You are on page 1of 124

McAfee VirusScan Enterprise 8.

8-Software
Produkthandbuch

COPYRIGHT Copyright 2010 McAfee, Inc. Alle Rechte vorbehalten. Diese Publikation darf in keiner Form und in keiner Weise ohne die schriftliche Genehmigung von McAfee, Inc., oder ihren Lieferanten und angeschlossenen Unternehmen ganz oder teilweise reproduziert, bermittelt, bertragen, in einem Abrufsystem gespeichert oder in eine andere Sprache bersetzt werden. MARKEN AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN, WEBSHIELD sind eingetragene Marken oder Marken von McAfee, Inc. und/oder der Tochterunternehmen in den USA und/oder anderen Lndern. Die Farbe Rot in Verbindung mit Sicherheit ist ein Merkmal der McAfee-Produkte. Alle anderen eingetragenen und nicht eingetragenen Marken in diesem Dokument sind alleiniges Eigentum der jeweiligen Besitzer. INFORMATIONEN ZUR LIZENZ Lizenzvereinbarung HINWEIS FR ALLE BENUTZER: LESEN SIE DEN LIZENZVERTRAG FR DIE VON IHNEN ERWORBENE SOFTWARE SORGFLTIG DURCH. ER ENTHLT DIE ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE. WENN SIE NICHT WISSEN, WELCHEN SOFTWARE-LIZENZTYP SIE ERWORBEN HABEN, SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN UNTERLAGEN BEZGLICH DER LIZENZGEWHRUNG ODER DEN BESTELLUNTERLAGEN NACH, DIE SIE ZUSAMMEN MIT DEM SOFTWAREPAKET ODER SEPARAT (ALS BROSCHRE, DATEI AUF DER PRODUKT-CD ODER ALS DATEI, DIE AUF DER WEBSEITE VERFGBAR IST, VON DER SIE AUCH DAS SOFTWAREPAKET HERUNTERGELADEN HABEN) ERHALTEN HABEN. WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEFHRTEN BESTIMMUNGEN NICHT EINVERSTANDEN SIND, UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE. SOFERN MGLICH, GEBEN SIE DAS PRODUKT AN MCAFEE ODER IHREN HNDLER BEI VOLLER RCKERSTATTUNG DES KAUFPREISES ZURCK.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Inhaltsverzeichnis
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Zielgruppe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Konventionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Struktur dieses Handbuchs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Finden von Produktdokumentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Erste Schritte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Einfhrung in VirusScan Enterprise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Komponenten und deren Zusammenspiel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Die Wichtigkeit der Erstellung einer Sicherheitsstrategie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 VirusScan-Konsole und Zugriffsmglichkeiten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Die VirusScan-Konsole und ihre Funktionsweise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Funktionen der rechten Maustaste. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Funktionsweise der Taskleistensymbole. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Erste Schritte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Teil I Prvention: Vermeiden von Bedrohungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20


Zugriffsschutz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Stoppen von Zugriffsbedrohungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Steuern des Zugriffs auf die Benutzeroberflche. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Schtzen der Systemzugriffspunkte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 Definieren von Zugriffschutzregeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 Zugriffspunktverletzungen und wie VirusScan Enterprise darauf reagiert. . . . . . . . . . . . . . . . . . . . . . 26 Typen benutzerdefinierter Regeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Konfigurieren der Zugriffsschutzeinstellungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Blockieren von Buffer Overflow-Exploits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Auftreten von Buffer Overflow-Exploits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Konfigurieren des Buffer Overflow-Schutzes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Einschrnken potenziell unerwnschter Programme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Konfigurieren unerwnschter Programme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Aktualisieren von Entdeckungsdefinitionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 DAT-Dateien und ihre Funktionsweise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Die Wichtigkeit einer Aktualisierungsstrategie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Inhaltsverzeichnis

Aktualisierungs-Tasks und ihre Funktionsweise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 Spiegelungs-Tasks und ihre Funktionsweise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Funktionsweise des AutoUpdate-Repositorys. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 Durchfhren von Rollbacks fr DAT-Dateien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Ausschlieen von Scan-Elementen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Festlegen von Ausschlssen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 Verwendung von Platzhaltern zum Festlegen von Scan-Elementen. . . . . . . . . . . . . . . . . . . . . . . . . . 54 Verwenden geplanter Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Zeitplanung von Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Konfigurieren der Task-Planung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

Teil II Entdeckung: Finden von Bedrohungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57


Scannen von Elementen bei Zugriff. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Zugriffsscanner und Funktionsweise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Scan-Vergleich: Schreiben auf einen Datentrger oder Lesen von einem Datentrger. . . . . . . . . . . 58 Scan-Vergleich: Scannen aller Dateien und Scannen von standardmigen und zustzlichen Dateitypen im Vergleich. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 Skript-Scan und seine Funktionsweise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 Funktionsweise von Artemis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Bestimmen der Anzahl von Scan-Richtlinien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Konfigurieren allgemeiner und von Prozesseinstellungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 On-Demand-Scan von Elementen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 On-Demand-Scan und seine Funktionsweise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 On-Demand-Scan-Methoden und ihre Festlegung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 So funktioniert das Scannen des Remote-Speichers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 So funktioniert das Verschieben von Scans. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Wie funktioniert die Systemauslastung?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Konfigurieren von On-Demand-Scan-Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Konfigurieren des globalen System-Caches. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 Scannen von E-Mails bei Empfang und On-Demand87 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ePolicy Orchestrator 4.5 oder 4.6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 ePolicy Orchestrator 4.0. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 VirusScan-Konsole. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 Registerkartendefinitionen der Richtlinien fr das E-Mail-Scannen bei Empfang. . . . . . . . . . . . . . . . 80

Teil III Reaktion: Bearbeiten von Bedrohungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82


Entdeckungen und Reaktionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Was geschieht, wenn eine Bedrohung entdeckt wird?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Schutzverletzungen von Systemzugriffspunkten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Inhaltsverzeichnis

Entdeckung von Buffer Overflows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Entdeckung unerwnschter Programme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 Entdeckungen bei Zugriffsscans. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 Entdeckung bei On-Demand-Scans. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Entdeckungen beim Scannen von E-Mails. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Isolierte Elemente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Konfigurieren von Warnmeldungen und Benachrichtigungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Konfigurieren von Warnmeldungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Zugriff auf Abfragen und Dashboards. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 Konfigurieren von Notfall-DATs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 Informationen zu Notfall-DATs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Herunterladen einer SuperDAT-Datei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Installieren der SuperDAT-Dateien in einem ePolicy Orchestrator-Repository. . . . . . . . . . . . . . . . . . 94 Installieren der Datei EXTRA.DAT auf einem Client-System. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

Teil IV berwachung, Analyse und zustzliche Anpassung des Schutzes. . . . . . . . 96


berwachen der Aktivitt in Ihrer Umgebung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Tools zum berwachen der Aktivitt. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Analysieren des Schutzes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 Die Wichtigkeit der Analyse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 Beispiele fr das Analysieren des Schutzes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

Anhang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Konfigurieren von ePolicy Orchestrator-Server-Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Konfigurieren eines Beispielserver-Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Verwenden der Befehlszeile fr VirusScan Enterprise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 Befehlszeilenoptionen fr On-Demand-Scans. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 Befehlszeilenoptionen fr Aktualisierungs-Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Verbinden mit Remote-Computern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Zugriff auf Remote-Systeme, auf denen VirusScan Enterprise installiert ist. . . . . . . . . . . . . . . . . . . 108 Einsenden von Bedrohungsbeispielen zur Analyse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 Zugreifen auf die McAfee Labs-Bedrohungsbibliothek. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 Fehlerbehebung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 Reparieren der Produktinstallation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 Anzeigen der Aktivittsprotokolldatei fr den Zugriff. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Verwenden von MERTool whrend der Fehlerbehebung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Deaktivieren von VirusScan Enterprise whrend der Fehlerbehebung. . . . . . . . . . . . . . . . . . . . . . . 112 Empfohlene Support- und Fehlerbehebungs-Tools. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 Hufig gestellte Fragen (FAQ). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Einleitung
Damit Sie dieses Dokument effektiv nutzen knnen, sollten Sie wissen, fr wen dieses Dokument verfasst wurde, welche Konventionen hinsichtlich der Schreibweise verwendet werden, was im Dokument enthalten ist und wie Sie andere Referenzdokumentationen finden knnen. Inhalt Zielgruppe Konventionen Struktur dieses Handbuchs Finden von Produktdokumentation

Zielgruppe
McAfee-Dokumentation ist sorgfltig recherchiert und wurde speziell fr die jeweilige Zielgruppe verfasst. Die Informationen in diesem Handbuch richten sich in erster Linie an: Administratoren: Personen, die das Sicherheitsprogramm eines Unternehmens implementieren und dessen Durchsetzung erzwingen. Benutzer: Personen, die fr die Konfiguration der Produktoptionen im System oder fr die Aktualisierung ihrer Systeme verantwortlich sind.

Konventionen
In diesem Handbuch werden folgende Konventionen hinsichtlich der Schreibweise verwendet:
Buchtitel oder Betonung
Fett Titel eines Buchs, Kapitels oder Themas; Einfhrung eines neuen Begriffs; Hervorhebung. Text mit starker Betonung. Befehle oder anderer Text, der vom Benutzer eingegeben wird; Pfad zu einem Ordner oder Programm. Beispiel fr Code. Auf der Benutzeroberflche verwendete Wrter, einschlielich Optionen, Mens, Schaltflchen und Dialogfeldern. Aktiver Link zu einem Thema bzw. zu einer Website. Zustzliche Informationen, beispielsweise eine alternative Methode fr den Zugriff auf eine Option. Vorschlge und Empfehlungen.

Benutzereingabe oder Pfad Code


Benutzeroberflche

Hypertext (blau) Hinweis Tipp

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Einleitung Struktur dieses Handbuchs

Wichtig/Vorsicht

Wertvolle Ratschlge zum Schutz Ihres Computersystems, Ihrer Software-Installation, Ihres Netzwerks, Ihres Unternehmens bzw. Ihrer Daten. Unbedingt zu beachtender Hinweis zur Vermeidung von Verletzungen bei der Verwendung von Hardware.

Warnung

Struktur dieses Handbuchs


Dieses Handbuch dient als Referenz fr die Benutzeroberflchen der VirusScan-Konsole und von ePolicy Orchestrator. Es wird auch in der entsprechenden Reihenfolge beschrieben, wie Sie Ihr System mithilfe von VirusScan Enterprise vor Malware schtzen knnen. Zur Beschreibung dieses Prozesses ist dieses Dokument in vier Hauptteile und einen Anhang unterteilt: Teil I Prvention: Vermeiden von Bedrohungen Sie schtzen Ihr System am besten, indem Sie verhindern, dass Malware jemals Zugriff auf das System erhlt. In diesem Teil des Dokuments wird Folgendes beschrieben: Schtzen der Systemzugriffspunkte und des Speichers vor Buffer Overflows und unerwnschten Programmen. Entdeckungsdefinitionen und ihre Verwendung zum Schtzen des Systems und die Wichtigkeit der regelmigen Aktualisierung dieser Definitionen. Ausschlieen von Dateien, Ordnern und Laufwerken von Scans. Verwenden geplanter Tasks zum Scannen des Systems in regelmigen Abstnden und zum Aktualisieren der von VirusScan Enterprise verwendeten Dateien. Teil II Entdeckung: Finden von Bedrohungen Dateien, die aus anderen Dateisystemen oder dem Internet geffnet oder kopiert werden, bieten mglicherweise Zugriff auf Ihr System. Auch Programmierschnittstellenaufrufe und -skripts (API, Application Programming Interface) knnen eine Bedrohung fr Ihr System darstellen. Diese Bedrohungen werden im Rahmen der folgenden VirusScan Enterprise-Scan-Prozessen gefunden: Scannen bei Zugriff: Durchsucht eine Datei nach Malware, wenn die Datei gelesen oder auf die Festplatte geschrieben wird, schtze Boot-Sektoren, durchsucht den Speicher bereits ausgefhrter Prozesse, entdeckt Cookies und schtz vor unerwnschten Programmen. On-Demand-Scan: Durchsucht das gesamte System gem einem Zeitplan oder bei Bedarf nach Bedrohungen, wenn er ber die VirusScan-Konsole gestartet wird. E-Mail-Scannen bei Empfang und On-Demand: Schtzt vor Malware, die ber E-Mails in Microsoft Outlook und Lotus Notes eingeht. Buffer Overflow-Schutz: Analysiert von bestimmten Prozessen vorgenommene API-Aufrufe, um zu besttigen, dass sie benachbarte Daten im Speicherpuffer nicht berschreiben. ScriptScan: Sucht Bedrohungen aus Browsern oder anderen Anwendungen, auf die zugegriffen und von denen Windows Script Host verwendet wird. Teil III Reaktion: Bearbeiten von Bedrohungen VirusScan Enterprise kann so konfiguriert werden, dass beim Finden einer Bedrohung eine der folgenden Aktionen ausgefhrt wird: Zugriff fr die Bedrohung verweigern oder keine weiteren Manahmen ergreifen.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Einleitung Finden von Produktdokumentation

Lschen oder Bereinigen der Bedrohung. Wenn eine dieser Aktionen ausgefhrt wird, wird eine Kopie der ursprnglichen Datei im Quarantne-Ordner gespeichert. HINWEIS: Sie knnen VirusScan Enterprise so konfigurieren, dass der Benutzer im Falle einer Entdeckung benachrichtigt oder nicht benachrichtigt wird. Teil IV berwachung, Analyse und zustzliche Anpassung des Schutzes Sobald der Schutz eingerichtet ist und ausgefhrt wird, sollten Sie Ihr System mithilfe von ePolicy Orchestrator-Abfragen und -Berichten berwachen. Dann knnten Sie nderungen an den Sicherheitseinstellungen vornehmen, um den Systemschutz zu erhhen oder zu reduzieren. Alternativ knnen Sie auch VirusScan-Konsolen-Protokolle und SNMP-Traps (Simple Network Management Protocol) zum berwachen der Systeme verwenden. Anhang Beschreibt einige zustzliche Funktionen, mit denen Sie sich bei der Verwendung von VirusScan Enterprise vertraut machen sollten. Dazu gehren beispielsweise VirusScan Enterprise-Befehlszeilenoptionen, das Herstellen einer Verbindung mit Remote-Systemen ber VirusScan Enterprise usw.

Finden von Produktdokumentation


McAfee stellt die Informationen bereit, die Sie in der jeweiligen Phase der Produktimplementierung von der Installation ber die Verwendung bis hin zur Fehlerbehandlung bentigen. Nachdem ein Produkt verffentlicht worden ist, wird die online verfgbare McAfee KnowledgeBase um Informationen zu dem Produkt ergnzt. 1 2 Rufen Sie das ServicePortal des technischen Supports von McAfee unter http://mysupport.mcafee.com auf. Greifen Sie unter Self Service (Online-Support) auf die erforderlichen Informationen zu:
Zugriff auf... Benutzerdokumentation Vorgehensweise 1 2 Klicken Sie auf Product Documentation (Produktdokumentation). Treffen Sie zunchst unter Product (Produkt) und dann unter Version (Version) eine Auswahl. Whlen Sie ein Produktdokument aus. Klicken Sie auf Search the KnowledgeBase (KnowledgeBase durchsuchen), um Antworten auf produktbezogenen Fragen ausfindig zu machen. Klicken Sie auf Browse the KnowledgeBase (Suche in der KnowledgeBase), um nach Produkt und Version geordnete Artikel anzuzeigen.

3 KnowledgeBase

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Erste Schritte
Die Erluterungen zu den Komponenten der McAfee VirusScan Enterprise 8.8-Software und die Reihenfolge fr die Konfiguration sollen Ihnen dabei helfen, Ihr System vor Bedrohungen zu schtzen. Inhalt Einfhrung in VirusScan Enterprise Komponenten und deren Zusammenspiel Die Wichtigkeit der Erstellung einer Sicherheitsstrategie VirusScan-Konsole und Zugriffsmglichkeiten Erste Schritte

Einfhrung in VirusScan Enterprise


Sobald die VirusScan Enterprise-Software installiert ist, wird Ihr System vor Bedrohungen geschtzt. Sie knnen den Schutz erhhen, wenn Sie die Funktionsweise der Software, die Neuigkeiten in dieser Version und ihre Hauptkomponenten kennen. Beschreibung und Funktion VirusScan Enterprise bietet Ihnen leicht skalierbaren Schutz, schnelle Leistung und mobiles Design zum Schutz Ihrer Umgebung vor Folgendem: Viren, Wrmer und Trojaner Zugriffspunktverletzungen und ausgenutzte Pufferberlufe Potenziell unerwnschter Code und potenziell unerwnschte Programme Bedrohungen werden entdeckt und die von Ihnen konfigurierten Manahmen zum Schutz Ihrer Umgebung ergriffen. Sie knnen die Software als Standalone-Produkt konfigurieren oder McAfee ePolicy Orchestrator -Software-Version 4.0 und hher fr die Verwaltung und Umsetzung von VirusScan Enterprise-Richtlinien verwenden und anschlieend mittels Abfragen und Dashboards die Programmaktivitt und entdeckte Bedrohungen nachverfolgen. HINWEIS: Dieses Dokument beschreibt die Verwendung von ePolicy Orchestrator 4.0, 4.5 und 4.6. Weitere Informationen zur Verwendung dieser Versionen von ePolicy Orchestrator erhalten Sie in der Produktdokumentation der jeweiligen Version. Was ist neu? Diese Version umfasst die folgenden neuen Funktionen: Optimierte Leistung.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Erste Schritte Komponenten und deren Zusammenspiel

Mit ePolicy Orchestrator 4.5 und 4.6 knnen Ihre VirusScan Enterprise-Systeme verwaltet werden. Eine neue ScriptScan-URL-Ausschlussfunktion ermglicht Ihnen das Konfigurieren von Ausschlssen anstelle einer manuellen Bearbeitung der Registrierung. AntiSpyware Enterprise Module ist vollstndig in die VirusScan Enterprise 8.8-Software integriert. Untersttzung fr Outlook 2010-E-Mail-Scans. Untersttzung fr Lotus Notes 8.0x bis 8.5.1-E-Mail-Scans.

Komponenten und deren Zusammenspiel


Als Administrator und Benutzer von VirusScan Enterprise sollten Sie mit den einzelnen Komponenten und Verbindungen vertraut sein. In der folgenden Abbildung sind diese Komponenten in einer grundlegenden Umgebung dargestellt.

Abbildung 1: VirusScan Enterprise-Komponenten Client-System Auf diesem System werden VirusScan Enterprise und der optionale McAfee Agent installiert und konfiguriert. DAT-Dateien: Entdeckungsdefinitionsdateien, auch als Malware-Signaturen bezeichnet, die mit dem Scan-Modul zusammenarbeiten, um Angriffe zu identifizieren und Manahmen zu ergreifen. Scan-Modul: Wird zum Scannen der Dateien, Ordner und Datentrger des Client-Computers verwendet und prft sie mit den Informationen in den DAT-Dateien auf bekannte Viren. HINWEIS: DAT-Dateien und das Scan-Modul werden bei Bedarf ber die Internetverbindung mit McAfee Headquarters oder mithilfe optionaler Verbindungen ber das Unternehmensintranet zu einem festgelegten Server aktualisiert.

10

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Erste Schritte Komponenten und deren Zusammenspiel

Artemis (Heuristische Netzwerkprfung auf verdchtige Dateien): Sucht nach verdchtigen Programmen und DLLs, die auf durch VirusScan Enterprise geschtzten Client-Systemen ausgefhrt werden. Wenn der Echtzeit-Schutz gegen Malware ein verdchtiges Programm entdeckt, wird eine DNS-Anfrage mit dem Fingerabdruck der verdchtigen Datei an einen von McAfee Labs gehosteten, zentralen Datenbankserver gesendet. McAfee Agent (optional): Ermglicht eine sichere Kommunikation zwischen den von McAfee verwalteten Produkten und dem McAfee ePolicy Orchestrator-Server. Der Agent bietet auch lokale Dienste wie die Aktualisierung, Protokollierung und Berichterstellung von Ereignissen und Eigenschaften, die Task-Planung, Kommunikation und Richtlinienspeicherung. McAfee Headquarters McAfee Headquarters, Sitz von McAfee Labs und dem technischen Support von McAfee, bietet die folgenden VirusScan Enterprise-Dienste: DAT-Aktualisierungen: Diese DAT-Aktualisierungsdateien sind auf einem zentralen Datenbankserver von McAfee gespeichert und werden mithilfe von AutoUpdate auf VirusScan Enterprise-Clients oder in optionale DAT-Repositories kopiert, um Informationen zum Bekmpfen bekannter Bedrohungen und neue Listen bekannter Viren nach deren Auffindung in Echtzeit bereitzustellen. Scan-Modul-Aktualisierungen: Scan-Modul-Aktualisierungen sind auf einem zentralen Datenbankserver gespeichert und werden bei Bedarf heruntergeladen, um das VirusScan Enterprise-Scan-Modul auf dem aktuellen Stand zu halten. McAfee Labs: Diese Bedrohungsbibliothek enthlt detaillierte Informationen zu Bedrohungen durch Viren, Trojaner, Scheinviren (Hoax) und potenziell unerwnschte Programme (PUP, Potentially Unwanted Program) sowie darber, woher sie stammen, wie sie das System infizieren und wie sie behandelt werden knnen. Die Artemis-Funktion sendet den Fingerabdruck der verdchtigen Datei an McAfee Labs, wo die Datei analysiert und die zu ergreifende Manahme bestimmt wird. Server Der optionale Server verwendet die folgenden Komponenten, um viele Client-Systeme remote zu verwalten und zu aktualisieren: ePolicy Orchestrator: Verwaltet und erzwingt VirusScan Enterprise-Richtlinien zentral und verwendet dann Abfragen und Dashboards zum Nachverfolgen von Aktivitten und Entdeckungen. HINWEIS: Dieses Dokument beschreibt die Verwendung von ePolicy Orchestrator 4.0, 4.5 und 4.6. Informationen zu ePolicy Orchestrator finden Sie in der Produktdokumentation fr Ihre Version. DAT-Repository: Ruft DAT-Aktualisierungen von der McAfee-Download-Site ab. Von dort aus knnen DAT-Dateien unternehmensweit repliziert werden, da Zugriff fr alle anderen Computer besteht. Der ber das Netzwerk bertragene Datenumfang wird gering gehalten, indem der Kopierprozess der aktualisierten Dateien auf die Freigabesites automatisiert wird.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

11

Erste Schritte Die Wichtigkeit der Erstellung einer Sicherheitsstrategie

Die Wichtigkeit der Erstellung einer Sicherheitsstrategie


Zum Schtzen Ihrer Client-Systeme vor Viren, Wrmern und Trojanern mithilfe von VirusScan Enterprise ist eine gut geplante Strategie erforderlich: Definieren der Vermeidung und Entdeckung von Bedrohungen, Reaktion auf Bedrohungen und kontinuierliche Analyse und Anpassung. Prvention Vermeiden von Bedrohungen Definieren Sie Ihre Sicherheitsanforderungen so, dass alle Ihre Datenquellen geschtzt sind, und entwickeln Sie dann eine wirksame Strategie zum Blockieren von Intrusionen, bevor diese Zugriff auf Ihre Umgebung erhalten. Richten Sie folgende Funktionen ein, um Intrusionen zu unterbinden: Benutzeroberflchensicherheit: Richten Sie einen Bildschirm- und Kennwortschutz ein, um den Zugriff auf die VirusScan Enterprise-Benutzeroberflche zu steuern. Zugriffsschutz: Nutzen Sie Zugriffsschutzregeln, um Ihren Computer vor unerwnschtem Verhalten im Zusammenhang mit Dateien, der Registrierung und Ports zu schtzen. Buffer Overflow-Schutz: Verhindern Sie, dass unnormale Programme oder Bedrohungen die Puffergrenze berschreiten und benachbarten Speicherplatz berschreiben, whrend Daten in einen Puffer geschrieben werden. Diese ausgenutzten Pufferberlufe knnen dazu fhren, dass beliebiger Code auf Ihrem Computer ausgefhrt wird. Schutz vor unerwnschten Programmen: Beseitigen Sie potenziell unerwnschte Programme wie Spyware und Adware von Ihrem Computer. Entdeckung Finden von Bedrohungen Entwickeln Sie eine effektive Strategie zur Entdeckung von Intrusionen, sobald diese stattfinden. Konfigurieren Sie folgende Funktionen, um Intrusionen zu entdecken: Aktualisierungs-Task: Aktualisieren Sie DAT-Dateien und das Scan-Modul automatisch ber die McAfee-Download-Website. Zugriffsscanner: Entdecken Sie potenzielle Bedrohungen von beliebigen Quellen beim Schreiben und Auslesen von Dateien Ihrer Laufwerke. Sie knnen auch auf potenziell unerwnschte Cookies im Cookies-Ordner scannen. On-Demand-Scan-Task: Entdecken Sie potenzielle Bedrohungen mithilfe sofortiger und geplanter Scan-Tasks. Sie knnen auch auf potenziell unerwnschte Cookies und Registrierungseintrge scannen, die mit Spyware in Verbindung stehen und die zuvor nicht bereinigt wurden. E-Mail-Scanner bei Empfang und On-Demand: Entdecken Sie potenzielle Bedrohungen auf Microsoft Outlook-E-Mail-Clients mithilfe des Empfangsscanners fr Nachrichten, Anlagen und ffentliche Ordner. Entdecken Sie potenzielle Bedrohungen auf Lotus Notes-E-Mail-Clients beim Zugriff auf Nachrichten. Quarantine Manager-Richtlinie: Legen Sie den Quarantne-Speicherort und den Zeitraum fest, in dem die isolierten Elemente gespeichert werden sollen. Isolierte Elemente knnen bei Bedarf wiederhergestellt werden. Reaktion Bearbeiten von Bedrohungen Nutzen Sie die Protokolldateien des Produkts, automatische Aktionen und andere Benachrichtigungsfunktionen, um die beste Art zur Behandlung von Entdeckungen festzulegen. Aktionen: Richten Sie automatische Manahmen fr den Fall entdeckter Bedrohungen ein.

12

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Erste Schritte VirusScan-Konsole und Zugriffsmglichkeiten

Protokolldateien: berwachen Sie Produktprotokolldateien, um den Verlauf entdeckter Elemente anzuzeigen. Abfragen und Dashboards: berwachen Sie mithilfe von ePolicy Orchestrator-Abfragen und -Dashboards die Scanvorgnge und Entdeckungen. Anpassung berwachung, Analyse und zustzliche Anpassung des Schutzes Nach der Erstkonfiguration von VirusScan Enterprise ist es immer gut, die Konfiguration zu berwachen und zu analysieren. Dadurch kann die System- und Netzwerkleistung optimiert und die Stufe des Virenschutzes bei Bedarf erhht werden. Die folgenden VirusScan Enterprise-Tools und -Funktionen knnen beispielsweise als Teil Ihrer Prozesse zur berwachung, Analyse und zustzlichen Abstimmung gendert werden: Protokolldateien (VirusScan-Konsole): Zeigen Sie einen Verlauf der entdeckten Elemente an. Durch das Analysieren dieser Informationen erfahren Sie, ob Sie den Schutz erhhen oder die Konfiguration ndern mssen, um die Systemleistung zu verbessern. Abfragen und Dashboards (ePolicy Orchestrator-Konsole): berwachen Sie die Scan-Aktivitt und Entdeckungen. Durch das Analysieren dieser Informationen erfahren Sie, ob Sie den Schutz erhhen oder die Konfiguration ndern mssen, um die Systemleistung zu verbessern. Geplante Tasks: ndern Sie Tasks (wie AutoUpdate) und Scan-Zeiten, um die Leistung zu optimieren, indem Sie die Tasks auerhalb der Spitzenzeiten ausfhren. DAT-Repositories: Reduzieren Sie den Netzwerkverkehr im Unternehmens-Internet oder -Intranet, indem Sie diese Quelldateien nher bei den Clients speichern, die diese Aktualisierungen bentigen. ndern der Scan-Richtlinien: Verbessern Sie die Leistung oder erhhen Sie den Virenschutz in Abhngigkeit Ihrer Analyse der Protokolldateien oder Abfragen. Durch das Konfigurieren von Ausschlssen, des Zeitpunkts der Verwendung von Scans fr Profile mit hohem und niedrigem Risiko sowie des Zeitpunkts der Deaktivierung von Scans beim Schreiben kann die Leistung beispielsweise optimiert werden. VORSICHT: Wenn beim Aktivieren der Scans "Beim Lesen vom Datentrger" ein Fehler auftritt, ist das System vor zahlreichen Malware-Angriffen nicht geschtzt.

VirusScan-Konsole und Zugriffsmglichkeiten


Die VirusScan-Konsole ist die Oberflche fr die Standalone-Version der Programmaktivitten. Mit ihr konfigurieren, berwachen und aktualisieren Sie das Produkt. HINWEIS: Diese Informationen gelten nur fr die Standalone-Version des Produkts und nicht fr die verwaltete ePolicy Orchestrator-Version.

Die VirusScan-Konsole und ihre Funktionsweise


Nachdem Sie die Funktionsweise und Komponenten von VirusScan Enterprise nachvollzogen haben, mssen Sie wissen, wie Sie auf die Funktionen zugreifen knnen. ffnen Sie die VirusScan Enterprise 8.8-Konsole mithilfe einer der folgenden Methoden: Whlen Sie im Start-Men den Eintrag Programme | McAfee | VirusScan-Konsole aus. Klicken Sie in der Taskleiste mit der rechten Maustaste auf das Schutzschild-Symbol von VirusScan Enterprise, und whlen Sie dann VirusScan-Konsole aus.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

13

Erste Schritte VirusScan-Konsole und Zugriffsmglichkeiten

Menleiste Mithilfe der Menpunkte knnen Sie Tasks erstellen, Eigenschaften konfigurieren und auf zustzliche Informationen zugreifen. Task: Hier knnen Sie Tasks, wie etwa das Suchen nach Bedrohungen, erstellen und konfigurieren oder die DAT-Dateien aktualisieren. Bearbeiten: Hier knnen Sie den ausgewhlten Task kopieren, einfgen, lschen oder umbenennen. Anzeigen: Hier knnen Sie die Symbolleiste und die Statusleiste anzeigen und die Anzeige aktualisieren. Extras: Hier knnen Sie fr Benutzer die Optionen der Benutzeroberflche festlegen, die Sicherheitseinstellungen fr die Benutzeroberflche sperren oder entsperren, Warnungen konfigurieren, auf die Ereignisanzeige zugreifen, eine Remote-Konsole ffnen, falls Sie ber Administratorrechte verfgen, die Repository-Liste importieren oder bearbeiten und die DAT-Dateien per Rollback auf eine frhere Version zurcksetzen. Hilfe: Hier knnen Sie auf Hilfethemen, die Bedrohungsbibliothek auf der McAfee Labs-Website, die Website zum Senden von Beispielen sowie auf die Website des technischen Supports zugreifen. Des Weiteren haben Sie die Mglichkeit, die Produktinstallation zu reparieren und im Dialogfeld Info Copyright-Informationen sowie Angaben zur Version des Produkts, der Lizenz, der Definitionsdateien, des Scan-Moduls, des Zusatztreibers und des Patches einzusehen. HINWEIS: Alle Menelemente knnen auch ber Tastenkombinationen aufgerufen werden. Bei einigen Betriebssystemen sind diese Tastenkombinationen mglicherweise erst verfgbar, nachdem Sie F10 oder ALT gedrckt haben, um auf die Mens zuzugreifen. Toolbar ber die hier enthaltenen Symbole knnen Sie auf die am hufigsten verwendeten Befehle zugreifen. Anzeigen der Eigenschaften des ausgewhlten Tasks. Starten des ausgewhlten Tasks. Anhalten des ausgewhlten Tasks. Kopieren des ausgewhlten Tasks. Einfgen des ausgewhlten Tasks. Lschen des ausgewhlten Tasks. Konfigurieren der Warnungseigenschaften. Starten der Ereignisanzeige. Zugreifen auf die Informationsbibliothek auf der McAfee Labs-Website. Herstellen der Verbindung zu einem Remote-Computer, falls Sie ber Administratorrechte verfgen. Erstellen eines neuen On-Demand-Scan-Tasks. Taskliste Zeigt die Standard-Tasks an und alle neuen Tasks, die Sie erstellen, sowie den Status und das letzte Ergebnis der einzelnen Tasks.

14

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Erste Schritte VirusScan-Konsole und Zugriffsmglichkeiten

Statusleiste Zeigt den Status der aktuellen Aktivitt an.

Funktionen der rechten Maustaste


ber die Funktionen der rechten Maustaste haben Sie schnellen Zugriff auf hufig verwendete Aktionen wie Erstellen neuer Tasks, Anzeigen von Statistiken und Protokollen, ffnen der Task-Eigenschaftenseiten, Scannen bestimmter Dateien oder Ordner oder sofortiges Durchfhren von Aktualisierungs-Tasks. Funktionsbeschreibung
Ort Die Konsole Beschreibung Beispiele Klicken Sie in der Konsole mit der rechten Maustaste auf einen Task, um seine Eigenschaften aufzurufen. Abhngig davon, welchen Task Sie ausgewhlt haben, knnen Sie diesen teilweise auch starten, stoppen, aktivieren oder deaktivieren sowie die Statistiken und das Aktivittsprotokoll anzeigen. Teilweise knnen Sie den Task auch umbenennen oder lschen. Klicken Sie mit der rechten Maustaste auf einen freien Bereich der Konsole, um einen neue Scan- oder Aktualisierungs-Task zu erstellen.

Klicken Sie mit der rechten Maustaste auf die VirusScan-Konsole, um die Funktionen der rechten Maustaste anzuzeigen. Welche Funktionen angezeigt werden, hngt davon ab, ob Sie in der Taskliste einen Task ausgewhlt haben und um welchen Task es sich handelt.

Windows-Explorer Klicken Sie mit der rechten Maustaste auf eine ausgewhlte Datei oder einen ausgewhlten Ordner, um die Option Scannen auf Bedrohungen auszufhren. Fr den Scan lsst sich eine Aktion auswhlen: Bereinigen: Entdeckung melden und bereinigen. Fortsetzen: Entdeckung melden und mit dem Scannen fortfahren.

Falls Ihnen eine Datei oder ein Ordner verdchtig vorkommt, sollten Sie umgehend einen Scan durchfhren. Beim Starten des Scan-Vorgangs wird der On-Demand-Scanner direkt aufgerufen, und alle Scan-Einstellungen werden aktiviert. Whlen Sie die Option "Aktion" aus. Andere Scan-Einstellungen lassen sich nicht anpassen.

Die Taskleiste

Beschreibungen zu den Funktionen der rechten Maustaste fr das VirusScan Enterprise-Symbol finden Sie unter Funktionsweise der Taskleistensymbole.

Funktionsweise der Taskleistensymbole


Nach der Installation von VirusScan Enterprise wird eines der folgenden Symbole in der Windows-Taskleiste angezeigt (sofern Sie dies bei der Installation so konfiguriert haben). "M" in einem Schutzschild-Symbol Wird bei von ePolicy Orchestrator verwalteten Systemen angezeigt, fr die McAfee Agent, Version 4.5 oder hher, verwendet wird. Folgendes wird angezeigt: Status: Dieses Symbol ndert sich nicht, um Warnungen zur Auslsung des Zugriffsschutzes oder die Deaktivierung des Scannens bei Zugriff auf von ePolicy Orchestrator verwalteten Clients mit McTray, Version 2.x oder hher (mit McAfee Agent 4.5 oder hher), anzugeben. Die Statusnderungen werden als Quickinfo angezeigt. Quickinfos: Die Quickinfos des Symbols umfassen Folgendes:

McAfee VirusScan Enterprise 8.8-Produkthandbuch

15

Erste Schritte VirusScan-Konsole und Zugriffsmglichkeiten

McAfee-Status: OK Normal. Mit den Optionen wird Folgendes angegeben: Sicherheitsstatus anzeigen: Es wird ein Hkchen angezeigt. Schnellkonfiguration | Virenscan bei Zugriff - An: Es wird ein Hkchen angezeigt. McAfee-Status: Problem entdeckt Scannen bei Zugriff deaktiviert. Mit den Optionen wird Folgendes angegeben: Sicherheitsstatus anzeigen: Es wird ein Ausrufezeichen angezeigt. HINWEIS: Klicken Sie auf Sicherheitsstatus anzeigen, um das Dialogfeld fr den McAfee-Sicherheitsstatus fr das Problem "Scannen bei Zugriff deaktiviert" in der Statusspalte anzuzeigen. Schnellkonfiguration | Virenscan bei Zugriff - Aus: Es wird kein Hkchen angezeigt. McAfee-Status: Problem entdeckt Zugriffsschutzereignis wurde ausgelst. Mit den Optionen wird Folgendes angegeben: Sicherheitsstatus anzeigen: Es wird ein Ausrufezeichen angezeigt. HINWEIS: Klicken Sie auf Sicherheitsstatus anzeigen, um das Dialogfeld fr den McAfee-Sicherheitsstatus fr das Problem "Weitere Informationen im Zugriffsschutzprotokoll" in der Statusspalte anzuzeigen. Schnellkonfiguration | Virenscan bei Zugriff - An: Es wird ein Hkchen angezeigt. Menoptionen: Die Menoptionen der rechten Maustaste umfassen Folgendes: Sicherheit aktualisieren: Aktualisiert die DAT-Dateien und alle anderen nderungen. Schnellkonfiguration: Folgendes wird angezeigt: Eigenschaften fr Scan bei Zugriff: ffnet die Eigenschaften des Zugriffsscanners. Scannen bei Zugriff aktivieren oder deaktivieren: Aktiviert oder deaktiviert den On-Access-Scan. Eigenschaften fr Scan bei Zugriff: ffnet die Eigenschaften des Zugriffsscanners. Nachrichten vom Scannen bei Zugriff: ffnet Statistiken oder Nachrichten vom Scannen bei Zugriff. Zugriffsschutz-Protokolldatei ffnen: ffnet die Protokolldatei. Funktionen verwalten | VirusScan Enterprise: ffnet die VirusScan-Konsole. Computer scannen auf | Bedrohungen: Starten sofort einen Scan-Vorgang. Sicherheitsstatus anzeigen: Zeigt das Dialogfeld fr den McAfee-Sicherheitsstatus an. McAfee Agent-Statusmonitor: Zeigt das Dialogfeld fr den McAfee-Sicherheitsstatusmonitor an. Info: ffnet das Dialogfeld Info.

"M" in einem Feld Wird bei Standalone-Systemen mit McTray 1.0 und bei von ePolicy Orchestrator verwalteten Systemen mit McAfee Agent, Version 4.0, angezeigt, fr die McTray 1.0 verwendet wird. Folgendes wird angezeigt: Status: Folgendes wird angezeigt:

16

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Erste Schritte VirusScan-Konsole und Zugriffsmglichkeiten

"M" in einem Feld: Status "Normal". "M" in einem Feld mit einem Ausrufezeichen: Es wurde ein Zugriffsschutzverletzungs-Ereignis ausgelst oder das Scannen bei Zugriff ist deaktiviert. Mit den Menoptionen der rechten Maustaste wird Folgendes angegeben: "V" in einem Schutzschild mit einem Kreis und einem Strich: Gibt an, dass das Scannen bei Zugriff deaktiviert ist. "V" in einem Schutzschild mit einem roten Rand: Gibt an, dass das Scannen bei Zugriff aktiviert ist, aber in der Zugriffsschutz-Protokolldatei nachgesehen werden soll.

