite7-68.

• Beschleunigter Systemstart

Beim Start eines Computers verschiebt OfficeScan den Ladevorgang einiger Client-Dienste, wenn die Prozessorauslastung über 20 % liegt. Wenn dieProzessorauslastung wieder unter diesen Wert sinkt, lädt der Client diese Dienste.

Folgende Dienste sind verfügbar:

• OfficeScan NT Firewall


1-14

• OfficeScan Data Protection Service

• Trend Micro Trend Micro Unauthorized Change Prevention Service

• Erweiterung der Damage Cleanup Services

Damage Cleanup Services können jetzt im erweiterten Cleanup-Modus ausgeführtwerden, um Aktivitäten durch Rogue-Sicherheitssoftware, auch FakeAV genannt,zu stoppen. Der Client setzt ebenfalls erweiterte Cleanup-Regeln zur proaktivenErkennung und zum Beenden von Anwendungen ein, die ein FakeAV-Verhaltenzeigen.

Sie können den Cleanup-Modus wählen, wenn Sie Viren-/Malware-Suchaktionenfür die manuelle Suche, Echtzeitsuche, zeitgesteuerte Suche und die Sofortsuchekonfigurieren. Weitere Informationen finden Sie unter Damage Cleanup Services aufSeite 7-45.

• HTTP-Unterstützung für Web Reputation

Clients können jetzt den HTTPS-Datenverkehr auf Internetbedrohungendurchsuchen. Sie können diese Funktion konfigurieren, wenn Sie eine Web-Reputation-Richtlinie erstellen. Weitere Informationen finden Sie unter Web-Reputation-Richtlinien auf Seite 11-5.

Wichtig

• Die HTTPS-Suchfunktion unterstützt nur Windows 8- und Windows 2012-Plattformen im Desktop-Modus.

• Nachdem die HTTPS-Suchfunktion zum ersten Mal auf OfficeScan Clients mitInternet Explorer 9 oder 10 aktiviert wurde, müssen die Benutzer das Add-OnTmIEPlugInBHO Class im Browser-Popup-Fenster aktivieren. Erst dann istdie HTTPS-Suchfunktion betriebsbereit.

• Unterstützung für Windows Server Core 2008

Der OfficeScan Client kann jetzt auf Windows Server Core 2008 installiert werden.Benutzer können die Befehlszeilenschnittstelle verwenden, um die Client-Konsolezu starten und den Schutzstatus auf dem Endpunkt zu überprüfen.

Weitere Informationen finden Sie unter Unterstützung für Windows Server Core2008/2012 auf Seite B-2.


1-15

• Sonstige Verbesserungen

Diese Version enthält folgende Verbesserungen:

• Clients der intelligenten Suche führen jetzt den Outlook Mail Scan imintelligenten Suchmodus aus. Frühere Versionen von Clients der intelligentenSuche führten den Outlook Mail Scan im herkömmlichen Suchmodus aus.

• Protokolle und Benachrichtigungen für entdeckte Spyware/Grayware zeigenjetzt den Namen des Benutzers, der zum Zeitpunkt der Entdeckung amComputer angemeldet war.

• Lautet das Suchergebnis in den Spyware-/Grayware-Protokollen auf zweiterEbene "Übergangen", lautet das Ergebnis auf erster Ebene "Weitere Aktionerforderlich" anstatt "Keine Aktion erforderlich". Auf Grund dieserVerbesserung können Sie jetzt zusätzliche Maßnahmen durchführen, wie dasEntfernen von Spyware/Grayware, die Sie als schädlich einstufen.

• Der Client-Eigenschutz lässt sich jetzt in der Client-Hierarchie präzisekonfigurieren.

• Sie können jetzt alle Clients so konfigurieren, dass sie Rückmeldungen an denOfficeScan Server versenden. In der Vorgängerversion konnten nur Clients innicht erreichbaren Netzwerken Rückmeldungen versenden. WeitereInformationen finden Sie unter Nicht erreichbare Clients auf Seite 14-46.

• Beim Exportieren der Einstellungen der Client-Hierarchie in eine .dat-Dateiwerden jetzt alle Einstellungen exportiert. In den Vorgängerversionen werdennur die Sucheinstellungen und Client-Berechtigungen/andere Einstellungenexportiert. Weitere Informationen zum Exportieren von Einstellungen findenSie unter Client-Einstellungen importieren und exportieren auf Seite 14-56.

• Wenn Sie Client Mover verwenden, können Sie jetzt die Subdomäne derClient-Hierarchie festlegen, in die der Client eingruppiert wird, nachdem er zuseinem neuen übergeordneten Server verschoben wurde. WeitereInformationen finden Sie unter Client Mover auf Seite 14-23.

Wichtigste Funktionen und VorteileOfficeScan bietet die folgenden Merkmale und Vorteile:


1-16

• Plug-In Manager und Plug-in-Lösungen

Plug-In Manager erleichtert die Installation, Verteilung und Verwaltung von Plug-in-Lösungen.

Administratoren können zwei Arten von Plug-in-Lösungen installieren:

• Plug-in-Programme

• Native OfficeScan Funktionen

• Zentrale Verwaltung

Die webbasierte Management-Konsole ermöglicht dem Administratortransparenten Zugriff auf alle Clients und Server im Netzwerk. Über dieseWebkonsole wird außerdem die automatische Verteilung von Sicherheitsrichtlinien,Pattern-Dateien und Software-Updates auf allen Clients und Servern koordiniert.Mit Hilfe der Ausbruchsprävention werden Infektionswege gesperrt undangriffsspezifische Sicherheitsrichtlinien zur Vermeidung oder Eindämmung vonAusbrüchen umgehend verteilt, noch bevor die entsprechenden Pattern-Dateienverfügbar sind. OfficeScan überwacht das System in Echtzeit, versendetEreignisbenachrichtigungen und erstellt umfassende Berichte. Der Administratorkann das Netzwerk remote verwalten, benutzerdefinierte Richtlinien für bestimmteDesktops oder Gruppen festlegen und Client-Sicherheitseinstellungen sperren.

• Schutz vor Sicherheitsbedrohungen

OfficeScan schützt Computer vor Sicherheitsrisiken. Hierbei werden zunächstDateien durchsucht und anschließend wird eine bestimmte Aktion für jedesentdeckte Sicherheitsrisiko durchgeführt. Eine über einen kurzen Zeitraumentdeckte extrem hohe Anzahl an Sicherheitsrisiken deutet auf einenVirenausbruch hin. Um Virenausbrüche einzudämmen, erzwingt OfficeScanRichtlinien zur Virenausbruchsprävention und isoliert infizierte Computer so lange,bis sie kein Risiko mehr darstellen.

OfficeScan verwendet die intelligente Suche, um den Suchvorgang effizienter zugestalten. Diese Technologie basiert darauf, dass eine Vielzahl von zuvor auf demlokalen Computer gespeicherten Signaturen auf Smart Protection Quellen geladenwerden. Mit dieser Methode werden sowohl das System als auch das Netzwerk vonder stetig zunehmenden Anzahl an Signatur-Updates auf Endpunktsystemeentlastet.


1-17

Informationen über die intelligente Suche und die Verteilung auf Clients finden Sieunter Suchmethoden auf Seite 7-8.

• Damage Cleanup Services

Die Damage Cleanup Services™ beseitigen vollautomatisch dateibasierte undNetzwerkviren sowie Überreste von Viren und Würmern (Trojanern,Registrierungseinträgen, Virendateien) auf Computern. Zur Abwehr vonBedrohungen und Störungen durch Trojaner verfügen die Damage CleanupServices über folgende Funktionen:

• Entdeckt und entfernt aktive Trojaner

• Beendet durch Trojaner ausgelöste Prozesse

• Repariert von Trojanern geänderte Systemdateien

• Löscht von Trojanern hinterlassene Dateien und Anwendungen

Die Damage Cleanup Services werden automatisch im Hintergrund ausgeführt. Esist deshalb keine Konfiguration erforderlich. Die Benutzer bemerken nichts vondiesem Vorgang. In einigen Fällen muss der Benutzer den Computer zurvollständigen Entfernung eines Trojaners neu starten.

• Web-Reputation

Die Web-Reputation-Technologie schützt Clients innerhalb oder außerhalb desUnternehmensnetzwerks proaktiv vor bösartigen und potenziell gefährlichenWebsites. Web Reputation durchbricht die Infektionskette und verhindert denDownload bösartigen Codes.

Sie können die Glaubwürdigkeit der Websites und Webseiten überprüfen, indemSie OfficeScan in den Smart Protection Server oder den Trend Micro SmartProtection Network integrieren.

• OfficeScan Firewall

Die OfficeScan Firewall schützt Clients und Server im Netzwerk mit Hilfe vonStateful-Inspection-Technologie und leistungsstarken Funktionen zur Virensuche.Sie können Regeln erstellen, um Verbindungen nach Anwendung, IP-Adresse,Portnummer oder Protokoll zu filtern, und anschließend die Regeln aufunterschiedliche Benutzergruppen anwenden.


1-18

• Prävention vor Datenverlust

Die Funktion "Prävention vor Datenverlust" schützt die digitalen Assets einerOrganisation vor versehentlichen oder beabsichtigten Lecks. Die Funktion"Prävention vor Datenverlust" ermöglicht Administratoren Folgendes:

• Die zu schützenden digitalen Assets erkennen

• Richtlinien erstellen, die die Übertragung von digitalen Assets übergemeinsam genutzte Übertragungskanäle wie E-Mail-Nachrichten und externeGeräte einschränken oder verhindern

• Die Einhaltung bewährter Datenschutzstandards durchsetzen

• Gerätesteuerung

Die Gerätesteuerung reguliert den Zugriff auf externe Speichergeräte undNetzwerkressourcen, die an Computer angeschlossen sind. Die Gerätesteuerungträgt dazu bei, Datenverluste und Datenlecks zu verhindern und bietet, gemeinsammit der Virensuche, Schutz vor Sicherheitsrisiken.

• Verhaltensüberwachung

Die Verhaltensüberwachung überprüft regelmäßig Clients auf ungewöhnlicheÄnderungen im Betriebssystem oder in installierter Software.

• Durchsetzung von Richtlinien und Sicherheitsmaßnahmen

OfficeScan sorgt für eine lückenlose Integration des Cisco™ Trust Agent undermöglicht so die äußerst effektive Durchsetzung von Sicherheitsrichtlinien ineinem Cisco Self-Defending Network. Darüber hinaus enthält die Lösung einenPolicy Server zur automatischen Kommunikation mit Cisco Access ControlServern. Bei Anbindung an Trend Micro™ Network VirusWall™ oder ein NAC-Gerät (Network Admission Control) kann OfficeScan die Clients beimVerbindungsversuch mit dem Netzwerk überprüfen und dieSicherheitskomponenten aktualisieren oder den Zugriff umleiten, einschränken,verweigern oder zulassen. Anfällige oder bereits infizierte Computer und daszugehörige Netzwerksegment können von OfficeScan automatisch isoliert werden,bis alle Computer aktualisiert sind oder der Säuberungsvorgang abgeschlossen ist.


1-19

Der OfficeScan ServerDer OfficeScan Server ist der zentrale Speicherort für Informationen über allevorhandenen Client-Konfigurationen, Sicherheitsrisiko-Protokollen und Updates.

Der Server erfüllt zwei wichtige Funktionen:

• Installiert, überwacht und verwaltet die OfficeScan Clients.

• Lädt die meisten Komponenten herunter, die von Clients benötigt werden. DerOfficeScan Server lädt Komponenten vom Trend Micro ActiveUpdate Serverherunter und verteilt sie dann auf die Client-Computer.

HinweisEinige Komponenten werden von den Smart Protection Quellen heruntergeladen.Weitere Informationen finden Sie unter Smart Protection Quellen auf Seite 4-6.

ABBILDUNG 1-1. Informationen zur Funktionsweise des OfficeScan Servers


1-20

Der OfficeScan Server ermöglicht eine bidirektionale Kommunikation zwischen demServer und den Clients in Echtzeit. Sie können die Clients über eine Browser-basierteWebkonsole verwalten, die Administratoren von einer beliebigen Stelle des Netzwerksaus aufrufen können. Server und Client kommunizieren über HTTP (HyperTextTransfer Protocol) miteinander.

Der OfficeScan ClientInstallieren Sie den OfficeScan Client zum Schutz vor Sicherheitsrisiken auf IhrenWindows Computern.

Der OfficeScan Client berichtet an den übergeordneten Server, von dem aus erinstalliert wurde. Mit dem Client Mover Tool können Sie Clients so konfigurieren, dassdiese ihre Meldungen an andere Server senden. Der Client sendet Ereignis- undStatusinformationen in Echtzeit an den Server. Beispiele für Ereignisse sind entdeckteViren/Malware, das Starten und Herunterfahren des Clients, der Startzeitpunkt einerVirensuche oder ein abgeschlossener Update-Vorgang.

Integration in Trend Micro Produkte undServices

OfficeScan lässt sich in die in der folgenden Tabelle aufgeführten Produkte und Servicesvon Trend Micro integrieren. Zur nahtlosen Integration müssen Sie sicherstellen, dassdie Produkte die erforderliche oder empfohlene Version haben.

TABELLE 1-6. Produkte und Services, die mit OfficeScan integriert werden können

PRODUKT/SERVICE

BESCHREIBUNG VERSION

ActiveUpdateServer

Liefert alle Komponenten, die der OfficeScanClient braucht, um Clients vorSicherheitsbedrohungen zu schützen

Nicht zutreffend


1-21

PRODUKT/SERVICE

BESCHREIBUNG VERSION

SmartProtectionNetwork

Bietet File-Reputation-Dienste und Web-Reputation-Dienste für Clients.

Smart Protection Network wird von Trend Microgehostet.

Nicht zutreffend

Eigenständiger SmartProtectionServer

Bietet die gleichen File-Reputation-Dienste undWeb-Reputation-Dienste, die auch vom SmartProtection Network angeboten werden.

Ein Standalone Smart Protection Server ist dafürda, den Service lokal im Firmennetzwerk zurVerfügung zu stellen, um die Effizienz zuerhöhen.

HinweisEin integrierter Smart Protection Serverwird zusammen mit dem OfficeScanServer installiert. Er besitzt die gleichenFunktionen wie sein Standalone-Gegenstück, seine Kapazität ist abereingeschränkt.

• 2.5

(empfohlen)

• 2.0

ControlManager

Eine Software-Management-Lösung, die es Ihnenermöglicht, Antiviren- und Content-Sicherheitsprogramme zentral zu überwachen –unabhängig von der Plattform oder demphysikalischen Speicherort des Programms.

• 6.0

(empfohlen)

• 5.5 SP1

• 5.5

• 5.0

DeepDiscoveryAdvisor

Deep Discovery bietet netzwerkweiteÜberwachung, gestärkt durch benutzerdefinierteSandbox-Funktionen und Informationen inEchtzeit, um Angriffe früh zu erkennen,umgehende Isolierung zu ermöglichen undmaßgeschneiderte Sicherheitsupdatesbereitzustellen, mit denen sofortiger Schutzgegen weitere Attacken gewährleistet wird.

3.0 und höher

2-1

Kapitel 2

Erste Schritte in OfficeScanIn diesem Kapitel werden der Einstieg in Trend Micro™ OfficeScan™ und dieanfänglichen Konfigurationseinstellungen beschrieben.


• Die Webkonsole auf Seite 2-2

• Das Dashboard "Übersicht" auf Seite 2-5

• Active Directory-Integration auf Seite 2-34

• Die OfficeScan Client-Ansicht auf Seite 2-38

• OfficeScan Domänen auf Seite 2-53


2-2

Die WebkonsoleDie Webkonsole ist die zentrale Stelle zur Überwachung von Produkten in Ihremgesamten Netzwerk. Sie enthält verschiedene Standardeinstellungen und -werte, die Sieentsprechend Ihren Sicherheitsanforderungen und -voraussetzungen konfigurierenkönnen. Die Webkonsole verwendet alle gängigen Internet-Technologien wie Java, CGI,HTML und HTTP.

Hinweis

Konfigurieren Sie Einstellungen für die Zeitüberschreitung über die Webkonsole. WeitereInformationen finden Sie unter Einstellungen der Webkonsole auf Seite 13-47.

Über die Webkonsole können Sie folgende Aktionen ausführen:

• Die auf den Netzwerkcomputern installierten Clients verwalten

• Clients zur gleichzeitigen Konfiguration und Verwaltung in logische Domänengruppieren

• Auf einem oder mehreren Netzwerkcomputern die Virensucheinstellungenfestlegen und die manuelle Suche starten

• Benachrichtigungen über Sicherheitsrisiken im Netzwerk konfigurieren und vonClients gesendete Protokolle anzeigen

• Ausbruchskriterien und Benachrichtigungen konfigurieren

• Administrationsaufgaben für die Webkonsole an andere OfficeScanAdministratoren delegieren, indem Rollen und Benutzerkonten konfiguriert werden

• Sicherstellen, dass Clients die Sicherheitsrichtlinien einhalten

Hinweis

Windows 8 oder Windows Server 2012 im Windows-Benutzeroberflächen-Modus wird vonder Webkonsole nicht unterstützt.

Erste Schritte in OfficeScan

2-3

Voraussetzungen für das Öffnen der Web-Konsole

Die Webkonsole von einem beliebigen Computer im Netzwerk aus öffnen, der über diefolgenden Ressourcen verfügt:

• 300 MHz Intel™ Pentium™ oder vergleichbarer Prozessor

• 128 MB Arbeitsspeicher

• Mindestens 30 MB verfügbarer Festplattenspeicher

• Monitor mit einer Mindestauflösung von 1024 x 768 bei 256 Farben oder mehr

• Microsoft Internet Explorer™ 7.0 oder höher

Geben Sie dazu im Webbrowser je nach Installationsart des OfficeScan Servers eine derfolgenden Adressen in die Adressleiste ein:

TABELLE 2-1. URLs der OfficeScan Webkonsole

INSTALLATIONSART URL

Ohne SSL am Standard-Standort http://<OfficeScan Server FQDN oderIP-Adresse>/OfficeScan

Ohne SSL am virtuellen Standort http://<OfficeScan Server FQDN oderIP-Adresse>:<HTTP-Portnummer>/OfficeScan

Mit SSL am Standard-Standort https://<OfficeScan Server FQDNoder IP-Adresse>/OfficeScan

Mit SSL am virtuellen Standort https://<OfficeScan Server FQDNoder IP-Adresse>/OfficeScan

Hinweis

Nach einem Upgrade von einer Vorgängerversion von OfficeScan verhindern Dateien desWebbrowsers und des Proxy-Server-Caches möglicherweise das ordnungsgemäße Startender OfficeScan Webkonsole. Löschen Sie den Cache-Speicher des Browsers und allerProxy-Server zwischen dem OfficeScan Server und dem Computer, der für den Zugriff aufdie Webkonsole verwendet wird.


2-4

Anmeldekonto

Während der Installation des OfficeScan Servers erstellt Setup ein Root-Konto undfordert Sie auf, das Kennwort für dieses Konto einzugeben. Wenn Sie die Webkonsolezum ersten Mal öffnen, geben Sie als Benutzernamen "root" und das Kennwort für dasRoot-Konto ein. Wenn Sie das Kennwort vergessen, wenden Sie sich zur Unterstützungbeim Zurücksetzen des Kennworts an Ihren Support-Anbieter.

Definieren Sie Benutzerrollen und richten Sie Benutzerkonten ein, damit andereBenutzer auf die Webkonsole zugreifen können, ohne das Root-Konto zu verwenden.Wenn sich Benutzer an der Konsole anmelden, können diese die Benutzerkontenverwenden, die für sie eingerichtet wurden. Weitere Informationen finden Sie unterRollenbasierte Administration auf Seite 13-2.

Das Banner der Webkonsole

Im Bannerbereich der Webkonsole sind die folgenden Optionen verfügbar:

ABBILDUNG 2-1. Der Bannerbereich der Webkonsole

• <Kontoname>: Klicken Sie auf den Kontonamen (z. B. root), um bestimmteEinzelheiten für das Konto, wie etwa das Kennwort, zu ändern.

• Abmelden: Meldet Sie von der Webkonsole ab

• Hilfe ( )

• Neue Funktionen: Öffnet eine Liste neuer Funktionen, die in der aktuellenProduktversion enthalten sind

• Inhalt und Index: Öffnet die OfficeScan Server-Hilfe

• Knowledge Base: Öffnet die Trend Micro Knowledge Base. NebenAntworten auf häufig gestellte Fragen (FAQ) und aktualisierten


2-5

Produktinformationen haben Sie von dort Zugriff auf den Support von TrendMicro und die Produktregistrierung von OfficeScan

• Sicherheitsinfo: Zeigt die Trend Micro Sicherheitsinformationen mitaktuellen Nachrichten über die neuesten Virenbedrohungen an.

• Vertrieb: Zeigt die Webseite des Vertriebs an, über die Sie Kontakt mit einemTrend Micro Vertriebspartner in Ihrer Region aufnehmen können.

• Support: Zeigt die Webseite vom Trend Micro Support an, auf der Sie eineAnfrage an das Support-Team von Trend Micro stellen können undAntworten auf häufig gestellte Fragen zu den Produkten von Trend Microfinden.

• Info: Bietet einen Überblick über das Produkt, Anweisungen zurÜberprüfung der Komponentenversionen und einen Link zum Support-Informationssystem. Weitere Informationen finden Sie unter Support-Informationssystem auf Seite 18-2.

Das Dashboard "Übersicht"Das Dashboard Übersicht wird angezeigt, wenn Sie die OfficeScan Webkonsole öffnenoder im Hauptmenü auf Übersicht klicken.

Jedes Benutzerkonto einer Webkonsole verfügt über ein völlig unabhängigesDashboard. Alle Änderungen eines Dashboards eines Benutzerkontos haben keineAuswirkungen auf die Dashboards anderer Benutzerkonten.

Enthält ein Dashboard OfficeScan Client-Daten, bestimmen die Client-Domänenberechtigungen für das Benutzerkonto, welche Daten angezeigt werden. Wennbeispielsweise das Dashboard eines Benutzerkontos die Berechtigung hat, die DomänenA und B zu verwalten, zeigt das Dashboard des Benutzerkontos nur Daten von Clientsan, die zu den Domänen A oder B gehören.

Weitere Informationen zu Benutzerkonten finden Sie unter Rollenbasierte Administrationauf Seite 13-2.

Das Dashboard Übersicht enthält folgende Informationen:

• Abschnitt Status der Produktlizenz


2-6

• Widgets

• Registerkarten

Abschnitt Status der Produktlizenz

Dieser Abschnitt befindet sich im oberen Bereich des Dashboards und zeigt den Statusder OfficeScan Lizenz an.

ABBILDUNG 2-2. Abschnitt Status der Produktlizenz

In folgenden Fällen werden Hinweise zum Status der Lizenz angezeigt:

• Wenn Sie eine Lizenz der Vollversion haben:

• 60 Tage vor Ablauf einer Lizenz

• Während der Übergangsfrist des Produkts. Die Dauer der Übergangsfrist istregional verschieden. Erkunden Sie sich bei Ihrem Vertriebspartner über dieLänge der Übergangsfrist.

• Bei Ablauf der Lizenz und der Übergangsfrist. Innerhalb dieses Zeitraumserhalten Sie keinen technischen Support und können keine Komponenten-Updates durchführen. Die Scan Engine durchsucht die Computer unterVerwendung nicht aktueller Komponenten weiterhin. Diese veraltetenKomponenten schützen Sie möglicherweise nicht vollständig vor denaktuellen Sicherheitsrisiken.

• Wenn Sie eine Lizenz der Testversion haben:

• 14 Tage vor Ablauf einer Lizenz

• Bei Ablauf der Lizenz Innerhalb dieses Zeitraums deaktiviert OfficeScanKomponenten-Updates, Suchfunktionen und alle Client-Funktionen.


2-7

Wenn Sie über einen Aktivierungscode verfügen, können Sie die Lizenz unterAdministration > Produktlizenz verlängern.

Registerkarten und WidgetsWidgets sind die Hauptkomponenten des Dashboards. Widgets liefern spezielleInformationen über unterschiedliche sicherheitsrelevante Ereignisse. Manche Widgetslassen es zu, bestimmte Aufgaben durchzuführen, wie beispielsweise abgelaufeneKomponenten zu aktualisieren.

Die Informationen, die ein Widget anzeigt, kommen von:

• OfficeScan Server und Clients

• Plug-in-Lösungen und ihre Agents auf dem Client

• Trend Micro Smart Protection Network

HinweisAktivieren Sie Smart Feedback , um Daten vom Smart Protection Network anzuzeigen.Weitere Informationen über Smart Feedback finden Sie unter Smart Feedback auf Seite 13-52.

Registerkarten stellen einen Container für Widgets zur Verfügung. DasÜbersichtsdashboard unterstützt bis zu 30 Registerkarten.

Mit Registerkarten arbeiten

Verwalten Sie Registerkarten, indem Sie die folgenden Aufgaben ausführen:


2-8

TABELLE 2-2. Aufgaben zu Registerkarten

AUFGABE SCHRITTE

Eine neueRegisterkartehinzufügen

1. Klicken Sie auf das Symbol "Hinzufügen" oben auf demDashboard. Ein neues Fenster wird geöffnet.

2. Geben Sie Folgendes ein:

• Titel: Der Name der Registerkarte

• Layout: Wählen Sie aus den verfügbaren Layouttypenaus

• Automatisch anpassen: Aktivieren Sie "Automatischanpassen", wenn Sie ein Layout mit mehreren Kästchenausgewählt haben (wie " ") und jedes Kästchen nur einWidget enthalten wird. Beim automatischen Anpassenwird ein Widget an die Größe eines Kästchensangepasst.

3. Klicken Sie auf Speichern.

Einstellungen vonRegisterkartenändern

1. Klicken Sie auf Einstellungen Registerkarte in der Eckeoben rechts der Registerkarte. Ein neues Fenster wirdgeöffnet.

2. Ändern Sie den Namen der Registerkarte, das Layout und dieEinstellungen für die automatische Anpassung.


Eine Registerkarteverschieben

Verwenden Sie die Drag & Drop-Funktion, um die Position einerRegisterkarte zu verändern.

Eine Registerkartelöschen

Klicken Sie auf das Symbol "Löschen" neben demRegisterkartentitel

Wird eine Registerkarte gelöscht, werden alle Widgets in derRegisterkarte gelöscht.


2-9

Mit Widgets arbeiten

Verwalten Sie Widgets, indem Sie die folgenden Aufgaben ausführen:

TABELLE 2-3. Aufgaben zu Widgets

AUFGABE SCHRITTE

Ein neues Widgethinzufügen

1. Klicken Sie auf eine Registerkarte.

2. Klicken Sie auf Widgets hinzufügen in der oberenrechten Ecke der Registerkarte. Ein neues Fenster wirdgeöffnet.

3. Wählen Sie die Widgets aus, die hinzugefügt werdensollen. Eine Liste verfügbarer Widgets finden Sie unterVerfügbare Widgets auf Seite 2-11.

• Klicken Sie auf die Anzeigesymbole ( ) imBereich des Fensters oben rechts, um zwischen derDetailansicht und der Übersichtsansichtumzuschalten.

• Links im Fenster befinden sich WidgetkategorieenWählen Sie eine Kategorie aus, um dieAuswahlmöglichkeiten einzugrenzen.

• Verwenden Sie das Suchtextfeld im Fenster oben, umnach einem bestimmten Widget zu suchen.

4. Klicken Sie auf Hinzufügen.

Verschieben einesWidgets

Verwenden Sie die Drag- & Drop-Funktion, um ein Widget aneinen anderen Ort innerhalb der Registerkarte zu verschieben.

Die Größe einesWidgets anpassen

Sie können die Größe eines Widgets in einer mehrspaltigenRegisterkarte anpassen, indem Sie mit dem Cursor auf denrechten Rand des Widgets zeigen und den Cursor nach linksoder rechts bewegen.


2-10

AUFGABE SCHRITTE

Den Widgettitelbearbeiten

1. Klicken Sie auf das Symbol "Bearbeiten" ( ). Ein neuesFenster wird angezeigt.

2. Geben Sie einen neuen Titel ein.

HinweisBei manchen Widgets, wie OfficeScan and Plug-insMashup, können widgetbezogene Elementegeändert werden.


Widgetdatenaktualisieren

Klicken Sie auf das Symbol "Aktualisieren" ( ).

Ein Widget löschen Klicken Sie auf das Symbol "Löschen" ( ).

Vordefinierte Registerkarten und Widgets

Das Dashboard Übersicht verfügt über zahlreiche vordefinierte Registerkarten undWidgets. Sie können diese Registerkarten und Widgets umbenennen oder löschen.

TABELLE 2-4. Standardregisterkarten im Dashboard Übersicht

REGISTERKARTEN

BESCHREIBUNG WIDGETS

OfficeScan Diese Registerkarte enthält die gleichenInformationen wie das FensterÜbersicht früherer OfficeScanVersionen. Mit dieser Registerkartekönnen Sie den allgemeinen Schutz vorSicherheitsrisiken im OfficeScanNetzwerk anzeigen. Sie können, wennnötig, auch Sofortmaßnahmenergreifen, beispielsweise beiAusbrüchen oder abgelaufenenKomponenten.

• Widget Client-Konnektivität auf Seite2-13

• Widget Sicherheitsrisiko-Funde auf Seite 2-17

• Widget Ausbrüche aufSeite 2-18

• Widget Client-Updatesauf Seite 2-20


2-11

REGISTERKARTEN

BESCHREIBUNG WIDGETS

OfficeScanund Plug-ins

Diese Registerkarte zeigt, welcheClients OfficeScan Client- und Plug-in-Lösungen verwenden. Verwenden Siediese Registerkarte, um denallgemeinen Sicherheitsstatus vonClients zu bewerten.

Widget OfficeScan und Plug-ins Mashup auf Seite 2-21

SmartProtectionNetwork

Diese Registerkarte enthältInformationen des Trend Micro SmartProtection Network, die File-Reputation-Dienste und Web-Reputation-Dienstean OfficeScan Clients senden.

• Widget Web Reputation– HäufigsteBedrohungsquellen aufSeite 2-28

• Widget Web Reputation– Am häufigstenbedrohte Benutzer aufSeite 2-29

• Widget File Reputation –Bedrohungskarte aufSeite 2-30

Verfügbare Widgets

Folgende Widgets sind in dieser Version verfügbar:

TABELLE 2-5. Verfügbare Widgets

WIDGET-NAME VERFÜGBARKEIT

Client-Konnektivität Direkt verfügbar

Weitere Informationen finden Sie unter Widget Client-Konnektivität auf Seite 2-13.

Sicherheitsrisiko-Funde Direkt verfügbar

Weitere Informationen finden Sie unter WidgetSicherheitsrisiko-Funde auf Seite 2-17.


2-12


Virenausbrüche Direkt verfügbar

Weitere Informationen finden Sie unter WidgetAusbrüche auf Seite 2-18.

Client-Updates Direkt verfügbar

Weitere Informationen finden Sie unter Widget Client-Updates auf Seite 2-20.

OfficeScan und Plug-insMashup

Direkt verfügbar, zeigt aber nur Daten von OfficeScanClients an

Daten der folgenden Plug-in-Lösungen sind verfügbar,sobald jede Lösung aktiviert ist:

• Intrusion Defense Firewall

• Unterstützung für Trend Micro Virtual Desktop

Weitere Informationen finden Sie unter WidgetOfficeScan und Plug-ins Mashup auf Seite 2-21.

Häufigste Vorfälle bei"Prävention vorDatenverlust"

Nach der Aktivierung von OfficeScan Data Protectionverfügbar

Weitere Informationen finden Sie unter Widget HäufigsteVorfälle bei "Prävention vor Datenverlust" auf Seite2-23.

Prävention vorDatenverlust - Vorfälle imZeitverlauf

Nach der Aktivierung von OfficeScan Data Protectionverfügbar

Weitere Informationen finden Sie unter WidgetPrävention vor Datenverlust - Vorfälle im Zeitverlauf aufSeite 2-24.

Web Reputation –häufigsteBedrohungsquellen

Direkt verfügbar

Weitere Informationen finden Sie unter Widget WebReputation – Häufigste Bedrohungsquellen auf Seite2-28.


2-13


Web Reputation – amhäufigsten bedrohteBenutzer

Direkt verfügbar

Weitere Informationen finden Sie unter Widget WebReputation – Am häufigsten bedrohte Benutzer auf Seite2-29.

File Reputation –Bedrohungskarte

Direkt verfügbar

Weitere Informationen finden Sie unter Widget FileReputation – Bedrohungskarte auf Seite 2-30.

C&C-Callback-Ereignisse Direkt verfügbar

Weitere Informationen finden Sie unter Widget für C&C-Callback-Ereignisse auf Seite 2-26.

IDF Alarmstatus Nach der Aktivierung von Intrusion Defense Firewallverfügbar. Weitere Informationen über diese Widgetsfinden Sie in der IDF Dokumentation.IDF Computerstatus

IDF Netzwerk-Ereignisverlauf

IDF System-Ereignisverlauf

Widget Client-Konnektivität

Das Widget Client-Konnektivität zeigt den Verbindungsstatus der Antivirus-Clientsmit dem OfficeScan Server an. Daten werden in einer Tabelle und in einem


2-14

Tortendiagramm angezeigt. Sie können zwischen der Tabelle und dem Tortendiagrammumschalten, indem Sie auf das entsprechende Anzeigesymbol klicken ( ).

ABBILDUNG 2-3. Widget Client-Konnektivität, das eine Tabelle anzeigt

Widget Client-Konnektivität, als Tabelle dargestellt

Die Tabelle bricht Clients nach der Suchmethode herunter.

Wenn die Anzahl der Clients für einen bestimmten Status 1 oder mehr beträgt, könnenSie auf die Zahl klicken, um die Clients in der Client-Hierarchie anzuzeigen. Sie könnenauf diesen Clients Aufgaben ausführen oder ihre Einstellungen ändern.


2-15

Um nur Clients anzuzeigen, die eine bestimmte Suchmethode verwenden, klicken Sieauf Alle, und wählen Sie dann die Suchmethode aus.

ABBILDUNG 2-4. Verbindungsstatus von Clients mit herkömmlicher Suche

ABBILDUNG 2-5. Verbindungsstatus von Clients der intelligenten Suche

Wenn Sie Intelligente Suche ausgewählt haben:

• Die Tabelle schlüsselt die Online-Clients der intelligenten Suche entsprechend demVerbindungsstatus mit Smart Protection Servern auf.


2-16

Hinweis

Nur Online-Clients können den Status ihrer Verbindung mit den Smart ProtectionServern melden.

Wenn die Verbindung von Clients zu einem Smart Protection Server unterbrochenwird, stellen Sie sie wieder her, indem Sie die Schritte in Smart Protection Quellen sindnicht verfügbar auf Seite 14-42 durchführen.

• Jeder Smart Protection Server ist ein URL-Link. Die Konsole des Servers wirddurch Klicken auf diesen Link gestartet.

• Wenn mehrere Smart Protection Server vorhanden sind, klicken Sie auf MEHR.Daraufhin öffnet sich ein neues Fenster, in dem alle Smart Protection Serverangezeigt werden.

ABBILDUNG 2-6. Liste der Smart Protection Server

In diesem Fenster können Sie:

• Alle Smart Protection Server anzeigen, mit denen Clients eine Verbindungaufbauen, und die Anzahl der Clients, die mit jedem Server verbunden sind. WennSie auf die Anzahl klicken, wird die Client-Hierarchie geöffnet, in der Sie dieClient-Einstellungen verwalten können.

• Die Serverkonsole aufrufen, indem Sie auf den Link für den Server klicken


2-17

Widget Client-Konnektivität, als Kreisdiagramm dargestellt

Das Tortendiagramm zeigt nur die Anzahl der Clients für jeden Status an und bricht dieClients nicht nach Suchmethoden herunter. Durch Anklicken eines Status wird dieservom Rest des Diagramms ausgeschnitten oder wieder eingefügt.

ABBILDUNG 2-7. Widget Client-Konnektivität, das ein Kreisdiagramm anzeigt

Widget Sicherheitsrisiko-FundeDie Widgets für Sicherheitsrisiko-Funde zeigen die Anzahl der Sicherheitsrisiken undder infizierten Computer an.

ABBILDUNG 2-8. Widget Sicherheitsrisiko-Funde


2-18

Wenn die Anzahl der infizierten Computer 1 oder mehr beträgt, können Sie auf die Zahlklicken, um die infizierten Computer in der Client-Hierarchie anzuzeigen. Sie könnenfür die Clients auf diesen Computern Aufgaben ausführen oder ihre Einstellungenändern.

Widget Ausbrüche

Das Widget Ausbrüche zeigt den Status aller derzeitigen Ausbrüche vonSicherheitsrisiken und den letzten Ausbruchsalarm an.

ABBILDUNG 2-9. Widget Ausbrüche

In diesem Widget können Sie:

• Details zu Ausbrüchen können durch Klicken auf das Datum oder die Zeit derWarnmeldung angezeigt werden.

• Wenn OfficeScan einen Ausbruch erkennt, können Sie den Status derInformationen zu den Ausbruchswarnungen zurücksetzen und sofort Maßnahmenzur Ausbruchsprävention durchsetzen. Weitere Informationen über dieDurchsetzung von Maßnahmen zur Ausbruchsprävention finden Sie unterAusbruchpräventionsrichtlinien auf Seite 7-109.

• Klicken Sie auf Statistik der 10 häufigsten Sicherheitsrisiken anzeigen, um dieam häufigsten auftretenden Sicherheitsrisiken, die Computer mit der höchsten


2-19

Anzahl von Sicherheitsrisiken und die häufigsten Infektionsquellen anzuzeigen. Einneues Fenster wird angezeigt.

ABBILDUNG 2-10. Fenster Statistik der 10 häufigsten Sicherheitsrisiken

Im Fenster Statistik der 10 häufigsten Sicherheitsrisiken können Sie:

• detaillierte Informationen zu einem Sicherheitsrisiko anzeigen (durch Klicken aufden Namen des Risikos)

• den allgemeinen Status eines bestimmten Computers anzeigen (durch Klicken aufden Namen des Computers)


2-20

• Protokolle zu Sicherheitsrisiken für den Computer anzeigen (durch Klicken aufAnzeigen neben einem Computernamen)

• die Statistiken in jeder Tabelle zurücksetzen (durch Klicken auf Zählerzurücksetzen)

Widget Client-Updates

Das Widget Client-Updates zeigt Komponenten und Programme an, dieNetzwerkcomputer vor Sicherheitsrisiken schützen.

ABBILDUNG 2-11. Widget Client-Updates


• Für jede Komponente wird die aktuelle Version angezeigt.

• Unter der Spalte Nicht aktuell wird die Anzahl der Clients mit veraltetenKomponenten angezeigt. Wenn es Clients gibt, die aktualisiert werden müssen,klicken Sie auf den Link mit der Anzahl, um das Update zu starten.

• Sie können die Clients, für die noch kein Upgrade durchgeführt wurde, durchKlicken auf den Link mit der Anzahl des jeweiligen Programms anzeigen.


2-21

HinweisUm den Cisco Trust Agent zu aktualisieren, navigieren Sie zu Cisco NAC > Agent-Verteilung.

Widget OfficeScan und Plug-ins MashupDas Widget OfficeScan und Plug-ins Mashup verbindet Daten von OfficeScanClients und installierten Plug-in-Lösungen und stellt diese Daten dann in einer Client-Hierarchie dar. Dieses Widget unterstützt Sie dabei, den Schutzumfang der Clientsschnell zu bewerten und den erforderlichen Verwaltungsaufwand der individuellen Plug-in-Programme zu reduzieren.

ABBILDUNG 2-12. Widget OfficeScan und Plug-ins Mashup

Dieses Widget zeigt jetzt die Daten der folgenden Plug-in-Programme an:

• Intrusion Defense Firewall

• Unterstützung für Trend Micro Virtual Desktop

Diese Plug-in-Programme müssen aktiviert sein, damit das Mashup-Widget Datenanzeigen kann. Aktualisieren Sie die Plug-in-Programme, wenn neuere Versionenverfügbar sind.



2-22

• Wählen Sie die Spalte aus, die die Client-Hierarchie anzeigt. Klicken Sie auf dasSymbol "Bearbeiten" ( ) in der rechten oberen Ecke des Widgets, und wählenSie dann im angezeigten Fenster die Spalten aus.

TABELLE 2-6. Spalten des OfficeScan und Plug-ins Mashup

NAME DER SPALTE BESCHREIBUNG

Computername Name des Endpunkts

Diese Spalte ist immer verfügbar und kann nicht entferntwerden.

Domänenhierarchie Die Domäne des Endpunkts in der OfficeScan Client-Hierarchie

Verbindungsstatus Die OfficeScan Client-Konnektivität zu seinemübergeordneten OfficeScan Server

Viren/Malware Die Anzahl der vom OfficeScan Client entdeckten Virenund Malware

Spyware/Grayware Die Anzahl der vom OfficeScan Client entdecktenSpyware und Grayware

VDI Support Zeigt an, ob der Endpunkt eine virtuelle Maschine ist

IDF Sicherheitsprofil Weitere Informationen über diese Spalten und die Daten,die sie anzeigen, finden Sie in der IDF Dokumentation.

IDF Firewall

IDF Alarmstatus

IDF DPI

• Doppelklicken Sie auf die Daten in der Tabelle. Wenn Sie auf OfficeScan Datendoppelklicken, wird die OfficeScan Client-Hierarchie angezeigt. Wenn Sie aufDaten für Plug-in-Programme doppelklicken (mit Ausnahme von Daten in derSpalte VDI Support), wird das Hauptfenster des Plug-in-Programms angezeigt.

• Verwenden Sie diese Suchfunktion, um individuelle Endpunkte zu finden. Siekönnen einen Hostnamen vollständig oder teilweise eingeben.


2-23

Widget Häufigste Vorfälle bei "Prävention vor Datenverlust"

Dieses Widget ist nur verfügbar, wenn Sie OfficeScan Datenschutz aktivieren.

Dieses Widget zeigt die Anzahl der Übertragungen digitaler Assets an, unabhängig vonder entsprechenden Aktion (sperren oder übergehen).

ABBILDUNG 2-13. Widget Häufigste Vorfälle bei "Prävention vor Datenverlust"

Anzeigen von Daten:

1. Wählen Sie einen Zeitraum für die Entdeckungen aus. Wählen Sie unter:

• Heute: Entdeckungen während der letzten 24 Stunden, einschließlich deraktuellen Stunde

• 1 Woche: Entdeckungen während der letzten 7 Tage, einschließlich desaktuellen Tages

• 2 Wochen: Entdeckungen während der letzten 14 Tage, einschließlich desaktuellen Tages


2-24

• 1 Monat: Entdeckungen während der letzten 30 Tage, einschließlich desaktuellen Tages

2. Nachdem Sie einen Zeitraum ausgewählt haben, wählen Sie unter:

• Benutzer: Benutzer, die Übertragungen digitaler Assets am häufigstendurchführen

• Kanal: Kanäle, die am häufigsten für Übertragungen digitaler Assets benutztwerden

• Vorlage: Vorlagen für digitale Assets, die die häufigsten Entdeckungenauslösen

• Computer: Computer, die Übertragungen digitaler Assets am häufigstendurchführen

HinweisDieses Widget zeigt maximal 10 Benutzer, Kanäle, Vorlagen oder Computer an.

Widget Prävention vor Datenverlust - Vorfälle im Zeitverlauf

Dieses Widget ist nur verfügbar, wenn Sie OfficeScan Datenschutz aktivieren.


2-25

Dieses Widget zeichnet die Anzahl der Übertragungen digitaler Assets im Zeitverlaufauf. Die Übertragungen beinhalten auch jene, die gesperrt oder übergangen (zugelassen)wurden.

ABBILDUNG 2-14. Widget Prävention vor Datenverlust - Vorfälle im Zeitverlauf

Wählen Sie einen Zeitraum für die Entdeckungen aus, um die Daten anzuzeigen.Wählen Sie unter:

• Heute: Entdeckungen während der letzten 24 Stunden, einschließlich der aktuellenStunde

• 1 Woche: Entdeckungen während der letzten 7 Tage, einschließlich des aktuellenTages

• 2 Wochen: Entdeckungen während der letzten 14 Tage, einschließlich desaktuellen Tages

• 1 Monat: Entdeckungen während der letzten 30 Tage, einschließlich des aktuellenTages


2-26

Widget für C&C-Callback-Ereignisse

Das Widget für C&C-Callback-Ereignisse zeigt sämtliche C&C-Callback-Ereignisinformationen einschließlich des Ziels eines Angriffs sowie der Callback-Adresse der Quelle an.

Administratoren können nach Bedarf C&C-Callback-Informationen aus einerbestimmten C&C-Serverliste einsehen. Klicken Sie zur Auswahl der Listenquelle (GlobalIntelligence, Virtual Analyzer) auf das Symbol "Bearbeiten" ( ), und wählen Sie diegewünschte Liste im Listenfeld C&C-Listenquelle aus.

Wählen Sie Folgendes zur Anzeige der C&C-Callback-Daten aus:

• Infizierter Host: Zeigt aktuelle C&C-Informationen nach Zielendpunkt an.

ABBILDUNG 2-15. Widget für C&C-Callback-Ereignisse mit Angaben zuAngriffszielen

TABELLE 2-7. Angaben zu infizierten Hosts

SPALTE BESCHREIBUNG

Infizierter Host: Der Name des Endpunkts, der das Ziel eines C&C-Angriffs ist


2-27

SPALTE BESCHREIBUNG

Callback-Adressen Die Anzahl der Callback-Adressen, mit denen derEndpunkt eine Verbindung herstellen wollte

Letzte Callback-Adresse

Die letzte Callback-Adresse, mit der der Endpunkt eineVerbindung herstellen wollte

Callback-Versuche Die Anzahl der Versuche der Verbindungsaufnahme mitder Callback-Adresse durch den angegriffenen Endpunkt

HinweisKlicken Sie auf den Link, um den Bildschirm C&C-Callback-Protokolle mit detaillierteren Angabenzu öffnen.

• Callback-Adresse: Zeigt aktuelle C&C-Informationen nach C&C-Callback-Adresse an.

ABBILDUNG 2-16. Widget für C&C-Callback-Ereignisse mit Angaben zu Callback-Adressen

TABELLE 2-8. Angaben zu C&C-Adressen

SPALTE BESCHREIBUNG

Callback-Adresse Die Adresse von aus dem Netzwerk stammenden C&C-Callbacks

C&C-Risikostufe Die Risikostufe der Callback-Adresse laut GlobalIntelligence- oder Virtual Analyzer-Liste


2-28

SPALTE BESCHREIBUNG

Infizierte Hosts Die Anzahl der von der Callback-Adresse angegriffenenEndpunkte

Letzter infizierterHost

Der Name des Endpunkts, der zuletzt eine Verbindungmit der C&C-Callback-Adresse herstellen wollte

Callback-Versuche Die Anzahl der Callback-Versuche vom Netzwerk an dieAdresse

HinweisKlicken Sie auf den Link, um den Bildschirm C&C-Callback-Protokolle mit detaillierteren Angabenzu öffnen.

Widget Web Reputation – Häufigste Bedrohungsquellen

Dieses Widget zeigt die Anzahl aller Sicherheitsbedrohungen an, die Web-Reputation-Dienste entdeckt hat. Die geographische Lage der Entdeckungen wird auf einer


2-29

Weltkarte angezeigt. Um weitere Informationen zur Verwendung dieses Widgets zuerhalten, klicken Sie auf die Schaltfäche Hilfe ( ) oben auf dem Widget.

ABBILDUNG 2-17. Widget Web Reputation – Häufigste Bedrohungsquellen

Widget Web Reputation – Am häufigsten bedrohte Benutzer

Dieses Widget zeigt die von Web-Reputation-Dienste entdeckte Anzahl der Benutzeran, die durch bösartige URLs beeinträchtigt wurden. Die geographische Lage derEntdeckungen wird auf einer Weltkarte angezeigt. Um weitere Informationen zur


2-30

Verwendung dieses Widgets zu erhalten, klicken Sie auf die Schaltfäche Hilfe ( ) obenauf dem Widget.

ABBILDUNG 2-18. Widget Web Reputation – Am häufigsten bedrohte Benutzer

Widget File Reputation – Bedrohungskarte

Dieses Widget zeigt die Anzahl aller Sicherheitsbedrohungen an, die File-Reputation-Dienste entdeckt hat. Die geographische Lage der Entdeckungen wird auf einer


2-31

Weltkarte angezeigt. Um weitere Informationen zur Verwendung dieses Widgets zuerhalten, klicken Sie auf die Schaltfäche Hilfe ( ) oben auf dem Widget.

ABBILDUNG 2-19. Widget File Reputation – Bedrohungskarte

Server-MigrationstoolOfficeScan beinhaltet das Server-Migrationstool, mit dem Administratoren OfficeScanEinstellungen aus früheren OfficeScan Versionen in die aktuelle Version übertragenkönnen. Mit dem Server-Migrationstool werden folgende Einstellungen übertragen:


2-32

• Domänenstrukturen • Zusätzliche Diensteinstellungen*

• Einstellungen für die manuelle Suche* • Liste der zulässigen Spyware/Grayware*

• Einstellungen für die zeitgesteuerteSuche*

• Allgemeine Client-Einstellungen

• Einstellungen für die Echtzeitsuche* • Computerstandort

• Einstellungen für Jetzt durchsuchen* • Firewall-Richtlinien und -Profile

• Web-Reputation-Einstellungen* • Smart Protection Quellen

• Liste der zulässigen URLs* • Zeitplan der Server-Updates

• Einstellungen derVerhaltensüberwachung*

• Update-Adresse und Zeitplan desClients

• Einstellungen der Gerätesteuerung* • Benachrichtigungen

• Einstellungen für Prävention vorDatenverlust*

• Proxy-Einstellungen

• Berechtigungen und andereEinstellungen*

• OfficeScan Client-Port andClient_LocalServer_Port in der Dateiofcscan.ini

Hinweis

• Mit einem Sternchen (*) gekennzeichnete Einstellungen werden sowohl auf Stamm-als auch auf Domänenebene beibehalten.

• Das Tool erstellt keine Sicherungskopien der OfficeScan Clientliste für die OfficeScanServer, sondern nur der Domänenstrukturen.

• Der OfficeScan Client migriert nur die Funktionen der älteren Version des OfficeScanClientservers. Für Funktionen, die auf dem älteren Server nicht verfügbar sind,werden die Standardeinstellungen verwendet.


2-33

Server-Migrationstool verwenden

HinweisDiese Version von OfficeScan unterstützt die Migration aus OfficeScan Version 8.0 oderhöher.

Ältere Versionen von OfficeScan enthalten möglicherweise nicht alle Einstellungen, die inder aktuellen Version verfügbar sind. Für alle Funktionen, die nicht aus der früherenOfficeScan Serverversion migriert werden, wendet OfficeScan automatisch dieStandardeinstellungen an.

Prozedur

1. Gehen Sie auf dem OfficeScan Server-Computer zu <Installationsordner des Servers>\PCCSRV\Admin\Utility\ServerMigrationTool.

2. Doppelklicken Sie auf ServerMigrationTool.exe, um das Server-Migrationstool zu starten.

Das Server-Migrationstool wird geöffnet.

3. So exportieren Sie die Einstellungen aus dem ursprünglichen OfficeScan Server

a. Geben Sie über die Schaltfläche Durchsuchen den Zielordner an.

HinweisDer Standardname des Exportpakets lautet OsceMigrate.zip.

b. Klicken Sie auf Exportieren.

Eine Bestätigungsmeldung wird angezeigt.

c. Kopieren Sie das Exportpaket auf den neuen OfficeScan Server.

4. So importieren Sie die Einstellungen in den neuen OfficeScan Server

a. Gehen Sie über die Schaltfläche Durchsuchen zum Exportpaket.

b. Klicken Sie auf Importieren.

Eine Warnmeldung wird angezeigt.


2-34

c. Klicken Sie zum Fortfahren auf Ja.

Eine Bestätigungsmeldung wird angezeigt.

5. Vergewissern Sie sich, dass der Server alle Einstellungen aus der früherenOfficeScan Version enthält.

6. Verschieben Sie die alten OfficeScan Clients auf den neuen Server.

Nähere Hinweise zum Verschieben von OfficeScan Clients finden Sie unterOfficeScan Client in eine andere Domäne oder auf einen anderen OfficeScan Server verschiebenauf Seite 2-62 oder Client Mover auf Seite 14-23.

Active Directory-IntegrationSie können OfficeScan in Ihre Microsoft™ Active Directory™ Struktur integrieren, umdie OfficeScan Clients effizienter zu verwalten, Berechtigungen für die Webkonsole mitHilfe von Active-Directory-Konten zuzuweisen und festzustellen, auf welchen Clientskeine Sicherheitssoftware installiert ist. Alle Benutzer in der Netzwerkdomäne könnensicheren Zugriff auf die OfficeScan Konsole haben. Sie können auch einen begrenztenZugriff für bestimmte Benutzer konfigurieren, selbst wenn sich diese in einer anderenDomäne befinden. Über den Authentifizierungsprozess und denVerschlüsselungsschlüssel können Sie die Gültigkeit der Anmeldedaten der Benutzerüberprüfen.

Durch die Integration in Active Directory können Sie die folgenden Funktionen invollem Umfang nutzen:

• Rollenbasierte Administration: Sie können bestimmte administrativeVerantwortlichkeiten Benutzern zuweisen, indem Sie ihnen Zugriff auf dieProduktkonsole mit Hilfe ihrer Active Directory-Konten gewähren. WeitereInformationen finden Sie unter Rollenbasierte Administration auf Seite 13-2.

• Benutzerdefinierte Client-Gruppen: In der OfficeScan Client-Hierarchie könnenSie die Clients manuell gruppieren und Domänen zuordnen, indem Sie ActiveDirectory oder IP-Adressen verwenden. Weitere Informationen finden Sie unterAutomatische Client-Gruppierung auf Seite 2-55.


2-35

• Ausgelagerte Serververwaltung: Stellen Sie sicher, dass die Computer imNetzwerk, die nicht vom OfficeScan Server verwaltet werden, dieSicherheitsrichtlinien Ihres Unternehmens einhalten. Weitere Informationen findenSie unter Einhaltung der Sicherheitsrichtlinien für nicht verwaltete Endpunkte auf Seite 14-72.

Führen Sie mit dem OfficeScan Server eine manuelle oder periodische Synchronisationder Active Directory-Struktur durch, um Datenkonsistenz zu gewährleisten. WeitereInformationen finden Sie unter Daten mit Active Directory-Domänen synchronisieren auf Seite2-37.

Active Directory mit OfficeScan integrieren

Prozedur

1. Navigieren Sie zu Administration > Active Directory > Active Directory-Integration.

2. Geben Sie unter Active Directory-Domänen den Namen der Active Directory-Domäne an.

3. Geben Sie Anmeldedaten an, die der OfficeScan Server verwendet, wenn Datenmit der angegebenen Active Directory-Domäne synchronisiert werden. Wenn derServer nicht Teil der Domäne ist, sind Anmeldedaten erforderlich. Andernfalls sindAnmeldedaten optional. Stellen Sie sicher, dass diese Anmeldedaten nicht ablaufen,da der Server andernfalls keine Daten synchronisieren kann.

a. Klicken Sie auf Geben Sie die Anmeldedaten für die Domäne ein.

b. Geben Sie im daraufhin geöffneten Popup-Fenster den Benutzernamen unddas Kennwort ein. Für die Angabe des Benutzernamens kann eines derfolgenden Formate verwendet werden:

• Domäne\Benutzername

• Benutzername@Domäne

c. Klicken Sie auf Speichern.

4. Klicken Sie auf die Schaltfläche ( ), um weitere Domänen hinzuzufügen. GebenSie, wenn nötig, die Domänen-Anmeldedaten für jede hinzugefügte Domäne an.


2-36

5. Klicken Sie auf die Schaltfläche ( ), um Domänen zu löschen.

6. Legen Sie Verschlüsselungseinstellungen fest, wenn Sie Domänen-Anmeldedatenangegeben haben. Zur Sicherheit verschlüsselt OfficeScan die von Ihnenangegebenen Domänen-Anmeldedaten, bevor sie in der Datenbank gespeichertwerden. Wenn OfficeScan Daten mit einer der angegebenen Domänensynchronisiert, wird ein Verschlüsselungsschlüssel verwendet, um die Domänen-Anmeldedaten zu entschlüsseln.

a. Wechseln Sie zum Abschnitt Verschlüsselungseinstellungen für dieAnmeldedaten für die Domäne.

b. Geben Sie einen Verschlüsselungsschlüssel mit maximal 128 Zeichen ein.

c. Geben Sie eine Datei an, in der der Verschlüsselungsschlüssel gespeichertwerden soll. Sie können ein gängiges Dateiformat wie beispielsweise .txtwählen. Geben Sie den vollständigen Pfad und Namen der Datei ein. Beispiel:C:\AD_Encryption\EncryptionKey.txt.

Warnung!Wenn die Datei entfernt wird oder sich der Dateipfad ändert, kann OfficeScan dieDaten nicht mit allen der angegebenen Domänen synchronisieren.

7. Klicken Sie auf eine der folgenden Optionen:

• Speichern: Nur die Einstellungen speichern. Da das Synchronisieren vonDaten die Netzwerkressourcen belasten können, können Sie wählen, nur dieEinstellungen zu speichern und das Synchronisieren zu einem späteren Zeit,wie z. B. außerhalb der Geschäftszeiten, durchzuführen.

• Speichern und synchronisieren: Einstellungen speichern und Daten mitden Active Directory-Domänen sychronisieren.

8. Planen Sie regelmäßige Synchronisierungsdurchläufe. Weitere Informationenfinden Sie unter Daten mit Active Directory-Domänen synchronisieren auf Seite 2-37.


2-37

Daten mit Active Directory-Domänen synchronisierenSynchronisieren Sie regelmäßig Daten mit Active Directory-Domänen, um die Strukturder OfficeScan Client-Hierarchie auf dem aktuellen Stand zu halten und nicht verwalteteClients abzufragen.

Daten mit Active Directory-Domänen manuellsynchronisieren

Prozedur

1. Navigieren Sie zu Administration > Active Directory > Active Directory-Integration.

2. Stellen Sie sicher, dass sich die Anmeldedaten für die Domäne und dieVerschlüsselungseinstellungen nicht geändert haben.

3. Klicken Sie auf Speichern und synchronisieren.

Daten mit Active Directory-Domänen automatischsynchronisieren

Prozedur

1. Navigieren Sie zu Administration > Active Directory > ZeitgesteuerteSynchronisierung.

2. Wählen Sie Zeitgesteuerte Synchronisierung des Active Directory aktivieren.

3. Geben Sie den Synchronisierungszeitplan an.

Hinweis

Bei der täglichen, wöchentlichen und monatlichen Synchronisierung handelt es sichbeim Zeitraum um die Stunden, während der OfficeScan Active Directory mit demOfficeScan Server synchronisiert.


2-38


Die OfficeScan Client-AnsichtIn der OfficeScan Client-Hierarchie werden alle Clients angezeigt (in OfficeScan Domänenauf Seite 2-53 gruppiert), die gegenwärtig vom Server verwaltet werden. Clients werdenin Domänen gruppiert, so dass Sie für alle Domänenmitglieder gleichzeitig dieselbeKonfiguration festlegen, verwalten und übernehmen können.

Die Client-Ansicht wird im Hauptfenster angezeigt, wenn Sie auf bestimmte Funktionenaus dem Hauptmenü zugreifen.

ABBILDUNG 2-20. OfficeScan Client-Ansicht


2-39

Symbole in der Client-AnsichtDie Symbole in der OfficeScan Client-Ansicht bieten Optische Hinweise auf denComputertyp und den Status der OfficeScan Clients, die von OfficeScan verwaltetwerden.

TABELLE 2-9. Symbole in der OfficeScan Client-Ansicht

SYMBOL BESCHREIBUNG

Domäne

Root

Update-Agent

Intelligente Suche verfügbar - OfficeScan Client

Intelligente Suche nicht verfügbar - OfficeScan Client

Intelligente Suche verfügbar - Update-Agent

Intelligente Suche nicht verfügbar - Update-Agent

Allgemeine Aufgaben in der Client-HierarchieDie nachfolgenden allgemeinen Aufgaben können ausgeführt werden, wenn die Client-Hierarchie angezeigt wird:

Prozedur

• Klicken sie auf das Stammdomänensymbol ( ), um alle Domänen und Clientsauszuwählen. Wenn Sie auf das Symbol der Rootdomäne klicken und anschließendeine Aufgabe über Client-Hierarchie auswählen, wird ein Fenster angezeigt, in dem


2-40

Sie die Einstellungen konfigurieren können. Wählen Sie aus dem Fenster eine derfolgenden allgemeinen Optionen:

• Auf alle Clients anwenden: Wendet die Einstellungen auf alle vorhandenenClients und auf neu zu einer vorhandenen / zukünftigen Domänehinzukommende an. Zukünftige Domänen sind Domänen, die bei derKonfiguration der Einstellungen noch nicht vorhanden sind.

• Nur auf zukünftige Domänen anwenden: Wendet die Einstellungen nurauf Clients an, die zu zukünftigen Domänen hinzukommen. Bei dieser Optionwerden die Einstellungen nicht auf Clients angewendet, die neu zu einervorhandenen Domäne hinzukommen.

• Mehrere, benachbarte Domänen oder Clients auswählen:

• Wählen Sie aus dem rechten Fensterbereich die erste Domäne, halten Sie dieUMSCHALTTASTE gedrückt, und klicken Sie anschließend auf die letzteDomäne oder den letzten Client in diesem Bereich.

• Um mehrere nicht unmittelbar aufeinander folgende Domänen oder Clientsauszuwählen, halten Sie im rechten Fensterbereich die STRG-Taste gedrückt, undklicken Sie auf die gewünschten Domänen oder Clients.

• Sie können nach einem bestimmten zu verwaltenden Client suchen, indem Sieseinen Namen in das Textfeld Nach Computern suchen eingeben. Die Domänemit einer Liste aller Clients innerhalb dieser Domäne wird angezeigt. Dabei wirdder Name des angegebenen Clients hervorgehoben. Um zum nächsten Client zunavigieren, klicken Sie erneut auf Suchen. Um weitere Suchoptionen anzuzeigen,klicken Sie auf Erweiterte Suche.

HinweisIPv6- oder IPv4-Adressen können während der Suche nach bestimmten Clients nichteingegeben werden. Verwenden Sie die erweiterte Suche, um nach IPv4- oder IPv6-Adressen zu suchen. Weitere Informationen finden Sie unter Erweiterte Suchoptionen aufSeite 2-41.

• Nach Auswahl einer Domäne wird die Client-Hierarchie erweitert, so dass alle zudieser Domäne gehörenden Clients und alle Spalten mit wichtigen Informationenzu jedem Client angezeigt werden. Um nur bestimmte zusammengehörige Spaltenanzuzeigen, wählen Sie ein Element in der Client-Hierarchie aus.


2-41

• Alle anzeigen: Zeigt alle Spalten an.

• Update-Ansicht: Zeigt alle Komponenten und Programme an

• Virenschutz-Ansicht: Zeigt Virenschutzkomponenten an.

• Anti-Spyware-Ansicht: Zeigt Anti-Spyware-Komponenten an.

• Datenschutzansicht: Zeigt den Status des Datenschutzmoduls auf denClients an

• Firewall-Ansicht: Zeigt Firewall-Komponenten an.

• Smart Protection Ansicht: Zeigt die Suchmethode an, die von den Clientsverwendet wird (konventionell oder intelligente Suche) und die SmartProtection Komponenten

• Update-Agent-Ansicht: Zeigt Informationen zu allen Update-Agents an, dievom OfficeScan Server verwaltet werden.

• Sie können Spalten durch Ziehen an den Spaltenüberschriften an eine anderePosition in der Client-Hierarchie verschieben. OfficeScan speichert automatisch dieneuen Spaltenpositionen.

• Sie können Clients durch Klicken auf den Spaltennamen nach den Informationenin den Spalten sortieren.

• Aktualisieren Sie die Client-Hierarchie, indem Sie auf das Symbol "Aktualisieren"klicken ( ).

• Unterhalb der Client-Hierarchie werden die Client-Statistiken angezeigt, wie dieGesamtzahl der Clients, die Anzahl der Clients der intelligenten Suche und dieAnzahl der Clients der herkömmlichen Suche.

Erweiterte Suchoptionen

Clients können nach folgenden Kriterien gesucht werden:


2-42

Prozedur

• Allgemein: Umfasst grundlegende Informationen über Computer, wie IP-Adresse,Betriebssystem, Domäne, MAC-Adresse, Suchmethode oder Web-Reputation-Status

• Bei der Suche nach dem IPv4-Adressbereich müssen Sie einen Teil einer IP-Adresse, beginnend mit den ersten 8 Bit, eingeben. Das Suchergebnis enthältalle Computer, deren IP-Adressen diesen Eintrag enthalten. Beispielsweisewerden bei der Eingabe von "10.5" alle Computer mit einer IP-Adresse imBereich zwischen 10.5.0.0 und 10.5.255.255 gefunden.

• Bei der Suche nach dem IPv6-Adressbereich müssen Sie Präfix und Länge derIP-Adresse eingeben.

• Die Suche nach MAC-Adresse erfordert die Eingabe eines MAC-Adressbereichs in der hexadezimalen Notation, z. B. 000A1B123C12.

• Komponentenversionen: Aktivieren Sie das Kontrollkästchen neben demComputernamen, grenzen Sie das Kriterium durch Auswahl von Älter als oder Biseinschließlich ein, und geben Sie dann eine Versionsnummer ein. Die aktuelleVersionsnummer wird standardmäßig angezeigt.

• Status: Beinhaltet Client-Einstellungen

Klicken Sie nach Eingabe Ihrer Suchkriterien auf Suchen. In der Client-Hierarchie wirdeine Liste der Computer angezeigt, die die festgelegten Kriterien erfüllen.

Spezifische Aufgaben in der Client-Ansicht

Die Client-Hierarchie wird angezeigt, wenn Sie auf der Webkonsole bestimmte Fensteröffnen. Oberhalb der Client-Hierarchie befinden sich Menübefehle, die sich auf dasgerade geöffnete Fenster beziehen. Mit Hilfe dieser Menübefehle können Sie bestimmteAufgaben ausführen, z. B. die Konfiguration der Client-Einstellungen oder dieEinleitung von Client-Aufgaben. Um eine dieser Aufgaben durchzuführen, wählen Siezunächst das Ziel der Aufgabe (entweder die Rootdomäne, die die Einstellungen auf alleClients anwendet, oder eine oder mehrere Domänen oder einen oder mehrere Clients).Wählen Sie anschließend einen Menüpunkt aus.


2-43

Die Client-Hierarchie wird in den folgenden Fenstern angezeigt:

• Fenster "Client-Verwaltung" auf Seite 2-43

• Fenster Ausbruchsprävention auf Seite 2-47

• Fenster Komponenten-Update für Netzwerkcomputer auf Seite 2-48

• Fenster Rollback auf Seite 2-49

• Fenster Protokolle zu Sicherheitsrisiken für Netzwerkcomputer auf Seite 2-50

• Fenster Agent-Verteilung auf Seite 2-52

Fenster "Client-Verwaltung"

Um dieses Fenster anzuzeigen, navigieren Sie zu Netzwerkcomputer > Client-Verwaltung.


2-44

Verwalten Sie allgemeine Client-Einstellungen im Fenster "Client-Verwaltung".

ABBILDUNG 2-21. Fenster "Client-Verwaltung"

Die Aufgaben, die Sie durchführen können, werden in der folgenden Tabelle aufgeführt:

TABELLE 2-10. Aufgaben zur "Client-Verwaltung"

MENÜSCHALTFLÄCHE

AUFGABE

Status Detaillierte Client-Informationen anzeigen. Weitere Informationenfinden Sie unter OfficeScan Client-Informationen anzeigen auf Seite14-56.


2-45

MENÜSCHALTFLÄCHE

AUFGABE

Aufgaben • Jetzt Suche auf den Client-Computern ausführen. WeitereInformationen finden Sie unter Jetzt durchsuchen starten aufSeite 7-26.

• Client deinstallieren. Weitere Informationen finden Sie unter DenOfficeScan Client von der Webkonsole aus deinstallieren aufSeite 5-76.

• Spyware-/Grayware-Komponenten wiederherstellen. WeitereInformationen finden Sie unter Spyware/Graywarewiederherstellen auf Seite 7-54.


2-46

MENÜSCHALTFLÄCHE

AUFGABE

Einstellungen • Konfigurieren Sie die Sucheinstellungen. Weitere Informationenfinden Sie unter den folgenden Themen:

• Suchmethoden auf Seite 7-8

• Manuelle Suche auf Seite 7-19

• Echtzeitsuche auf Seite 7-16

• Zeitgesteuerte Suche auf Seite 7-21

• Jetzt durchsuchen auf Seite 7-23

• Konfigurieren Sie die Web-Reputation-Einstellungen. WeitereInformationen finden Sie unter Web-Reputation-Richtlinien aufSeite 11-5.

• Konfugurieren Sie die Einstellungen derVerhaltensüberwachung. Weitere Informationen finden Sie unterVerhaltensüberwachung auf Seite 8-2.

• Konfigurieren Sie die Einstellungen der Gerätesteurung.Weitere Informationen finden Sie unter Gerätesteuerung aufSeite 9-2.

• Konfigurieren Sie Richtlinien für die Prävention vor Datenverlust.Weitere Informationen finden Sie unter Richtlinienkonfigurationder Funktion "Prävention vor Datenverlust" auf Seite 10-45.

• Clients als Update-Agents zuweisen. Weitere Informationenfinden Sie unter Konfiguration des Update-Agents auf Seite6-57.

• Client-Berechtigungen und andere Einstellungen konfigurieren.Weitere Informationen finden Sie unter Client-Berechtigungenund weitere Einstellungen konfigurieren auf Seite 14-93.

• Aktivieren oder deaktivieren Sie OfficeScan Client Services.Weitere Informationen finden Sie unter OfficeScan Client-Dienste auf Seite 14-7.

• Die Liste der zulässigen Spyware/Grayware konfigurieren.Weitere Informationen finden Sie unter Liste der zulässigenSpyware/Grayware auf Seite 7-52.

• Client-Einstellungen importieren und exportieren. WeitereInformationen finden Sie unter Client-Einstellungen importierenund exportieren auf Seite 14-56.


2-47

MENÜSCHALTFLÄCHE

AUFGABE

Protokolle Die folgenden Protokolle anzeigen:

• Viren/Malware-Protokolle (weitere Informationen hierzu findenSie unter Viren-/Malware-Protokolle anzeigen auf Seite 7-92)

• Spyware/Grayware-Protokolle (weitere Informationen hierzufinden Sie unter Spyware/Grayware-Protokolle anzeigen aufSeite 7-99)

• Firewall-Protokolle (weitere Informationen hierzu finden Sieunter Firewall-Protokolle auf Seite 12-31)

• Web-Reputation-Protokolle (weitere Informationen hierzu findenSie unter Web-Reputation-Protokolle auf Seite 11-20)

• C&C-Callback-Protokolle (weitere Informationen hierzu findenSie unter C&C-Callback-Protokolle anzeigen auf Seite 11-22.)

• Verhaltensüberwachungsprotokolle (weitere Informationenhierzu finden Sie unter Verhaltensüberwachungsprotokolle aufSeite 8-14)

• Protokolle der Gerätesteuerung (weitere Informationen hierzufinden Sie unter Protokolle der Gerätesteuerung auf Seite9-17)

Protokolle löschen. Weitere Informationen finden Sie unterProtokollmanagement auf Seite 13-37.

Client-Hierarchieverwalten

Die Client-Hierarchie verwalten Weitere Informationen finden Sieunter Aufgaben zur Client-Gruppierung auf Seite 2-60.

Exportieren Liste der Clients als komma-separierte Datei im CSV-Format (.csv)exportieren.

Fenster Ausbruchsprävention

Um dieses Fenster anzuzeigen, navigieren Sie zu Netzwerkcomputer >Ausbruchsprävention.


2-48

Geben Sie die Einstellungen zur Ausbruchsprävention im FensterAusbruchsprävention ein und aktivieren Sie sie. Weitere Informationen finden Sieunter Ausbruchsprävention bei Sicherheitsrisiken konfigurieren auf Seite 7-108.

ABBILDUNG 2-22. Fenster Ausbruchsprävention

Fenster Komponenten-Update für Netzwerkcomputer

Um dieses Fenster anzuzeigen, navigieren Sie zu Updates > Netzwerkcomputer >Manuelles Update. Wählen Sie Clients manuell auswählen, und klicken Sie aufAuswählen.


2-49

Manuelles Update im Fenster Komponenten-Update für Netzwerkcomputer starten.Weitere Informationen finden Sie unter Manuelle OfficeScan Client-Updates auf Seite 6-45.

ABBILDUNG 2-23. Fenster Komponenten-Update für Netzwerkcomputer

Fenster Rollback

Um dieses Fenster anzuzeigen, navigieren Sie zu Updates > Rollback. Klicken Sie aufMit Server synchronisieren.


2-50

Führen Sie ein Rollback der Client-Komponenten im Fenster Rollback durch. WeitereInformationen finden Sie unter Rollback der Komponenten für OfficeScan Clients durchführen aufSeite 6-54.

ABBILDUNG 2-24. Fenster Rollback

Fenster Protokolle zu Sicherheitsrisiken fürNetzwerkcomputer

Um dieses Fenster anzuzeigen, navigieren Sie zu Protokolle > Netzwerkcomputer-Protokolle > Sicherheitsrisiken.


2-51

Protokolle im Fenster Protokolle zu Sicherheitsrisiken für Netzwerkcomputeranzeigen und verwalten.

ABBILDUNG 2-25. Fenster Protokolle zu Sicherheitsrisiken für Netzwerkcomputer

Führen Sie folgende Aufgaben durch:

1. Protokolle anzeigen, die Clients an Server senden. Weitere Informationen findenSie unter:

• Viren-/Malware-Protokolle anzeigen auf Seite 7-92

• Spyware/Grayware-Protokolle anzeigen auf Seite 7-99

• Firewall-Protokolle anzeigen auf Seite 12-32

• Web-Reputation-Protokolle anzeigen auf Seite 11-21

• C&C-Callback-Protokolle anzeigen auf Seite 11-22

• Verhaltensüberwachungsprotokolle anzeigen auf Seite 8-14


2-52

• Protokolle der Gerätesteuerung anzeigen auf Seite 9-18

• Protokolle der Funktion "Prävention vor Datenverlust" anzeigen auf Seite 10-56

2. Protokolle löschen. Weitere Informationen finden Sie unter Protokollmanagement aufSeite 13-37.

Fenster Agent-Verteilung

Um dieses Fenster anzuzeigen, navigieren Sie zu Cisco NAC > Agent-Verteilung.

Wenn Sie einen Policy Server für Cisco NAC eingerichtet haben, verteilen Sie den CiscoTrust Agent (CTA) auf die Clients im Fenster Agent-Verteilung. WeitereInformationen finden Sie unter Cisco Trust Agent verteilen auf Seite 16-30.

ABBILDUNG 2-26. Fenster Agent-Verteilung


2-53

OfficeScan DomänenEine Domäne in OfficeScan umfasst eine Gruppe von Clients mit derselbenKonfiguration, die dieselben Tasks ausführen. Durch das Gruppieren von Clients inDomänen können Sie für alle Domänenmitglieder dieselbe Konfiguration festlegen,verwalten und übernehmen. Weitere Informationen zu Berichten zur Client-Gruppierung finden Sie unter Clients gruppieren auf Seite 2-53.

Clients gruppierenMit der Client-Gruppierung können Sie manuell oder automatisch Domänen in derOfficeScan Client-Hierarchie erstellen oder verwalten.

Es gibt zwei Methoden, um Clients in Domänen zu gruppieren.

TABELLE 2-11. Methoden zur Client-Gruppierung

METHODE CLIENTS GRUPPIEREN BESCHREIBUNGEN

Manuell • NetBIOS-Domäne

• ActiveDirectory-Domäne

• DNS-Domäne

Die manuelle Client-Gruppierung legt die Domänefest, zu der ein kürzlich installierter Client gehörensoll. Wenn der Client in der Client-Hierarchieerscheint, können Sie ihn in eine andere Domäneoder einen anderen OfficeScan Server umziehen.

Die manuelle Gruppierung ermöglicht es auch,Domänen in der Client-Hierarchie zu erstellen, zuverwalten und zu entfernen.

Weitere Informationen finden Sie unter ManuelleClient-Gruppierung auf Seite 2-54.


2-54

METHODE CLIENTS GRUPPIEREN BESCHREIBUNGEN

Automatisch

BenutzerdefinierteClient-Gruppen

Die automatische Client-Gruppierung wendet Regelnan, um Clients in der Client-Hierarchie zu ordnen.Nachdem Sie diese Regeln festgelegt haben, könnenSie auf die Client-Hierarchie zugreifen, um dieClients manuell zu ordnen oder um zuzulassen, dassOfficeScan sie automatisch ordnet, wenn spezielleEreignisse auftreten oder in regelmäßigenZeitabständen.

Weitere Informationen finden Sie unter AutomatischeClient-Gruppierung auf Seite 2-55.

Manuelle Client-GruppierungOfficeScan verwendet diese Einstellung nur während der Client-Erstinstallation. DasInstallationsprogramm überprüft die Netzwerkdomäne, zu der der Zielcomputer gehört.Wenn der Domänenname bereits in der Client-Hierarchie vorhanden ist, gruppiertOfficeScan den Client auf dem Zielcomputer unter der entsprechenden Domäne undübernimmt die für die Domäne konfigurierten Einstellungen. Wenn der Domänennamenicht vorhanden ist, fügt OfficeScan die Domäne zur Client-Hierarchie hinzu, gruppiertden Client unter dieser Domäne und wendet dann die Stammeinstellungen auf dieDomäne und den Client an.

Manuelle Client-Gruppierungen konfigurieren

Prozedur

1. Navigieren Sie zu Netzwerkcomputer > Clients gruppieren.

2. Sie können eine Methode zur Gruppierung von Clients angeben:

• NetBIOS-Domäne

• Active Directory-Domäne

• DNS-Domäne



2-55

Nächste Maßnahme

Verwalten Sie Domänen und die Clients, die unter ihnen gruppiert wurden, indem Siefolgende Aufgaben durchführen:

• Domäne hinzufügen

• Domäne oder Client löschen

• Domäne umbenennen

• Einen Client in eine andere Domäne verschieben

Weitere Informationen finden Sie unter Aufgaben zur Client-Gruppierung auf Seite 2-60.

Automatische Client-Gruppierung

Die automatische Clientgruppierung wendet Regeln an, die nach IP-Adressen oderActive Directory Domänen festgelegt wurden. Wenn eine Regel eine IP-Adresse odereine IP-Adressbereich festlegt, ordnet der OfficeScan Server einen Client mit einerpassenden IP-Adresse einer bestimmten Domäne der Client-Hierarchie zu. Legtentsprechend eine Regel eine oder mehrere Active Directory Domänen fest, ordnet derOfficeScan Server einen Client, der zu einer bestimmten Active Directory Domänegehört, einer bestimmten Domäne der Client-Hierarchie zu.

Clients können immer nur eine Regel auf einmal anwenden. Legen Sie Prioritäten fest,damit ein Client, der mehrere Regeln unterstützt, die Regel mit der höchsten Prioritätanwendet.

Automatische Client-Gruppierung konfigurieren

Prozedur

1. Navigieren Sie zu Netzwerkcomputer > Client-Gruppierung

2. Navigieren Sie zum Abschnitt Client-Gruppierung und wählen SieBenutzerdefinierte Client-Gruppen aus.

3. Navigieren Sie zum Abschnitt Automatische Client-Gruppierung.


2-56

4. Um Regeln zu erstellen, klicken Sie auf Hinzufügen und wählen Sie dannentweder Active Directory oder IP-Adresse.

• Wenn Sie Active Directory ausgewählt haben, finden Sie dieKonfigurationsanweisungen unter Eine Client-Gruppierungsregel nach ActiveDirectory Domänen festlegen auf Seite 2-57.

• Wenn Sie IP-Adresse ausgewählt haben, finden Sie dieKonfigurationsanweisungen unter Eine Client-Gruppierungsregel nach IP-Adressefestlegen auf Seite 2-58.

5. Wenn Sie mehr als eine Regel erstellt haben, legen Sie Prioritäten fest, indem Siefolgende Schritte ausführen:

a. Wählen Sie eine Regel aus.

b. Klicken Sie auf einen Pfeil unter der Spalte Priorität der Gruppierung undbewegen Sie die Regel in der Liste nach oben oder unten. Die ID-Nummerder Regel ändert sich entsprechend der neuen Position.

6. Die Regeln während der Client-Zuordnung anwenden:

a. Aktivieren Sie die Kontrollkästchen der Regeln, die Sie anwenden wollen.

b. Stellen Sie sicher, dass die Regeln aktiviert wurden. Unter der Spalte "Status"sollte ein grünes Häkchen ( ) erscheinen. Sollte ein rotes "x"-Symbol( ) angezeigt werden, klicken Sie auf das Symbol, um die Regel zuaktivieren. Jetzt wird ein grünes Häkchen angezeigt.

Hinweis

Wenn Sie keine Regel durch das Aktivieren von Kontrollkästchen auswählen, oderwenn Sie eine Regel deaktivieren, wird die Regel nicht angewendet, wenn die Clientsin der Client-Hierarchie geordnet werden. Wenn die Regel beispielsweise vorschreibt,dass ein Client in eine neue Domäne verschoben werden soll, wird der Client nichtverschoben und bleibt in seiner bisherigen Domäne.

7. Geben Sie im Abschnitt Zeitgesteuerte Domänenerstellung einenSortierzeitplan ein.

a. Wählen Sie Zeitgesteuerte Domänenerstellung aus.


2-57

b. Geben Sie unter Zeitgesteuerte Domänenerstellung einen Zeitplan ein.

8. Wählen Sie dazu eine der folgenden Optionen aus:

• Jetzt speichern und Domäne erstellen: Wählen Sie diese Option, wenn Siein Eine Client-Gruppierungsregel nach IP-Adresse festlegen auf Seite 2-58, Schritt 7,oder in Eine Client-Gruppierungsregel nach Active Directory Domänen festlegen auf Seite2-57, Schritt 7, neue Domänen angegeben haben.

• Speichern: Wählen Sie diese Option, wenn Sie keine neuen Domänenangegeben haben oder die neuen Domänen nur dann erstellen möchten, wenndie Clients sortiert werden.

HinweisDie Clients werden erst sortiert, nachdem dieser Schritt abgeschlossen wurde.

Eine Client-Gruppierungsregel nach Active DirectoryDomänen festlegen

Konfigurieren Sie die Integrationseinstellungen von Active Directory, bevor Sie dienachfolgenden Schritte ausführen. Weitere Informationen finden Sie unter ActiveDirectory-Integration auf Seite 2-34.

Prozedur




4. Klicken Sie auf Hinzufügen und wählen Sie dann Active Directory aus.

Ein neues Fenster wird angezeigt.

5. Wählen Sie Gruppierung aktivieren aus.

6. Geben Sie einen Namen für diese Regel an.


2-58

7. Wählen Sie unter Active Directory Quelle die Active Directory Domäne(n) oderSubdomänen aus.

8. Wählen Sie unter Client-Hierarchie eine bestehende OfficeScan Domäne aus, zuder die Active Directory Domäne passt. Wenn die gewünschte OfficeScan Domänenicht vorhanden ist, führen Sie folgende Schritte durch:

a. Zeigen Sie mit dem Mauscursor auf eine bestimmte OfficeScan Domäne undklicken Sie auf das Symbol zum Hinzufügen einer Domäne. Im Beispiel untenwird die neue Domäne unter der OfficeScan Stammdomäne hinzugefügt.

ABBILDUNG 2-27. Symbol "Domäne hinzufügen"

b. Geben Sie den Namen der Domäne in das entsprechende Textfeld ein.

c. Klicken Sie auf das Häkchen neben dem Textfeld. Die neue Domäne wirdhinzugefügt und automatisch ausgewählt.

9. Wahlweise aktivieren Sie Active Directory Struktur in der OfficeScan Client-Hierarchie nachbilden. Mit dieser Option bilden Sie die Hierarchie derausgewählten Active Directory Domäne auf der ausgewählten OfficeScan Domänenach.


Eine Client-Gruppierungsregel nach IP-Adresse festlegen

Sie können benutzerdefinierte Client-Gruppen mit Netzwerk-IP-Adressen erstellen, umdie Clients in der OfficeScan Client-Hierarchie zu sortieren. Die Funktion kannAdministratoren dabei unterstützen, die Struktur der OfficeScan Client-Hierarchieanzuordnen, bevor der Client eine Registrierung am OfficeScan Server durchführt.


2-59

Prozedur




4. Klicken Sie auf Hinzufügen und wählen Sie dann IP-Adresse.

Ein neues Fenster wird angezeigt.

5. Wählen Sie Gruppierung aktivieren aus.

6. Geben Sie einen Namen für die Gruppierung ein.

7. Geben Sie eines der folgenden Kriterien an:

• Eine einzelne IPv4- oder IPv6-Adresse

• Einen IPv4-Adressbereich

• Ein IPv6-Präfix und die Länge

Hinweis

Wenn die IPv4- und IPv6-Adressen eines Dual-Stack Clients zu zwei verschiedenenClientgruppen gehören, wird der Client unter der IPv6-Gruppe eingeordnet. WennIPv6 auf dem Hostrechner des Clients deaktiviert ist, wird der Client in die IPv4-Gruppe verschoben.

8. Wählen Sie die OfficeScan Domäne aus, der die IP-Adresse oder der IP-Adressbereich zugeordnet werden soll. Gehen Sie wie folgt vor, wenn die Domänenicht vorhanden ist:

a. Zeigen Sie mit dem Mauscursor auf eine beliebige Stelle in der Client-Hierarchie, und klicken Sie auf das Symbol zum Hinzufügen einer Domäne.


2-60

ABBILDUNG 2-28. Symbol "Domäne hinzufügen"

b. Tragen Sie die Domäne in das bereitgestellte Textfeld ein.

c. Klicken Sie auf das Häkchen neben dem Textfeld. Die neue Domäne wirdhinzugefügt und automatisch ausgewählt.


Aufgaben zur Client-Gruppierung

Sie können die folgenden Aufgaben ausführen, wenn Sie Clients in Domänengruppieren:

• Domäne hinzufügen. Weitere Informationen finden Sie unter Hinzufügen einerDomäne auf Seite 2-61.

• Domäne oder Client löschen. Weitere Informationen finden Sie unter Domäne oderClient löschen auf Seite 2-61.

• Domäne umbenennen. Weitere Informationen finden Sie unter Umbenennen einerDomäne auf Seite 2-62.

• Einen Client in eine andere Domäne oder einen anderen OfficeScan Serververschieben. Weitere Informationen finden Sie unter OfficeScan Client in eine andereDomäne oder auf einen anderen OfficeScan Server verschieben auf Seite 2-62.

• Domäne oder Client löschen. Weitere Informationen finden Sie unter Domäne oderClient löschen auf Seite 2-61.


2-61

Hinzufügen einer Domäne

Prozedur

1. Navigieren Sie zu Netzwerkcomputer > Client-Verwaltung.

2. Klicken Sie auf Client-Hierarchie verwalten > Domäne hinzufügen.

3. Geben Sie einen Namen für die Domäne ein, die Sie hinzufügen möchten.


Die neue Domäne wird nun in der Client-Hierarchie angezeigt.

5. (Optional) Subdomänen erstellen.

a. Wählen Sie die übergeordnete Domäne.

b. Klicken Sie auf Client-Hierarchie verwalten > Domäne hinzufügen.

c. Geben Sie den Namen der Subdomäne ein.

Domäne oder Client löschen

Prozedur


2. Wählen Sie in der Client-Hierarchie:

• Eine oder mehrere Domänen

• Eine, mehrere oder alle Clients gehören zu einer Domäne

3. Klicken Sie auf Client-Hierarchie verwalten > Domain/Client entfernen.

4. Um eine leere Domäne zu löschen, klicken Sie auf Domäne/Client entfernen.Wenn die Domäne Clients enthält und Sie klicken auf Domäne/Client entfernen,erstellt der OfficeScan Server diese Domäne erneut und gruppiert alle Clients unterdieser Domäne, wenn sich Clients das nächste Mal mit dem OfficeScan Serververbinden. Sie können folgende Aufgaben ausführen, bevor Sie die Domänelöschen:


2-62

a. Verschieben Sie die Clients in eine andere Domäne. Verschieben Sie dieClients per Drag und Drop in die entsprechenden Zieldomänen.

b. Löschen Sie alle Clients.

5. Um einen Client zu löschen, klicken Sie auf Domäne/Client entfernen.

Hinweis

Wenn Sie einen Client aus der Client-Hierarchie löschen, wird OfficeScan nicht vomClient-Computer entfernt. Der OfficeScan Client kann noch immerserverunabhängige Funktionen durchführen, wie z. B. das Update der Komponenten.Der Server weiß jedoch nicht, dass der Client vorhanden ist, und wird deshalb aufdem Client keine Einstellungen verteilen oder ihm Benachrichtigungen senden.

Umbenennen einer Domäne

Prozedur


2. Wählen Sie eine Domäne aus der Client-Hierarchie aus.

3. Klicken Sie auf Client-Hierarchie verwalten > Domäne umbenennen.

4. Geben Sie einen neuen Namen für die Domäne ein.

5. Klicken Sie auf Umbenennen.

Der neue Name der Domäne wird nun in der Client-Hierarchie angezeigt.

OfficeScan Client in eine andere Domäne oder auf einen anderenOfficeScan Server verschieben

Prozedur



2-63

2. Öffnen Sie in der Client-Hierarchie eine Domaine und wählen Sie einen, mehrereoder alle Clients aus.

3. Klicken Sie auf Client-Hierarchie verwalten > Client verschieben.

4. Clients in eine andere Domäne verschieben:

• Wählen Sie Ausgewählte(n) Client(s) in andere Domäne verschieben aus.

• Wählen Sie eine Domäne aus.

• (Optional) Einstellungen der neuen Domäne für ausgewählte Clientsübernehmen

TippSie können Clients auch per Drag & Drop in eine andere Domäne innerhalb derClient-Hierarchie verschieben.

5. Clients auf einen anderen OfficeScan Server verschieben:

• Wählen Sie Ausgewählte(n) Client(s) in anderen OfficeScan Serververschieben aus.

• Geben Sie den Servernamen oder die IPv4-/IPv6-Adresse und die HTTP-Portnummer ein.

6. Klicken Sie auf Verschieben.

3-1

Kapitel 3

Erste Schritte mit DatenschutzIn diesem Kapitel wird erläutert, wie Sie das Datenschutzmodul installieren undaktivieren.


• Datenschutzinstallation auf Seite 3-2

• Datenschutzlizenz auf Seite 3-4

• Datenschutz auf Clients verteilen auf Seite 3-6

• Ordner der forensischen Daten und DLP-Datenbank auf Seite 3-9

• Den Datenschutz deinstallieren auf Seite 3-15


3-2

DatenschutzinstallationDas Datenschutzmodul verfügt über folgende Funktionen:

• Funktion "Prävention vor Datenverlust" (DLP): Verhindert die unerlaubteÜbertragung digitaler Assets

• Gerätesteuerung: Reguliert den Zugriff auf externe Geräte

Hinweis

OfficeScan verfügt standardmäßig über eine Gerätesteuerungsfunktion, die den Zugriff aufhäufig verwendete Geräte, wie etwa USB-Speicher, steuert. Die Gerätesteuerung erweitertals Teil des Datenschutzmoduls den Bereich der überwachten Geräte. Eine Liste allerüberwachten Geräte finden Sie unter Gerätesteuerung auf Seite 9-2.

Die Funktion "Prävention vor Datenverlust" und die Gerätesteuerung sind nativeOfficeScan Funktionen, die aber separat lizenziert werden. Nach der Installation desOfficeScan Servers sind diese Funktion zwar vorhanden, aber sie sind nichtfunktionsfähig und können nicht auf die Clients verteilt werden. Zur Installation desDatenschutzes muss eine Datei vom ActiveUpdate Server oder, falls vorhanden, voneiner benutzerdefinierten Update-Adresse heruntergeladen werden. Sobald diese Dateiin den OfficeScan Server integriert ist, können Sie die Datenschutzlizenz aktivieren, umalle Funktionen zu nutzen. Installation und Aktivierung werden vom Plug-in Managerdurchgeführt.

Wichtig

• Das Datenschutzmodul muss nicht installiert werden, wenn die Software "TrendMicro Prävention vor Datenverlust" bereits installiert ist und auf den Endpunktenausgeführt wird.

• Das Datenschutzmodul kann auf einem reinen IPv6-Plug-In Manager installiertwerden. Nur die Gerätesteuerung kann jedoch auf reine IPv6-Clients verteilt werden.Die Funktion "Prävention vor Datenverlust" funktioniert nicht auf reinen IPv6-Clients.

Erste Schritte mit Datenschutz

3-3

Datenschutz installieren

Prozedur

1. Öffnen Sie die OfficeScan Webkonsole und klicken Sie im Hauptmenü auf Plug-in Manager.

2. Navigieren Sie im Fenster Plug-in Manager zum Abschnitt OfficeScanDatenschutz, und klicken Sie auf Herunterladen.

Die Größe der Download-Datei wird neben der Schaltfläche Download angezeigt.

Der Plug-In Manager speichert die heruntergeladene Datei unter <Installationsordnerdes Servers>\PCCSRV\Download\Product.

HinweisWenn der Plug-In Manager die Datei nicht herunterladen kann, wiederholt er denVersuch automatisch nach 24 Stunden. Um manuell zu veranlassen, dass der Plug-InManager die Datei herunterlädt, starten Sie den OfficeScan Plug-In Manager Dienstüber die Microsoft Management-Konsole neu.

3. Verfolgen Sie den Download-Fortschritt.

Sie können während des Downloads zu anderen Fenstern navigieren.

Treten beim Download der Datei Probleme auf, überprüfen Sie die Server-Update-Protokolle auf der OfficeScan Webkonsole. Wählen Sie im Hauptmenü Protokolle> Server-Update-Protokolle.

Nachdem Plug-In Manager die Datei heruntergeladen hat, wird OfficeScanDatenschutz in einem neuen Fenster angezeigt.

HinweisWenn OfficeScan Datenschutz nicht angezeigt wird, finden Sie unter Fehlerbehebung beiPlug-In Manager auf Seite 15-10 mögliche Ursachen und Lösungen.

4. Um OfficeScan Datenschutz sofort zu installieren, klicken Sie auf Jetztinstallieren, oder führen Sie Folgendes aus, um die Installation zu einem späterenZeitpunkt durchzuführen:


3-4

a. Klicken Sie auf Später installieren.

b. Öffnen Sie das Fenster Plug-in Manager.

c. Gehen Sie zum Abschnitt OfficeScan Datenschutz , und klicken Sie aufInstallieren.

5. Lesen Sie die Lizenzvereinbarung und akzeptieren Sie die Bedingungen, indem Sieauf Stimme zu klicken.

Die Installation wird gestartet.

6. Überwachen Sie den Installationsfortschritt. Nach der Installation wird die Versiondes OfficeScan Datenschutzes angezeigt.

DatenschutzlizenzDatenschutzlizenz vom Plug-In Manager aus anzeigen, aktivieren und erneuern.

Fordern Sie von Trend Micro einen Aktivierungscode an, um damit die Lizenz zuaktivieren.

Lizenz für den Datenschutz aktivieren bzw. erneuern

Prozedur


2. Navigieren Sie im Fenster Plug-in Manager zum Abschnitt OfficeScanDatenschutz, und klicken Sie auf Programm verwalten.

3. Klicken Sie auf Neuer Aktivierungscode.

4. Geben Sie den Aktivierungscode ein.

Sie können den Aktivierungscode auch kopieren und in eines der Textfeldereinfügen.


3-5


Lizenzinformationen für den Datenschutz anzeigen

Prozedur


2. Navigieren Sie im Fenster Plug-in Manager zum Abschnitt OfficeScanDatenschutz, und klicken Sie auf Programm verwalten.

3. Klicken Sie auf Lizenzdaten anzeigen.

4. Ein Fenster mit den folgenden Informationen zur Lizenz wird geöffnet.

• Status: Wird entweder als "Aktiviert", "Nicht aktiviert" oder "Abgelaufen"angezeigt.

• Version: Wird entweder als "Vollversion" oder "Testversion" angezeigt. DieAktivierung sowohl der vollständigen als auch der Testversion wird als"Vollversion" angezeigt.

• Arbeitsplätze: Zeigt an, wie viele OfficeScan Clients das Datenschutzmodulinstallieren können

• Lizenz läuft ab am: Wenn es für den Datenschutz mehrere Lizenzen gibt,wird das am weitesten in der Zukunft liegende Ablaufdatum angezeigt. Laufendie Lizenzen am 31.12.11 und am 30.06.11 ab, wird das Datum 31.12.11angezeigt.

• Aktivierungscode: Zeigt den Aktivierungscode an

• Erinnerung: Je nach Ihrer aktuellen Lizenzversion zeigt DatenschutzErinnerungen zum Datum des Lizenzablaufs an, entweder während derÜbergangsfrist (nur vollständige Versionen) oder wenn die Lizenz abläuft.


3-6

HinweisDie Dauer der Übergangsfrist ist regional verschieden. Erkunden Sie sich bei IhremVertriebspartner über die Länge der Übergangsfrist.

Wenn Sie die Lizenz nicht verlängern, sind die Funktion "Prävention vorDatenverlust" und die Gerätesteuerung weiterhin funktionsfähig, aber Sie erhaltenkeinen technischen Support mehr.

5. Klicken Sie auf Einzelheiten zur Lizenz online anzeigen, um Informationenüber Ihre Lizenz auf der Trend Micro Website anzuzeigen.

6. Um die aktuellsten Lizenzdaten anzuzeigen, klicken Sie auf Informationenaktualisieren.

Datenschutz auf Clients verteilenVerteilen Sie das Datenschutzmodul auf die OfficeScan Clients, nachdem Sie seineLizenz aktiviert haben. Nach der Verteilung verwenden die OfficeScan Clients dann dieFunktion "Prävention vor Datenverlust" und die Gerätesteuerung.


3-7

Wichtig

• Das Modul ist auf Windows Server 2003, Windows Server 2008 und Windows Server2012 standardmäßig deaktiviert, um Leistungseinbußen auf dem Host-Computer zuvermeiden. Wenn Sie das Modul aktivieren möchten, überwachen Sie ständig dieSystemleistung, und führen Sie die notwendigen Aktionen durch, wenn Sie einenLeistungsabfall bemerken.

HinweisSie können das Modul über die Webkonsole aktivieren oder deaktivieren. WeitereInformationen finden Sie unter OfficeScan Client-Dienste auf Seite 14-7.

• Wenn Trend Micro Prävention vor Datenverlust bereits auf dem Endpunkt installiertist, ersetzt OfficeScan die Software nicht durch das Datenschutzmodul.

• Nur die Gerätesteuerung kann auf reine IPv6-Clients verteilt werden. Die Funktion"Prävention vor Datenverlust" funktioniert nicht auf reinen IPv6-Clients.

• Auf Online-Clients wird das Datenschutzmodul sofort installiert. Auf Offline- undRoaming-Clients wird das Modul installiert, wenn sie wieder online sind.

• Benutzer müssen den Computer neu starten, um die Installation der Treiber derFunktion "Prävention vor Datenverlust" abzuschließen. Informieren Sie die Benutzerrechtzeitig über den Neustart.

• Trend Micro empfiehlt die Aktivierung des Debug-Protokolls, um Probleme bei derVerteilung leichter beheben zu können. Weitere Informationen finden Sie unterDatenschutz-Debug-Protokolle auf Seite 10-62.

Das Datenschutzmodul an Clients verteilen

Prozedur


2. In der Client-Hierarchie können Sie:

• Klicken sie auf das Stammdomänensymbol ( ), um das Modul auf allevorhandenen und zukünftigen Clients zu verteilen.

• Wählen Sie eine bestimmte Domäne, um das Modul auf alle bestehenden undkünftigen Clients in dieser Domäne zu verteilen.


3-8

• Wählen Sie einen bestimmten Client, damit das Modul nur auf diesen verteiltwird.

3. Verteilen Sie das Modul auf zwei unterschiedliche Arten:

• Klicken Sie auf Einstellungen > DLP-Einstellungen.

• Klicken Sie auf Einstellungen > Einstellungen der Gerätesteuerung.

Hinweis

Wenn Sie die Verteilung mit Hilfe von Einstellungen > DLP-Einstellungenvornehmen und das Datenschutzmodul erfolgreich verteilt wurde, werden dieTreiber der Funktion "Prävention vor Datenverlust" installiert. Wenn dieTreiber erfolgreich installiert wurden, wird eine Meldung angezeigt, in der dieBenutzer zum Neustarten der Computer aufgefordert werden, um dieTreiberinstallation fertig zu stellen.

Falls die Meldung nicht angezeigt wird, treten möglicherweise Probleme beimInstallieren der Treiber auf. Wenn Sie das Debug-Protokoll aktiviert haben,überprüfen Sie die Protokolle, um Informationen über Probleme bei derInstallation der Treiber zu erhalten.

4. Eine Nachricht zeigt an, auf wie vielen Clients das Modul nicht installiert wurde.Klicken Sie auf Ja, um die Verteilung zu starten.

Hinweis

Wenn Sie auf Nein klicken (oder wenn das Modul aus irgendeinem Grund auf einenoder mehrere Clients nicht verteilt wurde), wird die gleiche Nachricht angezeigt,wenn Sie wieder auf Einstellungen > DLP-Einstellungen oder Einstellungen >Einstellungen der Gerätesteuerung klicken.

Die Clients beginnen mit dem Download des Moduls vom Server.

5. Überprüfen Sie, ob das Modul auf die Clients verteilt wurde.

a. Wählen Sie in der Client-Hierarchie eine Domäne aus.

b. Wählen Sie in der Ansicht der Client-Hierarchie Datenschutzansicht oderAlle anzeigen.


3-9

c. Überprüfen Sie die Spalte Datenschutzstatus. Folgende Verteilungszuständesind möglich:

• Wird ausgeführt: Das Modul wurde erfolgreich verteilt und seineFunktionen aktiviert.

• Neustart erforderlich: Die Treiber der Funktion "Prävention vorDatenverlust" wurden nicht installiert, weil die Benutzer ihre Computernicht neu gestartet haben. Wenn die Treiber nicht installiert sind, ist dieFunktion "Prävention vor Datenverlust" nicht funktionsfähig.

• Beendet: Der Dienst für das Modul wurde nicht gestartet, oder derZielcomputer wurde nicht normal heruntergefahren. Gehen Sie zumStarten des Datenschutzdiensts zu Netzwerkcomputer > Client-Verwaltung > Einstellungen > Zusätzliche Diensteinstellungen,und aktivieren Sie die Datenschutzdienste.

• Installation nicht möglich: Bei der Verteilung des Moduls auf denClient ist ein Problem aufgetreten. Das Modul muss über die Client-Hierarchie neu verteilt werden.

• Installation nicht möglich (die Funktion "Prävention vorDatenverlust" ist bereits vorhanden): Die Software der Trend MicroPrävention vor Datenverlust ist bereits auf dem Endpunkt installiert.OfficeScan ersetzt die Software nicht durch das Datenschutzmodul.

• Nicht installiert: Das Modul wurde nicht auf den Client verteilt. DieserStatus wird angezeigt, wenn Sie sich dafür entschieden haben, das Modulnicht auf den Client zu verteilen, oder wenn sich der Client während derVerteilung im Offline- oder Roaming-Status befunden hat.

Ordner der forensischen Daten und DLP-Datenbank

Nach Auftritt eines Datenverlustpräventionsvorfalls protokolliert OfficeScan dessenDetails in einer speziellen forensischen Datenbank. OfficeScan erstellt darüber hinauseine verschlüsselte Datei mit einer Kopie der sensiblen Daten, die den Vorfall ausgelöst


3-10

haben, und generiert einen Hashwert zur Überprüfung und zur Wahrung der Integritätder sensiblen Daten. Die verschlüsselten forensischen Dateien werden auf dem Client-Computer erstellt und auf einen angegebenen Speicherort auf dem Server hochgeladen.

Wichtig

• Da diese höchst sensible Daten enthalten, sollten Administratoren beim Zuweisen derZugriffsberechtigungen sehr vorsichtig vorgehen.

• OfficeScan wird in Control Manager integriert und bietet Benutzern von ControlManager mit entsprechenden Rollen für die DLP-Vorfallsprüfung und die DLP-Compliance die Möglichkeit, auf die Daten in den verschlüsselten Dateienzuzugreifen. Einzelheiten zu den DLP-Rollen und dem Zugriff auf die forensischenDateien in Control Manager finden Sie im Administratorhandbuch für Control Manager 6.0Patch 2 oder höher.

Einstellungen für Ordner der forensischen Daten undforensische Datenbank ändern

Administratoren können den Speicherort und den Löschzeitplan des Ordners derforensischen Daten sowie die maximale Größe der von Clients hochgeladenen Dateienändern. Dies erfolgt in den INI-Dateien von OfficeScan.

Warnung!

Wenn der Speicherort des Ordners der forensischen Daten nach der Protokollierung vonDatenverlustpräventionsvorfällen geändert wird, kann dies zu einer Unterbrechung derVerbindung zwischen den Daten in der Datenbank und dem Speicherort der bestehendenforensischen Daten führen. Trend Micro empfiehlt daher nach einer Änderung desSpeicherorts des Ordners der forensischen Daten eine manuelle Migration bestehenderforensischer Daten in den neuen Ordner.

Die folgende Tabelle zeigt die Servereinstellungen, die in der INI-Datei unter<Installationsordner des Servers>\PCCSRV\Private\ofcserver.ini auf demOfficeScan Server enthalten sind.


3-11

TABELLE 3-1. Servereinstellungen für Ordner der forensischen Daten in PCCSRV\Private\ofcserver.ini

ZWECK INI-EINSTELLUNG WERTE

BenutzerdefiniertenSpeicherort fürOrdner derforensischenDatenzulassen

[INI_IDLP_SECTION]

EnableUserDefinedUploadFolder

0: Deaktiviert(Standardeinstellung)

1: Aktiviert

BenutzerdefiniertenSpeicherort fürOrdner derforensischenDatenkonfigurieren

[INI_IDLP_SECTION]

UserDefinedUploadFolder

Hinweis

• Die EinstellungEnableUserDefinedUploadFoldermuss aktiviert sein, damit dieseEinstellung wirksam werden kann.

• Der Standardspeicherort des Ordnersder forensischen Daten ist:

<Server installation folder>\PCCSRV\Private\DLPForensicData

• Der benutzerdefinierteOrdnerspeicherort muss auf einemphysischen Laufwerk (intern oderextern) auf dem Server-Computerliegen. Die Zuordnung vonNetzlaufwerken ist hierfür nichtzulässig.

Standardwert:<Ersetzen Siediesen Wert durchdenbenutzerdefiniertenOrdnerpfad.Beispiel: C:\VolumeData\OfficeScanDlpForensicData>

BenutzerdefinierterWert: Muss einphysischerSpeicherort aufeinem Laufwerkdes Server-Computers sein.

BereinigenforensischerDatendateienzulassen

[INI_IDLP_SECTION]

ForensicDataPurgeEnable

0: Deaktiviert

1: Aktiviert(Standardeinstellung)


3-12


ZeitintervallderBereinigungsprüfung fürforensischeDatendateienkonfigurieren

[INI_IDLP_SECTION]

ForensicDataPurgeCheckFrequency

Hinweis

• Die EinstellungForensicDataPurgeEnable mussaktiviert sein, damit diese Einstellungwirksam werden kann.

• OfficeScan löscht nur Datendateien,die das in der EinstellungForensicDataExpiredPeriodInDaysfestgelegte Ablaufdatum erreichthaben.

1: Monatlich, amersten Tag desMonats um 00:00

2: Wöchentlich(Standardeinstellung), sonntags um00:00

3: Täglich, jedenTag um 00:00

4: Stündlich, jedeStunde um HH:00

Dauer derSpeicherungforensischerDatendateienauf demServer

[INI_IDLP_SECTION]

ForensicDataExpiredPeriodInDays

Standardwert (inTagen): 180

Mindestwert: 1

Höchstwert: 3650

ZeitintervallderSpeicherplatzprüfung fürforensischeDatendateienkonfigurieren

[INI_SERVER_DISK_THRESHOLD]

MonitorFrequencyInSecond

HinweisWenn der verfügbare Festplattenspeicherim Ordner der forensischen Daten unterden in der EinstellungInformUploadOnDiskFreeSpaceInGbfestgelegten Wert fällt, protokolliertOfficeScan ein Ereignis in derWebkonsole.

Standardwert (inSekunden): 5


3-13


Uploadfrequenz derSpeicherplatzprüfung fürforensischeDatendateienkonfigurieren


IsapiCheckCountInRequest

HinweisWenn der verfügbare Festplattenspeicherim Ordner der forensischen Daten unterden in der EinstellungInformUploadOnDiskFreeSpaceInGbfestgelegten Wert fällt, protokolliertOfficeScan ein Ereignis in derWebkonsole.

Standardwert (inAnzahl vonDateien): 200

Mindestspeicherplatzkonfigurieren,bei dem eineBenachrichtigung überbeschränktenFestplattenspeicherausgelöst wird


InformUploadOnDiskFreeSpaceInGb

HinweisWenn der verfügbare Festplattenspeicherim Ordner der forensischen Daten unterdiesen Wert fällt, protokolliert OfficeScanein Ereignis in der Webkonsole.

Standardwert (inGB): 10

VerfügbarenMindestspeicherplatz zumHochladenforensischerDatendateienaus Clientskonfigurieren


RejectUploadOnDiskFreeSpaceInGb

HinweisWenn der verfügbare Festplattenspeicherim Ordner der forensischen Daten unterdiesen Wert fällt, laden die OfficeScanClients keine forensischen Datendateienhoch, und OfficeScan protokolliert einEreignis in der Webkonsole.

Standardwert (inGB): 1

Die folgende Tabelle zeigt die OfficeScan Clienteinstellungen, die in der INI-Datei unter<Installationsordner des Servers>\PCCSRV\ofcscan.ini auf dem OfficeScan Serverenthalten sind.


3-14

TABELLE 3-2. OfficeScan Clienteinstellungen für forensische Dateien in PCCSRV\ofcscan.ini


Hochladen vonforensischenDatendateienauf den Serverzulassen

UploadForensicDataEnable 0: Deaktiviert

1: Aktiviert(Standardeinstellung)

Höchstgrößeder vomOfficeScanClient auf denServerhochgeladenen Dateienkonfigurieren

UploadForensicDataSizeLimitInMb

Hinweis

Der OfficeScan Client sendet nur Dateienan den Server, die kleiner sind als der hierangegebene Wert.

Standardwert (inMB): 10

Mindestwert: 1

Höchstwert: 2048

Dauer derSpeicherungforensischerDatendateienim OfficeScanClient

ForensicDataKeepDays

HinweisJeden Tag um 11:00 Uhr löscht derOfficeScan Client die forensischenDatendateien, die das festgelegteAblaufdatum erreicht haben.

Standardwert (inTagen): 180

Mindestwert: 1

Höchstwert: 3650

ZeitintervallderSerververbindungsprüfungdurch denOfficeScan-Clientkonfigurieren

ForensicDataDelayUploadFrequenceInMinutes

HinweisWenn OfficeScan Clients die forensischenDateien nicht automatisch auf den Serverhochladen konnten, versuchen sie, dieDateien anhand dieses Intervalls erneut zusenden.

Standardwert (inMinuten): 5

Mindestwert: 5

Höchstwert: 60


3-15

Sicherungskopie forensischer Daten erstellenAbhängig von der jeweiligen Sicherheitspolitik eines Unternehmens kann der zurSpeicherung der forensischen Daten erforderliche Zeitaufwand sehr unterschiedlichausfallen. Um Festplattenspeicher auf dem Server freizugeben, empfiehlt Trend Microdie manuelle Sicherung des Ordners der forensischen Daten und der forensischenDatenbank.

Prozedur

1. Gehen Sie auf dem Server zum Speicherort des Ordners der forensischen Daten.

• Standardspeicherort: <Installationsordner des Servers>\PCCSRV\Private\DLPForensicData

• Hinweise zum Auffinden des Ordners der forensischen Daten beibenutzerdefinierter Änderung finden Sie unter Benutzerdefinierten Speicherort fürOrdner der forensischen Daten konfigurieren auf Seite 3-11.

2. Verschieben Sie den Ordner an einen neuen Speicherort.

3. Um die forensische Datenbank manuell zu sichern, gehen Sie zu <Installationsordnerdes Servers>\PCCSRV\Private.

4. Verschieben Sie die Datei DLPForensicDataTracker.db an einen neuenSpeicherort.

Den Datenschutz deinstallierenWenn Sie das Datenschutzmodul vom Plug-In Manager deinstallieren:

• Alle Konfigurationen, Einstellungen und Protokolle der Funktion "Prävention vorDatenverlust" werden vom OfficeScan Server entfernt.

• Alle Konfigurationen und Einstellungen der Gerätesteuerung aus demDatenschutzmodul werden auf dem Server entfernt.

• Das Datenschutzmodul auf den Clients wird entfernt. Client-Computer müssenneu gestartet werden, um den Datenschutz vollständig zu entfernen.


3-16

• Die Richtlinien der Funktion "Prävention vor Datenverlust" werden auf denClients nicht mehr durchgesetzt.

• Die Gerätesteuerung überwacht nicht mehr den Zugriff auf folgende Geräte:

• Bluetooth-Adapter

• COM- und LPT-Anschlüsse

• IEEE 1394-Schnittstelle

• Bildverarbeitungsgeräte

• Infrarotgeräte

• Modems

• PCMCIA-Karte

• Druck-Taste

• Wireless-NICs

Sie können das Datenschutzmodul jederzeit neu installieren. Nach der erneutenInstallation aktivieren Sie die Lizenz unter Verwendung eines gültigenAktivierungscodes.

Den Datenschutz vom Plug-In Manager deinstallieren

Prozedur


2. Navigieren Sie im Fenster Plug-in Manager zum Abschnitt OfficeScanDatenschutz, und klicken Sie auf Deinstallieren.

3. Verfolgen Sie den Deinstallationsfortschritt. Sie können während der Deinstallationzu anderen Fenstern navigieren.


3-17

4. Aktualisieren Sie das Fenster Plug-in Manager nach der Deinstallation. DerOfficeScan Datenschutz steht wieder zur Installation bereit.

Teil IINetzwerkcomputer schützen

4-1

Kapitel 4

Trend Micro Smart Protectionverwenden

In diesem Kapitel werden die Trend Micro™ Smart Protection Lösungen beschrieben.Außerdem wird erläutert, wie Sie die zur Verwendung der Lösungen erforderlicheUmgebung einrichten.


• Info über Trend Micro Smart Protection auf Seite 4-2

• Smart Protection Dienste auf Seite 4-3

• Smart Protection Quellen auf Seite 4-6

• Pattern-Dateien von Smart Protection auf Seite 4-8

• Smart Protection Services einrichten auf Seite 4-13

• Smart Protection Services verwenden auf Seite 4-35


4-2

Info über Trend Micro Smart ProtectionTrend Micro™ Smart Protection bietet eine Content-Sicherheitsinfrastruktur mitwebbasiertem Client der nächsten Generation, die zum Schutz der Kunden vorSicherheitsrisiken und Internet-Bedrohungen entwickelt wurde. Unterstützt werdendabei sowohl lokale, als auch gehostete Lösungen, um Benutzer unabhängig davon, obsie sich im Unternehmensnetzwerk, zu Hause oder unterwegs befinden, zu schützen.Mit Hilfe schlanker Clients wird auf einzigartige, webbasierte Kombination aus E-Mail-,File- und Web-Reputation-Technologien sowie Bedrohungsdatenbanken zugegriffen.Der Schutz der Kunden wird automatisch aktualisiert und weiter gestärkt, indem weitereProdukte, Services und Benutzer auf dieses Netzwerk zugreifen. Dadurch entsteht fürdie beteiligten Benutzer eine Art "Nachbarschaftsschutz" in Echtzeit.

Durch die Integration von webbasierten Reputationstechniken, Suchvorgängen undKorrelationstechnologien reduzieren die Trend Micro Smart Protection Lösungen dieAbhängigkeit von konventionellen Pattern-Datei-Downloads. Die Verzögerungenwerden beseitigt, die allgemein mit Desktop-Aktualisierungen in Verbindung gebrachtwerden.

Die Notwendigkeit einer neuen LösungBei der aktuellen Vorgehensweise gegen dateibasierte Bedrohungen werden die zumSchutz eines Clients erforderlichen Pattern (auch "Definitionen" genannt) zeitgesteuertausgeliefert. Pattern werden von Trend Micro in Paketen an die Clients übertragen.Nachdem ein neues Update eingegangen ist, lädt die Viren-/Malware-Schutz-Softwareauf dem Client dieses Definitionspaket für neue Viren/Malware in den Arbeitsspeicher.Wenn ein neues Risiko durch neue Viren/Malware entsteht, muss dieses Pattern aufdem Client erneut vollständig oder teilweise aktualisiert und in den Arbeitsspeichergeladen werden, damit der Schutz aufrechterhalten wird.

Mit der Zeit nimmt der Umfang neu aufkommender Bedrohungen erheblich zu. Manschätzt, dass die Zahl der Bedrohungen in den nächsten Jahren fast exponentiellzunimmt. Dies führt zu einer Wachstumsrate, die die Anzahl der derzeit bekanntenBedrohungen um ein Vielfaches übersteigt. In Zukunft ist allein die immense Anzahlvon Sicherheitsrisiken eine neue Art von Sicherheitsrisiko. Die Anzahl vonSicherheitsrisiken kann die Leistung von Servern und Workstations sowie dieNetzwerkbandbreite beeinträchtigen. Auch die Dauer bis zur Bereitstellung eineswirksamen Schutzes - auch "Zeit bis zum Schutz" genannt - wird sich verlängern.

Trend Micro Smart Protection verwenden

4-3

Trend Micro ist Vorreiter bei einem neuen Ansatz zur Bewältigung einer hohen Anzahlvon Bedrohungen, durch den Trend Micro Kunden immun gegen die starke Zunahmevon Viren/Malware werden. Hierzu wird eine Technologie genutzt, bei der Viren-/Malware-Signaturen und -Pattern in die "Cloud", also das Internet, ausgelagert werden.Durch das Auslagern der Viren-/Malware-Signaturen in das Internet ist Trend Micro inder Lage, seine Kunden besser vor den neuen Risiken aufgrund der zukünftigen Anzahlvon Bedrohungen zu schützen.

Smart Protection DiensteDie Smart Protection Services stellen Anti-Malware-Signaturen, Web-Reputation-Datenund Bedrohungsdatenbanken bereit, die im Internet gespeichert sind.

Smart Protection Services beinhaltet:

• File-Reputation-Dienste: File-Reputation-Dienste lagern eine Vielzahl von zuvorauf den Client-Computern gespeicherten Anti-Malware-Signaturen auf SmartProtection Quellen aus. Weitere Informationen finden Sie unter File-Reputation-Dienste auf Seite 4-3.

• Web-Reputation-Dienste: Web-Reputation-Dienste ermöglicht es lokalen SmartProtection Quellen, Daten über die Zuverlässigkeit von URLs zu hosten, die früherausschließlich von Trend Micro gehostet wurden. Beide Technologienbeanspruchen weniger Bandbreite, wenn Pattern aktualisiert oder die Gültigkeiteiner URL überprüft wird. Weitere Informationen finden Sie unter Web-Reputation-Dienste auf Seite 4-4.

• Smart Feedback: Trend Micro sammelt weiterhin anonym Informationen, dieweltweit von Trend Micro Produkten gesendet werden, um jede neue Bedrohungproaktiv zu ermitteln. Weitere Informationen finden Sie unter Smart Feedback aufSeite 4-4.

File-Reputation-DiensteFile-Reputation-Dienste überprüft die Vertrauenswürdigkeit jeder einzelnen Dateianhand einer umfangreichen Internet-basierten Datenbank. Da Malware-Informationenim Internet gespeichert werden, sind sie sofort für alle Benutzer zugänglich.


4-4

Leistungsstarke Content-Netzwerke und lokale Cache-Server gewährleisten minimaleLatenzzeiten während der Überprüfung. Die webbasierte Client-Architektur bietetsofortigen Schutz und verringert den Aufwand der Pattern-Verteilung und die Client-Beeinträchtigung insgesamt erheblich.

Clients müssen sich im intelligenten Suchmodus befinden, damit File-Reputation-Dienste angewendet werden kann. Clients, die die intelligente Suche anwenden, werdenin diesem Dokument als Clients mit intelligenter Suche bezeichnet. Clients, die sichnicht im intelligenten Suchmodus befinden, wenden File-Reputation-Dienste nicht anund heißen Clients der herkömmlichen Suche. OfficeScan Administratoren könnenden intelligenten Suchmodus auf allen oder mehreren Clients konfigurieren.

Web-Reputation-DiensteDie Web-Reputation-Technologie von Trend Micro nutzt eine der größten Domänen-Reputationsdatenbanken der Welt und verfolgt die Glaubwürdigkeit von Webdomänendurch die Zuordnung einer Reputationsbewertung auf Grundlage von Faktoren wiebeispielsweise dem Alter einer Website, historischer Änderungen des Speicherorts undAnzeichen von verdächtigen Aktivitäten, die von der Malware-Verhaltensanalyseentdeckt wurden. Anschließend durchsucht Web Reputation Websites und hält Benutzervom Zugriff auf infizierte Websites ab. Die Web-Reputation-Funktionen helfen dabeisicherzustellen, dass die Seiten, auf die die Benutzer zugreifen, sicher und frei vonInternet-Bedrohungen wie beispielsweise Malware, Spyware und Phishing-Nachrichtensind, die Benutzer dazu bringen könnten, persönliche Daten preiszugeben. Um dieGenauigkeit zu erhöhen und Fehlalarme zu reduzieren, weist die Web-Reputation-Technologie von Trend Micro Reputationsbewertungen bestimmten Webseiten oderLinks innerhalb von Websites zu. Dabei wird nicht die gesamte Website klassifiziertoder gesperrt, da oft nur Teile einer legitimen Site gehackt wurden. Außerdem könnensich Reputationen dynamisch mit der Zeit ändern.

OfficeScan Clients, die den Web-Reputation-Richtlinien unterliegen, benutzen Web-Reputation-Dienste. OfficeScan Administratoren können alle oder mehrere Clients denRichtlinien der Web Reputation unterstellen.

Smart FeedbackTrend Micro Smart Feedback bietet eine ständige Kommunikation zwischen TrendMicro Produkten und den rund um die Uhr verfügbaren Bedrohungsforschungszentren


4-5

und entsprechenden Technologien. Jede neue Bedrohung, die bei einem Kundenwährend einer routinemäßigen Überprüfung der Reputation erkannt wird, führt zu einerautomatischen Aktualisierung der Trend Micro Bedrohungsdatenbanken, wodurch dieseBedrohung für nachfolgende Kunden blockiert wird.

Durch die permanente Weiterentwicklung der Bedrohungsabwehr durch die Analyse derüber ein globales Netzwerk von Kunden und Partnern gelieferten Informationen bietetTrend Micro automatischen Schutz in Echtzeit vor den neuesten Bedrohungen sowieSicherheit durch Kooperation ("Better Together"). Das ähnelt einem"Nachbarschaftsschutz", bei dem in einer Gemeinschaft alle Beteiligten aufeinanderaufpassen. Da die gesammelten Bedrohungsdaten auf der Reputation derKommunikationsquelle und nicht auf dem Inhalt der Kommunikation selbst basieren,ist der Datenschutz der persönlichen oder geschäftlichen Daten eines Kunden jederzeitgewährleistet.

Beispiele der Informationen, die an Trend Micro gesendet werden:

• Dateiprüfsummen

• Websites, auf die zugegriffen wird

• Dateiinformationen, einschließlich Größen und Pfade

• Namen von ausführbaren Dateien

Sie können Ihre Teilnahme am Programm jederzeit von der Webkonsole aus beenden.

TippSie müssen nicht an Smart Feedback teilnehmen, um Ihre Computer zu schützen. IhreTeilnahme ist optional und kann jederzeit deaktiviert werden. Trend Micro empfiehlt dieTeilnahme an Smart Feedback, um allen Trend Micro Kunden einen umfassenderen Schutzzu gewährleisten.

Weitere Informationen zum Smart Protection Network finden Sie unter:

http://www.smartprotectionnetwork.com

http://www.smartprotectionnetwork.com


4-6

Smart Protection QuellenTrend Micro stellt für OfficeScan und Smart Protection Quellen File-Reputation-Dienste und Web-Reputation-Dienste bereit.

Smart Protection Quellen liefern File-Reputation-Dienste durch das Hosten der meistenViren-/Malware-Patterndefinitionen. OfficeScan Clients hosten alle übrigenDefinitionen. Ein Client sendet Suchanfragen an Smart Protection Quellen, wenn seineeigenen Patterndefinitionen das Risiko der Datei nicht ermitteln können. Die SmartProtection Quellen ermitteln das Risiko mit Hilfe von Identifikationsdaten.

Die Smart Protection Quellen liefern Web-Reputation-Dienste durch das Hosten vonWeb-Reputation-Daten, die vorher ausschließlich von den von Trend Micro gehostetenServern zur Verfügung gestellt wurden. Ein Client sendet Web-Reputation-Anfragen andie Smart Protection Quellen, um die Zuverlässigkeit von Websites, auf die ein Benutzerzugreifen möchte, zu überprüfen. Der Client gleicht die Zuverlässigkeit einer Websitemit der entsprechenden Web-Reputation-Richtlinie, die auf dem Computer angewendetwird, ab, um festzulegen, ob der Zugriff auf die Website zugelassen oder gesperrt wird.

Mit welcher Smart Protection Quelle der Client eine Verbindung aufbaut, hängt vomStandort des Clients ab. Clients können entweder eine Verbindung zum Trend MicroSmart Protection Network oder Smart Protection Server herstellen.

Trend Micro™ Smart Protection Network™Das Trend Micro™ Smart Protection Network™ ist eine Content-Sicherheitsinfrastruktur mit webbasiertem Client der nächsten Generation, die zumSchutz der Kunden vor Sicherheitsrisiken und Internet-Bedrohungen entwickelt wurde.Es unterstützt sowohl lokale als auch von Trend Micro gehostete Lösungen, umBenutzer zu schützen, unabhängig davon, ob sie sich im Netzwerk, zu Hause oderunterwegs befinden. Das Smart Protection Network verwendet leichtgewichtige Clients,um auf seine einzigartige, webbasierte Kombination aus E-Mail-, Web- und File-Reputation-Technologien und Bedrohungsdatenbanken zuzugreifen. Der Schutz derKunden wird automatisch aktualisiert und weiter gestärkt, indem weitere Produkte,Services und Benutzer auf dieses Netzwerk zugreifen. Dadurch entsteht für diebeteiligten Benutzer einer Art "Nachbarschaftsschutz" in Echtzeit.

Weitere Informationen zum Smart Protection Network finden Sie unter:


4-7

http://de.trendmicro.com/de/technology/smart-protection-network/

Smart Protection ServerSmart Protection Server für Benutzer, die Zugriff auf ihr Unternehmensnetzwerk haben.Lokale Server, um Smart Protection Dienste lokal im Unternehmensnetzwerkauszuführen, um die Effizienz zu optimieren.

Es gibt zwei Arten von Smart Protection Servern:

• Integrierter Smart Protection Server: Das OfficeScan Setup-Programm umfassteinen integrierten Smart Protection Server, der auf demselben Computer installiertwird, auf dem bereits der OfficeScan Server installiert ist. Verwalten Sie nach derInstallation die Einstellungen für diesen Server von der OfficeScan Webkonsoleaus. Der integrierte Server soll dazu verwendet werden, OfficeScan in geringeremUmfang zu verteilen, wobei die Anzahl der Clients 3,000 nicht überschreitet. Beiumfangreicheren Verteilungen ist ein eigenständiger Smart Protection Servererforderlich.

• Eigenständiger Smart Protection Server: Ein eigenständiger Smart ProtectionServer, der auf einem VMware oder Hyper-V Server installiert wurde. Dereigenständige Server verfügt über eine separate Management-Konsole und wirdnicht von der OfficeScan Webkonsole verwaltet.

Smart Protection Quellen im VergleichDie folgende Tabelle stellt die Unterschiede zwischen Smart Protection Network undSmart Protection Server heraus.

TABELLE 4-1. Smart Protection Quellen im Vergleich

VERGLEICHSGRUNDLAGE

SMART PROTECTION SERVERTREND MICRO SMART PROTECTION

NETWORK

Verfügbarkeit Verfügbar für interne Clients, d.h. für Clients, die dieStandortkriterien erfüllen, die aufder OfficeScan Webkonsolefestgelegt wurden.

Vorwiegend verfügbar fürexterne Clients, d. h. für Clients,die die Standortkriterien nichterfüllen, die auf der OfficeScanWebkonsole festgelegt wurden.

http://de.trendmicro.com/de/technology/smart-protection-network/


4-8

VERGLEICHSGRUNDLAGE

SMART PROTECTION SERVERTREND MICRO SMART PROTECTION

NETWORK

Zweck Entwickelt und vorgesehen, umSmart Protection Services lokalin Unternehmensnetzwerkendurchzuführen, um die Effizienzzu optimieren

Eine globale, Internet-basierteInfrastruktur, die SmartProtection Dienste für Clientsbereitstellt, die keinen direktenZugriff auf ihrUnternehmensnetzwerk haben.

Administration OfficeScan Administratoreninstallieren und verwalten dieseSmart Protection Quellen

Trend Micro verwaltet dieseQuelle

Pattern-Update-Quelle

Trend Micro ActiveUpdateServer

Trend Micro ActiveUpdateServer

Client-Verbindungsprotokolle

HTTP und HTTPS HTTPS

Pattern-Dateien von Smart ProtectionSmart Protection Pattern-Dateien werden für File-Reputation-Dienste und Web-Reputation-Dienste verwendet. Trend Micro veröffentlicht diese Pattern-Dateien überden Trend Micro ActiveUpdate Server.

Agent-Pattern der intelligenten SucheDas Agent-Pattern der intelligenten Suche wird täglich aktualisiert und von den Client-Update-Quellen von OfficeScan (dem OfficeScan Server oder einer benutzerdefiniertenUpdate-Quelle) heruntergeladen. Die Update-Quelle verteilt dann das Pattern auf dieClients der intelligenten Suche.

HinweisClients der intelligenten Suche sind OfficeScan Clients, die Administratoren konfigurierthaben, um File-Reputation-Dienste zu benutzen. Clients, die File-Reputation-Dienste nichtanwenden, heißen "Clients mit herkömmlicher Suche".


4-9

Clients der intelligenten Suche verwenden beim Durchsuchen nach Sicherheitsrisikendas Agent-Pattern der intelligenten Suche. Wenn das Pattern das Risiko der Datei nichtermitteln kann, wird ein anderes Pattern, das Pattern der intelligenten Suche heißt,verwendet.

Pattern der intelligenten SucheDas Pattern der intelligenten Suche wird stündlich aktualisiert und wird von SmartProtection Quellen heruntergeladen. Clients der intelligenten Suche laden das Patternder intelligenten Suche nicht herunter. Clients überprüfen potentielle Bedrohungen mitHilfe des intelligenten Such-Patterns, indem sie Suchabfragen an die Smart ProtectionQuellen senden.

WebsperrlisteDie Webseiten-Sperrliste wird von Smart Protection Quellen heruntergeladen.OfficeScan Clients, die den Richtlinien der Web Reputation unterliegen, laden keineWebseiten-Sperrlisten herunter.

HinweisAdministratoren können alle oder mehrere Clients den Richtlinien der Web Reputationunterstellen.

Clients, die den Web-Reputation-Richtlinien unterliegen, überprüfen die Zuverlässigkeiteiner Website anhand der Websperrliste, indem Web-Reputation-Anfragen an die SmartReputation Quelle gesendet werden. Der Client gleicht die Zuverlässigkeit der von derSmart Protection Quelle erhaltenen Daten mit der Web-Reputation-Richtlinie ab, die aufdem Computer festgelegt wurde. Die jeweilige Richtlinie bestimmt, ob OfficeScan denZugriff auf eine Website zulässt oder sperrt.


4-10

Update-Vorgang für Smart Protection PatternDie Smart Protection Pattern Updates stammen ursprünglich vom Trend MicroActiveUpdate Server.

ABBILDUNG 4-1. Pattern-Update-Prozess

Verwendung von Smart Protection PatternEin OfficeScan Client benutzt das Agent-Pattern der intelligenten Suche, um nachSicherheitsrisiken zu suchen und sendet nur dann eine Anfrage an das Pattern der


4-11

intelligenten Suche, wenn das Agent-Pattern der intelligenten Suche das Risiko der Dateinicht bestimmen kann. Der Client sendet eine Anfrage an die Websperrliste, wenn einBenutzer versucht, auf eine Website zuzugreifen. Mit der erweiterten Filtertechnologielegt der Client die Abfrageergebnisse in einem Zwischenspeicher ab. Dadurch ist esnicht mehr notwendig, ein und dieselbe Anfrage mehrmals zu senden.

Clients, die sich zurzeit in Ihrem Intranet befinden, können sich mit einem SmartProtection Server verbinden, um Anfragen an das Pattern der intelligenten Suche oderdie Webseiten-Sperrliste zu senden. Eine Netzwerkverbindung ist erforderlich, um eineVerbindung mit dem Smart Protection Server herzustellen. Wurde mehr als ein SmartProtection Server eingerichtet, können Administratoren die Verbindungsprioritätfestlegen.

TippSie können mehrere Smart Protection Server installieren, um die Kontinuität des Schutzessicherzustellen, falls die Verbindung zu einem Smart Protection Server nicht verfügbar ist.

Clients, die sich zurzeit nicht in Ihrem Intranet befinden, können für Abfragen eineVerbindung zum Trend Micro Smart Protection Network herstellen. Eine


4-12

Internetverbindung ist erforderlich, um eine Verbindung mit dem Smart ProtectionNetwork herzustellen.

ABBILDUNG 4-2. Abfrageprozess

Die Clients können auch ohne Netzwerk- oder Internetverbindung vom Schutzprofitieren, den das Agent-Pattern der intelligenten Suche und der Zwischenspeicher mitfrüheren Abfrageergebnissen liefern. Der Schutz ist nur dann geringer, wenn eine neueAbfrage erforderlich ist und der Client nach wiederholten Versuchen keine der SmartProtection Quellen erreichen kann. In diesem Fall markiert der Client die Datei zurweiteren Überprüfung und gewährt vorübergehend Zugriff auf die Datei. Wenn dieVerbindung zu einem Smart Protection Server wiederhergestellt ist, werden allemarkierten Dateien erneut durchsucht. Anschließend werden die entsprechendenSuchaktionen für alle Dateien ausgeführt, die als Bedrohung erkannt wurden.

Die folgende Tabelle beschreibt den Schutzumfang basierend auf dem Standort desClients.


4-13

TABELLE 4-2. Schutzverhalten nach Standort

SPEICHERORT ARBEITSWEISE DER PATTERN-DATEI UND DER ABFRAGEN

Zugriff auf das • Pattern-Datei: Clients laden die Datei mit den Agent-Pattern der intelligenten Suche vom OfficeScan Serveroder einer benutzerdefinierten Update-Adresseherunter.

• File- und Web-Reputation-Abfragen: Clientsverbinden sich mit dem Smart Protection Server fürAbfragen.

Ohne Zugriff auf dasInternet, aber mitVerbindung zum SmartProtection Network

• Pattern-Datei: Clients laden die neueste Datei mit denAgent-Pattern der intelligenten Suche erst dannherunter, wenn die Verbindung zu einem OfficeScanServer oder einer benutzerdefinierten Update-Adressezur Verfügung steht.

• File- und Web-Reputation-Abfragen: Clientsverbinden sich mit dem Smart Protection Network fürAbfragen.

Ohne Zugriff auf dasIntranet und ohneVerbindung zum SmartProtection Network

• Pattern-Datei: Clients laden die neueste Datei mit denAgent-Pattern der intelligenten Suche erst dannherunter, wenn die Verbindung zu einem OfficeScanServer oder einer benutzerdefinierten Update-Adressezur Verfügung steht.

• File- und Web-Reputation-Abfragen: Clients erhaltenkeine Abfrageergebnisse und müssen sich auf dasAgent-Pattern der intelligenten Suche und denZwischenspeicher, der frühere Abfrageergebnisseenthält, stützen.

Smart Protection Services einrichtenBevor Clients File-Reputation-Dienste und Web-Reputation-Dienste ausführen können,stellen Sie sicher, dass die Smart Protection Umgebung entsprechend eingerichtetworden ist. Prüfen Sie Folgendes:

• Installation des Smart Protection Server auf Seite 4-14


4-14

• Verwaltung des integrierten Smart Protection Servers auf Seite 4-20

• Liste der Smart Protection Quellen auf Seite 4-26

• Proxy-Einstellungen der Client-Verbindungen auf Seite 4-34

• Trend Micro Network VirusWall Installationen auf Seite 4-34

Installation des Smart Protection ServerSie können den integrierten oder den eigenständigen Smart Protection Serverinstallieren, wenn die Anzahl der mit dem Server verbundenen Clients 1.000 oderweniger beträgt. Installieren Sie einen eigenständigen Smart Protection Server, wennmehr als 1.000 Clients vorhanden sind.

Trend Micro empfiehlt die Installation mehrerer Smart Protection Server zurAusfallsicherung. Clients, die keine Verbindung zu einem bestimmten Server aufbauenkönnen, versuchen eine Verbindung zu den anderen Servern aufzubauen, die Sieeingerichtet haben.

Weil der integrierte Server und der OfficeScan Server auf demselben Computerausgeführt werden, kann bei sehr hohem Datenverkehr die Computerleistung beiderServer signifikant beeinträchtigt werden. Erwägen Sie daher, einen eigenständigen SmartProtection Server als primäre Smart Protection Quelle für die Clients zu verwenden undden integrierten Server als Backup.

Installation des eigenständigen Smart Protection Server

Informationen zur Installation und Verwaltung des eigenständigen Smart ProtectionServer s finden Sie im Installations- und Upgrade-Handbuch für Smart Protection Server.

Installation des integrierten Smart Protection Servers

Bei Installation des integrierten Servers während der Installation des OfficeScan Server:

• Aktivieren Sie den integrierten Server und konfigurieren Sie dieServereinstellungen. Weitere Informationen finden Sie unter Verwaltung desintegrierten Smart Protection Servers auf Seite 4-20.


4-15

• Wenn sich der integrierte Server und der OfficeScan Client auf demselbenServercomputer befinden, sollten Sie die OfficeScan Firewall deaktivieren. DieOfficeScan Firewall ist für Client-Computer vorgesehen und könnte, wenn sieaktiviert ist, auf Server-Computern die Leistung beeinträchtigen. Anweisungen zumDeaktivieren der Firewall finden Sie unter Die OfficeScan Firewall aktivieren oderdeaktivieren auf Seite 12-6.

HinweisBeachten Sie die Auswirkungen einer deaktivierten Firewall, und stellen Sie sicher,dass Ihre Sicherheitspläne eingehalten werden.

TippInstallieren Sie den integrierten Smart Protection Server, nachdem Sie die Installation vonOfficeScan abgeschlossen haben, indem Sie das Tool für integrierten Smart Protection Server aufSeite 4-15 verwenden.

Tool für integrierten Smart Protection Server

Das Trend Micro Tool für einen integrierten OfficeScan Smart Protection Server hilftAdministratoren, einen integrierten Smart Protection Server zu installieren bzw. zudeinstallieren, nachdem die Installation des OfficeScan Servers abgeschlossen wurde.Die aktuelle Version von OfficeScan lässt nicht zu, dass Administratoren einenintegrierten Smart Protection Server installieren/entfernen, nachdem die Installation desOfficeScan Servers abgeschlossen wurde. Dieses Tool erweitert die Flexibilität derInstallationsfunktionen gegenüber den vorherigen Versionen von OfficeScan.

Bevor Sie den integrierten Smart Protection Server installieren, importieren SieFolgendes auf Ihren aktualisierten OfficeScan 10.6 SP3 Server:

• Domänenstrukturen

• Die folgenden Einstellungen auf Root- und Domänenebene:

• Suchkonfigurationen für alle Suchmethoden (manuelle Suche, Echtzeitsuche,zeitgesteuerte Suche und "Jetzt durchsuchen").

• Web-Reputation-Einstellungen

• Einstellungen der Verhaltensüberwachung


4-16

• Einstellungen der Gerätesteuerung

• Einstellungen für "Prävention vor Datenverlust"

• Berechtigungen und andere Einstellungen

• Zusätzliche Diensteinstellungen

• Liste der zulässigen Spyware/Grayware


• Computerstandort

• Firewall-Richtlinien und -Profile

• Smart Protection Quellen

• Zeitplan der Server-Updates

• Update-Adresse und Zeitplan des Clients

• Benachrichtigungen


Prozedur

1. Öffnen Sie die Eingabeaufforderung, und navigieren Sie zum Verzeichnis<Installationsordner des Servers>\PCCSRV\Admin\Utility\ISPSInstaller , in dem sichISPSInstaller.exe befindet.

2. Führen Sie ISPSInstaller.exe mit Hilfe eines der folgenden Befehle aus:

TABELLE 4-3. Optionen des Installationsprogramms

BEFEHL BESCHREIBUNG

ISPSInstaller.exe /i Installiert den integrierten Smart Protection Serveranhand der Standard-Porteinstellungen.

Details zu den Standard-Porteinstellungen findenSie in der unten stehenden Tabelle.


4-17

BEFEHL BESCHREIBUNG

ISPSInstaller.exe /i /f:[Portnummer] /s:[Portnummer] /w:[Portnummer]

Installiert den integrierten Smart Protection Serveranhand der angegebenen Ports, wobei:

• /f:[Portnummer] den HTTP-Port für FileReputation darstellt

• /f:[Portnummer] den HTTPS-Port für FileReputation darstellt

• /f:[Portnummer] den Web-Reputation Portdarstellt

HinweisEinem nicht angegebenen Port wirdautomatisch der Standardwert zugeordnet.

ISPSInstaller.exe /u Deinstalliert den integrierten Smart ProtectionServer

TABELLE 4-4. Ports für die Reputation-Dienste des integrierten Smart ProtectionServers

WEBSERVER UNDEINSTELLUNGEN

PORTS FÜR FILE-REPUTATION-DIENSTE

HTTP-PORTFÜR WEB-

REPUTATION-DIENSTEHTTP HTTPS (SSL)

Apache Webserver mitaktiviertem SSL

8080 4343 (nichtkonfigurierbar)

8080 (nichtkonfigurierbar)

Apache Webserver mitdeaktiviertem SSL



IIS Standard-Website mitaktiviertem SSL



IIS Standard-Website mitdeaktiviertem SSL



IIS virtuelle Website mitaktiviertem SSL

8082 4345(konfigurierbar)

5274(konfigurierbar)


4-18

WEBSERVER UNDEINSTELLUNGEN

PORTS FÜR FILE-REPUTATION-DIENSTE

HTTP-PORTFÜR WEB-

REPUTATION-DIENSTEHTTP HTTPS (SSL)

IIS virtuelle Website mitdeaktiviertem SSL

8082 4345(konfigurierbar)

5274(konfigurierbar)

3. Öffnen Sie nach Abschluss der Installation die OfficeScan Webkonsole undverifizieren Sie Folgendes:

• Öffnen Sie die Microsoft Management-Konsole (durch Eingabe vonservices.msc im Menü Starten) und überprüfen Sie, ob der Trend MicroLocal Web Classification Server und der Trend Micro Smart Scan Server mitdem Status "Gestartet" aufgelistet sind.

• Öffnen Sie den Windows Task Manager. Überprüfen Sie auf derRegisterkarte Prozesse, ob iCRCService.exe und LWCSService.exeausgeführt werden.

• Stellen Sie in der OfficeScan Webkonsole sicher, dass der Menübefehl SmartProtection > Integrierter Server angezeigt wird.

Bewährte Methoden im Umgang mit dem Smart ProtectionServer

Optimieren Sie die Leistung der Smart Protection Server durch Berücksichtigungfolgender Punkte:

• Vermeiden Sie es, gleichzeitig manuelle und zeitgesteuerte Suchvorgängedurchzuführen. Staffeln Sie die Suchvorgänge in Gruppen.

• Vermeiden Sie, dass alle Clients gleichzeitig die Funktion "Jetzt durchsuchen"verwenden.

• Passen Sie Smart Protection Server an langsamere Netzwerkverbindungen an, zirka512KBit/s, indem Sie Änderungen in der ptngrowth.ini-Datei vornehmen.


4-19

Die Datei ptngrowth.ini für den eigenständigen Server anpassen

Prozedur

1. Öffnen Sie die ptngrowth.ini-Datei in /var/tmcss/conf/.

2. Ändern Sie die ptngrowth.ini-Datei und verwenden Sie die unten empfohlenenWerte:

• [COOLDOWN]

• ENABLE=1

• MAX_UPDATE_CONNECTION=1

• UPDATE_WAIT_SECOND=360

3. Speichern Sie die ptngrowth.ini-Datei.

4. Geben Sie für den Neustart des lighttpd-Service den folgenden Befehl über dieBefehlszeilenschnittstelle (CLI) ein:

• Neustart lighttpd-Service

Die Datei ptngrowth.ini für den integrierten Server anpassen

Prozedur

1. Öffnen Sie die Datei ptngrowth.iniin <Installationsordner des Servers>\PCCSRV\WSS\.

2. Ändern Sie die ptngrowth.ini-Datei und verwenden Sie die unten empfohlenenWerte:

• [COOLDOWN]

• ENABLE=1

• MAX_UPDATE_CONNECTION=1

• UPDATE_WAIT_SECOND=360


4-20

3. Speichern Sie die ptngrowth.ini-Datei.

4. Führen Sie einen Neustart des Trend Micro Smart Protection ServerService durch.

Verwaltung des integrierten Smart Protection Servers

Verwalten Sie den integrierten Smart Protection Server, indem Sie folgende Aufgabendurchführen:

• Aktivieren der File-Reputation-Dienste und der Web-Reputation-Dienste desintegrierten Servers

• Erfassen der Adressen des integrierten Servers

• Update der Komponenten des integrierten Servers

• Konfigurieren der Liste Zulässige/Gesperrte URLs des integrierten Servers

• Konfigurieren der Einstellungen der Virtual Analyzer-C&C-Liste

Weitere Informationen finden Sie unter Einstellungen eines integrierten Smart Protection Serverskonfigurieren auf Seite 4-23.

Aktivieren der File-Reputation-Dienste und der Web-Reputation-Dienste des integrierten Servers

Damit die Clients Suchanfragen und Web-Reputation-Anfragen an den integriertenServer senden können, müssen ihre File-Reputation-Dienste und Web-Reputation-Dienste aktiviert werden. Die Aktivierung dieser Dienste ermöglicht es dem integriertenServer außerdem Komponenten-Updates über den ActiveUpdate Server durchzuführen.

Diese Dienste werden automatisch aktiviert, wenn Sie gewählt haben, den integriertenServer während der Installation von OfficeScan Server zu installieren.

Wenn Sie die Dienste deaktivieren, müssen Sie sicherstellen, dass Sie eigenständigeSmart Protection Server installiert haben, an die Clients Abfragen senden können.


4-21


Erfassen der Adressen des integrierten Servers

Sie benötigen die Adressen des integrierten Servers, wenn Sie die Liste der SmartProtection Quellen für interne Clients konfigurieren. Weitere Informationen zur Listefinden Sie unter Liste der Smart Protection Quellen auf Seite 4-26.

Wenn Clients Anfragen an den integrierten Server senden, identifizieren sie den Serverdurch eine von zwei File-Reputation-Dienste Adressen - eine HTTP- oder HTTPS-Adresse. Die Verbindung über eine HTTPS-Adresse ist sicherer, während eine HTTP-Verbindung weniger Bandbreite benötigt.

Wenn Clients Web-Reputation-Anfragen senden, identifizieren sie den integrierten Severanhand seiner Web-Reputation-Dienste-Adresse.

Tipp

Clients, die von einem anderen OfficeScan Server verwaltet werden, können auch eineVerbindung mit dem integrierten Server aufbauen. Fügen Sie auf der Webkonsole desanderen OfficeScan Servers die Adresse des integrierten Servers zur Liste der SmartProtection Quelle hinzu.


Update der Komponenten des integrierten Servers

Der integrierte Sever führt ein Update der folgenden Komponenten durch:

• Pattern der intelligenten Suche: Clients überprüfen potentielle Bedrohungen mitHilfe des intelligenten Such-Patterns, indem sie Suchabfragen an den integriertenServer senden.

• Websperrliste: Clients, die den Web-Reputation-Richtlinien unterliegen,überprüfen die Zuverlässigkeit einer Website anhand der Websperrliste, indemWeb-Reputation-Anfragen an den integrierten Server gesendet werden.


4-22

Sie können diese Komponenten manuell aktualisieren oder einen Update-Zeitplankonfigurieren. Der integrierte Server lädt Komponenten vom ActiveUpdate Serverherunter.

Hinweis

Ein reiner IPv6-integrierter Server kann Updates nicht direkt vom Trend MicroActiveUpdate Server herunterladen. Ein Dual-Stack-Proxy-Server, der IP-Adressenkonvertieren kann wie DeleGate, muss ermöglichen, dass der integrierte Server eineVerbindung zum ActiveUpdate Server herstellen kann.


Konfiguration der Liste "Zulässige/Gesperrte URLs" desintegrierten Servers

Clients unterhalten ihre eigene Liste der zulässigen/gesperrten URLs. Die Liste fürClients wird konfiguriert, wenn die Web-Reputation-Richtlinien aufgestellt werden(Einzelheiten dazu finden Sie unter Web-Reputation-Richtlinien auf Seite 11-5). Jede URL inder Client-Liste wird automatisch zugelassen oder gesperrt.

Der integrierte Server hat seine eigene Liste der zulässigen/gesperrten URLs. Ist eineURL nicht in der Client-Liste, sendet der Client eine Web-Reputation-Anfrage an denintegrierten Server (wenn der integrierte Server als Smart Protection Quelle festgelegtwurde). Wird die URL in der Liste der zulässigen/gesperrten URLs gefunden,benachrichtigt der integrierte Server den Client, die URL zuzulassen oder zu sperren.

Hinweis

Die Liste der gesperrten URLs hat eine höhere Priorität als die Webseiten-Sperrliste.

Um URLs der Liste der zulässigen/gesperrten URLs des integrierten Servershinzuzufügen, importieren Sie eine Liste vom eigenständigen Smart Protection Server.Es ist nicht möglich, URLs manuell hinzuzufügen.


4-23


Verbindungseinstellungen für Deep Discovery Advisor undVirtual Analyzer

Konfigurieren Sie die Einstellungen für die Virtual Analyzer-C&C-Liste, um eineVerbindung zwischen dem integrierten Smart Protection Server und dem DeepDiscovery Advisor-Server herzustellen. Die virtuelle Analysefunktion von DeepDiscovery Advisor erstellt die Virtual Analyzer-C&C-Liste, die vom Smart ProtectionServer zur Nutzung durch OfficeScan gespeichert wird.

Aktivieren Sie die Virtual Analyzer-C&C-Liste nach der erfolgreichen Herstellung einerVerbindung mit dem Deep Discovery Advisor-Server, um C&C-Callbacks zuüberwachen, die auf zuvor von anderen Clients im Netzwerk identifizierten Servernerfolgen.


Einstellungen eines integrierten Smart Protection Serverskonfigurieren

Prozedur

1. Navigieren Sie zu Smart Protection > Integrierter Server.

2. Wählen Sie File-Reputation-Dienste aktivieren aus.

3. Wählen Sie das Protokoll (HTTP oder HTTPS), das der Client verwendet, aus,wenn er die Suchanfrage and den integrierten Server sendet.

4. Wählen Sie Web-Reputation-Dienste aktivieren.

5. Erfassen Sie die Adressen des integrierten Servers, die in der Spalte Server-Adresseangezeigt werden.

6. Update der Komponenten des integrierten Servers:


4-24

• Zeigen Sie die aktuellen Versionen des intelligenten Such-Patterns und derWebseiten-Sperrliste an. Ist ein Update verfügbar, klicken Sie auf Jetztaktualisieren. Das Update-Ergebnis wird oben im Fenster angezeigt.

• Das Pattern automatisch aktualisieren:

a. Klicken Sie auf Zeitgesteuertes Update aktivieren.

b. Wählen Sie aus, ob Sie stündlich oder alle 15 Minuten aktualisierenmöchten.

c. Wählen Sie eine Update-Quelle unter File-Reputation-Dienste aus.Das intelligente Suchpattern wird von dieser Quelle aus aktualisiert.

d. Wählen Sie eine Update-Quelle unter Web-Reputation-Dienste aus.Die Webseiten-Sperrliste wird von dieser Quelle aus aktualisiert.

Hinweis

• Wenn Sie den ActiveUpdate Server als Update-Quelle nutzen, stellen Sie sicher,dass der Server eine Verbindung zum Internet hat. Wenn Sie einen Proxy-Serverbenutzen, überprüfen Sie, ob eine Internetverbindung mit den Proxy-Einstellungen hergestellt werden kann. Weitere Informationen finden Sie unterProxy für das Update des OfficeScan Servers auf Seite 6-19.

• Wenn Sie eine benutzerdefinierte Update-Adresse auswählen, konfigurieren Siedie entsprechende Umgebung und die Update-Ressourcen diese Update-Adresse. Stellen Sie auch sicher, dass der Servercomputer mit dieser Update-Adresse verbunden ist. Sollten Sie beim Einrichten einer Update-Adresse Hilfebenötigen, wenden Sie sich an Ihren Support-Anbieter.

7. Konfigurieren der Liste der Zulässigen/Gesperrten URLs des integrierten Servers:

a. Klicken Sie auf Importieren, um die Liste mit URLs aus einervorformatierten .csv-Datei auszufüllen. Sie erhalten die .csv-Datei überden eigenständigen Smart Protection Server.

b. Wenn Sie über eine bestehende Liste verfügen, klicken Sie auf Exportieren,um die Liste in einer .csv-Datei zu speichern.


4-25

8. Hinweis

• Wenden Sie sich an den Deep Discovery Advisor-Administrator, um denServernamen bzw. die IP-Adresse, die Portnummer sowie einen gültigen API-Schlüssel in Erfahrung zu bringen.

• Diese Version von OfficeScan unterstützt nur Deep Discovery Advisor 3.0 undhöher.

Die Virtual Analyzer-Verbindung des Deep Discovery Advisor-Serverskonfigurieren:

a. Geben Sie den Servernamen oder die IP-Adresse des Deep DiscoveryAdvisor Server ein.

Hinweis

Der Servername muss im FQDN-Format und die IP-Adresse im IPv4-Formatangegeben werden. Diese Serveradresse unterstützt nur das HTTPS-Protokoll.

b. Geben Sie den API-Schlüssel ein.

c. Klicken Sie auf Registrieren, um eine Verbindung zum Deep DiscoveryAdvisor Server herzustellen.

Hinweis

Administratoren können die Verbindung zum Server testen, bevor sie sich beimServer registrieren.

d. Wählen Sie Virtual Analyzer C&C-Liste aktivieren aus, damit OfficeScandie vom lokalen Deep Discovery Advisor-Server analysiertebenutzerdefinierte C&C-Liste verwenden kann.

Hinweis

Die Option Virtual Analyzer C&C-Liste aktivieren ist erst verfügbar,nachdem eine Verbindung zum Deep Discovery Advisor Server hergestelltwurde.


4-26

Administratoren können jederzeit eine manuelle Synchronisierung mit DeepDiscovery Advisor vornehmen, indem sie auf die Schaltfläche Jetztsynchronisieren klicken.


Liste der Smart Protection Quellen

Clients senden beim Durchsuchen nach Sicherheitsrisiken und Bewerten derZuverlässigkeit einer Website Anfragen an Smart Protection Quellen.

IPv6-Unterstützung für Smart Protection Quellen

Ein reiner IPv6-Client kann Anfragen nicht direkt an reine IPv4-Quellen senden wiezum Beispiel:

• Smart Protection Server 2.0 (integriert oder standalone)

Hinweis

IPv6-Unterstützung für Smart Protection Server ist ab Version 2.5 verfügbar.


Entsprechend kann ein reiner IPv4-Client ebenfalls keine Anfragen an reine IPv6 SmartProtection Server senden.

Ein Dual-Stack-Proxy-Server, der IP-Adressen konvertieren kann wie DeleGate, mussermöglichen, dass Clients eine Verbindung zu den Quellen herstellen können.

Smart Protection Quellen und Computerstandort

Mit welcher Smart Protection Quelle der Client eine Verbindung aufbaut, hängt vomStandort des Client-Computers ab.

Weitere Informationen zum Konfigurieren der Einstellungen für den Standort findenSie unter Computerstandort auf Seite 14-2.


4-27

TABELLE 4-5. Smart Protection Quellen nach Standort

SPEICHERORT SMART PROTECTION QUELLEN

Extern Externe Clients senden Such- und Web-Reputation-Anfragen an dasTrend Micro Smart Protection Network.

Intern Interne Clients senden Such- und Web-Reputation-Anfragen an SmartProtection Server oder an Trend Micro Smart Protection Network.

Wenn Sie Smart Protection Server installiert haben, konfigurieren Siedie Liste der Smart Protection Quellen auf der OfficeScan Webkonsole.Ein interner Client wählt einen Server aus der Liste, wenn eine Anfragegemacht werden muss. Wenn ein Client keine Verbindung zum erstenServer aufbauen kann, wird ein anderer Server aus der Liste gewählt.

TippSie können einen eigenständigen Smart Protection Server alsprimäre Suchquelle und den integrierten Server als Backupzuordnen. Auf diese Weise wird der Datenverkehr mit demComputer reduziert, auf dem sich der OfficeScan Server und derintegrierte Server befinden. Der eigenständige Server kannaußerdem mehr Abfragen verarbeiten.

Sie können entweder die Standardliste oder die benutzerdefinierte Listeder Smart Protection Quellen konfigurieren. Die Standardliste wird vonallen internen Clients verwendet. Eine benutzerdefinierte Liste definiertden Bereich einer IP-Adresse. Befindet sich die IP-Adresse einesinternen Clients innerhalb dieses Bereichs, benutzt der Client diebenutzerdefinierte Liste.

Standardliste der Smart Protection Quellen konfigurieren

Prozedur

1. Navigieren Sie zu Smart Protection > Smart Protection Quellen.

2. Klicken Sie auf die Registerkarte Interne Clients.

3. Wählen Sie Verwenden Sie die Standardliste (die Liste wird von alleninternen Clients verwendet) aus.


4-28

4. Klicken Sie auf den Link Standardliste.

Es öffnet sich ein neues Fenster.



6. Geben Sie den Host-Namen des Smart Protection Servers oder die IPv4-/IPv6-Adresse ein. Wenn Sie eine IPv6-Adresse eingeben, setzen Sie die Adresse inKlammern.

Hinweis

Geben Sie den Host-Namen ein, wenn es IPv4- oder IPv6-Clients gibt, die sich mitdem Smart Protection Server verbinden.

7. Wählen Sie "File-Reputation-Dienste" aus. Clients können Anfragen per HTTP-oder HTTPS-Protokoll durchführen. HTTPS ermöglicht eine sicherereVerbindung, während HTTP weniger Bandbreite benötigt.

a. Wenn Clients HTTP verwenden sollen, geben Sie den Server-Listening-Portfür HTTP-Anfragen ein. Wenn Clients HTTPS verwenden sollen, wählen Sie"SSL" aus geben Sie den Server-Listening-Port für HTTPS-Anfragen ein.

b. Klicken Sie auf Verbindung testen, um zu überprüfen, ob die Verbindungzum Server aufgebaut werden kann.

Tipp

Die Listening Ports sind Teil der Server Adresse. Die Serveradresse ändern:

Im Falle des integrierten Servers öffnen Sie die OfficeScan Webkonsole, undnavigieren Sie zu Smart Protection > Integrierter Server.

Im Falle des eigenständigen Servers öffnen Sie die Konsole des eigenständigenServers, und navigieren Sie zum Fenster Übersicht.

8. Wählen Sie Web-Reputation-Dienste aus. Clients senden Web-Reputation-Anfragen per HTTP-Protokoll. HTTPS wird nicht unterstützt.

a. Geben Sie den Server-Listening-Port für HTTP-Anfragen ein.


4-29

b. Klicken Sie auf Verbindung testen, um zu überprüfen, ob die Verbindungzum Server aufgebaut werden kann.


Das Fenster wird geschlossen.

10. Fügen Sie mehrere Server hinzu, indem Sie die vorhergehenden Schrittewiederholen.

11. Wählen Sie aus dem Fenster oben Reihenfolge oder Zufällig aus.

• Reihenfolge: Die Clients wählen die Server in der Reihenfolge aus, in der sieauf der Liste erscheinen. Wenn Sie Reihenfolge auswählen, können Sie mitHilfe der Pfeile unterhalb der Spalte Reihenfolge die Server in der Liste nachoben oder unten bewegen.

• Zufällig: Die Clients wählen die Server nach dem Zufallsprinzip aus.

Tipp

Weil der integrierte Smart Protection Server und der OfficeScan Server aufdemselben Computer ausgeführt werden können, kann die Computerleistung bei sehrhohem Datenaufkommen für die beiden Server signifikant beeinträchtigt werden. Umden Datenverkehr zum OfficeScan Server-Computer zu reduzieren, ordnen Sie eineneigenständigen Smart Protection Server als primäre Smart Protection Quelle und denintegrierten Server als eine Backup-Quelle zu.

12. Verschiedene Aufgaben im angezeigten Fenster durchführen.

• Wenn Sie eine Liste von einem anderen Server exportiert haben und sie indieses Fenster importieren möchten, klicken Sie auf Importieren, undnavigieren Sie zur .dat-Datei. Die Liste wird in das Fenster geladen.

• Um die Liste in eine .dat-Datei zu exportieren, klicken Sie auf Exportieren,und klicken Sie anschließend auf Speichern.

• Um den Servicestatus der Server zu aktualisieren, klicken Sie aufAktualisieren.

• Klicken Sie auf den Servernamen, um eine der folgenden Aufgabenauszuführen:


4-30

• Serverinformationen anzeigen oder bearbeiten.

• Die vollständige Serveradresse für Web-Reputation-Dienste oder File-Reputation-Dienste anzeigen.

• Um die Konsole eines Smart Protection Servers zu öffnen, klicken Sie aufKonsole starten.

• Das Serverkonfigurationsfenster für den integrierten Smart ProtectionServer wird angezeigt.

• Für eigenständige Smart Protection Server und den integrierten SmartProtection Server eines anderen OfficeScan Servers wird dasAnmeldefenster für die Konsole angezeigt.

• Um einen Eintrag zu löschen, aktivieren Sie das Kontrollkästchen für denServer, und klicken Sie auf Löschen.


Das Fenster wird geschlossen.

14. Klicken Sie auf Alle Clients benachrichtigen.

Benutzerdefinierte Listen der Smart Protection Quellenkonfigurieren

Prozedur

1. Navigieren Sie zu Smart Protection > Smart Protection Quellen.

2. Klicken Sie auf die Registerkarte Interne Clients.

3. Wählen Sie Benutzerdefinierte Listen basierend auf den IP-Adressen derClients verwenden aus.

4. (Optional) Wählen Sie Standardliste verwenden, wenn kein Server in denbenutzerdefinierten Listen verfügbar ist.



4-31


6. Geben Sie im Abschnitt IP-Bereich einen IPv4- oder IPv6-Adressbereich ein oderbeide.

HinweisClients mit einer IPv4-Adresse können sich mit reinen IPv4- oder mit Dual-Stack-Smart-Protection-Servern verbinden. Clients mit einer IPv6-Adresse können sich mitreinen IPv6- oder mit Dual-Stack-Smart-Protection-Servern verbinden. Clients, diesowohl eine IPv4- als auch eine IPv6-Adresse besitzen, können sich mit jedem SmartProtection Server verbinden.

7. Geben Sie im Abschnitt Proxy-Einstellung die Proxy-Einstellungen ein, dieClients benutzen, um sich mit den Smart Protection Servern zu verbinden.

a. Wählen Sie Für die Kommunikation zwischen Client und SmartProtection Server einen Proxy-Server verwenden aus.

b. Geben Sie den Namen des Proxy-Servers oder eine IPv4-/IPv6-Adresse undeine Portnummer an.

c. Falls der Proxy-Server eine Authentifizierung verlangt, geben Sie denBenutzernamen und das Kennwort ein.

8. Fügen Sie der Liste der benutzerdefinierten Smart Protection Server SmartProtection Server hinzu.

a. Geben Sie den Host-Namen des Smart Protection Servers oder die IPv4-/IPv6-Adresse ein. Wenn Sie eine IPv6-Adresse eingeben, setzen Sie dieAdresse in Klammern.

HinweisGeben Sie den Host-Namen ein, wenn es IPv4- oder IPv6-Clients gibt, die sichmit dem Smart Protection Server verbinden.

b. Wählen Sie File-Reputation-Dienste aus. Clients können Anfragen perHTTP- oder HTTPS-Protokoll durchführen. HTTPS ermöglicht einesicherere Verbindung, während HTTP weniger Bandbreite benötigt.

i. Wenn Clients HTTP verwenden sollen, geben Sie den Server-Listening-Port für HTTP-Anfragen ein. Wenn Clients HTTPS verwenden sollen,


4-32

wählen Sie SSL aus geben Sie den Server-Listening-Port für HTTPS-Anfragen ein.

ii. Klicken Sie auf Verbindung testen, um zu überprüfen, ob dieVerbindung zum Server aufgebaut werden kann.

TippDie Listening Ports sind Teil der Server Adresse. Die Serveradresse ändern:

Im Falle des integrierten Servers öffnen Sie die OfficeScan Webkonsoleund wechseln Sie zu Smart Protection > Integrierter Server.

Im Falle des eigenständigen Servers öffnen Sie die Konsole deseigenständigen Servers, und navigieren Sie zum Fenster Übersicht.

c. Wählen Sie Web-Reputation-Dienste aus. Clients senden Web-Reputation-Anfragen per HTTP-Protokoll. HTTPS wird nicht unterstützt.

i. Geben Sie den Server-Listening-Port für HTTP-Anfragen ein.

ii. Klicken Sie auf Verbindung testen, um zu überprüfen, ob dieVerbindung zum Server aufgebaut werden kann.

d. Klicken Sie Zur Liste hinzufügen.

e. Fügen Sie mehrere Server hinzu, indem Sie die vorhergehenden Schrittewiederholen.

f. Wählen Sie Reihenfolge oder Zufällig aus.

• Reihenfolge: Die Clients wählen die Server in der Reihenfolge aus, inder sie auf der Liste erscheinen. Wenn Sie Reihenfolge auswählen,können Sie mit Hilfe der Pfeile unterhalb der Spalte Reihenfolge dieServer in der Liste nach oben oder unten bewegen.

• Zufällig: Die Clients wählen die Server nach dem Zufallsprinzip aus.


4-33

Tipp

Weil der integrierte Smart Protection Server und der OfficeScan Server aufdemselben Computer ausgeführt werden können, kann die Computerleistungbei sehr hohem Datenaufkommen für die beiden Server signifikantbeeinträchtigt werden. Um den Datenverkehr zum OfficeScan Server-Computer zu reduzieren, ordnen Sie einen eigenständigen Smart ProtectionServer als primäre Smart Protection Quelle und den integrierten Server als eineBackup-Quelle zu.

g. Verschiedene Aufgaben im angezeigten Fenster durchführen.

• Um den Servicestatus der Server zu aktualisieren, klicken Sie aufAktualisieren.

• Um die Konsole eines Smart Protection Servers zu öffnen, klicken Sieauf Konsole starten.

• Das Serverkonfigurationsfenster für den integrierten SmartProtection Server wird angezeigt.

• Für eigenständige Smart Protection Server und den integriertenSmart Protection Server eines anderen OfficeScan Servers wird dasAnmeldefenster für die Konsole angezeigt.

• Um einen Eintrag zu löschen, klicken Sie auf Löschen ( ).


Das Fenster wird geschlossen. Die Liste, die Sie gerade hinzugefügt haben,erscheint als Link eines IP-Bereichs unter der Tabelle IP-Bereich.

10. Wiederholen Sie Schritt 4 bis Schritt 8, um weitere benutzerdefinierte Listenhinzuzufügen.


• Um eine Liste zu ändern, klicken Sie auf den Link des IP-Bereichs und ändernSie dann die Einstellungen in dem Fenster, das sich öffnet.

• Um die Liste in eine .DAT-Datei zu exportieren, klicken Sie auf Exportieren,und klicken Sie anschließend auf Speichern.


4-34

• Wenn Sie eine Liste von einem anderen Server exportiert haben und sie indieses Fenster importieren möchten, klicken Sie auf Importieren, undnavigieren Sie zur .dat-Datei. Die Liste wird in das Fenster geladen.


Proxy-Einstellungen der Client-Verbindungen

Wenn zum Verbindungsaufbau mit dem Smart Protection Network eine Proxy-Authentifizierung erforderlich ist, geben Sie zur Authentifizierung die Anmeldedatenein. Weitere Informationen finden Sie unter Externer Proxy für OfficeScan Clients auf Seite14-52.

Konfigurieren Sie interne Proxy-Einstellungen, die Clients für Verbindungen mit einemSmart Protection Server verwenden. Weitere Informationen finden Sie unter InternerProxy für OfficeScan Clients auf Seite 14-51.

Einstellungen für den Computerstandort

OfficeScan umfasst die Funktion "Location Awareness", die den Standort des Client-Computers identifiziert und bestimmt, ob der Client eine Verbindung zum SmartProtection Network oder Smart Protection Server aufbaut. Dadurch wird unabhängigvom Standort sichergestellt, dass Clients geschützt sind.

Weitere Informationen zum Konfigurieren der Standorteinstellungen finden Sie unterComputerstandort auf Seite 14-2.

Trend Micro Network VirusWall Installationen

Wenn Trend Micro™ Network VirusWall™ Enforcer installiert ist:

• Installieren Sie einen Hotfix (Build 1047 für Network VirusWall Enforcer 2500und Build 1013 für Network VirusWall Enforcer 1200).

• Aktualisieren Sie die OPSWAT-Engine auf Version 2.5.1017, damit das Produktdie Suchmethode des Clients erkennen kann.


4-35

Smart Protection Services verwendenNachdem die Smart Protection Umgebung entsprechend eingerichtet worden ist, sinddie Clients bereit, File-Reputation-Dienste and Web-Reputation-Dienste anzuwenden.Sie können auch zuerst die Smart Feedback Einstellungen konfigurieren.

HinweisWeitere Informationen über das Einrichten der Smart Protection Umgebung finden Sieunter Smart Protection Services einrichten auf Seite 4-13.

Um vom Schutz der File-Reputation-Dienste zu profitieren, müssen Clients eineSuchmethode verwenden, die als "Intelligente Suche" bezeichnet wird. WeitereInformationen über die intelligente Suche und deren Aktivierung auf den Clients findenSie unter Suchmethoden auf Seite 7-8.

Um OfficeScan Clients den Einsatz von Web-Reputation-Dienste zu gestatten,konfigurieren Sie die Web-Reputation-Richtlinien. Weitere Informationen finden Sieunter Web-Reputation-Richtlinien auf Seite 11-5.

HinweisDie Einstellungen für Suchmethoden und Web-Reputation-Richtlinien sind granuläreEinstellungen. Ihren eigenen Anforderungen entsprechend können Sie Einstellungen sokonfigurieren, dass sie auf alle Clients angewendet werden, oder Sie konfigurieren spezielleEinstellungen für einzelne Clients oder Clientgruppen.

Weitere Informationen zum Konfigurieren von Smart Feedback finden Sie unter SmartFeedback auf Seite 13-52.

5-1

Kapitel 5

OfficeScan Client installierenIn diesem Kapitel werden die Systemvoraussetzungen für Trend Micro™ OfficeScan™und die Verfahren zur OfficeScan Client-Installation beschrieben.

Weitere Informationen zum Aktualisieren von OfficeScan Clients finden Sie imInstallations- und Upgrade-Handbuch für OfficeScan.


• OfficeScan Client-Erstinstallationen auf Seite 5-2

• Überlegungen zur Installation auf Seite 5-2

• Überlegungen zur Verteilung auf Seite 5-11

• Migration zum OfficeScan Client auf Seite 5-68

• Nach der Installation auf Seite 5-72

• OfficeScan Client-Deinstallation auf Seite 5-75


5-2

OfficeScan Client-ErstinstallationenDer OfficeScan Client kann auf Computern unter folgenden Microsoft WindowsPlattformen installiert werden: OfficeScan ist auch mit verschiedenen Produkten vonDrittanbietern kompatibel.

Auf der folgenden Website erhalten Sie eine vollständige Liste derSystemvoraussetzungen und kompatibler Produkte von Drittanbietern:


Überlegungen zur InstallationBeachten Sie vor der Installation der Clients folgende Hinweise:

• OfficeScan Client-Funktionen: Einige Client-Funktionen sind auf bestimmtenWindows Plattformen nicht verfügbar.

• IPv6-Support: Der OfficeScan Client kann auf Dual-Stack- oder reinen IPv6-Clients installiert werden. Jedoch:

• Einige Windows Betriebssysteme, auf denen der OfficeScan Client installiertwerden kann, unterstützen keine IPv6-Adressierung.

• Bei einigen Installationsmethoden gibt es besondere Voraussetzungen für dieordnungsgemäße Installation des OfficeScan Clients.

• OfficeScan Client-IP-Adressen: Bei Clients mit sowohl IPv4- als auch IPv6-Adressen können Sie wählen, welche IP-Adresse verwendet wird, wenn sich derClient am Server anmeldet.

• Ausschlusslisten: Stellen Sie sicher, dass die Ausschlussliste für die folgendenFunktionen richtig konfiguriert wurden:

• Verhaltensüberwachung: Fügen Sie kritische Computerprogramme zurListe "Zulässige Programme" hinzu, um zu verhindern, dass der OfficeScanClient diese Anwendungen sperrt. Weitere Informationen finden Sie unterAusschlussliste für Verhaltensüberwachung auf Seite 8-6.


OfficeScan Client installieren

5-3

• Web-Reputation: Fügen Sie Websites, die Sie als sicher einstufen, zur Listeder zulässigen URLs hinzu, um zu verhindern, dass der OfficeScan denZugriff auf diese Websites sperrt. Weitere Informationen finden Sie unterWeb-Reputation-Richtlinien auf Seite 11-5.

OfficeScan Client-FunktionenWelche der OfficeScan Client-Funktionen auf einem Computer verfügbar sind, hängtvom Betriebssystem des Computers ab.

TABELLE 5-1. OfficeScan Client-Funktionen auf Server-Plattformen

FUNKTION

WINDOWS BETRIEBSSYSTEM

SERVER 2003 SERVER 2008/SERVER CORE 2008

SERVER 2012/SERVER CORE 2012

Manuelle Suche,Echtzeitsuche undzeitgesteuerte Suche

Ja Ja Ja

Komponenten-Update(manuelles undzeitgesteuertesUpdate)

Ja Ja Ja

Update-Agent Ja Ja Ja

Web reputation Ja, aberstandardmäßig beider Server-Installationdeaktiviert

Ja, aberstandardmäßig beider Server-Installationdeaktiviert

Ja, aberstandardmäßig beider Server-Installationdeaktiviert;eingeschränkteUnterstützung desWindows-Benutzeroberflächenmodus

Damage CleanupServices

Ja Ja Ja


5-4

FUNKTION




OfficeScan firewall Ja, aberstandardmäßig beider Server-Installationdeaktiviert

Ja, aberstandardmäßig beider Server-Installationdeaktiviert

Ja, aberstandardmäßig beider Server-Installationdeaktiviert;Anwendungsfilternicht unterstützt


Ja (32 Bit), aberstandardmäßigdeaktiviert



Nein (64 Bit) Ja (64 Bit), aberstandardmäßigdeaktiviert

Eigenschutz desClients für:

• Registrierungsschlüssel

• Prozesse






• Dienste

• Dateischutz

Ja Ja Ja

Gerätesteuerung

(Unauthorized ChangePrevention service)






5-5

FUNKTION




Datenschutz

(einschließlichDatenschutz für dieGerätesteuerung)






Microsoft Outlook mailscan

Ja (32 Bit) Nein Nein

Nein (64 Bit)

POP3 mail scan Ja Ja Ja

Unterstützung für CiscoNAC

Nein Nein Nein

Client-Plug-in-Manager Ja Ja Ja

Roaming-Modus Ja Ja (Server)

Nein (Server-Kern)

Ja

Unterstützung vonSecureClient

Ja (32 Bit) Nein Nein

Nein (64 Bit)

Smart Feedback Ja Ja Ja

TABELLE 5-2. OfficeScan Client-Funktionen auf Desktop-Plattformen

FUNKTIONWINDOWS BETRIEBSSYSTEM

XP VISTA WINDOWS 7 WINDOWS 8

Manuelle Suche,Echtzeitsuche undzeitgesteuerte Suche

Ja Ja Ja Ja


5-6



Komponenten-Update(manuelles undzeitgesteuertesUpdate)

Ja Ja Ja Ja

Update-Agent Ja Ja Ja Ja

Web reputation Ja Ja Ja Ja, aber nureingeschränkteUnterstützungdes Windows-Benutzeroberflächenmodus

Damage CleanupServices

Ja Ja Ja Ja

OfficeScan firewall Ja Ja Ja Ja, aberAnwendungsfilter nichtunterstützt


Ja (32 Bit) Ja (32 Bit) Ja (32 Bit) Ja (32 Bit)

Nein (64 Bit) Ja (64 Bit)

Vista 64-Bit-Unterstützungerfordert SP1oder SP2

Ja (64 Bit) Ja (64 Bit)


• Registrierungsschlüssel

• Prozesse






5-7




• Dienste

• Dateischutz

Ja Ja Ja Ja

Gerätesteuerung

(UnauthorizedChange Preventionservice)





Datenschutz

(einschließlichDatenschutz für dieGerätesteuerung)

Ja (32 Bit) Ja (32 Bit) Ja (32 Bit) Ja (32 Bit), imDesktop-Modus

Ja (64 Bit) Ja (64 Bit) Ja (64 Bit) Ja (64 Bit), imDesktop-Modus

Microsoft Outlook mailscan

Ja (32 Bit) Nein Nein Nein

Nein (64 Bit)

POP3 mail scan Ja Ja Ja Ja

Unterstützung fürCisco NAC

Ja Nein Nein Nein

Client-Plug-in-Manager

Ja Ja Ja Ja

Roaming-Modus Ja Ja Ja Ja

Unterstützung vonSecureClient

Ja (32 Bit) Nein Nein Nein

Nein (64 Bit)

Smart Feedback Ja Ja Ja Ja


5-8

OfficeScan Client-Installation und IPv6-UnterstützungDieses Thema befasst sich mit Fragen zur Installation des OfficeScan Clients auf einemDual-Stack- oder einem reinen IPv6-Client.

Betriebssystem

Der OfficeScan Client kann nur auf folgenden Betriebssystemen, die IPv6-Adressierungunterstützen, installiert werden:

• Windows Vista™ (alle Editionen)

• Windows Server 2008 (alle Editionen)

• Windows 7 (alle Editionen)

• Windows Server 2012 (alle Editionen)

• Windows 8 (alle Editionen)

Eine vollständige Liste der Systemvoraussetzungen finden Sie auf der folgendenWebsite:


Installationsmethoden

Alle OfficeScan Client-Installationsmethoden können zur Installation des OfficeScanClients auf reinen IPv6- oder Dual-Stack-Clients verwendet werden. Bei einigenInstallationsmethoden gibt es besondere Voraussetzungen für die ordnungsgemäßeInstallation des OfficeScan Clients.

ServerProtect™ kann nicht mit dem ServerProtect Normal Server Migration Tool aufden OfficeScan Client migriert werden, da dieses Tool die IPv6-Adressierung nichtunterstützt.



5-9

TABELLE 5-3. Installationsmethoden und IPv6-Unterstützung

INSTALLATIONSMETHODE VORAUSSETZUNGEN/ÜBERLEGUNGEN

Installation überWebseite und Browser

Die URL zur Installationsseite enthält den Host-Namen desOfficeScan Servers oder dessen IP-Adresse.

Die Installation auf einem reinen IPv6-Client setzt einen Dual-Stack- oder reinen IPv6-Server voraus, und sein Host-Nameoder seine IPv6-Adresse müssen in der URL enthalten sein.

Bei Dual-Stack-Clients hängt die im Installationsstatusfensterangezeigte IPv6-Adresse von der im Abschnitt BevorzugteIP-Adresse von Netzwerkcomputer > Allgemeine Client-Einstellungen gewählten Option ab.

Client Packager Bei der Ausführung des Packager Tools müssen sieauswählen, ob Sie dem Client die Berechtigung zum UpdateAgent zuweisen. Denken Sie daran, dass ein reiner IPv6-Update-Agent nur an reine IPv6- oder Dual-Stack-ClientsUpdates verteilen kann.

Einhaltung vonSicherheitsrichtlinien,Vulnerability Scannerund Remote-Installation

Ein reiner IPv6-Server kann den OfficeScan Client nicht aufreinen IPv4-Endpunkten installieren. Ebenso kann ein reinerIPv4-Server den OfficeScan Client nicht auf reinen IPv6-Endpunkten installieren.

Client-IP-AdressenEin OfficeScan Server in einer Umgebung, die IPv6-Adressierung unterstützt, kannfolgende OfficeScan Clients verwalten:

• Ein OfficeScan Server auf einem reinen IPv6-Host-Rechner kann reine IPv6-Clients verwalten.

• Ein OfficeScan Server auf einem Dual-Stack-Host-Rechner, dem sowohl IPv4- alsauch IPv6-Adressen zugewiesen wurden, kann reine IPv6-, Dual-Stack- und reineIPv4-Clients verwalten.

Nach der Installation oder dem Upgrade von Clients, registrieren sich die Clients übereine IP-Adresse am Server.


5-10

• Reine IPv6-Clients registrieren sich mit ihrer IPv6-Adresse.

• Reine IPv4-Clients registrieren sich mit ihrer IPv4-Adresse.

• Dual-Stack-Clients registrieren sich entweder mit ihrer IPv4- oder mit ihrer IPv6-Adresse. Sie können auswählen, welche IP-Adresse diese Clients verwenden sollen.

IP-Adresse konfigurieren, die Dual-Stack-Clients zurRegistrierung beim Server verwenden

Diese Einstellung ist nur auf OfficeScan Dual-Stack-Servern verfügbar und wird nurvon Dual-Stack-Clients angewendet.

Prozedur

1. Navigieren Sie zu Netzwerkcomputer > Allgemeine Client-Einstellungen.

2. Gehen Sie zum Abschnitt Bevorzugte IP-Adresse.


• IPv4: Clients verwenden ihre IPv4-Adresse.

• Zuerst IPv4, dann IPv6: Clients verwenden zuerst ihre IPv4-Adresse. Wennsich der Client nicht mit seiner IPv4-Adresse registrieren kann, verwendet erseine IPv6-Adresse. Wenn die Registrierung mit beiden IP-Adressenfehlschlägt, wiederholt der Client den Versuch mit Hilfe der IP-Adressen-Priorität für diese Auswahl.

• Zuerst IPv6, dann IPv4: Clients verwenden zuerst ihre IPv6-Adresse. Wennsich der Client nicht mit seiner IPv6-Adresse registrieren kann, verwendet erseine IPv4-Adresse. Wenn die Registrierung mit beiden IP-Adressenfehlschlägt, wiederholt der Client den Versuch mit Hilfe der IP-Adressen-Priorität für diese Auswahl.



5-11

Überlegungen zur VerteilungDieser Abschnitt besteht aus einer Zusammenfassung der verschiedenen Methoden zurOfficeScan Client-Installation, um eine Neuinstallation des OfficeScan Clientsdurchzuführen. Für alle Installationsmethoden sind lokale Administratorrechte auf denZielcomputern erforderlich.

Wenn Sie bei der Installation der Clients die IPv6-Unterstützung aktivieren wollen, lesenSie die Richtlinien unter OfficeScan Client-Installation und IPv6-Unterstützung auf Seite 5-8.

TABELLE 5-4. Überlegungen zur Verteilung für die Installation

INSTALLATIONSMETHODE/

BETRIEBSSYSTEMUNTERSTÜTZUNG

ÜBERLEGUNGEN ZUR VERTEILUNG

WAN-VERTEIL

UNG

ZENTRALEVERWALTU

NG

ERFORDERT

EINGREIFEN

DURCHDEN

BENUTZER

ERFORDERTIT-

RESSOURCE

VERTEILUNG INHOHER

ANZAHL

VERBRAUCHTE

BANDBREITE

Web-Installationsseite

Unterstützt auf allenBetriebssystemenmit Ausnahme vonWindows ServerCore 2008 undWindows 8/Server2012/ Server Core2012 im Windows-Benutzeroberflächenmodus

Nein Nein Ja Nein Nein Hoch


5-12




WAN-VERTEIL

UNG

ZENTRALEVERWALTU

NG

ERFORDERT

EINGREIFEN

DURCHDEN

BENUTZER

ERFORDERTIT-

RESSOURCE

VERTEILUNG INHOHER

ANZAHL

VERBRAUCHTE

BANDBREITE

Von der Seite"BrowserbasierteInstallationstarten"

Wird auf allenBetriebssystemenunterstützt

HinweisNichtunterstütztunterWindows 8oderWindowsServer 2012im Windows-Benutzeroberflächen-Modus.

Nein Nein Ja Ja Nein Hoch, wenndieInstallationengleichzeitiggestartetwerden

UNC-basierteInstallationen




5-13




WAN-VERTEIL

UNG

ZENTRALEVERWALTU

NG

ERFORDERT

EINGREIFEN

DURCHDEN

BENUTZER

ERFORDERTIT-

RESSOURCE

VERTEILUNG INHOHER

ANZAHL

VERBRAUCHTE

BANDBREITE

Über die Seite"Remote-Installation"

Wird auf allenBetriebssystemenunterstützt, außer:

• Windows VistaHome Basicund HomePremium

• Windows XPHome

• Windows 7Home Basic/Home Premium

• Windows 8(Basic-Version)

Nein Ja Nein Ja Nein Hoch

Anmeldeskript-Setup




5-14




WAN-VERTEIL

UNG

ZENTRALEVERWALTU

NG

ERFORDERT

EINGREIFEN

DURCHDEN

BENUTZER

ERFORDERTIT-

RESSOURCE

VERTEILUNG INHOHER

ANZAHL

VERBRAUCHTE

BANDBREITE

Client Packager


Nein Nein Ja Ja Nein Gering,wennzeitgesteuert

Client Packager(MSI-Paket, dasdurch MicrosoftSMS verteiltwurde)


Ja Ja Ja/Nein Ja Ja Gering,wennzeitgesteuert

Client Packager(MSI-Paket, dasdurch ActiveDirectory verteiltwurde)


Ja Ja Ja/Nein Ja Ja Hoch, wenndieInstallationengleichzeitiggestartetwerden

Client-Disk-Image


Nein Nein Nein Ja Nein Niedrig


5-15




WAN-VERTEIL

UNG

ZENTRALEVERWALTU

NG

ERFORDERT

EINGREIFEN

DURCHDEN

BENUTZER

ERFORDERTIT-

RESSOURCE

VERTEILUNG INHOHER

ANZAHL

VERBRAUCHTE

BANDBREITE

Trend MicroVulnerabilityScanner (TMVS)



• Windows XPHome




5-16




WAN-VERTEIL

UNG

ZENTRALEVERWALTU

NG

ERFORDERT

EINGREIFEN

DURCHDEN

BENUTZER

ERFORDERTIT-

RESSOURCE

VERTEILUNG INHOHER

ANZAHL

VERBRAUCHTE

BANDBREITE

Installationen fürdie Einhaltung vonSicherheitsrichtlinien



• Windows XPHome

• Windows 7Home Basic/Home Premium



Installationen über eine Web-InstallationsseiteSie können das OfficeScan Client-Programm über die Web-Installationsseite installieren,wenn Sie den OfficeScan Server auf einem Computer installiert haben, auf denen diefolgenden Plattformen ausgeführt werden:

• Windows Server 2003 mit Internet Information Server (IIS) 6.0 oder Apache 2.0.x

• Windows Server 2008 mit Internet Information Server (IIS) 7.0


5-17

• Windows Server 2008 R2 mit Internet Information Server (IIS) 7.5

• Windows Server 2012 mit Internet Information Server (IIS) 8.0

Um eine Installation von der Web-Installationsseite durchzuführen, gelten folgendeVoraussetzungen:

• Internet Explorer, wobei für die Sicherheitsstufe festgelegt ist, dass ActiveX™-Steuerelemente verwendet werden dürfen. Die folgenden Versionen sinderforderlich:

• 6.0 unter Windows XP und Windows Server 2003

• 7.0 unter Windows Vista und Windows Server 2008

• 8.0 unter Windows 7

• 10.0 unter Windows 8 und Windows Server 2012

• Administratorberechtigungen auf dem Computer

Senden Sie die folgenden Anweisungen zur Installation des OfficeScan Clients von derWeb-Installationsseite an die Benutzer. Um die OfficeScan Client-Installationsbenachrichtigung per E-Mail zu versenden, siehe Browserbasierte Installationstarten auf Seite 5-19.

Installation über die Web-Installationsseite

Prozedur

1. Melden Sie sich mit dem integrierten Administratorkennwort an.

HinweisAuf Windows 7- oder Windows 8-Plattformen müssen Sie zunächst das integrierteAdministratorkonto aktivieren. Unter Windows 7 und Windows 8 wird dasAdministratorkonto standardmäßig deaktiviert. Weitere Informationen finden Sie aufder Support-Website von Microsoft (http://technet.microsoft.com/en-us/library/dd744293%28WS.10%29.aspx).

2. Wenn das Programm auf einem Computer unter Windows XP, Vista, Server 2008,7, 8 oder Server 2012 installiert wird, führen Sie die folgenden Schritte durch:

http://technet.microsoft.com/en-us/library/dd744293%28WS.10%29.aspx

http://technet.microsoft.com/en-us/library/dd744293%28WS.10%29.aspx


5-18

a. Öffnen Sie den Internet Explorer, und fügen Sie den URL des OfficeScanServers (wie z. B. https://<OfficeScan Servername>:4343/officescan) zur Liste der vertrauenswürdigen Websites hinzu. Öffnen Sieunter Windows XP Home die Registerkarte Extras > Internetoptionen >Sicherheit, wählen Sie das Symbol Vertrauenswürdige Sites, und klickenSie auf Sites.

b. Ändern Sie die Sicherheitseinstellung des Internet Explorers, um die OptionAutomatische Eingabeaufforderung für ActiveX-Steuerelemente zuaktivieren. Öffnen Sie unter Windows XP die Registerkarte Extras >Internetoptionen > Sicherheit, und klicken Sie auf Stufe anpassen.

3. Öffnen Sie ein Fenster im Internet Explorer, und geben Sie eine der folgendenAdressen ein:

• OfficeScan Server mit SSL:

https://<OfficeScan server name>:<port>/officescan

• OfficeScan Server ohne SSL:

http://<OfficeScan server name>:<port>/officescan

4. Klicken Sie auf den Link auf der Anmeldeseite.

5. Klicken Sie in dem daraufhin angezeigten Fenster auf Jetzt installieren, um dieInstallation des OfficeScan Clients zu starten. Der Installationsvorgang für denOfficeScan Client wird gestartet. Lassen Sie die Installation des ActiveX-Steuerelements zu, wenn Sie dazu aufgefordert werden. Nach der Installation wirddas Symbol für den OfficeScan Client in der Windows Task-Leiste angezeigt.

HinweisEine Liste der Symbole in der Task-Leiste finden Sie unter OfficeScan Client-Symbole aufSeite 14-26.


5-19

Browserbasierte InstallationRichten Sie eine E-Mail-Nachricht ein, in der die Benutzer eines Netzwerks angewiesenwerden, den OfficeScan Client zu installieren. Um die Installation zu starten, klicken dieBenutzer auf den OfficeScan Client-Installer-Link in der E-Mail.

Vor der Installation der OfficeScan Clients:

• Überprüfen Sie die OfficeScan Client-Installationsvoraussetzungen.

• Überprüfen Sie, welche Computer im Netzwerk zurzeit keinen Schutz vorSicherheitsrisiken aufweisen. Führen Sie folgende Aufgaben durch:

• Rufen Sie den Trend Micro Vulnerability Scanner auf. Mit diesem Toolwerden die Computer innerhalb eines angegebenen IP-Adressbereichs aufvorhandene Antiviren-Software untersucht. Weitere Informationen finden Sieunter Nutzung des Vulnerability Scanners auf Seite 5-41.

• Überprüfen Sie die Einhaltung der Sicherheitsrichtlinien. WeitereInformationen finden Sie unter Einhaltung der Sicherheitsrichtlinien für nichtverwaltete Endpunkte auf Seite 14-72.

Browserbasierte Installation starten

Prozedur

1. Navigieren Sie zu Netzwerkcomputer > Client-Installation > Browserbasiert.

2. Ändern Sie gegebenenfalls die Betreffzeile der E-Mail.

3. Klicken Sie auf E-Mail erstellen.

Das Standard-E-Mail-Programm wird geöffnet.

4. Senden Sie die E-Mail an alle beabsichtigten Empfänger.

UNC-basierte Installation durchführenAutoPcc.exe ist ein eigenständiges Programm, das den OfficeScan Client auf nichtgeschützten Computer installiert und Programmdateien und Komponenten aktualisiert.


5-20

Die Computer müssen zur Domäne gehören, um AutoPcc mit Hilfe eines UNC-Pfadszu nutzen.

Prozedur

1. Navigieren Sie zu Netzwerkcomputer > Client-Installation > UNC-basiert.

• OfficeScan Client mit Hilfe von AutoPcc.exe auf einem ungeschütztenComputer installieren:

a. Stellen Sie eine Verbindung zum Servercomputer her. Navigieren Siezum UNC-Pfad:

\\<Name des Server-Computers>\ofscan

b. Klicken Sie mit der rechten Maustaste auf AutoPcc.exe, und wählenSie Als Administrator ausführen aus.

• Remote-Desktop-Installation über AutoPcc.exe:

a. Öffnen Sie eine Remotedesktopverbindung (Mstsc.exe) imKonsolenmodus. Dadurch wird die Installation von AutoPcc.exe inSitzung 0 ausgeführt.

b. Navigieren Sie zum Verzeichnis \\<Name des Server-Computers>\ofscan, und führen Sie AutoPcc.exe aus.

Remote-Installation über die OfficeScan WebkonsoleAuf Netzwerkcomputern kann der OfficeScan Client auf einem oder mehrerenComputern gleichzeitig remote installiert werden. Stellen Sie sicher, dass Sie überAdministratorrechte für den Zielcomputer verfügen. Bei der Remote-Installation wirdOfficeScan Client nicht auf einem Computer installiert, auf dem bereits OfficeScanServer ausgeführt wird.


5-21

Hinweis

Diese Installationsmethode steht für Computer unter Windows XP Home, Windows VistaHome Basic und Home Premium sowie Windows 7 Home Basic und Home Premium (32-Bit- und 64-Bit-Versionen) und Windows 8 (32-Bit- und 64-Bit-Basic-Versionen) nicht zurVerfügung. Ein reiner IPv6-Server kann den OfficeScan Client nicht auf reinen IPv4-Clients installieren. Ebenso kann ein reiner IPv4-Server den OfficeScan Client nicht aufreinen IPv6-Clients installieren.

Prozedur

1. Führen Sie unter Windows Vista, Windows 7, Windows 8 (Pro, Enterprise) oderWindows Server 2012 die folgenden Schritte durch:

a. Aktivieren Sie ein integriertes Administratorkonto, und richten Sie dasKennwort für das Konto ein.

b. Deaktivieren Sie die einfache Dateifreigabe auf dem Endpunkt.

c. Klicken Sie auf Starten > Programme > Administrator-Tools >Windows-Firewall mit erweiterter Sicherheit.

d. Setzen Sie den Status der Firewall für Domänenprofil, Privates Profil undÖffentliches Profil auf "Aus".

e. Öffnen Sie die Microsoft Management-Konsole (klicken Sie auf Starten >Ausführen, und geben Sie services.msc ein), und starten Sie die DiensteRemote-Registrierung und Remote-Prozessaufruf. Installieren Sie denOfficeScan Client mit dem integrierten Administratorkonto und -kennwort.

2. Navigieren Sie in der Webkonsole zu Netzwerkcomputer > Client-Installation> Remote.

3. Wählen Sie die Zielcomputer aus.

• In der Liste Domänen und Computer werden alle Windows Domänen imNetzwerk angezeigt. Doppelklicken Sie auf einen Domänennamen, um dieComputer einer bestimmten Domäne anzuzeigen. Wählen Sie einenComputer, und klicken Sie anschließend auf Hinzufügen.


5-22

• Geben Sie den Computernamen in das Feld oben auf der Seite ein, undklicken Sie auf Suchen, um nach einem bestimmten Computernamen zusuchen.

OfficeScan fordert Sie auf, für den Zielcomputer einen Benutzernamen und einKennwort einzugeben. Verwenden Sie den Benutzernamen und das Kennworteines Administratorkontos, um den Vorgang fortzusetzen.

4. Geben Sie Ihren Benutzernamen und das Kennwort ein, und klicken Sie dann aufAnmelden.

Der Zielcomputer wird in der Tabelle Ausgewählte Computer angezeigt.

5. Wiederholen Sie die Schritte 3 und 4, um weitere Computer hinzuzufügen.

6. Klicken Sie auf Installieren, wenn Sie alle Einstellungen zur Installation desOfficeScan Clients auf den Zielcomputern vorgenommen haben.

Ein Bestätigungsfenster wird angezeigt.

7. Klicken Sie auf Ja, um die Installation des OfficeScan Clients auf denZielcomputern zu bestätigen.

Während die Programmdateien auf die jeweiligen Zielcomputer kopiert werden,wird ein Fortschrittsfenster angezeigt.

Nach der Installation auf dem jeweiligen Zielcomputer wird der Computername aus derListe Ausgewählte Computer gelöscht und in der Liste Domänen und Computer miteinem roten Häkchen versehen.

Wenn alle Zielcomputer in der Liste Domänen und Computer mit einem rotenHäkchen versehen sind, ist die Remote-Installation abgeschlossen.


5-23

Hinweis

Wenn Sie die Installation auf mehreren Computern durchführen, wird im Falle einesfehlgeschlagenen Installationsvorgangs ein Protokolleintrag von OfficeScan erstellt (weitereInformationen hierzu finden Sie unter Erstinstallations-Protokolle auf Seite 18-17). DieInstallation auf den übrigen Computern bleibt davon unbeeinflusst. Die Installation wirddurch Klicken auf Installieren gestartet und anschließend vollständig automatischausgeführt. Überprüfen Sie die Protokolle zu einem späteren Zeitpunkt, um das Ergebnisder Installation einzusehen.

Mit Anmeldeskript-Setup installieren

Mit dem Anmeldeskript-Setup können Sie die Installation des OfficeScan Clients aufungeschützten Computern automatisieren, wenn diese sich am Netzwerk anmelden. DasAnmeldeskript-Setup fügt dem Anmeldeskript des Servers das ProgrammAutoPcc.exe hinzu.

AutoPcc.exe installiert den OfficeScan Client auf nicht geschützten Computern undaktualisiert Programmdateien und Komponenten. Die Computer müssen zur Domänegehören, um AutoPcc über das Anmeldeskript zu nutzen.

Installation des OfficeScan Clients

AutoPcc.exe installiert den OfficeScan Client automatisch, sobald sich einungeschützter Computer unter Windows Server 2003 an dem Server anmeldet, dessenAnmeldeskript Sie geändert haben. AutoPcc.exe installiert den OfficeScan Clientjedoch auf Computern unter Windows Vista, 7, 8, Server 2008 und Server 2012 nichtautomatisch. Die Benutzer müssen eine Verbindung zum Server-Computer herstellen,dann zum Verzeichnis \\<Name des Server-Computers>\ofcscan wechseln,mit der rechten Maustaste auf AutoPcc.exe klicken und anschließend AlsAdministrator ausführen wählen.

Remote-Desktop-Installation über AutoPcc.exe:

• Der Computer muss im Modus Mstsc.exe /console ausgeführt werden.Dadurch wird die Installation von AutoPcc.exe in Sitzung 0 ausgeführt.


5-24

• Ordnen Sie dem Ordner "ofcscan" ein Laufwerk zu, und führen SieAutoPcc.exe von dort aus.

Programm- und Komponenten-Updates

AutoPcc.exe aktualisiert die Programmdateien und die Komponenten desVirenschutzes, der Anti-Spyware und der Damage Cleanup Services.

Die Skripts für Windows Server 2003, 2008, und 2012

Wenn bereits ein Anmeldeskript vorhanden ist, fügt das Anmeldeskript-Setup einenBefehl hinzu, der AutoPcc.exe ausführt. Andernfalls erstellt OfficeScan eine Batch-Datei mit dem Namen ofcscan.bat, die den Befehl zur Ausführung vonAutoPcc.exe enthält.

Anmeldeskript-Setup fügt die folgenden Informationen am Ende des Skripts hinzu:

\\<Servername>\ofcscan\autopcc

Wobei gilt:

• <Server_name> ist der Name oder die IP-Adresse des OfficeScan Server-Computers.

• "ofcscan" ist der Name des Freigabeordners von OfficeScan auf dem Server.

• "autopcc" ist der Link zu der ausführbaren Datei "autopcc", die den OfficeScanClient installiert.

Speicherort des Anmeldeskripts (durch ein über die Netzwerkanmeldung freigegebenesVerzeichnis):

• Windows Server 2003: \\Windows 2003 server\system drive\windir\sysvol\domain\scripts\ofcscan.bat




5-25

Die Datei "Autopcc.exe" mit Hilfe des Anmeldeskript-Setupszum Anmeldeskript hinzufügen

Prozedur

1. Klicken Sie auf dem Computer, auf dem die Serverinstallation durchgeführt wurde,im Windows Start-Menü auf Programme > Trend Micro OfficeScan Server<Servername> > Anmeldeskript-Setup.

Das Dienstprogramm Anmeldeskript-Setup wird gestartet. Die Konsole zeigteine Ansicht aller Domänen im Netzwerk.

2. Suchen Sie nach dem Server, dessen Anmeldeskript Sie ändern möchten, wählenSie ihn aus, und klicken Sie dann auf Auswählen. Stellen Sie sicher, dass es sichbeim Server um einen primären Domänencontroller handelt und SieAdministratorzugriff auf den Server haben.

Das Anmeldeskript-Setup fordert Sie zur Angabe eines Benutzernamens und einesKennworts auf.

3. Geben Sie den Benutzernamen und das Kennwort ein. Klicken Sie zum Fortfahrenauf OK.

Das Fenster Benutzer auswählen wird angezeigt. Die Liste "Benutzer" enthält dieProfile der Benutzer, die sich an diesem Server anmelden. Die Liste AusgewählteBenutzer enthält die Benutzerprofile, deren Anmeldeskript geändert werden soll.

4. Um das Anmeldeskript für ein Benutzerprofil zu ändern, wählen Sie aus der Liste"Benutzer" das Benutzerprofil aus, und klicken Sie anschließend auf Hinzufügen.

5. Um das Anmeldeskript aller Benutzer zu ändern, klicken Sie auf Alle hinzufügen.

6. Um ein zuvor ausgewähltes Benutzerprofil auszuschließen, wählen Sie den Namenaus der Liste Ausgewählte Benutzer aus, und klicken Sie auf Löschen.

7. Um die Auswahl aufzuheben, klicken Sie auf Alle löschen.

8. Klicken Sie auf Übernehmen, wenn alle gewünschten Benutzerprofile in derZielliste Ausgewählte Benutzer enthalten sind.

Eine Meldung informiert Sie über die erfolgreiche Änderung der Anmeldeskriptsdes Servers.


5-26

9. Klicken Sie auf OK.

Das Eingangsfenster des Anmeldeskript-Setups wird wieder angezeigt.

10. Wiederholen Sie die Schritte 2 bis 4, um das Anmeldeskript anderer Server zuändern.

11. Um das Anmeldeskript-Setup zu schließen, klicken Sie auf Beenden.

Installation mit Client Packager

Client Packager erstellt ein Installationspaket, das Sie per CD-ROM oder sonstigenherkömmlichen Medien an die Benutzer versenden können. Benutzer führen das Paketauf dem Client-Computer aus, um den OfficeScan Client sowie die Update-Komponenten zu installieren oder zu aktualisieren.

Client Packager ist besonders nützlich bei der Verteilung und Installation des OfficeScanClients oder Komponenten auf externen Clients an Standorten mit geringer Bandbreite.OfficeScan Clients, die mit Client Packager installiert werden, berichten an den Server,auf dem das Setup-Paket erstellt wurde.

Client Packager benötigt das Folgende:

• 350 MB verfügbaren Festplattenspeicher

• Windows Installer 2.0 (zur Ausführung eines MSI-Pakets)

Ein Installationspaket mit Client Packager erstellen

Prozedur

1. Navigieren Sie auf dem OfficeScan Server-Computer zu <Installationsordner desServers>\PCCSRV\Admin\Utility\ClientPackager.

2. Doppelklicken Sie auf die Datei ClnPack.exe, um das Tool auszuführen. DieClient Packager Konsole wird geöffnet.

3. Wählen Sie aus, welche Art von Paket Sie erstellen möchten.


5-27

TABELLE 5-5. Client-Paketarten

PACKETTYP BESCHREIBUNG

Setup Wählen Sie Setup , um das Paket als ausführbare Datei zuerstellen. Das Paket installiert das OfficeScan Client-Programm mit den Komponenten, die gegenwärtig auf demServer verfügbar sind. Wenn auf dem Zielcomputer bereitseine frühere Version des OfficeScan Clients installiert ist,können Sie den Client mit Hilfe der ausführbaren Dateiaktualisieren.

Update Wählen Sie Update, um ein Paket zu erstellen, das dieKomponenten enthält, die gegenwärtig auf dem Serververfügbar sind. Das Paket wird anschließend alsausführbare Datei erstellt. Verwenden Sie dieses Paket,wenn bei der Aktualisierung von Komponenten auf einemClient-Computer Probleme auftreten.

MSI Wählen Sie MSI, um ein Paket zu erstellen, das demPaketformat von Microsoft Installer entspricht. Das Paketinstalliert außerdem das OfficeScan Client-Programm mitden Komponenten, die gegenwärtig auf dem Serververfügbar sind. Wenn auf dem Zielcomputer bereits einefrühere Version des OfficeScan Clients installiert ist,können Sie den Client mit Hilfe der MSI-Datei aktualisieren.

4. Konfigurieren Sie die folgenden Einstellungen (einige Einstellungen sind nurverfügbar, wenn Sie einen bestimmten Pakettyp auswählen):

• Windows Betriebssystem auf Seite 5-29

• Suchmethode auf Seite 5-29

• Unbeaufsichtigter Modus auf Seite 5-31

• Prescan deaktivieren auf Seite 5-31

• Überschreiben mit neuester Version erzwingen auf Seite 5-31

• Update-Agent-Funktionen auf Seite 5-31

• Outlook Mail Scan auf Seite 5-32

• Unterstützung für Check Point SecureClient auf Seite 5-33


5-28

• Komponenten auf Seite 5-33

5. Stellen Sie im Feld neben Quelldatei sicher, dass der Speicherort der Dateiofcscan.ini richtig angegeben wurde. Um den Pfad zu ändern, klicken Sie auf( ), um nach der Datei ofcscan.ini zu suchen. Standardmäßig befindet sichdiese Datei unter <Installationsordner des Servers>\PCCSRV auf demOfficeScan Server.

6. Klicken Sie unter "Ausgabedatei" auf ( ), geben Sie den Speicherort an, an demdas OfficeScan Client-Paket erstellt werden soll, und geben Sie den Dateinamender Paketdatei ein (Beispiel: ClientSetup.exe).

7. Klicken Sie auf Erstellen.

Nach der Erstellung des Pakets wird die Meldung „Das Paket wurde erstellt“angezeigt. Suchen Sie das Verzeichnis, das Sie im vorhergehenden Schrittangegeben haben.

8. Verteilen Sie das Paket.

Richtlinien für die Paketverteilung

1. Senden Sie das Paket an die Benutzer, und fordern Sie sie auf, das OfficeScanClient-Paket mit einem Doppelklick auf die .exe- oder .msi-Datei auf demComputer auszuführen.

Hinweis

Senden Sie das Paket nur an diejenigen Benutzer, deren OfficeScan Client an denServer berichtet, auf dem das Paket erstellt wurde.

2. Wenn Benutzer das .exe-Paket auf einem Computer unter Windows Vista, Server2008, 7, 8 oder Server 2012 installieren möchten, fordern Sie diese Benutzer auf,mit der rechten Maustaste auf die .exe-Datei zu klicken und dann AlsAdministrator ausführen auszuwählen.

3. Wenn Sie eine MSI-Datei erstellt haben, verteilen Sie das Paket, indem Sie diefolgenden Aufgaben durchführen:


5-29

• Verwenden Sie Active Directory oder Microsoft SMS. Siehe Ein MSI-Paketüber Active Directory verteilen auf Seite 5-33 oder Ein MSI-Paket über MicrosoftSMS verteilen auf Seite 5-35.

4. Starten Sie das MSI-Paket über die Eingabeaufforderung, damit der OfficeScanClient unbeaufsichtigt auf einen Remote-Computer unter Windows XP, Vista,Server 2008, 7, 8 oder Server 2012 installiert wird.

Windows BetriebssystemWählen Sie das Betriebssystem, für das Sie das Paket erstellen möchten. Verteilen Siedas Paket nur auf Computer mit der richtigen Art des Betriebssystems. Erstellen Sie einanderes Paket, um es an ein anderes Betriebssystem zu verteilen.

SuchmethodeWählen Sie für das Paket die Suchmethode aus. Weitere Informationen finden Sie unterSuchmethoden auf Seite 7-8.

Welche Komponenten im Paket enthalten sind, hängt von der ausgewähltenSuchmethode ab. Weitere Informationen über Komponenten, die für jede einzelneSuchmethode zur Verfügung stehen, finden Sie unter OfficeScan Client-Updates auf Seite6-28.

Lesen Sie vor der Auswahl der Suchmethode die folgenden Richtlinien, die Ihnen beider effizienten Verteilung des Pakets helfen sollen:

• Wenn Sie mit dem Paket einen Client auf diese OfficeScan Version aktualisieren,überprüfen Sie auf der Webkonsole die Suchmethode auf Domänenebene.Navigieren Sie auf der Konsole zu Netzwerkcomputer > Client-Verwaltung,wählen Sie die Domäne der Client-Hierarchie, zu der der Client gehört, und klickenSie auf Einstellungen > Sucheinstellungen > Suchmethoden. DieSuchmethode auf Domänenebene sollte der Suchmethode für das Paketentsprechen.

• Wenn Sie mit dem Paket eine Neuinstallation des OfficeScan Clients durchführenmöchten, aktivieren Sie die Einstellung für die Client-Gruppierung. Navigieren Sieauf der Webkonsole zu Netzwerkcomputer > Clients gruppieren.

• Wenn für die Client-Gruppierung NetBIOS, Active Directory oder eine DNS-Domäne verwendet wird, prüfen Sie die Domäne, zu der der Zielcomputer gehört.


5-30

Wenn die Domäne vorhanden ist, aktivieren Sie die Suchmethode, die für dieDomäne konfiguriert ist. Wenn die Domäne nicht vorhanden ist, aktivieren Sie dieSuchmethode auf Stammebene (wählen Sie das Stammsymbol ( ) in der Client-Hierarchie, und klicken Sie auf Einstellungen > Sucheinstellungen >Suchmethoden). Die Suchmethode auf Domänen-Stammebene sollte derSuchmethode für das Paket entsprechen.

• Wenn die Client-Gruppierung durch benutzerdefinierte Client-Gruppen realisiertwurde, prüfen Sie die Priorität für die Gruppierung und die Quelle.

ABBILDUNG 5-1. Fensterbereich "Vorschau" für die automatische Client-Gruppierung

Wenn der Zielcomputer zu einer bestimmten Quelle gehört, überprüfen Sie dasentsprechende Ziel. Beim Ziel handelt es sich um den Domänennamen, der in derClient-Hierarchie angezeigt wird. Nach der Installation wendet der Client dieSuchmethode für diese Domäne an.

• Wenn Sie mit dem Paket Komponenten auf dem Client aktualisieren, die dieseOfficeScan Version verwenden, aktivieren Sie die Suchmethode, die für dieDomäne in der Client-Hierarchie konfiguriert ist, zu der der Client gehört. DieSuchmethode auf Domänenebene sollte der Suchmethode für das Paketentsprechen.


5-31

Unbeaufsichtigter Modus

Diese Option erstellt ein Paket, das für den Client unsichtbar im Hintergrund installiertwird. Der Installationsfortschritt wird nicht angezeigt. Aktivieren Sie diese Option, wennSie planen, das Paket remote auf den Zielcomputer zu verteilen.

Prescan deaktivieren

Diese Option gilt nur bei Erstinstallationen.

Wenn auf dem Zielcomputer kein OfficeScan Client installiert ist, durchsucht das Paketzunächst den Computer nach Sicherheitsrisiken, bevor der OfficeScan Client installiertwird. Wenn Sie sicher sind, dass der Zielcomputer nicht mit Sicherheitsrisiken infiziertist, deaktivieren Sie die Virensuche vor der Installation.

Wenn die Virensuche vor der Installation aktiviert ist, führt Setup eine Suche nachViren/Malware in den anfälligsten Bereichen des Computers durch. Dazu gehört dasFolgende:

• Boot-Bereich und das Boot-Verzeichnis (Suche nach Boot-Viren)

• Windows Ordner

• Ordner "Programme"

Überschreiben mit neuester Version erzwingen

Diese Option überschreibt die Komponentenversionen auf dem Client mit denVersionen, die gegenwärtig auf dem Server verfügbar sind. Aktivieren Sie diese Option,um sicherzustellen, dass die Komponenten auf dem Server und Client synchron sind.

Update-Agent-Funktionen

Diese Option weist dem OfficeScan Client auf dem Zielcomputer Update-Agent-Berechtigungen zu. Update-Agents unterstützen den OfficeScan Server bei derVerteilung der Komponenten auf die Clients. Weitere Informationen finden Sie unterUpdate-Agents auf Seite 6-56.

Sie können den Update Agent zur Durchführung folgender Aufgaben berechtigen:


5-32

• Komponenten verteilen

• Einstellungen verteilen

• Programme verteilen

Wenn Sie einem OfficeScan Client Update-Agent Berechtigungen zuweisen:

1. Denken Sie daran, dass bei Verteilung des Pakets auf einen reinen IPv6-Client derUpdate-Agent nur auf reine IPv6- oder Dual-Stack-Clients Updates verteilen kann.

2. Aktivieren und konfigurieren Sie mit dem Konfigurationsassistenten für daszeitgesteuerte Update zeitgesteuerte Updates für den Agent. Weitere Informationenfinden Sie unter Update-Methoden für Update-Agents auf Seite 6-64.

3. Der OfficeScan Server, der den Update-Agent verwaltet, ist nicht in der Lage, diefolgenden Einstellungen mit dem Agent zu synchronisieren oder auf diesen zuverteilen:

• Update-Agent-Berechtigung

• Zeitgesteuertes Client-Update

• Updates vom Trend Micro ActiveUpdate Server

• Updates von anderen Update-Adressen

Verteilen Sie deshalb das OfficeScan Client-Paket nur auf Computer, die nicht voneinem OfficeScan Server verwaltet werden. Konfigurieren Sie anschließend denUpdate-Agent, um Updates von einer anderen Update-Adresse als einenOfficeScan Server zu erhalten, wie z. B. eine benutzerdefinierte Update-Adresse.Wenn der OfficeScan Server die Einstellungen mit dem Update-Agentsynchronisieren soll, verwenden Sie nicht den Client Packager, und wählen Siestattdessen eine andere Methode zum Installieren des OfficeScan Clients.

Outlook Mail Scan

Diese Option installiert das Programm Outlook Mail Scan, das die Microsoft Outlook™Postfächer nach Sicherheitsrisiken durchsucht. Weitere Informationen finden Sie unterMail-Scan-Berechtigungen und andere Einstellungen auf Seite 7-65.


5-33

Unterstützung für Check Point SecureClient

Dieses Tool fügt die Unterstützung für Check Point™ SecureClient™ für Windows XPund Windows Server 2003 hinzu. SecureClient überprüft die Version der Viren-Pattern,bevor eine Verbindung mit dem Netzwerk zugelassen wird. Weitere Informationenfinden Sie unter Überblick über die Funktionsweise und Konfiguration von Check Point auf Seite17-2.

Hinweis

SecureClient überprüft nicht die Version der Viren-Pattern von Clients, die die intelligenteSuche verwenden.

Komponenten

Wählen Sie die Komponenten und Funktionen für das Paket aus.

• Weitere Informationen zu Komponenten finden Sie unter OfficeScan Komponentenund Programme auf Seite 6-2.

• Das Datenschutzmodul ist nur verfügbar, wenn Sie den Datenschutz installierenund aktivieren. Weitere Informationen zum Datenschutz finden Sie unter Präventionvor Datenverlust verwenden auf Seite 10-1.

Ein MSI-Paket über Active Directory verteilen

Sie können mit Hilfe von Active Directory das MSI-Paket gleichzeitig auf mehrereClient-Computer verteilen. Informationen über die Erstellung einer MSI Datei findenSie unter Installation mit Client Packager auf Seite 5-26.

Prozedur

1. Führen Sie Folgendes aus:

• Bei Windows Server 2003 und niedrigeren Versionen:

a. Öffnen Sie die Active Directory Konsole.


5-34

b. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, inder Sie das MSI-Paket installieren möchten, und klicken Sie dann aufEigenschaften.

c. Klicken Sie auf der Registerkarte Gruppenrichtlinie auf Neu.

• Bei Windows Server 2008 und Windows Server 2008 R2:

a. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole. Klicken Sie aufStarten > Systemsteuerung > Administrator-Tools >Gruppenrichtlinienverwaltung.

b. Erweitern Sie in der Konsolenstruktur Gruppenrichtlinienobjekte inder Gesamtstruktur und der Domäne mit dem GPO, das bearbeitetwerden soll.

c. Klicken Sie mit der rechten Maustaste auf das GPO, die bearbeitetwerden soll, und klicken Sie anschließend auf Bearbeiten. Daraufhinwird der Gruppenrichtlinienobjekt-Editor geöffnet.

• Windows Server 2012:

a. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole. Klicken Sie aufSerververwaltung > Tools > Gruppenrichtlinienverwaltung.

b. Erweitern Sie in der Konsolenstruktur Gruppenrichtlinienobjekte inder Gesamtstruktur und der Domäne mit dem GPO, das bearbeitetwerden soll.

c. Klicken Sie mit der rechten Maustaste auf das GPO, das bearbeitetwerden soll, und klicken Sie anschließend auf Bearbeiten. Daraufhinwird der Gruppenrichtlinienobjekt-Editor geöffnet.

2. Wählen Sie zwischen Computer-Konfiguration und Benutzerkonfiguration, undöffnen Sie darunter Softwareeinstellungen.

Tipp

Trend Micro empfiehlt, Computer-Konfiguration und nichtBenutzerkonfiguration zu verwenden, damit das MSI-Paket unabhängig vomangemeldeten Benutzer ordnungsgemäß installiert wird.


5-35

3. Klicken Sie unter Softwareeinstellungen mit der rechten Maustaste aufSoftwareinstallation, und wählen Sie dann Neu und Paket aus.

4. Wählen Sie das MSI-Paket aus.

5. Wählen Sie eine Installationsmethode aus, und klicken Sie auf OK.

• Zugewiesen: Das MSI-Paket wird automatisch installiert, wenn sich einBenutzer das nächste Mal am Computer anmeldet (bei Auswahl vonBenutzerkonfiguration) oder wenn der Computer neu gestartet wird (beiAuswahl von Computer-Konfiguration). Bei dieser Methode ist keinEingreifen des Benutzers erforderlich.

• Veröffentlicht: Weisen Sie die Benutzer an, in der Systemsteuerung dieOption "Software" und anschließend die Option, mit der Programme imNetzwerk installiert/hinzugefügt werden, auszuwählen, um das MSI-Paket zuinstallieren. Wenn das MSI-Paket des OfficeScan Clients angezeigt wird, kanndie Installation des OfficeScan Clients fortgesetzt werden.

Ein MSI-Paket über Microsoft SMS verteilenSie können das MSI-Paket mit Hilfe von Microsoft System Management Server (SMS)verteilen, wenn Microsoft BackOffice SMS auf dem Server installiert ist. Informationenüber die Erstellung einer MSI Datei finden Sie unter Installation mit Client Packager auf Seite5-26.

Der SMS Server muss die MSI Datei vom OfficeScan Server erhalten, bevor das Paketauf den Zielcomputern installiert werden kann.

• Lokal: Der SMS Server und der OfficeScan Server befinden sich auf demselbenComputer.

• Remote: Der SMS Server und der OfficeScan Server befinden sich aufverschiedenen Computern.

Bekannte Probleme bei der Installation mit Microsoft SMS:

• In der Spalte "Laufzeit" der SMS Konsole wird "Unbekannt" angezeigt.

• Falls die Installation fehlschlägt, wird der Installationsstatus im SMSProgrammmonitor unter Umständen weiterhin als abgeschlossen angezeigt.


5-36

Hinweise zur Überprüfung, ob eine Installation erfolgreich war, finden Sie unterNach der Installation auf Seite 5-72.

Beachten Sie die folgenden Anweisungen bei der Verwendung von Microsoft SMS 2.0und 2003.

Das Paket lokal erhalten

Prozedur

1. Öffnen Sie die SMS Administratorkonsole.

2. Klicken Sie auf der Registerkarte Struktur auf Pakete.

3. Klicken Sie im Menü Aktion auf Neu > Paket aus einer Definition.

Das Begrüßungsfenster des Assistenten für die Erstellung eines Pakets aus einerDefinition wird angezeigt.

4. Klicken Sie auf Weiter.

Das Fenster Paketdefinition wird angezeigt.

5. Klicken Sie auf Durchsuchen.

Das Fenster Öffnen wird angezeigt.

6. Wählen Sie die von Client Packager erstellte MSI-Paketdatei aus, und klicken Siedann auf Öffnen.

Der Name des MSI-Pakets wird im Fenster Paketdefinition angezeigt. ImPaketnamen ist neben "OfficeScan Client" auch die Programmversion angegeben.


Das Fenster Quelldateien wird angezeigt.

8. Klicken Sie auf Dateien immer aus einem Quellverzeichnis abrufen, undklicken Sie dann auf Weiter.

Das Fenster Quellverzeichnis wird angezeigt. Es enthält den Namen des zuerstellenden Pakets und das Quellverzeichnis.


5-37

9. Klicken Sie auf Lokales Laufwerk auf Standort-Server.

10. Klicken Sie auf Durchsuchen, und wählen Sie das Quellverzeichnis, in dem sichdie MSI Datei befindet.


Der Assistent erstellt das Paket. Nach Abschluss des Vorgangs wird der Name desPakets auf der SMS Administrator-Konsole angezeigt.

Das Paket remote erhalten

Prozedur

1. Verwenden Sie auf dem OfficeScan Server Client Packager, um ein Setup-Paket miteiner .exe-Erweiterung zu erstellen (ein .msi-Paket kann nicht erstellt werden).Weitere Informationen finden Sie unter Installation mit Client Packager auf Seite 5-26.

2. Erstellen Sie einen Freigabeordner auf dem Computer, auf dem die Quellegespeichert werden soll.

3. Öffnen Sie die SMS Administratorkonsole.

4. Klicken Sie auf der Registerkarte Struktur auf Pakete.

5. Klicken Sie im Menü Aktion auf Neu > Paket aus einer Definition.

Das Begrüßungsfenster des Assistenten für die Erstellung eines Pakets aus einerDefinition wird angezeigt.


Das Fenster Paketdefinition wird angezeigt.

7. Klicken Sie auf Durchsuchen.

Das Fenster Öffnen wird angezeigt.

8. Suchen Sie nach der MSI-Paketdatei. Die Datei befindet sich in dem von Ihnenerstellten Freigabeordner.



5-38

Das Fenster Quelldateien wird angezeigt.

10. Klicken Sie auf Dateien immer aus einem Quellverzeichnis abrufen, undklicken Sie dann auf Weiter.

Das Fenster Quellverzeichnis wird angezeigt.

11. Klicken Sie auf Netzwerkpfad (UNC-Name).

12. Klicken Sie auf Durchsuchen, und wählen Sie das Quellverzeichnis, in dem sichdie MSI Datei befindet (der von Ihnen erstellte Freigabeordner).


Der Assistent erstellt das Paket. Nach Abschluss des Vorgangs wird der Name desPakets auf der SMS Administrator-Konsole angezeigt.

Das Paket an die Zielcomputer verteilen

Prozedur

1. Klicken Sie auf der Registerkarte Struktur auf Ankündigungen.

2. Klicken Sie im Menü Aktion auf Alle Tasks > Software verteilen.

Das Fenster Willkommen des Assistenten für die Softwareverteilung wirdgeöffnet.


Das Fenster Paket wird angezeigt.

4. Klicken Sie auf Vorhandenes Paket verteilen und dann auf den Namen des vonIhnen erstellten Setup-Pakets.


Das Fenster Verteilungspunkte wird angezeigt.

6. Wählen Sie einen Verteilungspunkt, an den das Paket kopiert werden soll, undklicken Sie dann auf Weiter.

Das Fenster Programm ankündigen wird angezeigt.


5-39

7. Klicken Sie auf Ja, um das OfficeScan Client-Installationspaket anzukündigen, undklicken Sie dann auf Weiter.

Das Fenster Ankündigungsziel wird angezeigt.

8. Klicken Sie auf Durchsuchen, um die Zielcomputer auszuwählen.

Das Fenster Sammlung durchsuchen wird angezeigt.

9. Klicken Sie auf Alle Windows NT Systeme.


Das Fenster Ankündigungsziel wird erneut angezeigt.


Das Fenster Ankündigungsname wird angezeigt.

12. Geben Sie eine Bezeichnung für die Ankündigung und Anmerkungen in dieentsprechenden Felder ein, und klicken Sie dann auf Weiter.

Das Fenster Untersammlungen ankündigen wird angezeigt.

13. Wählen Sie aus, ob das Paket an Untersammlungen angekündigt werden soll. Siekönnen das Programm nur Mitgliedern der angegebenen Sammlung ankündigenoder das Programm auch den Mitgliedern von Untersammlungen ankündigen.


Das Fenster Ankündigungszeitplan wird angezeigt.

15. Geben Sie an, wann das OfficeScan Client-Installationspaket angekündigt werdensoll, indem Sie das Datum und die Uhrzeit eingeben oder auswählen.

HinweisWenn Microsoft SMS das Paket nur bis zu einem bestimmten Tag ankündigen soll,klicken Sie auf Ja , und geben Sie nach Ablauf der Ankündigung das Datum und dieUhrzeit in das Feld Ablaufdatum und -zeitpunkt ein.


Das Fenster Programm zuordnen wird angezeigt.


5-40

17. Klicken Sie auf Programm zuordnen und anschließend auf Weiter.

Microsoft SMS erstellt die Ankündigung und zeigt sie auf der SMS-Administratorkonsole an.

18. Wenn Microsoft SMS das angekündigte Programm, d. h. den OfficeScan Client,auf die Zielcomputer verteilt, wird auf jedem Zielcomputer ein Fenster angezeigt.Weisen Sie die Benutzer an, auf Ja zu klicken und den Anweisungen desAssistenten für die Installation des OfficeScan Clients auf ihren Computern zufolgen.

Installation mit Hilfe eines Client-Disk-ImagesMit der Disk-Image-Technologie können Sie ein Image eines OfficeScan Clientserstellen und damit die Client-Software auf anderen Computern im Netzwerkinstallieren.

Für jede OfficeScan Client-Installation ist eine GUID (Globally Unique Identifier)erforderlich, damit der Server die Clients eindeutig identifizieren kann. Verwenden Siedas OfficeScan Programm ImgSetup.exe, um für jeden Klon eine eigene GUID-Nummer zu erstellen.

Ein Disk-Image eines OfficeScan Clients erstellen

Prozedur

1. Installieren Sie den OfficeScan Client.

2. Kopieren Sie ImgSetup.exe von <Installationsordner des Servers>\PCCSRV\Admin\Utility\ImgSetup auf diesen Computer.

3. Starten Sie ImgSetup.exe auf diesem Computer.

Hiermit wird der Registrierungsschlüssel RUN unter HKEY_LOCAL_MACHINEerstellt.

4. Erstellen Sie mit Hilfe der Imaging-Software ein Image des OfficeScan Clients.

5. Starten Sie den Klon neu.


5-41

ImgSetup.exe wird automatisch gestartet. Dabei wird neuer GUID-Wert erstellt.Der OfficeScan Client meldet die neue GUID an den Server, und der Servererstellt einen neuen Eintrag für den neuen OfficeScan Client.

Warnung!Um zu vermeiden, dass in der OfficeScan Datenbank zwei Computer mit demselbenNamen gespeichert sind, müssen Sie den Computer- oder Domänennamen des geklontenOfficeScan Clients manuell ändern.

Nutzung des Vulnerability ScannersDer Vulnerability Scanner erkennt installierte Antiviren-Programme, sucht nachungeschützten Computern im Netzwerk und installiert OfficeScan Clients auf diesenComputern.

Überlegungen zur Verwendung des Vulnerability Scanners

Um Ihnen bei der Entscheidung zu helfen, ob Sie den Vulnerability Scanner verwendensollten, bedenken Sie das Folgende:

• Netzwerkadministration auf Seite 5-42

• Netzwerktopologie und -architektur auf Seite 5-42

• Software/Hardware-Spezifikationen auf Seite 5-43

• Domänenstruktur auf Seite 5-43

• Netzwerkverkehr auf Seite 5-44

• Netzwerkgröße auf Seite 5-44


5-42

Netzwerkadministration

TABELLE 5-6. Netzwerkadministration

SETUP EFFEKTIVITÄT DES VULNERABILITY SCANNERS

Administration mit strengenSicherheitsrichtlinien

Sehr effektiv. Der Vulnerability Scanner meldet, obauf allen Computern eine Antiviren-Softwareinstalliert ist.

Administrative Verantwortungwird auf verschiedene Standorteverteilt

Moderat effektiv

Zentralisierte Administration Moderat effektiv

Ausgelagerte Dienstleistungen Moderat effektiv

Benutzer verwalten ihre eigenenComputer

Nicht effektiv. Weil der Vulnerability Scanner imNetzwerk überprüft, ob eine Antiviren-Installationvorhanden ist, ist es nicht machbar, dass Benutzerihre eigenen Computer durchsuchen.

Netzwerktopologie und -architektur

TABELLE 5-7. Netzwerktopologie und -architektur


Einzelner Standort Sehr effektiv. Mit dem Vulnerability Scanner könnenSie ein gesamtes IP-Segment durchsuchen und denOfficeScan Client problemlos im LAN installieren.

Mehrere Standorte mitHochgeschwindigkeitsverbindung

Moderat effektiv

Mehrere Standorte mit einerlangsamen Datenverbindung

Nicht effektiv. Sie müssen den Vulnerability Scanneran jedem Standort ausführen, und die OfficeScanClient-Installation muss an einen lokalen OfficeScanServer geleitet werden.

Remote- und isolierte Computer Moderat effektiv


5-43

Software/Hardware-Spezifikationen

TABELLE 5-8. Software/Hardware-Spezifikationen


Windows NT-basierteBetriebssysteme

Sehr effektiv. Der Vulnerability Scanner kann ohnegroßen Aufwand den OfficeScan Client remote aufComputern installieren, auf denen ein NT-basiertesBetriebssystem ausgeführt wird.

Gemischte Betriebssysteme Moderat effektiv Der Vulnerability Scanner kann nurauf Computern installiert werden, auf denen einWindows NT-basiertes Betriebssystem ausgeführtwird.

Desktop-Management-Software Nicht effektiv. Der Vulnerability Scanner kann nichtzusammen mit Desktop-Management-Softwareverwendet werden. Diese Software kann jedoch dazubeitragen, den Fortschritt der OfficeScan Client-Installation zu verfolgen.

Domänenstruktur

TABELLE 5-9. Domänenstruktur


Microsoft Active Directory Sehr effektiv. Durch die Angabe des Kontos für denDomänenadministrator im Vulnerability Scannerkönnen Sie die Remote-Installation des OfficeScanClients zulassen.

Workgroup Nicht effektiv. Vulnerability Scanner kannSchwierigkeiten bei der Installation auf Computernhaben, wenn verschiedene Administratorkonten undKennwörter verwendet werden.

Novell™ Directory Service Nicht effektiv. Der Vulnerability Scanner setzt einWindows Domänenkonto für die Installation vonOfficeScan Clients voraus.


5-44


Peer-to-Peer Nicht effektiv. Vulnerability Scanner kannSchwierigkeiten bei der Installation auf Computernhaben, wenn verschiedene Administratorkonten undKennwörter verwendet werden.

NetzwerkverkehrTABELLE 5-10. Netzwerkverkehr


LAN-Verbindung Sehr effektiv

512 KBit/s Moderat effektiv

T1-Verbindung und höher Moderat effektiv

Einwählverbindung Nicht effektiv. Die Installation eines OfficeScanClients nimmt viel Zeit in Anspruch.

NetzwerkgrößeTABELLE 5-11. Netzwerkgröße


Sehr großes Unternehmen Sehr effektiv. Je größer das Netzwerk ist, desto mehrVulnerability Scanner sind erforderlich, um dieOfficeScan Client-Installationen zu überprüfen.

Kleine und mittlere Unternehmen Moderat effektiv Bei kleinen Netzwerken kann derVulnerability Scanner eine Möglichkeit zur Installationvon OfficeScan Clients sein. Andere OfficeScanClient-Installationsmethoden können unterUmständen leichter implementiert werden.

Richtlinien: Installation des OfficeScan Clients mit Hilfe vonVulnerability ScannerVulnerability Scanner installiert den OfficeScan Client nicht, wenn:


5-45

• Der OfficeScan Server oder eine andere Sicherheitssoftware auf dem Zielrechnerinstalliert ist.

• Auf dem Remote-Computer Windows XP Home, Windows Vista Home Basic,Windows Vista Home Premium, Windows 7 Home Basic, Windows 7 HomePremium oder Windows 8 (Basic-Version) ausgeführt wird.

Hinweis

Sie können den OfficeScan Client auf dem Zielrechner mit anderen Installationsmethodeninstallieren, die erläutert werden unter Überlegungen zur Verteilung auf Seite 5-11.

Führen Sie vor der Installation des OfficeScan Clients mit Vulnerability Scannerfolgende Schritte durch:

• Unter Windows Vista (Business, Enterprise oder Ultimate Edition) oder Windows7 (Professional, Enterprise, Ultimate Edition), Windows 8 (Pro, Enterprise),Windows Server 2012 (Standard):

1. Aktivieren Sie ein integriertes Administratorkonto, und richten Sie dasKennwort für das Konto ein.

2. Klicken Sie auf Starten > Programme > Administrator-Tools >Windows-Firewall mit erweiterter Sicherheit.

3. Setzen Sie den Status der Firewall für Domänenprofil, Privates Profil undÖffentliches Profil auf "Aus".

4. Öffnen Sie die Microsoft Management-Konsole (klicken Sie auf Starten >Ausführen, und geben Sie services.mscein), und starten Sie den Remote-Registrierungsdienst. Installieren Sie den OfficeScan Client mit demintegrierten Administratorkonto und -kennwort.

• Unter Windows XP Professional (32-Bit- oder 64-Bit-Version):

1. Öffnen Sie Windows Explorer, und klicken Sie auf Extras >Ordneroptionen.

2. Klicken Sie auf die Registerkarte Ansicht, und deaktivieren Sie EinfacheDateifreigabe verwenden (empfohlen).


5-46

Methoden der Schwachstellensuche

Vulnerability Scanner überprüft, ob auf den Host-Rechnern Sicherheitssoftwareinstalliert ist, und kann den OfficeScan Client auf ungeschützte Rechner installieren.

Die Schwachstellensuche kann auf verschiedene Art durchgeführt werden.

TABELLE 5-12. Methoden der Schwachstellensuche

METHODE DETAILS

Manuelle Suchenach Schwachstellen

Administratoren können die Schwachstellensuche nachAnforderung ausführen.

DHCP-Suche Administratoren können Schwachstellensuchen auf Host-Rechnern durchführen, die IP-Adressen von einem DHCP-Server anfordern.

Vulnerability Scanner horcht auf Port 67, dem Listening-Port desDHCP-Servers für DHCP-Anfragen. Wenn er eine DHCP-Anforderung von einem Host-Rechner entdeckt, läuft dieSchwachstellensuche auf dem Rechner.

HinweisVulnerability Scanner kann keine DHCP-Anforderungenentdecken, wenn er auf Windows Server 2008, Windows7, Windows 8 oder Windows Server 2012 gestartet wird.

ZeitgesteuerteSuche nachSchwachstellen

Schwachstellensuchen werden automatisch nach dem Zeitplandes Administrators ausgeführt.

Wenn Vulnerability Scanner ausgeführt wird, wird der Status des OfficeScan Clients aufden Ziel-Host-Rechnern angezeigt. Folgende Zustände sind möglich:

• Normal: Der OfficeScan Client läuft und arbeitet ordnungsgemäß

• Ungewöhnlich: Die OfficeScan Client-Dienste laufen nicht oder der Clientverfügt nicht über Echtzeitschutz

• Nicht installiert: Der TMListen-Service fehlt oder der OfficeScan Client ist nichtinstalliert


5-47

• Nicht erreichbar: Vulnerability Scanner konnte keine Verbindung zum Host-Rechner aufbauen und den Status des OfficeScan Clients nicht ermitteln

Eine manuelle Schwachstellensuche ausführen

Prozedur

1. Um die Schwachstellensuche auf dem OfficeScan Server-Computer auszuführen,navigieren Sie zu <Installationsordner des Servers>\PCCSRV\Admin\Utility\TMVS,und doppelklicken Sie auf TMVS.exe. Die Trend Micro Vulnerability ScannerKonsole wird angezeigt. Eine Schwachstellensuche auf einem anderen Computerunter Windows Server 2003, Server 2008, Vista, 7, 8 oder Server 2012 ausführen:

a. Navigieren Sie auf dem OfficeScan Server-Computer zu<Installationsordner des Servers>\PCCSRV\Admin\Utility.

b. Kopieren Sie den Ordner TMVS auf den anderen Computer.

c. Öffnen Sie auf dem anderen Computer den Ordner TMVS und doppelklickenSie auf TMVS.exe.

Die Trend Micro Vulnerability Scanner Konsole wird angezeigt.

HinweisDas Tool kann nicht über den Terminal Server gestartet werden.

2. Gehen Sie zum Abschnitt Manuelle Suche.

3. Geben Sie den IP-Adressbereich der Computer ein, die Sie überprüfen möchten.

a. Geben Sie einen IPv4-Adressbereich ein.

HinweisVulnerability Scanner kann IPv4-Adressbereiche nur dann abfragen, wenn dasTool auf einem reinen IPv4- oder Dual-Stack-Host-Rechner ausgeführt wird.Der Vulnerability Scanner unterstützt nur einen IP-Adressbereich der Klasse B,z. B. 168.212.1.1 bis 168.212.254.254.

b. Geben Sie bei einem IPv6-Adressbereich das IPv6-Präfix und die Länge ein.


5-48

Hinweis

Vulnerability Scanner kann IPv6-Adressbereiche nur dann abfragen, wenn dasTool auf einem reinen IPv6- oder Dual-Stack-Host-Rechner ausgeführt wird.

4. Klicken Sie auf Einstellungen.

Das Fenster Einstellungen wird angezeigt.

5. Konfigurieren Sie die folgenden Einstellungen:

a. Ping-Einstellungen: Vulnerability Scanner kann die IP-Adressen"anpingen", die im vorhergehenden Schritt festgelegt wurden, um zuüberprüfen, ob sie zurzeit verwendet werden. Wenn ein Ziel-Host-Rechnereine IP-Adresse verwendet, kann Vulnerability Scanner das Betriebssystemdes Host-Rechners ermitteln. Weitere Informationen finden Sie unter Ping-Einstellungen auf Seite 5-63.

b. Methode zum Abrufen von Computerbeschreibungen: Von Host-Rechnern, die auf den "Ping"-Befehl antworten, kann Vulnerability Scannerzusätzliche Informationen abfragen. Weitere Informationen finden Sie unterMethode zum Abrufen von Computerbeschreibungen auf Seite 5-60.

c. Produktabfrage: Vulnerability Scanner kann feststellen, ob auf denEndpunkten Sicherheitssoftware vorhanden ist. Weitere Informationen findenSie unter Produktabfrage auf Seite 5-56.

d. OfficeScan Server-Einstellungen: Konfigurieren Sie diese Einstellungen,wenn Vulnerability Scanner den OfficeScan Client automatisch aufungeschützten Rechnern installieren soll. Über diese Einstellungen könnender übergeordnete Server des OfficeScan Clients und die Anmeldedaten desAdministrators auf den Host-Rechnern ermittelt werden. WeitereInformationen finden Sie unter Einstellungen des OfficeScan Servers auf Seite 5-64.

Hinweis

Bestimmte Bedingungen können die Installation des OfficeScan Clients auf dieZiel-Host-Rechner verhindern. Weitere Informationen finden Sie unterRichtlinien: Installation des OfficeScan Clients mit Hilfe von Vulnerability Scanner auf Seite5-44.


5-49

e. Benachrichtigungen: Vulnerability Scanner kann die Ergebnisse derSchwachstellensuche an die OfficeScan Administratoren senden. Er kannauch Benachrichtigungen auf ungeschützten Host-Rechnern anzeigen.Weitere Informationen finden Sie unter Benachrichtigungen auf Seite 5-61.

f. Ergebnisse speichern: Zusätzlich zum Versenden der Ergebnisse derSchwachstellensuche an die Administratoren kann Vulnerability Scanner dieErgebnisse in einer .csv-Datei speichern. Weitere Informationen finden Sieunter Ergebnisse der Suche nach Schwachstellen auf Seite 5-62.


Das Fenster mit den Einstellungen wird geschlossen.

7. Klicken Sie auf Start.

Die Ergebnisse der Suche des Vulnerability Scanners werden in der TabelleErgebnisse auf der Registerkarte Manuelle Suche angezeigt.

Hinweis

Wenn auf dem Computer Windows Server 2008 oder Windows Server 2012ausgeführt wird, werden in der Tabelle Ergebnisse keine Informationen über dieMAC-Adresse angezeigt.

8. Um die Ergebnisse in einer komma-separierte Datei im CSV-Format zu speichern,klicken Sie auf Exportieren, navigieren Sie zu dem Ordner, in dem die Dateigespeichert werden soll, geben Sie den Dateinamen ein, und klicken Sie aufSpeichern.

Eine DHCP-Suche ausführen

Prozedur

1. Konfigurieren Sie die DHCP-Einstellungen in der Datei TMVS.ini, die sich imfolgenden Ordner befindet: <Installationsordner des Servers>\PCCSRV\Admin\Utility\TMVS.


5-50

TABELLE 5-13. DHCP-Einstellungen in der Datei TMVS.ini

EINSTELLUNG BESCHREIBUNG

DhcpThreadNum=x Geben Sie die Thread-Nummer für den DHCP-Modus ein.Der Minimalwert ist 3, der Maximalwert ist 100. DerStandardwert ist 3.

DhcpDelayScan=x Dabei handelt es sich um die Verzögerung in Sekunden,bevor überprüft wird, ob auf dem anfragenden Computerbereits eine Antiviren-Software installiert ist.

Der Minimalwert ist 0 (keine Wartezeit) und derMaximalwert ist 600. Der Standardwert ist 60.

LogReport=x 0 deaktiviert die Protokollierung, 1 aktiviert dieProtokollierung.

Vulnerability Scanner versendet die Ergebnisse der Suchean den OfficeScan Server. Protokolle werden im FensterSystemereignisprotokolle der Webkonsole angezeigt.

OsceServer=x Das ist die IP-Adresse oder der DNS-Name des OfficeScanServers.

OsceServerPort=x Das ist der Webserver-Port auf dem OfficeScan Server.

2. Um die Schwachstellensuche auf dem OfficeScan Server-Computer auszuführen,navigieren Sie zu <Installationsordner des Servers>\PCCSRV\Admin\Utility\TMVS, und doppelklicken Sie auf TMVS.exe. Die Trend MicroVulnerability Scanner Konsole wird angezeigt.







5-51

3. Klicken Sie im Abschnitt Manuelle Suche auf Einstellungen.



a. Produktabfrage: Vulnerability Scanner kann feststellen, ob auf denEndpunkten Sicherheitssoftware vorhanden ist. Weitere Informationen findenSie unter Produktabfrage auf Seite 5-56.

b. OfficeScan Server-Einstellungen: Konfigurieren Sie diese Einstellungen,wenn Vulnerability Scanner den Client automatisch auf ungeschütztenRechnern installieren soll. Über diese Einstellungen können derübergeordnete Server des OfficeScan Clients und die Anmeldedaten desAdministrators auf den Host-Rechnern ermittelt werden. WeitereInformationen finden Sie unter Einstellungen des OfficeScan Servers auf Seite 5-64.

Hinweis

Bestimmte Bedingungen können die Installation des OfficeScan Clients auf dieZiel-Host-Rechner verhindern. Weitere Informationen finden Sie unterRichtlinien: Installation des OfficeScan Clients mit Hilfe von Vulnerability Scanner auf Seite5-44.

c. Benachrichtigungen: Vulnerability Scanner kann die Ergebnisse derSchwachstellensuche an die OfficeScan Administratoren senden. Er kannauch Benachrichtigungen auf ungeschützten Host-Rechnern anzeigen.Weitere Informationen finden Sie unter Benachrichtigungen auf Seite 5-61.

d. Ergebnisse speichern: Zusätzlich zum Versenden der Ergebnisse derSchwachstellensuche an die Administratoren kann Vulnerability Scanner dieErgebnisse in einer .csv-Datei speichern. Weitere Informationen finden Sieunter Ergebnisse der Suche nach Schwachstellen auf Seite 5-62.


Das Fenster mit den Einstellungen wird geschlossen.

6. Klicken Sie in der Tabelle Ergebnisse auf die Registerkarte DHCP-Suche.


5-52

HinweisDie Registerkarte DHCP-Suche ist auf Computern unter Windows Server 2008,Windows 7, Windows 8 und Windows Server 2012 nicht verfügbar.

7. Klicken Sie auf Start.

Der Vulnerability Scanner wartet nun auf DHCP-Anfragen und untersucht dannalle Computer, die sich im Netzwerk anmelden.

8. Um die Ergebnisse in einer komma-separierte Datei im CSV-Format zu speichern,klicken Sie auf Exportieren, navigieren Sie zu dem Ordner, in dem die Dateigespeichert werden soll, geben Sie den Dateinamen ein, und klicken Sie aufSpeichern.

Eine zeitgesteuerte Schwachstellensuche konfigurieren

Prozedur

1. Um die Schwachstellensuche auf dem OfficeScan Server-Computer auszuführen,navigieren Sie zu <Installationsordner des Servers>\PCCSRV\Admin\Utility\TMVS,und doppelklicken Sie auf TMVS.exe. Die Trend Micro Vulnerability ScannerKonsole wird angezeigt. Eine Schwachstellensuche auf einem anderen Computerunter Windows Server 2003, Server 2008, Vista, 7, 8 oder Server 2012 ausführen:






2. Gehen Sie zum Abschnitt Zeitgesteuerte Suche.


5-53

3. Klicken Sie auf Hinzufügen/Bearbeiten.

Das Fenster Zeitgesteuerte Suche wird angezeigt.


a. Name: Geben Sie einen Namen für die zeitgesteuerte Schwachstellensucheein.

b. IP-Adressbereich: Geben Sie den IP-Adressbereich der Computer ein, dieSie überprüfen möchten.

i. Geben Sie einen IPv4-Adressbereich ein.

Hinweis

Vulnerability Scanner kann IPv4-Adressbereiche nur dann abfragen, wenndas Tool auf einem reinen IPv4- oder Dual-Stack-Host-Rechner mitverfügbarer IPv4-Adresse ausgeführt wird. Der Vulnerability Scannerunterstützt nur einen IP-Adressbereich der Klasse B, z. B. 168.212.1.1 bis168.212.254.254.

ii. Geben Sie bei einem IPv6-Adressbereich das IPv6-Präfix und die Längeein.

Hinweis

Vulnerability Scanner kann IPv6-Adressbereiche nur dann abfragen, wenndas Tool auf einem reinen IPv6- oder Dual-Stack-Host-Rechner mitverfügbarer IPv6-Adresse ausgeführt wird.

c. Zeitplan: Geben Sie die Startzeit im 24-Stunden-Format an, und wählen Sie,wie oft die Suche durchgeführt werden soll. Zur Auswahl stehen "Täglich","Wöchentlich" oder "Monatlich".

d. Einstellungen: Wählen Sie, welche Reihe von Einstellungen derSchwachstellensuche verwendet werden soll.

• Wählen Sie Aktuelle Einstellungen verwenden, wenn Sie manuelleEinstellungen für die Schwachstellensuche konfiguriert haben und dieseverwenden wollen. Weitere Informationen zur manuellen Suche nach


5-54

Schwachstellen finden Sie unter Eine manuelle Schwachstellensuche ausführenauf Seite 5-47.

• Wenn Sie keine manuellen Einstellungen für die Schwachstellensuchekonfiguriert haben oder wenn Sie eine andere Reihe von Einstellungenverwenden wollen, wählen Sie Einstellungen ändern und klicken dannauf Einstellungen. Das Fenster Einstellungen wird angezeigt.

Sie können folgende Einstellungen konfigurieren und dann auf OKklicken:

• Ping-Einstellungen: Vulnerability Scanner kann die im Schritt 4bfestgelegten IP-Adressen "anpingen", um zu überprüfen, ob siezurzeit verwendet werden. Wenn ein Ziel-Host-Rechner eine IP-Adresse verwendet, kann Vulnerability Scanner das Betriebssystemdes Host-Rechners ermitteln. Weitere Informationen finden Sieunter Ping-Einstellungen auf Seite 5-63.

• Methode zum Abrufen von Computerbeschreibungen: VonHost-Rechnern, die auf den "Ping"-Befehl antworten, kannVulnerability Scanner zusätzliche Informationen abfragen. WeitereInformationen finden Sie unter Methode zum Abrufen vonComputerbeschreibungen auf Seite 5-60.

• Produktabfrage: Vulnerability Scanner kann feststellen, ob auf denEndpunkten Sicherheitssoftware vorhanden ist. WeitereInformationen finden Sie unter Produktabfrage auf Seite 5-56.

• OfficeScan Server-Einstellungen: Konfigurieren Sie dieseEinstellungen, wenn Vulnerability Scanner den Client automatischauf ungeschützten Rechnern installieren soll. Über dieseEinstellungen können der übergeordnete Server des OfficeScanClients und die Anmeldedaten des Administrators auf den Host-Rechnern ermittelt werden. Weitere Informationen finden Sie unterEinstellungen des OfficeScan Servers auf Seite 5-64.


5-55

Hinweis

Bestimmte Bedingungen können die Installation des OfficeScanClients auf die Ziel-Host-Rechner verhindern. WeitereInformationen finden Sie unter Richtlinien: Installation des OfficeScanClients mit Hilfe von Vulnerability Scanner auf Seite 5-44.

• Benachrichtigungen: Vulnerability Scanner kann die Ergebnisseder Schwachstellensuche an die OfficeScan Administratorensenden. Er kann auch Benachrichtigungen auf ungeschützten Host-Rechnern anzeigen. Weitere Informationen finden Sie unterBenachrichtigungen auf Seite 5-61.

• Ergebnisse speichern: Zusätzlich zum Versenden der Ergebnisseder Schwachstellensuche an die Administratoren kann VulnerabilityScanner die Ergebnisse in einer .csv-Datei speichern. WeitereInformationen finden Sie unter Ergebnisse der Suche nach Schwachstellenauf Seite 5-62.


Das Fenster Zeitgesteuerte Suche wird geschlossen. Die zeitgesteuerteSchwachstellensuche, die Sie erstellt haben, wird im Abschnitt ZeitgesteuerteSuche angezeigt. Wenn Sie Benachrichtigungen aktiviert haben, erhalten Sie vonVulnerability Scanner die Suchergebnisse der zeitgesteuerten Schwachstellensuche.

6. Um die zeitgesteuerte Schwachstellensuche sofort auszuführen, klicken Sie aufJetzt ausführen.

Die Ergebnisse der Schwachstellensuche werden in der Tabelle Ergebnisse aufder Registerkarte Zeitgesteuerte Suche angezeigt.

Hinweis

Wenn auf dem Computer Windows Server 2008 oder Windows Server 2012ausgeführt wird, werden in der Tabelle Ergebnisse keine Informationen über dieMAC-Adresse angezeigt.

7. Sollen die Ergebnisse in einer komma-separierten Datei (CSV-Format ) gespeichertwerden, klicken Sie auf Exportieren, navigieren Sie zu dem Ordner, in dem die


5-56

Datei gespeichert werden soll, geben Sie den Dateinamen ein, und klicken Sie aufSpeichern.

Einstellungen für die Suche nach Schwachstellen

Einstellungen für die Suche nach Schwachstellen werden direkt im Trend MicroVulnerability Scanner (TMVS.exe) oder in der Datei TMVS.ini vorgenommen.

HinweisWeitere Informationen dazu, wie Debug-Protokolle für Vulnerability Scanner erfasstwerden, finden Sie unter Server-Debug-Protokolle unter Verwendung von LogServer.exe auf Seite18-3.

Produktabfrage

Vulnerability Scanner kann feststellen, ob auf den Clients Sicherheitssoftware vorhandenist. Die folgende Tabelle erläutert, wie Vulnerability Scanner die Sicherheitsprodukteüberprüft:

TABELLE 5-14. Sicherheitsprodukte, die von Vulnerability Scanner überprüft werden

PRODUCT BESCHREIBUNG

ServerProtect fürWindows

Der Vulnerability Scanner verwendet den RPC-Endpunkt, umzu überprüfen, ob SPNTSVC.exe ausgeführt wird. Diezurückgegebenen Informationen beinhalten Betriebssystemund Viren-Scan-Engine sowie Viren-Pattern- undProduktversion. Der Vulnerability Scanner kann denServerProtect Information Server oder die ServerProtectManagement-Konsole nicht erkennen.

ServerProtect für Linux Wenn auf dem Zielcomputer kein Windows Betriebssystemausgeführt wird, überprüft der Vulnerability Scanner, obServerProtect für Linux installiert ist, indem versucht wird,eine Verbindung mit Port 14942 aufzubauen.


5-57


OfficeScan Client Vulnerability Scanner überprüft mit Hilfe des OfficeScanClient-Ports, ob der OfficeScan Client installiert ist. Es wirdaußerdem überprüft, ob der TmListen.exe-Prozessausgeführt wird. Die Portnummern werden automatischabgerufen, wenn das Programm vom Standardspeicherortausgeführt wird.

Wenn Sie Vulnerability Scanner auf einem anderenComputer als dem OfficeScan Server gestartet haben, führenSie eine Überprüfung durch, und verwenden Sieanschließend den Kommunikationsport des anderenComputers.

PortalProtect™ Vulnerability Scanner lädt die Webseite http://localhost:port/PortalProtect/index.html, um zuüberprüfen, ob das Produkt installiert ist.

ScanMail™ for MicrosoftExchange™

Der Vulnerability Scanner lädt die Webseite http://ipaddress:port/scanmail.html, um zu überprüfen, obeine ScanMail Installation vorliegt. Standardmäßig verwendetScanMail Port 16372. Wenn ScanMail eine anderePortnummer verwendet, geben Sie diese Portnummer an.Andernfalls kann ScanMail von Vulnerability Scanner nichterkannt werden.

InterScan™Produktreihe

Vulnerability Scanner lädt die Webseite für unterschiedlicheProdukte, um zu überprüfen, ob die Produkte installiert sind.

• InterScan Messaging Security Suite 5.x: http://localhost:port/eManager/cgi-bin/eManager.htm

• InterScan eManager 3.x: http://localhost:port/eManager/cgi-bin/eManager.htm

• InterScan VirusWall™ 3.x: http://localhost:port/InterScan/cgi-bin/interscan.dll

Trend Micro InternetSecurity™ (PC-cillin)

Der Vulnerability Scanner verwendet Port 40116, um zuüberprüfen, ob Trend Micro Internet Security installiert ist.


5-58


McAfee VirusScanePolicy Orchestrator

Der Vulnerability Scanner sendet ein spezielles Token anden TCP-Port 8081, dem Standardport von ePolicyOrchestrator für die Verbindung zwischen Server und Client.Der Computer mit diesem Antivirus-Produkt verwendet einenspeziellen Token-Typ. Der Vulnerability Scanner kann deneigenständigen McAfee VirusScan nicht erkennen.

Norton Antivirus™Corporate Edition

Der Vulnerability Scanner sendet ein spezielles Token anden UDP-Port 2967, dem Standardport von Norton AntivirusCorporate Edition RTVScan. Der Computer mit diesemAntivirus-Produkt verwendet einen speziellen Token-Typ. DaNorton Antivirus Corporate Edition über UDP kommuniziert,ist die Genauigkeit nicht garantiert. Des Weiteren kann derNetzwerkverkehr die UDP-Wartezeit beeinflussen.

Der Vulnerability Scanner erkennt Produkte und Computer, die die folgendenProtokolle verwenden:

• RPC: Erkennt ServerProtect for NT

• UDP: Erkennt Norton AntiVirus Corporate Edition-Clients

• TCP: Erkennt McAfee VirusScan ePolicy Orchestrator

• ICMP: Erkennt Computer durch das Versenden von ICMP-Paketen

• HTTP: Erkennt OfficeScan Clients

• DHCP: Wird eine DHCP-Anfrage erkannt, prüft der Vulnerability Scanner, ob aufdem anfragenden Computer bereits eine Antiviren-Software installiert ist.

Einstellungen zur Überprüfung von Produkten konfigurieren

Die Einstellungen zur Überprüfung der Produkte sind eine Unterkategorie derEinstellungen für die Suche nach Schwachstellen. Weitere Informationen zur Suchenach Schwachstellen finden Sie unter Methoden der Schwachstellensuche auf Seite 5-46.

Prozedur

1. Einstellungen zur Überprüfung von Produkten in Vulnerability Scanner(TMVS.exe) vornehmen:


5-59

a. Starten Sie die Datei TMVS.exe.

b. Klicken Sie auf Einstellungen.


c. Gehen Sie zum Abschnitt Product query.

d. Wählen Sie die Produkte, die überprüft werden sollen.

e. Klicken Sie neben dem Produktnamen auf Einstellungen und geben Siedann die Port-Nummer an, die Vulnerability Scanner überprüfen soll.

f. Klicken Sie auf OK.

Das Fenster Einstellungen wird geschlossen.

2. Die Anzahl der Computer festlegen, auf denen Vulnerability Scanner gleichzeitignach Sicherheitssoftware sucht:

a. Navigieren Sie zu <Installationsordner des Servers>\PCCSRV\Admin\Utility\TMVS, und öffnen Sie TMVS.ini mit Hilfe eines Texteditors, z. B. Notepad.

b. Um die Anzahl der Computer festzulegen, die bei der Suche nachSchwachstellen überprüft werden, ändern Sie den Wert fürThreadNumManual. Geben Sie einen Wert zwischen 8 und 64 an.

Geben Sie zum Beispiel ThreadNumManual=60 ein, wenn VulnerabilityScanner 60 Computer gleichzeitig überprüfen soll.

c. Um die Anzahl der Computer festzulegen, die bei der zeitgesteuerten Suchenach Schwachstellen überprüft werden, ändern Sie den Wert fürThreadNumSchedule. Geben Sie einen Wert zwischen 8 und 64 an.

Geben Sie zum Beispiel ThreadNumSchedule=50 ein, wenn VulnerabilityScanner 50 Computer gleichzeitig überprüfen soll.

d. Speichern Sie die Datei TMVS.ini.


5-60

Methode zum Abrufen von Computerbeschreibungen

Wenn Vulnerability Scanner die Host-Rechner "anpingen" kann, kann er zusätzlicheInformationen über die Host-Rechner abfragen. Es gibt zwei Methoden zur Abfragevon Informationen:

• Schnellabfrage: Bei der Schnellabfrage wird nur der Computer-Name abgefragt.

• Normale Abfrage: Fragt Informationen über die Domäne und den Computer ab.

Abfrageeinstellungen konfigurieren

Die Abfrageeinstellungen sind eine Unterkategorie der Einstellungen für die Suche nachSchwachstellen. Weitere Informationen zur Suche nach Schwachstellen finden Sie unterMethoden der Schwachstellensuche auf Seite 5-46.

Prozedur

1. Starten Sie die Datei TMVS.exe.



3. Gehen Sie zum Abschnitt Methode zum Abrufen vonComputerbeschreibungen.

4. Wählen Sie Normal oder Quick.

5. Wenn Sie Normal ausgewählt haben, wählen Sie Computerbeschreibungen beiVerfügbarkeit abrufen.




5-61

Benachrichtigungen

Vulnerability Scanner kann die Ergebnisse der Schwachstellensuche an die OfficeScanAdministratoren senden. Er kann auch Benachrichtigungen auf ungeschützten Host-Rechnern anzeigen.

Einstellungen für die Benachrichtigungen konfigurieren

Die Benachrichtigungseinstellungen sind eine Unterkategorie der Einstellungen für dieSuche nach Schwachstellen. Weitere Informationen zur Suche nach Schwachstellenfinden Sie unter Methoden der Schwachstellensuche auf Seite 5-46.

Prozedur




3. Gehen Sie zum Abschnitt Notifications.

4. Die Ergebnisse der Schwachstellensuche automatisch an Sie selbst oder an andereAdministratoren in Ihrem Unternehmen senden:

a. Wählen Sie Email results to the system administrator.

b. Klicken Sie auf Konfigurieren, um die E-Mail-Einstellungen festzulegen.

c. Geben Sie in das Feld An die E-Mail-Adresse des Empfängers ein.

d. Geben Sie in das Feld An die E-Mail-Adresse des Empfängers ein.

e. Geben Sie in das Feld SMTP-Server die Adresse des SMTP-Servers ein.

Die Adresse hat das Format smtp.firma.com. Die Angabe des SMTP-Servers ist unbedingt erforderlich.

f. Geben Sie unter Subject einen Betreff für die Nachricht ein, oderübernehmen Sie den Standardbetreff.

g. Klicken Sie auf OK.


5-62

5. Die Benutzer darüber informieren, dass auf ihren Computern keineSicherheitssoftware installiert ist:

a. Wählen Sie Display a notification on unprotected computers.

b. Klicken Sie auf Anpassen, um die Benachrichtigung zu konfigurieren.

c. Geben Sie im Fenster Benachrichtigung eine eigene Meldung ein, oderverwenden Sie den Standardtext.

d. Klicken Sie auf OK.



Ergebnisse der Suche nach Schwachstellen

Sie können die Ergebnisse der Schwachstellensuche in einer komma-separierten Datei(CSV) speichern.

Suchergebnisse konfigurieren

Die Einstellungen zur Speicherung der Ergebnisse der Schwachstellensuche sind eineUnterkategorie der Einstellungen der Schwachstellensuche. Weitere Informationen zurSuche nach Schwachstellen finden Sie unter Methoden der Schwachstellensuche auf Seite 5-46.

Prozedur




3. Gehen Sie zum Abschnitt Save results.

4. Wählen Sie Automatically save the results to a CSV file.

5. Den Standardspeicherordner für die CSV-Datei ändern:

a. Klicken Sie auf Durchsuchen.


5-63

b. Wählen Sie einen Zielordner auf dem Computer oder im Netzwerk.

c. Klicken Sie auf OK.



Ping-Einstellungen

Verwenden Sie die "Ping"-Einstellungen, um das Vorhandensein eines Zielrechners zuüberprüfen und dessen Betriebssystem festzustellen. Wenn diese Einstellungendeaktiviert sind, durchsucht Vulnerability Scanner alle IP-Adressen innerhalb desvorgegebenen IP-Adressbereichs – sogar solche, die auf keinem Host-Rechnerverwendet werden –, und macht dadurch den Suchvorgang länger als er sein sollte.

Ping-Einstellungen konfigurieren

Die Ping-Einstellungen sind eine Unterkategorie der Einstellungen derSchwachstellensuche. Weitere Informationen zur Suche nach Schwachstellen finden Sieunter Methoden der Schwachstellensuche auf Seite 5-46.

Prozedur

1. Ping-Einstellungen in Vulnerability Scanner (TMVS.exe) vornehmen:

a. Starten Sie die Datei TMVS.exe.

b. Klicken Sie auf Einstellungen.


c. Gehen Sie zum Abschnitt Ping-Einstellungen.

d. Wählen Sie Allow Vulnerability Scanner to ping computers on yournetwork to check their status.

e. Übernehmen oder ändern Sie die Standardwerte in den Feldern Packet sizeund Timeout.


5-64

f. Wählen Sie Detect the type of operating system using ICMP OSfingerprinting.

Wenn Sie diese Option wählen, bestimmt Vulnerability Scanner, ob auf einemHost-Rechner Windows oder ein anderes Betriebssystem läuft. Bei Host-Rechnern mit Windows kann Vulnerability Scanner die Version von Windowsfeststellen.

g. Klicken Sie auf OK.


2. Legen Sie die Anzahl der Computer fest, an die Vulnerability Scanner gleichzeitigPings sendet:

a. Navigieren Sie zu <Installationsordner des Servers>\PCCSRV\Admin\Utility\TMVS, und öffnen Sie TMVS.ini mit Hilfe eines Texteditors, z. B. Notepad.

b. Ändern Sie den Wert für EchoNum. Geben Sie einen Wert zwischen 1 und 64an.

Geben Sie zum Beispiel EchoNum=60 ein, wenn Vulnerability Scanner Pingsan 60 Computer gleichzeitig senden soll.

c. Speichern Sie die Datei TMVS.ini.

Einstellungen des OfficeScan Servers

OfficeScan Server-Einstellungen werden verwendet, wenn:

• Vulnerability Scanner den OfficeScan Client auf ungeschützten Zielrechnerninstalliert. Über die Server-Einstellungen kann Vulnerability Scanner denübergeordneten Server des OfficeScan Clients und die Administratordaten zurAnmeldung auf den Zielrechnern ermitteln.

Hinweis

Bestimmte Bedingungen können die Installation des OfficeScan Clients auf die Ziel-Host-Rechner verhindern. Weitere Informationen finden Sie unter Richtlinien:Installation des OfficeScan Clients mit Hilfe von Vulnerability Scanner auf Seite 5-44.


5-65

• Vulnerability Scanner versendet Client-Installationsprotokolle an den OfficeScanServer.

Einstellungen des OfficeScan Servers konfigurieren

Die OfficeScan Server-Einstellungen sind eine Unterkategorie der Einstellungen für dieSuche nach Schwachstellen. Weitere Informationen zur Suche nach Schwachstellenfinden Sie unter Methoden der Schwachstellensuche auf Seite 5-46.

Prozedur




3. Gehen Sie zum Abschnitt OfficeScan server Einstellungen.

4. Geben Sie den Namen und die Portnummer des OfficeScan Servers ein.

5. Wählen Sie Auto-install OfficeScan client on unprotected computers.

6. Die Anmeldedaten zur Administration konfigurieren:

a. Klicken Sie auf Install to Account.

b. Geben Sie im Fenster Kontoinformationen einen Benutzernamen und einKennwort ein.

c. Klicken Sie auf OK.

7. Wählen Sie Send logs to the OfficeScan server.




5-66

Installation bei Einhaltung von Sicherheitsrichtlinien

Installieren Sie OfficeScan Clients auf Computern innerhalb der Netzwerkdomänenoder installieren Sie mit Hilfe der IP-Adresse den OfficeScan Client auf einemZielcomputer.

Bevor Sie den OfficeScan Client installieren, beachten Sie Folgendes:

Prozedur

1. Notieren Sie die Anmeldedaten für jeden Computer. OfficeScan wird Sie währendder Installation auffordern, die Anmeldedaten einzugeben.

2. Der OfficeScan Client wird unter folgenden Voraussetzungen nicht auf einemComputer installiert:

• Der OfficeScan Server ist auf dem Computer installiert.

• Auf dem Computer wird Windows XP Home, Windows Vista Home Basic,Windows Vista Home Premium, Windows 7™ Starter, Windows 7 HomeBasic, Windows 7 Home Premium oder Windows 8 (Basic-Versionen)ausgeführt. Wählen Sie eine andere Installationsmethode bei Computern mitdiesen Betriebssystemen. Weitere Informationen finden Sie unter Überlegungenzur Verteilung auf Seite 5-11.

3. Wenn auf dem Zielcomputer Windows Vista (Business, Enterprise oder UltimateEdition), Windows 7 (Professional, Enterprise oder Ultimate Edition), Windows 8(Pro, Enterprise) oder Windows Server 2012 (Standard) ausgeführt wird, führen Siedie folgenden Schritte auf dem Computer aus:

a. Aktivieren Sie ein integriertes Administratorkonto, und richten Sie dasKennwort für das Konto ein.

b. Deaktivieren Sie die Windows Firewall.

c. Klicken Sie auf Starten > Programme > Administrator-Tools >Windows-Firewall mit erweiterter Sicherheit.

d. Setzen Sie den Status der Firewall für Domänenprofil, Privates Profil undÖffentliches Profil auf "Aus".


5-67

e. Öffnen Sie die Microsoft Management-Konsole (klicken Sie auf Start >Ausführen, und geben Sie services.msc ein), und starten Sie denRemote-Registrierungsdienst. Installieren Sie den OfficeScan Client mitdem integrierten Administratorkonto und -kennwort.

4. Wenn sich auf dem Computer Sicherheitsprogramme für Endpunkte von TrendMicro oder Fremdherstellern befinden, überprüfen Sie, ob OfficeScan die Softwareautomatisch deinstallieren und durch den OfficeScan Client ersetzen kann. Umeine Liste der Client-Sicherheitssoftware anzuzeigen, die OfficeScan automatischdeinstalliert, öffnen Sie die folgenden Dateien unter <Installationsordner des Servers>\PCCSRV\Admin. Sie können diese Dateien mit Hilfe eines Texteditors wiebeispielsweise Notepad öffnen.

• tmuninst.ptn

• tmuninst_as.ptn

Wenn die auf dem Zielcomputer installierte Software nicht in der Liste enthaltenist, müssen Sie sie zuerst deinstallieren. Je nach Deinstallationsverfahren muss derComputer nach der Deinstallation unter Umständen neu gestartet werden.


Prozedur

1. Navigieren Sie zu Einhaltung von Sicherheitsrichtlinien > AusgelagerteSerververwaltung.

2. Klicken Sie oben in der Client-Hierarchie auf Installieren.

• Wenn auf dem Computer bereits eine frühere Version des OfficeScan Clientsinstalliert ist und Sie auf Installieren klicken, wird die Installationübersprungen und der Client wird nicht auf diese Version aktualisiert. Um denClient upzugraden, muss eine Einstellung deaktiviert werden.

a. Navigieren Sie zu Netzwerkcomputer > Client-Verwaltung.

b. Klicken Sie auf die Registerkarte Einstellungen > Berechtigungenund andere Einstellungen > Andere Einstellungen.


5-68

c. Deaktivieren Sie die Einstellung Clients können Komponentenaktualisieren, aber kein Upgrade des Clients durchführen oderHotfixes verteilen.

3. Geben Sie für jeden Computer das Anmeldekonto für den Administrator an, undklicken Sie auf Anmelden. OfficeScan beginnt mit der Installation des Clients aufdem Zielcomputer.

4. Zeigen Sie den Installationstatus an.

Migration zum OfficeScan ClientErsetzen Sie Sicherheitssoftware, die auf dem Zielcomputer installiert ist, durch denOfficeScan Client.

Migration von einer anderen Endpunkt-Sicherheitssoftware

Bei der Installation des OfficeScan Clients überprüft das Installationsprogramm, ob aufdem Zielcomputer Endpunkt-Sicherheitssoftware von Trend Micro oderFremdherstellern installiert ist. Das Installationsprogramm kann die Softwareautomatisch deinstallieren und sie durch den OfficeScan Client ersetzen.

Um eine Liste der Endpunkt-Sicherheitssoftware anzuzeigen, die OfficeScanautomatisch deinstalliert, öffnen Sie die folgenden Dateien unter <Installationsordner desServers>\PCCSRV\Admin. Öffnen Sie diese Dateien mit Hilfe eines Texteditors, z. B.Notepad.

• tmuninst.ptn

• tmuninst_as.ptn

Wenn die auf dem Zielcomputer installierte Software nicht in der Liste enthalten ist,müssen Sie sie zuerst deinstallieren. Je nach Deinstallationsverfahren muss derComputer nach der Deinstallation unter Umständen neu gestartet werden.


5-69

Probleme bei der OfficeScan Client-Migration• Starten Sie den Computer neu, falls der Client zwar automatisch migriert wurde, bei

den Benutzern jedoch unmittelbar nach der Installation Probleme mit demOfficeScan Client auftreten.

• Wenn das OfficeScan Installationsprogramm die Installation fortsetzt, derOfficeScan Client jedoch nicht in der Lage war, die Sicherheitssoftware zudeinstallieren, kommt es zu Konflikten zwischen den beiden Programmen.Deinstallieren Sie die beiden Programme, und installieren Sie anschließend denOfficeScan Client mit Hilfe einer der Installationsmethoden, die unter Überlegungenzur Verteilung auf Seite 5-11 beschrieben werden.

Migration von ServerProtect Normal ServernMit dem ServerProtect™ Normal Server Migration Tool können Sie Computer, aufdenen Trend Micro ServerProtect Normal Server ausgeführt wird, zu OfficeScan Clientsmigrieren.

Für das ServerProtect Normal Server Migration Tool gelten die gleichen Hardware- undSoftware-Voraussetzungen wie für den OfficeScan Server. Führen Sie das Tool aufComputern mit Windows Server 2003 oder Windows Server 2008 aus.

Nach der Deinstallation des ServerProtect Normal Servers installiert das Toolautomatisch den OfficeScan Client. Dabei werden ebenfalls die Einstellungen für dieAusschlussliste der Suche (für alle Suchtypen) auf den OfficeScan Client migriert.

Bei der Installation des OfficeScan Clients kommt es in manchen Fällen zu einerZeitüberschreitung des Client-Installationsprogramms für das Migration Tool, und Sieerhalten eine Benachrichtigung, dass die Installation erfolglos verlaufen ist. DerOfficeScan Client kann aber dennoch ordnungsgemäß installiert worden sein.Überprüfen Sie die Installation auf dem Client-Computer über die OfficeScanWebkonsole.

Unter den folgenden Umständen ist keine Migration möglich:

• Der Remote-Client hat nur eine IPv6-Adresse. Das Migration Tool unterstütztkeine IPv6-Adressierung.

• Der Remote-Client kann das NetBIOS-Protokoll nicht verwenden.


5-70

• Die Ports 455, 337 und 339 sind gesperrt.

• Der Remote-Client kann das RPC-Protokoll nicht verwenden.

• Der Remote-Registrierungsdienst wird beendet.

HinweisDas ServerProtect Normal Server Migration Tool deinstalliert den Control Manager™Agent für ServerProtect nicht. Weitere Informationen über die Deinstallation des Agentsfinden Sie in der ServerProtect Dokumentation und/oder der Control ManagerDokumentation.

Das ServerProtect Normal Server Migration Tool verwenden

Prozedur

1. Öffnen Sie auf dem OfficeScan Server den Ordner <Installationsordner des Servers>\PCCSRV\Admin\Utility\SPNSXfr, und kopieren Sie die DateienSPNSXfr.exe und SPNSX.ini in den Ordner <Installationsordner desServers>\PCCSRV\Admin.

2. Doppelklicken Sie auf die Datei SPNSXfr.exe, um das Tool auszuführen.

Die Konsole des Server Protect Normal Server Migration Tools wird geöffnet.

3. Wählen Sie den OfficeScan Server aus. Der Pfad des OfficeScan Servers wird unter"OfficeScan Server-Pfad" angezeigt. Ist der Pfad falsch, klicken Sie auf Browseund wählen den Ordner PCCSRV in dem Verzeichnis, in dem Sie OfficeScaninstalliert haben. Damit der OfficeScan Server beim nächsten Öffnen des Toolsautomatisch gesucht wird, aktivieren Sie das Kontrollkästchen Pfad des AutoFind Servers (voreingestellt).

4. Wählen Sie die Computer aus, auf denen ServerProtect Normal Server ausgeführtwird und auf denen Sie die Migration durchführen wollen, indem Sie unter Targetcomputer auf eine der folgenden Optionen klicken:

• Windows Netzwerkstruktur: Zeigt eine Hierarchie aller Domänen imNetzwerk an. Um Computer mit dieser Methode auszuwählen, klicken Sie aufdie Domänen, in denen nach Client-Computern gesucht werden soll.


5-71

• Name Informations-Server: Suche über den Namen des InformationServers. Zur Auswahl der Computer mit dieser Methode geben Sie denNamen eines Information Servers im Netzwerk in das Textfeld ein. Bei derSuche nach mehreren Information Servern trennen Sie die einzelnenServernamen jeweils durch einen Strichpunkt ;.

• Bestimmter Normal Server: Die Suche erfolgt über den Namen des NormalServers. Zur Auswahl der Computer mit dieser Methode geben Sie denNamen eines Normal Servers im Netzwerk in das Textfeld ein. Trennen Siefür die Suche nach mehreren Normal Servern die jeweiligen Servernamendurch Strichpunkt ";".

• Suche im IP-Bereich: Suche über einen Bereich von IP-Adressen. ZurAuswahl der Computer mit dieser Methode geben Sie unter IP range einenBereich von IP-Adressen der Klasse B ein.

Hinweis

Wenn ein DNS-Server im Netzwerk bei der Suche nach Clients nicht antwortet, wirdder Suchvorgang unterbrochen. Warten Sie, bis die Zeitüberschreitung erreicht ist.

5. Aktivieren Sie Nach der Installation neu starten, um die Zielcomputer nach derMigration automatisch neu zu starten.

Ein Neustart ist erforderlich, damit die Migration erfolgreich abgeschlossen werdenkann. Wenn Sie das Kontrollkästchen nicht aktivieren, müssen Sie die Computernach der Migration manuell neu starten.

6. Klicken Sie auf Suchen.

Die Suchergebnisse werden unter ServerProtect Normal Servers angezeigt.

7. Klicken Sie auf die Computer, auf denen die Migration durchgeführt werden soll.

a. Um alle Computer auszuwählen, klicken Sie auf Select all.

b. Um die Auswahl für alle Computer aufzuheben, klicken Sie Auswahl für alleaufheben.

c. Um die Liste als komma-separierte Datei im CSV-Format zu exportieren,klicken Sie auf In CSV-Datei exportieren.


5-72

8. Falls zur Anmeldung an den Zielcomputern ein Benutzername und ein Kennwortbenötigt werden, gehen Sie folgendermaßen vor:

a. Aktivieren Sie das Kontrollkästchen Use group account/password.

b. Klicken Sie auf Set User Logon Account.

Das Fenster "Enter Administration Information" wird angezeigt.

c. Geben Sie den Benutzernamen und das Kennwort ein.

Hinweis

Melden Sie sich mit dem lokalen oder Domänenadministratorkonto am Client-Computer an. Wenn Sie sich ohne ausreichende Berechtigungen, z. B. als"Gast" oder "Normaler Benutzer" anmelden, können Sie die Installation nichtdurchführen.

d. Klicken Sie auf OK.

e. Klicken Sie auf Ask again if logon is unsuccessful, damit derBenutzername und das Kennwort während der Migration erneut eingegebenwerden können, falls die Anmeldung fehl schlägt.

9. Klicken Sie auf Migrate.

10. Wenn Sie das Kontrollkästchen Nach der Installation neu starten nicht aktivierthaben, starten Sie die Zielcomputer neu, um die Migration abzuschließen.

Nach der InstallationÜberprüfen Sie nach Abschluss der Installation das Folgende:

• Verknüpfung für OfficeScan Client auf Seite 5-73

• Programmliste auf Seite 5-73

• OfficeScan Client-Dienste auf Seite 5-73

• OfficeScan Client-Installationsprotokolle auf Seite 5-74


5-73

Verknüpfung für OfficeScan ClientDie OfficeScan Client-Verknüpfungen werden im Windows Menü "Start" auf demClient-Computer angezeigt.

ABBILDUNG 5-2. Verknüpfung für OfficeScan Client

ProgrammlisteOfficeScan Client auf der Liste Software in der Systemsteuerung des Clientsaufgeführt wird.

OfficeScan Client-DiensteDie folgenden OfficeScan Client-Dienste werden in der Microsoft Management-Konsole aufgeführt:

• OfficeScan NT Listener (TmListen.exe)

• OfficeScan NT Echtzeitsuche (NTRtScan.exe)

• OfficeScan NT Proxy-Dienst (TmProxy.exe)

HinweisDer OfficeScan NT Proxy-Dienst ist auf Windows 8- oder Windows Server 2012-Plattformen nicht vorhanden.


5-74

• OfficeScan NT Firewall (TmPfw.exe); falls die Firewall bei der Installationaktiviert wurde

• Trend Micro Unauthorized Change Prevention Service (TMBMSRV.exe)

OfficeScan Client-InstallationsprotokolleDas OfficeScan Client-Installationsprotokoll OFCNT.LOG befindet sich an denfolgenden Speicherorten:

• %windir% für alle Installationsmethoden außer bei MSI-Paket-Installation

• %temp% für die Installation mit einem MSI-Paket

Empfohlene Aufgaben nach der InstallationTrend Micro empfiehlt, im Anschluss an die Installation folgende Aufgabendurchzuführen.

Komponenten-Updates

Aktualisieren Sie die OfficeScan Client-Komponenten, damit die Clients über denneuesten Schutz vor Sicherheitsrisiken verfügen. Sie können die Clients manuell über dieWebkonsole aktualisieren oder die Benutzer auffordern, den Befehl "Jetzt installieren"auf ihren Computern auszuführen.

Die Suche mit dem EICAR-Testskript testen

EICAR, das europäische Institut für Computervirenforschung, hat das EICAR-Testskript zur gefahrlosen Überprüfung der Installation und Konfiguration IhrerAntiviren-Software entwickelt. Weitere Informationen finden Sie auf der EICAR-Website:

http://www.eicar.org

Das EICAR-Testskript ist eine inaktive Textdatei mit der Erweiterung .com. DiesesSkript ist kein Virus und enthält auch keinen Virencode. Die meisten Antiviren-

http://www.eicar.org


5-75

Programme reagieren jedoch auf dieses Skript wie auf einen Virus. Sie können mit demSkript einen Virenvorfall simulieren und sicherstellen, dass die E-Mail-Benachrichtigungen und die Virenprotokolle einwandfrei funktionieren.

Warnung!Testen Sie Ihre Antiviren-Software niemals mit echten Viren.

Eine Testsuche durchführen

Prozedur

1. Aktivieren Sie die Echtzeitsuche auf dem Client.

2. Kopieren Sie die folgende Zeichenfolge, und fügen Sie sie in WordPad oder einenanderen Texteditor ein: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

3. Speichern Sie die Datei unter dem Namen EICAR.com in ein temporäresVerzeichnis. Die Datei sollte von OfficeScan sofort als vireninfiziert erkanntwerden.

4. Um weitere Computer im Netzwerk zu testen, senden Sie die Datei EICAR.comper E-Mail an die betreffenden Computer.

TippTrend Micro empfiehlt, dass Sie die EICAR-Datei mit einerKomprimierungssoftware (wie z. B. WinZip) komprimieren und anschließend eineweitere Testsuche durchführen.

OfficeScan Client-DeinstallationEs gibt zwei Möglichkeiten, den OfficeScan Client von den Computern zudeinstallieren:

• Den OfficeScan Client von der Webkonsole aus deinstallieren auf Seite 5-76


5-76

• Das Programm zur Deinstallation des OfficeScan Clients ausführen auf Seite 5-78

Wenn auf dem OfficeScan Client ebenfalls Cisco Trust Agent (CTA) installiert ist, wirdbei der Deinstallation des OfficeScan Client-Programms unter Umständen auch derAgent deinstalliert. Dies hängt von den Einstellungen ab, die Sie bei der Verteilung desAgents konfiguriert haben. Weitere Informationen finden Sie unter Cisco Trust Agentverteilen auf Seite 16-30.

Wenn der Cisco Trust Agent nach der Deinstallation des OfficeScan Clients weiterhinvorhanden ist, entfernen Sie ihn manuell über das Fenster Software.

Wenn der OfficeScan Client nicht mit Hilfe der oben erwählten Methode deinstalliertwerden kann, deinstallieren Sie den OfficeScan Client manuell. Weitere Informationenfinden Sie unter Den OfficeScan Client manuell deinstallieren auf Seite 5-79.

Den OfficeScan Client von der Webkonsole ausdeinstallieren

Deinstallieren Sie den OfficeScan Client von der Webkonsole aus. Führen Sie dieDeinstallation nur aus, wenn es zu Problemen mit dem Programm kommt. Führen Sieanschließend sofort eine Neuinstallation durch, um den Computer vor Sicherheitsrisikenzu schützen.

Prozedur


2. Klicken Sie in der Client-Hierarchie auf das Symbol der Root-Domäne ( ), umalle Clients einzuschließen, oder wählen Sie bestimmte Domänen oder Clients aus.

3. Klicken Sie auf Aufgaben > Client-Deinstallation.

4. Klicken Sie im Fenster Client-Deinstallation auf Deinstallation starten. DerServer sendet eine Benachrichtigung an die Clients.

5. Überprüfen Sie den Benachrichtigungsstatus und ob alle Clients benachrichtigtwurden.


5-77

a. Klicken Sie auf Nicht benachrichtigte Computer auswählen undanschließend auf Deinstallation starten, um die Benachrichtigung erneut annoch nicht benachrichtige Clients zu senden.

b. Klicken Sie auf Deinstallation beenden, damit OfficeScan dieBenachrichtigung abbricht. Bereits benachrichtigte Clients und Clients, diebereits deinstalliert werden, ignorieren diesen Befehl.

Das Client-Deinstallationsprogramm von OfficeScanBenutzer, die Sie zur Deinstallation des OfficeScan Client-Programms berechtigen,können angewiesen werden, das Client-Deinstallationsprogramm auf ihren Computernauszuführen.

Abhängig von Ihrer Konfiguration kann zur Deinstallation eventuell ein Kennworterforderlich sein. Stellen Sie sicher, falls ein Kennwort erforderlich ist, dass Sie diesesnur solchen Benutzern mitteilen, die das Deinstallationsprogramm ausführen, undändern Sie das Kennwort sofort, nachdem es an andere Benutzer weitergegeben wurde.

Die Berechtigung zum Deinstallieren des OfficeScan Clientsgewähren

Prozedur



3. Klicken Sie auf Einstellungen > Berechtigungen und andere Einstellungen.

4. Gehen Sie auf der Registerkarte Berechtigungen zum Abschnitt Deinstallation.

5. Um die Deinstallation ohne Kennwort zu erlauben, wählen Sie Dem Benutzererlauben, den OfficeScan Client zu deinstallieren. Ist ein Kennworterforderlich, wählen Sie Den Benutzer zum Deinstallieren des OfficeScanClients zur Eingabe eines Kennworts auffordern, geben Sie dann dasKennwort ein und bestätigen es.


5-78

6. Klicken Sie bei der Auswahl von Domäne(n) oder Client(s) in der Client-Hierarchieauf Speichern. Wenn Sie auf das Stammsymbol geklickt haben, können Sie ausfolgenden Optionen auswählen:

• Auf alle Clients anwenden: Wendet die Einstellungen auf alle vorhandenenClients und auf neu zu einer vorhandenen / zukünftigen Domänehinzukommende an. Zukünftige Domänen sind Domänen, die bei derKonfiguration der Einstellungen noch nicht vorhanden waren.


Das Programm zur Deinstallation des OfficeScan Clientsausführen

Prozedur

1. Klicken Sie im Windows Menü Starten auf Programme > Trend MicroOfficeScan Client > OfficeScan Client deinstallieren.

Sie können auch die folgenden Schritte ausführen:

a. Klicken Sie auf Systemsteuerung > Software.

b. Suchen Sie Trend Micro OfficeScan Client, und klicken Sie auf Ändern.

c. Folgen Sie den Hinweisen auf dem Bildschirm.

2. Wenn Sie dazu aufgefordert werden, geben Sie das Kennwort für die Deinstallationein. OfficeScan informiert den Benutzer über den Verlauf und Abschluss desDeinstallationsvorgangs. Der Benutzer muss zum Abschluss der Deinstallation denClient-Computer nicht neu starten.


5-79

Den OfficeScan Client manuell deinstallierenFühren Sie die manuelle Deinstallation nur aus, wenn beim Deinstallieren desOfficeScan Clients über die Webkonsole oder nach dem Ausführen desDeinstallationsprogramms Probleme auftreten.

Prozedur

1. Melden Sie sich am Client-Computer mit einem Konto mit Administratorrechtenan.

2. Klicken Sie mit der rechten Maustaste in der Task-Leiste auf das Symbol für denOfficeScan Client, und wählen Sie OfficeScan beenden. Wenn Sie aufgefordertwerden, ein Kennwort einzugeben, geben Sie das Kennwort zum Beenden desProgramms an, und klicken Sie anschließend auf OK.

Hinweis

• Wechseln Sie für Windows 8 und Windows Server 2012 in den Desktopmodus,um den OfficeScan-Client zu beenden.

• Deaktivieren Sie das Kennwort auf Computern, auf denen der OfficeScan Cliententfernt wird. Weitere Informationen finden Sie unter Client-Berechtigungen undweitere Einstellungen konfigurieren auf Seite 14-93.

3. Wenn das Kennwort zum Beenden des Programms nicht angegeben wurde,beenden Sie die folgenden Dienste über die Microsoft Management-Konsole:

• OfficeScan NT Listener

• OfficeScan NT Firewall

• OfficeScan NT Echtzeitsuche

• OfficeScan NT Proxy-Dienst

Hinweis

Der OfficeScan NT Proxy-Dienst ist auf Windows 8- oder Windows Server2012-Plattformen nicht vorhanden.


5-80


4. Entfernen Sie die Verknüpfung des OfficeScan Clients aus dem Start-Menü.

• Unter Windows 8 und Windows Server 2012:

a. Wechseln Sie in den Desktopmodus.

b. Bewegen Sie den Mauszeiger in die untere rechte Ecke des Bildschirms,und klicken Sie in dem erscheinenden Menü auf Starten.

Der Startbildschirm wird angezeigt.

c. Klicken Sie mit der rechten Maustaste auf Trend Micro OfficeScan.

d. Klicken Sie auf Vom Startmenü lösen.

• Auf allen anderen Windows-Plattformen:

Klicken Sie auf Start > Programme, klicken Sie mit der rechten Maustasteauf Trend Micro OfficeScan Client, und klicken Sie auf Löschen.

5. Öffnen Sie den Windows Registrierungseditor (regedit.exe).

Warnung!Die nächsten Schritte erfordern, dass Sie Registrierungsschlüssel löschen.Unsachgemäße Änderungen an der Registrierung können zu ernsthaftenSystemproblemen führen. Erstellen Sie immer eine Sicherungskopie, bevor SieÄnderungen an der Registrierung vornehmen. Weitere Informationen finden Sie inder Hilfe zum Registrierungseditor.

6. Löschen Sie die folgenden Registrierungsschlüssel:

• Wenn auf dem Computer keine anderen Produkte von Trend Micro installiertsind:

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro

64-Bit-Computer:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro

• Wenn andere Produkte von Trend Micro auf dem Computer installiert sind,löschen Sie nur die folgenden Schlüssel:


5-81

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\NSC

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfcWatchDog

64-Bit-Computer:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro\OfcWatchDog

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp

64-Bit-Computer:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro\PC-cillinNTCorp

7. Löschen Sie die folgenden Registrierungsschlüssel/Werte:

• Für 32-Bit-Systeme:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OfficeScanNT

• OfficeScanNT Monitor (REG_SZ) unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

• Für 64-Bit-Systeme:

• HKEY_LOCAL_MACHINE\SOFTWARE\ Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\OfficeScanNT

• OfficeScanNT Monitor (REG_SZ) unter HKEY_LOCAL_MACHINE\SOFTWARE\ Wow6432Node\Microsoft\Windows\CurrentVersion\Run

8. Löschen Sie alle Instanzen der folgenden Registrierungsschlüssel an den folgendenSpeicherorten:

• Speicherorte:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services


5-82



• Schlüssel:

• NTRtScan

• tmcfw

• tmcomm

• TmFilter

• TmListen

• tmpfw

• TmPreFilter

• TmProxy

HinweisTmProxy ist auf Windows 8- oder Windows Server 2012-Plattformennicht vorhanden.

• tmtdi

Hinweistmtdi ist auf Windows 8- oder Windows Server 2012-Plattformen nichtvorhanden.

• VSApiNt

• tmlwf (für Computer mit Windows Vista/Server 2008/7/8/Server 2012)

• tmwfp (für Computer mit Windows Vista/Server 2008/7/8/Server2012)

• tmactmon

• TMBMServer


5-83

• TMebc

• tmevtmgr

• tmeevw (für Windows 8/Server 2012)

• tmusa (für Windows 8/Server 2012)

9. Schließen Sie den Registrierungseditor.

10. Klicken Sie auf Starten > Einstellungen > Systemsteuerung, und doppelklickenSie auf System.

Hinweis

Für Windows 8- und Windows Server 2012-Systeme überspringen Sie diesen Schritt.

11. Klicken Sie auf die Registerkarte Hardware, und klicken Sie anschließend aufGerätemanager.

Hinweis


12. Klicken Sie auf Ansicht > Ausgeblendete Geräte anzeigen.

Hinweis


13. Erweitern Sie Nicht-PnP-Treiber, und deinstallieren Sie anschließend diefolgenden Geräte (für Windows XP/Vista/7/Server 2003/Server 2008):

• tmcomm

• tmactmon

• tmevtmgr

• Trend Micro Filter

• Trend Micro PreFilter


5-84

• Trend Micro TDI Driver

• Trend Micro VSAPI NT


• Trend Micro WFP Callout Driver (für Computer mit Windows Vista/Server2008/7)

14. Löschen Sie Trend Micro Treiber manuell mit einem Befehlszeilen-Editor (nurWindows 8/Server 2012) unter Verwendung der folgenden Befehle:

• sc delete tmcomm

• sc delete tmactmon

• sc delete tmevtmgr

• sc delete tmfilter

• sc delete tmprefilter

• sc delete tmwfp

• sc delete vsapint

• sc delete tmeevw

• sc delete tmusa

• sc delete tmebc

Hinweis

Führen Sie den Befehlszeilen-Editor mit Administratorrechten aus (z. B., indem Siemit der rechten Maustaste auf cmd.exe und dann mit der linken Maustaste auf AlsAdministrator ausführen klicken), um sicherzustellen, dass die Befehle erfolgreichausgeführt werden.

15. Deinstallieren Sie den Treiber für die allgemeine Firewall.

a. Klicken Sie mit der rechten Maustaste auf Netzwerkumgebung, und klickenSie auf Eigenschaften.


5-85

b. Klicken Sie mit der rechten Maustaste auf LAN-Verbindung, und klicken Sieauf Eigenschaften.

c. Wählen Sie auf der Registerkarte Allgemein den Trend Micro Treiber fürdie allgemeine Firewall, und klicken Sie auf Deinstallieren.

Hinweis

Die folgenden Schritte gelten nur für die Betriebssysteme Windows Vista/Server 2008/7/8/Server 2012. Fahren Sie bei Clients mit anderenBetriebssystemen mit Schritt 15 fort.

d. Klicken Sie mit der rechten Maustaste auf Netzwerk, und klicken Sie aufEigenschaften.

e. Klicken Sie auf Netzwerkverbindungen verwalten.

f. Klicken Sie mit der rechten Maustaste auf LAN-Verbindung, und klicken Sieauf Eigenschaften.

g. Wählen Sie auf der Registerkarte Netzwerk den Trend Micro NDIS 6.0Filter-Treiber , und klicken Sie auf Deinstallieren.

16. Starten Sie den Client-Computer neu.

17. Wenn keine anderen Produkte von Trend Micro auf dem Computer installiert sind,löschen Sie den Installationsordner von Trend Micro (normalerweise C:\Programme\Trend Micro). Auf 64-Bit-Computern befindet sich derInstallationsordner unter C:\Programme (x86)\Trend Micro.

18. Wenn andere Produkte von Trend Micro installiert sind, löschen Sie die folgendenOrdner:

• <Installationsordner des Clients>

• Den Ordner BM unter dem Installationsordner von Trend Micro(normalerweise C:\Programme\Trend Micro\BM für 32-Bit-Systeme undC:\Programme (x86)\Trend Micro\BM für 64-Bit-Systeme)

6-1

Kapitel 6

Schutzfunktionen aktuell haltenIn diesem Kapitel werden die Komponenten und Update-Verfahren von Trend Micro™OfficeScan™ beschrieben.


• OfficeScan Komponenten und Programme auf Seite 6-2

• Update-Übersicht auf Seite 6-12

• OfficeScan Server-Updates auf Seite 6-15

• Updates für den integrierten Smart Protection Server auf Seite 6-28

• OfficeScan Client-Updates auf Seite 6-28

• Update-Agents auf Seite 6-56

• Komponenten-Update - Zusammenfassung auf Seite 6-66


6-2

OfficeScan Komponenten und ProgrammeOfficeScan verwendet Komponenten und Programme, mit denen Client-Computer vorden neuesten Sicherheitsrisiken geschützt sind. Halten Sie diese Komponenten undProgramme mit manuellen oder zeitgesteuerten Updates auf dem neuesten Stand.

Zusätzlich zu den Komponenten erhalten OfficeScan Clients aktualisierteKonfigurationsdateien vom OfficeScan Server. Clients benötigen dieseKonfigurationsdateien, um neue Einstellungen zu übernehmen. Bei jeder Änderung derOfficeScan Einstellungen über die Webkonsole ändern sich auch dieKonfigurationsdateien.

Die Komponenten sind wie folgt gruppiert:

• Antiviren-Komponenten auf Seite 6-2

• Damage Cleanup Services-Komponenten auf Seite 6-6

• Anti-Spyware-Komponenten auf Seite 6-6

• Firewall-Komponenten auf Seite 6-7

• Web-Reputation-Komponenten auf Seite 6-8

• Komponenten der Verhaltensüberwachung auf Seite 6-8

• Programme auf Seite 6-10

• Komponente des C&C-Kontaktalarmdiensts auf Seite 6-12

Antiviren-Komponenten

Antivirus-Komponenten umfassen die folgenden Pattern, Treiber und Engines:

• Virus-Pattern auf Seite 6-3

• Viren-Scan-Engine auf Seite 6-4

• Virensuchtreiber auf Seite 6-5

• IntelliTrap Pattern auf Seite 6-6

Schutzfunktionen aktuell halten

6-3

• IntelliTrap Ausnahme-Pattern auf Seite 6-6

Virus-Pattern

Das auf einem Clientcomputer verfügbare Viren-Pattern richtet sich nach der auf demClient verwendeten Suchmethode. Weitere Informationen zu Suchmethoden finden Sieunter Suchmethoden auf Seite 7-8.

TABELLE 6-1. Virus-Pattern

SUCHMETHODE PATTERN IN VERWENDUNG

HerkömmlicheSuche

Das Virus-Pattern enthält Informationen, die OfficeScan dabeiunterstützen, die neuesten Viren-/Malware-Bedrohungen undkombinierten Bedrohungen und zu identifizieren. Mehrmals pro Wocheund bei jeder Entdeckung besonders schädlicher Viren- oder Malware-Programme erstellt und veröffentlicht Trend Micro ein neues Viren-Pattern.

Zeitgesteuerte automatische Updates sollten mindestens einmal proStunde durchgeführt werden. Dies ist die Standardeinstellung bei allenausgelieferten Produkten.


6-4

SUCHMETHODE PATTERN IN VERWENDUNG

IntelligenteSuche

Im intelligenten Suchmodus verwenden OfficeScan Clients zweieinfache Pattern, die zusammen denselben Schutz wie herkömmlicheAnti-Malware- und Anti-Spyware-Pattern bieten.

Eine Smart Protection Quelle hostet das -Pattern der intelligentenSuche. Dieses Pattern wird stündlich aktualisiert und enthält dieMehrzahl der Pattern-Definitionen. Clients der intelligenten Sucheladen dieses Pattern nicht herunter. Clients verifizieren potentielleBedrohungen mit Hilfe des Patterns, indem sie Suchabfragen an denSmart Protection Server senden.

Die Client Update-Quelle (OfficeScan Server oder einebenutzerdefinierte Update-Quelle) hostet das Agent Pattern derintelligenten Suche. Dieses Pattern wird täglich aktualisiert undenthält alle anderen Pattern-Definitionen, die beim Pattern derintelligenten Suche nicht gefunden wurden. Clients laden diesesPattern von der Update-Adresse genau so herunter, wie sie andereOfficeScan Komponenten herunterladen.

Weitere Informationen finden zu Pattern der intelligenten Suche undAgent-Pattern der intelligenten Suche finden Sie unter Pattern-Dateienvon Smart Protection auf Seite 4-8.

Viren-Scan-Engine

Das Herzstück aller Trend Micro Produkte bildet die Scan Engine, die ursprünglich alsReaktion auf die ersten dateibasierten Computerviren entwickelt wurde. In ihrerheutigen Form kann sie verschiedene Viren und Malware auf Seite 7-2 erkennen. DieScan Engine entdeckt ebenfalls kontrollierte Viren, die für Forschungszwecke entwickeltund verwendet werden.

Die Scan Engine und die Pattern-Datei analysieren Dateien nicht Byte für Byte, sondernerkennen gemeinsam Folgendes:

• Charakteristische Merkmale im Virencode

• Die genaue Position in einer Datei, an der sich der Virus versteckt

OfficeScan kann entdeckte Viren/Malware entfernen und die Integrität der Dateiwiederherstellen.


6-5

Die Scan Engine aktualisieren

Da die zeitkritischsten Informationen über Viren/Malware im Viren-Pattern gespeichertsind, kann Trend Micro die Anzahl der Scan-Engine-Updates auf ein Mindestmaßreduzieren und gleichzeitig ein hohes Schutzniveau beibehalten. Dennoch stellt TrendMicro in regelmäßigen Abständen neue Versionen der Scan Engine zur Verfügung, undzwar in den folgenden Fällen:

• Neue Technologien zur Suche und Entdeckung von Viren werden in die Softwareintegriert

• Neue, potenziell gefährliche Viren/Malware wurden entdeckt, auf welche die ScanEngine nicht reagieren kann.

• Die Suchleistung wurde verbessert.

• Neue Dateiformate, Skriptsprachen, Kodierungen und/oderKomprimierungsformate werden hinzugefügt.

Virensuchtreiber

Der Virensuchtreiber überwacht die Aktionen, die Benutzer an Dateien durchführen.Diese Aktionen können das Öffnen und Schließen einer Datei sowie die Ausführungeiner Anwendung sein. Dieser Treiber ist in zwei Versionen verfügbar. Es handelt sichdabei um TmXPFlt.sys und TmPreFlt.sys. TmXPFlt.sys wird für dieEchtzeitkonfiguration der Viren-Scan-Engine und TmPreFlt.sys zur Überwachungder Benutzeraktionen verwendet.

HinweisDiese Komponente wird nicht in der Konsole angezeigt. Um die Version dieserKomponente zu überprüfen, wechseln Sie in den Ordner <Installationsordner des Servers>\PCCSRV\Pccnt\Drv. Klicken Sie mit der rechten Maustaste auf die .sys-Datei, wählenSie Eigenschaften, und navigieren Sie zur Registerkarte Version.


6-6

IntelliTrap Pattern

Das IntelliTrap Pattern (weitere Informationen hierzu finden Sie unter IntelliTrap auf SeiteE-7). Das Pattern erkennt in Echtzeit komprimierte Dateien, die als ausführbare Dateiengepackt sind.

IntelliTrap Ausnahme-Pattern

Das IntelliTrap Ausnahme-Pattern enthält eine Liste "zulässiger" komprimierterDateien.

Damage Cleanup Services-KomponentenDie Komponenten der Damage Cleanup Services umfassen die folgende Engine undVorlage.

• Viren-Cleanup-Engine auf Seite 6-6

• Viren-Cleanup-Template auf Seite 6-6

Viren-Cleanup-Engine

Die Viren-Cleanup-Engine sucht und entfernt Trojaner und Trojaner-Prozesse. DieseEngine unterstützt 32-Bit- und 64-Bit-Plattformen.

Viren-Cleanup-Template

Die Viren-Cleanup-Template wird von der Viren-Cleanup-Engine verwendet, umTrojaner-Dateien oder -Prozesse zu erkennen und zu beseitigen.

Anti-Spyware-KomponentenDie Anti-Spyware-Komponenten umfassen die folgende Engine und die folgendenPatterns:

• Spyware-Pattern auf Seite 6-7


6-7

• Spyware-Scan-Engine auf Seite 6-7

• Spyware-Aktivmonitor-Pattern auf Seite 6-7

Spyware-Pattern

Das Spyware-Pattern erkennt Spyware/Grayware in Dateien und Programmen,Speichermodulen, der Windows Registrierung und URL-Verknüpfungen.

Spyware-Scan-Engine

Die Spyware-Scan-Engine sucht nach Spyware/Grayware und nimmt dieentsprechenden Suchaktion vor. Diese Engine unterstützt 32-Bit- und 64-Bit-Plattformen.

Spyware-Aktivmonitor-Pattern

Das Spyware-Aktivmonitor-Pattern wird bei der Echtzeitsuche nach Spyware undGrayware verwendet. Nur Clients der herkömmlichen Suche verwenden dieses Pattern.

Clients der intelligenten Suche verwenden das Agent-Pattern der intelligenten Suche fürdie Echtzeitsuche nach Spyware/Grayware. Clients senden Suchabfragen an eine SmartProtection Quelle, wenn das Risiko des Suchziels während der Suche nicht bestimmtwerden kann.

Firewall-KomponentenDie Firewall-Komponenten umfassen den folgenden Treiber und das folgende Pattern:

• Treiber für die allgemeine Firewall auf Seite 6-8

• Pattern der allgemeinen Firewall auf Seite 6-8


6-8

Treiber für die allgemeine Firewall

Der Allgemeine Firewall-Treiber wird mit dem Allgemeinen Firewall-Pattern verwendet,um Netzwerkviren auf Clientcomputern zu suchen. Dieser Treiber unterstützt 32-Bit-und 64-Bit-Plattformen.

Pattern der allgemeinen Firewall

Ähnlich dem Viren-Pattern unterstützt das Allgemeine Firewall-Pattern OfficeScan beider Suche nach Virensignaturen (speziellen Abfolgen von Bits und Bytes, die auf einenNetzwerkvirus hinweisen).

Web-Reputation-Komponenten

Die Web Reputation-Komponente ist die URL-Filter-Engine.

URL-Filter-Engine

Diese URL-Filter-Engine erleichtert die Kommunikation zwischen OfficeScan und demTrend Micro URL-Filterdienst, der URLs bewertet und die Ergebnisse an OfficeScanweiterleitet.

Komponenten der Verhaltensüberwachung

Die Komponenten der Verhaltensüberwachung umfassen die folgenden Pattern, Treiberund Dienste:

• Erkennungs-Pattern der Verhaltensüberwachung auf Seite 6-9

• Treiber der Verhaltensüberwachung auf Seite 6-9

• Kerndienst der Verhaltensüberwachung auf Seite 6-9

• Pattern zur Konfiguration der Verhaltensüberwachung auf Seite 6-9

• Pattern für digitale Signaturen auf Seite 6-9


6-9

• Pattern der Richtliniendurchsetzung auf Seite 6-10

Erkennungs-Pattern der Verhaltensüberwachung

Dieses Pattern enthält die Regeln für die Erkennung von verdächtigemBedrohungsverhalten.