Quickinfo: Zeigt "McAfee" an. Menoptionen: Die Menoptionen der rechten Maustaste umfassen Folgendes: VirusScan-Konsole: ffnet die VirusScan-Konsole. Scannen bei Zugriff aktivieren oder deaktivieren: Aktiviert oder deaktiviert den Zugriffsscanner. Eigenschaften fr Scan bei Zugriff: ffnet die Eigenschaften des Zugriffsscanners. Statistische Daten zum Scannen bei Zugriff: ffnet Statistiken oder Nachrichten vom Scannen bei Zugriff. Nachrichten vom Scannen bei Zugriff: ffnet Statistiken oder Nachrichten vom Scannen bei Zugriff. On-Demand-Scan: Erstellt einen einmaligen, konfigurierbaren On-Demand-Scan. Jetzt aktualisieren: Fhrt einen sofortigen Aktualisierungs-Task aus. Info zu VirusScan Enterprise: ffnet das Dialogfeld Info. "V" in einem Schutzschild-Symbol Wird bei Standalone-Systemen ohne McTray 1.0 angezeigt. Folgendes wird angezeigt: Status: Folgendes wird angezeigt: "V" in einem Schutzschild mit einem Kreis und einem Strich: Gibt an, dass das Scannen bei Zugriff deaktiviert ist. Ein "V" in einem Schutzschild mit einem roten Rand: Gibt an, dass das Scannen bei Zugriff aktiviert ist, aber in der Zugriffsschutz-Protokolldatei nachgesehen werden soll. "V" in einem Schutzschild: Normal.

Quickinfos: Die Quickinfos umfassen Folgendes: "V" in einem Schutzschild mit einem Kreis und einem Strich: McAfee OAS: deaktiviert. "V" in einem Schutzschild mit einem roten Rand: McAfee OAS: aktiviert, siehe Zugriffsschutz-Protokolldatei. "V" in einem Schutzschild: McAfee OAS: aktiviert, normal.

Menoptionen: Die Menoptionen der rechten Maustaste umfassen Folgendes: Sicherheit aktualisieren: Aktualisiert DAT-Dateien und alle anderen nderungen.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

17

Erste Schritte Erste Schritte

Schnellkonfiguration: Folgendes wird angezeigt: Eigenschaften fr Scan bei Zugriff: ffnet die Eigenschaften des Zugriffsscanners. Scannen bei Zugriff ein oder aus: Aktiviert oder deaktiviert den Zugriffsscanner. Nachrichten vom Scannen bei Zugriff: ffnet Statistiken oder Nachrichten vom Scannen bei Zugriff. Zugriffsschutz-Protokolldatei ffnen: ffnet die Protokolldatei. Funktionen verwalten | VirusScan Enterprise: ffnet die VirusScan-Konsole. Computer scannen auf | Bedrohungen: Starten sofort einen Scan-Vorgang. Sicherheitsstatus anzeigen: Zeigt das Dialogfeld fr den McAfee-Sicherheitsstatus an. McAfee Agent-Statusmonitor: Zeigt das Dialogfeld fr den McAfee-Sicherheitsstatusmonitor an. Info: ffnet das Dialogfeld Info.

Erste Schritte
Nachdem die Software installiert ist, werden die im Lieferumfang des Produkts enthaltenen DAT-Dateien verwendet, die der Umgebung eine allgemeine Sicherheit bieten. Es wird empfohlen, vor der Bereitstellung des Produkts auf Client-Systemen die aktuellen DAT-Dateien abzurufen und die Konfiguration an Ihre Anforderungen anzupassen. Nehmen Sie die folgenden Aktionen unmittelbar nach Installation des Produkts vor: 1 Festlegen der Benutzeroberflchensicherheit. Konfigurieren und Anzeigen der Kennwortoptionen, um zu verhindern, dass Benutzer Zugriff auf spezifische Komponenten oder die gesamte VirusScan Enterprise-Benutzeroberflche haben. Weitere Informationen finden Sie unter Zugriff auf die Benutzeroberflche kontrollieren. DAT-Dateien aktualisieren. Durchfhren einer Jetzt aktualisieren-Task, um sicherzustellen, dass Sie ber die aktuellen DAT-Dateien verfgen. Weitere Informationen finden Sie unter Aktualisieren von Entdeckungsdefinitionen. Vermeiden von Intrusionen. Konfigurieren folgender Funktionen, um zu verhindern, dass potenzielle Bedrohungen auf Ihren Computer zugreifen: Zugriffsschutz. Konfigurieren von Zugriffsschutzregeln, um unerwnschte Vernderungen an Ihrem Computer zu verhindern, und Aktivieren der Funktion, die das Beenden von McAfee-Prozessen verhindert. Weitere Informationen finden Sie unter Schtzen der Systemzugriffspunkte. Buffer Overflow-Schutz. Aktivieren des Buffer Overflow-Schutzes und Angeben von Ausschlssen. Weitere Informationen finden Sie unter Blockieren von Buffer Overflow-Exploits. Richtlinie fr unerwnschte Programme. Konfigurieren der Richtlinie, die der Zugriffs-, der On-Demand- und der E-Mail-Scanner fr die Entdeckung potenziell unerwnschter Programme verwenden. Auswhlen von Kategorien unerwnschter Programme aus einer vordefinierten Liste zur Entdeckung und anschlieendes Definieren zustzlicher Programme, die entdeckt oder ausgeschlossen werden sollen. Weitere Informationen finden Sie unter Einschrnken potenziell unerwnschter Programme. 4 Entdecken von Intrusionen. Konfigurieren der folgenden Funktionen, damit potenzielle Bedrohungen auf Ihren Computern entdeckt werden, und bei einer Entdeckung

18

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Erste Schritte Erste Schritte

entsprechende Manahmen ergriffen werden, ber die Sie anschlieend eine Benachrichtigung erhalten: AutoUpdate. Konfigurieren von Aktualisierungs-Tasks, um die neuesten DAT-Dateien sowie Aktualisierungen fr das Scan-Modul und Produkte abzurufen. Weitere Informationen finden Sie unter Aktualisieren von Entdeckungsdefinitionen. Zugriffsscanner. Konfigurieren des Scanners fr das Entdecken potenzieller Bedrohungen und das Ergreifen geeigneter Manahmen, wenn die Bedrohungen in Ihrer Umgebung entdeckt werden. Aktivieren des Scans nach unerwnschten Programmen und Scannen nach Cookies im Cookies-Ordner. Weitere Informationen finden Sie unter Scannen von Elementen bei Zugriff. On-Demand-Scanner. Konfigurieren von Scan-Tasks fr das Entdecken potenzieller Bedrohungen in Ihrer Umgebung und das Ergreifen geeigneter Manahmen. Aktivieren des Scans nach unerwnschten Programmen und Scannen nach Cookies im Cookies-Ordner und nach potenziell unerwnschten mit Spyware in Verbindung stehenden Registrierungseintrgen, die zuvor nicht bereinigt wurden. Weitere Informationen finden Sie unter On-Demand-Scan von Elementen. E-Mail-Scanner. Konfigurieren von Empfangs- und On-Demand-Scans von Microsoft Outlook und Lotus Notes-E-Mail-Clients. Aktivieren des Scans nach unerwnschten Programmen. Weitere Informationen finden Sie unter E-Mail-Scannen bei Empfang und On-Demand. 5 Senden von Warnungen und Isolieren von Bedrohungen. Konfigurieren Sie diese Funktionen so, dass Sie gewarnt werden, wenn Entdeckungen stattfinden, und verwalten Sie isolierte Elemente: Warnungen und Benachrichtigungen. Konfigurieren der Art und des Zeitpunkts von Entdeckungsbenachrichtigungen und -warnungen. Weitere Informationen finden Sie unter Konfigurieren von Warnmeldungen und Benachrichtigungen. Quarantine Manager-Richtlinie. Konfigurieren des Quarantne-Ordners und der Dauer in Tagen, fr die isolierte Elemente vor ihrer automatischen Lschung gespeichert werden. Weitere Informationen finden Sie unter Isolierte Elemente.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

19

Teil I Prvention: Vermeiden von Bedrohungen


Prvention ist der erste Schritt in einer Schutzstrategie, um zu verhindern, dass Bedrohungen Zugriff auf Ihr System erlangen. Inhalt Zugriffsschutz Schtzen der Systemzugriffspunkte Blockieren von Buffer Overflow-Exploits Einschrnken potenziell unerwnschter Programme Aktualisieren von Entdeckungsdefinitionen Ausschlieen von Scan-Elementen Verwenden geplanter Tasks

Zugriffsschutz
Die Vermeidung von bswilligem Zugriff auf Ihr Client-System stellt Ihre erste Verteidigungslinie gegen Malware. Die Zugriffsschutzfunktion von VirusScan Enterprise vergleicht eine angeforderte Aktion mit einer Liste konfigurierter Regeln. Jede Regel kann so konfiguriert werden, dass Zugriffsverletzungen blockiert oder gemeldet oder blockiert und gemeldet werden, wenn sie stattfinden. Der Zugriffsschutz verhindert unerwnschte nderungen an Ihrem Computer, indem der Zugriff auf bestimmte Ports, Dateien, Freigaben, Registrierungsschlssel und -werte eingeschrnkt wird. Er schtzt auerdem McAfee-Prozesse, indem verhindert wird, dass Benutzer diese beenden. Diese Schutzmanahme ist sowohl vor als auch whrend Ausbrchen von entscheidender Bedeutung. Diese Funktion verwendet vordefinierte und benutzerdefinierte Regeln, um anzugeben, auf welche Elemente zugegriffen werden kann und auf welche nicht. Jede Regel kann so konfiguriert werden, dass Zugriffsverletzungen blockiert oder gemeldet oder blockiert und gemeldet werden, wenn sie stattfinden. Vordefinierte Regeln und Kategorien knnen ber die McAfee-Aktualisierungswebsites aktualisiert werden. HINWEIS: Der Zugriffsscanner, der Zugriffsverletzungen entdeckt, muss aktiviert sein, damit Zugriffsversuche auf Ports, Dateien, Freigaben, Registrierungsschlssel und -Werte entdeckt werden. Zugriffsmglichkeiten fr Bedrohungen Die folgenden Elemente stellen die hufigsten Zugriffsmglichkeiten fr Bedrohungen dar: Makros: Als Teil von Textverarbeitungsdokumenten oder Tabellenanwendungen.

20

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil I Prvention: Vermeiden von Bedrohungen Zugriffsschutz

Ausfhrbare Dateien: Scheinbar gutartige Programme knnen neben dem erwarteten Programm auch Viren enthalten. Einige hufige Dateierweiterungen sind beispielsweise .EXE, .COM, .VBS, .BAT, .HLP und .DLL. E-Mail: Scherze, Spiele und Bilder als Teil von E-Mails mit Anlagen. Skripts: Webseiten oder E-Mails zugeordnete Skripts wie ActiveX und JavaScript knnen Viren enthalten, wenn ihre Ausfhrung zugelassen wird. Internet Relay Chat-Nachrichten (IRC): Mit diesen Nachrichten gesendete Dateien knnen einfach Malware als Teil der Nachricht enthalten. Automatische Startprozesse knnen beispielsweise Bedrohungen in Form von Wrmern oder Trojanern enthalten. Browser- und Anwendungshilfedateien: Beim Herunterladen dieser Hilfedateien ist das System eingebetteten Viren und ausfhrbaren Dateien ausgesetzt. Kombinationen aller dieser Elemente: Erfahrene Malware-Entwickler kombinieren alle diese bertragungsmethoden und betten eine Malware in eine andere ein, um auf Ihren Computer zuzugreifen. Inhalt Stoppen von Zugriffsbedrohungen Steuern des Zugriffs auf die Benutzeroberflche

Stoppen von Zugriffsbedrohungen


Durch Aktivieren oder ndern der Konfiguration fr die Zugriffsschutzfunktion knnen Sie den Spyware-Schutz, den Antivirenschutz, den allgemeinen Schutz sowie den Schutz fr virtuelle Computer konfigurieren und Ihre eigenen Schutzregeln definieren. Nachfolgend finden Sie den grundlegenden Prozess, der von VirusScan Enterprise zum Bereitstellen des Zugriffsschutzes verwendet wird. Beim Auftreten einer Bedrohung ausgefhrte Schritte 1 2 3 Ein Benutzer oder Prozess versucht, eine Aktion auszufhren. Diese Aktion wird gem den definierten Regeln vom Zugriffsschutz berprft. Wenn eine Regel nicht eingehalten wird, wird die vom Benutzer oder Prozess angeforderte Aktion gem den in den Regeln konfigurierten Informationen behandelt. Die Aktion fhrt beispielsweise zu keiner Reaktion, sie wird blockiert, oder sie wird blockiert, und es wird ein Bericht gesendet. Die Zugriffsschutz-Protokolldatei wird aktualisiert, und es wird ein Ereignis fr den globalen ePolicy Orchestrator-Administrator generiert.

Beispiel fr eine Zugriffsbedrohung 1 Ein Benutzer ldt ein Programm, MyProgram.exe, aus dem Internet herunter. HINWEIS: In diesem Beispiel stellt MyProgram.exe keine Malware dar. 2 3 Der Benutzer startet das Programm, und es scheint, dass es wie erwartet gestartet wird. Von MyProgram.exe wird dann ein untergeordneter Prozess namens AnnoyMe.exe gestartet, und diese Datei versucht, das Betriebssystem zu ndern, um sicherzustellen, dass die Datei bei jedem Systemstart immer geladen wird. Der Zugriffsschutz verarbeitet die Anforderung und ordnet sie einer vorhandenen Regeln zu, die so konfiguriert ist, dass die Anforderung blockiert und gemeldet wird.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

21

Teil I Prvention: Vermeiden von Bedrohungen Zugriffsschutz

Fr AnnoyMe.exe wird der Zugriff verweigert, wenn die Datei versucht, das Betriebssystem zu ndern. Der Zugriffsschutz protokolliert die Details des Zugriffsversuchs und generiert eine Warnung fr den globalen ePolicy Orchestrator-Administrator.

Protokollbericht und generierte Warnungen Dies ist ein Beispiel fr einen Zugriffsschutz-Protokolleintrag.
2/10/2010 11:00AM Blocked by Access Protection rule TestDomain\TestUser C:\Users\TestUser\Desktop\AnnoyMe.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Window\CurrentVersion\Run\ Prevent programs registering to autorun

In dieser Tabelle sind die Daten aus dem vorherigen Zugriffsschutz-Protokolleintrag beschrieben:
Protokolleintrag 2/10/2010 11:00AM Blocked by Access Protection rule TestDomain\TestUser C:\Users\TestUser\Desktop\AnnoyMe.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft... Prevent programs registering to autorun Beschreibung Datum Uhrzeit Ausgefhrte Aktion Anmeldeinformationen Name des gegen die Regel verstoenden Prozesses Ort, auf den der Prozess versucht hat, zuzugreifen Ausgelste Zugriffsschutzregel

hnliche Informationen knnen mithilfe von ePolicy Orchestrator-Abfragen abgerufen werden. Ausfhrliche Informationen finden Sie unter Zugriff auf Abfragen und Dashboards.

Steuern des Zugriffs auf die Benutzeroberflche


Das Festlegen der Sicherheit fr die Oberflche auf Client-Computern ist ein wichtiger Bestandteil des Schutzes Ihrer Umgebung. Als Administrator knnen Sie: den Zugriff der Benutzer auf die VirusScan Enterprise-Benutzeroberflche steuern. Legen Sie ein Kennwort fest, um zu verhindern, dass Benutzer auf ausgewhlte Funktionen zugreifen oder diese verndern. Sperren und entsperren Sie die Benutzeroberflche nach Bedarf. Inhalt Welche Auswirkungen hat das Festlegen eines Kennworts auf den Benutzer? Konfigurieren der Einstellungen fr die Benutzeroberflchensicherheit

Welche Auswirkungen hat das Festlegen eines Kennworts auf den Benutzer?
Richten Sie ein Kennwort fr die Benutzeroberflche ein, um Benutzer mit schlechten Absichten abzuschrecken. Wenn Sie die Benutzeroberflche auf Client-Computern mit Kennwrtern schtzen, hat dies Auswirkungen auf die folgenden Benutzer: Normale Benutzer Benutzer ohne Administratorenrechte. Benutzer ohne Administratorberechtigungen fhren alle VirusScan Enterprise-Anwendungen im schreibgeschtzten Modus aus. Sie knnen einige Konfigurationsparameter anzeigen,

22

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil I Prvention: Vermeiden von Bedrohungen Zugriffsschutz

gespeicherte Scans durchfhren sowie sofortige Scans und Aktualisierungen starten. Sie knnen keine Konfigurationsparameter ndern, gespeicherte Scan- und Aktualisierungs-Tasks erstellen, lschen oder ndern. Administratoren Benutzer mit Administratorrechten. Administratoren mssen das Kennwort eingeben, um auf die geschtzten Registerkarten und Steuerelemente im Lese-/Schreibmodus zuzugreifen. Wenn fr ein geschtztes Element kein Kennwort eingegeben wird, erfolgt die Anzeige im schreibgeschtzten Modus.

Konfigurieren der Einstellungen fr die Benutzeroberflchensicherheit


Verwenden Sie die Benutzeroberflcheneigenschaften Richtlinien fr allgemeine Optionen, um die fr die Benutzer verfgbaren Anzeige- und Kennwortoptionen zu konfigurieren. VORSICHT: Prfen Sie die Auswirkungen auf die Sicherheit ganz genau, bevor Sie nderungen an diesen Eigenschaften vornehmen. Mit diesen Optionen knnen Sie zulassen oder verweigern, dass Benutzer nderungen an ihrer Sicherheitskonfiguration vornehmen, und verhindern, dass Systeme vor zahlreichen Malware-Angriffen geschtzt sind. Konfigurieren Sie die Benutzeroberflcheneigenschaften Richtlinien fr allgemeine Optionen mit diesen Benutzeroberflchenkonsolen.

ePolicy Orchestrator 4.5 oder 4.6


Konfigurieren Sie die Benutzeroberflcheneigenschaften Richtlinien fr allgemeine Optionen. Task Optionsbeschreibungen erhalten Sie durch Klicken auf die Schaltflche ? der Registerkarten. 1 Klicken Sie auf Men | Richtlinie | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt. Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie. Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus. b Klicken Sie in der Spalte Aktionen auf Einstellungen bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. Erstellen einer neuen Richtlinie a Klicken Sie auf Aktionen | Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Kategorie eine vorhandene Richtlinie aus. c Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus. d Geben Sie einen neuen Richtliniennamen ein. e Geben Sie bei Bedarf Hinweise ein. f Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt.

g Klicken Sie in der Spalte Aktionen der neuen Richtlinie auf Einstellungen bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. 3 Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

23

Teil I Prvention: Vermeiden von Bedrohungen Zugriffsschutz

Konfigurieren Sie auf der Registerkarte Anzeigeoptionen, welche VirusScan Enterprise-Taskleistensymbole den Benutzern angezeigt werden sollen, ob sie Verbindungen mit Remotesystemen herstellen knnen, und konfigurieren Sie die Sprachoptionseinstellungen des Benutzers. Konfigurieren Sie auf der Registerkarte Kennwortoptionen, welche VirusScan Enterprise-Tasks und Benutzeroberflchenoptionen die Benutzer mit dem richtigen Kennwort ndern knnen.

ePolicy Orchestrator 4.0


Konfigurieren Sie die Benutzeroberflcheneigenschaften Richtlinien fr allgemeine Optionen. Task Optionsbeschreibungen erhalten Sie durch Klicken auf die Schaltflche ? der Registerkarten. 1 Klicken Sie auf Systeme | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt. Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie. Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus. b Klicken Sie in der Spalte Aktionen auf Bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. Erstellen einer neuen Richtlinie a Klicken Sie auf Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus. c Geben Sie einen neuen Richtliniennamen ein. d Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt. 3 4 Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus. Konfigurieren Sie auf der Registerkarte Anzeigeoptionen, welche VirusScan Enterprise-Taskleistensymbole den Benutzern angezeigt werden sollen, ob sie Verbindungen mit Remotesystemen herstellen knnen, und konfigurieren Sie die Sprachoptionseinstellungen des Benutzers. Konfigurieren Sie auf der Registerkarte Kennwortoptionen, welche VirusScan Enterprise-Tasks und Benutzeroberflchenoptionen die Benutzer mit dem richtigen Kennwort ndern knnen.

VirusScan-Konsole
Konfigurieren Sie die Benutzeroberflcheneigenschaften Allgemeine Optionen. Task Optionsbeschreibungen erhalten Sie durch Klicken auf die Schaltflche Hilfe der Registerkarten. 1 Klicken Sie auf Extras | Allgemeine Optionen, um das Konfigurationsdialogfeld Allgemein Optionen zu ffnen.

24

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil I Prvention: Vermeiden von Bedrohungen Schtzen der Systemzugriffspunkte

Konfigurieren Sie auf der Registerkarte Anzeigeoptionen, welche VirusScan Enterprise-Taskleistensymbole den Benutzern angezeigt werden sollen, ob sie Verbindungen mit Remotesystemen herstellen knnen, und konfigurieren Sie die Sprachoptionseinstellungen des Benutzers. Konfigurieren Sie auf der Registerkarte Kennwortoptionen, welche VirusScan Enterprise-Tasks und Benutzeroberflchenoptionen die Benutzer mit dem richtigen Kennwort ndern knnen.

Schtzen der Systemzugriffspunkte


Der Zugriffsschutz verhindert unerwnschte nderungen an Ihrem Computer, indem der Zugriff auf bestimmte Ports, Dateien, Freigaben, Registrierungsschlssel und -werte eingeschrnkt wird. Er schtzt auerdem McAfee-Prozesse, indem verhindert wird, dass Benutzer diese beenden. Diese Schutzmanahme ist sowohl vor als auch whrend Ausbrchen von entscheidender Bedeutung. Diese Funktion verwendet vordefinierte Regeln und Kategorien sowie benutzerdefinierte Regeln, um anzugeben, auf welche Elemente zugegriffen werden kann und auf welche nicht. Jede Regel kann so konfiguriert werden, dass Zugriffspunktverletzungen sofort beim Auftreten blockiert und gemeldet werden. Vordefinierte Regeln und Kategorien unterliegen den Inhaltsaktualisierungen der McAfee-Aktualisierungs-Websites. Inhalt Definieren von Zugriffschutzregeln Zugriffspunktverletzungen und wie VirusScan Enterprise darauf reagiert Typen benutzerdefinierter Regeln Konfigurieren der Zugriffsschutzeinstellungen

Definieren von Zugriffschutzregeln


Folgende Regeltypen werden unterschieden, die drei Sicherheitsstufen bieten. Regeltyp-Beschreibungen
Regeltyp Antivirus Beschreibung Diese vorkonfigurierten Regeln schtzen Ihren Computer vor hufigen Auswirkungen von Malware-Bedrohungen. Sie knnen die Konfiguration aktivieren, deaktivieren und ndern, Sie knnen diese Regeln jedoch nicht lschen. Zwei Regelbeispiele: Schtzt vor Deaktivierung oder nderung wichtiger Vorgnge, verhindert das externe Erstellen, ndern oder Hijacking ausfhrbarer Dateien sowie das Spoofing von Windows-Prozessen und Versenden von Mass-Mailer-Wrmern. Schtzt Ihre Adressbuchdateien vor Kennwort- und E-Mail-Adressdiebstahl.

Diese Sicherheitsebenen gelten fr Antivirus-Regeln: Standardschutz Maximaler Schutz Ausbruchskontrolle

McAfee VirusScan Enterprise 8.8-Produkthandbuch

25

Teil I Prvention: Vermeiden von Bedrohungen Schtzen der Systemzugriffspunkte

Regeltyp Common

Beschreibung Diese vorkonfigurierten Regeln verhindern das Verndern hufig benutzter Dateien und Einstellungen. Sie knnen die Konfiguration aktivieren, deaktivieren und ndern, Sie knnen diese Regeln jedoch nicht lschen. Drei Regelbeispiele: Verhindern, dass Vernderungen an McAfee-Dateien und Einstellungen vorgenommen werden. Schtzen von Mozilla- und Firefox-Dateien und Einstellungen sowie Internet Explorerund Netzwerkeinstellungen. Verhindern, dass Browser Helper Objects installiert und Programme aus dem Temp-Ordner automatisch ausgefhrt werden.

Diese Sicherheitsebenen gelten fr die Common-Regeln. Schutz virtueller Computer Standardschutz Maximaler Schutz

Diese vorkonfigurierten Regeln verhindern das Beenden von VMWare-Prozessen und das Verndern von VMWare-Dateien. Sie knnen die Konfiguration aktivieren, deaktivieren und ndern, Sie knnen diese Regeln jedoch nicht lschen. Einige Beispielregeln: Verhindern, dass VMWare-Prozesse beendet werden. Verhindern, dass nderungen an Dateien von VMWare Workstation, VMWare Server oder virtuellen Computern vorgenommen werden.

Benutzerdefiniert

Diese benutzerdefinierten Regeln ergnzen den Schutz durch die Antivirus- und Common-Regeln. Einige Beispielregeln: Schtzen der Favoriten und Einstellungen in Internet Explorer. Ausfhren von Skripts aus dem Temp-Ordner verhindern

Anti-Spyware

Beschreibungen der Schutzebenen


Schutzebene Standardschutz Beschreibung AntiVirus- und Common-Regeln fr den Schutz einiger wichtiger Einstellungen und Dateien vor Vernderung. Die Installation und Ausfhrung legitimer Software ist jedoch im Allgemeinen mglich. Antivirus- und Common-Regeln, die die wichtigsten Einstellungen und Dateien vor Vernderung schtzen. Diese Ebene geht ber den Standardschutz hinaus, hindert Sie jedoch mglicherweise an der Installation legitimer Software. Wenn Sie Probleme bei der Installation eines Softwareprogramms haben, empfehlen wir, die Funktion Zugriffsschutz zunchst zu deaktivieren. Aktivieren Sie die Funktion aber nach Fertigstellung der Installation unbedingt wieder. Virenschutzregeln, die den Zugriff bsartiger Codes auf den Computer blockieren, bis eine DAT-Datei verffentlicht wird. Diese Regeln sind so vorkonfiguriert, dass der Zugriff auf Freigaben whrend eines Ausbruchs blockiert wird.

Maximaler Schutz

Ausbruchskontrolle

Zugriffspunktverletzungen und wie VirusScan Enterprise darauf reagiert


Eine Zugriffsverletzung tritt auf, wenn ein eingeschrnkter Benutzer oder Prozess versucht, eingeschrnkte Komponenten des Computers zu starten, anzuhalten oder darauf zuzugreifen.

26

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil I Prvention: Vermeiden von Bedrohungen Schtzen der Systemzugriffspunkte

Wenn eine Zugriffspunktverletzung stattfindet: Wenn Sie die Option Melden fr die Regel ausgewhlt haben, die die Verletzung entdeckt hat, werden die Informationen im Aktivittsprotokoll aufgezeichnet. Wenn Sie das Dialogfeld Warnungseigenschaften entsprechend konfiguriert haben, wird das Ereignis an das lokale Ereignisprotokoll und an SNMP gesendet. Berichte zu Ereignissen werden an Alert Manager und ePolicy Orchestrator gesendet, sofern Sie das jeweilige Produkt entsprechend konfiguriert haben. Mit den Aktionen Blockieren und Melden fr eine Regel wird bestimmt, was geschieht, wenn eine Regel eine Verletzung entdeckt. Auf dem Standalone-Client-System bleibt das Taskleistensymbol fr 30 Minuten lang rot umrandet, sofern Sie es nicht zurcksetzen. HINWEIS: Wenn Sie das Taskleistensymbol zurcksetzen mchten, ffnen Sie ber das Taskleistensymbol die Zugriffsschutz-Protokolldatei. Das Symbol wird nicht auf seinen normalen Status zurckgesetzt, wenn Sie dieses Aktivittsprotokoll auf andere Weise ffnen.

Typen benutzerdefinierter Regeln


Beim Konfigurieren einer neuen benutzerdefinierten Zugriffsschutzregel knnen Sie Port-Blockierungs-, Datei- und Ordnerblockierungs- sowie Registrierungsblockierungsregeln erstellen. In der folgenden Tabelle sind diese Regeln beschrieben. Regelbeschreibungen
Regel Port-Blockierungsregel Beschreibung Ermglicht das Blockieren des eingehenden oder ausgehenden Netzwerkverkehrs fr bestimmte Ports oder Port-Bereiche. HINWEIS: Wenn Sie einen Port blockieren, wird der Zugriff ber die Protokolle TCP (Transmission Control Protocol) und UDP (User Datagram Protocol) blockiert. HINWEIS: Beim Blockieren eines Ports werden alle Protokolle blockiert, die diesen Port oder Port-Bereich verwenden. Beispielsweise wird der Zugriff ber die Protokolle TCP (Transmission Control Protocol) und UDP (User Datagram Protocol) blockiert. Datei-/Ordner-Blockierungsregel Blockiert den Schreibzugriff auf Dateien und Ordner, Dateiausschlsse und neue Dateierstellungs- und Dateilschvorgnge. HINWEIS: Wenn Sie den Zugriff auf eine Datei oder einen Ordner beschrnkt haben, bleibt die Beschrnkung in Kraft, bis sie vom Administrator aufgehoben wird. Dadurch werden Intrusionen verhindert, und die Verbreitung whrend eines Ausbruchs wird gestoppt. Registrierungsblockierungsregel Schtzt Registrierungsschlssel oder -werte durch Blockieren der folgenden Aktionen: schreiben, erstellen oder lschen.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

27

Teil I Prvention: Vermeiden von Bedrohungen Schtzen der Systemzugriffspunkte

Konfigurieren der Zugriffsschutzeinstellungen


Verwenden Sie Zugriffsschutzregeln, um Ihre Systemzugriffspunkte zu schtzen und die Beendigung von McAfee-Prozessen zu verhindern. VORSICHT: Wenn beim Aktivieren des Zugriffsschutzes zum Verhindern, dass die McAfee-Dienste angehalten werden, ein Fehler auftritt, ist das System vor zahlreichen Malware-Angriffen nicht geschtzt. Es gibt zwei Typen von Zugriffsschutzregeln, die Sie konfigurieren knnen. Vordefinierte Regeln Sie ermglichen Folgendes: ffnen der Zugriffsschutzregel-Kategorie in einer der Benutzeroberflchenkonsolen Auswhlen der Blockier- und Meldeaktion, die bei Verletzung der Regel ausgefhrt werden soll Benutzerdefinierte Regeln Sie ermglichen Folgendes: Erstellen der benutzerdefinierten Regelkategorie mithilfe einer der Benutzeroberflchenkonsolen Auswhlen des von der Regel erzwungenen Blockierungstyps: Port-Blockierung, Dateiund Ordnerblockierung oder Registrierungsblockierung Konfigurieren der Regeldetails Speichern der Regel und knftiges ndern der Regel (bei Bedarf) Tasks Konfigurieren von vordefinierten Regeln Konfigurieren von benutzerdefinierten Regeln Optionen fr Port-Blockierungsregeln Optionen fr Datei- und Ordnerblockierungsregeln Optionen fr Registrierungsblockierungsregeln Optionen zum Einbeziehen oder Ausschlieen bestimmter Prozesse Entfernen von benutzerdefinierten Regeln

Konfigurieren von vordefinierten Regeln


Schtzen Sie Ihren Computer vor unerwnschten nderungen, indem Sie vordefinierte Regeln verwenden. Diese Regeln knnen aktiviert und deaktiviert, aber nicht gelscht werden. Die vordefinierten Regeln umfassen Folgendes: Standardmiger Spyware-Schutz Maximaler Spyware-Schutz Standardmiger Virenschutz Maximaler Virenschutz Kontrolle bei Virusausbrchen Common Standardschutz Common Maximaler Schutz Schutz virtueller Computer

28

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil I Prvention: Vermeiden von Bedrohungen Schtzen der Systemzugriffspunkte

Detaillierte Informationen zu diesen vordefinierten Zugriffsschutzregeln finden Sie unter Definieren von Zugriffschutzregeln. Konfigurieren Sie die vordefinierten Zugriffsschutzregeln mithilfe einer dieser Benutzeroberflchenkonsolen.

ePolicy Orchestrator 4.5 oder 4.6


Konfigurieren Sie in den Zugriffsschutzrichtlinien die vordefinierten Zugriffsschutzregeln. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 Klicken Sie auf Men | Richtlinie | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt. Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie. Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus. b Klicken Sie in der Spalte Aktionen auf Einstellungen bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. Erstellen einer neuen Richtlinie a Klicken Sie auf Aktionen | Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Kategorie eine vorhandene Richtlinie aus. c Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus. d Geben Sie einen neuen Richtliniennamen ein. e Geben Sie bei Bedarf Hinweise ein. f Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt.

g Klicken Sie in der Spalte Aktionen der neuen Richtlinie auf Einstellungen bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. 3 4 5 6 7 Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus. Klicken Sie auf der Seite Zugriffsschutzrichtlinie auf die Registerkarte Zugriffsschutz, um die Zugriffsschutzregeln anzuzeigen. Whlen Sie im linken Bereich eine der vordefinierten Regelkategorien aus, uns whlen Sie dann im rechten Bereich die gewnschte Regel aus. Konfigurieren Sie die Option Blockieren oder Melden, oder konfigurieren Sie sowohl die Option Blockieren als auch die Option Melden. Klicken Sie auf Bearbeiten, um die Regeldetails zu ndern.

ePolicy Orchestrator 4.0


Konfigurieren Sie in den Zugriffsschutzrichtlinien die vordefinierten Zugriffsschutzregeln. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

29

Teil I Prvention: Vermeiden von Bedrohungen Schtzen der Systemzugriffspunkte

Klicken Sie auf Systeme | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt. Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie. Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus. b Klicken Sie in der Spalte Aktionen auf Bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. Erstellen einer neuen Richtlinie a Klicken Sie auf Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus. c Geben Sie einen neuen Richtliniennamen ein. d Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt.

3 4 5 6 7

Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus. Klicken Sie auf der Seite Zugriffsschutzrichtlinie auf die Registerkarte Zugriffsschutz, um die Zugriffsschutzregeln anzuzeigen. Whlen Sie im linken Bereich eine der vordefinierten Regelkategorien aus, uns whlen Sie dann im rechten Bereich die gewnschte Regel aus. Konfigurieren Sie die Option Blockieren oder Melden, oder konfigurieren Sie sowohl die Option Blockieren als auch die Option Melden. Klicken Sie auf Bearbeiten, um die Regeldetails zu ndern.

VirusScan-Konsole
Konfigurieren Sie in den Zugriffsschutzeigenschaften die vordefinierten Zugriffsschutzregeln. Task Optionsbeschreibungen erhalten Sie durch Klicken auf die Option Hilfe der Benutzeroberflche. 1 2 3 4 5 Klicken Sie in der Liste Task mit der rechten Maustaste auf Zugriffsschutz, und klicken Sie dann auf Eigenschaften, um das Dialogfeld zu ffnen. Klicken Sie im Dialogfeld Zugriffsschutzrichtlinie auf die Registerkarte Zugriffsschutz, um die Zugriffsschutzregeln anzuzeigen. Whlen Sie im linken Bereich eine der vordefinierten Regelkategorien aus, uns whlen Sie dann im rechten Bereich die gewnschte Regel aus. Konfigurieren Sie die Option Blockieren oder Melden, oder konfigurieren Sie sowohl die Option Blockieren als auch die Option Melden. Klicken Sie auf Bearbeiten, um die Regeldetails zu ndern.

Konfigurieren von benutzerdefinierten Regeln


Erstellen und bearbeiten Sie benutzerdefinierte Regeln, um den durch die vordefinierten Regeln gebotenen Schutz zustzlich zu untersttzen. Detaillierte Informationen zu den vordefinierten Zugriffsschutzregeln finden Sie unter Definieren von Zugriffschutzregeln.

30

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil I Prvention: Vermeiden von Bedrohungen Schtzen der Systemzugriffspunkte

Erstellen und bearbeiten Sie die benutzerdefinierten Zugriffsschutzregeln mithilfe einer dieser Benutzeroberflchenkonsolen.

ePolicy Orchestrator 4.5 oder 4.6


Konfigurieren Sie in den Zugriffsschutzrichtlinien die benutzerdefinierten Zugriffsschutzregeln. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 Klicken Sie auf Men | Richtlinie | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt. Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie. Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus. b Klicken Sie in der Spalte Aktionen auf Einstellungen bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. Erstellen einer neuen Richtlinie a Klicken Sie auf Aktionen | Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Kategorie eine vorhandene Richtlinie aus. c Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus. d Geben Sie einen neuen Richtliniennamen ein. e Geben Sie bei Bedarf Hinweise ein. f Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt.

g Klicken Sie in der Spalte Aktionen der neuen Richtlinie auf Einstellungen bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. 3 4 5 Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus. Whlen Sie im linken Bereich die Kategorie Benutzerdefinierte Regeln aus, und klicken Sie dann auf Neu, um das Dialogfeld Neuen Regeltyp auswhlen zu ffnen. Whlen Sie den Regeltyp aus, und klicken Sie auf OK. Weitere Informationen hierzu finden Sie unter Typen benutzerdefinierter Regeln. Welches Zugriffsregel-Dialogfeld angezeigt wird, hngt vom ausgewhlten Regeltyp ab. Konfigurieren Sie diese Zugriffsregeldetails. Zugriffsschutzregel fr Netzwerk-Port: Informationen finden Sie in der Optionstabelle unter Optionen fr Port-Blockierungsregeln. Zugriffsschutzregel fr Datei/Ordner: Informationen finden Sie in der Optionstabelle unter Optionen fr Datei- und Ordnerblockierungsregeln. Zugriffsschutzregel fr Registrierungszugriff: Informationen finden Sie in der Optionstabelle unter Optionen fr Registrierungsblockierungsregeln. HINWEIS: Informationen zum Konfigurieren der einzubeziehenden und auszuschlieenden Prozesse finden Sie unter Optionen zum Einbeziehen oder Ausschlieen bestimmter Prozesse. 7 Klicken Sie auf OK.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

31

Teil I Prvention: Vermeiden von Bedrohungen Schtzen der Systemzugriffspunkte

Die neue benutzerdefinierte Regel wird im rechten Bereich unter Blockieren/Melden/Regeln angezeigt. Klicken Sie zum ndern der neuen Regel auf die Regel und dann auf Bearbeiten.

ePolicy Orchestrator 4.0


Konfigurieren Sie in den Zugriffsschutzrichtlinien die benutzerdefinierten Zugriffsschutzregeln. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 Klicken Sie auf Systeme | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt. Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie. Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus. b Klicken Sie in der Spalte Aktionen auf Bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. Erstellen einer neuen Richtlinie a Klicken Sie auf Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus. c Geben Sie einen neuen Richtliniennamen ein. d Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt. 3 4 5 Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus. Whlen Sie im linken Bereich die Kategorie Benutzerdefinierte Regeln aus, und klicken Sie dann auf Neu, um das Dialogfeld Neuen Regeltyp auswhlen zu ffnen. Whlen Sie den Regeltyp aus, und klicken Sie auf OK. Weitere Informationen hierzu finden Sie unter Typen benutzerdefinierter Regeln. Welches Zugriffsregel-Dialogfeld angezeigt wird, hngt vom ausgewhlten Regeltyp ab. Konfigurieren Sie diese Zugriffsregeldetails. Zugriffsschutzregel fr Netzwerk-Port: Informationen finden Sie in der Optionstabelle unter Optionen fr Port-Blockierungsregeln. Zugriffsschutzregel fr Datei/Ordner: Informationen finden Sie in der Optionstabelle unter Optionen fr Datei- und Ordnerblockierungsregeln. Zugriffsschutzregel fr Registrierungszugriff: Informationen finden Sie in der Optionstabelle unter Optionen fr Registrierungsblockierungsregeln. HINWEIS: Informationen zum Konfigurieren der einzubeziehenden und auszuschlieenden Prozesse finden Sie unter Optionen zum Einbeziehen oder Ausschlieen bestimmter Prozesse. 7 Klicken Sie auf OK. Die neue benutzerdefinierte Regel wird im rechten Bereich unter Blockieren/Melden/Regeln angezeigt. Klicken Sie zum ndern der neuen Regel auf die Regel und dann auf Bearbeiten.