Treiber der Verhaltensüberwachung

Dieser Treiber im Kernelmodus überwacht Systemereignisse und leitet sie an denKerndienst der Verhaltensüberwachung zwecks Durchsetzung von Sicherheitsrichtlinienweiter.

Kerndienst der Verhaltensüberwachung

Dieser Dienst im Benutzermodus beinhaltet folgende Funktionen:

• Bietet Rootkit-Erkennung

• Reguliert den Zugriff auf externe Geräte

• Schützt Dateien, Registrierungsschlüssel und Dienste

Pattern zur Konfiguration der Verhaltensüberwachung

Der Verhaltensüberwachungstreiber verwendet dieses Pattern, um normaleSystemereignisse zu erkennen und diese bei der Durchsetzung von Sicherheitsrichtlinienauszuschließen.

Pattern für digitale Signaturen

Dieses Muster enthält eine Liste mit gültigen digitalen Signaturen, die vom Kerndienstder Verhaltensüberwachung verwendet werden, um festzulegen, ob ein für einSystemereignis verantwortliches Programm sicher ist.


6-10

Pattern der Richtliniendurchsetzung

Der Kerndienst der Verhaltensüberwachung überprüft Systemereignisse hinsichtlich derRichtlinien in diesem Pattern.

Programme

OfficeScan nutzt die folgenden Programme und Produkt-Updates:

• OfficeScan Client-Programm auf Seite 6-10

• Cisco Trust Agent auf Seite 6-10

• Hotfixes, Patches und Service Packs auf Seite 6-10

OfficeScan Client-Programm

Das OfficeScan Client-Programm dient dem Schutz vor Sicherheitsrisiken.

Cisco Trust Agent

Der Cisco Trust Agent ermöglicht die Kommunikation zwischen dem Client undRoutern mit Cisco NAC-Unterstützung. Dieser Agent funktioniert nur, wenn Sie denPolicy Server für Cisco NAC installieren.

Hotfixes, Patches und Service Packs

Nach der Veröffentlichung eines Produkts entwickelt Trend Micro oft Folgendes zurProblembehebung, Leistungsverbesserung oder Funktionserweiterung:

• Hotfix auf Seite E-5

• Patch auf Seite E-10

• Sicherheits-Patch auf Seite E-11

• Service Pack auf Seite E-12


6-11

Ihr Händler bzw. Ihr Support-Anbieter informiert Sie ggf. bei Verfügbarkeit dieserProdukte. Weitere Informationen über neu veröffentlichte Hotfixes, Patches undService Packs finden Sie auch auf der Trend Micro Website unter:

http://www.trendmicro.com/download/emea/?lng=de

Jede Veröffentlichung enthält eine Readme-Datei mit Informationen über Installation,Verteilung und Konfiguration. Lesen Sie die Readme vor der Installation aufmerksamdurch.

Hotfix- und Patch-Verlauf

Wenn der OfficeScan Server Hotfixes oder Patch-Dateien an OfficeScan Clients verteilt,zeichnet das Clientp-Programm Informationen zum Hotfix oder Patch in derRegistrierungsdatenbank auf. Sie können diese Informationen für mehrere Clients mitHilfe von Verwaltungssoftware wie Microsoft SMS, LANDesk™ oder BigFix™abfragen.

Hinweis

Diese Funktion zeichnet keine Hotfixes und Patches auf, die nur an den Server verteiltwerden.

Diese Funktion steht ab OfficeScan 8.0 mit Service Pack 1 und Patch 3,1 zur Verfügung.

• Clients, bei denen ein Upgrade von Version 8.0 Service Pack 1 mit Patch 3.1 oderhöher durchgeführt wurde, zeichnen installierte Hotfixes und Patches für Version8.0 und höher auf.

• Clients, bei denen ein Upgrade von früheren Versionen als 8.0 Service Pack 1 mitPatch 3.1 durchgeführt wurde, zeichnen installierte Hotfixes und Patches fürVersion 10.0 und höher auf.

Die Informationen werden in den folgenden Schlüsseln gespeichert:

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\HotfixHistory\<Product version>

• Für Computer auf einer x64-Plattform:



6-12

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\ PC-cillinNTCorp\CurrentVersion\HotfixHistory\<Product version>

Prüfen Sie, ob die folgenden Schlüssel vorhanden sind:

• Schlüssel: HotFix_installed

Typ: REG_SZ

Wert: <Hotfix- oder Patch-Name>

• Schlüssel: HotfixInstalledNum

Typ: DWORD

Wert: <Hotfix- oder Patch-Nummer>

Komponente des C&C-KontaktalarmdienstsDie Komponente des C&C-Kontaktalarmdiensts ist die C&C-IP-Liste.

C&C-IP-ListeZusammen mit der Prüf-Engine für Netzwerkinhalte (Network Content InspectionEngine, NCIE) sorgt die C&C-IP-Liste dafür, dass Netzwerkverbindungen mitbekannten C&C-Servern erkannt werden. NCIE erkennt Kontakte mit C&C-Servern inallen Netzwerkkanälen.

OfficeScan protokolliert alle Daten der Verbindungen mit Servern in der C&C-IP-Liste,damit sie ausgewertet werden können.

Update-ÜbersichtAlle Komponenten-Updates stammen ursprünglich vom Trend Micro ActiveUpdateServer. Bei Verfügbarkeit von Updates laden der OfficeScan Server und die SmartProtection Quellen (Smart Protection Server oder Smart Protection Network) dieaktuellen Komponenten herunter. Beim Komponenten-Download gibt es keineÜberlappungen zwischen dem OfficeScan OfficeScan Server und der Smart ProtectionQuelle, da beide unterschiedliche Komponentenpakete herunterladen.


6-13

HinweisSie können sowohl den OfficeScan Server als auch den Smart Protection Server sokonfigurieren, dass diese vom Trend Micro ActiveUpdate Server oder einer anderenAdresse Updates beziehen. Dazu müssen Sie eine benutzerdefinierte Update-Adresseeinrichten. Sollten Sie beim Einrichten dieser Update-Adresse Hilfe benötigen, wenden Siesich an Ihren Support-Anbieter.

OfficeScan Server- und OfficeScan Client-UpdateDer OfficeScan Server lädt die meisten von den Clients benötigten Komponentenherunter. Das Pattern der intelligenten Suche stellt hierbei die einzige Ausnahme dar,und wird von einemSmart Protection Server heruntergeladen.

Wird mit einem OfficeScan Server eine große Anzahl von Clients verwaltet, können dieUpdates einen Großteil der Servercomputer-Ressourcen verbrauchen und somit dieStabilität und Leistung des Servers beeinflussen. Um diesem Problem zu begegnen, hatOfficeScan eine Update-Agent-Funktion, die bestimmten Clients ermöglicht, bei derVerteilung von Updates an andere Clients mitzuwirken.

In der folgenden Tabelle sind die verschiedenen Optionen aufgeführt, die für dasKomponenten-Update bei OfficeScan Servern und Clients verfügbar sind, sowieEmpfehlungen, wann diese am besten zur Anwendung kommen:

TABELLE 6-2. Server-Client Update-Options

UPDATE-OPTION BESCHREIBUNG EMPFEHLUNG

ActiveUpdateServer > Server

> Client

Der OfficeScan Serverempfängt aktualisierteKomponenten vom TrendMicro ActiveUpdate Server(oder einer anderen Update-Adresse) und startet dasKomponenten-Update aufdem Client.

Verwenden Sie diese Methode,wenn es zwischen dem OfficeScanServer und den Clients keineNetzwerkabschnitte mit geringerBandbreite gibt.


6-14

UPDATE-OPTION BESCHREIBUNG EMPFEHLUNG

ActiveUpdateServer > Server

> Update-Agents> Client

Der OfficeScan Serverempfängt aktualisierteKomponenten vomActiveUpdate Server (odereiner anderen Update-Adresse) und startet dasKomponenten-Update aufdem Client. Clients mit derFunktion eines Update-Agentfordern andere Clients dannzum Update derKomponenten auf.

Verwenden Sie diese Methode zumAusgleich der Netzwerkbelastung,wenn einige derNetzwerkabschnitte zwischenOfficeScan Server und Clients einegeringe Bandbreite aufweisen.

ActiveUpdateServer > Update-Agents > Client

Die Update-Agents erhaltenaktualisierte Komponentendirekt vom ActiveUpdateServer (oder einer anderenUpdate-Adresse) und sendenBenachrichtigungen zumUpdate der Komponenten andie Clients.

Verwenden Sie diese Methode nur,wenn das Update der Update-Agents über den OfficeScan Serveroder andere Update-Agents nichtproblemlos möglich ist.

In den meisten Fällen erhaltenUpdate-Agents die Updatesschneller vom OfficeScan Serveroder anderen Update-Agents alsvon einer externen Update-Adresse.

ActiveUpdateServer > Client

Die OfficeScan Clientserhalten aktualisierteKomponenten direkt vomActiveUpdate Server (odereiner anderen Update-Adresse).

Verwenden Sie diese Methode nur,wenn die Clients nicht über denOfficeScan Server oder Update-Agents aktualisiert werden können.

In den meisten Fällen erhalten dieClients die Updates schneller vomOfficeScan Server oder durchUpdate-Agents als von einerexternen Update-Adresse.

Update der Smart Protection QuelleEine Smart Protection Quelle (Smart Protection Server oder Smart Protection Network)lädt das Pattern der intelligenten Suche herunter. Clients der intelligenten Suche laden


6-15

dieses Pattern nicht herunter. Clients verifizieren potentielle Bedrohungen mit Hilfe desPatterns, indem sie Suchabfragen an den Smart Protection Server senden.

Hinweis

Weitere Informationen zu Smart Protection Quellen finden Sie unter Smart Protection Quellenauf Seite 4-6.

In der folgenden Tabelle ist die Vorgehensweise beim Update für Smart ProtectionQuellen beschrieben.

TABELLE 6-3. Update-Prozess der Smart Protection Quelle

UPDATE-VORGANG BESCHREIBUNG

ActiveUpdate Server> Smart ProtectionNetwork

Das Trend Micro Smart Protection Network erhält Updates vomTrend Micro ActiveUpdate Server. Ein Client der intelligentenSuche, der nicht mit dem Unternehmensnetzwerk verbundenist, sendet Anfragen an das Trend Micro Smart ProtectionNetwork.

ActiveUpdate Server> Smart ProtectionServer

Der Smart Protection Server (integriert oder eigenständig)erhält Updates vom Trend Micro ActiveUpdate Server. EinSmart Protection Client, der nicht mit demUnternehmensnetzwerk verbunden ist, sendet Anfragen an denTrend Micro Smart Protection Server.

Smart ProtectionNetwork > SmartProtection Server

Ein Smart Protection Server (integriert oder eigenständig)erhält Updates vom Trend Micro Smart Protection Network. EinSmart Protection Client, der nicht mit demUnternehmensnetzwerk verbunden ist, sendet Anfragen an denTrend Micro Smart Protection Server.

OfficeScan Server-UpdatesDer OfficeScan Server lädt die folgenden Komponenten herunter und verteilt sieanschließend an die Clients:


6-16

TABELLE 6-4. Vom OfficeScan Server heruntergeladene Komponenten

KOMPONENTE

VERTEILUNG

CLIENTS DERHERKÖMMLICHEN SUCHE

CLIENTS DERINTELLIGENTEN SUCHE

Virenschutz

Agent-Pattern der intelligenten Suche Nein Ja

Viren-Pattern Ja Nein

IntelliTrap Pattern Ja Ja

IntelliTrap Ausnahme-Pattern Ja Ja

Viren-Scan-Engine (32 Bit) Ja Ja


Anti-Spyware

Spyware-Pattern Ja Ja

Spyware-Aktivmonitor-Pattern Ja Nein

Spyware-Scan-Engine (32 Bit) Ja Ja


Damage Cleanup Services

Viren-Cleanup-Template Ja Ja

Viren-Cleanup-Engine (32 Bit) Ja Ja


Firewall

Allgemeines Firewall-Pattern Ja Ja


Erkennungs-Pattern derVerhaltensüberwachung (32 Bit)

Ja Ja


6-17

KOMPONENTE

VERTEILUNG



Treiber der Verhaltensüberwachung(32 Bit)

Ja Ja

Kerndienst derVerhaltensüberwachung (32 Bit)

Ja Ja


Ja Ja


Ja Ja


Ja Ja

Konfigurations-Pattern derVerhaltensüberwachung

Ja Ja

Pattern der Richtliniendurchsetzung Ja Ja

Pattern für digitale Signaturen Ja Ja

C&C-Kontaktalarmdienst

C&C-IP-Liste Ja Ja

Update-Hinweise und -Empfehlungen:

• Um dem Server die Verteilung der aktualisierten Komponenten an die Clients zuermöglichen, aktivieren Sie die Funktion automatisches Client-Update. WeitereInformationen finden Sie unter Automatische OfficeScan Client-Updates auf Seite 6-38.Ist die Funktion automatisches Client-Update deaktiviert, lädt der Server zwar dieUpdates herunter, verteilt sie aber nicht auf die Clients.

• Ein reiner IPv6 OfficeScan Server kann Updates nicht direkt auf reine IPv4-Clientsverteilen. Ebenso kann ein reiner IPv4 OfficeScan Server keine Updates direkt aufreine IPv6-Clients verteilen. Ein Dual-Stack Proxy-Server, der IP-Adressen wieDeleGate konvertieren kann, muss ermöglichen, dass der OfficeScan ServerUpdates auf die Clients verteilen kann.


6-18

• Damit der Virenschutz immer aktuell ist, veröffentlicht Trend Micro regelmäßigneue Pattern-Dateien. Da Pattern-Datei-Updates regelmäßig verfügbar sind,verwendet OfficeScan den Mechanismus der Komponentenduplizierung, derschnellere Downloads von Pattern-Dateien ermöglicht. Weitere Informationenfinden Sie unter OfficeScan Server-Komponentenduplizierung auf Seite 6-21.

• Wenn die Verbindung zum Internet über einen Proxy-Server hergestellt wird,müssen Sie für den Download der Updates die richtigen Proxy-Einstellungenverwenden.

• Fügen Sie auf der Übersicht der Webkonsole das Widget Client-Updates hinzu,um die derzeitigen Komponenten-Versionen anzuzeigen und die Anzahl deraktualisierten und veralteten Clients festzustellen.

OfficeScan Server-Update-AdressenKonfigurieren Sie den OfficeScan Server so, dass Komponenten vom Trend MicroActiveUpdate Server oder einer anderen Adresse heruntergeladen werden. Sie könnenauch eine andere Quelle festlegen, wenn der OfficeScan Server den ActiveUpdate Servernicht direkt erreichen kann. Ein Beispielszenario finden Sie unter Updates für isolierteOfficeScan Server auf Seite 6-24.

Nach dem Download aller verfügbaren Updates kann der Server automatisch gemäßden von Ihnen unter Updates > Netzwerkcomputer > Automatisches Updateangegebenen Einstellungen die Clients zum Komponenten-Update auffordern. Ist dasKomponenten-Update kritisch, sollte der Server die Clients umgehend benachrichtigen.Die entsprechenden Einstellungen nehmen Sie unter Updates > Netzwerkcomputer> Manuelles Update vor.

HinweisWenn Sie unter Updates > Netzwerkcomputer > Automatisches Update keinenVerteilungszeitplan und keine ereignisbedingte Update-Einstellungen angeben, lädt derServer zwar die Updates herunter, fordert die Clients aber nicht zum Update auf.


6-19

IPv6-Unterstützung für OfficeScan Server-Updates

Ein reiner IPv6-OfficeScan Server kann Updates nicht direkt aus reinen IPv4-Update-Quellen erhalten wie:

• Trend Micro ActiveUpdate Server

• Control Manager 5.5


HinweisIPv6-Unterstützung für Control Manager ist ab Version 5.5 SP1 verfügbar.

• Jede reine, benutzerdefinierte IPv4-Update-Quelle

Ebenso kann ein reiner IPv4 OfficeScan Server keine Updates direkt von reinenbenutzerdefinierten IPv6-Quellen erhalten.

Ein Dual-Stack-Proxy-Server, der IP-Adressen wie DeleGate konvertieren kann, mussermöglichen, dass der Server eine Verbindung zu den Update-Quellen herstellen kann.

Proxy für das Update des OfficeScan ServersSie können auf dem Server-Computer gehostete Serverprogramme so konfigurieren,dass beim Herunterladen von Updates vom Trend Micro ActiveUpdate Server Proxy-Einstellungen verwendet werden. Zu den Serverprogrammen gehören der OfficeScanServer und der integrierte Smart Protection Server.

Proxy-Einstellungen konfigurieren

Prozedur

1. Navigieren Sie zu Administration > Proxy-Einstellungen.

2. Klicken Sie auf die Registerkarte Externer Proxy.

3. Gehen Sie zum Abschnitt Updates des OfficeScan Servercomputers .


6-20

4. Wählen Sie Für Pattern-, Engine- und Lizenz-Updates einen Proxy-Serververwenden aus.

5. Geben Sie das Proxy-Protokoll, den Servernamen oder die IPv4-/IPv6-Adressesowie die Portnummer an.

6. Falls der Proxy-Server eine Authentifizierung verlangt, geben Sie denBenutzernamen und das Kennwort ein.


Die Update-Adresse des Servers konfigurieren

Prozedur

1. Navigieren Sie zu Updates > Server > Update-Adresse.

2. Wählen Sie den Ort aus, von dem das Update heruntergeladen werden soll.

Stellen Sie bei Auswahl des ActiveUpdate Servers sicher, dass der Server mit demInternet verbunden ist, und, falls Sie einen Proxy-Server verwenden, testen Sie, obdie Internet-Verbindung mit den Proxy-Einstellungen aufgebaut werden kann.Weitere Informationen finden Sie unter Proxy für das Update des OfficeScan Servers aufSeite 6-19.

Wenn Sie eine benutzerdefinierte Update-Adresse auswählen, konfigurieren Sie dieentsprechende Umgebung und die Update-Ressourcen diese Update-Adresse.Stellen Sie auch sicher, dass der Servercomputer mit dieser Update-Adresseverbunden ist. Sollten Sie beim Einrichten einer Update-Adresse Hilfe benötigen,wenden Sie sich an Ihren Support-Anbieter.

HinweisBeim Download der Komponenten von der Update-Adresse verwendet derOfficeScan Server die Komponentenduplizierung. Weitere Informationen finden Sieunter OfficeScan Server-Komponentenduplizierung auf Seite 6-21.



6-21

OfficeScan Server-KomponentenduplizierungZusammen mit der neuesten Version einer vollständigen Pattern-Datei werden auf demTrend Micro ActiveUpdate Server auch 14 "inkrementelle Pattern-Dateien" zumDownload zur Verfügung gestellt. Inkrementelle Pattern sind kleinere Versionen dervollständigen Pattern-Datei und umfassen den Unterschied zwischen der aktuellen undvorhergehenden vollständigen Versionen der Pattern-Datei. Wenn beispielsweise 175 dieaktuelle Version ist, umfasst das inkrementelle Pattern v_173.175 Signaturen aus Version175, die es in Version 173 nicht gibt (Version 173 ist die vorhergehende vollständigePattern-Version, da der Unterschied zwischen den Pattern-Dateinummern immer zweibeträgt). Das inkrementelle Pattern v_171.175 umfasst Signaturen aus Version 175, diees in Version 171 nicht gibt.

Zur Vermeidung von Netzwerkverkehr, der durch den Download des aktuellen Patternserzeugt wird, dupliziert OfficeScan Komponenten. Bei dieser Methode desKomponenten-Updates lädt der OfficeScan Server oder der Update-Agent nurinkrementelle Pattern herunter. Weitere Informationen darüber, wie der Update-AgentKomponenten dupliziert, finden Sie unter Update-Agent-Komponenten duplizieren auf Seite6-63.

Komponentenduplizierung betrifft folgende Komponenten:

• Viren-Pattern

• Agent-Pattern der intelligenten Suche

• Viren-Cleanup-Template

• IntelliTrap Ausnahme-Pattern

• Spyware-Pattern

• Spyware-Aktivmonitor-Pattern

Szenario einer Komponentenduplizierung

Das folgende Beispiel erläutert den Dupliziervorgang für den Server:


6-22

TABELLE 6-5. Szenario einer Server-Komponentenduplizierung

VollständigePattern aufdemOfficeScanServer

Aktuelle Version: 171

Andere verfügbare Versionen:

169 167 165 161 159

AktuelleVersion aufdemActiveUpdateServer

173.175 171.175 169.175 167.175 165.175 163.175

161.175 159.175 157.175 155.175 153.175 151.175

149.175 147.175

1. Der OfficeScan Server vergleicht die aktuelle, vollständige Pattern-Version mit derneuesten Version auf dem ActiveUpdate Server. Beträgt der Unterschied zwischenbeiden Versionen maximal 14, lädt der Server nur das inkrementelle Patternherunter, das den Unterschied zwischen den beiden Versionen umfasst.

Hinweis

Ist der Unterschied größer als 14, lädt der Server automatisch die vollständigeVersion der Pattern-Datei und 14 inkrementelle Pattern herunter.

Auf das Beispiel bezogen bedeutet das:

• Der Unterschied zwischen den Versionen 171 und 175 ist zwei. Mit anderenWorten: Der Server verfügt nicht über die Versionen 173 und 175.

• Der Server lädt das inkrementelle Pattern 171.175 herunter. Das inkrementellePattern umfasst den Unterschied zwischen den Versionen 171 und 175.

2. Der Server integriert das inkrementelle Pattern in sein aktuelles vollständigesPattern und erhält so das neueste vollständige Pattern.


• Auf dem Server integriert OfficeScan die Version 171 in das inkrementellePattern 171.175, um die Version 175 zu erhalten.

• Der Server verfügt über ein inkrementelles Pattern (171.175) und das neuestevollständige Pattern (Version 175).


6-23

3. Der Server erzeugt inkrementelle Pattern basierend auf den anderen vollständigenPattern, die auf dem Server verfügbar sind. Erzeugt der Server diese inkrementellenPattern nicht, laden die Clients, die den Download früherer inkrementeller Patternversäumt haben, automatisch die vollständige Pattern-Datei herunter. Dadurchwird zusätzlicher Netzwerkverkehr erzeugt.


• Da der Server bereits über die Pattern-Versionen 169, 167, 165, 163, 161, 159verfügt, kann er die folgenden inkrementellen Pattern erzeugen:

169.175, 167.175, 165.175, 163.175, 161.175, 159.175

• Der Server muss nicht Version 171 verwenden, da er bereits über dasinkrementelle Pattern 171.175 verfügt.

• Auf dem Server befinden sich nun sieben inkrementelle Pattern:

171.175, 169.175, 167.175, 165.175, 163.175, 161.175, 159.175

• Der Server behält die letzten sieben vollständigen Pattern-Versionen (175,171, 169, 167, 165, 163, 161). Ältere Versionen werden gelöscht (Version159).

4. Der Server vergleicht seine aktuellen inkrementellen Pattern mit den auf demActiveUpdate Server verfügbaren inkrementellen Pattern und lädt die ihmfehlenden Dateien herunter.


• Auf dem ActiveUpdate Server befinden sich nun 14 inkrementelle Pattern:

173.175, 171.175, 169.175, 167.175, 165.175, 163.175, 161.175, 159.175,157.175, 155.175, 153.175, 151.175, 149.175, 147.175

• Auf dem OfficeScan Server befinden sich nun 7 inkrementelle Pattern:

171.175, 169.175, 167.175, 165.175, 163.175, 161.175, 159.175

• Auf dem OfficeScan Server befinden sich nun 7 inkrementelle Pattern:

173.175, 157.175, 155.175, 153.175, 151.175, 149.175, 147.175


6-24

• Auf dem Server befinden sich nun alle inkrementellen Pattern, die auf demActiveUpdate Server verfügbar sind.

5. Das neueste vollständige Pattern und die 14 inkrementellen Pattern werden denClients zur Verfügung gestellt.

Updates für isolierte OfficeScan ServerGehört ein OfficeScan Server zu einem völlig von außen isolierten Netzwerk, könnenSie die Serverkomponenten auf den neuesten Stand bringen, indem Sie ihn durch eineinterne Quelle, die die neuesten Komponenten enthält, aktualisieren.

In diesem Themenbereich werden die Aufgaben dargestellt, die Sie durchführen müssen,um einen isolierten OfficeScan Server zu aktualisieren.

Isolierte OfficeScan Server aktualisierenDieser Prozess ist nur zu Ihrer Information. Wenn Sie alle Aufgaben dieses Ablaufserfüllen können, fragen Sie Ihren Support-Anbieter nach detaillierten Anweisungen zujeder Aufgabe.

Prozedur

1. Identifizieren Sie die Update-Adresse, wie beispielsweise Trend Micro ControlManager oder irgendeinen Host-Computer. Die Update-Adresse muss folgendeBedingungen erfüllen:

• Eine zuverlässige Internetverbindung muss bestehen, damit die neuestenKomponenten vom Trend Micro ActiveUpdate Server heruntergeladenwerden können. Ohne Internetverbindung haben Sie nur die Möglichkeit, sichdie neuesten Komponenten bei Trend Micro zu besorgen und sie dann in dieUpdate-Quelle zu kopieren.

• Eine Verbindung mit dem OfficeScan Server. Konfigurieren Sie Proxy-Einstellungen, wenn zwischen dem OfficeScan Server und der Update-Quelleein Proxy-Server ist. Weitere Informationen finden Sie unter Proxy für dasUpdate des OfficeScan Servers auf Seite 6-19.

• Ausreichend Speicherplatz für heruntergeladene Komponenten


6-25

2. Weisen Sie dem OfficeScan Server die neuen Update-Quellen zu. WeitereInformationen finden Sie unter OfficeScan Server-Update-Adressen auf Seite 6-18.

3. Identifizieren Sie die Komponenten, die der Server auf die Clients verteilt. EineListe der verteilbaren Komponenten finden Sie unter OfficeScan Client-Updates aufSeite 6-28.

Tipp

Um festzustellen, ob eine Komponente auf Clients verteilt wird, können Siebeispielweise auf der Webkonsole zum Fenster Übersicht aktualisieren navigieren(Updates > Übersicht). Die in diesem Fenster angezeigte Update-Rate einerKomponente, die verteilt wird, wird immer höher als 0% sein.

4. Festlegen, wie oft Komponenten heruntergeladen werden sollen. Pattern-Dateienwerden oft aktualisiert (manche täglich). Deshalb ist es vorteilhaft, ein regelmäßigesUpdate durchzuführen. Bitten Sie Ihren Support-Anbieter, Sie zu benachrichtigen,wenn dringende Updates bei Rechnern und Drivern vorgenommen werdenmüssen.

5. In der Update-Quelle:

a. Stellen Sie eine Verbindung mit dem ActiveUpdate Server her. Die Server-URL hängt von Ihrer OfficeScan Version ab.

b. Laden Sie die folgenden Komponenten herunter:

• Die server.ini-Datei. Diese Datei enthält Informationen über dieneuesten Komponenten.

• Die Komponenten, die Sie in Schritt 3 identifiziert haben.

c. Speichern Sie die heruntergeladenen Komponenten in ein Verzeichnis derUpdate-Quelle.

6. Führen Sie ein manuelles Update von OfficeScan durch. Weitere Informationenfinden Sie unter Den OfficeScan Server manuell aktualisieren auf Seite 6-26.

7. Wiederholen Sie Schritt 5 bis Schritt 6 immer, wenn Komponenten aktualisiertwerden müssen.


6-26

OfficeScan Server-Update-Methoden

Aktualisieren Sie OfficeScan Server-Komponenten manuell oder indem Sie einenUpdate-Zeitplan konfigurieren.

Um dem Server die Verteilung der aktualisierten Komponenten an die Clients zuermöglichen, aktivieren Sie die Funktion automatisches Client-Update. WeitereInformationen finden Sie unter Automatische OfficeScan Client-Updates auf Seite 6-38. Istdie Funktion automatisches Client-Update deaktiviert, lädt der Server zwar die Updatesherunter, verteilt sie aber nicht auf die Clients.

Die Update-Methoden beinhalten:

• Manuelles Server-Update: Ist ein Update dringend, führen Sie ein manuellesUpdate durch, damit der Server umgehend das Update erhält. WeitereInformationen finden Sie unter Den OfficeScan Server manuell aktualisieren auf Seite6-26.

• Server-Update (zeitgesteuert): Der OfficeScan Server stellt am geplanten Tagzur festgelegten Zeit eine Verbindung mit der Update-Adresse her, um dieaktuellen Komponenten zu erhalten. Weitere Informationen finden Sie unterUpdates für den OfficeScan Server planen auf Seite 6-27.

Den OfficeScan Server manuell aktualisieren

Aktualisieren Sie die Komponenten des OfficeScan Servers nach der Installation odereinem Upgrade des Servers sowie bei einem Ausbruch manuell.

Prozedur

1. Starten eines manuellen Updates:

• Navigieren Sie zu Updates > Server > Manuelles Update.

• Klicken Sie im Hauptmenü der Webkonsole auf Server jetzt aktualisieren.

2. Wählen Sie die zu aktualisierenden Komponenten aus.

3. Klicken Sie auf Aktualisieren.


6-27

Der Server lädt die aktualisierten Komponenten herunter.

Updates für den OfficeScan Server planen

Konfigurieren Sie den OfficeScan Server für die regelmäßige Überprüfung der Update-Adresse und für den automatischen Download verfügbarer Updates. Da Clientsnormalerweise über den Server aktualisiert werden, können Sie durch das zeitgesteuerteServer-Update einfach und wirksam sicherstellen, dass der Schutz vor Sicherheitsrisikenimmer auf dem neuesten Stand ist.

Prozedur

1. Navigieren Sie zu Updates > Server > Zeitgesteuertes Update.

2. Wählen Sie Zeitgesteuertes Update des OfficeScan Servers aktivieren.

3. Wählen Sie die zu aktualisierenden Komponenten aus.

4. Geben Sie den Update-Zeitplan an.

Bei täglichen, wöchentlichen und monatlichen Updates gibt der Zeitraum dieAnzahl der Stunden an, in denen das Update ausgeführt werden soll. OfficeScanführt das Update zu einem beliebigen Zeitpunkt innerhalb dieses Zeitraums aus.


OfficeScan Server-Update-Protokolle

Hinweise zu eventuell aufgetretenen Problemen bei der Aktualisierung bestimmterKomponenten finden Sie in den Server-Update-Protokollen. Die Protokolle beziehenKomponenten-Updates für den OfficeScan Server mit ein.

Damit die Protokolldateien nicht zu viel Platz auf der Festplatte einnehmen, löschen Siedie Protokolle manuell, oder konfigurieren Sie eine zeitgesteuerte Löschung derProtokolle. Weitere Informationen zur Protokollverwaltung finden Sie unterProtokollmanagement auf Seite 13-37.


6-28

Update-Protokolle anzeigen

Prozedur

1. Navigieren Sie zu Protokolle > Server-Update-Protokolle.

2. Prüfen Sie in der Spalte Ergebnis, ob alle Komponenten aktualisiert wurden.

3. Wenn Sie das Protokoll als komma-separierte Datei (CSV-Datei) speichernmöchten, klicken Sie auf In CSV-Datei exportieren. Öffnen Sie die Datei, oderspeichern Sie sie in einem bestimmten Verzeichnis.

Updates für den integrierten Smart ProtectionServer

Der integrierte Smart Protection Server lädt zwei Komponenten herunter, nämlich dasPattern der intelligenten Suche und die Webseiten-Sperrliste. Weitere Informationen zudiesen Komponenten und deren Aktualisierung finden Sie unter Verwaltung des integriertenSmart Protection Servers auf Seite 4-20.

OfficeScan Client-UpdatesAktualisieren Sie die Client-Komponenten regelmäßig, damit die Clients vor denneuesten Sicherheitsrisiken geschützt bleiben.

Überprüfen Sie vor dem Aktualisieren der Clients, ob ihre Update-Quelle über dieaktuellen Komponenten (OfficeScan Server oder eine benutzerdefinierte Update-Quelle)verfügt. Weitere Informationen zum Update des OfficeScan Servers finden Sie unterOfficeScan Server-Updates auf Seite 6-15.

In der folgenden Tabelle sind alle Komponenten aufgeführt, die von Update-Adressenauf Clients verteilen, sowie die Komponenten, die bei Benutzung einer bestimmtenSuchmethode verwendet werden.


6-29

TABELLE 6-6. OfficeScan Komponenten, die auf Clients verteilt werden

KOMPONENTE

VERTEILUNG



Virenschutz

Agent-Pattern der intelligenten Suche Nein Ja

Viren-Pattern Ja Nein

IntelliTrap Pattern Ja Ja

IntelliTrap Ausnahme-Pattern Ja Ja



Anti-Spyware

Spyware-Pattern Ja Ja

Spyware-Aktivmonitor-Pattern Ja Nein




Viren-Cleanup-Template Ja Ja



Firewall

Allgemeines Firewall-Pattern Ja Ja



Ja Ja


6-30

KOMPONENTE

VERTEILUNG




Ja Ja


Ja Ja


Ja Ja


Ja Ja


Ja Ja

Konfigurations-Pattern derVerhaltensüberwachung

Ja Ja

Pattern der Richtlinendurchsetzung Ja Ja

Pattern für digitale Signaturen Ja Ja

C&C-Kontaktalarmdienst

C&C-IP-Liste Ja Ja

OfficeScan Client-Update-QuellenClients können Updates aus Standard-Update-Quellen erhalten (OfficeScan Server) odervon bestimmten Komponenten aus benutzerdefinierten Update-Quellen wie dem TrendMicro ActiveUpdate Server. Weitere Informationen finden Sie unter Standard-Update-Quelle für OfficeScan Clients auf Seite 6-31 und Benutzerdefinierte Update-Quellen für OfficeScanClients auf Seite 6-33.


6-31

IPv6-Unterstützung für OfficeScan Client-Updates

Ein reiner IPv6-Client kann Updates nicht direkt aus reinen IPv4-Update-Quellenerhalten wie:

• Ein reiner IPv4-OfficeScan Server

• Ein reiner IPv4-Update-Agent



Ebenfalls kann ein reiner IPv4-Client Updates nicht direkt aus reinen IPv6-Update-Quellen erhalten wie einem reinen IPv6 OfficeScan Server oder einem Update-Agent.

Ein Dual-Stack-Proxy-Server, der IP-Adressen wie DeleGate konvertieren kann , mussermöglichen, dass die Clients eine Verbindung zu den Update-Quellen herstellenkönnen.

Standard-Update-Quelle für OfficeScan Clients

Der OfficeScan Server ist die Standard-Update-Adresse für die Clients.

Kann keine Verbindung zum OfficeScan Server hergestellt werden, hat der Client keineBackup-Quelle und veraltet deshalb. Um Clients zu aktualisieren, die keine Verbindungzum OfficeScan Server aufbauen können, empfiehlt Trend Micro den Client Packagerzu verwenden. Verwenden Sie dieses Tool, um ein Paket mit den neuestenKomponenten des Servers zu erstellen und starten Sie dann das Paket auf den Clients.

HinweisDie Client-IP-Adresse (IPv4 oder IPv6) legt fest, ob eine Verbindung zum OfficeScanServer hergestellt werden kann. Weitere Informationen zur IPv6-Unterstützung für Client-Updates finden Sie unter IPv6-Unterstützung für OfficeScan Client-Updates auf Seite 6-31.


6-32

Die Standard-Update-Adresse für OfficeScan Clientskonfigurieren

Prozedur

1. Navigieren Sie zu Updates > Netzwerkcomputer > Update-Adresse.

2. Wählen Sie Standard-Update-Quelle (Update vom OfficeScan Server) aus.


OfficeScan Client-Update-Prozess

HinweisDieser Themenbereich behandelt den Update-Prozess für OfficeScan Clients. Der Update-Prozess für Update-Agents wird in Standard-Update-Quelle für OfficeScan Clients auf Seite 6-31dargestellt.

Wenn Sie die OfficeScan Clients für direkte Updates vom OfficeScan Server einrichten,verläuft der Update-Vorgang wie folgt:

1. Die OfficeScan Clients beziehen ihre Updates vom OfficeScan Server.

2. Sollte eine Aktualisierung vom OfficeScan Server aus nicht möglich sein, versuchtder OfficeScan Client, sich direkt mit dem Trend Micro ActiveUpdate Server zuverbinden, wenn die Option Clients laden Updates vom Trend MicroActiveUpdate Server herunter unter Netzwerkcomputer > Client-VerwaltungEinstellungen > Berechtigungen und andere Einstellungen >Andere Einstellungen (Registerkarte) > Update-Einstellungen aktiviert ist.


6-33

Hinweis

Es können nur Komponenten aus dem ActiveUpdate Server aktualisiert werden.Domäneneinstellungen sowie Programme und Hotfixes können nur vom OfficeScanoder von Update-Agents heruntergeladen werden. Sie können den Update-Prozessverkürzen, indem Sie OfficeScan Clients so konfigurieren, dass sie Pattern-Dateiennur vom ActiveUpdate Server herunterladen. Weitere Informationen finden Sie unterActiveUpdate Server als OfficeScan Client-Update-Adresse auf Seite 6-37.

Benutzerdefinierte Update-Quellen für OfficeScan Clients

Neben dem OfficeScan Server können OfficeScan Clients auch von anderen Update-Adressen aus aktualisiert werden. Benutzerdefinierte Update-Adressen verringern denDatenverkehr für OfficeScan Client-Updates zum OfficeScan Server, und sieermöglichen auch solchen OfficeScan Clients zeitnahe Updates, die keine Verbindungzum OfficeScan haben. Sie können in der Liste der benutzerdefinierten Update-Adressen bis zu 1024 benutzerdefinierte Update-Adressen festlegen.

Tipp

Setzen Sie einige OfficeScan Clients als Update-Agents ein, und fügen Sie dieseanschließend zur Liste hinzu.

Benutzerdefinierte Update-Adressen für OfficeScan Clientskonfigurieren

Prozedur


2. Wählen Sie Benutzerdefinierte Update-Adresse, und klicken Sie aufHinzufügen.

3. Geben Sie in dem Fenster, das angezeigt wird, die Client-IP-Adresse ein. Siekönnen einen IPv4-Bereich und/oder ein IPv6-Präfix und die -Länge eingeben.

4. Geben Sie die Update-Adresse an. Sie können einen Update-Agent auswählen, fallsvorhanden, oder den URL einer benutzerdefinierten Adresse eingeben.


6-34

HinweisStellen Sie sicher, dass sich die OfficeScan Clients mit der Update-Quelle verbindenkönnen, indem sie ihre IP-Adressen verwenden. Wenn Sie beispielsweise einen IPv4-Adressbereich festgelegt haben, muss die Update-Quelle eine IPv4-Adresse haben.Wenn Sie ein IPv6-Präfix und eine -Länge festgelegt haben, muss die Update-Quelleeine IPv6-Adresse haben. Weitere Informationen zur IPv6-Unterstützung für Client-Updates finden Sie unter OfficeScan Client-Update-Quellen auf Seite 6-30.



a. Wählen Sie eine der folgenden Einstellungen aus: Weitere Informationendarüber, wie diese Einstellungen funktionieren, finden Sie unter OfficeScanClient-Update-Prozess auf Seite 6-32.

• Update-Agents aktualisieren Komponenten,Domäneneinstellungen, Client-Programme und Hotfixes nur vomOfficeScan Server aus

• Update der Komponenten vom OfficeScan Server, wenn keinebenutzerdefinierten Quellen verfügbar sind oder gefunden wurden

• Update der Domäneneinstellungen vom OfficeScan Server, wennkeine benutzerdefinierten Quellen verfügbar sind oder gefundenwurden

• Update der Client-Programme und Hotfixes vom OfficeScanServer, wenn keine benutzerdefinierten Quellen verfügbar sindoder gefunden wurden

b. Wenn Sie mindestens einen Update-Agent als Quelle festgelegt haben,Klicken Sie auf Update-Agent – Analysebericht, um einen Bericht zuerstellen, der den Update-Status des Clients anzeigt. Weitere Informationenzum Bericht finden Sie unter Update-Agent - Analysebericht auf Seite 6-65.

c. Klicken Sie auf den Link IP-Adressbereich, um eine Update-Quelle zubearbeiten. Bearbeiten Sie im daraufhin angezeigten Fenster die Einstellungen,und klicken Sie auf Speichern.

d. Aktivieren Sie das Kontrollkästchen, und klicken Sie auf Löschen, um eineUpdate-Adresse aus der Liste zu entfernen.


6-35

e. Klicken Sie auf den Aufwärts- oder Abwärtspfeil, um eine Update-Adresse zuverschieben. Es kann jeweils nur eine Adresse verschoben werden.


OfficeScan Client-Update-Prozess

Hinweis

Dieser Themenbereich behandelt den Update-Prozess für OfficeScan Clients. Der Update-Prozess für Update-Agents wird in Benutzerdefinierte Update-Quelle für Update-Agents auf Seite6-60 dargestellt.

Nachdem Sie die benutzerdefinierte Liste der Update-Quellen erstellt und gespeicherthaben, wird der Update-Vorgang wie folgt durchgeführt:

1. Ein OfficeScan Client führt das Update anhand der ersten Quelle der Liste durch.

2. Ist eine Update aus der ersten Quelle nicht möglich, führt der OfficeScan Client einUpdate aus der zweiten Quelle durch, usw.

3. Ist das Update aus keiner der Quellen möglich, überprüft der OfficeScan diefolgenden Einstellungen im Fenster Update-Adresse:

TABELLE 6-7. Zusätzliche Einstellungen für benutzerdefinierte Update-Quellen


Update-AgentsaktualisierenKomponenten,Domäneneinstellungen,Client-Programme undHotfixes nur vomOfficeScan Server aus

Wenn diese Einstellung aktiviert ist, werden Update-Agents direkt vom OfficeScan Server aktualisiert und dieListe der benutzerdefinierten Update-Adressen nichtbeachtet.

Wenn diese Option deaktiviert ist, übernehmen dieUpdate-Agents die für normale Clients konfiguriertenbenutzerdefinierten Einstellungen für die Update-Adresse.


6-36


Clients aktualisieren diefolgenden Elementevom OfficeScan Server,wenn keinebenutzerdefiniertenAdressen verfügbarsind oder gefundenwurden: Komponenten

Wenn diese Einstellung aktiviert ist, aktualisiert derClient Komponenten vom OfficeScan Server.

Ist die Option deaktiviert, versucht der Client, einedirekte Verbindung zum Trend Micro ActiveUpdateServer aufzubauen, sofern Folgendes ganz oderteilweise zutrifft:

• In Netzwerkcomputer > Client-VerwaltungEinstellungen > Berechtigungen undandere Einstellungen > Andere Einstellungen(Registerkarte) > Update-Einstellungen ist dieOption Clients laden Dateien vom Trend MicroActiveUpdate Server herunter aktiviert.

• Der ActiveUpdate Server ist nicht in der Liste derbenutzerdefinierten Update-Adressen enthalten.

HinweisEs können nur Komponenten aus demActiveUpdate Server aktualisiert werden.Domäneneinstellungen sowie Programme undHotfixes können nur vom OfficeScan oder vonUpdate-Agents heruntergeladen werden. Siekönnen den Update-Prozess verkürzen, indem SieClients so konfigurieren, dass sie Pattern-Dateiennur vom ActiveUpdate Server herunterladen.Weitere Informationen finden Sie unterActiveUpdate Server als OfficeScan Client-Update-Adresse auf Seite 6-37.

Clients aktualisieren diefolgenden Elementevom OfficeScan Server,wenn keinebenutzerdefiniertenAdressen verfügbarsind oder gefundenwurden:Domäneneinstellungen

Wenn diese Einstellung aktiviert ist, aktualisiert derClient Einstellungen der Domänenebene vomOfficeScan Server.


6-37


Clients aktualisieren diefolgenden Elementevom OfficeScan Server,wenn keinebenutzerdefiniertenAdressen verfügbarsind oder gefundenwurden: Client-Programme undHotfixes

Wenn diese Einstellung aktiviert ist, aktualisiert derClient Programme und Hotfixes vom OfficeScan Server.

4. Ist von allen möglichen Adressen kein Update möglich, bricht der Client denUpdate-Vorgang ab.

ActiveUpdate Server als OfficeScan Client-Update-Adresse

Wenn OfficeScan Clients direkt Updates vom Trend Micro ActiveUpdate Serverherunterladen, können Sie das Herunterladen ausschließlich auf die Pattern-Dateienbeschränken, um Bandbreite einzusparen und den Aktualisierungsprozess zubeschleunigen.

Scan Engines und andere Komponenten werden nicht so häufig aktualisiert wie Pattern-Dateien, ein weiteres Argument dafür, den Download nur auf die Pattern-Dateien zubeschränken.

Ein reiner IPv6-Client kann Updates nicht direkt vom Trend Micro ActiveUpdateServer herunterladen. Ein Dual-Stack-Proxy-Server wie beispielsweise DeleGate, der IP-Adressen konvertieren kann, muss ermöglichen, dass die OfficeScan Clients eineVerbindung zum ActiveUpdate Server herstellen können.

Downloads vom ActiveUpdate Server begrenzen

Prozedur


2. Navigieren Sie zum Abschnitt Updates.


6-38

3. Wählen Sie Pattern-Dateien nur vom ActiveUpdate Server während Updatesherunterladen.

OfficeScan Client-Update-MethodenOfficeScan Clients, die Komponenten vom OfficeScan Server oder einerbenutzerspezifischen Update-Adresse beziehen, können die folgenden Update-Methoden verwenden:

• Automatische Client-Updates: Das Client-Update wird automatisch beibestimmten Ereignissen oder nach einem festgelegten Zeitplan ausgeführt. WeitereInformationen finden Sie unter Automatische OfficeScan Client-Updates auf Seite 6-38.

• Manuelle Client-Updates: Ist ein Update dringend, verwenden Sie ein manuellesUpdate, um die Clients umgehend zur Ausführung eines Komponenten-Updatesaufzufordern. Weitere Informationen finden Sie unter Manuelle OfficeScan Client-Updates auf Seite 6-45.

• Berechtigungsgesteuerte Updates: Benutzer mit Update-Berechtigungen habenmehr Kontrolle darüber, wie der OfficeScan-Client auf ihrem Computer aktualisiertwird. Weitere Informationen finden Sie unter Update-Berechtigungen und andereEinstellungen für OfficeScan Clients auf Seite 6-47.

Automatische OfficeScan Client-Updates

Das automatische Update befreit Sie von lästigen Update-Benachrichtigungen an alleClients und verringert so das Risiko veralteter Komponenten auf den Clients.

Die OfficeScan Clients erhalten beim automatischen Update die Komponenten undaktualisierte Konfigurationsdateien. Clients benötigen diese Konfigurationsdateien, umneue Einstellungen zu übernehmen. Bei jeder Änderung der OfficeScan Einstellungenüber die Webkonsole ändern sich auch die Konfigurationsdateien. Um festzulegen, wiehäufig Konfigurationsdateien auf Clients übernommen werden, lesen Sie Schritt 3OfficeScan Client-Komponenten automatisch aktualisieren auf Seite 6-41.


6-39

HinweisSie können Clients so konfigurieren, dass beim automatischen Update Proxy-Einstellungenverwendet werden. Weitere Informationen finden Sie unter Proxy für das Update vonOfficeScan Client-Komponenten auf Seite 6-50.

Es gibt zwei Arten automatischer Updates:

• Ereignisbedingte Updates auf Seite 6-39

• Zeitgesteuerte Updates auf Seite 6-40

Ereignisbedingte Updates

Der Server versendet nach dem Download der neuesten Komponenten Update-Benachrichtigungen an die Online-Clients. Offline-Clients werden benachrichtigt, sobaldsie neu gestartet wurden und sich wieder mit dem Server verbinden. Sie können nachdem Update optional die Funktion "Jetzt durchsuchen" (manuelle Suche) auf denOfficeScan Clients durchführen.

TABELLE 6-8. Optionen für ereignisbedingte Updates

OPTIONEN BESCHREIBUNG

Komponenten-Updateauf den Clients sofortnach dem Downloadeiner neuenKomponente auf demOfficeScan Serverstarten

Der Server benachrichtigt die Clients, sobald ein Updateabgeschlossen ist. Regelmäßig aktualisierte Clients brauchennur inkrementelle Pattern herunterzuladen. Dadurch wirdweniger Zeit für die Akualisierung benötigt (weitereInformationen zu inkrementellen Pattern finden Sie unterOfficeScan Server-Komponentenduplizierung auf Seite 6-21).Regelmäßige Updates können jedoch die Serverleistungnegativ beeinflussen, insbesondere wenn eine hohe Anzahlvon Clients gleichzeitig aktualisiert wird.

Wenn sich Clients im Roaming-Modus befinden und Sie dieseauch aktualisieren möchten, wählen Sie "Auch auf Roaming-und Offline-Clients verteilen". Weitere Informationen zumRoaming-Modus finden Sie unter Roaming-Berechtigung fürOfficeScan Client auf Seite 14-20.


6-40


Clients beginnen beimNeustart mit demKomponenten-Update,wenn sie sich mit demOfficeScan Serververbinden (Ausnahme:Roaming-Clients)

Verpasst ein Client ein Update, lädt dieser die Komponentenherunter, sobald eine Verbindung mit dem Server aufgebautwird. Ein Client kann ein Update verpassen, wenn er offlineist, oder wenn der Computer, auf dem der Client installiert ist,nicht hochgefahren ist.

Führen Sie nach demAktualisieren dieFunktion "Jetztdurchsuchen" aus(Roaming-Clientsausgenommen).

Nach einem ereignisbedingten Update fordert der Server dieClients zum Durchsuchen auf. Aktivieren Sie gegebenenfallsdiese Option, wenn ein bestimmtes Update eine Reaktion aufein Sicherheitsrisiko ist, das sich bereits im Netzwerkausgebreitet hat.

HinweisKann der OfficeScan Server nach dem Download der Komponenten keine Update-Benachrichtigung an die Clients senden, wiederholt er den Versuch automatisch nach 15Minuten. Dies wiederholt er bis zu fünf Mal oder bis der Client antwortet. Nach demfünften Versuch wird keine Benachrichtigung mehr versendet. Wenn Sie die Optionwählen, dass die Komponenten beim Neustart der Clients und der Verbindung mit demServer aktualisiert werden, wird das Komponenten-Update fortgesetzt.

Zeitgesteuerte Updates

Die Ausführung zeitgesteuerter Updates erfordert eine Berechtigung. Wählen Siezunächst OfficeScan Clients für die Berechtigung aus. Diese OfficeScan Clients führendann Updates gemäß dem Zeitplan aus.

HinweisInformationen zur Verwendung des zeitgesteuerten Updates mit NAT (Network AdressTranslation, Netzwerkadressübersetzung) finden Sie unter Zeitgesteuerte OfficeScan Client-Updates mit NAT konfigurieren auf Seite 6-43.


6-41

OfficeScan Client-Komponenten automatisch aktualisieren

Prozedur

1. Navigieren Sie zu Updates > Netzwerkcomputer > Automatisches Update.

2. Wählen Sie die Ereignisse aus, die ein Komponenten-Update auslösen sollen.

• Komponenten-Update auf den Clients sofort nach dem Download einerneuen Komponente auf dem OfficeScan Server starten

• Clients beginnen beim Neustart mit dem Komponenten-Update, wennsie sich mit dem OfficeScan Server verbinden (Ausnahme: Roaming-Clients)

• Führen Sie nach dem Aktualisieren die Funktion "Jetzt durchsuchen"aus (Roaming-Clients ausgenommen).

3. Legen Sie fest, wie häufig auf Clients mit der Berechtigung zu zeitgesteuertenUpdates ein Update durchgeführt werden soll.

• Wenn Sie den Clients die Berechtigung für das zeitgesteuerte Client-Updateerteilt haben, fahren Sie mit dem nächsten Schritt fort.

• Wenn Sie den Clients die Berechtigung für das zeitgesteuerte Client-Updatenicht erteilt haben, führen Sie zunächst die folgenden Schritte aus:

a. Navigieren Sie zu Netzwerkcomputer > Client-Verwaltung.

b. Wählen Sie in der Client-Hierarchie die Clients aus, die die Berechtigungerhalten sollen.

c. Klicken Sie auf Einstellungen > Berechtigungen und andereEinstellungen.

• Möglichkeit 1: Navigieren Sie auf der Registerkarte Berechtigungenzum Bereich Berechtigungen für Komponenten-Updates. Hier sehenSie die Option Zeitgesteuertes Update aktivieren.

• Möglichkeit 2: Gehen Sie auf der Registerkarte Andere Einstellungenzum Abschnitt Update-Einstellungen. Hier sehen Sie eine weitereOption Zeitgesteuertes Update aktivieren.


6-42

Hinweis

Wenn Sie Client-Benutzern ermöglichen möchten, zeitgesteuerte Updates aufder OfficeScan Client-Konsole zu aktivieren oder zu deaktivieren, aktivieren Siedie Optionen 1 und 2. Nachdem Sie die Einstellungen gespeichert haben,werden Updates auf den Client-Computern zeitgesteuert durchgeführt. Diezeitgesteuerten Updates werden erst beendet, wenn ein Client-Benutzer mit derrechten Maustaste auf das OfficeScan Client-Symbol in der Task-Leiste klicktund Zeitgesteuertes Update deaktivieren auswählt.

Wenn Sie zeitgesteuerte Updates dauerhaft einrichten möchten und Client-Benutzer diese Funktion nicht deaktivieren sollen, deaktivieren Sie Option 1,und aktivieren Sie Option 2.

d. Speichern Sie die Einstellungen.

4. Konfigurieren Sie den Zeitplan.

a. Bei Auswahl von Minute(n) oder Stunde(n) können Sie die Option Client-Konfiguration einmal täglich aktualisieren wählen. Wenn Sie diese Optionnicht wählen, ermittelt der OfficeScan Client sowohl die aktualisiertenKomponenten, als auch sämtliche im festgelegten Intervall auf dem Serververfügbaren, aktualisierten Konfigurationsdateien. Wenn Sie diese Optionauswählen, werden nur die Komponenten im angegebenen Intervall und dieKonfigurationsdateien einmal täglich aktualisiert.

Tipp

Trend Micro aktualisiert die Komponenten regelmäßig. Die OfficeScanKonfigurationseinstellungen ändern sich vermutlich weniger häufig. DasUpdate der Konfigurationsdateien mit den Komponenten erfordert mehrBandbreite und erhöht den Zeitaufwand, den OfficeScan für das Updatebenötigt. Aus diesem Grund empfiehlt Trend Micro, die OfficeScan Client-Konfigurationen nur einmal täglich zu aktualisieren.

b. Geben Sie bei Auswahl von Täglich oder Wöchentlich den Zeitpunkt desUpdates und den Zeitraum an, in dem der OfficeScan ServerBenachrichtigungen zum Update der Komponenten an die Clients versendensoll. Wenn beispielsweise die Startzeit bei 12:00 Uhr liegt und der Zeitraum 2Stunden beträgt, sendet OfficeScan zwischen 12:00 und 14:00 Uhr mehrmalsBenachrichtigungen zum Komponenten-Update an alle Online-Clients. Dies


6-43

verhindert, dass sich alle Online-Clients zur festgelegten Startzeit gleichzeitigmit dem Server verbinden, und reduziert den Datenverkehr zum Servererheblich.


Offline-Clients erhalten keine Benachrichtigung. Offline-Clients, die erst nach Ablaufdes festgelegten Zeitraums wieder online sind, können ihre Komponenten auch dannnoch aktualisieren, wenn Sie die Option Clients zum Komponenten-Update beiNeustart berechtigen unter Ereignisbedingtes Update ausgewählt haben. Sonstwerden die Komponenten zum nächsten geplanten Zeitpunkt oder beim Start einesmanuellen Updates aktualisiert.

Zeitgesteuerte OfficeScan Client-Updates mit NAT konfigurieren

Folgende Probleme können auftreten, wenn das lokale Netzwerk NAT (NetworkAdress Translation, Netzwerkadressübersetzung) verwendet:

• OfficeScan Clients werden in der Webkonsole als offline angezeigt.

• Der OfficeScan Server kann die Clients bei Updates undKonfigurationsänderungen nicht benachrichtigen.

Als Ausweichlösung bietet sich an, aktualisierte Komponenten undKonfigurationsdateien per zeitgesteuertem Update vom Server auf den OfficeScanClient zu verteilen, wie nachfolgend beschrieben.

Prozedur

• Vor der Installation des OfficeScan Clients auf Client-Computern:

a. Konfigurieren Sie den Update-Zeitplan des Clients im AbschnittZeitgesteuertes Update von Updates > Netzwerkcomputer >Automatisches Update.

b. Erteilen Sie den Clients die Berechtigung, zeitgesteuerte Updates zuaktivieren, unter Netzwerkcomputer > Client-Verwaltung, klicken Sie aufEinstellungen > Berechtigungen und andere Einstellungen >Berechtigungen (Registerkarte) > Berechtigungen für Komponenten-Updates.


6-44

• Wenn das OfficeScan Client-Programm bereits auf den Client-Computerninstalliert ist:

a. Erteilen Sie Clients die Berechtigung, "Jetzt aktualisieren" durchzuführen,unter Netzwerkcomputer > Client-Verwaltung, klicken Sie aufEinstellungen > Berechtigungen und andere Einstellungen >Berechtigungen (Registerkarte) > Berechtigungen für Komponenten-Updates.

b. Weisen Sie die Benutzer an, die Komponenten auf dem Client-Computermanuell zu aktualisieren (per Rechtsklick auf das OfficeScan Symbol in derTask-Leiste und durch Klicken auf "Jetzt aktualisieren"), um die aktualisiertenKonfigurationseinstellungen zu beziehen.

OfficeScan Clients erhalten beim Update die aktualisierten Komponenten und dieKonfigurationsdateien.

Domänenzeitplan-Update-Tool verwenden

Der Update-Zeitplan, der in den automatischen Client-Updates konfiguriert ist, wird nurauf Clients angewendet, die über zeitgesteuerte Update-Berechtigungen verfügen. Siekönnen für alle anderen Clients einen separaten Update-Zeitplan erstellen. Dafürmüssen Sie einen Zeitplan über die Cient-Hierarchie-Domänen konfigurieren. AlleClients, die zu dieser Domäne gehören, wenden diesen Zeitplan an.

Hinweis

Es ist nicht möglich, einen Update-Zeitplan für einen bestimmten Client oder einebestimmte Subdomäne aufzustellen. Alle Subdomänen wenden den Zeitplan an, der fürihre übergeordnete Domäne konfiguriert wurde.

Prozedur

1. Erfassen Sie die Client-Hierarchie-Domänennamen und Update-Zeitpläne.

2. Gehen Sie zu <Installationsordner des Servers>\PCCSRV\Admin\Utility\DomainScheduledUpdate.


6-45

3. Kopieren Sie die folgenden Dateien nach <Installationsordner desServers>\PCCSRV:

• DomainSetting.ini

• dsu_convert.exe

4. Öffnen Sie DomainSetting.ini mit Hilfe eines Texteditors, beispielsweiseNotepad.

5. Geben Sie eine Domäne aus der Client-Hierarchie an und konfigurieren Sie dannden Update-Zeitplan für die Domäne. Wiederholen Sie diesen Schritt, um weitereDomänen hinzuzufügen.

HinweisAusführliche Konfigurationsanweisungen werden in der .ini -Datei zur Verfügunggestellt.

6. Speichern Sie DomainSetting.ini.

7. Öffnen Sie eine Befehlszeile, und wechseln Sie in das Verzeichnis des PCCSRV-Ordners.

8. Geben Sie folgenden Befehl ein, und drücken Sie die Eingabetaste.

dsuconvert.exe DomainSetting.ini

9. Navigieren SIe auf der Webkonsole zu Netzwerkcomputer > AllgemeineClient-Einstellungen.


Manuelle OfficeScan Client-UpdatesAktualisieren Sie OfficeScan Client-Komponenten manuell bei einem Ausbruch oder beieiner starken Veralterung der OfficeScan Client-Komponenten. OfficeScan Client-Komponenten veralten stark, wenn der OfficeScan Client seine Komponenten übereinen längeren Zeitraum nicht über die Update-Adresse aktualisieren kann.

Zusätzlich zu den Komponenten erhalten OfficeScan Clients während des manuellenUpdates automatisch aktualisierte Konfigurationsdateien. OfficeScan Clients benötigen


6-46

diese Konfigurationsdateien, um neue Einstellungen zu übernehmen. Bei jederÄnderung der OfficeScan Einstellungen über die Webkonsole ändern sich auch dieKonfigurationsdateien.

Hinweis

Außer manuelle Updates selbst zu initiieren, können Sie auch Benutzern die Berechtigungerteilen, manuelle Updates durchzuführen (auf den OfficeScan Client-Computern auch als"Jetzt aktualisieren" bezeichnet). Weitere Informationen finden Sie unter Update-Berechtigungen und andere Einstellungen für OfficeScan Clients auf Seite 6-47.

OfficeScan Clients manuell aktualisieren

Prozedur

1. Navigieren Sie zu Updates > Netzwerkcomputer > Manuelles Update.

2. Jeweils auf dem OfficeScan Server verfügbare Komponenten sowie das letzteAktualisierungsdatum dieser Komponenten werden oben im Fenster angezeigtStellen Sie sicher, dass die Komponenten aktuell sind, bevor Sie die Clients überdas Update benachrichtigen.

Hinweis

Sie können alle veralteten Server-Komponenten auch manuell aktualisieren. WeitereInformationen finden Sie unter Manuelle OfficeScan Client-Updates auf Seite 6-45.

3. Nur Clients mit veralteten Komponenten aktualisieren:

a. Klicken Sie auf Clients mit veralteten Komponenten auswählen.

b. (Optional) Wählen Sie Roaming und Offline-Client(s) einschließen:

• Roaming-Clients aktualisieren, die mit dem Server verbunden sind.

• Offline-Clients aktualisieren, wenn sie wieder online sind.

c. Klicken Sie auf Update starten.


6-47

HinweisDer Server sucht nach Clients, deren Komponentenversionen älter als die Versionenauf dem Server sind, und benachrichtigt anschließend diese Clients über das Update.Um den Benachrichtigungsstatus zu überprüfen, navigieren Sie zum Fenster Updates> Zusammenfassung.

4. Den Clients Ihrer Wahl aktualisieren:

a. Wählen Sie Manuell ausgewählte Clients aus.

b. Klicken Sie auf Auswählen.

c. Klicken Sie in der Client-Hierarchie auf das Symbol der Root-Domäne ( ),um alle Clients einzuschließen, oder wählen Sie bestimmte Domänen oderClients aus.

d. Klicken Sie auf Komponenten-Update starten.

HinweisDer Server benachrichtigt alle Clients, aktualisierte Komponentenherunterzuladen. Um den Benachrichtigungsstatus zu überprüfen, navigierenSie zum Fenster Updates > Zusammenfassung.

Update-Berechtigungen und andere Einstellungen fürOfficeScan ClientsSie können Benutzern bestimmte Berechtigungen einräumen, zum Beispiel "Jetztaktualisieren" und das Aktivieren zeitgesteuerter Updates.

"Jetzt aktualisieren" ausfuhren

Benutzer mit dieser Berechtigung können bei Bedarf Komponenten aktualisieren, indemsie in der Task-Leiste mit der rechten Maustaste auf das OfficeScan Client-Symbolklicken und anschließend Jetzt aktualisieren auswählen. Sie können Client-Benutzernerlauben, bei der Verwendung von "Jetzt aktualisieren" Proxy-Einstellungen zuverwenden. Weitere Informationen finden Sie unter Proxy-Konfiguration - Berechtigungen fürClients auf Seite 14-53.


6-48

Warnung!

Vom Benutzer fehlerhaft konfigurierte Proxy-Einstellungen können zu Update-Problemenführen. Gehen Sie mit Bedacht vor, wenn Sie Benutzern die Erlaubnis zur Konfigurationder Proxy-Einstellungen geben.

Zeitgesteuertes Update aktivieren

Diese Berechtigung versetzt Clients in die Lage, zeitgesteuerte Updates zu aktivieren/deaktivieren. Auch wenn Benutzer die Berechtigung haben, das zeitgesteuerte Update zuaktivieren/deaktivieren, können sie den tatsächlichen Zeitplan nicht konfigurieren. Siemüssen den Zeitplan im Abschnitt Zeitgesteuertes Update von Updates >Netzwerkcomputer > Automatisches Update festlegen.

Clients laden Dateien vom Trend Micro ActiveUpdate Serverherunter

Nach dem Start des Updates erhalten die OfficeScan Clients Updates zuerst von derunter Updates > Netzwerkcomputer > Update-Adresse festgelegten Update-Adresse. Schlägt das Update fehl, versucht der Client, sich über den OfficeScan Serverzu aktualisieren. Mit dieser Option können Clients, deren Update über den OfficeScanServer fehlgeschlagen ist, das Update über den Trend Micro ActiveUpdate Serverausführen.

Ein reiner IPv6-Client kann Updates nicht direkt vom Trend Micro ActiveUpdateServer herunterladen. Ein Dual-Stack-Proxy-Server, der IP-Adressen konvertieren kannwie DeleGate, muss ermöglichen, dass die Clients eine Verbindung zum ActiveUpdateServer herstellen können.

Clients können Komponenten aktualisieren, aber kein Upgradedes Clients durchführen oder Hotfixes verteilen

Bei Aktivierung dieser Option können Komponenten-Updates durchgeführt werden,aber die Verteilung von Hotfixes und OfficeScan Client-Upgrades wird verhindert.

Wenn Sie diese Option nicht aktivieren, verbinden sich alle Clients gleichzeitig mit demServer, um Upgrades durchzuführen oder ein Hotfix zu installieren. Bei einer großenAnzahl von Clients kann dies die Serverleistung enorm beeinträchtigen. Planen Sie bei


6-49

Auswahl dieser Option, wie Sie die Auswirkungen des OfficeScan Client-Upgrades oderder Hotfix-Verteilung auf den Server reduzieren können, und implementieren Sie diesenPlan.

OfficeScan Clients Update-Berechtigungen gewähren

Prozedur




4. Navigieren Sie auf der Registerkarte Berechtigungen zum BereichBerechtigungen für Komponenten-Updates.

5. Wählen Sie die folgenden Optionen:

• "Jetzt aktualisieren" ausführen

• Zeitgesteuertes Update aktivieren

6. Klicken Sie auf die Registerkarte Andere Einstellungen und navigieren Sie dannzum Abschnitt Update-Einstellungen.


• Clients laden Dateien vom Trend Micro ActiveUpdate Server herunter

• Zeitgesteuertes Update aktivieren

• Clients können Komponenten aktualisieren, aber kein Upgrade desClients durchführen oder Hotfixes verteilen


• Auf alle Clients anwenden: Wendet die Einstellungen auf alle vorhandenenClients und auf neu zu einer vorhandenen / zukünftigen Domäne


6-50

hinzukommende an. Zukünftige Domänen sind Domänen, die bei derKonfiguration der Einstellungen noch nicht vorhanden waren.


Reservierten Festplattenspeicher für OfficeScan Client-Updates konfigurieren

OfficeScan reserviert auf den Client-Festplatten eine bestimmte Menge Speicherplatz fürHotfixes, Pattern-Dateien, Scan Engines und Programm-Updates. OfficeScan reserviertstandardmäßig 60 MB Speicherplatz.

Prozedur


2. Navigieren Sie zum Abschnitt Reservierter Festplattenspeicher.

3. Wählen Sie Reservieren__ MB des Festplatternspeichers für Updates aus.

4. Wählen Sie die gewünschte Speicherplatzmenge aus.


Proxy für das Update von OfficeScan Client-Komponenten

OfficeScan Clients können Proxy-Einstellungen für automatische Updates verwendensowie zum Ausführen der Funktion "Jetzt aktualisieren", falls sie dazu berechtigt sind.


6-51

TABELLE 6-9. Beim Update von OfficeScan Client-Komponenten verwendete Proxy-Einstellungen

UPDATE-METHODE

VERWENDETE PROXY-EINSTELLUNGEN

VERWENDUNG

AutomatischesClient-Update

• Automatische Proxy-Einstellungen. WeitereInformationen findenSie unterAutomatische Proxy-Einstellungen fürOfficeScan Clients aufSeite 14-55.

• Interne Proxy-Einstellungen. WeitereInformationen findenSie unter InternerProxy für OfficeScanClients auf Seite14-51.

1. OfficeScan Clients verwenden beimKomponenten-Update zunächst dieautomatischen Proxy-Einstellungen.

2. Sind keine automatischen Proxy-Einstellungen aktiviert, werdeninterne Proxy-Einstellungenverwendet.

3. Sind beide Optionen deaktiviert,verwenden die Clients keine Proxy-Einstellungen.


6-52

UPDATE-METHODE

VERWENDETE PROXY-EINSTELLUNGEN

VERWENDUNG

Jetztaktualisieren

• Automatische Proxy-Einstellungen. WeitereInformationen findenSie unterAutomatische Proxy-Einstellungen fürOfficeScan Clients aufSeite 14-55.

• BenutzerdefinierteProxy-Einstellungen.Sie können Client-Benutzern dieBerechtigung zurKonfiguration derProxy-Einstellungenerteilen. WeitereInformationen findenSie unter Proxy-Konfiguration -Berechtigungen fürClients auf Seite14-53.

1. OfficeScan Clients verwenden beimKomponenten-Update zunächst dieautomatischen Proxy-Einstellungen.

2. Sind keine automatischen Proxy-Einstellungen aktiviert, werdenbenutzerkonfigurierte Proxy-Einstellungen verwendet.

3. Sind beide Optionen deaktiviert,oder sind die automatischen Proxy-Einstellungen deaktiviert und dieClient-Benutzer verfügen nicht überdie erforderliche Berechtigung,verwenden die Clients beimKomponenten-Update keine Proxy-Einstellungen.

OfficeScan Client-Update-Benachrichtigungenkonfigurieren

OfficeScan benachrichtigt Client-Benutzer, wenn Update-bezogene Ereignisse auftreten.

Prozedur


2. Navigieren Sie zum Abschnitt Alarmeinstellungen.


• Warnsymbol in der Windows Taskleiste anzeigen, wenn die Viren-Pattern-Datei seit __ Tag(en) nicht aktualisiert wurde: Ein Warnsymbol


6-53

auf der Windows Task-Leiste erinnert den Benutzer daran, das Viren-Patternzu aktualisieren, das innerhalb der festgelegten Anzahl von Tagen nichtaktualisiert wurde. Zur Aktualisierung des Patterns verwenden Sie eine derUpdate-Methoden, die in OfficeScan Client-Update-Methoden auf Seite 6-38behandelt werden.

Alle Clients, die vom Server verwaltet werden, werden diese Einstellungübernehmen.

• Eine Benachrichtigung anzeigen, wenn der Client-Computer zumLaden eines Kerneltreibers neu gestartet werden muss: Nach derInstallation eines Hotfix oder Upgrade-Pakets mit einer neuen Version desKerneltreibers ist die Vorgängerversion des Treibers möglicherweise nochimmer auf dem Computer vorhanden. Eine Deinstallation derVorgängerversion und die Installation der neuen Version ist nur nach einemNeustart des Computers möglich. Nach dem Neustart des Computers wirddie neue Version automatisch installiert, und es ist kein weiterer Neustarterforderlich.

Die Benachrichtigung wird direkt nach der Installation des Hotfixes oderUpgrade-Pakets auf dem Client-Computer angezeigt.


OfficeScan Client-Update-Protokolle anzeigenÜberprüfen Sie die Client-Update-Protokolle, um festzustellen, ob beim Aktualisierendes Viren-Patterns auf den Clients Probleme auftreten.

HinweisIn dieser Produktversion können nur Protokolle für Viren-Pattern-Updates von derWebkonsole aus abgefragt werden.



6-54

Prozedur

1. Navigieren Sie zu Protokolle > Netzwerkcomputer-Protokolle >Komponenten-Update.

2. Klicken Sie in der Spalte Fortschritt auf Ansicht, um die Anzahl der Client-Updates anzuzeigen. Im daraufhin angezeigten Fenster Fortschritt desKomponenten-Updates wird die Gesamtzahl der aktualisierten Clients und dieAnzahl der Clients, die im Abstand von 15 Minuten aktualisiert werden, angezeigt.

3. Um Clients mit aktualisiertem Viren-Pattern anzuzeigen, klicken Sie auf Ansicht inder Spalte Details.

4. Wenn Sie das Protokoll als komma-separierte Datei im CSV-Format speichernmöchten, klicken Sie auf In CSV-Datei exportieren. Öffnen Sie die Datei, oderspeichern Sie sie in einem bestimmten Verzeichnis.

OfficeScan Client -Updates erzwingenÜber die Einhaltung der Sicherheitsrichtlinien können Sie gewährleisten, dass sich aufden Clients die neuesten Komponenten befinden. Bei der Prüfung derRichtlinieneinhaltung der Komponenten wird ermittelt, ob es Komponenten-Inkonsistenzen zwischen dem OfficeScan Server und den Clients gibt. Inkonsistenzentreten üblicherweise dann auf, wenn die Clients keine Verbindung zum Server aufbauenkönnen, um die Komponenten zu aktualisieren. Wenn der Client ein Update von eineranderen Quelle erhält (z. B. einem ActiveUpdate Server), kann es vorkommen, dass eineKomponente auf dem Client neuer ist als dieselbe Komponente auf dem Server.

Weitere Informationen finden Sie unter Einhaltung der Sicherheitsrichtlinien für verwalteteClients auf Seite 14-59.

Rollback der Komponenten für OfficeScan Clientsdurchführen

Ein Rollback ist eine Rückabwicklung zur vorherigen Version des Viren-Patterns, desAgent-Patterns der intelligenten Suche und der Viren-Scan-Engine. Wenn dieseKomponenten nicht ordnungsgemäß funktionieren, sollten Sie ein Rollback auf die


6-55

vorherige Version durchführen. OfficeScan behält die aktuelle und die vorherigeVersion der Viren-Scan-Engine und die letzten fünf Versionen des Viren-Patterns unddes Agent-Patterns der intelligenten Suche bei.

HinweisNur die oben genannten Komponenten können rückabgewickelt werden.

OffiiceScan verwendet unterschiedliche Scan Engines für Clients auf 32-Bit- und 64-Bit-Plattformen. Für diese Scan Engines müssen separate Rollbacks durchgeführt werden.Das Rollback wird bei allen Versionen der Scan Engine auf dieselbe Weise durchgeführt.

Prozedur

1. Navigieren Sie zu Updates > Rollback

2. Klicken Sie im entsprechenden Bereich auf Mit Server synchronisieren.

a. Klicken Sie in der angezeigten Client-Hierarchie auf das Symbol der Root-Domäne ( ), um alle Clients einzuschließen, oder wählen Sie bestimmteDomänen oder Clients aus.

b. Klicken Sie auf Rollback.

c. Klicken Sie auf Update-Protokolle anzeigen, um das Ergebnis zuüberprüfen oder Zurück, um zum Fenster Rollback zurückzugehen.

3. Wenn eine ältere Pattern-Datei auf dem Server vorhanden ist, klicken Sie aufRollback für Server und Clients, um ein Rollback der Pattern-Datei sowohl aufdem OfficeScan Client als auch auf dem Server durchzuführen.

Touch Tool für OfficeScan Hotfixes ausführenDas Touch Tool passt den Zeitstempel einer Datei an den Zeitstempel einer anderenDatei oder an die Systemzeit des Computers an. Wenn Sie erfolglos versuchen, einenHotfix auf dem OfficeScan Server zu installieren, verwenden Sie das Touch Tool, umden Zeitstempel des Hotfixes zu ändern. Dadurch erkennt OfficeScan den Hotfix alsneu, und der Server versucht automatisch, den Hotfix erneut zu verteilen.


6-56

Prozedur

1. Öffnen Sie auf dem OfficeScan Server den Ordner <Installationsordner des Servers>\PCCSRV\Admin\Utility\Touch.

2. Kopieren Sie die Datei TMTouch.exe in den Ordner, in dem sich die Dateibefindet, die Sie ändern möchten. Bei der Synchronisierung des Zeitstempels derDatei mit dem einer anderen Datei müssen sich beide Dateien zusammen mit demTouch Tool am selben Speicherort befinden.

3. Öffnen Sie ein Befehlszeilenfenster, und wechseln Sie in das Verzeichnis mit derTouch Tool Anwendung.

4. Geben Sie folgenden Befehl ein:

TmTouch.exe <Zieldateiname> <Quelldateiname>

Wobei gilt:

• <Zieldateiname> ist der Name der Hotfix-Datei, deren Zeitstempelgeändert werden soll.

• <Quelldateiname> ist der Name der Datei, deren Zeitstempel kopiertwerden soll.

HinweisWenn Sie keinen Quelldateinamen angeben, wird der Zeitstempel der Zieldatei an dieSystemzeit des Computers angepasst. Das Platzhalterzeichen (*) darf imZieldateinamen, jedoch nicht im Quelldateinamen verwendet werden.

5. Um zu überprüfen, ob der Zeitstempel geändert wurde, geben Sie dir in dieBefehlszeile ein, oder überprüfen Sie die Eigenschaften der Datei in WindowsExplorer.

Update-AgentsFür die Zuordnung des Verteilvorgangs von Komponenten, Domäneneinstellungenoder Client-Programmen und Hotfixes an OfficeScan Clients verwenden Sie OfficeScan


6-57

Clients als Update-Agents oder Update-Adressen für andere Clients. Auf diese Weiseerhalten die Clients zeitnah ihre Updates, ohne die Verbindung zum OfficeScan Serverdurch ein hohes Datenvolumen zu belasten.

Wenn das Netzwerk beispielsweise nach Standorten segmentiert ist und dasDatenaufkommen über die Netzwerkverbindung besonders hoch ist, sollten Siemindestens einen Update-Agent pro Standort einrichten.

Systemvoraussetzungen des Update-AgentsEine vollständige Liste der Systemvoraussetzungen finden Sie auf der folgendenWebsite:


Konfiguration des Update-AgentsUpdate-Agents werden in zwei Schritten konfiguriert:

1. Weisen Sie einen OfficeScan Client als Update-Agent für bestimmte Komponentenzu.

2. Legen Sie die Clients fest, die über diesen Update-Agent aktualisiert werden.

HinweisDie Anzahl der gleichzeitigen Client-Verbindungen, die ein einzelner Update-Agentbearbeiten kann, hängt von den jeweiligen Hardware-Spezifikationen des Computersab.

Einen OfficeScan Client als Update Agent zuweisen

Prozedur


2. Wählen Sie in der Client-Hierarchie die Clients aus, die als Update-Agentsvorgesehen werden sollen.



6-58

Hinweis

Das Symbol der Root-Domäne können Sie jedoch nicht auswählen, da dann alleClients als Update-Agents festgelegt würden. Ein reiner IPv6-Update-Agent kannUpdates nicht direkt auf reine IPv4-Clients verteilen. Ebenso kann ein reiner IPv4-Update-Agent keine Updates direkt auf reine IPv6-Clients verteilen. Ein Dual-StackProxy-Server, der IP-Adressen wie DeleGate konvertieren kann, muss ermöglichen,dass der Update-Agent Updates auf die Clients verteilen kann.

3. Klicken Sie auf Einstellungen > Update-Agent-Einstellungen.

4. Wählen Sie die Komponenten aus, die Update-Agents freigeben können.

• Komponenten-Updates

• Domäneneinstellungen

• Client-Programme und Hotfixes


OfficeScan Clients festlegen, die über einen Update-Agentaktualisiert werden

Prozedur


2. Klicken Sie unter Liste der benutzerdefinierten Update-Quelle aufHinzufügen.

3. Geben Sie in dem Fenster, das angezeigt wird, die Client-IP-Adresse ein. Siekönnen einen IPv4-Bereich und/oder ein IPv6-Präfix und die -Länge eingeben.

4. Wählen Sie im Feld Update-Agent den Update-Agent aus, den Sie den Clientszuordnen möchten.


6-59

HinweisStellen Sie sicher, dass sich die Clients mit dem Update-Agent verbinden können,indem sie ihre IP-Adresse verwenden. Wenn Sie beispielsweise einen IPv4-Adressbereich festgelegt haben, muss der Update-Agent eine IPv4-Adresse haben.Wenn Sie ein IPv6-Präfix und eine -Länge festgelegt haben, muss der Update-Agenteine IPv6-Adresse haben.


Update-Quellen für Update-AgentsUpdate-Agents können Updates von verschiedenen Adressen beziehen, beispielsweisevom OfficeScan Server oder von einer benutzerspezifischen Update-Adresse.Konfigurieren Sie die Update-Quelle im Fenster Update-Quelle der Webkonsole.

IPv6-Unterstützung für Update-AgentsEin reiner IPv6-Update-Agent kann Updates nicht direkt aus reinen IPv4-Update-Quellen erhalten wie:




Ebenfalls kann ein reiner IPv4-Update-Agent Updates nicht direkt aus reinen IPv6-Update-Quellen erhalten wie einem reinen IPv6 OfficeScan Server.

Ein Dual-Stack-Proxy-Server, der IP-Adressen wie DeleGate konvertieren kann, mussermöglichen, dass die Update-Agents eine Verbindung zu den Update-Quellenherstellen können.

Standard-Update-Quelle für Update-AgentsDer OfficeScan Server ist die Standard-Update-Adresse für die Update-Agents. WennSie die Agents für direktes Aktualisieren vom OfficeScan Server einrichten, verläuft derUpdate-Vorgang wie folgt:


6-60

1. Der Update-Agent bezieht die Updates vom OfficeScan Server.

2. Ist die Aktualisierung vom OfficeScan Server nicht möglich, versucht der Agent,eine direkte Verbindung zum Trend Micro ActiveUpdate Server aufzubauen,sofern Folgendes ganz oder teilweise zutrifft:

• In Netzwerkcomputer > Client-VerwaltungEinstellungen >Berechtigungen und andere Einstellungen > Andere Einstellungen >Update-Einstellungen ist die Option Clients laden Dateien vom TrendMicro ActiveUpdate Server herunter aktiviert.

• Der ActiveUpdate Server ist der ersten Eintrag in der Liste derbenutzerdefinierten Update-Adressen.

TippSetzen Sie den ActiveUpdate Server nur dann an die erste Stelle der Liste, wenn dasUpdate über den OfficeScan Server Probleme bereitet. Wenn Update-Agents dieUpdates direkt vom ActiveUpdate Server beziehen, wird viel Bandbreite zwischenNetzwerk und Internet benötigt.

3. Ist von allen möglichen Adressen kein Update möglich, bricht der Update-Agentden Update-Vorgang ab.

Benutzerdefinierte Update-Quelle für Update-Agents

Neben dem OfficeScan Server können Update-Agents auch von anderen Update-Adressen aus aktualisiert werden. Benutzerdefinierte Update-Adressen tragen dazu bei,den Datenverkehr zum OfficeScan Server bei der Aktualisierung von Clients zureduzieren. Sie können in der Liste der benutzerdefinierten Update-Adressen bis zu1024 benutzerdefinierte Update-Adressen festlegen. Weitere Informationen zumKonfigurieren der Liste finden Sie unter Benutzerdefinierte Update-Quellen für OfficeScanClients auf Seite 6-33.


6-61

HinweisStellen Sie sicher, dass die Option Update-Agents aktualisieren Komponenten,Domäneneinstellungen, Client-Programme und Hotfixes nur vom OfficeScanServer aus im Fenster

Update-Adresse (Netzwerkcomputer) (Updates > Netzwerkcomputer > Update-Adresse) deaktiviert, damit die Update-Agents Verbindungen mit den benutzerdefiniertenUpdate-Adressen herstellen.

Nachdem Sie die Liste erstellt und gespeichert haben, wird der Update-Vorgang wiefolgt ausgeführt:

1. Der Update-Agent führt das Update anhand des ersten Eintrags in der Liste durch.

2. Wenn es nicht möglich ist, anhand des ersten Eintrags zu aktualisieren, führt derAgent das Update vom zweiten Eintrag aus durch, usw.

3. Falls kein Eintrag ein Update ermöglicht, prüft der Agent die folgenden Optionen:

• Update der Komponenten vom OfficeScan Server, wenn keinebenutzerdefinierten Quellen verfügbar sind oder nicht gefundenwurden: Sofern aktiviert, bezieht der Agent die Updates vom OfficeScanServer.

Ist die Option deaktiviert, versucht der Agent, eine direkte Verbindung zumTrend Micro ActiveUpdate Server aufzubauen, sofern Folgendes ganz oderteilweise zutrifft:

HinweisSie können nur Komponenten vom ActiveUpdate Server aktualisieren.Domäneneinstellungen sowie Programme und Hotfixes können nur vom Serveroder von Update-Agents heruntergeladen werden.

• In der Netzwerkcomputer > Client-VerwaltungEinstellungen >Berechtigungen und andere Einstellungen > AndereEinstellungen > Update-Einstellungen ist die Option Clients ladenDateien vom Trend Micro ActiveUpdate Server herunter aktiviert.

• Der ActiveUpdate Server ist nicht in der Liste der benutzerdefiniertenUpdate-Adressen enthalten.


6-62

• Update der Domäneneinstellungen vom OfficeScan Server, wenn keinebenutzerdefinierten Quellen verfügbar sind oder nicht gefundenwurden: Sofern aktiviert, bezieht der Agent die Updates vom OfficeScanServer.

• Update der Client-Programme und Hotfixes vom OfficeScan Server,wenn keine benutzerdefinierten Quellen verfügbar sind oder nichtgefunden wurden: Sofern aktiviert, bezieht der Agent die Updates vomOfficeScan Server.


Die Aktualisierung wird anders ausgeführt, wenn die Option Update-Agent: Updateimmer über Standard-Update-Adresse durchführen (OfficeScan Server) aktiviertist, und der OfficeScan Server den Agenten über das Komponenten-Updatebenachrichtigt. Die folgenden Schritte werden ausgeführt:

1. Der Agent bezieht Updates direkt vom OfficeScan Server und ignoriert die Listeder Update-Adressen.

2. Ist die Aktualisierung vom Server nicht möglich, versucht der Agent, eine direkteVerbindung zum Trend Micro ActiveUpdate Server aufzubauen, sofern Folgendesganz oder teilweise zutrifft:

• In der Netzwerkcomputer > Client-VerwaltungEinstellungen >Berechtigungen und andere Einstellungen > Andere Einstellungen >Update-Einstellungen ist die Option Clients laden Dateien vom TrendMicro ActiveUpdate Server herunter aktiviert.

• Der ActiveUpdate Server ist der ersten Eintrag in der Liste derbenutzerdefinierten Update-Adressen.

Tipp

Setzen Sie den ActiveUpdate Server nur dann an die erste Stelle der Liste, wenn dasUpdate über den OfficeScan Server Probleme bereitet. Wenn OfficeScan Clientsdirekt vom ActiveUpdate Server aktualisiert werden, wird viel Bandbreite zwischenNetzwerk und Internet benötigt.


6-63


Update-Adresse für den Update-Agenten konfigurieren

Prozedur


2. Wählen Sie aus, ob Updates über die Standard-Update-Quelle für Update-Agents(OfficeScan Server) oder über die benutzerdefinierten Update-Quellen für Update-Agents bezogen werden sollen.


Update-Agent-Komponenten duplizierenBeim Download von Komponenten verwenden Update-Agents ebenso wie derOfficeScan Server die Komponentenduplizierung. Weitere Informationen darüber, wieder Server Komponenten dupliziert, finden Sie unter OfficeScan Server-Komponentenduplizierung auf Seite 6-21.

Die Komponentenduplizierung für Update-Agents funktioniert wie folgt:

1. Der Update-Agent vergleicht die aktuelle, vollständige Pattern-Version mit derneuesten Version auf der Update-Adresse. Beträgt der Unterschied zwischenbeiden Versionen maximal 14, lädt der Update-Agent das inkrementelle Patternherunter, das den Unterschied zwischen den beiden Versionen umfasst.

HinweisIst der Unterschied größer als 14, lädt der Update-Agent automatisch die vollständigeVersion der Pattern-Datei herunter.

2. Der Update-Agent integriert das inkrementelle, gerade heruntergeladene Pattern insein aktuelles vollständiges Pattern und erhält so das neueste vollständige Pattern.

3. Der Update-Agent lädt die restlichen inkrementellen Pattern von der Update-Adresse herunter.


6-64

4. Das neueste vollständige Pattern und alle inkrementellen Pattern werden denClients zur Verfügung gestellt.

Update-Methoden für Update-Agents

Update-Agents verwenden die gleichen Update-Methoden, die auch für reguläre Clientsverfügbar sind. Weitere Informationen finden Sie unter OfficeScan Client-Update-Methodenauf Seite 6-38.

Mit dem Konfigurationsassistenten für das zeitgesteuerte Update können Sie auchzeitgesteuerte Updates auf Update-Agents aktivieren und konfigurieren, die mit Hilfevon Client Packager installiert wurden.

Hinweis

Dieser Assistent ist nicht verfügbar, wenn der Update-Agent auf eine andere Art installiertwurde. Weitere Informationen finden Sie unter Überlegungen zur Verteilung auf Seite 5-11.

Den Konfigurationsassistenten für das zeitgesteuerteUpdate verwenden

Prozedur

1. Navigieren Sie auf dem Update-Agent-Computer zum <Installationsordner desClients>.

2. Doppelklicken Sie auf die Datei SUCTool.exe, um den Assistenten auszuführen.Die Konsole des Konfigurationsassistenten für das zeitgesteuerte Update wirdgeöffnet.

3. Klicken Sie auf Zeitgesteuertes Update aktivieren.

4. Geben Sie den Startzeitpunkt und das Zeitintervall für die Updates an.

5. Klicken Sie auf Übernehmen.


6-65

Update-Agent - Analysebericht

Erzeugen Sie den Update-Agent-Analysebericht zur Analyse der Update-Infrastrukturund ermitteln Sie, welche Clients die Downloads über OfficeScan Server, Update-Agents oder ActiveUpdate Server vornehmen. Sie können anhand dieses Berichtüberprüfen, ob die Anzahl der Clients, die auf die Update-Adressen zugreifen, dieverfügbaren Ressourcen überschreitet, und gegebenenfalls den Datenverkehr imNetzwerk zu passenden Adressen umleiten.

Hinweis

Dieser Bericht umfasst alle Update-Agents. Wenn Sie die Aufgabe, eine oder mehrereDomänen zu verwalten auf andere Administratoren übertragen haben, sehen diese auchUpdate-Agents, die Domänen angehören, die nicht von ihnen verwaltet werden.

OfficeScan exportiert den Update-Agent - Analysebericht in einer komma-separiertenDatei (.csv).

Dieser Bericht enthält die folgenden Informationen:

• OfficeScan Client-Computer

• IP-Adresse

• Pfad der Client-Hierarchie

• Update-Adresse

• Wenn Clients Folgendes von Update-Agents herunterladen:

• Komponenten

• Domäneneinstellungen

• OfficeScan Client-Programme und Hotfixes

Weitere Informationen zum Generieren des Berichts finden Sie unter BenutzerdefinierteUpdate-Quellen für OfficeScan Clients auf Seite 6-33.


6-66

Komponenten-Update - ZusammenfassungIm Fenster Übersicht aktualisieren auf der Webkonsole (navigieren Sie zu Updates >Übersicht) erhalten Sie Informationen über den allgemeinen Status der Komponenten-Updates und können veraltete Komponenten aktualisieren. Wenn Sie zeitgesteuerteServer-Updates aktivieren, zeigt das Fenster auch den nächsten Update-Zeitplan.

Aktualisieren Sie das Fenster regelmäßig, um den aktuellen Status des Komponenten-Updates anzuzeigen.

Hinweis

Um Komponenten-Updates auf dem integrierten Smart Protection Server anzuzeigen,navigieren Sie zu Smart Protection > Integrierter Server.

Update-Status für OfficeScan Clients

Wenn Sie das Komponenten-Update für Clients gestartet haben, betrachten Sie diefolgenden Informationen in diesem Abschnitt:

• Anzahl der zum Komponenten-Update aufgeforderten Clients

• Anzahl der noch nicht benachrichtigten Clients, die sich aber bereits in derWarteschlange befinden. Um die Benachrichtigung dieser Clients abzubrechen,klicken Sie auf Benachrichtigung abbrechen.

Komponenten

Die Tabelle Update-Status zeigt den Update-Status für jede Komponente an, die derOfficeScan Server herunterlädt und verteilt.

Für jede Komponente sehen Sie die aktuelle Version und das Datum des letztenUpdates. Sie können durch Klicken auf den Link mit der Nummer Clients mit veraltetenKomponenten anzeigen. Clients mit nicht aktuellen Komponenten manuellaktualisieren.

7-1

Kapitel 7

Nach Sicherheitsrisiken suchenIn diesem Kapitel wird erläutert, wie Sie Computer mit der dateibasierten Suche vorSicherheitsrisiken schützen.


• Info über Sicherheitsrisiken auf Seite 7-2

• Suchmethoden auf Seite 7-8

• Suchtypen auf Seite 7-15

• Gemeinsame Einstellungen für alle Suchtypen auf Seite 7-29

• Suchberechtigungen und andere Einstellungen auf Seite 7-55

• Allgemeine Sucheinstellungen auf Seite 7-72

• Sicherheitsrisiko-Protokolle auf Seite 7-91

• Benachrichtigungen bei Sicherheitsrisiken auf Seite 7-83


7-2

Info über SicherheitsrisikenSicherheitsrisiko ist der Oberbegriff für Viren/Malware und Spyware/Grayware.OfficeScan schützt Computer vor Sicherheitsrisiken. Hierbei werden zunächst Dateiendurchsucht und anschließend wird eine bestimmte Aktion für jedes entdeckteSicherheitsrisiko durchgeführt. Eine über einen kurzen Zeitraum entdeckte extrem hoheAnzahl an Sicherheitsrisiken deutet auf einen Virenausbruch hin. Um Virenausbrücheeinzudämmen, erzwingt OfficeScan Richtlinien zur Virenausbruchsprävention undisoliert infizierte Computer so lange, bis sie kein Risiko mehr darstellen.Benachrichtigungen und Protokolle helfen bei der Verfolgung der Sicherheitsrisiken undalarmieren Sie, wenn ein sofortiges Handeln erforderlich ist.

Viren und MalwareZehntausende von Viren und Malware-Typen sind bereits bekannt, und täglich kommenneue hinzu. Computerviren traten früher vor allem unter DOS oder Windows auf.Heutzutage können Viren verheerenden Schaden anrichten, indem sie dieSchwachstellen in Netzwerken, E-Mail-Systemen und Webseiten von Unternehmenausnutzen.

• Scherzprogramm: Virenähnliches Programm, das meist die Anzeige auf demComputerbildschirm verändert.

• Mögliche(r) Virus oder Malware: Verdächtige Dateien, die einige Eigenschaftenvon Viren/Malware aufweisen. Weitere Informationen finden Sie in der TrendMicro Viren-Enzyklopädie:

http://www.trendmicro.com/vinfo/de/virusencyclo/default.asp

• Rootkit: Ein Programm (oder eine Sammlung von Programmen), das Code aufeinem System ohne Zustimmung oder Wissen des Endbenutzers installiert undausführt. Es nutzt die Möglichkeiten des Tarnens, um eine permanente und nichtfeststellbare Präsenz auf der Maschine aufrechtzuerhalten. Rootkits infizieren keineComputer, sondern versuchen, eine nicht feststellbare Umgebung für dieAusführung von bösartigem Code bereitzustellen. Rootkits werden auf Systemenüber Social Engineering, bei der Ausführung von Malware oder einfach durch dasSurfen auf einer bösartigen Website installiert. Einmal installiert, kann einAngreifer praktisch jede Funktion auf dem System ausführen: Remote-Zugriffe,


Nach Sicherheitsrisiken suchen

7-3

Abhören und das Verstecken von Prozessen, Dateien, Registrierungsschlüsseln undKommunikationskanälen.

• Trojaner: Diese Art der Bedrohung verwenden oft einen Port, um sich Zugang zuComputern oder ausführbaren Programmen zu verschaffen. Trojaner replizierensich nicht, sondern nisten sich in einem System ein und lösen unerwünschteAktionen aus, z. B. indem sie Ports für Hackerangriffe öffnen. HerkömmlicheAntiviren-Software erkennt und entfernt zwar Viren, aber keine Trojaner, vor allemdann nicht, wenn diese bereits aktiv geworden sind.

• Viren: Ein Programm, das sich repliziert. Der Virus muss sich dazu an andereProgrammdateien anhängen und wird ausgeführt, sobald das Host-Programmausgeführt wird. Hierzu gehören folgende Typen:

• Bösartiger ActiveX-Code: Code, der sich hinter Webseiten verbirgt, aufdenen ActiveX™-Steuerelemente ausgeführt werden.

• Bootsektorvirus: Diese Virenart infiziert den Bootsektor von Partitionenoder Festplatten.

• COM- und EXE-Dateiinfektor: Ausführbares Programm mit derDateierweiterung .com oder .exe.

• Bösartiger Java-Code: Virencode, der in Java™ geschrieben oder eingebettetwurde und auf einem beliebigen Betriebssystem ausgeführt werden kann.

• Makrovirus: Diese Virenart ist wie ein Anwendungsmakro aufgebaut undverbirgt sich häufig in Dokumenten.

• Netzwerkvirus: Nicht jeder Virus, der sich über ein Netzwerk verbreitet, istzwangsläufig ein Netzwerkvirus. Nur einige der Viren-/Malware-Typenzählen zu dieser Kategorie. Netzwerkviren verbreiten sich grundsätzlich überNetzwerkprotokolle wie TCP, FTP, UDP, HTTP und E-Mail-Protokolle.Systemdateien und die Bootsektoren von Festplatten werden meist nichtverändert. Stattdessen infizieren Netzwerkviren den Arbeitsspeicher derComputer und erzwingen so eine Überflutung des Netzwerks mit Daten. Diesführt zu einer Verlangsamung oder, schlimmer noch, dem vollständigenAusfall des Netzwerks. Mit herkömmlichen, auf Dateiein und -ausgabebasierenden Suchmethoden können Netzwerkviren, die im Arbeitsspeicherresident sind, in der Regel nicht entdeckt werden.


7-4

Die OfficeScan Firewall setzt zum Erkennen und Sperren von Netzwerkvirendas Pattern der allgemeinen Firewall ein. Weitere Informationen finden Sieunter Info über die OfficeScan Firewall auf Seite 12-2.

• Packer: Ein komprimiertes und/oder verschlüsseltes ausführbares Windowsoder Linux™ Programm; häufig handelt es sich dabei um einen Trojaner. Inkomprimierter Form ist ein Packer für ein Antiviren-Programm schwierigerzu erkennen.

• Testviren: Eine inaktive Datei, die sich wie ein Virus verhält und vonAntiviren-Software erkannt wird. Mit Testvirus wie dem EICAR-Testskriptkönnen Sie die Funktion Ihrer Antiviren-Software überprüfen.

• VBScript-, JavaScript- oder HTML-Virus: Ein Virus, der sich auf Websitesverbirgt und über einen Browser heruntergeladen wird.

• Wurm: Ein eigenständiges Programm (oder eine Gruppe von Programmen),das funktionsfähige Kopien von sich selbst oder seinen Segmenten an andereComputer (meist per E-Mail) verteilen kann.

• Andere: Viren/Malware, die unter keiner der Viren-/Malware-Typeneingestuft wurden.

Spyware und Grayware

Client-Computer werden nicht nur durch Viren oder Malware bedroht. Als Spyware/Grayware werden Anwendungen oder Dateien bezeichnet, die zwar nicht als Viren oderTrojaner eingestuft werden, die Leistung der Netzwerkcomputer jedoch beeinträchtigenund das Unternehmen im Hinblick auf Sicherheit, Geheimhaltung undHaftungsansprüche einem hohen Risiko aussetzen können. Häufig führt Spyware/Grayware eine Vielzahl unerwünschter und bedrohlicher Aktionen durch. Dazu zählendas Öffnen lästiger Popup-Fenster, das Aufzeichnen von Tastatureingaben und dasAufdecken von Sicherheitslücken, durch die der Computer angegriffen werden kann.

Senden Sie verdächtige Dateien oder Anwendungen, die OfficeScan nicht als Graywareerkennen kann, zur Analyse an Trend Micro:

http://subwiz.trendmicro.com/SubWiz

http://subwiz.trendmicro.com/SubWiz


7-5

Spyware-/Grayware-Typen

• Spyware: Diese Software sammelt Daten, z. B. Benutzernamen und Kennwörter,und leitet sie an Dritte weiter.

• Adware: Diese Software blendet Werbebanner ein, zeichnet die Internet-Surf-Gewohnheiten der Benutzer auf und missbraucht die gesammelten Daten, um denBenutzern über einen Browser gezielte Werbung zu senden.

• Dialer: Diese Software ändert die Internet-Einstellungen und erzwingt auf demClient-Computer das Wählen von voreingestellten Telefonnummern. Oft handeltes sich um Pay-per-Call oder internationale Rufnummern, die dem Unternehmenbeträchtliche Kosten verursachen können.

• Scherzprogramm: Diese Software verursacht ungewöhnlichesComputerverhalten, z. B. das Öffnen und Schließen des CD-ROM-Laufwerks oderdie Anzeige zahlreicher Nachrichtenfelder.

• Hacker-Tools: Mit Hilfe solcher Tools verschaffen sich Hacker Zugriff aufComputer.

• Tools für den Remote-Zugriff: Mit diesen Tools können Hacker per Fernzugriffin Computer eindringen und sie steuern.

• Anwendungen zum Entschlüsseln von Kennwörtern: Hiermit versuchenHacker, Benutzernamen und Kennwörter zu entschlüsseln.

• Andere: Andere Typen potenziell bösartiger Programme.

So gelangt Spyware/Grayware ins Netzwerk

Spyware/Grayware gelangt häufig bei der Installation heruntergeladener rechtmäßigerSoftware in das Unternehmensnetzwerk. Die meisten Software-Programme enthalteneine Endbenutzer-Lizenzvereinbarung (EULA), die der Benutzer vor dem Downloadakzeptieren muss. Die EULA weist zwar auf die zusätzlich installierte Anwendung unddas Sammeln persönlicher Daten hin; viele Benutzer überlesen dies jedoch oderverstehen die juristische Ausdruckweise nicht, mit der die Anwendung beschrieben wird.


7-6

Mögliche Risiken und BedrohungenSpyware und andere Typen von Grayware im Netzwerk können folgende Gefahrenbergen:

• Verringerte Systemleistung: Spyware/Grayware beansprucht oft beträchtlicheRessourcen (Prozessor, Arbeitsspeicher).

• Mehr Abstürze des Internet-Browsers: Bestimmte Grayware-Typen, wie z. B.Adware, zeigen oftmals Informationen in einem Browser-Rahmen oder -Fensteran. Abhängig davon, wie der Code dieser Programme in die Systemprozesseeingreift, führt Grayware in manchen Fällen zum Absturz oder Einfrieren desBrowsers, so dass möglicherweise ein Neustart des Computers erforderlich ist.

• Geringere Benutzereffizienz: Durch die negativen Auswirkungen vonScherzprogrammen und Popup-Fenstern, die ständig geschlossen werden müssen,werden die Benutzer von ihrer eigentlichen Tätigkeit abgelenkt.

• Verringerung der Netzwerkbandbreite: Häufig übermittelt Spyware/Graywaredie gesammelten Daten in regelmäßigen Abständen an Anwendungen im Netzwerkoder außerhalb.

• Verlust persönlicher und unternehmensinterner Informationen: Nicht allevon Spyware/Grayware gesammelten Daten sind so harmlos wie Listen besuchterWebsites. Spyware/Grayware sammelt auch Benutzernamen und Kennwörter fürden Zugriff auf persönliche Konten, wie z. B. Bank- oder Firmenkonten vonBenutzern in Ihrem Netzwerk.

• Höheres Risiko von Haftungsansprüchen: Mit Hilfe der gestohlenenComputerressourcen aus Ihrem Netzwerk können Hacker möglicherweise Angriffestarten oder Spyware/Grayware auf Computern außerhalb des Netzwerksinstallieren. Dadurch könnten gegenüber Ihrem Unternehmen Haftungsansprüchegeltend gemacht werden.

Schutz vor Spyware/Grayware und anderen BedrohungenEs gibt viele Möglichkeiten, die Installation von Spyware/Grayware auf IhremComputer zu verhindern. Trend Micro empfiehlt Folgendes:

• Konfigurieren Sie alle Virensuchtypen (manuelle Suche, Echtzeitsuche,zeitgesteuerte Suche und Jetzt durchsuchen), um Spyware-/Grayware-Dateien und


7-7

-Anwendungen zu suchen und zu entfernen. Weitere Informationen finden Sieunter Suchtypen auf Seite 7-15.

• Weisen Sie die Benutzer Ihrer Clients auf Folgendes hin:

• Die Endbenutzer-Lizenzvereinbarung (EULA) und die zugehörigeDokumentation für Anwendungen, die Benutzer herunterladen oderinstallieren, sollen aufmerksam gelesen werden.

• Klicken Sie auf Nein, wenn Sie aufgefordert werden, dem Download und derInstallationen von Software zuzustimmen, es sei denn, Sie sind sich sicher,dass sowohl der Hersteller der Software als auch die geöffnete Websitevertrauenswürdig sind.

• Unerwünschte und kommerzielle E-Mails (Spam) sollen ignoriert werden,insbesondere, wenn der Benutzer aufgefordert wird, auf eine Schaltfläche odereinen Link zu klicken.

• Konfigurieren Sie die Einstellungen des Webbrowsers so, dass eine strengeSicherheitsstufe gewährleistet ist. Trend Micro empfiehlt, den Webbrowser soeinzustellen, dass Benutzer vor der Installation von ActiveX-Steuerelementeninformiert werden.

• Konfigurieren Sie die Sicherheitseinstellungen in Microsoft Outlook so, dassHTML-Elemente, wie z. B. Bilder in Spam-Nachrichten, nicht automatischheruntergeladen werden.

• Untersagen Sie die Nutzung von Peer-to-Peer-Tauschbörsen. Hinter mp3-Dateien,die von den Benutzern heruntergeladen werden, könnte sich Spyware oderGrayware verbergen.

• Überprüfen Sie regelmäßig, ob es sich bei der auf den Agent-Computerninstallierten Software um Spyware oder andere Grayware handelt.

• Installieren Sie stets die aktuellen Microsoft Patches auf Ihrem WindowsBetriebssystem. Weitere Informationen finden Sie auf der Microsoft Website.


7-8

SuchmethodenBei der Suche nach Sicherheitsrisiken können OfficeScan clients eine von zweiSuchmethoden anwenden: die intelligente Suche und die herkömmliche Suche.

• Intelligente Suche

Clients, die die intelligente Suche anwenden, werden in diesem Dokument alsClients mit intelligenter Suche bezeichnet. Clients mit intelligenter Sucheprofitieren von der lokalen Suche und von webbasierten Abfragen, die die File-Reputation-Dienste ermöglichen.

• Herkömmliche Suche

Clients, die keine intelligente Suche anwenden, heißen Clients mitherkömmlicher Suche. Ein konventioneller Suchclient speichert alle OfficeScanKomponenten auf dem Clientcomputer und durchsucht die Dateien lokal.

Standard-SuchmethodeIn dieser Version von OfficeScan wird bei Erstinstallationen die intelligente Suche alsStandard-Suchmethode festgelegt. Dies bedeutet, dass alle vom OfficeScan Serververwalteten Clients die intelligente Suche verwenden, sofern Sie nach einerErstinstallation nicht die Suchmethode über die Webkonsole ändern.

Wenn Sie den OfficeScan Server von einer früheren Version upgraden und dasautomatische Client-Upgrade aktiviert ist, verwenden alle vom Server verwaltetenClients weiterhin die Suchmethode, die vor dem Upgrade konfiguriert wurde.Beispielsweise bewirkt ein Upgrade von OfficeScan 8.x, das nur die herkömmlicheSuche unterstützt, dass nach dem Upgrade alle Clients weiterhin die herkömmlicheSuche anwenden. Mit einem Upgrade von OfficeScan 10,, das sowohl die intelligenteSuche als auch die herkömmliche Suche unterstützt, benutzen alle Clients mitintelligenter Suche, bei denen ein Upgrade durchgeführt wurde, weiterhin die intelligenteSuche, und alle Clients mit herkömmlicher Suche benutzen weiterhin die herkömmlicheSuche.


7-9

Suchmethoden im VergleichDie folgende Tabelle beinhaltet einen Vergleich zwischen den beiden Suchmethoden:

TABELLE 7-1. Vergleich zwischen herkömmlicher Suche und intelligenter Suche

VERGLEICHSGRUNDLAGE

HERKÖMMLICHE SUCHE INTELLIGENTE SUCHE

Verfügbarkeit In dieser OfficeScanVersion und allen früherenOfficeScan Versionenverfügbar

Verfügbar ab OfficeScan 10

Suchverhalten Der herkömmlicheSuchclient durchsucht denlokalen Computer.

• Der intelligente Suchclientdurchsucht den lokalenComputer.

• Wenn der Client das Risiko derDatei während der Suche nichtermitteln kann, überprüft erdies, indem er eineSuchabfrage an die SmartProtection Quelle sendet.

• Der Client legt dieSuchabfrageergebnisse zurVerbesserung der Suchleistungin einem Zwischenspeicher ab.

Verwendete undaktualisierteKomponenten

Alle unter der Update-Adressse verfügbarenKomponenten, außer dasAgent-Pattern derintelligenten Suche

Alle unter der Update-Adressseverfügbaren Komponenten, außerdas Viren-Pattern und das Patternzur aktiven Spyware-Überwachung

Typische Update-Adresse

OfficeScan Server OfficeScan Server


7-10

Suchmethode ändern

Prozedur



3. Klicken Sie auf Einstellungen > Sucheinstellungen > Suchmethoden.

4. Wählen Sie Herkömmliche Suche oder Intelligente Suche aus.




Wechsel von der intelligenten Suche zur herkömmlichenSuche

Bedenken Sie Folgendes, wenn Sie die Clients auf die herkömmliche Suche umschalten:

1. Anzahl der Clients, die umgeschaltet werden sollen

Wenn Sie eine relativ kleine Anzahl von Clients gleichzeitig umschalten, werdenOfficeScan Server und Smart Protection Server Ressourcen effizient genutzt. DieseServer können andere kritische Aufgaben ausführen, während Clients ihreSuchmethoden ändern.


7-11

2. Timing

Wenn Sie wieder auf die herkömmliche Suche umschalten, werden die Clientswahrscheinlich die vollständige Version des Viren-Patterns und des Spyware-Aktivmonitor-Patterns vom OfficeScan Server herunterladen. Diese Pattern-Dateien werden nur von den Clients der herkömmlichen Suche verwendet.

Die Umschaltung sollte bei geringem Netzaufkommen durchgeführt werden, umsicherzustellen, dass der Download-Prozess in kurzer Zeit beendet wird. Außerdemsollten Sie dann umschalten, wenn keine Aktualisierung eines Clients über denServer geplant ist. Deaktivieren Sie außerdem vorübergehend die Funktion "Jetztaktualisieren", und aktivieren Sie sie wieder, nachdem die Umschaltung der Clientszur intelligenten Suche beendet wurde.

3. Einstellungen der Client-Hierarchie

Die Suchmethode ist eine granuläre Einstellung, die auf Stamm- oderDomänenebene oder für einzelne Clients festgelegt werden kann. Bei derUmschaltung zur herkömmlichen Suche können Sie tun:

• Erstellen Sie eine neue Client-Hierarchiedomäne, und ordnen Sie dieherkömmliche Suche als Suchmethode zu. Alle Clients, die Sie in dieseDomäne verschieben, werden die herkömmliche Suche verwenden. Wenn Sieden Client verschieben, aktivieren Sie die Einstellung Einstellungen derneuen Domäne für ausgewählte Clients übernehmen.

• Wählen Sie eine Domäne aus, und konfigurieren Sie diese zur Verwendungder herkömmlichen Suche. Clients der intelligenten Suche, die einer Domäneangehören, werden für die herkömmliche Suche aktiviert.

• Wählen Sie einen oder mehrere Clients der intelligenten Suche aus einerDomäne, und schalten Sie diese dann auf die herkömmliche Suche um.

HinweisAlle Änderungen an der Suchmethode der Domäne überschreiben die Suchmethode,die Sie für individuelle Clients konfiguriert haben.


7-12

Wechsel von der herkömmlichen Suche zur intelligentenSuche

Wenn Sie von der herkömmlichen Suche auf die intelligente Suche umstellen, sollteSmart Protection Services eingerichtet sein. Weitere Informationen finden Sie unterSmart Protection Services einrichten auf Seite 4-13.

Die folgende Tabelle enthält weitere Überlegungen zur Umstellung auf die intelligenteSuche:

TABELLE 7-2. Überlegungen bei der Umstellung auf die intelligente Suche

ÜBERLEGUNG DETAILS

Nicht verfügbareFunktionen

Smart Protection Clients können keine Informationen über dasPattern der intelligenten Suche und das Agent-Pattern derintelligenten Suche an den Policy Server berichten.

Produktlizenz Um die intelligente Suche zu verwenden, vergewissern Siesich, dass Sie die Lizenzen für die folgenden Dienste aktivierthaben und die Lizenzen nicht abgelaufen sind:

• Virenschutz

• Web Reputation und Anti-Spyware

OfficeScan Server Stellen Sie sicher, dass die Clients eine Verbindung zumOfficeScan Server aufbauen können. Nur Online-Clientserhalten die Benachrichtigung, die intelligente Suche zuaktivieren. Offline-Clients erhalten die Benachrichtigung erstdann, wenn sie wieder online gehen. Roaming-Clients werdenbenachrichtigt, wenn sie wieder online gehen, oder, falls derClient über Berechtigungen für zeitgesteuerte Updatesverfügt, wenn das zeitgesteuerte Update ausgeführt wird.

Vergewissern Sie sich auch, dass der OfficeScan Server überdie neuesten Komponenten verfügt, weil die Clients derintelligenten Suche das Agent-Pattern der intelligenten Suchevom Server herunterladen müssen. Informationen zum Updatevon Komponenten finden Sie unter OfficeScan Server-Updates auf Seite 6-15.


7-13

ÜBERLEGUNG DETAILS

Anzahl der Clients, dieumgeschaltet werdensollen

Wenn Sie eine relativ kleine Anzahl von Clients gleichzeitigumschalten, werden die Ressourcen von OfficeScan Servereffizient genutzt. Die OfficeScan Server können anderekritische Aufgaben ausführen, während Clients ihreSuchmethoden ändern.

Timing Wenn Sie zum ersten Mal auf die intelligente Sucheumschalten, müssen Clients die vollständige Version desAgent-Patterns der intelligenten Suche vom OfficeScan Serverherunterladen. Das Pattern der intelligenten Suche wird nurvon Clients der intelligenten Suche verwendet.

Die Umschaltung sollte bei geringem Netzaufkommendurchgeführt werden, um sicherzustellen, dass der Download-Prozess in kurzer Zeit beendet wird. Außerdem sollten Siedann umschalten, wenn keine Aktualisierung eines Clientsüber den Server geplant ist. Deaktivieren Sie außerdemvorübergehend die Funktion "Jetzt aktualisieren", undaktivieren Sie sie wieder, nachdem die Umschaltung derClients zur intelligenten Suche beendet wurde.


7-14

ÜBERLEGUNG DETAILS

Einstellungen derClient-Hierarchie

Die Suchmethode ist eine granuläre Einstellung, die aufStamm- oder Domänenebene oder für einzelne Clientsfestgelegt werden kann. Bei der Umschaltung zur intelligentenSuche können Sie Folgendes tun:

• Erstellen Sie eine neue Client-Hierarchiedomäne, undordnen Sie die intelligente Suche als Suchmethode zu.Alle Clients, die Sie in diese Domäne verschieben,werden die intelligente Suche verwenden. Wenn Sie denClient verschieben, aktivieren Sie die EinstellungEinstellungen der neuen Domäne für ausgewählteClients übernehmen.

• Wählen Sie eine Domäne aus, und konfigurieren Siediese zur Verwendung der intelligenten Suche. Clientsder herkömmlichen Suche, die einer Domäne angehören,werden für die intelligente Suche aktiviert.

• Wählen Sie einen oder mehrere Clients derherkömmlichen Suche aus einer Domäne, und schaltenSie diese dann auf die intelligente Suche um.

HinweisAlle Änderungen an der Suchmethode der Domäneüberschreiben die Suchmethode, die Sie für individuelleClients konfiguriert haben.


7-15

ÜBERLEGUNG DETAILS

IPv6-Unterstützung Die Clients mit intelligenter Suche senden Suchanfragen anSmart Protection Quellen.

Ein reiner IPv6-Client mit intelligenter Suche kann Anfragennicht direkt an IPv4-Quellen senden wie zum Beispiel:


HinweisIPv6-Unterstützung für Smart Protection Server istab Version 2.5 verfügbar.


Entsprechend kann ein reiner IPv4-Client mit intelligenterSuche ebenfalls keine Anfragen an reine IPv6 SmartProtektion Server senden.

Ein Dual-Stack-Proxy-Server, der IP-Adressen konvertierenkann wie DeleGate, muss ermöglichen, dass Clients mitintelligenter Suche eine Verbindung zu den Quellen herstellenkönnen.

SuchtypenOfficeScan unterstützt die folgenden Suchtypen, um OfficeScan Client-Computer vorSicherheitsrisiken zu schützen:

TABELLE 7-3. Suchtypen


Echtzeitsuche Bei jedem Empfang, Öffnen, Herunterladen, Kopieren oder Änderneiner Datei wird diese automatisch durchsucht.

Weitere Informationen finden Sie unter Echtzeitsuche auf Seite7-16.


7-16


Manuelle Suche Eine vom Benutzer eingeleitete Suche, bei der eine vom Benutzerangeforderte Datei oder ein Dateisatz durchsucht wird.

Weitere Informationen finden Sie unter Manuelle Suche auf Seite7-19.

ZeitgesteuerteSuche

Durchsucht Dateien automatisch auf dem Computer basierend aufdem Zeitplan, der vom Administrator oder einem Endbenutzerkonfiguriert wurde.

Weitere Informationen finden Sie unter Zeitgesteuerte Suche aufSeite 7-21.

Jetztdurchsuchen

Eine vom Administrator eingeleitete Suche, bei der Dateien aufeinem oder mehreren Zielcomputern durchsucht werden

Weitere Informationen finden Sie unter Jetzt durchsuchen auf Seite7-23.

Intensive Suche Eine automatisch gestartete Suche mit einer erhöhtenErkennungsstufe für mögliche Malware auf Computern, die alshohes hohes Sicherheitsrisiko eingestuft werden

Weitere Informationen finden Sie unter Intensive Suche auf Seite7-27.

Echtzeitsuche

Die Echtzeitsuche wird kontinuierlich und dauerhaft ausgeführt. Bei jedem Empfang,Öffnen, Herunterladen, Kopieren oder Ändern einer Datei wird diese durch dieEchtzeitsuche durchsucht. Wenn OfficeScan keine Sicherheitsrisiken erkennt, verbleibtdie Datei an ihrem Speicherort und Benutzer können weiterhin auf die Datei zugreifen.Wenn OfficeScan ein Sicherheitsrisiko oder eine mögliche Viren-/Malware-Infektionerkennt, wird eine Benachrichtigung mit dem Namen der infizierten Datei und desspeziellen Sicherheitsrisikos angezeigt.

Hinweis

Um die Benachrichtigung zu ändern, öffnen Sie die Webkonsole, und navigieren Sie zuBenachrichtigungen > Benutzerbenachrichtigungen.


7-17

Sie können die Einstellungen für die Echtzeitsuche für einen oder mehrere Clients undDomänen bzw. für alle Clients, die vom Server verwaltet werden, konfigurieren undanwenden.

Einstellungen der Echtzeitsuche konfigurieren

Prozedur



3. Klicken Sie auf Einstellungen > Sucheinstellungen > Einstellungen derEchtzeitsuche.

4. Wählen Sie auf der Registerkarte Ziel die folgenden Optionen:

• Suche nach Viren/Malware aktivieren

• Suche nach Spyware/Grayware aktivieren

Hinweis

Wenn Sie die Suche nach Viren/Malware deaktivieren, wird auch die Suchenach Spyware/Grayware deaktiviert. Während eines Virenausbruchs ist es nichtmöglich, die Echtzeitsuche zu deaktivieren (sie wird automatisch aktiviert, wennsie ursprünglich deaktiviert wurde), um zu verhindern, dass der Virus Dateienoder Ordner auf den Client-Computern ändert oder löscht.

5. Konfigurieren Sie die folgenden Suchkriterien:

• Benutzerdefinierte Aktionen für Dateien auf Seite 7-29

• Zu durchsuchende Dateien auf Seite 7-29

• Sucheinstellungen auf Seite 7-30

• Suchausschlüsse auf Seite 7-33

6. Klicken Sie auf die Registerkarte Aktion, und konfigurieren Sie Folgendes:


7-18

TABELLE 7-4. Aktionen der Echtzeitsuche

AKTION NACHSCHLAGEWERKE

Viren-/Malware-Aktion Primäraktion (wählen Sie eine aus):

• ActiveAction verwenden auf Seite 7-40

• Gleiche Aktion für alle Arten von Viren/Malware aufSeite 7-42

• Bestimmte Aktion für jede Art von Viren/Malware aufSeite 7-42

HinweisWeitere Informationen zu den einzelnen Aktionenfinden Sie unter Viren-/Malware-Suchaktionen aufSeite 7-39.

Zusätzliche Viren-/Malware-Aktionen:

• Quarantäne-Ordner auf Seite 7-43

• Dateien vor dem Säubern sichern auf Seite 7-44

• Damage Cleanup Services auf Seite 7-45

• Bei Viren-/Malware-Fund Benachrichtigung anzeigenauf Seite 7-46

• Bei Viren-/Malware-Verdacht Benachrichtigunganzeigen auf Seite 7-46

Spyware-/Grayware-Aktion

Primäraktion:

• Spyware-/Grayware-Suchaktionen auf Seite 7-50

Zusätzliche Spyware-/Grayware-Aktion:

• Bei Spyware-/Grayware-Fund Benachrichtigunganzeigen auf Seite 7-52



7-19



Manuelle SucheBei der manuellen Suche handelt es sich um eine On-Demand-Suche, die direktausgeführt wird, nachdem ein Benutzer die Suche auf der OfficeScan Client-Konsolestartet. Die Dauer der Suche hängt von der Anzahl der Dateien und den Hardware-Ressourcen des OfficeScan Client-Computers ab.

Sie können die Einstellungen für die manuelle Suche für einen oder mehrere Clients undDomänen bzw. für alle Clients, die vom Server verwaltet werden, konfigurieren undanwenden.

Manuelle Suche konfigurieren

Prozedur



3. Klicken Sie auf Einstellungen > Sucheinstellungen > Einstellungen fürmanuelle Suche.

4. Konfigurieren Sie auf der Registerkarte Ziel die folgenden Suchkriterien:




7-20

• CPU-Auslastung auf Seite 7-32



TABELLE 7-5. Manuelle Suchaktionen












Primäraktion:





7-21


Zeitgesteuerte Suche

Die zeitgesteuerte Suche wird automatisch zur angegebenen Uhrzeit am angegebenenDatum ausgeführt. Verwenden Sie die zeitgesteuerte Suche, um die routinemäßige Sucheauf dem Client zu automatisieren und die Verwaltung der Virensuche zu optimieren.

Sie können die Einstellungen für die zeitgesteuerte Suche für einen oder mehrere Clientsund Domänen bzw. für alle Clients, die vom Server verwaltet werden, konfigurieren undanwenden.

Zeitgesteuerte Suche konfigurieren

Prozedur



3. Klicken Sie auf Einstellungen > Sucheinstellungen > Einstellungen fürzeitgesteuerte Suche.




Hinweis

Wenn Sie die Suche nach Viren/Malware deaktivieren, wird auch die Suche nachSpyware/Grayware deaktiviert.


7-22


• Zeitplan auf Seite 7-32






TABELLE 7-6. Aktionen der zeitgesteuerten Suche











• Bei Viren-/Malware-Fund Benachrichtigung anzeigenauf Seite 7-46

• Bei Viren-/Malware-Verdacht Benachrichtigunganzeigen auf Seite 7-46


7-23



Primäraktion:


Zusätzliche Spyware-/Grayware-Aktion:

• Bei Spyware-/Grayware-Fund Benachrichtigunganzeigen auf Seite 7-52




Jetzt durchsuchen"Jetzt durchsuchen" wird remote von einem OfficeScan Administrator über dieWebkonsole initialisiert und kann für eine oder mehrere Client-Computer ausgeführtwerden.

Sie können die Einstellungen für die Funktion "Jetzt durchsuchen" für einen odermehrere Clients und Domänen bzw. für alle Clients, die vom Server verwaltet werden,konfigurieren und anwenden.


7-24

Einstellungen von Jetzt durchsuchen konfigurieren

Prozedur



3. Klicken Sie auf Einstellungen > Sucheinstellungen > Einstellungen für 'Jetztdurchsuchen'.




HinweisWenn Sie die Suche nach Viren/Malware deaktivieren, wird auch die Suche nachSpyware/Grayware deaktiviert.








7-25

TABELLE 7-7. Aktionen für die Sofortsuche












Primäraktion:




• Nur auf zukünftige Domänen anwenden: Wendet die Einstellungen nurauf Clients an, die zu zukünftigen Domänen hinzukommen. Bei dieser Option


7-26

werden die Einstellungen nicht auf Clients angewendet, die neu zu einervorhandenen Domäne hinzukommen.

Jetzt durchsuchen starten

Starten Sie "Jetzt durchsuchen" auf Computern, von denen Sie vermuten, dass sieinfiziert sind.

Prozedur



3. Klicken Sie auf Aufgaben > Jetzt durchsuchen.

4. Um vor der Suche die vorkonfigurierten Einstellungen von Jetzt durchsuchen zuändern, klicken Sie auf Einstellungen.

Das Fenster Einstellungen für 'Jetzt durchsuchen'wird geöffnet. WeitereInformationen finden Sie unter Jetzt durchsuchen auf Seite 7-23.

5. Wählen Sie in der Client-Hierarchie die Clients für die Suche aus, und klicken Siedann auf "Jetzt durchsuchen" starten.

HinweisWenn kein Client ausgewählt ist, benachrichtigt OfficeScan automatisch alle Clientsin der Client-Hierarchie.

Der Server sendet eine Benachrichtigung an die Clients.

6. Überprüfen Sie den Benachrichtigungsstatus, und vergewissern Sie sich, dass alleClients benachrichtigt wurden.

7. Klicken Sie auf Nicht benachrichtigte Computer auswählen und anschließendauf "Jetzt durchsuchen" starten, um die Benachrichtigung erneut an noch nichtbenachrichtige Clients zu senden.


7-27

Beispiel: Clients (gesamt): 50

TABELLE 7-8. Client-Szenarios ohne Benachrichtigung

CLIENT-HIERARCHIE –AUSWAHL

BENACHRICHTIGTE CLIENTS(NACH KLICKEN AUF "'JETZT

DURCHSUCHEN' STARTEN")

NICHT BENACHRICHTIGTECLIENTS

Keine (alle 50 Clientswerden automatischausgewählt)

35 von 50 Clients 15 Clients

Manuelle Auswahl (45von 50 Clientsausgewählt)

40 von 45 Clients 5 Client plus weitere 5Clients, die in dermanuellen Auswahl nichtenthalten sind

8. Klicken Sie auf Benachrichtigung beenden, damit OfficeScan dieBenachrichtigung abbricht. Bereits benachrichtige Clients, auf denen eine Sucheausgeführt wird, ignorieren diesen Befehl.

9. Klicken Sie auf Jetzt durchsuchen beenden, um Clients, auf denen die Suchebereits ausgeführt wird, zum Beenden aufzufordern.

Intensive Suche

OfficeScan startet während einer manuellen Suche automatisch eine intensive Suche,sobald eine bestimmte Anzahl von Malware-Bedrohungen auf dem Client-Computergefunden wurden. Der OfficeScan Client durchsucht die Endpunkte unter Verwendungeiner erhöhten Erkennungsstufe für Bedrohungen erneut. Die intensive Suche erkenntMalware mit höherer Wahrscheinlichkeit als die On-Demand-Suchen.

Hinweis

Die intensive Suche erfordert mehr Systemressourcen als normale On-Demand-Suchen.

Die Standardaktionen für die intensive Suche sind:

• Erste Aktion: Quarantäne


7-28

• Zweite Aktion: Löschen

Hinweis

Administratoren können die Aktionen der intensiven Suche nicht ändern.

Konfigurieren der intensiven Suche mit ofcscan.ini

Sobald der OfficeScan Client-Computer einen Infektionsgrenzwert erkennt, startetOfficeScan die intensive Suche. Administratoren können durch Ändern der Dateiofcscan.ini konfigurieren, ab welcher Zahl von Malware-Funden die intensive Suchegestartet wird.

Prozedur

1. Öffnen Sie den <Installationsordner des Servers>\PCCSRV.

2. Öffnen Sie die Datei ofcscan.ini mit einem Texteditor, wie z. B. Notepad.

3. Suchen Sie nach der Zeichenfolge "IntensiveScanThreshold", und geben Sieanschließend daneben einen neuen Wert ein.

Der Standardwert ist 0 Funde (deaktiviert).

Hinweis

Die intensive Suche erfordert mehr Systemressourcen als normale On-Demand-Suchen. Stellen Sie sicher, dass der konfigurierte Grenzwert hoch genug ist, umunnötige Suchvorgänge zu vermeiden.

4. Speichern Sie die Datei.



OfficeScan stellt die aktualisierte Einstellung allen OfficeScan Clients bereit.


7-29

Gemeinsame Einstellungen für alle SuchtypenSie können für jeden Suchtyp drei verschiedene Einstellungstypen konfigurieren:Suchkriterien, Suchausschlüsse und Suchaktionen. Sie können diese Einstellungen aufeinen oder mehrere Clients und Domänen bzw. auf alle Clients, die vom Serververwaltet werden, verteilen.

SuchkriterienMit den Dateiattributen wie Dateityp und Erweiterung geben Sie an, welche Dateien einbestimmter Suchtyp durchsuchen soll. Geben Sie außerdem die Bedingungen an, die dieSuche auslösen. Sie können beispielsweise die Echtzeitsuche so konfigurieren, dass jedeDatei nach dem Herunterladen auf den Computer durchsucht wird.

Benutzerdefinierte Aktionen für Dateien

Wählen Sie Aktivitäten im Zusammenhang mit Dateien aus, die die Echtzeitsucheauslösen sollen. Wählen Sie dazu eine der folgenden Optionen aus:

• Dateien durchsuchen, die erstellt/bearbeitet werden: Durchsucht neueDateien, die auf den Computer kopiert oder erstellt wurden (z. B. nach demHerunterladen einer Datei), oder Dateien, die geändert wurden

• Dateien durchsuchen, die abgefragt werden: Durchsucht Dateien, wenn siegeöffnet werden

• Dateien durchsuchen, die erstellt/bearbeitet und gelesen werden

Wenn z. B. die dritte Option aktiviert wird, wird eine neue Datei durchsucht, wenn sieauf den Computer heruntergeladen wird. Die Datei bleibt an ihrem aktuellenSpeicherort, wenn keine Sicherheitsrisiken erkannt werden. Dieselbe Datei wirddurchsucht, wenn ein Benutzer die Datei öffnet und, falls der Benutzer die Datei ändert,bevor die Änderungen gespeichert werden.

Zu durchsuchende Dateien

Wählen Sie dazu eine der folgenden Optionen aus:


7-30

• Alle durchsuchbaren Dateien: Alle Dateien durchsuchen

• Von IntelliScan durchsuchte Dateitypen: Durchsucht nur Dateien, diepotenziell bösartigen Code enthalten, selbst wenn dieser sich hinter einer scheinbarharmlosen Erweiterung verbirgt. Weitere Informationen finden Sie unter IntelliScanauf Seite E-6.

• Dateien mit bestimmten Erweiterungen: Durchsucht nur Dateien mitErweiterungen, die in der Dateierweiterungsliste enthalten sind. Sie können neueErweiterungen hinzufügen und beliebige vorhandene Erweiterungen entfernen.

Sucheinstellungen

Aktivieren Sie mindestens eine der folgenden Optionen:

• Diskettenlaufwerk beim Herunterfahren des Systems durchsuchen:Durchsucht alle Diskettenlaufwerke nach Boot-Viren, bevor der Computerheruntergefahren wird. Dadurch wird verhindert, dass Viren/Malware ausgeführtwerden, wenn der Benutzer den Computer von der Diskette neu startet.

• Versteckte Ordner durchsuchen: Lässt zu, dass OfficeScan während dermanuellen Suche ausgeblendete Ordner auf dem Computer erkennt undanschließend durchsucht

• Netzlaufwerk durchsuchen: Durchsucht während der manuellen Suche oder derEchtzeitsuche Netzwerklaufwerke oder Ordner, die dem OfficeScan Client-Computer zugeordnet sind.

• Bootsektor des USB-Speichergeräts nach dem Anschließen durchsuchen:Durchsucht jedesmal, wenn ein USB-Speichergerät angeschlossen wird,automatisch den Bootsektor des Geräts (Echtzeitsuche).

• Komprimierte Dateien durchsuchen: Erlaubt OfficeScan, bis zur angegebenenAnzahl von Komprimierungsebenen zu suchen und tiefere Ebenen zu übergehen.OfficeScan säubert oder löscht auch infizierte Dateien in komprimierten Dateien.Beträgt das Maximum zum Beispiel zwei Ebenen, die zu durchsuchende Dateienthält aber sechs Ebenen, durchsucht OfficeScan die ersten beiden Ebenen undübergeht die letzten vier. Wenn eine komprimierte Datei Sicherheitsbedrohungenenthält, säubert oder löscht OfficeScan die Datei.


7-31

HinweisOfficeScan behandelt Microsoft Office 2007 Dateien im Office Open XML-Formatwie komprimierte Dateien. Office Open XML, das Dateiformat für Office 2007Anwendungen, verwendet die ZIP-Komprimierungstechnologien. Um Dateien, dievon diesen Anwendungen erstellt wurden, nach Viren und Malware zu durchsuchen,muss die Suche in komprimierten Dateien aktiviert werden.

• OLE-Objekte durchsuchen: Wenn eine Datei mehrere OLE-Ebenen (ObjectLinking and Embedding) enthält, durchsucht OfficeScan die angegebene Anzahlvon Schichten und ignoriert die verbleibenden Schichten.

Alle OfficeScan Clients, die von einem Server verwaltet werden, überprüfen dieseEinstellung während der manuellen Suche, Echtzeitsuche, zeitgesteuerten Sucheund der Funktion "Jetzt durchsuchen". Jede Schicht wird nach Viren/Malware undSpyware/Grayware durchsucht.

Beispiel:

Sie geben zwei Schichten an. Bei der ersten Schicht handelt es sich um einMicrosoft Word Dokument, das innerhalb einer Datei eingebettet ist, bei derzweiten Schicht handelt es sich um ein Microsoft Excel Tabellenblatt, das innerhalbdes Word Dokuments eingebettet ist, und innerhalb des Tabellenblatts befindetsich eine .exe-Datei (dritte Schicht). OfficeScan durchsucht das Word Dokumentund das Excel Tabellenblatt und überspringt die .exe-Datei.

• Exploit-Code in OLE-Dateien erkennen: Bei der Funktion 'Erkennungvon ausgenutzten OLE-Schwachstellen' wird Malware heuristisch gesucht,indem in Dateien von Microsoft Office nach Exploit-Code gesucht wird.

HinweisDie angegebene Anzahl von Schichten betrifft die Optionen OLE-Objektedurchsuchen und Exploit-Code erkennen.

• IntelliTrap aktivieren: Erkennt und entfernt Viren/Malware in komprimiertenausführbaren Dateien. Diese Option steht nur für die Echtzeitsuche zurVerfügung. Weitere Informationen finden Sie unter IntelliTrap auf Seite E-7.


7-32

• Bootbereich durchsuchen: Durchsucht während der manuellen Suche,zeitgesteuerten Suche und der Funktion "Jetzt durchsuchen" den Bootsektor derFestplatte des Client-Computers nach Viren/Malware

CPU-Auslastung

OfficeScan kann nach dem Durchsuchen einer Datei eine Pause einlegen, bevor dienächste Datei durchsucht wird. Diese Einstellung wird während der manuellen Suche,zeitgesteuerten Suche und der Funktion "Jetzt durchsuchen" verwendet.

Wählen Sie dazu eine der folgenden Optionen aus:

• Hoch: Ohne Pause zwischen den Suchläufen

• Mittel: Pause zwischen den Suchläufen, wenn die CPU-Auslastung über 50 %liegt, sonst keine Pause

• Niedrig: Pause zwischen den Suchläufen, wenn die CPU-Auslastung über 20 %liegt, sonst keine Pause

Wenn Sie beim Starten der Suche "Mittel" oder "Niedrig" auswählen und sich die CPU-Auslastung innerhalb der Grenzwerte befindet (50 % oder 20 %), legt OfficeScan keinePause zwischen den Durchsuchungen ein. Dadurch wird die Suche beschleunigt. Beidiesem Vorgehen verwendet OfficeScan mehr CPU-Ressourcen, weil die CPU-Auslastung im optimalen Rahmen liegt. Dadurch wird die Computerleistung nichtdrastisch beeinflusst. Wenn die CPU-Auslastung den Schwellenwert überschreitet, legtOfficeScan eine Pause ein, um die CPU-Auslastung zu reduzieren. Die Pause wirdbeendet, sobald die Auslastung wieder innerhalb der Grenzwerte liegt.

Wenn Sie als Einstellung "Hoch" wählen, überprüft OfficeScan nicht die tatsächlichenCPU-Auslastung, und durchsucht die Dateien, ohne dabei Pausen einzulegen.

Zeitplan

Konfigurieren Sie; wie oft (täglich, wöchentlich oder monatlich) und zu welcher Zeit diezeitgesteuerte Suche ausgeführt werden soll.

Sie können angeben, ob monatliche, zeitgesteuerte Suchvorgänge an einem bestimmtenMonatstag oder an einem bestimmten Wochentag im Monat stattfinden sollen.


7-33

• Ein bestimmter Monatstag: Wählen Sie einen Wert zwischen 1 und 31 aus. FallsSie den 29., 30. oder 31. Tag gewählt haben, wird die zeitgesteuerte Suche in denMonaten, in denen es diesen Tag nicht gibt, am letzten Tag des Monats ausgeführt.Beispiele:

• Falls Sie "29" ausgewählt haben, wird die zeitgesteuerte Suche am 28. Februar(falls es sich nicht um ein Schaltjahr handelt) und am 29. jedes anderenMonats ausgeführt.

• Falls Sie "30" ausgewählt haben, wird die zeitgesteuerte Suche am 28. bzw. 29.Februar und am 30. jedes anderen Monats ausgeführt.

• Falls Sie "31" ausgewählt haben, wird die zeitgesteuerte Suche am 28. bzw. 29.Februar, am 30. April, 30. Juni, 30. September, 30. November und am 31.jedes anderen Monats ausgeführt.

• Ein bestimmter Wochentag im Monat: Ein Wochentag kommt in einem Monatvier- oder fünfmal vor. Beispielsweise hat ein Monat gewöhnlich vier Montage.Geben Sie einen Wochentag und seine Reihenfolge seines Vorkommens im Monatan. Wählen Sie für die Ausführung der zeitgesteuerten Suche beispielsweise denzweiten Montag jedes Monats aus. Falls Sie das fünfte Vorkommen eines Tagesausgewählt haben, findet die zeitgesteuerte Suche in Monaten, in denen derentsprechende Wochentag nicht fünfmal vorkommt, am vierten Auftreten desWochentags statt.

SuchausschlüsseSie können Suchausschlüsse definieren, um die Suchleistung zu erhöhen und Dateien zuüberspringen, die Fehlalarme auslösen. Wenn ein bestimmter Suchtyp ausgeführt wird,überprüft OfficeScan die Suchausschlussliste, um zu ermitteln, welche Dateien auf demComputer von der Suche nach Viren/Malware und Spyware/Grayware ausgeschlossensind.

Wenn Sie Suchausschlüsse aktivieren, führt OfficeScan unter den folgendenBedingungen keine Durchsuchung der Datei durch:

• Die Datei befindet sich in einem bestimmten Verzeichnis (oder einem seinerUnterverzeichnisse).

• Der Dateiname stimmt mit einem der Namen auf der Ausschlussliste überein.


7-34

• Die Dateinamenserweiterung stimmt mit einer der Erweiterungen auf derAusschlussliste überein.

Tipp

Eine Liste der von Trend Micro empfohlenen Produkte (mit Ausnahme vonEchtzeitsuchdiensten) finden Sie unter:

http://esupport.trendmicro.com/solution/en-US/1059770.aspx

Ausnahmen mit Platzhaltern

Die Suchausschlusslisten für Dateien und Verzeichnisse unterstützen die Verwendungvon Platzhalterzeichen. Verwenden Sie als Platzhalterzeichen das "?", um ein Zeichen zuersetzen, und das "*", um mehrere Zeichen zu ersetzen.

Setzen Sie Platzhalterzeichen mit Bedacht ein. Bei der Verwendung des falschenZeichens können Dateien und Verzeichnisse ausgeschlossen werden, die eigentlicheingeschlossen werden sollten. Beispielsweise schließt C:\* das gesamte Laufwerk C:\aus.

TABELLE 7-9. Ausschlüsse von der Suche mit Platzhalterzeichen

WERT AUSGESCHLOSSEN NICHT AUSGESCHLOSSEN

c:\director*\fil\*.txt

c:\directory\fil\doc.txt

c:\directories\fil\files\document.txt

c:\directory\file\

c:\directories\files\

c:\directory\file\doc.txt

c:\directories\files\document.txt

c:\director?\file\*.txt

c:\directory\file\doc.txt

c:\directories\file\document.txt

c:\director?\file\?.txt

c:\directory\file\1.txt c:\directory\file\doc.txt

c:\directories\file\document.txt

http://esupport.trendmicro.com/solution/en-US/1059770.aspx


7-35

WERT AUSGESCHLOSSEN NICHT AUSGESCHLOSSEN

c:\*.txt Alle .txt-Dateien im C:\-Verzeichnis

Alle anderen Dateitypen im C:\-Verzeichnis

[] Nicht unterstützt Nicht unterstützt

*.* Nicht unterstützt Nicht unterstützt

Ausschlussliste für Virensuche (Verzeichnisse)

OfficeScan durchsucht keine Dateien, die sich unterhalb eines bestimmtenVerzeichnisses auf dem Computer befinden. Sie können maximal 250 Verzeichnisseangeben.

HinweisDurch das Ausschließen eines Verzeichnisse von der Suche schließt OfficeScanautomatisch auch alle Unterverzeichnisse des Verzeichnisses von der Suche aus.

Sie können auch die Option Verzeichnisse ausschließen, in denen Trend MicroProdukte installiert sind wählen. Wenn Sie diese Option auswählen, schließtOfficeScan automatisch die Verzeichnisse der folgenden Trend Micro Produkte von derSuche aus:

• <Installationsordner des Servers>

• ScanMail™ for Microsoft Exchange (alle Versionen außer Version 7). Fügen Siebei Verwendung der Version 7 folgende Ordner zur Ausschlussliste hinzu:

• \Smex\Temp

• \Smex\Storage

• \Smex\ShareResPool

• ScanMail eManager™ 3.11, 5.1, 5.11, 5.12

• ScanMail for Lotus Notes™ eManager NT

• InterScan™ Messaging Security Suite


7-36

• InterScan Web Security Suite

• InterScan Web Protect

• InterScan VirusWall 3.53

• InterScan FTP VirusWall

• InterScan Web VirusWall

• InterScan E-mail VirusWall

• InterScan NSAPI Plug-in

• InterScan eManager 3.5x

Wenn Sie ein Produkt von Trend Micro haben, das nicht in der Liste enthalten ist, fügenSie die Produktverzeichnisse manuell zur Ausschlussliste hinzu.

Konfigurieren Sie zudem OfficeScan so, dass Microsoft Exchange 2000/2003Verzeichnisse ausgeschlossen werden, indem Sie zum Abschnitt Sucheinstellungenvon Netzwerkcomputer > Allgemeine Client-Einstellungen navigieren. MicrosoftExchange 2007 Verzeichnisse oder höher werden manuell zur Ausschlusslistehinzugefügt. Einzelheiten zu den Suchausschlüssen finden Sie auf der folgendenWebsite:

http://technet.microsoft.com/en-us/library/bb332342.aspx

Wenn Sie die Dateienliste konfigurieren, können Sie aus den folgenden Optionenwählen:

• Ausschlussliste des Client-Computers beibehalten: Dies ist dieStandardauswahl. Ist diese Einstellung aktiviert und Sie wollen Änderungen in derAusschlussliste vornehmen, können Sie die Änderungen nicht speichern. DieseOption wurde vorgesehen, damit die bestehende Ausschlussliste des Client nichtversehentlich überschrieben wird. Wenn Sie die vorgenommenen Änderungenverteilen wollen, wählen Sie eine der anderen Optionen aus.

• Die Ausschlussliste des Client-Computers wird überschrieben: Diese Optionentfernt die gesamte Ausschlussliste auf dem Client und ersetzt sie durch die Liste,die Sie gerade konfiguriert haben. Wenn Sie diese Option auswählen, zeigtOfficeScan eine Warnmeldung an. Klicken Sie im Benachrichtigungsfenster aufOK, um den Vorgang fortzusetzen.



7-37

• Der Pfad wird zur Ausschlussliste des Client-Computers hinzugefügt: DieseOption fügt die Einträge in der Liste, die Sie gerade konfiguriert haben, zurbestehenden Ausschlussliste des Client hinzu. Sollte ein Eintrag in derAusschlussliste des Client bereits vorhanden sein, ignoriert der Client den Eintrag.

• Der Pfad wird von der Ausschlussliste des Client-Computers entfernt: DerClient entfernt einen Eintrag aus seiner Ausschlussliste, wenn er identisch ist miteinem Eintrag aus der Liste, die Sie gerade konfiguriert haben.

Ausschlussliste für Virensuche (Dateien)

OfficeScan führt keine Durchsuchung einer Datei durch, wenn der Dateiname einemder Namen auf dieser Ausschlussliste entspricht. Wenn Sie eine Datei ausschließenmöchten, die sich an einem bestimmten Speicherort auf dem Computer befindet, gebenSie den Dateipfad an, z. B. C:\Temp\sample.jpg.

Sie können maximal 250 Dateien angeben.

Wenn Sie die Dateienliste konfigurieren, können Sie aus den folgenden Optionenwählen:

• Die Ausschlussliste des Client-Computers wird beibehalten: Dies ist dieStandardauswahl. Ist diese Einstellung aktiviert und Sie wollen Änderungen in derAusschlussliste vornehmen, können Sie die Änderungen nicht speichern. DieseOption wurde vorgesehen, damit die bestehende Ausschlussliste des Client nichtversehentlich überschrieben wird. Wenn Sie die vorgenommenen Änderungenverteilen wollen, wählen Sie eine der anderen Optionen aus.

• Die Ausschlussliste des Client-Computers wird überschrieben: Diese Optionentfernt die gesamte Ausschlussliste auf dem Client und ersetzt sie durch die Liste,die Sie gerade konfiguriert haben. Wenn Sie diese Option auswählen, zeigtOfficeScan eine Warnmeldung an. Klicken Sie im Benachrichtigungsfenster aufOK, um den Vorgang fortzusetzen.

• Der Pfad wird zur Ausschlussliste des Client-Computers hinzugefügt: DieseOption fügt die Einträge in der Liste, die Sie gerade konfiguriert haben, zurbestehenden Ausschlussliste des Client hinzu. Sollte ein Eintrag in derAusschlussliste des Client bereits vorhanden sein, ignoriert der Client den Eintrag.


7-38

• Der Pfad wird von der Ausschlussliste des Client-Computers entfernt: DerClient entfernt einen Eintrag aus seiner Ausschlussliste, wenn er identisch ist miteinem Eintrag aus der Liste, die Sie gerade konfiguriert haben.

Ausschlussliste für Virensuche (Dateierweiterungen)

OfficeScan führt keine Durchsuchung einer Datei durch, wenn dieDateinamenserweiterung einer der Erweiterungen auf dieser Ausschlussliste entspricht.Es können maximal 250 Dateierweiterungen angegeben werden. Ein Punkt (.) ist bei derAngabe der Dateierweiterung nicht erforderlich.

Bei der Angabe von Dateierweiterungen sollten Sie für die Echtzeitsuche ein Sternchen(*) als Platzhalterzeichen angeben. Wenn Sie beispielsweise alle Dateien nichtdurchsuchen möchten, deren Erweiterung mit D beginnt, wie z. B. DOC, DOT oder DAT,geben Sie D* ein.

Verwenden Sie bei der manuellen Suche, zeitgesteuerten Suche und bei der Funktion"Jetzt durchsuchen" ein Fragezeichen (?) oder Sternchen (*) als Platzhalterzeichen.

Einstellungen für den Suchausschluss auf alle Suchtypenanwenden

Mit OfficeScan können Sie die Einstellungen für Suchausschlüsse für einen bestimmtenSuchtyp konfigurieren und anschließend dieselben Einstellungen auf alle anderenSuchtypen übernehmen. Beispiel:

Am 1. Januar stellte der OfficeScan Administrator Chris fest, dass sich auf den Client-Computern viele JPG-Dateien befinden und diese Dateien kein Sicherheitsrisikodarstellen. Chris fügte JPG der Dateiausschlussliste für die manuelle Suche hinzu undübernahm diese Einstellung auf alle Suchtypen. Echtzeitsuche, "Jetzt durchsuchen" undzeitgesteuerte Suche sind nun so konfiguriert, dass .jpg-Dateien übersprungen werden.

Eine Woche ypäter entfernte Chris JPG von der Ausschlussliste für die Echtzeitsuche,jedoch übernahm er die Suchausschlusseinstellungen nicht auf alle Suchtypen. JPG-Dateien werden nun durchsucht, jedoch nur während der Echtzeitsuche.


7-39

Suchaktionen

Geben Sie die Aktion an, die OfficeScan durchführt, wenn ein bestimmter Suchtyp einSicherheitsrisiko erkennt. OfficeScan verwendet bei der Suche nach Viren/Malware undnach Spyware/Grayware jeweils unterschiedliche Suchaktionen.

Viren-/Malware-Suchaktionen

Die von OfficeScan durchgeführte Suchaktion hängt vom Viren-/Malware-Typ unddem Suchtyp ab, der den Virus bzw. die Malware entdeckt hat. Sobald OfficeScanbeispielsweise bei der manuellen Suche (Suchtyp) einen Trojaner (Viren-/Malware-Typ)entdeckt, wird diese infizierte Datei gesäubert (Aktion).

Informationen über die verschiedenen Viren-/Malware-Typen finden Sie unter Virenund Malware auf Seite 7-2.

Beim Folgenden handelt es sich um Aktionen, die OfficeScan für Viren/Malwaredurchführen kann:

TABELLE 7-10. Viren-/Malware-Suchaktionen

AKTION BESCHREIBUNG

Löschen OfficeScan löscht die infizierte Datei.

Quarantäne OfficeScan benennt die infizierte Datei um und verschiebt sieanschließend in den temporären Quarantäne-Ordner auf dem Client-Computer unter <Installationsordner des Clients>\Suspect.

Der OfficeScan Client sendet anschließend die Dateien in derQuarantäne an den vorgesehenen Quarantäne-Ordner. WeitereInformationen finden Sie unter Quarantäne-Ordner auf Seite 7-43.

Der Quarantäne-Ordner liegt standardmäßig auf dem OfficeScan Serverunter <Installationsordner des Servers>\PCCSRV\Virus. OfficeScanverschlüsselt Dateien in Quarantäne, die an dieses Verzeichnis gesendetwurden.

Mit dem VSEncrypt-Tool können Sie beliebige Dateien in der Quarantänewiederherstellen. Informationen zur Verwendung des Tools finden Sieunter Server Tuner auf Seite 13-49.


7-40

AKTION BESCHREIBUNG

Säubern OfficeScan säubert die infizierte Datei, bevor es den vollständigen Zugrifferlaubt.

Lässt sich die Datei nicht säubern, führt OfficeScan zusätzlich eine derfolgenden Aktionen durch: Quarantäne, Löschen, Umbenennen undÜbergehen. Um die zweite Aktion zu konfigurieren, wechseln Sie zuNetzwerkcomputer > Client-Verwaltung. Klicken Sie auf dieRegisterkarte Einstellungen > Sucheinstellungen > {Suchtyp} >Aktion.

Diese Aktion kann auf alle Arten von Malware angewendet werden,außer wahrscheinliche Viren/Malware.

Umbenennen

OfficeScan ändert die Erweiterung der infizierten Datei in "vir". DerBenutzer kann die umbenannte Datei erst öffnen, wenn sie mit einerbestimmten Anwendung verknüpft wird.

Beim Öffnen der umbenannten, infizierten Datei wird der Virus/dieMalware möglicherweise ausgeführt.

Übergehen OfficeScan kann diese Suchaktion nur dann durchführen, wenn bei dermanuellen Suche, der zeitgesteuerten Suche und der Funktion "Jetztdurchsuchen" ein Virus entdeckt wird. OfficeScan kann diese Suchaktionwährend der Echtzeitsuche nicht verwenden. Beim Versuch, eineinfizierte Datei zu öffnen oder auszuführen, könnte bei fehlenderSuchaktion der Virus oder die Malware ausgeführt werden. Alle anderenSuchaktionen können bei der Echtzeitsuche verwendet werden.

Zugriffverweigern

Diese Suchaktion kann nur bei der Echtzeitsuche durchgeführt werden.Entdeckt OfficeScan einen Versuch, eine inifizierte Datei zu öffnen oderauszuführen, wird dieser Vorgang umgehend gesperrt.

Die infizierte Datei kann manuell gelöscht werden.

ActiveAction verwenden

Unterschiedliche Viren-/Malware-Typen erfordern unterschiedliche Suchaktionen.Unterschiedliche Suchaktionen benutzerdefiniert festzulegen, setzt jedochgrundlegendes Wissen über Viren/Malware voraus und kann äußerst zeitaufwändig sein.OfficeScan verwendet ActiveAction, um diesem Problem entgegenzuwirken.


7-41

In ActiveAction sind mehrere bereits vorkonfigurierte Aktionen für die Suche nachViren/Malware zusammengefasst. ActiveAction sollten Sie verwenden, wenn Sie mit derKonfiguration von Suchaktionen nicht vertraut sind oder nicht genau wissen, welcheSuchaktion sich für einen bestimmten Viren-/Malware-Typ am besten eignet.

Welche Vorteile bietet die Verwendung von ActiveAction?

• ActiveAction verwendet von Trend Micro empfohlene Suchaktionen. Der zeitlicheAufwand für die Konfiguration der Suchaktionen entfällt dadurch.

• Die Angriffsstrategien der Viren/Malware ändern sich permanent. DieActiveAction Einstellungen werden aktualisiert, um vor den neuesten Bedrohungenund Methoden von Viren-/Malware-Angriffen zu schützen.

Hinweis

ActiveAction ist nicht für die Suche nach Spyware/Grayware verfügbar.

Die folgende Tabelle zeigt, wie ActiveAction mit den jeweiligen Viren-/Malware-Typenverfährt:

TABELLE 7-11. Von Trend Micro empfohlene Suchaktionen gegen Viren und Malware

VIREN-/MALWARE-TYP

ECHTZEITSUCHEMANUELLE SUCHE/

ZEITGESTEUERTE SUCHE/JETZTDURCHSUCHEN

ERSTE AKTION ZWEITE AKTION ERSTE AKTION ZWEITE AKTION

Scherzprogramm Quarantäne Löschen Quarantäne Löschen

Trojaner Quarantäne Löschen Quarantäne Löschen

Virus Säubern Quarantäne Säubern Quarantäne

Testvirus Zugriffverweigern

n. v. n. v. n. v.

Packer Quarantäne n. v. Quarantäne n. v.

Andere Säubern Quarantäne Säubern Quarantäne


7-42

VIREN-/MALWARE-TYP

ECHTZEITSUCHEMANUELLE SUCHE/

ZEITGESTEUERTE SUCHE/JETZTDURCHSUCHEN

ERSTE AKTION ZWEITE AKTION ERSTE AKTION ZWEITE AKTION

WahrscheinlichViren/Malware

Zugriffverweigernoder vomBenutzerkonfigurierteAktion

n. v. Übergehenoder vomBenutzerkonfigurierteAktion

n. v.

Die Standardaktion bei Viren-/Malware-Verdacht ist während einer Echtzeitsuche dieOption "Zugriff verweigern" und während einer manuellen Suche, einer zeitgesteuertenSuche und bei der Funktion "Jetzt durchsuchen" die Option "Übergehen". Sind dasnicht Ihre bevorzugten Aktionen, können Sie sie ändern in Quarantäne, Löschen oderUmbenennen.

Gleiche Aktion für alle Arten von Viren/Malware

Wählen Sie diese Option, wenn dieselbe Aktion auf alle Viren-/Malware-Typenausgeführt werden soll, außer bei Viren-/Malware-Verdacht. Wenn Sie "Säubern" alserste Aktion auswählen, wählen Sie eine zweite Aktion, die OfficeScan ausführt, wenndie Säuberung nicht erfolgreich verläuft. Wenn es sich bei der ersten Aktion nicht um"Säubern" handelt, kann keine zweite Aktion konfiguriert werden.

Wenn Sie als erste Aktion "Säubern" wählen, führt OfficeScan die zweite Aktion durch,wenn mögliche Viren/Malware entdeckt werden.

Bestimmte Aktion für jede Art von Viren/Malware

Wählen Sie manuell eine Suchaktion für jeden Viren-/Malware-Typ aus.

Für alle Arten von Viren/Malware sind alle Suchaktionen verfügbar, außer für möglicheViren/Malware. Wenn Sie "Säubern" als erste Aktion auswählen, wählen Sie eine zweiteAktion, die OfficeScan ausführt, wenn die Säuberung nicht erfolgreich verläuft. Wenn essich bei der ersten Aktion nicht um "Säubern" handelt, kann keine zweite Aktionkonfiguriert werden.


7-43

Für mögliche Viren/Malware sind alle Suchaktionen außer "Säubern" verfügbar.

Quarantäne-Ordner

Wenn es sich bei der Aktion für eine infizierte Datei um "Quarantäne" handelt, wird dieDatei vom OfficeScan Client verschlüsselt und in den temporären Quarantäne-Ordnerverschoben, der sich im Ordner <Installationsordner des Clients>\SUSPECT befindet.Anschließend wird die Datei in den vorgesehenen Quarantäne-Ordner verschoben.

Hinweis

Sie können die verschlüsselten Dateien in der Quarantäne wiederherstellen, falls Sie zueinem späteren Zeitpunkt darauf zugreifen möchten. Weitere Informationen finden Sieunter Verschlüsselte Dateien wiederherstellen auf Seite 7-47.

Übernehmen Sie den Quarantäne-Ordner, der sich standardmäßig auf dem OfficeScanServer-Computer befindet. Das Verzeichnis ist im URL-Format und enthält den Host-Namen oder die IP-Adresse des Servers.

• Verwaltet der Server sowohl IPv4 als auch IPv6 Clients, verwenden Sie den Host-Namen, damit alle Clients Quarantäne-Ordner an den Server senden können.

• Hat der Server nur eine IPv4 Adresse oder wird über sie identifiziert, können nurreine IPv4- und Dual-Stack-Clients Quarantäne-Dateien an den Server senden.

• Hat der Server nur eine IPv6 Adresse oder wird über sie identifiziert, können nurreine IPv6- und Dual-Stack-Clients Quarantäne-Dateien an den Server senden.

Sie können auch einen alternativen Quarantäne-Ordner festlegen, indem Sie denSpeicherort als URL, UNC-Pfad oder absoluten Dateipfad eingeben. Clients sollten eineVerbindung zu diesem alternativen Verzeichnis aufbauchen können. Das alternativeVerzeichnis sollte beispielsweise eine IPv6-Adresse haben, wenn es Quarantäne-Dateienvon den Dual-Stack-Clients und den reinen IPv6 Clients empfangen soll. Trend Microempfiehlt die Benennung eines alternativen Dual-Stack-Verzeichnisses, dieIdentifizierung des Verzeichnisses nach seinem Host-Namen und die Verwendung einesUNC-Pfads bei Eingabe des Verzeichnisses.

In der folgenden Tabelle finden Sie eine Anleitung zur Verwendung von URLs, UNC-Pfaden oder absoluten Dateipfaden:


7-44

TABELLE 7-12. Quarantäne-Ordner

QUARANTÄNE-ORDNER

KOMPATIBLES FORMAT

BEISPIEL HINWEISE

Ein Verzeichnisauf demOfficeScanServer-Computer

URL http://<osceserver>

Dabei handelt es sich um dasStandardverzeichnis.

Sie können die Einstellungen fürdieses Verzeichnis konfigurieren,z. B. die Größe des Quarantäne-Ordners. Weitere Informationenfinden Sie unter Quarantäne-Manager auf Seite 13-48.

UNC-Pfad \\<osceserver>\ofcscan\Virus

Ein Verzeichnisauf einemanderenOfficeScanServer-Computer(falls sich inIhrem NetzwerkandereOfficeScanServer befinden)

URL http://<osceserver2>

Vergewissern Sie sich, dassClients eine Verbindung zudiesem Verzeichnis aufbauenkönnen. Bei Angabe einesungültigen Ordners behält derOfficeScan Client die unterQuarantäne gestellten Dateien imOrdner "SUSPECT", bis eingültiger Quarantäne-Ordnerangegeben wird. Im Viren-/Malware-Protokoll des Serverslautet das Suchergebnis "DieDatei konnte nicht in denfestgelegten Quarantäne-Ordnerverschoben werden".

Wenn Sie einen UNC-Pfadverwenden, stellen Sie sicher,dass der Quarantäne-Ordner fürdie Gruppe "Alle" freigegeben istund dass Sie dieser GruppeLese- und Schreibberechtigungenzugewiesen haben.

UNC-Pfad \\<osceserver2>\ofcscan\Virus

AndererComputer imNetzwerk

UNC-Pfad \\<computer_name>\temp

Ein anderesVerzeichnis aufdem OfficeScanClient

AbsoluterPfad

C:\temp

Dateien vor dem Säubern sichernWenn OfficeScan so konfiguriert ist, dass eine infizierte Datei gesäubert werden soll,kann zunächst eine Datensicherung der Datei erstellt werden. Auf diese Weise könnenSie die Datei wiederherstellen, falls Sie sie zu einem späteren Zeitpunkt benötigen.


7-45

OfficeScan verschlüsselt die Sicherungsdatei, um zu verhindern, dass sie geöffnetwerden kann, und sichert die Datei anschließend im Ordner <Installationsordner desClients>\Backup.

Informationen zur Wiederherstellung verschlüsselter Sicherungsdateien finden Sie unterVerschlüsselte Dateien wiederherstellen auf Seite 7-47.


Damage Cleanup Services beseitigt dateibasierte und Netzwerkviren sowie Überrestevon Viren und Würmern (Trojanern, Registrierungseinträgen, Virendateien) aufComputern.

Je nach Suchtyp löst der Client Damage Cleanup Services vor oder nach der Viren-/Malware-Suche aus.

• Während einer manuellen Suche, einer zeitgesteuerten Suche oder der Funktion"Jetzt durchsuchen" löst der OfficeScan Client die Damage Cleanup Services zuerstaus und fährt anschließend mit der Viren-/Malware-Suche fort. Während derViren-/Malware-Suche löst der Client möglicherweiser Damage Cleanup Servicesnochmals aus, wenn ein Cleanup erforderlich sein sollte.

• Bei der Echtzeitsuche führt der OfficeScan Client als Erstes die Viren-/Malware-Suche durch und löst im Anschluss daran die Damage Cleanup Services aus, fallseine Säuberung erforderlich sein sollte.

Sie können den Cleanup-Typ auswählen, den Damage Cleanup Services durchführt:

• Standardsäuberung: Während einer Standardsäuberung führt der OfficeScan diefolgenden Aktionen durch:

• Entdeckt und entfernt aktive Trojaner

• Beendet durch Trojaner ausgelöste Prozesse

• Repariert von Trojanern geänderte Systemdateien

• Löscht von Trojanern hinterlassene Dateien und Anwendungen

• Erweiterte Säuberung: Zusätzlich zu den durchgeführtenStandardsäuberungsaktionen beendet der OfficeScan Client Aktivitäten, die von


7-46

einer bösartigen Sicherheitssoftware, auch als FakeAV bekannt, ausgeführt werden.Der OfficeScan Client setzt ebenfalls Regeln für die erweiterte Säuberung zurproaktiven Erkennung und zum Beenden von Anwendungen ein, die ein FakeAV-Verhalten zeigen.

Hinweis

Das erweiterte Cleanup bietet zwar proaktiven Schutz, löst aber auch viele Fehlalarme aus.

Damage Cleanup Services führt kein Cleanup bei Viren-/Malware-Verdacht durch,außer Sie wählen die Option Cleanup bei Viren-/Malware-Verdacht durchführen.Sie können diese Option nur auswählen, wenn die Aktion bei Viren-/Malware-Verdachtnicht Übergehen oder Zugriff verweigern ist. Wenn der OfficeScan Clientbeispielsweise während der Echtzeitsuche mögliche Viren/Malware erkennt und alsAktion "Quarantäne" gewählt wurde, verschiebt der OfficeScan Client die infizierteDatei zuerst in den Quarantäne-Ordner und führt anschließend, falls erforderlich, dieSäuberung durch. Die Wahl des entsprechenden Cleanup-Typs (Standard oder erweitert)ist Ihnen überlassen.

Bei Viren-/Malware-Fund Benachrichtigung anzeigen

Wenn OfficeScan während der Echtzeitsuche und zeitgesteuerten Suche Viren/Malwareerkennt, kann eine Benachrichtigung angezeigt werden, die den Benutzer über dieLöschung informiert.

Um den Benachrichtigungsstatus zu ändern, navigieren Sie zur Registerkarte Viren/Malware in Benachrichtigungen > Benutzerbenachrichtigungen.

Bei Viren-/Malware-Verdacht Benachrichtigung anzeigen

Wenn OfficeScan während der Echtzeitsuche und zeitgesteuerten Suche möglicheViren/Malware erkennt, kann eine Benachrichtigung angezeigt werden, die denBenutzer über die Löschung informiert.

Um den Benachrichtigungsstatus zu ändern, navigieren Sie zur Registerkarte Viren/Malware in Benachrichtigungen > Benutzerbenachrichtigungen.


7-47

Verschlüsselte Dateien wiederherstellenUm zu verhindern, dass infizierte Dateien geöffnet werden, wird die betreffende Dateiwährend der folgenden Aktionen von OfficeScan verschlüsselt:

• Bevor eine Datei in Quarantäne verschoben wird

• Wenn vor der Säuberung eine Sicherheitskopie der Datei angefertigt wird

OfficeScan enthält ein Tool zum Entschlüsseln und anschließendem Wiederherstellender Datei, falls Sie Informationen von der Datei abrufen müssen. OfficeScan kann diefolgenden Dateien entschlüsseln und wiederherstellen:

TABELLE 7-13. Dateien, die OfficeScan entschlüsseln und wiederherstellen kann

DATEI BESCHREIBUNG

Dateien in derQuarantäne auf demClient-Computer

Diese Dateien befinden sich im Ordner <Installationsordnerdes Clients>\SUSPECT\Backup, und sie werden automatischnach 7 Tagen gelöscht. Diese Dateien werden darüber hinausin den vorgesehenen Quarantäne-Ordner auf dem OfficeScanServer hochgeladen.

Dateien in derQuarantäne imvorgesehenenQuarantäne-Ordner

Dieses Verzeichnis befindet sich standardmäßig auf demOfficeScan Server-Computer. Weitere Informationen finden Sieunter Quarantäne-Ordner auf Seite 7-43.

Gesicherteverschlüsselte Dateien

Dabei handelt es sich um Sicherheitskopien der infiziertenDateien, die OfficeScan säubern konnte. Diese Dateienbefinden sich im Ordner <Installationsordner desClients>\Backup. Um diese Dateien wiederherzustellen,müssen Sie sie in den Ordner <Installationsordner desClients>\SUSPECT\Backup verschieben.

OfficeScan erstellt nur Sicherungskopien und verschlüsseltDateien vor dem Säubern, wenn Sie die Option Vor demSäubern Sicherungskopie erstellen auf der RegisterkarteNetzwerkcomputer > Client-Verwaltung>Einstellungen >Sucheinstellungen > {Suchtyp} > Aktion aktiviert haben.


7-48

Warnung!Durch das Wiederherstellen einer infizierten Datei könnte sich der Virus/die Malware aufandere Dateien und Computer übertragen. Bevor Sie die Datei wiederherstellen, isolierenSie den infizierten Computer, und erstellen Sie Sicherheitskopien wichtiger Dateien aufdiesem Computer.

Dateien entschlüsseln und wiederherstellen

Prozedur

• Wenn sich die Datei auf dem OfficeScan Client-Computer befindet:

a. Öffnen Sie ein Befehlszeilenfenster, und navigieren Sie zum Ordner<Installationsordner des Clients>.

b. Führen Sie VSEncode.exe aus, indem Sie Folgendes eingeben:

VSEncode.exe /u

Dieser Parameter öffnet ein Fenster mit einer Liste der Dateien im Ordner<Installationsordner des Clients>\SUSPECT\Backup.

c. Wählen Sie die Datei, die wiederhergestellt werden soll, und klicken Sie aufWiederherstellen. Mit dem Tool können Sie jeweils nur eine Dateiwiederherstellen.

d. Geben Sie im daraufhin angezeigten Fenster den Ordners an, in dem dieDatei wiederhergestellt werden soll.

e. Klicken Sie auf Ok. Die Datei wird im angegebenen Ordner wiederhergestellt.

HinweisUnter Umständen kann OfficeScan die Datei erneut durchsuchen und alsinfizierte Datei behandeln, sobald die Datei wiederhergestellt wurde. Um zuverhindern, dass die Datei erneut durchsucht wird, fügen Sie sie derSuchausschlussliste hinzu. Weitere Informationen finden Sie unterSuchausschlüsse auf Seite 7-33.

f. Klicken Sie auf Schließen, wenn Sie alle Dateien wiederhergestellt haben.


7-49

• Wenn sich die Datei auf dem OfficeScan Server oder in einem benutzerdefiniertenQuarantäne-Ordner befindet:

a. Wenn sich die Datei auf dem OfficeScan Server-Computer befindet, öffnenSie ein Befehlszeilenfenster, und navigieren Sie zum Ordner <Installationsordnerdes Servers>\PCCSRV\Admin\Utility\VSEncrypt.

Wenn sich die Datei in einem benutzerdefinierten Quarantäne-Ordnerbefindet, navigieren Sie zum Ordner <Installationsordner desServers>\PCCSRV\Admin\Utility, und kopieren Sie den OrdnerVSEncrypt auf den Computer, auf dem sich der benutzerdefinierteQuarantäne-Ordner befindet.

b. Erstellen Sie eine Textdatei. Geben Sie anschließend den vollständigen Pfadzu den Dateien ein, die Sie ver- bzw. entschlüsseln möchten.

Um beispielsweise Dateien im Verzeichnis C:\Eigene Dateien\Reportswiederherzustellen, geben Sie C:\Eigene Dateien\Reports\*.* in die Textdatei ein.

Auf dem OfficeScan Server-Computer befinden sich die Dateien in derQuarantäne unter <Installationsordner des Servers>\PCCSRV\Virus.

c. Speichern Sie die Textdatei mit der Erweiterung INI oder TXT. Speichern Siesie beispielsweise unter ZurVerschluesselung.ini auf Laufwerk C: .

d. Öffnen Sie ein Befehlszeilenfenster, und navigieren Sie zum Verzeichnis, indem sich der Ordner VSEncrypt befindet.

e. Führen Sie VSEncode.exe aus, indem Sie Folgendes eingeben:

VSEncode.exe /d /i <Speicherort der INI- oder TXT-Datei>

Wobei gilt:

<Speicherort der INI- oder TXT-Date> ist der Pfad der von Ihnenerstellten INI- oder TXT-Datei (z. B. C:\ForEncryption.ini).

f. Verwenden Sie die anderen Parameter, um verschiedene Befehle auszuführen.


7-50

TABELLE 7-14. Parameter für die Wiederherstellung

PARAMETER BESCHREIBUNG

Keiner (keinParameter)

Dateien verschlüsseln

/d Dateien entschlüsseln

/debug Erstellen Sie ein Debug-Protokoll, und speichern Siees auf dem Computer. Auf dem OfficeScan Client-Computer wird das Debug-Protokoll VSEncrypt.logim Ordner <Installationsordner des Clients>erstellt.

/o Überschreibt eine ver- bzw. entschlüsselte Datei,falls bereits vorhanden

/f <Dateiname> Ver- oder entschlüsselt eine einzelne Datei

/nr Ursprünglicher Dateiname wird nichtwiederhergestellt

/v Informationen über das Tool werden angezeigt

/u Startet die Benutzeroberfläche des Tools

/r <Zielordner> Der Ordner, in dem eine Datei wiederhergestelltwird

/s <UrsprünglicherDateiname>>

Der Dateiname der ursprünglich verschlüsseltenDatei

Sie können beispielsweise VSEncode [/d] [/debug] eingeben, umDateien im Ordner Suspect zu entschlüsseln und ein Debug-Protokoll zuerstellen. Wenn Sie eine Datei ent- oder verschlüsseln, erstellt OfficeScan dieent- oder verschlüsselte Datei im selben Ordner. Vergewissern Sie sich, bevorSie eine Datei entschlüsseln oder verschlüsseln, dass diese nicht gesperrt ist.

Spyware-/Grayware-SuchaktionenDie von OfficeScan durchgeführte Suchaktion hängt vom Suchtyp ab, der die Spyware/Grayware entdeckt. Während bestimmte Aktionen für jeden Viren-/Malware-Typ


7-51

konfiguriert werden können, kann nur eine Aktion für alle Typen von Spyware/Grayware konfiguriert werden (Informationen über die verschiedenen Arten vonSpyware/Grayware finden Sie unter Spyware und Grayware auf Seite 7-4). SobaldOfficeScan beispielsweise bei der manuellen Suche (Suchtyp) Spyware/Graywareentdeckt, werden die betroffenen Systemressourcen gesäubert (Aktion).

Beim Folgenden handelt es sich um Aktionen, die OfficeScan für Spyware/Graywaredurchführen kann:

TABELLE 7-15. Spyware-/Grayware-Suchaktionen

AKTION BESCHREIBUNG

Säubern OfficeScan beendet Prozesse oder löscht Registrierungseinträge,Dateien, Cookies und Verknüpfungen.

Nach dem Säubern von Spyware/Grayware sichern die OfficeScan ClientsSpyware-/Grayware-Daten, die Sie wiederherstellen können, wenn Sieden Zugriff auf die entsprechende Spyware/Grayware für sicher halten.Weitere Informationen finden Sie unter Spyware/Graywarewiederherstellen auf Seite 7-54.

Übergehen OfficeScan führt keine Aktion durch, speichert aber den Spyware-/Grayware-Fund in den Protokollen. Diese Aktion kann nur während dermanuellen Suche, der zeitgesteuerten Suche und der Funktion "Jetztdurchsuchen" durchgeführt werden . Während der Echtzeitsuche wird dieAktion "Zugriff verweigern" ausgeführt.

OfficeScan führt keine Aktion aus, wenn sich die erkannte Spyware/Grayware auf der Liste der zulässigen Software befindet. WeitereInformationen finden Sie unter Liste der zulässigen Spyware/Graywareauf Seite 7-52.

Zugriffverweigern

OfficeScan verweigert den Zugriff (Kopieren, Öffnen) auf die entdecktenSpyware-/Grayware-Komponenten. Diese Aktion kann nur bei derEchtzeitsuche durchgeführt werden. Während der manuellen Suche, derzeitgesteuerten Suche und der Funktion "Jetzt durchsuchen" wird dieAktion "Übergehen" ausgeführt.


7-52

Bei Spyware-/Grayware-Fund Benachrichtigung anzeigen

Wenn OfficeScan während der Echtzeitsuche und der zeitgesteuerten Suche Spyware/Grayware erkennt, kann eine Benachrichtigung angezeigt werden, die den Benutzer überdie Löschung informiert.

Um den Benachrichtigungsstatus zu ändern, navigieren Sie zu Benachrichtigungen >Benutzerbenachrichtigungen, und klicken Sie auf die Registerkarte Spyware/Grayware.

Liste der zulässigen Spyware/Grayware

OfficeScan stellt eine Liste der "zulässigen" Spyware/Grayware bereit, die Dateien oderAnwendungen enthält, die nicht als Spyware oder Grayware behandelt werden sollen.Wenn während der Suche eine bestimmte Spyware/Grayware erkannt wird, überprüftOfficeScan die Liste der zulässigen Software und führt bei einer Übereinstimmung keineAktion aus.

Sie können die Liste der zulässigen Software auf einen oder mehrere Clients undDomänen bzw. auf alle Clients, die vom Server verwaltet werden, verteilen. Die Listeder zulässigen Software gilt für alle Suchtypen, d. h. dieselbe Liste der zulässigenSoftware wird während der manuellen Suche, der Echtzeitsuche, der zeitgesteuertenSuche und der Funktion "Jetzt durchsuchen" verwendet.

Bereits entdeckte Spyware/Grayware zur Liste Zugelassenhinzufügen

Prozedur

1. Navigieren Sie zu einer der folgenden Optionen:

• Netzwerkcomputer > Client-Verwaltung

• Protokolle > Netzwerkcomputer-Protokolle > Sicherheitsrisiken



7-53

3. Klicken Sie auf Protokolle > Spyware-/Grayware-Protokolle oder Protokolleanzeigen > Spyware-/Grayware-Protokolle.

4. Geben Sie die Protokollkriterien ein und klicken Sie anschließend auf Protokolleanzeigen.

5. Wählen Sie Protokolle aus und klicken Sie auf Zur Liste der zulässigenProgramme hinzufügen.

6. Wenden Sie die zulässige Spyware/Grayware nur auf ausgewählten Client-Computern oder bestimmten Domänen an.

7. Klicken Sie auf Speichern. Die ausgewählten Clients übernehmen die Einstellungund der OfficeScan Server fügt die Spyware/Grayware der Liste der zulässigenSoftware hinzu, die sich unter Netzwerkcomputer > Client-Verwaltung>Einstellungen > Liste der zulässigen Spyware/Grayware befindet.

HinweisDie Liste der zulässigen Spyware/Grayware kann maximal 1024 Einträge enthalten.

Die Liste der zulässigen Spyware/Grayware verwalten

Prozedur



3. Klicken Sie auf Einstellungen > Liste der zulässigen Spyware/Grayware.

4. Wählen Sie aus der Tabelle Name der Spyware/Grayware einen Namen aus. Ummehrere Namen auszuwählen, halten Sie die Strg-Taste bei der Auswahl gedrückt.

• Sie können auch ein Schlüsselwort in das Feld Suchen eingeben und aufSuchen klicken. OfficeScan aktualisiert die Tabelle mit den Namen, die demSchlüsselbegriff entsprechen.



7-54

Die Namen werden in die Tabelle Zulässige Liste verschoben.

6. Wählen Sie die Namen aus, und klicken Sie auf Entfernen, um die Namen aus derListe zu löschen. Um mehrere Namen auszuwählen, halten Sie die Strg-Taste beider Auswahl gedrückt.




Spyware/Grayware wiederherstellenNach dem Säubern von Spyware/Grayware sichern die OfficeScan Clients dieSpyware-/Grayware-Daten. Benachrichtigen Sie einen Online-Client, die gesichertenDaten wiederherzustellen, wenn Sie die Daten als harmlos einstufen. Wählen Sie diewiederherzustellenden Spyware-/Grayware-Daten nach dem Sicherungszeitpunkt aus.

Hinweis

Benutzer von OfficeScan Clients können die Wiederherstellung von Spyware/Graywarenicht einleiten und erhalten keine Benachrichtigung darüber, welche Backup-Daten derClient wiederherstellen konnte.

Prozedur


2. Öffnen Sie in der Client-Hierarchie eine Domaine und wählen Sie einen Client aus.


7-55

Hinweis

Es kann immer nur eine Spyware-/Grayware-Wiederherstellung ausgeführt werden.

3. Klicken Sie auf Aufgaben > Spyware/Grayware wiederherstellen.

4. Um die jeweils wiederherzustellenden Elemente anzuzeigen, klicken Sie aufAnzeigen.

Ein neues Fenster wird geöffnet. Klicken Sie auf Zurück, um zum vorherigenFenster zurückzukehren.

5. Wählen Sie die wiederherzustellenden Datensegmente aus.

6. Klicken Sie auf Wiederherstellen.

OfficeScan informiert Sie über den Wiederherstellungsstatus. Den vollständigenBericht finden Sie in den Spyware- und Grayware-Wiederherstellungsprotokollen.Weitere Informationen finden Sie unter Spyware-/Grayware-Wiederherstellungsprotokolleanzeigen auf Seite 7-102.

Suchberechtigungen und andere EinstellungenBenutzer mit Suchberechtigungen haben mehr Kontrolle darüber, wie die Dateien aufihren Computern gescannt werden. Suchberechtigungen ermöglichen Benutzern oderdem OfficeScan Client, die folgenden Aufgaben auszuführen:

• Benutzer können Einstellungen für die manuelle Suche, die zeitgesteuerte Sucheund die Echtzeitsuche konfigurieren. Weitere Informationen finden Sie unterBerechtigungen für die Sucharten auf Seite 7-56.

• Benutzer können die zeitgesteuerte Suche verschieben, beenden oder überspringen.Weitere Informationen finden Sie unter Zeitgesteuerte Suchberechtigungen und andereEinstellungen auf Seite 7-59.

• Benutzer können das Durchsuchen von Microsoft Outlook und POP3-E-Mail-Nachrichten nach Viren/Malware aktivieren. Weitere Informationen finden Sieunter Mail-Scan-Berechtigungen und andere Einstellungen auf Seite 7-65.


7-56

• Der OfficeScan Client kann Zwischenspeichereinstellungen verwenden, um dieSuchleistung zu verbessern. Weitere Informationen finden Sie unter Cache-Einstellungen für die Suche auf Seite 7-68.

Berechtigungen für die SuchartenBerechtigt Benutzer, die Einstellungen für die manuelle Suche, die Echtzeitsuche unddie zeitgesteuerte Suche selbst zu konfigurieren.

Berechtigungen für die Sucharten gewähren

Prozedur




4. Navigieren Sie auf der Registerkarte Berechtigungen zum BereichScanBerechtigungen.

5. Wählen Sie die Suchtypen aus, die von den Benutzern konfiguriert werden dürfen.





7-57

Sucheinstellungen für die OfficeScan Client-Computerkonfigurieren

Prozedur

1. Klicken Sie mit der rechten Maustaste auf das Symbol des OfficeScan Clients in derTask-Leiste, und wählen Sie OfficeScan Konsole.

2. Klicken Sie auf Einstellungen > {Suchtyp}.


7-58

ABBILDUNG 7-1. Sucheinstellungen auf der OfficeScan Client-Konsole


• Manuelle Suche - Einstellungen: Zu durchsuchende Dateien,Sucheinstellungen, CPU-Nutzung, Suchausschlüsse, Suchaktionen


7-59

• Echtzeitsuche - Einstellungen: Benutzerdefinierte Aktionen für Dateien, Zudurchsuchende Dateien, Sucheinstellungen, Suchausschlüsse, Suchaktionen

• Zeitgesteuerte Suche - Einstellungen: Zeitplan, Zu durchsuchende Dateien,Sucheinstellungen, CPU-Nutzung, Suchausschlüsse, Suchaktionen


Zeitgesteuerte Suchberechtigungen und andereEinstellungen

Wird eine zeitgesteuerte Suche auf dem Client durchgeführt, können Benutzer diezeitgesteuerte Suche aufschieben oder überspringen/anhalten.

Zeitgesteuerte Suche verschieben

Benutzer mit der Berechtigung "Zeitgesteuerte Suche verschieben" können diefolgenden Aktionen durchführen:

• Zeitgesteuerte Suche verschieben, bevor diese durchgeführt wird, und anschließenddie Dauer der Verschiebung festlegen. Die zeitgesteuerte Suche kann nur einmalverschoben werden.

• Wenn die zeitgesteuerte Suche gerade durchgeführt wird, können Benutzer dieSuche beenden und später neu starten. Der Benutzer legt anschließend fest, nachwie viel Minuten die Suche erneut durchgeführt werden soll. Wenn die Sucheerneut durchgeführt wird, werden alle bereits durchsuchten Dateien nochmaldurchsucht. Die zeitgesteuerte Suche kann nur einmal beendet und neu gestartetwerden.

Hinweis

Die minimale Verschiebungsdauer/abgelaufene Zeit, die Benutzer angeben können, beträgt15 Minuten. Das Maximum sind 12 Stunden und 45 Minuten. Sie können die Dauerverkürzen, indem Sie zu Netzwerkcomputer > Allgemeine Client-Einstellungenwechseln. Ändern Sie im Abschnitt Einstellungen für zeitgesteuerte Suche dieEinstellung Zeitgesteuerte Suche verschieben um __ Stunden und __ Minuten.


7-60

Zeitgesteuerte Suche überspringen und beenden

Durch diese Berechtigung können Benutzer folgende Aktionen durchführen:

• Zeitgesteuerte Suche überspringen, bevor diese durchgeführt wird

• Zeitgesteuerte Suche beenden, wenn diese gerade durchgeführt wird

Berechtigung zur zeitgesteuerten Suche

Damit Benutzer von den Berechtigungen zur zeitgesteuerten Suche profitieren können,sollten Sie sie an die gewährten Berechtigungen erinnern, indem Sie OfficeScan sokonfigurieren, dass eine Benachrichtigung vor der Ausführung der zeitgesteuerten Sucheangezeigt wird.

Berechtigungen für die zeitgesteuerte Suche gewähren unddie Berechtigungsbenachrichtigung anzeigen

Prozedur




4. Navigieren Sie auf der Registerkarte Berechtigungen zum BereichBerechtigungen zur zeitgesteuerten Suche.


• Zeitgesteuerte Suche verschieben

• Zeitgesteuerte Suche überspringen und beenden

6. Navigieren Sie auf der Registerkarte Andere Einstellungen zum BereichEinstellungen zur zeitgesteuerten Suche.


7-61

7. Wählen Sie Benachrichtigung anzeigen, bevor die zeitgesteuerte Sucheausgeführt wird aus.

Wenn Sie diese Option aktivieren, wird eine Benachrichtigung auf dem Client-Computer einige Minuten vor der zeitgesteuerten Suche angezeigt. Benutzerwerden über den Zeitplan der Suche (Datum und Uhrzeit) und über erteilteBerechtigungen der zeitgesteuerten Suche, wie z. B. Verschieben, Überspringenoder Beenden der zeitgesteuerten Suche, informiert.

Hinweis

Sie können die Dauer der Anzeige in Minuten festlegen. Um die Anzahl der Minutenfestzulegen, wechseln Sie zu Netzwerkcomputer > Allgemeine Client-Einstellungen. Ändern Sie im Abschnitt Einstellungen für zeitgesteuerte Suchedie Einstellung Benutzer __ Minuten vor Suchbeginn an die zeitgesteuerteSuche erinnern.




Zeitgesteuerte Suche auf dem Client-Computer verschieben/überspringen und beenden

Prozedur

• Wenn die zeitgesteuerte Suche nicht gestartet wurde:


7-62

a. Klicken Sie mit der rechten Maustaste in der Task-Leiste auf das Symbol fürden OfficeScan Client, und wählen Sie Zeitgesteuerte Suche – ErweiterteEinstellungen.

ABBILDUNG 7-2. Option Zeitgesteuerte Suche – Erweiterte Einstellungen

HinweisBenutzer müssen diesen Schritt nicht durchführen, wenn die Benachrichtigungaktiviert und so eingestellt ist, dass sie einige Minuten vor der zeitgesteuertenSuche angezeigt wird. Weitere Informationen zur Benachrichtigungsmeldungfinden Sie unter Berechtigung zur zeitgesteuerten Suche auf Seite 7-60.

b. Wählen Sie im angezeigten Benachrichtigungsfenster eine der folgendenOptionen:


7-63

• Suche verschieben um __ Stunden und __ Minuten.

• Diese zeitgesteuerte Suche überspringen. Die nächstezeitgesteuerte Suche wird am <Datum> um <Uhrzeit>durchgeführt.

ABBILDUNG 7-3. Berechtigungen zur zeitgesteuerten Suche auf demOfficeScan Client-Computer

• Wenn die zeitgesteuerte Suche durchgeführt wird:

a. Klicken Sie mit der rechten Maustaste in der Task-Leiste auf das Symbol fürden OfficeScan Client, und wählen Sie Zeitgesteuerte Suche – ErweiterteEinstellungen.

b. Wählen Sie im angezeigten Benachrichtigungsfenster eine der folgendenOptionen:

• Suche beenden. Die Suche neu starten nach __ Stunden und __Minuten.

• Suche beenden. Die nächste zeitgesteuerte Suche wird am<Datum> um <Uhrzeit> durchgeführt.


7-64

ABBILDUNG 7-4. Berechtigungen zur zeitgesteuerten Suche auf demOfficeScan Client-Computer


7-65

Mail-Scan-Berechtigungen und andere EinstellungenWenn Clients Mail Scan Berechtigungen haben, wird die Registerkarte Mail Scan aufder OfficeScan Client-Konsole angezeigt. Die Registerkarte "Mail Scan" enthält zweiMail Scan Programme: Outlook Mail Scan und POP3 Mail Scan.

ABBILDUNG 7-5. Die Registerkarte "Mail Scan" auf der OfficeScan Client-Konsole

In der folgenden Tabelle werden die Programme Outlook Mail Scan und POP3 MailScan beschrieben.


7-66

TABELLE 7-16. Mail Scan Programme

DETAILS OUTLOOK MAIL SCAN POP3 MAIL SCAN

Zweck Durchsucht Microsoft Outlook E-Mail-Nachrichten nach Viren/Malware

Durchsucht POP3 E-Mail-Nachrichten nach Viren/Malware

Voraussetzungen

Müssen auf der OfficeScan Client-Konsole installiert werden, bevorsie der Benutzer verwenden kann

• Müssen vom Administrator aufder Webkonsole aktiviertwerden, bevor sie der Benutzerverwenden kann

HinweisWeitere Informationenzum Aktivieren vonPOP3 Mail Scan findenSie unter Mail Scan-Berechtigungengewähren und POP3Mail Scan aktivieren aufSeite 7-67.

• Maßnahmen gegen Viren/Malware, die auf derOfficeScan Client-Konsole,nicht aber auf der Webkonsolekonfiguriert werden können

UnterstützteSuchtypen

Manuelle Suche

Die Suche wird nur durchgeführt,wenn der Benutzer auf Jetztdurchsuchen auf derRegisterkarte Mail ScanRegisterkarte der OfficeScan derClient-Konsole klickt.

Echtzeitsuche

Eine Suche wird durchgeführtwährend E-Mail-Nachrichten vomPOP3 Mail Server abgerufenwerden.


7-67

DETAILS OUTLOOK MAIL SCAN POP3 MAIL SCAN

Suchergebnis

• Informationen über entdeckteSicherheitsrisiken liegen vor,sobald der Suchvorgangabgeschlossen ist

• Suchergebnisse werden nichtim Fenster Protokolle desOfficeScan Clients angezeigt

• Suchergenisse werden nichtan den Server gesendet

• Informationen über entdeckteSicherheitsrisiken liegen vor,sobald der Suchvorgangabgeschlossen ist

• Suchergebnisse werden nichtim Fenster Protokolle desOfficeScan Clients angezeigt

• Suchergenisse werden nicht anden Server gesendet

WeitereHinweise

Keine Teilt sich den OfficeScan NT Proxy-Dienst (TMProxy.exe) mit derFunktion Web Reputation

Mail Scan-Berechtigungen gewähren und POP3 Mail Scanaktivieren

Prozedur




4. Navigieren Sie auf der Registerkarte Berechtigungen zum Bereich Mail-Scan-Berechtigungen.

5. Wählen Sie Registerkarte Mail Scan auf der Client-Konsole anzeigen.

6. Navigieren Sie auf der Registerkarte Andere Einstellungen zum Bereich POP3E-Mail Scan Einstellungen.

7. Wählen Sie POP3 E-Mail durchsuchen aus.


7-68




Cache-Einstellungen für die SucheDer OfficeScan Client kann eine digitale Signatur erstellen und bei Bedarf Dateien ausdem Cache durchsuchen, um die Suchleistung zu verbessern. Bei einer On-Demand-Suche überprüft der OfficeScan Client zuerst die Cache-Datei mit den digitalenSignaturen und dann die Cache-Datei der On-Demand-Suche nach Dateien, die von derSuche ausgeschlossen werden sollen. Die Suchdauer wird reduziert, wenn viele Dateienvon der Suche ausgeschlossen werden.

Digitaler Signatur-Cache

Die Cache-Datei mit den digitalen Signaturen wird während der manuellen Suche, derzeitgesteuerten Suche und der Sofortsuche verwendet. Clients durchsuchen keineDateien, deren Cache zur Cache-Datei mit den digitalen Signaturen hinzugefügt wurde.

Der OfficeScan Client verwendet das gleiche Pattern für digitale Signaturen, das bei derVerhaltensüberwachung zur Erstellung der Datei mit den digitalen Signaturen verwendetwird. Das Pattern für digitale Signaturen enthält eine Liste von Dateien, die Trend Microals vertrauenswürdig erachtet und deshalb von der Suche ausschließt.


7-69

HinweisDie Verhaltensüberwachung wird auf Windows-Serverplattformen automatisch deaktiviert(64-Bit-Unterstützung für Windows XP, 2003 und Vista ohne SP1 ist nicht verfügbar).Wenn der Cache für digitale Signaturen aktiviert ist, laden OfficeScan Clients auf diesenPlattformen das Pattern für digitale Signaturen zur Verwendung im Cache herunter. DieKomponenten der Verhaltensüberwachung werden aber nicht heruntergeladen.

Clients erstellen die Cache-Datei mit den digitalen Signaturen nach einem Zeitplan, derauf der Webkonsole konfiguriert werden kann. Clients tun dies, um:

• Den Cache für neue Dateien hinzuzufügen, die seit der letzten Erstellung derCache-Datei in das System eingeführt wurden

• Den Cache für Dateien zu entfernen, die verändert oder aus dem System gelöschtwurden

Während der Cache-Erstellung überprüfen die Clients folgende Ordner nachvertrauenswürdigen Dateien und fügen dann den Cache für diese Dateien zur Cache-Datei mit den digitalen Signaturen hinzu:

• %PROGRAMFILES%

• %WINDIR%

Die Cache-Erstellung kann hat keine Auswirkung auf die Leistung eines Computers, dadie Clients während dieses Prozesses nur minimale System-Ressourcen benötigen.Clients können auch eine bereits begonnene Cache-Erstellung wieder fortsetzen, wenndieser Vorgang aus einem bestimmten Grund abgebrochen wurde (zum Beispiel, wennder Rechner von der Stromquelle getrennt wurde oder wenn der Akku eines drahtlosenComputers abgesteckt wurde).

Cache für die On-Demand-SucheDie Cache-Datei für die bedarfsgesteuerte Suche wird während der manuellen Suche,der zeitgesteuerten Suche und der Sofortsuche verwendet. OfficeScan Clientsdurchsuchen keine Dateien, deren Cache zur Cache-Datei für die On-Demand-Suchehinzugefügt wurde.

Bei jeder Suche überprüft der OfficeScan Client die Eigenschaften der bedrohungsfreienDateien. Wenn eine bedrohungsfreie Datei in einem bestimmten (konfigurierbaren)


7-70

Zeitraum nicht verändert wurde, fügt der OfficeScan Client den Cache der Datei zurCache-Datei für die On-Demand-Suche hinzu. Bei der nächsten Suche wird diese Dateidann nicht durchsucht, wenn ihr Cache nicht abgelaufen ist.

Der Cache einer bedrohungsfreien Datei läuft nach einer bestimmten (ebenfallskonfigurierbaren) Anzahl von Tagen ab. Wird die Suche bei oder nach Ablauf desCaches durchgeführt, entfernt der OfficeScan Client den abgelaufenen Cache unddurchsucht die Datei nach Bedrohungen. Ist die Datei bedrohungsfrei und bleibtunverändert, wird der Cache der Datei wieder zur Cache-Datei für die bedarfsgesteuerteSuche hinzugefügt. Ist die Datei bedrohungsfrei, wurde aber vor kurzem verändert, wirdder Cache nicht hinzugefügt, und die Datei wird bei der nächsten Suche wiederdurchsucht.

Der Cache einer bedrohungsfreien Datei läuft ab, um den Auschluss infizierter Dateienvon der Suche, wie in den folgenden Beispielen dargestellt, zu verhindern:

• Es ist möglich, dass eine stark veraltete Pattern-Datei eine infizierte, nichtveränderte Datei als bedrohungsfrei eingestuft hat. Wenn der Cache nicht abläuft,verbleibt die infizierte Datei im System, bis sie verändert und von derEchtzeitsuche entdeckt wird.

• Wenn eine gecachte Datei verändert wurde und die Echtzeitsuche zum Zeitpunktder Dateiänderung nicht funktionsfähig war, muss der Cache ablaufen, damit dieveränderte Datei nach Bedrohungen durchsucht werden kann.

Die Anzahl der Caches, die zur Cache-Datei für die bedarfsgesteuerte Suche hinzugefügtwerden können, hängt von der Art der Suche und dem jeweiligen Ziel ab. Zum Beispielkönnte die Anzahl der Caches geringer sein, wenn der OfficeScan Client bei dermanuellen Suche nur 200 an Stelle der 1.000 Dateien auf einem Computer durchsuchthat.

Wenn häufig bedarfsgesteuerte Suchen durchgeführt werden, reduziert die Cache-Dateifür die bedarfsgesteuerte Suche den Suchzeitaufwand erheblich. Bei einer Aufgabe, beider kein Cache abgelaufen ist, kann eine durchschnittliche Suchdauer von 12 Minutenauf 1 Minute reduziert werden. Reduziert man die Anzahl von Tagen, die eine Dateiunverändert bleiben muss, und verlängert man die Ablaufzeit des Cache, erhöht sichnormalerweise die Leistung. Da Dateien nur während einer relativ kurzen Zeitdauerunverändert bleiben müssen, können mehr Caches zur Cache-Datei hinzugefügt werden.Außerdem verlängert sich die Ablaufdauer der Caches, weshalb mehr Dateien von derSuche ausgeschlossen werden können.


7-71

Wenn nur selten bedarfsgesteuerte Suchen durchgeführt werden, können sie den Cachedafür deaktivieren, da die Caches ohnehin bis zur nächsten Suche abgelaufen sind.

Cache-Einstellungen für die Suche konfigurieren

Prozedur




4. Klicken Sie auf die Registerkarte Andere Einstellungen, und gehen Sie zumAbschnitt Cache-Einstellungen für die Suche.

5. Konfigurieren Sie die Einstellungen für den digitalen Signatur-Cache.

a. Wählen Sie Digitalen Signatur-Cache aktivieren.

b. Unter Den Cache alle __ Tage erstellen geben Sie an, wie oft der Clientden Cache erstellen soll.

6. Konfigurieren Sie die Einstellungen für den Cache der bedarfsgesteuerten Suche.

a. Wählen Sie Cache für die bedarfsgesteuerte Suche aktivieren.

b. Unter Cache für sichere Dateien hinzufügen, die unverändert sind seit__ Tagen geben Sie Anzahl von Tagen an, die eine Datei unverändert seinmuss, bevor sie gecacht wird.

c. Unter Der Cache für eine sichere Datei läuft ab innerhalb von __ Tagengeben Sie die Anzahl von Tagen an, die ein Cache in der Cache-Dateiverbleibt.


7-72

HinweisUm zu verhindern, dass alle Caches, die bei einer Suche hinzugefügt wurden,am selben Tag ablaufen, laufen die Caches zufallsgesteuert innerhalb derangegebenen Anzahl von Tagen ab. Wenn zum Beispiel an einem Tag 500Caches zum Cache hinzugefügt wurden und Sie haben als maximale Ablauffrist10 Tage angegeben, läuft ein Bruchteil der Caches am nächsten Tag und dieMehrzahl der Caches an den darauffolgenden Tagen ab. Am zehnten Tag laufendann alle übrigen Caches ab.




Allgemeine SucheinstellungenEs gibt mehrere Möglichkeiten, wie die allgemeinen Sucheinstellungen auf die Clientsübernommen werden.

• Eine bestimmte Sucheinstellung kann für alle Clients gelten, die der Serververwaltet, oder nur für Clients mit bestimmten Suchberechtigungen. Wenn Sie z. B.die Dauer für die Verschiebung der zeitgesteuerten Suche konfigurieren, wird dieseEinstellung nur von Clients verwendet, die über die Berechtigung verfügen, diezeitgesteuerte Suche zu verschieben.

• Eine bestimmte Sucheinstellung kann für alle oder nur einen bestimmten Suchtypgelten. Beispielsweise können Sie auf Computern, auf denen sowohl derOfficeScan Server als auch der OfficeScan Client installiert ist, die OfficeScan


7-73

Server-Datenbank von der Suche ausschließen. Diese Einstellung gilt jedoch nurwährend der Echtzeitsuche.

• Eine bestimmte Sucheinstellung kann zutreffen, wenn Sie entweder nach Viren/Malware oder Spyware/Grayware oder beidem suchen. Der Bewertungsmodus giltbeispielsweise nur während der Suche nach Spyware/Grayware.

Allgemeine Sucheinstellungen konfigurieren

Prozedur


2. Konfigurieren Sie die allgemeinen Sucheinstellungen in jedem der verfügbarenAbschnitte.

• Abschnitt "Sucheinstellungen" auf Seite 7-73

• Abschnitt "Einstellungen für die zeitgesteuerte Suche" auf Seite 7-80

• Abschnitt "Bandbreiteneinstellungen des Viren-/Malware-Protokolls" auf Seite 7-83


Abschnitt "Sucheinstellungen"Im Abschnitt Sucheinstellungen der allgemeinen Sucheinstellungen könnenAdministratoren Folgendes konfigurieren:

• Sucheinstellungen für große, komprimierte Dateien konfigurieren auf Seite 7-74

• Manuelle Suche zum Windows Kontextmenü auf OfficeScan Client-Computern hinzufügen aufSeite 7-74

• Den Ordner der OfficeScan Server-Datenbank von der Echtzeitsuche ausschließen auf Seite7-75

• Ordner und Dateien des Microsoft Exchange-Servers von den Suchvorgängen ausschließen aufSeite 7-75


7-74

• Verzögerte Suche für Dateivorgänge aktivieren auf Seite 7-76

• Infizierte Dateien in komprimierten Dateien säubern/löschen auf Seite 7-76

• Bewertungsmodus aktivieren auf Seite 7-79

• Nach Cookies suchen auf Seite 7-80

Sucheinstellungen für große, komprimierte Dateienkonfigurieren

Alle OfficeScan Clients, die vom Server verwaltet werden, überprüfen bei derDurchsuchung komprimierter Dateien nach Viren/Malware und Spyware/Graywarewährend einer manuellen Suche, Echtzeitsuche, zeitgesteuerten Suche und der Funktion"Jetzt durchsuchen" die folgenden Einstellungen:

• Keine Dateien in komprimierten Dateien durchsuchen, die größer als__ MBsind: OfficeScan durchsucht keine Dateien, die diesen Grenzwert überschreiten.

• In einer komprimierten Datei nur die ersten __ Dateien durchsuchen: Nachdem Entpacken der komprimierten Datei durchsucht OfficeScan die angegebeneAnzahl von Dateien und ignoriert, falls vorhanden, alle verbleibenden Dateien.

Manuelle Suche zum Windows Kontextmenü auf OfficeScanClient-Computern hinzufügen

Wenn diese Einstellung aktiviert ist, fügen alle OfficeScan Clients, die vom Serververwaltet werden, die Option Suche mit dem OfficeScan Client dem Kontextmenü inWindows Explorer hinzu. Wenn Benutzer mit der rechten Maustaste auf eine Datei odereinen Ordner auf dem Windows Desktop oder in Windows Explorer klicken und die


7-75

Option auswählen, wird eine manuelle Suche in der Datei oder im Ordner nach Viren/Malware und Spyware/Grayware durchgeführt.

ABBILDUNG 7-6. Suche mit dem OfficeScan Client

Den Ordner der OfficeScan Server-Datenbank von derEchtzeitsuche ausschließenWenn sich der OfficeScan Client und der OfficeScan Server auf demselben Computerbefinden, durchsucht der OfficeScan Client während einer Echtzeitsuche nicht dieServer-Datenbank nach Viren/Malware und Spyware/Grayware.

TippAktivieren Sie diese Einstellung, um zu verhindern, dass die Datenbank während der Suchebeschädigt wird.

Ordner und Dateien des Microsoft Exchange-Servers vonden Suchvorgängen ausschließenWenn sich der OfficeScan Client und ein Microsoft Exchange 2000/2003 Server aufdemselben Computer befinden, durchsucht OfficeScan nicht die folgenden Ordner und


7-76

Dateien von Microsoft Exchange nach Viren/Malware und Spyware/Grayware währendder manuellen Suche, Echtzeitsuche, zeitgesteuerten Suche und der Funktion "Jetztdurchsuchen".

• Die folgenden Ordner in \Exchsrvr\Mailroot\vsi 1: Queue, PickUp undBadMail

• ".\Exchsrvr\mdbdata ", einschließlich dieser Dateien: priv1.stm,priv1.edb, pub1.stm und pub1.edb

• .\Exchsrvr\Storage Group

Microsoft Exchange 2007 Ordner oder höher müssen manuell zur Ausschlusslistehinzugefügt werden. Einzelheiten zu den Suchausschlüssen finden Sie auf der folgendenWebsite:


Die einzelnen Schritte zur Konfiguration der Ausschlussliste für die Virensuche findenSie unter Suchausschlüsse auf Seite 7-33.

Verzögerte Suche für Dateivorgänge aktivierenAdministratoren können einstellen, dass OfficeScan das Durchsuchen von Dateienverzögern soll. OfficeScan erlaubt den Benutzern, die Dateien zu kopieren, bevor dieDateien durchsucht werden. Diese Verzögerung steigert die Leistung beim Kopierenund Suchen.

HinweisDie verzögerte Suche erfordert die Version 9.713 oder höher von Viren-Scan-Engine(VSAPI). Weitere Informationen zum Aktualisieren des Servers finden Sie unter DenOfficeScan Server manuell aktualisieren auf Seite 6-26.

Infizierte Dateien in komprimierten Dateien säubern/löschenWenn die Clients, die vom Server verwaltet werden, Viren/Malware innerhalb vonkomprimierten Dateien während einer manuellen Suche, Echtzeitsuche, zeitgesteuertenSuche und der Funktion "Jetzt durchsuchen" finden und die folgenden Bedingungenerfüllt sind, können die Clients die infizierten Dateien säubern oder löschen.



7-77

• OfficeScan führt die Aktion "Säubern" oder "Löschen" durch. Sie können dieAktion von OfficeScan für infizierte Dateien auf der RegisterkarteNetzwerkcomputer > Client-Verwaltung > Einstellungen >Sucheinstellungen > {Suchtyp} > Aktion prüfen.

• Diese Einstellung aktivieren Sie selbst. Die Aktivierung dieser Einstellung kann zueiner erhöhten Nutzung der Computerressourcen während der Suche führen unddie Suchdauer verlängern. Der Grund ist, dass OfficeScan die komprimierte Dateidekomprimieren, die infizierten Dateien innerhalb der komprimierten Dateisäubern/löschen und anschließend die Datei wieder komprimieren muss.

• Das Format der komprimierten Datei wird unterstützt. OfficeScan unterstützt nurbestimmte ZIP-Komprimierungsformate, wie z. B. ZIP und Office Open XML.Office Open XML ist das Standardformat für Microsoft Office 2007Anwendungen wie Excel, PowerPoint und Word.

HinweisEine vollständige Liste der unterstützten Komprimierungsformate erhalten Sie vonIhrem Support-Anbieter.

Beispielsweise wurde für die Echtzeitsuche festgelegt, dass Dateien, die mit einem Virusinfiziert sind, gelöscht werden sollen. Nachdem die Echtzeitsuche eine komprimierteDatei mit der Bezeichnung abc.zip dekomprimiert hat und eine infizierte Datei123.doc innerhalb der komprimierten Datei gefunden hat, löscht OfficeScan die Datei123.doc und führt anschließend eine erneute Komprimierung von abc.zip durch,auf die daraufhin sicher zugegriffen werden kann.

In der folgenden Tabelle wird beschrieben, was geschieht, wenn eine der Bedingungennicht erfüllt ist.


7-78

TABELLE 7-17. Komprimierte Dateien – Szenarien und Ergebnisse

STATUS VON"INFIZIERTEDATEIEN IN

KOMPRIMIERTENDATEIEN

SÄUBERN/LÖSCHEN"

AKTION, DIEOFFICESCAN

DURCHFÜHRENSOLL

KOMPRIMIERTESDATEIFORMAT

ERGEBNIS

Aktiviert Säubern oderLöschen

Nicht unterstützt

Beispiel: def.rarenthält eineinfizierte Datei mitdem Namen123.doc.

OfficeScan verschlüsseltdef.rar. Die Datei 123.doc wirdjedoch weder gesäubert,gelöscht, noch anderweitigverarbeitet.

Deaktiviert Säubern oderLöschen

Unterstützt/Nichtunterstützt

Beispiel: abc.zipenthält eineinfizierte Datei mitdem Namen123.doc.

Diese beiden Dateien (abc.zipund 123.doc) werden wedergesäubert, gelöscht, nochanderweitig verarbeitet.


7-79

STATUS VON"INFIZIERTEDATEIEN IN

KOMPRIMIERTENDATEIEN

SÄUBERN/LÖSCHEN"

AKTION, DIEOFFICESCAN

DURCHFÜHRENSOLL

KOMPRIMIERTESDATEIFORMAT

ERGEBNIS

Aktiviert/Deaktiviert

Nicht säubernoder löschen(also eine derfolgendenAktionen:Umbenennen, Quarantäne,ZugriffverweigernoderÜbergehen)

Unterstützt/Nichtunterstützt

Beispiel: abc.zipenthält eineinfizierte Datei mitdem Namen123.doc.

OfficeScan führt die konfigurierteAktion (Umbennen, Quarantäne,Zugriff verweigern oderÜbergehen) für die Datei abc.zipdurch, nicht aber für die Datei123.doc.

Bei der Aktion:

Umbenennen: OfficeScanbenennt abc.zip in abc.vir um,nicht aber 123.doc.

Quarantäne: OfficeScanverschiebt abc.zip inQuarantäne (123.doc und allenicht infizierten Dateien werden inQuarantäne verschoben).

Übergehen: OfficeScan führtkeine Aktion für die beidenDateien abc.zip und 123.docdurch, protokolliert jedoch denVirenfund.

Zugriff verweigern: OfficeScanverweigert den Zugriff aufabc.zip, wenn diese geöffnetwird (123.doc und alle nichtinfizierten Dateien können nichtgeöffnet werden).

Bewertungsmodus aktivierenIm Bewertungsmodus protokollieren alle vom Server verwalteten Clients Spyware/Grayware, die während der manuellen Suche, zeitgesteuerten Suche, Echtzeitsuche und


7-80

der Funktion "Jetzt durchsuchen" gefunden wurde. Dabei werden jedoch die Spyware-/Grayware-Komponenten nicht gesäubert. Bei der Säuberung werden Prozesse beendetoder Registrierungseinträge, Dateien, Cookies und Shortcuts gelöscht.

Mit dem Bewertungsmodus von Trend Micro können Sie Elemente überprüfen, dieTrend Micro als Spyware/Grayware einstuft, und dann eine geeignete Aktiondurchführen. Beispielsweise können Sie entdeckte Spyware/Grayware, die Sie alsungefährlich erachten, zur Liste der zulässigen Spyware/Grayware hinzufügen.

Im Bewertungsmodus führt OfficeScan die folgenden Suchaktionen durch:

• Übergehen: Während der manuellen Suche, zeitgesteuerten Suche und derFunktion "Jetzt durchsuchen"

• Zugriff verweigern: Während der Echtzeitsuche

HinweisDer Bewertungsmodus setzt alle benutzerdefinierten Suchaktionen außer Kraft. Wenn Siebeispielsweise "Säubern" als Suchaktion für die manuelle Suche auswählen, bleibt"Übergehen" weiterhin die Suchaktion für den Bewertungsmodus.

Nach Cookies suchen

Wählen Sie diese Option aus, wenn Sie Cookies als potenzielle Sicherheitsrisikeneinstufen. Wenn diese Option ausgewählt ist, werden alle vom Server verwaltetenClients während der manuellen Suche, zeitgesteuerten Suche, Echtzeitsuche und derFunktion "Jetzt durchsuchen" nach Cookies für Spyware/Grayware durchsucht.

Abschnitt "Einstellungen für die zeitgesteuerte Suche"Die folgenden Einstellungen werden nur von Clients verwendet, die die zeitgesteuerteSuche ausführen. Die zeitgesteuerte Suche kann nach Viren/Malware und Spyware/Grayware suchen.

Im Abschnitt "Einstellungen für zeitgesteuerte Suche" der allgemeinenSucheinstellungen können Administratoren Folgendes konfigurieren:

• Benutzer __ Minuten vor Suchbeginn an die zeitgesteuerte Suche erinnern. auf Seite 7-81


7-81

• Zeitgesteuerte Suche verschieben um __ Stunden und __ Minuten auf Seite 7-81

• Zeitgesteuerte Suche automatisch beenden, wenn die Suche länger dauert als __ Stunden und __Minuten auf Seite 7-82

• Zeitgesteuerte Suche überspringen, wenn die Akkulaufzeit eines Wireless-Computers weniger als__ % beträgt und der AC-Adapter nicht angeschlossen ist auf Seite 7-82

• Eine übersprungene zeitgesteuerte Suche fortsetzen auf Seite 7-82

Benutzer __ Minuten vor Suchbeginn an die zeitgesteuerteSuche erinnern.

OfficeScan zeigt eine Benachrichtigung einige Minuten vor der Durchführung der Suchean, um Benutzer an den Zeitplan der Suche (Datum und Uhrzeit) und alleBerechtigungen zu erinnern, die ihnen im Zusammenhang mit der zeitgesteuerten Suchegewährt wurden.

Die Benachrichtigung kann unter Netzwerkcomputer > Client-Verwaltung >Einstellungen > Berechtigungen und andere Einstellungen > AndereEinstellungen (Registerkarte) > Einstellungen für zeitgesteuerte Suche aktiviert/deaktiviert werden. Wenn diese Option deaktiviert wurde, wird keine Erinnerungangezeigt.

Zeitgesteuerte Suche verschieben um __ Stunden und __Minuten

Nur Benutzer mit der Berechtigung "Zeitgesteuerte Suche verschieben" können diefolgenden Aktionen durchführen:

• Zeitgesteuerte Suche verschieben, bevor diese durchgeführt wird, und anschließenddie Dauer der Verschiebung festlegen.

• Wenn die zeitgesteuerte Suche gerade durchgeführt wird, können Benutzer dieSuche beenden und später neu starten. Der Benutzer legt anschließend fest, nachwie viel Minuten die Suche erneut durchgeführt werden soll. Wenn die Sucheerneut durchgeführt wird, werden alle bereits durchsuchten Dateien nochmaldurchsucht.


7-82

Die maximale Verschiebungsdauer/abgelaufene Zeit, die Benutzer angebenkönnen, beträgt 12 Stunden und 45 Minuten. Sie können die Dauer verkürzen,indem Sie die Anzahl der Stunde(n) und/oder Minute(n) in den entsprechendenFeldern ändern.

Zeitgesteuerte Suche automatisch beenden, wenn die Suchelänger dauert als __ Stunden und __ Minuten

OfficeScan hält die Suche an, wenn die angegebene Zeitdauer überschritten wird undder Suchvorgang noch nicht abgeschlossen ist. OfficeScan informiert die Benutzerunverzüglich über alle Sicherheitsrisiken, die während der Suche gefunden wurden.

Zeitgesteuerte Suche überspringen, wenn die Akkulaufzeiteines Wireless-Computers weniger als __ % beträgt und derAC-Adapter nicht angeschlossen ist

OfficeScan beendet den Suchvorgang sofort, wenn die zeitgesteuerte Suche gestartetund dabei festgestellt wird, dass der Akkustand eines Wireless-Computers niedrig unddas Netzteil nicht angeschlossen ist. Ist der Akkustand niedrig und das Netzteilangeschlossen, wird die Suche fortgesetzt.

Eine übersprungene zeitgesteuerte Suche fortsetzen

Wenn die zeitgesteuerte Suche nicht startet, weil OfficeScan zu dem entsprechendenZeitpunkt nicht ausgeführt wird, können Sie angeben, wann OfficeScan die Suchewieder aufnehmen soll:

• gleiche Zeit am nächsten Tag: Wenn OfficeScan zur selben Zeit am nächstenTag ausgeführt wird, wird die Suche fortgesetzt.

• __ Minuten nach dem Start des Computers: OfficeScan führt die Suche nacheiner bestimmten Anzahl von Minuten durch, nachdem der Benutzer denComputer eingeschaltet hat. Die Anzahl der Minuten liegt zwischen 10 und 120.


7-83

HinweisBenutzer können eine zeitgesteuerte Suche verschieben oder überspringen, wenn derAdministrator diese Berechtigung aktiviert. Weitere Informationen finden Sie unterZeitgesteuerte Suchberechtigungen und andere Einstellungen auf Seite 7-59.

Abschnitt "Bandbreiteneinstellungen des Viren-/Malware-Protokolls"

Im Abschnitt "Bandbreiteneinstellungen des Viren-/Malware-Protokolls" derallgemeinen Sucheinstellungen können Administratoren Folgendes konfigurieren:

OfficeScan Clients so konfigurieren, dass sie für erneute Funde desselben Virus/derselben Malwareinnerhalb einer Stunde nur einen Protokolleintrag erstellen auf Seite 7-83

OfficeScan Clients so konfigurieren, dass sie für erneuteFunde desselben Virus/derselben Malware innerhalb einerStunde nur einen Protokolleintrag erstellenOfficeScan führt Protokolleinträge zusammen, wenn innerhalb kurzer Zeit mehrereInfektionen mit demselben Virus oder derselben Malware entdeckt werden. Es kannvorkommen, dass OfficeScan denselben Virus oder dieselbe Malware mehrmalsentdeckt. Da sich das Viren- und Malware-Protokoll dadurch rasch mit Einträgen füllt,erhöht sich der Verbrauch an Netzwerkbandbreite, wenn der OfficeScan ClientProtokollinformationen an den Server sendet. Mit der Aktivierung dieser Funktionwerden die Anzahl der Einträge im Viren- und Malware-Protokoll und die Menge anNetzwerkbandbreite, die von den OfficeScan Clients verbraucht wird, reduziert.

Benachrichtigungen bei SicherheitsrisikenOfficeScan verfügt über zahlreiche Standardbenachrichtigungen, die Sie, andereOfficeScan Administratoren und OfficeScan Client-Benutzer über entdeckteSicherheitsrisiken informieren.

Weitere Informationen zu den an Administratoren gesendeten Benachrichtigungenfinden Sie unter Benachrichtigungen bei Sicherheitsrisiken für Administratoren auf Seite 7-84.


7-84

Weitere Informationen zu den an OfficeScan Client-Benutzer gesendetenBenachrichtigungen finden Sie unter Benachrichtigungen bei Sicherheitsrisiken für OfficeScanClient-Benutzer auf Seite 7-88.

Benachrichtigungen bei Sicherheitsrisiken fürAdministratoren

Konfigurieren Sie OfficeScan so, dass Sie oder andere OfficeScan Administratorenbenachrichtigt werden, sobald ein Sicherheitsrisiko entdeckt wird oder nur dann, wenndie Aktion gegen das entdeckte Sicherheitsrisiko fehlschlägt und Ihr Eingreifen nötig ist.

OfficeScan verfügt über zahlreiche Standardbenachrichtigungen, die Sie und andereOfficeScan Administratoren über entdeckte Sicherheitsrisiken informieren. Sie könnendiese Benachrichtigungen ändern und zusätzliche Benachrichtigungseinstellungenkonfigurieren, die Ihren Anforderungen entsprechen.

HinweisOfficeScan kann Benachrichtigungen per E-Mail, Pager, SNMP-Trap und Windows NTEreignisprotokolle versenden. Konfigurieren Sie die Einstellungen, wenn OfficeScan überdiese Kanäle Benachrichtigungen versendet. Weitere Informationen finden Sie unterEinstellungen für die Administratorbenachrichtigungen auf Seite 13-33.

Benachrichtigungen bei Sicherheitsrisiken fürAdministratoren konfigurieren

Prozedur

1. Navigieren Sie zu Benachrichtigungen > Administrator - Benachrichtigungen> Standardbenachrichtigungen.

2. Auf der Registerkarte Kriterien:

a. Gehen Sie zum Abschnitt Viren/Malware oder Spyware/Grayware.

b. Geben Sie an, ob Benachrichtigungen gesendet werden sollen, wennOfficeScan Viren/Malware und Spyware/Grayware entdeckt, oder nur dann,wenn die Aktionen gegen diese Sicherheitsrisiken fehlgeschlagen sind.


7-85

3. Auf der Registerkarte E-Mail:

a. Gehen Sie zum Abschnitt Viren/Malware Fund oderSpyware/GraywareFund.

b. Wählen Sie Benachrichtigung über E-Mail aktivieren.

c. Wählen Sie Benachrichtigungen an Benutzer mit Client-Hierarchie-Domänenberechtigungen senden.

Mit der rollenbasierten Administration können Sie Benutzern Client-Hierarchie-Domänenberechtigungen gewähren. Bei einer Erkennung aufeinem OfficeScan Client, der zu einer bestimmten Domäne gehört, wird dieE-Mail an die E-Mail-Adressen der Benutzer mit Domänenberechtigunggesendet. Beispiele dafür sehen Sie in der folgenden Tabelle:

TABELLE 7-18. Client-Hierarchie-Domänen und Berechtigungen

CLIENT-HIERARCHIE-

DOMÄNE

ROLLEN MITDOMÄNENBERECHTI

GUNGEN

BENUTZERKONTOMIT DIESER ROLLE

E-MAIL-ADRESSEFÜR DAS

BENUTZERKONTO

Domäne A Administrator(integriert)

root [email protected]

Role_01 admin_john [email protected]

admin_chris [email protected]

Domäne B Administrator(integriert)


Role_02 admin_jane [email protected]

Entdeckt ein OfficeScan Cient, der zur Domäne A gehört, einen Virus, wirddie E-Mail an [email protected], [email protected] und [email protected] gesendet.

Entdeckt ein OfficeScan Client, der zur Domäne B gehört, Spyware, wird dieE-Mail an [email protected] und [email protected] gesendet.


7-86

HinweisWenn Sie die Option aktivieren, benötigen alle Benutzer mitDomänenberechtigung eine entsprechende E-Mail-Adresse. Die E-Mail-Benachrichtigung wird nicht an Benutzer ohne E-Mail-Adresse gesendet.Benutzer und E-Mail-Adressen werden unter Administration >Benutzerkonten konfiguriert.

d. Wählen Sie Benachrichtigungen an folgende E-Mail-Adresse(n) senden,und geben Sie dann die E-Mail-Adressen ein.

e. Übernehmen oder ändern Sie die Standardbetreffzeile und -nachricht. Siekönnen Token-Variablen als Platzhalter für Daten in den Feldern Betreff undNachricht verwenden.

TABELLE 7-19. Token Variablen für Benachrichtigungen vonSicherheitsrisiken

VARIABLE BESCHREIBUNG

Viren-/Malware-Funde

%v Viren-/Malware-Name

%s Computer mit Viren/Malware

%i IP-Adresse auf dem Computer

%c MAC-Adresse des Computers

%m Domäne des Computers

%p Fundort des Virus/der Malware

%y Datum und Uhrzeit des Viren-/Malware-Funds

%e Viren-Scan-Engine-Version

%r Version der Viren-Pattern-Datei

%a Für das Sicherheitsrisiko durchgeführte Aktionen

%n Name des Benutzers, der am infizierten Computerangemeldet ist


7-87


Spyware-/Grayware-Funde

%s Computer mit Spyware/Grayware

%i IP-Adresse auf dem Computer

%m Domäne des Computers

%y Datum und Uhrzeit des Spyware-/Grayware-Funds

%n Name des Benutzers, der zum Zeitpunkt des Fundes amComputer angemeldet ist

%T Spyware-/Grayware-Suchergebnis

4. Auf der Registerkarte Pager:


b. Wählen Sie Benachrichtigung per Pager aktivieren.

c. Geben Sie die Nachricht ein.

5. Auf der Registerkarte SNMP-Trap:


b. Wählen Sie Benachrichtigung per SNMP-Trap aktivieren.

c. Übernehmen Sie die Standardmeldung oder ändern Sie sie. Sie können Token-Variablen als Platzhalter für Daten im Feld Nachricht verwenden. WeitereInformationen finden Sie unter Tabelle 7-19: Token Variablen fürBenachrichtigungen von Sicherheitsrisiken auf Seite 7-86.

6. Auf der Registerkarte NT-Ereignisprotokoll:


b. Wählen Sie Benachrichtigung über NT-Ereignisprotokoll aktivieren.


7-88

c. Übernehmen Sie die Standardmeldung oder ändern Sie sie. Sie können Token-Variablen als Platzhalter für Daten im Feld Nachricht verwenden. WeitereInformationen finden Sie unter Tabelle 7-19: Token Variablen fürBenachrichtigungen von Sicherheitsrisiken auf Seite 7-86.


Benachrichtigungen bei Sicherheitsrisiken für OfficeScanClient-Benutzer

OfficeScan kann Benachrichtigungen auf OfficeScan Client-Computern anzeigen:

• Unmittelbar nachdem bei der Echtzeitsuche und der zeitgesteuerten Suche Viren/Malware oder Spyware/Grayware entdeckt wurden. Sie können dieBenachrichtigung aktivieren und optional den Inhalt ändern.

• Wenn ein Client-Computer zum Säubern infizierter Dateien neu gestartet werdenmuss. Im Fall der Echtzeitsuche wird die Meldung angezeigt, nachdem einbestimmtes Sicherheitsrisiko bei der Suche gefunden wurde. Im Fall der manuellenSuche, zeitgesteuerten Suche und bei der Funktion "Jetzt durchsuchen" wird dieMeldung ein Mal angezeigt, nachdem OfficeScan die Durchsuchung aller Suchzieleabgeschlossen hat.

Benutzer bei Viren-/Malware- oder Spyware-/Grayware-Fundbenachrichtigen

Prozedur



3. Klicken Sie auf Einstellungen > Sucheinstellungen > Einstellungen derEchtzeitsuche oder Einstellungen > Sucheinstellungen > Einstellungen fürzeitgesteuerte Suche.


7-89

4. Klicken Sie auf die Registerkarte "Aktion".


• Bei Viren-/Malware-Fund eine Benachrichtigung auf dem Clientanzeigen

• Bei vermutlichem Viren-/Malware-Fund eine Benachrichtigung aufdem Client-Computer anzeigen




Viren/Malware-Benachrichtigungen konfigurieren

Prozedur

1. Navigieren Sie zu Benachrichtigungen > Benutzerbenachrichtigungen.

2. Klicken Sie auf die Registerkarte Viren/Malware.

3. Konfigurieren Sie die Einstellungen zur Erkennung.

a. Wählen Sie, ob Sie eine Benachrichtigung für alle Ereignisse, die von Viren/Malware stammen, oder je nach Schweregrad getrennte Benachrichtigungenanzeigen möchten:

• Hoch: Der OfficeScan Client konnte kritische Malware nicht beseitigen.

• Mittel: Der OfficeScan Client konnte Malware nicht beseitigen.


7-90

• Niedrig: Der OfficeScan konnte alle Bedrohungen beseitigen.

b. Übernehmen Sie die Standardmeldungen, oder ändern Sie sie.

4. Benachrichtigung anzeigen, wenn sich ein Virus oder eine Malware vom Computereines Clients ausgehend ausbreitet:

a. Aktivieren Sie das Kontrollkästchen unter Infektionsquelle des Virus/derMalware.

b. Geben Sie ein Intervall für das Versenden von Benachrichtigungen an.

c. Optional können Sie die Standardbenachrichtigung bearbeiten.

Hinweis

Diese Benachrichtigung wird nur angezeigt, wenn Sie den Windows MessengerDienst aktiviert haben. Sie können den Status dieses Dienstes im Fenster"Dienste" (Systemsteuerung > Administrator-Tools > Dienste >Messenger) überprüfen.


Spyware-/Grayware-Benachrichtigungen konfigurieren

Prozedur


2. Klicken Sie auf die Registerkarte Spyware/Grayware.

3. Übernehmen Sie die Standardmeldung oder ändern Sie sie.



7-91

Clients benachrichtigen, wenn der Computer zumSäubern infizierter Dateien neu gestartet werden muss

Prozedur




4. Navigieren Sie auf der Registerkarte Andere Einstellungen zum BereichAufforderung zum Neustart.

5. Wählen Sie Eine Benachrichtigung anzeigen, wenn der Client-Computerzum Säubern infizierter Dateien neu gestartet werden muss.




Sicherheitsrisiko-ProtokolleWenn OfficeScan Viren/Malware oder Spyware/Grayware findet oder Spyware/Grayware wiederherstellt, werden Protokolle erstellt.

Damit die Protokolldateien nicht zu viel Platz auf der Festplatte einnehmen, löschen Siedie Protokolle manuell, oder konfigurieren Sie eine zeitgesteuerte Löschung der


7-92

Protokolle. Weitere Informationen zur Protokollverwaltung finden Sie unterProtokollmanagement auf Seite 13-37.

Viren-/Malware-Protokolle anzeigenDer OfficeScan Client erstellt Protokolle, wenn er Viren oder Malware entdeckt undsendet die Protokolle an den Server.

Prozedur





3. Klicken Sie auf Protokolle > Viren-/Malware-Protokolle oder Protokolleanzeigen > Viren-/Malware-Protokolle.


5. Sehen Sie die Protokolle ein. Die Protokolle enthalten die folgendenInformationen:

• Datum und Uhrzeit des Viren-/Malware-Funds

• Infizierter Computer

• Viren-/Malware-Name

• Infizierte Quelle

• Infizierte Datei

• Suchtyp, der Viren/Malware entdeckt hat

• Suchergebnis


7-93

Hinweis

Weitere Informationen zu Suchergebnissen finden Sie unter Viren-/Malware-Suchergebnisse auf Seite 7-93.

• IP-Adresse

• MAC-Adresse

• Protokolldetails (Klicken Sie auf Anzeigen, um die Details anzuzeigen.)


Diese CSV-Datei enthält die folgenden Informationen:

• Alle Informationen in den Protokollen

• Name des Benutzers, der zum Zeitpunkt des Fundes am Computerangemeldet ist

Viren-/Malware-Suchergebnisse

Die folgenden Suchergebnisse werden in den Viren-/Malware-Protokollen angezeigt:

• Gelöscht

• Die erste Aktion ist "Löschen", und die infizierte Datei wurde gelöscht.

• Die erste Aktion ist "Säubern", aber die Säuberung ist fehlgeschlagen. Diezweite Aktion ist "Löschen", und die infizierte Datei wurde gelöscht.

• In Quarantäne verschoben

• Die erste Aktion ist "Quarantäne", und die infizierte Datei wurde inQuarantäne verschoben.

• Die erste Aktion ist "Säubern", aber die Säuberung ist fehlgeschlagen. Diezweite Aktion ist "Quarantäne", und die infizierte Datei wurde in Quarantäneverschoben.


7-94

• Gesäubert

Eine infizierte Datei wurde gesäubert.

• Umbenannt

• Die erste Aktion ist "Umbenennen", und die infizierte Datei wurdeumbenannt.

• Die erste Aktion ist "Säubern", aber die Säuberung ist fehlgeschlagen. Diezweite Aktion ist "Umbenennen", und die infizierte Datei wurde umbenannt.

• Zugriff verweigert

• Die erste Aktion ist "Zugriff verweigern", und der Zugriff auf die infizierteDatei wurde verweigert, als der Benutzer versucht hat, die Datei zu öffnen.

• Die erste Aktion ist "Säubern", aber die Säuberung ist fehlgeschlagen. Diezweite Aktion ist "Zugriff verweigern", und der Zugriff auf die infizierte Dateiwurde verweigert, als der Benutzer versucht hat, die Datei zu öffnen.

• "Wahrscheinlich Virus oder Malware" wurde während der Echtzeitsucheerkannt.

• Die Echtzeitsuche verweigert den Zugriff auf Dateien, die mit einemBootvirus infiziert sind, selbst wenn die Suchaktion "Säubern" (erste Aktion)und "Quarantäne" (zweite Aktion) ist. Der Grund ist, dass bei der Säuberungder MBR (Master Boot Record) des infizierten Computers beschädigt werdenkönnte. Führen Sie eine manuelle Suche aus, damit OfficeScan die Dateisäubern oder in Quarantäne verschieben kann.

• Übergangen

• Die erste Aktion ist "Übergehen". OfficeScan hat keine Aktion für dieinfizierte Datei durchgeführt.

• Die erste Aktion ist "Säubern", aber die Säuberung ist fehlgeschlagen. Diezweite Aktion ist Übergehen, daher hat OfficeScan keine Aktion für dieinfizierte Datei durchgeführt.

• Mögliches Sicherheitsrisiko übergangen

Dieses Suchergebnis wird nur angezeigt, wenn OfficeScan während der manuellenSuche, der zeitgesteuerten Suche und der Funktion "Jetzt durchsuchen" eine


7-95

eventuelle Viren-/Malware-Infektion erkennt. Weitere Informationen übermögliche Viren/Malware und wie Sie verdächtige Dateien zur Analyse an TrendMicro senden können, finden Sie auf der folgenden Seite der Trend Micro OnlineViren-Enzyklopädie:

http://www.trendmicro.com/vinfo/de/virusencyclo/default5.asp?VName=POSSIBLE_VIRUS&VSect=Sn

• Datei konnte nicht gesäubert oder in Quarantäne verschoben werden.

Die erste Aktion ist "Säubern". Die zweite Aktion ist "Quarantäne", und beideAktionen sind fehlgeschlagen.

Lösung: Siehe Datei konnte nicht in Quarantäne verschoben/umbenannt werden auf Seite7-95.

• Diese Datei konnte weder gesäubert noch gelöscht werden

Die erste Aktion ist "Säubern". Die zweite Aktion ist "Löschen", und beideAktionen sind fehlgeschlagen.

Lösung: Siehe Datei konnte nicht gelöscht werden auf Seite 7-96.

• Datei konnte nicht gesäubert oder umbenannt werden.

Die erste Aktion ist "Säubern". Die zweite Aktion ist "Umbenennen", und beideAktionen sind fehlgeschlagen.

Lösung: Siehe Datei konnte nicht in Quarantäne verschoben/umbenannt werden auf Seite7-95.

• Datei konnte nicht in Quarantäne verschoben/umbenannt werden

Erklärung 1

Die infizierte Datei wird möglicherweise von einer anderen Anwendung gesperrt,gerade ausgeführt oder befindet sich auf einer CD. OfficeScan verschiebt die Dateiin Quarantäne oder benennt sie um, nachdem sie wieder verfügbar ist oderausgeführt wurde.

Lösung

Bei infizierten Dateien auf einer CD sollten Sie die CD nicht verwenden, da derVirus andere Computer im Netzwerk infizieren könnte.




7-96

Erklärung 2

Die infizierte Datei befindet sich im Ordner "Temporary Internet Files" auf demClient-Computer. Da der Computer die Dateien während des Surfens im Internetherunterlädt, hat der Webbrowser die infizierte Datei möglicherweise gesperrt.Sobald er die Datei freigibt, verschiebt OfficeScan sie in Quarantäne oder benenntsie um.

Lösung: Keine

• Datei konnte nicht gelöscht werden

Erklärung 1

Die infizierte Datei befindet sich möglicherweise in einer komprimierten Datei,und die Einstellung Infizierte Dateien in komprimierten Dateien säubern/löschen unter Netzwerkcomputer > Allgemeine Client-Einstellungen istdeaktiviert.

Lösung

Aktivieren Sie die Option Infizierte Dateien in komprimierten Dateiensäubern/löschen. Bei Aktivierung dekomprimiert OfficeScan eine komprimierteDatei, säubert oder löscht infizierte Dateien innerhalb der komprimierten Dateiund komprimiert die Datei anschließend neu.

Hinweis

Die Aktivierung dieser Einstellung kann zu einer erhöhten Nutzung derComputerressourcen während der Suche führen und die Suchdauer verlängern.

Erklärung 2

Die infizierte Datei wird möglicherweise von einer anderen Anwendung gesperrt,gerade ausgeführt oder befindet sich auf einer CD. OfficeScan löscht die Datei,nachdem sie wieder verfügbar ist oder ausgeführt wurde.

Lösung

Bei infizierten Dateien auf einer CD sollten Sie die CD nicht verwenden, da derVirus andere Computer im Netzwerk infizieren könnte.


7-97

Erklärung 3

Die infizierte Datei befindet sich im Ordner "Temporary Internet Files" auf demOfficeScan Client-Computer. Da der Computer die Dateien während des Surfensim Internet herunterlädt, hat der Webbrowser die infizierte Datei möglicherweisegesperrt. Sobald er die Datei freigibt, löscht OfficeScan sie.

Lösung: Keine

• Die Datei konnte nicht in den vorgesehenen Quarantäne-Ordnerverschoben werden.

Obwohl OfficeScan die Datei in den Ordner \Suspect auf dem OfficeScanClient-Computer in Quarantäne verschoben hat, kann sie nicht an denangegebenen Quarantäne-Ordner gesendet werden.

Lösung

Überprüfen Sie, bei welchem Suchtyp (manuelle Suche, Echtzeitsuche,zeitgesteuerte Suche oder "Jetzt durchsuchen") der Virus/die Malware entdecktwurde, und den Quarantäne-Ordner, der auf der RegisterkarteNetzwerkcomputer > Client-Verwaltung > Einstellungen > {Suchtyp} >Aktion angegeben ist.

Der Quarantäne-Ordner befindet sich auf dem OfficeScan Server-Computer oderauf einem anderen OfficeScan Server-Computer:

1. Überprüfen Sie die Verbindung zwischen Client und Server.

2. Bei Quarantäne-Ordnern im URL-Format:

a. Vergewissern Sie sich, dass der nach "http://" angegebeneComputername korrekt ist.

b. Überprüfen Sie die Größe der infizierten Datei. Überschreitet sie dieunter Administration > Quarantäne-Manager festgelegte maximaleDateigröße, passen Sie die Einstellung entsprechend an, damit die Dateigespeichert werden kann. Alternativ können Sie andere Aktionen, wie z.B. Löschen, ausführen.

c. Überprüfen Sie, ob die Größe des Quarantäne-Ordners die unterAdministration > Quarantäne-Manager festgelegte Ordnergröße


7-98

überschreitet. Sie können die Größe anpassen oder die Dateien imQuarantäne-Ordner manuell löschen.

3. Wenn Sie einen UNC-Pfad verwenden, stellen Sie sicher, dass derQuarantäne-Ordner für die Gruppe "Alle" freigegeben ist und dass Sie dieserGruppe Lese- und Schreibberechtigungen zugewiesen haben. Stellen Sieaußerdem sicher, dass der Quarantäne-Ordner vorhanden und der UNC-Pfadkorrekt ist.

Der Quarantäne-Ordner befindet sich auf einem anderen Computer im Netzwerk(bei diesem Szenario können Sie den UNC-Pfad verwenden):

1. Überprüfen Sie die Verbindung zwischen dem OfficeScan Client und demComputer.

2. Stellen Sie sicher, dass der Quarantäne-Ordner für die Gruppe "Alle"freigegeben ist, und dass Sie dieser Gruppe Lese- und Schreibberechtigungenzugewiesen haben.

3. Überprüfen Sie, ob der Quarantäne-Order vorhanden ist.

4. Überprüfen Sie, ob der UNC-Pfad korrekt ist.

Wenn sich der Quarantäne-Ordner in einem anderen Ordner auf dem OfficeScanClient-Computer befindet (Sie können nur den absoluten Pfad für dieses Szenarioverwenden), überprüfen Sie, ob der Ordner für den Quarantäne-Ordner vorhandenist.

• Die Datei konnte nicht gesäubert werden

Erklärung 1

Die infizierte Datei befindet sich möglicherweise in einer komprimierten Datei,und die Einstellung "Infizierte Dateien in komprimierten Dateien säubern/löschen" unter Netzwerkcomputer > Allgemeine Client-Einstellungen istdeaktiviert.

Lösung

Aktivieren Sie die Option Infizierte Dateien in komprimierten Dateiensäubern/löschen. Bei Aktivierung dekomprimiert OfficeScan eine komprimierteDatei, säubert oder löscht infizierte Dateien innerhalb der komprimierten Dateiund komprimiert die Datei anschließend neu.


7-99

HinweisDie Aktivierung dieser Einstellung kann zu einer erhöhten Nutzung derComputerressourcen während der Suche führen und die Suchdauer verlängern.

Erklärung 2

Die infizierte Datei befindet sich im Ordner "Temporary Internet Files" auf demOfficeScan Client-Computer. Da der Computer die Dateien während des Surfensim Internet herunterlädt, hat der Webbrowser die infizierte Datei möglicherweisegesperrt. Sobald er die Datei freigibt, säubert OfficeScan sie.

Lösung: Keine

Erklärung 3

Unter Umständen ist es nicht möglich, die Datei zu säubern. WeitereInformationen finden Sie unter Nicht säuberbare Datei auf Seite E-17.

Spyware/Grayware-Protokolle anzeigenDer OfficeScan Client erstellt Protokolle, wenn er Spyware oder Grayware entdeckt undsendet die Protokolle an den Server.

Prozedur





3. Klicken Sie auf Protokolle > Spyware-/Grayware-Protokolle oder Protokolleanzeigen > Spyware-/Grayware-Protokolle.



7-100


• Datum und Uhrzeit des Spyware-/Grayware-Funds

• Betroffene Computer

• Spyware-/Grayware-Name

• Suchtyp, der Spyware/Grayware entdeckt hat

• Einzelheiten über die Spyware-/Grayware-Suchergebnisse (ob die Suchaktionerfolgreich durchgeführt werden konnte oder nicht) Weitere Informationenfinden Sie unter Spyware-/Grayware-Suchergebnis auf Seite 7-100.

• IP-Adresse

• MAC-Adresse

• Protokolldetails (Klicken Sie auf Anzeigen, um die Details anzuzeigen.)

6. Fügen Sie der Liste der zulässigen Spyware/Grayware die Spyware/Graywarehinzu, die Sie als harmlos erachten.


Diese CSV-Datei enthält die folgenden Informationen:

• Alle Informationen in den Protokollen

• Name des Benutzers, der zum Zeitpunkt des Fundes am Computerangemeldet ist

Spyware-/Grayware-Suchergebnis

Die folgenden Suchergebnisse werden in den Spyware-/Grayware-Protokollenangezeigt:

• Erfolgreich, keine Aktion erforderlich


7-101

Das ist das Suchergebnis auf erster Ebene, wenn die Suchaktion erfolgreich war.Das Suchergebnis auf zweiter Ebene kann wie folgt aussehen:

• Gesäubert: OfficeScan beendet Prozesse oder löscht Registrierungseinträge,Dateien, Cookies und Verknüpfungen.

• Zugriff verweigert: OfficeScan hat den Zugriff (Kopieren, Öffnen) auf dieentdeckten Spyware-/Grayware-Komponenten verweigert.

• Weitere Aktionen erforderlich

Das ist das Suchergebnis auf erster Ebene, wenn die Suchaktion erfolglos war. DieErgebnisse der zweiten Ebene enthalten mindestens eine der folgendenBenachrichtigungen:

• Übergangen: OfficeScan hat keine Aktion durchgeführt, aber den Spyware-/Grayware-Fund zur späteren Auswertung protokolliert.

Lösung: Fügen Sie der Liste der zulässigen Spyware/Grayware die Spyware/Grayware hinzu, die Sie als harmlos erachten.

• Die Spyware/Grayware richtet beim Säubern möglicherweise Schadenan: Diese Nachricht informiert Sie, ob die Spyware Scan Engine versucht,einen Ordner zu säubern, und ob die folgenden Kriterien erfüllt sind:

• Die zu säubernden Elemente sind größer als 250 MB.

• Die Dateien im Ordner werden vom Betriebssystem verwendet. DerOrdner ist möglicherweise für den normalen Systembetrieb erforderlich.

• Es handelt sich bei dem Ordner um ein Stammverzeichnis (wie z. B. C:oder F:)

Lösung: Wenden Sie sich an Ihren Support-Anbieter.

• Suche nach Spyware/Grayware wurde vorzeitig beendet. Führen Sieeine vollständige Suche durch: Ein Benutzer hat die Suche vor Abschlussbeendet.

Lösung: Führen Sie eine manuelle Suche aus, und warten Sie, bis die Sucheabgeschlossen ist.


7-102

• Spyware/Grayware gesäubert. Neustart erforderlich. Starten Sie denComputer neu: OfficeScan hat die Spyware-/Grayware-Komponentengesäubert. Um den Task abzuschließen, ist ein Neustart erforderlich.

Lösung: Starten Sie den Computer umgehend neu.

• Spyware/Grayware kann nicht entfernt werden: Spyware/Graywarewurde auf einer CD-ROM oder einem Netzlaufwerk erkannt. OfficeScankann an diesem Speicherort erkannte Spyware/Grayware nicht säubern.

Lösung: Entfernen Sie die infizierte Datei manuell.

• Unbekanntes Spyware-/Grayware-Suchergebnis. Wenden Sie sich anden technischen Support von Trend Micro: Eine neue Version derSpyware-Scan-Engine stellt ein neues Suchergebnis bereit, für dessen UmgangOfficeScan nicht konfiguriert wurde.

Lösung: Wenden Sie sich an Ihren Support-Anbieter, um weitereInformationen zu erhalten.

Spyware-/Grayware-Wiederherstellungsprotokolle anzeigen

Nach dem Säubern von Spyware/Grayware sichern die OfficeScan Clients dieSpyware-/Grayware-Daten. Benachrichtigen Sie einen Online-Client, die gesichertenDaten wiederherzustellen, wenn Sie die Daten als harmlos einstufen. In den Protokollenwerden Informationen darüber aufgeführt, welche Spyware-/Grayware-Sicherungsdatenwiederhergestellt wurden, welcher Computer betroffen und wie das Ergebnis derWiederherstellung war.

Prozedur

1. Navigieren Sie zu Protokolle > Netzwerkcomputer-Protokolle > Spyware-/Grayware-Komponenten wiederherstellen.

2. Überprüfen Sie in der Spalte Ergebnisse, ob die Spyware-/Grayware-Datenwiederhergestellt wurden.


7-103


Suchprotokolle

Wenn die manuelle Suche, die zeitgesteuerte Suche oder die Funktion Jetzt durchsuchenausgeführt wird, erstellt der OfficeScan Client ein Protokoll, das Informationen über dieSuche enthält. Über die OfficeScan Client-Konsole können Sie das Suchprotokollanzeigen. Clients senden das Suchprotokoll nicht an den Server.

Die Suchprotokolle enthalten die folgenden Informationen:

• Datum und Zeitpunkt, zu dem OfficeScan die Suche startet

• Datum und Zeitpunkt, zu dem OfficeScan die Suche beendet

• Suchstatus

• Abgeschlossen: Die Suche wurde ohne Probleme abgeschlossen.

• Beendet: Der Benutzer hat die Suche vor dem Abschluss beendet.

• Unerwartet beendet: Die Suche wurde vom Benutzer, dem System odereinem unerwarteten Ereignis unterbrochen. Beispiel: Der Benutzer hatmöglicherweise den Neustart des Clients erzwungen oder der OfficeScanEchtzeitsuchdienst wurde unerwarteterweise beendet.

• Suchtyp

• Anzahl der durchsuchten Objekte

• Anzahl der infizierten Dateien

• Anzahl der nicht erfolgreichen Aktionen

• Anzahl der erfolgreichen Aktionen

• Version der Viren-Pattern-Datei

• Version der Agent-Pattern-Datei der intelligenten Suche


7-104

• Version der Spyware-Pattern-Datei

Ausbrüche von SicherheitsrisikenEin Ausbruch wird angenommen, wenn die Anzahl der erkannten Viren-/Malware-,Spyware-/Grayware- oder Freigabeordner-Vorfälle über einen bestimmten Zeitraumeinen bestimmten Schwellenwert überschreitet. Es gibt mehrere Möglichkeiten, um aufAusbrüche im Netzwerk zu reagieren und sie einzudämmen. Dazu gehören folgendeMaßnahmen:

• OfficeScan ermöglichen, das Netzwerk hinsichtlich verdächtiger Aktivitäten zuüberwachen

• Kritische Ports und Ordner auf Client-Computern sperren

• Ausbruchswarnungen an Clients senden

• Infizierte Computer bereinigen

Ausbruchskriterien und Benachrichtigungen beiSicherheitsrisiko

Konfigurieren Sie OfficeScan so, dass Sie oder andere OfficeScan Administratoren eineBenachrichtigung erhalten, wenn folgende Ereignisse auftreten:

• Viren-/Malware-Ausbruch

• Spyware-/Grayware-Ausbruch

• Ausbruch von Firewall-Verstößen

• Ausbruch bei Freigabesitzung

Ein Ausbruch wird durch die Anzahl der Vorfälle in einem bestimmten Zeitraumdefiniert. Ein Ausbruch wird angezeigt, wenn die Anzahl der Funde während desfestgelegten Zeitraums die festgelegte Anzahl überschreitet.

OfficeScan verfügt über zahlreiche Standardbenachrichtigungen, die Sie und andereOfficeScan Administratoren über Ausbrüche informieren. Sie können diese


7-105

Benachrichtigungen ändern und zusätzliche Benachrichtigungseinstellungenkonfigurieren, die Ihren Anforderungen entsprechen.

Hinweis

OfficeScan kann Benachrichtigungen über Sicherheitsrisiko-Ausbrüche per E-Mail, Pager,SNMP trap und Windows NT Ereignisprotokolle senden. Bei Ausbrüchen beiFreigabesitzungen sendet OfficeScan Benachrichtigungen per E-Mail. Konfigurieren Sie dieEinstellungen, wenn OfficeScan über diese Kanäle Benachrichtigungen versendet. WeitereInformationen finden Sie unter Einstellungen für die Administratorbenachrichtigungen auf Seite13-33.

Ausbruchskriterien und Benachrichtigungen fürSicherheitsrisiken konfigurieren

Prozedur

1. Navigieren Sie zu Benachrichtigungen > Administrator - Benachrichtigungen> Ausbruchsbenachrichtigungen.


a. Gehen Sie zum Abschnitt Viren/Malware oder Spyware/Grayware:

b. Geben Sie die Anzahl der eindeutigen Quellen der Vorfälle an.

c. Geben Sie für jedes Sicherheitsrisiko die Anzahl der Vorfälle und denEntdeckungszeitraum an.

Tipp

Trend Micro empfiehlt, die Standardeinstellungen in diesem Fenster zu übernehmen.

OfficeScan sendet eine Benachrichtigung, wenn die Anzahl der Vorfälleüberschritten wird. Legen Sie beispielsweise im Abschnitt Viren/Malware 10eindeutige Quellen, 100 Vorfälle und einen Zeitraum von 5 Stunden fest, sendetOfficeScan die Benachrichtigung, wenn 10 verschiedene Clients 101Sicherheitsrisiken in einem Zeitraum von 5 Stunden melden. Werden alle Vorfälle


7-106

über einen Zeitraum von 5 Stunden an nur einem Client entdeckt, sendetOfficeScan keine Benachrichtigung.


a. Gehen Sie zum Abschnitt Freigabesitzungen.

b. Wählen Sie Freigabesitzungen im Netzwerk überwachen aus.

c. Klicken Sie unter Freigabesitzungen aufgezeichnet auf den Link mit derAnzahl, um die Computer mit Freigabeordnern und die Computer, die aufFreigabeordner zugreifen, anzuzeigen.

d. Geben Sie die Anzahl der Freigabesitzungen und den Entdeckungszeitrauman.

OfficeScan sendet eine Benachrichtigung, wenn die Anzahl der Freigabesitzungenüberschritten wird.


a. Gehen Sie zu den Abschnitten Viren-/Malware-Ausbrüche, Spyware-/Grayware-Ausbrüche oder Ausbrüche von Freigabesitzungen.


c. Bestimmen Sie die Empfänger der E-Mail.

d. Übernehmen oder ändern Sie die Standardbetreffzeile und -nachricht. Siekönnen Token-Variablen als Platzhalter für Daten in den Feldern Betreff undNachricht verwenden.

TABELLE 7-20. Token-Variablen für Benachrichtigungen bei einemAusbruch von Sicherheitsrisiken


Viren-/Malware-Ausbrüche

%CV Anzahl entdeckter Viren/Malware (gesamt)

%CC Anzahl aller Computer mit Viren/Malware (gesamt)

Spyware-/Grayware-Ausbrüche


7-107


%CV Anzahl entdeckter Spyware/Grayware (gesamt)

%CC Anzahl aller Computer mit Spyware/Grayware (gesamt)

Ausbrüche bei Freigabesitzungen

%S Anzahl der Freigabesitzungen

%T Zeitraum, in dem Freigabesitzungen auftraten

%M Zeitraum in Minuten

e. Wählen Sie weitere Viren-/Malware- und Spyware-/Grayware-Informationen,die in der E-Mail enthalten sein sollen. Sie können den Namen desClients/der Domäne, den Namen der Sicherheitsrisiken, Datum und Uhrzeitder Erkennung, Pfad und infizierte Datei und das Suchergebnis einfügen.

f. Den Standardtext der Benachrichtigungen akzeptieren oder ändern.


a. Gehen Sie zu den Abschnitten Viren-/Malware-Ausbrüche oderSpyware-/Grayware-Ausbrüche.

b. Wählen Sie Benachrichtigung über Pager aktivieren.





c. Übernehmen Sie die Standardmeldung oder ändern Sie sie. Sie können Token-Variablen als Platzhalter für Daten im Feld Nachricht verwenden. WeitereInformationen finden Sie unter Tabelle 7-20: Token-Variablen fürBenachrichtigungen bei einem Ausbruch von Sicherheitsrisiken auf Seite 7-106.



7-108



c. Übernehmen Sie die Standardmeldung oder ändern Sie sie. Sie können Token-Variablen als Platzhalter für Daten im Feld Nachricht verwenden. WeitereInformationen finden Sie unter Tabelle 7-20: Token-Variablen fürBenachrichtigungen bei einem Ausbruch von Sicherheitsrisiken auf Seite 7-106.


Ausbruchsprävention bei Sicherheitsrisiken konfigurieren

Setzen Sie bei einem Ausbruch die Maßnahmen zur Ausbruchsprävention ein, um aufden Ausbruch zu reagieren und ihn einzudämmen. Konfigurieren Sie diePräventionseinstellungen, weil eine falsche Konfiguration unvorhergeseheneNetzwerkprobleme mit sich bringt.

Prozedur

1. Navigieren Sie zu Netzwerkcomputer > Ausbruchsprävention.


3. Klicken Sie auf Ausbruchsprävention starten.

4. Klicken Sie auf eine der folgenden Richtlinien für die Ausbruchsprävention undkonfigurieren Sie dann die Einstellungen für die Richtlinie:

• Zugriff auf Freigabeordner einschränken/verweigern auf Seite 7-110

• Gefährdete Ports sperren auf Seite 7-111

• Schreibzugriff auf Dateien und Ordner verweigern auf Seite 7-112

5. Wählen Sie aus, welche Richtlinien durchgesetzt werden sollen.


7-109

6. Legen Sie fest, wie viele Stunden die Ausbruchsprävention aktiviert bleiben soll.Der Standardwert ist 48 Stunden. Sie können die Netzwerkeinstellungen vor demAblauf der Ausbruchsprävention manuell wiederherstellen.

Warnung!Sie sollten keine zeitlich unbegrenzte Ausbruchsprävention zulassen. Wenn Sie denZugriff auf bestimmte Dateien, Ordner oder Ports für unbegrenzte Zeit sperrenmöchten, ändern Sie stattdessen die entsprechenden Computer- undNetzwerkeinstellungen direkt.

7. Akzeptieren oder ändern Sie den Standardtext der Client-Benachrichtigungen.

HinweisUm OfficeScan so zu konfigurieren, dass Sie bei einem Ausbruch benachrichtigtwerden, navigieren Sie zu Benachrichtigungen >Administratorbenachrichtigungen > Ausbruchsbenachrichtigungen.

8. Klicken Sie auf Benachrichtigung starten.

Die von Ihnen ausgewählten Maßnahmen zur Ausbruchsprävention werden ineinem neuen Fenster angezeigt.

9. Wenn Sie sich wieder in der Client-Hierarchie befinden, überprüfen Sie den Inhaltder Spalte Ausbruchsprävention.

Ein Häkchen wird auf Computern angezeigt, die Maßnahmen zurAusbruchsprävention anwenden.

OfficeScan zeichnet die folgenden Ereignisse in den Systemereignisprotokollen auf:

• Serverereignisse (die die Ausbruchsprävention einleiten und Clients auffordern, dieAusbruchsprävention einzuleiten)

• OfficeScan Client-Ereignis (das die Ausbruchsprävention aktiviert)

AusbruchpräventionsrichtlinienSetzen Sie bei einem Ausbruch die folgenden Richtlinien durch:


7-110

• Zugriff auf Freigabeordner einschränken/verweigern auf Seite 7-110

• Gefährdete Ports sperren auf Seite 7-111

• Schreibzugriff auf Dateien und Ordner verweigern auf Seite 7-112

Zugriff auf Freigabeordner einschränken/verweigern

Bei einem Ausbruch können Sie den Zugriff auf Freigabeordner im Netzwerkeinschränken oder verweigern, um die Ausbreitung von Sicherheitsrisiken über dieFreigabeordner zu verhindern.

Wenn diese Richtlinie wirksam wird, können Benutzer weiterhin Ordner freigeben, aberdie Richtlinie wird nicht auf die zuletzt freigegebenen Ordner angewendet. Aus diesemGrund sollten Sie die Benutzer darüber informieren, Ordner nicht während einesAusbruchs freizugeben, oder verteilen Sie die Richtlinie erneut, damit sie auf die zuletztfreigegebenen Ordner angewendet wird.

Prozedur




4. Klicken Sie auf Zugriff auf Freigabeordner einschränken/verweigern.


• Nur Lesezugriff: Schränkt den Zugriff auf Freigabeordner ein

• Vollständigen Zugriff verweigern

HinweisDie Konfiguration "Nur Lesezugriff" gilt nicht für Freigabeordner, die bereitsüber vollständigen Zugriff verfügen.



7-111

Das Fenster "Ausbruchsprävention – Einstellungen" wird wieder angezeigt.



Gefährdete Ports sperren

Bei einem Ausbruch können Sie bedrohte Ports sperren, die Viren und Malware für denZugriff auf OfficeScan Client-Computer verwenden können.

Warnung!Gehen Sie bei der Konfiguration der Einstellungen für die Ausbruchsprävention sorgfältigvor. Wenn Sie aktive Ports sperren, stehen Netzwerkdienste, die auf diese Ports zugreifen,nicht mehr zur Verfügung. Wenn Sie beispielsweise den vertrauenswürdigen Port sperren,kann OfficeScan während der Dauer des Ausbruchs nicht mit dem Client kommunizieren.

Prozedur




4. Klicken Sie auf Ports sperren.

5. Wählen Sie aus, ob Sie den vertrauenswürdigen Port sperren möchten.

6. Wählen Sie die Ports, die Sie sperren möchten, in der Spalte Gesperrte Ports aus.

a. Enthält die Tabelle keine Ports, klicken Sie auf Hinzufügen. Wählen Sie imdaraufhin angezeigten Fenster die Ports aus, die Sie sperren möchten, undklicken Sie auf Speichern.

• Alle Ports (inkl. ICMP): Sperrt alle Ports außer demvertrauenswürdigen Port. Wenn auch der vertrauenswürdige Port


7-112

gesperrt werden soll, aktivieren Sie das Kontrollkästchen"Vertrauenswürdigen Port sperren" im vorherigen Fenster.

• Häufig verwendete Ports: Wählen Sie wenigstens eine Portnummer fürOfficeScan, um die Einstellungen zum Sperren von Ports zu speichern.

• Trojaner-Ports: Sperrt Ports, die häufig von Trojanern verwendetwerden. Weitere Informationen finden Sie unter Trojaner-Port auf SeiteE-14.

• Eine Portnummer oder ein Portbereich: Alternativ können Sie dieRichtung des zu sperrenden Datenverkehrs zusammen mitKommentaren angeben, wie z. B. dem Grund für das Sperren derangegebenen Ports.

• Ping-Protokoll (ICMP ablehnen): Sperrt ausschließlich ICMP-Pakete,wie z. B. Ping-Anfragen.

b. Klicken Sie auf die Portnummer, um die Einstellungen der/des gesperrtenPorts zu bearbeiten.

c. Bearbeiten Sie im daraufhin angezeigten Fenster die Einstellungen, undklicken Sie auf Speichern.

d. Aktivieren Sie das Kontrollkästchen neben der Portnummer, und klicken Siedann auf Löschen, um einen Port aus der Liste zu entfernen.





Schreibzugriff auf Dateien und Ordner verweigern

Viren und Malware können Dateien und Ordner auf dem Host-Computer ändern oderlöschen. Mit OfficeScan können Sie während eines Ausbruchs verhindern, dass Viren


7-113

oder Malware Dateien und Ordner auf OfficeScan Client-Computern verändern oderlöschen.

Prozedur




4. Klicken Sie auf Schreibzugriff auf Dateien und Ordner verweigern.

5. Geben Sie den Verzeichnispfad ein. Wenn Sie den Verzeichnispfad eingegebenhaben, der geschützt werden soll, klicken Sie auf Hinzufügen.

Hinweis

Geben Sie den absoluten und nicht den virtuellen Verzeichnispfad ein.

6. Geben Sie die zu schützenden Dateien in den geschützten Verzeichnissen an. Dazukönnen Sie alle Dateien oder nur Dateien mit bestimmten Erweiterungenauswählen. Um eine Erweiterung anzugeben, die nicht in der Liste enthalten ist,geben Sie diese in das Textfeld ein, und klicken Sie auf Hinzufügen.

7. Um bestimmte Dateien zu schützen, geben Sie unter Diese Dateien schützen dievollständigen Dateinamen an, und klicken Sie auf Hinzufügen.






7-114

Ausbruchsprävention deaktivieren

Wenn Sie sicher sind, dass ein Ausbruch eingedämmt werden konnte und alle infiziertenDateien gesäubert oder in Quarantäne verschoben wurden, können Sie dieNetzwerkeinstellungen wieder auf "Normal" zurücksetzen, indem Sie dieAusbruchsprävention deaktivieren.

Prozedur



3. Klicken Sie auf Einstellungen wiederherstellen.

4. Um die Benutzer über das Ende des Ausbruchs zu informieren, wählen SieBenutzer nach dem Wiederherstellen der ursprünglichen Einstellungenbenachrichtigen.

5. Akzeptieren oder ändern Sie den Standardtext der Client-Benachrichtigungen.

6. Klicken Sie auf Einstellungen wiederherstellen.

Hinweis

Wenn Sie die Netzwerkeinstellungen nicht manuell wiederherstellen, stellt OfficeScandiese Einstellungen automatisch nach Ablauf der unter Netzwerkeinstellungenautomatisch auf Standard zurücksetzen nach __ Stunde(n) im FensterAusbruchsprävention – Einstellungen festgelegten Anzahl von Stunden wiederher. Die Standardeinstellung beträgt 48 Stunden.

OfficeScan zeichnet die folgenden Ereignisse in den Systemereignisprotokollen auf:

• Serverereignisse (die die Ausbruchsprävention einleiten und OfficeScanClients auffordern, die Ausbruchsprävention einzuleiten)

• OfficeScan Client-Ereignis (das die Ausbruchsprävention aktiviert)


7-115

7. Durchsuchen Sie nach dem Deaktivieren der Ausbruchsprävention IhreNetzwerkcomputer nach Sicherheitsrisiken, um sicherzustellen, dass der Ausbrucheingedämmt wurde.

8-1

Kapitel 8

Verhaltensüberwachung verwendenIn diesem Kapitel wird erläutert, wie Sie Computer mit der Funktion"Verhaltensüberwachung" vor Sicherheitsrisiken schützen.


• Verhaltensüberwachung auf Seite 8-2

• Verhaltensüberwachungsberechtigungen auf Seite 8-11

• Benachrichtigungen der Verhaltensüberwachung für OfficeScan Client-Benutzer auf Seite 8-13

• Verhaltensüberwachungsprotokolle auf Seite 8-14


8-2

VerhaltensüberwachungDie Verhaltensüberwachung überprüft regelmäßig Endpunkte auf ungewöhnlicheÄnderungen im Betriebssystem oder in installierter Software. DieVerhaltensüberwachung schützt Endpunkte durch Sperrung bei Malware-Verhaltenund Ereignisüberwachung. Diese zwei Funktionen werden durch einebenutzerdefinierte Ausschlussliste und den Certified Safe Software Service ergänzt.

Wichtig

Die Verhaltensüberwachung unterstützt weder Windows XP noch Windows 2003 64-Bit-Plattformen.

Die Verhaltensüberwachung unterstützt Windows Vista 64-Bit-Plattformen mit SP1oder höher.

Die Verhaltensüberwachung ist auf allen Versionen von Windows Server 2003,Windows Server 2008 und Windows Server 2012 standardmäßig deaktiviert. Vor derAktivierung der Verhaltensüberwachung auf diesen Serverplattformen lesen Sie dieRichtlinien und bewährten Methoden, die beschrieben werden unter OfficeScan Client-Dienste auf Seite 14-7.

Sperrung bei Malware-Verhalten

Die Sperrung bei Malware-Verhalten bietet eine für zusätzlichen Schutz vorBedrohungen durch Programme, die ein bösartiges Verhalten zeigen, erforderlicheSchicht. Sie beobachtet über einen gewissen Zeitraum Systemereignisse. WährendProgramme verschiedene Kombinationen oder Folgen von Aktionen ausführen, erkenntdie Sperrung bei Malware-Verhalten bekanntes bösartiges Verhalten und sperrt dieentsprechenden Programme. Verwenden Sie diese Funktion für einen besseren Schutzvor neuen, unbekannten und aufkommenden Bedrohungen.

Wenn ein Programm gesperrt wird und Benachrichtigungen aktiviert sind, zeigtOfficeScan auf dem OfficeScan Client-Computer eine Benachrichtigung an. WeitereInformationen zu Benachrichtigungen finden Sie unter Benachrichtigungen derVerhaltensüberwachung für OfficeScan Client-Benutzer auf Seite 8-13.

Verhaltensüberwachung verwenden

8-3

EreignisüberwachungDie Ereignisüberwachung bietet einen generischeren Ansatz zum Schutz vor nichtautorisierter Software und Malware-Angriffen. Sie überwacht Systembereiche aufbestimmte Ereignisse. Dies gibt Administratoren die Möglichkeit, Programme zuregulieren, die derartige Ereignisse auslösen. Verwenden Sie die Systemüberwachung,wenn Sie über den durch Sperrung bei Malware-Verhalten gebotenen Schutz hinausspezielle Schutzanforderungen für das System benötigen.

Die folgende Tabelle enthält eine Liste der überwachten Systemereignisse.

TABELLE 8-1. Überwachte Systemereignisse

EREIGNISSE BESCHREIBUNG

Duplikat-Systemdateien

Zahlreiche bösartige Programme erstellen Kopien von sich selbstoder anderen bösartigen Programmen unter Verwendung vonDateinamen, die von Windows Systemdateien verwendet werden.Das geschieht in der Regel, um Systemdateien zu überschreibenoder zu ersetzen und eine Erkennung zu verhindern oderBenutzer davon abzuhalten, die bösartigen Dateien zu löschen.

Änderung derHosts-Datei

Die Hosts-Datei ordnet Domänennamen den IP-Adressen zu.Zahlreiche bösartige Programme verändern die Hosts-Datei so,dass der Webbrowser zu infizierten, nicht existierenden oderfalschen Websites umgeleitet wird.

VerdächtigesVerhalten

Verdächtiges Verhalten kann sich in einer bestimmten Aktion odereiner Reihe von Aktionen zeigen, die normalerweise nicht vonrechtmäßigen Programmen durchgeführt werden. Programme, dieverdächtiges Verhalten aufweisen, sollten mit Vorsicht verwendetwerden.

Neues InternetExplorer Plug-in

Spyware-/Grayware-Programme installieren oft unerwünschtePlug-ins für den Internet Explorer, wie z. B. Symbolleisten undBrowser Helper Objects.

Einstellungsänderungen im InternetExplorer

Viele Viren-/Malware-Programme verändern die Einstellungen imInternet Explorer, einschließlich Startseite, vertrauenswürdigeWebsites, Proxy-Server-Einstellungen und Menü-Erweiterungen.


8-4


Änderungen derSicherheitsrichtlinien

Durch Änderungen der Sicherheitsrichtlinien könnenunerwünschte Anwendungen ausgeführt undSystemeinstellungen verändert werden.

Einbringen einerProgrammbibliothek

Zahlreiche bösartige Programme konfigurieren Windows so, dassalle Anwendungen automatisch eine Programmbibliothek (.DLL)laden. Dadurch können bösartige Routinen in der DLL bei jedemStart einer Anwendung ausgeführt werden.

Shell-Änderungen Zahlreiche bösartige Programme verändern die Windows Shell-Einstellungen und fügen sich selbst bestimmten Dateitypen hinzu.Durch diese Routine können bösartige Programme automatischgestartet werden, wenn Benutzer die verküpften Dateien imWindows Explorer öffnen. Durch Änderungen in den WindowsShell-Einstellungen können bösartige Programme außerdemverwendete Programme nachverfolgen und diese parallel zurechtmäßigen Programmen starten.

Neuer Dienst Windows-Dienste sind Prozesse, die spezielle Funktionen habenund in der Regel ständig mit Administratorberechtigungen imHintergrund ausgeführt werden. Bösartige Programme installierensich in manchen Fällen als versteckte Dienste selbst.

Änderung vonSystemdateien

Einige Windows Systemdateien legen das Systemverhalteneinschließlich der Startprogramme und derBildschirmschonereinstellungen fest. Zahlreiche bösartigeProgramme verändern Systemdateien so, dass sie beim Startautomatisch ausgeführt werden und das Systemverhaltenkontrollieren.

Änderungen derFirewall-Richtlinien

Die Windows Firewall-Richtlinie legt die Anwendungen fest, dieZugriff zum Netzwerk haben, die Ports, die für die Kommunikationoffen sind und die IP-Adressen, die mit dem Computerkommunizieren können. Zahlreiche bösartige Programmeverändern die Richtlinie und ermöglichen sich dadurch selbst denZugriff auf das Netzwerk und das Internet.

Änderungen anSystemprozessen

Viele bösartige Programme führen verschiedene Aktionen anintegrierten Windows Prozessen durch. So beenden oder ändernsie beispielsweise aktive Prozesse.


8-5


NeuesStartprogramm

Zahlreiche bösartige Programme konfigurieren Windows so, dassalle Anwendungen automatisch eine Programmbibliothek (.DLL)laden. Dadurch können bösartige Routinen in der DLL bei jedemStart einer Anwendung ausgeführt werden.

Wenn von der Ereignisüberwachung ein überwachtes Systemereignis erkannt wird, wirddie für dieses Ereignis konfigurierte Aktion ausgeführt.

Die folgende Tabelle enthält eine Liste der möglichen Aktionen, die Administratoren beiüberwachten Systemereignissen ergreifen können.

TABELLE 8-2. Aktionen bei überwachten Systemereignissen

AKTION BESCHREIBUNG

Bewerten OfficeScan lässt mit einem Ereignis verbundene Programmeimmer zu, zeichnet diese Aktion aber in den Protokollen zurBewertung auf.

Dies ist die Standardaktion für alle überwachten Systemereignisse.

HinweisDiese Option wird nicht für DLL-Injektionen auf 64-Bit-Systemen unterstützt.

Zulassen OfficeScan lässt mit einem Ereignis verbundene Programmeimmer zu.


8-6

AKTION BESCHREIBUNG

Bei Bedarfnachfragen

OfficeScan fordert Benutzer auf, mit einem Ereignis verbundeneProgramme zuzulassen oder abzulehnen, und die Programme derAusschlussliste hinzuzufügen.

Wenn der Benutzer nicht in einem bestimmten Zeitraum reagiert,lässt OfficeScan die Ausführung des Programms automatisch zu.Der Standardzeitraum beträgt 30 Sekunden. Informationen zurAnpassung des Zeitraums finden Sie unter Einstellungen derglobalen Verhaltensüberwachung konfigurieren auf Seite 8-8.

HinweisDiese Option wird nicht für DLL-Injektionen auf 64-Bit-Systemen unterstützt.

Verweigern OfficeScan sperrt alle mit einem Ereignis verbundenen Programmeund zeichnet diese Aktion in den Protokollen auf.

Wenn ein Programm gesperrt wird und Benachrichtigungenaktiviert sind, zeigt OfficeScan auf dem OfficeScan Client-Computer eine Benachrichtigung an. Weitere Informationen zuBenachrichtigungen finden Sie unter Benachrichtigungen derVerhaltensüberwachung für OfficeScan Client-Benutzer auf Seite8-13.

Ausschlussliste für Verhaltensüberwachung

Die Ausschlussliste für die Verhaltensüberwachung enthält Programme, die von derVerhaltensüberwachung nicht überprüft werden.

• Genehmigte Programme: Programme in dieser Liste können ausgeführt werden.Ein genehmigtes Programm wird von anderen OfficeScan Funktionen (wie derdateibasierten Suche) überprüft, bevor deren Ausführung zugelassen wird.

• Gesperrte Programme: Programme in dieser Liste können nie ausgeführt werden.Zum Konfigurieren dieser Liste muss die Ereignisüberwachung aktiviert sein.

Sie können die Ausschlussliste über die Webkonsole konfigurieren. Sie könnenBenutzern auch die Berechtigung zum Konfigurieren einer eigenen Ausnahmeliste über


8-7

die OfficeScan Client-Konsole gewähren. Weitere Informationen finden Sie unterVerhaltensüberwachungsberechtigungen auf Seite 8-11.

Sperrung bei Malware-Verhalten, Ereignisüberwachung undAusnahmeliste konfigurieren

Prozedur



3. Klicken Sie auf Einstellungen > Einstellungen der Verhaltensüberwachung.

4. Wählen Sie Sperrung bei Malware-Verhalten aktivieren.

5. Konfigurieren Sie die Einstellungen der Verhaltensüberwachung.

a. Wählen Sie Ereignisüberwachung aktivieren.

b. Wählen Sie die zu überwachenden Systemereignisse und wählen Sie eineAktion für die einzelnen ausgewählten Ereignisse. Weitere Informationen zuüberwachten Systemereignissen und Aktionen finden Sie unterEreignisüberwachung auf Seite 8-3.

6. Konfigurieren Sie die Ausschlussliste.

a. Geben Sie unter Vollständigen Programmpfad eingeben den vollständigenPfad des Programms ein, das zugelassen oder gesperrt werden soll. TrennenSie mehrere Einträge durch Strichpunkte (;) voneinander. Die Ausschlusslisteunterstützt Platzhalter und UNC-Pfade.

b. Klicken Sie auf "Programme zulassen" oder "Programme sperren".

c. Um ein gesperrtes oder ein zugelassenes Programm aus der Liste zuentfernen, klicken Sie auf das Papierkorbsymbol ( ) neben dementspechenden Programm.


8-8

HinweisIn OfficeScan sind maximal 100 zugelassene Programme und 100 gesperrteProgramme möglich.




Einstellungen der globalenVerhaltensüberwachung konfigurieren

OfficeScan wendet allgemeine Client-Einstellungen auf alle Clients oder nur auf Clientsmit bestimmten Berechtigungen an.

Prozedur


2. Navigieren Sie zum Abschnitt Einstellungen der Verhaltensüberwachung.

3. Konfigurieren Sie folgende Einstellungen bei Bedarf:


8-9


Programmautomatischzulassen, wennkeine Antwortvom Clientinnerhalb von __Sekunden

Diese Einstellung wird nur unterstützt, wenn dieEreignisüberwachung aktiviert ist und die Aktion für einüberwachtes Systemereignis "Bei Bedarf nachfragen" lautet.Diese Aktion fordert einen Benutzer auf, mit dem Ereignisseverbundene Programme zuzulassen oder abzulehnen. Wennder Benutzer nicht in einem bestimmten Zeitraum reagiert,lässt OfficeScan die Ausführung des Programms automatischzu. Weitere Informationen finden Sie unterEreignisüberwachung auf Seite 8-3.

Certified SafeSoftware Serviceaktivieren

Der Certified Safe Software Service fragt Trend MicroDatenzentren ab, um die Sicherheit eines von der Sperrungbei Malware-Verhalten oder Ereignisüberwachung erkanntenProgramms zu überprüfen. Aktivieren Sie den Certified SafeSoftware Service, um die Häufigkeit von Fehlalarmen zuverringern.

HinweisAchten Sie auf korrekte Proxy-Einstellungen fürOfficeScan Clients (weitere Informationen unter Proxy-Einstellungen für OfficeScan Client auf Seite 14-51),bevor Certified Safe Software Service aktiviert wird. Beifehlerhaften Proxy-Einstellungen sowie einer Internet-Verbindung, die nicht ständig besteht, kann es zuVerzögerungen kommen, oder Antworten von TrendMicro Datenzentren können nicht abgerufen werden,was zur Folge hat, dass überwachte Programme nichtzu antworten scheinen.

Des Weiteren können IPv6-Clients keine direktenAnfragen an Trend Micro Datenzentren richten. Dual-Stack-Proxy-Server wie DeleGate, die IP-Adressenkonvertieren können, müssen Verbindungen vonOfficeScan Clients zu Trend Micro Datenzentrenzulassen.


8-10


Benutzer fragen,bevor neuerkannteProgrammeausgeführtwerden, die überHTTP oder E-Mail-Anwendungen(Server-Plattformenausgenommen)heruntergeladenwurden

Zusammen mit den Web-Reputation-Diensten überprüft dieVerhaltensüberwachung die bisherige Verbreitung vonDateien, die über HTTP-Kanäle oder E-Mail-Anwendungenheruntergeladen werden. Sobald eine "neu entdeckte" Dateierkannt wird, können Administratoren eineSystemaufforderung an die Benutzer ausgeben, bevor sie dieDatei ausführen. Trend Micro stuft ein Programm auf derGrundlage der Anzahl der Dateierkennungen oder deshistorischen Alters der Datei wie durch das Smart ProtectionNetwork als neu gefunden ein.

Hinweis

• Damit diese Systemaufforderung angezeigtwerden kann, müssen Administratoren die Web-Reputation-Dienste im Client aktivieren undOfficeScan damit die Überwachung des HTTP-Datenverkehrs ermöglichen.

• Für Windows 7/Vista/XP Systeme unterstützt dieseEingabeaufforderung nur die Ports 80, 81 und8080.

• OfficeScan stimmt mit den Dateinamen überein,die während des Ausführungsvorgangs über E-Mail-Anwendungen heruntergeladen wurden.Wenn der Dateiname geändert wurde, erhält derBenutzer eine Eingabeaufforderung.



8-11

VerhaltensüberwachungsberechtigungenWenn Clients Verhaltensüberwachungsberechtigungen haben, wird die Registerkarte"Verhaltensüberwachung" auf der OfficeScan Client-Konsole angezeigt. Benutzerkönnen dann ihre eigene Ausschlussliste verwalten.

ABBILDUNG 8-1. Die Registerkarte "Verhaltensüberwachung" auf der OfficeScanClient-Konsole


8-12

Verhaltensüberwachungsberechtigungen gewähren

Prozedur




4. Navigieren Sie auf der Registerkarte Berechtigungen zum BereichVerhaltensüberwachungsberechtigungen.

5. Wählen Sie Registerkarte 'Verhaltensüberwachung' auf der Client-Konsoleanzeigen.





8-13

Benachrichtigungen derVerhaltensüberwachung für OfficeScan Client-Benutzer

OfficeScan kann auf einem OfficeScan Client-Computer sofort eine Benachrichtigunganzeigen, wenn die Verhaltensüberwachung ein Programm sperrt. Aktivieren Sie dieBenachrichtigung und ändern Sie bei Bedarf den Inhalt der Nachricht.

Senden von Benachrichtigungen aktivieren

Prozedur


2. Klicken Sie in der Client-Hierarchie auf das Stammsymbol ( ), um alle Clientseinzuschließen oder nur bestimmte Domänen oder Clients auszuwählen.


4. Öffnen Sie die Registerkarte Andere Einstellungen und gehen Sie zum AbschnittEinstellungen der Verhaltensüberwachung.

5. Wählen Sie Benachrichtigung anzeigen, wenn ein Programm gesperrt ist.





8-14


Inhalt der Benachrichtigung ändern

Prozedur


2. Klicken Sie auf die Registerkarte Verstoß gegen eine Verhaltensüberwachungs-Richtlinie.

3. Sie können die Standardmeldung im dafür vorgesehenen Textfeld bearbeiten.


VerhaltensüberwachungsprotokolleDie OfficeScan Clients protokollieren unbefugte Programmzugriffe und senden dieProtokolle an den Server. Standardmäßig fasst ein OfficeScan Client, der kontinuierlichläuft, die Protokolle zusammen und sendet sie in bestimmten Zeitabständen(standardmäßig alle 60 Minuten).


Verhaltensüberwachungsprotokolle anzeigen

Prozedur

1. Navigieren Sie zu Protokolle > Netzwerkcomputer-Protokolle >Sicherheitsrisiken oder Netzwerkcomputer > Client-Verwaltung.


8-15


3. Klicken Sie auf Protokolle > Verhaltensüberwachungsprotokolle oderProtokolle anzeigen > Verhaltensüberwachungsprotokolle.



• Datum/Uhrzeit, als der unbefugte Prozess erkannt wurde

• Der Computer, auf dem der unbefugte Prozess erkannt wurde

• Computerdomäne

• Verstoß, bei dem es sich um die Ereignisüberwachungsregel handelt, gegendie der Prozess verstoßen hat

• Aktion, die durchgeführt wurde, als der Verstoß erkannt wurde

• Ereignis, bei dem es sich um den Typ des Objekts handelt, auf das dasProgramm zugegriffen hat

• Die Risikostufe des unbefugten Programms

• Das unbefugte Programm

• Operation, bei der es sich um die Aktion handelt, die vom unbefugtenProgramm ausgeführt wurde

• Das Ziel, bei dem es sich um den Prozess handelt, auf den zugegriffen wurde



8-16

Zeitgesteuertes Senden desVerhaltensüberwachungsprotokolls konfigurieren

Prozedur

1. Öffnen Sie den Ordner <Installationsordner des Servers>\PCCSRV.


3. Suchen Sie nach der Zeichenfolge "SendBMLogPeriod", und überprüfen Sieanschließend den daneben stehenden Wert.

Der Standardwert beträgt 3600 Sekunden, und die Zeichenfolge erscheint alsSendBMLogPeriod=3600.

4. Legen Sie den Wert in Sekunden fest.

Um z. B. die Protokolldauer auf 2 Stunden zu ändern, ändern Sie den Wert auf7200.

5. Speichern Sie die Datei.


7. Klicken Sie auf Speichern, ohne eine Einstellung zu ändern.

8. Starten Sie den Client neu.

9-1

Kapitel 9

Die Gerätesteuerung verwendenIn diesem Kapitel wird erläutert, wie Sie Computer mit der Funktion "Gerätesteuerung"vor Sicherheitsrisiken schützen.


• Gerätesteuerung auf Seite 9-2

• Berechtigungen für Speichergeräte auf Seite 9-3

• Berechtigungen für Nicht-Speichergeräte auf Seite 9-10

• Gerätesteuerungsbenachrichtigungen ändern auf Seite 9-17

• Protokolle der Gerätesteuerung auf Seite 9-17


9-2

GerätesteuerungDie Gerätesteuerung reguliert den Zugriff auf externe Speichergeräte undNetzwerkressourcen, die an Computer angeschlossen sind. Die Gerätesteuerung trägtdazu bei, Datenverluste und Datenlecks zu verhindern und bietet, gemeinsam mit derVirensuche, Schutz vor Sicherheitsrisiken.

Sie können Gerätesteuerungsrichtlinien für interne und externe Clients konfigurieren. Inder Regel konfigurieren OfficeScan Administratoren eine strengere Richtlinie für externeClients.

Richtlinien sind detaillierte Einstellungen in der OfficeScan Client-Hierarchie. Siekönnen bestimmte Richtlinien für Client-Gruppen oder einzelne Clients erzwingen. Siekönnen auch eine einzelne Richtlinie für alle Clients erzwingen.

Nachdem Sie die Richtlinien verteilt haben, verwenden die Clients die Standortkriterien,die Sie im Fenster "Computerstandort" festgelegt haben (siehe Computerstandort auf Seite14-2), um deren Standort und die erforderliche Richtlinie zu bestimmen. Clientswechseln die Richtlinien mit jedem Standortwechsel.

Wichtig:

• Die Gerätesteuerung ist auf allen Versionen von Windows Server 2003, WindowsServer 2008 und Windows Server 2012 standardmäßig deaktiviert. Vor derAktivierung der Gerätesteuerung auf diesen Serverplattformen lesen Sie dieRichtlinien und bewährten Methoden, die beschrieben werden unter OfficeScanClient-Dienste auf Seite 14-7.

• Die Gerätearten, die OfficeScan überwachen kann, hängen davon ab, ob dieDatenschutzlizenz aktiviert ist. Der Datenschutz ist ein separat lizenziertes Modul,das vor seiner Verwendung aktiviert werden muss. Weitere Informationen über dieDatenschutzlizenz finden Sie unter Datenschutzlizenz auf Seite 3-4.

TABELLE 9-1. Gerätetypen

DATENSCHUTZ AKTIVIERTDATENSCHUTZ NICHT

AKTIVIERT

Speichereinheiten

Die Gerätesteuerung verwenden

9-3

DATENSCHUTZ AKTIVIERTDATENSCHUTZ NICHT

AKTIVIERT

CD/DVD Überwacht Überwacht

Disketten Überwacht Überwacht

Netzlaufwerke Überwacht Überwacht

USB-Speichergeräte Überwacht Überwacht

Nicht-Speichergeräte

Bluetooth-Adapter Überwacht Nicht überwacht

COM- und LPT-Anschlüsse

Überwacht Nicht überwacht

IEEE 1394-Schnittstelle Überwacht Nicht überwacht

Bildverarbeitungsgeräte Überwacht Nicht überwacht

Infrarotgeräte Überwacht Nicht überwacht

Modems Überwacht Nicht überwacht

PCMCIA-Karte Überwacht Nicht überwacht

Druck-Taste Überwacht Nicht überwacht

Wireless-NICs Überwacht Nicht überwacht

• Eine Liste aller unterstützten Gerätemodelle finden Sie in der Datenschutzliste unter:


Berechtigungen für SpeichergeräteGerätesteuerungsberechtigungen für Speichergeräte werden in folgenden Fällenverwendet:

• Erlauben Sie den Zugriff aus USB-Speichergeräte, CD/DVD, Disketten undNetzwerklaufwerke. Sie können den Zugriff auf diese Geräte entwederuneingeschränkt zulassen oder die Zugriffsstufe einschränken.



9-4

• Konfigurieren Sie die Liste der zulässigen USB-Speichergeräte. Mit derGerätesteuerung können Sie den Zugriff auf alle USB-Speichergeräte sperren, mitAusnahme der Geräte, die Sie in der Liste zulässiger Geräte hinzugefügt haben. Siekönnen den Zugriff auf die zulässigen Geräte entweder uneingeschränkt zulassenoder die Zugriffsstufe einschränken.

Die folgende Tabelle enthält eine Liste der Berechtigungen für Speichergeräte.

TABELLE 9-2. Gerätesteuerungsberechtigungen für Speichergeräte

BERECHTIGUNGEN DATEIEN AUF DEM GERÄT EINGEHENDE DATEIEN

VollständigerZugriff

Zulässige Aktionen: Kopieren,Verschieben, Öffnen,Speichern, Löschen, Ausführen

Zulässige Aktionen: Speichern,Verschieben, Kopieren

Das bedeutet, dass eine Dateikann auf dem Gerät gespeichert,verschoben und kopiert werdenkann.

Ändern Zulässige Aktionen: Kopieren,Verschieben, Öffnen,Speichern, Löschen

Unzulässige Aktionen:Ausführen

Zulässige Aktionen: Speichern,Verschieben, Kopieren

Lesen undAusführen

Zulässige Aktionen: Kopieren,Öffnen, Ausführen

Unzulässige Aktionen:Speichern, Verschieben,Löschen

Unzulässige Aktionen:Speichern, Verschieben,Kopieren

Lesen Zulässige Aktionen: Kopieren,Öffnen

Unzulässige Aktionen:Speichern, Verschieben,Löschen, Ausführen



9-5

BERECHTIGUNGEN DATEIEN AUF DEM GERÄT EINGEHENDE DATEIEN

Nur Geräteinhaltauflisten

Unzulässige Aktionen: AlleAktionen

Die enthaltenen Geräte undDateien werden dem Benutzerangezeigt (beispielsweise inWindows Explorer).


Sperren

(nach derInstallation derFunktion"Datenschutz"verfügbar)

Unzulässige Aktionen: AlleAktionen

Die enthaltenen Geräte undDateien werden dem Benutzernicht angezeigt (beispielsweisein Windows Explorer).


Die dateibasierte Suchfunktion in OfficeScan wird durch Geräteberechtigungen ergänztund kann die Geräteberechtigungen überschreiben. Wenn die Berechtigung z. B. zulässt,dass eine Datei geöffnet werden kann, OfficeScan jedoch erkennt, dass die Datei mitMalware infiziert ist, wird eine bestimmte Suchaktion auf die Datei angewendet, um dieMalware zu entfernen. Wenn als Suchaktion "Säubern" ausgewählt wird, wird die Dateinach dem Säubern geöffnet. Wird jedoch als Suchaktion "Löschen" ausgewählt, wird dieDatei gelöscht.

TippDie Gerätesteuerung für den Datenschutz unterstützt alle 64-Bit-Plattformen. Legen Sie fürdie Überwachung durch Unauthorized Change Prevention auf Systemen, die OfficeScannicht unterstützt (weitere Informationen hierzu finden Sie unter 64-Bit-Support derGerätesteuerung für Unauthorized Change Prevention auf Seite 1-10), die Geräteberechtigung aufSperren, um den Zugriff auf diese Geräte einzuschränken.

Erweiterte Berechtigungen für SpeichergeräteErweiterte Berechtigungen gelten, wenn Sie eingeschränkte Berechtigungen fürSpeichergeräte eingerichtet haben. Folgende Berechtigungen sind möglich:

• Ändern

• Lesen und Ausführen


9-6

• Lesen

• Nur Geräteinhalt auflisten

Sie können die Berechtigungen weiterhin eingeschränkt lassen, jedoch bestimmtenProgrammen auf den Speichergeräten und auf dem lokalen Computer erweiterteBerechtigungen gewähren.

Um Programme zu definieren, konfigurieren Sie die folgenden Programmlisten.

TABELLE 9-3. Programmlisten

PROGRAMMLISTE BESCHREIBUNG GÜLTIGE EINGABEN

Programme mitLese- undSchreibzugriff aufGeräte

Diese Liste enthält lokale Programme undProgramme auf Speichergeräten, die überLese- und Schreibzugriff auf die Geräteverfügen.

Ein Beispiel für ein solches lokalesProgramm ist Microsoft Word(winword.exe), das normalerweise unter C:\Programme\Microsoft Office\Officegespeichert ist. Wenn die Berechtigung fürdie USB-Speichergeräte "Nur Geräteinhaltauflisten" lautet, C:\Programme\MicrosoftOffice\Office\winword.exe" jedoch indieser Liste enthalten ist:

• Ein Benutzer hat Lese- undSchreibzugriff auf sämtliche Dateienauf dem USB-Speichergerät, auf dieüber Microsoft Word zugegriffenwerden kann.

• Ein Benutzer kann eine MicrosoftWord-Datei auf dem USB-Speichergerät speichern, sie dorthinverschieben oder kopieren.

Programmpfad und -name

WeitereInformationen findenSie unterProgrammpfad und -name angeben aufSeite 9-8.


9-7

PROGRAMMLISTE BESCHREIBUNG GÜLTIGE EINGABEN

Programme aufGeräten, dieausgeführt werdendürfen

Diese Liste enthält Programme aufSpeichergeräten, die von Benutzern odervom System ausgeführt werden können.

Wenn Sie beispielsweise festlegenmöchten, dass Benutzer Software von einerCD installieren können, fügen Sie den Pfadund den Namen desInstallationsprogramms, z. B. "E:\Installer\Setup.exe", zu dieser Listehinzu.

Programmpfad und -name oder Anbieterder digitalen Signatur

WeitereInformationen findenSie unterProgrammpfad und -name angeben aufSeite 9-8 oderAnbieter der digitalenSignatur festlegenauf Seite 9-7.

In manchen Fällen müssen Sie ein Programm zu beiden Listen hinzufügen. Beispiel:Wenn die Funktion zum Sperren von Daten auf einem USB-Speichergerät aktiviert ist,wird der Benutzer zur Eingabe eines gültigen Benutzernamens und Kennwortsaufgefordert, um das Gerät zu entsperren. Die Funktion zum Sperren der Datenverwendet ein Programm auf dem Gerät mit der Bezeichnung "Password.exe".Dieses Programm muss als ausführbar konfiguriert sein, damit der Benutzer das Gerätentsperren kann. "Password.exe" muss außerdem Lese- und Schreibzugriff auf dasGerät besitzen, damit der Benutzer den Benutzernamen oder das Kennwort ändernkann.

Jede Programmliste auf der Benutzeroberfläche kann bis zu 100 Programme enthalten.Wenn Sie mehr Programme zu einer Programmliste hinzufügen möchten, müssen Siediese zur Datei ofcscan.ini hinzufügen, die bis zu 1.000 Programme enthalten kann.Anweisungen zum Hinzufügen von Programmen zur Datei ofcscan.ini finden Sieunter Programme zu Gerätesteuerungslisten mit Hilfe von ofcscan.ini hinzufügen auf Seite 9-15.

Warnung!Programme, die zur Datei ofcscan.ini hinzugefügt wurden, werden an dieStammdomäne verteilt und überschreiben Programme auf einzelnen Domänen und Clients.

Anbieter der digitalen Signatur festlegenLegen Sie einen Anbieter der digitalen Signatur fest, wenn Sie Programmen von diesemAnbieter vertrauen. Geben Sie beispielsweise Microsoft Corporation oder Trend Micro,


9-8

Inc. ein. Sie können den Anbieter der digitalen Signatur über die Eigenschaften einesProgramms abrufen (indem Sie beispielsweise mit der rechten Maustaste auf dasProgramm klicken und Eigenschaften auswählen).

ABBILDUNG 9-1. Anbieter der digitalen Signatur für das OfficeScan Client-Programm(PccNTMon.exe)

Programmpfad und -name angeben

Ein Programmpfad und -name darf maximal 259 Zeichen umfassen und nuralphanumerische Zeichen (A-Z, a-z, 0-9) enthalten. Es ist nicht möglich, nur denProgrammnamen anzugeben.

Als Ersatz für Laufwerksbuchstaben und Programmnamen können Platzhalterzeichenverwendet werden. Verwenden Sie ein Fragezeichen (?), um ein einzelnes Zeichendarzustellen, z. B. einen Laufwerksbuchstaben. Verwenden Sie einen Stern (*), ummehrere Zeichen darzustellen, z. B. einen Programmnamen.


9-9

Hinweis

Platzhalter können nicht für Ordnernamen verwendet werden. Sie müssen den exaktenNamen eines Ordners angeben.

In den folgenden Beispielen wurden die Platzhalter richtig verwendet:

TABELLE 9-4. Richtige Verwendung von Platzhaltern

BEISPIEL ÜBEREINSTIMMENDE DATEN

?:\Password.exe Die Datei "Password.exe", die sich direkt auf einembeliebigen Laufwerk befindet

C:\Programme\Microsoft\*.exe Eine beliebige Datei unter C:\Programme mit einerDateierweiterung

C:\Programme\*.* Eine beliebige Datei unter C:\Programme mit einerDateierweiterung

C:\Programme\a?c.exe Eine beliebige .exe-Datei unter C:\Programme mit 3Buchstaben, die mit dem Buchstaben "a" beginnt undmit dem Buchstaben "c" endet

C:\* Alle Dateien, die sich direkt auf dem Laufwerk C:\befinden, und zwar mit oder ohne Dateierweiterung

In den folgenden Beispielen wurden die Platzhalter falsch verwendet:

TABELLE 9-5. Falsche Verwendung von Platzhaltern

BEISPIEL GRUND

??:\Buffalo\Password.exe ?? stellt zwei Zeichen dar, und Laufwerksbuchstabenbestehen nur aus einem alphabetischen Zeichen.

*:\Buffalo\Password.exe * stellt mehrere Zeichen dar, undLaufwerksbuchstaben bestehen nur aus einemalphabetischen Zeichen.

C:\*\Password.exe Platzhalter können nicht für Ordnernamen verwendetwerden. Sie müssen den exakten Namen einesOrdners angeben.C:\?\Password.exe


9-10

Berechtigungen für Nicht-SpeichergeräteSie können den Zugriff auf Geräte, die keine Speichergeräte sind, zulassen oder sperren.Für diese Geräte gibt es keine Feineinstellungen oder erweiterten Berechtigungen.

Zugriff auf externe Geräte verwalten (Datenschutzaktiviert)

Prozedur



3. Klicken Sie auf Einstellungen > Einstellungen der Gerätesteuerung.

4. Klicken Sie auf die Registerkarte Externe Clients, um Einstellungen für externeClients zu konfigurieren, oder auf die Registerkarte Interne Clients, umEinstellungen für interne Clients zu konfigurieren.

5. Wählen Sie Gerätesteuerung aktivieren.

6. Wenden Sie die Einstellungen wie folgt an:

• Auf der Registerkarte Externe Clients können Sie Einstellungen auf interneClients anwenden, indem Sie Alle Einstellungen auf interne Clientsanwenden wählen.

• Auf der Registerkarte Interne Clients können Sie die Einstellungen aufexterne Clients anwenden, indem Sie die Option Alle Einstellungen aufexterne Clients anwenden wählen.

7. Erlauben oder sperren Sie die Autostart-Funktion (autorun.inf) auf USB-Speichergeräten.

8. Konfigurieren Sie die Einstellungen für Speichergeräte.

a. Wählen Sie eine Berechtigung für jedes Speichergerät. Weitere Informationenzu Berechtigungen finden Sie unter Berechtigungen für Speichergeräte auf Seite 9-3.


9-11

b. Wenn die Berechtigung für USB-Speichergeräte Sperren lautet, konfigurierenSie eine Liste zulässiger Geräte. Benutzer können auf diese Geräte zugreifen,und Sie können die Zugriffsstufe durch Berechtigungen steuern. Siehe Liste derzugelassenen USB-Geräte konfigurieren auf Seite 9-12.

9. Bei allen Geräten, die keine Speichergeräte sind, wählen Sie Zulassen oderSperren.




Erweiterte Berechtigungen konfigurieren

Sie können zwar auf der Benutzeroberfläche erweiterte Berechtigungen undBenachrichtigungen für ein bestimmtes Speichergerät konfigurieren, die Berechtigungenund Benachrichtigungen werden dann jedoch auf alle Speichergeräte angewendet. WennSie also für CD/DVD auf Erweiterte Berechtigungen und Benachrichtigungenklicken, definieren Sie in Wahrheit die Berechtigungen und Benachrichtigungen für alleSpeichergeräte.

Hinweis

Weitere Informationen über erweiterte Berechtigungen und das richtige Definieren vonProgrammen mit erweiterten Berechtigungen finden Sie unter Erweiterte Berechtigungen fürSpeichergeräte auf Seite 9-5.


9-12

Prozedur

1. Klicken Sie auf Erweiterte Berechtigungen und Benachrichtigungen.


2. Geben Sie unterhalb von Programme mit Lese- und Schreibzugriff aufSpeichergeräte den Pfad und Dateinamen für ein Programm ein, und klicken Sieauf Hinzufügen.

Anbieter der digitalen Signatur werden nicht akzeptiert.

3. Geben Sie unterhalb von Programme auf Speichergeräten, die ausgeführtwerden dürfen den Pfad und Namen des Programms oder den Anbieter derdigitalen Signatur ein, und klicken Sie auf Hinzufügen.

4. Wählen Sie Bei unbefugtem Gerätezugriff eine Benachrichtigung auf demClient-Computer anzeigen.

• Unerlaubter Gerätezugriff bezeichnet unzulässige Geräteaktionen. Wenn dieGeräteberechtigung beispielsweise "Lesen" lautet, dürfen Benutzer keineDateien auf dem Gerät speichern, verschieben, löschen oder ausführen. EineListe unzulässiger Geräteoperationen auf Basis von Berechtigungen finden Sieunter Berechtigungen für Speichergeräte auf Seite 9-3.

• Sie können die Benachrichtigungsmeldung ändern. Weitere Informationenfinden Sie unter Gerätesteuerungsbenachrichtigungen ändern auf Seite 9-17.

5. Klicken Sie auf Zurück.

Liste der zugelassenen USB-Geräte konfigurieren

Die Liste der zulässigen USB-Geräte unterstützt die Verwendung des Sterns (*) alsPlatzhalter. Verwenden Sie den Stern (*) in beliebigen Feldern, um alle Geräteeinzuschließen, die den Kriterien der übrigen Felder entsprechen. Beispiel: [Hersteller]-[Modell]-* platziert alle Geräte des angegebenen Herstellers und Modells in die Liste derzulässigen Geräte, unabhängig von der Seriennummer.


9-13

Prozedur

1. Klicken Sie auf Zulässige Geräte.

2. Geben Sie den Gerätehersteller ein.

3. Geben Sie das Gerätemodell und die Seriennummer ein.

TippVerwenden Sie Device List, um Geräte abzufragen, die mit dem Endpunktverbunden sind. Das Tool liefert den Hersteller, das Modell und die Seriennummerfür jedes Gerät. Weitere Informationen finden Sie unter Device List auf Seite 9-13.

4. Wählen Sie die Berechtigung für dieses Gerät.

Weitere Informationen zu Berechtigungen finden Sie unter Berechtigungen fürSpeichergeräte auf Seite 9-3.

5. Um weitere Geräte hinzuzufügen, klicken Sie auf das Plus-Symbol (+).

6. Klicken Sie auf < Zurück.

Device List

Führen Sie Device List an jedem Endpunkt lokal aus, um externe Geräte abzufragen, diemit dem Endpunkt verbunden sind. Das Tool überprüft einen Endpunkt nach externenGeräten und zeigt die entdeckten Geräte dann in einem Browser-Fenster an. DieseInformationen können Sie zur Konfiguration von Geräteeinstellungen bei der Funktion"Prävention vor Datenverlust" und der Gerätesteuerung verwenden.

Das Gerätelisten-Tool ausführen

Prozedur

1. Gehen Sie auf dem OfficeScan Server-Computer zu \PCCSRV\Admin\Utility\ListDeviceInfo.

2. Kopieren Sie die Datei listDeviceInfo.exe auf den Zielendpunkt.


9-14

3. Führen Sie auf dem Endpunkt listDeviceInfo.exe aus.

4. Es öffnet sich ein Browser-Fenster mit Informationen zu den Geräten. DieFunktion 'Prävention vor Datenverlust' und die Gerätesteuerung verwendenfolgende Informationen:

• Hersteller (erforderlich)

• Modell (optional)

• Seriennummer (optional)

Zugriff auf externe Geräte verwalten (Datenschutz nichtaktiviert)

Prozedur



3. Klicken Sie auf Einstellungen > Einstellungen der Gerätesteuerung.

4. Klicken Sie auf die Registerkarte Externe Clients, um Einstellungen für externeClients zu konfigurieren, oder auf die Registerkarte Interne Clients, umEinstellungen für interne Clients zu konfigurieren.

5. Wählen Sie Gerätesteuerung aktivieren.

6. Wenden Sie die Einstellungen wie folgt an:

• Auf der Registerkarte Externe Clients können Sie Einstellungen auf interneClients anwenden, indem Sie Alle Einstellungen auf interne Clientsanwenden wählen.

• Auf der Registerkarte Interne Clients können Sie die Einstellungen aufexterne Clients anwenden, indem Sie die Option Alle Einstellungen aufexterne Clients anwenden wählen.


9-15

7. Erlauben oder sperren Sie die Autostart-Funktion (autorun.inf) auf USB-Speichergeräten.

8. Wählen Sie eine Berechtigung für jedes Speichergerät. Weitere Informationen zuBerechtigungen finden Sie unter Berechtigungen für Speichergeräte auf Seite 9-3.

9. Konfigurieren Sie erweiterte Berechtigungen und Benachrichtigungen, falls eine derfolgenden Berechtigungen für ein Speichergerät vorliegt: Ändern, Lesen undAusführen, Lesen oder Nur Geräteinhalt auflisten. Weitere Informationenfinden Sie unter Erweiterte Berechtigungen konfigurieren auf Seite 9-11.




Programme zu Gerätesteuerungslisten mit Hilfe vonofcscan.ini hinzufügen

HinweisWeitere Informationen über Programmlisten und das richtige Definieren von Programmen,die zu diesen Listen hinzugefügt werden können, finden Sie unter Erweiterte Berechtigungen fürSpeichergeräte auf Seite 9-5.

Prozedur

1. Navigieren Sie auf dem OfficeScan Server-Computer zu <Installationsordner desServers>\PCCSRV.


9-16

2. Öffnen Sie die Datei ofcscan.ini mit Hilfe eines Texteditors.

3. Programme mit Lese- und Schreibzugriff auf Speichergeräte hinzufügen:

a. Suchen Sie die folgenden Zeilen:

[DAC_APPROVED_LIST]

Count=x

b. Ersetzen Sie das "x" durch die Anzahl der Programme in der Programmliste.

c. Fügen Sie unterhalb von "Count=x" Programme hinzu, indem Sie Folgendeseingeben:

Item<number>=<Programmpfad und -name oder Anbieter derdigitalen Signatur>

Beispiel:

[DAC_APPROVED_LIST]

Count=3

Item0=C:\Programme\program.exe

Item1=?:\password.exe

Item2=Microsoft Corporation

4. Programme auf Speichergeräten, die ausgeführt werden dürfen, hinzufügen:

a. Suchen Sie die folgenden Zeilen:

[DAC_EXECUTABLE_LIST]

Count=x

b. Ersetzen Sie das "x" durch die Anzahl der Programme in der Programmliste.

c. Fügen Sie unterhalb von "Count=x" Programme hinzu, indem Sie Folgendeseingeben:

Item<number>=<Programmpfad und -name oder Anbieter derdigitalen Signatur>


9-17

Beispiel:

[DAC_EXECUTABLE_LIST]

Count=3

Item0=?:\Installer\Setup.exe

Item1=E:\*.exe

Item2=Trend Micro, Inc.

5. Speichern und schließen Sie die Datei ofcscan.ini.

6. Öffnen Sie die OfficeScan Webkonsole, und navigieren Sie zuNetzwerkcomputer > Allgemeine Client-Einstellungen.

7. Klicken Sie auf Speichern, um die Programmlisten auf alle Clients zu verteilen.

Gerätesteuerungsbenachrichtigungen ändernBei Verstößen gegen die Gerätesteuerung werden Benachrichtigungen auf denEndpunkten angezeigt. Administratoren können bei Bedarf dieStandardbenachrichtigung ändern.