32

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil I Prvention: Vermeiden von Bedrohungen Schtzen der Systemzugriffspunkte

VirusScan-Konsole
Konfigurieren Sie in den Zugriffsschutzeigenschaften die benutzerdefinierten Zugriffsschutzregeln. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 2 3 Klicken Sie in der Liste Task mit der rechten Maustaste auf Zugriffsschutz, und klicken Sie dann auf Eigenschaften, um das Dialogfeld zu ffnen. Whlen Sie im linken Bereich die Kategorie Benutzerdefinierte Regeln aus, und klicken Sie dann auf Neu, um das Dialogfeld Benutzerdefinierte Regeln zu ffnen. Whlen Sie den Regeltyp aus, und klicken Sie auf OK. Weitere Informationen hierzu finden Sie unter Typen benutzerdefinierter Regeln. Welches Zugriffsregel-Dialogfeld angezeigt wird, hngt vom ausgewhlten Regeltyp ab. Konfigurieren Sie diese Zugriffsregeldetails. Zugriffsschutzregel fr Netzwerk-Port: Informationen finden Sie in der Optionstabelle unter Optionen fr Port-Blockierungsregeln. Zugriffsschutzregel fr Datei/Ordner: Informationen finden Sie in der Optionstabelle unter Optionen fr Datei- und Ordnerblockierungsregeln. Zugriffsschutzregel fr Registrierungszugriff: Informationen finden Sie in der Optionstabelle unter Optionen fr Registrierungsblockierungsregeln. HINWEIS: Informationen zum Konfigurieren der einzubeziehenden und auszuschlieenden Prozesse finden Sie unter Optionen zum Einbeziehen oder Ausschlieen bestimmter Prozesse. 5 Klicken Sie auf OK. Die neue benutzerdefinierte Regel wird im rechten Bereich der Spalte Regeln angezeigt. Klicken Sie zum ndern der neuen Regel auf die Regel und dann auf Bearbeiten.

Optionen fr Port-Blockierungsregeln
Port-Blockierungsregeln verhindern, dass Benutzer auf angegebene eingehende und ausgehende Ports zugreifen und dass andere Computer auf den Computer zugreifen. Optionsbeschreibungen
Option Regelname Einzubeziehende Prozesse Auszuschlieende Prozesse Start-Port Definition Geben Sie den Namen der Regel ein. Beschrnkt den Zugriff auf die angegebenen Prozesse.

Erlaubt den Zugriff auf die angegebenen Prozesse.

Geben Sie die erste Port-Nummer ein. Damit kann entweder ein einzelner Port oder der Anfang eines Port-Bereichs angegeben werden. HINWEIS: Wenn Sie einen Port blockieren, der vom McAfee- oder Host Intrusion Prevention-Agenten verwendet wird, werden die Agentenvorgnge als vertrauenswrdig eingestuft und knnen mit dem blockierten Port kommunizieren. Jeglicher andere Verkehr, der nicht mit diesen Agentenvorgngen in Zusammenhang steht, wird blockiert.

Letzter Port Eingehend

Geben Sie die letzte Port-Nummer in einem Port-Bereich an. Verhindert, dass Systeme aus dem Netzwerk auf die angegebenen Ports zugreifen.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

33

Teil I Prvention: Vermeiden von Bedrohungen Schtzen der Systemzugriffspunkte

Option Ausgehend

Definition Verhindert, dass lokale Prozesse auf die angegebenen Ports im Netzwerk zugreifen.

Optionen fr Datei- und Ordnerblockierungsregeln


Datei- und Ordnerblockierungsregeln verhindern, dass nicht autorisierte Benutzer angegebene Dateien oder Ordner ndern, ffnen oder lschen. Optionsbeschreibungen
Option Regelname Einzubeziehende Prozesse Auszuschlieende Prozesse Definition Geben Sie den Namen der Regel ein. Beschrnkt den Zugriff auf die angegebenen Prozesse.

Erlaubt den Zugriff auf die angegebenen Prozesse.

Name der zu Blockieren Sie den Zugriff auf die angegebene Datei bzw. den angegebenen Ordner. blockierenden Datei oder des zu blockierenden Ordners Datei durchsuchen Ordner durchsuchen Lesezugriff auf Dateien Schreibzugriff auf Dateien Ausgefhrte Dateien Erstellen neuer Dateien Lschen von Dateien Gehen Sie zur gewnschten Datei. Gehen Sie zum gewnschten Ordner. Blockieren Sie den Lesezugriff auf die angegebenen Dateien. Blockieren Sie den Schreibzugriff auf die angegebenen Dateien.

Blockieren Sie das Ausfhren von Dateien im angegebenen Ordner. Blockieren Sie das Erstellen neuer Dateien im angegebenen Ordner. Blockieren Sie das Lschen von Dateien aus dem angegebenen Ordner.

Optionen fr Registrierungsblockierungsregeln
Mit Registrierungsblockierungsregeln wird verhindert, dass Benutzer oder unerwnschte Programme angegebene Registrierungsschlssel und -werte ndern, ffnen oder lschen. HINWEIS: Verwenden Sie beim Erstellen einer Registrierungsblockierungsregel die am besten passende Abkrzung fr die Registrierungseintragsunterstruktur. Whlen Sie beispielsweise zum Blockieren von HKLM\System\CurrentControlSet\Services\MyService den HKCCS-Eintrag anstelle von HKLM aus. Optionsbeschreibungen
Option Regelname Einzubeziehende Prozesse Auszuschlieende Prozesse Definition Geben Sie den Namen der Regel an. Beschrnkt den Zugriff auf die angegebenen Prozesse.

Erlaubt den Zugriff auf die angegebenen Prozesse.

34

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil I Prvention: Vermeiden von Bedrohungen Schtzen der Systemzugriffspunkte

Option Zu schtzender Registrierungsschlssel oder Wert

Definition Schtzen Sie diesen Registrierungsschlssel oder Wert: Whlen Sie aus der Dropdown-Liste einen Root-Schlssel oder -Wert aus.

Geben Sie einen Registrierungsschlssel oder Wert in das Textfeld ein. Die Auswahl des Root-Schlssels oder -Werts aus der Dropdown-Liste ist optional. Verwenden Sie eine der folgenden Methoden, um den Schlssel oder Wert anzugeben: Whlen Sie den Root-Schlssel oder -Wert aus der Dropdown-Liste aus, und geben Sie den Pfad zu diesem Schlssel oder Wert in das Textfeld ein. Geben Sie den vollstndigen Pfad zu diesem Schlssel oder Wert in das Textfeld ein.

Regeltyp

Whlen Sie den Regeltyp aus: Schlssel: Diese Regel schtzt den angegebenen Registrierungsschlssel. Wert: Diese Regel schtzt den angegebenen Wert.

In Schlssel oder Wert schreiben Schlssel oder Wert erstellen Schlssel oder Wert lschen

Blockiert das Schreiben in den angegebenen Schlssel oder Wert.

Blockiert das Erstellen eines angegebenen Schlssels oder Werts.

Blockiert das Lschen eines angegebenen Schlssels oder Werts.

Optionen zum Einbeziehen oder Ausschlieen bestimmter Prozesse


Wenn Sie die Regeldetails wie den Namen und die einzubeziehenden oder auszuschlieenden Prozesse ndern mchten, verwenden Sie Zugriffsschutz, und klicken Sie auf Bearbeiten. Optionsbeschreibungen
Option Regelname Einzubeziehende Prozesse Beschreibung Der Name dieser Regel. Zum Beispiel: Deaktivieren des Registrierungseditors und des Taskmanagers verhindern Beschrnken Sie den Zugriff auf diese Prozesse. Verwenden Sie den genauen Prozessnamen oder einen Platzhalter, um eine breite Palette von Prozessen wie *.exe anzugeben, und fgen Sie anschlieend Ausschlsse fr bestimmte legitime Prozesse hinzu, beispielsweise "Setup.exe". Gestatten Sie den Zugriff auf diese Prozesse. Verwenden Sie den genauen Prozessnamen. Legen Sie beispielsweise folgende Ausnahmen fest: avtask.exe, cfgwiz,exe, fssm32.exe, giantantispywar*, kavsvc.exe, mmc.exe, navw32.exe, nmain.exe, rtvscan.exe

Auszuschlieende Prozesse

Entfernen von benutzerdefinierten Regeln


Entfernen Sie Regeln, die Sie erstellt haben, aber nicht mehr verwenden. Entfernen Sie die benutzerdefinierten Regeln mithilfe einer dieser Benutzeroberflchenkonsolen.

ePolicy Orchestrator 4.5 oder 4.6


Entfernen Sie aus den Zugriffsschutzrichtlinie Regeln, die Sie erstellt haben, aber nicht mehr verwenden.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

35

Teil I Prvention: Vermeiden von Bedrohungen Schtzen der Systemzugriffspunkte

Task Optionsbeschreibungen erhalten Sie, indem Sie auf das ? oder Hilfe-Symbol der Benutzeroberflche klicken. 1 Klicken Sie auf Men | Richtlinie | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt. Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie. Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus. b Klicken Sie in der Spalte Aktionen auf Einstellungen bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. Erstellen einer neuen Richtlinie a Klicken Sie auf Aktionen | Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Kategorie eine vorhandene Richtlinie aus. c Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus. d Geben Sie einen neuen Richtliniennamen ein. e Geben Sie bei Bedarf Hinweise ein. f Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt.

g Klicken Sie in der Spalte Aktionen der neuen Richtlinie auf Einstellungen bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. 3 4 5 Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus. Klicken Sie im linken Bereich auf die Kategorie Benutzerdefinierte Regeln, und whlen Sie anschlieend im rechten Bereich die Regel aus, die Sie entfernen mchten. Klicken Sie auf Lschen. HINWEIS: Sie knnen eine Regel deaktivieren, ohne sie zu lschen, indem Sie die Auswahl der Optionen Blockieren und Melden aufheben. Sie knnen die Regel, falls erforderlich, erneut aktivieren.

ePolicy Orchestrator 4.0


Entfernen Sie aus den Zugriffsschutzrichtlinie Regeln, die Sie erstellt haben, aber nicht mehr verwenden. Task Optionsbeschreibungen erhalten Sie, indem Sie auf das ? oder Hilfe-Symbol der Benutzeroberflche klicken. 1 Klicken Sie auf Systeme | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt. Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie. Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus.

36

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil I Prvention: Vermeiden von Bedrohungen Blockieren von Buffer Overflow-Exploits

b Klicken Sie in der Spalte Aktionen auf Bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. Erstellen einer neuen Richtlinie a Klicken Sie auf Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus. c Geben Sie einen neuen Richtliniennamen ein. d Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt. 3 4 5 Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus. Klicken Sie im linken Bereich auf die Kategorie Benutzerdefinierte Regeln, und whlen Sie anschlieend im rechten Bereich die Regel aus, die Sie entfernen mchten. Klicken Sie auf Lschen. HINWEIS: Sie knnen eine Regel deaktivieren, ohne sie zu lschen, indem Sie die Auswahl der Optionen Blockieren und Melden aufheben. Sie knnen die Regel, falls erforderlich, erneut aktivieren.

VirusScan-Konsole
Entfernen Sie aus den Zugriffsschutzeigenschaften Regeln, die Sie erstellt haben, aber nicht mehr verwenden. Entfernen Sie die benutzerdefinierten Regeln mithilfe einer dieser Benutzeroberflchenkonsolen. Task Optionsbeschreibungen erhalten Sie, indem Sie auf das ? oder Hilfe-Symbol der Benutzeroberflche klicken. 1 2 3 Klicken Sie in der Liste Task mit der rechten Maustaste auf Zugriffsschutz, und klicken Sie dann auf Eigenschaften, um das Dialogfeld zu ffnen. Klicken Sie im linken Bereich auf die Kategorie Benutzerdefinierte Regeln, und whlen Sie anschlieend im rechten Bereich die Regel aus, die Sie entfernen mchten. Klicken Sie auf Lschen. HINWEIS: Sie knnen eine Regel deaktivieren, ohne sie zu lschen, indem Sie die Auswahl der Optionen Blockieren und Melden aufheben. Sie knnen die Regel, falls erforderlich, erneut aktivieren.

Blockieren von Buffer Overflow-Exploits


Durch den Buffer Overflow-Schutz wird verhindert, dass ein Buffer Overflow dazu genutzt werden kann, beliebigen Code auf Ihrem Computer auszufhren. Er berwacht im Benutzermodus ausgefhrte API-Aufrufe und erkennt, wenn diese das Ergebnis eines Buffer Overflows sind. Wenn eine Entdeckung stattfindet, werden die Informationen im Aktivittsprotokoll aufgezeichnet und im Dialogfeld Nachrichten vom Scannen bei Zugriff angezeigt, wenn diese Optionen entsprechend konfiguriert wurden.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

37

Teil I Prvention: Vermeiden von Bedrohungen Blockieren von Buffer Overflow-Exploits

Von VirusScan Enterprise wird eine DAT-Datei fr Buffer Overflows und den Zugriffsschutz verwendet, um rund 30 Anwendungen wie Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word und MSN Messenger zu schtzen. Inhalt Auftreten von Buffer Overflow-Exploits Konfigurieren des Buffer Overflow-Schutzes

Auftreten von Buffer Overflow-Exploits


Angreifer verwenden Buffer Overflow-Exploits zum Ausfhren von Code, indem die fr einen Eingabeprozess reservierten Speicherpuffer mit fester Gre berflutet werden. Mit diesem Code kann der Angreifer den Zielcomputer bernehmen oder seine Dateien schdigen. Es gibt zwei Typen von Buffer Overflow-Exploits: Heap-basierte Angriffe: Sie berfluten den fr ein Programm reservierten Speicherplatz, sind aber schwer auszufhren und selten. Stapelbasierte Angriffe: Sie verwenden die Stapelspeicherobjekte zum Speichern von Benutzereingaben und stellen den hufigsten Typ von Angriffen dar. Die folgenden Prozesse stellen stapelbasierte Buffer Overflow-Angriffe dar: 1 Normaler Stapelspeicherprozess: Das Stapelspeicherobjekt mit fester Gre ist in der Regel leer und wartet auf Benutzereingaben. Wenn ein Programm Eingaben des Benutzers empfngt, werden die Daten am Anfang des Stapels gespeichert, und ihnen wird eine Absenderspeicheradresse zugewiesen. Beim Verarbeiten des Stapels werden die Eingaben des Benutzers an die vom Programm angegebene Absenderadresse gesendet. Stapelberlauf: Beim Schreiben des Programms wird eine bestimmte Menge an Speicherplatz fr die Daten reserviert. Der Stapel luft ber, wenn die Menge der geschriebenen Daten grer ist als der fr sie im Stapelspeicher reservierte Speicherplatz. Dies stellt nur in Kombination mit bsartigen Eingaben ein Problem dar. Ausnutzen des berlaufs: Wenn das Programm darauf wartet, dass ein Benutzer seinen Namen eingibt, aber der Angreifer einen ausfhrbaren Befehl eingibt, der die Stapelgre berschreitet, wird der Befehl auerhalb des reservierten Speicherplatzes gespeichert. Ausfhren des bsartigen Codes: Der Befehl wird nicht automatisch ausgefhrt, nur weil er den Stapelpufferspeicherplatz berschreitet. Dies knnte jedoch der Fall sein, wenn vom Angreifer eine Absenderadresse angegeben wird, die auf den bsartigen Befehl verweist. Zunchst strzt das Programm aufgrund des Buffer Overflows ab, aber es versucht, eine Wiederherstellung vorzunehmen, indem es die vom Angreifer angegebene Absenderadresse verwendet. Wenn es sich bei der Absenderadresse um eine gltige Adresse handelt, wird der bsartige Befehl ausgefhrt. Ausnutzen der Berechtigungen: Da Programme in der Regel im Kernel-Modus oder mit von einem Dienstkonto geerbten Berechtigungen ausgefhrt werden, wird der bsartige Code mit denselben Berechtigungen wie die beschdigte Anwendung ausgefhrt. Dies bedeutet, der Angreifer knnte vollstndige Kontrolle ber das Betriebssystem erlangen.

Konfigurieren des Buffer Overflow-Schutzes


Sie mssen die Buffer Overflow-Schutzrichtlinien konfigurieren, um zu verhindern, dass von Anwendungen beliebiger Code auf dem Computer ausgefhrt werden kann.

38

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil I Prvention: Vermeiden von Bedrohungen Blockieren von Buffer Overflow-Exploits

Konfigurieren Sie die Buffer Overflow-Schutzrichtlinie mithilfe der folgenden Benutzeroberflchenkonsolen.

ePolicy Orchestrator 4.5 oder 4.6


Konfigurieren Sie die Buffer Overflow-Schutzrichtlinie mithilfe dieser Benutzeroberflchenkonsolen. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 Klicken Sie auf Men | Richtlinie | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt. Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie. Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus. b Klicken Sie in der Spalte Aktionen auf Einstellungen bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. Erstellen einer neuen Richtlinie a Klicken Sie auf Aktionen | Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Kategorie eine vorhandene Richtlinie aus. c Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus. d Geben Sie einen neuen Richtliniennamen ein. e Geben Sie bei Bedarf Hinweise ein. f Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt.

g Klicken Sie in der Spalte Aktionen der neuen Richtlinie auf Einstellungen bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. 3 4 Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus. Klicken Sie auf der Seite Richtlinie fr den Pufferberlaufschutz auf die Registerkarte Pufferberlaufschutz, und konfigurieren Sie Folgendes: a Aktivieren Sie Einstellungen fr Pufferberlauf und den verwendeten Schutzmodus. Konfigurieren Sie den Schutzmodus so, dass Exploits blockiert werden oder einfach eine Nachricht gesendet und das Ereignis protokolliert wird. b Aktivieren Sie Client-System-Warnungen, die beim Auftreten eines Buffer Overflow-Exploits gesendet werden. c Konfigurieren Sie Pufferberlaufausnahmen fr bestimmte API-Werte (Application Programming Interface, Anwendungsprogrammierschnittstelle) sowie die optionalen Prozesse und Modulnamen, die ausgeschlossen werden sollen. 5 Klicken Sie auf die Registerkarte Berichte, aktivieren Sie die Scan-Aktivittsprotokolldateien, und geben Sie ihren Speicherort, die Gre und das Format an. HINWEIS: Diese Protokolldateien sind beim Diagnostizieren von Sicherheitsbedrohungen sehr hilfreich, und mit ihnen knnen die gegen diese Bedrohungen zu ergreifenden Manahmen ermittelt werden.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

39

Teil I Prvention: Vermeiden von Bedrohungen Blockieren von Buffer Overflow-Exploits

ePolicy Orchestrator 4.0


Konfigurieren Sie die Buffer Overflow-Schutzrichtlinie mithilfe dieser Benutzeroberflchenkonsole. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 Klicken Sie auf Systeme | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt. Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie. Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus. b Klicken Sie in der Spalte Aktionen auf Bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. Erstellen einer neuen Richtlinie a Klicken Sie auf Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus. c Geben Sie einen neuen Richtliniennamen ein. d Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt. 3 4 Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus. Klicken Sie auf der Seite Richtlinie fr den Pufferberlaufschutz auf die Registerkarte Pufferberlaufschutz, und konfigurieren Sie Folgendes: 1 Aktivieren Sie Einstellungen fr Pufferberlauf und den verwendeten Schutzmodus. Konfigurieren Sie den Schutzmodus so, dass Exploits blockiert werden oder einfach eine Nachricht gesendet und das Ereignis protokolliert wird. Aktivieren Sie Client-System-Warnungen, die beim Auftreten eines Buffer Overflow-Exploits gesendet werden. Konfigurieren Sie Pufferberlaufausnahmen fr bestimmte API-Werte (Application Programming Interface, Anwendungsprogrammierschnittstelle) sowie die optionalen Prozesse und Modulnamen, die ausgeschlossen werden sollen.

2 3

Klicken Sie auf die Registerkarte Berichte, aktivieren Sie die Scan-Aktivittsprotokolldateien, und geben Sie ihren Speicherort, die Gre und das Format an. HINWEIS: Diese Protokolldateien sind beim Diagnostizieren von Sicherheitsbedrohungen sehr hilfreich, und mit ihnen knnen die gegen diese Bedrohungen zu ergreifenden Manahmen ermittelt werden.

VirusScan-Konsole
Konfigurieren Sie die Buffer Overflow-Schutzrichtlinie mithilfe dieser Benutzeroberflchenkonsole. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 Klicken Sie in der Liste Task mit der rechten Maustaste auf Pufferberlaufschutz, und klicken Sie dann auf Eigenschaften, um das Dialogfeld zu ffnen.

40

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil I Prvention: Vermeiden von Bedrohungen Einschrnken potenziell unerwnschter Programme

Klicken Sie auf der Seite Pufferberlaufschutz-Eigenschaften auf die Registerkarte Pufferberlaufschutz, und konfigurieren Sie Folgendes: a Aktivieren Sie Einstellungen fr Pufferberlauf und den verwendeten Schutzmodus. Konfigurieren Sie den Schutzmodus so, dass Exploits blockiert werden oder einfach eine Nachricht gesendet und das Ereignis protokolliert wird. b Aktivieren Sie Client-System-Warnungen, die beim Auftreten eines Buffer Overflow-Exploits gesendet werden. c Konfigurieren Sie Pufferberlaufausnahmen fr bestimmte API-Werte (Application Programming Interface, Anwendungsprogrammierschnittstelle) sowie die optionalen Prozesse und Modulnamen, die ausgeschlossen werden sollen.

Klicken Sie auf die Registerkarte Berichte, aktivieren Sie die Scan-Aktivittsprotokolldateien, und geben Sie ihren Speicherort, die Gre und das Format an. HINWEIS: Diese Protokolldateien sind beim Diagnostizieren von Sicherheitsbedrohungen sehr hilfreich, und mit ihnen knnen die gegen diese Bedrohungen zu ergreifenden Manahmen ermittelt werden.

Einschrnken potenziell unerwnschter Programme


Mit VirusScan Enterprise wird Ihr Computer vor unerwnschten Programmen geschtzt, die lstig sind oder ein Sicherheitsrisiko darstellen. Es ist eine allgemeine Richtlinie fr unerwnschte Programme konfiguriert, aber Sie knnen diese Richtlinie individuell aktivieren oder deaktivieren und Aktionen fr jeden einzelnen VirusScan Enterprise-Scanner angeben. Potenziell unerwnschte Programme werden als Softwareprogramme definiert, die von legitimen Unternehmen geschrieben wurden, jedoch den Sicherheitsstatus oder die Datenschutzrichtlinie des Computers verndern knnen, auf dem sie installiert sind. Diese Software kann, muss aber nicht unbedingt Spyware, Adware und Dialer umfassen. Diese eingebetteten Programme knnen mit einem eigentlich von Ihnen gewnschten Download zusammen heruntergeladen werden. Sicherheitsbewusste Benutzer erkennen derartige Programme und entfernen sie in einigen Fllen.

Konfigurieren unerwnschter Programme


Wenn Sie Ihren Computer vor potenziell unerwnschten Programmen schtzen mchten, mssen Sie Kategorien von unerwnschten Programmen konfigurieren, die in Ihrer Umgebung entdeckt werden sollen. Die Konfiguration erfolgt als zweistufiger Prozess: 1 Konfigurieren Sie die Richtlinie fr unerwnschte Programme, um zu definieren, welche unerwnschten Programme entdeckt und ausgeschlossen werden sollen: Aus einer vordefinierten Liste, die aus der aktuellen DAT-Datei stammt, knnen Sie ganze Programmkategorien oder innerhalb einer Kategorie bestimmte Programme auswhlen. Legen Sie Ausschlsse fest. Erstellen Sie eine Liste benutzerdefinierter Programme, die entdeckt werden sollen.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

41

Teil I Prvention: Vermeiden von Bedrohungen Einschrnken potenziell unerwnschter Programme

Aktivieren Sie die Entdeckung unerwnschter Programme fr die Zugriffs-, E-Mail- und On-Demand-Scans. Konfigurieren Sie anschlieend, welche Aktionen eingeleitet werden sollen, wenn ein unerwnschtes Programm entdeckt wird.

HINWEIS: Die Entdeckung unerwnschter Programme wird fr den On-Demand-Scan anders aktiviert, da es sich beim On-Demand-Scan um einen Task und nicht um eine Richtlinie handelt. Detaillierte Informationen finden Sie unter Konfigurieren von On-Demand-Scan-Tasks. Tasks Zugreifen auf die Richtlinien fr unerwnschte Programme Aktivieren der Entdeckung unerwnschter Programme fr Zugriffs- und E-Mail-Scans

Zugreifen auf die Richtlinien fr unerwnschte Programme


Konfigurieren Sie die Richtlinien fr unerwnschte Programme, indem Sie die zu entdeckenden Kategorien unerwnschter Programme auswhlen. Dazu gehren beispielsweise Spyware und Adware. Sie knnen auch Ausschlsse fr Programme angeben, die nicht entdeckt werden sollen. Greifen Sie mithilfe der folgenden Benutzeroberflchenkonsolen auf die Richtlinien fr unerwnschte Programme zu.

ePolicy Orchestrator 4.5 oder 4.6


Konfigurieren Sie die Richtlinien fr unerwnschte Programme mithilfe dieser Benutzeroberflchenkonsole. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 Klicken Sie auf Men | Richtlinie | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt. Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie. Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus. b Klicken Sie in der Spalte Aktionen auf Einstellungen bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. Erstellen einer neuen Richtlinie a Klicken Sie auf Aktionen | Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Kategorie eine vorhandene Richtlinie aus. c Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus. d Geben Sie einen neuen Richtliniennamen ein. e Geben Sie bei Bedarf Hinweise ein. f Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt.

g Klicken Sie in der Spalte Aktionen der neuen Richtlinie auf Einstellungen bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen.

42

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil I Prvention: Vermeiden von Bedrohungen Einschrnken potenziell unerwnschter Programme

3 4

Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus. Klicken Sie auf der Seite Richtlinie fr unerwnschte Programme auf die Registerkarte Scan-Elemente, um Folgendes zu konfigurieren: a Zu entdeckende Kategorien unerwnschter Programme: Beispielsweise Spyware und Adware. Diese Kategorien werden durch die aktuelle DAT-Datei definiert. b Ausschlsse: Sie mssen den genauen Entdeckungsnamen angeben, den Sie auszuschlieen mchten, und nicht den Dateinamen.

Klicken Sie auf die Registerkarte Benutzerdefinierte Entdeckungen, und geben Sie die einzelnen Dateien oder Programme an, die als unerwnschte Programme behandelt werden sollen. Geben Sie fr jedes Element den Dateinamen und eine Beschreibung an.

ePolicy Orchestrator 4.0


Konfigurieren Sie die Richtlinien fr unerwnschte Programme mithilfe dieser Benutzeroberflchenkonsole. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 Klicken Sie auf Systeme | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt. Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie. Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus. b Klicken Sie in der Spalte Aktionen auf Bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. Erstellen einer neuen Richtlinie a Klicken Sie auf Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus. c Geben Sie einen neuen Richtliniennamen ein. d Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt. 3 4 Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus. Klicken Sie auf der Seite Richtlinie fr unerwnschte Programme auf die Registerkarte Scan-Elemente, um Folgendes zu konfigurieren: a Zu entdeckende Kategorien unerwnschter Programme: Beispielsweise Spyware und Adware. Diese Kategorien werden durch die aktuelle DAT-Datei definiert. b Ausschlsse: Sie mssen den genauen Entdeckungsnamen angeben, den Sie auszuschlieen mchten, und nicht den Dateinamen. 5 Klicken Sie auf die Registerkarte Benutzerdefinierte Entdeckungen, und geben Sie die einzelnen Dateien oder Programme an, die als unerwnschte Programme behandelt werden sollen. Geben Sie fr jedes Element den Dateinamen und eine Beschreibung an.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

43

Teil I Prvention: Vermeiden von Bedrohungen Einschrnken potenziell unerwnschter Programme

VirusScan-Konsole
Konfigurieren Sie die Eigenschaften fr unerwnschte Programme mithilfe dieser Benutzeroberflchenkonsole. Task Optionsbeschreibungen erhalten Sie durch Klicken auf die Option Hilfe der Benutzeroberflche. 1 Klicken Sie in der Liste Task mit der rechten Maustaste auf Richtlinie fr unerwnschte Programme, und klicken Sie dann auf Eigenschaften, um das Dialogfeld Richtlinie fr unerwnschte Programme zu ffnen. Klicken Sie auf der Seite Richtlinie fr unerwnschte Programme auf die Registerkarte Scan-Elemente, um Folgendes zu konfigurieren: a Zu entdeckende Kategorien unerwnschter Programme: Beispielsweise Spyware und Adware. Diese Kategorien werden durch die aktuelle DAT-Datei definiert. b Ausschlsse: Sie mssen den genauen Entdeckungsnamen angeben, den Sie auszuschlieen mchten, und nicht den Dateinamen. 3 Klicken Sie auf die Registerkarte Benutzerdefinierte Entdeckungen, und geben Sie die einzelnen Dateien oder Programme an, die als unerwnschte Programme behandelt werden sollen. Geben Sie fr jedes Element den Dateinamen und eine Beschreibung an.

Aktivieren der Entdeckung unerwnschter Programme fr Zugriffs- und E-Mail-Scans


Damit bei Zugriffs- und E-Mail-Scans unerwnschte Programme entdeckt werden, mssen Sie die Funktion auf der Registerkarte Scan-Elemente aktivieren. Aktivieren Sie Zugriffs- und E-Mail-Scans, um unerwnschte Programme mithilfe der folgenden Benutzeroberflchenkonsolen zu entdecken. HINWEIS: Informationen zum Aktivieren des On-Demand-Scans fr die Entdeckung unerwnschter Programme finden Sie unter Konfigurieren von On-Demand-Scan-Tasks.

ePolicy Orchestrator 4.5 oder 4.6


Aktivieren Sie Zugriffs- und E-Mail-Scans, um unerwnschte Programme mithilfe der ePolicy Orchestrator 4.5 oder 4.6-Konsole zu entdecken. Die Prozesse zum Aktivieren der Entdeckung unerwnschter Programme fr Zugriffs- und E-Mails-Scans sind im Wesentlichen identisch. Der einzige Unterschied besteht darin, welche Richtlinie Sie im Richtlinienkatalog fr Schritt 2 auswhlen. So aktivieren Sie die Entdeckung unerwnschter Programme fr: Scannen bei Zugriff: Whlen Sie Zugriffsscan-Richtlinien aus. E-Mail-Scan: Whlen Sie E-Mail-Scan-Richtlinien bei Zustellung aus. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 Klicken Sie auf Men | Richtlinie | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt. Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie.

44

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil I Prvention: Vermeiden von Bedrohungen Einschrnken potenziell unerwnschter Programme

Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus. b Klicken Sie in der Spalte Aktionen auf Einstellungen bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. Erstellen einer neuen Richtlinie a Klicken Sie auf Aktionen | Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Kategorie eine vorhandene Richtlinie aus. c Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus. d Geben Sie einen neuen Richtliniennamen ein. e Geben Sie bei Bedarf Hinweise ein. f Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt.

g Klicken Sie in der Spalte Aktionen der neuen Richtlinie auf Einstellungen bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. 3 4 Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus. Klicken Sie auf der Seite Zugriffsscan-Richtlinien oder E-Mail-Scan-Richtlinien bei Zustellung auf die Registerkarte Scan-Elemente, und whlen Sie Unerwnschte Programme entdecken aus.

ePolicy Orchestrator 4.0


Aktivieren Sie Zugriffs- und E-Mail-Scans, um unerwnschte Programme mithilfe der ePolicy Orchestrator 4.0-Konsole zu entdecken. Die Prozesse zum Aktivieren der Entdeckung unerwnschter Programme fr Zugriffs- und E-Mails-Scans sind im Wesentlichen identisch. Der einzige Unterschied besteht darin, welche Richtlinie Sie im Richtlinienkatalog fr Schritt 2 auswhlen. So aktivieren Sie die Entdeckung unerwnschter Programme fr: Scannen bei Zugriff: Whlen Sie Zugriffsscan-Richtlinien aus. E-Mail-Scan: Whlen Sie E-Mail-Scan-Richtlinien bei Zustellung aus. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 Klicken Sie auf Systeme | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt. Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie. Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus. b Klicken Sie in der Spalte Aktionen auf Bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. Erstellen einer neuen Richtlinie a Klicken Sie auf Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

45

Teil I Prvention: Vermeiden von Bedrohungen Aktualisieren von Entdeckungsdefinitionen

c Geben Sie einen neuen Richtliniennamen ein. d Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt. 3 4 Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus. Klicken Sie auf der Seite Zugriffsscan-Richtlinien oder E-Mail-Scan-Richtlinien bei Zustellung auf die Registerkarte Scan-Elemente, und whlen Sie Unerwnschte Programme entdecken aus.

VirusScan-Konsole
Aktivieren Sie Zugriffs- und E-Mail-Scans, um unerwnschte Programme mithilfe der VirusScan-Konsole zu entdecken. Die Prozesse zum Aktivieren der Entdeckung unerwnschter Programme fr Zugriffs- und E-Mails-Scans sind im Wesentlichen identisch. Der einzige Unterschied besteht darin, welchen Task Sie in der VirusScan-Konsole fr Schritt 2 auswhlen. So aktivieren Sie die Entdeckung unerwnschter Programme fr: Scannen bei Zugriff: Whlen Sie Zugriffsscan-Richtlinien aus. E-Mail-Scan: Whlen Sie E-Mail-Scan Beim Empfang aus. Task Optionsbeschreibungen erhalten Sie durch Klicken auf die Option Hilfe der Benutzeroberflche. 1 Klicken Sie in der Liste Task mit der rechten Maustaste auf eine der folgenden Optionen, und klicken Sie dann auf Eigenschaften, um das entsprechende Dialogfeld zu ffnen. Zugriffsscan-Richtlinien: fr Zugriffsscans. E-Mail-Scan Beim Empfang: Fr E-Mail-Scans. 2 Klicken Sie auf der Seite Zugriffsscan-Richtlinien oder E-Mail-Scan-Richtlinien bei Zustellung auf die Registerkarte Scan-Elemente, und whlen Sie Unerwnschte Programme entdecken aus.

Aktualisieren von Entdeckungsdefinitionen


Die VirusScan Enterprise-Software ist vom Scan-Modul und den in den Entdeckungsdefinitionsdateien (DAT) gespeicherten Daten abhngig, ber die sie Bedrohungen identifiziert und entsprechende Manahmen ergreift. Es treten regelmig neue Bedrohungen auf. Um dieser Herausforderung gerecht zu werden, gibt McAfee tglich neue DAT-Dateien heraus, die die Ergebnisse der fortlaufenden Forschungsttigkeit beinhalten. Beim Aktualisierungs-Task werden die neuesten DAT-Dateien von der externen McAfee-Aktualisierungs-Website heruntergeladen und installiert. HINWEIS: In einer von ePolicy Orchestrator verwalteten Umgebung knnen auch die aktuellsten Versionen der DAT-Dateien, der Datei EXTRA.DAT, des Scan-Moduls sowie der Service Packs und Patches abgerufen werden. Inhalt DAT-Dateien und ihre Funktionsweise Die Wichtigkeit einer Aktualisierungsstrategie Aktualisierungs-Tasks und ihre Funktionsweise

46

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil I Prvention: Vermeiden von Bedrohungen Aktualisieren von Entdeckungsdefinitionen

Spiegelungs-Tasks und ihre Funktionsweise Funktionsweise des AutoUpdate-Repositorys Durchfhren von Rollbacks fr DAT-Dateien

DAT-Dateien und ihre Funktionsweise


Wenn das Scan-Modul Dateien nach Bedrohungen durchsucht, vergleicht es den Inhalt der gescannten Dateien mit bekannten Bedrohungsinformationen, die in Entdeckungsdefinitionsdateien (DAT) gespeichert sind. Bei den bekannten Bedrohungsinformationen (auch Signaturen genannt) handelt es sich um Informationen, die von McAfee gefunden und den DAT-Dateien hinzugefgt wurden. Neben den Signaturen enthalten die DAT-Dateien auch Informationen darber, wie der vom entdeckten Virus verursachte Schaden bereinigt und dem entdeckten Virus entgegengewirkt wird. Aus diesem Grund ist es so wichtig, die neuste Version der von VirusScan Enterprise verwendeten DAT-Datei herunterzuladen. VORSICHT: Wenn die Signatur eines bestimmten Virus in keiner der installierten DAT-Dateien enthalten ist, wird dieser Virus nicht vom Scan-Modul entdeckt. Auerdem muss die aktuelle Version des Scan-Moduls installiert sein, damit die neuesten DAT-Dateien in vollem Umfang genutzt werden knnen. Von VirusScan Enterprise wird auch eine Heuristik verwendet (Artemis genannt), um zustzlich zu den DAT-Dateien nach verdchtigen Dateien zu suchen. Weitere Informationen finden Sie unter Funktionsweise von Artemis. Die zahlreichen DAT-Dateien werden unter folgendem Pfad gespeichert:
\Programme\Gemeinsame Dateien\McAfee\Engine

Die Wichtigkeit einer Aktualisierungsstrategie


Die Wichtigkeit einer Aktualisierungsstrategie kann nicht oft genug betont werden. Ihr System ist nur dann komplett vor aktuellen Viren geschtzt, wenn die neuesten DAT-Dateien und das neueste Scan-Modul auf dem System installiert sind. Es herrscht ein noch nie dagewesener Anstieg der Anzahl, Ausbreitungsgeschwindigkeit und Hufigkeit neuer Malware. Auerdem erfordert die wachsende Anzahl von Adware und Spyware eine konsistentere und schneller nutzbare Entdeckung und Entfernung. McAfee Labs verffentlicht fast jeden Tag gegen 19:00 Uhr (MEZ) DAT-Dateiaktualisierungen. Auch weiterhin werden Virus-Ausbrche zu den ungnstigsten Zeiten auftreten und Notfallverffentlichungen erfordern. Wenn eine tgliche DAT-Datei sehr frh verffentlicht wird, um einen potenziellen Ausbruch zu verhindern, wird an diesem Tag zur normal geplanten Uhrzeit nur dann eine zweite DAT-Datei verffentlicht, sofern eine weitere Notfallsituation dies erfordert.

Festlegen einer Aktualisierungsstrategie


Es gibt viele Methoden zum Aktualisieren der DAT-Dateien und des Scan-Moduls, die bzw. das von VirusScan Enterprise. Sie knnen AutoUpdate-Tasks, manuelle Aktualisierungen, Anmeldungsskripts oder geplante Aktualisierungen unter Verwendung von Verwaltungstools verwenden. Durch Verwendung eines Aktualisierungs-Tasks haben Sie folgende Mglichkeiten: Planen von DAT-Dateiaktualisierungen im gesamten Netzwerk: Sie knnen Aktualisierungs-Tasks staffeln oder einen Zeitplan festlegen, nach dem

McAfee VirusScan Enterprise 8.8-Produkthandbuch

47

Teil I Prvention: Vermeiden von Bedrohungen Aktualisieren von Entdeckungsdefinitionen

DAT-Dateiaktualisierungen in verschiedenen Teilen des Netzwerks stufenweise zu geeigneten Zeiten und mit minimalen Eingriffen seitens der Administratoren oder Netzwerkbenutzer erfolgen. Aufteilen von Rollout-Verwaltungsaufgaben: Verwenden Sie zum Steigern der Netzwerk-Bandbreiteneffizienz unterschiedliche Server oder Domnen-Controller in verschiedenen Regionen von WANs oder anderen Netzwerkteilen, um Datenverkehr fr Aktualisierungszwecke vorwiegend intern zu halten. Auerdem kann dadurch das Risiko einer Netzwerksicherheitslcke reduziert werden. Reduzieren der Wartezeit, die fr das Herunterladen neuer DAT-Dateien oder aktualisierter Moduldateien erforderlich ist: Zu den regulren Terminen fr die Verffentlichung von DAT-Dateien oder beim Erscheinen neuer Produktversionen erhht sich der Verkehr auf McAfee-Computern erfahrungsgem. Sie haben jedoch die Mglichkeit, die Hauptverkehrszeiten zu vermeiden, und stellen damit sicher, dass die neue Software weitgehend unterbrechungsfrei auf Ihren Systemen bereitgestellt wird.

Anforderungen an eine effiziente Aktualisierungsstrategie


Eine effiziente Aktualisierungsstrategie erfordert im Allgemeinen, dass mindestens ein Client oder Server innerhalb des Unternehmens Aktualisieren von der McAfee-Download-Website abruft. Ausgehend von diesem Computer knnen die Dateien dann unternehmensweit repliziert werden. Es empfiehlt sich, den ber das Netzwerk bertragenen Datenumfang gering zu halten, indem der Kopierprozess der aktualisierten Dateien auf die Freigabe-Websites automatisiert wird. Fr eine effiziente Aktualisierung mssen vor allem die Anzahl der Clients und die Anzahl der Standorte bercksichtigt werden. Sie knnen auch die Anzahl an Systemen an jedem Remote-Standort und die Art, wie Remote-Sites auf das Internet zugreifen, in Ihre berlegungen aufnehmen. Diese grundlegenden Konzepte fr das Verwenden eines zentralen Repositories zum Abrufen von Aktualisierungen und Planen von Aktualisierungs-Tasks, um die Umgebung dem neuesten Stand zu halten, gelten fr Unternehmen aller Gren. Informationen zum Bereitstellen von Software und zu Aktualisierungen finden Sie im entsprechenden ePolicy Orchestrator-Produkthandbuch.

Aktualisierungs-Tasks und ihre Funktionsweise


Verwenden Sie den Aktualisierungs-Task, um die neueste Version der DAT-Dateien, Scan-Module, Service Packs und Patches abzurufen. VirusScan Enterprise enthlt einen standardmigen Aktualisierungs-Task, der jeden Tag ab 17:00 Uhr innerhalb einer zuflligen Zeitspanne von einer Stunde ausgefhrt wird. Sie knnen bei Bedarf zustzliche Aktualisierungs-Tasks erstellen. Vorgnge bei Ausfhrung von Aktualisierungs-Task Wenn Sie einen Aktualisierungs-Task ausfhren, geschieht Folgendes: Es wird eine Verbindung mit dem ersten aktivierten Repository (Aktualisierungs-Website) in der Repository-Liste hergestellt. Ist dieses Repository nicht verfgbar, wird die nchste Website kontaktiert usw., bis eine Verbindung zustande kommt oder das Ende der Liste erreicht ist. Eine verschlsselte CATALOG.Z-Datei wird aus dem Repository heruntergeladen. Die Datei enthlt die grundlegenden Daten, die fr die Aktualisierung erforderlich sind. Diese Daten werden verwendet, um zu bestimmen, welche Dateien und Aktualisierungen verfgbar sind.

48

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil I Prvention: Vermeiden von Bedrohungen Aktualisieren von Entdeckungsdefinitionen

Die in der Datei aufgefhrten Softwareversionen werden mit den Versionen auf dem Computer verglichen. Falls neue Softwareaktualisierungen verfgbar sind, werden sie heruntergeladen. Unterbrechung des Aktualisierungs-Tasks Wenn der Aktualisierungs-Task whrend der Ausfhrung unterbrochen wird: Ein Task, der Aktualisierungsdateien von einer HTTP-, einer UNC- oder lokalen Seite herunterldt, nimmt die Aktualisierung bei einem erneuten Start an der Stelle der Unterbrechung wieder auf. Ein Task, der Aktualisierungen von einer FTP-Seite ldt, wird nicht fortgesetzt, wenn er whrend des Downloads einer einzigen Datei unterbrochen wurde. Wenn der Task jedoch whrend des Herunterladens mehrerer Dateien unterbrochen wurde, wird er beginnend mit der zuletzt heruntergeladenen Datei fortgesetzt. Aktualisierung mit EXTRA.DAT Eine EXTRA.DAT-Datei kann als temporre Manahme in einer Notsituation verwendet werden. Die Datei EXTRA.DAT wird bei jeder Aktualisierung aus dem Repository heruntergeladen. Dadurch wird sichergestellt, dass bei einer Bearbeitung der Datei EXTRA.DAT und einer erneuten berprfung dieser Datei als Paket alle VirusScan Enterprise-Clients dasselbe aktualisierte EXTRA.DAT-Paket herunterladen und verwenden. Sie knnen die Datei EXTRA.DAT beispielsweise zur verbesserten Entdeckung fr bereits durchsuchte potenziell unerwnschte Programme verwenden oder als zustzliches Entdeckungsmittel fr andere, neue potenziell unerwnschte Programme. In VirusScan Enterprise wird die Verwendung von nur einer EXTRA.DAT-Datei untersttzt. TIPP: Wenn Sie die Arbeit mit der Datei EXTRA.DAT beendet haben, sollten Sie sie aus dem Master-Repository entfernen und einen Replizierungs-Task durchfhren, um sicherzustellen, dass sie aus allen verteilten Repository-Websites entfernt ist. Dadurch wird verhindert, dass VirusScan Enterprise-Clients versuchen, die Datei EXTRA.DAT bei einem Aktualisierungsvorgang herunterzuladen. Standardmig wird die Entdeckung fr das neue potenziell unerwnschte Programm in der Datei EXTRA.DAT ignoriert, sobald die neue Entdeckungsdefinition den wchentlichen DAT-Dateien hinzugefgt wurde.

Konfigurieren des AutoUpdate-Tasks


Wenn Sie DAT-Dateien und Scan-Module fr alle McAfee-Produkte automatisch aktualisieren mchten, mssen Sie die Eigenschaften und den Zeitplan fr AutoUpdate konfigurieren. Task Optionsdefinitionen erhalten Sie durch Klicken auf die Schaltflchen ? oder Hilfe der Registerkarte. 1 Greifen Sie folgendermaen auf die Eigenschaften von AutoUpdate zu: ePolicy Orchestrator 4.5 oder 4.6: Klicken Sie auf Men | Systeme | Systemstruktur, und whlen Sie Client-Tasks aus. HINWEIS: Detaillierte Anleitungen zum Erstellen eines neuen geplanten Client-Tasks finden Sie im McAfee ePolicy Orchestrator 4.5-Produkthandbuch. ePolicy Orchestrator 4.0: Klicken Sie auf Systeme | Systemstruktur | Client-Task, und whlen Sie einen vorhandenen Aktualisierungs-Task aus, oder klicken Sie zum Erstellen eines neuen Tasks auf Neuer Task. HINWEIS: Detaillierte Anleitungen zum Erstellen eines neuen geplanten Client-Tasks finden Sie im McAfee ePolicy Orchestrator 4.0-Produkthandbuch.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

49

Teil I Prvention: Vermeiden von Bedrohungen Aktualisieren von Entdeckungsdefinitionen

VirusScan-Konsole: Whlen Sie einen vorhandenen Aktualisierungs-Task aus (klicken Sie mit der rechten Maustaste auf den Task, und klicken Sie auf Eigenschaften), oder erstellen Sie einen neuen Task (whlen Sie Task | Neuer Aktualisierungs-Task aus, und whlen Sie den neuen Task in der Liste aus). TIPP: Beim Erstellen eines neuen Client-Tasks empfiehlt es sich, den Task in einen aussagekrftigeren Namen umzubenennen. 2 3 4 Legen Sie den Speicherort und das Format der Protokolldatei fest. Konfigurieren Sie, ob neuere DATs, Module sowie andere verfgbare Aktualisierungen wie Service Packs und Produktaktualisierungen abgerufen werden sollen. Legen Sie fest, welche ausfhrbare Datei nach Beendigung des Aktualisierungs-Tasks gestartet werden soll und ob die Ausfhrung nur nach einer erfolgreichen Aktualisierung stattfinden soll. Klicken Sie auf Zeitplan, um zu konfigurieren, wann und wie oft der Task ausgefhrt werden soll. Detaillierte Informationen finden Sie unter Verwenden geplanter Tasks. Klicken Sie auf Jetzt aktualisieren, und der Task wird sofort ausgefhrt.

5 6

Spiegelungs-Tasks und ihre Funktionsweise


Mit Spiegelungs-Tasks knnen Sie Aktualisierungsdateien aus dem ersten erreichbaren Repository, das in der Repository-Liste definiert ist, in eine Spiegelungssite in Ihrem Netzwerk replizieren. Dieser Task wird meist zum Spiegeln des Inhalts der McAfee-Download-Website auf einen lokalen Server verwendet. Nachdem Sie die McAfee-Website repliziert haben, die die Aktualisierungsdateien enthlt, knnen Computer in Ihrem Netzwerk die Dateien von der Spiegelungssite herunterladen. Diese Vorgehensweise ist praktisch, da smtliche Netzwerkcomputer mit oder ohne Internetzugriff aktualisiert werden knnen. Auerdem ist sie besonders effizient, weil die Computer mit einem Server kommunizieren, der mglicherweise nher als die McAfee-Internetsite liegt, wodurch wiederum der Aufwand und die Zeit zum Herunterladen verringert werden. Die VirusScan Enterprise-Software ist zur eigenen Aktualisierung auf eine bestimmte Verzeichnisstruktur angewiesen. Beim Spiegeln einer Website ist es wichtig, die gesamte Verzeichnisstruktur zu replizieren. HINWEIS: Diese Verzeichnisstruktur untersttzt auch frhere Versionen von VirusScan Enterprise und NetShield, solange die gesamte Verzeichnisstruktur an den gleichen Speicherort repliziert wird, der von VirusScan Enterprise 8.8 fr die Aktualisierung verwendet wird.

Konfigurieren des Spiegelungs-Tasks


Wenn Sie DAT-Dateien und Scan-Module an einem angegebenen Ort fr die Verwendung durch andere Computer speichern mchten, konfigurieren Sie den Speicherort und Zeitplan mithilfe von Spiegelungs-Task-Eigenschaften. Task Optionsdefinitionen erhalten Sie durch Klicken auf die Schaltflchen ? oder Hilfe der Registerkarte. 1 Greifen Sie folgendermaen auf die Spiegelungs-Task-Eigenschaften zu:

50

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil I Prvention: Vermeiden von Bedrohungen Aktualisieren von Entdeckungsdefinitionen

ePolicy Orchestrator 4.5 oder 4.6: Klicken Sie auf Men | Systeme | Systemstruktur, und whlen Sie Client-Tasks aus. HINWEIS: Detaillierte Anleitungen zum Erstellen eines neuen geplanten Client-Tasks finden Sie im McAfee ePolicy Orchestrator 4.5-Produkthandbuch. ePolicy Orchestrator 4.0: Klicken Sie auf Systeme | Systemstruktur | Client-Task, und whlen Sie einen vorhandenen Aktualisierungs-Task aus, oder klicken Sie zum Erstellen eines neuen Tasks auf Neuer Task. HINWEIS: Detaillierte Anleitungen zum Erstellen eines neuen geplanten Client-Tasks finden Sie im McAfee ePolicy Orchestrator 4.0-Produkthandbuch. Fhren Sie in der VirusScan-Konsole eine der folgenden Aktionen aus: Whlen Sie einen vorhandenen Spiegelungs-Task aus, klicken Sie mit der rechten Maustaste auf den Task, und klicken Sie auf Eigenschaften. Das Dialogfeld Spiegelungs-Task wird angezeigt. Whlen Sie zum Erstellen eines neuen Spiegelungs-Tasks Task | Neuer Spiegelungs-Task aus, und Neuer Spiegelungs-Task wird in der Liste Task angezeigt. Klicken Sie auf den neuen Task, um das Dialogfeld Spiegelungs-Task zu ffnen. HINWEIS: ndern Sie den Task-Namen in einen aussagekrftigeren Namen, indem Sie mit der rechten Maustaste auf den Task klicken und Umbenennen auswhlen. 2 VirusScan-Konsole: Whlen Sie einen vorhandenen Aktualisierungs-Task aus (klicken Sie mit der rechten Maustaste auf den Task, und klicken Sie auf Eigenschaften), oder erstellen Sie einen neuen Task (whlen Sie Task | Neuer Spiegelungs-Task aus, und whlen Sie den neuen Task in der Liste aus). TIPP: Beim Erstellen eines neuen Client-Tasks empfiehlt es sich, den Task in einen aussagekrftigeren Namen umzubenennen. 3 4 Legen Sie den Speicherort und das Format der Protokolldatei fest. Konfigurieren Sie, ob neuere Entdeckungsdefinitionen, Module und DATs sowie andere verfgbare Aktualisierungen wie Service Packs und Produktaktualisierungen abgerufen werden sollen. Legen Sie fest, welche ausfhrbare Datei nach Beendigung des Aktualisierungs-Tasks gestartet werden soll und ob die Ausfhrung nur nach einer erfolgreichen Aktualisierung stattfinden soll. Klicken Sie auf Verzeichnis spiegeln, um das Spiegelungsserverziel zu konfigurieren. Klicken Sie auf Zeitplan, um zu konfigurieren, wann und wie oft der Task ausgefhrt werden soll. Detaillierte Informationen finden Sie unter Verwenden geplanter Tasks. Klicken Sie auf Jetzt spiegeln, um den Task sofort auszufhren. Konfigurieren Sie die Optionen auf der Registerkarte. Optionsdefinitionen erhalten Sie durch Klicken auf die Schaltflchen ? oder Hilfe der Registerkarte.

6 7 8 9

Registerkartendefinitionen
Registerkarte Spiegeln Definitionen Legen Sie den Speicherort und das Format der Protokolldatei fest.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

51

Teil I Prvention: Vermeiden von Bedrohungen Aktualisieren von Entdeckungsdefinitionen

Registerkarte

Definitionen Legen Sie fest, welche ausfhrbare Datei nach Beendigung des Spiegelungs-Tasks gestartet werden soll und ob die Ausfhrung nur nach einer erfolgreichen Spiegelung stattfinden soll.

Funktionsweise des AutoUpdate-Repositorys


In der AutoUpdate-Repository-Liste (SITELIST.XML) sind die zur Ausfhrung eines Aktualisierungs-Tasks erforderlichen Repositories und Konfigurationsdaten angegeben. Die AutoUpdate-Repository-Liste umfasst Folgendes: Repository-Informationen und -Speicherort Bevorzugte Reihenfolge der Repositories Proxy-Einstellungen, falls erforderlich Verschlsselte Anmeldeinformationen fr den Zugriff auf die einzelnen Repositories Wenn Sie einen AutoUpdate-Task ausfhren, wird eine Verbindung mit dem ersten aktivierten Repository (Aktualisierungs-Website) in der Repository-Liste hergestellt. Ist dieses Repository nicht verfgbar, wird das nchste Repository kontaktiert usw., bis eine Verbindung zustande kommt oder das Ende der Liste erreicht ist. Wenn in Ihrem Netzwerk ein Proxy-Server eingesetzt wird, knnen Sie dessen Adresse und die zu verwendenden Proxy-Einstellungen festlegen und bestimmen, ob eine Authentifizierung verwendet werden soll. Proxy-Informationen werden in der AutoUpdate-Repository-Liste gespeichert. Die von Ihnen konfigurierten Proxy-Einstellungen gelten fr alle Repositories in dieser Repository-Liste. Der Speicherort der AutoUpdate-Repository-Liste hngt von Ihrem Betriebssystem ab. Bei Microsoft Windows XP, Microsoft Vista, Microsoft 2000 Server, Microsoft 2003 Server und Microsoft 2008 Server lautet der Pfad C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\McAfee\Common Framework. Bei Microsoft Windows 7 lautet der Pfad C:\ProgramData\McAfee\Common Framework.

Konfigurieren der Repository-Liste


Die Repository-Liste enthlt die Repositories, aus denen Sie Aktualisierungen abrufen knnen. Erstellen und konfigurieren Sie so viele Repositories, wie ntig. Einige Websites knnen jederzeit verwendet werden, whrend andere nur gelegentlich verwendet werden. Task Optionsbeschreibungen erhalten Sie durch Klicken auf die Option Hilfe der Benutzeroberflche. 1 Whlen Sie in der VirusScan-Konsole Extras | AutoUpdate-Repository-Liste bearbeiten aus, um auf die Eigenschaften der AutoUpdate-Repository-Liste zuzugreifen. HINWEIS: Navigieren Sie zum Konfigurieren der Repository-Funktion mithilfe der ePolicy Orchestrator-Konsole zur Anzeige Richtlinienkatalog | McAfee Agent, und klicken Sie auf die Registerkarte Repositories. 2 Konfigurieren Sie die Optionen auf den Registerkarten.

52

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil I Prvention: Vermeiden von Bedrohungen Ausschlieen von Scan-Elementen

Registerkartendefinitionen
Registerkarte Repositories Definitionen Proxyeinstellungen Geben Sie die Repositories an, aus denen die Aktualisierungen abgerufen werden sollen. Konfigurieren Sie die Reihenfolge fr den Zugriff auf die Repositories.

Legen Sie die Proxy-Einstellungen fest, die zur Aktualisierung verwendet werden.

Durchfhren von Rollbacks fr DAT-Dateien


Wenn Sie feststellen sollten, dass Ihre aktuellen DAT-Dateien beschdigt oder inkompatibel sind, knnen Sie die DAT-Dateien auf die zuletzt gesicherte Version zurcksetzen (einen Rollback durchfhren). Beim Aktualisieren von DAT-Dateien wird die alte Version in folgendem Verzeichnis gespeichert: <Laufwerk>:\Programme\Gemeinsame Dateien\McAfee\Engine\OldDats. Wenn Sie ein Rollback der DAT-Dateien durchfhren, werden die aktuellen DAT-Dateien durch die Version im Ordner OldDats ersetzt, und in der Registrierung wird an folgender Stelle ein Flag gesetzt: HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection\szRolledbackDATS. Wenn ein Rollback erfolgt ist, kann die vorherige Version nicht wiederhergestellt werden. Bei der nchsten Aktualisierung wird die DAT-Version in der Registrierung mit den DAT-Dateien im Aktualisierungs-Repository verglichen. Wenn die neuen DAT-Dateien den Dateien in der Registrierung entsprechen, wird keine Aktualisierung durchgefhrt.

Rollback von DAT-Dateien


Verwenden Sie das DAT-Rollback-Tool, um die Version der DAT-Dateien auf die vorherige Version zurckzusetzen. Task Optionsbeschreibungen erhalten Sie durch Klicken auf die Option Hilfe der Benutzeroberflche. 1 2 Whlen Sie in der VirusScan-Konsole Extras | Rollback fr DATs durchfhren aus. Klicken Sie auf Ja, um das DAT-Rollback fortzusetzen. HINWEIS: Diese Funktion steht in der ePolicy Orchestrator-Konsole nicht zur Verfgung. 3 Konfigurieren Sie die Optionen auf der Registerkarte.

Ausschlieen von Scan-Elementen


Mit jedem der VirusScan Enterprise-Scanner knnen Sie die Liste der gescannten Dateitypen zustzlich anpassen. Sie knnen beispielweise einzelne Dateien, Ordner und Datentrger vom Scan-Vorgang ausschlieen. Diese Ausschlsse sind mglicherweise erforderlich, da die Scanner eine Datei scannen und sperren knnten, wenn diese Datei gerade von einer Datenbank oder einem Server verwendet wird. Dadurch knnten bei der Datenbank oder dem Server Fehler auftreten.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

53

Teil I Prvention: Vermeiden von Bedrohungen Ausschlieen von Scan-Elementen

Inhalt Festlegen von Ausschlssen Verwendung von Platzhaltern zum Festlegen von Scan-Elementen

Festlegen von Ausschlssen


Geben Sie Dateien, Ordner und Laufwerke an, die von Scan-Vorgngen ausgeschlossen werden sollen. Mit dieser Funktion knnen Sie auch zuvor angegebene Ausschlsse entfernen. Optionsbeschreibungen
Option Auszuschlieende Elemente Definition Festlegen des Ausschlusstyps Nach Dateiname/Speicherort ausschlieen: Geben Sie den Dateinamen sowie die Speicherort an, und geben Sie an, ob Unterordner ausgeschlossen werden sollen. HINWEIS: Sie mssen am Ende der Zeichenfolge einen umgekehrten Schrgstrich (\) hinzufgen, um einen Ordner auszuschlieen. Andernfalls wird der Ausschluss als Dateiausschluss interpretiert, und das Kontrollkstchen Unterordner ebenfalls ausschlieen ist standardmig deaktiviert. Wann ausschlieen Nach Dateityp ausschlieen: Geben Sie einen Dateityp oder mehrere Typen an. Nach Dateialter ausschlieen: Whlen Sie den Zugriffstyp aus, und geben Sie dann das Mindestalter in Tagen an.

Geben Sie an, wann das ausgewhlte Element ausgeschlossen werden soll: Beim Lesen Beim Schreiben

Umgang mit Clientausschlssen

Clientausschlsse berschreiben Nur in dieser Richtlinie festgelegte Elemente ausschlieen. Wenn diese Option nicht ausgewhlt ist, verwendet der Client-Computer die Ausschlsse, die lokal und in dieser Richtlinie festgelegt wurden. HINWEIS: Diese Option steht nur mit ePolicy Orchestrator zur Verfgung.

Verwendung von Platzhaltern zum Festlegen von Scan-Elementen


Sie knnen Platzhalter verwenden, um Typen von Dateien durch Ausschluss auszuschlieen. Wenn Sie Platzhalter verwenden, gelten folgende Einschrnkungen. Zulssige Platzhalter sind das Fragezeichen (?), mit dem ein einzelnes Zeichen ausgeschlossen wird, und das Sternchen (*), mit dem mehrere Zeichen ausgeschlossen werden. In einer Pfadangabe knnen Platzhalter vor umgekehrten Schrgstrichen (\) eingesetzt werden. Beispiel: C:\ABC\*\XYZ stimmt berein mit C:\ABC\DEF\XYZ. Ein Ausschluss, der Fragezeichen (?) enthlt, trifft dann zu, wenn die Anzahl der Zeichen mit denen des Datei- oder Ordnernamens bereinstimmt. Beispiel: Der Ausschluss W?? schliet die Zeichenfolge WWW aus, aber nicht die Zeichenfolgen WW oder WWWW. Die Syntax wurde dahingehend erweitert, dass ein doppeltes Sternchen (**) angegeben werden kann, um anzuzeigen, dass null oder mehr beliebige Zeichen einschlielich des umgekehrten Schrgstriches enthalten sein knnen. Damit knnen Ausschlsse ber mehrere Verzeichnistiefen definiert werden. Beispiel: C:\ABC\**\XYZ stimmt berein mit C:\ABC\DEF\XYZ und C:\ABC\DEF\DEF\XYZ usw.

54

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil I Prvention: Vermeiden von Bedrohungen Verwenden geplanter Tasks

Verwenden geplanter Tasks


Als Teil der Konfiguration von On-Demand-Scans, AutoUpdate oder Spiegelungs-Tasks mssen Sie angeben, wann, wie oft und wie lange diese Tasks ausgefhrt werden sollen. Sie mssen whrend des Konfigurationsprozesses auch Benutzerberechtigungen konfigurieren. Inhalt Zeitplanung von Tasks Konfigurieren der Task-Planung

Zeitplanung von Tasks


Sie haben die Mglichkeit, On-Demand-Scan-, AutoUpdate- und Spiegelungs-Tasks durch eine Zeitplanung an bestimmten Tagen und zu bestimmten Uhrzeiten oder in bestimmten Intervallen auszufhren. Wie Sie die Tasks planen, hngt davon ab, welche Benutzeroberflchenkonsole Sie verwenden. So planen Sie diese Tasks: ePolicy Orchestrator-Konsole: Verwenden Sie die Registerkarte Zeitplan, um die Seite Zeitplan zu ffnen. VirusScan-Konsole: Verwenden Sie die Schaltflche Zeitplan, um das Dialogfeld Zeitplan zu ffnen.

Konfigurieren der Task-Planung


Verwenden Sie das Dialogfeld Zeitplaneinstellung, um einen Task so zu konfigurieren, dass er zu einer bestimmten Uhrzeit oder in einem bestimmten Intervall ausgefhrt wird. Bevor Sie beginnen Fr das Planen dieses Tasks mssen Sie ber Administratorrechte verfgen. Administratorrechte verleihen dem Benutzer Schreibzugriff auf den Registrierungsschlssel geplanter Tasks. Klicken Sie auf die Schaltflche Zeitplan im Dialogfeld Eigenschaften des Tasks, um den Task zu planen. VORSICHT: Es wird empfohlen, fr On-Demand-Scans minimale Intervalle zu planen. Empfohlene minimale Intervalle: Tglich: Nur wenn ein schwerer Malware-Ausbruch vorlag. Wchentlich: Empfohlen. Monatlich: Akzeptabel. Vierteljhrlich: Das absolute Minimum. Registerkartendefinitionen
Registerkarte Task Definitionen Aktivieren des geplanten Tasks zur festgelegten Zeit. Anhalten des Tasks nach einer festgelegten Laufzeit (Stunden/Minuten). Geben Sie Benutzerkontoeinstellungen, den Benutzernamen, die Domne und das Kennwort an.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

55

Teil I Prvention: Vermeiden von Bedrohungen Verwenden geplanter Tasks

Registerkarte Zeitplan

Definitionen Geben Sie die Zeitplanhufigkeit und die verknpften Einstellungen an.

56

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil II Entdeckung: Finden von Bedrohungen


Das Finden von Bedrohungen ist der zweite Schritt in einer Schutzstrategie zum Entdecken von Malware, die versucht, Zugriff auf Ihr System zu erlangen. Inhalt Scannen von Elementen bei Zugriff On-Demand-Scan von Elementen Scannen von E-Mails bei Empfang und On-Demand

Scannen von Elementen bei Zugriff


Mithilfe des Zugriffsscaners werden die Dateien auf dem Computer gescannt, sobald auf sie zugegriffen wird, um eine fortwhrende Echtzeitentdeckung von Bedrohungen zu gewhrleisten. Sowohl die Zugriffsschutz- als auch die Buffer Overflow-Funktion verwenden auch den Zugriffsscanner, um Verste gegen den Zugriffsschutz bzw. Buffer Overflow-Exploits zu entdecken. Inhalt Zugriffsscanner und Funktionsweise Scan-Vergleich: Schreiben auf einen Datentrger oder Lesen von einem Datentrger Scan-Vergleich: Scannen aller Dateien und Scannen von standardmigen und zustzlichen Dateitypen im Vergleich Skript-Scan und seine Funktionsweise Bestimmen der Anzahl von Scan-Richtlinien Funktionsweise von Artemis Konfigurieren allgemeiner und von Prozesseinstellungen

Zugriffsscanner und Funktionsweise


Der Zugriffsscanner schaltet sich in die tiefsten Ebenen des Systems (Dateisystem-Filtertreiber) ein, und scannt Dateien an der Stelle, an der Sie zuerst in das System gelangen. Er agiert als ein Teil des Systems (Systemdienst) und sendet ber die Benutzeroberflche Benachrichtigungen, wenn Entdeckungen stattfinden. Wenn versucht wird, eine Datei zu ffnen, zu schlieen oder umzubenennen, hrt der Scanner den Vorgang ab und fhrt die folgenden Aktionen aus. 1 Der Scanner bestimmt, ob die Datei aufgrund der folgenden Kriterien gescannt werden soll: Die Dateierweiterung entspricht der Konfiguration.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

57

Teil II Entdeckung: Finden von Bedrohungen Scannen von Elementen bei Zugriff

Die Datei wurde nicht im Cache gespeichert. Die Datei wurde nicht ausgeschlossen. Die Datei wurde nicht zuvor bereits gescannt. 2 Wenn die Datei die Scan-Kriterien erfllt, wird sie gescannt, indem die Informationen in der Datei mit den bekannten Malware-Signaturen in den aktuell geladenen DAT-Dateien verglichen werden. Wenn die Datei "sauber" ist, wird das Ergebnis in den Cache kopiert und der Zugriff fr Lese-, Schreib- oder Umbenennungsvorgnge erteilt. Enthlt die Datei eine Bedrohung, wird der Zugriff verweigert, und es wird die konfigurierte Aktion ausgefhrt. Beispiel: Wenn die Datei bereinigt werden muss, wird der entsprechende Reinigungsvorgang durch die aktuell geladenen DAT-Dateien bestimmt. Die Ergebnisse werden in einem Aktivittsprotokoll aufgezeichnet, sofern der Scanner entsprechend konfiguriert wurde. Die Warnung Nachrichten vom Scannen bei Zugriff wird angezeigt, und in ihr sind der Dateiname und die auszufhrende Aktion angegeben, wenn der Scanner dafr konfiguriert wurde. 3 Wenn die Datei die Scan-Anforderungen nicht erfllt, wird sie nicht gescannt. Sie wird im Cache gespeichert, und der Zugriff wird erteilt. HINWEIS: Der Scan-Datei-Cache wird geleert, und alle Dateien werden erneut gescannt, wenn die Zugriffsscan-Konfiguration gendert wird, eine EXTRA.DAT-Datei hinzugefgt wird oder der Cache voll ist.

Scan-Vergleich: Schreiben auf einen Datentrger oder Lesen von einem Datentrger
Der Zugriffsscanner behandelt Scans unterschiedlich, je nachdem, ob der Benutzer einen Schreiboder einen Lesezugriff auf dem Datentrger ausfhrt. Beim Schreiben von Dateien auf den Datentrger werden vom Zugriffsscanner die folgenden Elemente gescannt: Eingehende Dateien, die auf die lokale Festplatte geschrieben werden. Dateien, die auf der lokalen Festplatte oder einem zugeordneten Netzwerklaufwerk erstellt werden (hierzu gehren neue Dateien, genderte Dateien und Dateien, die von einem Laufwerk auf ein anderes kopiert oder verschoben werden). HINWEIS: Zum Scannen zugeordneter Netzwerklaufwerke mssen Sie die Option Auf Netzlaufwerken auswhlen. Informationen hierzu finden Sie unter Aktivieren von Netzwerklaufwerken. Auf diese Scans kann nur auf dem Client zugegriffen werden, auf dem VirusScan Enterprise installiert ist. Der Zugriff auf das zugeordnete Netzwerklaufwerk durch andere Systeme wird nicht entdeckt. Beim Lesen von Dateien auf dem Datentrger werden vom Zugriffsscanner die folgenden Elemente gescannt:

58

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil II Entdeckung: Finden von Bedrohungen Scannen von Elementen bei Zugriff

Ausgehende Dateien, die von der lokalen Festplatte oder zugeordneten Netzwerklaufwerken gelesen werden. HINWEIS: Whlen Sie zum Scannen zugeordneter Netzwerklaufwerke die in den vorherigen Punkten beschriebene Option Auf Netzlaufwerken aus, um Remote-Netzwerkdateien einzubeziehen. Alle Dateien, die versuchen, einen Vorgang auf der lokalen Festplatte auszufhren. Alle Dateien, die auf der lokalen Festplatte geffnet werden. Alle Dateien, die auf der lokalen Festplatte umbenannt werden, wenn die Dateieigenschaften gendert wurden.

Scan-Vergleich: Scannen aller Dateien und Scannen von standardmigen und zustzlichen Dateitypen im Vergleich
Die Arbeitsweise des Zugriffsscanners ist abhngig davon, ob die Konfiguration das Scannen aller Dateien oder das Scannen von Standarddateitypen und zustzlichen Dateitypen vorsieht. Bei der Scan-Einstellung Alle Dateien werden alle Dateitypen auf alle mglichen Bedrohungen untersucht. Bei der Scan-Einstellung Standardmige und zustzliche Dateitypen wird vom Scanner, ausgehend von den von Ihnen ausgewhlten Dateitypen, eine Liste von angegebenen Dateien untersucht. Standardmige Dateitypen: Der Zugriffsscanner untersucht nur den angegebenen Dateityp nach speziell fr diesen Dateityp geltenden Bedrohungen. Zustzliche Dateitypen: Der Zugriffsscanner untersucht die Dateien mit bereinstimmenden Erweiterungen nach allen mglichen Bedrohungen. Angegebene Dateitypen: Der Zugriffsscanner untersucht die benutzerdefinierte Liste der Dateierweiterungen nach allen mglichen Bedrohungen.

Skript-Scan und seine Funktionsweise


Der Skript-Scanner wird als Proxykomponente der tatschlichen Windows Scripting Host-Komponente ausgefhrt. Dieser Scanner hrt Skripts ab und scannt sie anschlieend vor der Ausfhrung. Der Skript-Scanner berprft beispielsweise Folgendes: Wenn das Skript sauber ist, wird es an die Scripting Host-Komponente weitergegeben. Wenn das Skript eine potenzielle Bedrohung enthlt, wird es nicht ausgefhrt. Vertrauenswrdige Vorgnge und auch Websites, die Skripts verwenden, knnen von der berprfung ausgeschlossen werden. HINWEIS: Auf Windows Server 2008-Systemen knnen ScriptScan-URL-Ausschlsse in Windows Internet Explorer nur verwendet werden, wenn Sie das Kontrollkstchen Browsererweiterungen von Drittanbietern aktivieren aktivieren und Windows Server 2008 neu starten. Detaillierte Informationen finden Sie unter https://kc.mcafee.com/corporate/index?page=content&id=KB69526.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

59

Teil II Entdeckung: Finden von Bedrohungen Scannen von Elementen bei Zugriff

Funktionsweise von Artemis


Bei der Artemis-Funktion wird eine Heuristik zum Prfen auf verdchtige Dateien verwendet. Sie bietet Benutzern Windows-basierte McAfee-Antivirus-Produkte mit aktuellen Entdeckungen fr bestimmte Malware in Echtzeit. Artemis bietet keinen Schutz vor vollstndigen Klassen von Malware, sondern nur fr verdchtige Beispiele. Der Vorteil des Schutzes vor konkreten Bedrohungen liegt in der Fhigkeit, Benutzer mit McAfee-Sicherheit praktisch zum gleichen Zeitpunkt zu schtzen, zu demMcAfee Labs festgestellt hat, dass ein Beispielvirus schdlich ist. Sie knnen die vom Administrator konfigurierten und von Artemis verwendeten Empfindlichkeitsstufen fr die Suche nach verdchtigen Programmen und DLLs konfigurieren, die auf durch VirusScan Enterprise geschtzten Client-Systemen ausgefhrt werden. Wenn Artemis ein verdchtiges Programm entdeckt, wird eine DNS-Anfrage mit dem Fingerabdruck der verdchtigen Datei an einen von McAfee Labs gehosteten zentralen Datenbankserver gesendet. HINWEIS: In dieser Version ist die Artemis-Funktion standardmig aktiviert, und die Empfindlichkeitsstufe ist sehr niedrig eingestellt.

60

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil II Entdeckung: Finden von Bedrohungen Scannen von Elementen bei Zugriff

Bestimmen der Anzahl von Scan-Richtlinien


Mit folgendem Verfahren prfen Sie, ob Sie mehr als eine Zugriffsscan-Richtlinie konfigurieren sollten.

Konfigurieren allgemeiner und von Prozesseinstellungen


Die allgemeinen und Prozessrichtlinien fr Zugriffsscans werden separat konfiguriert. Allgemeine Einstellungen: Enthalten Optionen, die fr alle Vorgnge gelten. Prozesseinstellungen: Ermglicht das Konfigurieren einer Scan-Richtlinie fr alle Vorgnge oder das Konfigurieren unterschiedlicher Richtlinien fr Vorgnge, die Sie als Standardvorgnge, Vorgnge mit geringem Risiko und Vorgnge mit hohem Risiko einstufen.

Konfigurieren der allgemeinen Einstellungen


Allgemeine Einstellungen werden beim Scannen aller Vorgnge angewendet und enthalten Parameter wie Angaben zur maximalen Scan-Zeit, dem Scannen von Skripts, dem Blockieren

McAfee VirusScan Enterprise 8.8-Produkthandbuch

61

Teil II Entdeckung: Finden von Bedrohungen Scannen von Elementen bei Zugriff

von unerwnschten Zugriffen von einem Remote-Computer, dem Senden von Nachrichten bei Entdeckung von Bedrohungen und dem Melden von Entdeckungen. Konfigurieren Sie die allgemeinen Einstellungen fr Scans bei Zugriff mithilfe der folgenden Benutzeroberflchenkonsolen.

ePolicy Orchestrator 4.5 oder 4.6


Konfigurieren Sie die allgemeinen Einstellungen, die beim Scannen aller Vorgnge angewendet werden, mithilfe dieser Benutzeroberflchenkonsole. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 Klicken Sie auf Men | Richtlinie | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt. Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie. Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus. b Klicken Sie in der Spalte Aktionen auf Einstellungen bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. Erstellen einer neuen Richtlinie a Klicken Sie auf Aktionen | Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Kategorie eine vorhandene Richtlinie aus. c Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus. d Geben Sie einen neuen Richtliniennamen ein. e Geben Sie bei Bedarf Hinweise ein. f Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt.

g Klicken Sie in der Spalte Aktionen der neuen Richtlinie auf Einstellungen bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. 3 4 Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus. Klicken Sie auf der Seite Allgemeine Richtlinien bei Zugriff auf die Registerkarte Allgemein, um die allgemeine Richtlinie zu konfigurieren, die auf alle Zugriffsscans angewendet wird. Dazu gehren beispielweise Informationen darber, welche Elemente bei Zugriff gescannt werden sollen, wann der Scan erfolgen soll, ob Cookies gescannt werden sollen sowie die maximale Scan-Zeit. Sie knnen das Scannen aller aktuell auf dem System ausgefhrten Vorgnge konfigurieren, wenn das Scannen bei Zugriff aktiviert ist. Dadurch wird die Systemsicherheit erhht, aber dies kann Auswirkungen auf die Systemleistung beim Boot-Vorgang haben. Wenn Sie die Funktion fr aktivierte Scan-Vorgnge konfigurieren mchten, klicken Sie in der Gruppe Scannen auf Aktivierte Prozesse, um alle aktuelle auf dem System ausgefhrten Vorgnge zu scannen, wenn das Scannen bei Zugriff aktiviert ist. HINWEIS: Das Aktivieren dieser Funktion wirkt sich auf die Zeit aus, die das System fr den Boot-Vorgang bentigt.

62

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil II Entdeckung: Finden von Bedrohungen Scannen von Elementen bei Zugriff

5 6

Aktivieren Sie auf der Registerkarte ScriptScan die Funktion ScriptScan, und konfigurieren Sie alle Vorgnge oder URLs, die vom Scan-Vorgang ausgeschlossen werden sollen. Konfigurieren Sie auf der Registerkarte Blockieren das Blockieren der Verbindungen von Remote-Computern, die Dateien mit potenziellen Bedrohungen oder unerwnschten Programmen schreiben. HINWEIS: Wenn ein Remote-System Malware auf ein System mit VirusScan Enterprise schreibt, wird die Verbindung mit diesem Remote-System standardmig von VirusScan Enterprise blockiert. Sie knnen auch eine Nachricht konfigurieren, die an das System gesendet wird, von dem die Malware geschrieben wurde. HINWEIS: Zum Senden dieser Nachricht ist der Windows Messenger-Dienst erforderlich.