Prozedur


2. Klicken Sie auf die Registerkarte Verstoß gegen die Gerätezugriffssteuerung.

3. Sie können die Standardmeldungen im dafür vorgesehenen Textfeld bearbeiten.


Protokolle der GerätesteuerungDie OfficeScan Clients protokollieren unbefugte Gerätezugriffe und senden dieProtokolle an den Server. Standardmäßig fasst ein Client, der kontinuierlich läuft, die


9-18

Protokolle zusammen, und sendet sie alle 24 Stunden. Nach einem Neustart überprüftder Client, wann die Protokolle das letzte Mal an den Server gesendet wurden. Wenn dievergangene Zeit 24 Stunden überschreitet, sendet der Client sofort die Protokolle.


Protokolle der Gerätesteuerung anzeigen

Prozedur



3. Klicken Sie auf Protokolle > Protokolle der Gerätesteuerung oder aufProtokolle anzeigen > Protokolle der Gerätesteuerung.



• Datum/Uhrzeit, als der unbefugte Zugriff entdeckt wurde.

• Computer, mit dem das externe Gerät verbunden oder dem dieNetzwerkressource zugewiesen ist.

• Computerdomäne, mit der das externe Gerät verbunden oder der dieNetzwerkressource zugewiesen ist.

• Gerätetyp oder Netzwerkressource, auf den/die zugegriffen wurde.

• Ziel, bei dem es sich um das Element auf dem Gerät oder derNetzwerkressource handelt, auf das der Zugriff erfolgt ist


9-19

• Zugriff durch, d. h. die Angabe, wo der Zugriff initiiert wurde.

• Für das Ziel festgelegte Berechtigungen.


10-1

Kapitel 10

Prävention vor Datenverlustverwenden

In diesem Kapitel wird erläutert, wie Sie die Funktion der Prävention vor Datenverlustverwenden.


• Info über die Funktion "Prävention vor Datenverlust" auf Seite 10-2

• Richtlinien für 'Prävention vor Datenverlust' auf Seite 10-3

• Datenbezeichnertypen auf Seite 10-5

• Vorlagen für 'Prävention vor Datenverlust' auf Seite 10-21

• DLP-Kanäle auf Seite 10-26

• Aktionen der Funktion "Prävention vor Datenverlust" auf Seite 10-38

• Ausnahmen für Prävention vor Datenverlust auf Seite 10-39

• Richtlinienkonfiguration der Funktion "Prävention vor Datenverlust" auf Seite 10-45

• Benachrichtigungen der Funktion "Prävention vor Datenverlust" auf Seite 10-51

• Protokolle für "Prävention vor Datenverlust" auf Seite 10-56


10-2

Info über die Funktion "Prävention vorDatenverlust"

Der Schwerpunkt herkömmlicher Sicherheitslösungen liegt darin, zu verhindern, dassexterne Sicherheitsbedrohungen in das Netzwerk eindringen. In der heutigenSicherheitsumgebung deckt dies nur einen Teil der erforderlichen Aufgaben ab.Datenschutzverletzungen, die vertrauliche und sensitive Daten (digitale Assets) einerOrganisation an außenstehende unbefugte Dritte weitergeben, sind heute gang und gäbe.Gründe für eine Datenschutzverletzung können Fehler oder Sorglosigkeit internerMitarbeiter, Datenauslagerung, gestohlene oder verlegte Computer oder bösartigeAngriffe sein.

Datenschutzverletzungen können:

• Das Markenimage schädigen

• Das Vertrauen der Kunden in das Unternehmen schwächen

• Unnötige Kosten für Schadenswiedergutmachung und Strafen wegenRichtlinienverstößen verursachen

• Zum Verlust von Geschäftschancen und zu Umsatzeinbußen durch entwendetesgeistiges Eigentum führen

Auf Grund der Zunahme der schädlichen Auswirkungen durchDatenschutzverletzungen sehen Unternehmen mittlerweile den Schutz ihrer digitalenAssets als eine kritische Komponente in ihrer Sicherheitsinfrastruktur.

Die Funktion "Prävention vor Datenverlust" schützt die vertraulichen Daten einesUnternehmens vor versehentlichen oder beabsichtigten Lecks. Die Funktion"Prävention vor Datenverlust" ermöglicht Folgendes:

• Vertrauliche Informationen, die geschützt werden müssen, mit Hilfe vonDatenbezeichnern identifizieren

• Richtlinien erstellen, die die Übertragung von digitalen Assets über gemeinsamgenutzte Übertragungskanäle wie E-Mail und externe Geräte einschränken oderverhindern

• Die Einhaltung bewährter Datenschutzstandards durchsetzen

Prävention vor Datenverlust verwenden

10-3

Um vertrauliche Informationen hinsichtlich eines potentiellen Verlusts überwachen zukönnen, müssen Sie die folgenden Fragen beantworten können:

• Welche Daten müssen vor unberechtigten Benutzern geschützt werden?

• Wo befinden sich die sensiblen Daten?

• Wie werden die sensiblen Daten übertragen?

• Welche Benutzer sind berechtigt, auf die sensiblen Daten zuzugreifen oder diese zuübertragen?

• Welche Maßnahmen sollten ergriffen werden, wenn eine Sicherheitsverletzungauftritt?

Diese wichtige Überprüfung betrifft in der Regel mehrere Abteilungen und Mitarbeiter,die mit den sensiblen Informationen in Ihrer Organisation vertraut sind.

Wenn Sie Ihre vertraulichen Informationen und Sicherheitsrichtlinien bereits definierthaben, können Sie damit beginnen, Datenbezeichner und Unternehmensrichtlinien zudefinieren.

Richtlinien für 'Prävention vor Datenverlust'OfficeScan überprüft eine Datei oder Daten anhand einer Reihe von Regeln, die in denDLP-Richtlinien definiert sind. Richtlinien legen die Dateien oder Daten fest, die voreiner unbefugten Übertragung geschützt werden müssen, und bestimmen die Aktion, dieOfficeScan durchführt, wenn eine Übertragung erkannt wird.

HinweisDatenübertragungen zwischen dem OfficeScan Server und seinen Clients werden nichtüberwacht.

Sie können Richtlinien für interne und externe Clients konfigurieren. In der Regelkonfigurieren OfficeScan Administratoren eine strengere Richtlinie für externe Clients.

Sie können bestimmte Richtlinien für Client-Gruppen oder einzelne Clients erzwingen.Sie können auch eine einzelne Richtlinie für alle Clients erzwingen.


10-4

Nachdem Sie die Richtlinien verteilt haben, verwenden die Clients die Standortkriterien,die Sie im Fenster "Computerstandort" festgelegt haben (siehe Computerstandort auf Seite14-2), um deren Standort und die erforderliche Richtlinie zu bestimmen. Clientswechseln die Richtlinien mit jedem Standortwechsel.

Richtlinienkonfiguration

Sie definieren DLP-Richtlinien durch die Konfiguration der folgenden Einstellungenund deren Bereitstellung an ausgewählte Clients:

TABELLE 10-1. Einstellungen zur Definition einer DLP-Richtlinie

EINSTELLUNGEN BESCHREIBUNG

Datenbezeichner OfficeScan verwendet Datenbezeichner zum Identifizierenvertraulicher Informationen. Datenbezeichner umfassen Ausdrücke,Dateiattribute und Schlüsselwörter, aus denen sich die DLP-Vorlagen zusammensetzen.

Regeln Eine DLP-Regel kann aus mehreren Vorlagen, Kanälen undAktionen bestehen. Jede Regel ist dabei eine Unterkategorie derbetreffenden DLP-Richtlinie.

Vorlagen Eine DLP-Vorlage verbindet Datenbezeichner mit logischenOperatoren (Und, Oder, Außer) zur Erstellung vonBedingungsanweisungen. Nur Dateien oder Daten, die einerbestimmten Bedingungsanweisung entsprechen, unterliegen einerDLP-Regel.

OfficeScan verfügt bereits über mehrere vordefinierte Vorlagen, Siekönnen aber auch eigene Vorlagen erstellen.

Eine DLP-Regel kann eine oder mehrere Vorlagen enthalten.OfficeScan verwendet beim Prüfen von Vorlagen die Regel derersten Übereinstimmung. Das bedeutet, dass OfficeScan keineweiteren Vorlagen prüft, sobald eine Übereinstimmung zwischenden Dateien bzw. Daten einerseits und den Datenbezeichnern ineiner Vorlage andererseits vorliegt.

Kanäle Kanäle sind Einheiten, die vertrauliche Informationen übertragen.OfficeScan unterstützt die gängigen Übertragungskanäle wie E-Mails, Wechselspeichermedien und Instant-Messaging-Anwendungen.


10-5

EINSTELLUNGEN BESCHREIBUNG

Aktionen OfficeScan führt eine oder mehrere Aktionen durch, wenn es denVersuch zur Übertragung vertraulicher Informationen über einendieser Kanäle entdeckt.

Ausnahmen Ausnahmen setzen konfigurierte DLP-Regeln außer Kraft. Siekönnen Ausnahmen konfigurieren, um nicht überwachte undüberwachte Ziele sowie die Suche in komprimierten Dateien zuverwalten.

DatenbezeichnertypenDigitale Assets sind Dateien und Daten, die ein Unternehmen vor unbefugterÜbertragung schützen muss. Datenbezeichner können mit folgenden Methodendefiniert werden:

• Ausdrücke: Daten mit einer bestimmten Struktur. Weitere Informationen findenSie unter Ausdrücke auf Seite 10-5.

• Dateiattribute: Dateieigenschaften wie Dateityp und Dateigröße. WeitereInformationen finden Sie unter Dateiattribute auf Seite 10-11.

• Schlüsselwörter: Eine Liste bestimmter Wörter oder Phrasen. WeitereInformationen finden Sie unter Schlüsselwörter auf Seite 10-14.

Hinweis

Das Löschen eines Datenbezeichners, der in einer DLP-Vorlage verwendet wird, ist nichtmöglich. Löschen Sie die Vorlage, bevor Sie den Datenbezeichner löschen.

Ausdrücke

Ein Ausdruck enthält Daten mit einer bestimmten Struktur. Zum Beispiel bestehenKreditkartennummern normalerweise aus 16 Ziffern im Format "nnnn-nnnn-nnnn-nnnn", weshalb sie sich für die ausdrucksbasierte Erkennung gut eignen.


10-6

Sie können vordefinierte und benutzerdefinierte Ausdrücke verwenden. WeitereInformationen finden Sie unter Vordefinierte Ausdrücke auf Seite 10-6 undBenutzerdefinierte Ausdrücke auf Seite 10-7.

Vordefinierte Ausdrücke

Im Lieferumfang von OfficeScan ist eine Reihe vordefinierter Ausdrücke enthalten.Diese Ausdrücke können weder geändert noch gelöscht werden.

OfficeScan überprüft diese Ausdrücke und verwendet hierfür den Pattern-Abgleich undmathematische Gleichungen. Nachdem OfficeScan möglicherweise sensible Daten miteinem Ausdruck abgeglichen hat, werden für die Daten unter Umständen zusätzlicheÜberprüfungen durchgeführt.

Eine vollständige Liste der vordefinierten Ausdrücke finden Sie in der Datenschutzlisteunter http://docs.trendmicro.com/en-us/enterprise/data-protection-reference-documents.aspx.

Einstellungen für vordefinierte Ausdrücke anzeigen

Hinweis

Vordefinierte Ausdrücke können weder geändert noch gelöscht werden.

Prozedur

1. Navigieren Sie zu Netzwerkcomputer > Prävention vor Datenverlust >Datenbezeichner.

2. Klicken Sie auf die Registerkarte Ausdruck.

3. Klicken Sie auf den Namen des Ausdrucks.

4. Es öffnet sich ein Fenster mit den Einstellungen.

http://docs.trendmicro.com/en-us/enterprise/data-protection-reference-documents.aspx



10-7

Benutzerdefinierte Ausdrücke

Erstellen Sie benutzerdefinierte Ausdrücke, wenn keiner der vorhandenen AusdrückeIhren Anforderungen entspricht.

Ausdrücke sind ein mächtiges Werkzeug zum Abgleichen von Zeichenketten. MachenSie sich mit der Syntax von Ausdrücken vertraut, bevor Sie selbst Ausdrücke erstellen.Fehlerhaft formulierte Ausdrücke können die Leistung stark beeinträchtigen.

Hinweise zum Erstellen von Ausdrücken:

• Orientieren Sie sich zum Erstellen gültiger Ausdrücke an den vordefiniertenAusdrücken. Wenn Sie zum Beispiel einen Ausdruck erstellen, in dem ein Datumenthalten ist, können Sie sich auf die Ausdrücke mit dem Präfix "Datum" beziehen.

• Beachten Sie, dass OfficeScan die in der PCRE-Bibliothek (Perl-kompatiblereguläre Ausdrücke) definierten Ausdrucksformate verwendet. WeitereInformationen zu PCRE finden Sie auf der folgenden Website:

http://www.pcre.org/

• Beginnen Sie mit einfachen Ausdrücken. Verändern Sie die Ausdrücke, wenn sieFehlarme verursachen, oder machen Sie eine Feinabstimmung, um dieErkennungsrate zu verbessern.

Beim Erstellen von Ausdrücken können Sie aus mehreren Kriterien wählen. EinAusdruck muss die gewählten Kriterien erfüllen, damit OfficeScan ihn für eine DLP-Richtlinie akzeptiert. Weitere Informationen zu den einzelnen Kriterienoptionen findenSie unter Kriterien für benutzerdefinierte Ausdrücke auf Seite 10-8.

http://www.pcre.org/


10-8

Kriterien für benutzerdefinierte Ausdrücke

TABELLE 10-2. Kriterienoptionen für benutzerdefinierte Ausdrücke

KRITERIEN REGEL BEISPIEL

Keine Keine Alle - Namen gemäß den Angabendes Statistischen Bundesamtes derVereinigten Staaten

Ausdruck: [^\w]([A-Z][a-z]{1,12}(\s?,\s?|[\s]|\s([A-Z])\.\s)[A-Z][a-z]{1,12})[^\w]

BestimmteZeichen

In einem Ausdruck müssendie von Ihnenvorgegebenen Zeichenenthalten sein.

Außerdem muss dieZeichenanzahl in einemAusdruck innerhalb dervorgegebenen Mindest-und Höchstgrenzen liegen.

US - ABA-Routing-Nummer

Ausdruck: [^\d]([0123678]\d{8})[^\d]

Zeichen: 0123456789

Mindestanzahl von Zeichen: 9

Höchstanzahl von Zeichen: 9

Erweiterung Als Suffix wird das letzteSegment in einemAusdruck bezeichnet. Ineinem Suffix müssen dieZeichen enthalten sein, dieSie angegeben haben, undes muss aus einerbestimmten Anzahl vonZeichen bestehen.

Außerdem muss dieZeichenanzahl in einemAusdruck innerhalb dervorgegebenen Mindest-und Höchstgrenzen liegen.

Alle - Privatadresse

Ausdruck: \D(\d+\s[a-z.]+\s([a-z]+\s){0,2} (lane|ln|street|st|avenue|ave| road|rd|place|pl|drive|dr|circle| cr|court|ct|boulevard|blvd)\.? [0-9a-z,#\s\.]{0,30}[\s|,][a-z]{2}\s\d{5}(-\d{4})?)[^\d-]

Suffix-Zeichen: 0123456789-

Anzahl von Zeichen: 5

Mindestzeichenanzahl imAusdruck: 25

Höchstzeichenanzahl imAusdruck: 80


10-9

KRITERIEN REGEL BEISPIEL

Trennzeichenaus einemZeichen

Ein Ausdruck muss auszwei Segmenten bestehen,die mit einem Zeichengetrennt sind. Das Zeichenmuss eine Länge von 1Byte haben.

Außerdem muss dieZeichenanzahl links vomTrennzeichen innerhalb dervorgegebenen Mindest-und Höchstgrenzen liegen.Die Zeichenanzahl rechtsvom Trennzeichen darf dieHöchstgrenze nichtüberschreiten.

Alle - E-Mail-Adresse

Ausdruck: [^\w.]([\w\.]{1,20}@[a-z0-9]{2,20}[\.][a-z]{2,5}[a-z\.]{0,10})[^\w.]

Trennzeichen: @

Mindestzeichenanzahl links: 3

Höchstzeichenanzahl rechts: 15

Höchstzeichenanzahl rechts: 30

Benutzerdefinierte Ausdrücke erstellen

Prozedur




Ein neues Fenster wird geöffnet.

4. Geben Sie einen Namen für den Ausdruck ein. Der Name darf nicht länger als 100Byte sein, und folgende Zeichen dürfen nicht enthalten sein:

• > < * ^ | & ? \ /

5. Geben Sie eine Beschreibung mit maximal 256 Byte ein.

6. Geben Sie den Ausdruck ein und bestimmen Sie, ob er zwischen Groß- undKleinschreibung unterscheidet.

7. Geben Sie die Daten ein, die angezeigt werden sollen.


10-10

Wenn Sie zum Beispiel einen Ausdruck für Seriennummern erstellen, geben Sie dasMuster einer Seriennummer ein. Die Daten sind nur zur Dokumentation, sieerscheinen an keiner anderen Stelle im Produkt.

8. Wählen Sie eine der folgenden Kriterien, und konfigurieren Sie zusätzlicheEinstellungen für die ausgewählten Kriterien (siehe Kriterien für benutzerdefinierteAusdrücke auf Seite 10-8):

• Keine

• Bestimmte Zeichen

• Erweiterung

• Trennzeichen aus einem Zeichen

9. Testen Sie den Ausdruck mit tatsächlichen Daten.

Wenn der Ausdruck zum Beispiel für eine Personalausweisnummer steht, geben Sieeine gültige Ausweisnummer in das Textfeld Testdaten ein und klicken aufTesten; überprüfen Sie anschließend das Ergebnis.

10. Klicken Sie auf Speichern, wenn Sie mit dem Ergebnis zufrieden sind.

HinweisSpeichern Sie die Einstellungen nur, wenn der Test erfolgreich war. Ein Ausdruck,der keine Daten entdeckt, verschwendet Systemressourcen und kann die Leistungbeeinträchtigen.

11. Eine Meldung erinnert Sie daran, die Einstellungen auf die Clients zu verteilen.Klicken Sie auf Schließen.

12. Klicken Sie im Fenster DLP-Datenbezeichner auf Auf alle Clients anwenden.

Benutzerdefinierte Ausdrücke importieren

Verwenden Sie diese Option, wenn Sie über eine ordnungsgemäß formatierte .DAT-Datei verfügen, in der die Ausdrücke gespeichert sind. Sie können die Datei erzeugen,indem Sie die Ausdrücke entweder über den OfficeScan Server, auf den Sie geradezugreifen, oder über einen anderen OfficeScan Server exportieren.


10-11

Hinweis

Die .DAT-Ausdrucksdateien, die von dieser Version von OfficeScan generiert wurden, sindmit vorherigen Versionen nicht kompatibel.

Prozedur



3. Klicken Sie auf Importieren, und suchen Sie dann die .DAT-Datei, in der dieAusdrücke enthalten sind.

4. Klicken Sie auf Öffnen.

Sie erhalten eine Nachricht, wenn der Import erfolgreich war. Wenn ein Ausdruckimportiert werden soll, der bereits vorhanden ist, wird er übersprungen.

5. Klicken Sie auf Für alle Clients übernehmen.

Dateiattribute

Dateiattribute sind bestimmte Eigenschaften einer Datei. Sie können zwei Dateiattributezur Definition von Datenbezeichnern verwenden: Dateityp und Dateigröße. Nehmenwir an, ein Software-Entwickler möchte, dass sein firmeneigenes Software-Installationsprogramm nur an die R&D-Abteilung weitergegeben wird, deren Mitgliederfür die Entwicklung und das Testen der Software zuständig sind. In diesen Fall kann derOfficeScan Administrator eine Richtlinie erstellen, mit der die Übertragung ausführbarerDateien mit einer Größe von 10 bis 40 MB auf alle Abteilungen, mit Ausnahme vonR&D, gesperrt wird.

Dateiattribute sind an sich schlechte Indikatoren für sensible Dateien. Wenn wir unserBeispiel von oben weiterführen, werden Software-Installationsprogramme andererHersteller höchstwahrscheinlich gesperrt. Trend Micro empfiehlt deshalb dieKombination von Dateiattributen mit anderen DLP-Datenbezeichnern, um einegezieltere Erkennung sensibler Dateien zu ermöglichen.


10-12

Eine vollständige Liste der unterstützten Dateitypen finden Sie in der Datenschutzlisteunter http://docs.trendmicro.com/en-us/enterprise/data-protection-reference-documents.aspx.

Eine Dateiattributliste erstellen

Prozedur


2. Klicken Sie auf die Registerkarte Dateiattribut.



4. Geben Sie einen Namen für die Dateiattributliste ein. Der Name darf nicht längerals 100 Byte sein, und folgende Zeichen dürfen nicht enthalten sein:

• > < * ^ | & ? \ /


6. Wählen Sie die gewünschten ursprünglichen Dateitypen aus.

7. Wenn ein Dateityp, den Sie einschließen möchten, nicht in der Liste steht, wählenSie Dateierweiterungen aus, und geben Sie anschließend die Erweiterung desDateityps ein. OfficeScan überprüft Dateien mit der angegebenenDateierweiterung, überprüft aber nicht die ursprünglichen Dateitypen. Richtlinienbeim Festlegen von Dateierweiterungen:

• Jede Erweiterung muss mit einem Stern (*) beginnen, gefolgt von einemPunkt (.) und danach der Erweiterung. Der Stern ist ein Platzhalter, der fürden tatsächlichen Dateinamen steht. Beispiel: *.pol stimmt mit 12345.polund test.pol überein.

• Sie können Platzhalter in Erweiterungen einschließen. Mit einemFragezeichen (?) können Sie ein einzelnes Zeichen und mit einem Stern (*)zwei oder mehr Zeichen darstellen. Beispiele dafür finden Sie nachstehend:




10-13

- *.*m stimmt mit den folgenden Dateien überein: ABC.dem, ABC.prm,ABC.sdcm

- *.m*r stimmt mit den folgenden Dateien überein: ABC.mgdr,ABC.mtp2r, ABC.mdmr

- *.fm? stimmt mit den folgenden Dateien überein: ABC.fme, ABC.fml,ABC.fmp

• Gehen Sie beim Hinzufügen eines Sterns am Ende einer Erweiterungbesonders sorgfältig vor, da dieser Platzhalter mit Teilen eines Dateinamensoder einer nicht zugehörigen Erweiterung übereinstimmen kann. Beispiel:*.do* stimmt mit abc.doctor_john.jpg und abc.donor12.pdfüberein.

• Verwenden Sie Strichpunkte (;), um mehrere Dateierweiterungen zu trennen.Sie müssen nach einem Strichpunkt kein Leerzeichen einfügen.

8. Geben Sie die minimale und maximale Dateigröße in Byte ein. Beide Dateigrößenmüssen ganze Zahlen größer als null sein.




Eine Dateiattributliste importieren

Verwenden Sie diese Option, wenn Sie über eine ordnungsgemäß formatierte .DAT-Datei verfügen, in der die Dateiattributlisten gespeichert sind. Sie können die Dateierzeugen, indem Sie die Dateiattributlisten entweder über den OfficeScan Server, aufden Sie gerade zugreifen, oder über einen anderen OfficeScan Server exportieren.

Hinweis

Die .DAT-Dateiattributdateien, die von dieser Version von OfficeScan generiert wurden,sind mit vorherigen Versionen nicht kompatibel.


10-14

Prozedur


2. Klicken Sie auf die Registerkarte Dateiattribut.

3. Klicken Sie auf Importieren, und suchen Sie dann die .DAT-Datei, in der dieDateiattributlisten enthalten sind.


Sie erhalten eine Nachricht, wenn der Import erfolgreich war. Wenn eineDateiattributliste importiert werden soll, die bereits vorhanden ist, wird sieübersprungen.


Schlüsselwörter

Schlüsselwörter sind besondere Wörter oder Phrasen. Sie können miteinanderverwandte Schlüsselwörter in eine Schlüsselwortliste eintragen, um bestimmte Arten vonDaten zu identifizieren. Zum Beispiel sind "Prognose", "Blutgruppe", "Impfung" und"Arzt" Schlüsselwörter, die in einem Gesundheitsattest stehen könnten. Wenn Sie dieÜbertragung von Dateien mit Gesundheitsattesten verhindern wollen, können Sie dieseSchlüsselwörter in einer DLP-Richtlinie verwenden und dann OfficeScan sokonfigurieren, dass es Dateien mit diesen Schlüsselwörtern sperrt.

Häufig benutzte Wörter können zu bedeutungsvollen Schlüsselwörtern kombiniertwerden. Zum Beispiel können die Begriffe "end", "read", "if" and "at" zuSchlüsselwörtern in Quellcodes kombiniert werden, zum Beispiel als "END-IF", "END-READ" und "AT END".

Sie können vordefinierte und benutzerdefinierte Schlüsselwortlisten verwenden. WeitereInformationen finden Sie unter Vordefinierte Schlüsselwortlisten auf Seite 10-15 undBenutzerdefinierte Schlüsselwortlisten auf Seite 10-16.


10-15

Vordefinierte Schlüsselwortlisten

Im Lieferumfang von OfficeScan ist eine Reihe vordefinierter Schlüsselwortlistenenthalten. Diese Schlüsselwortlisten können nicht geändert bzw. gelöscht werden. JedeListe hat ihre eigenen integrierten Bedingungen, die festlegen, ob die Vorlage einenRichtlinienverstoß auslösen soll

Weitere Informationen zu vordefinierten Schlüsselwortlisten in OfficeScan finden Sie inder Datenschutzliste unter http://docs.trendmicro.com/en-us/enterprise/data-protection-reference-documents.aspx.

Wie funktionieren Schlüsselwortlisten?

Bedingung "Anzahl der Schlüsselwörter"

Jede Schlüsselwortliste enthält eine Bedingung, mit der eine bestimmte Anzahl anSchlüsselwörtern festgelegt wird, die in einem Dokument enthalten sein muss, bevor dieListe einen Verstoß meldet.

Die Bedingung für die Anzahl der Schlüsselwörter enthält die folgenden Werte:

• Alle: Alle Schlüsselwörter in der Liste müssen im Dokument vorhanden sein.

• Beliebig: Eines der Schlüsselwörter in der Liste muss im Dokument vorhandensein.

• Bestimmte Anzahl: Es muss mindestens die angegebene Anzahl anSchlüsselwörtern im Dokument enthalten sein. Wenn das Dokument mehrSchlüsselwörter als die angegebene Anzahl enthält, wird ein Verstoß gemeldet.

Abstandsbedingung

Einige der Listen enthalten eine Abstandsbedingung zum Ermitteln eines Verstoßes."Abstand" bezieht sich auf die Anzahl der Zeichen zwischen dem ersten Zeichen einesSchlüsselworts und dem ersten Zeichen eines anderen Schlüsselworts. Betrachten Sieden folgenden Eintrag:

Vorname:_Johannes_ Nachname:_Schmidt_




10-16

Die Liste Formulare - Vorname, Nachname hat eine Abstandsbedingung von 50 undenthält die häufig verwendeten Formularfelder "Vorname" und "Nachname". Im obigenBeispiel wird ein Verstoß gemeldet, da die Anzahl der Zeichen zwischen dem "V" inVorname und dem "N" in Nachname 18 beträgt.

Nachfolgend finden Sie ein Beispiel für einen Eintrag, der keinen Verstoß darstellenwürde:

Der Vorname unseres neuen Mitarbeiters aus der Schweiz lautet Johannes. SeinNachname ist Schmidt.

In diesem Beispiel beträgt die Anzahl der Zeichen zwischen dem "V" in "Vorname" unddem "N" in "Nachname" 72. Dieser Wert überschreitet den Abstandsschwellenwert undstellt keinen Verstoß dar.

Benutzerdefinierte Schlüsselwortlisten

Erstellen Sie benutzerdefinierte Schlüsselwortlisten, wenn keine der vorhandenenSchlüsselwortlisten Ihren Anforderungen entspricht.

Beim Erstellen einer Schlüsselwortliste können Sie aus mehreren Kriterien wählen. EineSchlüsselwortliste muss die gewählten Kriterien erfüllen, damit OfficeScan sie für eineDLP-Richtlinie akzeptiert. Wählen Sie eine der folgenden Kriterien für jedeSchlüsselwortliste:

• Beliebiges Schlüsselwort

• Alle Schlüsselwörter

• Alle Schlüsselwörter innerhalb von <x> Zeichen

• Die Gesamtbewertung für Schlüsselwörter ist größer als Grenzwert

Details zu den Kriterienregeln finden Sie unter Kriterien für benutzerdefinierteSchlüsselwortlisten auf Seite 10-17.


10-17

Kriterien für benutzerdefinierte Schlüsselwortlisten

TABELLE 10-3. Kriterien für eine Schlüsselwortliste

KRITERIEN REGEL

BeliebigesSchlüsselwort

Eine Datei muss mindestens ein Schlüsselwort aus derSchlüsselwortliste enthalten.

AlleSchlüsselwörter

Eine Datei muss alle Schlüsselwörter aus der Schlüsselwortlisteenthalten.

AlleSchlüsselwörter innerhalbvon <x>Zeichen

Eine Datei muss alle Schlüsselwörter aus der Schlüsselwortlisteenthalten. Jedes Schlüsselwortpaar darf höchstens <x> Zeichenvoneinander entfernt sein.

Nehmen wir an, Ihre drei Schlüsselwörter sind WEB, DISK und USB,und die von Ihnen angegebene Anzahl von Zeichen beträgt 20.

Wenn OfficeScan alle Schlüsselwörter in der Reihenfolge DISK, WEBund USB erkennt, muss die Anzahl der Zeichen von "D" (in DISK) biszu "W" (in WEB) und von "W" zu "U" (in USB) 20 Zeichen oder wenigerbetragen.

Die folgenden Daten erfüllen die Kriterien:DISK####WEB############USB

Die folgenden Daten erfüllen die Kriterien nicht:DISK*******************WEB****USB(23 Zeichen zwischen "D" und"W")

Denken Sie bei der Auswahl der Zeichenanzahl daran, dass sich durcheine kleine Anzahl, wie z. B. 10, die Suchgeschwindigkeit erhöht, aberes wird nur ein relativ kleiner Bereich abgedeckt. Dadurch verringertsich die Wahrscheinlichkeit, dass sensible Daten entdeckt werden, vorallem in großen Dateien. Je größer die Anzahl, umso größer derabgedeckte Bereich, aber möglicherweise umso langsamer die Suche.


10-18

KRITERIEN REGEL

DieGesamtbewertung fürSchlüsselwörter ist größerals Grenzwert

Eine Datei muss ein oder mehrere Schlüsselwörter aus derSchlüsselwortliste enthalten. Wird nur ein Schlüsselwort entdeckt,muss seine Bewertung höher sein als der Grenzwert. Werden mehrereSchlüsselwörter entdeckt, muss die Gesamtbewertung höher sein alsder Grenzwert.

Weisen Sie jedem Schlüsselwort eine Punktezahl von 1 bis 10 zu.Streng vertrauliche Wörter oder Formulierungen, wie etwa"Gehaltserhöhung" in Zusammenhang mit der Personalabteilung,sollten eine relativ hohe Punktezahl haben. Wörter oder Phrasen,denen an sich keine besondere Bedeutung zukommt, könnenniedrigere Punktezahlen haben.

Berücksichtigen Sie bei der Konfiguration des Grenzwerts diePunktezahl, die Sie den Schlüsselwörtern zugewiesen haben. WennSie zum Beispiel fünf Schlüsselwörter haben und drei dieserSchlüsselwörter haben hohe Priorität, kann der Grenzwert gleich oderniedriger sein als die Gesamtpunktezahl der drei Schlüsselwörter mithoher Priorität. Das bedeutet, dass die Entdeckung dieser dreiSchlüsselwörter ausreicht, um die Datei als sensibel einzustufen.

Schlüsselwortlisten erstellen

Prozedur


2. Klicken Sie auf die Registerkarte Schlüsselwort.



4. Geben Sie einen Namen für die Schlüsselwortliste ein. Der Name darf nicht längerals 100 Byte sein, und folgende Zeichen dürfen nicht enthalten sein:

• > < * ^ | & ? \ /



10-19

6. Wählen Sie eines der folgenden Kriterien und konfigurieren Sie zusätzlicheEinstellungen für die ausgewählten Kriterien:

• Beliebiges Schlüsselwort

• Alle Schlüsselwörter

• Alle Schlüsselwörter innerhalb von <x> Zeichen

• Die Gesamtbewertung für Schlüsselwörter ist größer als Grenzwert

7. Schlüsselwörter manuell zur Liste hinzufügen:

a. Geben Sie ein Schlüsselwort ein, das zwischen 3 und 40 Byte lang ist, undbestimmen Sie, ob zwischen Groß- und Kleinschreibung unterschiedenwerden soll.

b. Klicken Sie auf Hinzufügen.

8. Schlüsselwörter mit der Option "Importieren" hinzufügen:

Hinweis

Verwenden Sie diese Option, wenn Sie über eine ordentlich formatierte .csv-Dateiverfügen, in der die Schlüsselwörter gespeichert sind. Sie können die Datei erzeugen,indem Sie die Schlüsselwörter entweder über den OfficeScan Server, auf den Siegerade zugreifen, oder über einen anderen OfficeScan Server exportieren.

a. Klicken Sie auf Importieren, und suchen Sie die .CSV-Datei, die dieSchlüsselwörter enthält.

b. Klicken Sie auf Öffnen.

Sie erhalten eine Nachricht, wenn der Import erfolgreich war. Wenn einSchlüsselwort importiert werden soll, das bereits vorhanden ist, wird esübersprungen.

9. Um Schlüsselwörter zu löschen, wählen Sie die Schlüsselwörter aus und klicken aufLöschen.

10. Schlüsselwörter exportieren:


10-20

Hinweis

Verwenden Sie die "Export"-Funktion, um die Schlüsselwörter zu sichern oder umsie in einen anderen OfficeScan Server zu importieren. Alle Schlüsselwörter in derSchlüsselwortliste werden exportiert. Das Exportieren einzelner Schlüsselwörter istnicht möglich.

a. Klicken Sie auf Exportieren.

b. Speichern Sie die exportierte .CSV-Datei am gewünschten Speicherort.




Schlüsselwortlisten importieren

Verwenden Sie diese Option, wenn Sie über eine ordnungsgemäß formatierte .DAT-Datei verfügen, in der die Schlüsselwortlisten gespeichert sind. Sie können die Dateierzeugen, indem Sie die Schlüsselwortliste entweder über den OfficeScan Server, auf denSie gerade zugreifen, oder über einen anderen OfficeScan Server exportieren.

Hinweis

Die .DATSchlüsselwort-Listendateien, die von dieser Version von OfficeScan generiertwurden, sind mit vorherigen Versionen nicht kompatibel.

Prozedur


2. Klicken Sie auf die Registerkarte Schlüsselwort.

3. Klicken Sie auf Importieren, und suchen Sie dann die .dat-Datei, die dieSchlüsselwortlisten enthält.


10-21


Sie erhalten eine Nachricht, wenn der Import erfolgreich war. Wenn eineSchlüsselwortliste importiert werden soll, die bereits vorhanden ist, wird sieübersprungen.


Vorlagen für 'Prävention vor Datenverlust'Eine DLP-Vorlage verbindet DLP-Datenbezeichner mit logischen Operatoren (Und,Oder, Außer) zur Erstellung von Bedingungsanweisungen. Nur Dateien oder Daten, dieeiner bestimmten Bedingungsanweisung entsprechen, unterliegen einer DLP-Richtlinie.

Zum Beispiel muss eine Datei eine Microsoft Word-Datei (Dateiattribut) sein UNDbestimmte rechtliche Begriffe (Schlüsselwörter) UND Identifikationsnummern(Ausdrücke) enthalten, damit sie einer Richtlinie für "Anstellungsverträge" unterliegt.Auf Grund dieser Richtlinie können Mitarbeiter der Personalabteilung eine Datei aneinen Drucker übertragen, damit die ausgedruckte Datei von einem Mitarbeiterunterschrieben werden kann. Die Übertragung über alle anderen möglichen Kanäle, wieetwa E-Mail, ist gesperrt.

Erstellen Sie Ihre eigenen Vorlagen, wenn Sie bereits über konfigurierte DLP-Datenbezeichner verfügen. Sie können auch vordefinierte Vorlagen verwenden. WeitereInformationen finden Sie unter Benutzerdefinierte DLP-Vorlagen auf Seite 10-22 undVordefinierte DLP-Vorlagen auf Seite 10-21.

HinweisDas Löschen einer Vorlage, die in einer DLP-Richtlinie verwendet wird, ist nicht möglich.Entfernen Sie die Vorlage aus der Richtlinie, bevor Sie sie löschen.

Vordefinierte DLP-VorlagenOfficeScan verfügt über die folgenden vordefinierten Vorlagen, die Sie zur Einhaltungverschiedener Regulierungsstandards verwenden können. Diese Vorlagen können wedergeändert noch gelöscht werden.


10-22

• GLBA: Gramm-Leach-Billey Act

• HIPAA: Health Insurance Portability and Accountability Act

• PCI-DSS: PCI (Payment Card Industry Data Security Standard)

• SB-1386: US Senate Bill 1386

• US PII: Personenbezogene Daten (USA)

Eine detaillierte Liste zum Gebrauch aller vordefinierten Vorlagen und Beispiele zu dengeschützten Daten finden Sie in der Datenschutzliste unter http://docs.trendmicro.com/en-us/enterprise/data-protection-reference-documents.aspx.

Benutzerdefinierte DLP-VorlagenErstellen Sie Ihre eigenen Vorlagen, wenn Sie bereits Datenbezeichner konfigurierthaben. Eine Vorlage verbindet Datenbezeichner mit logischen Operatoren (Und, Oder,Außer) zur Erstellung von Bedingungsanweisungen.

Weitere Informationen und Beispiele zur Funktionsweise von Bedingungsanweisungenund logischen Operatoren finden Sie unter Bedingungsanweisungen und logische Operatoren aufSeite 10-22.

Bedingungsanweisungen und logische Operatoren

OfficeScan überprüft Bedingungsanweisungen von links nach rechts. Seien Sievorsichtig im Umgang mit logischen Operatoren bei der Konfiguration vonBedingungsanweisungen. Falscher Gebrauch von Operatoren führt zu einer fehlerhaftenBedingungsanweisung und zu eventuell unerwarteten Ergebnissen.

Die folgende Tabelle enthält einige Beispiele.




10-23

TABELLE 10-4. Beispiel für Bedingungsanweisungen

BEDINGUNGSANWEISUNG INTERPRETATION UND BEISPIEL

[Datenbezeichner 1] Und[Datenbezeichner 2] Außer[Datenbezeichner 3]

Eine Datei muss [Datenbezeichner 1] und[Datenbezeichner 2], aber nicht [Datenbezeichner 3]erfüllen.

Beispiel:

Eine Datei muss [ein Adobe PDF-Dokument] sein undmuss [eine E-Mail-Adresse] enthalten, aber sollte kein[Schlüsselwort in der Liste der Schlüsselwörter] enthalten.

[Datenbezeichner 1] Oder[Datenbezeichner 2]

Eine Datei muss [Datenbezeichner 1] oder [Data Identifier2] erfüllen.

Beispiel:

Eine Datei muss [ein Adobe PDF-Dokument] oder [einMicrosoft Word-Dokument] sein.

Außer [Datenbezeichner 1] Eine Datei muss nicht [Datenbezeichner 1] erfüllen.

Beispiel:

Eine Datei muss keine [Multimedia-Datei] sein.

Wie das letzte Beispiel in der Tabelle zeigt, darf der erste Datenbezeichner in derBedingungsanweisung den Operator "Außer" enthalten, wenn eine Datei nicht alleDatenbezeichner in der Anweisung erfüllen muss. In den meisten Fällen enthält dererste Datenbezeichner jedoch keinen Operator.

Vorlagen erstellen

Prozedur

1. Navigieren Sie zu Netzwerkcomputer > Prävention vor Datenverlust >Vorlagen.




10-24

3. Geben Sie einen Namen für die Vorlage ein. Der Name darf nicht länger als 100Byte sein, und folgende Zeichen dürfen nicht enthalten sein:

• > < * ^ | & ? \ /


5. Wählen Sie die Datenbezeichner aus, und klicken Sie dann auf das Symbol"Hinzufügen".

Zur Auswahl von Definitionen:

• Wählen Sie mehrere Einträge aus, indem Sie die Strg-Taste gedrückt haltenund dann die Datenbezeichner auswählen.

• Verwenden Sie die Suchfunktion, wenn Sie nach einer bestimmten Definitionsuchen. Sie können den Namen des Datenbezeichners vollständig oderteilweise eingeben.

• Jede Vorlage darf nur maximal 30 Datenbezeichner enthalten.

6. Um einen neuen Ausdruck zu erstellen, klicken Sie auf Ausdrücke, und klicken Sieanschließend auf Neuen Ausdruck hinzufügen. Konfigurieren Sie dieEinstellungen für den Ausdruck im Fenster, das angezeigt wird.

7. Um eine neue Dateiattributliste zu erstellen, klicken Sie auf Dateiattribute, undklicken Sie anschließend auf Neues Dateiattribut hinzufügen. Konfigurieren Siedie Einstellungen für die Dateiattributliste im Fenster, das angezeigt wird.

8. Um eine neue Schlüsselwortliste zu erstellen, klicken Sie auf Schlüsselwörter, undklicken Sie anschließend auf Neues Schlüsselwort hinzufügen. Konfigurieren Siedie Einstellungen für die Schlüsselwortliste im Fenster, das angezeigt wird.

9. Wenn Sie einen Ausdruck ausgewählt haben, geben Sie die Anzahl derVorkommen ein, das heißt die Anzahl, wie oft ein Ausdruck vorkommen muss,damit OfficeScan ihn für eine DLP-Richtlinie berücksichtigt.

10. Wählen Sie einen logischen Operator für jede Definition.


10-25

Hinweis

Seien Sie vorsichtig im Umgang mit logischen Operatoren bei der Konfiguration vonBedingungsanweisungen. Falscher Gebrauch von Operatoren führt zu einerfehlerhaften Bedingungsanweisung und zu eventuell unerwarteten Ergebnissen.Beispiele für die richtige Verwendung finden Sie unter Bedingungsanweisungen und logischeOperatoren auf Seite 10-22.

11. Um einen Datenbezeichner aus der Liste der ausgewählten Bezeichner zuentfernen, klicken Sie auf das Papierkorbsymbol.

12. Überprüfen Sie unterhalb der Vorschau die Bedingungsanweisung, und nehmenSie Änderungen vor, wenn die Anweisung nicht Ihre Anforderungen erfüllt.



15. Klicken Sie im Fenster DLP-Vorlage auf Auf alle Clients anwenden.

Vorlagen importieren

Verwenden Sie diese Option, wenn Sie über eine ordnungsgemäß formatierte .dat-Datei verfügen, in der die Vorlagen gespeichert sind. Sie können die Datei erzeugen,indem Sie die Vorlagen entweder über den OfficeScan Server, auf den Sie geradezugreifen, oder über einen anderen OfficeScan Server exportieren.

Hinweis

Um DLP-Vorlagen von OfficeScan 10.6 zu importieren, müssen Sie zuerst diezugeordneten Datenbezeichner (früher Definitionen genannt) importieren. OfficeScankann keine Vorlagen importieren, deren zugeordnete Datenbezeichner fehlen.

Prozedur

1. Navigieren Sie zu Netzwerkcomputer > Prävention vor Datenverlust >Vorlagen.


10-26

2. Klicken Sie auf Importieren, und suchen Sie dann die .DAT-Datei, in der dieVorlagen enthalten sind.


Sie erhalten eine Nachricht, wenn der Import erfolgreich war. Wenn eine Vorlageimportiert werden soll, die bereits vorhanden ist, wird sie übersprungen.


DLP-KanäleBenutzer können vertrauliche Informationen über verschiedene Kanäle übertragen.OfficeScan kann folgende Kanäle überwachen:

• Netzwerkkanäle: Vertrauliche Informationen werden mit Hilfe vonNetzwerkprotokollen wie HTTP und FTP übertragen.

• System- und Anwendungskanäle: Vertrauliche Informationen werden mit Hilfeder Anwendungen und Peripheriegeräte eines lokalen Computers übertragen.

NetzwerkkanäleOfficeScan kann die Datenübertragung über die folgenden Netzwerkkanäle überwachen:

• E-Mail-Clients

• FTP

• HTTP und HTTPS

• IM-Anwendungen

• SMB-Protokoll

• Webmail

Um festzulegen, welche Datenübertragungen überwacht werden sollen, überprüftOfficeScan den Übertragungsumfang, den Sie konfigurieren müssen. Abhängig vom


10-27

ausgewählten Umfang überwacht OfficeScan alle Datenübertragungen oder nurÜbertragungen außerhalb des lokalen Netzwerks (LAN). Weitere Informationen überden Übertragungsbereich finden Sie unter Übertragungsumfang und -ziele für Netzwerkkanäleauf Seite 10-31.

E-Mail-Clients

OfficeScan überwacht E-Mails, die über unterschiedlichste E-Mail-Clients übertragenwerden. OfficeScan überprüft den Betreff, den Text und die Anhänge einer E-Mail nachHinweisen auf Datenbezeichner. Eine Liste aller unterstützten E-Mail-Clients finden Siein der Datenschutzliste unter:


Die Überwachung findet dann statt, wenn der Benutzer versucht, eine E-Mail zuversenden. Enthält die E-Mail Datenbezeichner, wird das Versenden der E-Mail vonOfficeScan zugelassen oder gesperrt.

Sie können überwachte und nicht überwachte interne E-Mail-Domänen definieren.

• Überwachte E-Mail-Domänen: Wenn OfficeScan die Übertragung einer E-Mailan eine überwachte Domäne entdeckt, wird die Aktion hinsichtlich der Richtlinieüberprüft. Je nach Aktion wird die Übertragung zugelassen oder gesperrt.

HinweisWenn Sie E-Mail-Clients als überwachten Kanal auswählen, muss eine E-Mail miteiner Richtlinie übereinstimmen, damit sie überwacht wird. Im Gegensatz dazu wirdeine E-Mail, die an überwachte E-Mail-Domänen gesendet wird, selbst dannautomatisch überwacht, wenn sie nicht mit einer Richtlinie übereinstimmt.

• Nicht überwachte E-Mail-Domänen: OfficeScan erlaubt sofort die Übertragungvon E-Mails, die an nicht überwachte Domänen gesendet werden.



10-28

Hinweis

Datenübertragungen an nicht überwachte E-Mail-Domänen und an überwachte E-Mail-Domänen, bei denen die Aktion "Überwachen" gilt, sind insofern vergleichbar,als die Übertragung zulässig ist. Der einzige Unterschied besteht darin, dassOfficeScan bei nicht überwachten E-Mail-Domänen die Übertragung nichtprotokolliert, während die Übertragung bei überwachten E-Mail-Domänen immerprotokolliert wird.

Geben Sie Domänen in einem der folgenden Formate an. Trennen Sie mehrereDomänen durch Kommas:

• X400-Format, z. B. /O=Trend/OU=USA, /O=Trend/OU=China

• E-Mail-Domänen, z. B. example.com

Bei E-Mail-Nachrichten, die über das SMTP-Protokoll gesendet werden, überprüftOfficeScan, ob der Ziel-SMTP-Server in den folgenden Listen enthalten ist:

1. Überwachte Ziele

2. Nicht überwachte Ziele

Hinweis

Weitere Informationen über Benachrichtigungen finden Sie unter Nicht überwachte undüberwachte Ziele definieren auf Seite 10-39.

3. Überwachte E-Mail-Domänen

4. Nicht überwachte E-Mail-Domänen

Wenn also eine E-Mail an einen SMTP-Server auf der Liste der überwachten Zielegesendet wird, wird die E-Mail überwacht. Wenn sich der SMTP-Server nicht auf derListe überwachter Ziele befindet, überprüft OfficeScan die anderen Listen.

Bei E-Mails, die über andere Protokolle gesendet werden, überprüft OfficeScan nur diefolgenden Listen:

1. Überwachte E-Mail-Domänen

2. Nicht überwachte E-Mail-Domänen


10-29

FTP

Wenn OfficeScan entdeckt, dass ein FTP-Client versucht, Dateien auf einen FTP-Serverhochzuladen, wird überprüft, ob die Dateien Datenbezeichner enthalten. Bis zu diesemZeitpunkt wurden keine Dateien hochgeladen. Je nach DLP-Richtlinie erlaubt odersperrt OfficeScan den Upload.

Wenn Sie eine Richtlinie zum Sperren von Datei-Uploads erstellen, beachten Sie bitteFolgendes:

• Wenn OfficeScan einen Upload sperrt, versuchen einige FTP-Clients diese Dateienerneut hochzuladen. In diesem Fall beendet OfficeScan den FTP-Client, um einenerneuten Upload zu verhindern. Die Benutzer werden über die Beendigung desFTP-Clients nicht informiert. Informieren Sie die Benutzer darüber, wenn SieDLP-Richtlinien einführen.

• Wenn beim Upload einer Datei eine andere Datei auf dem FTP-Serverüberschrieben wird, wird die Datei auf dem FTP-Server eventuell gelöscht.

Eine Liste aller unterstützten FTP-Clients finden Sie in der Datenschutzliste unter:


HTTP und HTTPS

OfficeScan überwacht Daten, die über HTTP und HTTPS übertragen werden. BeiHTTPS überprüft OfficeScan die Daten, bevor sie verschlüsselt und übertragen werden.

Eine Liste aller unterstützten Webbrowser und Anwendungen finden Sie in derDatenschutzliste unter:


IM-Anwendungen

OfficeScan überwacht Nachrichten und Dateien, die Benutzer über IM-Anwendungen(Instant Messaging) versenden. Nachrichten und Dateien, die Benutzer erhalten, werdennicht überwacht.

Eine Liste aller unterstützten IM-Anwendungen finden Sie in der Datenschutzliste unter:




10-30


Wenn OfficeScan eine Nachricht oder Datei sperrt, die über AOL Instant Messenger,MSN, Windows Messenger oder Windows Live Messenger versendet wird, beendet esauch die Anwendung. Falls OfficeScan die Anwendung nicht beendet, muss sie vomBenutzer beendet werden, da sie nicht mehr reagiert. Die Benutzer werden über dieBeendigung der Anwendung nicht informiert. Informieren Sie die Benutzer darüber,wenn Sie DLP-Richtlinien einführen.

SMB-Protokoll

OfficeScan überwacht Datenübertragungen über das SMB-Protokoll (Server MessageBlock), das den Zugriff auf frei gegebene Dateien ermöglicht. Wenn ein andererBenutzer versucht, eine freigegebene Datei zu kopieren oder zu lesen, überprüftOfficeScan, ob die Datei selbst ein Datenbezeichner ist oder einen enthält, und erlaubtoder sperrt dann den Vorgang.

Hinweis

Die Aktion der Gerätesteuerung hat Vorrang vor der DLP-Aktion. Wenn zum Beispiel dieGerätesteuerung das Verschieben von Dateien auf verbundenen Netzlaufwerken nichterlaubt, werden keine vertraulichen Daten übertragen, auch wenn DLP es erlaubt. WeitereInformationen zu Aktionen der Gerätesteuerung finden Sie unter Berechtigungen fürSpeichergeräte auf Seite 9-3.

Eine Liste aller Anwendungen, die OfficeScan für den Zugriff auf freigegebene Dateienüberwacht, finden Sie in der Datenschutzliste unter:


Webmail

Webbasierte E-Mail-Services übertragen Daten über HTTP. Wenn OfficeScan bemerkt,dass Daten über unterstützte Geräte versendet werden, überprüft es die Daten nachDatenbezeichnern.

Eine Liste aller unterstützten webbasierten E-Mail-Dienste finden Sie in derDatenschutzliste unter:




10-31


Übertragungsumfang und -ziele für NetzwerkkanäleMit dem Übertragungsumfang und den Übertragungszielen werden dieDatenübertragungen in Netzwerkkanälen definiert, die OfficeScan überwachen muss.Bei zu überwachenden Übertragungen überprüft OfficeScan, ob Datenbezeichnervorhanden sind, bevor die Übertragung erlaubt oder gesperrt wird. Bei nicht zuüberwachenden Übertragungen überprüft OfficeScan nicht, ob Datenbezeichnervorhanden sind, und lässt die Übertragung sofort zu.

Übertragungsumfang: Alle Übertragungen

OfficeScan überwacht Daten, die an ein Ziel außerhalb des Hostcomputers übertragenwerden.

HinweisTrend Micro empfiehlt die Wahl dieses Bereichs für externe Clients.

Wenn Datenübertragungen zu bestimmten Zielen außerhalb des Host-Computers nichtüberwacht werden sollen, definieren Sie folgende Punkte:

• Nicht überwachte Ziele: OfficeScan überwacht keine an folgende Zieleübertragenen Daten.

HinweisDatenübertragungen an nicht überwachte Ziele und an überwachte Ziele, bei denendie Aktion "Überwachen" gilt, sind insofern vergleichbar, als die Übertragung zulässigist. Der einzige Unterschied besteht darin, dass OfficeScan bei nicht überwachtenZielen die Übertragung nicht protokolliert, während die Übertragung beiüberwachten Zielen immer protokolliert wird.

• Überwachte Ziele: Dabei handelt es sich um spezielle Ziele innerhalb der nichtüberwachten Ziele, die jedoch überwacht werden müssen. Überwachte Ziele sind:

• Optional, wenn Sie nicht überwachte Ziele definiert haben.



10-32

• Nicht konfigurierbar, wenn Sie keine nicht überwachten Ziele festgelegthaben.

Beispiel:

Folgende IP-Adressen wurden der Rechtsabteilung Ihrer Firma zugewiesen:

• 10.201.168.1 bis 10.201.168.25

Sie erstellen eine Richtlinie, mit der die Übertragung von Beschäftigungsnachweisen analle Mitarbeiter mit Ausnahme der Vollzeitmitarbeiter der Rechtsabteilung überwachtwird. Wählen Sie hierzu als Übertragungsumfang Alle Übertragungen aus, und gehenSie anschließend wie folgt vor:

Möglichkeit 1:

1. Fügen Sie 10.201.168.1-10.201.168.25 zu den nicht überwachten Zielen hinzu.

2. Fügen Sie die IP-Adressen der Teilzeitmitarbeiter der Rechtsabteilung zu denüberwachten Zielen hinzu. Angenommen, es gibt 3 IP-Adressen, 10.201.168.21 -10.201.168.23.

Möglichkeit 2:

Fügen Sie die IP-Adressen der Vollzeitmitarbeiter der Rechtsabteilung zu den nicht-überwachten Zielen hinzu:

• 10.201.168.1-10.201.168.20

• 10.201.168.24-10.201.168.25

Richtlinien zur Definition überwachter und nicht überwachter Ziele finden Sie unterNicht überwachte und überwachte Ziele definieren auf Seite 10-39.

Übertragungsumfang: Nur Übertragungen außerhalb deslokalen Netzwerks

OfficeScan überwacht Daten, die an ein beliebiges Ziel außerhalb des lokalen Netzwerks(LAN) übertragen werden.


10-33

HinweisTrend Micro empfiehlt die Wahl dieses Bereichs für interne Clients.

"Netzwerk" bezieht sich auf das Unternehmens- oder lokale Netzwerk. Dazu gehörendas aktuelle Netzwerk (IP-Adresse des Endpunkts und Netzmaske) und die folgendenstandardmäßigen privaten IP-Adressen:

• Klasse A: 10.0.0.0 bis 10.255.255.255

• Klasse B: 172.16.0.0 bis 172.31.255.255

• Klasse C: 192.168.0.0 bis 192.168.255.255

Wenn Sie diesen Übertragungsumfang auswählen, können Sie folgende Elementedefinieren:

• Nicht überwachte Ziele: Definieren Sie Ziele außerhalb des LAN, die Sie fürsicher halten und die deshalb nicht überwacht werden müssen.

HinweisDatenübertragungen an nicht überwachte Ziele und an überwachte Ziele, bei denendie Aktion "Überwachen" gilt, sind insofern vergleichbar, als die Übertragung zulässigist. Der einzige Unterschied besteht darin, dass OfficeScan bei nicht überwachtenZielen die Übertragung nicht protokolliert, während die Übertragung beiüberwachten Zielen immer protokolliert wird.

• Überwachte Ziele: Definieren Sie Ziele innerhalb des LAN, die Sie überwachenmöchten.

Richtlinien zur Definition überwachter und nicht überwachter Ziele finden Sie unterNicht überwachte und überwachte Ziele definieren auf Seite 10-39.

Konflikte auflösen

Wenn bei den Einstellungen für den Übertragungsumfang, für überwachte Ziele und fürnicht überwachte Ziele Konflikte auftreten, erkennt OfficeScan die folgendenPrioritäten von der höchsten bis zur niedrigsten Priorität:

• Überwachte Ziele


10-34

• Nicht überwachte Ziele

• Übertragungsumfang

System- und AnwendungskanäleOfficeScan kann folgende System- und Anwendungskanäle überwachen:

• Datenspeicher (CD/DVD)

• Peer-to-Peer-Anwendungen

• PGP-Verschlüsselung

• Drucker

• Wechseldatenträger

• Synchronisierungssoftware (ActiveSync)

• Windows-Zwischenablage

Datenspeicher (CD/DVD)OfficeScan überwacht Daten, die auf CD oder DVD gespeichert werden. Eine Listealler unterstützten Datenspeichergeräte und -programme finden Sie in der Datenschutzlisteunter:


Wenn OfficeScan entdeckt, dass eines der unterstützten Geräte oder Programme einenBrenn-Befehl gibt und als Aktion "Übergehen" gewählt wurde, werden die Datengespeichert. Wenn als Aktion "Sperren" gewählt wurde, überprüft OfficeScan, ob eineder Dateien, die gespeichert werden soll, selbst ein Datenbezeichner ist oder einenenthält. Wenn OfficeScan mindestens einen Datenbezeichner erkennt, werden keineDateien – auch nicht solche, die selbst kein Datenbezeichner sind oder einen enthalten –gespeichert. OfficeScan kann möglicherweise verhindern, dass eine CD oder DVDausgeworfen wird. Falls dieses Problem auftritt, sollen die Benutzer die Software neustarten oder das Gerät zurücksetzen.

OfficeScan wendet zusätzliche CD-/DVD-Speicherungsregeln an:



10-35

• Um Fehlalarme zu reduzieren, überwacht OfficeScan die folgenden Dateien nicht:

.bud .dll .gif .gpd .htm .ico .ini

.jpg .lnk .sys .ttf .url .xml

• Zwei Dateitypen, die von Roxio Datenspeichern verwendet werden (*.png und*.skn) werden nicht überwacht, um die Leistung zu erhöhen.

• OfficeScan überwacht keine Dateien in den folgenden Verzeichnissen:

*:\autoexec.bat *:\Windows

..\Application Data ..\Cookies

..\Local Settings ..\ProgramData

..\Programme ..\Users\*\AppData

..\WINNT

• ISO-Images, die von diesen Dateien oder Programmen erstellt werden, werdennicht überwacht.

Peer-to-Peer-Anwendungen

OfficeScan überwacht Dateien, die Benutzer über Peer-to-Peer-Anwendungen mitanderen teilen.

Eine Liste aller unterstützten Peer-to-Peer-Anwendungen finden Sie in derDatenschutzliste unter:


PGP-Verschlüsselung

OfficeScan überwacht Daten, die mit PGP-Verschlüsselungssoftware verschlüsseltwerden sollen. OfficeScan überprüft die Daten, bevor sie verschlüsselt werden.

Eine Liste der unterstützten PGP-Verschlüsselungssoftware finden Sie in derDatenschutzliste unter:



10-36


Drucker

OfficeScan überwacht Druckvorgänge, die von verschiedenen Anwendungen ausgelöstwerden.

OfficeScan überwacht keine Druckvorgänge bei neuen Dateien, die noch nichtgespeichert wurden, da sich die Druckdaten bis zu diesem Zeitpunkt nur imArbeitsspeicher befinden.

Eine Liste aller unterstützten Anwendungen, die Druckvorgänge auslösen können,finden Sie in der Datenschutzliste unter:


Wechseldatenträger

OfficeScan überwacht Datenübertragungen auf oder innerhalb vonWechselspeichermedien. Die Datenübertragung umfasst folgende Aktivitäten:

• Erstellen einer Datei auf einem Gerät

• Kopieren einer Datei vom Host-Rechner auf das Gerät

• Schließen einer Datei auf einem Gerät

• Verändern von Dateiinformationen (etwa der Dateierweiterung) auf einem Gerät

Wenn eine zu übertragende Datei einen Datenbezeichner enthält, sperrt oder erlaubtOfficeScan die Übertragung.

Hinweis

Die Aktion der Gerätesteuerung hat Vorrang vor der DLP-Aktion. Wenn zum Beispiel dieGerätesteuerung das Kopieren von Dateien auf ein Wechselspeichermedium nicht erlaubt,wird die Übertragung vertraulicher Informationen nicht fortgesetzt, selbst wenn DLP dieszulässt. Weitere Informationen zu Aktionen der Gerätesteuerung finden Sie unterBerechtigungen für Speichergeräte auf Seite 9-3.




10-37

Eine Liste der unterstützten Wechselspeichermedien und Anwendungen, die dieDatenübertragung ermöglichen, finden Sie in der Datenschutzliste unter:


Die Handhabung von Dateiübertragungen auf ein Wechselspeichermedium ist relativeinfach. Zum Beispiel möchte ein Benutzer, der eine Microsoft Word-Datei erstellt,diese auf eine SD-Karte speichern (der Dateityp spielt dabei keine Rolle). Wenn dieDatei einen Datenbezeichner enthält, der nicht übertragen werden soll, verhindertOfficeScan, dass diese Datei gespeichert wird.

Zur Dateiübertragung innerhalb des Mediums erstellt OfficeScan zunächst eineSicherungskopie der Datei (nur bei Dateien bis 75 MB) unter %WINDIR%\system32\dgagent\temp, bevor sie übertragen wird. OfficeScan entfernt dieSicherungskopie, wenn es die Dateiübertragung erlaubt. Wenn OfficeScan dieÜbertragung gesperrt hat, könnte es sein, dass die Datei dabei gelöscht wurde. In diesemFall kopiert OfficeScan die Sicherungskopie in den Ordner, in dem sich die Originaldateibefindet.

Mit OfficeScan können Sie nicht überwachte Geräte definieren. OfficeScan lässtDatenübertragungen zu diesen oder innerhalb dieser Geräte immer zu. Identifizieren Siedie Geräte nach ihrem Hersteller, und geben Sie optional die Gerätemodelle undSeriennummern an.

Tipp

Verwenden Sie Device List, um Geräte abzufragen, die mit dem Endpunkt verbunden sind.Das Tool liefert den Hersteller, das Modell und die Seriennummer für jedes Gerät. WeitereInformationen finden Sie unter Device List auf Seite 9-13.

Synchronisierungssoftware (ActiveSync)

OfficeScan überwacht Daten, die über Synchronisierungssoftware auf ein mobiles Gerätübertragen werden.

Eine Liste der unterstützten Synchronisierungs-Software finden Sie in der Datenschutzlisteunter:





10-38

Wenn die Daten die Quell-IP-Adresse 127.0.0.1 haben und entweder über Port 990 oder5678 versendet werden (die zur Synchronisierung verwendeten Ports), überprüftOfficeScan, ob die Datei ein Datenbezeichner ist, bevor es die Übertragung erlaubt odersperrt.

Wenn OfficeScan eine Datei sperrt, die auf Port 990 übertragen wird, könnte trotzdemeine Datei mit gleichem Namen, aber defekten Zeichen, am Zielordner auf dem mobilenGerät erstellt werden. Das liegt daran, dass Teile der Datei auf das Gerät kopiertwurden, bevor OfficeScan die Übertragung gesperrt hat.

Windows-Zwischenablage

OfficeScan überwacht Daten, die in die Windows-Zwischenablage übertragen werdensollen, bevor es die Übertragung erlaubt oder sperrt.

OfficeScan kann auch Übertragungen in die Zwischenablage zwischen dem Host-Rechner und VMWare bzw. Remote Desktop überwachen. Die Überwachung erfolgtauf der Einheit, die mit dem OfficeScan Client verbunden ist. Zum Beispiel kann einOfficeScan Client auf einer virtuellen VMware-Maschine verhindern, dass Daten imZwischenspeicher auf den Host-Rechner übertragen werden. Ebenso kann eine Host-Maschine mit einem OfficeScan Client eventuell keine Daten im Zwischenspeicher aufeinen Endpunkt übertragen, auf den per Remote-Desktop zugegriffen wird.

Aktionen der Funktion "Prävention vorDatenverlust"

Wenn OfficeScan die Übertragung von Datenbezeichnern entdeckt, überprüft es, ob dieentsprechenden Richtlinien eingehalten werden, und führt dann den Vorgangrichtliniengemäß durch.

Die folgende Tabelle enthält eine Liste der Aktionen für die Funktion "Prävention vorDatenverlust".


10-39

TABELLE 10-5. Aktionen der Funktion "Prävention vor Datenverlust"

AKTION BESCHREIBUNG

Aktionen

Übergehen OfficeScan erlaubt und protokolliert die Übertragung

Sperren OfficeScan blockiert und protokolliert die Übertragung

Zusätzliche Aktionen

Client-Benutzerbenachrichtigen

OfficeScan benachrichtigt den Benutzer, ob dieDatenübertragung stattgefunden hat oder gesperrt wurde.

Daten aufzeichnen Unabhängig von der primären Aktion zeichnet OfficeScandie vertraulichen Informationen im Ordner<Installationsordner des Clients>\DLPLite\Forensic auf. Wählen Sie diese Aktion, um vertraulicheInformationen zu überprüfen, die von der Funktion"Prävention vor Datenverlust" gekennzeichnet werden.

Aufgezeichnete vertrauliche Informationen können zu vielFestplattenspeicherplatz verbrauchen. Daher empfiehltTrend Micro dringend, dass Sie diese Option nur fürhochsensible Informationen wählen.

Ausnahmen für Prävention vor DatenverlustDLP-Ausnahmen gelten für die gesamte Richtlinie, einschließlich aller darin definiertenRegeln. OfficeScan wendet die Ausnahmeeinstellungen auf alle Übertragungen an, bevornach digitalen Assets gesucht wird. Wenn eine Übertragung mit einer derAusnahmeregeln übereinstimmt, wird die Übertragung je nach Ausnahmetyp sofortzugelassen oder durchsucht.

Nicht überwachte und überwachte Ziele definierenDefinieren Sie die nicht überwachten und die überwachten Ziele anhand desÜbertragungsbereichs, der auf der Registerkarte Kanal konfiguriert ist. Details zurDefinition nicht überwachter und überwachter Ziele für Alle Übertragungen finden


10-40

Sie unter Übertragungsumfang: Alle Übertragungen auf Seite 10-31. Details zur Definition nichtüberwachter und überwachter Ziele für Nur Übertragungen an Ziele außerhalb deslokalen Netzwerks finden Sie unter Übertragungsumfang: Nur Übertragungen außerhalb deslokalen Netzwerks auf Seite 10-32.

Befolgen Sie die nachstehenden Richtlinien, wenn Sie überwachte und nicht überwachteZiele definieren:

1. Definieren Sie jedes Ziel nach:

• IP-Adresse

• Host-Name

• FQDN

• Netzwerkadresse und Subnetzmaske, z. B. 10.1.1.1/32

HinweisBei der Subnetzmaske unterstützt OfficeScan nur einen Port vom Typ klassenlosesInter-Domänen-Routing (CIDR). Das heißt, Sie können nur eine Zahl wie 32 anstellevon 255.255.255.0 eingeben.

2. Um bestimmte Kanäle anzusteuern, geben Sie die Standard- oder die vom Benutzerbzw. Unternehmen festgelegten Portnummern für diese Kanäle an. Port 21 ist z. B.typischerweise für FTP-, Port 80 für HTTP- und Port 443 für HTTPS-Datenverkehr bestimmt. Verwenden Sie einen Doppelpunkt, um das Ziel von denPortnummern zu trennen.

3. Sie können auch Portbereiche angeben. Um alle Ports einzubeziehen, ignorierenSie den Portbereich.

Nachstehend finden Sie einige Beispiele für Ziele mit Portnummern undPortbereichen:

• 10.1.1.1:80

• host:5-20

• host.domain.com:20

• 10.1.1.1/32:20


10-41

4. Trennen Sie einzelne Ziele mit Kommas voneinander.

Dekomprimierungsregeln

Dateien, die komprimierte Dateien enthalten, können nach digitalen Assets durchsuchtwerden. Um die zu durchsuchenden Dateien zu ermitteln, wendet OfficeScan folgendeRegeln auf eine komprimierte Datei an:

• Die dekomprimierte Datei größer ist als: __ MB (1-512MB)

• Komprimierungsebenen sind höher als: __ (1-20)

• Anzahl der zu durchsuchenden Dateien ist höher als: __ (1-2000)

Regel 1: Maximale Größe einer dekomprimierten Datei

Eine komprimierte Datei muss bei ihrer Dekomprimierung den angegebenen Grenzwerteinhalten.

Beispiel: Sie haben den Grenzwert auf 20 MB gesetzt.

Szenario 1: Wenn die Größe der Datei archive.zip bei der Dekomprimierung 30MB, beträgt, wird keine der in der Datei archive.zip enthaltenen Dateiendurchsucht. Die anderen beiden Regeln werden nicht mehr überprüft.

Szenario 2: Wenn die Größe der Datei my_archive.zip bei der Dekomprimierung10 MB beträgt:

• Wenn die Datei my_archive.zip keine komprimierten Dateien enthält,überspringt OfficeScan Regel 2 und fährt direkt mit Regel 3 fort.

• Wenn die Datei my_archive.zip komprimierte Dateien enthält, muss die Größealler dekomprimierten Dateien unterhalb des Grenzwerts liegen. Beispiel: DieDatei my_archive.zip enthält die Dateien AAA.rar, BBB.zip und EEE.zip,und EEE.zip enthält 222.zip:

my_archive.zip

= 10 MB bei der Dekomprimierung


10-42

\AAA.rar = 25MB bei der Dekomprimierung

\BBB.zip = 3MB bei der Dekomprimierung

\EEE.zip = 1MB bei der Dekomprimierung

\222.zip

= 2MB bei der Dekomprimierung

Für die Dateien my_archive.zip, BBB.zip, EEE.zip und 222.zip wird eineÜberprüfung hinsichtlich der Regel 2 durchgeführt, weil die kombinierte Größedieser Dateien unterhalb des Grenzwerts von 20 MB liegt. AAA.rar wirdübersprungen.

Regel 2: Maximale Komprimierungsebenen

Dateien innerhalb der angegebenen Anzahl Ebenen werden zum Durchsuchen markiert.

Beispiel:

my_archive.zip

\BBB.zip \CCC.xls

\DDD.txt

\EEE.zip \111.pdf

\222.zip \333.txt

Wenn Sie den Grenzwert auf zwei Ebenen festlegen:

• OfficeScan ignoriert 333.txt, da sich diese Datei auf der dritten Ebene befindet.

• OfficeScan markiert die folgenden Dateien zum Durchsuchen und überprüft dannRegel 3:

• DDD.txt (auf der ersten Ebene)

• CCC.xls (auf der zweiten Ebene)

• 111.pdf (auf der zweiten Ebene)


10-43

Regel 3: Maximale zu durchsuchende Anzahl DateienOfficeScan durchsucht Dateien bis zum angegebenen Grenzwert. OfficeScandurchsucht Dateien und Ordner erst in numerischer, dann in alphabetischerReihenfolge.

Ausgehend vom Beispiel in Regel 2 hat OfficeScan die hervorgehobenen Dateien zumDurchsuchen markiert:

my_archive.zip

\BBB.zip \CCC.xls

\DDD.txt

\EEE.zip \111.pdf

\222.zip \333.txt

Darüber hinaus enthält my_archive.zip einen Ordner namens 7Folder, der nichtauf Regel 2 überprüft wurde. Dieser Ordner enthält die Dateien FFF.doc undGGG.ppt. Dadurch erhöht sich die Gesamtzahl der zu durchsuchenden Dateien auf 5,wie nachstehend hervorgehoben:

my_archive.zip

\7Folder \FFF.doc

\7Folder \GGG.ppt

\BBB.zip \CCC.xls

\DDD.txt

\EEE.zip \111.pdf

\222.zip \333.txt

Wenn Sie den Grenzwert auf 4 Dateien festlegen, werden die folgenden Dateiendurchsucht:

• FFF.doc

• GGG.ppt


10-44

• CCC.xls

• DDD.txt

HinweisBei Dateien, die eingebettete Dateien enthalten, extrahiert OfficeScan den Inhalt dereingebetteten Dateien.

Wenn es sich beim extrahierten Inhalt um Text handelt, werden die Hostdatei (z. B.123.doc) und die eingebetteten Dateien (z. B.abc.txt und xyz.xls) als eine Dateigezählt.

Wenn es sich beim extrahierten Inhalt nicht um Text handelt, werden die Hostdatei (z. B.123.doc) und die eingebetteten Dateien (z. B. abc.exe) separat gezählt.

Ereignisse, die Dekomprimierungsregeln auslösenDie folgenden Ereignisse lösen Dekomprimierungsregeln aus:

• Ereignis 1:

Eine komprimierte Datei, die übertragen werden soll, stimmt mit einer Richtlinieüberein, und die Aktion für die komprimierte Datei lautet "Übergehen" (Dateiübertragen).

Um beispielsweise .ZIP-Dateien zu überwachen, die Benutzer übertragen, habenSie ein Dateiattribut (.ZIP) definiert, zu einer Vorlage hinzugefügt, die Vorlage ineiner Richtlinie verwendet und anschließend die Aktion auf Übergehen gesetzt.

HinweisWenn die Aktion "Sperren" lautet, wird die gesamte komprimierte Datei nichtübertragen. Daher müssen die darin enthaltenen Dateien nicht durchsucht werden.

• Ereignis 2:

Eine komprimierte Datei, die übertragen werden soll, stimmt nicht mit einerRichtlinie überein.

In diesem Fall wendet OfficeScan trotzdem die Dekomprimierungsregeln auf diekomprimierte Datei an, um festzustellen, welche der darin enthaltenen Dateien auf


10-45

digitale Assets durchsucht werden sollen und ob die gesamte komprimierte Dateiübertragen werden soll.

• Ergebnis:

Die Ereignisse 1 und 2 haben dasselbe Ergebnis. Wenn OfficeScan einekomprimierte Datei findet:

• Wenn Regel 1 nicht erfüllt wird, lässt OfficeScan die Übertragung dergesamten komprimierten Datei zu.

• Wenn Regel 1 erfüllt wird, werden die anderen beiden Regeln überprüft.OfficeScan lässt die Übertragung der gesamten komprimierten Datei zu, wenndie folgenden Punkte erfüllt sind:

• Alle durchsuchten Dateien stimmen nicht mit einer Richtlinie überein.

• Alle durchsuchten Dateien stimmen mit einer Richtlinie überein, und dieAktion lautet Übergehen.

Die Übertragung der gesamten komprimierten Datei wird gesperrt, wennmindestens eine durchsuchte Datei mit einer Richtlinie übereinstimmtund die Aktion Sperren lautet.

Richtlinienkonfiguration der Funktion"Prävention vor Datenverlust"

Nachdem Sie Datenbezeichner konfiguriert und in Vorlagen kategorisiert haben, könnenSie damit beginnen, Richtlinien für die Funktion "Prävention vor Datenverlust" zuerstellen.

Zusätzlich zu den Datenbezeichnern und Vorlagen müssen Sie bei der Erstellung einerRichtlinie Kanäle und Aktionen konfigurieren. Weitere Informationen über Richtlinienfinden Sie unter Richtlinien für 'Prävention vor Datenverlust' auf Seite 10-3.


10-46

Richtlinie für Prävention vor Datenverlust erstellen

Prozedur



3. Klicken Sie auf Einstellungen > DLP-Einstellungen.

4. Klicken Sie auf die Registerkarte Externe Clients, um eine Richtlinie für externeClients zu konfigurieren, oder auf die Registerkarte Interne Clients, um eineRichtlinie für interne Clients zu konfigurieren.

Hinweis

Konfigurieren Sie die Einstellungen zum Client-Standort, wenn Sie es noch nichtgemacht haben. Clients benutzen diese Einstellungen, um ihren Ort festzulegen unddie richtige Richtlinie für die Funktion "Prävention vor Datenverlust" anzuwenden.Weitere Informationen finden Sie unter Computerstandort auf Seite 14-2.

5. Wählen Sie'Prävention vor Datenverlust' aktivieren.

6. Wählen Sie eine der folgenden Optionen aus:

• Auf der Registerkarte Externe Clients können Sie alle Einstellungen für dieFunktion "Prävention vor Datenverlust" auf interne Clients anwenden, indemSie die Option Alle Einstellungen für interne Clients übernehmenwählen.

• Auf der Registerkarte Interne Clients können Sie alle Einstellungen für dieFunktion "Prävention vor Datenverlust" auf externe Clients anwenden, indemSie die Option Alle Einstellungen für externe Clients übernehmenwählen.

7. Klicken Sie auf der Registerkarte Regeln auf Hinzufügen.

Eine Richtlinie darf maximal 40 Regeln enthalten.

8. Konfigurieren Sie die Regeleinstellungen.


10-47

Einzelheiten zum Erstellen von DLP-Regeln finden Sie unter Regeln für Präventionvor Datenverlust erstellen auf Seite 10-47.

9. Klicken Sie auf die Registerkarte Ausnahmen, und konfigurieren Sie dieerforderlichen Ausnahmeeinstellungen.

Einzelheiten zu den verfügbaren Ausnahmeeinstellungen finden Sie unterAusnahmen für Prävention vor Datenverlust auf Seite 10-39.

10. Wenn Sie in der Client-Hierarchie Domänen oder Clients ausgewählt haben,klicken Sie auf Einstellungen speichern und auf die Clients anwenden. WennSie auf das Stammsymbol geklickt haben, können Sie aus folgenden Optionenauswählen:



Regeln für Prävention vor Datenverlust erstellen

Prozedur

1. Wählen Sie Diese Regel aktivieren.

2. Geben Sie einen Namen für diese Regel an.

Konfigurieren Sie die Vorlageneinstellungen:

3. Klicken Sie auf die Registerkarte Vorlage.

4. Wählen Sie Vorlagen aus der Liste Verfügbare Vorlagen, und klicken Sie dann aufHinzufügen.

Zur Auswahl von Vorlagen:


10-48

• Durch Klicken auf die Vorlagennamen können Sie mehrere Einträgeauswählen. Der Name wird hervorgehoben.

• Verwenden Sie die Suchfunktion, wenn Sie nach einer bestimmten Vorlagesuchen. Sie können den Namen der Vorlage vollständig oder teilweiseeingeben.

HinweisJede Regel darf maximal 200 Vorlagen enthalten.

5. Wenn Ihre gewünschte Vorlage in der Liste Verfügbare Vorlagen nicht gefundenwird:

a. Klicken Sie auf Neue Vorlage hinzufügen.

Das Fenster Vorlagen für 'Prävention vor Datenverlust' wird angezeigt.

Weitere Hinweise zum Hinzufügen von Vorlagen zum Fenster Vorlagen für'Prävention vor Datenverlust' finden Sie unter Vorlagen für 'Prävention vorDatenverlust' auf Seite 10-21.

b. Nachdem Sie eine Vorlage erstellt haben, wählen sie diese aus und klicken aufHinzufügen.

HinweisOfficeScan verwendet beim Prüfen von Vorlagen die Regel der erstenÜbereinstimmung. Das bedeutet, dass OfficeScan keine weiteren Vorlagen prüft,wenn eine Datei oder Daten mit der Definition in einer Vorlage übereinstimmen. DiePriorität basiert auf der Reihenfolge der Vorlagen in der Liste.

Konfigurieren Sie die Kanaleinstellungen:

6. Klicken Sie auf die Registerkarte Kanal.

7. Wählen Sie die Kanäle für die Richtlinie aus.

Weitere Informationen über Kanäle finden Sie unter Netzwerkkanäle auf Seite 10-26und System- und Anwendungskanäle auf Seite 10-34.

8. Wenn Sie einen der Netzwerkkanäle ausgewählt haben, wählen Sie denÜbertragungsbereich:


10-49

• Alle Übertragungen

• Nur Übertragungen außerhalb des lokalen Netzwerks

Unter Übertragungsumfang und -ziele für Netzwerkkanäle auf Seite 10-31 finden Sieweitere Informationen über den Übertragungsumfang, wie Ziele abhängig vomÜbertragungsumfang funktionieren und wie Ziele korrekt definiert werden.

9. Wenn Sie E-Mail-Clients ausgewählt haben:

a. Klicken Sie auf Ausnahmen.

b. Geben Sie überwachte und nicht-überwachte interne E-Mail-Domänen an.Informationen über überwachte und nicht-überwachte E-Mail-Domänenfinden Sie unter E-Mail-Clients auf Seite 10-27.

10. Wenn Sie Wechseldatenträger ausgewählt haben:

a. Klicken Sie auf Ausnahmen.

b. Fügen Sie nicht-überwachte Wechseldatenträger hinzu, indem Sie sie anhandder jeweiligen Hersteller ermitteln. Die Modellbezeichnung und die serielle IDdes Geräts sind optional.

Die Liste der zulässigen USB-Geräte unterstützt die Verwendung des Sterns(*) als Platzhalter. Verwenden Sie den Stern (*) in beliebigen Feldern, um alleGeräte einzuschließen, die den Kriterien der übrigen Felder entsprechen.

Beispiel: [Hersteller]-[Modell]-* platziert alle Geräte des angegebenenHerstellers und Modells in die Liste der zulässigen Geräte, unabhängig vonder Seriennummer.

c. Um weitere Geräte hinzuzufügen, klicken Sie auf das Plus-Symbol (+).

TippVerwenden Sie Device List, um Geräte abzufragen, die mit dem Endpunktverbunden sind. Das Tool liefert den Hersteller, das Modell und die Seriennummerfür jedes Gerät. Weitere Informationen finden Sie unter Device List auf Seite 9-13.

Konfigurieren Sie die Aktionseinstellungen:

11. Klicken Sie auf die Registerkarte Aktion.


10-50

12. Wählen Sie eine primäre Aktion und weitere zusätzliche Aktionen. WeitereInformationen über Aktionen finden Sie unter Aktionen der Funktion "Prävention vorDatenverlust" auf Seite 10-38.

13. Nach der Konfiguration der Einstellungen für Vorlage, Kanal und Aktion klickenSie auf Speichern.

Regeln für Prävention vor Datenverlust importieren,exportieren und kopieren

Administratoren können bereits definierte (und in einer korrekt formatierten .dat-Datei enthaltene) Regeln importieren oder eine Liste der konfigurierten DLP-Regelnexportieren. Durch Kopieren einer DLP-Regel kann ein Administrator zeitsparend denInhalt einer bereits definierten Regel anpassen.

In der folgenden Tabelle wird die Funktionsweise der einzelnen Funktionenbeschrieben.

TABELLE 10-6. Import-, Export- und Kopierfunktionen für DLP-Regeln


Importieren Beim Importieren einer Regelliste werden nicht vorhandene Regeln andie Liste der bestehenden DLP-Regeln angefügt. OfficeScanüberspringt alle Regeln, die in der Zielliste bereits vorhanden sind.OfficeScan behält alle vorkonfigurierten Einstellungen der einzelnenRegeln bei, auch den Status "Aktiviert" oder "Deaktiviert".


10-51


Exportieren Beim Exportieren einer Regelliste wird die gesamte Liste in eine .dat-Datei exportiert, die Administratoren anschließend importieren undanderen Domänen oder Clients bereitstellen können. OfficeScanspeichert alle Regeleinstellungen auf Grundlage der aktuellenKonfiguration.

Hinweis

• Administratoren müssen vor dem Listenexport alle neuenoder geänderten Regeln speichern oder anwenden.

• OfficeScan exportiert keine für die Richtlinie konfiguriertenAusnahmen, sondern nur die Einstellungen jeder einzelnenRegel.

Kopieren Beim Kopieren einer Regel wird ein exaktes Abbild der aktuellenKonfigurationseinstellungen der Regel erstellt. Administratoren müssender Regel einen neuen Namen geben und können alle erforderlichenKonfigurationsänderungen daran vornehmen.

Benachrichtigungen der Funktion "Präventionvor Datenverlust"

OfficeScan verfügt über zahlreiche Standardbenachrichtigungen, die Sie und andereOfficeScan Administratoren und Client-Benutzer über die Übertragung digitaler Assetsinformieren.

Weitere Informationen zu den an Administratoren gesendeten Benachrichtigungenfinden Sie unter Benachrichtigungen der Funktion "Prävention vor Datenverlust" fürAdministratoren auf Seite 10-52.

Weitere Informationen zu den an Clientbenutzer gesendeten Benachrichtigungen findenSie unter Benachrichtigungen zur Funktion "Prävention vor Datenverlust" für Client-Benutzer aufSeite 10-55.


10-52

Benachrichtigungen der Funktion "Prävention vorDatenverlust" für Administratoren

Konfigurieren Sie OfficeScan so, dass eine Benachrichtigung versendet wird, wenn eineÜbertragung digitaler Assets entdeckt wird, oder nur dann, wenn eine Übertragunggesperrt wird.

OfficeScan verfügt über zahlreiche Standardbenachrichtigungen, die Sie und andereAdministratoren über die Übertragung digitaler Assets informieren. Sie können dieBenachrichtigungen ändern und zusätzliche Benachrichtigungseinstellungenkonfigurieren, die den Anforderungen des Unternehmens entsprechen.

HinweisOfficeScan kann Benachrichtigungen per E-Mail, Pager, SNMP-Trap und Windows NTEreignisprotokolle versenden. Konfigurieren Sie die Einstellungen, wenn OfficeScan überdiese Kanäle Benachrichtigungen versendet. Weitere Informationen finden Sie unterEinstellungen für die Administratorbenachrichtigungen auf Seite 13-33.

Benachrichtigungen zur Funktion "Prävention vorDatenverlust" für Administratoren konfigurieren

Prozedur



a. Gehen Sie zum Abschnitt Übertragungen digitaler Assets.

b. Bestimmen Sie, ob die Benachrichtigungen versendet werden, wenn dieÜbertragung digitaler Assets entdeckt wird (diese Aktion kann gesperrt oderzugelassen sein) oder wenn die Übertragung gesperrt wird.





10-53


Mit der rollenbasierten Administration können Sie Benutzern Client-Hierarchie-Domänenberechtigungen gewähren. Bei einer Übertragung aufeinem Client, der zu einer bestimmten Domäne gehört, wird die E-Mail an dieE-Mail-Adressen der Benutzer mit Domänenberechtigung gesendet. Beispieledafür sehen Sie in der folgenden Tabelle:


CLIENT-HIERARCHIE-

DOMÄNE


GUNGEN



BENUTZERKONTO








Wenn ein OfficeScan Client in Domäne A eine Übertragung digitaler Assetsentdeckt, wird die E-Mail an [email protected], [email protected], [email protected] versendet.

Wenn ein Client in Domäne B die Übertragung entdeckt, wird die E-Mail [email protected] und [email protected] versendet.

Hinweis

Wenn Sie die Option aktivieren, benötigen alle Benutzer mitDomänenberechtigung eine entsprechende E-Mail-Adresse. Die E-Mail-Benachrichtigung wird nicht an Benutzer ohne E-Mail-Adresse gesendet.Benutzer und E-Mail-Adressen werden unter Administration >Benutzerkonten konfiguriert.


10-54


e. Übernehmen oder ändern Sie die Standardbetreffzeile und -nachricht.Verwenden Sie Token-Variablen als Platzhalter für Daten in den FeldernBetreff und Nachricht.

TABELLE 10-8. Token-Variablen für Benachrichtigungen zur Funktion"Prävention vor Datenverlust"


%USER% Der Benutzer, der angemeldet war, als die Übertragungentdeckt wurde

%COMPUTER% Computer, bei dem eine Übertragung erkannt wurde

%DOMAIN% Domäne des Computers

%DATETIME% Datum/Uhrzeit, als die Übertragung entdeckt wurde

%CHANNEL% Der Kanal, über den die Übertragung entdeckt wurde

%TEMPLATE% Die Vorlage für digitale Assets, durch welche dieEntdeckung ausgelöst wurde



b. Wählen Sie Benachrichtigung per Pager aktivieren.





c. Übernehmen Sie die Standardmeldung oder ändern Sie sie. Sie können Token-Variablen als Platzhalter für Daten im Feld Nachricht verwenden. WeitereInformationen finden Sie unter Tabelle 10-8: Token-Variablen fürBenachrichtigungen zur Funktion "Prävention vor Datenverlust" auf Seite 10-54.


10-55

6. Auf der Registerkarte NT Ereignisprotokoll:



c. Übernehmen Sie die Standardmeldung oder ändern Sie sie. Sie können Token-Variablen als Platzhalter für Daten im Feld Nachricht verwenden. WeitereInformationen finden Sie unter Tabelle 10-8: Token-Variablen fürBenachrichtigungen zur Funktion "Prävention vor Datenverlust" auf Seite 10-54.


Benachrichtigungen zur Funktion "Prävention vorDatenverlust" für Client-Benutzer

OfficeScan kann auf den Client-Computern, nachdem es die Übertragung digitalerAssets erlaubt oder gesperrt hat, sofort Benachrichtigungsmeldungen anzeigen.

Um die Benutzer darüber zu informieren, dass die Übertragung digitaler Assets gesperrtoder erlaubt wurde, wählen Sie die Option Client-Benutzer benachrichtigen, wennSie eine Richtlinie zur Prävention vor Datenverlust erstellen. Weitere Anweisungen zumErstellen einer Richtlinie finden Sie unter Richtlinienkonfiguration der Funktion "Präventionvor Datenverlust" auf Seite 10-45.

Benachrichtigung zur Funktion "Prävention vorDatenverlust" für Clients konfigurieren

Prozedur


2. Klicken Sie auf die Registerkarte Übertragungen digitaler Assets.

3. Übernehmen Sie die Standardmeldung oder ändern Sie sie.



10-56

Protokolle für "Prävention vor Datenverlust"Clients protokollieren Übertragungen digitaler Assets (gesperrte oder zulässigeÜbertragungen) und senden die Protokolle sofort an den Server. Wenn der Client dieProtokolle nicht versenden kann, wiederholt er den Versuch nach 5 Minuten.


Protokolle der Funktion "Prävention vor Datenverlust"anzeigen

Prozedur

1. Navigieren Sie zu Netzwerkcomputer > Client-Verwaltung oder Protokolle >Netzwerkcomputer-Protokolle > Sicherheitsrisiken.


3. Klicken Sie auf Protokolle > Protokolle für 'Prävention vor Datenverlust'oderProtokolle anzeigen > DLP-Protokolle.


5. Sehen Sie die Protokolle ein.

Die Protokolle enthalten die folgenden Informationen:

TABELLE 10-9. Protokolldaten für Prävention vor Datenverlust

SPALTE BESCHREIBUNG

Datum/Uhrzeit Datum und Uhrzeit der Protokollierung des Vorfalls

Benutzername Am Computer angemeldeter Benutzername


10-57

SPALTE BESCHREIBUNG

Computer Name des Computers, auf dem die Übertragung entdecktwurde

Domäne Domäne des Computers

IP IP-Adresse des Computers

Regelname Namen der Regeln, die den Vorfall ausgelöst haben

HinweisBei Regeln, die in einer früheren Version vonOfficeScan erstellt wurden, wird der StandardnameLEGACY_DLP_Policy angezeigt.

Kanal Kanal, über den die Übertragung stattfand

Prozess Prozess, der die Übertragung des digitalen Assetsermöglichte (hängt vom Kanal ab)

Weitere Informationen finden Sie unter Prozesse bezogen aufden Kanal auf Seite 10-58.

Adresse Adresse der Datei, in der das digitale Asset enthalten ist (oderKanal, wenn keine Adresse verfügbar ist)

Ziel Beabsichtigtes Ziel der Datei, in der das digitale Assetenthalten ist (oder Kanal, wenn keine Quelle verfügbar ist)

Aktion Hinsichtlich der Übertragung ergriffene Maßnahme

Details Link mit zusätzlichen Einzelheiten zur Übertragung

Weitere Informationen finden Sie unter Protokolle fürPrävention vor Datenverlust auf Seite 10-60.



10-58

Prozesse bezogen auf den Kanal

Die folgende Tabelle enthält eine Liste mit Prozessen, die in der Spalte "Prozess" in denProtokollen der Funktion "Prävention vor Datenverlust" angezeigt werden.

TABELLE 10-10. Prozesse bezogen auf den Kanal

KANAL PROZESS

Synchronisierungssoftware(ActiveSync)

Vollständiger Pfad- und Prozessname derSynchronisierungssoftware

Beispiel:

C:\Windows\system32\WUDFHost.exe

Datenrecorder(CD/DVD)

Vollständiger Pfad und Prozessname des Datenrecorders

Beispiel:

C:\Windows\Explorer.exe

Windows-Zwischenablage

Nicht zutreffend

E-Mail-Client -Lotus Notes

Vollständiger Pfad und Prozessname von Lotus Notes

Beispiel:

C:\Programme\IBM\Lotus\Notes\nlnotes.exe

E-Mail-Client -Microsoft Outlook

Vollständiger Pfad und Prozessname von Microsoft Outlook

Beispiel:

C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE

E-Mail-Client - AlleClients, die dasSMTP-Protokollverwenden

Vollständiger Pfad und Prozessname des E-Mail-Clients

Beispiel:

C:\Programme\Mozilla Thunderbird\thunderbird.exe

Wechseldatenträger

Prozessname der Anwendung, die Daten auf das Speichergerätoder innerhalb des Speichergeräts übertragen hat.

Beispiel:

explorer.exe


10-59

KANAL PROZESS

FTP Vollständiger Pfad und Prozessname des FTP-Clients

Beispiel:

D:\Programme\FileZilla FTP Client\filezilla.exe

HTTP "HTTP-Anwendung"

HTTPS Vollständiger Pfad und Prozessname des Browsers oder derAnwendung

Beispiel:

C:\Programme\Internet Explorer\iexplore.exe

IM-Anwendung Vollständiger Pfad und Prozessname der IM-Anwendung

Beispiel:

C:\Programme\Skype\Phone\Skype.exe

IM-Anwendung -MSN

• Vollständiger Pfad und Prozessname von MSN

Beispiel:

C:\Programme\Windows Live\Messenger\msnmsgr.exe

• "HTTP-Anwendung", wenn Daten von einem Chat-Fensterübertragen werden

Peer-to-Peer-Anwendung

Vollständiger Pfad und Prozessname der Peer-to-Peer-Anwendung

Beispiel:

D:\Programme\BitTorrent\bittorrent.exe

PGP-Verschlüsselung

Vollständiger Pfad und Prozessname der PGP-Verschlüsselungssoftware

Beispiel:

C:\Programme\PGP Corporation\PGP Desktop\PGPmnApp.exe


10-60

KANAL PROZESS

Drucker Vollständiger Pfad und Prozessname der Anwendung, die einenDruckervorgang initiiert hat.

Beispiel:

C:\Programme\Microsoft Office\Office12\WINWORD.EXE

SMB-Protokoll Vollständiger Pfad und Prozessname der Anwendung, von der ausder Zugriff auf freigegebene Dateien (Kopieren oder Erstellen einerneuen Datei) erfolgt ist.

Beispiel:

C:\Windows\Explorer.exe

Webmail (HTTP-Modus)

"HTTP-Anwendung"

Webmail (HTTPS-Modus)

Vollständiger Pfad und Prozessname des Browsers oder derAnwendung

Beispiel:

C:\Programme\Mozilla Firefox\firefox.exe

Protokolle für Prävention vor Datenverlust

Der Bildschirm Protokolle für Prävention vor Datenverlust enthält zusätzlicheDetails zur Übertragung digitaler Assets. Die Übertragungsdetails hängen vom Kanalund vom Prozess ab, in dem der Vorfall entdeckt wurde.

Die folgende Tabelle enthält eine Liste aller angezeigten Informationen.

TABELLE 10-11. Protokolle für Prävention vor Datenverlust

DETAIL BESCHREIBUNG

Datum/Uhrzeit Datum und Uhrzeit der Protokollierung des Vorfalls

Verstoß-ID Eindeutige ID des Vorfalls

Benutzername Am Computer angemeldeter Benutzername


10-61

DETAIL BESCHREIBUNG

Computer Name des Computers, auf dem die Übertragung entdeckt wurde

Domäne Domäne des Computers

IP IP-Adresse des Computers

Kanal Kanal, über den die Übertragung stattfand

Prozess Prozess, der die Übertragung des digitalen Assets ermöglichte(hängt vom Kanal ab)

Weitere Informationen finden Sie unter Prozesse bezogen auf denKanal auf Seite 10-58.

Adresse Adresse der Datei, in der das digitale Asset enthalten ist (oderKanal, wenn keine Adresse verfügbar ist)

E-Mail-Absender E-Mail-Adresse, von der die Übertragung ausging

Betreff Betreffzeile der E-Mail-Nachricht, in der das digitale Assetenthalten ist

E-Mail-Empfänger Zieladresse(n) der E-Mail-Nachricht

URL URL einer Website oder Webseite

FTP-Benutzer Der zum Anmelden am FTP-Server verwendete Benutzername

Dateiklasse Typ der Datei, in der das digitale Asset entdeckt wurde

Regel/Vorlage Liste der genauen Regelnamen und Vorlagen, durch die dieErkennung ausgelöst wurde;

Hinweisjede Regel kann mehrere Vorlagen enthalten, die zurAuslösung des Ereignisses führten. Vorlagennamenwerden durch Kommas getrennt.

Aktion Hinsichtlich der Übertragung ergriffene Maßnahme


10-62

Datenschutz-Debug-Protokolle

Debug-Protokollierung für das Datenschutzmodul aktivieren

Prozedur

1. Beziehen Sie die Datei logger.cfg von Ihrem Support-Anbieter.

2. Fügen Sie die folgenden Daten zu HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\DlpLite hinzu:

• Typ: String

• Name: debugcfg

• Wert: C:\Log\logger.cfg

3. Erstellen Sie einen Ordner mit dem Namen „Protokoll“ im Verzeichnis C:\.

4. Kopieren Sie logger.cfg in den Ordner „Protokoll“.

5. Verteilen Sie die Einstellungen für die Funktion "Prävention vor Datenverlust" unddie Gerätesteuerung über die Webkonsole, um mit dem Sammeln der Protokolle zubeginnen.

HinweisDeaktivieren Sie die Debug-Protokollierung für das Datenschutzmodul, indem Sie imRegistrierungsschlüssel debugcfg löschen und den Computer neu starten.

11-1

Kapitel 11

Computer vor Internet-Bedrohungenschützen

In diesem Kapitel werden Internet-Bedrohungen beschrieben, und es wird erläutert, wieIhr Netzwerk und Ihre Computer mit Hilfe von OfficeScan vor diesen Bedrohungengeschützt werden können.


• Info über Internet-Bedrohungen auf Seite 11-2

• Command & Control-Kontaktalarmdienste auf Seite 11-2

• Web Reputation auf Seite 11-5

• Web-Reputation-Richtlinien auf Seite 11-5

• Benachrichtigungen über Internet-Bedrohungen für Client-Benutzer auf Seite 11-13

• C&C-Callback-Benachrichtigungen für Administratoren konfigurieren auf Seite 11-14

• C&C-Callback-Ausbrüche auf Seite 11-18

• Web-Reputation-Protokolle auf Seite 11-20


11-2

Info über Internet-BedrohungenAls Internet-Bedrohungen zählen vielfältige Sicherheitsrisiken, die ihren Ursprung imInternet haben. Sie setzen auf raffinierte Methoden und kombinierte Dateien undTechniken anstelle isolierter Infektionswege. Beispielsweise ändern die Urheber vonInternet-Bedrohungen regelmäßig die Version oder die verwendete Variante. Da sich dieInternet-Bedrohung eher an einem festen Speicherort auf einer Website und nicht aufeinem infizierten Computer befindet, muss auch der Code ständig verändert werden, umeine Entdeckung zu umgehen.

In den vergangenen Jahren nannte man sie "Hacker", "Viren-Schreiber", "Spammer"oder "Spyware-Autoren" – mittlerweile kennt man sie als "Cyber-Kriminelle". Internet-Bedrohungen helfen diesen Personen, jeweils eines von zwei Zielen zu verfolgen. Einesder Ziele ist der Diebstahl von Informationen für den anschließenden Verkauf. Diesführt zum Durchsickern vertraulicher Informationen in Form von Identitätsverlust. Derinfizierte Computer kann auch zum Überträger werden, der Phishing-Angriffe oderandere Aktivitäten mit dem Ziel des Informationsdiebstahls verbreitet. Neben anderenAuswirkungen hat diese Bedrohung ein Potenzial, das Vertrauen in den Internet-Handelzu untergraben und so die Grundlage für Transaktionen im Internet zu korrumpieren.Das zweite Ziel ist die Fremdsteuerung der Prozessorkapazität eines Computers, umdiese für profitable Aktivitäten zu missbrauchen. Die Aktivitäten reichen vom Spam-Versand über Erpressung in Form des Versands von Denial-of-Service-Angriffen bishin zu Aktivitäten mit Klickvergütung (Pay per Click).

Command & Control-KontaktalarmdiensteTrend Micro Command & Control (C&C)-Kontaktalarmdienste bieten verbesserteErkennungs- und Warnungsfunktionen zur Minderung des Schadens infolge vonerweiterten permanenten Bedrohungen und gezielten Angriffen. C&C-Kontaktalarmdienste sind in die Web-Reputation-Dienste integriert, wodurch diedurchzuführende Aktion der erkannten Callback-Adresse basierend auf der Web-Reputation-Sicherheitsstufe ermittelt wird.

Die C&C-IP-Liste verbessert die C&C-Callback-Erkennungen weiter, indem die Prüf-Engine für Netzwerkinhalte verwendet wird, um C&C-Kontakte durch jedenNetzwerkkanal zu erkennen.

Computer vor Internet-Bedrohungen schützen

11-3

Weitere Informationen zur Konfiguration der Sicherheitsstufe der Web-Reputation-Dienste finden Sie unter Eine Web-Reputation-Richtlinie konfigurieren auf Seite 11-6.

TABELLE 11-1. Funktionen des C&C-Kontaktalarmdiensts


GlobalIntelligence-Liste

Trend Micro Smart Protection Network stellt die Global Intelligence-Liste anhand von Quellen auf der ganzen Welt zusammen und testetund bewertet die Risikostufe jeder C&C-Callback-Adresse. Web-Reputation-Dienste nutzen die Global Intelligence-Liste zusammen mitden Reputationsbewertungen bösartiger Websites, um für erhöhtenSchutz vor erweiterten Bedrohungen zu sorgen. Die Web-Reputation-Sicherheitsstufe legt anhand zugewiesener Risikostufen dieMaßnahme fest, die bei bösartigen Websites oder C&C-Servernergriffen wird.

Integration vonDeep DiscoveryAdvisor und dieVirtual AnalyzerListe

Smart Protection Server lassen sich in Deep Discovery Advisorintegrieren, so dass die C&C-Serverliste von Virtual Analyzer genutztwerden kann. Deep Discovery Advisor Virtual Analyzer wertetpotenzielle Risiken in einer sicheren Umgebung aus und weist denanalysierten Bedrohungen mit Hilfe leistungsfähiger heuristischerVerfahren und Verhaltenstests eine Risikostufe zu. Virtual Analyzerfüllt die Virtual Analyzer Liste mit allen Bedrohungen, die versuchen,eine Verbindung mit einem möglichen C&C-Server herzustellen. DieVirtual Analyzer Liste ist hochgradig firmenspezifisch und bietet eineanpassbare Verteidigungsmöglichkeit gegen gezielte Angriffe.

Smart Protection Server rufen die Liste von Deep Discovery Advisorab und können alle denkbaren C&C-Bedrohungen sowohl mit derGlobal Intelligence Liste als auch der lokalen Virtual Analyzer Listeabgleichen.

Weitere Informationen zur Verbindung des integrierten SmartProtection Servers mit Deep Discovery Advisor finden Sie unterEinstellungen eines integrierten Smart Protection Serverskonfigurieren auf Seite 4-23.


11-4


C&C-IP-Liste Zusammen mit der Prüf-Engine für Netzwerkinhalte (Network ContentInspection Engine, NCIE) sorgt die C&C-IP-Liste dafür, dassNetzwerkverbindungen mit bekannten C&C-Servern erkannt werden.NCIE erkennt Kontakte mit C&C-Servern in allen Netzwerkkanälen.

OfficeScan protokolliert alle Daten der Verbindungen mit Servern inder C&C-IP-Liste, damit sie ausgewertet werden können.

Informationen zum Konfigurieren der C&C-IP-Listenprotokolle findenSie unter Allgemeine C&C-Callback-Einstellungen konfigurieren aufSeite 11-12.

Administratorbenachrichtigungen

Administratoren können nach Erkennung eines C&C-Callbacks nachBedarf detaillierte und anpassbare Benachrichtigungen erhalten.

Weitere Informationen finden Sie unter C&C-Callback-Benachrichtigungen für Administratoren konfigurieren auf Seite11-14.

Endpunktbenachrichtigungen

Administratoren können nach Erkennung eines C&C-Callbacks aufeinem Endpunkt nach Bedarf detaillierte und anpassbareBenachrichtigungen an Endbenutzer versenden.

Weitere Informationen finden Sie unter Web Reputation und C&C-Callback-Benachrichtigungen aktivieren auf Seite 11-13.

Ausbruchsbenachrichtigungen

Administratoren können Ausbruchsbenachrichtigungen für spezifischeC&C-Callback-Ereignisse anpassen und angeben, ob ein Ausbruchauf einem einzelnen Endpunkt oder im ganzen Netzwerk auftritt.

Weitere Informationen finden Sie unter C&C-Callback-Ausbrüche aufSeite 11-18.

C&C-Callback-Protokolle

Protokolle enthalten detaillierte Angaben zu allen C&C-Callback-Ereignissen.

Weitere Informationen finden Sie unter C&C-Callback-Protokolleanzeigen auf Seite 11-22.


11-5

Web ReputationDie Web-Reputation-Technologie bewertet die Glaubwürdigkeit von Webdomänennach einem Scoring-Verfahren, indem Informationen wie das Alter einer Website,historische Änderungen des Speicherorts und Anzeichen von verdächtigen Aktivitätenzurückverfolgt werden, die durch die Malware-Verhaltensanalyse entdeckt wurden.Anschließend werdeb Websites durchsucht und Benutzer vom Zugriff auf infizierteWebsites abgehalten.

OfficeScan Clients senden Anfragen an die Smart Protection Quellen, um dieZuverlässigkeit von Websites, auf die ein Benutzer zugreifen möchte, zu überprüfen.Die Reputation der Website steht in Zusammenhang mit der entsprechenden, auf denComputer angewendeten Web-Reputation-Richtlinie. Die jeweils angewendete Richtliniebestimmt, ob der OfficeScan Client den Zugriff auf eine Website zulässt oder sperrt.

Hinweis

Weitere Informationen zu Smart Protection Quellen finden Sie unter Liste der SmartProtection Quellen auf Seite 4-26.

Fügen Sie Websites, die Sie als sicher bzw. gefährlich einstufen, zur Liste der zulässigenbzw. gesperrten URLs hinzu. Erkennt ein OfficeScan Client einen Zugriff auf einedieser Websites, wird der Zugriff automatisch zugelassen bzw. gesperrt und es werdenkeine weiteren Anfragen an die Smart Protection Quellen gesendet.

Web-Reputation-RichtlinienWeb-Reputation-Richtlinien bestimmen, ob OfficeScan den Zugriff auf eine Websitezulässt oder sperrt.

Sie können Richtlinien für interne und externe Clients konfigurieren. In der Regelkonfigurieren OfficeScan Administratoren eine strengere Richtlinie für externe Clients.

Richtlinien sind detaillierte Einstellungen in der OfficeScan Client-Hierarchie. Siekönnen bestimmte Richtlinien für Client-Gruppen oder einzelne Clients erzwingen. Siekönnen auch eine einzelne Richtlinie für alle Clients erzwingen.


11-6

Nach der Bereitstellung der Richtlinien nutzen Clients die Standortkriterien, die Sie imBildschirm "Computerstandort" eingestellt haben (siehe Computerstandort auf Seite 14-2),um ihren Standort und die anzuwendende Richtlinie zu ermitteln. Clients wechseln dieRichtlinien mit jedem Standortwechsel.

Eine Web-Reputation-Richtlinie konfigurieren

Vorbereitungen

Legen Sie die Anmeldedaten zur Proxy-Server-Authentifizierung fest, wenn die HTTP-Kommunikation in Ihrem Unternehmen über den Proxy-Server erfolgt und eineAuthentifizierung vor dem Internet-Zugriff erforderlich ist.

Anweisungen zum Konfigurieren der Proxy-Einstellungen finden Sie unterExterner Proxyfür OfficeScan Clients auf Seite 14-52.

Prozedur


2. Wählen Sie die Ziele in der Client-Hierarchie aus.

• Um Richtlinien für Clients zu konfigurieren, auf denen Windows XP, Vista, 7oder 8 ausgeführt wird, wählen Sie das Symbol der Root-Domäne ( ),bestimmte Domänen oder Clients aus.

Hinweis

Wenn Sie die Root-Domäne oder bestimmte Domänen auswählen, gilt dieEinstellung nur für Clients unter Windows XP, Vista, 7 oder 8. Die Einstellunggilt nicht für Clients unter Windows Server 2003, Windows Server 2008 oderWindows Server 2012, selbst wenn sie zur Domäne gehören.

• Um Richtlinien für Clients zu konfigurieren, auf denen Windows Server 2003,Windows Server 2008 oder Windows Server 2012 läuft, wählen Sie einenbestimmten Client aus.

3. Klicken Sie auf Einstellungen > Web-Reputation-Einstellungen.


11-7

4. Klicken Sie auf die Registerkarte Externe Clients, um eine Richtlinie für externeClients zu konfigurieren, oder auf die Registerkarte Interne Clients, um eineRichtlinie für interne Clients zu konfigurieren.

TippKonfigurieren Sie die Einstellungen zum Client-Standort, wenn Sie es noch nichtgemacht haben. Clients benutzen diese Einstellungen, um ihren Ort festzulegen unddie richtige Web-Reputation-Richtlinie anzuwenden. Weitere Informationen findenSie unter Computerstandort auf Seite 14-2.

5. Wählen Sie Web-Reputation-Richtlinie auf den folgenden Betriebssystemenaktivieren aus. Welche Betriebssysteme in diesem Fenster aufgelistet werden,hängt davon ab, welche Ziele Sie in Schritt 1 gewählt haben.

TippWenn Sie bereits ein Trend Micro Produkt mit einer Web-Reputation-Funktion, wiebeispielsweise InterScan Web Security Virtual Appliance verwenden, empfiehlt TrendMicro, die Web Reputation für interne Clients zu deaktivieren.

Wenn eine Web-Reputation-Richtlinie aktiviert ist:

• Externe Clients senden Web-Reputation-Anfragen an das Smart ProtectionNetwork.

• Interne Clients senden Web-Reputation-Anfragen an:

• Smart Protection Server, wenn die Option Anfragen an SmartProtection Server senden aktiviert ist. Weitere Informationen überdiese Option finden Sie unter Schritt 7.

• Smart Protection Network, wenn die Option Anfragen an SmartProtection Server senden deaktiviert ist.

6. Wählen Sie Auswertung aktivieren aus.


11-8

HinweisIm Bewertungsmodus erlauben die Clients den Zugriff auf alle Websites. Der Zugriffauf Websites, die gesperrt sein sollten, wenn die Bewertung deaktiviert ist, wirdprotokolliert. Mit dem Bewertungsmodus von Trend Micro können Sie Websiteszuerst überpüfen, und dann geeignete Maßnahmen auf Grundlage der Bewertungergreifen. Sie können beispielsweise Websites, die Sie als sicher erachten, der Liste derzulässigen URLs hinzufügen.

7. Wählen Sie HTTPS-URLs prüfen aus.

HTTPS-Kommunikation verwendet Zertifikate zum Identifizieren vonWebservern. Sie verschlüsselt Daten, um Datendiebstahl und Abhörvorgänge zuverhindern. Obwohl HTTPS beim Zugriff auf Websites mehr Schutz bietet,verbleiben bei der Nutzung Risiken. Sites, die von Hackern übernommen wurden,können trotz gültiger Zertifikate Malware anbieten und persönliche Daten stehlen.Außerdem sind Zertifikate relativ einfach zu beschaffen, wodurch sich dasEinrichten bösartiger Webserver, die HTTPS nutzen, einfach gestaltet.

Aktivieren Sie das Prüfen von HTTPS-URLs, um die Gefährdung durch infizierteund bösartige Websites, die HTTPS verwenden, zu verringern. OfficeScan kannden HTTPS-Datenverkehr auf folgenden Browsern überwachen:

TABELLE 11-2. Browser, die den HTTPS-Datenverkehr unterstützen

BROWSER VERSION

Microsoft Internet Explorer • 6 mit SP2 oder höher

• 7.x

• 8.x

• 9.x

• 10.x

Mozilla Firefox 3.5 oder höher


11-9

Wichtig

• Die HTTPS-Suchfunktion unterstützt nur Windows 8- und Windows 2012-Plattformen im Desktop-Modus.

• Nachdem die HTTPS-Suchfunktion zum ersten Mal auf OfficeScan Clients mitInternet Explorer 9 oder 10 aktiviert wurde, müssen die Benutzer das Add-OnTmIEPlugInBHO Class im Browser-Popup-Fenster aktivieren. Erst dann istdie HTTPS-Suchfunktion betriebsbereit.

Weitere Informationen zum Konfigurieren der Internet Explorer-Einstellungenfür Web-Reputation finden Sie in folgenden Knowledge Base-Artikeln:

• http://esupport.trendmicro.com/solution/en-us/1060643.aspx

• http://esupport.trendmicro.com/solution/en-us/1060644.aspx

8. Wählen Sie Nur gängige HTTP-Ports durchsuchen, um die Web-Reputation-Suche auf die Ports 80, 81 und 8080 zu beschränken. Standardmäßig durchsuchtOfficeScan den gesamten Datenverkehr auf allen Ports.

9. Wählen Sie Abfragen an Smart Protection Server senden aus, wenn Siemöchten, dass interne Clients Web-Reputation-Abfragen an Smart ProtectionServer senden.

• Wenn Sie diese Option aktivieren:

• Clients ermitteln anhand der Liste der Smart Protection Quelle denSmart Protection Server, an den sie ihre Anfragen senden. WeitereInformationen über die Liste der Smart Protection Quellen finden SieunterListe der Smart Protection Quellen auf Seite 4-26.

• Stellen Sie sicher, dass die Smart Protection Server verfügbar sind. Wennkein Smart Protection Server verfügbar ist, senden die Clients keineAbfragen an das Smart Protection Network. Die einzig verbleibendenQuellen der Web-Reputation-Daten für Clients sind die Listen zulässigerund gesperrter URLs (konfiguriert in Schritt 10).

• Wenn die Clients sich über einen Proxy-Server mit den Smart ProtectionServern verbinden sollen, legen Sie die Proxy-Einstellungen auf derRegisterkarte Administration > Proxy-Einstellungen > InternerProxy fest.

http://esupport.trendmicro.com/solution/en-us/1060643.aspx



11-10

• Aktualisieren Sie die Smart Protection Server regelmäßig, damit derSchutz stets aktuell ist.

• Nicht getestete Websites werden von den Clients nicht gesperrt. DieSmart Protection Server speichern keine Web-Reputation-Daten fürdiese Websites.

• Wenn Sie diese Option deaktivieren:

• Clients senden Web-Reputation-Anfragen an Smart Protection Network.Client-Computer müssen mit dem Internet verbunden sein, umerfolgreich Abfragen senden zu können.

• Wenn für die Verbindung mit dem Smart Protection Network eineProxy-Server-Authentifizierung erforderlich ist, müssen Sie dieAuthentifizierungsdaten unter Administration > Proxy-Einstellungen> Externer Proxy (Registerkarte) > Client-Verbindung mit TrendMicro Servern angeben.

• Clients sperren nicht getestete Websites, wenn Sie Seiten sperren, dienicht von Trend Micro getestet wurden in Schritt 9 auswählen.

10. Wählen Sie unter den vorhandenen Web-Reputation-Sicherheitsstufen aus: Hoch,Mittel oder Niedrig

HinweisDie Sicherheitsstufen legen fest, ob OfficeScan den Zugriff auf einen Link zulässtoder sperrt. Wenn zum Beispiel die Sicherheitsstufe auf Niedrig gestellt ist, sperrtOfficeScan nur Links, die als Internet-Bedrohung bekannt sind. Bei einer Erhöhungder Sicherheitsstufe verbessert sich die Erkennungsrate von Internet-Bedrohungen,doch gleichzeitig steigt auch die Wahrscheinlichkeit von Fehlalarmen.

11. Wenn Sie die Option Abfragen an Smart Protection Server senden in Schritt 7deaktiviert haben, können Sie Seiten sperren, die nicht von Trend Microgetestet wurden auswählen.


11-11

HinweisObwohl Trend Micro Websites aktiv auf deren Sicherheit testet, ist es möglich, dassBenutzer auf ungetestete Websites treffen, wenn diese neu sind oder seltener besuchtwerden. Das Sperren ungetesteter Sites kann die Sicherheit erhöhen, doch es kannauch dazu führen, dass der Zugriff auf sichere Sites gesperrt wird.

12. Konfigurieren Sie die Liste der zulässigen und gesperrten Absender.

HinweisDie Liste der zulässigen URLs hat Vorrang vor der Liste der gesperrten URLs. Wennein URL einem Eintrag in der Liste der zulässigen URLs entspricht, erlauben dieClients stets den Zugriff darauf, selbst wenn er sich auf der Liste der gesperrtenURLs befindet.

a. Wählen Sie Liste 'Zulässig/Gesperrt' aktivieren aus.

b. Geben Sie einen URL ein.

Sie können an jeder Stelle im Link ein Platzhalterzeichen (*) verwenden.

Beispiel:

• Die Eingabe von www.trendmicro.com/* bedeutet, dass alle Seitenin der Trend Micro Website zugelassen werden.

• Die Eingabe von *.trendmicro.com/* bedeutet, dass alle Seiten allerSubdomänen von trendmicro.com zugelassen werden.

Sie können URLs eingeben, die IP-Adressen enthalten. Wenn Sie einen URLeingeben, der eine IPv6-Adresse enthält, setzen Sie die Adresse in Klammern.

c. Klicken Sie auf Zur Liste der zulässigen URLs hinzufügen oder ZurListe der gesperrten URLs hinzufügen.

d. Um die Liste in eine .dat-Datei zu exportieren, klicken Sie auf Exportieren,und klicken Sie anschließend auf Speichern.

e. Wenn Sie eine Liste von einem anderen Server exportiert haben und sie indieses Fenster importieren möchten, klicken Sie auf Importieren, undnavigieren Sie zur .dat-Datei. Die Liste wird in das Fenster geladen.


11-12

13. Um einen Kommentar zur Web Reputation abzugeben, klicken Sie auf denentsprechenden Link unter Neubewertung URL. Das Trend Micro WebReputation Hilfesystem wird in einem Browser-Fenster geöffnet.

14. Wählen Sie, ob der OfficeScan Client berechtigt sein soll, Web-Reputation-Protokolle an den Server zu senden. Berechtigen Sie die Clients zum Versendenvon Protokollen, wenn Sie die von OfficeScan gesperrten Links analysieren und beials sicher eingestuften Links eine entsprechende Aktion ergreifen möchten.

15. Wenn Sie Domäne(n) oder Client(s) in der Client-Hierarchie ausgewählt haben,klicken Sie auf Speichern. Wenn Sie auf das Stammsymbol geklickt haben, könnenSie aus folgenden Optionen auswählen:



Allgemeine C&C-Callback-Einstellungenkonfigurieren

Administratoren können OfficeScan so konfigurieren, dass alle Verbindungen zwischenClients und bestätigten C&C-IP-Adressen protokolliert werden.

Prozedur


2. Gehen Sie zum Abschnitt C&C-Kontakt - Alarmeinstellungen.

3. Aktivieren Sie die Option Netzwerkverbindungen zwischen Agents und vonTrend Micro bestätigten C&C-IP-Adressen protokollieren.


11-13

4. Sie können auswählen, ob Verbindungen von allen Endpunkten oder nur vonEndpunkten unter bestimmten Betriebssystemen protokolliert werden.


Benachrichtigungen über Internet-Bedrohungen für Client-Benutzer

OfficeScan kann unmittelbar nach der Sperrung eines Links, der gegen eine Web-Reputation-Richtlinie verstößt, auf einem OfficeScan Client-Computer eineBenachrichtigung anzeigen. Sie müssen die Benachrichtigung aktivieren und könnenoptional den Inhalt der Benachrichtigung ändern.

Web Reputation und C&C-Callback-Benachrichtigungenaktivieren

Prozedur




4. Klicken Sie auf die Registerkarte Andere Einstellungen.

5. Wählen Sie im Abschnitt Web-Reputation-Einstellungen die Option BeiZugriff auf gesperrte Websites wird eine Benachrichtigung angezeigt aus.

6. Wählen Sie im Abschnitt C&C-Callback-Einstellungen die OptionBenachrichtigung anzeigen, wenn ein C&C-Callback erkannt wird aus.



11-14



Benachrichtigungen über Internet-Bedrohungen ändern

Prozedur


2. Wählen Sie im Listenfeld Typ den Typ der Benachrichtigung über Internet-Bedrohungen aus, der geändert werden soll:

• Verstöße gegen die Web Reputation

• C&C-Callbacks

3. Sie können die Standardmeldung im dafür vorgesehenen Textfeld bearbeiten.


C&C-Callback-Benachrichtigungen fürAdministratoren konfigurieren

OfficeScan verfügt über zahlreiche Standardbenachrichtigungen, die Sie und andereOfficeScan Administratoren über entdeckte C&C-Callbacks informieren. Sie könnendiese Benachrichtigungen ändern und zusätzliche Benachrichtigungseinstellungenkonfigurieren, die Ihren Anforderungen entsprechen.


11-15

Prozedur



a. Navigieren Sie zum Abschnitt C&C-Callbacks.

b. Geben Sie an, ob Benachrichtigungen beim Entdecken eines C&C-Callbacksdurch OfficeScan (die Aktion kann unterdrückt oder protokolliert werden)oder nur bei einer hohen Risikostufe der Callback-Adresse gesendet werdensollen.





Mit der rollenbasierten Administration können Sie Benutzern Client-Hierarchie-Domänenberechtigungen gewähren. Bei einer Übertragung aufeinem Client, der zu einer bestimmten Domäne gehört, wird die E-Mail an dieE-Mail-Adressen der Benutzer mit Domänenberechtigung gesendet. Beispieledafür sehen Sie in der folgenden Tabelle:


CLIENT-HIERARCHIE-

DOMÄNE


GUNGEN



BENUTZERKONTO






11-16

CLIENT-HIERARCHIE-

DOMÄNE


GUNGEN



BENUTZERKONTO




Entdeckt ein OfficeScan Client, der zu Domäne A gehört, einen C&C-Callback, wird die E-Mail an [email protected], [email protected] [email protected] gesendet.

Wenn ein Client in Domäne B den C&C-Callback entdeckt, wird die E-Mailan [email protected] und [email protected] versendet.

Hinweis

Wenn Sie die Option aktivieren, benötigen alle Benutzer mitDomänenberechtigung eine entsprechende E-Mail-Adresse. Die E-Mail-Benachrichtigung wird nicht an Benutzer ohne E-Mail-Adresse gesendet.Benutzer und E-Mail-Adressen werden unter Administration >Benutzerkonten konfiguriert.


e. Übernehmen oder ändern Sie die Standardbetreffzeile und -nachricht.Verwenden Sie Token-Variablen als Platzhalter für Daten in den FeldernBetreff und Nachricht.

TABELLE 11-4. Token-Variablen für C&C-Callback-Benachrichtigungen


%CLIENTCOMPUTER%

Zielcomputer, der den Callback gesendet hat

%IP% IP-Adresse des Zielcomputers

%DOMAIN% Domäne des Computers


11-17


%DATETIME% Datum und Uhrzeit, als die Übertragung entdeckt wurde

%CALLBACKADDRESS%

Callback-Adresse des C&C-Servers

%CNCRISKLEVEL%

Risikostufe des C&C-Servers

%CNCLISTSOURCE%

Gibt die C&C-Quellenliste an

%ACTION% Durchgeführte Aktion




c. Übernehmen Sie die Standardmeldung oder ändern Sie sie. Sie können Token-Variablen als Platzhalter für Daten im Feld Nachricht verwenden. WeitereInformationen finden Sie unter Tabelle 11-4: Token-Variablen für C&C-Callback-Benachrichtigungen auf Seite 11-16.

5. Auf der Registerkarte NT Ereignisprotokoll:



c. Übernehmen Sie die Standardmeldung oder ändern Sie sie. Sie können Token-Variablen als Platzhalter für Daten im Feld Nachricht verwenden. WeitereInformationen finden Sie unter Tabelle 11-4: Token-Variablen für C&C-Callback-Benachrichtigungen auf Seite 11-16.



11-18

OfficeScan C&C-Kontaktalarmbenachrichtigungen für Client-Benutzer

OfficeScan kann auf einem OfficeScan Client-Computer sofort eine Benachrichtigunganzeigen, nachdem eine C&C-Server-URL gesperrt wurde. Sie müssen dieBenachrichtigung aktivieren und können optional den Inhalt der Benachrichtigungändern.

C&C-Callback-Ausbrüche

Legen Sie einen C&C-Callback-Ausbruch anhand der Anzahl, Quelle und Risikostufeder Callbacks fest.

OfficeScan verfügt über zahlreiche Standardbenachrichtigungen, die Sie und andereOfficeScan Administratoren über einen Ausbruch informieren. Sie können dieBenachrichtigung ändern, damit sie Ihren Anforderungen entspricht.

Hinweis

OfficeScan kann C&C-Callback-Ausbruchsbenachrichtigungen per E-Mail versenden.Konfigurieren Sie E-Mail-Einstellungen, damit OfficeScan die E-Mails erfolgreichversenden kann. Weitere Informationen finden Sie unter Einstellungen für dieAdministratorbenachrichtigungen auf Seite 13-33.

C&C-Callback-Ausbruchskriterien und -Benachrichtigungenkonfigurieren

Prozedur


2. Konfigurieren Sie auf der Registerkarte Kriterien die folgenden Optionen:


11-19

Option BezeichnungGleicherinfizierter Host

Wählen Sie dies aus, um einen Ausbruch auf Grundlage derCallback-Erkennungen pro Endpunkt zu definieren.

C&C-Listenquelle

Geben Sie an, ob alle C&C-Quellenlisten, nur die GlobalIntelligence-Liste oder nur die Virtual Analyzer-Listeeingeschlossen werden soll(en).

C&C-Risikostufe Geben Sie an, ob ein Ausbruch bei allen C&C-Callbacks odernur bei Quellen mit hohem Risiko ausgelöst werden soll.

Aktion Wählen Sie Jede Aktion, Protokolliert oder Gesperrt aus.

Funde Geben Sie die für die Definition eines Ausbruchs erforderlicheAnzahl von Erkennungen an.

Zeitraum Geben Sie die Anzahl der Stunden an, innerhalb der die Anzahlder Erkennungen auftreten muss.

Tipp







TABELLE 11-5. Token-Variablen für C&C-Callback-Ausbruchsbenachrichtigungen


%C Anzahl der C&C-Callback-Protokolle


11-20


%T Zeitraum, in dem die C&C-Callback-Protokolle gesammeltwurden

e. Wählen Sie aus, welche verfügbaren zusätzlichen C&C-Callback-Informationen in die E-Mail aufgenommen werden sollen.




c. Übernehmen Sie die Standardmeldung oder ändern Sie sie. Sie können Token-Variablen als Platzhalter für Daten im Feld Nachricht verwenden. WeitereInformationen finden Sie unter Tabelle 11-5: Token-Variablen für C&C-Callback-Ausbruchsbenachrichtigungen auf Seite 11-19.




c. Übernehmen Sie die Standardmeldung oder ändern Sie sie. Sie können Token-Variablen als Platzhalter für Daten im Feld Nachricht verwenden. WeitereInformationen finden Sie unter Tabelle 11-5: Token-Variablen für C&C-Callback-Ausbruchsbenachrichtigungen auf Seite 11-19.


Web-Reputation-ProtokolleKonfigurieren Sie Clients auf internen und externen Computern so, dass sie Web-Reputation-Protokolle an den Server senden. Dadurch können Sie die von OfficeScangesperrten URLs analysieren und bei als sicher eingestuften URLs eine entsprechendeAktion durchführen.


11-21


Web-Reputation-Protokolle anzeigen

Prozedur



3. Klicken Sie auf Protokolle anzeigen > Web-Reputation-Protokolle oderProtokolle > Web-Reputation-Protokolle.



• Datum und Zeitpunkt des gesperrten Links

• Computer, dessen Benutzer auf den Link zugegriffen hat

• Computerdomäne, deren Benutzer auf den Link zugegriffen hat

• Gesperrter Link

• Risikostufe des Links

6. Wenn eine URL nicht gesperrt werden soll, klicken Sie auf die Schaltfläche ZurListe der zulässigen Programme hinzufügen, um die Website zur Liste derzulässigen Programme hinzuzufügen.


11-22


C&C-Callback-Protokolle anzeigen

Prozedur



3. Klicken Sie auf Protokolle anzeigen > C&C-Callback-Protokolle oderProtokolle > C&C-Callback-Protokolle.



• Datum/Uhrzeit der Callback-Protokollierung durch OfficeScan

• Infizierter Host, von dem der Callback stammt

• IP-Adresse des infizierten Hosts

• Domäne, aus der der Callback stammt

• Callback-Adresse, an die der Endpunkt den Callback gesendet hat

• C&C-Listenquelle, die den C&C-Server identifiziert hat

• Risikostufe des C&C-Servers

• Hinsichtlich des Callbacks ergriffene Maßnahme


11-23

6. Wenn einige URLs nicht gesperrt werden sollen, klicken Sie auf die SchaltflächeURL zur Liste der zulässigen Web-Reputation-URLs hinzufügen, um dieWebsite der Liste der zulässigen Web-Reputation-URLs hinzuzufügen.

HinweisOfficeScan übergeht immer alle C&C-Server, die von der C&C-IP-Liste ermitteltwurden. Administratoren können diese IP-Adressen nicht direkt aus derProtokolltabelle zu den Listen der zulässigen URLs hinzufügen.


12-1

Kapitel 12

Die OfficeScan Firewall verwendenIn diesem Kapitel werden die Funktionen und die Konfiguration der OfficeScanFirewall beschrieben.


• Info über die OfficeScan Firewall auf Seite 12-2

• Die OfficeScan Firewall aktivieren oder deaktivieren auf Seite 12-6

• Firewall-Richtlinien und -Profile auf Seite 12-8

• Firewall-Berechtigungen auf Seite 12-25

• Allgemeine Firewall-Einstellungen auf Seite 12-28

• Benachrichtigungen bei Firewall-Verstößen für OfficeScan Client-Benutzer auf Seite 12-29

• Firewall-Protokolle auf Seite 12-31

• Ausbrüche bei Firewall-Verstoß auf Seite 12-33

• Die OfficeScan Firewall testen auf Seite 12-35


12-2

Info über die OfficeScan FirewallDie OfficeScan Firewall schützt Clients und Server im Netzwerk mit Hilfe von Stateful-Inspection-Technologie und leistungsstarken Funktionen zur Virensuche. Über diezentrale Management-Konsole können Regeln zum Filtern von Verbindungen nachAnwendung, IP-Adresse, Portnummer oder Protokoll erstellt und dann auf verschiedeneBenutzergruppen angewendet werden.

HinweisDie OfficeScan Firewall kann auf Computern unter Windows XP, auf denen auch dieWindows Firewall aktiviert ist, aktiviert, konfiguriert und eingesetzt werden. Die Richtliniensollten jedoch sorgfältig verwaltet werden. Es dürfen keine widersprüchlichen Firewall-Richtlinien erstellt werden, da dies zu unerwünschten Ergebnissen führen kann.Einzelheiten zur Windows Firewall finden Sie in der Dokumentation von Microsoft.

Die OfficeScan Firewall umfasst die folgenden Funktionen und bietet die folgendenVorteile:

• Den Datenverkehr filtern auf Seite 12-2

• Anwendungsfilter auf Seite 12-3

• Certified Safe Software Liste auf Seite 12-3

• Suche nach Netzwerkviren auf Seite 12-4

• Profile und Richtlinien benutzerdefiniert anpassen auf Seite 12-4

• Stateful Inspection auf Seite 12-4

• Intrusion Detection System auf Seite 12-4

• Firewall-Verstoß-Ausbruchsmonitor auf Seite 12-6

• OfficeScan Client-Firewall-Berechtigungen auf Seite 12-6

Den Datenverkehr filternDie OfficeScan Firewall filtert den gesamten einund ausgehenden Datenverkehr undsperrt bestimmte Typen von Datenverkehr anhand folgender Kriterien:

Die OfficeScan Firewall verwenden

12-3

• Richtung (eingehend/ausgehend)

• Protokoll (TCP/UDP/ICMP/ICMPv6)

• Zielports

• Quell- und Zielcomputer

AnwendungsfilterDie OfficeScan Firewall filtert den eingehenden und ausgehenden Datenverkehr nachbestimmten Anwendungen und ermöglicht, dass diese Anwendungen auf das Netzwerkzugreifen. Die Netzwerkverbindungen hängen jedoch von den Richtlinien ab, die vomAdministrator festgelegt werden.

Hinweis

OfficeScan unterstützt spezifische Anwendungsausnahmen auf Windows 8 und WindowsServer 2012 nicht. Auf diesen Plattformen lässt OfficeScan den gesamtenAnwendungsdatenverkehr zu bzw. verweigert ihn.

Certified Safe Software ListeBei der Certified Safe Software Liste handelt es sich um eine Liste der Anwendungen,die die Sicherheitsebenen der Firewall-Richtlinie umgehen können. Wenn dieSicherheitsebene auf "Mittel" oder "Hoch" gesetzt ist, lässt OfficeScan weiterhin zu,dass die Anwendungen ausgeführt werden und auf das Netzwerk zugreifen können.

Sie können die Abfrage der globalen Certified Safe Software Liste aktivieren, die einevollständigere Liste bereitstellt. Diese Liste wird dynamisch von Trend Microaktualisiert.

Hinweis

Diese Funktion arbeitet mit der Verhaltensüberwachung zusammen. Stellen Sie sicher, dassdie Dienste "Trend Micro Unauthorized Change Prevention Service" und "Certified SafeSoftware Service" aktiviert sind, bevor Sie die globale Certified Safe Software Listeaktivieren.


12-4

Suche nach Netzwerkviren

Die OfficeScan Firewall untersucht außerdem jedes Paket auf Netzwerkviren. WeitereInformationen finden Sie unter Viren und Malware auf Seite 7-2.

Profile und Richtlinien benutzerdefiniert anpassen

Mit der OfficeScan Firewall können Sie Richtlinien konfigurieren und bestimmte Typenvon Netzwerkverkehr sperren oder zulassen. Weisen Sie eine Richtlinie einem odermehreren Profilen zu, die Sie dann auf ausgewählte OfficeScan Clients verteilen undinstallieren können. Die Firewall-Einstellungen für Clients können dadurch völligindividuell organisiert und konfiguriert werden.

Stateful Inspection

Die OfficeScan Firewall ist eine Firewall mit Stateful Inspection: Alle Verbindungenzum OfficeScan Client werden überwacht und sämtliche Verbindungszuständeregistriert. Sie kann bestimme Zustände in den Verbindungen ermitteln, zu ergreifendeAktionen vorschlagen und Störungen des Normalzustands feststellen. Aus diesemGrund umfasst die effektive Nutzung der Firewall nicht nur das Erstellen von Profilenund Richtlinien, sondern auch die Analyse von Verbindungen und das Filtern vonPaketen, die die Firewall passieren.

Intrusion Detection System

Die OfficeScan Firewall beinhaltet außerdem ein System zur Erkennung vonEindringversuchen (Intrusion Detection System, IDS). Das aktivierte IDS kannbestimmte Muster in Netzwerkpaketen erkennen, die möglicherweise auf Angriff aufeinen OfficeScan Client hindeuten. Mit der OfficeScan Firewall können die folgendenhäufig angewandten Eindringversuche verhindert werden:

• Fragment zu groß: Ein Denial-of-Service-Angriff, bei dem ein Hacker einübergroßes TCP/UDP-Paket an einen Zielcomputer weiterleitet. Dies kann zueinem Pufferüberlauf führen, der die Leistung des Computers stark einschränktoder zu einem Absturz führt.


12-5

• Ping-of-Death: Ein Denial-of-Service-Angriff, bei dem ein Hacker ein übergroßesICMP/ICMPv6-Paket an einen Zielcomputer weiterleitet. Dies kann zu einemPufferüberlauf führen, der die Leistung des Computers stark einschränkt oder zueinem Absturz führt.

• Konflikt bei ARP: Ein Angriff, bei dem ein Hacker eine ARP-Anforderung mitder gleichen Quell- und Ziel-IP-Adresse an einem Computer sendet. DerZielcomputer sendet daraufhin ununterbrochen eine ARP-Antwort (seine MAC-Adresse) an sich selbst und verursacht dadurch einen Systemabsturz.

• SYN-Flooding: Ein Denial-of-Service-Angriff, bei dem ein Programm mehrereTCP-SYN- (Synchronisierungs-) Pakete an einen Computer sendet, der daraufhinständig Synchronisierungsbestätigungen (SYN/ACK) sendet. Dies überlastet aufDauer den Arbeitsspeicher des Computers und kann zum Absturz führen.

• Überlappendes Fragment: Ähnlich einem Teardrop-Angriff sendet dieserDenial-of-Service-Angriff überlappende TCP-Fragmente an einen Computer.Dadurch werden die Header-Informationen im ersten TCP-Fragmentüberschrieben und können dann eine Firewall passieren. Daraufhin können weitereFragmente mit bösartigem Code an den Zielcomputer durchgelassen werden.

• Teardrop: Ähnlich wie bei einem Angriff durch ein Überlappendes Fragmenterfolgt der Angriff bei einem Denial-of-Service mit IP-Fragmenten. Ein falschgesetzter Offset-Wert im zweiten (oder einem nachfolgenden) IP-Fragment kannbeim Zusammensetzen der Fragmente zum Absturz des Zielcomputers führen.

• Tiny Fragment Attack: Eine Art Angriff, bei dem durch die geringe Größe desTCP-Fragments die Übernahme der Header-Informationen des ersten TCP-Paketsin das nächste Fragment erzwungen wird. Dadurch ignorieren die Router, die denDatenverkehr filtern, nachfolgende Fragmente, die möglicherweise bösartigenCode enthalten.

• Fragmentiertes IGMP: Ein Denial-of-Service-Angriff, bei dem fragmentierteIGMP-Pakete an den Zielcomputer gesendet werden, der diese Pakete nichtordnungsgemäß weiterverarbeiten kann. Dies schränkt die Leistung des Computersstark ein oder kann zu einem Absturz führen.

• LAND-Angriff: Bei diesem Angriff werden IP-SYN- (Synchronisierungs-) Paketemit der gleichen Quell- und Zieladresse an einen Computer gesendet, der daraufhin


12-6

die Synchronisierungsbestätigung (SYN/ACK) laufend an sich selbst sendet. Diesschränkt die Leistung des Computers stark ein oder kann zu einem Absturz führen.

Firewall-Verstoß-Ausbruchsmonitor

Überschreiten die Verstöße gegen die Firewall einen bestimmten Schwellenwert (dieskönnte auf einen Angriff hindeuten), sendet die OfficeScan Firewall einebenutzerdefinierte Benachrichtigung an ausgewählte Empfänger.

OfficeScan Client-Firewall-Berechtigungen

OfficeScan Client-Benutzer können dazu berechtigt werden, ihre Firewall-Einstellungenauf der OfficeScan Client-Konsole anzuzeigen. die Firewall, das Intrusion DetectionSystem und die Warnmeldung der Firewall zu aktivieren oder deaktivieren.

Die OfficeScan Firewall aktivieren oderdeaktivieren

Bei der Installation von OfficeScan Server werden Sie aufgefordert, die OfficeScanFirewall zu aktivieren oder zu deaktivieren.

Wenn Sie die Firewall bei der Installation aktiviert und insbesondere auf Server-Plattformen (Windows Server 2003, Windows Server 2008 und Windows Server 2012)eine Leistungsbeeinträchtigung festgestellt haben, sollten Sie die Firewall eventuelldeaktivieren.

Wenn Sie die Firewall bei der Installation deaktiviert haben, sie aber jetzt aktivierenwollen, um einen Client vor Angriffen zu schützen, lesen Sie zuerst die Richtlinien undAnweisungen unter OfficeScan Client-Dienste auf Seite 14-7.

Sie können die Firewall auf allen oder auf ausgewählten OfficeScan Client-Computernaktivieren oder deaktivieren.


12-7

Die OfficeScan Firewall auf ausgewählten Computernaktivieren bzw. deaktivieren

Methode A: Erstellen Sie eine neue Richtlinie, undübernehmen Sie diese auf die OfficeScan Clients.

Prozedur

1. Erstellen Sie eine neue Richtlinie, um die Firewall zu aktivieren/deaktivieren. DieSchritte für das Erstellen einer neuen Richtlinie finden Sie unter Eine Firewall-Richtlinie hinzufügen oder ändern auf Seite 12-11.

2. Übernehmen Sie die Richtlinie auf die OfficeScan Clients.

Methode B: Aktivieren/Deaktivieren Sie den Firewall-Treiberund -Dienst.

Prozedur

1. Aktivieren/Deaktivieren Sie den Firewall-Treiber.

a. Öffnen Sie die Windows Netzwerkverbindungseigenschaften.

b. Aktivieren oder deaktivieren Sie das Kontrollkästchen Trend Micro Treiberfür die allgemeine Firewall über die Netzwerkkarte.

2. Aktivieren/Deaktivieren Sie den Firewall-Dienst.

a. Öffnen Sie ein Befehlszeilenfenster, und geben Sie services.msc ein.

b. Starten oder stoppen Sie die OfficeScan NT Firewall über die MicrosoftManagement-Konsole (MMC).


12-8

Methode C: Aktivieren/Deaktivieren Sie den Firewall-Dienstüber die WebkonsoleWeitere Informationen über die einzelnen Schritte finden Sie unter OfficeScan Client-Dienste auf Seite 14-7.

Die OfficeScan Firewall auf allen Computern aktivierenbzw. deaktivieren

Prozedur

1. Navigieren Sie zu Administration > Produktlizenz.

2. Gehen Sie zum Abschnitt Zusätzliche Dienste.

3. Klicken Sie im Abschnitt Zusätzliche Dienste in der Zeile "Firewall fürNetzwerkcomputer" auf Aktiviert oder Deaktiviert.

Firewall-Richtlinien und -ProfileMit Richtlinien und Profilen erstellt die OfficeScan Firewall individuelleSchutzmaßnahmen für vernetzte Computer.

Durch die Active Directory-Integration und die rollenbasierte Administration kann jedeBenutzerrolle, abhängig von der Berechtigung, spezifische Richtlinien und Profile fürihre Domänen entweder erstellen, konfigurieren oder löschen.

TippMehrere Firewalls auf demselben Computer können unerwünschte Folgen haben. UnterUmständen ist es ratsam, vor der Installation und Aktivierung der OfficeScan Firewallandere auf OfficeScan Clients installierte, softwarebasierte Firewall-Anwendungen zudeinstallieren.

Die folgenden Schritte sind zum erfolgreichen Einsatz der OfficeScan Firewallerforderlich:


12-9

1. Erstellen Sie eine Richtlinie. Über eine Richtlinie können Sie die Sicherheitsstufefestlegen, die den Verkehr auf Netzwerkcomputern sperrt oder zulässt und dieFirewall-Funktionen aktiviert.

2. Ausnahmen zur Richtlinie hinzufügen: OfficeScan Clients können in bestimmtenFällen von der Richtlinie abweichen. In den Ausnahmen können Sie Clientsangeben und bestimmte Arten von Datenverkehr sperren oder zulassen, wobei dieSicherheitsstufe der Richtlinie außer Acht gelassen wird. Sie können zum Beispielden gesamten Datenverkehr für eine Reihe von Clients sperren, aber gleichzeitigeine Ausnahme erstellen, die HTTP-Verkehr zulässt, damit die Clients auf einenbestimmten Webserver zugreifen können.

3. Profile erstellen und den OfficeScan Clients zuweisen: Ein Firewall-Profilbeinhaltet einen Satz Client-Attribute und ist mit einer Richtlinie verbunden. Wennein Client mit den im Profil festgelegten Attributen übereinstimmt, tritt dieentsprechende Richtlinie in Kraft.

Firewall-RichtlinienMit Hilfe von Firewall-Richtlinien können Sie bestimmte Typen von Netzwerkverkehrsperren oder zulassen, die nicht in einer Richtlinienausnahme angegeben sind. EineRichtlinie definiert auch, welche Firewall-Funktionen aktiviert oder deaktiviert werden.Ordnen Sie eine Richtlinie einem oder mehreren Firewall-Profilen zu.

OfficeScan wird mit mehreren Standardrichtlinien ausgeliefert, die Sie ändern oderlöschen können.

Durch die Active Directory-Integration und die rollenbasierte Administration kann jedeBenutzerrolle, abhängig von der Berechtigung, spezifische Richtlinien für ihre Domänenentweder erstellen, konfigurieren oder löschen.

In der folgenden Tabelle werden Standard-Firewall-Richtlinien aufgeführt.


12-10

TABELLE 12-1. Standard-Firewall-Richtlinien

NAME DERRICHTLINIE

SICHERHEITSSTUFE

CLIENT-EINSTELL

UNGENAUSNAHMEN

EMPFOHLENEVERWENDUNG

Uneingeschränkter Zugriff

Niedrig Firewallaktivieren

Keine UneingeschränktenNetzwerkzugriffgewähren

Cisco TrustAgent für CiscoNAC


Eingehenden undausgehenden UDP-Datenverkehr überPort 21862 zulassen

Für Clients mit CiscoTrust Agent (CTA)

Kommunikationsports für TrendMicro ControlManager


Gesamten ein- undausgehenden TCP/UDP-Datenverkehrdurch die Ports 80und 10319 zulassen

Für Clients mit MCPAgent

ScanMail forMicrosoftExchangeKonsole


Gesamteneingehenden undausgehenden TCP-Datenverkehr überPort 16372 zulassen

Für Clients, die Zugriffauf die ScanMailKonsole benötigen

InterScanMessagingSecurity Suite(IMSS) Konsole


Gesamteneingehenden undausgehenden TCP-Datenverkehr überPort 80 zulassen

Für Clients, die Zugriffauf die IMSS Konsolebenötigen

Sie können auch neue Richtlinien erstellen, wenn Ihre Anforderungen nicht von denStandardrichtlinien abgedeckt werden.

Alle Standard- und benutzerdefinierten Firewall-Richtlinien werden in der Liste derFirewall-Richtlinien auf der Webkonsole angezeigt.


12-11

Die Richtlinienliste der Firewall konfigurieren

Prozedur

1. Navigieren Sie zu Netzwerkcomputer > Firewall > Richtlinien.

2. Klicken Sie auf Hinzufügen, um eine neue Richtlinie hinzuzufügen.

Wenn Sie eine neue Richtlinie erstellen möchten, die ähnliche Einstellungen wieeine vorhandene Richtlinie hat, wählen Sie die vorhandene Richtlinie, und klickenSie auf Kopieren. Um eine bestehende Richtlinie zu bearbeiten, klicken Sie auf denNamen der entsprechenden Richtline.

Ein Fenster zur Konfiguration der Richtlinie wird angezeigt. WeitereInformationen finden Sie unter Eine Firewall-Richtlinie hinzufügen oder ändern auf Seite12-11.

3. Zum Löschen einer vorhandenen Richtlinie aktivieren Sie das Kontrollkästchenneben der betreffenden Richtlinie, und klicken Sie auf Löschen.

4. Zum Bearbeiten der Firewall-Ausnahmevorlage klicken Sie auf Ausnahmevorlagebearbeiten.

Weitere Informationen finden Sie unter Die Ausnahmevorlage der Firewall bearbeiten aufSeite 12-15.

Der Ausnahmevorlagen-Editor wird geöffnet.

Eine Firewall-Richtlinie hinzufügen oder ändernKonfigurieren Sie für jede Richtlinie Folgendes:

• Sicherheitsstufe: Eine allgemeine Einstellung, mit der der gesamte einund/oderausgehende Datenverkehr auf dem OfficeScan Client-Computer gesperrt oderzugelassen wird

• Firewall-Funktionsmerkmale: Geben Sie an, ob Sie die OfficeScan Firewall, dasIntrusion Detection System (IDS) und die Benachrichtigung bei Firewall-Verstoßaktivieren bzw. deaktivieren möchten. Weitere Informationen über das IDS findenSie unter Intrusion Detection System auf Seite 12-4.


12-12

• Certified Safe Software Liste: Geben Sie an, ob die Anwendungen auf derCertified Safe Liste eine Verbindung zum Netzwerk aufbauen dürfen. UnterCertified Safe Software Liste auf Seite 12-3 finden Sie weitere Informationen zu demThema Certified Safe Software Liste.

• Liste der Richtlinienausnahmen: Eine Liste mit konfigurierbaren Ausnahmenzum Sperren oder Zulassen unterschiedlicher Arten von Netzwerkverkehr

Firewall-Richtlinie hinzufügen

Prozedur


2. Klicken Sie auf Hinzufügen, um eine neue Richtlinie hinzuzufügen.

Wenn Sie eine Richtlinie erstellen möchten, die ähnliche Einstellungen wie einevorhandene Richtlinie hat, wählen Sie die vorhandene Richtlinie, und klicken Sieauf Kopieren.

3. Geben Sie einen Namen für die Richtlinie ein.

4. Wählen Sie eine Sicherheitsstufe aus.

Die ausgewählte Sicherheitsstufe wird nicht auf Datenverkehr angewendet, der denAusnahmekriterien der Firewall-Richtlinie entspricht.

5. Wählen Sie die für die Richtlinie zu verwendenden Firewall-Funktionen aus.

• Die Benachrichtigung bei Firewall-Verstoß wird angezeigt, wenn die Firewallein ausgehendes Paket sperrt. Informationen zur Anpassung der Meldungfinden Sie unter Den Inhalt der Firewall-Benachrichtigung ändern auf Seite 12-31.

• Durch Aktivieren aller Firewall-Funktionen werden die OfficeScan Client-Benutzer dazu berechtigt, die Funktionen zu aktivieren bzw. zu deaktivierenund die Firewall-Einstellungen in der OfficeScan Client-Konsole zubearbeiten.


12-13

Warnung!

Vom Benutzer vorgenommene Einstellungen für die OfficeScan Client-Konsole können nicht über die Webkonsole des OfficeScan Serversüberschrieben werden.

• Wenn Sie die Funktionen nicht aktivieren, werden die über die Webkonsoledes OfficeScan Servers vorgenommenen Firewall-Einstellungen unter "Listeder Netzwerkkarten" auf der OfficeScan Client-Konsole angezeigt.

• Die Informationen unter Einstellungen auf der Registerkarte Firewall derOfficeScan Client-Konsole entsprechen immer den Einstellungen, die überdie OfficeScan Client-Konsole konfiguriert wurden, und nicht denen, die überdie Webkonsole des Servers vorgenommen wurden.

6. Aktivieren Sie die lokale oder globale Certified Safe Software Liste.

Hinweis

Stellen Sie sicher, dass die Dienste "Trend Micro Unauthorized Change PreventionService" und "Certified Safe Software Services" aktiviert wurden, bevor Sie diesenService aktivieren.

7. Wählen Sie unter "Ausnahme" die Richtlinienausnahmen für die Firewall aus. Diehier aufgeführten Richtlinienausnahmen hängen von der Ausnahmevorlage derFirewall ab. Weitere Informationen finden Sie unter Die Ausnahmevorlage der Firewallbearbeiten auf Seite 12-15.

• Sie können eine bestehende Richtlinienausnahme ändern, indem Sie auf ihrenNamen klicken und die Einstellungen im daraufhin angezeigten Fensterändern.

Hinweis

Die geänderte Richtlinienausnahme wird nur auf die zu erstellende Richtlinieangewendet. Wenn die Änderung der Richtlinienausnahme dauerhaft sein soll,müssen Sie dieselbe Änderung an der Richtlinienausnahme in der Vorlage derFirewall-Ausnahme vornehmen.


12-14

• Klicken Sie auf Hinzufügen, um eine neue Richtlinienausnahme zu erstellen.Geben Sie im daraufhin angezeigten Fenster die entsprechendenEinstellungen ein.

Hinweis

Die Richtlinienausnahme wird auch nur auf die zu erstellende Richtlinieangewendet. Um diese Richtlinienausnahme auch auf andere Richtlinienanzuwenden, müssen Sie sie zunächst zur Liste der Richtlinienausnahmen in derAusnahmevorlage der Firewall hinzufügen.


Eine vorhandene Firewall-Richtlinie ändern

Prozedur


2. Klicken Sie auf eine Richtlinie.

3. Ändern Sie Folgendes:

• Name der Richtlinie

• Sicherheitsstufe

• Die Funktionen dieser Firewall-Richtlinie

• Status der Certified Safe Software Service List

• Die Ausnahmen dieser Firewall-Richtlinie

• Bearbeiten Sie eine bestehende Richtlinienausnahme (klicken Sie auf denNamen der Richtlinienausnahme und ändern Sie im daraufhinangezeigten Fenster die Einstellungen.)

• Klicken Sie auf Hinzufügen, um eine neue Richtlinienausnahme zuerstellen. Geben Sie im daraufhin angezeigten Fenster dieentsprechenden Einstellungen ein.