Konfigurieren Sie auf der Registerkarte Nachrichten die Nachrichten zum Benachrichtigen lokaler Benutzer, wenn eine Entdeckung stattfindet, oder geben Sie an, welche Manahmen vom Benutzer gegen die Bedrohung ergriffen werden knnen. Aktivieren Sie auf der Registerkarte Berichte die Scan-Aktivittsprotokolldateien, und geben Sie ihren Speicherort, die Gre, das Format und zustzliche Scan-Protokolle an, die Ihnen beim Diagnostizieren dieser Bedrohung helfen knnen. HINWEIS: Diese Protokolldateien sind beim Diagnostizieren von Sicherheitsbedrohungen sehr hilfreich, und mit ihnen knnen die gegen diese Bedrohungen zu ergreifenden Manahmen ermittelt werden.

ePolicy Orchestrator 4.0


Konfigurieren Sie die allgemeinen Einstellungen, die beim Scannen aller Vorgnge angewendet werden, mithilfe dieser Benutzeroberflchenkonsole. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 Klicken Sie auf Systeme | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt. Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie. Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus. b Klicken Sie in der Spalte Aktionen auf Bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. Erstellen einer neuen Richtlinie a Klicken Sie auf Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus. c Geben Sie einen neuen Richtliniennamen ein. d Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt. 3 Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

63

Teil II Entdeckung: Finden von Bedrohungen Scannen von Elementen bei Zugriff

Klicken Sie auf der Seite Allgemeine Richtlinien bei Zugriff auf die Registerkarte Allgemein, um die allgemeine Richtlinie zu konfigurieren, die auf alle Zugriffsscans angewendet wird. Dazu gehren beispielweise Informationen darber, welche Elemente bei Zugriff gescannt werden sollen, wann der Scan erfolgen soll, ob Cookies gescannt werden sollen sowie die maximale Scan-Zeit. Sie knnen das Scannen aller aktuell auf dem System ausgefhrten Vorgnge konfigurieren, wenn das Scannen bei Zugriff aktiviert ist. Dadurch wird die Systemsicherheit erhht, aber dies kann Auswirkungen auf die Systemleistung beim Boot-Vorgang haben. Wenn Sie die Funktion fr aktivierte Scan-Vorgnge konfigurieren mchten, klicken Sie in der Gruppe Scannen auf Aktivierte Prozesse, um alle aktuelle auf dem System ausgefhrten Vorgnge zu scannen, wenn das Scannen bei Zugriff aktiviert ist. HINWEIS: Das Aktivieren dieser Funktion wirkt sich auf die Zeit aus, die das System fr den Boot-Vorgang bentigt.

5 6

Aktivieren Sie auf der Registerkarte ScriptScan die Funktion ScriptScan, und konfigurieren Sie alle Vorgnge oder URLs, die vom Scan-Vorgang ausgeschlossen werden sollen. Konfigurieren Sie auf der Registerkarte Blockieren das Blockieren der Verbindungen von Remote-Computern, die Dateien mit potenziellen Bedrohungen oder unerwnschten Programmen schreiben. HINWEIS: Wenn ein Remote-System Malware auf ein System mit VirusScan Enterprise schreibt, wird die Verbindung mit diesem Remote-System standardmig von VirusScan Enterprise blockiert. Sie knnen auch eine Nachricht konfigurieren, die an das System gesendet wird, von dem die Malware geschrieben wurde. HINWEIS: Zum Senden dieser Nachricht ist der Windows Messenger-Dienst erforderlich.

Konfigurieren Sie auf der Registerkarte Nachrichten die Nachrichten zum Benachrichtigen lokaler Benutzer, wenn eine Entdeckung stattfindet, oder geben Sie an, welche Manahmen vom Benutzer gegen die Bedrohung ergriffen werden knnen. Aktivieren Sie auf der Registerkarte Berichte die Scan-Aktivittsprotokolldateien, und geben Sie ihren Speicherort, die Gre, das Format und zustzliche Scan-Protokolle an, die Ihnen beim Diagnostizieren dieser Bedrohung helfen knnen. HINWEIS: Diese Protokolldateien sind beim Diagnostizieren von Sicherheitsbedrohungen sehr hilfreich, und mit ihnen knnen die gegen diese Bedrohungen zu ergreifenden Manahmen ermittelt werden.

VirusScan-Konsole
Konfigurieren Sie die allgemeinen Einstellungen, die beim Scannen aller Vorgnge angewendet werden, mithilfe dieser Benutzeroberflchenkonsole. Task Optionsbeschreibungen erhalten Sie durch Klicken auf die Option Hilfe der Benutzeroberflche. 1 2 Klicken Sie in der Liste Task mit der rechten Maustaste auf Zugriffsscanner, und klicken Sie dann auf Eigenschaften, um das Dialogfeld zu ffnen. Klicken Sie auf der Seite Allgemeine Richtlinien bei Zugriff auf die Registerkarte Allgemein, um die allgemeine Richtlinie zu konfigurieren, die auf alle Zugriffsscans angewendet wird. Dazu gehren beispielweise Informationen darber, welche Elemente

64

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil II Entdeckung: Finden von Bedrohungen Scannen von Elementen bei Zugriff

bei Zugriff gescannt werden sollen, wann der Scan erfolgen soll, ob Cookies gescannt werden sollen sowie die maximale Scan-Zeit. Sie knnen das Scannen aller aktuell auf dem System ausgefhrten Vorgnge konfigurieren, wenn das Scannen bei Zugriff aktiviert ist. Dadurch wird die Systemsicherheit erhht, aber dies kann Auswirkungen auf die Systemleistung beim Boot-Vorgang haben. Wenn Sie die Funktion fr aktivierte Scan-Vorgnge konfigurieren mchten, klicken Sie in der Gruppe Scannen auf Aktivierte Prozesse, um alle aktuelle auf dem System ausgefhrten Vorgnge zu scannen, wenn das Scannen bei Zugriff aktiviert ist. HINWEIS: Das Aktivieren dieser Funktion wirkt sich auf die Zeit aus, die das System fr den Boot-Vorgang bentigt. 3 4 Aktivieren Sie auf der Registerkarte ScriptScan die Funktion ScriptScan, und konfigurieren Sie alle Skripts, die vom Scan-Vorgang ausgeschlossen werden sollen. Konfigurieren Sie auf der Registerkarte Blockieren das Blockieren der Verbindungen von Remote-Computern, die Dateien mit potenziellen Bedrohungen oder unerwnschten Programmen schreiben. HINWEIS: Wenn ein Remote-System Malware auf ein System mit VirusScan Enterprise schreibt, wird die Verbindung mit diesem Remote-System standardmig von VirusScan Enterprise blockiert. Sie knnen auch eine Nachricht konfigurieren, die an das System gesendet wird, von dem die Malware geschrieben wurde. HINWEIS: Zum Senden dieser Nachricht ist der Windows Messenger-Dienst erforderlich. 5 Konfigurieren Sie auf der Registerkarte Nachrichten die Nachrichten zum Benachrichtigen lokaler Benutzer, wenn eine Entdeckung stattfindet, oder geben Sie an, welche Manahmen vom Benutzer gegen die Bedrohung ergriffen werden knnen. Aktivieren Sie auf der Registerkarte Berichte die Scan-Aktivittsprotokolldateien, und geben Sie ihren Speicherort, die Gre, das Format und zustzliche Scan-Protokolle an, die Ihnen beim Diagnostizieren dieser Bedrohung helfen knnen. HINWEIS: Diese Protokolldateien sind beim Diagnostizieren von Sicherheitsbedrohungen sehr hilfreich, und mit ihnen knnen die gegen diese Bedrohungen zu ergreifenden Manahmen ermittelt werden.

Konfigurieren der Prozesseinstellungen


Scan-Prozesse "Bei Zugriff" werden basierend auf dem Risiko konfiguriert, das Sie jedem Vorgang zuweisen. Sie knnen eine Standard-Scan-Richtlinie fr alle Vorgnge konfigurieren oder unterschiedliche Richtlinien basierend auf dem Risiko konfigurieren, das jedem Vorgang zugewiesen wird. Zu den Parametern gehren unter anderem das dem Vorgang von Ihnen zugewiesene Risiko, die Festlegung der zu scannenden Elemente, die Ausfhrung von Artemis-Scans oder Scans komprimierter Dateien, die Festlegung von Aktionen bei Entdeckung von Bedrohungen und das Scannen auf potenziell unerwnschte Programme. Konfigurieren Sie die Prozesseinstellungen fr Scans bei Zugriff mithilfe der folgenden Benutzeroberflchenkonsolen.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

65

Teil II Entdeckung: Finden von Bedrohungen Scannen von Elementen bei Zugriff

ePolicy Orchestrator 4.5 oder 4.6


Konfigurieren Sie die Richtlinien bei Zugriff fr Standardvorgnge mithilfe dieser Benutzeroberflchenkonsolen. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 Klicken Sie auf Men | Richtlinie | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt. Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie. Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus. b Klicken Sie in der Spalte Aktionen auf Einstellungen bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. Erstellen einer neuen Richtlinie a Klicken Sie auf Aktionen | Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Kategorie eine vorhandene Richtlinie aus. c Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus. d Geben Sie einen neuen Richtliniennamen ein. e Geben Sie bei Bedarf Hinweise ein. f Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt.

g Klicken Sie in der Spalte Aktionen der neuen Richtlinie auf Einstellungen bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. 3 4 Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus. Klicken Sie auf der Registerkarte Vorgnge auf Unterschiedliche Scan-Richtlinien fr Standardvorgnge und Vorgnge mit geringem oder hohem Risiko festlegen, um die Standardvorgnge bei Zugriff, Vorgnge mit geringem Risiko oder die Vorgnge mit hohem Risiko anzuzeigen. Konfigurieren Sie auf der Seite mit den Richtlinien bei Zugriff fr Standardvorgnge bei Zugriff, Richtlinien fr Vorgnge mit geringem Risiko oder Vorgnge mit hohem Risiko die Optionen auf den einzelnen Registerkarten. Informationen hierzu finden Sie unter Registerkartenoptionen fr Prozesseinstellungen.

ePolicy Orchestrator 4.0


Konfigurieren Sie die Richtlinien bei Zugriff fr Standardvorgnge mithilfe dieser Benutzeroberflchenkonsolen. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 Klicken Sie auf Systeme | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt.

66

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil II Entdeckung: Finden von Bedrohungen Scannen von Elementen bei Zugriff

Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie. Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus. b Klicken Sie in der Spalte Aktionen auf Bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. Erstellen einer neuen Richtlinie a Klicken Sie auf Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus. c Geben Sie einen neuen Richtliniennamen ein. d Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt.

3 4

Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus. Klicken Sie auf der Registerkarte Vorgnge auf Unterschiedliche Scan-Richtlinien fr Standardvorgnge und Vorgnge mit geringem oder hohem Risiko festlegen, um die Standardvorgnge bei Zugriff, Vorgnge mit geringem Risiko oder die Vorgnge mit hohem Risiko anzuzeigen. Konfigurieren Sie auf der Seite mit den Richtlinien bei Zugriff fr Standardvorgnge bei Zugriff, Richtlinien fr Vorgnge mit geringem Risiko oder Vorgnge mit hohem Risiko die Optionen auf den einzelnen Registerkarten. Informationen hierzu finden Sie unter Registerkartenoptionen fr Prozesseinstellungen.

VirusScan-Konsole
Konfigurieren Sie die Zugriffsscan-Eigenschaften mithilfe dieser Benutzeroberflchenkonsolen. Task Optionsbeschreibungen erhalten Sie durch Klicken auf die Option Hilfe der Benutzeroberflche. 1 2 3 Klicken Sie in der Liste Task mit der rechten Maustaste auf Zugriffsscanner, und klicken Sie dann auf Eigenschaften, um das Dialogfeld zu ffnen. Klicken Sie im linken Bereich auf Alle Vorgnge. Klicken Sie auf der Registerkarte Vorgnge auf Unterschiedliche Scan-Richtlinien fr Standardvorgnge und Vorgnge mit geringem oder hohem Risiko festlegen, um die Standardvorgnge bei Zugriff, Vorgnge mit geringem Risiko oder die Vorgnge mit hohem Risiko anzuzeigen. Konfigurieren Sie auf der Seite mit den Richtlinien bei Zugriff fr Standardvorgnge bei Zugriff, Richtlinien fr Vorgnge mit geringem Risiko oder Vorgnge mit hohem Risiko die Optionen auf den einzelnen Registerkarten. Informationen hierzu finden Sie unter Registerkartenoptionen fr Prozesseinstellungen.

Registerkartenoptionen fr Prozesseinstellungen
In der folgenden Tabelle sind die Registerkartenoptionen fr den Zugriffsscanner beschrieben.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

67

Teil II Entdeckung: Finden von Bedrohungen Scannen von Elementen bei Zugriff

Registerkarte Vorgnge

Definitionen Richtlinien bei Zugriff fr Standardvorgnge: Konfigurieren Sie eine Scan-Richtlinie fr alle Vorgnge oder unterschiedliche Scan-Richtlinien fr Standardvorgnge, Vorgnge mit geringem Risiko und Vorgnge mit hohem Risiko. HINWEIS: Wenn Sie sich dafr entscheiden, eine Scan-Richtlinie fr alle Vorgnge zu konfigurieren, gilt diese Richtlinie fr alle Vorgnge. Wenn Sie sich dafr entscheiden, unterschiedliche Scan-Richtlinien fr geringes und hohes Risiko zu konfigurieren, wird diese Richtlinie nur auf die Vorgnge angewendet, die nicht als geringes oder hohes Risiko definiert wurden. Richtlinien bei Zugriff fr Vorgnge mit geringem Risiko: Geben Sie die Vorgnge an, die Sie als Vorgnge mit niedrigem Risiko einstufen. Richtlinien bei Zugriff fr Vorgnge mit hohem Risiko: Geben Sie die Vorgnge an, die Sie als Vorgnge mit hohem Risiko einstufen.

HINWEIS: Die Option Unterschiedliche Scan-Richtlinien fr Standardvorgnge und Vorgnge mit geringem oder hohem Risiko festlegen muss auf der Registerkarte Richtlinien bei Zugriff fr Standardvorgnge ausgewhlt werden, bevor Sie einzelne Richtlinien fr Vorgnge mit niedrigem oder hohem Risiko konfigurieren knnen. Scan-Elemente Konfigurieren Sie, ob Dateien bei Lese- oder Schreibvorgngen, auf Netzwerklaufwerken und geffnet fr Sicherungsvorgnge gescannt werden sollen. VORSICHT: Wenn beim Aktivieren der Scans Beim Schreiben auf den Datentrger und Beim Lesen vom Datentrger ein Fehler auftritt, ist das System vor zahlreichen Malware-Angriffen nicht geschtzt. Konfigurieren Sie die Dateien und Dateitypen, die gescannt werden sollen. VORSICHT: Wenn beim Aktivieren von Alle Dateien ein Fehler auftritt, ist das System vor zahlreichen Malware-Angriffen nicht geschtzt. Scannen Sie nach potenziellen Bedrohungen, die unerwnschten Programmen, Trojanern und Makroviren hneln. Scannen Sie Inhalte von Archiven, und lassen Sie MIME-codierte Dateien decodieren. Aktivieren Sie das Scannen bei Zugriff, um nach unerwnschten Programmen zu suchen.

Ausschlsse

Konfigurieren Sie, welche Laufwerke, Dateien und Ordner vom Scannen ausgeschlossen werden sollen. Fr die Entdeckung von Bedrohungen: Primre Aktion, die bei Entdeckung einer Bedrohung ausgefhrt werden soll. Sekundre Aktion, die bei Entdeckung einer Bedrohung ausgefhrt werden soll, falls die primre Aktion fehlschlgt.

Aktionen

Fr die Entdeckung unerwnschter Programme: Primre Aktion, die bei Entdeckung eines unerwnschten Programms ausgefhrt werden soll. Sekundre Aktion, die bei Entdeckung eines unerwnschten Programms ausgefhrt werden soll, falls die primre Aktion fehlschlgt.

Aktivieren von Netzwerklaufwerken


Zum Scannen zugeordneter Netzwerklaufwerke mssen Sie die Option Auf Netzlaufwerken auswhlen. Konfigurieren Sie Zugriffsscans auf Netzwerklaufwerken in den Richtlinien bei Zugriff fr Standardvorgnge mithilfe einer der folgenden Benutzeroberflchenkonsolen.

68

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil II Entdeckung: Finden von Bedrohungen Scannen von Elementen bei Zugriff

ePolicy Orchestrator 4.5 oder 4.6


Aktivieren Sie Netzwerklaufwerke in den Richtlinien bei Zugriff fr Standardvorgnge mithilfe dieser Benutzeroberflchenkonsole. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 Klicken Sie auf Men | Richtlinie | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt. Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie. Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus. b Klicken Sie in der Spalte Aktionen auf Einstellungen bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. Erstellen einer neuen Richtlinie a Klicken Sie auf Aktionen | Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Kategorie eine vorhandene Richtlinie aus. c Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus. d Geben Sie einen neuen Richtliniennamen ein. e Geben Sie bei Bedarf Hinweise ein. f Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt.

g Klicken Sie in der Spalte Aktionen der neuen Richtlinie auf Einstellungen bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. 3 4 5 Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus. Klicken Sie auf der Seite Richtlinien bei Zugriff fr Standardvorgnge auf die Registerkarte Scan-Elemente und auf Auf Netzlaufwerken neben Dateien scannen. Klicken Sie auf Speichern.

ePolicy Orchestrator 4.0


Aktivieren Sie Netzwerklaufwerke mithilfe dieser Benutzeroberflchenkonsole. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 Klicken Sie auf Systeme | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt. Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie. Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus. b Klicken Sie in der Spalte Aktionen auf Bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

69

Teil II Entdeckung: Finden von Bedrohungen On-Demand-Scan von Elementen

Erstellen einer neuen Richtlinie a Klicken Sie auf Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus. c Geben Sie einen neuen Richtliniennamen ein. d Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt. 3 4 5 Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus. Klicken Sie auf der Seite Richtlinien bei Zugriff fr Standardvorgnge auf die Registerkarte Scan-Elemente und auf Auf Netzlaufwerken neben Dateien scannen. Klicken Sie auf Speichern.

VirusScan-Konsole
Aktivieren Sie Netzwerklaufwerke mithilfe dieser Benutzeroberflchenkonsole. Task Optionsbeschreibungen erhalten Sie durch Klicken auf die Option Hilfe der Benutzeroberflche. 1 Klicken Sie in der Liste Task mit der rechten Maustaste auf Zugriffsscanner, und klicken Sie dann auf Eigenschaften, um das Dialogfeld Eigenschaften fr Zugriffsscanner zu ffnen. Klicken Sie auf die Registerkarte Scan-Elemente und auf Auf Netzlaufwerken neben Dateien scannen. Klicken Sie auf Speichern.

2 3

On-Demand-Scan von Elementen


Der On-Demand-Scanner untersucht alle Speicherorte des Computers auf potenzielle Bedrohungen zu gnstigen Zeiten oder in regelmigen Abstnden. Verwenden Sie On-Demand-Scans, um den kontinuierlichen Schutz durch den Zugriffsscanner zu ergnzen oder zum Planen von Scans in regelmigen Abstnden zu einem Zeitpunkt, an dem die Geschftsttigkeit ruht. Inhalt On-Demand-Scan und seine Funktionsweise On-Demand-Scan-Methoden und ihre Festlegung So funktioniert das Scannen des Remote-Speichers So funktioniert das Verschieben von Scans Wie funktioniert die Systemauslastung? Konfigurieren von On-Demand-Scan-Tasks Konfigurieren des globalen System-Caches

70

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil II Entdeckung: Finden von Bedrohungen On-Demand-Scan von Elementen

On-Demand-Scan und seine Funktionsweise


Der On-Demand-Scanner durchsucht unter anderem die Dateien, Ordner, den Speicher und die Registrierung des Systems auf Malware, durch die das System infiziert sein knnte. Sie legen fest, wann und wie On-Demand-Scans ausgefhrt werden. Sie knnen Ihr System manuell, zu einer geplanten Zeit oder beispielsweise beim Systemstart scannen. Wenn versucht wird, eine Datei zu ffnen, zu schlieen oder umzubenennen, hrt der Scanner den Vorgang ab und fhrt die folgenden Aktionen aus. 1 Der Scanner bestimmt, ob die Datei, der Ordner oder der Datentrger aufgrund der folgenden Kriterien gescannt werden soll: Die Dateierweiterung entspricht der Konfiguration. Die Datei wurde nicht im Cache gespeichert. Die Datei wurde nicht ausgeschlossen. Die Datei wurde nicht zuvor bereits gescannt. HINWEIS: Wenn Sie Artemis konfigurieren, wird vom On-Demand-Scanner eine Heuristik zum Prfen auf verdchtige Dateien verwendet. Detaillierte Informationen hierzu finden Sie unter Funktionsweise von Artemis. 2 Wenn die Datei, der Ordner oder der Datentrger die Scan-Kriterien erfllt, wird sie bzw. er gescannt, indem die Informationen in der Datei, in dem Ordner oder auf dem Datentrger mit den bekannten Virensignaturen in den aktuell geladenen DAT-Dateien verglichen werden. Wenn die Datei, der Ordner oder der Datentrger makellos ist, wird das Ergebnis im Cache gespeichert und das nchste Element berprft. Wenn die Datei, der Ordner oder der Datentrger eine Bedrohung enthlt, wird die konfigurierte Aktion ausgefhrt. Beispiel: Wenn die Datei, der Ordner oder der Datentrger bereinigt werden muss, wird der entsprechende Vorgang durch die aktuell geladenen DAT-Dateien bestimmt. Die Ergebnisse werden in einem Aktivittsprotokoll aufgezeichnet, sofern der Scanner entsprechend konfiguriert wurde. Im Dialogfeld Fortschritt des Scannens auf Anforderung werden die Informationen zum Speicher-, Datei-, Ordner- und Datentrgernamen sowie zur auszufhrenden Aktion angezeigt. 3 Wenn der Speicher, die Datei, der Ordner oder der Datentrger nicht den Scan-Anforderungen entspricht, erfolgt kein Scan fr dieses Element, und der Scanner setzt den Vorgang fort, bis alle Daten gescannt sind.

On-Demand-Scan-Methoden und ihre Festlegung


Vom On-Demand-Scanner werden das Scannen von Prozessen im Arbeitsspeicher sowie das inkrementelle oder fortsetzbare Scannen verwendet. Scannen von Prozessen im Arbeitsspeicher Diese Methode berprft alle aktiven Prozesse, bevor der On-Demand-Scan-Task ausgefhrt wird. Ein entdeckter potenziell unerwnschter Prozess wird markiert, und der Prozess wird angehalten. Dies bedeutet, dass smtliche potenziell unerwnschten Programme whrend eines einzigen Durchlaufs des On-Demand-Scanners entfernt werden.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

71

Teil II Entdeckung: Finden von Bedrohungen On-Demand-Scan von Elementen

Inkrementelles oder fortsetzbares Scannen Bei dieser Methode knnen Sie die Hufigkeit der On-Demand-Scan-Aktivitt einschrnken und das gesamte System dennoch in mehreren Sitzungen scannen. Das inkrementelle Scannen kann festgelegt werden, indem Sie dem geplanten Scan eine Zeitbeschrnkung hinzufgen. Der Scan wird angehalten, sobald die Zeitbeschrnkung erreicht wurde. Beim nchsten Start wird der Task an der Stelle in der Datei oder der Ordnerstruktur fortgesetzt, an der der vorherige Scan angehalten wurde.

So funktioniert das Scannen des Remote-Speichers


Bei der Remote-Speicherung erfolgt die Datenspeicherung hierarchisch, wobei zwei Speicherebenen definiert sind. Die zwei Speicherebenen lauten folgendermaen: Obere Ebene, lokaler Speicher: Umfasst die NTFS-Datentrger des Computers, auf dem der Remote-Speicher von Windows 2000 Server ausgefhrt wird. Untere Ebene, Remote-Speicher: Befindet sich in der robotisierten Bandbibliothek oder dem eigenstndigen Bandlaufwerk, die bzw. das mit dem Server verbunden ist. Mithilfe der Remote-Speicher-Funktion werden die geeigneten Dateien von den lokalen Datentrgern automatisch in die Bandbibliothek kopiert. Anschlieend wird der verfgbare Speicherplatz auf den lokalen Datentrgern berwacht. Die Daten der Dateien werden lokal zwischengespeichert, damit ohne Zeitverlust auf sie zugegriffen werden kann. Bei Bedarf werden bei der Remote-Speicherung Daten aus dem Remote-Speicher in den lokalen Speicher verschoben. Wenn Sie auf eine Datei zugreifen, die sich auf einem von der Remote-Speicher-Funktion verwalteten Datentrger befindet, ffnen Sie sie wie gewohnt. Wenn die Daten der Datei jedoch nicht mehr im Cache auf dem lokalen Datentrger zwischengespeichert sind, ruft die Remote-Speicher-Funktion sie aus der Bandbibliothek auf.

So funktioniert das Verschieben von Scans


Zur Verbesserung der Leistung knnen Sie On-Demand-Scan-Tasks whrend Prsentationen im Vollbildmodus oder bei niedrigem Batteriestand verschieben. Sie knnen dem Benutzer auch erlauben, den geplanten Scan in Schritten von einer Stunde zu verschieben. Die Schritte betragen eine Stunde und 24 Stunden, oder der On-Demand-Scan kann fr immer verschoben werden. Jede Benutzerverschiebung dauert eine Stunde an. Wenn beispielsweise die Option Hchstens verschieben fr auf 2 festgelegt wurde, kann der Benutzer den Scan-Vorgang zweimal bzw. fr zwei Stunden verschieben. Wenn die angegebene maximale Anzahl von Stunden abgelaufen ist, wird der Scan fortgesetzt. Falls der Administrator unbegrenzte Verschiebungen zulsst, indem er die Option auf null (0) festgelegt, kann der Benutzer den Scan-Vorgang auf unbegrenzte Zeit verschieben.

Wie funktioniert die Systemauslastung?


Der On-Demand-Scanner verwendet die von Windows festgelegte Priorittseinstellung als Prioritt fr Scan-Vorgnge und Bedrohungen. Dadurch kann vom Betriebssystem die CPU-Zeit, die der On-Demand-Scanner empfngt, zu einem beliebigen Zeitpunkt im Scan-Vorgang festgelegt werden. Die Systemauslastungseinstellung in den On-Demand-Scan-Eigenschaften wird der von Windows festgelegten Prioritt zugeordnet. Wenn die Systemauslastung fr den Scan niedrig eingestellt wird, wird die Leistung fr andere ausgefhrte Anwendungen erhht. Die niedrige Einstellung eignet sich fr Systeme mit

72

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil II Entdeckung: Finden von Bedrohungen On-Demand-Scan von Elementen

ausgefhrter Endbenutzeraktivitt. Umgekehrt wird der Scan-Vorgang schneller abgeschlossen, wenn Sie die normale Systemauslastung einstellen. Die normale Einstellung eignet sich fr Systeme mit groen Volumes und sehr wenig Endbenutzeraktivitt. In der folgenden Tabelle sind die standardmigen Prozesseinstellungen fr VirusScan Enterprise und ePolicy Orchestrator dargestellt.
VirusScan Enterprise-Prozesseinstellung Niedrig Niedriger als normal: Die ePolicy Orchestrator-Standardeinstellung Normal: Die VirusScan Enterprise 8.8-Standardeinstellung Von Windows festgelegte Priorittseinstellung Niedrig Niedriger als normal Normal

Konfigurieren von On-Demand-Scan-Tasks


Die Konfiguration von On-Demand-Tasks ist von der verwendeten Benutzeroberflchenkonsole abhngig. Mit diesen Tasks wird der Vorgang fr die einzelnen Benutzeroberflchenkonsolen beschrieben. Tasks ePolicy Orchestrator 4.5 oder 4.6 ePolicy Orchestrator 4.0 VirusScan-Konsole Konfigurieren der Registerkarten fr On-Demand-Scan-Tasks

ePolicy Orchestrator 4.5 oder 4.6


Konfigurieren Sie die On-Demand-Scan-Tasks mithilfe dieser Benutzeroberflchenkonsole. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 2 Klicken Sie auf Men | System | Systemstruktur, und whlen Sie Client-Tasks aus. Fhren Sie auf der angezeigten Seite Client-Tasks folgende Aktionen aus: Klicken Sie zum Bearbeiten eines vorhandenen Tasks in der Spalte Aktionen des Tasks auf Einstellungen bearbeiten, um die Seite Beschreibung zu ffnen. Wenn Sie einen neuen On-Demand-Task erstellen mchten, klicken Sie auf Aktionen | Neuer Task, um die Seite Beschreibung zu ffnen. 3 Fhren Sie auf der Seite Beschreibung folgende Aktionen aus: berprfen Sie beim Bearbeiten eines vorhandenen On-Demand-Scan-Tasks die Beschreibungen, und klicken Sie auf Weiter. Konfigurieren Sie beim Erstellen eines neuen On-Demand-Scan-Tasks Folgendes, und klicken Sie auf Weiter: Name und Hinweise. Typ durch Auswhlen von On-Demand-Scan (VirusScan Enterprise 8.8) in der Liste. Tags, die bestimmen, welche Computer den On-Demand-Scan-Task empfangen.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

73

Teil II Entdeckung: Finden von Bedrohungen On-Demand-Scan von Elementen

Konfigurieren Sie auf der angezeigten Konfigurationsseite Generator fr Client-Tasks die einzelnen Registerkarten. Detaillierte Informationen finden Sie unter Konfigurieren der Registerkarten fr On-Demand-Scan-Tasks.

ePolicy Orchestrator 4.0


Konfigurieren Sie die On-Demand-Scan-Tasks mithilfe dieser Benutzeroberflchenkonsole. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 2 Klicken Sie auf Systeme | Systemstruktur | Client-Tasks. Fhren Sie auf der angezeigten Seite Client-Tasks folgende Aktionen aus: Klicken Sie zum Bearbeiten eines vorhandenen Tasks in der Spalte Aktionen des Tasks auf Einstellungen bearbeiten, um die Seite Bearbeiten zu ffnen. Wenn Sie einen neuen On-Demand-Task erstellen mchten, klicken Sie auf Aktionen | Neuer Task, um die Seite Beschreibung zu ffnen. 3 Fhren Sie eine der folgenden Aktionen aus: berprfen Sie beim Bearbeiten eines vorhandenen On-Demand-Scan-Tasks die Beschreibungen, und klicken Sie auf Weiter. Konfigurieren Sie beim Erstellen eines neuen On-Demand-Scan-Tasks Folgendes, und klicken Sie auf Weiter: Name und Hinweise. Typ durch Auswhlen von On-Demand-Scan (VirusScan Enterprise 8.8) in der Liste. Tags, die bestimmen, welche Computer den On-Demand-Scan-Task empfangen. 4 Konfigurieren Sie auf der angezeigten Konfigurationsseite Generator fr Client-Tasks die einzelnen Registerkarten. Detaillierte Informationen finden Sie unter Konfigurieren der Registerkarten fr On-Demand-Scan-Tasks.

VirusScan-Konsole
Konfigurieren Sie die On-Demand-Scan-Tasks mithilfe dieser Benutzeroberflchenkonsole. Task Optionsbeschreibungen erhalten Sie durch Klicken auf die Option Hilfe der Benutzeroberflche. 1 ffnen Sie die Seite Eigenschaften fr Scannen auf Anforderung fr einen vorhandenen oder einen neuen Task: Whlen Sie einen vorhandenen On-Demand-Scan-Task aus, klicken Sie mit der rechten Maustaste auf den Task, und whlen Sie Eigenschaften aus. Erstellen Sie einen neuen Task, whlen Sie Task | Neuer On-Demand-Scan-Task aus, klicken Sie mit der rechten Maustaste auf den neuen Task, und whlen Sie Eigenschaften aus. 2 Konfigurieren Sie die einzelnen Registerkarten im Dialogfeld Eigenschaften fr Scannen auf Anforderung. Detaillierte Informationen finden Sie im Abschnitt Konfigurieren der Registerkarten fr On-Demand-Scan-Tasks.

74

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil II Entdeckung: Finden von Bedrohungen On-Demand-Scan von Elementen

Konfigurieren der Registerkarten fr On-Demand-Scan-Tasks


VirusScan Enterprise enthlt einen standardmigen On-Demand-Scan-Task. Sie knnen diesen Standard-Task verwenden und neue Tasks erstellen. Konfigurieren Sie die Optionen der einzelnen Registerkarten. Optionsbeschreibungen erhalten Sie durch Klicken auf die Schaltflchen ? oder Hilfe der Registerkarten. Registerkartendefinitionen
Registerkarte Scan-Speicherorte Definitionen Legen Sie die zu scannenden Bereiche und Elemente fest. Beziehen Sie ausgefhrte Vorgnge mit ein. Beziehen Sie Unterordner beim Scannen mit ein. Beziehen Sie Boot-Sektoren beim Scannen mit ein. Beziehen Sie Registrierungsschlssel und -werte beim Scannen mit ein. Beziehen Sie Cookie-Dateien beim Scannen mit ein.

VORSICHT: Wenn beim Scannen von Speicher fr Rootkits und fr Laufende Prozesse ein Fehler auftritt, ist das System vor zahlreichen Malware-Angriffen nicht geschtzt. HINWEIS: Wenn das Dialogfeld Fortschritt des Scannens auf Anforderung angezeigt wird, werden die zu scannenden Speicherorte nach Scannen in als durch Komma getrennte Zeichenfolge angezeigt. Sobald die Scan-Vorgnge abgeschlossen sind, werden sie aus der Zeichenfolge entfernt. Scan-Elemente Konfigurieren Sie die Dateien und Dateitypen, die gescannt werden sollen. Aktivieren Sie den On-Demand-Scan, um nach unerwnschten Programmen zu suchen. Scannen Sie Inhalte von Archiven, und lassen Sie MIME-codierte Dateien decodieren. Scannen Sie Dateien, die in den Speicher migriert wurden. Scannen Sie nach potenziellen Bedrohungen, die unerwnschten Programmen, Trojanern und Makroviren hneln.

Ausschlsse

Konfigurieren Sie, welche Datentrger, Dateien und Ordner nach Name oder Speicherort, Dateityp oder Dateialter vom Scan-Vorgang ausgeschlossen werden sollen. Konfigurieren Sie Zeitpunkt und Dauer der Verschiebung von Scan-Vorgngen. Geben Sie die Systemauslastung in Prozent an. Konfigurieren Sie die Empfindlichkeit fr Artemis.

Leistung

Aktionen

Fr die Entdeckung von Bedrohungen: Primre Aktion, die bei Entdeckung einer Bedrohung ausgefhrt werden soll. Sekundre Aktion, die bei Entdeckung einer Bedrohung ausgefhrt werden soll, falls die primre Aktion fehlschlgt.

Fr die Entdeckung unerwnschter Programme: Primre Aktion, die bei Entdeckung eines unerwnschten Programms ausgefhrt werden soll. Sekundre Aktion, die bei Entdeckung eines unerwnschten Programms ausgefhrt werden soll, falls die primre Aktion fehlschlgt.

Whlen Sie unter "zulssige Aktionen" im Abfrage-Dialogfeld die gestattete Aktion aus. Berichte Aktivieren Sie die Aktivittsprotokollierung. Geben Sie den Protokolldateinamen und -speicherort an. Geben Sie die Grenbeschrnkung fr die Protokolldatei an.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

75

Teil II Entdeckung: Finden von Bedrohungen On-Demand-Scan von Elementen

Registerkarte

Definitionen Whlen Sie das Format der Protokolldatei aus. Geben Sie die Aktionen an, die zustzlich zu den Scan-Aktivitten protokolliert werden sollen. Geben Sie an, welche der folgenden Aktionen zustzlich zur Scan-Aktivitt protokolliert werden sollen: Aktivieren von Sitzungseinstellungen Aktivieren der Sitzungszusammenfassung Fehler beim Aktivieren des Scans verschlsselter Dateien

Aktivieren Sie Warnungen beim Entdecken von Cookies.

Task

Geben Sie an, wo der On-Demand-Scan-Task ausgefhrt wird. HINWEIS: Diese Registerkarte steht nur mit ePolicy Orchestrator zur Verfgung.

Konfigurieren des globalen System-Caches


Vom VirusScan Enterprise-Scan-Cache wird eine Liste der gescannten Dateien gespeichert, die makellos sind. Sie knnen die Leistung Ihres Systems verbessern, indem Sie die Scan-Cache-Informationen ber makellose Dateien whrend eines Systemneustarts speichern. Dadurch kann der On-Demand-Scanner diese Cache-Informationen ber makellose Dateien verwenden, um die Anzahl doppelter Datei-Scans zu reduzieren. Konfigurieren Sie die Scan-Cache-Funktionen in den Richtlinien fr allgemeine Optionen und auf der Registerkarte Globale Scan-Einstellungen mithilfe der folgenden Benutzeroberflchenkonsolen. Tasks ePolicy Orchestrator 4.5 oder 4.6 ePolicy Orchestrator 4.0 VirusScan-Konsole

ePolicy Orchestrator 4.5 oder 4.6


Konfigurieren Sie die Scan-Cache-Funktion in den Richtlinien fr allgemeine Optionen mithilfe dieser Benutzeroberflchenkonsole. Task Optionsbeschreibungen erhalten Sie, indem Sie auf das ? oder Hilfe-Symbol der Benutzeroberflche klicken. 1 Klicken Sie auf Men | Richtlinie | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt. Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie. Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus. b Klicken Sie in der Spalte Aktionen auf Bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. Erstellen einer neuen Richtlinie

76

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil II Entdeckung: Finden von Bedrohungen On-Demand-Scan von Elementen

a Klicken Sie auf Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus. c Geben Sie einen neuen Richtliniennamen ein. d Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt. 3 4 Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus. Klicken Sie in den Richtlinien fr allgemeine Optionen auf die Registerkarte Globale Scan-Einstellungen, um die Optionseinstellungen fr den VirusScan Enterprise-Scan-Cache zu konfigurieren. Konfigurieren Sie die folgenden globalen Einstellungen fr den Scan-Cache: Klicken Sie auf Speichern von Scan-Daten auch nach Neustarts aktivieren: Dadurch werden die makellosen Scan-Ergebnisse beim Neustart des Systems gespeichert. Klicken Sie auf On-Demand-Scans zur Nutzung des Scan-Caches zulassen: Dadurch wird dem On-Demand-Scanner die Verwendung der vorhandenen makellosen Scan-Ergebnisse ermglicht, um doppelte Scan-Vorgnge zu vermeiden. 6 Klicken Sie auf Speichern.

ePolicy Orchestrator 4.0


Konfigurieren Sie die Scan-Cache-Funktion in den Richtlinien fr allgemeine Optionen mithilfe dieser Benutzeroberflchenkonsole. Task Optionsbeschreibungen erhalten Sie, indem Sie auf das ? oder Hilfe-Symbol der Benutzeroberflche klicken. 1 Klicken Sie auf Systeme | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt. Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie. Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus. b Klicken Sie in der Spalte Aktionen auf Bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. Erstellen einer neuen Richtlinie a Klicken Sie auf Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus. c Geben Sie einen neuen Richtliniennamen ein. d Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt. 3 4 Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus. Klicken Sie in den Richtlinien fr allgemeine Optionen auf die Registerkarte Globale Scan-Einstellungen, um die Optionseinstellungen fr den VirusScan Enterprise-Scan-Cache zu konfigurieren.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

77

Teil II Entdeckung: Finden von Bedrohungen Scannen von E-Mails bei Empfang und On-Demand

Konfigurieren Sie die folgenden globalen Einstellungen fr den Scan-Cache: Klicken Sie auf Speichern von Scan-Daten auch nach Neustarts aktivieren: Dadurch werden die makellosen Scan-Ergebnisse beim Neustart des Systems gespeichert. Klicken Sie auf On-Demand-Scans zur Nutzung des Scan-Caches zulassen: Dadurch wird dem On-Demand-Scanner die Verwendung der vorhandenen makellosen Scan-Ergebnisse ermglicht, um doppelte Scan-Vorgnge zu vermeiden.

Klicken Sie auf Speichern.

VirusScan-Konsole
Konfigurieren Sie die Scan-Cache-Funktion mithilfe dieser Benutzeroberflchenkonsole. Task Optionsbeschreibungen erhalten Sie durch Klicken auf die Option Hilfe der Benutzeroberflche. 1 2 Klicken Sie auf Extras | Allgemeine Optionen und auf die Registerkarte Globale Scan-Einstellungen, um das Dialogfeld Globale Scan-Einstellungen anzuzeigen. Konfigurieren Sie die folgenden globalen Einstellungen fr den Scan-Cache: Klicken Sie auf Speichern von Scan-Daten auch nach Neustarts aktivieren: Dadurch werden die makellosen Scan-Ergebnisse beim Neustart des Systems gespeichert. Klicken Sie auf On-Demand-Scans zur Nutzung des Scan-Caches zulassen: Dadurch wird dem On-Demand-Scanner die Verwendung der vorhandenen makellosen Scan-Ergebnisse ermglicht, um doppelte Scan-Vorgnge zu vermeiden. 3 Klicken Sie auf OK.

Scannen von E-Mails bei Empfang und On-Demand


Der E-Mail-Scanner berprft automatisch E-Mail-Nachrichten und Anlagen. E-Mails werden folgendermaen gescannt: Microsoft Outlook: E-Mails werden beim Empfang gescannt, Sie knnen aber auch direkt in Microsoft Outlook On-Demand-Scans fr E-Mails ausfhren. HINWEIS: Wenn Sie die Funktionen Heuristik und Artemis konfigurieren, wird beim Scan bei Eingang und beim On-Demand-Scan eine Heuristik verwendet, um nach verdchtigen Dateien zu suchen. Detaillierte Informationen hierzu finden Sie unter Funktionsweise von Artemis. Lotus Notes: Ermglicht die Konfiguration folgender Eigenschaften: Beim Zugreifen werden E-Mails gescannt. Beim Aufrufen wird direkt in Lotus Notes ein On-Demand-Scan fr E-Mails ausgefhrt. Welche Notes-Datenbanken ausgeschlossen werden sollen. Konfigurieren Sie die Richtlinien fr das E-Mail-Scannen bei Empfang mithilfe der folgenden Benutzeroberflchenkonsolen. Tasks ePolicy Orchestrator 4.5 oder 4.6 ePolicy Orchestrator 4.0

78

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil II Entdeckung: Finden von Bedrohungen Scannen von E-Mails bei Empfang und On-Demand

VirusScan-Konsole Registerkartendefinitionen der Richtlinien fr das E-Mail-Scannen bei Empfang

ePolicy Orchestrator 4.5 oder 4.6


Konfigurieren Sie die Richtlinien fr das E-Mail-Scannen bei Empfang mithilfe dieser Benutzeroberflchenkonsole. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 Klicken Sie auf Men | Richtlinie | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt. Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie. Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus. b Klicken Sie in der Spalte Aktionen auf Einstellungen bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. Erstellen einer neuen Richtlinie a Klicken Sie auf Aktionen | Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Kategorie eine vorhandene Richtlinie aus. c Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus. d Geben Sie einen neuen Richtliniennamen ein. e Geben Sie bei Bedarf Hinweise ein. f Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt.

g Klicken Sie in der Spalte Aktionen der neuen Richtlinie auf Einstellungen bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. 3 4 Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus. Konfigurieren Sie auf der Konfigurationsseite Richtlinien fr das E-Mail-Scannen bei Empfang die Optionen auf den einzelnen Registerkarten. Informationen hierzu finden Sie unter Registerkartendefinitionen der Richtlinien fr das E-Mail-Scannen bei Empfang.

ePolicy Orchestrator 4.0


Konfigurieren Sie die Richtlinien fr das E-Mail-Scannen bei Empfang mithilfe dieser Benutzeroberflchenkonsole. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 Klicken Sie auf Systeme | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt. Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

79

Teil II Entdeckung: Finden von Bedrohungen Scannen von E-Mails bei Empfang und On-Demand

Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus. b Klicken Sie in der Spalte Aktionen auf Bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. Erstellen einer neuen Richtlinie a Klicken Sie auf Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus. c Geben Sie einen neuen Richtliniennamen ein. d Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt. 3 4 Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus. Konfigurieren Sie auf der Konfigurationsseite Richtlinien fr das E-Mail-Scannen bei Empfang die Optionen auf den einzelnen Registerkarten. Informationen hierzu finden Sie unter Registerkartendefinitionen der Richtlinien fr das E-Mail-Scannen bei Empfang.

VirusScan-Konsole
Konfigurieren Sie die Richtlinien fr das E-Mail-Scannen bei Empfang mithilfe dieser Benutzeroberflchenkonsole. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 Klicken Sie in der Liste Task mit der rechten Maustaste auf Eigenschaften fr E-Mail-Scannen bei Empfang, und klicken Sie dann auf Eigenschaften, um das Dialogfeld zu ffnen. Konfigurieren Sie im Dialogfeld Eigenschaften fr E-Mail-Scannen bei Empfang die Optionen auf den einzelnen Registerkarten. Informationen hierzu finden Sie unter Registerkartendefinitionen der Richtlinien fr das E-Mail-Scannen bei Empfang.

Registerkartendefinitionen der Richtlinien fr das E-Mail-Scannen bei Empfang


Registerkarte Scan-Elemente Definitionen Geben Sie an, welche Anlagen und Nachrichten gescannt werden sollen. Scannen Sie mithilfe einer Heuristik nach potenziellen Bedrohungen, die Malware hneln, sowie nach unbekannten Makroviren und suchen Sie Anlagen mit mehreren Erweiterungen. Scannen Sie komprimierte Dateien in Archiven und lassen Sie MIME-codierte Dateien decodieren. Aktivieren Sie E-Mail-Scanner, um nach unerwnschten Programmen zu suchen. Scannen Sie E-Mail-Nachrichtentexte. Konfigurieren Sie die Empfindlichkeit fr Artemis. HINWEIS: Diese Option ist nur beim E-Mail-Scannen bei Empfang verfgbar.

80

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil II Entdeckung: Finden von Bedrohungen Scannen von E-Mails bei Empfang und On-Demand

Registerkarte Aktionen

Definitionen Fr die Entdeckung von Bedrohungen: Primre Aktion, die bei Entdeckung einer Bedrohung ausgefhrt werden soll. Sekundre Aktion, die beim Fehlschlagen der primren Aktion ausgefhrt werden soll.

Fr die Entdeckung unerwnschter Programme: Primre Aktion, die bei Entdeckung eines unerwnschten Programms ausgefhrt werden soll. Sekundre Aktion, die beim Fehlschlagen der primren Aktion ausgefhrt werden soll.

Whlen Sie unter "zulssige Aktionen" im Abfrage-Dialogfeld die gestattete Aktion aus. Warnmeldungen Benachrichtigen Sie einen anderen Benutzer, wenn eine mglicherweise infizierte E-Mail entdeckt wurde. Legen Sie hier den Meldungstext fest, der bei der Abfrage des Benutzers nach einer geeigneten Manahme angezeigt wird. Aktivieren Sie die Aktivittsprotokollierung. Geben Sie den Protokolldateinamen und -speicherort an. Geben Sie die Grenbeschrnkung fr die Protokolldatei an. Whlen Sie das Format der Protokolldatei aus. Geben Sie die Aktionen an, die zustzlich zu den Scan-Aktivitten protokolliert werden sollen.

Berichte

Notes-Scannereinstellungen HINWEIS: Diese Registerkarte ist nur beim E-Mail-Scannen bei Empfang verfgbar. Konfigurieren Sie die fr Lotus Notes spezifischen Einstellungen. Scannen Sie alle Serverdatenbanken. Scannen Sie Postfcher auf dem Server in angegebenem Postfach-Stammordner. Zu ignorierende Notes-Anwendungen.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

81

Teil III Reaktion: Bearbeiten von Bedrohungen


Das Reagieren auf Bedrohungen ist der dritte Schritt in einer Schutzstrategie zum Entdecken und Bereinigen von Malware, die versucht, Zugriff auf Ihr System zu erlangen. Inhalt Entdeckungen und Reaktionen Konfigurieren von Warnmeldungen und Benachrichtigungen Zugriff auf Abfragen und Dashboards Konfigurieren von Notfall-DATs

Entdeckungen und Reaktionen


Die nchsten Schritte, die beim Auftreten und Entdecken einer Bedrohung auszufhren sind, werden dadurch bestimmt, welche Reaktion in VirusScan Enterprise konfiguriert wurde und von welcher Funktion die Bedrohung entdeckt wird. Wenn Sie diese Unterschiede verstehen, knnen Sie leichter eine effektive Strategie entwickeln und implementieren. Inhalt Was geschieht, wenn eine Bedrohung entdeckt wird? Schutzverletzungen von Systemzugriffspunkten Entdeckung von Buffer Overflows Entdeckung unerwnschter Programme Entdeckungen bei Zugriffsscans Entdeckung bei On-Demand-Scans Entdeckungen beim Scannen von E-Mails Isolierte Elemente

Was geschieht, wenn eine Bedrohung entdeckt wird?


Wenn eine Bedrohung auftritt und entdeckt wird, hngt die Reaktion davon ab, wie VirusScan Enterprise konfiguriert wurde. Wenn VirusScan Enterprise so konfiguriert wurde, dass automatisch eine Bereinigung erfolgt (die empfohlene Standardeinstellung), hngt die resultierende Aktion von der Bereinigungsanweisung aus der DAT-Datei ab. Wenn der Scanner beispielsweise eine Datei nicht bereinigen kann oder die Datei irreparabel beschdigt wurde, kann der Scanner je nach

82

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil III Reaktion: Bearbeiten von Bedrohungen Entdeckungen und Reaktionen

der Definition in der DAT-Datei die problematische Datei lschen oder die sekundre Aktion ausfhren. Wenn der Scanner den Zugriff auf Dateien mit potenziellen Bedrohungen verweigert, wird beim Speichern der Dateien dem Dateinamen die Erweiterung .mcm hinzugefgt.

Schutzverletzungen von Systemzugriffspunkten


Wenn eine Schutzverletzung gegen Systemzugriffspunkte stattfindet, hngt die eingeleitete Aktion davon ab, wie die entsprechende Regel konfiguriert wurde. Fr die Regel knnen folgende Aktionen konfiguriert werden: Melden: In der Protokolldatei werden entsprechende Informationen aufgezeichnet. Blockieren: Der Zugriff wird verweigert. Stellen Sie anhand der Daten in der Protokolldatei fest, welche Systemzugriffspunkte verletzt wurden und mithilfe welcher Regeln die Verletzung jeweils entdeckt wurde. Konfigurieren Sie anschlieend die Zugriffsschutzregeln so, dass Benutzer auf zulssige Elemente zugreifen knnen, der Zugriff auf geschtzte Elemente jedoch verweigert wird. Folgende Szenarien helfen Ihnen bei der Entscheidung einer geeigneten Aktion.
Entdeckungstyp Szenarien Wenn die Schutzverletzung in der Protokolldatei aufgezeichnet wurde, aber keine Blockierung stattgefunden hat, whlen Sie fr diese Regel die Option Blockieren aus. Wenn die Regel eine Blockierung ausgelst hat, die Schutzverletzung jedoch nicht in der Protokolldatei aufgezeichnet wurde, whlen Sie fr diese Regel die Option Melden aus. Wenn die Schutzverletzung durch die Regel blockiert und in der Protokolldatei aufgezeichnet wurde, ist keine Aktion notwendig. Wenn Sie feststellen, dass ein unerwnschter Prozess nicht entdeckt wurde, knnen Sie die Regel bearbeiten und den zu entdeckenden Prozess als blockiert einbeziehen. Wenn die Schutzverletzung in der Protokolldatei aufgezeichnet wurde, aber keine Blockierung stattgefunden hat, entfernen Sie fr diese Regel die Option Melden. Wenn die Schutzverletzung blockiert oder in der Protokolldatei aufgezeichnet wurde, bearbeiten Sie die Regel dahingehend, dass sie den zulssigen Prozess von der Blockierung ausschliet.

Unerwnschte Prozesse

Zulssige Prozesse

Entdeckung von Buffer Overflows


Wenn ein Buffer Overflow entdeckt wird, blockiert der Scanner die Entdeckung, und im Dialogfeld Nachrichten vom Scannen bei Zugriff wird eine Nachricht angezeigt wird. Sie knnen das Dialogfeld anzeigen und dann entscheiden, ob Sie zustzliche Aktionen ausfhren mchten. Sie knnen unter anderem die folgenden Aktionen ausfhren: Entfernen der Nachricht: Whlen Sie die Nachricht in der Liste aus, und klicken Sie auf Entfernen. Erstellen eines Ausschlusses: Wenn der entdeckte Prozess falsch-positiv ist oder legitim verwendet wird, so knnen Sie anhand der Angaben im Dialogfeld Nachrichten vom Scannen bei Zugriff einen Ausschluss erstellen. In der Spalte Name finden Sie den Namen des Prozesses, zu dem der beschreibbare Speicher gehrt, ber den der Aufruf ausgefhrt wird. Verwenden Sie diesen Prozessnamen, um einen Ausschluss zu definieren.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

83

Teil III Reaktion: Bearbeiten von Bedrohungen Entdeckungen und Reaktionen

Senden eines Beispiels an McAfee Labs zur Analyse: Wenn der Scanner etwas entdeckt, was Ihrer Meinung nach nicht entdeckt werden sollte, oder im Gegenteil etwas nicht entdeckt, was Ihrer Meinung nach entdeckt werden sollte, knnen Sie die betreffenden Beispieldaten zur Analyse an McAfee Labs einsenden.

Entdeckung unerwnschter Programme


Der Zugriffs-, On-Demand- und der E-Mail-Scanner entdecken anhand der von Ihnen konfigurierten Richtlinie fr unerwnschte Programme unerwnschte Programme. Wenn eine Entdeckung stattfindet, fhrt der Scanner, der das potenziell unerwnschte Programm entdeckt hat, die Aktion aus, die Sie fr diesen Scanner auf der Registerkarte Aktionen festgelegt haben. Lesen Sie die Eintrge der Protokolldatei, und entscheiden Sie dann, ob Sie eine der folgenden zustzlichen Aktionen einleiten mchten: Zustzliches Anpassen der Scan-Einstellungen: Dadurch werden die Scans noch effizienter ausgefhrt. Ausschlieen von der Entdeckung: Wenn ein legitimes Programm entdeckt wurde, knnen Sie es als Ausschluss konfigurieren. Hinzufgen zur Liste der benutzerdefinierten Entdeckungen: Wenn ein unerwnschtes Programm nicht entdeckt wurde, knnen Sie es der Liste der benutzerdefinierten Entdeckungen hinzufgen. Senden eines Beispiels an McAfee Labs zur Analyse: Wenn der Scanner etwas entdeckt, was Ihrer Meinung nach nicht entdeckt werden sollte, oder im Gegenteil etwas nicht entdeckt, was Ihrer Meinung nach entdeckt werden sollte, knnen Sie die betreffenden Beispieldaten zur Analyse an McAfee Labs einsenden.

Entdeckungen bei Zugriffsscans


Wenn der Zugriffsscanner Malware entdeckt, werden die entsprechenden Aktionen ausgefhrt, die Sie unter Eigenschaften fr Scan bei Zugriff auf der Registerkarte Aktionen konfiguriert haben. Im Dialogfeld Nachrichten vom Scannen bei Zugriff wird auch eine entsprechende Meldung aufgezeichnet. Lesen Sie die Eintrge im Aktivittsprotokoll und im Dialogfeld Nachrichten vom Scannen bei Zugriff, um zu entscheiden, ob Sie eine dieser zustzlichen Aktionen einleiten mchten. Zustzliches Anpassen der Scan-Einstellungen: Wenn Sie Scans effizienter ausfhren mchten, schlieen Sie legitime Dateien aus, die von VirusScan Enterprise mglicherweise als Bedrohungen angesehen werden, und lschen Sie bekannte Bedrohungen, die mglicherweise in Quarantne gespeichert wurden. Rechtsklicken auf ein Element im Dialogfeld "Nachrichten vom Scannen bei Zugriff": Damit knnen Sie die folgenden Aktionen ausfhren: Datei subern: Versucht, die in der aus gewhlten Nachricht angegebene Datei zu bereinigen. Datei lschen: Die von der ausgewhlten Nachricht betroffene Datei wird gelscht. Der Name der Datei wird im Protokoll aufgezeichnet, damit Sie die Datei aus dem Quarantine Manager wiederherstellen knnen. Alle auswhlen (Strg + a): Es werden alle Nachrichten in der Liste ausgewhlt.

84

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil III Reaktion: Bearbeiten von Bedrohungen Entdeckungen und Reaktionen

Nachricht aus Liste entfernen (Strg + d): Die ausgewhlte Nachricht wird aus der Liste entfernt. Nachrichten, die aus der Liste entfernt wurden, bleiben jedoch weiterhin in der Protokolldatei. Alle Nachrichten entfernen: Es werden alle Nachrichten aus der Liste entfernt. Nachrichten, die aus der Liste entfernt wurden, bleiben jedoch weiterhin in der Protokolldatei. Protokolldatei des Zugriffsscanners ffnen: ffnet die Aktivittsprotokolldatei des Zugriffsscanners. Diese Option ist nur im Men Datei verfgbar. Zugriffsschutz-Protokolldatei ffnen: ffnet die Zugriffsschutz-Aktivittsprotokolldatei. Diese Option ist nur im Men Datei verfgbar. Wenn eine Aktion fr eine bestimmte Nachricht nicht verfgbar ist, sind deren Symbol, Schaltflche und Menoption deaktiviert. Beispielsweise ist die Option Bereinigt nicht verfgbar, wenn die Datei bereits gelscht wurde. Ebenso ist die Option Lschen nicht verfgbar, wenn sie nicht vom Administrator zur Verfgung gestellt wurde. Datei subern: Eine Datei kann nicht bereinigt werden, wenn die DAT-Datei nicht ber einen Cleaner verfgt oder zu stark beschdigt ist. Wenn eine Datei nicht bereinigt werden kann, fgt der Scanner dem Dateinamen die Erweiterung .mcm an und verweigert den Zugriff auf die Datei. In der Protokolldatei wird ein entsprechender Eintrag aufgezeichnet. In diesem Fall wird empfohlen, diese Datei zu lschen und den Inhalt aus einer intakten Sicherungskopie wiederherzustellen. Senden eines Beispiels an McAfee Labs zur Analyse: Wenn der Scanner etwas entdeckt, was Ihrer Meinung nach nicht entdeckt werden sollte, oder im Gegenteil etwas nicht entdeckt, was Ihrer Meinung nach entdeckt werden sollte, knnen Sie die betreffenden Beispieldaten zur Analyse an McAfee Labs einsenden.

Entdeckung bei On-Demand-Scans


Die auf die bei On-Demand-Scans entdeckte Bedrohung folgende Aktion ist davon abhngig, welche Optionen Sie bei Eigenschaften fr Scannen auf Anforderung auf der Registerkarte Aktionen ausgewhlt haben. Lesen Sie die Eintrge der Protokolldatei, und entscheiden Sie dann, ob Sie eine der folgenden zustzlichen Aktionen einleiten mchten: Zustzliches Anpassen der Scan-Einstellungen: Dadurch werden die Scans noch effizienter ausgefhrt. Anfordern der Aktion: Konfigurieren Sie die Einstellung Aktion anfordern fr den Scanner, indem Sie die Aktion im Dialogfeld Fortschritt des Scannens auf Anforderung auswhlen. Senden eines Beispiels an McAfee Labs zur Analyse: Wenn der Scanner etwas entdeckt, was Ihrer Meinung nach nicht entdeckt werden sollte, oder im Gegenteil etwas nicht entdeckt, was Ihrer Meinung nach entdeckt werden sollte, knnen Sie die betreffenden Beispieldaten zur Analyse an McAfee Labs einsenden.

Entdeckungen beim Scannen von E-Mails


Nach einer Entdeckung beim Scannen von E-Mails ergreift der Scanner Manahmen gem der Konfiguration in den Eigenschaften fr E-Mail-Scannen beim Empfang oder Eigenschaften fr E-Mail-Scannen auf Anforderung auf der Registerkarte Aktionen.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

85

Teil III Reaktion: Bearbeiten von Bedrohungen Entdeckungen und Reaktionen

Lesen Sie die Eintrge der Protokolldatei, und entscheiden Sie dann, ob Sie eine der folgenden zustzlichen Aktionen einleiten mchten: Zustzliches Anpassen der Scan-Einstellungen: Dadurch werden die Scans noch effizienter ausgefhrt. Senden eines Beispiels an McAfee Labs zur Analyse: Wenn der Scanner etwas entdeckt, was Ihrer Meinung nach nicht entdeckt werden sollte, oder im Gegenteil etwas nicht entdeckt, was Ihrer Meinung nach entdeckt werden sollte, knnen Sie die betreffenden Beispieldaten zur Analyse an McAfee Labs einsenden.

Isolierte Elemente
Als Bedrohungen entdeckten Elemente werden bereinigt oder gelscht. Auerdem wird eine Kopie des Elements in ein nicht ausfhrbares Format umgewandelt und im Quarantne-Ordner gespeichert. Dadurch knnen Sie fr die isolierten Elemente Vorgnge ausfhren, nachdem Sie eine aktuellere Version der DAT-Datei heruntergeladen haben, die mglicherweise Informationen zum Bereinigen der Bedrohung enthlt. Dazu gehren die folgenden zustzlichen Vorgnge: Wiederherstellen Erneut scannen Lschen Auf Falsch-Positiv-Meldungen berprfen Entdeckungseigenschaften anzeigen HINWEIS: Isolierte Elemente knnen mehrere Typen gescannter Objekte enthalten. Diese Objekte umfassen unter anderem Dateien, Cookies, Registrierungen und andere Elemente, die von VirusScan Enterprise nach Malware gescannt werden.

Konfigurieren der Quarantne-Richtlinie


Greifen Sie auf die Quarantine Manager-Richtlinien zu, und konfigurieren Sie bei Bedarf die Quarantne-Richtlinie, oder akzeptieren Sie die Standardeinstellungen. Konfigurieren Sie die Quarantine Manager-Richtlinien mithilfe der folgenden Benutzeroberflchenkonsolen. Tasks ePolicy Orchestrator 4.5 oder 4.6 ePolicy Orchestrator 4.0 VirusScan-Konsole

ePolicy Orchestrator 4.5 oder 4.6


Konfigurieren Sie die Quarantine Manager-Richtlinien mithilfe dieser Benutzeroberflchenkonsole. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken.

86

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil III Reaktion: Bearbeiten von Bedrohungen Entdeckungen und Reaktionen

Klicken Sie auf Men | Richtlinie | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt. Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie. Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus. b Klicken Sie in der Spalte Aktionen auf Einstellungen bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. Erstellen einer neuen Richtlinie a Klicken Sie auf Aktionen | Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Kategorie eine vorhandene Richtlinie aus. c Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus. d Geben Sie einen neuen Richtliniennamen ein. e Geben Sie bei Bedarf Hinweise ein. f Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt.

g Klicken Sie in der Spalte Aktionen der neuen Richtlinie auf Einstellungen bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. 3 4 5 Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus. Akzeptieren Sie auf der Seite Isolieren das standardmige Quarantneverzeichnis, oder whlen Sie ein anderes Verzeichnis aus. Wenn Sie die Anzahl der Tage konfigurieren mchten, fr die die isolierten Elemente gespeichert werden, klicken Sie auf Isolierte Daten nach einer bestimmten Anzahl von Tagen automatisch lschen, und geben Sie die Anzahl von Tagen, die die gesicherten Daten im Quarantne-Verzeichnis verbleiben sollen an.

ePolicy Orchestrator 4.0


Konfigurieren Sie die Quarantine Manager-Richtlinien mithilfe dieser Benutzeroberflchenkonsole. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 Klicken Sie auf Systeme | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt. Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie. Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus. b Klicken Sie in der Spalte Aktionen auf Bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. Erstellen einer neuen Richtlinie a Klicken Sie auf Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

87

Teil III Reaktion: Bearbeiten von Bedrohungen Entdeckungen und Reaktionen

c Geben Sie einen neuen Richtliniennamen ein. d Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt. 3 4 5 Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus. Akzeptieren Sie auf der Seite Isolieren das standardmige Quarantneverzeichnis, oder whlen Sie ein anderes Verzeichnis aus. Wenn Sie die Anzahl der Tage konfigurieren mchten, fr die die isolierten Elemente gespeichert werden, klicken Sie auf Isolierte Daten nach einer bestimmten Anzahl von Tagen automatisch lschen, und geben Sie die Anzahl von Tagen, die die gesicherten Daten im Quarantne-Verzeichnis verbleiben sollen an.

VirusScan-Konsole
Konfigurieren Sie die Quarantine Manager-Richtlinie mithilfe dieser Benutzeroberflchenkonsole. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 Klicken Sie in der Liste Task mit der rechten Maustaste auf Quarantine Manager-Richtlinie, und klicken Sie dann auf Eigenschaften, um das Dialogfeld Quarantine Manager-Richtlinie zu ffnen. Akzeptieren Sie das standardmige Quarantneverzeichnis, oder whlen Sie ein anderes Verzeichnis aus. Wenn Sie die Anzahl der Tage konfigurieren mchten, fr die die isolierten Elemente gespeichert werden, klicken Sie auf Isolierte Daten nach einer bestimmten Anzahl von Tagen automatisch lschen, und geben Sie die Anzahl von Tagen, die die gesicherten Daten im Quarantne-Verzeichnis verbleiben sollen an.

2 3

Verwalten isolierter Elemente


Erzeugen Sie isolierte Elemente, um diese Elemente weiter zu untersuchen und sie mithilfe der VirusScan-Konsole manuell zu lschen oder wiederherzustellen. HINWEIS: Verwenden Sie von der ePolicy Orchestrator-Konsole aus den Client-Task Aus Quarantne wiederherstellen, um isolierte Elemente wiederherzustellen. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 2 Klicken Sie in der Liste Task der VirusScan-Konsole auf Quarantine Manager-Richtlinie, um das Dialogfeld Quarantine Manager-Richtlinie zu ffnen. Klicken Sie auf die Registerkarte Manager, und klicken Sie mit der rechten Maustaste auf ein Element, um auf die folgenden erweiterten Optionen zuzugreifen: Wiederherstellen Erneut scannen Lschen Auf Falsch-Positiv-Meldungen berprfen Entdeckungseigenschaften anzeigen

88

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil III Reaktion: Bearbeiten von Bedrohungen Konfigurieren von Warnmeldungen und Benachrichtigungen

Es wird ein Dialogfeld angezeigt, in dem die Auswirkungen Ihrer Aktion erlutert sind.

Konfigurieren von Warnmeldungen und Benachrichtigungen


Ein wichtiger Bestandteil des Schutzes Ihrer Umgebung ist eine Benachrichtigung ber potenzielle Bedrohungen, sobald diese entdeckt werden. Mithilfe der ePolicy Orchestrator-Konsole oder der VirusScan-Konsole knnen Sie konfigurieren, wie Sie bei der Entdeckung von Bedrohungen benachrichtigt werden mchten. In beiden Konsolen knnen Sie Warnungsoptionen konfigurieren, Warnmeldungen nach Schweregrad filtern, um die Anzahl der Warnungen zu begrenzen, und lokale Warnungsoptionen konfigurieren.

Konfigurieren von Warnmeldungen


Konfigurieren Sie die Warnungs- und Benachrichtigungseigenschaften, die angezeigt werden, wenn die zahlreichen Scanner eine Bedrohung entdecken. Verwenden Sie denselben Prozess zum Konfigurieren von Warnungen fr diese Richtlinien: Warnungsrichtlinien Buffer Overflow-Schutzrichtlinien Richtlinien fr das E-Mail-Scannen bei Empfang Konfigurieren Sie die Warnungsbenachrichtigungsrichtlinien fr alle drei Richtlinien mithilfe der folgenden Benutzeroberflchenkonsolen. Tasks ePolicy Orchestrator 4.5 oder 4.6 ePolicy Orchestrator 4.0 VirusScan-Konsole Konfiguration der Registerkarten fr Warnungseigenschaften

ePolicy Orchestrator 4.5 oder 4.6


Konfigurieren Sie die Warnungsrichtlinien mithilfe dieser Benutzeroberflchenkonsole. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 Klicken Sie auf Men | Richtlinie | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt. Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie. Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus. b Klicken Sie in der Spalte Aktionen auf Einstellungen bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. Erstellen einer neuen Richtlinie

McAfee VirusScan Enterprise 8.8-Produkthandbuch

89

Teil III Reaktion: Bearbeiten von Bedrohungen Konfigurieren von Warnmeldungen und Benachrichtigungen

a Klicken Sie auf Aktionen | Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Kategorie eine vorhandene Richtlinie aus. c Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus. d Geben Sie einen neuen Richtliniennamen ein. e Geben Sie bei Bedarf Hinweise ein. f Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt.

g Klicken Sie in der Spalte Aktionen der neuen Richtlinie auf Einstellungen bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. 3 4 Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus. Konfigurieren Sie die Registerkarten fr die Warnungsrichtlinien. Informationen finden Sie unter Konfiguration der Registerkarten fr Warnungseigenschaften.

ePolicy Orchestrator 4.0


Konfigurieren Sie die Warnungsrichtlinien mithilfe dieser Benutzeroberflchenkonsole. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 Klicken Sie auf Systeme | Richtlinienkatalog, und whlen Sie dann in der Liste Produkt den Eintrag VirusScan Enterprise 8.8.0 aus. In der Liste Kategorie werden die Richtlinienkategorien fr VirusScan Enterprise 8.8.0 angezeigt. Bearbeiten Sie eine vorhandene Richtlinie, oder erstellen Sie eine neue Richtlinie. Bearbeiten einer vorhandenen Richtlinie a Whlen Sie in der Liste Kategorie die Richtlinienkategorie aus. b Klicken Sie in der Spalte Aktionen auf Bearbeiten, um die Seite mit der Richtlinienkonfiguration zu ffnen. Erstellen einer neuen Richtlinie a Klicken Sie auf Neue Richtlinie, um das Dialogfeld Neue Richtlinie zu ffnen. b Whlen Sie in der Liste Richtlinie auf Grundlage dieser vorhandenen Richtlinie erstellen eine der Einstellungen aus. c Geben Sie einen neuen Richtliniennamen ein. d Klicken Sie auf OK. Die neue Richtlinie wird in der Liste der vorhandenen Richtlinien angezeigt. 3 4 Whlen Sie in der Liste Einstellungen fr den Eintrag Workstation oder Server aus. Konfigurieren Sie die Registerkarten fr die Warnungsrichtlinien. Informationen finden Sie unter Konfiguration der Registerkarten fr Warnungseigenschaften.

VirusScan-Konsole
Konfigurieren Sie die Warnungseigenschaften mithilfe dieser Benutzeroberflchenkonsole.

90

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil III Reaktion: Bearbeiten von Bedrohungen Zugriff auf Abfragen und Dashboards

Task Optionsbeschreibungen erhalten Sie durch Klicken auf die Option Hilfe der Benutzeroberflche. 1 ffnen Sie zum Konfigurieren der Warnungen eine der folgenden Eigenschaften: Warnmeldungen: Klicken Sie auf Extras | Warnmeldungen, um das Dialogfeld Warnungseigenschaften zu ffnen. Pufferberlaufschutz: Whlen Sie den Task Pufferberlaufschutz aus, und klicken Sie mit der rechten Maustaste auf Eigenschaften, um das Dialogfeld Pufferberlaufschutz-Eigenschaften zu ffnen. E-Mail-Scan Beim Empfang: Whlen Sie den Task E-Mail-Scan Beim Empfang aus, und klicken Sie mit der rechten Maustaste auf Eigenschaften, um das Dialogfeld mit den Eigenschaften fr den E-Mail-Scan beim Empfang zu ffnen. Klicken Sie auf die Registerkarte Warnmeldungen. 2 Konfigurieren Sie die Registerkarten fr die Warnungsrichtlinien. Informationen finden Sie unter Konfiguration der Registerkarten fr Warnungseigenschaften.

Konfiguration der Registerkarten fr Warnungseigenschaften


Task Warnungsrichtlinien Konfiguration 1 Whlen Sie in der Spalte Aktionen den Eintrag Einstellungen bearbeiten aus, um die Seite mit den Warnungsrichtlinien zu ffnen. Konfigurieren Sie die Komponenten, die Warnmeldungen generieren und die Optionen des Warnungsmanagers. Whlen Sie in der Spalte Aktionen den Eintrag Einstellungen bearbeiten aus, um die Seite Pufferberlaufschutz zu ffnen. Klicken Sie neben Clientsystem-Warnung auf Bei Entdeckung eines Pufferberlaufs Nachrichtendialogfeld anzeigen. Whlen Sie in der Spalte Aktionen den Eintrag Einstellungen bearbeiten aus, um die Seite mit den Richtlinien fr das E-Mail-Puffer-Scannen bei Empfang zu ffnen. Klicken Sie auf Warnmeldungen, und konfigurieren Sie E-Mail-Warnmeldung an den Benutzer und Meldung zum Besttigen der Aktion.

Buffer 1 Overflow-Schutzrichtlinien 2

Richtlinien fr das E-Mail-Scannen bei Empfang

Zugriff auf Abfragen und Dashboards


Mit Abfragen und Dashboards knnen Sie Aktivitten berwachen und leichter bestimmen, welche Manahmen im Falle einer entdeckten Bedrohung sinnvoll sind. Mittels vordefinierter Abfragen und Dashboards lassen sich gem Ihren Anforderungen zustzliche Dashboards und Abfragen erzeugen. Weitere Informationen zu Dashboards und Abfragen finden Sie in der Produktdokumentation zu ePolicy Orchestrator. Abfragen Navigieren Sie in Abhngigkeit Ihrer ePolicy Orchestrator-Version anhand einer der beiden folgenden Anleitungen zu Abfragen: ePolicy Orchestrator 4.5 und 4.6

McAfee VirusScan Enterprise 8.8-Produkthandbuch

91

Teil III Reaktion: Bearbeiten von Bedrohungen Konfigurieren von Notfall-DATs

1 2

Klicken Sie auf Men | Berichterstellung | Abfragen, und die Seite Abfragen wird angezeigt. Geben Sie im Bereich Abfragen den Text VSE: unter Schnellsuche ein, und klicken Sie auf bernehmen. Nur die VirusScan Enterprise-Abfragen werden in der Liste angezeigt.

ePolicy Orchestrator 4.0 1 2 Klicken Sie auf Berichterstellung | Abfragen, und die Seite Abfragen wird angezeigt. Fhren Sie in der Liste Abfragen im rechten Bereich einen Bildlauf nach unten aus, um die mit "VSE:" beginnenden Abfragen zu suchen.

Folgende vordefinierte Abfragen sind verfgbar:


VSE: Compliance innerhalb der letzten 30 Tage VSE: Computer mit entdeckten Bedrohungen pro Woche VSE: Aktuelle DAT-bernahme VSE: DAT-bernahme in den letzten 24 Stunden VSE: DAT-Ausbringung VSE: Entdeckungsantwort-Zusammenfassung VSE: Anzahl der Entdeckungen nach "Tag" (engl. Stichwort) VSE: In den letzten 24 Stunden entdeckte Spyware VSE: In den letzten 7 Tagen entdeckte Spyware VSE: Zusammenfassung zu "In den letzten 24 Stunden entdeckte Bedrohungen" VSE: Zusammenfassung zu "In den letzten 7 Tagen entdeckte Bedrohungen" VSE: Anzahl der Bedrohungen nach Schweregrad VSE: Namen der entdeckten Bedrohungen pro Woche VSE: In den letzten 24 Stunden entdeckte Bedrohungen VSE: In den letzten 7 Tagen entdeckte Bedrohungen VSE: Im Laufe der letzten beiden Quartale entdeckte Bedrohungen VSE: Entdeckte Bedrohungen pro Woche VSE: Die 10 am hufigsten verletzten Zugriffsschutzregeln VSE: Die 10 meistentdeckten Pufferberlufe VSE: Computer mit den hufigsten Entdeckungen VSE: Die 10 am hufigsten entdeckten Bedrohungen VSE: Die 10 hufigsten Bedrohungsquellen VSE: Die 10 hufigsten Bedrohungen nach Bedrohungskategorie VSE: Benutzer mit den hufigsten Entdeckungen VSE: In den letzten 24 Stunden entdeckte unerwnschte Programme VSE: In den letzten 7 Tagen entdeckte unerwnschte Programme VSE: Compliance mit Version 8.5 VSE: Compliance mit Version 8.7 VSE: Compliance mit Version 8.8

Dashboards Wechseln Sie zu Dashboards, um in der ePolicy Orchestrator-Konsole auf Dashboards zuzugreifen. Folgende vordefinierte Dashboards sind verfgbar: VSE: Compliance mit Version 8.8 VSE: Trenddaten VSE: Aktuelle Entdeckungen

Konfigurieren von Notfall-DATs


Notfall-DATs knnen manuell heruntergeladen werden, um das System vor einem gravierenden Virus zu schtzen, bis die normale VirusScan-DAT-Aktualisierung verffentlicht wird. HINWEIS: Diese EXTRA.DAT-Dateien sollten automatisch im Rahmen von AutoUpdates des Client-Systems oder als geplanter ePolicy Orchestrator-Abrufvorgang heruntergeladen werden. Informationen finden Sie im Abschnitt Aktualisieren von Entdeckungsdefinitionen. Die Konfiguration von Notfall-DATs umfasst zwei Schritte.

92

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil III Reaktion: Bearbeiten von Bedrohungen Konfigurieren von Notfall-DATs

1 2

Laden Sie die Notfall-DAT-Datei herunter. Dieser Prozess ist bei Client-Systemen und ePolicy Orchestrator-Repositories identisch. Installieren Sie die Notfall-DAT-Datei. Dieser Prozess ist bei Client-Systemen und Servern mit ePolicy Orchestrator 4.0 4.5 und 4.6 unterschiedlich.