12-15

4. Klicken Sie auf Speichern, um die Änderungen für die bestehende Richtlinie zuübernehmen.

Die Ausnahmevorlage der Firewall bearbeitenÜber die Ausnahmevorlage der Firewall können Sie die Richtlinien so konfigurieren,dass anhand von Portnummer(n) und IP-Adresse(n) der OfficeScan Client-Computerverschiedene Arten von Netzwerkverkehr gesperrt oder zugelassen werden. Erstellen Sieeine Richtlinienausnahme, und bearbeiten Sie dann die Richtlinien, für die dieseAusnahme gelten soll.

Wählen Sie zunächst die Art der Ausnahme. Es gibt zwei Möglichkeiten:

• Einschränkend

Mit diesen Ausnahmen werden nur bestimmte Arten von Netzwerkverkehrgesperrt. Sie werden auf Richtlinien angewendet, die den gesamtenNetzwerkverkehr zulassen. Eine einschränkende Richtlinienausnahme wirdbeispielsweise verwendet, um anfällige OfficeScan Client-Ports zu sperren, wiez. B. Ports, die häufig von Trojanern benutzt werden.

• Zulassend

Mit diesen Ausnahmen werden nur bestimmte Arten von Netzwerkverkehrzugelassen. Sie werden auf Richtlinien angewendet, die den gesamtenNetzwerkverkehr sperren. Sie können den OfficeScan Clients zum Beispiel nurZugriff auf den OfficeScan Server und einen Webserver gewähren. Lassen Siehierfür den Datenverkehr vom vertrauenswürdigen Port (der für dieKommunikation mit dem OfficeScan Server verwendet wird) und dem Port, dender OfficeScan Client für die HTTP-Kommunikation verwendet, zu.

OfficeScan Client-Listening-Port: Netzwerkcomputer > Client-Verwaltung >Status. Die Portnummer finden Sie unter Allgemeine Informationen.

Server-Listening-Port: Administration > Verbindungseinstellungen. DiePortnummer finden Sie unter Verbindungseinstellungen fürNetzwerkcomputer.

OfficeScan wird mit mehreren Standardausnahmen für Firewall-Richtlinienausgeliefert, die Sie ändern oder löschen können.


12-16

TABELLE 12-2. Standardausnahmen für Firewall-Richtlinien

NAME DERAUSNAHME

AKTION PROTOKOLL PORT RICHTUNG

DNS Zulassen

TCP/UDP 53 Eingehend undausgehend

NetBIOS Zulassen

TCP/UDP 137, 138,139, 445

Eingehend undausgehend

HTTPS Zulassen

TCP 443 Eingehend undausgehend

HTTP Zulassen


Telnet Zulassen


SMTP Zulassen


FTP Zulassen


POP3 Zulassen


LDAP Zulassen

TCP/UDP 389 Eingehend undausgehend

HinweisStandardausnahmen gelten für alle Clients. Wenn eine Standardausnahme nur fürbestimmte Clients gelten soll, bearbeiten Sie die Ausnahme, und geben Sie die IP-Adressender Clients an.

Die LDAP-Ausnahme steht nicht zur Verfügung, wenn Sie ein Upgrade von einer früherenOfficeScan Version durchgeführt haben. Fügen Sie diese Ausnahme manuell hinzu, wennsie nicht in der Ausschlussliste angezeigt wird.


12-17

Ausnahme der Firewall-Richtlinie hinzufügen

Prozedur


2. Klicken Sie auf Ausnahmevorlage bearbeiten.


4. Geben Sie einen Namen für die Richtlinienausnahme ein.

5. Wählen Sie den Typ der Anwendung. Sie können alle Anwendungen auswählenoder einen Anwendungspfad oder Registrierungsschlüssel angeben.

Hinweis

Überprüfen Sie den eingegebenen Namen und den vollständigen Pfad. DieAnwendungsausnahme unterstützt keine Platzhalterzeichen.

6. Wählen Sie die Aktion, die OfficeScan auf den Netzwerkverkehr ausführen soll (Siekönnen den Verkehr, der die Ausnahmekriterien erfüllt, sperren oder zulassen),und die Richtung des Datenverkehrs (eingehender oder ausgehenderNetzwerkverkehr auf dem OfficeScan Client-Computer).

7. Wählen Sie die Art des Netzwerkprotokolls aus: TCP, UDP, ICMP oder ICMPv6.

8. Geben Sie die Ports auf dem OfficeScan Client-Computer an, auf denen die Aktionausgeführt werden soll.

9. Wählen Sie die IP-Adressen der OfficeScan Client-Computer aus, die in dieAusnahme mit einbezogen werden sollen. Wenn Sie beispielsweise"Netzwerkverkehr ablehnen" (eingehend und ausgehend) wählen und die IP-Adresse für einen einzigen Computer im Netzwerk eingeben, kann kein OfficeScanClient, dessen Richtlinie diese Ausnahme enthält, Daten an diese IP-Adressesenden oder Daten von dort empfangen.

• Alle IP-Adressen: Alle IP-Adressen einschließen

• Einzelne IP-Adresse: Geben Sie eine IPv4- bzw. eine IPv6-Adresse odereinen Host-Namen ein.


12-18

• Bereich (für IPv4 oder IPv6): Geben Sie einen IPv4- oder einen IPv6-Adressbereich ein.

• Bereich (für IPv6): Geben Sie ein IPv6-Adresspräfix und eine Länge ein.

• Subnetzmaske: Geben Sie eine IPv4-Adresse und ihre Subnetzmaske ein.


Ausnahme der Firewall-Richtlinie ändern

Prozedur



3. Klicken Sie auf eine Richtlinienausnahme.


• Name der Richtlinienausnahme

• Anwendungstyp, Name oder Pfad

• Aktion, die OfficeScan bei Netzwerkverkehr und Verkehrsrichtungdurchführt

• Art des Netzwerkprotokolls

• Portnummern der Richtlinienausnahme

• IP-Adresse des OfficeScan Client-Computers


Einstellungen zur Liste der Richtlinienausnahmen speichern

Prozedur



12-19


3. Klicken Sie auf eine der folgenden Speicheroptionen:

• Vorlageänderungen speichern: Speichert die Ausnahmevorlage mit denaktuellen Richtlinienausnahmen und Einstellungen. Mit dieser Option gilt dieVorlage nur für zukünftige, nicht aber für bereits vorhandene Richtlinien.

• Speichern und für alle vorhandenen Richtlinien übernehmen: Speichertdie Ausnahmevorlage mit den aktuellen Richtlinienausnahmen undEinstellungen. Mit dieser Option gilt die Vorlage für bereits vorhandene undzukünftige Richtlinien.

Firewall-ProfileMit Firewall-Profilen können Sie außerdem überprüfen, ob Clients oder Client-Gruppenbestimmte Attribute aufweisen, bevor sie eine Richtlinie anwenden. Sie könnenBenutzerrollen erstellen, die Profile für spezifische Domänen erstellen, konfigurierenoder löschen können.

Benutzer, die das integrierte Administratorkonto verwenden, oder Benutzer mitvollständigen Management-Berechtigungen können ebenfalls die Option Client-Sicherheitsstufe/-Ausnahmeliste überschreiben aktivieren, um die OfficeScanClient-Profileinstellungen durch die Server-Einstellungen zu ersetzen.

Die Profile umfassen:

• Verknüpfte Richtlinie: Jedes Profil verwendet genau eine Richtlinie.

• Client-Attribute: OfficeScan Clients mit einem oder mehreren der folgendenAttribute wenden die verbundene Richtlinie an:

• IP-Adresse: Ein OfficeScan Client mit einer bestimmten IP-Adresse, einerIP-Adresse in einem bestimmten Bereich oder einer IP-Adresse in einembestimmten Subnetz

• Domäne: Ein OfficeScan Client, der zu einer bestimmten OfficeScanDomäne gehört

• Computer: Ein OfficeScan Client mit einem bestimmten Computernamen


12-20

• Plattform: Ein OfficeScan Client unter einer bestimmten Plattform

• Anmeldename: OfficeScan Client-Computer, bei denen bestimmte Benutzerangemeldet sind

• NIC-Beschreibung: Ein OfficeScan Client-Computer mit einerübereinstimmenden NIC-Beschreibung

• Verbindungsstatus der Clients: Online- oder Offline-Status des OfficeScanClients

Hinweis

Ein OfficeScan Client gilt als online, wenn er eine Verbindung zum OfficeScanServer oder einem der Referenzserver aufbauen kann. Er gilt als offline, wennkeine Verbindung mit einem Server möglich ist.

• Benutzerberechtigungen: Den OfficeScan Client-Benutzern die Berechtigung fürfolgende Aktionen erteilen oder entziehen:

• Sicherheitsstufe einer Richtlinie verändern.

• Ausschlussliste einer Richtlinie bearbeiten.

Hinweis

Diese Berechtigungen gelten nur für Clients, deren Attribute mit dem Profilübereinstimmen. Sie können den ausgewählten Client-Benutzern andereFirewall-Berechtigungen zuordnen. Weitere Informationen finden Sie unterFirewall-Berechtigungen auf Seite 12-25.

OfficeScan wird mit einem Standardprofil mit der Bezeichnung "Alle Clients"ausgeliefert, das die Richtlinie "Uneingeschränkter Zugriff" verwendet. Sie könnendieses Standardprofil ändern oder löschen. Sie können auch neue Profile erstellen. AlleStandard- und benutzerdefinierten Firewall-Profile, einschließlich der Richtlinie, diejedem Profil zugeordnet ist, und der aktuelle Profilstatus werden in der Liste derFirewall-Profile auf der Webkonsole angezeigt. Sie können die Profilliste verwalten undalle Profile an die OfficeScan Clients verteilen. OfficeScan Clients speichern alleFirewall-Profile auf dem Client-Computer.


12-21

Die Profilliste der Firewall konfigurieren

Prozedur

1. Navigieren Sie zu Netzwerkcomputer > Firewall > Profile.

2. Aktivieren Sie wahlweise für Benutzer, die das integrierte Administratorkontoverwenden, oder für Benutzer mit vollständigen Management-Berechtigungen dieOption Client-Sicherheitsstufe/-Ausnahmeliste überschreiben OfficeScan,um die Client-Profileinstellungen durch die Server-Einstellungen zu ersetzen.

3. Klicken Sie auf Hinzufügen, um ein neues Profil hinzuzufügen. Um einbestehendes Profil zu bearbeiten, wählen Sie den Namen des Profils.

Ein Fenster zur Konfiguration des Profils wird angezeigt. Weitere Informationenfinden Sie unter Ein Firewall-Profil hinzufügen oder bearbeiten auf Seite 12-23.

4. Zum Löschen einer vorhandenen Richtlinie aktivieren Sie das Kontrollkästchenneben der betreffenden Richtlinie, und klicken Sie auf Löschen.

5. Um die Reihenfolge der Profile in der Liste zu ändern, aktivieren Sie dasKontrollkästchen neben dem Profil, das verschoben werden soll, und klicken Sieanschließend auf Nach oben oder Nach unten.

OfficeScan wendet die Firewall-Profile in der Reihenfolge auf die OfficeScanClients an, in der sie in der Liste erscheinen. Wenn ein Client zum Beispiel demersten Profil entspricht, wendet OfficeScan die für dieses Profil konfiguriertenMaßnahmen auf den Client an. OfficeScan ignoriert die anderen für diesen Clientkonfigurierten Profile.

Tipp

Je ausschließender eine Richtlinie ist, desto weiter oben sollte sie in der Liste stehen.Setzen Sie zum Beispiel die Richtlinien für einen einzigen Client ganz nach oben,gefolgt von den Richtlinien für eine bestimmte Gruppe von Clients, eineNetzwerkdomäne und alle Clients.

6. Um die Referenzserver zu verwalten, klicken Sie auf Liste der Referenzserverbearbeiten. Bei den Referenzservern handelt es sich um Computer, die als Ersatzfür OfficeScan Server bei der Anwendung von Firewall-Profilen fungieren. Jeder


12-22

beliebige Computer im Netzwerk kann ein Referenzserver sein (weitereInformationen hierzu finden Sie unter Referenzserver auf Seite 13-31). Bei derAktivierung eines Referenzservers geht OfficeScan von folgenden Annahmen aus:

• Mit Referenzservern verbundene OfficeScan Clients sind online, auch wennsie nicht mit dem OfficeScan Server kommunizieren können.

• Die Firewall-Profile für Online-Clients gelten auch für OfficeScan Clients, diemit Referenzservern verbunden sind.

Hinweis

Nur Benutzer, die das integrierte Administratorkonto verwenden, oder solche mitvollständigen Management-Berechtigungen können die Liste der Referenzserveranzeigen und konfigurieren.

7. Die aktuellen Einstellungen speichern und die Profile den OfficeScan Clientszuweisen:

a. Entscheiden Sie, ob Sie die Client-Sicherheitsstufe/-Ausschlusslisteüberschreiben möchten. Diese Option überschreibt alle benutzerdefiniertenFirewall-Einstellungen.

b. Klicken Sie auf Den Clients ein Profil zuweisen. OfficeScan weist allenOfficeScan Clients alle Profile in der Liste zu.

8. Überprüfen, ob die Profile den OfficeScan Clients zugewiesen wurden:

a. Navigieren Sie zu Netzwerkcomputer > Client-Verwaltung. Wählen Sie imAuswahlmenü der Client-Hierarchie die Firewall-Ansicht.

b. Stellen Sie sicher, dass unter die Spalte Firewall in der Client-Hierarchie eingrünes Häkchen gesetzt ist. Wenn die dem Profil zugewiesene Richtlinie dasIntrusion Detection System aktiviert, enthält auch die Spalte IDS ein grünesHäkchen.

c. Überprüfen Sie, ob der Client die richtige Firewall-Richtlinie anwendet. DieRichtlinie wird in der Spalte Firewall-Richtlinie in der Client-Hierarchieangezeigt.


12-23

Ein Firewall-Profil hinzufügen oder bearbeiten

Jeder OfficeScan Client-Computer benötigt individuelle Sicherheit. Über die Profile derFirewall können Sie die Clients angeben, für die eine entsprechende Richtlinieübernommen wird. Außerdem können Sie die Client-Berechtigungen zum Ändern derFirewall-Einstellungen gewähren. Im Allgemeinen ist ein Profil für jede verwendeteRichtlinie erforderlich.

Firewall-Profil hinzufügen

Prozedur



3. Klicken Sie auf Dieses Profil aktivieren, damit das Profil auf die OfficeScanClients verteilt wird.

4. Geben Sie einen Namen und optional eine Beschreibung für das Profil ein.

5. Wählen Sie eine Richtlinie für dieses Profil aus.

6. Legen Sie fest, auf welche Clients die Richtlinie angewendet werden soll. WählenSie die Computer anhand der folgenden Kriterien:

• IP-Adresse

• Domäne: Klicken Sie auf die entsprechende Schaltfläche, um über die Client-Hierarchie Domänen auszuwählen.

HinweisNur Benutzer mit vollständigen Domänenberechtigungen können Domänenauswählen.

• Computername: Klicken Sie auf die entsprechende Schaltfläche, um dieClient-Hierarchie zu öffnen und dort die OfficeScan Client-Computerauszuwählen.

• Betriebssystem


12-24

• Anmeldename

• NIC-Beschreibung: Geben Sie eine vollständige oder kurze Beschreibungohne Platzhalter ein.

Tipp

Trend Micro empfiehlt, den Hersteller der Netzwerkkarte einzugeben, da NIC-Beschreibungen gewöhnlich mit dem Herstellernamen beginnen. Wenn Siebeispielsweise "Intel" eingeben, erfüllen alle von Intel hergestelltenNetzwerkkarten diese Kriterien. Wenn Sie die Modellbezeichnung einerbestimmten Netzwerkkarte eingegeben haben, beispielsweise "Intel(R) Pro/100", werden nur NIC-Beschreibungen, die mit "Intel(R) Pro/100" beginnen,diese Kriterien erfüllen.

• Verbindungsstatus der Clients

7. Legen Sie fest, ob Benutzer zum Ändern der Firewall-Sicherheitsstufe oder zumBearbeiten einer konfigurierbaren Ausschlussliste berechtigt sein sollen, mit derbestimmte Arten von Datenverkehr zugelassen werden können.

Weitere Informationen zu diesen Optionen finden Sie unter Eine Firewall-Richtliniehinzufügen oder ändern auf Seite 12-11.


Firewall-Profil ändern

Prozedur


2. Klicken Sie auf ein Profil.

3. Klicken Sie auf Dieses Profil aktivieren, damit das Profil auf die OfficeScanClients verteilt wird. Ändern Sie Folgendes:

• Namen und Beschreibung des Profils

• Dem Profil zugeordnete Richtlinie


12-25

• OfficeScan Client-Computer gemäß den folgenden Kriterien:

• IP-Adresse

• Domäne: Klicken Sie auf die entsprechende Schaltfläche, um die Client-Hierarchie zu öffnen und dort die Domänen auszuwählen.

• Computername: Klicken Sie auf die entsprechende Schaltfläche, um dieClient-Hierarchie zu öffnen und dort die Clients auszuwählen.

• Betriebssystem

• Anmeldename

• NIC-Beschreibung: Geben Sie eine vollständige oder kurzeBeschreibung ohne Platzhalter ein.

TippTrend Micro empfiehlt, den Hersteller der Netzwerkkarte einzugeben, daNIC-Beschreibungen gewöhnlich mit dem Herstellernamen beginnen.Wenn Sie beispielsweise "Intel" eingeben, erfüllen alle von Intelhergestellten Netzwerkkarten diese Kriterien. Wenn Sie dieModellbezeichnung einer bestimmten Netzwerkkarte eingegeben haben,beispielsweise "Intel(R) Pro/100", werden nur NIC-Beschreibungen, diemit "Intel(R) Pro/100" beginnen, diese Kriterien erfüllen.


• Berechtigungen: Legen Sie fest, ob Benutzer zum Ändern der Firewall-Sicherheitsstufe oder zum Bearbeiten einer konfigurierbaren Ausschlusslisteberechtigt sein sollen, mit der bestimmte Arten von Datenverkehr zugelassenwerden können. Weitere Informationen zu diesen Optionen finden Sie unterEine Firewall-Richtlinie hinzufügen oder ändern auf Seite 12-11.


Firewall-BerechtigungenErlauben Sie Benutzern die Konfiguration ihrer eigenen Firewall-Einstellungen. Allebenutzerkonfigurierten Einstellungen können nicht durch Einstellungen überschrieben


12-26

werden, die vom OfficeScan Server verteilt werden. Wenn der Benutzer beispielsweisedas Intrusion Detection System (IDS) deaktiviert hat und Sie IDS auf dem OfficeScanServer aktivieren, bleibt IDS auf dem OfficeScan Client-Computer deaktiviert.

Aktivieren Sie die folgenden Einstellungen, damit Benutzer die Firewall konfigurierenkönnen:

• Die Registerkarte 'Firewall' auf der Client-Konsole anzeigen

Auf der Registerkarte Firewall werden alle Firewall-Einstellungen des OfficeScanClients angezeigt. Benutzer mit Firewall-Berechtigungen können ihre eigenenEinstellungen konfigurieren.

• Clients dürfen Firewall, Intrusion Detection System (IDS) undWarnmeldung der Firewall aktivieren/deaktivieren

Die OfficeScan Firewall mit Stateful-Inspection-Technologie schützt Clients undServer im Netzwerk durch leistungsstarkes Suchen und Entfernen vonNetzwerkviren. Wenn Sie Benutzern die Berechtigung geben, die Firewall und ihreFunktionen zu aktivieren oder zu deaktivieren, warnen Sie sie vor derDeaktivierung der Firewall über einen längeren Zeitraum, um zu verhindern, dassdie Gefahr von Intrusion- und Hackerangriffen entsteht.

Wenn Sie den Benutzer die Berechtigungen nicht gewähren, werden die über dieWebkonsole des OfficeScan Servers vorgenommenen Firewall-Einstellungen unter"Liste der Netzwerkkarten" auf der OfficeScan Client-Konsole angezeigt.

• Clients dürfen Firewall-Protokolle an den OfficeScan Server senden

Wählen Sie diese Option, um den Datenverkehr zu analysieren, den die OfficeScanFirewall sperrt und zulässt. Weitere Informationen über Firewall-Protokolle findenSie unter Firewall-Protokolle auf Seite 12-31.

Wenn Sie diese Option auswählen, konfigurieren Sie den Zeitplan für das Sendendes Protokolls unter Netzwerkcomputer > Allgemeine Client-Einstellungen.Gehen Sie zum Abschnitt Firewall-Einstellungen. Der Zeitplan gilt nur fürClients mit Berechtigung zum Versenden von Firewall-Protokollen. Anweisungenfinden Sie unter Allgemeine Firewall-Einstellungen auf Seite 12-28.


12-27

Firewall-Berechtigungen gewähren

Prozedur




4. Gehen Sie auf der Registerkarte Berechtigungen zum Abschnitt Firewall-Berechtigungen.


• Die Registerkarte 'Firewall' auf der Client-Konsole anzeigen auf Seite 12-26

• Clients dürfen Firewall, Intrusion Detection System (IDS) und Warnmeldung der Firewallaktivieren/deaktivieren auf Seite 12-26

• Clients dürfen Firewall-Protokolle an den OfficeScan Server senden auf Seite 12-26





12-28

Allgemeine Firewall-EinstellungenEs gibt mehrere Möglichkeiten, die Einstellungen der allgemeinen Firewall auf dieOfficeScan Clients anzuwenden.

• Eine bestimmte Firewall-Einstellung kann sich auf alle Clients beziehen, die derServer verwaltet.

• Es gibt aber auch Einstellungen, die sich nur auf OfficeScan Clients mitbestimmten Firewall-Berechtigungen beziehen. Der Zeitplan für das Versendenvon Firewall-Protokollen bezieht sich zum Beispiel nur auf OfficeScan Clients mitder Berechtigung zum Versenden von Protokollen an den Server.

Aktivieren Sie bei Bedarf die folgenden allgemeine Einstellungen:

• Firewall-Protokolle an den Server senden

Sie können bestimmten OfficeScan Clients die Berechtigung erteilen, Firewall-Protokolle an den OfficeScan Server zu senden. In diesem Bereich können Sie denZeitplan für das Senden des Protokolls festlegen. Diesen Zeitplan verwenden nurClients, die zum Senden von Firewall-Protokollen berechtigt sind.

Informationen zu den Firewall-Berechtigungen, die für ausgewählte Clientsverfügbar sind, finden Sie unter Firewall-Berechtigungen auf Seite 12-25.

• OfficeScan Firewall-Treiber nur nach einem Neustart des Systemsaktualisieren

Ermöglichen Sie dem OfficeScan Client, nur dann ein Update des Treibers für dieallgemeine Firewall durchzuführen, nachdem der OfficeScan Client-Computer neugestartet wurde. Aktivieren Sie diese Option, um potenzielle Störungen des Client-Computers zu vermeiden (wie eine temporäre Trennung vom Netzwerk), wenn derTreiber für die allgemeine Firewall während eines Client-Updates aktualisiert wird.

HinweisDiese Funktion unterstützt nur Clients, die von OfficeScan 8.0 SP1 und höheraktualisiert wurden.

• Firewall-Protokollinformationen stündlich an den OfficeScan Server senden,um die Möglichkeit eines Firewall-Ausbruchs festzustellen


12-29

Wenn Sie diese Option aktivieren, senden die OfficeScan Clients die Firewall-Protokolle nur einmal pro Stunde an den OfficeScan Server. WeitereInformationen über Firewall-Protokolle finden Sie unter Firewall-Protokolle auf Seite12-31.

OfficeScan verwendet Protokollzähler und Kriterien für den Ausbruch vonVerstößen gegen die Firewall, um die Wahrscheinlichkeit eines Ausbruchs vonFirewall-Verstößen zu ermitteln. OfficeScan versendet im Fall eines Ausbruchs E-Mail-Benachrichtigungen an die OfficeScan Administratoren.

Einstellungen der allgemeinen Firewall konfigurieren

Prozedur


2. Gehen Sie zu den folgenden Abschnitten und konfigurieren Sie die Einstellungen:

TABELLE 12-3. Allgemeine Firewall-Einstellungen

ABSCHNITT EINSTELLUNGEN

Firewall-Einstellungen • Firewall-Protokolle an den Server senden auf Seite12-28

• OfficeScan Firewall-Treiber nur nach einem Neustartdes Systems aktualisieren auf Seite 12-28

Firewall-Protokollzähler

Firewall-Protokollinformationen stündlich an denOfficeScan Server senden, um die Möglichkeit einesFirewall-Ausbruchs festzustellen auf Seite 12-28


Benachrichtigungen bei Firewall-Verstößen fürOfficeScan Client-Benutzer

OfficeScan kann sofort, nachdem die OfficeScan Firewall den ausgehendenDatenverkehr gesperrt hat, der gegen die Firewall-Richtlinien verstößt, eine


12-30

Benachrichtigung auf dem Client-Computer anzeigen. Gewähren Sie den Benutzern dieBerechtigung, die Benachrichtigung zu aktivieren/deaktivieren.

Hinweis

Sie können die Benachrichtigung auch bei der Konfiguration einer bestimmten Firewall-Richtlinie aktivieren. Informationen zum Konfigurieren einer Firewall-Richtlinie finden Sieunter Eine Firewall-Richtlinie hinzufügen oder ändern auf Seite 12-11.

Den Benutzern die Berechtigung gewähren, dieBenachrichtigung zu aktivieren/deaktivieren

Prozedur




4. Gehen Sie auf der Registerkarte Berechtigungen zum Abschnitt Firewall-Berechtigungen.

5. Wählen Sie Benutzer dürfen Firewall, Intrusion Detection System (IDS) undWarnmeldung der Firewall aktivieren/deaktivieren.





12-31


Den Inhalt der Firewall-Benachrichtigung ändern

Prozedur


2. Klicken Sie auf die Registerkarte Firewall-Verstöße.

3. Sie können die Standardmeldungen im dafür vorgesehenen Textfeld bearbeiten.


Firewall-ProtokolleFirewall-Protokolle, die auf dem Server verfügbar sind, werden von OfficeScan Clientsgesendet, die die Berechtigung haben, Firewall-Protokolle zu senden. Gewähren Siebestimmten Clients diese Berechtigung, um den Datenverkehr auf dem Client-Computerzu überwachen und zu analysieren, der von der OfficeScan Firewall gesperrt wird.

Weitere Informationen über Firewall-Berechtigungen finden Sie unter Firewall-Berechtigungen auf Seite 12-25.



12-32

Firewall-Protokolle anzeigen

Prozedur



3. Klicken Sie auf Protokolle > Firewall-Protokolle oder Protokolle anzeigen >Firewall-Protokolle.

4. Um sicherzustellen, dass die aktuellsten Protokolle verfügbar sind, klicken Sie aufClients benachrichtigen. Warten Sie einen Moment, bis die Clients die Firewall-Protokolle gesendet haben, bevor Sie mit dem nächsten Schritt fortfahren.



• Datum und Uhrzeit der Erkennung eines Firewall-Verstoßes

• Der Computer, auf dem der Firewall-Verstoß aufgetreten ist

• Die Computer-Domäne, auf der der Firewall-Verstoß aufgetreten ist

• IP-Adresse des externen Hosts

• IP-Adresse des lokalen Hosts

• Protokoll

• Portnummer

• Richtung: Gibt an, ob eingehender oder ausgehender Verkehr gegen eineFirewall-Richtline verstoßen hat

• Prozess: Das ausführbare Programm/der Dienst auf dem Computer, der denFirewall-Verstoß verursacht hat


12-33

• Beschreibung: Beschreibt das tatsächliche Sicherheitsrisiko (z. B.Netzwerkvirus oder IDS-Angriff) oder den Verstoß gegen eine Firewall-Richtlinie


Ausbrüche bei Firewall-VerstoßDefinieren Sie einen Ausbruch von Verstößen gegen die Firewall durch die Anazhl derVerstöße gegen die Firewall und den Entdeckungszeitraum.

OfficeScan verfügt über zahlreiche Standardbenachrichtigungen, die Sie und andereOfficeScan Administratoren über einen Ausbruch informieren. Sie können dieBenachrichtigung ändern, damit sie Ihren Anforderungen entspricht.

HinweisOfficeScan kann Firewall-Ausbruchsbenachrichtigungen per E-Mail versenden.Konfigurieren Sie E-Mail-Einstellungen, damit OfficeScan die E-Mails erfolgreichversenden kann. Weitere Informationen finden Sie unter Einstellungen für dieAdministratorbenachrichtigungen auf Seite 13-33.

Kriterien für den Ausbruch von Verstößen gegen dieFirewall und Benachrichtigungen konfigurieren

Prozedur



a. Gehen Sie zum Abschnitt Firewall-Verstöße.

b. Wählen Sie Firewall-Verstöße auf Netzwerkcomputern überwachen.


12-34

c. Bestimmen Sie die Anzahl von IDS-Protokollen, Firewall-Protokollen undNetzwerkvirenprotokollen.

d. SBestimmen Sie den Entdeckungszeitraum.

Tipp


OfficeScan sendet eine Benachrichtigung, wenn die vorgegebene Anzahl vonProtokollen überschritten wird.. Wenn Sie zum Beispiel 100 IDS-Protokolle, 100Firewall-Protokolle, 100 Netzwerkvirenprotokolle und einen Zeitraum von 3Stunden angeben, versendet OfficeScan die Benachrichtigung, wenn der Server 301Protokolle innerhalb von 3 Stunden empfängt.


a. Gehen Sie zum Abschnitt Ausbrüche von Firewall-Verstößen.




TABELLE 12-4. Token-Variablen für Benachrichtigungen über Ausbrüchevon Verstößen gegen die Firewall


%A Anzahl der Einträge für einen bestimmten Protokolltypwurde überschritten

%C Anzahl der Protokolle bei Firewall-Verstoß.

%T Zeitraum, in dem die Protokolle bei Firewall-Verstoßgesammelt wurden



12-35

Die OfficeScan Firewall testenFühren Sie Tests auf einem einzelnen OfficeScan Client oder einer OfficeScan Client-Gruppe durch, um die ordnungsgemäße Funktionsweise der OfficeScan Firewall zugewährleisten.

Warnung!

Sie sollten die Einstellungen des OfficeScan Client-Programms nur in einer kontrolliertenUmgebung testen. Die getesteten Client-Computer sollten nicht mit dem Netzwerk oderdem Internet verbunden sein. Ansonsten wären OfficeScan Client-Computer dem Risikoeines Angriffs durch Viren oder Hacker ausgesetzt.

Prozedur

1. Testrichtlinie erstellen und speichern. Konfigurieren Sie die Einstellungen, um denzu testenden Datenverkehr zu sperren. Um beispielsweise zu verhindern, dass derOfficeScan Client eine Internet-Verbindung herstellt, verwenden Sie folgendeEinstellungen:

a. Legen Sie als Sicherheitsebene Niedrig fest (der gesamte eingehende/ausgehende Datenverkehr wird zugelassen).

b. Wählen Sie Firewall aktivieren und Benutzer bei Verstoß gegen dieFirewall benachrichtigen.

c. Erstellen Sie eine Ausnahme zum Sperren von HTTP- (bzw. HTTPS-)Datenverkehr.

2. Erstellen und speichern Sie ein Testprofil durch Auswahl der Clients, auf denen Siedie Firewall-Funktionen testen möchten. Ordnen Sie dem Testprofil eineTestrichtlinie zu.

3. Klicken Sie auf Den Clients ein Profil zuweisen.

4. Überprüfen Sie die Verteilung.

a. Klicken Sie auf Netzwerkcomputer > Client-Verwaltung.

b. Wählen Sie die Domäne des Clients.


12-36

c. Wählen Sie aus der Client-Hierarchie die Option Firewall-Ansicht.

d. Überprüfen Sie, ob die Spalte Firewall in der Client-Hierarchie mit einemgrünen Häkchen versehen ist. Wenn das Intrusion Detection System fürdiesen Client aktiviert ist, überprüfen Sie, ob sich in der Spalte IDS auch eingrünes Häkchen befindet.

e. Überprüfen Sie, ob der Client die richtige Firewall-Richtlinie anwendet. DieRichtlinie wird in der Spalte Firewall-Richtlinie in der Client-Hierarchieangezeigt.

5. Testen Sie die Firewall auf dem Client-Computer, indem Sie versuchen, den in derRichtlinie festgelegten Datenverkehr zu versenden oder zu empfangen.

6. Um eine Richtlinie zu testen, die den Client am Zugriff auf das Internet hindernsoll, öffnen Sie ein Browser-Fenster auf dem Client-Computer. Wenn SieOfficeScan so konfiguriert haben, dass eine Benachrichtigung bei Firewall-Verstößen angezeigt wird, wird die Meldung auf dem Client-Computer angezeigt,wenn der ausgehende Datenverkehr gegen die Firewall-Richtlinien verstößt.

Teil IIIOfficeScan Server und Clients

verwalten

13-1

Kapitel 13

Den OfficeScan Server verwaltenIn diesem Kapitel werden Verwaltung und Konfiguration von OfficeScan Servernbeschrieben.


• Rollenbasierte Administration auf Seite 13-2

• Referenzserver auf Seite 13-31

• Einstellungen für die Administratorbenachrichtigungen auf Seite 13-33

• Systemereignisprotokolle auf Seite 13-36

• Protokollmanagement auf Seite 13-37

• OfficeScan Datenbanksicherung auf Seite 13-44

• OfficeScan Informationen zum Webserver auf Seite 13-46

• Kennwort der Webkonsole auf Seite 13-47

• Server Tuner auf Seite 13-49

• Smart Feedback auf Seite 13-52


13-2

Rollenbasierte AdministrationBenutzen Sie eine rollenbasierte Administration, um den Zugriff auf die OfficeScanWebkonsole sicherzustellen und zu steuern. Gibt es in Ihrem Unternehmen mehrereOfficeScan Administratoren, können Sie diese Funktion nutzen, um denAdministratoren bestimmte Berechtigungen für die Webkonsole zuzuweisen und sie nurmit den Tools und Berechtigungen auszustatten, die erforderlich sind, um bestimmteAufgaben auszuführen. Sie können auch den Zugriff auf die Client-Hierarchie steuern,indem Sie ihnen eine oder mehrere Domänen zur Verwaltung zuordnen. Außerdemkönnen Sie Nicht-Administratoren einen Zugriff auf die Webkonsole über "Nuranzeigen" gewähren.

Jeder Benutzer (Administrator oder Nicht-Administrator) bekommt eine bestimmteRolle zugewiesen. Eine Rolle definiert die Zugriffsrechte auf die Webkonsole. Benutzermelden sich bei der Webkonsole mit benutzerdefinierten Konten oder Active Directory-Konten an.

Die rollenbasierte Administration umfasst die folgenden Aufgaben:

1. Benutzerrollen definieren. Weitere Informationen finden Sie unter Benutzerrollen aufSeite 13-3.

2. Benutzerkonten konfigurieren und jedem Benutzerkonto eine bestimmte Rollezuweisen. Weitere Informationen finden Sie unter Benutzerkonten auf Seite 13-19.

Aktivitäten der Webkonsole für alle Benutzer aus den Systemereignisprotokollenanzeigen. Die folgenden Aktivitäten werden protokolliert:

• Anmeldung an der Konsole

• Kennwortänderung

• Abmeldung von der Konsole

• Zeitüberschreitung der Sitzung (der Benutzer wird automatisch abgemeldet)

Den OfficeScan Server verwalten

13-3

BenutzerrollenEine Benutzerrolle bestimmt, auf welche Menüpunkte der Webkonsole ein BenutzerZugriff hat. Einer Rolle wird für jeden einzelnen Menüpunkt eine Berechtigungzugewiesen.

Weisen Sie Folgendem Berechtigungen zu:

• Berechtigungen im Menü auf Seite 13-3

• Menüpunkt-Arten auf Seite 13-3

• Menüelemente für Server und Clients auf Seite 13-4

• Menüelemente für verwaltete Domänen auf Seite 13-8

• Menüelemente der Client-Verwaltung auf Seite 13-9

Berechtigungen im Menü

Berechtigungen bestimmen die Zugriffsrechte auf jeden Menüpunkt. Die Berechtigungfür einen Menüpunkt kann sein:

• Konfigurieren: Gewährt vollen Zugriff auf einen Menüpunkt. Der Benutzer istberechtigt alle Einstellungen zu konfigurieren, alle Aufgaben auszuführen undDaten in einem Menüpunkt anzuzeigen.

• Anzeigen: Der Benutzer ist nur berechtigt, Einstellungen, Aufgaben und Dateneines Menüpunktes anzuzeigen.

• Kein Zugriff: Menüpunkte werden nicht angezeigt.

Menüpunkt-Arten

Es gibt drei Arten von Menüpunkten in OfficeScan.


13-4

TABELLE 13-1. Menüpunkt-Arten

TYP BEREICH

Menüelemente fürServer/Clients

• Servereinstellungen, Aufgaben und Daten

• Allgemeine Client-Einstellungen, Aufgaben und Daten

Eine vollständige Liste aller verfügbaren Menüelemente findenSie unter Menüelemente für Server und Clients auf Seite 13-4.

Menüelemente fürverwalteteDomänen

Granuläre Client-Einstellungen, Aufgaben und Daten, dieaußerhalb der Client-Hierarchie verfügbar sind

Eine vollständige Liste aller verfügbaren Menüelemente findenSie unter Menüelemente für verwaltete Domänen auf Seite13-8.

Menüelemente derClient-Verwaltung

Granuläre Client-Einstellungen, Aufgaben und Daten, dieinnerhalb der Client-Hierarchie verfügbar sind

Eine vollständige Liste aller verfügbaren Menüelemente findenSie unter Menüelemente der Client-Verwaltung auf Seite 13-9.

Menüelemente für Server und Clients

Die folgende Tabelle enthält alle Menüelemente für Server/Clients:

TABELLE 13-2. Menüelemente für Server/Clients

HAUPTMENÜPUNKT UNTERMENÜS

Alle Domänen jetzt durchsuchen

HinweisNur Benutzer, die die integrierteAdministratorrolle verwenden,können auf diese Funktionzugreifen.

Keine


13-5


Netzwerkcomputer • Client-Verwaltung

• Clients gruppieren


• Computerstandort


• Datenbezeichner

• Vorlagen

• Verbindungsüberprüfung

• Ausbruchsprävention

Smart Protection • Smart Protection Quellen

• Integrierter Server

• Smart Feedback

Updates • Server

• Zeitgesteuertes Update

• Manuelles Update

• Update-Adresse

• Netzwerkcomputer

• Automatisches Update

• Update-Adresse

• Rollback


13-6


Protokolle • Netzwerkcomputer-Protokolle

• Sicherheitsrisiken

• Komponenten-Update

• Server-Update-Protokolle

• Systemereignisprotokolle

• Protokollwartung

Cisco NAC • Policy Server

• Agent-Verwaltung

• Agent-Verteilung

• Client-Zertifikat

Benachrichtigungen • Administratorbenachrichtigungen

• Allgemeine Einstellungen

• Ausbruchsbenachrichtigungen

• Benutzerbenachrichtigungen


13-7


Administration • Benutzerkonten

• Benutzerrollen

HinweisNur Benutzer, die das integrierteAdministratorkonto verwenden,können auf Benutzerkonten undRollen zugreifen.

• Active Directory

• Active Directory-Integration

• Zeitgesteuerte Synchronisierung


• Verbindungseinstellungen

• Inaktive Clients

• Quarantäne-Manager

• Produktlizenz

• Control Manager Einstellungen

• Einstellungen der Webkonsole

• Datenbanksicherung

Extras • Administrator-Tools

• Client-Tools

Plug-in-Manager

HinweisNur Benutzer, die das integrierteAdministratorkonto verwenden,können auf diese Funktionzugreifen.

Keine


13-8

Menüelemente für verwaltete Domänen

Die folgende Tabelle enthält alle Menüelemente für verwaltete Domänen:

TABELLE 13-3. Menüelemente für verwaltete Domänen


Zusammenfassung

HinweisAlle Benutzer könnenunabhängig von derBerechtigung auf diese Seitezugreifen.

Keine

Einhaltung von Sicherheitsrichtlinien • Bewertung der Einhaltung von Richtlinien

• Bericht zur Einhaltung von Richtlinien

• Zeitgesteuerter Bericht zur Einhaltungvon Richtlinien

• Ausgelagerte Serververwaltung

Netzwerkcomputer • Firewall

• Richtlinien

• Profile

• Client-Installation

• Browserbasiert

• Remote

Updates • Zusammenfassung

• Netzwerkcomputer

• Manuelles Update


13-9


Protokolle • Netzwerkcomputer-Protokolle

• Verbindungsüberprüfung

• Spyware/Grayware wiederherstellen

Benachrichtigungen • Administratorbenachrichtigungen

• Standardbenachrichtigungen

Menüelemente der Client-Verwaltung

Die folgende Tabelle enthält alle Menüpunkte der Clients-Verwaltung:

TABELLE 13-4. Menüelemente der Client-Verwaltung


Status Keine

Aufgaben • Jetzt durchsuchen

• Client-Deinstallation

• Spyware/Grayware wiederherstellen


13-10


Einstellungen • Sucheinstellungen

• Suchmethoden

• Einstellungen für manuelle Suche

• Einstellungen für Echtzeitsuche

• Einstellungen für zeitgesteuerteSuche

• Einstellungen für Jetzt durchsuchen


• Einstellungen der Verhaltensüberwachung


• DLP-Einstellungen

• Update-Agent-Einstellungen

• Berechtigungen und andere Einstellungen



• Einstellungen exportieren

• Einstellungen importieren

Protokolle • Viren-/Malware-Protokolle

• Spyware-/Grayware-Protokolle

• Firewall-Protokolle

• Web-Reputation-Protokolle

• C&C-Callback-Protokolle

• Verhaltensüberwachungsprotokolle

• Protokolle der Gerätesteuerung

• DLP-Protokolle

• Protokolle löschen


13-11


Client-Hierarchie verwalten • Domäne hinzufügen

• Domäne umbenennen

• Client verschieben

• Clients sortieren

• Domäne/Client entfernen

Exportieren Keine

Integrierte Benutzerrollen

Zum Lieferumfang von OfficeScan gehören mehrere integrierte Benutzerrollen, die Sieweder ändern noch löschen können. Bei den integrierten Rollen handelt es sich umFolgende:

TABELLE 13-5. Integrierte Benutzerrollen

ROLLENNAME BESCHREIBUNG

Administrator Delegieren Sie diese Rolle an andere OfficeScan Administratorenoder Benutzer mit ausreichenden Kenntnissen über OfficeScan.

Benutzer mit dieser Rolle können alle Menüelementekonfigurieren.

Gastbenutzer Delegieren Sie diese Rolle an Benutzer, die die Webkonsole zuReferenzzwecken anzeigen möchten.

• Benutzer mit dieser Rolle haben keinen Zugriff auf diefolgenden Menüpunkte:

• Alle Domänen jetzt durchsuchen

• Plug-in-Manager

• Administration > Benutzerrollen

• Administration > Benutzerkonten

• Benutzer können alle anderen Menübefehle sehen.


13-12

ROLLENNAME BESCHREIBUNG

TrendHauptbenutzer

Diese Rolle ist nur verfügbar, wenn OfficeScan 10 auf dieseVersion aktualisiert wird.

Diese Rolle erbt die Berechtigungen der Hauptbenutzerrolle inOfficeScan 10. Benutzer mit dieser Rolle sind berechtigt, alleDomänen in der Client-Hierarchie zu konfigurieren, haben jedochkeinen Zugriff auf die neuen Funktionen aus dieser Version.

BenutzerdefiniertSie können benutzerdefinierte Rollen erstellen, wenn keine der integrierten Rollen IhreAnforderungen erfüllen.

Nur Benutzer mit der integrierten Administratorrolle und solche, die das Root-Kontoverwenden, das während der OfficeScan Installation erstellt wurde, könnenbenutzerdefinierte Rollen erstellen und diese Rollen den Benutzerkonten zuweisen.

Eine benutzerdefinierte Rolle hinzufügen

Prozedur

1. Navigieren Sie zu Administration > Benutzerrollen.

2. Klicken Sie auf Hinzufügen. Wenn Sie eine Richtlinie erstellen möchten, dieähnliche Einstellungen wie eine vorhandene Richtlinie hat, wählen Sie dievorhandene Richtlinie, und klicken Sie auf Kopieren. Ein neues Fenster wirdangezeigt.

3. Geben Sie den Namen für die Rolle ein. Optional können Sie dabei eineBeschreibung angeben.

4. Definieren Sie den Bereich der Client-Hierarchie.

a. Klicken Sie Bereich der Client-Hierarchie definieren. Es öffnet sich einneues Fenster.

b. Wählen Sie das Symbol der Stammdomäne oder mindestens eine Domäne inder Client-Hierarchie aus.


13-13


HinweisEine benutzerdefinierte Rolle kann nicht gespeichert werden, wenn der Bereich derClient-Hierarchie nicht definiert wird.

Nur die Domänen sind an dieser Stelle definiert worden. Die Zugriffsrechte auf dieWahl der Domänen sind in Schritt 6 und Schritt 7 definiert.

5. Klicken Sie auf die Registerkarte Globale Menüelemente.

6. Klicken Sie Menüelemente für Server/Clients und geben Sie die Berechtigungfür jeden verfügbaren Menüpunkt an. Eine Liste aller verfügbaren Menüelementefinden Sie unter Menüelemente für Server und Clients auf Seite 13-4.

Der Bereich der Client-Hierarchie, den Sie in Schritt 3 konfiguriert haben,bestimmt die Berechtigungsstufe der Menüpunkte und die Berechtigungsziele. DerBereich der Client-Hierarchie kann entweder die Root-Domäne (alle Clients) oderspezielle Domänen der Client-Hierarchie umfassen.

TABELLE 13-6. Menüelemente für Server/Clients und Bereich der Client-Hierarchie

KRITERIENCLIENT-ANSICHTSBEREICH

ROOT-DOMÄNE BESTIMMTE DOMÄNEN

Menüpunkt-Berechtigung

Konfigurieren, Anzeigen oderKein Zugriff

Anzeigen oder Kein Zugriff


13-14



Ziel OfficeScan Server und alleClients

Wenn Sie beispielsweise einerRolle die Berechtigung"Konfigurieren" für alleMenüelemente von Servern/Clients zuweisen, kann derBenutzer:

• Servereinstellungen,Aufgaben und Datenverwalten

• Allgemeine Client-Einstellungen verteilen

• Allgemeine Client-Aufgaben starten

• Allgemeine Client-Datenverwalten

OfficeScan Server und alleClients

Wenn Sie beispielsweise einerRolle die Berechtigung"Konfigurieren" für alleMenüelemente von Servern/Clients zuweisen, kann derBenutzer:

• Servereinstellungen,Aufgaben und Datenanzeigen

• Allgemeine Client-Einstellungen, Aufgabenund Daten anzeigen

• Auf manche Menüpunkte können benutzerdefinierte Rollen nicht zugreifen.Beispielsweise kann ein Benutzer mit integrierter Administratorrolle nicht aufPlug-in Manager, Benutzerrollen und Benutzerkonten zugreifen.

• Wenn Sie das Kontrollkästchen unter Konfigurieren aktivieren, wird dasKontrollkästchen unter Anzeigen automatisch ausgewählt.

• Bei deaktiviertem Kontrollkästchen ist die Berechtigung "Kein Zugriff".

7. Klicken SieMenüelemente für verwaltete Domänen und geben Sie dieBerechtigung für jeden verfügbaren Menüpunkt an. Eine Liste aller verfügbarenMenüelemente finden Sie unter .



13-15

TABELLE 13-7. Menüelemente für verwaltete Domänen und den Bereich derClient-Hierarchie






Ziel Alle oder bestimmte Clients

Beispiele:

• Verteilt ein BenutzerFirewall-Richtlinien,werden die Richtlinien aufalle Clients verteilt.

• Der Benutzer kann einmanuelles Client-Updateauf allen oder nur aufbestimmten Clientsstarten.

• Ein Bericht zur Einhaltungvon Richtlinien kann alleoder nur bestimmte Clientsbeinhalten.

Clients in ausgewähltenDomänen

Beispiele:

• Verteilt ein BenutzerFirewall-Richtlinien,werden die Richtlinien nurauf Clients in denausgewählten Domänenverteilt.

• Der Benutzer kann einmanuelles Client-Updatenur auf den ausgewähltenDomänen starten.

• Ein Bericht zur Einhaltungder Richtlinien beinhaltetnur Clients in denausgewählten Domänen.



8. Klicken Sie auf die Registerkarte Menüelemente der Client-Verwaltung undgeben Sie dann die Berechtigung für jeden verfügbaren Menüpunkt an. Eine Listealler verfügbaren Menüelemente finden Sie unter .



13-16

TABELLE 13-8. Client-Verwaltung Menüelemente und Bereich der Client-Hierarchie






Ziel Root-Domäne (alle Clients)oder bestimmte Domänen

Sie weisen beispielsweiseeiner Rolle die Berechtigung"Konfigurieren" für dasMenüelement "Aufgaben" inder Client-Hierarchie zu. Wenndas Ziel Root-Domäne ist,kann der Benutzer dieAufgaben auf allen Clientsstarten. Wenn die Ziele dieDomänen A und B sind,können die Aufgaben nur aufden Clients in den Domänen Aund B gestartet werden.

Nur ausgewählte Domänen

Sie weisen beispielsweiseeiner Rolle die Berechtigung"Konfigurieren" für dasMenüelement "Einstellungen"in der Client-Hierarchie zu. Hierkann der Benutzer dieEinstellungen nur auf Clients inden ausgewählten Domänenverteilen.

Die Client-Hierarchie wird nur angezeigt, wenn die Berechtigungfür das Menüelement "Client-Verwaltung" in "Menüelemente fürServer/Clients" auf "Anzeigen" festgelegt ist.



• Wenn Sie Berechtigungen für eine bestimmte Domäne konfigurieren, könnenSie die Berechtigungen in andere Domänen kopieren, indem Sie aufEinstellungen der ausgewählten Domäne in andere Domänen kopierenklicken.

9. Klicken Sie auf Speichern. Die neue Rolle wird in der Liste der Benutzerrollenangezeigt.


13-17

Eine benutzerdefinierte Rolle ändern

Prozedur


2. Klicken Sie den Rollennamen. Ein neues Fenster wird angezeigt.

3. Sie können folgende Optionen ändern:

• Beschreibung

• Client-Hierarchiebereich

• Rollenberechtigungen

• Menüelemente für Server/Clients

• Menüelemente für verwaltete Domänen

• Menüelemente der Client-Verwaltung


Eine benutzerdefinierte Rolle löschen

Prozedur


2. Wählen Sie das Kontrollkästchen neben der Rolle.

3. Klicken Sie auf Löschen.

Hinweis

Eine Rolle kann nicht gelöscht werden, wenn sie mindestens einem Benutzerkontozugewiesen wurde.


13-18

Benutzerdefinierte Rollen importieren oder exportieren

Prozedur


2. Benutzerdefinierte Rollen in eine .zip-Datei exportieren:

a. Wählen Sie die Rollen aus und klicken Sie auf Export.

b. Speichern Sie die .zip-Datei. Wenn Sie einen anderen OfficeScan Serververwalten, können Sie mit Hilfe dieser .zip-Datei benutzerdefinierte Rollenauf diesen Server importieren.

HinweisRollen können nur zwischen Servern derselben Version exportiert werden.

3. Benutzerdefinierte Rollen in eine .CSV-Datei exportieren:

a. Wählen Sie die Rollen aus und klicken Sie auf Export Rolleneinstellungen.

b. Speichern Sie die .CSV-Datei. Verwenden Sie diese Datei, um dieInformationen und Berechtigungen für die ausgewählten Rollen zu ermitteln.

4. Wenn Sie benutzerdefinierte Rollen von einem anderen OfficeScan Servergespeichert haben und diese Rollen in den aktuellen OfficeScan Server importierenmöchten, klicken Sie auf Importieren, und navigieren Sie zur .zip-Datei mit denbenutzerdefinierten Rollen.

• Eine Rolle im Fenster "Benutzerrollen" wird überschrieben, wenn eine Rollemit dem gleichen Namen importiert wird.

• Rollen können nur zwischen Servern derselben Version importiert werden.

• Eine Rolle, die von einem anderen OfficeScan Server importiert wurde:

• Speichert die Berechtigungen für Menüelemente für Server/Clients undfür Menüelemente für verwaltete Domänen.

• Wendet die Standardberechtigungen auf die Menüelemente der Client-Verwaltung an. Erfasst die Berechtigungen der Rolle für die


13-19

Menüelemente der Client-Verwaltung auf dem anderen Server undwendet sie dann wieder auf die Rolle an, die dort importiert wurde.

BenutzerkontenBenutzerkonten einrichten und jedem Benutzer eine bestimmte Rolle zuweisen. DieBenutzerrolle bestimmt, welche Menübefehle ein Benutzer auf der Webkonsole sehenund konfigurieren kann.

Während Installation von OfficeScan Server erstellt Setup automatisch ein integriertesKonto mit der Bezeichnung "root". Benutzer, die sich am Root-Konto anmelden,können auf alle Menübefehle zugreifen. Sie können das Root-Konto nicht löschen, aberSie können die Kontodaten ändern, beispielsweise das Kennwort und den vollständigenNamen oder die Kontobeschreibung. Wenn Sie das Kennwort für das Root-Kontovergessen, wenden Sie sich zur Unterstützung beim Zurücksetzen des Kennworts anIhren Support-Anbieter.

Sie können benutzerdefinierte Konten oder Active Directory-Konten hinzufügen. AlleBenutzerkonten werden in der Liste der Benutzerkonten auf der Webkonsole angezeigt.

OfficeScan Benutzerkonten eignen sich für die Ausführung von "Single Sign-On".Single Sign-On ermöglicht es Benutzern, von Trend Micro Control Manager aus auf dieOfficeScan Webkonsole zuzugreifen. Einzelheiten finden Sie in den Beschreibungen dernachfolgenden Verfahren.

Ein benutzerdefiniertes Konto hinzufügen

Prozedur

1. Navigieren Sie zu Administration > Benutzerkonten.


3. Wählen Sie Benutzerdefiniertes Konto aus.

4. Geben Sie den Benutzernamen, den vollständigen Namen und das Kennwort einund bestätigen Sie anschließend das Kennwort.

5. Geben Sie eine E-Mail-Adresse für das Konto ein.


13-20

Hinweis

OfficeScan sendet Benachrichtigungen an diese E-Mail Adresse. DieBenachrichtigungen informieren den Empfänger über Sicherheitsrisiko-Funde undÜbertragungen digitaler Assets. Weitere Informationen zu Benachrichtigungen findenSie unter Benachrichtigungen bei Sicherheitsrisiken für Administratoren auf Seite 7-84 undBenachrichtigungen der Funktion "Prävention vor Datenverlust" für Administratoren auf Seite10-52.

6. Wählen Sie eine Rolle für das Konto.


8. Senden Sie die Kontodaten an den Benutzer.

Ein benutzerdefiniertes Konto ändern

Prozedur


2. Klicken Sie auf das Benutzerkonto.

3. Aktivieren oder deaktivieren Sie das Konto mit Hilfe des vorgesehenenKontrollkästchens.


• Vollständiger Name

• Kennwort

• E-Mail-Adresse

• Rolle


6. Senden Sie die neuen Kontodaten an den Benutzer.


13-21

Ein Active Directory-Konto oder eine Active Directory-Gruppe hinzufügen

Prozedur



3. Wählen Sie Active Directory Benutzer oder Gruppe aus.

4. Geben Sie den Namen des Kontos (Benutzername oder Gruppe) und die Domänean, zu der das Konto gehört.

Geben Sie den vollständigen Konto- und Domänennamen an. OfficeScan gibt keinErgebnis zurück, wenn die Konto- und Domänennamen unvollständig sind oderdie Standardgruppe "Domänenbenutzer" verwendet wird.

Alle Mitglieder, die zu einer Gruppe gehören, erhalten dieselbe Rolle. Wenn einbestimmtes Konto zu wenigstens zwei Gruppen gehört und sich die Rollen fürbeide Gruppen unterscheiden:

• Die Berechtigungen für beide Rollen werden zusammengeführt. Wenn einBenutzer eine bestimmte Einstellung konfiguriert und ein Konflikt zwischenden Berechtigungen für diese Einstellung besteht, erhält die höhereBerechtigung Vorrang.

• Alle Benutzerrollen werden in den Systemereignisprotokollen angezeigt.Beispielsweise ist der Benutzer "John Doe" mit den folgenden Rollenangemeldet: Administrator, Gastbenutzer.

5. Wählen Sie eine Rolle für das Konto.


7. Weisen Sie die Benutzer darauf hin, sich an der Webkonsole mit ihremDomänennamen und Kennwort anzumelden.


13-22

Mehrere Active Directory-Konten oder -Gruppen hinzufügen

Prozedur


2. Klicken Sie Aus Active Directory hinzufügen.

3. Suchen Sie nach einem Konto (Benutzername oder Gruppe), indem Sie denBenutzernamen und die Domäne angeben, zu der das Konto gehört.

Hinweis

Verwenden Sie das Platzhalterzeichen (*), um nach mehreren Konten zu suchen.Wenn Sie das Platzhalterzeichen nicht angeben, müssen Sie den vollständigenKontonamen eingeben. OfficeScan gibt kein Ergebnis zurück, wenn dieKontonamen unvollständig sind oder die Standardgruppe "Domänenbenutzer"verwendet wird.

4. Wenn OfficeScan ein gültiges Konto findet, wird der Name des Kontos unterBenutzer und Gruppen angezeigt. Klicken Sie auf das Symbol für "Vor" (>), umdas Konto unter Ausgewählte Benutzer und Gruppen zu verschieben.

Wenn Sie eine Active Directory-Gruppe angegeben, erhalten alle Mitglieder, die derGruppe angehören, dieselbe Rolle. Wenn ein bestimmtes Konto zu wenigstenszwei Gruppen gehört und sich die Rollen für beide Gruppen unterscheiden:

• Die Berechtigungen für beide Rollen werden zusammengeführt. Wenn einBenutzer eine bestimmte Einstellung konfiguriert und ein Konflikt zwischenden Berechtigungen für diese Einstellung besteht, erhält die höhereBerechtigung Vorrang.

• Alle Benutzerrollen werden in den Systemereignisprotokollen angezeigt.Beispielsweise ist der Benutzer "John Doe" mit den folgenden Rollenangemeldet: Administrator, Hauptbenutzer.

5. Mehrere Konten oder Gruppen hinzufügen.

6. Wählen Sie eine Rolle für die Konten oder Gruppen.



13-23

8. Weisen Sie die Benutzer darauf hin, sich an der Webkonsole mit ihrenDomänennamen und Kennwörtern anzumelden.

Die Rolle eines benutzerdefinierten oder Active Directory-Kontos ändern

Prozedur


2. Ein oder mehrere benutzerdefinierten oder Active Directory-Konten auswählen:

3. Klicken Sie Rolle ändern.

4. Wählen Sie im daraufhin angezeigten Fenster die neue Rolle, und klicken Sie aufSpeichern.

Ein benutzerdefiniertes oder Active Directory-Kontoaktivieren oder deaktivieren

Prozedur


2. Klicken Sie auf das Symbol unter Aktivieren.

Hinweis

Das Root-Konto kann nicht deaktiviert werden.

OfficeScan Benutzerkonten in Control Manager verwenden

In der Dokumentation zum Control Manager finden Sie detaillierte Anweisungen.


13-24

Prozedur

1. Erstellen Sie ein neues Benutzerkonto im Control Manager. Bei der Angabe desBenutzernamens geben Sie den Kontonamen ein, der auf der OfficeScanWebkonsole angezeigt wird.

2. Weisen Sie den "Zugriff" für das neue Konto zu, und "konfigurieren" Sie dieRechte in Bezug auf den OfficeScan Server.

HinweisWenn ein Benutzer von Control Manager "Zugriff" hat und über "konfigurierte"Rechte in Bezug auf OfficeScan verfügt, jedoch kein OfficeScan Konto hat, kann derBenutzer nicht auf OfficeScan zugreifen. Der Benutzer sieht eine Meldung mit einemLink, der das Anmeldefenster der OfficeScan Webkonsole öffnet.

Trend Micro Control ManagerDer Trend Micro Control Manager™ ist eine zentrale Management-Konsole zurVerwaltung von Produkten und Services von Trend Micro auf Gateways, Mail-Servern,File-Servern und Unternehmensdesktops. Die webbasierte Management-Konsole desControl Managers bietet einen zentralen Überwachungspunkt für verwaltete Produkteund Services im gesamten Netzwerk.

Mit dem Control Manager kann der Systemadministrator Aktivitäten, wie auftretendeVirenausbrüche, Sicherheitsverstöße oder mögliche Vireneintrittsstellen, überwachenund aufzeichnen. Der Systemadministrator kann Update-Komponenten herunterladenund im Netzwerk verteilen und somit einen einheitlichen und aktuellen Schutzgewährleisten. Mit dem Control Manager können manuelle und zeitgesteuerte Updatesdurchgeführt und Produkte in Gruppen oder einzeln konfiguriert und verwaltet werden.

Integration von Control Manager in dieser Version vonOfficeScan

Diese Version von OfficeScan beinhaltet die folgenden Funktionen und Fähigkeiten beider Verwaltung der OfficeScan Server vom Control Manager aus:


13-25

• Erstellen, verwalten und verteilen Sie Richtlinien für OfficeScan Antivirus, dieFunktion "Prävention vor Datenverlust" und die Gerätesteuerung, und weisen SieOfficeScan Clients von der Control Manager-Konsole aus direkt Berechtigungenzu.

Die folgende Tabelle enthält die in Control Manager 6.0 verfügbarenRichtlinienkonfigurationen.

TABELLE 13-9. OfficeScan Richtlinienverwaltungtypen in Control Manager

RICHTLINIENTYP FUNKTIONEN

OfficeScan Antivirus- und Client-Einstellungen


• Einstellungen derVerhaltensüberwachung



• Berechtigungen und andereEinstellungen



• Suchmethoden

• Einstellungen für 'Jetztdurchsuchen'

• Einstellungen für die zeitgesteuerteSuche

• Update-Agent-Einstellungen



13-26

RICHTLINIENTYP FUNKTIONEN

Datenschutz Einstellungen der Richtlinien für'Prävention vor Datenverlust'

HinweisVerwalten Sie dieGerätesteuerungsberechtigungenfür den Datenschutz in denOfficeScan Client-Richtlinien.

• Die folgenden Einstellungen von der Control Manager Konsole aus von einemOfficeScan Server auf einen anderen replizieren:

• Datenbezeichnertypen auf Seite 10-5

• Vorlagen für 'Prävention vor Datenverlust' auf Seite 10-21

Hinweis

Werden diese Einstellungen auf einen OfficeScan Server repliziert, auf dem die Lizenz fürden Datenschutz nicht aktiviert wurde, werden die Einstellungen nur wirksam, wenn dieLizenz aktiviert wird.

Unterstützte Versionen von Control Manager

Diese OfficeScan Version unterstützt den Control Manager 6.0, 5.5 SP1, 5.5 und 5.0.

TABELLE 13-10. Unterstützte Versionen von Control Manager

OFFICESCAN SERVERCONTROL MANAGER VERSION

6.0 5.5 SP1 5.5 5.0

Dual-Stack Ja Ja Ja Ja

Reines IPv4 Ja Ja Ja Ja

Reines IPv6 Ja Nein Nein Nein


13-27

HinweisIPv6-Unterstützung für Control Manager ist ab Version 5.5 Service Pack 1 verfügbar.

Weitere Informationen zu den IP-Adressen, die OfficeScan Server und OfficeScan Clientsan Control Manager melden, finden Sie unter Fenster, auf denen IP-Adressen angezeigt werden aufSeite A-7.

Übernehmen Sie die aktuellen Patches und kritischen Hotfixes für diese ControlManager Versionen, damit der Control Manager OfficeScan verwalten kann. Dieneuesten Patches und Hotfixes erhalten Sie von Ihrem Support-Anbieter oder vomTrend Micro Update Center unter:


Führen Sie nach der Installation von OfficeScan eine Registrierung bei Control Managerdurch, und konfigurieren Sie anschließend die Einstellungen für OfficeScan auf derManagement-Konsole von Control Manager. Informationen zur Verwaltung vonOfficeScan Servern finden Sie unter Control Manager Dokumentation.

OfficeScan beim Control Manager registrieren

Prozedur

1. Navigieren Sie zu Administration > Control Manager Einstellungen.

2. Geben Sie den Anzeigename des Elements an, bei dem es sich um den Namen desOfficeScan Servers handelt, der im Control Manager angezeigt wird.

Standardmäßig besteht der Anzeigename des Elements aus dem Hostnamen desServer-Computers und diesem Produktnamen (z. B. Server01_OSCE).

HinweisIn Control Manager werden OfficeScan Server und andere von Control Managerverwaltete Produkte als "Elemente" bezeichnet.

3. Geben Sie den FQDN oder die IP-Adresse und die Portnummer des ControlManager Servers für die Verbindung mit diesem Server an. Optional kann dieVerbindung auch über HTTPS (mit strengeren Sicherheitsauflagen) erfolgen.



13-28

• Bei einem Dual-Stack OfficeScan Server geben Sie den Control ManagerFQDN oder die IP-Adresse (IPv4 oder IPv6, wenn verfügbar) ein.

• Bei einem reinen IPv4 OfficeScan Server geben die den Typ des ControlManagers FQDN oder die IPv4-Adresse ein.

• Bei einem reinen IPv6 OfficeScan Server geben die den Typ des ControlManager FQDN oder die IPv6-Adresse ein.

Hinweis

Nur Control Manager 5.5 SP1 und höhere Versionen unterstützen IPv6.

4. Erfordert der IIS Webserver des Control Manager eine Authentifizierung, gebenSie den Benutzernamen und das Kennwort ein.

5. Wird die Verbindung zum Control Manager Server über einen Proxy-Serverhergestellt, geben Sie die folgenden Proxy-Einstellungen an:

• Proxy-Protokoll

• Server FQDN oder IPv4-/IPv6-Adresse und Port

• Benutzerkennung und Kennwort für die Authentifizierung am Proxy-Server

6. Entscheiden Sie, ob Sie die Ein-Wege- oder Zwei-WegePort-Weiterleitungverwenden möchten, und geben Sie anschließend die IPv4/IPv6-Adresse und denPort an.

7. Klicken Sie auf Verbindung testen, um zu überprüfen, ob OfficeScan mit denangegebenen Einstellungen eine Verbindung zum Control Manager Serverherstellen kann.

Klicken Sie auf Registrieren, wenn die Verbindung erfolgreich aufgebaut wurde.

8. Werden die Einstellungen in diesem Fenster nach der Registrierung geändert,klicken Sie auf Update-Einstellungen, um den Control Manager Server über dieÄnderungen zu informieren.

9. Klicken Sie auf Registrierung aufheben, wenn OfficeScan nicht mehr vomControl Manager Server verwaltet werden soll.


13-29

Den OfficeScan Status auf der Control ManagerManagement-Konsole überprüfen

Prozedur

1. Öffnen Sie die Control Manager Management-Konsole.

Um die Control Manager Konsole auf jedem beliebigen Netzwerkcomputer zuöffnen, öffnen Sie einen Webbrowser und geben Sie folgendes ein:

https://<Name des Control Manager Servers>/Webapp/login.aspx

<Name des Control Manager Servers> steht für die IP-Adresse oder denHost-Namen des Control Manager Servers.

2. Klicken Sie im Hauptmenü auf Products.

3. Überprüfen Sie, ob das Symbol des OfficeScan Servers angezeigt wird.

Richtlinien-Export-ToolDas Trend Micro OfficeScan Server Richtlinien-Export-Tool hilft Administratoren beimExportieren von OfficeScan Richtlinieneinstellungen, die von Control Manager 6.0 oderhöher unterstützt werden. Administratoren benötigen darüber hinaus das ControlManager Import-Tool zum Importieren der Richtlinien. Das Richtlinien-Export-Toolunterstützt OfficeScan 10.6 Service Pack 1 und höher.

• Einstellungen für Echtzeitsuche • Einstellungen derVerhaltensüberwachung



• Einstellungen für manuelle Suche • Einstellungen für "Prävention vorDatenverlust"

• Einstellungen für Jetzt durchsuchen • Berechtigungen und andereEinstellungen


13-30

• Update-Agent-Einstellungen • Zusätzliche Diensteinstellungen

• Web-Reputation-Einstellungen • Liste der zulässigen Spyware/Grayware

• Suchmethode

Richtlinien-Export-Tool verwenden

Prozedur

1. Gehen Sie auf dem OfficeScan Server-Computer zu <Installationsordner des Servers>\PCCSRV\Admin\Utility\PolicyExportTool.

2. Doppelklicken Sie auf PolicyExportTool.exe, um das Richtlinien-Export-Tool zu starten.

Eine Befehlszeilenschnittstelle wird geöffnet, und das Richtlinien-Export-Toolbeginnt mit dem Export der Einstellungen. Dabei werden zwei Ordner(PolicyClient und PolicyDLP) im Ordner PolicyExportTool erstellt, indie die exportierten Einstellungen eingefügt werden.

3. Kopieren Sie die beiden Ordner in den Installationsordner von Control Manager.

4. Führen Sie das Richtlinien-Import-Tool auf dem Control Manager Server aus.

Einzelheiten zum Richtlinien-Import-Tool erhalten Sie in der Readme-Datei zumRichtlinien-Import-Tool.

Hinweis

Das Richtlinien-Import-Tool exportiert keine benutzerdefinierten Datenbezeichnerund benutzerdefinierte DLP-Vorlagen. Zum Export benutzerdefinierterDatenbezeichner und DLP-Vorlagen ist ein manueller Export aus der OfficeScanKonsole und ein anschließender manueller Import über die Control ManagerKonsole erforderlich.


13-31

ReferenzserverEine der Möglichkeiten, wie der OfficeScan Client ermittelt, welche Richtlinie oderwelches Profil verwendet werden sollen, besteht darin, den Verbindungsstatus mit demOfficeScan Server zu prüfen. Wenn ein interner OfficeScan Client (oder ein Clientinnerhalb des Unternehmensnetzwerks) keine Verbindung zum Server aufbauen kann,erhält der Client den Status "Offline". Der Client übernimmt anschließend diegewünschte Firewall bzw. das gewünschte Profil für externe Clients. Referenzserverlösen dieses Problem.

Ein OfficeScan Client, dessen Verbindung zum OfficeScan Server getrennt wird,versucht sich mit einem Referenzserver zu verbinden. Wenn der Client die Verbindungmit einem Referenzserver hergestellt hat, wird die Firewall bzw. das Profil für interneClients übernommen.

Zu den von Referenzservern verwalteten Richtlinien und Profilen gehören:

• Firewall-Profile

• Web-Reputation-Richtlinien

• Datenschutzrichtlinien

• Gerätesteuerungsrichtlinien

Beachten Sie dabei Folgendes:

• Weisen Sie Computer mit Serverfunktionen, wie z. B. Webserver, SQL-Server oderFTP-Server, als Referenzserver zu. Es können maximal 32 Referenzserverangegeben werden.

• OfficeScan Clients verbinden sich mit dem ersten Referenzserver in der Liste.Wenn die Verbindung nicht aufgebaut werden kann, versucht der Client, sich mitdem nächsten Server auf der Liste zu verbinden.

• OfficeScan Clients verwenden Referenzserver zum Ermitteln der zu verwendendenAntivirus-Einstellungen (Verhaltensüberwachung, Gerätesteuerung, Firewall-Profile, die Web-Reputation-Richtlinie) bzw. Datenschutzeinstellungen.Referenzserver verwalten keine Clients und verteilen keine Updates oder Client-Einstellungen. Diese Tasks führt der OfficeScan Server durch.


13-32

• Ein OfficeScan Client kann keine Protokolle an Referenzserver senden oder dieseals Update-Adresse verwenden

Liste der Referenzserver verwalten

Prozedur

1. Navigieren Sie zu Netzwerkcomputer > Firewall > Profile oderNetzwerkcomputer > Computerstandort.

2. Führen Sie je nach angezeigtem Fenster Folgendes aus:

• Wenn Sie sich auf dem Fenster Firewall-Profile für Netzwerkcomputerbefinden, klicken Sie auf Liste der Referenzserver bearbeiten.

• Wenn Sie sich auf dem Fenster Computerstandort befinden, klicken Sie aufListe der Referenzserver.

3. Wählen Sie Liste der Referenzserver aktivieren.

4. Klicken Sie auf Hinzufügen, um einen Computer zur Liste hinzuzufügen.

a. Geben Sie die IPv4-/IPv6-Adresse des Computers ein, den Namen oder denvollqualifizierten Domänennamen (FQDN) ein, wie:

• computer.networkname

• 12.10.10.10

• mycomputer.domain.com

b. Geben Sie die Portnummer an, über die die Clients mit diesem Computerkommunizieren. Sie können einen beliebigen offenen Port (z. B. die Ports 20,23 oder 80) auf dem Referenzserver angeben.

HinweisUm für denselben Referenzserver eine weitere Portnummer festzulegen,wiederholen Sie die Schritte 2a und 2b. Der OfficeScan Client verwendet dieerste Portnummer in der Liste. Schlägt die Verbindung fehl, verwendet er dienächste Portnummer.


13-33


5. Klicken Sie auf den Computernamen, um die Einstellungen eines Computers in derListe zu bearbeiten. Ändern Sie den Computernamen oder Port, und klicken Siedann auf Speichern.

6. Um einen Computer von der Liste zu entfernen, wählen Sie den Namen desComputers, und klicken Sie anschließend auf Löschen.

7. Um die Funktion eines Computers als Referenzserver zu aktivieren, klicken Sie aufDen Clients zuweisen.

Einstellungen für dieAdministratorbenachrichtigungen

Sie können die Einstellungen für die Benachrichtigung des Administratorskonfigurieren, damit OfficeScan erfolgreich Benachrichtigungen per E-Mail, Pager undSNMP-Trap senden kann. OfficeScan kann auch Benachrichtigungen über das WindowsNT Ereignisprotokoll senden, es sind jedoch keine Einstellungen für diesenBenachrichtigungskanal konfiguriert.

OfficeScan kann Benachrichtigungen and Sie oder andere OfficeScan Administratorensenden, wenn folgendes entdeckt wurde:

TABELLE 13-11. Funde, die Administratorbenachrichtigungen auslösen

FUNDE

BENACHRICHTIGUNGSKANÄLE

E-MAIL PAGER SNMP-TRAPWINDOWS NTEREIGNISPROT

OKOLLE

Viren und Malware Ja Ja Ja Ja

Spyware undGrayware

Ja Ja Ja Ja

Übertragungendigitaler Assets

Ja Ja Ja Ja


13-34

FUNDE

BENACHRICHTIGUNGSKANÄLE

E-MAIL PAGER SNMP-TRAPWINDOWS NTEREIGNISPROT

OKOLLE

C&C-Callbacks Ja Nein Ja Ja

Viren- und Malware-Ausbrüche

Ja Ja Ja Ja

Spyware- undGrayware-Ausbrüche

Ja Ja Ja Ja

Ausbrüche beiFirewall-Verstoß

Ja Nein Nein Nein

Ausbrüche beiFreigabesitzungen

Ja Nein Nein Nein

C&C-Callbacks Ja Nein Ja Ja

Einstellungen der Administratorbenachrichtigungenkonfigurieren

Prozedur

1. Navigieren Sie zu Benachrichtigungen > Administrator - Benachrichtigungen> Allgemeine Einstellungen.

2. Konfigurieren Sie die Einstellungen für E-Mail-Benachrichtigungen.

a. Geben Sie im Feld SMTP-Server entweder eine IPv4-/IPv6-Adresse odereinen Computernamen an.

b. Geben Sie eine Portnummer zwischen 1 und 65535 ein.

c. Geben Sie einen Namen oder eine E-Mail-Adresse an.

Wenn Sie im nächsten Schritt ESMTP aktivieren möchten, geben Sie einegültige E-Mail-Adresse an.


13-35

d. Wahlweise können Sie ESMTP aktivieren.

e. Geben Sie den Benutzernamen und das Kennwort für die E-Mail-Adresse an,die Sie im Feld Von angegeben haben.

f. Wählen Sie eine Methode für die Client-Authentifizierung beim Server:

• Anmelden: "Anmeldung" ist eine ältere Variante des Mail User Agent.Server und Client verwenden beide BASE64 für die Authentifizierungdes Benutzernamens und des Kennworts.

• Einfacher Text: "Einfacher Text" ist am benutzerfreundlichsten zuverwenden, jedoch nicht besonders sicher, da Benutzername undKennwort als Zeichenfolge gesendet werden. Bevor sie über das Internetgesendet werden, werden sie BASE64-kodiert.

• CRAM-MD5: CRAM-MD5 kombiniert ein Challenge-Response-Verfahren mit einem kryptographischem MD5-Algorithmus für denAustausch und die Authentifizierung von Informationen.

3. Konfigurieren Sie die Einstellungen für Pager-Benachrichtigungen.

a. Im Feld Pager-Nummer sind die folgenden Zeichen zulässig:

• 0 bis 9

• #

• *

• ,

b. Geben Sie einen COM-Port zwischen 1 und 16 ein.

4. Konfigurieren Sie die Einstellungen für SNMP-Trap-Benachrichtigungen.

a. Geben Sie im Feld IP-Adresse des Servers entweder eine IPv4-/IPv6-Adresse oder einen Computernamen an.

b. Geben Sie einen schwer zu erratenden Community-Namen ein.



13-36

SystemereignisprotokolleOfficeScan protokolliert Ereignisse im Zusammenhang mit dem Serverprogramm, wiebeispielsweise Hoch- und Herunterfahren. Anhand dieser Protokolle können Sieüberprüfen, ob der OfficeScan Server und die Dienste einwandfrei funktionieren.


Systemereignisprotokolle anzeigen

Prozedur

1. Navigieren Sie zu Protokolle > Systemereignisprotokolle.

2. Suchen Sie unter Ereignisbeschreibung nach Protokollen, die weitere Aktionenerfordern. OfficeScan protokolliert die folgenden Ereignisse:

TABELLE 13-12. Systemereignisprotokolle

PROTOKOLLTYP EREIGNISSE

OfficeScan MasterService undDatenbankserver

• Master Service gestartet

• Der Master Service wurde beendet.

• Der Master Service konnte nicht beendet werden.

Ausbruchsprävention • Ausbruchsprävention aktiviert

• Ausbruchsprävention deaktiviert

• Anzahl der Netzwerkzugriffe auf Freigabeordner inden letzten <Minutenanzahl>

Datenbanksicherung • Datenbanksicherung erfolgreich

• Datenbank-Backup fehlgeschlagen


13-37

PROTOKOLLTYP EREIGNISSE

Rollenbasierter Zugriffauf die Webkonsole

• Anmeldung an der Konsole

• Kennwortänderung

• Abmeldung von der Konsole

• Zeitüberschreitung der Sitzung (der Benutzer wirdautomatisch abgemeldet)


ProtokollmanagementOfficeScan führt umfangreiche Protokolle über entdeckte Sicherheitsrisiken, Updatesund andere wichtige Ereignisse und Vorgänge. Mit Hilfe dieser Protokolle können Siedie Antiviren-Richtlinien Ihres Unternehmens bewerten und OfficeScan Clientsermitteln, die einem höheren Infektions- oder Angriffsrisiko ausgesetzt sind. Sie könnenanhand dieser Protokolle auch die Verbindung der Clients zum Server überprüfen undfeststellen, ob Komponenten-Updates erfolgreich durchgeführt wurden.

OfficeScan setzt außerdem eine Methode zur zentralen Zeitüberprüfung ein, um eineeinheitliche Zeit zwischen OfficeScan Server und den Clients zu gewährleisten. Dasverhindert inkonsistente Protokolldaten, die durch Zeitzonen, Sommerzeit undZeitunterschiede verursacht wurdenund beim Lesen der Protokolle für Verwirrungsorgen könnten.

Hinweis

OfficeScan führt die Zeitüberprüfung für alle Protokolle durch, mit Ausnahme der Server-Update- und Systemereignisprotokolle.

Der OfficeScan Server erhält die folgenden Protokolle von den OfficeScan Clients:

• Viren-/Malware-Protokolle anzeigen auf Seite 7-92


13-38

• Spyware/Grayware-Protokolle anzeigen auf Seite 7-99

• Spyware-/Grayware-Wiederherstellungsprotokolle anzeigen auf Seite 7-102

• Firewall-Protokolle anzeigen auf Seite 12-32

• Web-Reputation-Protokolle anzeigen auf Seite 11-21

• C&C-Callback-Protokolle anzeigen auf Seite 11-22

• Verhaltensüberwachungsprotokolle anzeigen auf Seite 8-14

• Protokolle der Gerätesteuerung anzeigen auf Seite 9-18

• Protokolle der Funktion "Prävention vor Datenverlust" anzeigen auf Seite 10-56

• OfficeScan Client-Update-Protokolle anzeigen auf Seite 6-53

• Verbindungsüberprüfungsprotokolle anzeigen auf Seite 14-45

Der OfficeScan Server erstellt die folgenden Protokolle:

• OfficeScan Server-Update-Protokolle auf Seite 6-27

• Systemereignisprotokolle auf Seite 13-36

Die folgenden Protokolle sind auch auf dem OfficeScan Server und den OfficeScanClients verfügbar:

• Windows Ereignisprotokolle auf Seite 18-24

• OfficeScan Serverprotokolle auf Seite 18-3

• OfficeScan Client-Protokolle auf Seite 18-15

Protokollwartung

Damit die Protokolle nicht zu viel Platz auf der Festplatte einnehmen, löschen Sie dieProtokolle manuell, oder konfigurieren Sie von der Webkonsole aus ein zeitgesteuertesLöschen der Protokolle.


13-39

Protokolle nach einem Zeitplan löschen

Prozedur

1. Navigieren Sie zu Protokolle > Protokollwartung.

2. Wählen Sie Zeitgesteuertes Löschen von Protokollen aktivieren.

3. Wählen Sie die Protokollarten aus, die gelöscht werden sollen. Alle von OfficeScanerstellten Protokolle, mit Ausnahme von Debug-Protokollen, können zeitgesteuertgelöscht werden. Im Fall von Debug-Protokollen deaktivieren Sie die Debug-Protokollierung, um die Erfassung von Protokollen anzuhalten.

HinweisBei Viren-/Malware-Protokollen können Sie Protokolle, die von bestimmtenSuchtypen und Damage Cleanup Services erstellt wurden, löschen. Bei Spyware-/Grayware-Protokollen können Sie Protokolle von bestimmten Suchtypen löschen.Weitere Informationen über Suchtypen finden Sie unter Suchtypen auf Seite 7-15.

4. Wählen Sie aus, ob alle Protokolle der angegebenen Protokollarten oder nurdiejenigen gelöscht werden sollen, die älter als eine bestimmte Anzahl von Tagensind.

5. Geben Sie Startzeitpunkt und Zeitintervall für die Protokolllöschung an.


Protokolle manuell löschen

Prozedur

1. Gehen Sie zu Protokolle > Netzwerkcomputer-Protokolle >Sicherheitsrisiken oder Netzwerkcomputer > Client-Verwaltung.


3. Führen Sie einen der folgenden Schritte durch:


13-40

• Wenn Sie das Fenster Sicherheitsrisiko-Protokolle für Netzwerk-Computer öffnen, klicken Sie auf Protokolle löschen oder Protokolleanzeigen > Protokolle löschen.

• Wenn Sie auf das Fenster Client-Verwaltung zugreifen, klicken Sie aufProtokolle > Protokolle löschen.

4. Wählen Sie die Protokollarten aus, die gelöscht werden sollen. Nur die folgendenProtokolle können manuell gelöscht werden:

• Viren-/Malware-Protokolle



• Web-Reputation-Protokolle

• C&C-Callback-Protokolle

• Verhaltensüberwachungsprotokolle

• Protokolle der Gerätesteuerung

• Protokolle für "Prävention vor Datenverlust"

Hinweis

Bei Viren-/Malware-Protokollen können Sie Protokolle, die von bestimmtenSuchtypen und Damage Cleanup Services erstellt wurden, löschen. Bei Spyware-/Grayware-Protokollen können Sie Protokolle von bestimmten Suchtypen löschen.Weitere Informationen über Suchtypen finden Sie unter Suchtypen auf Seite 7-15.

5. Wählen Sie aus, ob alle Protokolle der angegebenen Protokollarten oder nurdiejenigen gelöscht werden sollen, die älter als eine bestimmte Anzahl von Tagensind.



13-41

LizenzenSie können die OfficeScan Lizenz auf der Webkonsole anzeigen, aktivieren undverlängern sowie die OfficeScan Firewall aktivieren oder deaktivieren. Die OfficeScanFirewall ist Teil des Virenschutzes, der auch die Unterstützung für Cisco NAC und dieAusbruchsprävention umfasst.

Hinweis

Einige native OfficeScan Funktionen, wie Data Protection und Virtual Desktop Support,sind gesondert lizenziert. Die Lizenzen für diese Funktionen werden über den Plug-in-Manager aktiviert und verwaltet. Weitere Informationen über die Lizenzierung dieserFunktionen finden Sie unter Datenschutzlizenz auf Seite 3-4 und Virtual Desktop Support Lizenzauf Seite 14-81.

Ein reiner IPv6 OfficeScan Server kann sich nicht mit dem Trend Micro Online-Registrierungsserver verbinden, um die Lizenz zu aktivieren/verlängern. Ein Dual-Stack-Proxy-Server, der IP-Adressen konvertieren kann wie DeleGate, muss ermöglichen, dassder OfficeScan Server eine Verbindung zum Registrierungsserver herstellen kann.

Melden Sie sich von der Webkonsole ab, und melden Sie sich in folgenden Situationenwieder an der Konsole an:

• Nachdem Sie eine Lizenz für die folgenden Lizenzen aktiviert haben:

• Virenschutz

• Web Reputation und Anti-Spyware

Hinweis

Eine erneute Anmeldung ist erforderlich, um die volle Funktionalität des Dienstes zuaktivieren.

• Nach der Aktivierung/Deaktivierung der OfficeScan Firewall. Wenn Sie dieFirewall deaktivieren, werden auf dem Server und dem Client alle Firewall-Funktionen ausgeblendet.


13-42

Produktlizenzinformationen anzeigen

Prozedur


2. Oben im Fenster wird eine Zusammenfassung zum Lizenzstatus angezeigt. Infolgenden Fällen werden Hinweise zu Lizenzen angezeigt:

TABELLE 13-13. Lizenzerinnerung

LIZENZTYP ERINNERUNG

Vollversion Während der Übergangsfrist des Produkts. Die Dauer derÜbergangsfrist ist regional verschieden. Erkunden Sie sichbei Ihrem Vertriebspartner über die Länge derÜbergangsfrist.

Bei Ablauf der Lizenz und der Übergangsfrist. Innerhalbdieses Zeitraums erhalten Sie keinen technischen Supportund können keine Komponenten-Updates durchführen.Die Scan Engine durchsucht die Computer unterVerwendung nicht aktueller Komponenten weiterhin.Diese veralteten Komponenten schützen Siemöglicherweise nicht vollständig vor den aktuellenSicherheitsrisiken.

Testversion Bei Ablauf der Lizenz Innerhalb dieses Zeitraums deaktiviertOfficeScan Komponenten-Updates, Suchfunktionen und alleClient-Funktionen.

3. Sie können sich die Lizenzinformationen ansehen. Der Abschnitt"Lizenzinformationen" enthält folgende Informationen:

• Dienste: Umfasst alle OfficeScan Lizenzen

• Status: Wird entweder als "Aktiviert", "Nicht aktiviert" oder "Abgelaufen"angezeigt. Verfügt ein Dienst über mehrere Lizenzen, und ist mindestens eineLizenz noch immer aktiviert, wird der Status "Aktiviert" angezeigt.

• Version: Wird entweder als "Vollversion" oder "Testversion" angezeigt.Wenn Sie die Voll- und die Testversion besitzen, wird "Vollversion"angezeigt.


13-43

• Ablaufdatum: Verfügt ein Service über mehrere Lizenzen, wird das amweitesten in der Zukunft liegende Ablaufdatum angezeigt. Laufen dieLizenzen am 31.12.2007 und am 30.06.2008 ab, wird das Datum 30.06.2008angezeigt.

Hinweis

Bei nicht aktivierten Lizenz-Diensten wird als Version und Ablaufdatum derWert "N/V" angezeigt.

4. OfficeScan ermöglicht Ihnen die Aktivierung mehrerer Lizenzen für einen Service.Um alle Lizenzen (aktive und abgelaufene) für diesen Dienst anzuzeigen, klickenSie auf den Namen des Service.

Eine Lizenz aktivieren oder erneuern

Prozedur


2. Klicken Sie auf den Namen des Service.

3. Klicken Sie im geöffneten Fenster Einzelheiten zur Produktlizenz auf NeuerAktivierungscode.

4. Geben Sie den Aktivierungscode in das daraufhin angezeigte Fenster ein, undklicken Sie auf Speichern.

Hinweis

Registrieren Sie einen Dienst, bevor Sie ihn aktivieren. Weitere Informationen überRegistrierungsschlüssel und Aktivierungscode erhalten Sie bei Ihrem Trend MicroVertriebspartner.

5. Klicken Sie im Fenster Einzelheiten zur Produktlizenz auf Informationenaktualisieren, um das Fenster mit den neuen Informationen über dieProduktlizenz und den Status des Diensts zu aktualisieren. In diesem Fenster wird


13-44

auch ein Link zur Trend Micro Website angezeigt, auf der Sie detaillierteInformationen über die Lizenz finden.

OfficeScan DatenbanksicherungIn der OfficeScan Serverdatenbank sind alle OfficeScan Einstellungen, einschließlichSucheinstellungen und Berechtigungen, gespeichert. Bei Beschädigung derServerdatenbank kann diese über die Sicherungskopie wiederhergestellt werden. Siekönnen die Datenbank jederzeit manuell sichern oder einen Zeitplan für dieDatensicherung festlegen.

Beim Sichern der Datenbank wird diese von OfficeScan automatisch defragmentiert undeventuelle Schäden an der Index-Datei werden repariert.

Überprüfen Sie die Systemereignisprotokolle, um den Status der Datensicherung zuermitteln. Weitere Informationen finden Sie unter Systemereignisprotokolle auf Seite 13-36.

Tipp

Trend Micro empfiehlt, einen Zeitplan für die automatische Sicherung festzulegen. SichernSie die Datenbank, wenn der Netzwerkverkehr gering ist.

Warnung!

Verwenden Sie für die Datensicherung kein anderes Tool und keine andere Software. DieDatenbanksicherung kann nur über die OfficeScan Webkonsole konfiguriert werden.

Die OfficeScan Datenbank sichern

Prozedur

1. Navigieren Sie zu Administration > Datenbanksicherung.

2. Geben Sie an, wo die Datenbank gespeichert werden soll. Ist der gewünschteOrdner noch nicht vorhanden, wählen Sie Ordner erstellen, falls nicht bereits


13-45

vorhanden. Geben Sie das Laufwerk und den vollständigen Verzeichnispfad an,wie z. B. C:\OfficeScan\DatabaseBackup.

Der OfficeScan Standardspeicherort für die Datenbanksicherung lautet:<Installationsordner des Servers>\DBBackup

Hinweis

OfficeScan erstellt im Backup-Pfad einen Unterordner. Der Ordnername gibt denZeitpunkt der Datensicherung an und hat folgendes Format: JJJJMMTT_HHMMSS.OfficeScan behält die sieben zuletzt erstellten Backup-Ordner bei und löschtautomatisch ältere Ordner.

3. Befindet sich der Backup-Pfad (als UNC-Pfad) auf einem externen Computer,geben Sie den entsprechenden Kontonamen und das zugehörige Kennwort ein.Stellen Sie sicher, dass das Konto über Schreibrechte auf dem Computer verfügt.

4. Einen Zeitplan für die Datensicherung festlegen:

a. Wählen Sie Zeitgesteuerte Datenbanksicherung aktivieren.

b. Geben Sie den Startzeitpunkt und das Zeitintervall für die Datensicherung an.

c. Klicken Sie zum Sichern der Datenbank und Speichern der vorgenommenenÄnderungen auf Jetzt sichern. Wenn nur die vorgenommenen Änderungengespeichert, aber nicht die Datenbank gesichert werden soll, klicken Sie aufSpeichern.

Datenbanksicherungsdateien wiederherstellen

Prozedur

1. Beenden Sie den OfficeScan Master Service.

2. Überschreiben Sie die Datenbankdateien in <Installationsordner des Servers>\PCCSRV\HTTPDB mit den Sicherungsdateien.

3. Starten Sie den OfficeScan Master Service neu.


13-46

OfficeScan Informationen zum WebserverBei der Installation des OfficeScan Servers richtet das Setup-Programm automatischeinen Webserver (IIS oder Apache Webserver) ein, damit die Netzwerkcomputer sichmit dem OfficeScan Server verbinden können. Konfigurieren Sie den Webserver, mitdem sich die Client-Computer im Netzwerk verbinden sollen.

Ändern Sie die Einstellungen für den Webserver extern (beispielsweise über die IISManagement-Konsole), müssen Sie die Änderungen auch in OfficeScan vornehmen.Falls Sie beispielsweise die IP-Adresse des Servers für die Netzwerkcomputer manuelländern oder dem Server eine dynamische IP-Adresse zuweisen, müssen Sie dieOfficeScan Servereinstellungen neu konfigurieren.

Warnung!

Wenn die Verbindungseinstellungen geändert werden, ist es möglich, dass die Verbindungzwischen dem Server und den Clients dauerhaft getrennt wird und eine Neuverteilung derOfficeScan Clients erforderlich ist.

Verbindungseinstellungen konfigurieren

Prozedur

1. Navigieren Sie zu Administration > Verbindungseinstellungen.

2. Geben Sie den Domänennamen oder die IPv4-/IPv6-Adresse und diePortnummer des Webservers ein.

Hinweis

Bei der Portnummer handelt es sich um den vertrauenswürdigen Port, den derOfficeScan Server für die Kommunikation mit den OfficeScan Clients verwendet.



13-47

Kennwort der WebkonsoleDas Fenster, in dem das Kennwort der Webkonsole (oder das Kennwort für das Root-Konto, das während der Installation von OfficeScan Server erstellt wurde) verwaltetwird, wird nur angezeigt, wenn der Server-Computer nicht über die erforderlichenRessourcen für die rollenbasierte Administration verfügt. Wenn auf dem Server-Computer z. B. Windows Server 2000 läuft und Authorization Manager Runtime nichtinstalliert ist, kann auf dieses Fenster zugegriffen werden. Bei angemessenen Ressourcenwird dieses Fenster nicht angezeigt, und Sie können das Kennwort über Änderungen amRoot-Konto im Fenster Benutzerkonten verwalten.

Wenn OfficeScan nicht bei Control Manager registriert wurde, wenden Sie sich an IhrenSupport-Anbieter, und fragen Sie nach Anweisungen, wie Sie Zugang zur Webkonsoleerhalten.

Einstellungen der WebkonsoleÜber das Fenster Einstellungen der Webkonsole können Sie folgende Aktionenausführen:

• Konfigurieren Sie den OfficeScan Server, um das Übersichts-Dashboard inregelmäßigen Abständen zu erneuern. Standardmäßig erneuert der Server dasDashboard alle 30 Sekunden. Die Anzahl der Sekunden kann 10 bis 300 betragen.

• Die Zeitüberschreitungseinstellungen der Webkonsole angeben. Standardmäßigwird ein Benutzer nach 30 Minuten Inaktivität automatisch von der Webkonsoleabgemeldet. Der Wert für die Anzahl der Minuten kann 10 bis 60 betragen.

Einstellungen der Webkonsole konfigurieren

Prozedur

1. Navigieren Sie zu Administration > Einstellungen der Webkonsole.

2. Wählen Sie Automatische Aktualisierung aktivieren, und wählen Sieanschließend das Intervall für die Aktualisierung.


13-48

3. Wählen Sie Automatische Abmeldung von der Webkonsole aktivieren undwählen Sie anschließend das Intervall für die Zeitüberschreitung aus.


Quarantäne-ManagerWenn der OfficeScan Client ein Sicherheitsrisiko entdeckt und als Suchaktion"Quarantäne" festgelegt ist, wird die infizierte Datei verschlüsselt und in den lokalenQuarantäne-Ordner verschoben, der sich im Ordner <Installationsordner des Clients>\SUSPECT befindet.

Nachdem Sie die Datei in den lokalen Quarantäne-Ordner verschoben haben, sendetder OfficeScan Client sie an den vorgesehenen Quarantäne-Ordner. Geben Sie dasVerzeichnis auf der Registerkarte Netzwerkcomputer > Client-Verwaltung >Einstellungen > {Suchtyp} Einstellungen > Aktion an. Die Dateien in diesemQuarantäne-Ordner sind ebenfalls verschlüsselt, damit sie keine anderen Dateieninfizieren können. Weitere Informationen finden Sie unter Quarantäne-Ordner auf Seite7-43.

Wenn sich der vorgesehene Quarantäne-Ordner auf dem OfficeScan Server-Computerbefindet, ändern Sie die Einstellungen für den Quarantäne-Ordner des Servers von derWebkonsole aus. Der Server speichert die unter Quarantäne gestellten Dateien imOrdner <Installationsordner des Servers>\PCCSRV\Virus.

HinweisWenn der OfficeScan Client die verschlüsselte Datei aus irgendeinem Grund, z. B. wegenNetzwerkproblemen, nicht an den OfficeScan Server senden kann, verbleibt dieverschlüsselte Datei im Quarantäne-Ordner des OfficeScan Clients. Der OfficeScan Clientwird bei Verbindung mit dem OfficeScan Server versuchen, die Datei erneut zu senden.


13-49

Einstellungen des Quarantäne-Ordners konfigurieren

Prozedur

1. Navigieren Sie zu Administration > Quarantäne-Manager.

2. Übernehmen Sie die Standardwerte zu Kapazität des Quarantäne-Ordners undmaximaler Dateigröße, oder ändern Sie die Einstellungen entsprechend.

Die Standardwerte werden im Fenster angezeigt.

3. Klicken Sie auf Quarantäne-Einstellungen speichern.

4. Um alle im Quarantäne-Ordner enthaltenen Dateien zu entfernen, klicken Sie aufAlle Dateien in Quarantäne löschen.

Server TunerMit Server Tuner können Sie die Leistung des OfficeScan Servers optimieren. Parameterkönnen für die folgenden leistungsbezogenen Daten festgelegt werden:

• Download

Übersteigt die Anzahl der OfficeScan Clients (inkl. Update-Agents), die Updatesvom OfficeScan Server anfordern, die Serverkapazität, so leitet der Server dieUpdate-Anfragen in eine Warteschlange um und bearbeitet sie erst dann, wennwieder Ressourcen frei sind. Nachdem die Komponenten auf einem Clientaktualisiert wurden, sendet dieser Client eine entsprechende Benachrichtigung anden OfficeScan Server. Legen Sie dazu fest, wie viele Minuten der OfficeScanServer maximal auf eine Update-Benachrichtigung warten soll. Legen Sie außerdemfest, wie oft der Server versuchen soll, dem Client Benachrichtigungen zu Updatesund neuen Konfigurationseinstellungen zu senden. Der Server versucht dies solange, bis er die entsprechende Bestätigung vom Client erhält.

• Buffer

Erhält der OfficeScan Server von mehreren OfficeScan Clients gleichzeitigAnfragen (z. B. zum Durchführen von Updates), bearbeitet er die maximal


13-50

mögliche Anzahl und speichert die übrigen Anfragen in einem Puffer. Sobaldwieder ausreichend Ressourcen vorhanden sind, werden die Anfragen im Pufferder Reihe nach abgearbeitet. Legen Sie die Größe des Ereignispuffers (z. B. fürUpdate-Anfragen) und des Puffers für Client-Protokolle fest.

• Network Traffic

Das Volumen des Netzwerkverkehrs variiert während des Tages. Sie können denNetzwerkverkehr zum OfficeScan Server und zu anderen Update-Adressensteuern, indem Sie für jede Tageszeit festlegen, wie viele OfficeScan Clientsgleichzeitig aktualisiert werden können.

Server Tuner benötigt die folgende Datei: SvrTune.exe

Server Tuner ausführen

Prozedur

1. Gehen Sie auf dem OfficeScan Server-Computer zu <Installationsordner des Servers>\PCCSRV\Admin\Utility\SvrTune.

2. Doppelklicken Sie auf die Datei SvrTune.exe, um Server Tuner zu starten.

Die Server Tuner Konsole wird geöffnet.

3. Ändern Sie unter Download die folgenden Einstellungen:

• Timeout for client: Legen Sie fest, wie viele Minuten der OfficeScan Serverauf eine Update-Antwort der Clients warten soll. Antwortet der Clientinnerhalb dieses Zeitraums nicht, gilt er für den OfficeScan Server als nichtaktualisiert. Wird die Zeitbegrenzung des Clients überschritten, rückt einanderer Client nach, der auf Benachrichtigung wartet.

• Timeout for Update-Agent: Legen Sie fest, wie viele Minuten derOfficeScan Server auf eine Update-Antwort eines Update-Agents warten soll.Wird die Zeitbegrenzung des Clients überschritten, rückt ein anderer Clientnach, der auf Benachrichtigung wartet.

• Anzahl von Versuchen: Legen Sie fest, wie oft der OfficeScan Serverversuchen soll, dem Client Benachrichtigungen zu Updates und neuenKonfigurationseinstellungen zu senden.


13-51

• Versuchsintervall: Legen Sie fest, wie viele Minuten der OfficeScan Serverzwischen den einzelnen Benachrichtigungsversuchen warten soll.

4. Ändern Sie unter Buffer die folgenden Einstellungen:

• Ereignispuffer: Legen Sie die maximale Anzahl von Ereignisberichten (z. B.das Update von Komponenten) fest, die der OfficeScan Server im Pufferspeichert. Die Verbindung zum Client wird nicht gehalten, solange sich dieentsprechende Anfrage im Puffer befindet. Sobald OfficeScan den Client-Bericht bearbeitet und aus dem Puffer entfernt hat, wird die Verbindunghergestellt.

• Log Buffer: Legen Sie die maximale Anzahl von Client-Protokollen fest, dieder OfficeScan Server im Puffer speichert. Die Verbindung zum Client wirdnicht gehalten, solange sich die entsprechende Anfrage im Puffer befindet.Sobald OfficeScan den Client-Bericht bearbeitet und aus dem Puffer entfernt,wird die Verbindung wiederhergestellt.

HinweisWenn viele Clients Berichte an den Server senden, erhöhen Sie die Puffergröße.Allerdings benötigt ein größerer Datenpuffer auch mehr Speicherplatz auf demServer.

5. Ändern Sie unter Network Traffic die folgenden Einstellungen:

• Normal hours: Stellen Sie über die Optionsfelder die Zeiten ein, derenNetzaufkommen Sie als normal einschätzen.

• Off-peak hours: Stellen Sie über die Optionsfelder die Zeiten ein, derenNetzaufkommen Sie als besonders gering einschätzen.

• Peak hours: Stellen Sie über die Optionsfelder die Zeiten ein, derenNetzaufkommen Sie als besonders hoch einschätzen.

• Maximum client connections: Legen Sie fest, wie viele Clients gleichzeitigKomponenten-Updates über die unter "Andere Update-Adresse" angegebeneQuelle und über den OfficeScan Server beziehen können. Für jedengenannten Zeitraum muss die maximale Anzahl von Clients angegebenwerden. Wenn die maximale Anzahl von Verbindungen erreicht wurde,können Clients erst dann wieder Komponenten aktualisieren, wenn eine


13-52

andere Verbindung unterbrochen wurde (da Updates abgeschlossen wurdenoder der in Timeout for client oder Timeout for Update-Agentangegebene Zeitraum überschritten wurde).

6. Klicken Sie auf OK. Sie werden nun aufgefordert, den OfficeScan Master Serviceneu zu starten.

Hinweis

Nur der Dienst wird neu gestartet, nicht der Computer.

7. Wählen Sie eine der folgenden Optionen zum Neustart aus:

• Klicken Sie auf Ja, um die Einstellungen für Server Tuner zu speichern undden Dienst neu zu starten. Die Einstellungen sind nach dem Neustart sofortwirksam.

• Klicken Sie auf Nein, um die Einstellungen für Server Tuner zu speichern,jedoch den Dienst nicht neu zu starten. Starten Sie den OfficeScan MasterService oder den OfficeScan Server-Computer neu, damit die Einstellungenwirksam werden.

Smart FeedbackTrend Micro Smart Feedback leitet anonyme Informationen über Bedrohungen an dasSmart Protection Network weiter, damit Trend Micro neue Bedrohungen schnellidentifizieren und davor schützen kann. Sie können Smart Feedback jederzeit über dieseKonsole deaktivieren.

Am Smart Feedback Programm teilnehmen

Prozedur

1. Navigieren Sie zu Smart Protection > Smart Feedback.

2. Klicken Sie auf Trend Micro Smart Feedback aktivieren.


13-53

3. Um Trend Micro beim Verständnis Ihre Unternehmens zu unterstützen, wählenSie die Branche.

4. Um die Informationen über potenzielle Sicherheitsbedrohungen in den Dateien aufden Client-Computern zu senden, aktivieren Sie das Kontrollkästchen Feedbackzu verdächtigen Programmdateien aktivieren.

HinweisDie Dateien, die an Smart Feedback gesendet werden, enthalten keine Benutzerdatenund werden nur zur Bedrohungsanalyse übertragen.

5. Um die Kriterien für das Versenden von Feedback zu konfigurieren, wählen Sie dieAnzahl der Erkennungen für die angegebene Zeitdauer, die das Feedback auslöst.

6. Geben Sie die maximale Bandbreite ein, die OfficeScan beim Senden desFeedbacks verwenden kann, um Netzwerkbeeinträchtigungen zu minimieren.


14-1

Kapitel 14

Den OfficeScan Client verwaltenIn diesem Kapitel werden Verwaltung und Konfiguration von OfficeScan Clientsbeschrieben.


• Computerstandort auf Seite 14-2

• Verwaltung des OfficeScan Client-Programms auf Seite 14-6

• Client-Server-Verbindung auf Seite 14-26

• Proxy-Einstellungen für OfficeScan Client auf Seite 14-51

• OfficeScan Client-Informationen anzeigen auf Seite 14-56

• Client-Einstellungen importieren und exportieren auf Seite 14-56

• Einhaltung von Sicherheitsrichtlinien auf Seite 14-58

• Unterstützung für Trend Micro Virtual Desktop auf Seite 14-78

• Allgemeine Client-Einstellungen auf Seite 14-92

• Client-Berechtigungen und weitere Einstellungen konfigurieren auf Seite 14-93


14-2

ComputerstandortOfficeScan unterstützt die Funktion Location Awareness, die feststellt, ob sich derOfficeScan Client an einem lokalen oder an einem externen Standort befindet. LocationAwareness wird in folgenden OfficeScan Funktionen und Services genutzt:

TABELLE 14-1. Funktionen und Services mit Location Awareness

FUNKTION/SERVICE BESCHREIBUNG

Web-Reputation-Dienste

Der Standort des OfficeScan Clients legt fest, welche Web-Reputation-Richtlinie der OfficeScan Client anwendet. Bei externenClients setzen Administratoren normalerweise eine strengereRichtlinie durch.

Weitere Informationen zu Web-Reputation-Richtlinien finden Sieunter Web-Reputation-Richtlinien auf Seite 11-5.

File-Reputation-Dienste

Bei Clients, die die intelligente Suche verwenden, bestimmt derStandort des OfficeScan Clients die Smart-Protection-Quelle, anwelche die Clients Anfragen senden.

Externe Clients senden Anfragen an das Smart Protection Network,während interne Clients ihre Anfragen an die Quellen senden, die inder Liste der Smart Protection Quelle angegeben ist.

Weitere Informationen zu Smart Protection Quellen finden Sie unterSmart Protection Quellen auf Seite 4-6.

Prävention vorDatenverlust

Der Standort eines OfficeScan Clients legt fest, welche Richtliniezur Prävention vor Datenverlust der Client anwendet. Bei externenClients setzen Administratoren normalerweise eine strengereRichtlinie durch.

Weitere Informationen über Richtlinien zur Prävention vorDatenverlust finden Sie unter Richtlinien für 'Prävention vorDatenverlust' auf Seite 10-3.

Gerätesteuerung Der Standort eines OfficeScan Clients legt fest, welche Richtliniezur Gerätesteuerung der Client anwendet. Bei externen Clientssetzen Administratoren normalerweise eine strengere Richtliniedurch.

Weitere Informationen zu Gerätesteuerungsrichtlinien finden Sieunter Gerätesteuerung auf Seite 9-2.

Den OfficeScan Client verwalten

14-3

Standortkriterien

Legen Sie fest, ob der Standort auf der Gateway-IP-Adresse des OfficeScan Client-Computers, auf dem Verbindungsstatus des OfficeScan Clients mit dem OfficeScanServer oder auf einem Referenzserver basiert.

• Gateway-IP- und MAC-Adresse: Wenn die Gateway-IP-Adresse des OfficeScanClient-Computers mit der Gateway-IP-Adresse übereinstimmt, die Sie im Fenster"Computerstandort" festgelegt haben, handelt es sich um einen internen Standort.Andernfalls gilt der Computerstandort als extern.

• Verbindungsstatus der Clients: Kann sich der OfficeScan Client mit demOfficeScan Server oder einem festgelegten Referenzserver im Intranet verbinden,ist der Computerstandort intern. Wenn darüber hinaus ein Computer, der sichaußerhalb des Unternehmensnetzwerks befindet, eine Verbindung mit demOfficeScan Server/Referenzserver aufbauen kann, ist sein Standort auch intern.Trifft keine dieser Bedingungen zu, gilt der Computerstandort als extern.

Einstellungen für den Standort konfigurieren

Prozedur

1. Navigieren Sie zu Netzwerkcomputer > Computerstandort.

2. Wählen Sie, ob der Standort auf dem Verbindungsstatus des Clients oder derGateway-IP- und MAC-Adresse basiert.

3. Wenn Sie Verbindungsstatus der Clients auswählen, entscheiden Sie, ob Sieeinen Referenzserver verwenden möchten.

Weitere Informationen finden Sie unter Referenzserver auf Seite 13-31.

a. Wenn Sie keinen Referenzserver festlegen, überprüft der OfficeScan Client inden folgenden Fällen den Verbindungsstatus mit dem OfficeScan Server:

• Der OfficeScan Client wechselt vom Roaming- in den Normalmodus(online/offline).


14-4

• Der OfficeScan Client wechselt von einer Suchmethode zu eineranderen. Weitere Informationen finden Sie unter Suchmethoden auf Seite7-8.

• Der OfficeScan Client entdeckt eine IP-Adressänderung auf demComputer.

• Der OfficeScan Client startet neu.

• Der Server startet eine Verbindungsüberprüfung. Weitere Informationenfinden Sie unter OfficeScan Client-Symbole auf Seite 14-26.

• Standortkriterien der Web Reputation ändern sich während derÜbernahme allgemeiner Einstellungen

• Die Ausbruchspräventionsrichtlinie ist nicht mehr aktiv, und dievorherigen Einstellungen werden wiederhergestellt

b. Wenn Sie einen Referenzserver festgelegt haben, überprüft der OfficeScanClient den Verbindungsstatus zuerst mit dem OfficeScan Server undanschließend mit dem Referenzserver, falls die Verbindung zum OfficeScanServer fehlgeschlagen ist. Der OfficeScan Client überprüft denVerbindungsstatus stündlich und bei Eintritt der oben genannten Ereignisse.

4. Wenn Sie Gateway-IP- und MAC-Adresse wählen:

a. Geben Sie die IPv4/IPv6-Adresse des Gateways in das vorgesehene Textfeldein.

b. Geben Sie die MAC-Adresse ein.

c. Klicken Sie auf Hinzufügen.

Wenn Sie keine MAC-Adresse eingeben, fügt OfficeScan alle zur angegebenenIP-Adresse gehörigen MAC-Adressen hinzu.

d. Wiederholen Sie die Schritte a bis c, bis Sie alle gewünschten Gateway-IP-Adressen hinzugefügt haben.

e. Verwenden Sie das Gateway Settings Importer Tool, um eine Liste mitGateway-Einstellungen in dieses Fenster zu importieren.

Weitere Informationen finden Sie unter Gateway Settings Importer auf Seite14-5.


14-5


Gateway Settings Importer

OfficeScan überprüft den Standort eines Computers, um festzustellen, welche Web-Reputation-Richtlinie angewendet und mit welcher Smart Protection Quelle eineVerbindung aufgebaut werden soll. Zum Beispiel ermittelt OfficeScan den Standortdurch Überprüfen der Gateway-IP-Adresse und der MAC-Adresse des Computers.

Sie können die Gateway-Einstellungen im Fenster Computerstandort konfigurierenoder das Tool Import von Gateway-Einstellungen verwenden, um eine Liste derGateway-Einstellungen in das Fenster Computerstandort zu importieren.

Gateway Settings Importer verwenden

Prozedur

1. Bereiten Sie eine Textdatei (.txt) vor, die die Liste der Gateway-Einstellungenenthält. Geben Sie in jede Zeile eine IPv4- oder eine IPv6-Adresse sowie optionaleine MAC-Adresse ein.

Trennen Sie IP-Adressen und MAC-Adressen mit Komma voneinander. Es sindmaximal 4096 Einträge möglich.

Beispiel:

10.1.111.222,00:17:31:06:e6:e7

2001:0db7:85a3:0000:0000:8a2e:0370:7334

10.1.111.224,00:17:31:06:e6:e7

2. Wechseln Sie auf dem Servercomputer in den Ordner <Installationsordner des Servers>\PCCSRV\Admin\Utility\GatewaySettingsImporter, und doppelklickenSie auf GSImporter.exe.


14-6

HinweisDer Gateway Settings Importer kann nicht über Terminal Services ausgeführtwerden.

3. Navigieren Sie im Fenster Import von Gateway-Einstellungen zu der Datei, dieSie in Schritt 1 erstellt haben, und klicken Sie auf Importieren.


Die Gateway-Einstellungen werden im Fenster Computerstandort angezeigt, undder OfficeScan Server verteilt die Einstellungen an die OfficeScan Clients.

5. Klicken Sie auf Alle löschen, um alle Einträge zu löschen.

Wenn Sie nur einen bestimmten Eintrag löschen möchten, entfernen Sie diesen ausdem Fenster Computerstandort.

6. Um die Einstellungen in eine Datei zu exportieren, klicken Sie auf Alleexportieren, und legen Sie Dateinamen und -typ fest.

Verwaltung des OfficeScan Client-ProgrammsDie folgenden Themen beschreiben, wie Sie das OfficeScan Client-Programm verwaltenund schützen können.

• OfficeScan Client-Dienste auf Seite 14-7

• OfficeScan Neustart des Client-Dienstes auf Seite 14-12

• Eigenschutz des Clients auf Seite 14-13

• Sicherheit von OfficeScan Clients auf Seite 14-17

• Einschränkung des Zugriffs auf die OfficeScan Client-Konsole auf Seite 14-18

• OfficeScan Client beenden auf Seite 14-19

• Roaming-Berechtigung für OfficeScan Client auf Seite 14-20

• Client Mover auf Seite 14-23


14-7

• Inaktive OfficeScan Clients auf Seite 14-25

OfficeScan Client-Dienste

Der OfficeScan Client führt die in der folgenden Tabelle aufgelisteten Dienste aus. Siekönnen den Status dieser Dienste auf der Microsoft Management-Konsole sehen.

TABELLE 14-2. OfficeScan Client-Dienste

DIENST KONTROLLIERTE FUNKTIONSMERKMALE

Trend Micro UnauthorizedChange Prevention Service(TMBMSRV.exe)



• Certified Safe Software Service

• Eigenschutz des OfficeScan Clients

HinweisDer Eigenschutz des OfficeScan Clients verhindert,dass OfficeScan Client-Dienste beendet werden,solange sie aktiv sind und ausgeführt werden.

OfficeScan NT Firewall(TmPfw.exe)

OfficeScan Firewall

OfficeScanDatenschutzdienst(dsagent.exe)



OfficeScan NT Listener(tmlisten.exe)

Kommunikation zwischen OfficeScan Client undOfficeScan Server

OfficeScan NT Proxy-Dienst (TmProxy.exe)

• Web Reputation

• POP3 Mail Scan

OfficeScan NTEchtzeitsuche(ntrtscan.exe)

• Echtzeitsuche

• Zeitgesteuerte Suche

• Manuelle Suche/Sofort durchsuchen


14-8

Die folgenden Dienste bieten zuverlässigen Schutz, aber ihreÜberwachungsmechanismen können die Systemressourcen belasten, insbesondere aufServern, auf denen Anwendungen laufen, die das System stark in Anspruch nehmen:


• OfficeScan NT Firewall (TmPfw.exe)

• OfficeScan Datenschutzdienst (dsagent.exe)

Aus diesem Grund sind diese Dienste auf Server-Plattformen (Windows Server 2003,Windows Server 2008 und Windows Server 2012) standardmäßig deaktiviert. Soaktivieren Sie diese Dienste:

• Überwachen Sie ständig die Systemleistung, und führen Sie die notwendigenAktionen durch, wenn Sie einen Leistungsabfall bemerken.

• TMBMSRV.exe können Sie aktivieren, wenn Sie systemintensive Anwendungen ausden Richtlinien der Verhaltensüberwachung ausschließen. Sie können auch einPerformance Tuning Tool verwenden, um systemintensive Anwendungen zuidentifizieren. Weitere Informationen finden Sie unter Trend Micro Performance TuningTool verwenden auf Seite 14-10.

Bei Desktop-Plattformen deaktivieren Sie die Dienste nur, wenn Sie einen deutlichenLeistungsabfall verzeichnen.

Die Client-Dienste von der Webkonsole aus aktivieren oderdeaktivieren

Prozedur


2. Für OfficeScan Clients mit Windows XP, Vista, 7 oder 8:

a. Klicken Sie in der Client-Hierarchie auf das Symbol der Root-Domäne ( ),um alle Clients einzuschließen, oder wählen Sie bestimmte Domänen oderClients aus.


14-9

HinweisWenn Sie die Root-Domäne oder bestimmte Domänen auswählen, gilt dieEinstellung nur für Clients unter Windows XP, Vista, 7 oder 8. Die Einstellunggilt nicht für Clients unter eine beliebigen Windows Server-Plattform, selbstwenn sie zur Domäne gehören.

b. Klicken Sie auf Einstellungen > Zusätzliche Diensteinstellungen.

c. Aktivieren oder deaktivieren Sie das Kontrollkästchen unter den folgendenAbschnitten:

• Unauthorized Change Prevention Service

• Firewall-Dienst

• Datenschutzdienst

d. Klicken Sie auf Speichern, um die Einstellungen auf die Domäne(n)anzuwenden. Wenn Sie das Root-Domänen-Symbol ausgewählt haben,können Sie aus folgenden Optionen auswählen:

• Auf alle Clients anwenden: Wendet die Einstellungen auf allevorhandenen Windows XP/Vista/7/8 Clients und auf solche Clients an,die neu zu einer vorhandenen/künftigen Domäne hinzukommen.Zukünftige Domänen sind Domänen, die bei der Konfiguration derEinstellungen noch nicht vorhanden sind.

• Nur auf zukünftige Domänen anwenden: Wendet die Einstellungennur auf Windows XP/Vista/7/8 Clients an, die zu zukünftigenDomänen hinzukommen. Bei dieser Option werden die Einstellungennicht auf Clients angewendet, die neu zu einer vorhandenen Domänehinzukommen.

3. Für OfficeScan Clients unter Windows Server 2003, Windows Server 2008 oderWindows Server 2012:

a. Wählen Sie einen Client aus der Client-Hierarchie.

b. Klicken Sie auf Einstellungen > Zusätzliche Diensteinstellungen.

c. Aktivieren oder deaktivieren Sie das Kontrollkästchen unter den folgendenAbschnitten:


14-10

• Unauthorized Change Prevention Service

• Firewall-Dienst

• Datenschutzdienst

d. Klicken Sie auf Speichern.

Trend Micro Performance Tuning Tool verwenden

Prozedur

1. Trend Micro Performance Tuning Tool herunterladen:


2. Entpacken Sie die Datei TMPerfTool.zip, um TMPerfTool.exe zuextrahieren.

3. Platzieren Sie TMPerfTool.exe in den <Installationsordner des Clients> oder indenselben Ordner wie TMBMCLI.dll.

4. Klicken Sie mit der rechten Maustaste auf TMPerfTool.exe, und wählen Sie AlsAdministrator ausführen.

5. Lesen und akzeptieren Sie die Endbenutzer-Lizenzvereinbarung, und klicken Siedann auf OK.

6. Klicken Sie auf Analysieren.



14-11

ABBILDUNG 14-1. Markierter systemintensiver Prozess

Das Tool startet die Überwachung der CPU-Nutzung und das Laden derEreignisse. Ein systemintensiver Prozess erscheint rot markiert.

7. Wählen Sie einen systemintensiven Prozess, und klicken Sie auf die SchaltflächeZur Ausschlussliste hinzufügen (erlauben) ( ).

8. Überprüfen Sie, ob sich die Leistung des Systems oder der Anwendung verbessert.

9. Wenn sich die Leistung verbessert, wählen Sie den Prozess erneut, und klicken Sieauf die Schaltfläche Aus der Ausschlussliste entfernen ( ).

10. Wenn die Leistung wieder abfällt, führen Sie die folgenden Schritte durch:

a. Notieren Sie den Namen der Anwendung.

b. Klicken Sie auf Beenden.

c. Klicken Sie auf die Schaltfläche Bericht erstellen ( ), und speichern Sieanschließend die .xml-Datei.


14-12

d. Überprüfen Sie die Anwendungen, die einen Konflikt verursachen, und fügenSie sie zur Ausschlussliste der Verhaltensüberwachung hinzu.

Weitere Informationen finden Sie unter Ausschlussliste für Verhaltensüberwachungauf Seite 8-6.

OfficeScan Neustart des Client-DienstesOfficeScan startet die OfficeScan Client-Dienste neu, die unerwartet nicht mehrreagieren und nicht durch einen normalen Systemprozess angehalten wurden. WeitereInformationen zu Client-Diensten finden Sie im Abschnitt OfficeScan Client-Dienste aufSeite 14-7.

Konfigurieren Sie die notwendigen Einstellungen, um den Neustart der OfficeScanClient-Dienste zu ermöglichen.

Einstellungen für den Neustart der Dienste konfigurieren

Prozedur


2. Gehen Sie zum Abschnitt Neustart des OfficeScan Dienstes.

3. Wählen Sie OfficeScan Client-Dienst beim unerwarteten Beenden desDienstes automatisch neu starten.

4. Konfigurieren Sie das Folgende:

• Den Dienst neu starten nach __ Minuten: Geben Sie an, wie viel Zeit (inAnzahl von Minuten) vergehen muss, bis OfficeScan einen Service neu startet.

• Wenn der erste Neustartversuch fehlschlägt, noch __ Mal versuchen:Legt die maximale Anzahl von Neustartversuchen für einen Dienst fest.Starten Sie den Dienst manuell, wenn er nach Erreichen der maximalenAnzahl von Neustartversuchen weiterhin nicht läuft.

• Den Neustart-Fehlerzähler zurücksetzen nach __ Stunden: Wenn einDienst weiterhin nach Erreichen der maximalen Anzahl von


14-13

Neustartversuchen nicht läuft, wartet OfficeScan eine bestimmte Anzahl vonStunden, um den Fehlerzähler zurückzusetzen. Wenn ein Dienst weiterhinnach Erreichen der angegebenen Anzahl von Stunden nicht läuft, startetOfficeScan den Dienst neu.

Eigenschutz des ClientsDer Eigenschutz des OfficeScan Clients ermöglicht dem OfficeScan Client das Schützender Prozesse und anderer Ressourcen, damit diese ordnungsgemäß funktionieren. DerEigenschutz des OfficeScan Clients vereitelt Versuche von Programmen oderBenutzern, den Anti-Malware-Schutz zu deaktivieren.

Der Eigenschutz des OfficeScan Clients bietet die folgenden Optionen:

• OfficeScan Client-Dienste schützen auf Seite 14-14

• Dateien im OfficeScan Client-Installationsordner schützen auf Seite 14-15

• OfficeScan Client-Registrierungsschlüssel schützen auf Seite 14-16

• OfficeScan Client-Prozesse schützen auf Seite 14-16

Eigenschutzeinstellungen des OfficeScan Clientskonfigurieren

Prozedur


2. Klicken Sie in der Client-Hierarchie auf das Symbol der Root-Domäne ( ) oderwählen Sie bestimmte Domänen oder Clients aus.


4. Klicken Sie auf die Registerkarte Andere Einstellungen und gehen Sie zumAbschnitt Eigenschutz des Clients.

5. Aktivieren Sie die folgenden Optionen:


14-14

• OfficeScan Client-Dienste schützen auf Seite 14-14

• Dateien im OfficeScan Client-Installationsordner schützen auf Seite 14-15

• OfficeScan Client-Registrierungsschlüssel schützen auf Seite 14-16

• OfficeScan Client-Prozesse schützen auf Seite 14-16

HinweisDer Schutz von Registrierungsschlüsseln und Prozessen ist auf WindowsServer-Plattformen standardmäßig deaktiviert.




OfficeScan Client-Dienste schützen

OfficeScan blockiert alle Versuche, die folgenden OfficeScan Client-Dienste zubeenden:

• OfficeScan NT Listener (TmListen.exe)

• OfficeScan NT Echtzeitsuche (NTRtScan.exe)

• OfficeScan NT Proxy-Dienst (TmProxy.exe)

• OfficeScan NT Firewall (TmPfw.exe)

• OfficeScan Datenschutzdienst (dsagent.exe)


14-15


HinweisWenn diese Option aktiviert ist, verhindert OfficeScan möglicherweise, dass sichProdukte anderer Hersteller erfolgreich auf den Endpunkten installieren. Wenn Siedieses Problem feststellen, können Sie diese Option vorübergehend deaktivieren undnach der Installation des Fremdprodukts wieder aktivieren.

Dateien im OfficeScan Client-Installationsordner schützen

Um zu verhindern, dass andere Programme oder gar Benutzer die OfficeScan Client-Dateien ändern oder löschen, führt OfficeScan eine Sperrung der folgenden Dateien im<Stammordner für die Client-Installation> durch:

• Alle digital signierten Dateien mit den Dateinamenserweiterungen .exe, .dllund .sys

• Einige Dateien ohne digitale Signaturen, inkl.:

• bspatch.exe

• bzip2.exe

• INETWH32.dll

• libcurl.dll

• libeay32.dll

• libMsgUtilExt.mt.dll

• msvcm80.dll

• MSVCP60.DLL

• msvcp80.dll

• msvcr80.dll

• OfceSCV.dll

• OFCESCVPack.exe


14-16

• patchbld.dll

• patchw32.dll

• patchw64.dll

• PiReg.exe

• ssleay32.dll

• Tmeng.dll

• TMNotify.dll

• zlibwapi.dll

OfficeScan Client-Registrierungsschlüssel schützenOfficeScan sperrt alle Versuche, unter den folgenden Registrierungsschlüsseln undUnterschlüsseln Einträge zu ändern, zu löschen oder neue hinzuzufügen:

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\NSC

• HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\TMCSS

OfficeScan Client-Prozesse schützenOfficeScan blockiert alle Versuche, die folgenden Prozesse zu beenden:

• TmListen.exe: Empfängt Befehle und Benachrichtigungen vom OfficeScanServer und ermöglicht die Kommunikation zwischen OfficeScan Client und Server

• NTRtScan.exe: Führt auf den OfficeScan Clients die Echtzeitsuche, diezeitgesteuerte oder die manuelle Suche durch

• TmProxy.exe: Durchsucht den Netzwerkverkehr, bevor dieser an dieZielanwendung weitergeleitet wird.

• TmPfw.exe: Bietet eine Firewall auf Paketebene, Netzwerkvirensuche undFunktionen zur Erkennung von Eindringlingen.


14-17

• TMBMSRV.exe: Reguliert den Zugriff auf externe Speichergeräte und verhindertunbefugte Änderungen an Registrierungsschlüsseln und Prozessen.

• DSAgent.exe: Überwacht die Übertragung vertraulicher Daten und steuert denZugriff auf Geräte

Sicherheit von OfficeScan Clients

Steuern Sie den Benutzerzugriff auf das Installationsverzeichnis und dieRegistrierungseinstellungen des OfficeScan Clients, indem Sie eine von zweiSicherheitseinstellungen auswählen.

Den Zugriff auf das OfficeScan Client-Installationsverzeichnis und die Registrierungsschlüsselsteuern

Prozedur




4. Klicken Sie auf die Registerkarte Andere Einstellungen und gehen Sie zumAbschnitt Client-Sicherheitseinstellungen.

5. Wählen Sie aus den folgenden Zugriffsberechtigungen:

• Hoch: Das Installationsverzeichnis des OfficeScan Clients übernimmt dieRechte des Ordners Programme, und die Registrierungseinträge desOfficeScan Clients übernehmen die Berechtigungen des Schlüssels HKLM\Software. Dies schränkt die Berechtigungen von 'normalen' Benutzern(Benutzer ohne Administratorrechte) für die meisten Active DirectoryKonfigurationen auf einen Lesezugriff ein.


14-18

• Normal: Diese Berechtigung gewährt allen Benutzern (der Benutzergruppe"Alle") Vollzugriff auf das Programmverzeichnis und dieRegistrierungseinträge des OfficeScan Clients.




Einschränkung des Zugriffs auf die OfficeScan Client-Konsole

Diese Einstellung deaktiviert den Zugriff auf die OfficeScan Client-Konsole von derTask-Leiste oder dem Windows Start-Menü aus. Die einzige Möglichkeit für Benutzer,auf die OfficeScan Client-Konsole zuzugreifen, besteht darin, auf die Datei PccNT.exeim <Installationsordner des Clients> zu klicken. Laden Sie nach dem Konfigurieren dieserEinstellung den OfficeScan Client erneut, damit die Einstellung wirksam wird.

Diese Einstellung deaktiviert nicht den OfficeScan Client. Der OfficeScan Client wirdim Hintergrund ausgeführt und schützt so vor Sicherheitsrisiken.

Zugriff auf die OfficeScan Client-Konsole einschränken

Prozedur



14-19



4. Klicken Sie auf die Registerkarte Andere Einstellungen und gehen Sie zumAbschnitt Einschränkung des Zugriffs auf die Client-Konsole.

5. Wählen Sie Den Zugriff auf die Client-Konsole über die Task-Leiste oder dasWindows Start-Menü für Benutzer einschränken.




OfficeScan Client beendenDiese Berechtigung erlaubt dem Benutzer, den OfficeScan Client mit oder ohneKennwort vorübergehend anzuhalten.

Die Berechtigung zum Beenden des Clients gewähren

Prozedur




14-20


4. Gehen Sie auf der Registerkarte Berechtigungen zum Abschnitt Anhalten.

5. Um dem Benutzer zu erlauben, den Client ohne Kennwort anzuhalten, wählen SieDem Benutzer erlauben, den OfficeScan Client anzuhalten.

• Ist ein Kennwort erforderlich, wählen Sie Den Benutzer zum Anhalten desOfficeScan Clients zur Eingabe eines Kennworts auffordern, geben Siedas Kennwort ein und bestätigen es.




Roaming-Berechtigung für OfficeScan Client

Gewähren Sie bestimmten Benutzern die Roaming-Berechtigung für OfficeScan Clients,wenn Client-Server-Ereignisse die Aufgaben des Benutzers behindern. Wenn einBenutzer beispielsweise häufig Präsentationen zeigt, kann er vor Beginn der Präsentationden Roaming-Modus aktivieren und so verhindern, dass der OfficeScan ServerOfficeScan Client-Einstellungen verteilt und Suchen auf dem OfficeScan Client startet.

Wenn für Clients der Roaming-Modus aktiviert ist:

• OfficeScan Clients senden keine Protokolle an den OfficeScan Server, selbst wenndie Clients mit dem Server verbunden sind.


14-21

• Der OfficeScan Server startet keine Aufgaben und verteilt keine OfficeScan Client-Einstellungen auf die Clients, selbst wenn die Clients mit dem Server verbundensind.

• OfficeScan Clients aktualisieren Komponenten, wenn sie eine Verbindung zu einerihrer Update-Quellen herstellen können. Zu den Quellen zählen der OfficeScanServer, Update Agents oder eine benutzerdefinierte Update-Quelle.

Die folgenden Ereignisse lösen ein Update auf Roaming-Clients aus:

• Der Benutzer führt ein manuelles Update aus.

• Das automatische Client-Update wird ausgeführt. Sei können automatischeClient-Updates auf Roaming-Clients deaktivieren. Weitere Informationenfinden Sie unter Automatische Client-Updates auf Roaming-Clients deaktivieren aufSeite 14-22.

• Ein zeitgesteuertes Update wird ausgeführt. Zeitgesteuerte Updates könnennur vor Clients mit den erforderlichen Berechtigungen ausgeführt werden. Siekönnen diese Berechtigung jederzeit widerrufen. Weitere Informationenfinden Sie unter Die Berechtigung für zeitgesteuerte Updates auf Roaming-OfficeScanClients widerrufen auf Seite 14-23.

Die Berechtigung zum Roaming des Clients gewähren

Prozedur




4. Navigieren Sie auf der Registerkarte Berechtigungen zum Bereich Roaming-Berechtigungen.

5. Wählen Sie die Option Roaming-Modus aktivieren.


14-22




Automatische Client-Updates auf Roaming-Clientsdeaktivieren

Prozedur

1. Navigieren Sie zu Updates > Netzwerkcomputer > Automatisches Update.

2. Navigieren Sie zum Abschnitt Ereignisbedingtes Update.

3. Deaktivieren Sie die Option Auch auf Roaming- und Offline-Clients verteilen.

HinweisDiese Option wird automatisch deaktiviert, wenn Sie die Option Komponenten-Update auf Clients gleich nach dem Download einer neuen Komponente aufdem OfficeScan Server starten deaktivieren.



14-23

Die Berechtigung für zeitgesteuerte Updates auf Roaming-OfficeScan Clients widerrufen

Prozedur




4. Navigieren Sie auf der Registerkarte Berechtigungen zum BereichBerechtigungen für Komponenten-Updates.

5. Deaktivieren Sie die Option Zeitgesteuertes Update aktivieren.


Client Mover

Wenn es im Netzwerk mehr als einen OfficeScan Server gibt, können Sie OfficeScanClients mit Hilfe des Client Movers einem anderen OfficeScan Server zuordnen. Dies istbesonders dann hilfreich, wenn ein neuer OfficeScan Server eingerichtet wurde und SieClients von einem vorhandenen Server einem neuen Server zuordnen möchten.

Hinweis

Beide Server müssen dieselbe Spracheinstellung haben. Wenn Sie mit Client Mover einenOfficeScan Client, der eine frühere Version ausführt, auf einen Server der aktuellen Versionverschieben, wird der OfficeScan Client automatisch aktualisiert.

Vergewissern Sie sich vor der Verwendung dieses Tools, dass das verwendete Konto überAdministratorrechte verfügt.


14-24

Client Mover ausführen

Prozedur

1. Öffnen Sie auf dem OfficeScan Server den Ordner <Installationsordner des Servers>\PCCSRV\Admin\Utility\IpXfer.

2. Kopieren Sie IpXfer.exe auf den OfficeScan Client-Computer. Wenn derOfficeScan Client-Computer auf einer x64-Plattform ausgeführt wird, kopieren Siestattdessen IpXfer_x64.exe.

3. Öffnen Sie auf dem OfficeScan Client-Computer eine Eingabeaufforderung, undwechseln Sie dann zu dem Ordner, in den Sie die Datei kopiert haben.

4. Führen Sie den Client Mover aus, indem Sie folgende Syntax eingeben:

<Name der ausführbaren Datei> -s <Servername> -p <Server-Listening-Port> -c <Client-Listening-Port> -d <Domäne oderDomänenhierarchie>TABELLE 14-3. Client Mover Parameter

PARAMETER ERKLÄRUNG

<Name derausführbaren Datei>

IpXfer.exe oder IpXfer_x64.exe

<Servername> Der Name des OfficeScan Zielservers (der Server, demder OfficeScan Client zugeordnet werden soll)

<Server-Listening-Port>

Der Listening Port (oder der vertrauenswürdige Port) desOfficeScan Zielservers. Klicken Sie im Hauptmenü aufAdministration > Verbindungseinstellungen, um denListening-Port auf der OfficeScan Webkonsoleanzuzeigen.

<Client-Listening-Port>

Die Portnummer, die vom OfficeScan Client-Computerzur Kommunikation mit dem Server verwendet wird

<Domäne oderDomänenhierarchie>

Die Domäne oder Subdomäne der Client-Hierarchie,unter der der Client gruppiert werden soll. DieDomänenhierarchie sollte die Subdomäne angeben.

Beispiele:


14-25

ipXfer.exe -s Server01 -p 8080 -c 21112 -d Workgroup

ipXfer_x64.exe -s Server02 -p 8080 -c 21112 -d Workgroup\Gruppe01

5. Bestätigen Sie, dass der OfficeScan Client ab jetzt an den anderen Server berichtet.Gehen Sie dazu folgendermaßen vor:

a. Klicken Sie in der Task-Leiste auf dem OfficeScan Client-Computer mit derrechten Maustaste auf das Symbol des OfficeScan Client-Programms.

b. Wählen Sie OfficeScan Konsole aus.

c. Klicken Sie im Menü auf Hilfe, und wählen Sie Info.

d. Aktivieren Sie im Feld Servername/-port den OfficeScan Server, an den derOfficeScan Client berichtet.

Hinweis

Wird der OfficeScan Client nicht in der Client-Hierarchie des neuen OfficeScanServers angezeigt, der ihn nun verwaltet, sollten Sie den Master Service(ofservice.exe) des neuen Servers neu starten.

Inaktive OfficeScan Clients

Wenn Sie das OfficeScan Client-Programm mit Hilfe des Deinstallationsprogramms fürden OfficeScan Client deinstallieren, wird der Server automatisch durch das Programmbenachrichtigt. Daraufhin wird das OfficeScan Client-Symbol aus der Client-Hierarchiedes Servers entfernt.

Wenn der OfficeScan Client jedoch auf andere Weise entfernt wird, wie zum Beispieldurch das Formatieren der Festplatte oder das manuelle Löschen der OfficeScan Client-Dateien, erfolgt keine Benachrichtigung an OfficeScan, und der OfficeScan Client wirdals inaktiv angezeigt. Deaktiviert der Benutzer den OfficeScan Client über einenlängeren Zeitraum, zeigt der Server den OfficeScan Client ebenfalls als inaktiv an.


14-26

Damit in der Client-Hierarchie nur aktive Clients angezeigt werden, können SieOfficeScan so konfigurieren, dass inaktive Clients automatisch aus der Client-Hierarchiegelöscht werden.

Inaktive Clients automatisch entfernen

Prozedur

1. Navigieren Sie zu Administration > Inaktive Clients.

2. Wählen Sie Automatische Entfernung inaktiver Clients aktivieren.

3. Legen Sie fest, nach wie vielen Tagen ein inaktiver OfficeScan Client entfernt wird.


Client-Server-VerbindungDer OfficeScan Client muss ständig mit seinem übergeordneten Server verbunden sein,damit er seine Komponenten aktualisieren, Benachrichtigungen erhalten undKonfigurationsänderungen rechtzeitig übernehmen kann. Die folgenden Themen gebenAuskunft darüber, wie der Verbindungsstatus des OfficeScan Clients überprüft undVerbindungsprobleme behoben werden können:

• Client-IP-Adressen auf Seite 5-9

• OfficeScan Client-Symbole auf Seite 14-26

• Verbindung des Clients zum Server überprüfen auf Seite 14-44

• Verbindungsüberprüfungsprotokolle auf Seite 14-45

• Nicht erreichbare Clients auf Seite 14-46

OfficeScan Client-SymboleDas OfficeScan Client-Symbol in der Task-Leiste zeigt anhand visueller Hinweise denaktuellen Status des OfficeScan Clients an und fordert Benutzer auf, bestimmte


14-27

Aktionen auszuführen. Das Symbol kann jederzeit eine entsprechende Kombination derfolgenden visuellen Hinweise anzeigen.


14-28

TABELLE 14-4. Mit dem OfficeScan Client-Symbol angezeigter OfficeScan Client-Status

CLIENT-STATUS

BESCHREIBUNG VISUELLER HINWEIS

Client-Verbindungmit demOfficeScanServer

Online-Clients sind mit demOfficeScan Serververbunden. Der Serverkann Tasks starten undEinstellungen auf dieseClients verteilen.

Das Symbol zeigt ein Sinnbild, das einemHerzschlag ähnlich ist.

Die Hintergrundfarbe ist je nach Status desEchtzeitsuchdienstes ein blauer oder roterFarbton.

Offline-Clients wurden vomOfficeScan Servergetrennt. Der Server kanndiese Clients nichtverwalten.

Das Symbol zeigt ein Sinnbild, das einemausgesetzten Herzschlag ähnlich ist.


Es ist möglich, einen Client offline zusetzen, auch wenn dieser mit demNetzwerk verbunden ist. WeitereInformationen zu diesem Problem findenSie unter Ein OfficeScan Client ist mit demNetzwerk verbunden, wird aber als offlineangezeigt auf Seite 14-42.

Roaming-Clients könnenmöglicherweise nicht mitdem OfficeScan Serverkommunizieren.

Das Symbol zeigt den Desktop undSignalzeichen.


Weitere Informationen zu Roaming-Clientsfinden Sie unter Roaming-Berechtigung fürOfficeScan Client auf Seite 14-20.


14-29

CLIENT-STATUS


Verfügbarkeit von SmartProtectionQuellen

Zu den Smart ProtectionQuellen zählen SmartProtection Server undTrend Micro SmartProtection Network.

Clients der herkömmlichenSuche verbinden sich fürWeb-Reputation-Abfragenmit Smart ProtectionQuellen.

Clients der intelligentenSuche verbinden sich fürSuch- und Web-Reputation-Abfragen mitSmart Protection Quellen.

Das Symbol zeigt ein Häkchen, wenn eineSmart Protection Quelle verfügbar ist.

Das Symbol zeigt einen Fortschrittsbalken,wenn keine Smart Protection Quelleverfügbar ist und der Client versucht, eineVerbindung zu den Quellen herzustellen.

Weitere Informationen zu diesem Problemfinden Sie unter Smart Protection Quellensind nicht verfügbar auf Seite 14-42.

Für Clients der herkömmlichen Suche wirdweder ein Häkchen noch einFortschrittsbalken angezeigt, wenn WebReputation auf dem Client deaktiviertwurde.


14-30

CLIENT-STATUS


Echtzeitsuchdienst -Status

OfficeScan verwendet denEchtzeitdienst nicht nur fürdie Echtzeitsuche, sondernauch für die manuelle unddie zeitgesteuerte Suche.

Der Dienst mussfunktionieren, ansonsten istder Client anfällig fürSicherheitsrisiken.

Das gesamte Symbol ist blau unterlegt,wenn der Echtzeitsuchdienst funktioniert.Für die Anzeige der Suchmethode desClients werden zwei Blautöne verwendet.

• Für die herkömmliche Suche:

• Für die intelligente Suche:

Das gesamte Symbol ist rot unterlegt, wennder Echtzeitsuchdienst deaktiviert wurdeoder nicht funktioniert.

Für die Anzeige der Suchmethode desClients werden zwei Rottöne verwendet.

• Für die herkömmliche Suche:

• Für die intelligente Suche:

Weitere Informationen zu diesem Problemfinden Sie unter Der Echtzeitsuchdienstwurde deaktiviert oder funktioniert nicht. aufSeite 14-41.


14-31

CLIENT-STATUS


Echtzeitsuche - Status

Die Echtzeitsuche bieteteinen proaktiven Schutz,indem Dateien aufSicherheitsrisikendurchsucht werden,während sie erstellt,geändert oder abgerufenwerden.

Es gibt keine visuellen Hinweise, wenn dieEchtzeitsuche aktiviert ist.

Wenn die Echtzeitsuche deaktiviert ist, wirddas ganze Symbol mit einer rotenUmrandung und einer roten diagonalenLinie dargestellt.

Weitere Informationen zu diesem Problemfinden Sie unter:

• Echtzeitsuche wurde deaktiviert aufSeite 14-41

• Die Echtzeitsuche wurde deaktiviert,und ein OfficeScan Client befindet sichim Roaming-Modus auf Seite 14-41

Pattern-Update -Status

Clients müssen das Patternregelmäßig aktualisieren,um den Client vor denneuesten Bedrohungen zuschützen.

Es gibt keine visuellen Hinweise, wenn dasPattern nicht aktuell oder leicht veraltet ist.

Dieses Symbol zeigt ein Ausrufezeichen,wenn das Pattern stark veraltet ist. Diesbedeutet, dass das Pattern über einenlängeren Zeitraum nicht aktualisiert wurde.

Weitere Informationen zum Update vonClients finden Sie unter OfficeScan Client-Updates auf Seite 6-28.

Intelligente Suchsymbole

Wenn OfficeScan Clients die intelligente Suche verwenden, werden entsprechend dienachfolgenden Symbole angezeigt.


14-32

TABELLE 14-5. Intelligente Suchsymbole

SYMBOL

VERBINDUNGMIT

OFFICESCANSERVER

VERFÜGBARKEIT VONSMART PROTECTION

QUELLEN

ECHTZEITSUCHDIENST

ECHTZEITSUCHE

Online Verfügbar Funktioniert Aktiviert

Online Verfügbar Funktioniert Deaktiviert

Online Verfügbar Deaktiviert odernichtfunktionsfähig

Deaktiviert odernichtfunktionsfähig

Online Nicht verfügbar,Verbindung zu Quellenwird wiederhergestellt

Funktioniert Aktiviert


Funktioniert Deaktiviert




Offline Verfügbar Funktioniert Aktiviert

Offline Verfügbar Funktioniert Deaktiviert

Offline Verfügbar Deaktiviert odernichtfunktionsfähig


Offline Nicht verfügbar,Verbindung zu Quellenwird wiederhergestellt



14-33

SYMBOL

VERBINDUNGMIT

OFFICESCANSERVER

VERFÜGBARKEIT VONSMART PROTECTION

QUELLEN

ECHTZEITSUCHDIENST

ECHTZEITSUCHE






Roaming Verfügbar Funktioniert Aktiviert

Roaming Verfügbar Funktioniert Deaktiviert

Roaming Verfügbar Deaktiviert odernichtfunktionsfähig


Roaming Nicht verfügbar,Verbindung zu Quellenwird wiederhergestellt







Herkömmliche Suchsymbole

Wenn OfficeScan Clients die herkömmliche Suche verwenden, werden entsprechend dienachfolgenden Symbole angezeigt.


14-34

TABELLE 14-6. Herkömmliche Suchsymbole

SYMBOL

VERBINDUNGMIT

OFFICESCANSERVER

WEB-REPUTATION-DIENSTE ZURVERFÜGUNG

GESTELLT VONSMART

PROTECTION-QUELLEN

ECHTZEITSUCHDIENST

ECHTZEITSUCHE

VIREN-PATTERN

Online Verfügbar Funktioniert Aktiviert Aktuell oderleicht veraltet

Online Nicht verfügbar,Verbindung zuQuellen wirdwiederhergestellt

Funktioniert Aktiviert Aktuell oderleicht veraltet

Online Verfügbar Funktioniert Aktiviert Stark veraltet


Funktioniert Aktiviert Stark veraltet

Online Verfügbar Funktioniert Deaktiviert Aktuell oderleicht veraltet


Funktioniert Deaktiviert Aktuell oderleicht veraltet

Online Verfügbar Funktioniert Deaktiviert Stark veraltet


Funktioniert Deaktiviert Stark veraltet

Online Verfügbar Deaktiviertoder nichtfunktionsfähig

Deaktiviertoder nichtfunktionsfähig

Aktuell oderleicht veraltet


14-35

SYMBOL

VERBINDUNGMIT

OFFICESCANSERVER


GESTELLT VONSMART

PROTECTION-QUELLEN

ECHTZEITSUCHDIENST

ECHTZEITSUCHE

VIREN-PATTERN





Online Verfügbar Deaktiviertoder nichtfunktionsfähig


Stark veraltet




Stark veraltet

Offline Verfügbar Funktioniert Aktiviert Aktuell oderleicht veraltet

Offline Nicht verfügbar,Verbindung zuQuellen wirdwiederhergestellt


Offline Verfügbar Funktioniert Aktiviert Stark veraltet



Offline Verfügbar Funktioniert Deaktiviert Aktuell oderleicht veraltet


14-36

SYMBOL

VERBINDUNGMIT

OFFICESCANSERVER


GESTELLT VONSMART

PROTECTION-QUELLEN

ECHTZEITSUCHDIENST

ECHTZEITSUCHE

VIREN-PATTERN



Offline Verfügbar Funktioniert Deaktiviert Stark veraltet



Offline Verfügbar Deaktiviertoder nichtfunktionsfähig







Offline Verfügbar Deaktiviertoder nichtfunktionsfähig


Stark veraltet




Stark veraltet

Roaming Verfügbar Funktioniert Aktiviert Aktuell oderleicht veraltet


14-37

SYMBOL

VERBINDUNGMIT

OFFICESCANSERVER


GESTELLT VONSMART

PROTECTION-QUELLEN

ECHTZEITSUCHDIENST

ECHTZEITSUCHE

VIREN-PATTERN

Roaming Nicht verfügbar,Verbindung zuQuellen wirdwiederhergestellt


Roaming Verfügbar Funktioniert Aktiviert Stark veraltet



Roaming Verfügbar Funktioniert Deaktiviert Aktuell oderleicht veraltet



Roaming Verfügbar Funktioniert Deaktiviert Stark veraltet



Roaming Verfügbar Deaktiviertoder nichtfunktionsfähig




14-38

SYMBOL

VERBINDUNGMIT

OFFICESCANSERVER


GESTELLT VONSMART

PROTECTION-QUELLEN

ECHTZEITSUCHDIENST

ECHTZEITSUCHE

VIREN-PATTERN





Roaming Verfügbar Deaktiviertoder nichtfunktionsfähig


Stark veraltet




Stark veraltet

Online Nicht zutreffend(Web-Reputation-Funktion aufClient deaktiviert)









14-39

SYMBOL

VERBINDUNGMIT

OFFICESCANSERVER


GESTELLT VONSMART

PROTECTION-QUELLEN

ECHTZEITSUCHDIENST

ECHTZEITSUCHE

VIREN-PATTERN








Stark veraltet

Offline Nicht zutreffend(Web-Reputation-Funktion aufClient deaktiviert)













14-40

SYMBOL

VERBINDUNGMIT

OFFICESCANSERVER


GESTELLT VONSMART

PROTECTION-QUELLEN

ECHTZEITSUCHDIENST

ECHTZEITSUCHE

VIREN-PATTERN




Stark veraltet

Roaming Nicht zutreffend(Web-Reputation-Funktion aufClient deaktiviert)















Stark veraltet


14-41

Lösungen für Probleme, die durch OfficeScan Client-Symbole angezeigt werden

Führen Sie die notwendigen Aktionen durch, wenn das OfficeScan Client-Symbol einender folgenden Zustände anzeigt:

Die Pattern-Datei wurde seit längerem nicht aktualisiert.

OfficeScan Client-Benutzer müssen die Komponenten aktualisieren. Über dieWebkonsole können Sie die Einstellungen für das Komponenten-Update unterUpdates > Netzwerkcomputer > Automatisches Update konfigurieren oder denBenutzern unter Netzwerkcomputer > Client-Verwaltung > Einstellungen >Berechtigungen und andere Einstellungen > Berechtigungen > Berechtigungenfür Komponenten-Updates die Berechtigung zum Update erteilen.

Der Echtzeitsuchdienst wurde deaktiviert oder funktioniert nicht.

Wenn der Echtzeitsuchdienst (OfficeScan NT Echtzeitsuche) deaktiviert wurde odernicht funktioniert, müssen Benutzer den Dienst manuell über die MicrosoftManagement-Konsole starten.

Echtzeitsuche wurde deaktiviert

Aktivieren Sie die Echtzeitsuche über die Webkonsole (Netzwerkcomputer > Client-Verwaltung > Einstellungen > Sucheinstellungen > Einstellungen fürEchtzeitsuche).

Die Echtzeitsuche wurde deaktiviert, und ein OfficeScan Clientbefindet sich im Roaming-Modus

Benutzer müssen zuerst den Roaming-Modus deaktivieren. Danach kann dieEchtzeitsuche über die Webkonsole aktiviert werden.


14-42

Ein OfficeScan Client ist mit dem Netzwerk verbunden, wird aberals offline angezeigt

Überprüfen Sie über die Webkonsole zunächst die Verbindung (Netzwerkcomputer >Verbindungsüberprüfung) und dann die Verbindungsüberprüfungsprotokolle(Protokolle > Netzwerkcomputerprotokolle > Verbindungsüberprüfung).

Ist der OfficeScan Client nach dieser Überprüfung weiterhin offline:

1. Ist der Verbindungsstatus sowohl auf dem Server als auch auf dem OfficeScanClient offline, überprüfen Sie die Netzwerkverbindung.

2. Lautet der Verbindungsstatus auf dem OfficeScan Client "offline", aber auf demServer "online", und verbindet sich der OfficeScan Client gemäß der Auswahlwährend der Serverinstallation über den Domänennamen mit dem Server, hat sichmöglicherweise dessen Domänenname geändert. Registrieren Sie denDomänennamen des OfficeScan Servers am DNS oder WINS Server, oder fügenSie den Domänennamen und die IP-Angaben zur Hosts-Datei im Ordner<Windows Ordner>\system32\drivers\etc auf dem Client-Computerhinzu.

3. Lautet der Verbindungsstatus auf dem OfficeScan Client "online", aber auf demServer "offline", überprüfen Sie die Einstellungen der OfficeScan Firewall. DieFirewall sperrt möglicherweise die Server-Client-Kommunikation, während sie dieClient-Server-Kommunikation zulässt.

4. Lautet der Verbindungsstatus auf dem OfficeScan Client "online", aber auf demServer "offline", hat sich möglicherweise die IP-Adresse des OfficeScan Clientsgeändert, ohne dass dessen Status auf dem Server aktualisiert wurde (beispielsweisebeim Neustart des Clients). Versuchen Sie, den OfficeScan Client erneut zuverteilen.