Die Prozesse sind in diesem Abschnitt beschrieben. Inhalt Informationen zu Notfall-DATs Herunterladen einer SuperDAT-Datei Installieren der SuperDAT-Dateien in einem ePolicy Orchestrator-Repository Installieren der Datei EXTRA.DAT auf einem Client-System

Informationen zu Notfall-DATs
Notfall-DATs (auch EXTRA.DAT-Dateien genannt) enthalten Informationen, die von VirusScan Enterprise zum Entdecken eines neuen Virus verwendet werden. Wenn neue Malware ermittelt wird und eine zustzliche Entdeckung erforderlich ist, wird von McAfee Labs eine in einer ausfhrbaren SuperDAT-Datei (SDAT) gepackte EXTRA.DAT-Datei zur Verfgung gestellt, bis die normale VirusScan Enterprise-DAT-Aktualisierung verffentlich wird. HINWEIS: McAfee verffentlicht keine einzelnen EXTRA.DAT-Dateien mehr auf der Security Updates-Download-Website. Wenn Sie eine EXTRA.DAT-Datei fr eine bestimmte Bedrohung herunterladen mchten, wechseln Sie zur McAfee Avert Labs Extra.dat Request Page unter https://www.webimmune.net/extra/getextra.aspx. SuperDAT-Pakete Bei der ausfhrbaren SuperDAT-Datei handelt es sich um ein sich selbst installierendes Paket. Sie kann auch ein neues Virus-Scan-Modul oder andere Programmkomponenten enthalten. Die Datei weist das Namensformat sdatXXXX.exe auf, wobei XXXX die vierstellige DAT-Versionsnummer ist, beispielsweise sdat4321.exe. Wenn eine EXTRA.DAT-Datei aus einer ausfhrbaren SuperDAT-Datei extrahiert und dem Modulordner auf Ihrer Festplatte hinzugefgt wird, wird sie von VirusScan Enterprise zustzlich zu den normalen DAT-Dateien zur Entdeckung des neuen Virus verwendet. Dadurch kann Ihr Computer von VirusScan Enterprise vor dem neuen Malware-Code geschtzt werden, bis die offizielle DAT-Aktualisierung verffentlicht wird, die die Informationen zur Entdeckung und Entfernung der Malware enthlt. Nach der Verffentlichung und Installation der offiziellen DAT-Aktualisierung ist die EXTRA.DAT-Datei nicht mehr erforderlich. HINWEIS: EXTRA.DAT-Dateien verbleiben 5 Tage in Ihrem Dateisystem, dann werden sie automatisch gelscht. Sie sollten Ihre VirusScan Enterprise-DAT-Dateien auf dem aktuellen Stand halten, indem Sie die offiziellen tglichen Aktualisierungen automatisch herunterladen und installieren.

Herunterladen einer SuperDAT-Datei


Zum Herunterladen einer SuperDAT-Datei (SDAT) mssen Sie eine Verbindung mit der Seite McAfee Security Updates herstellen.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

93

Teil III Reaktion: Bearbeiten von Bedrohungen Konfigurieren von Notfall-DATs

Bevor Sie beginnen Sie mssen ber eine gltige Grantnummer verfgen, um auf die Seite McAfee Security Updates zuzugreifen: http://www.mcafee.com/apps/downloads/security_updates/dat.asp Sie bentigen Administratorrechte, um die McAfee-Software herunterzuladen. Task 1 2 Wechseln Sie zur Seite McAfee Security Updates unter dem folgenden URL: http://www.mcafee.com/apps/downloads/security_updates/dat.asp Klicken Sie auf die Registerkarte SuperDATs, und doppelklicken Sie auf die Datei sdatXXXX.exe, wobei XXXX die Nummer der neuesten DAT-Aktualisierung ist. HINWEIS: Doppelklicken Sie auf die Datei readme.txt, um weitere Informationen zu erhalten. 3 Speichern Sie die ausfhrbare Datei mit ihrem Standardnamen an einem temporren Speicherort.

Installieren der SuperDAT-Dateien in einem ePolicy Orchestrator-Repository


Nachdem Sie die SuperDAT-Datei heruntergeladen haben, mssen Sie sie auf dem ePolicy Orchestrator-Server installieren. Bevor Sie beginnen Sie bentigen Administratorrechte, um die McAfee-Software zu aktualisieren. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 Installieren Sie die SuperDAT-Datei mithilfe einer der folgenden Methoden auf einem ePolicy Orchestrator-Server:
Server Schritte...

ePolicy Orchestrator 4.5 und 4.6 1

Klicken Sie auf Men | Software | Master-Repository, um die Seite Pakete im Master-Repository in der ePolicy Orchestrator 4.5 und 4.6-Konsole zu ffnen. Klicken Sie auf Aktionen | Pakete einchecken. Klicken Sie auf Software | Master-Repository, um die Seite Pakete im Master-Repository zu ffnen. Klicken Sie auf Pakete einchecken, um Sie Seite Pakete einchecken zu ffnen.

2 ePolicy Orchestrator 4.0 1

2 3

Whlen Sie Super DAT (EXE) aus, navigieren Sie zu dem Speicherort, an dem die Datei gespeichert werden soll, und klicken Sie dann auf Weiter. berprfen Sie Ihre Auswahl, und klicken Sie dann auf Speichern. Auf der Seite Pakete im Master-Repository wird das neue DAT-Paket in der Liste Name angezeigt.

94

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil III Reaktion: Bearbeiten von Bedrohungen Konfigurieren von Notfall-DATs

Installieren der Datei EXTRA.DAT auf einem Client-System


Sie knnen die Datei EXTRA.DAT auf einem Standalone-Client-System installieren, nachdem Sie die Datei bei McAfee Labs heruntergeladen haben. Informationen zum Herunterladen der Datei EXTRA.DAT finden Sie unter Informationen zu Notfalls-DATs. Bevor Sie beginnen Sie bentigen Administratorrechte, um die McAfee-Sicherheitssoftware zu aktualisieren. Task Optionsbeschreibungen erhalten Sie durch Klicken auf die Option Hilfe der Benutzeroberflche. 1 Nachdem der Download angeschlossen ist, suchen Sie die gerade gespeicherte Datei, fhren Sie die ausfhrbare Datei aus, und folgen Sie den Anweisungen im Assistenten. Von der ausfhrbaren Datei EXTRA.DAT werden die folgenden Schritte ausgefhrt: Es wird die speicherresidente McAfee-Software entladen, oder des werden Dienste angehalten, die die aktuellen DAT-Dateien verwenden. Es werden neue DAT-Dateien in die entsprechenden Programmverzeichnisse kopiert. Es werden die Software-Komponenten erneut gestartet, die erforderlich sind, um Scan-Vorgnge mit den neuen DAT-Dateien fortzusetzen. 2 Wenn die Aktualisierung der DAT-Dateien vom Installationsprogramm abgeschlossen wurde, knnen Sie die heruntergeladene Datei lschen oder eine Kopie fr knftige Aktualisierungen beibehalten.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

95

Teil IV berwachung, Analyse und zustzliche Anpassung des Schutzes


Nach der Erstkonfiguration Ihrer Schutzstrategie sollten Sie Ihren Schutz berwachen, analysieren und zustzlich anpassen. Durch berprfen der Aktivittsprotokolldateien und ePolicy Orchestrator-Abfragen knnen Sie die Leistung und den Schutz von VirusScan Enterprise-Systemen erhhen. Inhalt berwachen der Aktivitt in Ihrer Umgebung Analysieren des Schutzes

berwachen der Aktivitt in Ihrer Umgebung


Ein wichtiger Schritt in einer Schutzstrategie ist das berwachen der auf Systemen auftretenden Malware-Ereignisse. Dazu mssen Sie die zu verwendenden Tools und Ihre Funktionsweise kennen.

Tools zum berwachen der Aktivitt


VirusScan Enterprise bietet viele Mglichkeiten zum berwachen der Bedrohungsereignisse, die auf Ihren geschtzten Systemen auftreten. Welche Tools Sie verwenden hngt davon ab, ob Sie die ePolicy Orchestrator-Konsole oder die VirusScan-Konsole verwenden.

Verwenden von Abfragen und Dashboards


Mit ePolicy Orchestrator-Abfragen und -Dashboards knnen Sie Aktivitten auf Ihren von McAfee verwalteten Systemen berwachen und bestimmen, welche Manahmen im Falle von Bedrohungen sinnvoll sind. Zustzliche Informationen zu Abfragen und Dashboards finden Sie in den folgenden Referenzen: Eine vollstndige Liste der verfgbaren vordefinierten Abfragen finden Sie unter Zugriff auf Abfragen und Dashboards. Informationen zum ndern und Erstellen von Abfragen und Dashboards finden Sie in der ePolicy Orchestrator-Produktdokumentation.

Verwenden von Aktivittsprotokollen


In den Aktivittsprotokollen der VirusScan-Konsole wird ein Datensatz mit Ereignissen gespeichert, die in Ihrem geschtzten VirusScan Enterprise-System auftreten. In der folgenden Tabelle sind die Protokolldateien beschrieben.

96

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil IV berwachung, Analyse und zustzliche Anpassung des Schutzes berwachen der Aktivitt in Ihrer Umgebung

Alle Aktivittsprotokolle werden in Abhngigkeit Ihres Betriebssystems standardmig in einem der folgenden Verzeichnisse gespeichert: Bei Microsoft Windows XP, Microsoft Vista, Microsoft 2000 Server, Microsoft 2003 Server und Microsoft 2008 Server lautet der Pfad C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\McAfee\DesktopProtection. Bei Microsoft Windows 7 lautet der Pfad C:\ProgramData\McAfee\DesktopProtection. Tabelle 1: Protokolldateien
Dateiname Zugriff Zeigt Folgendes an...

AccessProtectionLog.txt

Klicken Sie in der Spalte Task auf die Registerkarte Datum, Uhrzeit, Ereignis, Zugriffsschutz | Berichte, und klicken Sie auf Benutzer und Name der Protokoll anzeigen. Datei.

BufferOverflowProtectionLog.txt Klicken Sie in der Spalte Task auf die Registerkarte Datum, Uhrzeit, welche
Pufferberlaufschutz | Berichte, und klicken Sie ausfhrbare Datei den auf Protokoll anzeigen. berlauf verursacht hat und ob es sich um einen Stapel- oder Heap-berlauf handelte.

MirrorLog.txt

Bei Microsoft Windows XP, Microsoft Vista, Microsoft 2000 Server, Microsoft 2003 Server und Microsoft 2008 Server lautet der Pfad C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\McAfee\DesktopProtection. Bei Microsoft Windows 7 lautet der Pfad C:\ProgramData\McAfee\DesktopProtection.

Datum, Uhrzeit, Pfad zu den Spiegelungsdateien und weitere Informationen.

OnAccessScanLog.txt

Klicken Sie in der Spalte Task auf die Registerkarte Datum, Uhrzeit, Zugriffsscanner | Allgemeine Einstellungen | entdeckte Malware, Berichte, und klicken Sie auf Protokoll anzeigen. welche Manahme ergriffen wurde und was gefunden wurde. Klicken Sie im Men auf Task | Protokoll anzeigen. Datum, Uhrzeit des Scans, ausgefhrte Aktion(en), betroffene Datei und was gefunden wurde. Datum, Uhrzeit der Aktualisierung, Person, von der die Aktualisierung initiiert wurde, und alle Informationen zur Aktualisierung.

OnDemandScanLog.txt

UpdateLog.txt

Bei Microsoft Windows XP, Microsoft Vista, Microsoft 2000 Server, Microsoft 2003 Server und Microsoft 2008 Server lautet der Pfad C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\McAfee\DesktopProtection. Bei Microsoft Windows 7 lautet der Pfad C:\ProgramData\McAfee\DesktopProtection.

Ausfhren einer Beispielabfrage


Fhren Sie eine einfache Abfrage aus, um zu bestimmen, wie viele Bedrohungen pro Woche auf Ihren verwalteten Systemen entdeckt wurden. Bei dieser Abfrage handelt es sich nur um ein Beispiel. Die von Ihnen ausgefhrten oder konfigurierten Abfragen hngen von den Informationen ab, die Sie aus der ePolicy Orchestrator-Datenbank abrufen mchten. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

97

Teil IV berwachung, Analyse und zustzliche Anpassung des Schutzes Analysieren des Schutzes

Verwenden Sie eine der folgenden Aktionen, um eine ePolicy Orchestrator-Abfrage auszufhren: ePolicy Orchestrator 4.5 oder 4.6: Klicken Sie auf Men | Berichterstellung | Abfragen, um einen Bildlauf nach unten zur Abfrage VSE: Entdeckte Bedrohungen pro Woche auszufhren, und klicken Sie auf Ausfhren. ePolicy Orchestrator 4.0: Klicken Sie auf Berichterstellung | Abfragen, um einen Bildlauf nach unten zur Abfrage VSE: Entdeckte Bedrohungen pro Woche auszufhren, und klicken Sie auf Ausfhren.

Wenn Bedrohungen entdeckt wurden, wird in den Abfrageergebnissen Folgendes angezeigt: Ein Balkendiagramm mit der Anzahl der Bedrohungen und in welchen Wochen sie aufgetreten sind. Eine Tabelle mit hnlichen Informationen und der Gesamtzahl der Bedrohungen. HINWEIS: Sie knnen auf das Balkendiagramm oder die Tabelleninformationen klicken, um die Daten der ePolicy Orchestrator-Datenbank zu ffnen.

Klicken Sie auf Schlieen, um zur Abfragenliste zurckzukehren.

Es gibt viele weitere Standardabfragen, die Sie ausfhren knnen, und Sie knnen auch Ihre eigenen Abfragen erstellen. Weitere Informationen hierzu finden Sie in der ePolicy Orchestrator-Dokumentation.

Analysieren des Schutzes


Das Analysieren des Schutzes Ihres durch VirusScan Enterprise geschtzten Systems sollte ein fortlaufender Prozess sein und den Schutz und die Leistung des Systems verbessern. Inhalt Die Wichtigkeit der Analyse Beispiele fr das Analysieren des Schutzes

Die Wichtigkeit der Analyse


Durch das Analysieren Ihres Schutzes knnen Sie bestimmen, welcher Art von Bedrohungen Sie ausgesetzt sind, woher sie stammen, wie hufig Sie ermittelt werden und welche Systeme das Ziel von Bedrohungen sind. Wenn beispielsweise ein System stndig angegriffen wird, sollte dieses System mglicherweise in einem sichereren Teil des Netzwerks positioniert werden, und es sollten hhere Sicherheitsmanahmen fr dieses System vorgenommen werden, um es zu schtzen. Diese Analyse ist auch bei folgenden Situationen hilfreich: Erstellen von Berichten fr IT-Mitarbeiter und Manager Erfassen von Informationen zum Erstellen von Skripts und Abfragen berwachen der Netzwerkzugriffszeit und der VirusScan Enterprise-Aktualisierungsnetzwerknutzung

98

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil IV berwachung, Analyse und zustzliche Anpassung des Schutzes Analysieren des Schutzes

Beispiele fr das Analysieren des Schutzes


Sie knnen die Schritte in diesen Analysebeispielen als Vorlage zum Analysieren der meisten VirusScan Enterprise-Schutzszenarien verwenden. In diesen Beispielen wird erlutert, wie ein Anstieg von Malware-Angriffen festgestellt und Folgendes ermittelt werden kann: Wo und wann die Angriffe stattgefunden haben Die fr den Angriff verwendete Malware Die Auswirkungen des Angriffs auf das System Tasks ePolicy Orchestrator 4.5 oder 4.6 ePolicy Orchestrator 4.0 VirusScan-Konsole

ePolicy Orchestrator 4.5 oder 4.6


Diese Beispielanalyse wird als Vorlage zum Analysieren der meisten VirusScan Enterprise-Schutzszenarien mithilfe von ePolicy Orchestrator 4.5 oder 4.6 verwendet. Bevor Sie beginnen Sie mssen ber direkten Zugriff oder Remote-Zugriff auf ein durch VirusScan Enterprise geschtztes System verfgen, um diese Beispielanalyse auszufhren. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 Ermitteln Sie, wo und wann die Angriffe stattgefunden haben: a Klicken Sie auf Men | Berichterstellung | Abfragen, um den Bereich Abfragen zu ffnen. b Geben Sie Malware unter Schnellsuche ein, und klicken Sie auf bernehmen. Die Abfrage Malware-Entdeckungsverlauf wird in der Liste Abfragen angezeigt. c Whlen Sie die Abfrage aus, und klicken Sie dann auf Aktionen | Ausfhren. Bei der Abfrage wird die Anzahl der jngsten Angriffe zurckgegeben. 2 Wenn Sie die fr den Angriff verwendete Malware ermitteln mchten, klicken Sie auf Men | Berichterstellung | Bedrohungsereignisprotokoll, um das Bedrohungsereignisprotokoll anzuzeigen. Doppelklicken Sie auf das Protokollereignis, um die Detailseite im Bereich anzuzeigen. Aus dem Protokolleintrag knnen Sie Folgendes ermitteln: Die IP-Adresse der Bedrohungsquelle und das Ziel werden angezeigt, um Ihnen beim Ermitteln der zu ergreifenden Manahmen zu helfen. Der Name der Bedrohung und der Typ der Bedrohung beschreiben die fr den Angriff verwendete Malware. Die Beschreibungen des Bedrohungsereignisses erlutern die Auswirkungen des Angriffs auf das System und welche Manahmen hinsichtlich der Bedrohung ergriffen wurden.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

99

Teil IV berwachung, Analyse und zustzliche Anpassung des Schutzes Analysieren des Schutzes

ePolicy Orchestrator 4.0


Diese Beispielanalyse wird als Vorlage zum Analysieren der meisten VirusScan Enterprise-Schutzszenarien mithilfe von ePolicy Orchestrator 4.0 verwendet. Bevor Sie beginnen Sie mssen ber direkten Zugriff oder Remote-Zugriff auf ein durch VirusScan Enterprise geschtztes System verfgen, um diese Beispielanalyse auszufhren. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 Ermitteln Sie, wo und wann die Angriffe stattgefunden haben: a Klicken Sie auf Berichterstellung | Abfragen, um die Liste Abfragen zu ffnen. b Whlen Sie in der Liste ffentliche Abfragen den Eintrag ePO: Malware-Entdeckungsverlauf aus, und klicken Sie auf Weitere Aktionen | Ausfhren. Die Abfrage Malware-Entdeckungsverlauf wird in der Liste Abfragen angezeigt. 2 Klicken Sie zum Anzeigen des Ereignisses, das die Malware-Entdeckung ausgelst hat, auf Berichterstellung | Ereignisprotokoll. Bei der Abfrage wird die Anzahl der jngsten Angriffe zurckgegeben. Doppelklicken Sie auf das Protokollereignis, um die Detailseite im Bereich anzuzeigen. Aus dem Protokolleintrag knnen Sie Folgendes ermitteln: Die IP-Adresse der Bedrohungsquelle und das Ziel werden angezeigt, um Ihnen beim Ermitteln der zu ergreifenden Manahmen zu helfen. Der Name der Bedrohung und der Typ der Bedrohung beschreiben die fr den Angriff verwendete Malware. Die Beschreibungen des Bedrohungsereignisses erlutern die Auswirkungen des Angriffs auf das System und welche Manahmen hinsichtlich der Bedrohung ergriffen wurden.

VirusScan-Konsole
Diese Beispielanalyse wird als Vorlage zum Analysieren der meisten VirusScan Enterprise-Schutzszenarien mithilfe von VirusScan-Konsole verwendet. Bevor Sie beginnen Sie mssen ber direkten Zugriff oder Remote-Zugriff auf ein durch VirusScan Enterprise geschtztes System verfgen, um diese Beispielanalyse auszufhren. Task Optionsbeschreibungen erhalten Sie durch Klicken auf die Option Hilfe der Benutzeroberflche. 1 Klicken Sie in der Liste Task mit der rechten Maustaste auf Zugriffsscanner, und whlen Sie Statistik in der Liste aus. Das Dialogfeld Statistische Daten zum Scannen bei Zugriff wird angezeigt. Achten Sie in der Gruppe Scan-Statistiken auf die angezeigte Anzahl der entdeckten Dateien. Wenn diese Anzahl nicht Null entspricht, klicken Sie auf Eigenschaften, um das Dialogfeld Eigenschaften fr Scannen bei Zugriff zu ffnen.

100

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Teil IV berwachung, Analyse und zustzliche Anpassung des Schutzes Analysieren des Schutzes

3 4

Klicken Sie auf die Registerkarte Berichte und auf Protokoll anzeigen. Die Datei OnAccessScanLog.txt wird in einem Editor-Fenster angezeigt. Anhand dieser Ausgabe knnen Sie Folgendes bestimmen: Die fr den Angriff verwendete Malware. Zum Beispiel
C:\...\eicar.com EICAR-Testdatei

Die Auswirkungen des Angriffs auf das System. Zum Beispiel


(Suberung fehlgeschlagen, weil die entdeckte Datei nicht gesubert werden kann)

Die hinsichtlich der Bedrohung getroffenen Manahmen. Zum Beispiel


Gelscht

Bestimmen Sie mithilfe der Informationen im vorherigen Schritt, ob die Virenschutzeinstellungen der Quell- oder Zielsysteme gendert werden mssen oder ob Sie andere Manahmen ergreifen mchten.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

101

Anhang
Es gibt weitere Konfigurations- und Fehlerbehebungsfunktionen, mit denen Sie den von VirusScan Enterprise gebotenen Schutz verbessern knnen. Bei diesen Funktionen werden hnliche Tools verwendet (z. B. die ePolicy Orchestrator-Konsole, die Befehlszeile und das Internet). Inhalt Konfigurieren von ePolicy Orchestrator-Server-Tasks Verwenden der Befehlszeile fr VirusScan Enterprise Verbinden mit Remote-Computern Einsenden von Bedrohungsbeispielen zur Analyse Zugreifen auf die McAfee Labs-Bedrohungsbibliothek Fehlerbehebung

Konfigurieren von ePolicy Orchestrator-Server-Tasks


Mit in ePolicy Orchestrator konfigurierten Server-Tasks knnen Sie automatische Tasks planen und ausfhren, um den Server und die VirusScan Enterprise-Software zu verwalten. VirusScan Enterprise-Server-Tasks knnen so konfiguriert werden, dass Folgendes automatisch generiert wird: Richtlinien ausfhren: Hiermit wird ein Richtlinienbericht ausgefhrt, und die Richtlinieninformationen werden in einer Datei gespeichert. Abfrage ausfhren: Hiermit wird eine vorkonfigurierte Abfrage ausgefhrt, und die Ausgabe wird im ePolicy Orchestrator-Dashboard angezeigt, sofern dies konfiguriert ist. Abfragen exportieren: Hiermit wird eine vorkonfigurierte Abfrage ausgefhrt und der Bericht entweder per E-Mail an eine konfigurierte Adresse gesendet oder an einen konfigurierten Speicherort exportiert. HINWEIS: Die Funktion zum Exportieren von Abfragen ist nur bei Verwendung von ePolicy Orchestrator 4.5 und 4.6 verfgbar. Auf dem ePolicy Orchestrator-Server sind die folgenden VirusScan Enterprise-Server-Tasks bereits installiert: VSE: Compliance innerhalb der letzten 30 Tage: Hiermit wird einmal tglich eine Abfrage ausgefhrt, bei der der Compliance-Status der McAfee-Antiviren-Software gespeichert wird.

102

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Anhang Konfigurieren von ePolicy Orchestrator-Server-Tasks

VSE: DAT-bernahme in den letzten 24 Stunden: Hiermit wird einmal pro Stunde eine Abfrage ausgefhrt, bei der der DAT-Versionsstatus der McAfee-Antiviren-Software gespeichert wird. HINWEIS: Wenn Sie benutzerdefinierte Server-Tasks konfigurieren mchten, erhalten Sie im ePolicy Orchestrator-Produkthandbuch detaillierte Anweisungen.

Konfigurieren eines Beispielserver-Tasks


In diesem Abschnitt wird erlutert, wie Sie den vorhandenen Server-Task "ePolicy Orchestrator VSE: Compliance innerhalb der letzten 30 Tage" aktivieren und konfigurieren. Bevor Sie beginnen Sie bentigen Administratorrechte, um die ePolicy Orchestrator-Konfiguration zu aktualisieren. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberflche auf das ? klicken. 1 ffnen Sie die Seite fr den vorhandenen Server-Task in ePolicy Orchestrator. ePolicy Orchestrator 4.5 oder 4.6: Klicken Sie auf Men | Automatisierung | Server-Tasks. ePolicy Orchestrator 4.0: Klicken Sie auf Automatisierung | Server-Tasks. 2 Suchen Sie in der Spalte Name nach dem Task VSE: Compliance innerhalb der letzten 30 Tage, und klicken Sie in der Spalte Aktionen auf Bearbeiten. Die Seite Generator fr Server-Tasks wird angezeigt. Klicken Sie neben Planungsstatus auf Aktiviert, und klicken Sie dann auf Weiter. Die Seite Aktionen wird geffnet. Neben 1. Aktionen ist Abfrage ausfhren standardmig ausgewhlt. Neben Abfrage ist VSE: Compliance mit Version 8.8.0 standardmig ausgewhlt. ndern Sie bei Bedarf die Spracheinstellung. berprfen Sie, ob in der Gruppe Untergeordnete Aktionen die folgenden Elemente standardmig ausgewhlt sind: Compliance-Ereignis generieren in der Liste Untergeordnete Aktionen. Fr Bestimmte Anzahl der Zielsysteme ist 1 im Textfeld ausgewhlt. 5 Fgen Sie dem Server-Task die Compliance-Aktionen von VirusScan Enterprise, Version 8.7 und 8.5, hinzu: a Klicken Sie in der Zeile 1. Aktionen auf das Pluszeichen (+), um eine zustzliche Aktionenzeile zu ffnen. b Konfigurieren Sie in der neuen Zeile 2. Aktionen Folgendes: Whlen Sie neben 2. Aktionen den Eintrag Abfrage ausfhren in der Liste aus. Whlen die neben Abfrage den Eintrag VSE: Compliance mit Version 8.7 in der Liste aus. ndern Sie bei Bedarf die Spracheinstellung. berprfen Sie, ob in der Gruppe Untergeordnete Aktionen fr Compliance-Ereignis generieren und Bestimmte Anzahl der Zielsysteme der Wert 1 im Textfeld angegeben ist.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

103

Anhang Verwenden der Befehlszeile fr VirusScan Enterprise

c Klicken Sie in der Zeile 2. Aktionen auf das Pluszeichen (+), um eine zustzliche Aktionenzeile zu ffnen. d Konfigurieren Sie in der neuen Zeile 3. Aktionen Folgendes: Whlen Sie neben 3. Aktionen den Eintrag Abfrage ausfhren in der Liste aus. Whlen die neben Abfrage den Eintrag VSE: Compliance mit Version 8.5 in der Liste aus. ndern Sie bei Bedarf die Spracheinstellung. berprfen Sie, ob in der Gruppe Untergeordnete Aktionen fr Compliance-Ereignis generieren und Bestimmte Anzahl der Zielsysteme der Wert 1 im Textfeld angegeben ist. 6 7 Klicken Sie auf Weiter, um die Seite Zeitplan zu ffnen. Whlen Sie in der Liste Planungstyp aus, wie oft der Server-Task ausgefhrt werden soll. Legen Sie ein Startdatum fest, oder akzeptieren Sie das aktuelle Datum als Standardwert. Legen Sie ein Enddatum fest, oder akzeptieren Sie Kein Enddatum als Standardwert. Legen Sie den Zeitplan fest, akzeptieren Sie den Standardwert, oder legen Sie eine andere Startzeit fr die Ausfhrung der Abfrage fest. 8 9 Klicken Sie auf Weiter, um die Seite Zusammenfassung zu ffnen. berprfen Sie, ob die konfigurierten Daten richtig sind. Klicken Sie auf Speichern, dann wird die Seite Server-Task erneut angezeigt.

10 berprfen Sie, dass fr den Server-Task "VSE: Compliance innerhalb der letzten 30 Tage" der Status aktiviert und die Datums- und Zeiteinstellungen fr Nchste Ausfhrung richtig sind.

Verwenden der Befehlszeile fr VirusScan Enterprise


Mithilfe der Eingabeaufforderung knnen Sie einige grundlegende VirusScan Enterprise-Prozesse ausfhren. Sie knnen VirusScan Enterprise ber die Befehlszeile installieren, konfigurieren und aktualisieren. Befehlszeilenoptionen zur Installation sind im Installationshandbuch von VirusScan Enterprise beschrieben. Beispiel fr einen Befehlszeilen-Scan Geben Sie den folgenden Befehl ein, um alle Dateien zu scannen, die Protokolldateien mit den Ergebnissen zu aktualisieren und das Dialogfeld fr den On-Demand-Scan nach dem Abschluss automatisch zu schlieen:
scan32 /all /log /autoexit

Beispiel fr eine Befehlszeilenaktualisierung Geben Sie den folgenden Befehl ein, um die DAT-Dateien, das Scan-Modul und das Produkt im Hintergrund zu aktualisieren oder das Dialogfeld der McAfee-Aktualisierung whrend der Aktualisierung nicht anzuzeigen:
mcupdate /update /quiet

104

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Anhang Verwenden der Befehlszeile fr VirusScan Enterprise

Befehlszeilenoptionen fr On-Demand-Scans
In VirusScan Enterprise wird der On-Demand-Scanner SCAN32.EXE fr das Entdecken von Bedrohungen verwendet. Sie knnen denselben ausfhrbaren Befehl SCAN32 fr die Befehlszeile oder als Teil einer Batchdatei verwenden, um Scans auszufhren. Die Reihenfolge der Elemente ist bei der SCAN32-Syntax nicht vorgegeben. Sie mssen lediglich Eigenschaften und ihre Werte zusammen angeben. Die Syntax besteht aus: Dateiname Der Name der ausfhrbaren Datei: SCAN32.EXE. Optionen Jede Option beginnt mit einem Schrgstrich (/). Zwischen Gro- und Kleinschreibung wird nicht unterschieden. Das Format fr den Befehl lautet folgendermaen:
SCAN32 EIGENSCHAFT=WERT [,WERT] [/Option].

Nachfolgend finden Sie ein Beispiel fr einen scan32.exe-Befehl:


scan32.exe PRIORITY /normal

In diesem Beispiel gilt Folgendes: "PRIORITY" ist ein Befehlswert. "/normal" ist eine Wertoption. On-Demand-Scan-Werte und -Optionen
Befehlszeilenwert Definition fr Optionen ALL ALLOLE ALWAYSEXIT Scannt alle im Zielordner vorhandenen Dateien. Scannt die Standarddateien und smtliche Microsoft Office-Dokumente. Bewirkt das Beenden des On-Demand-Scan auch dann, wenn der Scan mit einem Fehler abgeschlossen wird. Scannt nach den in der entsprechenden Richtlinie definierten potenziell unerwnschten Programmen. Scannt Archivdateien wie .ZIP, .CAP. LZH und .UUE. Beendet den On-Demand-Scanner nach dem Abschluss eines nicht interaktiven Scans. Bereinigt die entdeckte Zieldatei, wenn ein potenziell unerwnschtes Programm gefunden wird. Bereinigt die entdeckte Datei, wenn ein unerwnschtes Programm gefunden wird. Das Scannen wird nach dem Entdecken eines potenziell unerwnschten Programms fortgesetzt. Das Scannen wird fortgesetzt, nachdem ein potenziell unerwnschtes Programm entdeckt wurde und die primre Aktion fehlgeschlagen ist. Das Scannen wird nach dem Entdecken eines unerwnschten Programms fortgesetzt. Das Scannen wird fortgesetzt, nachdem ein potenziell unerwnschtes Programm entdeckt wurde und die primre Aktion fehlgeschlagen ist. Es werden Dateierweiterungen, die Sie als Parameter angeben, zur Liste der ausgewhlten Dateitypen hinzugefgt, die gescannt werden. Lscht die entdeckte Datei, wenn ein potenziell unerwnschtes Programm gefunden wird. Lscht die entdeckte Datei, wenn ein potenziell unerwnschtes Programm entdeckt wurde und die primre Aktion fehlgeschlagen ist. Lscht die Datei, wenn ein unerwnschtes Programm entdeckt wird.

APPLYNVP

ARCHIVE AUTOEXIT CLEAN

CLEANA CONTINUE CONTINUE2

CONTINUEA CONTINUEA2

DEFEXT

DELETE DELETE2

DELETEA

McAfee VirusScan Enterprise 8.8-Produkthandbuch

105

Anhang Verwenden der Befehlszeile fr VirusScan Enterprise

Befehlszeilenwert Definition fr Optionen DELETEA2 Lscht die Datei, wenn ein potenziell unerwnschtes Programm entdeckt wurde und die primre Aktion fehlgeschlagen ist. ffnet das Dialogfeld fr die Scan-Eigenschaften. Ersetzt die Erweiterungen in der Liste der ausgewhlten zu scannenden Dateitypen durch die Dateierweiterungen, die Sie als Parameter in bereinstimmung mit diesem Argument hinzufgen. Protokolliert Entdeckungsberichte in der zuvor angegebenen Protokolldatei. Verwendet das fr die Protokolldatei angegebene Format. Gltige Werte sind ANSI, UTF8 oder UTF16. Protokolliert die Konfigurationseinstellungen eines Scans. Protokolliert eine Zusammenfassung der Scan-Ergebnisse. Protokolliert ID-Informationen ber den Benutzer, der einen Scan ausgefhrt hat. Aktiviert die Artemis-Entdeckung von Bedrohungen durch Makros. Entdeckt potenziell unerwnschte Programme in MIME-codierten (Multipurpose Internet Mail Extensions) Dateien. Deaktiviert die Berechnung der Scan-Gre vor dem Scannen von Dateien. Es wird kein Fortschrittsbalken angezeigt. Aktiviert die Artemis-Entdeckung von Bedrohungen, die nicht mit Makros zusammenhngen. Legt die Prioritt des Scans im Verhltnis zu anderen CPU-Prozessen fest. Erfordert eine der folgenden Optionen: LOW BELOWNORMAL Die ePolicy Orchestrator-Standardeinstellung. NORMAL Die VirusScan-Konsole-Standardeinstellung.

EDIT EXT

LOG LOGFORMAT <Wert> LOGSETTINGS LOGSUMMARY LOGUSER MHEUR MIME

NOESTIMATE

PHEUR PRIORITY

HINWEIS: Sie knnen einen numerischen Parameter von 1 bis 100 eingeben, wobei 10 der Option LOW, 50 der Option BELOWNORMAL und 100 der Option NORMAL entspricht. PROMPT PROMPT2 Fordert eine Benutzereingabe an, wenn ein potenziell unerwnschtes Programm entdeckt wird. Fordert eine Benutzereingabe an, wenn ein potenziell unerwnschtes Programm entdeckt wurde und die primre Aktion fehlgeschlagen ist. Fordert eine Benutzereingabe an, wenn ein unerwnschtes Programm entdeckt wird. Fordert eine Benutzereingabe an, wenn ein unerwnschtes Programm entdeckt wurde und die primre Aktion fehlgeschlagen ist. Legt die Gre des Warnungsprotokolls in Megabyte fest. Fhrt den Scan aus. Das Eigenschaftendialogfeld wird nicht angezeigt. Startet den in der VirusScan-Konsole festgelegten On-Demand-Task. Hierzu sind weitere Parameter erforderlich, mit denen die Task-ID angegeben wird, die in der Registrierung eingetragen ist unter: hkey_local_machine_\software\McAfee\Desktop\Protection\Tasks. Startet den Scanner, ohne die Benutzeroberflche anzuzeigen.

PROMPTA PROMPTA2

RPTSIZE START TASK

UINONE

106

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Anhang Verbinden mit Remote-Computern

Befehlszeilenoptionen fr Aktualisierungs-Tasks
In VirusScan Enterprise wird MCUPDATE.EXE verwendet, um Aktualisierungs-Tasks auszufhren. Sie knnen denselben ausfhrbaren Befehl MCUPDATE fr die Befehlszeile oder als Teil einer Batchdatei verwenden, um Aktualisierungs-Tasks auszufhren. Die Reihenfolge der Elemente ist bei der MCUPDATE-Syntax nicht vorgegeben. Sie mssen lediglich Eigenschaften und ihre Werte zusammen angeben. Die Syntax besteht aus: Dateiname Der Name der ausfhrbaren Datei: MCUPDATE.EXE. Optionen Jede Option beginnt mit einem Schrgstrich (/). Zwischen Gro- und Kleinschreibung wird nicht unterschieden. Das Format fr den Befehl lautet folgendermaen:
MCUPDATE [/<Typ> [/TASK <GUID>]] [/Option].

HINWEIS: Im vorherigen Format kann es sich bei <Typ> um ROLLBACKDATS oder UPDATE handeln. Die /TASK-Klausel ist optional. Falls Sie jedoch verwendet wird, muss auch eine Aktualisierungs-Task-ID (GUID) angegeben werden. Die ausgewhlte Task-ID muss fr einen Aktualisierungs- oder DAT-Rollback-Task gelten. Whlen Sie keine Scan-ID aus. Ohne Angabe einer Task-ID wird der Standard-Aktualisierungs-Task verwendet. Task-IDs befinden sich unter:
hkey_local_machine\SOFTWARE\McAfee\DesktopProtection\Tasks\

Die /Option-Klausel ist optional. Verwenden Sie /QUIET, um den Aktualisierungs-Task ohne Eingabeaufforderung (automatisch) auszufhren. HINWEIS: Die Option /QUIET wird fr den DAT-Rollback-Task nicht untersttzt. Mit dem folgenden Beispiel wird ein Aktualisierungs-Task ausgefhrt: MCUPDATE /UPDATE /QUIET. Aktualisierungs-Task-Optionen
Befehlszeilenoption Definition ROLLBACKDATS UPDATE Ersetzt die aktuelle DAT-Datei durch die letzte gesicherte Version. Fhrt eine Aktualisierung der DAT-Datei, des Scan-Moduls, des Produkts oder der Datei EXTRA.DAT durch. Startet den in der VirusScan-Konsole festgelegten AutoUpdate- bzw. Rollback-Task fr DAT-Dateien. Hierzu sind weitere Parameter erforderlich, mit denen die Task-ID angegeben wird, die in der Registrierung eingetragen ist unter:

/TASK

hkey_local_machine\software\McAfee\DesktopProtection\Tasks
/QUIET Fhrt den Task automatisch aus.

Verbinden mit Remote-Computern


Sie knnen die Verbindung mit Remote-Computern herstellen, auf denen VirusScan Enterprise installiert ist, um beispielsweise Scan- oder Aktualisierungs-Tasks zu ndern oder zu planen bzw. um den Zugriffsscanner auf einem Remote-Computer zu aktivieren oder zu deaktivieren. HINWEIS: Wenn Sie zum Herstellen einer Verbindung mit dem Remote-Computer nicht ber die erforderlichen Administratorrechte verfgen, wird die Fehlermeldung Zugriff aufgrund unzureichender Benutzerrechte verweigert angezeigt.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

107

Anhang Einsenden von Bedrohungsbeispielen zur Analyse

Wenn Sie die VirusScan-Remote-Konsole starten, wird der Name des Computers, mit dem Sie verbunden sind, in der Titelleiste der Konsole angezeigt. Wenn keine Verbindung zu einem anderen Netzwerkcomputer besteht, wird auch der Name Ihres lokalen Computers nicht in der Titelleiste angezeigt. Wenn Sie das Dialogfeld Eigenschaften eines beliebigen Tasks ber eine Remote-Konsole ffnen, wird der jeweilige Computername in der Titelleiste des Dialogfelds Eigenschaften angezeigt. Sie knnen mehrere Remote-Konsolen ffnen. Wenn Sie das Dialogfeld Mit Remote-Computer verbinden schlieen, wird auch die Verbindung zum Remote-Computer getrennt.

Zugriff auf Remote-Systeme, auf denen VirusScan Enterprise installiert ist


Wenn Sie eine Verbindung mit Remote-Systemen herstellen mchten, auf denen VirusScan Enterprise installiert ist und die Sie verwalten mchten, verwenden Sie Remote-Konsole ffnen in der VirusScan-Konsole. Task Optionsbeschreibungen erhalten Sie durch Klicken auf die Option Hilfe der Benutzeroberflche. 1 2 Whlen Sie im Men Extras der VirusScan Enterprise 8.8-Konsole den Eintrag Remote-Konsole ffnen aus. Geben Sie unter Mit Computer verbinden den Namen des Systems ein, das Sie verwalten mchten, und whlen Sie in der Liste ein System aus, oder klicken Sie auf Durchsuchen, um das System im Netzwerk zu suchen. HINWEIS: Wenn beim Konfigurieren des Pfadnamens der Datei oder des Ordners fr einen Remote-Task Umgebungsvariablen verwendet werden, sollten Sie darauf achten, dass die Umgebungsvariable auf dem Remote-Computer vorhanden ist. Die VirusScan Enterprise 8.8-Konsole kann Umgebungsvariablen auf dem Remote-Computer nicht berprfen. 3 Klicken Sie auf OK, um eine Verbindung zum Zielcomputer herzustellen. Beachten Sie bei der Verbindung mit dem Remote-System Folgendes: Die Titelleiste entspricht dem Namen des Remote-Computers. Die Konsole liest die Registrierung des Remote-Computers und zeigt die Tasks des Remote-Computers an. Sie knnen Tasks fr den Remote-Computer hinzufgen, lschen oder neu konfigurieren.