Smart Protection Quellen sind nicht verfügbar

Führen Sie die nachfolgenden Aufgaben aus, wenn ein Client die Verbindung zu SmartProtection Quellen verloren hat:

1. Navigieren Sie auf der Webkonsole zum Fenster "Computerstandort"(Netzwerkcomputer > Computerstandort), und überprüfen Sie, ob diefolgenden Einstellungen des Computerstandorts richtig konfiguriert sind:


14-43

• Referenzserver und Portnummern

• Gateway-IP-Adressen

2. Navigieren Sie auf der Webkonsole zum Fenster "Smart Protection Quellen"(Smart Protection > Smart Protection Quellen), und führen Sie anschließenddie folgenden Aufgaben aus:

a. Überprüfen Sie, ob die Einstellungen des Smart Protection Servers auf derstandardmäßigen oder der benutzerdefinierten Liste der Quellen korrekt sind.

b. Überprüfen Sie, ob eine Verbindung zu den Servern hergestellt werden kann.

c. Klicken Sie nach der Konfiguration der Liste der Quellen auf Alle Clientsbenachrichtigen.

3. Überprüfen Sie, ob die folgenden Konfigurationsdateien auf dem Smart ProtectionServer und dem OfficeScan Client synchronisiert wurden:

• sscfg.ini

• ssnotify.ini

4. Öffnen Sie den Registrierungseditor und überprüfen Sie, ob ein Client mit demUnternehmensnetzwerk verbunden ist.

Schlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\iCRC Scan\Scan Server

• Bei LocationProfile=1 ist der OfficeScan Client mit dem Netzwerkverbunden und sollte mit einem Smart Protection Server eine Verbindungherstellen können.

• Bei LocationProfile=2 ist der OfficeScan Client nicht mit dem Netzwerkverbunden und sollte mit dem Smart Protection Network eine Verbindungherstellen können. Überprüfen Sie von Internet Explorer aus, ob vomOfficeScan Client-Computer aus Webseiten im Internet aufgerufen werdenkönnen.

5. Überprüfen Sie interne und externe Proxy-Einstellungen, die zur Verbindung mitdem Smart Protection Network und den Smart Protection Servern verwendet


14-44

werden. Weitere Informationen finden Sie unter Interner Proxy für OfficeScan Clientsauf Seite 14-51 und Externer Proxy für OfficeScan Clients auf Seite 14-52.

6. Stellen Sie für Clients der herkömmlichen Suche sicher, dass der OfficeScan NTProxy-Dienst (TmProxy.exe) ausgeführt wird. Wenn dieser Dienst angehaltenwird, können sich Clients nicht mit Smart Protection Quellen für Web Reputationverbinden.

Verbindung des Clients zum Server überprüfen

Der Verbindungsstatus des Clients mit dem OfficeScan Server wird in der Client-Hierarchie der OfficeScan Webkonsole angezeigt.

ABBILDUNG 14-2. Client-Hierarchie mit der Anzeige des Verbindungsstatus des Clientsmit dem OfficeScan Server

Bestimmte Umstände können jedoch dazu führen, dass der Client-Verbindungsstatus inder Client-Hierarchie nicht richtig angezeigt wird. Wenn Sie beispielsweise versehentlichdie Netzwerkverbindung eines Clients trennen, kann der Client den Server nicht darüberinformieren, dass er offline ist. Er erscheint somit in der Client-Hierarchie weiterhin alsonline.

Überprüfen Sie die Client-Server-Verbindung manuell, oder lassen Sie OfficeScan einezeitgesteuerte Überprüfung durchführen. Es ist nicht möglich, bestimmte Domänenoder Clients auszuwählen und dann ihren Verbindungsstatus zu überprüfen. OfficeScanüberprüft den Verbindungsstatus aller registrierten Clients.


14-45

Die Verbindungen des Clients zum Server überprüfen

Prozedur

1. Navigieren Sie zu Netzwerkcomputer > Verbindungsüberprüfung.

2. Um die Client/Server-Verbindung manuell zu überprüfen, öffnen Sie dieRegisterkarte Manuelle Überprüfung, und klicken Sie auf Jetzt überprüfen.

3. Um die Client-Server-Verbindung automatisch zu überprüfen, wechseln Sie auf dieRegisterkarte Zeitgesteuerte Überprüfung.

a. Klicken Sie auf Zeitgesteuerte Überprüfung aktivieren.

b. Wählen Sie das Überprüfungsintervall und die Startzeit.

c. Mit Speichern wird der Zeitplan gespeichert.

4. Überprüfen Sie den Status in der Client-Hierarchie, oder zeigen Sie die Protokollezur Verbindungsüberprüfung an.

VerbindungsüberprüfungsprotokolleAnhand der Verbindungsüberprüfungsprotokolle von OfficeScan können Sie feststellen,ob der OfficeScan Server mit allen registrierten Clients kommunizieren kann.OfficeScan erstellt bei jeder Überprüfung der Client-Server-Verbindung über dieWebkonsole einen Protokolleintrag.


Verbindungsüberprüfungsprotokolle anzeigen

Prozedur

1. Navigieren Sie zu Netzwerkcomputer > Verbindungsüberprüfung.


14-46

2. Die Ergebnisse der Verbindungsüberprüfung können Sie in der Spalte Statusanzeigen.


Nicht erreichbare ClientsOfficeScan Clients in nicht erreichbaren Netzwerken, z. B. solche inNetzwerksegmenten hinter einem NAT-Gateway, sind fast immer offline, da der Serverkeine direkte Verbindung zu diesen Clients aufbauen kann. Demzufolge kann der Serverdiese Clients nicht über folgende durchzuführende Aktionen benachrichtigen:

• Neueste Komponenten herunterladen.

• Auf der Webkonsole konfigurierte Client-Einstellungen übernehmen. Wenn Siebeispielsweise auf der Webkonsole die Häufigkeit der zeitgesteuerten Suche ändern,benachrichtigt der Server die Clients umgehend und fordert sie auf, die neuenEinstellungen übernehmen.

Nicht erreichbare Clients können diese Aufgaben daher nicht zeitnah durchführen. Sieführen sie nur dann durch, wenn sie eine Verbindung zum Server herstellen. Diesgeschieht:

• Wenn sie sich beim Server nach der Installation registrieren.

• Wenn sie neu gestartet oder geladen werden. Dieses Ereignis tritt nicht regelmäßigein und erfordert in der Regel das Eingreifen des Benutzers.

• Wenn auf dem Client ein manuelles oder zeitgesteuertes Update ausgelöst wird.Auch dieses Ereignis tritt nicht regelmäßig ein.

Nur während der Registrierung, des Neustarts oder des Neuladens "erkennt" der Serverdie Konnektivität der Clients und behandelt sie als online. Da der Server jedoch nochimmer keine Verbindung zu den Clients herstellen kann, ändert er ihren Statusumgehend in "Offline".

OfficeScan stellt Rückmeldungs- und Serverabfragefunktionen zur Verfügung, umProbleme mit nicht erreichbaren Clients zu beheben. Aufgrund dieser Funktionen


14-47

unterlässt der Server es, Clients über Komponenten-Updates undEinstellungsänderungen zu benachrichtigen. Stattdessen übernimmt der Server einepassive Rolle und wartet darauf, dass die Clients Rückmeldungen senden oder Abfrageninitiieren. Wenn der Server eines dieser Ereignisse erkennt, behandelt er die Clients alsonline.

HinweisAndere Client-initiierte Ereignisse als Rückmeldungen und Serverabfragen, beispielsweisemanuelles Client-Update und Senden der Protokolle, lösen im Server nicht dieAktualisierung des Client-Status "Nicht erreichbar" aus.

Rückmeldung

OfficeScan Clients senden Rückmeldenachrichten, um den Server zu informieren, dassdie Verbindung vom Client aus funktionstüchtig bleibt. Nach dem Erhalt einerRückmeldung behandelt der Server den Client als online. Clients in der Client-Hierarchiekönnen folgende Zustände haben:

• Online: Bei normalen Online-Clients

• Nicht erreichbar/Online: Bei Online-Clients im nicht erreichbaren Netzwerk

HinweisOfficeScan Clients aktualisieren keine Komponenten und wenden keine neuenEinstellungen an, wenn sie Rückmeldungen senden. Reguläre Clients führen dieseAufgaben bei Routine-Updates durch (siehe OfficeScan Client-Updates auf Seite 6-28). Clientsim nicht erreichbaren Netzwerk führen diese Aufgaben während der Server-Abfragendurch.

Mit der Rückmeldefunktion wird das Problem behoben, dass OfficeScan Clients in nichterreichbaren Netzwerken auch dann als offline erscheinen, wenn sie eine Verbindungzum Server aufbauen können.

Eine Einstellung auf der Webkonsole steuert, wie oft Clients Rückmeldungen senden.Falls der Server keine Rückmeldung erhält, behandelt er den Client nicht sofort alsoffline. Eine andere Einstellung steuert, wie viel Zeit ohne Rückmeldung vergehenmuss, bis der Client folgende Zustände annimmt:


14-48

• Offline: Bei normalen Offline-OfficeScan Clients

• Nicht erreichbar/Offline: Bei Offline-OfficeScan Clients im nicht erreichbarenNetzwerk

Bei der Einstellung der Rückmeldungen ist zu berücksichtigen, dass einerseits dieneuesten Client-Statusinformationen angezeigt, andererseits die Systemressourceneffizient gehandhabt werden müssen. Für die meisten Situationen genügt dieStandardeinstellung. Berücksichtigen Sie jedoch Folgendes, wenn Sie Änderungen anden Rückmeldeeinstellungen vornehmen:

TABELLE 14-7. Empfehlungen für Rückmeldungen

ZEITINTERVALL FÜRRÜCKMELDUNGEN

EMPFEHLUNG

Lange IntervallezwischenRückmeldungen (mehrals 60 Minuten)

Je länger das Intervall zwischen den Rückmeldungen ist,desto größer ist die Anzahl der Ereignisse, die eintretenkönnen, bevor der Server den Client-Status auf der Konsoleanzeigt.

Kurze IntervallezwischenRückmeldungen(weniger als 60 Minuten)

Kurze Intervalle liefern einen aktuelleren Client-Status,können jedoch zu einer höheren Bandbreitenauslastungführen.

ServerabfrageMit der Serverabfragefunktion wird das Problem behoben, dass Benachrichtigungenüber Komponenten-Updates und Änderungen an Client-Einstellungen von nichterreichbaren OfficeScan Clients nicht zeitnah empfangen werden. Diese Funktionarbeitet unabhängig von der Rückmeldefunktion.

Mit der Serverabfragefunktion:

• Initiieren OfficeScan Clients automatisch in regelmäßigen Intervallen eineVerbindung zum OfficeScan Server. Wenn der Server bemerkt, dass eine Abfragestattgefunden hat, behandelt er den Client als "Nicht erreichbar/Online".

• Stellen OfficeScan Clients eine Verbindung zu einer oder mehreren ihrer Update-Adressen her, um alle aktualisierten Komponenten herunterzuladen und neueClient-Einstellungen übernehmen. Wenn es sich bei der primären Update-Adresse


14-49

um den OfficeScan Server oder einen Update-Agent handelt, beziehen die Clientssowohl aktualisierte Komponenten als auch neue Einstellungen. Handelt es sich beider Update-Adresse nicht um den OfficeScan Server oder einen Update-Agent,beziehen die Clients nur die aktualisierten Komponenten und verbinden sich dannmit dem OfficeScan Server oder dem Update-Agent, um die neuen Einstellungenabzurufen.

Rückmeldungs- und Serverabfragefunktionen konfigurieren

Prozedur


2. Gehen Sie zum Abschnitt Nicht erreichbares Netzwerk.

3. Konfigurieren Sie die Server-Abfrage-Einstellungen.

Weitere Informationen zum Abfragen des Servers finden Sie unter Serverabfrage aufSeite 14-48.

a. Wenn der OfficeScan Server sowohl über eine IPv4- als auch über eine IPv6-Adresse verfügt, können Sie einen IPv4-Adressraum sowie ein IPv6-Präfixund eine IPv6-Länge angeben.

Geben Sie einen IPv4-Adressraum an, wenn es ein reiner IPv4-Server ist, oderein IPv6-Präfix und eine IPv6-Länge, wenn es sich um einen reinen IPv6-Server handelt.

Wenn die IP-Adresse eines Clients mit einer IP-Adresse in dem Bereichübereinstimmt, wendet der Client die Einstellung zu Rückmeldung undServerabfrage an und der Server behandelt den Client als Teil des nichterreichbaren Netzwerks.


14-50

Hinweis

Clients mit einer IPv4-Adresse können sich mit einem reinen IPv4- oder miteinem Dual-Stack-OfficeScan Server verbinden.

Clients mit einer IPv6-Adresse können sich mit einem reinen IPv6- oder miteinem Dual-Stack-OfficeScan Server verbinden.

Dual-Stack-Clients können sich mit einem Dual-Stack-, einem reinen IPv4-bzw. einem reinen IPv6-OfficeScan Server verbinden.

b. Geben Sie unter Clients fragen den Server nach aktualisiertenKomponenten und Einstellungen ab alle __ Minute(n) die Häufigkeit derAbfrage an. Geben Sie einen Wert zwischen 1 und 129600 Minuten ein.

Tipp

Trend Micro empfiehlt, das Serverabfrageintervall dreimal so groß wie dasRückmeldeintervall zu definieren.

4. Konfigurieren Sie die Rückmeldungseinstellungen.

Weitere Informationen über die Rückmeldungsfunktion finden Sie unterRückmeldung auf Seite 14-47.

a. Wählen Sie die Option Clients dürfen Rückmeldungen an den Serversenden.

b. Wählen Sie die Option Alle Clients oder Nur Clients im nichterreichbaren Netzwerk.

c. Unter Clients senden Rückmeldung alle __ Minuten geben Sie an, wie oftdie Clients eine Rückmeldung senden. Geben Sie einen Wert zwischen 1 und129600 Minuten ein.

d. Unter Ein Client ist offline, wenn er nach __ Minuten keineRückmeldung sendet geben Sie an, wieviel Zeit vergehen muss, bis derOfficeScan Server einen Client als offline einstuft. Geben Sie einen Wertzwischen 1 und 129600 Minuten ein.



14-51

Proxy-Einstellungen für OfficeScan ClientKonfigurieren Sie die OfficeScan Clients, so dass diese die Proxy-Einstellungen beimVerbindungsaufbau mit internen und externen Servern verwenden.

Interner Proxy für OfficeScan Clients

OfficeScan Clients können mit Hilfe der Einstellungen für interne Proxy-Server eineVerbindung zu den folgenden Servern im Netzwerk aufbauen:

• OfficeScan Server-Computer

Auf dem Servercomputer befinden sich der OfficeScan Server und der integrierteSmart Protection Server. OfficeScan Clients bauen eine Verbindung zumOfficeScan Server auf, um Komponenten zu aktualisieren,Konfigurationseinstellungen abzurufen und Protokolle zu senden. OfficeScanClients bauen eine Verbindung zum integrierten Smart Protection Server auf, umSuchanfragen zu senden.

• Smart Protection Server

Smart Protection Server beinhalten alle eigenständigen Smart Protection Serverund den integrierten Smart Protection Server der anderen OfficeScan Server.OfficeScan Clients stellen eine Verbindung zu den Servern her, um Such- undWeb-Reputation-Abfragen zu senden.

Einstellungen für internen Proxy konfigurieren

Prozedur


2. Klicken Sie auf die Registerkarte Interner Proxy.

3. Navigieren Sie zum Abschnitt Client-Verbindung mit dem OfficeScan Server-Computer.


14-52

a. Wählen Sie die Option Die folgenden Proxy-Einstellungen für Client-Verbindungen mit dem OfficeScan Server und dem integrierten SmartProtection Server verwenden.


Hinweis

Geben Sie den Hostnamen eines Dual-Stack Proxy-Servers an, wenn Sie IPv4-und IPv6-Clients haben. Der Grund hierfür ist, dass die internen Proxy-Einstellungen globale Einstellungen sind. Wenn Sie eine IPv4-Adresse angeben,können IPv6-Clients keine Verbindung zum Proxy-Server herstellen. Dasselbetrifft für IPv4-Clients zu.

c. Wenn der Proxy-Server eine Authentifizierung voraussetzt, geben Sie denBenutzernamen und das Kennwort ein. Anschließend bestätigen Sie dasKennwort.

4. Navigieren Sie zum Abschnitt Client-Verbindung mit eigenständigen SmartProtection Servern.

a. Wählen Sie die Option Die folgenden Proxy-Einstellungen für Client-Verbindungen mit eigenständigen Smart Protection Servern verwenden.


c. Wenn der Proxy-Server eine Authentifizierung voraussetzt, geben Sie denBenutzernamen und das Kennwort ein. Anschließend bestätigen Sie dasKennwort.


Externer Proxy für OfficeScan ClientsDer OfficeScan Server und OfficeScan Client können beim Verbindungsaufbau mitServern, die von Trend Micro gehostet werden, Einstellungen für externe Proxy-Serververwenden. In diesem Thema werden die Einstellungen für externe Proxy-Server für


14-53

Clients behandelt. Informationen zu den externen Proxy-Einstellungen für den Serverfinden Sie unter Proxy für das Update des OfficeScan Servers auf Seite 6-19.

Die OfficeScan Clients verwenden die Proxy-Einstellungen, die in Internet Explorerkonfiguriert wurden, um eine Verbindung zum Trend Micro Smart Protection Networkaufzubauen. Wenn eine Proxy-Server-Authentifizierung erforderlich ist, verwenden dieClients die Anmeldedaten für die Proxy-Server-Authentifizierung (Benutzer-ID undKennwort).

Anmeldedaten für die Proxy-Server-Authentifizierungkonfigurieren

Prozedur


2. Klicken Sie auf die Registerkarte Externer Proxy.

3. Navigieren Sie zum Abschnitt Client-Verbindung mit Trend Micro Servern.

4. Geben Sie die Benutzer-ID und das Kennwort für die Authentifizierung am Proxy-Server ein. Die folgenden Proxy-Authentifizierungsprotokolle werden unterstützt:

• Allgemeine Zugriffsauthentifizierung

• Authentifizierung für den zusammenfassenden Zugriff

• Integrierte Windows Authentifizierung


Proxy-Konfiguration - Berechtigungen für Clients

Sie können Client-Benutzern die Berechtigung zur Konfiguration der Proxy-Einstellungen erteilen. OfficeScan Clients verwenden benutzerdefinierte Proxy-Einstellungen nur in folgenden Fällen:

• Wenn OfficeScan Clients "Jetzt aktualisieren" ausführen.


14-54

• Wenn die automatischen Proxy-Einstellungen von den Benutzern deaktiviert odervom OfficeScan Client nicht erkannt werden. Weitere Informationen finden Sieunter Automatische Proxy-Einstellungen für OfficeScan Clients auf Seite 14-55.

Warnung!

Vom Benutzer fehlerhaft konfigurierte Proxy-Einstellungen können zu Update-Problemenführen. Gehen Sie mit Bedacht vor, wenn Sie Benutzern die Erlaubnis zur Konfigurationder Proxy-Einstellungen geben.

Proxy-Konfiguration, Berechtigungen gewähren

Prozedur




4. Gehen Sie auf der Registerkarte Berechtigungen zum Abschnitt Berechtigungenfür die Proxy-Einstellungen.

5. Wählen Sie Der Client-Benutzer darf Proxy-Einstellungen konfigurieren.





14-55


Automatische Proxy-Einstellungen für OfficeScan ClientsDie manuelle Konfiguration der Proxy-Einstellungen kann sich für viele Endbenutzerals schwierig gestalten. Verwenden Sie die automatischen Proxy-Einstellungen. Dadurchwerden die korrekten Proxy-Einstellungen ohne Eingreifen des Benutzers angewendet.

Bei aktivierter Option haben die automatischen Proxy-Einstellungen Vorrang beimautomatischen Update oder bei "Jetzt aktualisieren" auf dem OfficeScan Client-Computer. Informationen über das automatische Update und die Funktion "Jetztaktualisieren" finden Sie unter OfficeScan Client-Update-Methoden auf Seite 6-38.

Kann der OfficeScan Client mit den automatischen Proxy-Einstellungen keineVerbindung aufbauen, können entsprechend berechtigte Client-Benutzer dieEinstellungen selbst konfigurieren. Andernfalls schlägt der Verbindungsaufbau über dieautomatischen Proxy-Einstellungen fehl.

HinweisDie Proxy-Authentifizierung wird nicht unterstützt.

Automatische Proxy-Einstellungen konfigurieren

Prozedur


2. Gehen Sie zum Abschnitt Proxy-Konfiguration.

3. Wählen Sie Einstellungen automatisch erkennen, wenn Sie möchten, dassOfficeScan die vom Administrator konfigurierten Proxy-Einstellungen automatischüber DHCP oder DNS erkennt.

4. Wenn Sie möchten, dass OfficeScan das vom Netzwerkadministrator erstelltePAC-Skript (Proxy Auto-Configuration) verwendet, um den zuständigen Proxy-Server zu ermitteln:


14-56

a. Wählen Sie Automatisches Konfigurationsskript verwenden.

b. Geben Sie die Adresse für das PAC-Skript ein.


OfficeScan Client-Informationen anzeigenDas Fenster 'Status anzeigen' enthält u. a. wichtige Hinweise zu den Berechtigungen,Programmversionen und Systemereignissen auf den OfficeScan Clients.

Prozedur



3. Klicken Sie auf Status.

4. Erweitern Sie den Namen des Client-Computers, um dessen Status anzuzeigen.Wenn mehrere Clients ausgewählt sind, klicken Sie auf Alle anzeigen, umStatusinformationen zu allen ausgewählten Clients anzuzeigen.

5. (Optional) Über die Schaltfläche Zurücksetzen kann der Sicherheitsrisiken-Zählerauf Null zurückgesetzt werden.

Client-Einstellungen importieren undexportieren

Mit OfficeScan können Sie Einstellungen der Client-Hierarchie, die von einembestimmten OfficeScan Client oder einer Domäne angewendet werden, in eine Dateiexportieren. Diese Datei können Sie dann importieren, um die Einstellungen auf andereClients und Domänen oder einen anderen OfficeScan Server mit derselben Versionangewendet werden können.


14-57

Alle Einstellungen der Client-Hierarchie, mit Ausnahme der Update-Agent-Einstellungen, werden exportiert.

Client-Einstellungen exportieren

Prozedur



3. Klicken Sie auf Einstellungen > Einstellungen exportieren.

4. Um die Einstellungen für die ausgewählten OfficeScan Clients oder Domänenanzuzeigen, klicken Sie auf den entsprechenden Link.

5. Klicken Sie auf Exportieren, um die Einstellungen zu speichern.

Die Einstellungen werden in einer DAT-Datei gespeichert.

6. Klicken Sie auf Speichern, und geben Sie anschließend den Speicherort fürdie .DAT-Datei an.


Client-Einstellungen importieren

Prozedur



3. Klicken Sie auf Einstellungen > Einstellungen importieren.

4. Klicken Sie auf Durchsuchen, um die .DAT-Datei auf dem Computer ausfindig zumachen, und klicken Sie auf Importieren.


14-58

Die Seite Einstellungen importieren mit einer Übersicht der Einstellungen wirdangezeigt.

5. Klicken Sie auf einen der Links, um Einzelheiten über die zu importierendenSucheinstellungen oder Berechtigungen anzuzeigen.

6. Importieren Sie die Einstellungen.

• Wenn Sie das Root-Domänen-Symbol angeklickt haben, wählen Sie Auf alleDomänen anwenden und dann Auf Zielcomputer anwenden.

• Wenn Sie Domänen ausgewählt haben, wählen Sie Auf alle Computer derausgewählten Domäne(n) anwenden und dann Auf Ziel anwenden.

• Wenn Sie mehrere Clients ausgewählt haben, wählen Sie Auf Ziel anwenden.

Einhaltung von SicherheitsrichtlinienVerwenden Sie die Einhaltung von Sicherheitsrichtlinien, um Schwachstellen zuermitteln, Lösungen zu verteilen und die Sicherheitsinfrastruktur zu verwalten. DieseFunktion vermindert die erforderliche Zeit, um die Netzwerkumgebung zu sichern undeinen Ausgleich zwischen dem Wunsch nach Sicherheit und Funktionalität in einemUnternehmen zu finden.

Einhaltung der Sicherheitsrichtlinien für zwei Computertypen erzwingen:

• Verwaltet: Computer mit OfficeScan Clients, die vom OfficeScan Server verwaltetwerden. Weitere Informationen finden Sie unter Einhaltung der Sicherheitsrichtlinien fürverwaltete Clients auf Seite 14-59.

• Nicht verwaltet: Darin enthalten:

• OfficeScan Clients, die nicht vom OfficeScan Server verwaltet werden

• Computer ohne installierte OfficeScan Clients

• Computer, die der OfficeScan Server nicht erreichen kann

• Computer, deren Sicherheitsstatus nicht überprüft werden kann


14-59

Weitere Informationen finden Sie unter Einhaltung der Sicherheitsrichtlinien fürnicht verwaltete Endpunkte auf Seite 14-72.

Einhaltung der Sicherheitsrichtlinien für verwalteteClients

Die Einhaltung der Sicherheitsrichtlinien erstellt einen Bericht zur Einhaltung vonRichtlinien, der Ihnen dabei hilft, den Sicherheitsstatus der vom OfficeScan Serververwalteten OfficeScan Clients einzuschätzen. Die Einhaltung der Sicherheitsrichtlinienerstellt diesen Bericht auf Anforderung oder gemäß Zeitplan.

Bedarfs- und zeitgesteuerte Berichte sind im Fenster des Berichts zur Einhaltung derSicherheitsrichtlinien verfügbar. Das Fenster enthält folgende Registerkarten:

• Dienste: Verwenden Sie diese Registerkarte, um zu überprüfen, ob die Client-Dienste funktionieren. Weitere Informationen finden Sie unter Dienste auf Seite14-60.

• Komponenten: Verwenden Sie diese Registerkarte, um zu überprüfen, ob dieOfficeScan Clients über Update-Komponenten verfügen. Weitere Informationenfinden Sie unter Komponenten auf Seite 14-62.

• Einhaltung von Suchrichtlinien: Verwenden Sie diese Registerkarte, um zuüberprüfen, ob auf den OfficeScan Clients regelmäßig die Suchfunktion ausgeführtwird. Weitere Informationen finden Sie unter Einhaltung von Suchrichtlinien auf Seite14-64.

• Einstellungen: Verwenden Sie diese Registerkarte, um zu überprüfen, ob dieEinstellungen mit den Einstellungen auf dem Server übereinstimmen. WeitereInformationen finden Sie unter Einstellungen auf Seite 14-66.

Hinweis

Die Registerkarte Komponenten zeigt OfficeScan Clients, auf denen aktuelle oder frühereProduktversionen laufen. Auf den anderen Registerkarten werden nur OfficeScan Clientsangezeigt, auf denen Version 10.5, 10.6 oder höher ausgeführt wird.

Hinweise zum Bericht zur Einhaltung von Richtlinien


14-60

• Die Einhaltung der Sicherheitsrichtlinien fragt den Verbindungsstatus desOfficeScan Clients ab, bevor sie einen Bericht zur Einhaltung von Richtlinienerstellt. Der Bericht umfasst Online- und Offline-Clients, jedoch keine Roaming-Clients.

• Bei rollenbasierten Benutzerkonten:

• Für jedes Webkonsolen-Benutzerkonto gelten völlig unterschiedlicheEinstellungen für den Bericht zur Einhaltung von Richtlinien. Änderungendieser Einstellungen haben keine Auswirkung auf die Einstellungen deranderen Benutzerkontos.

• Der Umfang des Berichts ist abhängig von den Berechtigungen der Client-Domäne für dieses Benutzerkonto. Wenn Sie zum Beispiel einemBenutzerkonto die Berechtigung zur Verwaltung der Domänen A und Bgewähren, zeigen die Berichte für dieses Benutzerkonto nur Daten vonClients aus den Domänen A und B.

Weitere Informationen zu Benutzerkonten finden Sie unter RollenbasierteAdministration auf Seite 13-2.

Dienste

Die Einhaltung der Sicherheitsrichtlinien überprüft, ob die folgenden OfficeScan Client-Dienste funktionieren:

• Virenschutz

• Anti-Spyware

• Firewall

• Web-Reputation

• Verhaltensüberwachung/Gerätekontrolle (auch bezeichnet als Trend MicroUnauthorized Change Prevention Service)

• Datenschutz


14-61

Ein nicht richtlinienkonformer Client wird im Bericht zur Einhaltung von Richtlinienmindestens zwei Mal gezählt.

ABBILDUNG 14-3. Registerkarte Bericht zur Einhaltung von Richtlinien - Dienste

• In der Kategorie Computer mit nicht richtlinienkonformen Diensten

• In der Kategorie, in welcher der OfficeScan Client nicht richtlinienkonform ist.Wenn zum Beispiel der Antiviren-Dienst nicht funktioniert, wird der OfficeScanClient in der Kategorie Virenschutz gezählt. Wenn mehr als ein Dienst nichtfunktioniert, wird der Client in jeder Kategorie gezählt, in welcher er nichtrichtlinienkonform ist.

Starten Sie die nicht funktionierenden Dienste über die Webkonsole oder über denOfficeScan Client-Computer. Wenn die Client-Dienste nach dem Neustartfunktionieren, wird der Client bei der nächsten Bewertung nicht mehr als nichtrichtlinienkonform angezeigt.


14-62

Komponenten

Bei der Prüfung der Richtlinieneinhaltung der Komponenten wird ermittelt, ob esInkonsistenzen bei der Komponentenversion zwischen dem OfficeScan Server und denOfficeScan Clients gibt. Inkonsistenzen treten üblicherweise dann auf, wenn die Clientskeine Verbindung zum Server aufbauen können, um die Komponenten zu aktualisieren.Wenn der Client Updates von einer anderen Quelle erhält (wie etwa dem Trend MicroActiveUpdate Server), kann es vorkommen, dass die Version einer Komponente aufdem Client neuer ist als die Version auf dem Server.

Die Einhaltung der Sicherheitsrichtlinien überprüft folgende Komponenten:

• Agent-Pattern der intelligenten Suche

• Viren-Pattern

• IntelliTrap Pattern


• Viren Scan Engine

• Spyware-Pattern

• Spyware-Aktivmonitor-Pattern

• Spyware-Scan-Engine

• Viren-Cleanup-Template

• Viren-Cleanup-Engine

• Allgemeines Firewall-Pattern

• Allgemeiner Firewall-Treiber

• Treiber der Verhaltensüberwachung

• Kerndienst derVerhaltensüberwachung

• Konfigurations-Pattern derVerhaltensüberwachung

• Pattern für digitale Signaturen

• Pattern der Richtlinendurchsetzung

• Erkennungs-Pattern derVerhaltensüberwachung

• Programmversion

• C&C-IP-Liste


14-63


ABBILDUNG 14-4. Registerkarte Bericht zur Einhaltung der Richtlinien - Komponenten

• In der Kategorie Computer mit inkonsistenten Komponentenversionen

• In der Kategorie, in welcher der Client nicht richtlinienkonform ist. Wenn zumBeispiel die Version des Agent-Pattern der intelligenten Suche nicht mit derVersion auf dem Server übereinstimmt, wird der Client in der Kategorie Patternder intelligenten Suche gezählt. Wenn mehr als eine Komponente nichtübereinstimmt, wird der Client in jeder Kategorie gezählt, in welcher er nichtrichtlinienkonform ist.

Um inkonsistente Komponentenversionen zu vermeiden, aktualisieren Sie veralteteKomponenten auf den Clients oder dem Server.


14-64

Einhaltung von Suchrichtlinien

Die Einhaltung von Sicherheitsrichtlinien überprüft, ob die Sofort- oder diezeitgesteuerte Suche regelmäßig ausgeführt und diese Suchläufe innerhalb einerangemessenen Zeit abgeschlossen werden.

HinweisDie Einhaltung der Sicherheitsrichtlinien kann den Status der zeitgesteuerten Suche nurberichten, wenn die zeitgesteuerte Suche auf den Clients aktiviert.

Die Einhaltung der Sicherheitsrichtlinien verwendet folgende Kriterien der Einhaltungder Suchrichtlinien:

• In den letzten (x) Tagen wurde weder eine "Jetzt durchsuchen"-Suche nocheine zeitgesteuerte Suche durchgeführt: Ein OfficeScan Client ist nichtrichtlinienkonform, wenn er innerhalb der angegebenen Anzahl von Tagen keine"Jetzt durchsuchen"-Suche oder zeitgesteuerte Suche durchgeführt hat.

• "Jetzt durchsuchen" oder zeitgesteuerte Suche dauert länger als (x)Stunde(n): Ein OfficeScan Client ist nicht richtlinienkonform, wenn die "Jetztdurchsuchen"-Suche oder zeitgesteuerte Suche länger als die angegebene Anzahlvon Stunden gedauert hat.


14-65


ABBILDUNG 14-5. Registerkarte Bericht zur Einhaltung von Richtlinien - Einhaltung derSuchrichtlinien

• In der Kategorie Computer mit veralteten Virensuchfunktionen

• In der Kategorie, in welcher der Client nicht richtlinienkonform ist. Wenn dieletzte zeitgesteuerte Suche zum Beispiel länger als die angegebene Anzahl vonStunden gedauert hat, wird der Client in der Kategorie Sofortsuche oderzeitgesteuerte Suche wurde überschritten um <x> Stunden gezählt. Wenn derClient mehr als ein Kriterium der Einhaltung von Suchrichtlinien erfüllt, wird er injeder Kategorie gezählt, in welcher er nicht richtlinienkonform ist.

Führen Sie "Jetzt durchsuchen" oder die zeitgesteuerte Suche auf Clients aus, auf denendie Suchaufgaben noch nicht ausgeführt wurden oder die nicht in der Lage waren, dieSuche abzuschließen.


14-66

Einstellungen

Die Einhaltung von Sicherheitsrichtlinien stellt fest, ob Clients oder derenübergeordnete Domänen in der Client-Hierarchie dieselben Einstellungen haben. DieEinstellungen stimmen möglicherweise nicht überein, wenn Sie einen Client in eineandere Domäne verschieben, für die andere Einstellungen gelten, oder wenn ein Client-Benutzer mit bestimmten Berechtigungen die Einstellungen auf der OfficeScan Client-Konsole manuell konfiguriert hat.

OfficeScan überprüft die folgenden Einstellungen:

• Suchmethode




• Einstellungen für 'Jetzt durchsuchen'

• Berechtigungen und andereEinstellungen


• Web-Reputation




• Einstellungen für 'Prävention vorDatenverlust'


14-67


ABBILDUNG 14-6. Registerkarte Bericht zur Einhaltung der Richtlinien - Einstellungen

• In der Kategorie Computer mit inkonsistenten Konfigurationseinstellungen

• In der Kategorie, in welcher der Client nicht richtlinienkonform ist. Wenn zumBeispiel die Einstellungen der Suchmethode in der Client-Domäne und seinerübergeordneten Domäne nicht übereinstimmen, wird der Client in der KategorieSuchmethode gezählt. Wenn mehr als eine Reihe von Einstellungen nichtübereinstimmt, wird der Client in jeder Kategorie gezählt, in welcher er nichtrichtlinienkonform ist.

Um inkonsistente Einstellungen zu vermeiden, wenden Sie die Domäneneinstellungenauf den Client an.


14-68

Bedarfsgesteuerte Berichte zur Einhaltung vonRichtlinien

Einhaltung der Sicherheitsrichtlininen kann bei Bedarf Berichte zur Einhaltung vonRichtlinien erstellen. Berichte helfen Ihnen dabei, den Sicherheitsstatus der vomOfficeScan Server verwalteten OfficeScan Clients einzuschätzen.

Weitere Informationen zu Berichten zur Einhaltung von Richtlinien finden Sie unterEinhaltung der Sicherheitsrichtlinien für verwaltete Clients auf Seite 14-59.

Einen bedarfsgesteuerten Bericht zur Einhaltung vonRichtlininen erstellen

Prozedur

1. Navigieren Sie zu Einhaltung von Sicherheitsrichtlinien > Bewertung derEinhaltung von Richtlinien > Bericht zur Einhaltung von Richtlinien.

2. Gehen Sie zum Abschnitt Client-Hierarchiebereich.

3. Wählen Sie die Root-Domäne oder eine andere Domäne, und klicken Sie aufBewerten.

4. Berichte zur Richtlinieneinhaltung für Client-Dienste anzeigen.

Weitere Informationen zu Client-Diensten finden Sie im Abschnitt Dienste auf Seite14-60.

a. Klicken Sie auf die Registerkarte Services.

b. Überprüfen Sie unter Computer mit nicht richtlinienkonformen Dienstendie Anzahl der Clients mit nicht richtlinienkonformen Diensten.

c. Klicken Sie auf eine verlinkte Zahl, um alle in der Client-Hierarchiebetroffenen Clients anzuzeigen.

d. Wählen Sie die Clients aus dem Ergebnis der Abfrage.

e. Klicken Sie auf OfficeScan Client neu starten, um den Service neu zustarten.


14-69

HinweisWenn nach der Durchführung einer weiteren Bewertung die Clients immernoch als nicht richtlinienkonform angezeigt werden, starten Sie den Service aufdem Client manuell neu.

f. Um die Liste der Clients als Datei zu speichern, klicken Sie auf Exportieren.

5. Berichte zur Richtlinieneinhaltung für Client-Komponenten anzeigen.

Weitere Informationen über Client-Komponenten finden Sie unter Komponenten aufSeite 14-62.

a. Klicken Sie auf die Registerkarte Komponenten.

b. Überprüfen Sie unter Computer mit inkonsistentenKomponentenversionen die Anzahl der Clients mitKomponentenversionen, die mit den Versionen auf dem Server nichtübereinstimmen.


HinweisWenn mindestens ein Client über eine aktuellere Komponente als derOfficeScan Server verfügt, aktualisieren Sie den OfficeScan Server manuell.


e. Klicken Sie auf Jetzt aktualisieren, um durchzusetzen, dass die Clients dieKomponenten herunterladen.

Hinweis

• Um sicherzustellen, dass Clients das Client-Programm upgraden können,deaktivieren Sie die Option Clients können Komponentenaktualisieren, aber kein Upgrade des Clients durchführen oderHotfixes verteilen unter Netzwerkcomputer > Client-Verwaltung >Einstellungen > Berechtigungen und andere Einstellungen.

• Starten Sie den Computer neu, und klicken Sie nicht auf Jetztaktualisieren, um den Treiber für die allgemeine Firewall zu aktualisieren.


14-70


6. Berichte zur Richtlinieneinhaltung für Suchvorgänge anzeigen.

Weitere Informationen zu Suchvorgängen finden Sie unter Einhaltung vonSuchrichtlinien auf Seite 14-64.

a. Klicken Sie auf die Registerkarte Einhaltung von Suchrichtlinien.

b. Konfigurieren Sie unter Computer mit veralteten Virensuchfunktionenfolgende Einstellung:

• Die Anzahl der Tage, die ein Client keine Suche oder zeitgesteuerteSuche durchgeführt hat

• Die Anzahl der Stunden, in denen eine Sofortsuche oder einezeitgesteuerte Suche durchgeführt wurde

Hinweis

Wenn die Anzahl der Tage oder Stunden überschritten ist, wird der Clientals nicht konform betrachtet.

c. Klicken Sie auf Bewerten neben dem Abschnitt Client-Hierarchiebereich.

d. Überprüfen Sie unter Computer mit veralteten Virensuchfunktionen dieAnzahl der Clients, welche die Suchkriterien erfüllen.

e. Klicken Sie auf eine verlinkte Zahl, um alle in der Client-Hierarchiebetroffenen Clients anzuzeigen.

f. Wählen Sie die Clients aus dem Ergebnis der Abfrage.

g. Klicken Sie auf Jetzt durchsuchen, um die Clients sofort zu durchsuchen.

Hinweis

Um zu verhindern, dass die Suche wiederholt wird, wird die Option Sofortdurchsuchen deaktiviert, wenn sie länger als die angegebene Anzahl vonStunden dauert.

h. Um die Liste der Clients als Datei zu speichern, klicken Sie auf Exportieren.


14-71

7. Berichte zur Richtlinieneinhaltung für Einstellungen anzeigen.

Weitere Informationen zu Einstellungen finden Sie unter Einstellungen auf Seite14-66.

a. Klicken Sie auf die Registerkarte Einstellungen.

b. Überprüfen Sie unter Computer mit inkonsistentenKonfigurationseinstellungen die Anzahl der Clients mit Einstellungen, diemit den Domänen-Einstellungen in der Client-Hierarchie nichtübereinstimmen.



e. Klicken Sie auf Domäneneinstellungen übernehmen.


Zeitgesteuerte Berichte zur Einhaltung von RichtlinienEinhaltung der Sicherheitsrichtlinien kann zeitgesteuerte Berichte zur Einhaltung vonRichtlinien erstellen. Berichte helfen Ihnen dabei, den Sicherheitsstatus der vomOfficeScan Server verwalteten OfficeScan Clients einzuschätzen.

Weitere Informationen zu Berichten zur Einhaltung von Richtlinien finden Sie unterEinhaltung der Sicherheitsrichtlinien für verwaltete Clients auf Seite 14-59.

Einstellungen für zeitgesteuerte Berichte zur Einhaltung vonRichtlinien konfigurieren

Prozedur

1. Navigieren Sie zu Einhaltung von Sicherheitsrichtlinien > Bewertung derEinhaltung von Richtlinien > Zeitgesteuerter Bericht zur Einhaltung vonRichtlinien.


14-72

2. Wählen Sie die Option Zeitgesteuerte Berichterstellung aktivieren.

3. Geben Sie einen Titel für den Bericht an.

4. Wählen Sie eine oder alle der folgenden Einstellungen:

• Dienste auf Seite 14-60

• Komponenten auf Seite 14-62

• Einhaltung von Suchrichtlinien auf Seite 14-64

• Einstellungen auf Seite 14-66

5. Geben Sie die E-Mail-Adresse(n) an, die Benachrichtigungen über zeitgesteuerteBerichte zur Einhaltung von Richtlinien erhalten sollen.

Hinweis

Konfigurieren Sie E-Mail-Benachrichtigungseinstellungen, um sicherzustellen, dassdie E-Mail-Benachrichtigungen erfolgreich versendet werden können. WeitereInformationen finden Sie unter Einstellungen für die Administratorbenachrichtigungen aufSeite 13-33.

6. Geben Sie den Zeitplan an.


Einhaltung der Sicherheitsrichtlinien für nicht verwalteteEndpunkte

Die Einhaltung der Sicherheitsrichtlinien kann nicht verwaltete Endpunkte imNetzwerk, in dem sich der OfficeScan Server befindet, abfragen. Verwenden Sie ActiveDirectory und IP-Adressen zur Abfrage von Endpunkten.

Folgende Sicherheitszustände nicht verwalteter Endpunkte sind möglich:


14-73

TABELLE 14-8. Sicherheitsstatus nicht verwalteter Endpunkte

STATUS BESCHREIBUNG

Von einem anderenOfficeScan Serververwaltet

Die OfficeScan Clients, die auf den Computern installiertwurden, werden von einem anderen OfficeScan Serververwaltet. OfficeScan Clients sind online, und auf ihnen wirdentweder diese oder eine frühere Version von OfficeScanausgeführt.

Kein OfficeScan Clientinstalliert

Der OfficeScan Client ist nicht auf dem Computer installiert.

Nicht erreichbar Der OfficeScan Server kann keine Verbindung zum Computeraufbauen und dessen Sicherheitsstatus ermitteln.

Ungelöste ActiveDirectory-Auswertung

Der Computer befindet sich in einer Active-Directory-Domäne,aber der OfficeScan Server kann dessen Sicherheitsstatusnicht ermitteln.

HinweisDie OfficeScan Server-Datenbank enthält eine Liste derClients, die der Server verwaltet. Der Server fragt ActiveDirectory nach der GUID der Computer ab und vergleichtdie erhaltenen Werte mit den GUIDs, die in derDatenbank gespeichert sind. Wenn eine GUID nicht inder Datenbank enthalten ist, fällt sie in die Kategorie"Ungelöste Active Directory-Auswertung".

Um eine Sicherheitsbewertung zu starten, führen Sie folgende Aufgaben durch:

1. Legen Sie den Abfragebereich fest. Weitere Informationen finden Sie unter ActiveDirectory/IP-Adressbereich und Abfrage definieren auf Seite 14-74.

2. Überprüfen Sie ungeschützte Computer anhand der Suchabfrageergebnisse.Weitere Informationen finden Sie unter Abfrageergebnisse anzeigen auf Seite 14-76.

3. Installieren Sie den OfficeScan Client. Weitere Informationen finden Sie unterInstallation bei Einhaltung von Sicherheitsrichtlinien auf Seite 5-66.

4. Konfigurieren Sie zeitgesteuerte Abfragen. Weitere Informationen finden Sie unterBewertung zeitgesteuerter Abfragen konfigurieren auf Seite 14-78.


14-74

Active Directory/IP-Adressbereich und Abfrage definierenDefinieren Sie bei der ersten Abfrage den Active-Directory-/IP-Adressbereich, der dieActive-Directory-Objekte und die IP-Adressen enthält, die der OfficeScan Server beiBedarf periodisch abfragt.hen querying for the first time, define the Active Directory/IPaddress scope, which includes Active Directory objects and IP addresses that theOfficeScan server will query on demand or periodically. Starten Sie nach der Definitiondes Bereichs den Abfrageprozess.

HinweisUm einen Active-Directory-Bereich festzulegen, muss OfficeScan zuerst in ActiveDirectory integriert werden. Weitere Informationen zur Integration finden Sie unter ActiveDirectory-Integration auf Seite 2-34.

Prozedur


2. Klicken Sie im Abschnitt Active-Directory-/IP-Adressbereich auf Definieren.Es öffnet sich ein neues Fenster.

3. Einen Active-Directory-Bereich festlegen:

a. Gehen Sie zum Abschnitt Active-Directory-Bereich.

b. Wählen Sie Bedarfsgesteuerte Bewertung verwenden, umEchtzeitabfragen durchzuführen und genauere Ergebnisse zu erhalten. WennSie diese Option deaktivieren, fragt OfficeScan die Datenbank ab und nichtjeden OfficeScan Client. Nur die Datenbank abzufragen, ist zwarmöglicherweise schneller, aber weniger genau.

c. Wählen Sie die Objekte, die abgefragt werden sollen. Wenn Sie die Abfragezum ersten Mal ausführen, wählen Sie ein Objekt mit weniger als 1.000Konten, und notieren Sie dann, wie lange die Abfrage gedauert hat.Verwenden Sie diesen Wert als Leistungsbenchmark.

4. Einen IP-Adressbereich festlegen:

a. Gehen Sie zum Abschnitt IP-Adressbereich.


14-75

b. Wählen Sie IP-Adressbereich aktivieren.

c. Geben Sie einen IP-Adressbereich an. Klicken Sie auf die Plus- oder Minus-Schaltfläche, um IP-Adressbereiche hinzuzufügen oder zu löschen.

• Für einen reinen IPv4-OfficeScan Server geben Sie einen IPv4-Adressbereichan.

• Für einen reinen IPv6-OfficeScan Server geben Sie ein IPv6-Präfix und eineIPv6-Länge an.

• Für einen Dual-Stack-OfficeScan Server geben Sie einen IPv4-Adressbereichund/oder ein IPv6-Präfix und eine IPv6-Länge an.

Der IPv6-Adressbereich ist auf 16 Bit begrenzt und damit ähnlich begrenztwie IPv4-Adressbereiche. Die Präfixlänge sollte deshalb zwischen 112 und128 Zeichen liegen.

TABELLE 14-9. Präfixlängen und Anzahl von IPv6-Adressen

LÄNGE ANZAHL VON IPV6-ADRESSEN

128 2

124 16

120 256

116 4,096

112 65,536

5. Geben Sie unter "Erweiterte Einstellungen" die von den OfficeScan Servern für dieKommunikation mit den Clients verwendeten Ports an. Setup erzeugt diePortnummern während der Installation des OfficeScan Servers nach demZufallsprinzip.

Um den vom OfficeScan Server verwendeten Kommunikationsport anzuzeigen,navigieren Sie zu Netzwerkcomputer > Client-Verwaltung, und wählen Sie eineDomäne aus. Die Portnummer steht neben der Spalte für die IP-Adresse. TrendMicro empfiehlt, eine Liste der Portnummern aufzubewahren.

a. Klicken Sie auf Ports angeben.


14-76

b. Geben Sie die Portnummer ein, und klicken Sie auf Hinzufügen.Wiederholen Sie diesen Schritt, bis Sie alle Portnummern haben, diehinzugefügt werden sollen.


6. Um die Konnektivität eines Computers mit Hilfe einer bestimmten Portnummerzu überprüfen, wählen Sie Computer durch Überprüfen des Ports <x> alsnicht erreichbar deklarieren. Wenn die Verbindung nicht aufgebaut wird,behandelt OfficeScan den Computer sofort als nicht erreichbar. DieStandardportnummer lautet 135.

Wenn Sie diese Einstellung aktivieren, wird die Abfrage beschleunigt. Wenn dieVerbindung zu einem Computer nicht aufgebaut werden kann, muss derOfficeScan Server nicht mehr all die anderen Aufgaben zurVerbindungsüberprüfung durchführen, bevor ein Computer als nicht erreichbareingestuft wird.

7. Um den Bereich zu speichern und die Abfrage zu starten, klicken Sie aufSpeichern und erneut bewerten. Um die Einstellungen nur zu speichern, klickenSie auf Nur speichern. Im Fenster "Ausgelagerte Serververwaltung" wird dasErgebnis der Abfrage angezeigt.

HinweisDie Abfrage nimmt u. U. viel Zeit in Anspruch, besonders bei einem großenAbfrageumfang. Führen Sie keine andere Abfrage durch, bis im Fenster"Ausgelagerte Serververwaltung" das Ergebnis angezeigt wird. Andernfalls wird dieaktuelle Abfragesitzung beendet, und der Abfrageprozess startet erneut.

Abfrageergebnisse anzeigenDas Ergebnis der Abfrage wird im Abschnitt "Sicherheitsstatus" angezeigt. Ein nichtverwalteter Endpunkt kann einen der folgenden Zustände annehmen:

• Von einem anderen OfficeScan Server verwaltet

• Kein OfficeScan Client installiert

• Nicht erreichbar


14-77

• Ungelöste Active Directory-Auswertung

Empfohlene Aufgaben

1. Klicken Sie im Abschnitt Sicherheitsstatus auf einen Link mit einer Anzahl, umalle betroffenen Computer anzuzeigen.

2. Durchsuchen Sie mit der Suchfunktion und der erweiterten Suchfunktion nur dieComputer, die die Suchkriterien erfüllen, und zeigen Sie diese an.

Wenn Sie die erweiterte Suchfunktion verwenden, geben Sie die folgendenInformationen an:

• IPv4-Adressbereich

• IPv6-Präfix und -Länge (Präfix sollte zwischen 112 und 128 Zeichen langsein)

• Computername

• OfficeScan Server-Name

• Active Directory-Struktur

• Sicherheitsstatus

OfficeScan gibt kein Ergebnis zurück, wenn der Name unvollständig ist.Verwenden Sie das Platzhalterzeichen (*), wenn Sie den vollständigen Namen nichtgenau kennen.

3. Klicken Sie auf Exportieren, um die Liste der Computer in einer Datei zuspeichern.

4. Bei OfficeScan Clients, die von einem anderen OfficeScan Server verwaltetwerden, verwenden Sie das Client Mover Tool, damit diese OfficeScan Clients vomaktuellen OfficeScan Server verwaltet werden. Weitere Informationen zu diesemTool finden Sie unter Client Mover auf Seite 14-23.


14-78

Bewertung zeitgesteuerter Abfragen konfigurieren

Konfigurieren Sie den OfficeScan Server für periodische Abfragen von Active Directoryund IP-Adressen, um sicherzustellen, dass die Sicherheitsrichtlinien implementiertwurden.

Prozedur


2. Klicken Sie auf Einstellungen oben in der Client-Hierarchie.

3. Aktivieren Sie die zeitgesteuerte Abfrage.

4. Geben Sie den Zeitplan an.


Unterstützung für Trend Micro Virtual DesktopSie können den Schutz virtueller Desktop durch Verwenden von Trend Micro VirtualDesktop Support optimieren. Diese Funktion steuert Aufgaben auf OfficeScan Clients,die sich auf einem einzelnen virtuellen Server befinden.

Wenn mehrere Desktops auf einem einzelnen Server ausgeführt und On-Demand-Sucheoder Komponenten-Updates durchgeführt werden, wird ein signifikanter Teil derSystemressourcen verbraucht. Verwenden Sie diese Funktion, um Clients daran zuhindern, Suchläufe und Komponenten-Updates gleichzeitig auszuführen.

Wenn z. B. auf einem VMware vCenter Server drei virtuelle Desktops mit OfficeScanClients ausgeführt werden, kann OfficeScan gleichzeitig auf allen drei Clients "Jetztdurchsuchen" aufrufen und Updates installieren. Die Unterstützung von VirtualDesktop erkennt, dass sich alle Clients auf demselben physischen Server befinden.Durch die Unterstützung von Virtual Desktop ist es möglich, dass eine Aufgabe aufdem ersten Client läuft und dieselbe Aufgabe auf den beiden anderen Clientsaufgeschoben wird, bis auf dem ersten Client die Aufgabe beendet wurde.


14-79

Virtual Desktop Support kann auf den folgenden Plattformen verwendet werden:

• VMware vCenter™ (VMware View™)

• Citrix™ XenServer™ (Citrix XenDesktop™)

• Microsoft Hyper-V™ Server

Weitere Details zu diesen Plattformen finden Sie auf den Websites VMware View, CitrixXenDesktop oder Microsoft Hyper-V.

Verwenden Sie das VDI Tool zur Generierung von Prescan-Vorlagen von OfficeScan,um die On-Demand-Suche zu optimieren oder GUIDs von Basis- oder Golden Imageszu entfernen.

Installation von Virtual Desktop SupportVirtual Desktop Support ist eine native Funktion in OfficeScan, die aber separatlizenziert wird. Nach der Installation des OfficeScan Servers ist diese Funktion zwarvorhanden, aber sie ist noch nicht funktionsfähig. Zur Installation dieser Funktion musseine Datei vom ActiveUpdate Server (oder, falls vorhanden, von einerbenutzerdefinierten Update-Adresse) heruntergeladen werden. Sobald diese Datei in denOfficeScan Server integriert ist, können Sie Virtual Desktop Support aktivieren, um alleFunktionen zu nutzen. Installation und Aktivierung werden vom Plug-In Managerdurchgeführt.

Hinweis

Virtual Desktop Support wird in reinen IPv6-Umgebungen nicht vollständig unterstützt.Weitere Informationen finden Sie unter Einschränkungen bei reinen IPv6-Servern auf SeiteA-3.

Unterstützung von Virtual Desktop installieren

Prozedur


http://www.vmware.com/products/view/overview.html

http://www.citrix.com/virtualization/desktop/xendesktop.html

http://www.citrix.com/virtualization/desktop/xendesktop.html

http://www.microsoft.com/en-us/server-cloud/hyper-v-server/default.aspx


14-80

2. Navigieren Sie im Fenster Plug-in Manager zum Abschnitt Unterstützung fürTrend Micro Virtual Desktop, und klicken Sie auf Download.

Die Größe des Pakets wird neben der Schaltfläche Download angezeigt.

Der Plug-In Manager speichert das heruntergeladene Paket unter <Installationsordnerdes Servers>\PCCSRV\Download\Product.

HinweisWenn der Plug-In Manager die Datei nicht herunterladen kann, wiederholt er denVersuch automatisch nach 24 Stunden. Um manuell zu veranlassen, dass der Plug-InManager das Paket herunterlädt, starten Sie den OfficeScan Plug-In Manager Serviceüber die Microsoft Management-Konsole neu.

3. Verfolgen Sie den Download-Fortschritt. Sie können während des Downloads zuanderen Fenstern navigieren.

Treten beim Download des Pakets Probleme auf, überprüfen Sie die Server-Update-Protokolle auf der OfficeScan Produktkonsole. Klicken Sie im Hauptmenüauf Protokolle > Server-Update-Protokolle.

Nachdem der Plug-In Manager die Datei heruntergeladen hat, wird VirtualDesktop Support in einem neuen Fenster angezeigt.

HinweisWenn Virtual Desktop Support nicht angezeigt wird, finden Sie unter Fehlerbehebungbei Plug-In Manager auf Seite 15-10 mögliche Ursachen und Lösungen.

4. Um Virtual Desktop Support sofort zu installieren, klicken Sie auf Jetztinstallieren. Die Installation zu einem späteren Zeitpunkt durchführen:

a. Klicken Sie auf Später installieren.

b. Öffnen Sie das Fenster Plug-in Manager.

c. Gehen Sie zum Abschnitt Trend Micro Virtual Desktop Support, undklicken Sie auf Installieren.

5. Lesen Sie die Lizenzvereinbarung und akzeptieren Sie die Bedingungen, indem Sieauf Stimme zu klicken.


14-81

Die Installation wird gestartet.

6. Überwachen Sie den Installationsfortschritt. Nach der Installation wird dieentsprechende Version von Virtual Desktop Support angezeigt.

Virtual Desktop Support Lizenz

Verwenden Sie Plug-In Manager, um die Lizenz für Virtual Desktop Supportanzuzeigen, zu aktivieren und zu verlängern.

Fordern Sie von Trend Micro den Aktivierungscode an, um damit den vollständigenFunktionsumfang von Virtual Desktop Support zu aktivieren.

Unterstützung von Virtual Desktop aktivieren oder erneuern

Prozedur


2. Navigieren Sie im Fenster Plug-in Manager zum Abschnitt Unterstützung fürTrend Micro Virtual Desktop, und klicken Sie auf Programm verwalten.


4. Klicken Sie im geöffneten Fenster Einzelheiten zur Produktlizenz auf NeuerAktivierungscode.

5. Geben Sie den Aktivierungscode in das daraufhin angezeigte Fenster ein, undklicken Sie auf Speichern.

6. Klicken Sie im Fenster "Informationen über Produktlizenz" auf Informationenaktualisieren, um das Fenster mit den neuen Informationen über dieProduktlizenz und den Status der Funktion zu aktualisieren. In diesem Fenster wirdauch ein Link zur Trend Micro Website angezeigt, auf der Sie detaillierteInformationen über die Lizenz finden.


14-82

Lizenzdaten für Unterstützung von Virtual Desktop anzeigen

Prozedur

1. Öffnen Sie die OfficeScan Webkonsole, und klicken Sie im Hauptmenü auf Plug-in Manager > [Trend Micro Virtual Desktop Support] Programm verwalten.


3. Ein Fenster mit Informationen zur Lizenz wird geöffnet.

Der Abschnitt Einzelheiten zur Lizenz für Virtual Desktop Support enthältfolgende Informationen:

• Status: Wird entweder als "Aktiviert", "Nicht aktiviert" oder "Abgelaufen"angezeigt.

• Version: Wird entweder als "Vollversion" oder "Testversion" angezeigt.Wenn Sie die Voll- und die Testversion besitzen, wird "Vollversion"angezeigt.

• Ablaufdatum: Wenn es für Virtual Desktop Support mehrere Lizenzen gibt,wird das am weitesten in der Zukunft liegende Ablaufdatum angezeigt. Laufendie Lizenzen am 31.12.2010 und am 30.06.2010 ab, wird das Datum31.12.2010 angezeigt.

• Arbeitsplätze: Zeigt an, wie viele OfficeScan Clients Virtual DesktopSupport verwenden können

• Aktivierungscode: Zeigt den Aktivierungscode an

In folgenden Fällen werden Hinweise zu Lizenzen angezeigt:

Wenn Sie eine Lizenz der Vollversion haben:

• Während der Übergangsfrist der Funktion. Die Dauer der Übergangsfrist istregional verschieden. Erkunden Sie sich bei Ihrem Vertriebspartner über dieLänge der Übergangsfrist.

• Bei Ablauf der Lizenz und der Übergangsfrist. Während dieser Zeit erhaltenSie keine technische Unterstützung.

Wenn Sie eine Lizenz der Testversion haben


14-83

• Bei Ablauf der Lizenz Während dieser Zeit erhalten Sie keine technischeUnterstützung.

4. Klicken Sie auf Einzelheiten zur Lizenz online anzeigen, um Informationenüber Ihre Lizenz auf der Trend Micro Website anzuzeigen.

5. Um die aktuellsten Lizenzdaten anzuzeigen, klicken Sie auf Informationenaktualisieren.

Virtual Server-VerbindungenSie können die On-Demand-Suche oder Komponenten-Updates optimieren, indem SieVMware vCenter 4 (VMware View 4), Citrix XenServer 5.5 (Citrix XenDesktop 4) oderMicrosoft Hyper-V Server hinzufügen. OfficeScan Server kommuniziert mit denangegebenen virtuellen Servern, um OfficeScan Clients zu finden, die sich aufdemselben physischen Server befinden.

Serververbindungen hinzufügen

Prozedur


2. Wählen Sie VMware vCenter Server, Citrix XenServer, oder Microsoft Hyper-V.

3. Aktivieren Sie die Verbindung zum Server.

4. Geben Sie die folgenden Informationen an:

• Für VMware vCenter- und Citrix XenServer-Server:

• IP-Adresse

• Port

• Verbindungsprotokoll (HTTP oder HTTPS)

• Benutzername


14-84

• Kennwort

• Für Microsoft Hyper-V-Server:

• Hostname oder IP-Adresse:

• Domäne\Benutzername

HinweisDas Anmeldekonto muss ein Domänenkonto in der Administratorgruppesein.

• Kennwort

5. Aktivieren Sie optional die Proxy-Verbindung für VMware vCenter oder CitrixXenServer.

a. Geben Sie den Namen oder die IP-Adresse und den Port des Proxy-Serversein.

b. Falls der Proxy-Server eine Authentifizierung verlangt, geben Sie denBenutzernamen und das Kennwort ein.

6. Klicken Sie auf Verbindung testen, um zu überprüfen, ob der OfficeScan Servereine Verbindung zum Server aufbauen kann.

HinweisWeitere Informationen zur Fehlerbehebung bei Microsoft Hyper-V-Verbindungenfinden Sie unter Fehlerbehebung bei Microsoft Hyper-V-Verbindungen auf Seite 14-87.


Zusätzliche Serververbindungen hinzufügen

Prozedur



14-85

2. Klicken Sie auf Neue vCenter-Verbindung hinzufügen, Neue XenServer-Verbindung hinzufügen oder auf Neue Hyper-V-Verbindung hinzufügen.

3. Wiederholen Sie die Schritte, um die korrekten Serverinformationenbereitzustellen.


Verbindungseinstellung löschen

Prozedur

1. Öffnen Sie die OfficeScan Webkonsole, und navigieren Sie im Hauptmenü zuPlug-in Manager > [Trend Micro Virtual Desktop Support] Programmverwalten.

2. Klicken Sie auf Diese Verbindung löschen.

3. Klicken Sie auf Ok, um das Löschen dieser Einstellung zu bestätigen.


VDI-Scan-Kapazität ändernAdministratoren können die Anzahl der VDI-Endpunkte beschleunigen, die gleichzeitigausgeführt werden, indem die vdi.ini-Datei geändert wird. Trend Micro empfiehlt,die Änderung der VDI-Kapazität streng zu überwachen, so dass die Systemressourcenauf jegliche verstärkte Suche reagieren können.

Prozedur

1. Navigieren Sie auf dem OfficeScan Server-Computer zu <Installationsordner desServers>PCCSRV\Private\vdi.ini.

2. Wechseln Sie in die [TaskController]-Einstellungen.

Beim Folgenden handelt es sich um die Standardeinstellungen von TaskController:


14-86

• Für OfficeScan 10.5 Clients:

[TaskController]

Controller_00_MaxConcurrentGuests=1


Wobei gilt:

• Controller_00_MaxConcurrentGuests=1 entspricht dermaximalen Anzahl von Clients, die gleichzeitig Suchvorgängedurchführen können.


• Für OfficeScan 10.6 Clients:

[TaskController]



Wobei gilt:



3. Erhöhen oder verringern Sie den Zähler in jedem Controller soweit erforderlich.

Der Mindestwert für alle Einstellungen ist 1.

Der Höchstwert für alle Einstellungen ist 65536.

4. Speichern und schließen Sie die vdi.ini-Datei.

5. Starten Sie den OfficeScan Master Service neu.


14-87

6. Überwachen Sie die CPU-Auslastung, den Speicherbedarf und dieFestplattennutzung der VDI-Endpunkte. Ändern Sie die Controller-Einstellungen,um die Anzahl der gleichzeitigen Suchvorgänge zu erhöhen/verringern und dieVDI-Umgebung durch das Wiederholen der Schritte 1 bis 5 am bestenanzupassen.,

Fehlerbehebung bei Microsoft Hyper-V-VerbindungenDie Microsoft Hyper-V-Verbindung verwendet die Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI) undDCOM für die Client-Server-Kommunikation. Die Firewall-Richtlinien blockierenmöglicherweise diese Kommunikation, wodurch keine Verbindung zum Hyper-V-Serverhergestellt werden kann.

Für den Listening-Port des Hyper-V-Servers wird standardmäßig auf Port 135zurückgegriffen, und anschließend wird ein zufällig konfigurierter Port zur weiterenKommunikation verwendet. Wenn die Firewall den WMI-Datenverkehr oder einen derbeiden Ports blockiert, kann keine Kommunikation mit dem Server stattfinden.Administratoren können die Firewall-Richtlinie ändern, um eine Kommunikation mitdem Hyper-V-Server zu ermöglichen.

Vergewissern Sie sich, dass alle Verbindungseinstellungen, einschließlich IP-Adresse,Domäne\Benutzername und Kennwort, korrekt sind, bevor Sie die folgendenÄnderungen an der Firewall vornehmen.

WMI-Kommunikation über die Windows-Firewall zulassen

Prozedur

1. Öffnen Sie auf dem Hyper-V-Server das Fenster Windows-Firewall -Zugelassene Programme.

Navigieren Sie auf Windows 2008 R2-Systemen zu Systemsteuerrung > Systemund Sicherheit > Windows-Firewall > Ein Programm oder Feature durchdie Windows-Firewall zulassen.

2. Wählen Sie Windows-Verwaltungsinstrumentation.


14-88

ABBILDUNG 14-7. Fenster "Windows-Firewall - Zugelassene Programme"


4. Testen Sie die Hyper-V-Verbindung erneut.

Port-Kommunikation über die Windows-Firewall oder eineFirewall eines anderen Anbieters öffnen

Prozedur

1. Stellen Sie auf dem Hyper-V-Server sicher, dass die Firewall die Kommunikationüber Port 135 zulässt, und testen Sie die Hyper-V-Verbindung erneut.

Detaillierte Hinweise zum Öffnen von Ports finden Sie in der Firewall-Dokumentation.


14-89

2. Falls die Verbindung zum Hyper-V-Server nicht hergestellt werden kann,konfigurieren Sie WMI so, dass ein fester Port verwendet wird.

Details zum Einrichten eines festen Ports für WMI finden Sie unter:

http://msdn.microsoft.com/en-us/library/windows/desktop/bb219447(v=vs.85).aspx

3. Öffnen Sie den Port 135 und den neu erstellten Port (24158) für dieKommunikation über die Firewall.

4. Testen Sie die Hyper-V-Verbindung erneut.

VDI Tool zur Generierung von Prescan-Vorlagen

Verwenden Sie das VDI Tool zur Generierung von Prescan-Vorlagen von OfficeScan,um die On-Demand-Suche zu optimieren oder GUIDs von Basis- oder Golden Imageszu entfernen. Dieses Werkzeug durchsucht das Basis-Image oder das Golden Image undzertifiziert das Image. Wenn Duplikate dieses Images durchsucht werden, überprüftOfficeScan nur die Teile, die geändert wurden. Dadurch wird eine kürzere Suchzeitgewährleistet.

Tipp

Trend Micro empfiehlt, eine Prescan-Vorlage nach der Anwendung eines WindowsUpdates oder der Installation einer neuen Anwendung zu erstellen.

Eine Prescan-Vorlage erstellen

Prozedur

1. Navigieren Sie auf dem OfficeScan Server-Computer zu <Installationsordner desServers>\PCCSRV\Admin\Utility\TCacheGen.

2. Wählen Sie eine Version des VDI Tools zur Generierung von Prescan-Vorlagen.Die folgenden Versionen sind verfügbar:




14-90

TABELLE 14-10. Versionen des VDI Tools zur Generierung von Prescan-Vorlagen

DATEINAME ANWEISUNG

TCacheGen.exe Wählen Sie diese Datei, wenn Sie dasTool direkt auf einer 32-Bit-Plattformausführen möchten.

TCacheGen_x64.exe Wählen Sie diese Datei, wenn Sie dasTool direkt auf einer 64-Bit-Plattformausführen möchten.

TCacheGenCli.exe Wählen Sie diese Datei, wenn Sie dasTool über die Befehlszeilenschnittstelleeiner 32-Bit-Plattform ausführenmöchten.

TCacheGenCli_x64.exe Wählen Sie diese Datei, wenn Sie dasTool über die Befehlszeilenschnittstelleeiner 64-Bit-Plattform ausführenmöchten.

3. Kopieren Sie die Version des Tools, die Sie im vorherigen Schritt gewählt haben, inden <Installationsordner des Clients> des Basis-Image.

4. Führen Sie das Tool aus.

• So führen Sie das Tool direkt aus:

a. Doppelklicken Sie auf TCacheGen.exe oder TCacheGen_x64.exe.

b. Klicken Sie auf Prescan-Vorlage generieren.

• So führen Sie das Tool über die Befehlszeilenschnittstelle aus:

a. Öffnen Sie eine Befehlszeile, und wechseln Sie zum<Installationsordner des Clients>.

b. Geben Sie folgenden Befehl ein:

TCacheGenCli Generate_Template

Oder

TcacheGenCli_x64 Generate_Template


14-91

HinweisDieses Dienstprogramm durchsucht das Image nach Sicherheitsbedrohungen, bevor diePrescan-Vorlage generiert und die GUID entfernt wird.

Nachdem die Prescan-Vorlage generiert wurde, wird der OfficeScan Client vomDienstprogramm entladen. Laden Sie den OfficeScan Client nicht erneut. Wird derOfficeScan Client erneut geladen, müssen Sie die Prescan-Vorlage erneut erstellen.

GUIDs aus der Vorlage entfernen

Prozedur

1. Navigieren Sie auf dem OfficeScan Server-Computer zu <Installationsordner desServers>\PCCSRV\Admin\Utility\TCacheGen.

2. Wählen Sie eine Version des VDI Tools zur Generierung von Prescan-Vorlagen.Die folgenden Versionen sind verfügbar:

TABELLE 14-11. Versionen des VDI Tools zur Generierung von Prescan-Vorlagen

DATEINAME ANWEISUNG

TCacheGen.exe Wählen Sie diese Datei, wenn Sie dasTool direkt auf einer 32-Bit-Plattformausführen möchten.

TCacheGen_x64.exe Wählen Sie diese Datei, wenn Sie dasTool direkt auf einer 64-Bit-Plattformausführen möchten.

TCacheGenCli.exe Wählen Sie diese Datei, wenn Sie dasTool über die Befehlszeilenschnittstelleeiner 32-Bit-Plattform ausführenmöchten.

TCacheGenCli_x64.exe Wählen Sie diese Datei, wenn Sie dasTool über die Befehlszeilenschnittstelleeiner 64-Bit-Plattform ausführenmöchten.

3. Kopieren Sie die Version des Tools, die Sie im vorherigen Schritt gewählt haben, inden <Installationsordner des Clients> des Basis-Image.


14-92

4. Führen Sie das Tool aus.

• So führen Sie das Tool direkt aus:

a. Doppelklicken Sie auf TCacheGen.exe oder TCacheGen_x64.exe.

b. Klicken Sie auf GUID aus Vorlage entfernen.

• So führen Sie das Tool über die Befehlszeilenschnittstelle aus:

a. Öffnen Sie eine Befehlszeile, und wechseln Sie zum<Installationsordner des Clients>.

b. Geben Sie folgenden Befehl ein:

TCacheGenCli Remove GUID

Oder

TcacheGenCli_x64 Remove GUID

Allgemeine Client-EinstellungenOfficeScan wendet allgemeine Client-Einstellungen auf alle Clients oder nur auf Clientsmit bestimmten Berechtigungen an.

Prozedur



TABELLE 14-12. Allgemeine Client-Einstellungen

EINSTELLUNG NACHSCHLAGEWERKE

Sucheinstellungen Allgemeine Sucheinstellungen auf Seite 7-72

Einstellungen fürzeitgesteuerte Suche

Allgemeine Sucheinstellungen auf Seite 7-72


14-93


Bandbreiteneinstellungendes Viren-/Malware-Protokolls

Allgemeine Sucheinstellungen auf Seite 7-72

Firewall-Einstellungen Allgemeine Firewall-Einstellungen auf Seite 12-28

Firewall-Protokollzähler Allgemeine Firewall-Einstellungen auf Seite 12-28

Einstellungen derVerhaltensüberwachung

Einstellungen der globalen Verhaltensüberwachungkonfigurieren auf Seite 8-8

C&C-Callback-Einstellungen Allgemeine C&C-Callback-Einstellungenkonfigurieren auf Seite 11-12

Updates ActiveUpdate Server als OfficeScan Client-Update-Adresse auf Seite 6-37

ReservierterFestplattenspeicher

Reservierten Festplattenspeicher für OfficeScanClient-Updates konfigurieren auf Seite 6-50

Nicht erreichbares Netzwerk Nicht erreichbare Clients auf Seite 14-46

Warneinstellungen OfficeScan Client-Update-Benachrichtigungenkonfigurieren auf Seite 6-52

Neustart des OfficeScanDienstes

OfficeScan Neustart des Client-Dienstes auf Seite14-12

Proxy-Konfiguration Automatische Proxy-Einstellungen für OfficeScanClients auf Seite 14-55

Bevorzugte IP-Adresse Client-IP-Adressen auf Seite 5-9


Client-Berechtigungen und weitereEinstellungen konfigurieren

Sie können Benutzer zur Änderung bestimmter Einstellungen und zur Durchführungvon Aufgaben mit hoher Sicherheitsstufe auf dem OfficeScan Client berechtigen.


14-94

Hinweis

Antivirus-Einstellungen werden nur angezeigt, wenn die Antivirus-Funktion vonOfficeScan aktiviert wurde.

Tipp

Um einheitliche Einstellungen und Richtlinien innerhalb des Unternehmens durchzusetzen,gewähren Sie den Benutzern begrenzte Berechtigungen.

Prozedur

1. Navigieren Sie zu Netzwerkcomputer > Client-Verwaltung oderNetzwerkcomputer > Client-Verwaltung.



4. Konfigurieren Sie auf der Registerkarte Berechtigungen folgendeBenutzerberechtigungen:

TABELLE 14-13. Client-Berechtigungen

CLIENT-BERECHTIGUNGEN NACHSCHLAGEWERKE

Roaming-Berechtigungen Roaming-Berechtigung für OfficeScan Clientauf Seite 14-20

Suchberechtigungen Berechtigungen für die Sucharten auf Seite7-56

Berechtigungen für diezeitgesteuerte Suche

Zeitgesteuerte Suchberechtigungen undandere Einstellungen auf Seite 7-59

Firewall-Berechtigungen Firewall-Berechtigungen auf Seite 12-25

Verhaltensüberwachungsberechtigungen

Verhaltensüberwachungsberechtigungen aufSeite 8-11


14-95

CLIENT-BERECHTIGUNGEN NACHSCHLAGEWERKE

Mail Scan Berechtigungen Mail-Scan-Berechtigungen und andereEinstellungen auf Seite 7-65

Toolbox-Berechtigungen Benutzern die Berechtigung gewähren, um dieRegisterkarte "Toolbox" anzuzeigen auf Seite17-7

Berechtigungen für die Proxy-Einstellungen

Proxy-Konfiguration - Berechtigungen fürClients auf Seite 14-53

Berechtigungen für Komponenten-Updates

Update-Berechtigungen und andereEinstellungen für OfficeScan Clients auf Seite6-47

Deinstallation Die Berechtigung zum Deinstallieren desOfficeScan Clients gewähren auf Seite 5-77

Programm beenden Die Berechtigung zum Beenden des Clientsgewähren auf Seite 14-19

5. Klicken Sie auf die Registerkarte Weitere Einstellungen, und konfigurieren Siedie folgenden Einstellungen:

TABELLE 14-14. Andere Client-Einstellungen


Update-Einstellungen Update-Berechtigungen und andereEinstellungen für OfficeScan Clients auf Seite6-47

Web-Reputation-Einstellungen Benachrichtigungen über Internet-Bedrohungen für Client-Benutzer auf Seite11-13

Einstellungen derVerhaltensüberwachung

Verhaltensüberwachungsberechtigungen aufSeite 8-11

C&C-Kontakt - Alarmeinstellungen OfficeScan C&C-Kontaktalarmbenachrichtigungen für Client-Benutzer auf Seite 11-18

Eigenschutz des Clients Eigenschutz des Clients auf Seite 14-13


14-96


Cache-Einstellungen für die Suche Cache-Einstellungen für die Suche auf Seite7-68

Einstellungen für zeitgesteuerteSuche

Berechtigungen für die zeitgesteuerte Suchegewähren und dieBerechtigungsbenachrichtigung anzeigen aufSeite 7-60

Client-Sicherheitseinstellungen Sicherheit von OfficeScan Clients auf Seite14-17

Einstellungen für die Suche inPOP3-Mails

Mail Scan-Berechtigungen gewähren undPOP3 Mail Scan aktivieren auf Seite 7-67

Einschränkung des Zugriffs auf dieClient-Konsole

Einschränkung des Zugriffs auf dieOfficeScan Client-Konsole auf Seite 14-18

Aufforderung zum Neustart Benachrichtigungen bei Sicherheitsrisiken fürOfficeScan Client-Benutzer auf Seite 7-88




Teil IVZusätzlichen Schutz

bereitstellen

15-1

Kapitel 15

Plug-In Manager verwendenIn diesem Kapitel wird beschrieben, wie Sie Plug-In Manager einrichten. Außerdemerhalten Sie eine Übersicht über die mit Plug-In Manager bereitgestellten Plug-in-Lösungen.


• Info über Plug-In Manager auf Seite 15-2

• Plug-In Manager Installation auf Seite 15-3

• Verwaltung nativer OfficeScan Funktionen auf Seite 15-4

• Plug-in-Programme verwalten auf Seite 15-4

• Plug-In Manager wird deinstalliert auf Seite 15-9

• Fehlerbehebung bei Plug-In Manager auf Seite 15-10


15-2

Info über Plug-In ManagerOfficeScan umfasst ein Framework mit der Bezeichnung Plug-In Manager, das neueLösungen in die bestehende OfficeScan Umgebung integriert. Um die Verwaltung dieserLösungen zu vereinfachen, stellt Plug-In Manager die Daten dieser Lösungen in Formvon Widgets übersichtlich dar.

HinweisKeine der Plug-in-Lösungen unterstützt zurzeit IPv6. Der Server kann diese Lösungenzwar herunterladen, er kann sie aber nicht auf reine IPv6-OfficeScan Clients oder reineIPv6-Hosts verteilen.

Plug-In Manager bietet zwei Lösungstypen:

• Native OfficeScan Funktionen

Einige native OfficeScan Funktionen werden über Plug-In Manager separatlizenziert und aktiviert. In dieser Version fallen zwei Funktionen unter dieseKategorie, nämlich Trend Micro Virtual Desktop Support und OfficeScanDatentschutz.

• Plug-in-Programme

Plug-in-Programme sind nicht Teil des OfficeScan Programms. Diese Programmeverfügen über ihre eigene Lizenz und werden überwiegend über ihre eigeneManagement-Konsole verwaltet, auf die über die OfficeScan Webkonsolezugegriffen werden kann. Beispiele für Plug-in-Programme sind IntrusionDefense Firewall, Trend Micro Security (für Mac) und Trend Micro MobileSecurity.

Diese Dokumente geben einen allgemeinen Überblick über Installation und Verwaltungvon Plug-in-Programmen und erklären die in Widgets dargestellten Informationen überdie Plug-in-Programme. Die Dokumentation enthält außerdem ausführliche Hinweisezur Konfiguration und Verwaltung von des jeweiligen Plug-in-Programms.

Agents auf Client-Seite und Client-Plug-in ManagerEinige Plug-in-Programme (wie etwa TIntrusion Defense Firewall) verfügen über einenAgent auf Client-Seite, der auf Windows Betriebssystemen installiert wird. Die Agents

Plug-In Manager verwenden

15-3

auf Client-Seite können über den Client Plug-in Manager verwaltet werden, der unterdem Prozessnamen CNTAoSMgr.exe ausgeführt wird.

CNTAoSMgr.exe wird zusammen mit dem OfficeScan Client installiert und muss diegleichen Systemvoraussetzungen erfüllen. Die einzige zusätzliche Voraussetzung fürCNTAoSMgr.exe ist Microsoft XML Parser (MSXML) Version 3.0 oder höher.

Hinweis

Andere Agents auf Client-Seite werden nicht auf einem Windows Betriebssystem installiertund werden daher nicht über den Client-Plug-in Manager verwaltet. Der Trend MicroSecurity Client (für Mac) und der Mobile Device Agent für Trend Micro Mobile Securitysind Beispiele für solche Agents.

Widgets

Verwenden Sie Widgets, um die Plug-in-Lösungen, die Sie verteilt haben, übersichtlichdarzustellen. Widgets werden auf dem Übersichtsdashboard auf dem OfficeScan Serverzur Verfügung gestellt. Ein besonderes Widget mit der Bezeichnung OfficeScan undPlug-ins Mashup kombiniert Daten der OfficeScan Clients und Plug-in-Lösungen undstellt sie in einer Client-Hierarchie da.

Das Administratorhandbuch enthält eine Übersicht über Widgets und Lösungen, indenen Widgets unterstützt werden.

Plug-In Manager InstallationIn früheren Versionen von Plug-In Manager wird das Installationspaket von Plug-InManager vom Trend Micro ActiveUpdate Server heruntergeladen und dann auf demComputer installiert, auf dem sich der OfficeScan Server befindet. In dieser Version istdas Installationspaket im Installationspaket des OfficeScan Servers enthalten.

Bei Benutzern, die OfficeScan zum ersten Mal verwenden, werden sowohl derOfficeScan Server als auch der Plug-In Manager nach Ausführung desInstallationspakets und nach Abschluss der Installation installiert. Benutzer, die auf diese


15-4

Version von OfficeScan upgraden und bereits Plug-In Manager verwenden, müssen denPlug-In Manager Dienst beenden, bevor sie das Installationspaket ausführen.

Aufgaben nach der Installation durchführenFühren Sie nach der Installation von Plug-In Manager Folgendes durch:

Prozedur

1. Sie können auf die Plug-In Manager Webkonsole zugreifen, indem Sie imHauptmenü der OfficeScan Webkonsole auf Plug-in Manager klicken.

2. Verwalten Sie die Plug-in-Lösungen.

3. Verwenden Sie das Übersichtsdashboard auf der OfficeScan Webkonsole zurVerwaltung der Widgets für die Plug-in-Lösungen.

Verwaltung nativer OfficeScan FunktionenNative OfficeScan Funktionen werden mit OfficeScan installiert und von Plug-InManager aktiviert. Einige Funktionen, wie etwa Trend Micro Virtual Desktop Support,werden über den Plug-In Manager verwaltet, während andere, wie etwa der OfficeScanDatenschutz, über die OfficeScan Webkonsole verwaltet werden.

Plug-in-Programme verwaltenInstallieren und aktivieren Sie Plug-in-Programme unabhängig von OfficeScan. JedesPlug-in bietet eine eigene Konsole für das Produkt-Management. Die Management-Konsolen sind über die OfficeScan Webkonsole zugänglich.

Installation der Plug-in-ProgrammeAuf der Plug-In Manager Konsole wird ein Plug-in-Programm angezeigt. Auf derKonsole können Sie das Programm herunterladen, installieren und verwalten. Der Plug-


15-5

In Manager lädt das Installationspaket für ein Plug-In-Programm vom Trend MicroActiveUpdate Server oder einer benutzerdefinierten Update-Quelle herunter, falls einesolche korrekt erstellt wurde. Zum Herunterladen des Pakets vom ActiveUpdate Serverist eine Internet-Verbindung erforderlich.

Wenn der Plug-In Manager ein Installationspaket herunterlädt oder die Installationstartet, deaktiviert er vorübergehend andere Plug-in-Programmfunktionen wieDownloads, Installationen und Upgrades.

Der Plug-In Manager unterstützt keine Installation oder Verwaltung von Plug-in-Programmen über die Single-Sign-On-Funktion von Trend Micro Control Manager.

Ein Plug-in-Programm installieren

Prozedur


2. Navigieren Sie im Plug-in Manager Fenster zum Abschnitt "Plug-in-Programm",und klicken Sie auf "Download". Die Größe des Plug-in-Programmpakets wirdneben der Schaltfläche Download angezeigt. Der Plug-in Manager speichert dasheruntergeladene Paket im <Installationsordner des Servers>\PCCSRV\Download\Product

3. Verfolgen Sie den Download-Fortschritt. Sie können während des Downloads zuanderen Fenstern navigieren.

ABBILDUNG 15-1. Download-Fortschritt für ein Plug-in-Programm

Nachdem der Plug-in-Manager das Paket heruntergeladen hat, wird das Plug-in-Programm in einem neuen Fenster angezeigt.


15-6

Hinweis

Treten beim Download des Pakets Probleme auf, überprüfen Sie die Server-Update-Protokolle auf der OfficeScan Produktkonsole. Klicken Sie im Hauptmenü aufProtokolle > Server-Update-Protokolle.

4. Klicken Sie auf Jetzt installieren oder Später installieren.

• Wenn Sie auf Jetzt installieren geklickt haben, verfolgen Sie denInstallationsfortschritt.

• Wenn Sie auf Später installieren geklickt haben, öffnen Sie das Plug-inManager Fenster, gehen Sie dort zum Abschnitt Plug-in-Programm, undklicken Sie auf Installieren, verfolgen Sie dann den Installationsfortschritt.

Nach der Installation wird die aktuelle Version des Plug-in-Programms angezeigt. Siekönnen jetzt mit dem Plug-in-Programm arbeiten.

Verwaltung der Plug-in-Programme

Konfigurieren Sie die Einstellungen und führen Sie programmbezogene Aufgaben überdie Management-Konsole des Plug-in-Programms durch, auf die Sie über die OfficeScanWebkonsole zugreifen können. Diese Aufgaben umfassen die Aktivierung desProgramms und die Verteilung seiner client-seitigen Agents auf die Endpunkte. DieDokumentation enthält außerdem ausführliche Hinweise zur Konfiguration undVerwaltung des jeweiligen Plug-in-Programms.

Ein Plug-in-Programm verwalten

Prozedur

1. Öffnen Sie die OfficeScan Webkonsole, und klicken Sie auf Plug-in Manager.

2. Navigieren Sie im Plug-in Manager Fenster zum Abschnitt für Plug-in-Programme, und klicken Sie auf Programm verwalten.


15-7

ABBILDUNG 15-2. Programm-Schaltfläche für ein Plug-in-Programm verwalten

Plug-in-Programm-Upgrades

Jede neue Version eines installierten Plug-in-Programms wird auf der Plug-In Manager-Konsole angezeigt. Auf der Konsole können Sie das Upgrade-Paket herunterladen undanschließend ein Upgrade des Programms durchführen. Der Plug-In Manager lädt dasPaket vom Trend Micro ActiveUpdate Server oder einer definierten Update-Quelleherunter, falls eine solche ordnungsgemäß erstellt wurde. Zum Herunterladen des Paketsvom ActiveUpdate Server ist eine Internet-Verbindung erforderlich.

Wenn der Plug-In Manager ein Installationspaket herunterlädt oder das Upgrade startet,deaktiviert er vorübergehend andere Plug-in-Programmfunktionen wie Downloads,Installationen und Upgrades.

Der Plug-In Manager unterstützt kein Upgrade des Plug-in-Programms über die Single-Sign-On-Funktion von Trend Micro Control Manager.

Ein Upgrade eines Plug-in-Programms durchführen

Prozedur


2. Navigieren Sie im Plug-in Manager Fenster zum Abschnitt "Plug-in-Programm",und klicken Sie auf "Download". Die Größe des Upgrade-Pakets erscheint nebender Schaltfläche Download.

3. Verfolgen Sie den Download-Fortschritt. Wenn Sie während des Download-Vorgangs das Fenster verlassen, wirkt sich dies nicht auf das Upgrade aus.


15-8

Hinweis

Treten beim Download des Pakets Probleme auf, überprüfen Sie die Server-Update-Protokolle auf der OfficeScan Webkonsole. Wählen Sie im Hauptmenü Protokolle >Server-Update-Protokolle.

4. Nach dem Download des Pakets durch Plug-In Manager wird ein neues Fensterangezeigt.

5. Klicken Sie auf Jetzt upgraden oder Später upgraden.

• Wenn Sie auf Jetzt upgraden geklickt haben, verfolgen Sie den Upgrade-Fortschritt.

• Wenn Sie auf Später upgraden geklickt haben, öffnen Sie das Plug-inManager Fenster, gehen Sie dort zum Abschnitt für Plug-in-Programme,klicken Sie auf Upgraden, und verfolgen Sie dann den Upgrade-Fortschritt.

Nach dem Upgrade muss der Plug-In Manager Dienst möglicherweise neu gestartetwerden. Das Plug-in Manager Fenster ist dann vorübergehend nicht verfügbar. Sobalddas Fenster wieder verfügbar ist, wird die aktuelle Version des Plug-in-Programmsangezeigt.

Deinstallation der Plug-in-Programme

Es gibt mehrere Möglichkeiten, um ein Plug-in-Programm zu deinstallieren.

• Deinstallieren Sie das Plug-in-Programm von der Plug-In Manager Konsole aus.

• Deinstallieren Sie den OfficeScan Server. Dabei werden der Plug-In Manager undalle installierten Plug-in-Programme ebenfalls deinstalliert. Informationen über dieDeinstallation des OfficeScan Servers finden Sie im OfficeScan Installations- undUpgrade-Handbuch.

Bei Plug-in-Programmen mit Agents auf Client-Seite:

• In der Dokumentation des Plug-in-Programms finden Sie Hinweise darüber, ob beider Deinstallation des Plug-in-Programms auch der Agent auf Client-Seitedeinstalliert wird.


15-9

• Bei client-seitigen Agents, die auf demselben Computer wie der OfficeScan Clientinstalliert sind, werden bei der Deinstallation des OfficeScan Clients auch derAgent auf Client-Seite und der Client-Plug-in-Manager (CNTAoSMgr.exe)deinstalliert.

Ein Plug-in-Programm von der Plug-In Manager Konsole ausdeinstallieren

Prozedur


2. Navigieren Sie im Plug-in Manager Fenster zum Abschnitt für Plug-in-Programme, und klicken Sie auf Deinstallieren.

ABBILDUNG 15-3. Deinstallieren-Schaltfläche für ein Plug-in-Programm

3. Verfolgen Sie den Deinstallationsfortschritt. Sie können während der Deinstallationzu anderen Fenstern navigieren.

4. Aktualisieren Sie das Fenster Plug-in Manager nach der Deinstallation. Das Plug-in-Programm steht wieder zur Installation zur Verfügung.

Plug-In Manager wird deinstalliertDeinstallieren Sie den OfficeScan Server. Dabei werden der Plug-In Manager und alleinstallierten Plug-in-Programme ebenfalls deinstalliert. Informationen über dieDeinstallation des OfficeScan Servers finden Sie im OfficeScan Installations- und Upgrade-Handbuch.


15-10

Fehlerbehebung bei Plug-In ManagerÜberprüfen Sie die Debug-Protokolle von OfficeScan Server und OfficeScan Client, umInformationen zur Fehlerbehebung für Plug-In Manager und Plug-in-Programme zuerhalten.

Das Plug-in-Programm wird nicht auf der Plug-inManager-Konsole angezeigt.

Ein zum Download und zur Installation verfügbares Plug-in-Programm wird auf derPlug-In Manager-Konsole möglicherweise aus den folgenden Gründen nicht angezeigt:

Prozedur

1. Der Plug-In Manager hat den Download des Plug-in-Programms noch nichtabgeschlossen, da dieser bei großen Programmpaketen länger dauert. ÜberprüfenSie von Zeit zu Zeit das Fenster, um festzustellen, ob das Plug-in-Programmangezeigt wird.

Hinweis

Wenn der Plug-In Manager ein Plug-in-Programm nicht herunterladen kann,wiederholt er den Versuch automatisch nach 24 Stunden. Um manuell zu veranlassen,dass der Plug-In Manager das Plug-in-Programm herunterlädt, starten Sie denOfficeScan Plug-In Manager Dienst neu.

2. Der Servercomputer kann keine Verbindung mit dem Internet herstellen.Verbindet sich der Server-Computer über einen Proxy-Server mit dem Internet,stellen Sie sicher, dass die Internet-Verbindung über die Proxy-Einstellungenhergestellt werden kann.

3. Die OfficeScan Update-Adresse ist nicht der ActiveUpdate Server. Navigieren Sieauf der OfficeScan Webkonsole zu Updates > Server > Update-Quelle, undüberprüfen Sie die Update-Adresse. Ist die Update-Adresse nicht der ActiveUpdateServer, haben Sie folgende Möglichkeiten:

• Wählen Sie den ActiveUpdate Server als Update-Adresse.


15-11

• Wenn Sie Andere Update-Quelle auswählen, wählen Sie den ersten Eintragin der Liste Andere Update-Quelle als Update-Quelle aus, und überprüfenSie, ob sich die Quelle mit dem ActiveUpdate Server erfolgreich verbindenkann. Der Plug-In Manager unterstützt nur den ersten Eintrag in der Liste.

• Wenn Sie Intranet-Site, die eine Kopie der aktuellen Datei enthältauswählen, stellen Sie sicher, dass der Computer im Intranet ebenfalls eineVerbindung zum ActiveUpdate Server herstellen kann.

Probleme bei der Installation und Anzeige des client-seitigen Agents

Die Installation eines client-seitigen Agents eines Plug-in-Programms könntefehlschlagen oder der Agent könnte aus folgenden Gründen nicht auf der OfficeScanClient-Konsole angezeigt werden:

Prozedur

1. Client Plug-in Manager (CNTAosMgr.exe) läuft nicht. Öffnen Sie auf demOfficeScan Client-Computer den Windows Task-Manager, und führen Sie denProzess CNTAosMgr.exe aus.

2. Das Installationspaket des Agents auf der Client-Seite wurde nicht in den Ordnerdes OfficeScan Client-Computers unter <Installationsordner desClients>\AU_Data\AU_Temp\{xxx}AU_Down\Product heruntergeladen.Überprüfen Sie die Datei Tmudump.txt unter \AU_Data\AU_Log\ nachUrsachen für das Fehlschlagen des Downloads.

Hinweis

Wenn der Agent erfolgreich installiert wurde, befinden sich die Informationen überdiesen Agent in der Datei <Client-Installationsordner>\AOSSvcInfo.xml.

3. Die Installation des Agents ist fehlgeschlagen und erfordert eine weitere Aktion.Den Installationsstatus sehen Sie auf der Management-Konsole des Plug-in-Programms. Dort können Sie verschiedene Aktionen durchführen, wie etwa den


15-12

OfficeScan Client-Computer nach der Installation neu starten oder vor derInstallation die für das Betriebssystem erforderlichen Patches installieren.

Die Version des Apache Webservers wird nichtunterstützt.

Der Plug-In Manager verarbeitet einige der Webanfragen über die ISAPI (InternetServer Application Programming Interface). Diese ist nicht kompatibel mit den Apache-Webserver-Versionen 2.0.56 bis 2.0.59 und 2.2.3 bis 2.2.4.

Wenn auf Ihrem Apache-Webserver solche inkompatiblen Versionen laufen, können Siesie durch die Version 2.0.63 ersetzen, das heißt mit der Version, die von OfficeScan undPlug-In Manager verwendet wird. Diese Version ist auch mit der ISAPI kompatibel.

Prozedur

1. Führen Sie ein Upgrade des OfficeScan Servers auf die aktuelle Version durch.

2. Sichern Sie die folgenden Dateien in den Ordner "Apache2" im<Installationsordner des Servers>:

• httpd.conf

• httpd.conf.tmbackup

• httpd.default.conf

3. Deinstallieren Sie die inkompatible Version von Apache Webserver im FensterProgramme hinzufügen/entfernen.

4. Installieren Sie Apache Webserver 2.0.63.

a. Starten Sie apache.msi aus dem Ordner <Installationsordner desServers>\Admin\Utility\Apache.

b. Geben Sie im Fenster Serverinformationen die erforderlichen Daten ein.

c. Ändern Sie im Fenster Zielordner den Zielordner, indem Sie auf Ändernklicken und dann zum Verzeichnis <Installationsordner desServers> navigieren.


15-13

d. Schließen Sie die Installation ab.

5. Kopieren Sie die Sicherungsdateien zurück in den Apache2 Ordner.

6. Starten Sie den Dienst für den Apache Webserver neu.

Ein client-seitiger Agent kann nicht gestartet werden,wenn die Einstellung des automatischenKonfigurationsskripts im Internet Explorer auf einenProxy-Server umgeleitet wird.

Der Client-Plug-in Manager (CNTAosMgr.exe) kann einen cleint-seitigen Agent nichtstarten, da der Befehl zum Start des Agents auf einen Proxy-Server umgeleitet wird.Dieses Problem tritt nur dann auf, wenn die Proxy-Einstellung den HTTP-Verkehr desBenutzers auf 127.0.0.1 umleitet.

Um dieses Problem zu beheben, verwenden Sie eine gültige Proxy-Serverrichtlinie.Leiten Sie beispielsweise den HTTP-Verkehr nicht auf 127.0.0.1 um.

Wenn Sie die Proxy-Konfiguration verwenden müssen, die die 127.0.0.1 HTTP-Anfragen steuert, führen Sie die folgenden Aufgaben durch.

Prozedur

1. Konfigurieren Sie die OfficeScan Firewall-Einstellungen auf der OfficeScanWebkonsole.

HinweisFühren Sie diesen Schritt nur dann aus, wenn Sie die OfficeScan Firewall auf denOfficeScan Clients aktivieren.

a. Navigieren Sie auf der Webkonsole zu Netzwerkcomputer > Firewall >Richtlinien, und klicken Sie auf Ausnahmevorlage bearbeiten.

b. Klicken Sie im Fenster Ausnahmevorlage bearbeiten auf Hinzufügen.

c. Verwenden Sie die folgenden Informationen:


15-14

• Name: Ihr bevorzugter Name

• Aktion: Netzwerkverkehr zulassen

• Richtung: Eingehend

• Protokoll: TCP

• Port (s): Alle Portnummern zwischen 5000 und 49151

d. IP-Adresse (n): Wählen Sie Einzelne IP-Adresse, und geben Sie die IP-Adresse Ihres Proxy-Servers ein (empfohlen), oder wählen Sie Alle IP-Adressen.

e. Klicken Sie auf Speichern.

f. Klicken Sie dann im Fenster Ausnahmevorlage bearbeiten auf Speichern undfür alle vorhandenen Richtlinien übernehmen.

g. Navigieren Sie zu Netzwerkcomputer > Firewall > Profile, und klicken Sieauf Den Clients ein Profil zuweisen.

Wenn kein Firewall-Profil vorhanden ist, klicken Sie auf "Hinzufügen", understellen Sie ein Profil. Verwenden Sie dabei die folgenden Einstellungen:

• Name: Ihr bevorzugter Name

• Beschreibung: Ihre bevorzugte Beschreibung

• Richtlinie: Uneingeschränkter Zugriff

Klicken Sie nach dem Speichern des neuen Profils auf Den Clients ein Profilzuweisen.

2. Ändern Sie die Datei ofcscan.ini.

a. Öffnen Sie mit einem Texteditor die Datei ofcscan.ini imInstallationsordner des Servers.

b. Suchen Sie nach dem Eintrag [Global Setting] und schreiben SieFWPortNum=21212 in die nächste Zeile. Ersetzen Sie den Wert "21212" mitder Portnummer, die Sie oben in Schritt c angegeben haben.

Beispiel:


15-15

[Global Setting]

FWPortNum=5000

c. Speichern Sie die Datei.

3. Wechseln Sie auf der Webkonsole zu Netzwerkcomputer > Allgemeine Client-Einstellungen, und klicken Sie auf Speichern.

Im System, Update-Modul oder Plug-in ManagerProgramm ist ein Fehler aufgetreten, und dieFehlermeldung enthält einen bestimmten Fehlercode.

Im Plug-In Manager werden folgende Fehlercodes in einer Fehlermeldung angezeigt.Können Sie ein Problem trotz unserer Lösungsvorschläge in der unten stehendenTabelle nicht beheben, wenden Sie sich an Ihren Support-Anbieter.

TABELLE 15-1. Plug-In Manager Fehlercodes

FEHLERCODE

MELDUNG, URSACHE UND LÖSUNG

001 Es ist ein Fehler im Plug-In Manager Programm aufgetreten.

Das Plug-In Manager Update-Modul antwortet nicht auf Abfragen über denFortschritt eines Update-Tasks. Das Modul- oder Befehlssteuerprogrammwurde eventuell nicht initialisiert.

Starten Sie OfficeScan Plug-In Manager Dienst neu, und führen Sie dieAufgabe erneut durch.


15-16

FEHLERCODE


002 Es ist ein Systemfehler aufgetreten.

Das Plug-In Manager Update-Modul kann den RegistrierungsschlüsselSOFTWARE\TrendMicro\OfficeScan\service\AoS nicht öffnen, da ermöglicherweise gelöscht wurde.

Führen Sie folgende Schritte durch:

1. Öffnen Sie den Registrierungseditor, und navigieren Sie zuHKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeScan\service\AoS\OSCE_Addon_Service_CompList_Version. Setzen Sie den Wert auf1.0.1000 zurück.

2. Starten Sie den OfficeScan Plug-In Manager-Dienst neu.

3. Laden Sie das Plug-in-Programm herunter oder deinstallieren Sie es.


15-17

FEHLERCODE


028 Es ist ein Update-Fehler aufgetreten.

Mögliche Ursachen:

• Das Update-Modul von Plug-In Manager konnte ein Plug-in-Programmnicht herunterladen. Überprüfen Sie die Netzwerkverbindung, undversuchen Sie es erneut.

• Das Update-Modul von Plug-In Manager kann das Plug-in-Programm nichtinstallieren, weil der AU Patch-Agent einen Fehler zurückgegeben hat. DerAU Patch-Agent ist das Programm, das die Installation neuer Plug-in-Programme startet. Die genaue Ursache des Fehlers finden Sie im Debug-Protokoll des ActiveUpdate Moduls in der Datei "TmuDump.txt" unter\PCCSRV\Web\Service\AU_Data\AU_Log.



2. Löschen Sie den Registrierungsschlüssel des Plug-in-Programms unterHKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeScan\service\AoS\OSCE_ADDON_xxxx.


4. Laden Sie das Plug-in-Programm herunter, und installieren Sie es.

170 Es ist ein Systemfehler aufgetreten.

Das Update-Modul von Plug-In Manager kann einen eingehenden Vorgangnicht bearbeiten, da es zurzeit einen anderen Vorgang bearbeitet.

Führen Sie die Aufgabe zu einem späteren Zeitpunkt durch.


Das Plug-In Manager Programm kann die auf der Webkonsole ausgeführteAufgabe nicht bearbeiten.

Aktualisieren Sie die Webkonsole, oder führen Sie ein Upgrade von Plug-InManager durch, falls ein Programm-Upgrade zur Verfügung steht.


15-18

FEHLERCODE



Bei der Kommunikation des Plug-In Manager Programms mit den Plug-InManager Backend-Services ist ein IPC-Fehler (Intercommunication ProcessCommunication) aufgetreten.

Starten Sie OfficeScan Plug-In Manager Dienst neu, und führen Sie dieAufgabe erneut durch.

AndereFehlercodes

Es ist ein Systemfehler aufgetreten.

Beim Download eines neuen Plug-in-Programms überprüft Plug-In Manager diePlug-in-Programmliste auf dem ActiveUpdate Server. Plug-In Manager konntedie Liste nicht anfordern.




3. Laden Sie das Plug-in-Programm herunter, und installieren Sie es.

16-1

Kapitel 16

Policy Server für Cisco NACverwenden

Dieses Kapitel enthält grundlegende Hinweise zur Installation und Konfiguration desPolicy Servers für Cisco NAC. Weitere Informationen zur Konfiguration undVerwaltung von Cisco Secure ACS Servern und anderen Cisco Produkten finden Sie inder aktuellen Cisco Dokumentation auf der folgenden Homepage:

http://www.cisco.com/univercd/home/home.htm


• Über Policy Server für Cisco NAC auf Seite 16-3

• Komponenten und Begriffe auf Seite 16-3

• Cisco NAC Architektur auf Seite 16-7

• Die Client-Validierungssequenz auf Seite 16-8

• Der Policy Server auf Seite 16-10

• Systemvoraussetzungen für Policy Server auf Seite 16-22

• Systemvoraussetzungen für Cisco Trust Agent (CTA) auf Seite 16-23

• Unterstützte Plattformen und Anforderungen auf Seite 16-24

http://www.cisco.com/univercd/home/home.htm


16-2

• Policy Server für NAC verteilen auf Seite 16-25

Policy Server für Cisco NAC verwenden

16-3

Über Policy Server für Cisco NACTrend Micro Policy Server für Cisco Network Admission Control (NAC) überprüft denStatus der auf den OfficeScan Clients installierten Antiviren-Komponenten. Anhand derKonfigurationsoptionen für den Policy Server können Sie Einstellungen für dieDurchführung von Aktionen auf unzureichend geschützten Clients vornehmen, umdiese in die Sicherheitsstrategie Ihres Unternehmens zu integrieren.

Folgende Aktionen sind möglich:

• OfficeScan Clients zur Aktualisierung ihrer Client-Komponenten anweisen

• Echtzeitsuche aktivieren

• "Jetzt durchsuchen" durchführen

• Eine Benachrichtigungsmeldung auf den OfficeScan Clients anzeigen, um dieBenutzer auf den Verstoß gegen die Antiviren-Richtlinien aufmerksam zu machen

Weitere Informationen über die Cisco NAC Technologie finden Sie auf der CiscoWebsite unter:

http://www.cisco.com/go/nac

Komponenten und BegriffeEs folgt eine Liste der verschiedenen Komponenten und der wichtigsten Begriffe, dieSie kennen sollten, um Policy Server für Cisco NAC verstehen und verwenden zukönnen.

Komponenten

Für die Implementierung von Policy Server für Cisco NAC in eine Trend MicroUmgebung sind die folgenden Komponenten erforderlich:

http://www.cisco.com/go/nac


16-4

TABELLE 16-1. Policy Server für Cisco NAC Komponenten

KOMPONENTE BESCHREIBUNG

Cisco Trust Agent(CTA)

Ein Programm, das auf dem Client installiert wird, um dieKommunikation mit anderen Cisco NAC Komponenten zuermöglichen.

OfficeScan Client-Computer

Ein Computer, auf dem das Office Scan Client-Programminstalliert ist. Für die Zusammenarbeit mit Cisco NAC muss aufdem OfficeScan Client-Computer außerdem Cisco Trust Agentinstalliert sein.

Netzzugangsgerät Ein mit Cisco NAC kompatibles Netzwerkgerät. UnterstützteNetzzugangsgeräte sind unter anderem verschiedene CiscoRouter, Firewalls und Zugangspunkte sowie Geräte andererHersteller mit Terminal Access Controller Access ControlSystem (TACACS+) oder Remote Authentication Dial-In UserService (RADIUS) Protokoll.

Eine Liste aller unterstützten Geräte finden Sie unterUnterstützte Plattformen und Anforderungen auf Seite 16-24.

Cisco Secure AccessControl Server (ACS)

Der ACS Server empfängt über das NetzzugangsgerätAntiviren-Daten vom OfficeScan Client und leitet sie zurÜberprüfung an eine externe Benutzerdatenbank weiter. DasErgebnis der Überprüfung, das Anweisungen für denOfficeScan Client enthalten kann, wird dann an dasNetzzugangsgerät weitergeleitet.

Policy Server Ein Programm, das Antiviren-Daten vom OfficeScan Clientempfängt und auswertet. Nach der Auswertung bestimmt derPolicy Server, welche Aktionen auf dem OfficeScan Clientdurchgeführt werden sollen, und sendet eine entsprechendeBenachrichtigung an den OfficeScan Client.

OfficeScan Server Der OfficeScan Server informiert den Policy Server über dieaktuellen Versionen des Viren-Patterns und Viren-Scan-Engine.Der Policy Server überprüft anhand dieser Daten den Antiviren-Status des OfficeScan Clients.


16-5

BegriffeMachen Sie sich mit den folgenden Begriffen in Zusammenhang mit Policy Server fürCisco NAC vertraut:

TABELLE 16-2. Policy Server für Cisco NAC Begriffe

BEGRIFF DEFINITION

Sicherheitszustand

Das Vorhandensein und die Aktualität von Antiviren-Software aufeinem OfficeScan Client. Bei der vorliegenden Implementierungbezieht sich der Sicherheitszustand auf das Vorhandensein desOfficeScan Client-Programms auf Client-Computern, den Statusbestimmter OfficeScan Client-Einstellungen und die Aktualität vonViren-Scan-Engine und Viren-Pattern.

Zustands-Token

Der Zustands-Token wird vom Policy Server nach der Validierung desOfficeScan Clients erzeugt. Die ermittelten Informationen lösenbestimmte Aktionen auf dem OfficeScan Client aus (z. B.Echtzeitsuche aktivieren oder Antiviren-Komponenten aktualisieren).

Client-Validierung

Die Auswertung des Sicherheitszustands eines Clients und dieRücksendung des Zustands-Tokens an den OfficeScan Client

Policy ServerRegel

Richtlinien mit konfigurierbaren Kriterien, anhand derer der PolicyServer den Sicherheitszustand des OfficeScan Clients beurteilenkann. Eine Regel enthält außerdem Aktionen, die von OfficeScanClient und Policy Server auszuführen sind, wenn die Angaben zumSicherheitszustand mit den Kriterien übereinstimmen (weitereInformationen finden Sie unter Richtlinien und Regeln des PolicyServers auf Seite 16-11).

Policy ServerRichtlinie

Eine Reihe von Richtlinien, mit denen der Policy Server denSicherheitszustand der OfficeScan Clients bewertet. Richtlinienumfassen auch Aktionen, die von OfficeScan Clients und dem PolicyServer auszuführen sind, wenn die Kriterien in den Regeln derRichtlinie nicht mit dem Sicherheitszustand übereinstimmen(ausführliche Informationen finden Sie unter Richtlinien und Regelndes Policy Servers auf Seite 16-11).


16-6

BEGRIFF DEFINITION

Authentifizierung, Autorisierungund Accounting(AAA)

Dies sind die drei wesentlichen Dienste, mit denen der Zugriff desEndbenutzer-Clients auf Computerressourcen kontrolliert werdenkann. Authentifizierung ist die Identifikation eines Clients (meist durchdie Eingabe von Benutzernamen und Kennwort). Autorisierung beziehtsich auf das Ausführen bestimmter Befehle durch den Benutzer imRahmen der Zugriffsrechte. Accounting bezeichnet das Zählen derRessourcen (meist anhand von Protokollen), die während einerSitzung verwendet wurden. Der Cisco Secure Access Control Server(ACS) ist die Cisco Implementierung eines AAA Servers.

CertificateAuthority (CA)

Die Certificate Authority erstellt digitale Zertifikate, die zurAuthentifizierung und sicheren Verbindung zwischen Computern und/oder Servern verwendet werden.

DigitaleZertifikate

Dateianhang als Sicherheitsmechanismus. In der Regel ermöglichensie Servern (z. B. Webservern) die Authentifizierung von Client-Computern. Zertifikate enthalten die folgenden Informationen:Angaben zur Identität des Benutzers, einen Public Key (für dieVerschlüsselung der Daten) und die digitale Signatur einer CertificateAuthority (CA), um die Gültigkeit des Zertifikats zu bestätigen.

RemoteAuthenticationDial-In UserService(RADIUS)

Bei Verwendung des Authentifizierungssystems RADIUS ist dieEingabe von Benutzernamen und Kennwort auf dem Clienterforderlich. RADIUS wird von Cisco Secure ACS Servern unterstützt.

TerminalAccessControllerAccess ControlSystem(TACACS+)

Dieses Sicherheitsprotokoll wird durch AAA-Befehle aktiviert und zurAuthentifizierung der Endbenutzer-Clients verwendet. TACACS+ wirdvon Cisco ACS Servern unterstützt.


16-7

Cisco NAC ArchitekturDas folgende Diagramm illustriert die grundlegende Cisco NAC Architektur.

ABBILDUNG 16-1. Grundlegende Cisco NAC Architektur

Auf dem OfficeScan Client in dieser Abbildung ist CTA installiert. Der Zugriff auf dasNetzwerk ist nur über ein Netzzugangsgerät mit Cisco NAC Unterstützung möglich.Das Netzzugangsgerät befindet sich zwischen dem Client und den anderen Cisco NACKomponenten.

Hinweis

Bei Einsatz von Proxy-Servern, Routern oder Firewalls ergibt sich möglicherweise eineandere Netzwerkarchitektur.


16-8

Die Client-ValidierungssequenzOfficeScan Client-Validierung ist der Prozess der Auswertung des Sicherheitszustandseines OfficeScan Clients und der daraus resultierenden Anweisungen an den gefährdetenOfficeScan Client zur Durchführung bestimmter Aktionen. Der Policy Server validierteinen OfficeScan Client anhand konfigurierbarer Regeln und Richtlinien.

Nachfolgend wird die Abfolge der Ereignisse dargestellt, die beim Zugriff einesOfficeScan Clients auf das Netzwerk auftreten:

1. Das Cisco Netzzugangsgerät beginnt mit der Validierungssequenz: Es fragt denSicherheitszustand des Clients beim Zugriff auf das Netzwerk ab.

2. Anschließend leitet es diese Daten an den ACS Server weiter.

3. Der ACS Server leitet den Sicherheitszustand an den Policy Server zur Auswertungweiter.

4. Er kann außerdem Versionsinformationen über Viren-Pattern und Viren-Scan-Engine vom OfficeScan Server abrufen, um seine Daten auf dem neuesten Standzu halten. Anhand einer von Ihnen festgelegten Richtlinie werden diese Datendann mit den Daten zum OfficeScan Client-Sicherheitszustand verglichen.

5. Anschließend erstellt der Policy Server einen Zustands-Token und sendet diesen anden OfficeScan Client zurück.


16-9

6. Der OfficeScan Client führt die im Zustands-Token konfigurierten Aktionen aus.

ABBILDUNG 16-2. Validierungssequenz für den Netzwerkzugriff


16-10

Der Policy ServerDer Policy Server ist für die Auswertung des Sicherheitszustands des OfficeScan Clientsund für die Erstellung des Zustands-Tokens verantwortlich. Hierbei wird derSicherheitszustand mit der neuesten Version des Viren-Patterns und der Scan Enginedes OfficeScan Servers abgeglichen, dem der OfficeScan Client zugewiesen ist. DerPolicy Server sendet den Zustands-Token an den Cisco Secure ACS Server zurück, derihn wiederum über das Cisco Netzzugangsgerät an den OfficeScan Client übermittelt.

Beim gleichzeitigen Zugriff vieler Clients auf das Netzwerk kann die Leistung optimiertwerden, indem Sie mehrere Policy Server in einem Netzwerk installieren. Diese PolicyServer können auch als Backup-Server dienen, falls ein Policy Server ausfällt. Wennmehrere OfficeScan Server in einem Netzwerk installiert sind, bearbeitet der PolicyServer die Anfragen aller OfficeScan Server, die ihm zugeordnet sind. Auf dieselbeWeise können mehrere Policy Server Anfragen von einem einzigen OfficeScan Server


16-11

bearbeiten, der bei allen Policy Servern registriert ist. Die folgende Abbildung illustriertdie Beziehung von mehreren OfficeScan Servern und Policy Servern.

ABBILDUNG 16-3. Beziehungen zwischen mehreren Policy Servern und OfficeScanServern

Policy Server und OfficeScan Server können auf demselben Computer installiertwerden.

Richtlinien und Regeln des Policy ServersZur Umsetzung der Sicherheitsrichtlinien im Unternehmen verwenden Policy Serverkonfigurierbare Regeln und Richtlinien.

Der Policy Server vergleicht die in den Regeln definierten Kriterien mit demSicherheitszustand der OfficeScan Clients. Wenn der Sicherheitszustand des Clients mitden in der Regel definierten Kriterien übereinstimmt, führen Client und Server dieAktionen aus, die in der Regel festgelegt wurden (siehe Aktionen des Policy Servers und desOfficeScan Clients auf Seite 16-13).


16-12

Richtlinien bestehen aus einer oder mehreren Regeln. Weisen Sie jedem registriertenOfficeScan Server im Netzwerk jeweils eine Richtlinie für denAusbruchspräventionsmodus und eine Richtlinie für den Normalmodus zu (weitereInformationen über die verschiedenen Netzwerkmodi finden Sie unter Ausbrüche vonSicherheitsrisiken auf Seite 7-104).

Wenn der Sicherheitszustand des OfficeScan Clients mit den Kriterien einer in derRichtlinie enthaltenen Regel übereinstimmt, führt der OfficeScan Client die in der Regelkonfigurierten Aktionen aus. Wenn der Sicherheitszustand des OfficeScan Clients nichtmit den Kriterien einer der in der Richtlinie enthaltenen Regeln übereinstimmt, könnenfür OfficeScan Client und Server dennoch Standardaktionen für die Richtlinie festgelegtwerden (siehe Aktionen des Policy Servers und des OfficeScan Clients auf Seite 16-13).

Tipp

Wenn Sie bestimmten OfficeScan Clients innerhalb einer OfficeScan Domäne andereRichtlinien für den Ausbruchspräventionsmodus und den Normalmodus zuweisenmöchten als anderen OfficeScan Clients in derselben Domäne, empfiehlt Trend Micro eineUmstrukturierung der Domänen, so dass OfficeScan Clients mit ähnlichen Anforderungenjeweils eine Domäne bilden (siehe OfficeScan Domänen auf Seite 2-53).

Regeln zusammenstellen

Regeln bestehen aus Kriterien für den Sicherheitszustand, Standardantworten, die vonbestimmten OfficeScan Clients erwartet werden, und Aktionen, die von OfficeScanClients und dem Policy Server ausgeführt werden.

Kriterien für den Sicherheitszustand

Regeln umfassen die folgenden Kriterien für den Sicherheitszustand:

• Status des Client-Computers: Befindet sich der OfficeScan Client-Computer imBootstatus?

• Status der Client-Echtzeitsuche: Ist die Echtzeitsuche aktiviert oder deaktiviert?

• Aktualität der Scan Engine auf dem Client: Ist die Viren-Scan-Engine auf demneuesten Stand?


16-13

• Status der Pattern-Datei auf dem Client: Wie aktuell ist das Viren-Pattern? DerPolicy Server überprüft dazu eine der folgenden Kriterien:

• Ist das Viren-Pattern eine bestimmte Anzahl von Versionsnummern älter alsdie Version auf dem Policy Server?

• Wurde das Viren-Pattern eine bestimmte Anzahl von Tagen vor derValidierung veröffentlicht?

Standardantworten für Regeln

Antworten geben Ihnen bei der OfficeScan Client-Validierung Aufschluss über denZustand der OfficeScan Clients im Netzwerk. Diese Antworten, die in denValidierungsprotokollen der Policy Server Clients enthalten sind, entsprechen denZustand-Tokens. Treffen Sie Ihre Auswahl aus den folgenden Standardantworten:

• Nicht infiziert: Der OfficeScan Client-Computer entspricht den geltendenSicherheitsrichtlinien und ist nicht infiziert.

• Überprüfen: Die Antiviren-Komponenten des OfficeScan Clients müssenaktualisiert werden.

• Infiziert: Der OfficeScan Client-Computer ist infiziert oder stark gefährdet.

• Übergang: Der OfficeScan Client-Computer befindet sich im Bootstatus.

• Quarantäne: Der OfficeScan Client-Computer ist stark gefährdet und mussisoliert werden.

• Unbekannt: Jeder andere Zustand.

HinweisEs können keine Antworten hinzugefügt, gelöscht oder geändert werden.

Aktionen des Policy Servers und des OfficeScan Clients

Wenn der Sicherheitszustand des OfficeScan Clients den Regelkriterien entspricht, kannder Policy Server einen Eintrag in einem Client-Validierungsprotokoll eines PolicyServers vornehmen (weitere Informationen hierzu finden Sie unter Client-Validierungsprotokolle auf Seite 16-48).


16-14

Der OfficeScan Client kann die folgenden Aktionen ausführen, wenn derSicherheitszustand des Clients den Regelkriterien entspricht:

• Die Echtzeitsuche aktivieren, damit der Client alle Dateien durchsucht, wenn diesegeöffnet oder gespeichert werden (weitere Informationen finden Sie unterEchtzeitsuche auf Seite 7-16).

• Alle OfficeScan Komponenten aktualisieren (weitere Informationen finden Sieunter OfficeScan Komponenten und Programme auf Seite 6-2).

• Den OfficeScan Client durchsuchen (Jetzt durchsuchen), nachdem dieEchtzeitsuche aktiviert oder ein Update ausgeführt wurde

• Eine Benachrichtigung auf dem OfficeScan Client-Computer anzeigen

Standardregeln

Verwenden Sie die Standardregeln des Policy Servers als Basis für die KonfigurationIhrer eigenen Einstellungen. Die Regeln enthalten allgemeine und empfohleneSicherheitsanforderungen und -aktionen. Folgende Standardregeln sind verfügbar:

TABELLE 16-3. Standardregeln

REGELNAMEÜBEREINSTIMMUN

GSKRITERIEN

ANTWORT,WENN

KRITERIENERFÜLLT SIND

SERVERAKTION

OFFICESCAN CLIENT-AKTION

Nichtinfiziert

DieEchtzeitsucheist aktiviert, unddie Viren-Scan-Engine und dasViren-Patternsind auf demneuesten Stand

Nichtinfiziert

Keine Keine


16-15


GSKRITERIEN

ANTWORT,WENN


SERVERAKTION


Überprüfen Das Viren-Pattern desClients istmindestens eineVersionsnummer älter als dasViren-Patterndes OfficeScanServers, beidem derOfficeScanClient registriertist.

Überprüfen Eintrag imClient-Validierungsprotokoll erstellen

• Komponentenaktualisieren

• Auf dem OfficeScanClient wirdautomatisch "Jetztsäubern" ausgeführt,nachdem dieEchtzeitsuche aktiviertoder ein Updateausgeführt wurde

• Benachrichtigung aufdem OfficeScan Client-Computer anzeigen

TippWenn Sie dieseRegel verwenden,verwenden Sie dieautomatischeVerteilung. So wirdsichergestellt, dassdie OfficeScanClients das neuesteViren-Patternerhalten, sobald derOfficeScan Serverneue Komponentenheruntergeladen hat.

Übergang Der OfficeScanClient-Computerbefindet sich imBootstatus.

Übergang Keine Keine


16-16


GSKRITERIEN

ANTWORT,WENN


SERVERAKTION


Quarantäne Das Viren-Pattern desClients istmindestens fünfVersionsnummern älter als dasViren-Patterndes OfficeScanServers, beidem derOfficeScanClient registriertist.

Quarantäne Eintrag imClient-Validierungsprotokoll erstellen

• Komponentenaktualisieren

• Auf dem OfficeScanClient wirdautomatisch "Jetztsäubern" und "Jetztdurchsuchen"ausgeführt, nachdemdie Echtzeitsucheaktiviert oder einUpdate durchgeführtwurde


Nichtgeschützt

DieEchtzeitsucheist deaktiviert.

Infiziert Eintrag imClient-Validierungsprotokoll erstellen

• OfficeScan Client-Echtzeitsucheaktivieren


Richtlinien zusammenstellenRichtlinien bestehen aus einer beliebigen Anzahl von Regeln, Standardantworten undAktionen.

• Regeln umsetzen

Da der Policy Server die Regeln in einer vorgegebenen Reihenfolge durchsetzt,können die Regeln nach Priorität geordnet werden. Sie können die Reihenfolge derRegeln ändern, neue Regeln hinzufügen oder vorhandene Regeln aus einerRichtlinie entfernen.

• Standardantworten für Richtlinien


16-17

Ebenso wie Regeln enthalten Richtlinien Standardantworten, die Ihnen bei derClient-Validierung Auskunft über den Zustand der OfficeScan Clients in IhremNetzwerk geben. Die Standardantworten werden den Clients jedoch nur dannzugeordnet, wenn der Sicherheitsstatus des Clients NICHT mit den Regeln in derRichtlinie übereinstimmt.

Die Antworten sind für Richtlinien und Regeln gleich (eine Liste der Antwortenfinden Sie unter Standardantworten für Regeln auf Seite 16-13).

• Aktionen des Policy Servers und des OfficeScan Clients

Zur Durchsetzung von Regeln auf den Clients gleicht der Policy Server dieAngaben zum Sicherheitszustand des OfficeScan Clients mit jeder Regel derRichtlinie ab. Regeln werden von oben nach unten angewendet, gemäß den auf derWebkonsole festgelegten Regeln. Wenn der Sicherheitszustand des OfficeScanClients mit einer der Regeln übereinstimmt, wird die entsprechende Aktion aufdem OfficeScan Client ausgeführt. Gibt es keine passenden Regeln, gilt dieStandardregel, und die entsprechende Aktion wird auf den Clients ausgeführt.

Die Standardrichtlinie für den Ausbruchmodus bewertet OfficeScan Clientsanhand der "Nicht infiziert"-Regel. Sie zwingt alle OfficeScan Clients, die nicht mitdieser Regel übereinstimmen, sofort die Aktionen für die Antwort "Infiziert"durchzuführen.

Die Standardrichtlinie für den Normalmodus bewertet OfficeScan Clients anhandaller Regeln außer der "Nicht infiziert"-Regel (Übergang, Nicht geschützt,Quarantäne, Überprüfen). Alle OfficeScan Clients, die mit keiner dieser Regelnübereinstimmen, werden als "nicht infiziert" eingestuft, und die Aktionen für die"Nicht infiziert"-Regel werden angewendet.

Standardrichtlinien

Verwenden Sie die Standardrichtlinien des Policy Servers als Basis für die KonfigurationIhrer eigenen Einstellungen. Es sind zwei Richtlinien verfügbar: eine für denNormalmodus und eine für den Ausbruchsmodus.


16-18

TABELLE 16-4. Standardrichtlinien

NAME DER RICHTLINIE BESCHREIBUNG

Standardrichtlinie fürden Normalmodus

• Standardregeln der Richtlinie: Übergang, Nicht geschützt,Quarantäne und Überprüfen

• Antwort, wenn keine der Regeln zutrifft: Nicht infiziert

• Serveraktion: Keine

• OfficeScan Client-Aktion: Keine

Standardrichtlinie fürden Ausbruchmodus

• Standardregeln der Richtlinie: Nicht infiziert

• Antwort, wenn keine der Regeln zutrifft: Infiziert

• Serveraktion: Eintrag im Client-Validierungsprotokollerstellen

• OfficeScan Client-Aktion:

• Client-Echtzeitsuche aktivieren

• Komponenten aktualisieren

• Auf dem OfficeScan Client wird "Jetzt durchsuchen"ausgeführt, nachdem die Echtzeitsuche aktiviert oderein Update ausgeführt wurde

• Eine Benachrichtigung auf dem OfficeScan Client-Computer anzeigen

SynchronisierungSynchronisieren Sie den Policy Server regelmäßig mit den registrierten OfficeScanServern, damit die Versionen des Viren-Pattern und der Viren-Scan-Engine sowie derAusbruchspräventionsstatus des Policy Servers (im Normalmodus oder imAusbruchspräventionsmodus) stets auf dem Stand des OfficeScan Servers bleiben.Verwenden Sie die folgenden Methoden zur Synchronisierung:

• Manuell: Die Synchronisierung zu einem beliebigen Zeitpunkt im Fenster"Übersicht" durchführen (siehe Zusammenfassende Informationen über einen Policy Serverauf Seite 16-44).


16-19

• Zeitgesteuert: Sie können einen Zeitplan für die zeitgesteuerte Synchronisierungfestlegen (siehe Administrative Aufgaben auf Seite 16-48).

ZertifikateDie Technologie von Cisco NAC verwendet für die Kommunikation zwischen denverschiedenen Komponenten folgende digitale Zertifikate:

TABELLE 16-5. Cisco NAC Zertifikate

ZERTIFIKAT BESCHREIBUNG

ACS Zertifikat Dient zur vertrauenswürdigen Kommunikation zwischen demACS Server und dem Certificate Authority (CA) Server. DerCertificate Authority Server bestätigt das ACS-Zertifikat, bevorSie es auf dem ACS Server speichern.

CA-Zertifikat Dieses Zertifikat authentifiziert OfficeScan Clients für den CiscoACS Server. Der OfficeScan Server verteilt das CA-Zertifikatsowohl an den ACS Server als auch an die Client-Computer(hierfür werden Datenpakete mit dem Cisco Trust Agent erstellt).

Policy Server SSL-Zertifikat

Dieses Zertifikat gewährleistet eine sichere HTTPS-Kommunikation zwischen Policy Server und ACS Server. DasInstallationsprogramm des Policy Servers erzeugt das PolicyServer SSL Zertifikat automatisch während der Installation.

Das SSL-Zertifikat des Policy Servers ist optional. Sie sollten esjedoch verwenden, um die ausgetauschten Daten zwischen demPolicy Server und dem ACS Server zu verschlüsseln.


16-20

Die Abbildung unten zeigt, wie ACS und CA-Zertifikate erstellt, verteilt und installiertwerden:

ABBILDUNG 16-4. Erstellung und Verteilung von ACS und CA-Zertifikaten

1. Der CA-Server stellt das angeforderte ACS-Zertifikat nach Anfrage durch den ACSServer aus. Das ACS-Zertifikat wird dann auf dem ACS Server installiert. WeitereInformationen finden Sie unter Cisco Secure ACS Server registrieren auf Seite 16-27.

2. Ein CA-Zertifikat wird vom CA-Server auf den ACS Server exportiert und dortinstalliert. Ausführliche Hinweise finden Sie unter Installation des CA-Zertifikats aufSeite 16-27.

3. Eine Kopie dieses CA-Zertifikats wird auf dem OfficeScan Server gespeichert.


16-21

4. Der OfficeScan Server verteilt und installiert das CA-Zertifikat über den TrustAgent an alle OfficeScan Clients. Ausführliche Hinweise finden Sie unter CiscoTrust Agent verteilen auf Seite 16-30.

Das CA-Zertifikat

OfficeScan Clients, auf denen der CTA installiert ist, authentifizieren sich vor demVersand von Daten zum Sicherheitszustand der Clients beim ACS Server. Für dieseAuthentifizierung stehen mehrere Methoden zur Verfügung (ausführliche Hinweisefinden Sie in der Dokumentation zu Cisco Secure ACS). Sie haben z. B. bereits dieComputerauthentifizierung für Cisco Secure ACS mit Windows Active Directoryaktiviert. Diese können Sie so einstellen, dass beim Hinzufügen eines neuen Computerszum Active Directory automatisch ein Endbenutzer-Client-Zertifikat erstellt wird.Weitere Inforamtionen finden Sie in der Microsoft Knowledge Base, Artikel 313407,HOW TO: Automatische Zertifikatsanforderungen mit Gruppenrichtlinie in Windowserstellen.

OfficeScan bietet Benutzern, die über einen eigenen Certificate Authority (CA) Serververfügen, deren Endbenutzer jedoch noch keine Zertifikate verwenden, die Möglichkeit,ein Root-Zertifikat an die OfficeScan Clients zu verteilen. Das Zertifikat kann währendder Installation von OfficeScan oder über die OfficeScan Webkonsole verteilt werden.OfficeScan verteilt das Zertifikat zusammen mit dem Cisco Trust Agent an dieOfficeScan Clients (siehe Cisco Trust Agent verteilen auf Seite 16-30).

HinweisWenn Sie bereits ein Zertifikat von einem Certificate Authority Server erhalten oder eineigenes Zertifikat erstellt und an die Endbenutzer-Clients verteilt haben, ist keine erneuteVerteilung erforderlich.

Melden Sie den ACS Server vor der Verteilung des Zertifikats an die OfficeScan Clientsam CA-Server an, und bereiten Sie anschließend das Zertifikat vor (Einzelheiten findenSie unter Cisco Secure ACS Server registrieren auf Seite 16-27).


16-22

Systemvoraussetzungen für Policy ServerStellen Sie vor der Installation des Policy Server sicher, dass Ihr Computer die folgendenVoraussetzungen erfüllt:

TABELLE 16-6. Systemvoraussetzungen für Policy Server

HARDWARE/SOFTWARE

VORAUSSETZUNGEN

Betriebssystem • Windows 2000 Professional mit Service Pack 4

• Windows 2000 Server mit Service Pack 4

• Windows 2000 Advanced Server mit Service Pack 4

• Windows XP Professional mit Service Pack 3 oder höher, 32Bit und 64 Bit

• Windows Server 2003 (Standard und Enterprise Edition) mitService Pack 2 oder höher, 32 Bit und 64 Bit

Hardware • 300 MHz Intel Pentium II oder vergleichbarer Prozessor

• 128 MB Arbeitsspeicher

• 300 MB verfügbarer Festplattenspeicher

• Monitor mit einer Mindestauflösung von 800 x 600 bei 256Farben oder mehr

Webserver • Microsoft Internet Information Server (IIS) Versionen 5.0 oder6.0

• Apache Webserver 2.0 oder höher (nur für Windows2000/XP/Server 2003)


16-23

HARDWARE/SOFTWARE

VORAUSSETZUNGEN

Webkonsole Folgende Systemanforderungen werden für die Webkonsole desOfficeScan Servers vorausgesetzt:

• 133 MHz Intel Pentium oder vergleichbarer Prozessor

• 64MB Arbeitsspeicher

• 30MB verfügbarer Festplattenspeicher

• Monitor mit einer Mindestauflösung von 800 x 600 bei 256Farben oder mehr

• Microsoft Internet Explorer 5.5 (oder höher)

Systemvoraussetzungen für Cisco Trust Agent(CTA)

Stellen Sie vor der Verteilung von Cisco Trust Agent auf Client-Computern sicher, dassdie Computer die folgenden Voraussetzungen erfüllen:

Hinweis

Cisco Trust Agent unterstützt nicht IPv6. Sie können den Agent nicht auf reine IPv6-Endpunkte verteilen.

TABELLE 16-7. Systemvoraussetzungen für Cisco Trust Agent (CTA)

HARDWARE/SOFTWARE

VORAUSSETZUNGEN

Betriebssystem • Windows 2000 Professional und Server mit Service Pack 4

• Windows XP Professional mit Service Pack 3 oder höher, 32Bit

• Windows Server 2003 (Standard und Enterprise Edition) mitService Pack 2 oder höher, 32 Bit


16-24

HARDWARE/SOFTWARE

VORAUSSETZUNGEN

Hardware • 200 MHz Intel Pentium Prozessor (einzeln oder mehrere)

• 128 MB RAM für Windows 2000

• 256 MB Arbeitsspeicher unter Windows XP und WindowsServer 2003

• 5 MB verfügbarer Festplattenspeicher (20 MB empfohlen)

Andere • Windows Installer 2.0 oder höher

Unterstützte Plattformen und AnforderungenFolgende Plattformen sind mit Cisco NAC kompatibel:

TABELLE 16-8. Unterstützte Plattformen und Anforderungen

UNTERSTÜTZTEPLATTFORM

MODELLE IOS IMAGESMINDESTGRÖSSESPEICHER/FLASH

Router

Cisco 830, 870Series

831, 836, 837 IOS 12.3(8) oderhöher

48MB/8MB

Cisco 1700 Series 1701, 1711, 1712,1721, 1751, 1751-V,1760

IOS 12.3(8) oderhöher

64MB/16MB

Cisco 1800 Series 1841 IOS 12.3(8) oderhöher

128MB/32MB

Cisco 2600 Series 2600XM, 2691 IOS 12.3(8) oderhöher

96MB/32MB

Cisco 2800 Series 2801, 2811, 2821,2851


128MB/64MB

Cisco 3600 Series 3640/3640A, 3660-ENT Series


48MB/16MB


16-25

UNTERSTÜTZTEPLATTFORM

MODELLE IOS IMAGESMINDESTGRÖSSESPEICHER/FLASH

Cisco 3700 Series 3745, 3725 IOS 12.3(8) oderhöher

128MB/32MB

Cisco 3800 Series 3845, 3825 IOS 12.3(8) oderhöher

256MB/64MB

Cisco 7200 Series 720x, 75xx IOS 12.3(8) oderhöher

128MB/48MB

VPN-Konzentratoren

Cisco VPN 3000Series

3005 - 3080 V4.7 oder höher n. v.

Switches

Cisco Catalyst 2900 2950, 2970 IOS 12.1(22)EA5 n. v.

Cisco Catalyst 3x00 3550, 3560, 3750 IOS 12.2(25)SEC n. v.

Cisco Catalyst 4x00 Supervisor 2+ oderhöher

IOS 12.2(25)EWA n. v.

Cisco Catalyst 6500 6503, 6509,Supervisor 2 oderhöher

CatOS 8.5 oderhöher

Sup2 - 128MB,Sup32 - 256MB,Sup720 - 512MB

Wireless Access Points

Cisco AP1200Series

1230 n. v. n. v.

Policy Server für NAC verteilenDie folgenden Vorgehensweisen dienen nur als Hinweis und können sich im Fall vonUpdates der Microsoft und/oder Cisco Schnittstellen ändern.

Bevor Sie Arbeitsschritte durchführen, sollten Sie überprüfen, ob die Netzzugangsgerätein Ihrem Netzwerk mit Cisco NAC kompatibel sind (siehe Unterstützte Plattformen undAnforderungen auf Seite 16-24). Anleitungen zur Installation und Konfiguration finden Sie


16-26

in der Dokumentation für Ihr Netzzugangsgerät. Installieren Sie in Ihrem Netzwerkauch den ACS Server. Eine Installationsanleitung finden Sie in der Cisco Secure ACS-Dokumentation.

1. Installieren Sie den OfficeScan Server im Netzwerk (weitere Informationen findenSie im Installations- und Upgrade-Handbuch).

2. Installieren Sie das OfficeScan Client-Programm auf allen Clients, derenVirenschutz von Policy Server ausgewertet werden soll.

3. Registrieren Sie den Cisco Secure ACS Server. Stellen Sie eine vertrauenswürdigeBeziehung zwischen dem ACS Server und der Certificate Authority (CA) her,indem Sie über den ACS Server ein Zertifikat anfordern. Speichern Sie das von derCA signierte Zertifikat (auch ACS-Zertifikat genannt) anschließend auf dem ACSServer (weitere Informationen finden Sie unter Cisco Secure ACS Server registrieren aufSeite 16-27).

4. Exportieren Sie das CA-Zertifikat auf den ACS-Server, und speichern Sie eineKopie auf dem OfficeScan Server. Dieser Schritt ist nur dann erforderlich, wennnoch kein Zertifikat an die Clients und den ACS Server übertragen wurde (sieheInstallation des CA-Zertifikats auf Seite 16-27).

5. Verteilen Sie den Cisco Trust Agent und das CA-Zertifikat auf alle OfficeScanClients, damit sie Informationen über ihren Sicherheitszustand an den PolicyServer senden können (siehe Cisco Trust Agent verteilen auf Seite 16-30).

6. Installieren Sie Policy Server für Cisco NAC, um Anfragen vom ACS Server zubearbeiten (siehe Installation des Policy Servers für Cisco NAC auf Seite 16-35).

7. Exportieren Sie ein SSL-Zertifikat vom Policy Server auf den Cisco ACS Server,damit diese über eine sichere SSL-Verbindung miteinander kommunizieren können(siehe Installation des Policy Servers für Cisco NAC auf Seite 16-35).

8. Konfigurieren Sie den ACS Server so, dass Anfragen zur Zustandsvalidierung anden Policy Server übertragen werden können (siehe Konfiguration des ACS Servers aufSeite 16-42).

9. Konfigurieren Sie den Policy Server für Cisco NAC: Erstellen und ändern SieRegeln und Richtlinien von Policy Server, damit die Sicherheitsstrategie IhresUnternehmens auf allen OfficeScan Clients durchgesetzt wird (siehe Konfigurationdes Policy Servers für Cisco NAC auf Seite 16-42).


16-27

Cisco Secure ACS Server registrierenMelden Sie den Cisco Secure ACS Server auf dem CA-Server an, um einevertrauenswürdige Beziehung zwischen den beiden Servern herzustellen. Mit demfolgenden Verfahren können Benutzer mit einem Windows CA-Server dieverschiedenen Zertifikate im Netzwerk verwalten. Wenn Sie eine andere CA-Anwendung oder einen anderen Service verwenden, finden Sie weitere Informationen inder Dokumentation des Herstellers. Weitere Informationen zum Anmelden einesZertifikats finden Sie in der Dokumentation des ACS Servers.

Installation des CA-ZertifikatsDer OfficeScan Client führt vor dem Versand von Daten über den Sicherheitszustandeine Authentifizierung mit dem ACS Server durch. Dies ist nur möglich, wenn das CA-Zertifikat vorhanden ist. Exportieren Sie zunächst das CA-Zertifikat vom CA-Server aufden ACS Server und den OfficeScan Server, und erstellen Sie dann das Paket für dieVerteilung des CTA Agents. Das Paket umfasst das CA-Zertifikat (siehe Das CA-Zertifikat auf Seite 16-21 und Cisco Trust Agent verteilen auf Seite 16-30).

Das CA-Zertifikat exportieren und installieren:

• Exportieren Sie das CA-Zertifikat vom CA-Server.

• Installieren Sie es anschließend auf dem Cisco Secure ACS Server.

• Speichern Sie eine Kopie auf dem OfficeScan Server.

HinweisMit dem folgenden Verfahren können Benutzer mit einem Windows CA-Server dieverschiedenen Zertifikate im Netzwerk verwalten. Wenn Sie eine andere CA-Anwendungoder einen anderen Service verwenden, finden Sie weitere Informationen in derDokumentation des Herstellers.


16-28

Das CA-Zertifikat für die weitere Verteilung exportieren undinstallieren

Prozedur

1. Exportieren Sie das Zertifikat vom CA-Server:

a. Klicken Sie auf dem CA-Server auf Start > Ausführen.

Das Fenster "Ausführen" wird angezeigt.

b. Geben Sie mmc im Feld Öffnen ein.

Ein neues Fenster der Management-Konsole wird geöffnet.

c. Klicken Sie auf "Datei" > "Snap-In hinzufügen/entfernen".

Das Fenster "Snap-In hinzufügen/entfernen" wird angezeigt.

d. Klicken Sie auf Zertifikate und dann auf Hinzufügen.

Das Fenster Zertifikats-Snap-In wird angezeigt.

e. Wählen Sie die Option Computerkonto, und klicken Sie auf Weiter .

Das Fenster Computer auswählen wird angezeigt.

f. Wählen Sie die Option Lokaler Computer, und klicken Sie auf Fertigstellen.

g. Klicken Sie auf Schließen, um das Fenster Eigenständiges Snap-Inhinzufügen zu schließen.

h. Klicken Sie auf OK, um das Fenster "Snap-In hinzufügen/entfernen" zuschließen.

i. Klicken Sie in der Hierarchie-Ansicht der Konsole auf Zertifikate >Vertrauenswürdige Stammzertifizierungstellen > Zertifikate.

j. Wählen Sie aus der Liste einen ACS Server und das Zertifikat für die Clientsaus.

k. Klicken Sie auf Aktion > Alle Tasks > Exportieren....


16-29

Der Zertifikatsexport-Assistent wird geöffnet.

l. Klicken Sie auf Weiter.

m. Wählen Sie die Option DER-codiert-binär X.509, und klicken Sie aufWeiter.

n. Geben Sie nun einen Dateinamen an, und legen Sie fest, in welchesVerzeichnis das Zertifikat exportiert werden soll.

o. Klicken Sie auf Weiter.

p. Klicken Sie auf Fertig stellen.


q. Klicken Sie auf OK.

2. Installieren Sie das Zertifikat auf dem Cisco Secure ACS Server.

a. Klicken Sie auf System Configuration > ACS Certificate Setup > ACSCertification Authority Setup.

b. Geben Sie im Textfeld CA certificate file den vollständigen Pfad und denDateinamen des Zertifikats ein.

c. Klicken Sie auf Submit. Cisco Secure ACS fordert Sie nun dazu auf, denDienst neu zu starten.

d. Klicken Sie auf System Configuration > Service Control.

e. Klicken Sie dann auf Restart. Cisco Secure ACS wird neu gestartet.

f. Klicken Sie auf System Configuration > ACS Certificate Management >Edit Certificate Trust List. Das Fenster Edit Certificate Trust List wirdangezeigt.

g. Aktivieren Sie das Kontrollkästchen neben dem Zertifikat, das Sie in Schritt bimportiert haben, und klicken Sie dann auf Submit. Cisco Secure ACS fordertSie nun dazu auf, den Dienst neu zu starten.

h. Klicken Sie auf System Configuration > Service Control.

i. Klicken Sie dann auf Restart. Cisco Secure ACS wird neu gestartet.


16-30

3. Kopieren Sie das Zertifikat (im .CER-Dateiformat) auf den OfficeScan Server-Computer, um es mit Hilfe von CTA auf den Client zu verteilen (weitereInformationen finden Sie unter ).

Hinweis

Speichern Sie das Zertifikat auf einem lokalen Laufwerk und nicht auf zugewiesenenLaufwerken.

Cisco Trust Agent verteilenDer Cisco Trust Agent (CTA) ist ein Programm, das über den OfficeScan Serverausgeführt und auf Clients installiert wird. Dadurch kann der OfficeScan ClientAntiviren-Informationen an den Cisco ACS berichten.

Hinweis

Cisco Trust Agent unterstützt nicht IPv6. Sie können den Agent nicht auf reine IPv6-Endpunkte verteilen.

CTA während der OfficeScan Server-Installation verteilen

Wenn bereits vor der Installation des OfficeScan Servers ein CA-Zertifikat vorbereitetwurde, können Sie den CTA während der Installation verteilen. Die Option zumVerteilen des CTA befindet sich im Fenster Andere OfficeScan Programmeinstallieren des Setup-Programms. Informationen über die Installation des OfficeScanServers finden Sie im Installations- und Upgrade-Handbuch.

Prozedur

1. Wählen Sie im Fenster Andere OfficeScan Programme installieren die OptionCisco Trust Agent für Cisco NAC aus.

2. Klicken Sie auf Weiter, wenn bereits Zertifikate an Cisco Secure NACEndbenutzer-Clients verteilt wurden. Führen Sie anderenfalls zur Verteilung derZertifikate Folgendes aus:


16-31

a. Klicken Sie auf Zertifikat importieren.

b. Navigieren Sie zur vorbereiteten Zertifikatsdatei, wählen Sie diese aus, undklicken Sie auf Ok.

Weitere Informationen über die Vorbereitung der Zertifikatsdatei finden Sieunter Installation des CA-Zertifikats auf Seite 16-27.

c. Klicken Sie auf Weiter.

3. Setzen Sie Installation des OfficeScan Servers fort.

CTA über die OfficeScan Webkonsole verteilen

Die Option zur gleichzeitigen Durchführung der Installation/des Upgrades des CTAkann auch über die Webkonsole aktiviert werden. Vor der Installation/Aktualisierungdes CTA verteilen Sie das Client-Zertifikat an die OfficeScan Clients.

Hinweis

Die Client-Zertifikatsdatei wird von einem CA-Server (Certificate Authority) erzeugt. Sieerhalten die Zertifikatsdatei von Ihrem Trend Micro Vertriebspartner.

Wenn die Voraussetzungen zur Installation/zum Upgrade erfüllt sind, überprüfen Siedie Version des CTA, die installiert werden soll, unter Cisco NAC > Agent-Verwaltung. Installieren Sie anschließend den CTA auf den OfficeScan Clients überCisco NAC > Agent-Verteilung. Die Option zur Deinstallation des CTA finden Sieauch im Fenster "Agent-Verteilung".

Installieren Sie vor der Verteilung des Agents auf OfficeScan Clients unter Windows2000/XP den Windows Installer 2.0 für NT 4.0.

Client-Zertifikat importieren

Das Client- (oder CA-)Zertifikat authentifiziert Endbenutzer-Clients von OfficeScangegenüber dem Cisco ACS Server. Der OfficeScan Server verteilt das CA-Zertifikat andie OfficeScan Clients zusammen mit dem Cisco Trust Agent (CTA). Importieren Siedaher das Zertifikat auf den OfficeScan Server, bevor Sie den CTA verteilen.


16-32

Prozedur

1. Öffnen Sie auf dem OfficeScan Server die Webkonsole, und klicken Sie auf CiscoNAC > Client-Zertifikat.

2. Geben Sie den genauen Pfad des Zertifikats ein.

3. Geben Sie den vollständigen Pfad und den Dateinamen des vorbereiteten CA-Zertifikats auf dem Server ein (Beispiel: C:\CiscoNAC\certificate.cer).Weitere Informationen zur Vorbereitung des CA-Zertifikats erhalten Sie unterInstallation des CA-Zertifikats auf Seite 16-27.

4. Klicken Sie auf Importieren.

Klicken Sie auf Zurücksetzen, um den Eintrag im Feld zu löschen.

Version von Cisco Trust Agent

Überprüfen Sie vor der Installation des CTA auf den Clients die zu installierende CTA-Version (Cisco Trust Agent oder Cisco Trust Agent Supplicant). Der einzigeUnterschied zwischen diesen beiden Versionen besteht darin, dass das Supplicant-Paketin der Sicherungsschicht (Ebene 2) die Authentifizierung für den Computer und denEndbenutzer erfordert.

Falls Ihr Cisco NAC Access Control Server (ACS) Version 4.0 oder höher ist,aktualisieren Sie den Cisco Trust Agent auf den Clients auf Version 2.0.

Die CTA-Version überprüfen

Prozedur

1. Öffnen Sie auf dem OfficeScan Server die Webkonsole, und klicken Sie auf CiscoNAC > Agent-Verwaltung.

2. Klicken Sie auf Verwenden <CTA-Version>.

Der OfficeScan Server beginnt damit, die neue Version zu verwenden.


16-33

Das CTA-Paket manuell ersetzen

Sie können das CTA-Paket manuell auf dem OfficeScan Server ersetzen, wenn Sie einebestimmte Version verwenden möchten.

Prozedur

1. Kopieren Sie die .msi-Datei der CTA-Version, die Sie verwenden möchten, ineinen der folgenden Ordner:

• <Installationsordner des Servers>\PCCSRV\Admin\Utility\CTA\CTA-Package

• <Installationsordner des Servers>\PCCSRV\Admin\Utility\CTA\ CTA-Supplicant-Package

2. Kopieren Sie die folgenden Dateien in den Ordner <Installationsordnerdes Servers>\ PCCSRV\Admin\Utility\CTA\PosturePlugin:TmabPP.dll, tmabpp.inf und TmAbPpAct.exe.

3. Navigieren Sie auf der Webkonsole zu Cisco NAC > Agent-Verwaltung, undklicken Sie auf Verwenden <CTA-Version>.

Nach dem Agent-Upgrade werden die Dateien im Archiv PostureAgent.zip als CTAVerteilungspaket komprimiert und im Ordner <Installationsordner desServers>\PCCSRV\download\Product gespeichert.

Cisco Trust Agent verteilen und installieren

Verteilen Sie den Cisco Trust Agent, um dem OfficeScan Client zu ermöglichen,Antivirus-Informationen an Cisco ACS zu melden.

Prozedur

1. Navigieren Sie zu Cisco NAC > Agent-Verteilung.


3. Klicken Sie auf Agent verteilen.


16-34

4. Wenn Sie den Cisco Lizenzvereinbarungen während der Installation desOfficeScan Servers nicht zugestimmt haben, werden die Angaben zur Lizenzangezeigt. Lesen Sie die Lizenzvereinbarung sorgfältig durch, und klicken Sie aufYes, um den Bedingungen zuzustimmen.

5. Wählen Sie Cisco Trust Agent installieren/upgraden.

6. (Optional) Wählen Sie Cisco Trust Agent gemeinsam mit OfficeScan Clientdeinstallieren.

HinweisÜber dieses Fenster können Sie auch deinstallieren oder den CTA-Status auf denClients aufbewahren.

Durch das Beibehalten des CTA-Status wird verhindert, dass eine Installation CTAüberschreibt, falls er bereits installiert ist. Wenn Sie nicht upgraden oder sicher sind,dass Sie nie einen CTA auf einem der ausgewählten Clients installiert haben, könntenSie diese Option verwenden, ansonsten installiert der Server den CTA neu, und IhreEinstellungen gehen verloren.





16-35

HinweisWenn Sie die Option Cisco Trust Agent installieren verwenden, obwohl derOfficeScan Client, auf den Sie den Agent verteilen möchten, offline ist, führtOfficeScan diese Tasks automatisch aus, sobald der OfficeScan Client wieder onlineist.

Installation des Cisco Trust Agent überprüfen

Die ordnungsgemäße Installation von CTA auf den OfficeScan Clients können Sie inder Client-Hierarchie sehen. anhand der Angaben in der Spalte CTA-Programmüberprüfen, die auf den Seiten Aktualisieren, Alle anzeigen und Virenschutzangezeigt wird. Bei einer ordnungsgemäßen Installation wird hier eine Versionsnummerfür das CTA Programm abgebildet.

Überprüfen Sie außerdem, ob die folgenden Prozesse auf dem Client-Computer laufen:

• ctapsd.exe

• ctaEoU.exe

• ctatransapt.exe

• ctalogd.exe

Installation des Policy Servers für Cisco NACEs gibt zwei Möglichkeiten, Policy Server zu installieren:

• Über den Policy Server Installer auf der Enterprise DVD

• Über den OfficeScan Server Master-Installer (hier werden OfficeScan Server undPolicy Server auf demselben Computer installiert)


16-36

HinweisDer Master-Installer richtet die Webkonsolen von OfficeScan Server und Policy Server aufeinem IIS oder Apache Webserver ein. Wenn das Installationsprogramm keinen ApacheServer auf dem Computer findet oder wenn es sich bei dem installierten Apache Servernicht um die Version 2.0 handelt, wird automatisch Apache Version 2.0 installiert.

Nur wenn ACS Server, Policy Server und OfficeScan Server in demselbenNetzwerksegment installiert werden, kann die fehlerfreie Kommunikation gewährleistetwerden.

Informieren Sie sich vor der Installation des Apache Webservers über Upgrades,Patches und Sicherheitsfragen auf der Apache Website unter:

http://www.apache.org

Policy Server mit dem Policy Server Installer installieren

Prozedur

1. Melden Sie sich an dem Computer an, auf dem Policy Server für Cisco NACinstalliert werden soll.

2. Wechseln Sie in das Verzeichnis auf der Enterprise CD, in dem sich das CiscoNAC Installer-Paket befindet.

3. Starten Sie den Installer mit einem Doppelklick auf setup.exe.

4. Folgen Sie den Anweisungen zur Installation.

Sie können den Policy Server auf dem OfficeScan Server-Computer installieren.

Policy Server für Cisco NAC mit dem OfficeScan ServerMaster Installer installieren

Prozedur

1. Wählen Sie Policy Server für Cisco NAC im Fenster Andere OfficeScanProgramme installieren des OfficeScan Server Master-Installers.

http://www.apache.org


16-37


3. Setzen Sie die Installation von OfficeScan Server fort, bis das FensterWillkommen für Trend Micro Policy Server für Cisco NAC angezeigt wird.


Das Fenster Policy Server für Cisco NAC Lizenzvereinbarung wird angezeigt.

5. Lesen Sie sich die Lizenzvereinbarung durch, und klicken Sie auf Ja, um dieInstallation fortzusetzen.

Das Fenster Zielspeicherort auswählen wird angezeigt.

6. Sie können den Zielspeicherort ändern, indem Sie auf Durchsuchen... klicken,und dann einen neuen Speicherort für die Policy Server Installation auswählen.


Das Fenster Web-Server wird angezeigt.

8. Wählen Sie den Webserver für den Policy Server aus:

• IIS-Server: Klicken Sie hierauf, um den Policy Server auf einem vorhandenenIIS-Webserver zu installieren.

• Apache 2.0 Web server: Klicken Sie hierauf, um den Policy Server auf einemApache 2.0 Webserver zu installieren.


Das Fenster Web-Server-Konfiguration wird angezeigt.

10. Konfigurieren Sie die folgenden Angaben:

a. Wenn Sie Policy Server auf einem IIS-Server installieren möchten, wählen Sieeine der folgenden Optionen:

• IIS Standard-Website: Klicken Sie hierauf, um den IIS-Server auf derStandard-Internetseite zu installieren

• Virtuelle IIS-Internetseite: Klicken Sie hierauf, um den IIS-Server aufder virtuellen Website zu installieren.


16-38

b. Geben Sie unter Portnummer die Nummer des Ports ein, der als Listening-Port für den Server verwendet werden soll.

Bei der Installation von Policy Server und OfficeScan Server auf demselbenComputer und demselben Webserver lauten die Portnummern:

• Apache Webserver/IIS Webserver auf der Standard-Website: PolicyServer und OfficeScan Server teilen sich einen Port

• Beide wurden auf einem virtuellen IIS Webserver installiert: DerStandard-Listening-Port für Policy Server ist 8081, und der SSL-Port ist4344. Der Standard-Listening-Port für den OfficeScan Server ist 8080,und der SSL-Port ist Port 4343.

c. Wenn Sie sich für die Installation des Policy Servers auf einem IIS Serverentschieden haben, können Sie Secured Socket Layer (SSL) verwenden.Geben Sie die SSL-Portnummer und die Gültigkeitsdauer des SSL-Zertifikatsin Jahren ein (3 Jahre voreingestellt).

Wenn Sie SSL aktivieren, dient der angegebene Port als Server-Listening-Port.Der Policy Server hat die folgende Adresse:

• http://<Name des Policy Servers>:<Portnummer>

• https://<Name des Policy Servers>:<Portnummer> (wennSie SSL aktivieren)


12. Geben Sie das Kennwort für die Policy Server Konsole an, und klicken Sie aufWeiter.

13. Geben Sie das Kennwort für die Authentifizierung des ACS Servers an, undklicken Sie auf Weiter.

14. Überprüfen Sie die Installationseinstellungen. Wenn Sie die Einstellungenübernehmen möchten, klicken Sie auf Weiter, um mit der Installation zu beginnen.Klicken Sie andernfalls auf Zurück, um zum vorherigen Fenster zurückzukehren.

15. Wenn die Installation abgeschlossen ist, klicken Sie auf Fertig stellen.


16-39

Der OfficeScan Server Master-Installer setzt die restliche Installation vonOfficeScan Server fort.

Vorbereitung des SSL-Zertifikats für Policy ServerBereiten Sie ein SSL-Zertifikat für eine sichere Verbindung zwischen ACS Server undPolicy Server vor. Setup erstellt automatisch das SSL-Zertifikat.

Das IIS Policy Server SSL-Zertifikat vorbereiten

Prozedur

1. Exportieren Sie das Zertifikat aus dem Zertifikatsspeicher der Management-Konsole (mmc).

a. Klicken Sie auf dem Policy Server auf Start > Ausführen.

Das Fenster "Ausführen" wird angezeigt.

b. Geben Sie mmc im Feld Öffnen ein.

Ein neues Fenster der Management-Konsole wird geöffnet.

c. Klicken Sie auf Konsole > Snap-In hinzufügen/entfernen.

Das Fenster "Snap-In hinzufügen/entfernen" wird angezeigt.

d. Klicken Sie auf Hinzufügen.

Das Fenster Eigenständiges Snap-In hinzufügen wird angezeigt.

e. Klicken Sie auf Zertifikate und dann auf Hinzufügen.

Das Fenster Zertifikats-Snap-In wird angezeigt.

f. Wählen Sie die Option Computerkonto, und klicken Sie auf Weiter .

Das Fenster Computer auswählen wird angezeigt.

g. Wählen Sie die Option Lokaler Computer, und klicken Sie auf Fertigstellen.


16-40

h. Klicken Sie auf Schließen, um das Fenster Eigenständiges Snap-Inhinzufügen zu schließen.

i. Klicken Sie auf OK, um das Fenster Snap-In hinzufügen/entfernen zuschließen.

j. Klicken Sie in der Strukturansicht der Konsole auf Zertifikate (lokalerComputer) > Vertrauenswürdige Stammzertifizierungsstellen >Zertifikate.

k. Wählen Sie das Zertifikat aus der Liste aus.

HinweisDoppelklicken Sie auf das Zertifikat, und wählen Sie die Option"Eigenschaften", um den Thumbprint (Fingerabdruck) des Zertifikats zuüberprüfen. Dieser Thumbprint sollte mit dem Thumbprint des Zertifikats inder IIS-Konsole identisch sein.

Vergleichen Sie die Thumbprints miteinander, indem Sie erst die IIS-Konsoleöffnen, und dann mit der rechten Maustaste entweder auf Virtuelle IIS-Website oder auf IIS-Standard-Website klicken (abhängig von der Website,auf der Policy Server installiert wurde). Klicken Sie anschließend aufEigenschaften. Wählen Sie die Option Verzeichnissicherheit, und klickenSie auf Zertifikat anzeigen, um Informationen über das Zertifikat (darunterauch der Thumbprint) anzuzeigen.

l. Klicken Sie auf Aktion > Alle Tasks > Exportieren.... DerZertifikatsexport-Assistent wird geöffnet.

m. Klicken Sie auf Weiter.

n. Wählen Sie entweder DER-codiert-binär x.509 oder Base 64-codiert X.509, und klicken Sie auf Weiter.

o. Geben Sie nun einen Dateinamen an, und legen Sie fest, in welchesVerzeichnis das Zertifikat exportiert werden soll.

p. Klicken Sie auf Weiter.

q. Klicken Sie auf Fertig stellen. Ein Bestätigungsfenster wird angezeigt.

r. Klicken Sie auf OK.


16-41


a. Klicken Sie hierfür in der ACS Webkonsole auf System Configuration >ACS Certificate Setup > ACS Certification Authority Setup.


c. Klicken Sie auf Submit. Cisco Secure ACS fordert Sie nun dazu auf, denDienst neu zu starten.


e. Klicken Sie dann auf Restart. Cisco Secure ACS wird neu gestartet.

Das Apache Policy Server SSL-Zertifikat vorbereiten

Prozedur

1. Exportieren Sie das Zertifikat aus dem Zertifikatsspeicher der Management-Konsole (mmc).

a. Sie benötigen die Zertifikatsdatei server.cer. Der Speicherort dieser Dateiist abhängig davon, ob Sie zuerst den OfficeScan Server oder den PolicyServer installiert haben.

• Wenn der OfficeScan Server vor dem Policy Server installiert wurde,befindet sich die Datei in folgendem Verzeichnis: <Installationsordner desServers>\PCCSRV\Private\certificate

• Wenn der Policy Server vor dem OfficeScan Server installiert wurde,befindet sich die Datei in folgendem Verzeichnis:<Installationsordner des Servers>\PolicyServer\Private\certificate

b. Kopieren Sie die Zertifikatsdatei auf den ACS Server.


a. Klicken Sie hierfür in der ACS Webkonsole auf System Configuration >ACS Certificate Setup > ACS Certification Authority Setup.


16-42


c. Klicken Sie auf Submit.

Cisco Secure ACS fordert Sie nun dazu auf, den Dienst neu zu starten.


e. Klicken Sie dann auf Restart.

Cisco Secure ACS wird neu gestartet.

Konfiguration des ACS ServersFügen Sie den Policy Server für Cisco NAC der Liste "Externe Richtlinien" der externenBenutzerdatenbank für die Authentifizierung hinzu, damit Cisco Secure ACSAuthentifizierungsanfragen an den Policy Server für Cisco NAC weiterleiten kann. Inder Dokumentation zum ACS Server finden Sie Hinweise, wie Sie den Policy Server zueiner neuen, externen Richtlinie hinzufügen.

Hinweis

Sie können den ACS Server so konfigurieren, dass er bestimmte Aufgaben ausführt (z. B.Sperren des Netzwerkzugriffs der Clients). Diese ACS-Funktionen gehen über diegrundlegende Verwendung des Policy Servers für Cisco NAC hinaus und werden deshalbin diesem Dokument nicht weiter erläutert. Einzelheiten zur Konfiguration weiterer ACSFunktionen finden Sie in der ACS Dokumentation.

Konfiguration des Policy Servers für Cisco NACKonfigurieren Sie Policy Server für Cisco NAC, nachdem Sie OfficeScan und PolicyServer installiert sowie OfficeScan Client und Cisco Trust Agent verteilt haben. Um denPolicy Server zu konfigurieren, öffnen Sie die Policy Server Webkonsole von derOfficeScan Webkonsole aus, indem Sie zu Cisco NAC > Policy Servers navigierenund auf den Link zum Policy Server klicken.

Dieser Abschnitt beschreibt die folgenden Aspekte der Policy Server Konfiguration:


16-43

• Konfiguration des Policy Servers über OfficeScan auf Seite 16-43 beschreibt die Verwaltungder Policy Server über die OfficeScan Webkonsole.

• Zusammenfassende Informationen über einen Policy Server auf Seite 16-44 zeigt Ihnen, wieSie eine Übersicht über die Policy Server im Netzwerk erhalten.

• Registrierung des Policy Servers auf Seite 16-46 ist der erste Schritt zur Konfigurationder Policy Server.

• Regeln auf Seite 16-47 demonstriert, wie Sie Regeln erstellen und bearbeiten, die indiesen Richtlinien enthalten sind.

• Richtlinien auf Seite 16-47 demonstriert, wie Sie Richtlinien erstellen und bearbeiten,über die Policy Server den Sicherheitszustand des Clients ermittelt.

• Client-Validierungsprotokolle auf Seite 16-48 gibt einen Überblick über dieVerwendung von Protokollen zur Ermittlung des Sicherheitszustands von Clientsim Netzwerk.

• Client-Protokollwartung auf Seite 16-48 gibt einen Überblick über die Verwaltung derGröße des Client-Validierungsprotokolls.

• Administrative Aufgaben auf Seite 16-48 beschreibt, wie man das Policy ServerKennwort ändert und einen Zeitplan für die Synchronisierung erstellt.

Konfiguration des Policy Servers über OfficeScan

Nach der Installation eines Policy Servers muss dieser zunächst zum OfficeScan Serverhinzugefügt werden. Sie können nun die Policy Server Webkonsole über die OfficeScanWebkonsole aufrufen.

Einen Policy Server von OfficeScan hinzufügen

Prozedur

1. Klicken Sie im Hauptmenü der OfficeScan Webkonsole auf Cisco NAC > PolicyServer.

Das Fenster "Policy Server" mit einer Liste aller Policy Server wird angezeigt.


16-44


Das Fenster Policy Server wird angezeigt.

3. Geben Sie die vollständige Adresse des Policy Servers und die Portnummer für dieHTTPS-Kommunikation ein (z. B.: https://policy-server:4343/) undeine optionale Beschreibung des Servers ein.

4. Geben Sie ein Kennwort für die Anmeldung bei der Web-Konsole des PolicyServers ein.


Einen Policy Server von OfficeScan löschen

Prozedur


Das Fenster Policy Server mit einer Liste aller Policy Server wird angezeigt.

2. Aktivieren Sie das Kontrollkästchen neben dem Policy Server, der gelöscht werdensoll.


Hinweis

Die Clients im Netzwerk können nur validiert werden, wenn alle OfficeScan Servermindestens einem Policy Server zugewiesen wurden.

Zusammenfassende Informationen über einen Policy Server

Das Fenster Übersicht enthält ausführliche Informationen über den Policy Server.Hierzu gehören Konfigurationseinstellungen für Regeln und Richtlinien, Client-Validierungsprotokolle und alle registrierten OfficeScan Server.


16-45

Die IP-Adresse und die Portnummer des Policy Servers werden oben im FensterZusammenfassung angezeigt.

Die Tabelle Zusammenfassung der Konfiguration enthält die Anzahl allerregistrierten OfficeScan Server sowie alle Policy Server Richtlinien und enthaltenenRegeln.

Überblick über die Policy Server Konfiguration anzeigen undEinstellungen ändern

Prozedur


Das Fenster Policy Server mit einer Liste aller Policy Server wird angezeigt.

2. Klicken Sie auf den Namen des Policy Servers, zu dem weitere Informationenangezeigt werden sollen.

Das Fenster Zusammenfassung mit der Tabelle Zusammenfassung derKonfiguration wird angezeigt.

3. Klicken Sie auf den Link neben dem Element, dessen KonfigurationseinstellungenSie anzeigen möchten:

• Registrierte OfficeScan Server: Die OfficeScan Server, die aktuell imNetzwerk installiert sind

• Richtlinien: Die Richtlinien, die von registrierten OfficeScan Servernverwendet werden können

• Regel (n): Die Policy Server Regeln, aus denen sich die Richtlinienzusammensetzen.


16-46

Tipp

Sie können für mehrere Policy Server im Netzwerk dieselben Einstellungen, Richtlinienund Regeln festlegen, indem Sie die Einstellungen von einem Server exportieren und aufden anderen Servern importieren. Zur Durchsetzung einer konsistenten Antiviren-Richtlinie im gesamten Netzwerk sollten Sie auf allen Policy Servern dieselbenEinstellungen verwenden.

Den Policy Server mit registrierten OfficeScan Servernsynchronisieren

Prozedur

1. Klicken Sie im Fenster Übersicht auf Mit OfficeScan synchronisieren. DasFenster Zusammenfassung der Synchronisierungsergebnisse wird mit denfolgenden schreibgeschützten Informationen angezeigt:

• OfficeScan Servername: Der Host-Name oder die IP-Adresse undPortnummer des registrierten OfficeScan Servers

• Ergebnis der Synchronisierung: Zeigt an, ob die Synchronisierungerfolgreich war oder fehlgeschlagen ist.

• Zuletzt synchronisiert: Das Datum der letzten erfolgreichenSynchronisierung

Weitere Informationen über die Synchronisierung finden Sie unter Synchronisierung aufSeite 16-18.

Registrierung des Policy Servers

Registrieren Sie den Policy Server auf mindestens einem OfficeScan Server, damit derPolicy Server Informationen über die Version von Viren-Pattern und Viren-Scan-Enginebeziehen kann. Weitere Informationen über die Rolle des OfficeScan Servers beimValidierungsprozess finden Sie unter Die Client-Validierungssequenz auf Seite 16-8.


16-47

Hinweis

Die Clients im Netzwerk können nur vom Policy Server überprüft werden, wenn alleOfficeScan Server mindestens einem Policy Server zugewiesen wurden.

Im Fenster "OfficeScan Server" können Sie einen neuen OfficeScan Server hinzufügenoder die Einstellungen eines bereits vorhandenen OfficeScan Servers bearbeiten. Aufdas Fenster "OfficeScan Server" kann über die Policy Server Webkonsole zugegriffenwerden, indem Sie auf Konfiguration > OfficeScan Server klicken.

Regeln

Richtlinien setzen sich aus einzelnen Regeln zusammen. Führen Sie als nächsten Schrittder Policy Server Konfiguration eine Konfiguration der Regeln durch. WeitereInformationen finden Sie unter Regeln zusammenstellen auf Seite 16-12.

Um auf die Fenster der Webkonsole für Cisco ACS-Regeln zuzugreifen, wechseln Siezur Policy Server Webkonsole, und klicken Sie im Hauptmenü auf Konfiguration >Regeln.

Richtlinien

Wenn Sie neue Regeln konfiguriert oder sichergestellt haben, dass die Standardregelnden bestehenden Sicherheitsanforderungen entsprechen, können Sie Richtlinien fürregistrierte OfficeScan Server einrichten. Weitere Informationen finden Sie unterRichtlinien zusammenstellen auf Seite 16-16.

Fügen Sie eine neue Cisco NAC Richtlinie hinzu, oder bearbeiten Sie eine vorhandeneRichtlinie, um festzulegen, welche Regeln gegenwärtig durchgesetzt werden und welcheAktionen auf Clients durchgeführt werden sollen, wenn deren Sicherheitszustand nichtden Kriterien entspricht.

Um auf die Fenster der Webkonsole für Cisco ACS-Richtlinien zuzugreifen, wechselnSie zur Policy Server Webkonsole, und klicken Sie im Hauptmenü auf Konfiguration >Richtlinien.


16-48

Client-ValidierungsprotokolleDie Client-Validierungsprotokolle enthalten ausführliche Informationen über dieValidierung von Clients auf dem Policy Server. Die Validierung findet statt, wenn derACS Server Daten über den Sicherheitszustand des Clients empfängt und zum Vergleichmit Richtlinien und Regeln an den Policy Server weiterleitet (siehe Die Client-Validierungssequenz auf Seite 16-8).

HinweisUm beim Hinzufügen oder Bearbeiten einer neuen Regel oder Richtlinie Client-Validierungsprotokolle zu erstellen, aktivieren Sie das Kontrollkästchen unter"Serveraktionen".

Um auf die Fenster der Webkonsole für Cisco ACS-Protokolle zuzugreifen, wechselnSie zur Policy Server Webkonsole, und klicken Sie im Hauptmenü auf Protokolle >Client-Validierungsprotokolle anzeigen.

Client-ProtokollwartungWenn Client-Validierungsprotokolle eine vorher festgelegte Größe erreichen, werden sievom Policy Server archiviert. Protokolldateien können auch gelöscht werden, wenn einebestimmte Anzahl von Protokolldateien abgelegt wurde. Sie können festlegen, wie derPolicy Server die Client-Validierungsprotokolle wartet, indem Sie auf der Policy ServerWebkonsole auf Protokolle > Protokollwartung klicken.

Administrative AufgabenFühren Sie die folgenden administrativen Aufgaben auf dem Policy Server durch:

• Kennwort ändern: Ändern Sie das Kennwort, das beim Hinzufügen des PolicyServers eingerichtet wurde (siehe Konfiguration des Policy Servers über OfficeScan auf Seite16-43)

• Konfigurieren Sie die zeitgesteuerte Synchronisierung: Der Policy Server musszur Auswertung des Sicherheitszustands des OfficeScan Clients regelmäßig dieVersion des Viren-Patterns und der Viren-Scan-Engine auf dem OfficeScan Serverabfragen. Die zeitgesteuerte Synchronisierung darf deshalb weder aktiviert noch


16-49

deaktiviert werden. Standardmäßig wird der Policy Server alle fünf Minuten mitden OfficeScan Servern abgeglichen. Weitere Informationen finden Sie unterSynchronisierung auf Seite 16-18.

HinweisSie können jederzeit über das Fenster "Zusammenfassung" den Policy Server manuellmit dem OfficeScan Server synchronisieren (siehe Zusammenfassende Informationen übereinen Policy Server auf Seite 16-44).

Um auf dem Fenster der Webkonsole Administrationsaufgaben für Cisco ACSdurchzuführen, wechseln Sie zur Policy Server Webkonsole, und klicken Sie imHauptmenü auf Administration.

17-1

Kapitel 17

OfficeScan mit Software andererAnbieter konfigurieren

In diesem Kapitel wird die Integration von OfficeScan und Softwareprodukten andererHersteller beschrieben.


• Überblick über die Funktionsweise und Konfiguration von Check Point auf Seite 17-2

• Konfigurieren der Secure Configuration Verification-Datei für OfficeScan auf Seite 17-4

• SecureClient Support installieren auf Seite 17-6


17-2

Überblick über die Funktionsweise undKonfiguration von Check Point

OfficeScan lässt sich über Secure Configuration Verification (SCV) im Framework OpenPlatform for Security (OPSEC) vollständig in Check Point™ SecureClient™ integrieren.Konsultieren Sie die Dokumentation von Check Point SecureClient OPSEC, bevor Siediesen Abschnitt lesen. Die Dokumentation zu OPSEC finden Sie unter folgendeAdresse:

http://www.opsec.com

Mit Check Point SecureClient können die Sicherheitskonfigurationen von Computernim Netzwerk durch SCV-Prüfungen bestätigt werden. SCV-Prüfungen sindBedingungen, über die ein sicher konfiguriertes Client-System definiert wird. Der fürdiese Bedingungen ermittelte Wert kann durch Software anderer Anbieter an CheckPoint SecureClient übermittelt werden. Check Point SecureClient vergleicht dieseBedingungen dann mit Bedingungen in der SCV-Datei, um zu bestimmen, ob der Clientals sicher betrachtet werden kann.

SCV-Prüfungen werden regelmäßig durchgeführt, um sicherzustellen, dass nur sichereSysteme an das Netzwerk angeschlossen werden können.

SecureClient verteilt die SCV-Prüfungen über Policy Server an alle Clients, die auf demSystem angemeldet sind. Der Administrator nimmt die Einstellungen für die SCV-Prüfungen auf den Policy Servern mit dem SCV Editor vor.

Der SCV Editor ist ein Tool von Check Point, mit dem Sie SCV-Dateien für dieVerteilung an Clients bearbeiten können. Suchen Sie die Datei SCVeditor.exe aufdem Policy Server, und führen Sie sie aus, um den SCV-Editor zu starten. Öffnen Sie imSCV Editor die Datei local.scv im Ordner C:\FW1\NG\Conf (ersetzen Sie C:\FW1durch den Installationspfad für die Check Point Firewall, falls sich dieser von derStandardvorgabe unterscheidet).

Ausführliche Anweisungen zum Öffnen und Ändern einer SCV-Datei mit dem SCVEditor finden Sie unter Integration von OfficeScan auf Seite 17-3.

http://www.opsec.com

OfficeScan mit Software anderer Anbieter konfigurieren

17-3

Integration von OfficeScanDer OfficeScan Client sendet regelmäßig die Nummern des Viren-Patterns und derViren-Scan-Engine zur Überprüfung an SecureClient. SecureClient vergleicht dieseWerte dann mit den Werten in der Client-Datei local.scv.

Die in einem Texteditor geöffnete Datei local.scv sieht ähnlich wie im folgendenBeispiel aus:

(SCVObject

:SCVNames (

: (OfceSCV

:type (plugin)

:parameters (

:CheckType (OfceVersionCheck)

:LatestPatternVersion (701)

:LatestEngineVersion (7.1)

:PatternCompareOp (">=")

:EngineCompareOp (">=")

)

)

)

:SCVPolicy (

: (OfceSCV)

)

:SCVGlobalParams (

:block_connections_on_unverified (true)

:scv_policy_timeout_hours (24)


17-4

)

)

In diesem Beispiel werden bei der SCV-Prüfung Verbindungen über die Firewallzugelassen, wenn die Versionsnummer der Pattern-Datei 701 oder höher und dieVersionsnummer der Scan Engine 7.1 oder höher ist. Wird ein frühere Version vonScan Engine oder Pattern-Datei verwendet, werden alle Verbindungen gesperrt, die überdie Check Point Firewall geleitet werden. Sie können diese Werte mit dem SCV Editorin der Datei local.scv auf dem Policy Server bearbeiten.

HinweisCheck Point aktualisiert in der SCV-Datei nicht automatisch die Versionsnummern derPattern-Datei und der Scan Engine. Beim Update der Scan Engine oder Pattern-Datei überOfficeScan müssen Sie den Wert der Bedingungen manuell in der Datei local.scvändern, um diese aktuell zu halten. Wenn die Versionsnummern der Scan Engine undPattern-Datei nicht aktualisiert werden, lässt Check Point Datenverkehr von Clients mitfrüheren Pattern-Dateien oder Scan Engines zu, wodurch ein erhöhtes Risiko für eineVireninfektion entsteht.

Konfigurieren der Secure ConfigurationVerification-Datei für OfficeScan

Zum Bearbeiten der Datei local.scv müssen Sie den SCV Editor herunterladen undausführen (SCVeditor.exe).

Prozedur

1. Laden Sie SCVeditor.exe von der Check Point Website herunter.

Der SCV Editor ist Bestandteil des OPSEC SDK-Pakets.

2. Führen Sie SCVeditor.exe auf dem Policy Server aus.

Die SCV Editor Konsole wird geöffnet.

3. Erweitern Sie die Anzeige des Ordners Products, und wählen Sieuser_policy_scv.


17-5

4. Klicken Sie auf Bearbeiten > Produkt > Ändern, und geben Sie OfceSCV in dasFeld Ändern ein. Klicken Sie auf OK.

Hinweis

Wenn die Datei local.scv bereits Produktrichtlinien für Software-Produkte vonDrittherstellern enthält, erstellen Sie eine neue Richtlinie, indem Sie auf Bearbeiten> Product > Hinzufügen klicken und OfceSCV in das Feld Hinzufügen eingeben.

5. Klicken Sie zum Hinzufügen eines Parameters auf Bearbeiten > Parameter >Hinzufügen, und geben Sie in die Felder Name und Wert die entsprechendenParameter ein.

Die folgende Tabelle enthält die Namen der Parameter und Werte. BeiParameternamen und -werten wird zwischen Groß- und Kleinschreibungunterschieden. Geben Sie sie in der Reihenfolge ein, in der sie in der Tabelleaufgeführt sind.

TABELLE 17-1. Parameternamen und -werte in der SCV-Datei

NAME WERT

CheckType OfceVersionCheck

LatestPatternVersion <Version der aktuellen Pattern-Datei>

LatestEngineVersion <Version der aktuellen Scan Engine>

LatestPatternDate <Release-Datum der aktuellen Pattern-Datei>

PatternCompareOp >=

EngineCompareOp >=

PatternMismatchMessage

EngineMismatchMessage

Ersetzen Sie den Text, der innerhalb der geschweiften Klammern aufgeführt ist,durch die aktuellen Versionsnummern von Pattern-Datei und Scan Engine. Siekönnen die aktuellen Versionen der Viren-Pattern-Datei und Scan Engine durchKlicken auf Update & Upgrade im Hauptmenü der OfficeScan Webkonsole


17-6

anzeigen. Die Versionsnummer der Pattern-Datei wird rechts neben demKreisdiagramm angezeigt, in dem die Anzahl der geschützten OfficeScan Clients inProzent angegeben wird.

6. Wählen Sie Block connections on SCV unverified.

7. Klicken Sie auf Bearbeiten > Product > Enforce.

8. Klicken Sie auf File > Generate Policy File, um die Datei zu erstellen Dievorhandene Datei local.scv muss markiert werden, damit sie überschriebenwerden kann.

SecureClient Support installierenWenn über ein Virtual Private Network (VPN) auf das Firmennetzwerk zugreifen undauf deren Computern sowohl Check Point SecureClient als auch OfficeScan Clientinstalliert ist, weisen Sie sie an, zusätzlich SecureClient Support zu installieren. Mitdiesem Modul kann SecureClient SCV-Prüfungen auf VPN-Clients durchführen unddadurch gewährleisten, dass nur sicher konfigurierte Systeme auf das Netzwerkzugreifen können. Die Benutzer können anhand des Symbols ( ) in der Task-Leisteerkennen, dass Check Point SecureClient installiert ist. Weiterhin können die Benutzerprüfen, ob Check Point SecureClient im Modul "Software" der Systemsteuerungvon Windows aufgeführt ist.

Benutzer starten die Installation über die Registerkarte Toolbox der OfficeScan Client-Konsole. Diese Registerkarte wird nur dann angezeigt, wenn Benutzer die erforderlichen


17-7

Berechtigungen haben und die OfficeScan Client-Computer über das BetriebssystemWindows XP oder Windows Server 2003 verfügen.

ABBILDUNG 17-1. Die Registerkarte "Toolbox" auf der OfficeScan Client-Konsole

Benutzern die Berechtigung gewähren, um dieRegisterkarte "Toolbox" anzuzeigen

Prozedur



HinweisCheck Point SecureClient Support unterstützt IPv6 nicht. Sie können dieses Modulnicht auf reine IPv6-Endpunkte verteilen.


17-8


4. Navigieren Sie auf der Registerkarte Berechtigungen zum Abschnitt ToolboxBerechtigungen.

5. Wählen Sie Die Registerkarte Toolbox auf der Client-Konsole anzeigen underteilen Sie Benutzern die Berechtigung, Check Point SecureClient Supportzu installieren aus.




SecureClient Support installieren

Prozedur

1. Öffnen Sie die OfficeScan Client-Konsole.

2. Klicken Sie auf die Registerkarte Toolbox.

3. Klicken Sie unter Check Point SecureClient Support auf die OptionSecureClient Support installieren/upgraden.


4. Klicken Sie auf Ja.

Der OfficeScan Client stellt die Verbindung zum Server her und lädt das Modulherunter. OfficeScan zeigt eine Meldung an, wenn der Download abgeschlossen ist.


17-9


18-1

Kapitel 18

Hilfe anfordernDieses Kapitel beschreibt, wie Sie eventuell auftretende Probleme beheben und wie SieKontakt zum Support aufnemen können.


• Ressourcen zur Fehlerbehebung auf Seite 18-2

• Kontaktaufnahme mit dem technischen Support auf Seite 18-25


18-2

Ressourcen zur FehlerbehebungIn diesem Abschnitt finden Sie eine Liste mit Ressourcen, die Sie zur Fehlerbehebungbei Problemen mit dem OfficeScan Server und dem OfficeScan Client heranziehenkönnen.

• Support-Informationssystem auf Seite 18-2

• Case Diagnostic Tool auf Seite 18-2


• OfficeScan Client-Protokolle auf Seite 18-15

Support-InformationssystemBeim Support-Informationssystem handelt es sich um eine Seite, über die Sie ohnegroßen Aufwand Dateien an Trend Micro zur Analyse senden können. Dieses Systemermittelt die GUID von OfficeScan Server und überträgt Informationen zusammen mitder gesendeten Datei. Über die GUID wird sichergestellt, dass Trend Micro einFeedback zu den zur Bewertung eingereichten Dateien abgeben kann.

Case Diagnostic ToolBei Problemen können mit dem Trend Micro Case Diagnostic Tool (CDT) dienotwendigen Debugging-Informationen zum Produkt des Kunden zusammengestelltwerden. Das Tool aktiviert und deaktiviert automatisch den Debug-Status und sammeltje nach Problemkategorie die erforderlichen Dateien. Diese Informationen helfen TrendMicro bei der Lösung produktbezogener Probleme.

Führen Sie das Tool auf allen Plattformen aus, die von OfficeScan unterstützt werden.Das Tool und die zugehörige Dokumentation können Sie von Ihrem Support-Anbieterbeziehen.

Trend Micro Performance Tuning ToolTrend Micro stellt ein eigenständiges Performance Tuning Tool bereit, das dieAnwendungen identifiziert, die Leistungsprobleme verursachen könnten. Das Trend

Hilfe anfordern

18-3

Micro Performance Tuning Tool, das in der Trend Micro Knowledge Base erhältlich ist,sollte während der Pilotphase auf einem herkömmlichen Workstation-Image und/odereinigen wenigen Ziel-Workstations ausgeführt werden, um Leistungsprobleme beimrealen Einsatz der Verhaltensüberwachung und Gerätesteuerung zu vermeiden.

Details finden Sie unter http://esupport.trendmicro.com/solution/en-us/1056425.aspx.

OfficeScan ServerprotokolleNeben den Protokollen, die über die Webkonsole verfügbar sind, können Sie zurFehlerbehebung auch andere Protokolle, wie z. B. Debug-Protokolle, verwenden.

Warnung!Debug-Protokolle können die Serverleistung beeinträchtigen und viel Speicherplatz inAnspruch nehmen. Aktivieren Sie Debug-Protokolle nur, wenn nötig, und deaktivieren Siesie danach sofort wieder. Entfernen Sie die Protokolldatei, wenn Sie Speicherplatz sparenmüssen.

Server-Debug-Protokolle unter Verwendung vonLogServer.exe

Mit Hilfe von LogServer.exe können Sie Debug-Protokolle für das Folgendeerfassen:

• Allgemeine Protokolle für den OfficeScan Server

• Trend Micro Vulnerability Scanner

• Protokolle der Active Directory-Integration

• Client-Gruppierungs-Protokolle

• Protokolle zur Einhaltung der Sicherheitsrichtlinien

• Rollenbasierte Administration


• Policy Server



18-4

Debug-Protokollierung aktivieren

Prozedur

1. Melden Sie sich an der Webkonsole an.

2. Klicken Sie auf dem Banner der Webkonsole auf das erste "O" in "OfficeScan".

3. Geben Sie die Debug-Protokolleinstellungen an.


5. Überprüfen Sie die Protokolldatei (ofcdebug.log) am Standardspeicherort:<Installationsordner des Servers>\PCCSRV\Log.

Debug-Protokollierung deaktivieren

Prozedur

1. Melden Sie sich an der Webkonsole an.

2. Klicken Sie auf dem Banner der Webkonsole auf das erste "O" in "OfficeScan".

3. Deaktivieren Sie Fehlerprotokoll aktivieren.


Debug-Protokollierung für die Installation und das Upgrade desServers aktivieren

Sie können die Debug-Protokollierung aktivieren, bevor Sie folgende Aufgabenausführen:

• Den Server deinstallieren und dann erneut installieren.

• OfficeScan 8.0 auf eine neue Version upgraden.

• Remote-Installation/-Upgrade durchführen (die Debug-Protokollierung ist aufdem Computer aktiviert, auf dem das Setup ausgeführt wird, und nicht auf demRemote-Computer.)

Hilfe anfordern

18-5

Prozedur

1. Kopieren Sie den Ordner LogServer im Ordner <Installationsordner des Servers>\PCCSRV\Private nach C:\.

2. Erstellen Sie eine Datei mit dem Namen cdebug.ini und dem folgenden Inhalt:

[debug]

debuglevel=9

debuglog=c:\LogServer\ofcdebug.log

debugLevel_new=D

debugSplitSize=10485760

debugSplitPeriod=12

debugRemoveAfterSplit=1

3. Speichern Sie ofcdebug.ini unter C:\LogServer.

4. Führen Sie die entsprechende Aufgabe durch (d. h. den Server deinstallieren undinstallieren, auf eine neue Version upgraden oder eine Remote-Installation/einRemote-Upgrade durchführen).

5. Überprüfen Sie ofcdebug.log unter C:\LogServer.

Installationsprotokolle

• Lokale Installations-/Upgrade-Protokolle

Dateiname: OFCMAS.LOG

Speicherort: %windir%

• Remote-Installations-/Upgrade-Protokolle

• Auf dem Computer, auf dem Sie Setup gestartet haben:

Dateiname: ofcmasr.log


18-6


• Auf dem Zielcomputer:

Dateiname: OFCMAS.LOG


Active Directory Protokolle

• Dateiname: ofcdebug.log

• Dateiname: ofcserver.ini

Speicherort: <Installationsordner des Servers>\PCCSRV\Private\

• Dateinamen:

• dbADScope.cdx

• dbADScope.dbf

• dbADPredefinedScope.cdx

• dbADPredefinedScope.dbf

• dbCredential.cdx

• dbCredential.dbf

Speicherort: <Installationsordner des Servers>\PCCSRV\HTTPDB\

Protokolle zur rollenbasierten Administration

Gehen Sie wie folgt vor, um detaillierte Informationen zur rollenbasiertenAdministration zu erhalten:

• Rufen Sie das Trend Micro Case Diagnostics Tool auf. Weitere Informationenfinden Sie unter Case Diagnostic Tool auf Seite 18-2.

• Sammeln Sie die folgenden Protokolle:

Hilfe anfordern

18-7

• Alle Dateien im Ordner <Installationsordner des Servers>\PCCSRV\Private\AuthorStore.


OfficeScan Client-Gruppierungs-Protokolle




• Dateiname: SortingRule.xml

Speicherort: <Installationsordner des Servers>\PCCSRV\Private\SortingRuleStore\

• Dateinamen:

• dbADScope.cdx

• dbADScope.dbf

Speicherort: <Installationsordner des Servers>\HTTPDB\

Komponenten-Update-Protokolle

Dateiname: TmuDump.txt

Speicherort: <Installationsordner des Servers>\PCCSRV\Web\Service\AU_Data\AU_Log

Detaillierte Server-Update-Informationen abrufen

Prozedur

1. Erstellen Sie eine Datei mit dem Namen aucfg.ini und dem folgenden Inhalt:

[Debug]


18-8

level=-1

[Downloader]

ProxyCache=0

2. Speichern Sie die Datei unter <Installationsordner des Servers>\PCCSRV\Web\Service.

3. Starten Sie den OfficeScan Master-Dienst neu.

Sammeln detaillierter Server-Update-Informationen beenden

Prozedur

1. Löschen Sie die Datei aucfg.ini.

2. Starten Sie den OfficeScan Master-Dienst neu.

Apache Server Protokolle

Dateinamen:

• install.log

• error.log

• access.log

Speicherort: <Installationsordner des Servers>\PCCSRV\Apache2

Hilfe anfordern

18-9

Client-Packager-Protokolle

Protokollierung bei der Erstellung von Client Packager Paketenaktivieren

Prozedur

1. Ändern Sie ClnExtor.ini in <Installationsordner des Servers>\PCCSRV\Admin\Utility\ClientPackager wie folgt:

[Common]

DebugMode=1

2. Überprüfen Sie die Datei ClnPack.log auf C:\.

Protokollierung bei der Erstellung von Client Packager Paketendeaktivieren

Prozedur

1. Öffnen Sie ClnExtor.ini.

2. Ändern Sie den Wert für "DebugMode" von 1 nach 0.

Protokolle zum Bericht zur Einhaltung derSicherheitsrichtlinien

Sammeln Sie die folgenden Informationen, um ausführliche Informationen über dieEinhaltung der Sicherheitsrichtlinien zu erhalten:

• Dateiname: RBAUserProfile.ini

Speicherort: <Installationsordner des Servers>\PCCSRV\Private\AuthorStore\

• Alle Dateien im Ordner <Installationsordner des Servers>\PCCSRV\Log\Security Compliance Report.


18-10


Protokolle zur ausgelagerten Serververwaltung




• Alle Dateien im Ordner <Installationsordner des Servers>\PCCSRV\Log\Outside Server Management Report\.

• Dateinamen:

• dbADScope.cdx

• dbADScope.dbf

• dbClientInfo.cdx

• dbclientInfo.dbf


Protokolle zu den Ausnahmen der Gerätesteuerung

Sammeln Sie die folgenden Informationen, um ausführliche Informationen über dieAusnahmen der Gerätesteuerung zu erhalten:

• Dateiname: ofcscan.ini

Speicherort: <Installationsordner des Servers>\

• Dateiname: dbClientExtra.dbf


• Ausschlussliste der Gerätesteuerung von der OfficeScan Webkonsole.

Hilfe anfordern

18-11

Web-Reputation-Protokolle

Dateiname: diagnostic.log

Speicherort: <Installationsordner des Servers>\PCCSRV\LWCS\

Protokolle zum ServerProtect Normal Server Migration Tool

Debug-Protokollierung für das ServerProtect Normal ServerMigration Tool aktivieren

Prozedur

1. Erstellen Sie eine Datei mit dem Namen ofcdebug.ini und dem folgendenInhalt:

[Debug]

DebugLog=C:\ofcdebug.log

DebugLevel=9

2. Speichern Sie die Datei auf dem Laufwerk C:\.

3. Überprüfen Sie ofcdebug.log unter C:\.

Hinweis

Löschen Sie die Datei ofcdebug.ini, um die Debug-Protokollierung zu deaktivieren.

VSEncrypt-Protokolle

OfficeScan erstellt das Debug-Protokoll (VSEncrypt.log) automatisch im temporärenOrdner des Benutzerkontos. Dies ist beispielsweise C:\Dokumente undEinstellungen\<Benutzername>\Lokale Einstellungen\Temp.


18-12

Protokolle zum Control Manager MCP AgentDebug-Dateien im Ordner <Installationsordner des Servers>\PCCSRV\CMAgent

• Agent.ini

• Product.ini

• Ein Screenshot der Seite mit den Control Manager Einstellungen

• ProductUI.zip

Debug-Protokollierung für den MCP Agent aktivieren

Prozedur

1. Ändern Sie die Datei product.ini im Ordner <Installationsordner des Servers>\PCCSRV\CmAgent wie folgt:

[Debug]

debugmode = 3

debuglevel= 3

debugtype = 0

debugsize = 10000

debuglog = C:\CMAgent_debug.log

2. Starten Sie den OfficeScan Control Manager Agent Dienst über die MicrosoftManagement-Konsole.

3. Überprüfen Sie die Datei CMAgent_debug.log unter C:\.

Debug-Protokollierung für den MCP Agent deaktivieren

Prozedur

1. Öffnen Sie die Datei product.ini, und löschen Sie die folgenden Einträge:

Hilfe anfordern

18-13

debugmode = 3

debuglevel= 3

debugtype = 0

debugsize = 10000

debuglog = C:\CMAgent_debug.log

2. Starten Sie den OfficeScan Control Manager Dienst neu.

Protokolle zur Viren-Scan-Engine

Debug-Protokollierung für die Viren-Scan-Engine aktivieren

Prozedur

1. Öffnen Sie den Windows Registrierungseditor (regedit.exe).

2. Navigieren Sie zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TMFilter\Parameters.

3. Ändern Sie den Wert von "DebugLogFlags" in "00003eff".

4. Führen Sie die Schritte, die zum Problem mit der Suche geführt haben, aus.

5. Überprüfen Sie die Datei TMFilter.log in %windir%.

HinweisDeaktivieren Sie die Debug-Protokollierung, indem Sie den Wert von "DebugLogFlags"auf "00000000" zurücksetzen.

Viren-/Malware-ProtokolleDateiname:

• dbVirusLog.dbf


18-14

• dbVirusLog.cdx


Spyware-/Grayware-Protokolle

Dateiname:

• dbSpywareLog.dbf

• dbSpywareLog.cdx


Ausbruchsprotokolle

Protokolle zu aktuellen Firewall-Verstoß-Ausbrüchen

Dateiname: Cfw_Outbreak_Current.log

Speicherort: <Installationsordner des Servers>\PCCSRV\Log\

Protokolle zu den letzten Firewall-Verstoß-Ausbrüchen

Dateiname: Cfw_Outbreak_Last.log


Protokolle zu aktuellen Viren-/Malware-Ausbrüchen

Dateiname: Outbreak_Current.log


Protokolle zu den letzten Viren-/Malware-Ausbrüchen

Dateiname: Outbreak_Last.log


Hilfe anfordern

18-15

Protokolle zu aktuellen Spyware-/Grayware-Ausbrüchen

Dateiname: Spyware_Outbreak_Current.log


Protokolle zu den letzten Spyware-/Grayware-Ausbrüchen

Dateiname: Spyware_Outbreak_Last.log


Protokolle zur Unterstützung von Virtual Desktop

• Dateiname: vdi_list.ini

Speicherort: <Installationsordner des Servers>\PCCSRV\TEMP\

• Dateiname: vdi.ini


• Dateiname: ofcdebug.txt

Speicherort: <Installationsordner des Servers>\PCCSRV\

Um die Datei ofcdebug.txt zu erstellen, aktivieren Sie die Debug-Protokollierung.Hinweise zur Aktivierung der Debug-Protokollierung finden Sie unter Debug-Protokollierung aktivieren auf Seite 18-4.

OfficeScan Client-Protokolle

Verwenden Sie OfficeScan Client-Protokolle (wie z.B. Debug-Protokolle), um Problememit dem OfficeScan Client zu beheben.

Warnung!

Debug-Protokolle können die Client-Leistung beeinträchtigen und viel Speicherplatz inAnspruch nehmen. Aktivieren Sie Debug-Protokolle nur, wenn nötig, und deaktivieren Siesie danach sofort wieder. Löschen Sie die Protokolldatei, wenn sie zu groß wird.


18-16

OfficeScan Client-Debug-Protokolle unter Verwendung vonLogServer.exe

Debug-Protokollierung für den OfficeScan Client aktivieren

Prozedur

1. Erstellen Sie eine Datei mit dem Namen ofcdebug.ini und dem folgendenInhalt:

[Debug]

Debuglog=C:\ofcdebug.log

debuglevel=9

debugLevel_new=D

debugSplitSize=10485760

debugSplitPeriod=12

debugRemoveAfterSplit=1

2. Senden Sie die Datei ofcdebug.ini an die Client-Benutzer, und weisen Sie siean, die Datei auf dem Laufwerk C:\ zu speichern.

Hinweis

LogServer.exe wird automatisch beim Systemstart des OfficeScan Client-Computers ausgeführt. Weisen Sie die Benutzer an, das Befehlsfenster vonLogServer.exe, das beim Systemstart des Computers geöffnet wird, NICHT zuschließen, da OfficeScan in diesem Fall die Debug-Protokollierung beenden würde.Schließt der Benutzer das Befehlsfenster, kann die Debug-Protokollierung erneutgestartet werden, indem der Prozess LogServer.exe im Ordner <Installationsordnerdes Clients> ausgeführt wird.

3. Prüfen Sie auf jedem OfficeScan Client-Computer die Datei ofcdebug.log aufLaufwerk C:\.

Hilfe anfordern

18-17

Hinweis

Deaktivieren Sie die Debug-Protokollierung für den OfficeScan Client, indem Sieofcdebug.ini löschen.

Erstinstallations-Protokolle

Dateiname: OFCNT.LOG

Speicherorte:

• %windir% für alle Installationsmethoden außer mit MSI-Paket

• %temp% für die Installation mit einem MSI-Paket

Upgrade-/Hotfix-Protokolle

Dateiname: upgrade_yyyymmddhhmmss.log

Speicherort: <Installationsordner des Clients>

Protokolle für Damage Cleanup Services

Debug-Protokollierung der Damage Cleanup Services aktivieren

Prozedur

1. Öffnen Sie die Datei TSC.ini im Ordner <Installationsordner des Clients>.

2. Ändern Sie die folgende Zeile:

DebugInfoLevel=3

3. Überprüfen Sie die Datei TSCDebug.log im Ordner <Installationsordnerdes Clients>\debug.


18-18

Debug-Protokollierung der Damage Cleanup Servicesdeaktivieren

Öffnen Sie die Datei TSC.ini, und ändern Sie den Wert für "DebugInfoLevel" von3 in 0.

Säuberungsprotokoll

Dateiname: jjjjmmtt.log

Speicherort: <Installationsordner des Clients>\report\

Mail Scan Protokolle

Dateiname: SmolDbg.txt


ActiveUpdate Protokolle

• Dateiname: Update.ini


• Dateiname: TmuDump.txt

Speicherort: <Installationsordner des Clients>\AU_Log\

OfficeScan Client-Verbindungsprotokolle

Dateiname: Conn_JJJJMMTT.log

Speicherort: <Installationsordner des Clients>\ConnLog

OfficeScan Client-Update-Protokolle

Dateiname: Tmudump.txt

Hilfe anfordern

18-19

Speicherort: <Installationsordner des Clients>\AU_Data\AU_Log

Detaillierte OfficeScan Client-Update-Informationen abrufen

Prozedur

1. Erstellen Sie eine Datei mit dem Namen aucfg.ini und dem folgenden Inhalt:

[Debug]

level=-1

[Downloader]

ProxyCache=0

2. Speichern Sie die Datei unter <Installationsordner des Clients>.

3. Starten Sie den OfficeScan Client neu.

HinweisBeenden Sie das Sammeln detaillierter Client-Update-Informationen, indem Sie die Dateiaucfg.ini löschen und den OfficeScan Client neu laden.

Ausbruchspräventions-Protokolle

Dateiname: OPPLogs.log

Speicherort: <Installationsordner des Clients>\OppLog

Protokolle zur Wiederherstellung im Zusammenhang mitAusbruchsprävention

Dateinamen:

• TmOPP.ini

• TmOPPRestore.ini


18-20

Speicherort: <Installationsordner des Clients>\

OfficeScan Firewall-Protokolle

Debug-Protokollierung für den Treiber für die allgemeine Firewallauf Computern mit Windows Vista/Server 2008/7/Server 2012/8aktivieren

Prozedur

1. Bearbeiten Sie die folgenden Registrierungsschlüsselwerte:

REGISTRIERUNGSSCHLÜSSEL WERTE

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tmwfp\Parameters

Typ: DWORD Wert (REG_DWORD)

Name: DebugCtrl

Wert: 0x00001111

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tmlwf\Parameters

Typ: DWORD Wert (REG_DWORD)

Name: DebugCtrl

Wert: 0x00001111

2. Starten Sie den Computer neu.

3. Überprüfen Sie die Dateien wfp_log.txt und lwf_log.txt auf Laufwerk C:\.

Debug-Protokollierung für den Treiber für die allgemeine Firewallauf Computern mit Windows XP und Windows Server 2003aktivieren

Prozedur

1. Fügen Sie die folgenden Daten unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tmcfw\Parameters hinzu:

Hilfe anfordern

18-21

• Typ: DWORD Wert (REG_DWORD)

• Name: DebugCtrl

• Wert: 0x00001111


3. Überprüfen Sie cfw_log.txt auf Laufwerk C:\.

Debug-Protokollierung für den Treiber für die allgemeine Firewall(alle Betriebssysteme) deaktivieren

Prozedur

1. Löschen Sie den Eintrag "DebugCtrl" aus dem Registrierungsschlüssel.


Debug-Protokollierung für den OfficeScan NT Firewall-Dienstaktivieren

Prozedur

1. Bearbeiten Sie TmPfw.ini im <Installationsordner des Clients> wie folgt:

[ServiceSession]

Enable=1

2. Starten Sie den Client neu.

3. Überprüfen Sie die Datei ddmmyyyy_NSC_TmPfw.log unter C:\temp.


18-22

Debug-Protokollierung für den OfficeScan NT Firewall-Dienstdeaktivieren

Prozedur

1. Öffnen Sie die Datei TmPfw.ini, und ändern Sie den Wert "Enable" von 1 in 0.


Web-Reputation- und POP3 Mail Scan Protokolle

Debug-Protokollierung des Web-Reputation-Moduls und POP3Mail Scan aktivieren

Prozedur

1. Bearbeiten Sie TmProxy.ini im Ordner <Installationsordner des Clients> wie folgt:

[ServiceSession]

Enable=1

LogFolder=C:\temp


3. Überprüfen Sie die Datei ddmmyyyy_NSC_TmProxy.log unter C:\temp.

Debug-Protokollierung des Web-Reputation-Moduls und POP3 Mail Scandeaktivieren

Prozedur

1. Öffnen Sie die Datei TmProxy.ini, und ändern Sie den Wert "Enable" von 1 in0.

Hilfe anfordern

18-23


Protokolle für die Ausschlussliste der Gerätesteuerung

Dateiname: DAC_ELIST

Speicherort: <Installationsordner des Clients>\

Datenschutz-Debug-Protokolle

Debug-Protokollierung für das Datenschutzmodul aktivieren

Prozedur

1. Beziehen Sie die Datei logger.cfg von Ihrem Support-Anbieter.

2. Fügen Sie die folgenden Daten zu HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\DlpLite hinzu:

• Typ: String

• Name: debugcfg

• Wert: C:\Log\logger.cfg

3. Erstellen Sie einen Ordner mit dem Namen „Protokoll“ im Verzeichnis C:\.

4. Kopieren Sie logger.cfg in den Ordner „Protokoll“.

5. Verteilen Sie die Einstellungen für die Funktion "Prävention vor Datenverlust" unddie Gerätesteuerung über die Webkonsole, um mit dem Sammeln der Protokolle zubeginnen.

Hinweis

Deaktivieren Sie die Debug-Protokollierung für das Datenschutzmodul, indem Sie imRegistrierungsschlüssel debugcfg löschen und den Computer neu starten.


18-24

Windows EreignisprotokolleIn der Windows Ereignisanzeige werden erfolgreiche Anwendungsereignisseaufgezeichnet, wie beispielsweise Anmeldungen oder Änderungen an denKontoeinstellungen.

Prozedur

1. Wählen Sie eine der folgenden Optionen:

• Klicken Sie auf Starten > Systemsteuerung > Leistung und Wartung >Administrator-Tools > Computerverwaltung.

• Öffnen Sie die MMC mit dem Snap-in für die Ereignisanzeige.

2. Klicken Sie auf Ereignisanzeige.

TDI-Debug-Protokolle (Transport Driver Interface)

Debug-Protokollierung für TDI aktivieren

Prozedur

1. Fügen Sie die folgenden Daten zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\tmtdi\Parameters hinzu:

PARAMETER WERTE

Schlüssel 1 Typ: DWORD Wert (REG_DWORD)

Name: Fehlerbehebung

Wert: 1111 (hexadezimal)

Schlüssel 2 Typ: String-Wert (REG_SZ)

Name: LogFile

Wert: C:\tmtdi.log


Hilfe anfordern

18-25

3. Überprüfen Sie die Datei tmtdi.log auf Laufwerk C:\.

Hinweis

Deaktivieren Sie die Debug-Protokollierung für TDI, indem Sie im RegistrierungsschlüsselDebug und LogFile löschen und den Computer neu starten.

Kontaktaufnahme mit dem technischenSupport

Trend Micro bietet allen registrierten Benutzern technischen Support, Pattern-Downloads und Programm-Updates für die Dauer eines (1) Jahres. Nach Ablauf dieserFrist muss der Wartungsvertrag verlängert werden. Setzen Sie sich mit uns inVerbindung, wenn Sie Hilfe benötigen oder eine Frage haben. Wir freuen uns ebensoüber Ihre Anregungen.

Weltweite Support-Büros:

http://www.trendmicro.com/support

Trend Micro Produktdokumentation:

http://docs.trendmicro.com/de-de/home.aspx

Kontaktinformationen

In Deutschland erreichen Sie einen Trend Micro Vertriebspartner telefonisch, per Faxoder E-Mail unter:

Trend Micro Deutschland GmbH, Zeppelinstraße 1, 85399 Hallbergmoos

Tel.: +49 (0) 811 88990-700 Fax: +1 (408) 257-2003

Internet-Adresse: www.trendmicro.com

E-Mail: [email protected]

http://www.trendmicro.com/support

http://docs.trendmicro.com/de-de/home.aspx


18-26

Schnelle Lösung des Problems

Bei der Kontaktaufnahme mit Trend Micro sollten Sie folgende Informationenbereithalten:

• Version von Microsoft Windows und des Service Packs

• Art des Netzwerks

• Marke und Modell des Computers sowie zusätzliche Hardware, die an denComputer angeschlossen ist

• Größe des Arbeitsspeichers und des freien Festplattenspeichers

• Ausführliche Beschreibung der Installationsumgebung

• Genauer Wortlaut eventueller Fehlermeldungen

• Schritte, um das Problem nachvollziehen zu können

Die Knowledge Base von Trend Micro

Die Knowledge Base befindet sich auf der Website von Trend Micro. Sie enthält aktuelleAntworten auf Fragen zu den Produkten. Wenn Sie in der Produktdokumentation keineAntwort auf Ihre Frage finden, können Sie die Frage auch über die Knowledge Base andas Supportteam richten. Zugriff auf die Knowledge Base erhalten Sie unter:

http://esupport.trendmicro.com/en-us/enterprise/default.aspx

Trend Micro aktualisiert die Einträge in der Knowledge Base regelmäßig und erweitertsie täglich um neue Lösungen. Wenn Sie keine Lösung für Ihr Problem finden, könnenSie dieses auch in einer E-Mail schildern und direkt an einen Support-Mitarbeiter vonTrend Micro senden, der das Problem untersucht und Ihnen schnellstmöglichweiterhilft.

TrendLabs

TrendLabsTM ist das globale Netzwerk für Antiviren-Forschung und Support vonTrend Micro. Auf drei Kontinenten und mit über 250 Virenforschern und -experten, die

http://esupport.trendmicro.com/en-us/enterprise/default.aspx

Hilfe anfordern

18-27

rund um die Uhr im Einsatz sind, stellt TrendLabs Service und Support für Sie und alleTrend Micro Kunden bereit.

Nach dem Kauf eines Trend Micro Produkts stehen Ihnen folgende Service-Leistungenzur Verfügung:

• Regelmäßige Viren-Pattern-Updates für alle bekannten "In-the-zoo"- und "In-the-wild"-Computerviren und bösartigen Codes

• Notfall-Support bei Virenausbruch

• E-Mail-Kontakt mit Antiviren-Technikern

• Knowledge Base, die Online-Datenbank von Trend Micro mit Informationen überbekannte Probleme

TrendLabs besitzt die ISO-9002-Qualitätssicherungszertifizierung.

Security Information CenterUmfassende Sicherheitsinformationen finden Sie auf der Trend Micro Website unter:

• Liste mit Viren und bösartigen mobilen Codes, die zum jeweiligen Zeitpunkt imUmlauf und aktiv sind

• Falschmeldungen (Hoaxes)

• Beratung zu Internet-Bedrohungen

• Wöchentlicher Virenbericht

• Virenenzyklopädie, die eine ausführliche Liste von Namen und Symptomenbekannter Viren und bösartigen mobilen Codes enthält

• Glossar

• http://www.trendmicro.com/vinfo/de/virusencyclo/default.asp



18-28

Anregungen und KritikDas Trend Micro Team ist stets bemüht, die Dokumentation zu verbessern. Falls SieFragen, Kommentare oder Vorschläge zu diesem oder einem anderen Dokument vonTrend Micro haben, navigieren Sie zur folgenden Site:



A-1

Anhang A

IPv6-Unterstützung in OfficeScanBenutzer, die die Verteilung von OfficeScan in einer Umgebung planen, die IPv6-Adressierung unterstützt, sollten diesen Anhang unbedingt lesen. Dieser Anhang enthältInformationen über den Umfang der Unterstützung für IPv6 in OfficeScan.

Trend Micro setzt voraus, dass der Leser mit IPv6-Konzepten und mit den Aufgabenvertraut ist, die mit dem Einrichten eines Netzwerks verbunden sind, das IPv6-Adressierung unterstützt.


A-2

IPv6-Unterstützung für OfficeScan Server undClients

IPv6-Unterstützung für OfficeScan ist ab dieser Version 10.6 verfügbar. FrühereOfficeScan Versionen unterstützen keine IPv6-Adressierung. IPv6-Unterstützung wirdautomatisch nach der Installation oder dem Upgrade von OfficeScan Server undOfficeScan Clients aktiviert, wenn sie die IPv6-Voraussetzungen erfüllen.

Voraussetzungen für OfficeScan ServerFür den OfficeScan Server gelten folgende IPv6-Voraussetzungen:

• Der Server muss unter Windows Server 2008 oder Windows Server 2012 installiertsein. Er darf nicht unter Windows Server 2003 installiert sein, da diesesBetriebssystem die IPv6-Adressierung nur teilweise unterstützt.

• Der Server muss einen IIS Webserver verwenden. Der Apache Webserverunterstützt keine IPv6-Adressierung.

• Wenn der Server IPv4- und IPv6-Clients verwaltet, muss er eine IPv4- wie aucheine IPv6-Adresse haben und über seinen Host-Namen identifiziert werden. Wennder Server über seine IPv4-Adresse identifiziert wird, können IPv6-Clients keineVerbindung zum Server herstellen. Dasselbe Problem tritt auf, wenn reine IPv4-Clients eine Verbindung mit einem Server herstellen, der über seine IPv6-Adresseidentifiziert wird.

• Wenn der Server nur IPv6-Clients verwaltet, ist mindestens eine IPv6-Adresseerforderlich. Der Server kann über seinen Hostnamen oder seine IPv6-Adresseidentifiziert werden. Wenn der Server über seinen Hostnamen identifiziert wird,sollte vorzugsweise sein vollqualifizierter Domänenname (FQDN) verwendetwerden. Der Grund hierfür ist, dass ein WINS Server in einer reinen IPv6-Umgebung einen Hostnamen nicht in seine entsprechende IPv6-Adresseübersetzen kann.

IPv6-Unterstützung in OfficeScan

A-3

Hinweis

Der FQDN kann nur bei einer lokalen Installation des Servers angegeben werden.Dies wird nicht auf Remote-Installationen unterstützt.

OfficeScan Client Voraussetzungen

Der OfficeScan Client muss auf einem der folgenden Betriebssysteme installiert sein:

• Windows 7

• Windows Server 2008

• Windows Vista

• Windows 8

• Windows Server 2012

Er darf nicht auf Windows Server 2003 und Windows XP installiert sein, da dieseBetriebssysteme die IPv6-Adressierung nur teilweise unterstützen.

Ein OfficeScan Client sollte vorzugsweise sowohl über IPv4- als auch IPv6-Adressenverfügen, da einige Elemente, zu denen er sich verbindet, nur IPv4-Adressierungunterstützen.

Einschränkungen bei reinen IPv6-Servern

Die folgende Tabelle enthält eine Liste von Einschränkungen von OfficeScan Servern,die nur über eine IPv6-Adresse verfügen.

TABELLE A-1. Einschränkungen bei reinen IPv6-Servern

VORGANG EINSCHRÄNKUNG

Client-Verwaltung

Ein reiner IPv6-Server kann nicht:

• OfficeScan Clients auf reine IPv4-Endpunkte verteilen.

• Reine IPv4-Clients verwalten.


A-4


Updates undzentraleVerwaltung

Ein reiner IPv6-Server kann sich nicht über reine IPv4-Update-Quellen aktualisieren, wie etwa:




HinweisIPv6-Unterstützung für Control Manager ist ab Version5.5 SP1 verfügbar.


Produktregistrierung, -aktivierungund -verlängerung

Ein reiner IPv6-Server kann sich nicht mit dem Trend Micro Online-Registrierungsserver verbinden, um das Produkt zu registrieren, eineLizenz anzufordern und die Lizenz zu aktivieren/erneuern.

Proxy-Verbindung

Ein reiner IPv6-Server kann sich nicht über einen reinen IPv4-Proxy-Server verbinden.

Plug-in-Lösungen Ein reiner IPv6-Server verfügt über Plug-In Manager, kann aberkeine Plug-in-Lösung verteilen an:

• Reine IPv4-OfficeScan Clients oder reine IPv4-Hosts (da keinedirekte Verbindung besteht)

• Reine IPv6-OfficeScan Clients oder reine IPv6-Hosts, weil keineder Plug-in-Lösungen IPv6 unterstützt.

Die meisten dieser Einschränkungen können überwunden werden, indem man einenDual-Stack-Proxy-Server aufsetzt, der zwischen IPv4- und IPv6-Adressen konvertierenkann (wie etwa DeleGate). Positionieren Sie den Proxy-Server zwischen dem OfficeScanServer und den Elementen, zu denen er sich verbindet, oder den Elementen, die erbedient.


A-5

Einschränkungen bei reinen IPv6-ClientsDie folgende Tabelle enthält eine Liste von Einschränkungen, wenn der OfficeScanClient nur über eine IPv6-Adresse verfügt.

TABELLE A-2. Einschränkungen bei reinen IPv6-Clients


ÜbergeordneterOfficeScan Server

Reine IPv6-Clients können nicht von einem reinen IPv4-OfficeScan Server verwaltet werden.

Updates Ein reiner IPv6-Client kann sich nicht über reine IPv4-Update-Quellen aktualisieren, wie etwa:



• Ein reiner IPv4-Update-Agent


Suchabfragen, Web-Reputation-Abfragenund Smart Feedback

Ein reiner IPv6-Client kann keine Abfragen an Smart-Protection-Quellen senden, wie etwa:


HinweisIPv6-Unterstützung für Smart Protection Server istab Version 2.5 verfügbar.

• Trend Micro Smart Protection Network (auch für SmartFeedback)

Software-Sicherheit Reine IPv6-Clients können sich nicht mit dem von TrendMicro gehosteten Certified Safe Software Service verbinden.

Plug-in-Lösungen Reine IPv6-Clients können keine Plug-in-Lösungeninstallieren, weil keine dieser Lösungen IPv6 unterstützt.


A-6


Programme Reine IPv6-Clients können die folgenden Programme nichtinstallieren, weil sie IPv6 nicht unterstützen:

• Cisco Trust Agent

• Unterstützung für Check Point SecureClient

Proxy-Verbindung Ein reiner IPv6-Client kann sich nicht über einen reinen IPv4-Proxy-Server verbinden.

Die meisten dieser Einschränkungen können überwunden werden, indem man einenDual-Stack-Proxy-Server aufsetzt, der zwischen IPv4- und IPv6-Adressen konvertierenkann (wie etwa DeleGate). Positionieren Sie den Proxy-Server zwischen den OfficeScanClients und den Elementen, zu denen sie sich verbinden.

IPv6-Adressen konfigurierenAuf der Webkonsole können Sie eine IPv6-Adresse oder einen IPv6-Adressbereichkonfigurieren. Beachten Sie bitte die folgenden Richtlinien.

• OfficeScan akzeptiert Standarddarstellungen von IPv6-Adressen.

Beispiel:

2001:0db7:85a3:0000:0000:8a2e:0370:7334

2001:db7:85a3:0:0:8a2e:370:7334

2001:db7:85a3::8a2e:370:7334

::ffff:192.0.2.128

• OfficeScan akzeptiert auch link-lokale IPv6-Adressen, wie etwa:

fe80::210:5aff:feaa:20a2


A-7

Warnung!Seien Sie vorsichtig, wenn Sie eine link-lokale IPv6-Adresse festlegen, da sie unterbestimmten Umständen möglicherweise nicht erwartungsgemäß funktioniert, obwohlOfficeScan diese Adresse akzeptieren kann. Zum Beispiel können OfficeScan Clientssich nicht über eine Update-Quelle aktualisieren, wenn sich die Quelle in einemanderen Netzwerksegment befindet und durch ihre Link-lokale IPv6-Adresseidentifiziert wird.

• Wenn die IPv6-Adresse Teil einer URL ist, setzen Sie die Adresse in eckigeKlammern ([ ]).

• Bei IPv6-Adressbereichen sind normalerweise ein Präfix und eine Präfixlängeerforderlich. Bei Konfigurationen, bei denen der Server die IP-Adressen abfragenmuss, helfen die Einschränkungen der Präfixlänge, um Leistungseinbußen zuvermeiden, die auftreten können, wenn der Server eine beträchtliche Anzahl vonIP-Adressen abfragt. Zum Beispielor darf bei der Funktion der ausgelagertenServer-Verwaltung das Präfix nur zwischen 112 (65.536 IP-Adressen) und 128 (2IP-Adressen) lang sein.

• Einige Einstellungen, bei denen IPv6-Adressen oder -Adressräume ein Rollespielen, werden zwar an die OfficeScan Clients verteilt, doch von diesen ignoriert.Wenn Sie zum Beispiel die Liste der Smart Protection Quellen konfiguriert habenund sich darin ein Smart Protection Server befindet, der durch seine IPv6-Adresseidentifiziert wird, ignorieren reine IPv4-Clients den Server und verbinden sich mitden anderen Smart Protection Quellen.

Fenster, auf denen IP-Adressen angezeigtwerden

In diesem Thema werden alle Stellen auf der Webkonsole genannt, an denen IP-Adressen angezeigt werden.

• Client-Hierarchie

Bei jedem Anzeigen der Client-Hierarchie werden die IPv6-Adressen der reinenIPv6-Clients in der Spalte IP-Adresse angezeigt. Bei Dual-Stack-Clients werdendie IPv6-Adressen angezeigt, wenn sie sich mit ihrer IPv6-Adresse am Serverregistriert haben.


A-8

Hinweis

Die IP-Adresse, die Dual-Stack-Clients zur Registrierung am Server verwenden,können von Netzwerkcomputer > Allgemeine Client-Einstellungen >Bevorzugte IP-Adresse aus gesteuert werden.

Wenn Sie die Einstellungen der Client-Hierarchie in eine Datei exportieren,erscheinen die IPv6-Adressen auch in der exportierten Datei.

• Client-Status

Weitere Informationen erhalten Sie, wenn Sie zu Netzwerkcomputer > Client-Verwaltung > Status navigieren. In diesem Fenster sehen Sie die IPv6-Adressenreiner IPv6-Clients sowie von Dual-Stack-Clients, die sich mit ihrer IPv6-Adresseam Server registriert haben.

• Protokolle

Die IPv6-Adressen von Dual-Stack- und reinen IPv6-Clients finden sich in denfolgenden Protokollen:

• Viren-/Malware-Protokolle



• Verbindungsüberprüfungsprotokolle

• Control Manager Konsole

Die folgende Tabelle enthält eine Liste der IP-Adressen des OfficeScan Serversund der OfficeScan Clients, die auf der Control Manager Konsole angezeigtwerden.

TABELLE A-3. Die IP-Adressen des OfficeScan Servers und der OfficeScanClients, die auf der Control Manager Konsole angezeigt werden

OFFICESCANCONTROL MANAGER-VERSION

5.5 SP1 5.5 5.0

Dual-Stack-Server IPv4 und IPv6 IPv4 IPv4


A-9

OFFICESCANCONTROL MANAGER-VERSION

5.5 SP1 5.5 5.0

Reine IPv4-Server IPv4 IPv4 IPv4

Reine IPv6-Server IPv6 Nicht unterstützt Nicht unterstützt

Dual-Stack-Client Die IP-Adresse,mit der sich derOfficeScan Clientam OfficeScanServer registrierthat

Die IP-Adresse,mit der sich derOfficeScan Clientam OfficeScanServer registrierthat

Die IP-Adresse,mit der sich derOfficeScan Clientam OfficeScanServer registrierthat

Reiner IPv4-Client IPv4 IPv4 IPv4

Reiner IPv6-Client IPv6 IPv6 IPv6

B-1

Anhang B

Unterstützung für Windows ServerCore 2008/2012

Im Anhang wird die OfficeScan-Unterstützung für Windows Server Core 2008/2012behandelt.


B-2

Unterstützung für Windows Server Core2008/2012

Windows Server Core 2008/2012 ist eine "minimale" Installation von Windows Server2008/2012. In einer Server Core Installation:

• Sind viele Optionen von Windows Server 2008/2012 nicht verfügbar.

• Auf dem Server läuft ein viel schlankerer Betriebssystemkern.

• Die meisten Aufgaben werden über die Eingabeaufforderung ausgeführt.

• Auf dem Betriebssystem werden weniger Dienste ausgeführt und zum Starten sindweniger Ressourcen erforderlich.

Der OfficeScan Client unterstützt Server Core. Dieser Abschnitt enthält Informationenüber den Support-Umfang für Server Core.

Der OfficeScan Server unterstützt Server Core nicht.

Installationsmethoden für Windows ServerCore

Die folgenden Installationsmethoden werden nicht oder nur teilweise unterstützt:

• Web-Installationsseite: Diese Methode wird nicht unterstützt, da Server Coreüber keinen Internet Explorer verfügt.

• Trend Micro Vulnerability Scanner: Vulnerability Scanner kann nicht lokal aufdem Server Core ausgeführt werden. Führen Sie das Tool über den OfficeScanServer oder einen anderen Computer aus.

Die folgenden Installationsmethoden werden unterstützt:

• Remote-Installation. Weitere Informationen finden Sie unter Remote-Installation überdie OfficeScan Webkonsole auf Seite 5-20.

• Anmeldeskript-Setup

Unterstützung für Windows Server Core 2008/2012

B-3

• Client Packager

Installieren des OfficeScan Clients mit Hilfe desAnmeldeskript-Setup

Prozedur

1. Öffnen Sie ein Eingabeaufforderungsfenster.

2. Ordnen Sie den Speicherort der Datei AutoPcc.exe zu, indem Sie den folgendenBefehl eingeben:

net use <zugeordneter Laufwerksbuchstabe> \\<Host-Name oderIP-Adresse des OfficeScan Servers>\ofcscan

Beispiel:

net use P: \\10.1.1.1\ofcscan

Eine Meldung wird angezeigt, die Sie darüber informiert, ob der Speicherort vonAutoPcc.exe erfolgreich zugeordnet wurde.

3. Ändern Sie den Speicherort von AutoPcc.exe, indem Sie den zugeordnetenLaufwerksbuchstaben und einen Doppelpunkt eingeben. Beispiel:

P:

4. Geben Sie zum Starten der Installation Folgendes ein:

AutoPcc.exe


B-4

Im folgenden Bild werden die Befehle und Ergebnisse in der Eingabeaufforderungangezeigt.

ABBILDUNG B-1. Eingabeaufforderung, die zeigt, wie der OfficeScan Client mitHilfe eines Anmeldeskript-Setup installiert wird

Installieren des OfficeScan Clients mit Hilfe einesOfficeScan Client-Pakets

Prozedur

1. Erstellen Sie das Paket.

Weitere Informationen finden Sie unter Installation mit Client Packager auf Seite 5-26.

2. Öffnen Sie ein Eingabeaufforderungsfenster.

3. Ordnen Sie den Speicherort des OfficeScan Client-Pakets zu, indem Sie denfolgenden Befehl eingeben:

net use <zugeordneter Laufwerksbuchstabe> \\<Speicherortdes Client-Pakets>

Beispiel:


B-5

net use P: \\10.1.1.1\Package

Eine Meldung wird angezeigt, die Sie darüber informiert, ob der Speicherort desOfficeScan Client-Pakets erfolgreich zugeordnet wurde.

4. Ändern Sie den Speicherort des OfficeScan Client-Pakets, indem Sie denzugeordneten Laufwerksbuchstaben und einen Doppelpunkt eingeben. Beispiel:

P:

5. Kopieren Sie das OfficeScan Client-Paket in ein lokales Verzeichnis auf dem ServerCore-Computer, indem Sie den folgenden Befehl eingeben:

copy <Paketdateiname> <Verzeichnis auf dem Server Core-Computer, in das Sie das Paket kopieren möchten>

Beispiel:

copy officescan.msi C:\Client0

Eine Meldung wird angezeigt, die Sie darüber informiert, ob das OfficeScan Client-Paket erfolgreich kopiert wurde.

6. Wechseln Sie zum lokalen Verzeichnis. Beispiel:

C:

cd C:\Client0

7. Geben Sie den Paketdateinamen ein, um die Installation zu starten. Beispiel:

officescan.msi


B-6

Im folgenden Bild werden die Befehle und Ergebnisse in der Eingabeaufforderungangezeigt.

ABBILDUNG B-2. Eingabeaufforderung, die zeigt, wie der OfficeScan Client mitHilfe eines Client-Pakets installiert wird

OfficeScan Client-Funktionen unter WindowsServer Core

Die meisten unter Windows Server 2008/2012 verfügbaren Client-Funktionen werdenauch unter Server Core unterstützt. Der Roaming-Modus wird als einzige Funktion nichtunterstützt.

Eine Liste der unter Windows Server 2008/2012 verfügbaren Funktionen finden Sieunter OfficeScan Client-Funktionen auf Seite 5-3.

Auf die OfficeScan Client-Konsole kann nur über die Eingabeaufforderung zugegriffenwerden.


B-7

HinweisIn einigen Versionen der OfficeScan Client-Konsole befindet sich eine Hilfe-Schaltfläche,über die eine kontextsensitive HTML-Hilfe aufgerufen werden kann. Da Windows ServerCore 2008/2012 über keinen Browser verfügen, kann diese Hilfe dort nicht aufgerufenwerden. Um die Hilfe anzuzeigen, muss der Benutzer einen Browser installieren.

Windows Server Core BefehleStarten Sie die OfficeScan Client-Konsole und andere OfficeScan Client-Aufgaben mitBefehlen über die Eingabeaufforderung.

Um die Befehle auszuführen, gehen Sie zum Speicherort von PccNTMon.exe. DieserProzess ist verantwortlich für den Start der OfficeScan Client-Konsole. Der Prozessbefindet sich im <Installationsordner des Clients>.

Die folgende Tabelle enthält alle verfügbaren Befehle.

TABELLE B-1. Windows Server Core Befehle

BEFEHL AKTION

pccntmon Öffnet die OfficeScan Client-Konsole

pccnt


B-8

BEFEHL AKTION

pccnt <LaufwerkoderVerzeichnispfad>

Durchsucht das angegebene Laufwerk oder den angegebenenOrdner nach Sicherheitsrisiken.

Richtlinien:

• Wenn der Ordnerpfad ein Leerzeichen enthält, setzen Sieden vollständigen Pfad in Anführungszeichen.

• Das Durchsuchen einzelner Dateien wird nicht unterstützt.

Korrekte Befehle:

• pccnt C:\

• pccnt D:\Dateien

• pccnt "C:\Dokumente und Einstellungen"

Falsche Befehle:

• pccnt C:\Dokumente und Einstellungen

• pccnt D:\Dateien\Beispiel.doc

pccntmon -r Öffnet den Echtzeitmonitor

pccntmon -v Öffnet einen Bildschirm mit einer Liste von Client-Komponentenund deren Versionsnummer

pccntmon -u Öffnet einen Bildschirm, in dem "Jetzt aktualisieren" (manuellesClient-Update) gestartet wird

Wenn "Jetzt aktualisieren" nicht gestartet werden kann, wird diefolgende Nachricht im Befehlszeilenfenster angezeigt:

Deaktiviert oder nicht funktionsfähig

pccntmon -n Öffnet ein Popup-Fenster zur Eingabe eines Kennworts, um denClient zu beenden

Wenn dafür kein Kennwort erforderlich ist, wird der OfficeScanClient beendet.

Geben Sie den folgenden Befehl ein, um den OfficeScan Clienterneut zu laden:

pccntmon


B-9

BEFEHL AKTION

pccntmon -m Öffnet ein Popup-Fenster zur Eingabe eines Kennworts, um denOfficeScan Client zu deinstallieren.

Wenn dafür kein Kennwort erforderlich ist, wird der OfficeScanClient deinstalliert

pccntmon -c Zeigt die folgenden Informationen in der Befehlszeile:

• Suchmethode


• Herkömmliche Suche

• Pattern-Status

• Aktualisiert

• Nicht aktuell

• Echtzeitsuchdienst

• Funktioniert

• Deaktiviert oder nicht funktionsfähig


• Online

• Roaming

• Offline

• Web-Reputation-Dienste

• Verfügbar

• Die Verbindung wird wiederhergestellt

• File-Reputation-Dienste

• Verfügbar

• Die Verbindung wird wiederhergestellt

pccntmon -h Zeigt alle verfügbaren Befehle

C-1

Anhang C

Unterstützung für Windows 8 undWindows Server 2012

In diesem Anhang wird die OfficeScan-Unterstützung für Windows 8 und WindowsServer 2012 behandelt.


C-2

Informationen zu Windows 8 und WindowsServer 2012

Windows 8 und Windows Server 2012 stellen Benutzern zwei verschiedeneBetriebsmodi bereit: den Desktop-Modus und den Windows-Benutzeroberflächenmodus. Der Desktop-Modus gleicht dem klassischen WindowsStart-Bildschirm.

Der Windows-Benutzeroberflächenmodus bietet Benutzern eine neueBenutzeroberfläche ähnlich derjenigen, die auf Windows-Handys verwendet wird. NeueFunktionen sind eine Touchscreen-Oberfläche zum Scrollen, Kacheln undPopupbenachrichtigungen.

TABELLE C-1. Kacheln und Popupbenachrichtigungen

STEUERELEMENT BESCHREIBUNG

Kacheln Kacheln ähneln den Desktopsymbolen in früheren Windows-Versionen. Benutzer klicken oder tippen auf eine Kachel, umdie der Kachel zugeordnete Anwendung zu starten.

Livekacheln stellen den Benutzern anwendungsspezifischeInformationen bereit, die dynamisch aktualisiert werden.Anwendungen können Informationen auch dann an Kachelnsenden, wenn die entsprechende Anwendung gerade nichtausgeführt wird

Popupbenachrichtigungen

Popupbenachrichtigungen gleichen anderenPopupmeldungen. Diese Benachrichtigungen stellenzeitkritischsten Informationen über Ereignisse bereit, dieeintreten, während eine Anwendung ausgeführt wird.Popupbenachrichtigungen werden im Vordergrund angezeigt,ganz gleich of Windows sich gerade im Desktop-Modusbefindet, ob der Sperrbildschirm angezeigt oder eine andereAnwendung ausgeführt wird.

HinweisJe nach Anwendung werden Popupbenachrichtigungenmöglicherweise nicht auf allen Bildschirmen oder injedem Modus angezeigt.

Unterstützung für Windows 8 und Windows Server 2012

C-3

OfficeScan im Windows-Benutzeroberflächenmodus

In der folgenden Tabelle wird beschrieben, wie OfficeScan Kacheln undPopupbenachrichtigungen im Windows-Benutzeroberflächenmodus unterstützt.

TABELLE C-2. OfficeScan Unterstützung für Kacheln und Popupbenachrichtigungen

STEUERELEMENT OFFICESCAN UNTERSTÜTZUNG

Kacheln OfficeScan stellt Benutzern eine Kachel bereit, die mit demOfficeScan Clientprogramm verknüpft ist. Wenn Benutzer aufdie Kachel klicken, wechselt Windows in den Desktop-Modus,und das OfficeScan Clientprogramm wird angezeigt.

HinweisOfficeScan unterstützt keine Livekacheln.

Popupbenachrichtigungen

OfficeScan sendet folgende Popupbenachrichtigungen:

• Verdächtiges Programm erkannt

• Zeitgesteuerte Suche

• Bedrohung behoben

• Neustart erforderlich

• USB-Speichergerät entdeckt

• Ausbruch entdeckt

HinweisOfficeScan zeigt Popupbenachrichtigungen nur imWindows-Benutzeroberflächenmodus an.

Aktivieren von Popupbenachrichtigungen

Benutzer können den Empfang von Popupbenachrichtigungen aktivieren, indem sie diePC-Einstellungen auf dem OfficeScan Clientcomputer ändern. OfficeScan setztvoraus, dass Benutzer Popupbenachrichtigungen aktivieren.


C-4

Prozedur

1. Bewegen Sie den Mauszeiger in die untere rechte Ecke des Bildschirms um dieCharms-Leiste anzuzeigen.

2. Klicken Sie auf Einstellungen > PC-Einstellungen ändern.

Das Fenster PC-Einstellungen wird angezeigt.

3. Klicken Sie auf Benachrichtigungen.

4. Aktivieren Sie im Abschnitt Benachrichtigungen die folgenden Einstellungen:

• App-Benachrichtigungen anzeigen

• App-Benachrichtigungen auf dem Sperrbildschirm anzeigen (optional)

• Benachrichtigungstöne wiedergeben (optional)

Internet Explorer 10Internet Explorer (IE) 10 ist der Standardbrowser in Windows 8 und Windows Server2012. Es gibt zwei verschiedene Versionen von Internet Explorer 10: eine für denWindows-Benutzeroberflächenmodus und einen für den Desktop-Modus.

Internet Explorer 10 für den Windows-Benutzeroberflächenmodus bietet eine Plug-In-freie Browserumgebung. Plug-In-Programme für das Webbrowsing folgten bisherkeinen festgelegten Standards und demnach variiert die Qualität des Codes dieser Plug-In-Programme. Plug-Ins erfordern zudem mehr Systemressourcen und erhöhen dasRisiko einer Malwareinfektion.

Microsoft hat Internet Explorer 10 für den Windows-Benutzeroberflächenmodus nachneuen standardbasierten Technologien entwickelt, um die zuvor verwendeten Plug-In-Lösungen zu ersetzen. In der folgenden Tabelle sind die Technologien aufgeführt, dieInternet Explorer 10 statt der älteren Plug-In-Technologie einsetzt.

Unterstützung für Windows 8 und Windows Server 2012

C-5

TABELLE C-3. Vergleich zwischen standardbasierten Technologien und Plug-In-Programmen

FUNKTIONSTANDARDISIERTE WORLD

WIDE WEB (W3C)TECHNOLOGIE

BEISPIELHAFTE PLUG-IN-ENTSPRECHUNGEN

Video und Audio HTML5 Video und Audio • Flash

• Apple QuickTime

• Silverlight

Grafiken • HTML5 canvas

• Scalable VectorGraphics (SVG)

• Cascading StyleSheets, Level 3 (CSS3)Transitions undAnimations

• CSS-Transformationen

• Flash

• Apple QuickTime

• Silverlight

• Java-Applets

Offline-Speicher • Webspeicher

• Datei-API

• IndexedDB

• Anwendungscache-API

• Flash

• Java-Applets

• Google Gears

Netwerkkommunikation,Ressourcenfreigabe,Dateiupload

• HTML Web Messaging

• Cross-origin resourcesharing (CORS)

• Flash

• Java-Applets

Microsoft hat außerdem eine Plug-In-kompatible Internet Explorer 10-Version allein fürden Desktop-Modus entwickelt. Wenn Benutzer im Windows-Benutzeroberflächenmodus auf eine Website treffen, die die Verwendung zusätzlicherPlug-In-Programme erfordert, wird in Internet Explorer 10 eine Benachrichtigungangezeigt, die die Benutzer auffordert, in den Desktop-Modus zu wechseln. ImDesktop-Modus können Benutzer Websites anzeigen, die die Verwendung oderInstallation von Drittanbieter-Plug-Ins erfordern.


C-6

OfficeScan Funktionsunterstützung in Internet Explorer10

Der Modus, in dem Benutzer Windows 8 oder Windows Server 2012 verwenden, hatEinfluss auf die verwendete Internet Explorer 10-Version und somit darauf, in welchemUmfang die einzelnen OfficeScan Funktionen unterstützt werden. In der folgendenTabelle ist der Umfang der Unterstützung für die verschiedenen OfficeScan Funktionenim Desktop-Modus und im Windows-Benutzeroberflächenmodus aufgeführt.

HinweisNicht aufgeführte Funktionen bieten in beiden Windows-Betriebsmodi vollständigeUnterstützung.

TABELLE C-4. OfficeScan Funktionsunterstützung im Benutzeroberflächenmodus

FUNKTION DESKTOP-MODUSWINDOWS-

BENUTZEROBERFLÄCHENMODUS

Webserverkonsole Vollständige Unterstützung Nicht unterstützt

Web reputation Vollständige Unterstützung EingeschränkteUnterstützung

• HTTPS-Suchfunktiondeaktiviert

Firewall Vollständige Unterstützung EingeschränkteUnterstützung

• Anwendungsfilterdeaktiviert

D-1

Anhang D

OfficeScan RollbackIn diesem Anhang werden der OfficeScan Server und die Unterstützung vom Client-Rollback behandelt.


D-2

Rollback von OfficeScan Server undOfficeScan Clients durchführen

Der Vorgang des OfficeScan Rollbacks umfasst das Rollback von OfficeScan Clientsund anschließend das Rollback des OfficeScan Servers.

Wichtig

• Administratoren können das Rollback von OfficeScan Server und OfficeScan Clientsnur durchführen, indem sie folgendermaßen vorgehen, wenn die Administratoren denServer während des Installationsvorgangs sichern möchten. Wenn die Server-Sicherungsdateien nicht verfügbar sind, finden Sie im Installations- und Upgrade-Handbuch für OfficeScan 10.6, 10.6 SP1 oder 10.6 SP2 weitere Informationen zummanuellen Rollback.

• Diese Version von OfficeScan unterstützt Rollbacks nur für die folgenden OfficeScanVersionen:

• OfficeScan 10.6

• OfficeScan 10.6 SP1

• OfficeScan 10.6 SP2

• OfficeScan 10.6 SP2 DLP Enhancement Patch

• OfficeScan 10.6 SP2 Custom Defense Pack

• OfficeScan 10.6 SP2 Custom Defense Pack Scan Enhancement

Rollback der OfficeScan Clients durchführen

Prozedur

1. Stellen Sie sicher, dass OfficeScan Clients ein Upgrade des Client-Programmsdurchführen können.

a. Navigieren Sie auf der OfficeScan 10.6 SP3 Webkonsole zuNetzwerkcomputer > Client-Verwaltung.

b. Wählen Sie die OfficeScan Clients für das Rollback aus.

OfficeScan Rollback

D-3

c. Klicken Sie auf die Registerkarte Einstellungen > Berechtigungen undandere Einstellungen > Andere Einstellungen.

d. Aktivieren Sie die Einstellung Clients können Komponenten aktualisieren,aber kein Upgrade des Clients durchführen oder Hotfixes verteilen.

2. Navigieren Sie auf der OfficeScan 10.6 SP3 Webkonsole zu Updates >Netzwerkcomputer > Update-Adresse.

3. Wählen Sie Benutzerdefinierte Update-Adresse aus.

4. Klicken Sie in der Liste der benutzerdefinierten Update-Quelle aufHinzufügen.


5. Geben Sie die IP-Adressen der OfficeScan Clients ein, für die das Rollbackausgeführt werden soll.

6. Geben Sie die URL der Update-Quelle an.

Geben Sie z. B. Folgendes ein:

http://<IP-Addresse des OfficeScan Servers>:<port>/OfficeScan/download/Rollback



Wird der OfficeScan Client, für den ein Rollback ausgeführt werden soll, von derUpdate-Quelle aus aktualisiert, wird der OfficeScan Client deinstalliert, und dievorherige Version des OfficeScan Clients wird installiert.

Tipp

Administratoren können den Rollback-Vorgang beschleunigen, indem sie einemanuelle Aktualisierung auf den Clients einleiten. Weitere Informationen finden Sieunter OfficeScan Clients manuell aktualisieren auf Seite 6-46.

9. Fordern Sie den Benutzer nach der Installation der vorherigen Version desOfficeScan Clients auf, den Computer neu zu starten.


D-4

Nachdem der Rollback-Vorgang beendet wurde, geht der OfficeScan Client dazuweiter, an denselben OfficeScan Server zu berichten.

HinweisNach dem Rollback des OfficeScan Clients wird ein Rollback aller Komponenten,einschließlich des Viren-Patterns, auf die Vorgängerversion durchgeführt. WennAdministratoren das Rollback des OfficeScan Servers nicht durchführen, kann derOfficeScan Client, für den ein Rollback durchgeführt wurde, keine Komponentenaktualisieren. Administratoren müssen die Update-Quelle des rückabgewickeltenOfficeScan Clients in die Standard-Update-Quelle ändern, um weitereKomponenten-Updates zu erhalten.

Rollback des OfficeScan Servers durchführenFür den Vorgang des Rollbacks für OfficeScan Server müssen die AdministratorenWindows Dienste manuell beenden, die Systemregistrierung aktualisieren undOfficeScan Server-Dateien im OfficeScan Installationsverzeichnis ersetzen.

Prozedur

1. Beenden Sie die folgenden Dienste auf dem OfficeScan Server-Computer.

• Intrusion Defense Firewall (wenn installiert)

• Trend Micro Local Web Classification Server

• Trend Micro Smart Scan Server

• OfficeScan Active Directory Integration Service

• OfficeScan Control Manager Agent

• OfficeScan Plug-in Manager

• OfficeScan Master Service

• Apache 2 (bei Verwendung des Apache Webservers)

• World Wide Web Publishing Dienst (bei Verwendung des IIS-Webservers)

OfficeScan Rollback

D-5

2. Kopieren und ersetzen Sie alle Dateien und Verzeichnisse aus demVerzeichnis<Installationsordner des Servers>\PCCSRV\Backup\ServicePack3_<build_number>\ in das Verzeichnis <Installationsordner desServers>\PCCSRV\.

3. Klicken Sie auf Start, geben Sie regedit ein und drücken Sie die Eingabetaste.

Das Fenster Registrierungseditor wird angezeigt.

4. Wählen Sie im linken Navigationsbereich einen der folgendenRegistrierungsschlüssel aus:

• Für 32-Bit-Systeme: HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfficeScan\service

• Für 64-Bit-Systeme: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\Officescan\service

5. Wechseln Sie zu Datei > Importieren....

6. Wählen Sie die Datei RegBak_ServicePack3_<build_number>.reg aus, diesich im Verzeichnis <Installationsordner des Servers>\PCCSRV\Backup\ befindet.

7. Klicken Sie auf Ja, um alle vorherigen Versionsschlüssel von OfficeScanwiederherzustellen.

8. Öffnen Sie einen Befehlszeilen-Editor (klicken Sie auf Start und geben Siecmd.exe ein) und geben Sie die folgenden Befehle ein, um den Leistungszählerdes Local Web Classification Servers zurückzusetzen:

cd <Installationsordner des Servers>\PCCSRV\LWCS

regsvr32.exe /u /s perfLWCSPerfMonMgr.dll

regsvr32.exe /s perfLWCSPerfMonMgr.dll

9. Starten Sie die folgenden Dienste neu:

• Intrusion Defense Firewall (wenn installiert)

• Trend Micro Local Web Classification Server

• Trend Micro Smart Scan Server

• OfficeScan Active Directory Integration Service


D-6

• OfficeScan Control Manager Agent

• OfficeScan Plug-in Manager

• OfficeScan Master Service

• Apache 2 (bei Verwendung des Apache Webservers)

• World Wide Web Publishing Dienst (bei Verwendung des IIS-Webservers)

10. Säubern Sie den Zwischenspeicher des Internet Explorers und entfernen Siemanuell die ActiveX-Steuerelemente. Weitere Informationen zum Entfernen vonActiveX-Steuerelementen im Internet Explorer 9 finden Sie unter http://windows.microsoft.com/en-us/internet-explorer/manage-add-ons#ie=ie-9.

Der OfficeScan Server wurde auf die vorher installierte Version zurückgesetzt.

TippAdministratoren können einen erfolgreichen Rollback bestätigen, indem sie dieOfficeScan Versionsnummer im Info-Fenster (Hilfe > Info) überprüfen.

11. Nachdem Sie das erfolgreiche Rollback von OfficeScan bestätigt haben, löschenSie Folgendes im Verzeichnis <Installationsordner des Servers>\PCCSRV\Backup\:

• Ordner: ServicePack3_<SP3_build_number>

• Datei: RegBak_ServicePack3_<SP3_build_number>.reg

http://windows.microsoft.com/en-us/internet-explorer/manage-add-ons#ie=ie-9

http://windows.microsoft.com/en-us/internet-explorer/manage-add-ons#ie=ie-9

E-1

Anhang E

GlossarDie in diesem Glossar enthaltenen Begriffe bieten zusätzliche Informationen zu häufigverwendeten Computerbegriffen sowie zu Trend Micro Produkten und Technologien.


E-2

ActiveUpdateDie ActiveUpdate Funktion ist Bestandteil vieler Trend Micro Produkte. Über dieVerbindung zur Trend Micro Update-Website stellt ActiveUpdate aktuelle Downloadsvon Pattern-Dateien, Scan Engines, Programmen und anderen Trend MicroKomponentendateien über das Internet bereit.

Komprimierte DateiEine einzelne Datei, die eine oder mehrere andere Dateien sowie Informationen darüberenthält, wie diese von einem geeigneten Programm, wie z. B. WinZip, entpackt werdenkönnen.

CookieEin Mechanismus zum Speichern von Informationen über einen Internet-Benutzer, wiez.B. Name, Vorlieben und Interessen, um später im Webbrowser wieder daraufzuzugreifen. Wenn Sie das nächste Mal auf eine Website zugreifen, für die vom Browserein Cookie angelegt wurde, sendet der Browser das Cookie an den Webserver, das dannvom Webserver verwendet werden kann, um angepasste Webseiten darzustellen. Siekönnten zum Beispiel auf einer Website mit Ihrem Namen begrüßt werden.

Denial-of-Service-AngriffEin Denial-of-Service-Angriff (DoS) ist ein Angriff auf einen Computer oder einNetzwerk, der einen "Dienstverlust", nämlich den Verlust der Netzwerkverbindung, zurFolge hat. In der Regel schränken DoS-Angriffe die Bandbreite ein oder überlasten dieComputer-Ressourcen (z.B. den Arbeitsspeicher).

Glossar

E-3

DHCPDHCP (Dynamic Host Control Protocol) ist ein Protokoll zur Zuweisung dynamischerIP-Adressen zu Geräten in einem Netzwerk. Bei der dynamischen Adressierung kannein Gerät bei jeder Verbindung mit dem Netzwerk eine unterschiedliche IP-Adressehaben. In einigen System kann sich die IP-Adresse des Geräts sogar dann ändern, wenndas Gerät weiterhin verbunden ist. DHCP unterstützt darüber hinaus eine Mischung ausstatischen und dynamischen IP-Adressen.

DNSBei DNS (Domain Name System) handelt es sich um einen allgemeinenDatenabfragedienst, der im Internet hauptsächlich zum Übersetzen von Host-Namen inIP-Adressen verwendet wird.

Wenn ein DNS-Client Host-Name und Adressdaten von einem DNS-Server abfragt,wird dieser Vorgang Auflösung genannt. Bei der grundlegenden DNS-Konfigurationführt das Ergebnis zu einem Server, der eine Standardauflösung ausführt. Beispielsweisefragt ein Remote-Server einen anderen Server ab, um Daten zu ermitteln, die sich ineinem Computer in der aktuellen Zone befinden. Die Client-Software im Remote-Serverstellt eine Abfrage an den Resolver, der die Anfrage auf Basis seiner Datenbankdateienbeantwortet.

DomänennameDer vollständige Name eines Systems, bestehend aus dem lokalen Host-Namen unddem Domänennamen, z. B. tellsitall.com. Ein Domänenname reichtnormalerweise aus, um eine eindeutige Internetadresse für einen Host im Internet zuermitteln. Bei dieser so genannten "Namensauflösung" wird das Domain Name System(DNS) verwendet.


E-4

Dynamische IP-AdresseEine dynamische IP-Adresse ist eine von einem DHCP-Server zugewiesene IP-Adresse.Die MAC-Adresse des Computers bleibt unverändert, die IP-Adresse hingegen kannsich ändern, da der DHCP-Server dem Computer je nach Verfügbarkeit eine neue IP-Adresse zuweist.

ESMTPESMTP (Enhanced Simple Mail Transport Protocol) umfasst Sicherheits-,Authentifizierungs- und weitere Vorrichtungen für die Einsparung von Bandbreite undden Schutz von Servern.

Endbenutzer-LizenzvereinbarungEine Endbenutzer-Lizenzvereinbarung (oder auch EULA) ist ein rechtsgültiger Vertragzwischen einem Software-Hersteller und dem Software-Benutzer. Der Vertrag legt inder Regel Einschränkungen für den Benutzer fest. Der Benutzer kann den Vertragablehnen, indem er während der Installation nicht auf "Ich akzeptiere" klickt. Klickt erauf "Ich akzeptiere die Bedingungen nicht", wird die Installation der Softwareunverzüglich abgebrochen.

Viele Benutzer stimmen versehentlich der Installation von Spyware und anderer Typenvon Grayware zu, wenn sie bei der Installation bestimmter Arten kostenloser Softwarein der EULA-Eingabeaufforderung auf "Ich akzeptiere" klicken.

FehlalarmEin Fehlalarm wird ausgelöst, wenn eine Datei von einer Sicherheitssoftwarefälschlicherweise als infiziert eingestuft wird.

Glossar

E-5

FTPFTP (File Transfer Protocol) ist ein Standardprotokoll zum Übertragen von Dateienüber das Internet vom Server zu einem Client. Weitere Informationen finden Sie in derSpezifikation RFC 959 der Network Working Group.

GeneriCleanGeneriClean, auch als referenzielle Säuberung bekannt, ist eine neue Technologie zumEntfernen von Viren/Malware, wenn keine Viren-Cleanup-Komponenten verfügbarsind. Mit Hilfe einer entdeckten Datei ermittelt GeneriClean, ob für diese Datei einProzess/Dienst im Speicher ausgeführt wird und ein Registrierungseintrag erstelltwurde; falls ja, werden diese Elemente entfernt.

HotfixEin Workaround bzw. eine Lösung zu einem bestimmten Problem, das Kunden anTrend Micro berichtet haben. Da sich Hotfixes auf ein bestimmtes Problem beziehen,werden sie nicht allen Kunden zur Verfügung gestellt. Im Gegensatz zu anderenHotfixes umfassen Windows Hotfixes ein Setup-Programm (in der Regel müssen Sie dieProgramm-Daemons beenden, die installierte Datei überschreiben, und den Daemonneu starten).

Standardmäßig können OfficeScan Clients Hotfixes installieren. Wenn die OfficeScanClients keine Hotfixes installieren sollen, müssen Sie die Client-Update-Einstellungenüber die Webkonsole in der Registerkarte unter Netzwerkcomputer > Client-VerwaltungEinstellungen > Berechtigungen und andere Einstellungen > AndereEinstellungen ändern.

Wenn Sie erfolglos versuchen, einen Hotfix auf dem OfficeScan Server zu installieren,verwenden Sie das Touch Tool, um den Zeitstempel des Hotfixes zu ändern. Dadurcherkennt OfficeScan den Hotfix als neu, und der Server versucht automatisch, den Hotfixerneut zu verteilen. Detaillierte Hinweise zu diesem Tool finden Sie unter Touch Tool fürOfficeScan Hotfixes ausführen auf Seite 6-55.


E-6

HTTPBei HTTP (Hypertext Transfer Protocol) handelt es sich um ein Standardprotokoll fürdie Übertragung von Websites (einschließlich Grafiken und Multimedia-Inhalten) voneinem Server an einen Client über das Internet.

HTTPSHypertext Transfer Protocol mit SSL (Secure Socket Layer). HTTPS ist eine Variantevon HTTP, die für sichere Transaktionen verwendet wird.

ICMPDas ICMP-Protokoll (Internet Control Message Protocol) wird manchmal von einemGateway oder Ziel-Host für die Kommunikation mit einem Quell-Host verwendet, umz. B. einen Fehler bei der Datagrammverarbeitung zu melden. Dabei verwendet ICMPdie IP-Basisunterstützung, so als handle es sich um ein Protokoll einer höheren Ebene.Tatsächlich ist ICMP jedoch ein Bestandteil von IP und wird von jedem IP-Modulimplementiert. ICMP-Nachrichten werden in verschiedenen Situationen gesendet,beispielsweise wenn ein Datagramm sein Ziel nicht erreichen kann, wenn das Gatewaynicht über genügend Pufferkapazität verfügt, um ein Datagramm weiterzuleiten, undwenn das Gateway den Host anweisen kann, für den Datenverkehr eine kürzere Routezu wählen. Das Internet Protocol ist nicht absolut zuverlässig. Der Sinn und Zweckdieser Steuerungsnachrichten liegt darin, Rückmeldung über Probleme in derKommunikationsumgebung zu geben, und nicht darin, die Zuverlässigkeit von IP zuerhöhen.

IntelliScanIntelliScan ist ein Verfahren, um festzustellen, welche Dateien durchsucht werdenmüssen. Bei ausführbaren Dateien, wie z. B. .EXE, wird der ursprüngliche Dateityp(True File Type) über den Dateiinhalt bestimmt. Bei nicht ausführbaren Dateien, wie z.B. .TXT, wird der ursprüngliche Dateityp über den Datei-Header bestimmt.

Glossar

E-7

Welche Vorteile bietet die Verwendung von IntelliScan?

• Leistungsoptimierung: IntelliScan beeinträchtigt keine Funktionen auf dem Client,da nur minimale Systemressourcen benötigt werden.

• Kürzere Virensuchzeiten: Da IntelliScan die "True File Type"-Erkennungverwendet, werden nur Dateien durchsucht, für die ein Infektionsrisiko besteht.Die Suchzeit verkürzt sich gegenüber der Suche in allen Dateien erheblich.

IntelliTrapVirenschreiber versuchen häufig, durch die Verwendung von Methoden zurEchtzeitkomprimierung Virenfilter zu umgehen. IntelliTrap sperrt ausführbare, inEchtzeit komprimierte Dateien und überprüft sie auf andere Malware-Merkmale.Dadurch kann das Risiko einer Einschleusung solcher Viren in das Netzwerk reduziertwerden. Da IntelliTrap derartige Dateien als Sicherheitsrisiko kennzeichnet und dadurchmöglicherweise sichere Dateien sperrt, sollten Sie bei der Verwendung von IntelliTrapdie Aktion "Quarantäne" (und nicht "Löschen" oder "Säubern") durchführen. Tauschendie Benutzer im Netzwerk regelmäßig ausführbare, in Echtzeit komprimierte Dateienaus, deaktivieren Sie IntelliTrap.

IntelliTrap verwendet die folgenden Komponenten:

• Viren-Scan-Engine

• IntelliTrap Pattern


IP"Das Internet Protocol (IP) ermöglicht die Übertragung von Datenblöcken, sogenannten Datagrammen, von Quellen an Ziele. Bei diesen Quellen und Zielen handeltes sich um Hosts, die anhand von Adressen mit fester Länge identifiziert werden." (RFC791)


E-8

Java-DateiJava ist eine universelle Programmiersprache, die von Sun Microsystems entwickeltwurde. Eine Java-Datei enthält Java-Code. Java unterstützt die Programmierung für dasInternet in Form von plattformunabhängigen Java-Applets. Bei einem Applet handelt essich um ein in der Programmiersprache Java entwickeltes Programm, das auf einerHTML-Seite enthalten sein kann. Wenn Sie mit einem Java-fähigen Browser eine Seiteanzeigen, die ein Applet enthält, überträgt das Applet den Code auf Ihren Computerund die Java Virtual Machine des Browsers führt das Applet aus.

LDAPLDAP (Lightweight Directory Access Protocol) ist ein Anwendungsprotokoll, umVerzeichnisdienste über TCP/IP abzufragen und zu ändern.

Listening-PortEin Listening-Port wird für Client-Verbindungsanfragen für den Datenaustauschverwendet.

MCP AgentTrend Micro Management Communication Protocol (MCP) ist der Agent der nächstenGeneration von Trend Micro für verwaltete Produkte. MCP ersetzt die Trend MicroManagement Infrastructure (TMI) für die Kommunikation zwischen dem ControlManager und OfficeScan und verfügt über mehrere neue Funktionen:

• Geringere Netzwerklast und Paketgröße

• Unterstützung für NAT- und Firewall-Traversal

• HTTPS-Unterstützung

• Unterstützung der Ein- und Zwei-Wege-Kommunikation

Glossar

E-9

• SSO-Unterstützung (Single Sign-On)

• Cluster-Knoten-Unterstützung

Kombinierte BedrohungenKombinierte Bedrohungen profitieren von mehreren Eintrittsstellen und Schwachstellenin den Unternehmensnetzwerken. Beispiele hierfür sind die Bedrohungen "Nimda" oder"Code Red".

NATNAT (Network Address Translation) ist ein Standard zur Übersetzung von sicheren IP-Adressen in temporäre, externe, registrierte IP-Adressen aus dem Adresspool. Auf dieseWeise können vertrauenswürdige Netzwerke mit privat zugeordneten IP-Adressen aufdas Internet zugreifen. Das bedeutet auch, dass Sie keine registrierte IP-Adresse fürjeden Computer im Netzwerk benötigen.

NetBIOSNetBIOS (Network Basic Input Output System) ist eine API (Application ProgramInterface), die das grundlegende Eingabe/Ausgabe-System (BIOS) des Betriebssystems(DOS) um weitere Funktionalität (beispielsweise Netzwerkfähigkeiten) ergänzt.

Ein-Wege-KommunikationDie Weiterleitung der übersetzten Netzwerkadresse (NAT-Traversal) ist in aktuellen,realen Netzwerkumgebungen ein immer wichtigeres Problem. Zur Lösung des Problemsverwendet MCP die Ein-Wege-Kommunikation. Bei der Ein-Wege-Kommunikationstellt der MCP-Agent die Verbindung zum Server her und ruft die Befehle vom Serverab. Jede Anfrage besteht aus einer CGI-ähnlichen Befehlsabfrage oder einerProtokollübertragung. Um das Netzwerk zu schonen, hält der MCP-Agent so viele


E-10

Verbindungen wie möglich aufrecht und offen. Nachfolgende Anfragen verwenden einevorhandene, offene Verbindung. Beim Abbruch der Verbindung können alle SSL-Verbindungen zum selben Host-Computer auf die zwischengespeicherteSitzungskennung zugreifen und dadurch den erneuten Verbindungsaufbau erheblichbeschleunigen.

PatchEin Patch ist eine Gruppe von Hotfixes und Sicherheits-Patches, die zur Lösungverschiedener Programmprobleme dienen. Trend Micro stellt regelmäßig Patches zurVerfügung. Patches von Windows verfügen über ein Setup-Programm, während anderePatches in der Regel über ein Setup-Skript ausgeführt werden.

Phishing-AngriffPhishen oder Phishing ist eine immer häufiger auftretende Betrugsform, bei derInternet-Benutzern durch das Imitieren einer rechtmäßigen Website persönliche Datenentlockt werden sollen.

Ein typisches Beispiel wäre der Fall, in dem ein nichts ahnender Benutzer eine dringenderscheinende (und authentisch aussehende) E-Mail erhält, in der ihm mitgeteilt wird,dass es ein Problem mit seinem Konto gibt, das umgehend behoben werden müsse, daansonsten das Konto geschlossen werde. Die E-Mail enthält einen Link zu einertäuschend echten Website. Rechtmäßige E-Mails oder Websites können leicht kopiertwerden. Es muss darin nur noch der Empfänger der Daten abgeändert werden.

In der E-Mail wird der Benutzer aufgefordert, sich auf der Website anzumelden undeinige Kontodaten zu bestätigen. Persönliche Daten, wie Anmeldenamen, Kennwort,Kreditkartennummer, Sozialversicherungsnummer usw., werden dann an einen Hackerweitergeleitet.

Phishing-Mails lassen sich schnell, billig und in großer Zahl umsetzen. Ein Hacker kannmit Phishing-Mails erhebliche finanzielle Gewinne erzielen. Selbst für einenComputerspezialisten sind Phishing-Angriffe nur schwer zu erkennen. Dem Phish-Schreiber rechtlich beizukommen ist ebenfalls nicht einfach, wenn nicht gar unmöglich.

Glossar

E-11

Melden Sie Trend Micro alle Websites, hinter denen Sie Phishing vermuten.

PingPing ist ein Dienstprogramm, das eine ICMP-Echoanfrage an eine IP-Adresse sendetund auf Antwort wartet. Das Ping-Dienstprogramm kann feststellen, ob der Computermit dieser IP-Adresse online ist oder nicht.

POP3POP3 (Post Office Protocol 3) ist ein Standardprotokoll für das Speichern undÜbertragen von E-Mail-Nachrichten von einem Server an einen E-Mail-Client.

Proxy-ServerEin Proxy-Server ist ein WWW-Server, der URLs mit einem speziellen Präfix akzeptiert,mit dem Dokumente entweder von einem lokalen Zwischenspeicher oder einemRemote-Server abgerufen werden, und der dann den URL an die anfordernde Instanzzurücksendet.

RPCRPC (Remote Procedure Call) ist ein Netzwerkprotokoll, das einem auf einem Hostlaufenden Programm ermöglicht, Code auf einem anderen Host auszuführen.

Sicherheits-PatchEin Sicherheits-Patch ist auf sicherheitsrelevante Probleme ausgerichtet und kann an alleKunden verteilt werden. Sicherheits-Patches von Windows verfügen über ein Setup-


E-12

Programm, während andere Patches in der Regel über ein Setup-Skript ausgeführtwerden.

Service PackEin Service Pack ist eine Kombination von Hotfixes, Patches undFunktionserweiterungen, die den Status eines Produkt-Upgrades haben. Service Packs(sowohl von Windows als auch andere) verfügen über ein Setup-Programm und einSetup-Skript.

SMTPSMTP (Simple Mail Transport Protocol)ist ein Standardprotokoll für die Übertragungvon E-Mail-Nachrichten von Server zu Server und von Clients an Server über dasInternet.

SNMPSNMP (Simple Network Management Protocol) ist ein Protokoll, das die Überwachungvon Geräten im Hinblick auf Zustände unterstützt, die die Aufmerksamkeit einesAdministrators erfordern.

SNMP-TrapEin SNMP-Trap (Simple Network Management Protocol) ist eine Methode zumVersenden von Benachrichtigungen an Netzwerkadministratoren, deren Management-Konsolen dieses Protokoll unterstützen.

OfficeScan kann Benachrichtigungen in MIBs (Management Information Bases)speichern. Sie können den MIB-Browser verwenden, um SNMP-Trap-Benachrichtigungen anzuzeigen.

Glossar

E-13

SOCKS 4SOCKS 4 ist ein TCP-Protokoll, mit dem Proxy-Server eine Verbindung zwischenClients im internen Netzwerk oder LAN und Computern oder Servern außerhalb desLAN herstellen. Das SOCKS-4-Protokoll sendet Verbindungsanfragen, richtet Proxy-Verbindungen ein und leitet Daten an die Anwendungsschicht des OSI-Schichtenmodells weiter.

SSLSecure Socket Layer (SSL) ist ein von Netscape entwickeltes Protokoll für dieDatensicherheit, das im Schichtenmodell zwischen Anwendungsprotokollen (z. B.HTTP, Telnet oder FTP) und TCP/IP liegt. Dieses Sicherheitsprotokoll bietetDatenverschlüsselung, Server-Authentifizierung, Nachrichtenintegrität und optionaleClient-Authentifizierung für eine TCP/IP-Verbindung.

SSL-ZertifikatDieses digitale Zertifikat baut eine sichere HTTPS-Kommunikation auf.

TCPTCP (Transmission Control Protocol) ist ein verbindungsorientiertes, zuverlässiges End-to-End-Protokoll für eine aus Schichten bestehende Hierarchie von Protokollen zurUnterstützung von Multi-Netzwerk-Anwendungen. TCP verwendet IP-Datagramme fürdie Adressauflösung. Weitere Informationen finden Sie in der Spezifikation DARPAInternet Program RFC 793.


E-14

TelnetTelnet stellt über TCP eine Standardschnittstelle zwischen Endgeräten bereit, indem einso genanntes "Network Virtual Terminal" erstellt wird. Weitere Informationen findenSie in der Spezifikation RFC 854 der Network Working Group.

Trojaner-PortTrojaner-Ports werden häufig von Trojanern zum Verbindungsaufbau mit einemComputer verwendet. Während eines Ausbruchs blockiert OfficeScan die folgendenPortnummern, die eventuell von Trojanern verwendet werden.

TABELLE E-1. Trojaner-Ports

PORTNUMMER TROJANER PORTNUMMER TROJANER

23432 Asylum 31338 Net Spy

31337 Back Orifice 31339 Net Spy

18006 Back Orifice 2000 139 Nuker

12349 Bionet 44444 Prosiak

6667 Bionet 8012 Ptakks

80 Codered 7597 Qaz

21 DarkFTP 4000 RA

3150 Deep Throat 666 Ripper

2140 Deep Throat 1026 RSM

10048 Delf 64666 RSM

23 EliteWrap 22222 Rux

6969 GateCrash 11000 Senna Spy

7626 Gdoor 113 Shiver

Glossar

E-15

PORTNUMMER TROJANER PORTNUMMER TROJANER

10100 Gift 1001 Silencer

21544 Girl Friend 3131 SubSari

7777 GodMsg 1243 Sub Seven

6267 GW Girl 6711 Sub Seven

25 Jesrto 6776 Sub Seven

25685 Moon Pie 27374 Sub Seven

68 Mspy 6400 Thing

1120 Net Bus 12345 Valvo line

7300 Net Spy 1234 Valvo line

Vertrauenswürdiger PortVertrauenswürdige Ports werden vom Server und vom OfficeScan Client verwendet, ummiteinander zu kommunizieren.

Wenn Sie nach einem Ausbruch die vertrauenswürdigen Ports gesperrt haben und dieNetzwerkeinstellungen später wieder auf den Normalzustand zurücksetzen, nehmen dieOfficeScan Clients nicht sofort wieder Verbindung zum Server auf. Die Client-Server-Kommunikation wird erst nach Ablauf der Anzahl von Stunden wiederhergestellt, dieSie im Fenster "Einstellungen der Ausbruchsprävention" festgelegt haben.

OfficeScan verwendet den HTTP-Port (standardmäßig 8080) als vertrauenswürdigenPort auf dem Server. Bei der Installation können Sie eine andere Portnummer eingeben.Um diesen und den vertrauenswürdigen Port auf dem OfficeScan Client zu sperren,müssen Sie das Kontrollkästchen "Vertrauenswürdigen Port sperren" im Fenster "Portssperren" aktivieren.

Bei der Installation generiert der Master Installer den vertrauenswürdigen OfficeScanClient-Port nach dem Zufallsprinzip.


E-16

Ermitteln der vertrauenswürdigen Ports

Prozedur

1. Öffnen Sie den Ordner <Installationsordner des Servers>\PCCSRV.


3. Um den vertrauenswürdigen Port auf dem Server zu ermitteln, suchen Sie dieZeichenfolge "Master_DomainPort", und überprüfen Sie den daneben stehendenWert.

Wenn der Eintrag zum Beispiel Master_DomainPort=80 lautet, wird Port 80 alsvertrauenswürdiger Port auf dem Server verwendet.

4. Um den vertrauenswürdigen Port auf dem Client zu ermitteln, suchen Sie dieZeichenfolge "Client_LocalServer_Port", und überprüfen Sie den danebenstehenden Wert.

Wenn der Eintrag zum Beispiel Client_LocalServer_Port=41375 lautet,wird Port 41375 als vertrauenswürdiger Port auf dem Client verwendet.

Zwei-Wege-KommunikationDie Zwei-Wege-Kommunikation ist eine Alternative zur Ein-Wege-Kommunikation.Die Zwei-Wege-Kommunikation baut auf der Ein-Wege-Kommunikation auf, verfügtjedoch über einen zusätzlichen HTTP-basierten Kanal, der Server-Benachrichtigungenempfängt. Dadurch kann die Echtzeitverteilung und -verarbeitung von Serverbefehlendurch den MCP-Agent verbessert werden.

UDPUDP (User Datagram Protocol) ist ein verbindungsloses Kommunikationsprotokoll, daszusammen mit dem IP-Übertragungsprotokoll für Anwendungsprogramme verwendet

Glossar

E-17

wird, um Nachrichten an andere Programme zu senden. Weitere Informationen findenSie in der Spezifikation DARPA Internet Program RFC 768.

Nicht säuberbare DateiDie Viren-Scan-Engine ist nicht in der Lage, die folgende Dateien zu säubern:

• Mit Trojanern infizierte Dateien

• Mit Würmern infizierte Dateien

• Infizierte, schreibgeschützte Dateien

• Kennwortgeschützte Dateien

• Sicherungsdateien

• Infizierte Dateien im Papierkorb

• Infizierte Dateien im Windows Ordner "Temp" oder im Internet Explorer-Ordner"Temporary Internet Files"

Mit Trojanern infizierte DateienTrojaner sind Programme, die unerwartete oder unberechtigte, in der Regel aberschädliche Aktionen ausführen. Es werden beispielsweise Meldungen angezeigt, Dateiengelöscht, oder Disketten und Festplatten werden formatiert. Da Trojaner keine Dateieninfizieren, ist kein Säubern erforderlich.

Lösung: OfficeScan entfernt Trojaner mit Hilfe der Viren-Cleanup-Engine und desViren-Cleanup-Template.

Mit Würmern infizierte DateienEin Computer-Wurm ist ein eigenständiges Programm (oder eine Gruppe vonProgrammen), das funktionsfähige Kopien von sich selbst oder seinen Segmenten anandere Computer verteilen kann. Würmer verbreiten sich normalerweise überNetzwerkverbindungen oder E-Mail-Anhänge. Ein Wurm ist ein eigenständigesProgramm, das nicht gesäubert werden kann.


E-18

Lösung: Würmer sollten gelöscht werden.

Infizierte, schreibgeschützte Dateien

Lösung: Heben Sie den Schreibschutz auf, damit OfficeScan die Datei säubern kann.

Kennwortgeschützte Dateien

Umfasst kennwortgeschützte komprimierte Dateien oder kennwortgeschützte MicrosoftOffice Dateien.

Lösung: Heben Sie den Kennwortschutz auf, damit OfficeScan diese Dateien säubernkann.

Sicherungsdateien

Bei Dateien mit den Erweiterungen RB0~RB9 handelt es sich um Sicherungskopieninfizierter Dateien. OfficeScan erstellt diese Kopien für den Fall, dass der Virus/dieMalware die infizierte Datei beim Säubern beschädigt.

Lösung: Wenn die Datei gesäubert werden konnte, muss die Sicherungskopie nichtaufbewahrt werden. Wenn der Computer fehlerfrei funktioniert, können Sie die Kopielöschen.

IN-1

StichwortverzeichnisAAccess Control Server (ACS), 16-4ACS Zertifikat, 16-19ActiveAction, 7-40Active Directory, 2-34–2-37, 2-53, 2-58, 5-14, 5-33

Adressbereich und Abfrage, 14-74Anmeldedaten, 2-35Ausgelagerte Serververwaltung, 2-35benutzerdefinierte Client-Gruppen, 2-34Clients gruppieren, 2-53Integration, 2-34Rollenbasierte Administration, 2-34Struktur duplizieren, 2-58Synchronisierung, 2-36, 2-37

ActiveSync, 10-37Agent-Pattern der intelligenten Suche, 4-8, 6-4Aktion bei überwachten Systemereignissen,8-5Aktionen

Prävention vor Datenverlust, 10-38Allgemeines Firewall-Pattern, 7-4Angaben zum Webserver, 13-46Anmeldeskript-Setup, 5-12, 5-13, 5-23, 5-24Anregungen und Kritik, 18-28Anwendungsfilter, 12-3ARP-Konflikt, 12-5Aufgaben vor der Installation, 5-17, 5-21, 5-66Ausbruchpräventionsrichtlinie

Ports sperren, 7-111Schreibzugriff verweigern, 7-112Zugriff auf Freigabeordnereinschränken/verweigern, 7-110

Ausbruchskriterien, 7-104, 11-18, 12-33Ausbruchsprävention, 2-18

Deaktivieren, 7-114Richtlinien, 7-109

Ausdrücke, 10-5benutzerdefiniert, 10-7, 10-10

Kriterien, 10-8vordefiniert, 10-6

Ausgelagerte Serververwaltung, 2-35, 14-72Abfrageergebnisse, 14-76Protokolle, 18-10Zeitgesteuerte Abfrage, 14-78

Ausschlussliste, 8-6Verhaltensüberwachung, 8-6

Authentifizierung, Autorisierung undAccounting (AAA), 16-6automatische Client-Gruppierung, 2-54, 2-55AutoPcc.exe, 5-12, 5-13, 5-23, 5-24

BBedingungsanweisungen, 10-22Benachrichtigungen

C&C-Callback-Erkennungen, 11-18Client-Update, 6-52Firewall-Verstöße, 12-29Für Administratoren, 10-52, 13-33Für Client-Benutzer, 7-88, 10-55Gerätesteuerung, 9-17Neustart des Computers, 6-53Spyware-/Grayware-Fund, 7-52Veraltetes Viren-Pattern, 6-52Viren-/Malware-Fund, 7-46Virenausbrüche, 7-104, 11-18, 12-33web threat detection, 11-13

Benutzerdefinierte Ausdrücke, 10-7, 10-8, 10-10Importieren, 10-10


IN-2

Kriterien, 10-8benutzerdefinierte Client-Gruppen, 2-34, 2-54Benutzerdefinierte Schlüsselwörter, 10-16

Importieren, 10-20Kriterien, 10-17, 10-18

Benutzerdefinierte Vorlagen, 10-22erstellen, 10-23Importieren, 10-25

Benutzerkonten, 2-5Dashboard "Übersicht", 2-5

BenutzerrolleAdministrator, 13-11Gastbenutzer, 13-11Trend Hauptbenutzer, 13-12

BerechtigungenBeenden, Berechtigung, 14-19Berechtigungen für die zeitgesteuerteSuche, 7-59Erweitert, 9-11Firewall-Berechtigungen, 12-25, 12-28Mail Scan Berechtigungen, 7-65Nicht-Speichergeräte, 9-10Programmpfad und -name, 9-8Proxy-Konfiguration, Berechtigungen,14-53Roaming-Berechtigung, 14-20Speichergeräte, 9-3Suchberechtigungen, 7-56

Bericht zur Einhaltung von Richtlinien, 14-59Bewertungsmodus, 7-79Bootsektorvirus, 7-3Bösartiger ActiveX-Code, 7-3Bösartiger Java-Code, 7-3

CC&C-Callbacks

Allgemeine Einstellungen, 11-12

Widgets, 2-26Cache-Einstellungen für die Suche, 7-68Cache für die On-Demand-Suche, 7-69Case Diagnostic Tool, 18-2CA-Zertifikat, 16-19, 16-21Certificate Authority (CA), 16-6Certified Safe Software Liste, 12-3Certified Safe Software Service, 8-9Check Point SecureClient, 5-33Cisco NAC

Architektur, 16-7Komponenten und Begriffe, 16-3Verteilen von Policy Server, 16-25

Cisco Trust Agent, 6-10, 16-4Client/Server Security Agent Konsole

Zugriffsbeschränkung, 14-18Client-Deinstallation, 5-75Client-Disk-Image, 5-14, 5-40Client-Hierarchie, 2-38–2-43, 2-47–2-50, 2-52

Allgemeine Aufgaben, 2-39Ansichten, 2-40Erweiterte Suche, 2-40, 2-41Filter, 2-40Info über, 2-38Spezifische Aufgaben, 2-42, 2-43,2-47–2-50, 2-52

Ausbruchsprävention, 2-47Cisco NAC Agent-Verteilung, 2-52Client-Verwaltung, 2-43Manuelle Komponenten-Updates,2-48Rollback der Komponenten-Updates durchführen, 2-49Sicherheitsrisiko-Protokolle, 2-50

Client-Installation, 5-2, 5-23Anmeldeskript-Setup, 5-23

Stichwortverzeichnis

IN-3

Browserbasiert, 5-19Client Packager, 5-26Nach der Installation, 5-72Per Client-Disk-Image, 5-40Systemvoraussetzungen, 5-2über die Web-Installationsseite, 5-16über die Webkonsole, 5-20Verwenden der Sicherheitsrichtlinien,5-66Vulnerability Scanner verwenden, 5-41

Client Mover, 14-23Client Packager, 5-14, 5-26, 5-27, 5-33, 5-35

Einstellungen, 5-29Verteilung, 5-28

Client-ProtokolleActiveUpdate-Protokolle, 18-18Client-Update-Protokolle, 18-18Client-Verbindungsprotokolle, 18-18Datenschutz-Debug-Protokolle, 10-62,18-23Debug-Protokolle, 18-16Debug-Protokolle derAusbruchsprävention, 18-19Debug-Protokolle der OfficeScanFirewall, 18-20Debug-Protokolle der Web Reputation,18-22Erstinstallationsprotokolle, 18-17Mail-Scan-Protokolle, 18-18Protokolle für Damage CleanupServices, 18-17TDI-Debug-Protokolle, 18-24Upgrade-/Hotfix-Protokolle, 18-17

clientsFunktionen, 5-3

Clients, 2-53, 2-61, 2-62, 4-34, 5-2

Gruppierung, 2-53Installation, 5-2löschen, 2-61Proxy-Einstellungen, 4-34Standorte, 4-34Verbindung, 4-34verschieben, 2-62

Clients gruppieren, 2-53–2-55, 2-57, 2-58,2-60–2-62

Active Directory, 2-53, 2-57Aufgaben, 2-60Automatisch, 2-54, 2-55Benutzerdefinierte Gruppen, 2-54DNS, 2-53Domäne oder Client löschen, 2-61Hinzufügen einer Domäne, 2-61IP-Adressen, 2-58Manuell, 2-53, 2-54Methoden, 2-53NetBIOS, 2-53Umbenennen einer Domäne, 2-62Verschieben eines Clients, 2-62

Client-Sicherheitsstufe, 14-17Client-Update

Automatisch, 6-38Benutzerdefinierte Adresse, 6-33Berechtigungen, 6-47Ereignisbedingt, 6-39Manuell, 6-45Standard-Adresse, 6-31Über den ActiveUpdate Server, 6-48Zeitgesteuertes Update, 6-40, 6-48Zeitgesteuertes Update mit NAT, 6-43

Client-UpgradeDeaktivieren, 6-48

Client-Validierung, 16-5


IN-4

COM-Dateiinfektor, 7-3Control Manager

Integration in OfficeScan, 13-24MCP-Agent-Protokolle, 18-12

Cookies durchsuchen, 7-80CPU-Auslastung, 7-32

DDamage Cleanup Services, 1-17, 5-3, 5-6Dashboards

Zusammenfassung, 2-5–2-7, 2-10Dashboard Übersicht, 2-5–2-7, 2-10

Benutzerkonten, 2-5Registerkarten, 2-7Status der Produktlizenz, 2-6Vordefinierte Registerkarten, 2-10Vordefinierte Widgets, 2-10Widgets, 2-7

Dateiattribute, 10-5, 10-11–10-13erstellen, 10-12Importieren, 10-13Platzhalter, 10-12

Datenbank, Suche, 7-75Datenbanksicherung, 13-44Datenbezeichner, 10-5

Ausdrücke, 10-5Dateiattribute, 10-5Schlüsselwörter, 10-5

DatenschutzDeinstallation, 3-15Installation, 3-2Lizenz, 3-4status, 3-9Verteilung, 3-6

Debug-ProtokolleClients, 18-15Server, 18-3

Deinstallation, 5-75Datenschutz, 3-15Plug-in-Manager, 15-9über die Webkonsole, 5-76Verwenden desDeinstallationsprogramms, 5-77

Device List, 9-13DHCP-Einstellungen, 5-49Dienst neu starten, 14-12digitaler Signatur-Cache, 7-68Digitale Zertifikate, 16-6Dokumentation, xDomänen, 2-53, 2-61, 2-62

Clients gruppieren, 2-53hinzufügen, 2-61löschen, 2-61umbenennen, 2-62

DSP, 9-7

EEchtzeitsuchdienst, 14-41Echtzeitsuche, 7-16EICAR-Testskript, 5-74, 7-4Eigenschutz des Clients, 14-13eigenständiger Server, 4-7Eigenständiger Smart Protection Server, 4-19

ptngrowth.ini, 4-19Einhaltung von Sicherheitsrichtlinien, 14-58

Ausgelagerte Serververwaltung, 2-35,14-72Dienste, 14-60durchsetzen, 14-73Einstellungen, 14-66Installation, 5-66komponenten, 14-62Protokolle, 18-9Suche, 14-64


IN-5

Update erzwingen, 6-54Zeitgesteuerte Bewertungen, 14-71

Einstellungen exportieren, 14-56Einstellungen importieren, 14-56E-Mail-Domänen, 10-27Endbenutzer-Lizenzvereinbarung (EULA),E-4Ereignisüberwachung, 8-3Erkennungs-Pattern derVerhaltensüberwachung, 6-9Erweiterte Berechtigungen

konfigurieren, 9-11Speichergeräte, 9-5–9-7

EXE-Dateiinfektor, 7-3Externe Geräte

Zugriff verwalten, 9-10, 9-14Externe Geräte, Schutz, 6-9

FFakeAV, 7-45Fehlerbehebung

Plug-in-Manager, 15-10File Reputation, 4-3firewall, 5-4, 5-6Firewall, 12-2

Aufgaben, 12-8Ausbruchsmonitor, 12-6Ausnahmen der Standardrichtlinie,12-16Berechtigungen, 12-6, 12-25Deaktivieren, 12-6Profile, 12-4, 12-19Richtlinien, 12-9Richtlinienausnahmen, 12-15Testen, 12-35Vorteile, 12-2

Firewall-Protokollzähler, 12-28

Fragmentiertes IGMP, 12-5FTP, 10-29

GGateway-IP-Adresse, 14-3Gateway Settings Importer, 14-5Gerätesteuerung, 1-18, 9-2, 9-3, 9-5–9-11, 9-13,9-14

Benachrichtigungen, 9-17Berechtigungen, 9-3, 9-5–9-8, 9-10

Programmpfad und -name, 9-8Erweiterte Berechtigungen, 9-11

konfigurieren, 9-11Externe Geräte, 9-10, 9-14Nicht-Speichergeräte, 9-10Platzhalter, 9-9Protokolle, 9-17, 18-10Provider der digitalen Signatur, 9-7Speichergeräte, 9-3, 9-5–9-7USB-Geräte, 9-13Voraussetzungen, 9-2Zugriff verwalten, 9-10, 9-14Zulässige Liste, 9-13

Gerätesteuerung;Gerätesteuerungsliste;Gerätesteuerungsliste:Programme hinzufügen, 9-15

HHerkömmliche Suche, 7-9, 7-10

Wechsel zur intelligenten Suche, 7-10Hotfixes, 6-10, 6-55HTML-Virus, 7-4HTTP und HTTPS, 10-29

IIDS, 12-4IM-Anwendungen, 10-29Inaktive Clients, 14-25


IN-6

Inkrementelles Pattern, 6-21Installation, 5-2

Client, 5-2Datenschutz, 3-2Einhaltung von Sicherheitsrichtlinien,5-66Plug-in-Manager, 15-3Plug-in-Programm, 15-4Policy Server, 16-35

Integrierter Server, 4-7Integrierter Smart Protection Server, 4-19

ptngrowth.ini, 4-19Update, 4-20, 4-21

Komponenten, 4-21Websperrliste, 4-22

Intelligente Suche, 6-4, 7-9, 7-10Wechsel von der herkömmlichenSuche, 7-10

IntelliScan, 7-30IntelliTrap Ausnahme-Pattern, 6-6IntelliTrap Pattern, 6-6Intranet, 4-13Intrusion Detection System, 12-4IPv6, 4-26

Support, 4-26IPv6-Unterstützung, A-2

Einschränkungen, A-3, A-5IPv6-Adressen anzeigen, A-7

IpXfer.exe, 14-23

JJavaScript-Virus, 7-4Jetzt aktualisieren, 6-47Jetzt durchsuchen, 7-23

KKennwort, 13-47

Kerndienst der Verhaltensüberwachung, 6-9Knowledge Base, 18-26komponenten

Auf dem Client, 6-28Komponenten, 2-20, 5-74, 6-2

Aktualisieren der Übersicht, 6-66Auf dem OfficeScan Server, 6-15Auf dem Update-Agent, 6-56Update-Berechtigungen und -Einstellungen, 6-47

Komponentenduplizierung, 6-21, 6-63Komprimierte Dateien, 7-30, 7-74, 7-76Kontaktaufnahme, 18-25–18-28

Anregungen und Kritik, 18-28Knowledge Base, 18-26Technischer Support, 18-25Trend Micro, 18-25–18-27

Kontinuität des Schutzes, 4-11Kriterien

Benutzerdefinierte Ausdrücke, 10-8Schlüsselwörter, 10-17, 10-18

LLAND Attack, 12-5Liste der gesperrten Programme, 8-6Liste der zulässigen Programme, 8-6Lizenzen, 13-41

Datenschutz, 3-4status, 2-6

Location Awareness, 14-2logische Operatoren, 10-22LogServer.exe, 18-3, 18-16

MMAC-Adresse, 14-3mail scan, 5-5, 5-7Mail Scan, 5-32, 7-65


IN-7

Makrovirus, 7-3Manuelle Client-Gruppierung, 2-53, 2-54Manuelle Suche, 7-19

Verknüpfung, 7-74Microsoft Exchange Server, Suche, 7-75Microsoft SMS, 5-14, 5-35Migration

Von Antiviren-Programmen andererHersteller, 5-68Von ServerProtect Normal Servern,5-69

MSI-Paket, 5-14, 5-33, 5-35

NNetBIOS, 2-53Network VirusWall Enforcer, 4-34Netzwerkkanäle, 10-26, 10-27, 10-29–10-33, 10-40

E-Mail-Clients, 10-27FTP, 10-29HTTP und HTTPS, 10-29IM-Anwendungen, 10-29Nicht überwachte Ziele, 10-33, 10-40SMB-Protokoll, 10-30Übertragungsumfang, 10-33

Alle Übertragungen, 10-31Externe Übertragungen, 10-32Konflikte, 10-33

Übertragungsumfang und Ziele, 10-31Überwachte Ziele, 10-33, 10-40Webmail, 10-30

Netzwerkvirus, 7-3, 12-4Netzzugangsgerät, 16-4Neue Funktionen, 1-2, 1-7, 1-9nicht erreichbare Clients, 14-46Nicht-Speichergeräte

Berechtigungen, 9-10Nicht überwachte E-Mail-Domänen, 10-27

Nicht überwachte Ziele, 10-31, 10-33

OOfficeScan

Begriffe, xiiClient, 1-20Client-Dienste, 14-12Datenbank, Suche, 7-75Datenbanksicherung, 13-44Dokumentation, xInfo über, 1-2Komponenten, 2-20, 6-2Komponenten-Update, 5-74Lizenzen, 13-41Programme, 2-20Protokolle, 13-37SecureClient Integration, 17-3Webkonsole, 2-2Webserver, 13-46Wichtigste Funktionen und Vorteile,1-15

OfficeScan clientInstallationsmethoden, 5-11

OfficeScan ClientDateien durchsuchen, 14-15Deinstallation, 5-75Detaillierte Client-Informationen, 14-56Einstellungen importieren undexportieren, 14-56Inaktive Clients, 14-25Prozesse, 14-16Registrierungsschlüssel, 14-16Reservierter Festplattenspeicher, 6-50Verbindung mit OfficeScan Server,14-26, 14-42Verbindung mit Smart ProtectionServer, 14-42


IN-8

OfficeScan Server, 1-19Funktionen, 1-19

OfficeScan Update, 6-13

PPacker, 7-4Patches, 6-10Pattern-Dateien

Agent-Pattern der intelligenten Suche,4-8Pattern der intelligenten Suche, 4-9Smart Protection, 4-8Websperrliste, 4-9

Pattern der intelligenten Suche, 4-9, 6-4Pattern der Richtliniendurchsetzung, 6-10Pattern für digitale Signaturen, 6-9, 7-68Pattern zur Konfiguration derVerhaltensüberwachung, 6-9PCRE, 10-7Performance Control, 7-32Performance Tuning Tool, 18-2Perl Compatible Regular Expressions, 10-7Phishing, E-10Ping-of-Death, 12-5Platzhalter, 10-12

Dateiattribute, 10-12Gerätesteuerung, 9-9

Plug-in-Manager, 1-16, 5-5, 5-7, 15-2Deinstallation, 15-9Fehlerbehebung, 15-10Installation, 15-3native OfficeScan Funktionenverwalten, 15-4

Plug-in-ProgrammInstallation, 15-4

Policy Server für Cisco NAC, 16-4CA-Zertifikat, 16-21

Client-Validierung, 16-8Installation des Policy Servers, 16-35Regeln, 16-47Regeln zusammenstellen, 16-12Richtlinien, 16-47Richtlinien und Regeln, 16-11Richtlinien zusammenstellen, 16-16SSL-Zertifikat, 16-19Standardregeln, 16-13, 16-14Standardrichtlinien, 16-17Synchronisierung, 16-48Systemvoraussetzungen, 16-22Überblick über die Verteilung, 16-25Zertifikate, 16-19

Ports sperren, 7-111Prävention vor Datenverlust, 10-2, 10-3, 10-5

Aktionen, 10-38Ausdrücke, 10-5–10-8, 10-10Dateiattribute, 10-11–10-13Datenbezeichner, 10-5Kanäle, 10-26Netzwerkkanäle, 10-26, 10-27, 10-29–10-33,10-40Richtlinien, 10-3, 10-45Schlüsselwörter, 10-14–10-18, 10-20System- und Anwendungskanäle,10-34–10-38Vorlagen, 10-21–10-23, 10-25Widgets, 2-23

Prävention vorDatenverlust:Dekomprimierungsregeln;Dekomprimierungsregeln;komprimierteDateien:Dekomprimierungsregeln, 10-41Prävention vor Datenverlust:System- undAnwendungskanäle;System- undAnwendungskanäle;System- und


IN-9

Anwendungskanäle:PGP-Verschlüsselung,10-35Programme, 2-20, 6-2Protokolle, 13-37

Client-Update-Protokolle, 6-53Firewall-Protokolle, 12-26, 12-28, 12-31Info über, 13-37Protokolle der Gerätesteuerung, 9-17Sicherheitsrisiko-Protokolle, 7-91Spyware-/Grayware-Protokolle, 7-99Spyware-/Grayware-Wiederherstellungsprotokolle, 7-102Suchprotokolle, 7-103Systemereignisprotokolle, 13-36Verbindungsüberprüfungsprotokolle,14-45Verhaltensüberwachung, 8-14Viren-/Malware-Protokolle, 7-83, 7-92Web-Reputation-Protokolle, 11-20

Provider der digitalen Signatur, 9-7Angeben, 9-7

Proxy-Einstellungen, 4-34Automatische Proxy-Einstellungen,14-55Berechtigungen, 14-53Clients, 4-34Für das Update von Server-Komponenten, 6-19Für externe Verbindungen, 14-52Für interne Verbindungen, 14-51

ptngrowth.ini, 4-19

QQuarantäne-Manager, 13-48Quarantäne-Ordner, 7-43, 7-47

RReferenzserver, 13-31Registerkarten, 2-7Remote Authentication Dial-In User Service(RADIUS), 16-6Remote-Installation, 5-13Ressourcen zur Fehlerbehebung, 18-2Richtlinien, 10-3

Firewall, 12-4, 12-9Prävention vor Datenverlust, 10-45Web Reputation, 11-5

Roaming-Clients, 5-5, 5-7Rollenbasierte Administration, 2-34, 13-2

Benutzerkonten, 13-19Benutzerrollen, 13-3

Rootkit-Erkennung, 6-9

SScherzprogramm, 7-2Schlüsselwörter, 10-5, 10-14

benutzerdefiniert, 10-16–10-18, 10-20vordefiniert, 10-15

SCV Editor, 17-2SecureClient, 5-5, 5-7, 17-2

Integration in OfficeScan, 17-3Policy Server, 17-2SCV Editor, 17-2

Secure Configuration Verification, 17-2Security Information Center, 18-27ServerProtect, 5-69Serverprotokolle

Active-Directory-Protokolle, 18-6Apache-Server-Protokolle, 18-8Client-Gruppierungsprotokolle, 18-7Client-Packager-Protokolle, 18-9Debug-Protokoll der Viren-Scan-Engine, 18-13


IN-10

Debug-Protokolle, 18-3Debug-Protokolle des ServerProtectMigration Tools, 18-11Debug-Protokolle von VSEncrypt,18-11Komponenten-Update-Protokolle, 18-7Lokale Installations-/Upgrade-Protokolle, 18-5MCP-Agent-Protokolle von ControlManager, 18-12Protokolle der Gerätesteuerung, 18-10Protokolle zur ausgelagertenSerververwaltung, 18-10Protokolle zur Einhaltung derSicherheitsrichtlinien, 18-9Protokolle zur Unterstützung vonVirtual Desktop, 18-15Remote-Installations-/Upgrade-Protokolle, 18-5RollenbasierteAdministrationsprotokolle, 18-6Web-Reputation-Protokolle, 18-11

Server Tuner, 13-49Server-Update

Komponentenduplizierung, 6-21Manuelles Update, 6-26Protokolle, 6-27Proxy-Einstellungen, 6-19Update-Methoden, 6-26Zeitgesteuertes Update, 6-27

Sicherheitspatches, 6-10Sicherheitsrisiken, 7-2, 7-5, 7-6

Phishing-Angriffe, E-10Schutz vor, 1-16Spyware/Grayware, 7-5, 7-6

Sicherheits-Software anderer Anbieter, 5-67

Sicherheitszustand, 16-5Smart Feedback, 4-3Smart Protection, 4-3, 4-4, 4-6–4-10, 4-13, 4-26

Adresse, 4-7, 4-8File-Reputation-Dienste, 4-3Pattern-Dateien, 4-8–4-10

Agent-Pattern der intelligentenSuche, 4-8Pattern der intelligenten Suche, 4-9Update-Vorgang, 4-10Websperrliste, 4-9

Quellen, 4-26IPv6-Unterstützung, 4-26Protokolle, 4-8Standorte, 4-26Vergleich, 4-7

Smart Feedback, 4-3Smart Protection Network, 4-6Smart Protection Server, 4-7Umgebung, 4-13Web-Reputation-Dienste, 4-3, 4-4Zahl der Bedrohungen, 4-3

Smart Protection Network, 1-2, 4-6Smart Protection Server, 4-7, 4-14, 4-18–4-22

Bewährte Methoden, 4-18Eigenständig, 4-7, 4-19Installation, 4-14integriert, 4-7, 4-19–4-22update, 6-28Update, 6-14

SMB-Protokoll, 10-30Speichergeräte

Berechtigungen, 9-3Erweiterte Berechtigungen, 9-5–9-7

Sperrung bei Malware-Verhalten, 8-2Spyware/Grayware, 7-5, 7-6


IN-11

Adware, 7-5Anwendungen zum Entschlüsseln vonKennwörtern, 7-5Dialer, 7-5Hacker-Tools, 7-5Mögliche Bedrohungen, 7-6Scherzprogramme, 7-5Schutz vor, 7-6Spyware, 7-5Tools für den Remote-Zugriff, 7-5Wiederherstellen, 7-54

Spyware-Aktivmonitor-Pattern, 6-7Spyware-Pattern, 6-7Spyware-Scan-Engine, 6-7SSL-Zertifikat, 16-39, 16-41Standorte, 4-34

awareness, 4-34Statistik der 10 häufigsten Sicherheitsrisiken,2-18Steuerung von digitalen Assets

Widgets, 2-24Suchaktionen, 7-39

Spyware/Grayware, 7-50Viren/Malware, 7-76

Suchausschlüsse, 7-33, 7-34Dateien durchsuchen, 7-37Dateierweiterungen, 7-38Verzeichnisse, 7-35

Suchberechtigungen, 7-55Suche nach Spyware/Grayware

Aktionen, 7-50Ergebnisse, 7-100Zulässige Liste, 7-52

Suche nach Viren/MalwareAllgemeine Einstellungen, 7-72Ergebnisse, 7-93

SuchkriterienBenutzerdefinierte Aktionen fürDateien, 7-29CPU-Auslastung, 7-32Dateikomprimierung, 7-30Zeitplan, 7-32Zu durchsuchende Dateien, 7-29

Suchmethode, 5-29Standardeinstellung, 7-8

Suchtypen, 5-3, 5-5, 7-15Such-Zwischenspeicher, 7-68Support-Informationssystem, 2-5, 18-2Synchronisierung, 16-48SYN-Flooding, 12-5System- und Anwendungskanäle, 10-26,10-34–10-38

CD/DVD, 10-34Drucker, 10-36peer-to-peer (P2P), 10-35Synchronisierungs-Software, 10-37Wechseldatenträger, 10-36Windows-Zwischenablage, 10-38

SystemvoraussetzungenPolicy Server, 16-22Update-Agent, 6-57

TTeardrop, 12-5Technischer Support, 18-25Terminal Access Controller Access ControlSystem (TACACS+), 16-6Testsuche, 5-74Testversion, 13-41Testvirus, 7-4Tiny Fragment Attack, 12-5TMPerftool, 18-2TMTouch.exe, 6-55


IN-12

Token-Variable, 7-107Too Big Fragment, 12-4Touch Tool, 6-55Treiber der Verhaltensüberwachung, 6-9Treiber für die allgemeine Firewall, 6-8, 18-20TrendLabs, 18-26Trend Micro

Knowledge Base, 18-26Kontaktinformationen, 18-25Security Information Center, 18-27TrendLabs, 18-26

Trojaner, 1-17, 6-6, 7-3

UÜberlappendes Fragment, 12-5Übersichtsdashboard

Komponenten und Programme, 2-20Überwachte E-Mail-Domänen, 10-27Überwachte Systemereignisse, 8-3Überwachte Ziele, 10-31, 10-33Unterstützung von Virtual Desktop, 14-78update

Smart Protection Server, 6-28Update

Smart Protection Server, 6-14Update-Adresse

Clients, 6-30OfficeScan Server, 6-18Update-Agents, 6-59

Update-Agent, 5-3, 5-6, 5-31, 6-56Analysebericht, 6-65Komponentenduplizierung, 6-63Standard-Update-Quelle, 6-59Systemvoraussetzungen, 6-57Update-Methoden, 6-64Zuweisen, 6-57

Update-Methoden

Clients, 6-38OfficeScan Server, 6-26Update-Agent, 6-64

Updates, 4-20, 4-21Clients, 6-28durchsetzen, 6-54Integrierter Smart Protection Server,4-20, 4-21OfficeScan server, 6-15Update-Agent, 6-56

URL-Filter-Engine, 6-8USB-Geräte

Zulässige Liste, 9-13Konfigurieren, 9-13

VVBScript-Virus, 7-4VDI, 14-78

Protokolle, 18-15VDI Tool zur Generierung von Prescan-Vorlagen, 14-89Verbindungsüberprüfung, 14-44Verhaltensüberwachung, 8-14

Aktion bei Systemereignissen, 8-5Ausschlussliste, 8-6Protokolle, 8-14

Verschlüsselte Dateien, 7-47Viren/Malware, 7-2–7-4

Bootsektorvirus, 7-3Bösartiger ActiveX-Code, 7-3Bösartiger Java-Code, 7-3COM- und EXE-Dateien-Infektor, 7-3Makrovirus, 7-3Packer, 7-4Scherzprogramm, 7-2Testvirus, 7-4Trojaner, 7-3


IN-13

Typen, 7-2–7-4VBScript-, JavaScript- oder HTML-Virus, 7-4Wahrscheinlich Virus/Malware, 7-2Wurm, 7-4

Viren-Cleanup-Engine, 6-6Viren-Cleanup-Template, 6-6Viren-Enzyklopädie, 7-2Viren-Pattern, 6-3, 6-52, 6-54Viren-Scan-Engine, 6-4Virensuchtreiber, 6-5vordefinierte Ausdrücke, 10-6

anzeigen, 10-6Vordefinierte Registerkarten, 2-10Vordefinierte Schlüsselwörter

Abstand, 10-15Anzahl der Schlüsselwörter, 10-15

Vordefinierte Vorlagen, 10-21Vordefinierte Widgets, 2-10Vorlagen, 10-21–10-23, 10-25

Bedingungsanweisungen, 10-22benutzerdefiniert, 10-22, 10-23, 10-25logische Operatoren, 10-22vordefiniert, 10-21

Vulnerability Scanner, 5-15, 5-41Beschreibung des Computers, Abfrage,5-60DHCP-Einstellungen, 5-49Effektivität, 5-41Ping-Einstellungen, 5-63Produktabfrage, 5-56Unterstützte Protokolle, 5-58

WWahrscheinlich Virus/Malware, 7-2, 7-94Web-Installationsseite, 5-11, 5-16Webkonsole, 1-16, 2-2–2-4

Anmeldekonto, 2-4Banner, 2-4Info über, 2-2Kennwort, 2-4URL, 2-3Voraussetzungen, 2-3

Webmail, 10-30web reputation, 5-3, 5-6Web Reputation, 1-17, 4-3, 4-4, 11-5

Protokolle, 18-11Richtlinien, 11-5

Websperrliste, 4-9, 4-22web threats, 11-2Widgets, 2-7, 2-11, 2-13, 2-17, 2-18, 2-20, 2-21, 2-23,2-24, 2-26, 2-28–2-30, 15-3

Ausbrüche, 2-18C&C-Callback-Ereignisse, 2-26Client-Konnektivität, 2-13Client-Updates, 2-20File Reputation – Bedrohungskarte,2-30Häufigste Vorfälle bei 'Prävention vorDatenverlust', 2-23OfficeScan und Plug-ins Mashup, 2-21Sicherheitsrisiko-Funde, 2-17Steuerung digitaler Assets -Entdeckungen im Zeitverlauf, 2-24Verfügbar, 2-11Web Reputation – am häufigstenbedrohte Benutzer, 2-29Web Reputation – häufigsteBedrohungsquellen, 2-28

Windows Server Core, B-2Befehle, B-7unterstützte Installationsmethoden, B-2verfügbare Client-Funktionen, B-6


IN-14

Windows-Zwischenablage, 10-38Wurm, 7-4

ZZeitgesteuerte Bewertungen, 14-71Zeitgesteuerte Suche, 7-21

Automatisch beenden, 7-82Erinnerung, 7-81Fortsetzen, 7-82Überspringen und beenden, 7-60, 7-82Verschieben, 7-81

Zertifikate, 16-19CA, 16-21SSL, 16-39, 16-41

Zulässige Liste, 7-52Zusammenfassung

dashboard, 2-5–2-7, 2-10Updates, 6-66

Zusätzliche Diensteinstellungen, 14-6, 14-7Zustands-Token, 16-5

Fax: +4981188990799 [email protected]

Item Code: OSEM105883/130313

TREND MICRO INCORPORATEDTrend Micro Deutschland GmbH Zeppelinstraße 1 Hallbergmoos, Bayern 85399 DeutschlandTel.: +49 (0) 811 88990-700

Documents

Of ceScan - Trend Micro Internet Securityfiles.trendmicro.com/documentation/readme/OSCE docs/DE/de... · 2013-08-30 · Die OfficeScan Firewall testen ..... 12-35 Teil III: OfficeScan