Einsenden von Bedrohungsbeispielen zur Analyse


Wenn Sie eine nicht entdeckte potenzielle Bedrohung finden oder wenn der Scanner etwas entdeckt, dass Ihrer Meinung nach mit der aktuellen DAT-Datei nicht als Bedrohung entdeckt werden sollte, knnen Sie ber WebImmune ein Beispiel der Bedrohung an McAfee Labs senden. McAfee Labs analysiert die eingesandten Daten und prft, ob diese mit in die DAT-Datei einbezogen oder von ihr ausgeschlossen werden. Sie haben drei Mglichkeit, um ein Beispiel an McAfee zu senden: ber die WebImmune-Website, per E-Mail oder postalisch.

108

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Anhang Zugreifen auf die McAfee Labs-Bedrohungsbibliothek

WebImmune 1 Whlen Sie in der VirusScan-Konsole die Option Hilfe | Senden eines Beispiels aus, um die Website aufzurufen. Die Website finden Sie unter: https://www.webimmune.net/default.asp. Melden Sie sich bei Ihrem kostenlosen Konto an, oder erstellen Sie ein Konto. Laden Sie die Dateien zur Prfung direkt in die automatisierten Systeme von McAfee hoch. Die Elemente werden an die McAfee Labs-Analysten weitergeleitet, wenn weitere Untersuchungen erforderlich sind.

2 3

E-Mail Senden Sie E-Mails zur Prfung bitte direkt an die automatisierten Systeme von McAfee. Die Elemente werden an die McAfee Labs-Analysten weitergeleitet, wenn weitere Untersuchungen erforderlich sind. Die E-Mail-Adresse (global) ist virus_research@avertlabs.com. HINWEIS: Sie finden auf der WebImmune-Website auch zustzliche regionale Adressen. Standardpostweg Die Anschrift finden Sie auf der WebImmune-Website. HINWEIS: Diese Methode ist aufgrund der langen Verfahrenszeit zur Prfung Ihrer Beispieldaten am wenigsten vorteilhaft.

Zugreifen auf die McAfee Labs-Bedrohungsbibliothek


Wenn Sie von der VirusScan Enterprise 8.8-Konsole aus auf die McAfee Labs-Bedrohungsbibliothek zuzugreifen mchten, whlen Sie McAfee Labs-Bedrohungsbibliothek aus dem Hilfe-Men aus. Von Ihrem Internet-Browser wird eine Verbindung mit http://vil.nai.com/vil/default.aspx hergestellt.

Fehlerbehebung
Lesen Sie die Informationen in diesem Abschnitt, bevor Sie sich an den technischen Support von McAfee wenden. Er enthlt Vorgnge und Tools zur Fehlerbehebung bei Ihrer VirusScan Enterprise-Konfiguration sowie hufig gestellte Fragen.

Reparieren der Produktinstallation


Es kann vorkommen, dass Sie die Installation von VirusScan Enterprise reparieren mssen, um die Standardeinstellung wiederherzustellen, Programmdateien erneut zu installieren oder um beide Schritte auszufhren. Sie knnen dies ber die VirusScan-Konsole oder die Befehlszeile ausfhren.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

109

Anhang Fehlerbehebung

Verwenden der VirusScan-Konsole Whlen Sie zum Verwenden des Dienstprogramms Installation reparieren von der VirusScan Enterprise 8.8-Konsole aus die Option Hilfe | Installation reparieren aus. HINWEIS: Diese Funktion steht in der ePolicy Orchestrator-Konsole nicht zur Verfgung.
Option Alle zum Zeitpunkt der Installation vorgenommenen Standardeinstellungen wiederherstellen Alle Programmdateien neu installieren Definition Mit dieser Option werden die VirusScan Enterprise-Standardeinstellungen fr die Installation wiederhergestellt. VORSICHT: Angepasste Einstellungen knnen verloren gehen. Installiert die VirusScan Enterprise-Programmdateien neu. VORSICHT: Hotfixes, Patches und Service Packs knnen berschrieben werden.

Verwenden von SETUPVSE.exe an der Befehlszeile Verwenden Sie die folgenden Befehle, um VirusScan Enterprise mit dem Befehl SETUPVSE.exe ber die Befehlszeile zu reparieren oder wiederherzustellen. HINWEIS: Optionen fr den Befehlszeilenparameter REINSTALLMODE finden Sie im Artikel zur REINSTALLMODE-Eigenschaft unter http://msdn.microsoft.com/en-us/library/aa371182(VS.85).aspx (auf Englisch).
Beschreibung Installiert nur Programmdateien Installiert nur Registrierungsdateien Installiert Programm- und Registrierungsdateien Befehl

SETUPVSE.exe REINSTALLMODE=sec /q SETUPVSE.exe REINSTALLMODE=secum /q SETUPVSE.exe REINSTALLMODE=amus /q

Verwenden von msiexec.exe an der Befehlszeile Verwenden Sie die folgenden Befehle, um VirusScan Enterprise mit dem Befehl msiexec.exe ber die Befehlszeile zu reparieren oder wiederherzustellen. HINWEIS: Befehlszeilenoptionen fr msiexec.exe finden Sie im Artikel Befehlszeilenoptionen fr das Microsoft Windows Installer-Programm "Msiexec.exe" unter http://support.microsoft.com/kb/314881.
Beschreibung Installiert nur Programmdateien Installiert nur Registrierungsdateien Installiert Programm- und Registrierungsdateien Befehl

msiexec.exe /I VSE880.msi REINSTALL=ALL REINSTALLMODE=sa /q REBOOT=R msiexec.exe /I VSE880.msi REINSTALL=ALL REINSTALLMODE=mu /q REBOOT=R msiexec.exe /I VSE880.msi REINSTALL=ALL REINSTALLMODE=samu /q REBOOT=R

Anzeigen der Aktivittsprotokolldatei fr den Zugriff


In der Aktivittsprotokolldatei fr den Zugriff der VirusScan-Konsole sind der Verlauf von Aktualisierungen, die Bedrohungsaktivitt und die Reaktion von VirusScan Enterprise dargestellt.

110

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Anhang Fehlerbehebung

Diese Informationen knnen bei der Fehlerbehebung der automatischen Aktualisierungsaktivitt und von Richtlinienkonfigurationen hilfreich sein. Greifen Sie mit einem der folgenden Prozesse auf die Aktivittsprotokolldateien fr den Zugriff zu: HINWEIS: Die Erstellung der Aktivittsprotokolldatei fr den Zugriff muss aktiviert sein. Informationen zum Aktivieren der Aktivittsprotokolldatei fr den Zugriff finden Sie unter Konfigurieren der allgemeinen Einstellungen. Task Optionsbeschreibungen erhalten Sie durch Klicken auf die Schaltflche Hilfe der Registerkarten. 1 2 Klicken Sie in der Liste Task mit der rechten Maustaste auf Zugriffsscanner, und klicken Sie dann auf Eigenschaften, um das Dialogfeld zu ffnen. Klicken Sie im Dialogfeld Eigenschaften fr Zugriffsscanner auf die Registerkarte Berichte, und klicken Sie auf Protokoll anzeigen. Die Datei OnAccessScanLog.txt wird in einem Editor-Fenster angezeigt. Nachfolgend finden Sie ein Beispiel der Protokolldateiausgabe.

In der folgenden Tabelle sind die Daten aus dem vorherigen Beispiel der Datei OnAccessScanLog.txt beschrieben:
Beispiel fr Protokolleintrag 4/27/2010 1:35:47 PM Cleaned/Deleted/No Action Taken Aktualisierte Datei = Version, oder (Clean failed because... SRVR\user C:\WINDOWS\system32\NOTEPAD.EXE C:\temp\eicar.com EICAR test file (Test) Beschreibung Datum Uhrzeit Ausgefhrte Aktion Beschreibung der Aktion

Anmeldeinformationen Pfad und Name der bsartigen Datei

Beschreibung der Datei

hnliche Informationen knnen mithilfe von ePolicy Orchestrator-Abfragen abgerufen werden. Ausfhrliche Informationen finden Sie unter Zugriff auf Abfragen und Dashboards.

Verwenden von MERTool whrend der Fehlerbehebung


Von MERTool (Minimum Escalation Requirements) werden Daten von McAfee VirusScan Enterprise und anderen McAfee-Produkten auf dem Computer erfasst. Mithilfe dieser Daten kann der technische Support von McAfee Ihr Problem analysieren und lsen. WebMERTool kann in einem der folgenden Dateiformate heruntergeladen werden: EXE

McAfee VirusScan Enterprise 8.8-Produkthandbuch

111

Anhang Fehlerbehebung

ZIP ProtectedZip Folgende Informationen werden von WebMERTool erfasst: Registrierungsdaten Angaben zur Dateiversion Dateien Ereignisprotokolle Prozessdaten Zum Verwenden von WebMERTool mssen Sie folgende Aufgaben ausfhren: Zeigen Sie das Tutorial Obtaining Minimum Escalation Requirements using McAfee WebMER (Abrufen von Mindestanforderungen fr die Eskalation mithilfe von WebMERTool von McAfee) unter folgender Adresse an: https://kc.mcafee.com/corporate/index?page=content&id=TU30146. Laden Sie das Tool unter folgender Adresse herunter, und installieren Sie es: http://mer.mcafee.com. HINWEIS: Es ist auch eine ausbringbare Version von ePolicy Orchestrator verfgbar. Bei dieser Version wird die ePolicy Orchestrator-Konsole zum Ausfhren von MERTool auf Client-Computern verwendet, um Protokolle und Informationen beim Diagnostizieren von Problemen mit McAfee-Produkten zu erfassen. Laden Sie McAfee MERTool fr ePolicy Orchestrator 4.x (v2.0) unter folgender Adresse herunter: http://mer.mcafee.com/enduser/downloadepomer.aspx. Fhren Sie das Tool aus, und senden Sie die Ergebnisse an den technischen Support von McAfee.

Deaktivieren von VirusScan Enterprise whrend der Fehlerbehebung


Wenn ein Systemproblem auftritt, dass mit von VirusScan Enterprise ausgefhrten Prozessen in Zusammenhang steht, knnen Sie systematisch alle VirusScan Enterprise-Funktionen deaktivieren, bis das Systemproblem eliminiert ist. Oder Sie knnen zumindest VirusScan Enterprise als Ursache des Problems eliminieren. VORSICHT: Sie mssen VirusScan Enterprise erneut konfigurieren oder wiederherstellen, damit nach der Fehlerbehebung wieder vollstndiger Malware-Schutz besteht. Die systematische Deaktivierung der VirusScan Enterprise-Funktionalitt kann in den folgenden aus acht Schritten bestehenden Prozess unterteilt werden: 1 2 3 4 5 6 7 8 Deaktivieren des Buffer Overflow-Schutzes Deaktivieren des Zugriffsschutzes Deaktivieren von ScriptScan Deaktivieren von Zugriffsscans Deaktivieren von Zugriffsscans und anschlieender Neustart Vermeiden des Ladevorgangs von MFEVTP und anschlieender Neustart Umbenennen von mfehidk.sys und anschlieender Neustart Entfernen des Produkts und anschlieender Neustart

112

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Anhang Fehlerbehebung

Jeder dieser acht Schritte wird in den folgenden Abschnitten beschrieben. Optionsbeschreibungen in der VirusScan-Konsole erhalten Sie durch Klicken auf die Option Hilfe der Benutzeroberflche. Deaktivieren des Buffer Overflow-Schutzes Fhren Sie diese Schritte aus, um den Buffer Overflow-Schutz zu deaktivieren. 1 2 3 Klicken Sie in der Liste Task der VirusScan-Konsole mit der rechten Maustaste auf Pufferberlaufschutz, und klicken Sie auf Eigenschaften. Heben Sie im Dialogfeld Eigenschaften die Auswahl von Pufferberlaufschutz aktivieren auf, und klicken Sie auf OK. Wurde das ursprngliche Systemproblem durch Deaktivieren des Buffer Overflow-Schutzes behoben: Ja: Wechseln Sie zum ServicePortal des technischen Supports von McAfee unter http://mysupport.mcafee.com, und suchen Sie nach einer Lsung, oder wenden Sie sich an den technischen Support von McAfee. Nein: Das ursprngliche Systemproblem stand wahrscheinlich nicht mit dieser Funktion in Zusammenhang. Deaktivieren des Zugriffsschutzes Fhren Sie diese Schritte aus, um den Zugriffsschutz zu deaktivieren. 1 2 3 Doppelklicken Sie in der Liste Task der VirusScan-Konsole auf Zugriffsschutz, um das Dialogfeld Zugriffsschutzeigenschaften zu ffnen. Klicken Sie auf die Registerkarte Zugriffsschutz, heben Sie die Auswahl von Zugriffsschutz aktivieren auf, und klicken Sie auf OK. Wurde das ursprngliche Systemproblem durch Deaktivieren des Zugriffsschutzes behoben: Ja: Wechseln Sie zum ServicePortal des technischen Supports von McAfee unter http://mysupport.mcafee.com, und suchen Sie nach einer Lsung, oder wenden Sie sich an den technischen Support von McAfee. Nein: Das ursprngliche Systemproblem stand wahrscheinlich nicht mit VirusScan Enterprise in Zusammenhang. Deaktivieren von ScriptScan Fhren Sie diese Schritte aus, um ScriptScan zu deaktivieren. 1 2 3 Klicken Sie in der Liste Task der VirusScan-Konsole mit der rechten Maustaste auf Zugriffsscanner, um das Dialogfeld Eigenschaften fr Scannen bei Zugriff zu ffnen. Klicken Sie auf die Registerkarte ScriptScan, heben Sie die Auswahl von Scannen von Skripten aktivieren auf, und klicken Sie auf OK. Wurde das ursprngliche Systemproblem durch Deaktivieren von ScriptScan behoben: Ja: Wechseln Sie zum ServicePortal des technischen Supports von McAfee unter http://mysupport.mcafee.com, und suchen Sie nach einer Lsung, oder wenden Sie sich an den technischen Support von McAfee. Nein: Das ursprngliche Systemproblem stand wahrscheinlich nicht mit VirusScan Enterprise in Zusammenhang. Deaktivieren des Zugriffsscans Fhren Sie diese Schritte aus, um den Zugriffsscan zu deaktivieren.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

113

Anhang Fehlerbehebung

1 2

Deaktivieren Sie den Zugriffsschutz. Klicken Sie in der Liste Task der VirusScan-Konsole mit der rechten Maustaste auf Zugriffsschutz, und whlen Sie Deaktivieren aus. ndern Sie den Starttyp des McShield-Dienste-Applets in Deaktiviert, indem Sie folgendermaen vorgehen: Klicken Sie auf Start | Systemsteuerung | Verwaltung | Dienste, um das Dienste-Applet zu ffnen. Fhren Sie unter Dienste (Lokal) einen Bildlauf nach unten zu McAfee McShield aus, und klicken Sie mit der rechten Maustaste auf den Namen, um das Dialogfeld fr die McAfee McShield-Eigenschaften zu ffnen. Klicken Sie auf die Registerkarte Allgemein in der Liste Starttyp auf Deaktiviert, und klicken Sie auf OK.

Klicken Sie in der Liste Task der VirusScan-Konsole mit der rechten Maustaste auf Zugriffsscanner, und klicken Sie in der nun angezeigten Liste auf Deaktiviert. Das Zugriffsscannersymbol sollte sich nun in einen Kreis mit einem Strich gendert haben, um anzugeben, dass die Funktion deaktiviert ist. Wurde das ursprngliche Systemproblem durch Deaktivieren des Zugriffsscans behoben: Ja: Wechseln Sie zum ServicePortal des technischen Supports von McAfee unter http://mysupport.mcafee.com, und suchen Sie nach einer Lsung, oder wenden Sie sich an den technischen Support von McAfee. Nein: Das ursprngliche Systemproblem stand wahrscheinlich nicht mit dieser Funktion in Zusammenhang.

Deaktivieren von Zugriffsscans und anschlieender Neustart Fhren Sie diese Schritte aus, um den Zugriffsscan zu deaktivieren und einen Neustart vorzunehmen. HINWEIS: Beim folgenden Prozess wird davon ausgegangen, dass Zugriffsscan nach der Deaktivierung im vorherigen Schritt nicht erneut aktiviert wurden. 1 2 Fahren Sie das System vollstndig herunter, und starten Sie es neu. Wurde das ursprngliche Systemproblem durch Deaktivieren des Zugriffsscans und den anschlieenden Neustart behoben: Ja: Wechseln Sie zum ServicePortal des technischen Supports von McAfee unter http://mysupport.mcafee.com, und suchen Sie nach einer Lsung, oder wenden Sie sich an den technischen Support von McAfee. Nein: Das ursprngliche Systemproblem stand wahrscheinlich nicht mit dieser Funktion in Zusammenhang. Vermeiden des Ladevorgangs von MFEVTP und anschlieender Neustart Fhren Sie diese Schritte aus, um den Ladevorgang von McAfee Validation Trust Protection Service (MFEVTP) zu vermeiden und das System neu zu starten: VORSICHT: Dieser Abschnitt enthlt Informationen zum ffnen oder Bearbeiten der Registrierung. Die folgenden Informationen sind fr Systemadministratoren vorgesehen. nderungen an der Registrierung knnen nicht rckgngig gemacht werden und zu Systemfehlern fhren, wenn Sie falsch vorgenommen werden. Bevor Sie den Vorgang fortsetzen, wird dringend empfohlen, dass Sie Ihre Registrierung sichern und den Wiederherstellungsprozess kennen. Weitere Informationen finden Sie unter folgender Adresse: http://support.microsoft.com/kb/256986 .

114

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Anhang Fehlerbehebung

Fhren Sie keine .REG-Datei aus, bei der nicht besttigt wurde, dass es sich um eine echte Registrierungsimportdatei handelt. 1 2 3 4 5 Geben Sie regedit in die Befehlszeile ein, um die Benutzeroberflche des Registrierungs-Editors anzuzeigen. Navigieren Sie zur folgenden Registrierung:
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mfevtp]

Klicken Sie im rechten Bereich mit der rechten Maustaste auf Start, und klicken Sie auf ndern, um das Dialogfeld DWORD-Wert bearbeiten zu ffnen. Geben Sie unter Wert die Ziffer 4 ein, und klicken Sie auf OK. Wurde das ursprngliche Systemproblem durch Vermeiden des Ladevorgangs von MFEVTP und den anschlieenden Neustart behoben: Ja: Wechseln Sie zum ServicePortal des technischen Supports von McAfee unter http://mysupport.mcafee.com, und suchen Sie nach einer Lsung, oder wenden Sie sich an den technischen Support von McAfee. Nein: Das ursprngliche Systemproblem stand wahrscheinlich nicht mit dieser Funktion in Zusammenhang.

Umbenennen der Datei mfehidk.sys und anschlieender Neustart Fhren Sie diese Schritte aus, um die Datei mfehidk.sys umzubenennen und das System neu zu starten. 1 Navigieren Sie in Abhngigkeit Ihrer Betriebssystemversion zur Datei mfehidk.sys im folgenden Ordner: Bei 32-Bit-Betriebssystemen: %windir%\System32\drivers Bei 64-Bit-Betriebssystemen: %windir%\System64\drivers 2 3 4 ndern Sie den Dateinamen von mfehidk.sys beispielsweise in mfehidk.sys.saved. Starten Sie das System neu, um VirusScan Enterprise ohne das Laden der Datei mfehidk.sys zu beenden und neu zu starten. Wurde das ursprngliche Systemproblem durch Umbenennen der Datei mfehidk.sys und den anschlieenden Neustart behoben: Ja: Wechseln Sie zum ServicePortal des technischen Supports von McAfee unter http://mysupport.mcafee.com, und suchen Sie nach einer Lsung, oder wenden Sie sich an den technischen Support von McAfee. Nein: Das ursprngliche Systemproblem stand wahrscheinlich nicht mit VirusScan Enterprise in Zusammenhang. Entfernen des Produkts und anschlieender Neustart Fhren Sie diese Schritte aus, um VirusScan Enterprise vollstndig zu entfernen und einen Neustart auszufhren. 1 2 3 Entfernen Sie die VirusScan Enterprise-Programmdateien. Im McAfee. VirusScan Enterprise 8.8, Installationshandbuch finden Sie detaillierte Anleitungen. Starten Sie das System neu, um das Betriebssystem herunterzufahren und neu zu starten, ohne dass VirusScan Enterprise installiert ist. Wurde das ursprngliche Systemproblem durch das vollstndige Entfernen der VirusScan Enterprise-Programmdateien und den Neustart behoben:

McAfee VirusScan Enterprise 8.8-Produkthandbuch

115

Anhang Fehlerbehebung

Ja: Das ursprngliche Systemproblem stand wahrscheinlich mit VirusScan Enterprise in Zusammenhang. Nein: Wechseln Sie zum ServicePortal des technischen Supports von McAfee unter http://mysupport.mcafee.com, und suchen Sie nach einer Lsung, oder wenden Sie sich an den technischen Support von McAfee.

Empfohlene Support- und Fehlerbehebungs-Tools


Als globaler VirusScan Enterprise-Administrator sollten Sie Tools installieren und konfigurieren, mit denen Sie Fehler beheben und die Sicherheit und Leistung Ihres Systems berprfen knnen. Wenn Sie sich an den technischen Support von McAfee wenden, werden Sie mglicherweise aufgefordert, einiger dieser Tools whrend der Fehlerbehebung Ihrer Konfiguration auszufhren. Diese Tools knnen von den in den Tabellen aufgefhrten Internet-Websites heruntergeladen werden. McAfee-Tools Die Support- und Fehlerbehebungs-Tools, die Sie bei McAfee herunterladen knnen, sind in dieser Tabelle aufgefhrt.
Tool MERTool ProcessCounts SuperDAT Manager McAfee Profiler Download-Site WebMER Vom McAfee-Support bereitgestellt Vom McAfee-Support bereitgestellt Vom McAfee-Support bereitgestellt

Drittanbieter-Tools Die Support- und Fehlerbehebungs-Tools, ausfhrbaren Dateien und Download-Sites sind in dieser Tabelle aufgefhrt.
Tool Driver Verifier Performance Monitor Pool Monitor Process Monitor Process Explorer Process Dump Windows Object Viewer TCP Viewer Debug Output Viewer Windows Debugger Kernel Rate Viewer Windows Performance Analysis Tools VM Converter Ausfhrbare Datei Verifier PerfMon PoolMon ProcMon ProcExp ProcDump WinObj TCPView DebugView WinDbg KrView Xperf Download-Site Microsoft.com Microsoft.com Microsoft.com Microsoft.com Microsoft.com Microsoft.com Microsoft.com Mircosoft.com Microsoft.com Microsoft.com Microsoft.com Microsoft.com Vmware.com

Verschiedene

116

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Anhang Fehlerbehebung

Tool WireShark

Ausfhrbare Datei wireshark

Download-Site Wireshark.org

Hufig gestellte Fragen (FAQ)


Dieser Abschnitt enthlt Fehlerbehebungsinformationen in der Form hufig gestellter Fragen. Installation Frage: Ich habe die Software gerade mit dem automatischen Installationsverfahren installiert, und in der Windows-Taskleiste befindet sich kein VirusScan Enterprise-Symbol. Antwort: Das Schutzschild-Symbol erscheint erst nach einem Neustart des Systems in der Taskleiste. Ihr Computer ist jedoch durch die Ausfhrung von VirusScan Enterprise geschtzt, obwohl das Symbol nicht angezeigt wird. Dies knnen Sie berprfen, indem Sie den folgenden Registrierungsschlssel anzeigen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ ShStatEXE="C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE"/STANDALONE.

Frage: Warum knnen manche Benutzer meines Netzwerks ihre eigenen Einstellungen konfigurieren und andere nicht? Antwort: Mglicherweise hat der Administrator die Benutzeroberflche so konfiguriert, dass Tasks mit einem Kennwort geschtzt sind. Falls dies der Fall ist, knnen Benutzer die Einstellungen nicht ndern. Die verschiedenen Windows-Betriebssysteme besitzen unterschiedliche Benutzerberechtigungen. Weitere Informationen zu Benutzerberechtigungen finden Sie in Ihrer Microsoft Windows-Dokumentation. Blockierte Programme Frage: Ich habe VirusScan Enterprise installiert, und jetzt wird eines meiner Programme nicht mehr ausgefhrt. Antwort: Das Programm ist mglicherweise durch eine Zugriffsschutzregel blockiert. 1 2 berprfen Sie die Zugriffsschutz-Protokolldatei, und sehen Sie nach, ob das Programm durch eine Regel blockiert wurde. Wenn das Programm im Protokoll aufgefhrt ist, knnen Sie es entweder von der Regel ausschlieen, oder Sie knnen die Regel deaktivieren. Weitere Informationen finden Sie unter Schtzen der Systemzugriffspunkte.

Cookie-Entdeckungen Frage: Als ich im Aktivittsprotokoll des On-Demand-Scans die Cookie-Entdeckungen geprft habe, ist mir aufgefallen, dass der Dateiname fr alle Entdeckungen 00000000.ie ist. Warum weist VirusScan Enterprise allen Cookie-Entdeckungen beim On-Demand-Scan denselben Dateinamen zu, whrend andere Programme jeder Cookie-Entdeckung einen individuellen oder inkrementell gebildeten Namen zuweisen? Antwort: Dass VirusScan Enterprise allen Cookie-Entdeckungen denselben Dateinamen zuweist, liegt an der Art und Weise, wie der On-Demand-Scanner Cookies entdeckt und Aktionen einleitet. Dieses Verhalten gilt nur fr Cookies, die bei On-Demand-Scans entdeckt werden. Eine Cookie-Datei kann viele Cookies enthalten. Das Scan-Modul behandelt eine Cookie-Datei als Archiv und weist einen Wert als Abstand vom Dateianfang zu (mit null beginnend). Da der Scanner das Scan-Modul verwendet, um Cookies zu entdecken und Aktionen einzuleiten, bevor er mit dem Scannen fortfhrt, beginnt er bei jeder Entdeckung

McAfee VirusScan Enterprise 8.8-Produkthandbuch

117

Anhang Fehlerbehebung

wieder mit null. Daher wird jeder Entdeckung der Dateiname 00000000.ie zugewiesen. Andere Produkte entdecken erst alle Cookies, weisen jedem einen individuellen oder inkrementellen Dateinamen zu und leiten anschlieend fr die einzelnen Entdeckungen Aktionen ein. Allgemein Frage: Auf meinen VirusScan Enterprise-Standalone-System ist das Systemsymbol in meiner System-Taskleiste anscheinend deaktiviert. Antwort: Wenn auf dem VirusScan Enterprise-Symbol ein roter Kreis mit einer Linie erscheint, dann ist der Zugriffscanner deaktiviert. Im Folgenden werden die hufigsten Ursachen und Lsungen beschrieben. Falls keine dieser Lsungen Ihr Problem behebt, wenden Sie sich an den technischen Support. 1 Stellen Sie sicher, dass der Zugriffsscanner aktiviert ist. Klicken Sie in der Taskleiste mit der rechten Maustaste auf das VirusScan Enterprise-Symbol. Falls der Zugriffsscanner deaktiviert ist, enthlt das Men den Eintrag Scannen bei Zugriff aktivieren. Stellen Sie sicher, dass der McShield-Dienst ausgefhrt wird. Starten Sie den Dienst manuell ber die Systemsteuerung fr Dienste. Whlen Sie Start | Ausfhren, und geben Sie dann Net Start McShield ein. Legen Sie fest, dass der Dienst automatisch ber die Systemsteuerung fr Dienste gestartet wird. Frage: Ich erhalte die Fehlermeldung, dass CATALOG.Z nicht heruntergeladen werden kann. Antwort: Dieser Fehler kann viele Ursachen haben. Im Folgenden finden Sie einige Vorschlge, mit deren Hilfe Sie die Ursache des Problems ermitteln knnen. Wenn Sie die standardmige Download-Website fr Aktualisierungen von McAfee verwenden, knnen Sie prfen, ob Sie die Datei CATALOG.Z mit einem Web-Browser herunterladen knnen. Versuchen Sie, die Datei von der folgenden Website herunterzuladen: http://update.nai.com/Products/CommonUpdater/catalog.z. Wenn Sie die Datei nicht herunterladen knnen, obwohl sie angezeigt wird (was bedeutet, dass Ihr Browser das Herunterladen blockiert), dann liegt ein Proxy-Problem vor, mit dem Sie sich an Ihren Netzwerkadministrator wenden mssen. Wenn das Herunterladen der Datei mglich ist, msste dies auch mit VirusScan Enterprise mglich sein. Wenden Sie sich an den technischen Support, damit er Sie bei der Behebung des Fehlers in Ihrer VirusScan Enterprise-Installation untersttzt. Frage: Wie lautet die Internet-Adresse der HTTP-Download-Website? Antwort: Die Internet-Adresse der McAfee-Download-Website lautet: http://www.mcafee.com/us/downloads/. Die Datei CATALOG.Z mit neuen Aktualisierungen knnen Sie von folgender Website herunterladen: http://update.nai.com/Products/CommonUpdater/catalog.z. Frage: Wo befindet sich die FTP-Download-Website? Antwort: Die Internet-Adresse der FTP-Download-Website ist: ftp://ftp.mcafee.com/pub/antivirus/datfiles/4.x. Die Datei CATALOG.Z mit neuen Aktualisierungen knnen Sie von folgender Website herunterladen: ftp://ftp.mcafee.com/CommonUpdater/catalog.z.

118

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Anhang Fehlerbehebung

Frage: Falls ich ein potenziell unerwnschtes Programm entdecke und die Option Benutzereingabe anfordern ausgewhlt habe, welche Aktion sollte ich dann auswhlen (Bereinigt oder Lschen)? Antwort: Im Allgemeinen empfehlen wir, im Zweifelsfall die Aktion Bereinigt auszuwhlen. Die Zugriffs- und On-Demand-Scanner sichern Elemente automatisch im Quarantne-Ordner, bevor sie gereinigt oder gelscht werden.

McAfee VirusScan Enterprise 8.8-Produkthandbuch

119

Index
A
Abfragen, VirusScan Enterprise Aktivitt berwachen 91, 96 vordefinierte, Liste der 91 Zugriff von der ePO-Navigationsleiste, Berichterstellung 91 AccessProtectionLog.txt, Aktivittsprotokoll 96 Adware (siehe Unerwnschte Programme) 41 Aktionen, VirusScan Enterprise Entdeckung von Buffer Overflows 83 Isolierte Elemente 86 On-Demand-Scan 75, 85 Reagieren auf eine Bedrohung 91, 96 Scannen bei Zugriff 82, 84 Scannen von E-Mails 85 Unerwnschte Programme 84 Zugriffsschutz 83 Zugriffsverletzungen 26 Aktivittsprotokolle, VirusScan Enterprise Anzeigen 84, 110 On-Demand-Scan und 75, 85 Scannen von E-Mails und 78, 85 Unerwnschte Programme 84 Verwenden 96 Zugriffsverletzungen 26 Aktualisieren, VirusScan Enterprise Aktualisierungs-Task 47 Aktualisierungs-Websites 48 Anforderungen 48 AutoUpdate 48 Prozessbersicht 48 Strategien 47 Tasks 47 Aktualisierungs-Task, Befehlszeilenoptionen 107 Alert Manager Ereignisse 26 Konfigurieren von Warnmeldungen 89 Zugriffsverletzungen 26 Anpassung, VirusScan Enterprise zu scannende Elemente, Hinzufgen und Ausschlieen 54 Anti-Spyware-Regeln Konfigurieren des Zugriffsschutzes 28 Antivirus-Regeln Konfigurieren des Zugriffsschutzes 28 Vorkonfigurierter Zugriffsschutz 25 Artemis heuristische Netzwerkprfung auf verdchtige Dateien 10 bersicht 60 VirusScan Enterprise-Komponentenbersicht 10 Auf Netzwerklaufwerken Konfigurieren mithilfe der VirusScan-Konsole 70 Konfigurieren mithilfe von ePolicy Orchestrator 4.0 69 Konfigurieren mithilfe von ePolicy Orchestrator 4.5 und 4.6 69 Konfigurieren, bersicht 68 Ausbringung Aktualisierungsanforderungen 48 VSE-Aktualisierungs-Tasks planen 47 Ausschlsse auszuschlieende Elemente 54 Festlegen von Scan-Elementen ber Platzhalterzeichen 54 On-Demand-Scan 75 Prozesse identifizieren fr 83 Unerwnschte Programme 42, 43 AutoUpdate Anforderungen 48 Konfigurieren 49 Prozessbersicht 48 Repositories, Verbindung herstellen mit 48 Repository-Liste 52 Strategien fr VSE-Aktualisierungen 47

B
Bandbreite und Aktualisierungsstrategien 47 Bedrohung Analyse der VirusScan-Konsole 100 Analyse mit ePolicy Orchestrator 4.0 100 Analyse mit ePolicy Orchestrator 4.5 und 4.6 99 Bedrohungen Einreichen von Beispielen 108 Analysieren, Beispiele 99 Analysieren, bersicht 98 Buffer Overflow 83 Isolierte Elemente 86 On-Demand-Scan 85 Reagieren auf 91, 96 Scannen bei Zugriff 84 Scannen von E-Mails 85 Schutzstrategie 12 Stoppen 21 Unerwnschte Programme 84 Zugreifen auf die Bedrohungsbibliothek 109 Zugriffsentdeckungen und Aktionen 82 Zugriffsverletzungen 83 Befehlszeile Aktualisierungs-Task-Optionen 107 On-Demand-Scan-Optionen 105 Verwenden zum Konfigurieren des Produkts 104 Benachrichtigungen, VirusScan Enterprise Konfigurieren 89 bersicht 89 Benutzerdefinierte Regeln Arten 27 Zugriffsschutz 30, 31, 32, 33 Benutzerdefinierte Regeln, Zugriffsschutz 25 Benutzerkonten, Kontrollieren des Zugriffs auf die VirusScan Enterprise-Oberflche 22 Benutzeroberflchensicherheit Kennwrter und 22 Konfigurieren 23

120

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Index

Berichte Analysieren von Bedrohungen 98 Konfigurieren der VirusScan Enterprise-Protokollierung 78 On-Demans-Scan-Aktivitt 75 Zugriff auf Abfragen 91 Best Practice-Empfehlungen EXTRA.DAT-Dateien entfernen aus Repositories 48 Strategien fr VSE-Aktualisierungen 47 Buffer Overflow-Schutz Deaktivieren whrend der Fehlerbehebung 112 Blockieren von Exploits 37 Entdeckungen und Aktionen 83 Exploits, bersicht 38 Warnungen und Benachrichtigungen 89 BufferOverflowProtectionLog.txt, Aktivittsprotokoll 96

E
E-Mail-Scan bei Empfang Warnungen und Benachrichtigungen 89 Einstellungen, VirusScan Enterprise Allgemein, Konfigurieren mithilfe der VirusScan-Konsole 64 Allgemein, Konfigurieren mithilfe von ePolicy Orchestrator 4.0 63 Allgemein, Konfigurieren mithilfe von ePolicy Orchestrator 4.5 oder 4.6 62 Allgemeine und Prozess-, definiert 61 Entdeckung von Bedrohungen (siehe Bedrohungen) 78 Entdeckungen Aktionen als Reaktion auf 82 Buffer Overflow 83 On-Demand-Scan 75, 85 Reagieren auf 91, 96 Scannen bei Zugriff 84 Scannen von E-Mails 78, 85 Zugriffsschutz 83 ePolicy Orchestrator Abrufen von DAT-Dateien 46 Untersttzte Versionen 9 Server-Tasks, Konfigurieren eines Beispiels 103 Server-Tasks, bersicht 102 VirusScan Enterprise-Komponente 10 ePolicy Orchestrator 4.0 Beispiel fr das Analysieren von Bedrohungsschutz 100 Konfigurieren des AutoUpdate-Tasks 49 Konfigurieren des Spiegelungs-Tasks 51 Konfigurieren von On-Demand-Scan-Tasks 74 Zugriff auf Abfragen und Dashboards 92 ePolicy Orchestrator 4.5 und 4.6 Beispiel fr das Analysieren von Bedrohungsschutz 99 Konfigurieren des AutoUpdate-Tasks 49 Konfigurieren des Spiegelungs-Tasks 51 Konfigurieren von On-Demand-Scan-Tasks 73 Zugriff auf Abfragen und Dashboards 91 Ereignisse, VirusScan Enterprise Alert Manager 26 Zugriffsverletzungen 26 EXTRA.DAT-Dateien (siehe Notfall-DATs) 48, 93

C
Cache Konfigurieren mithilfe der VirusScan-Konsole 78 Konfigurieren mithilfe von ePolicy Orchestrator 4.0 77 Konfigurieren mithilfe von ePolicy Orchestrator 4.5 oder 4.6 76 bersicht 76 Cache, konfigurieren 76 CATALOG.Z-Datei Fehlerbehebung 117 verschlsselte Aktualisierung 48 Client-System, VirusScan Enterprise-Komponente 10 Common-Regeln Standardschutz und maximaler Schutz 25 Vorkonfigurierter Zugriffsschutz 25 Zugriffsschutz, konfigurieren 28 Common-Schutzregeln Konfigurieren des Zugriffsschutzes 28

D
Dashboards Aktivitt berwachen 91, 96 vordefinierte, Zugriff auf 91 DAT-Dateien Aktualisierungs-Tasks, ber 48 Aktualisierungsstrategien 47 Einfhrungen planen 47 Entdeckungen und definierte Aktionen 82 Entdeckungsdefinitionen 47 EXTRA.DAT-Dateien, aktualisieren 48 Rollback, konfigurieren 53 Rollback, bersicht 53 Skript-Scan und 59 bersicht 46 VirusScan Enterprise-Komponentenbersicht 10 Wichtigkeit der Aktualisierung 47 DAT-Repository VirusScan Enterprise-Komponentenbersicht 10 Datei mfehidk.sys, Umbenennen whrend der Fehlerbehebung 112 Dateien und Ordner Blockierungsoptionen 34 Einschrnken des Zugriffs 27 Dateityperweiterungen auszuschlieende Elemente 54 Dialer (siehe Unerwnschte Programme) 41 Dokumentation Struktur 7 Konventionen hinsichtlich der Schreibweise 6 Dokumentation fr Produkte, finden 8

F
Falsch-Positive Erstellen von Ausschlssen zur Reduzierung 83 Fehlerbehebung, VirusScan Enterprise Anhang 109 Deaktivieren von Komponenten 112 empfohlene Tools 116 Funktion "Remote-Konsole ffnen", VirusScan Enterprise bersicht 107 Zugreifen auf Remote-Systeme 108

H
Hufig gestellte Fragen 117 Heuristik zum Prfen auf verdchtige Dateien (siehe Artemis) 60

K
Kennwrter Adressbuchdateien schtzen 25 den Zugriff auf die VSE-Schnittstelle kontrollieren 22 Richtlinie fr die Benutzeroberflchenoptionen 23 KnowledgeBase, ServicePortal des technischen Supports 8 Komponenten Illustration 10

McAfee VirusScan Enterprise 8.8-Produkthandbuch

121

Index

Komponenten (Fortsetzung) VirusScan-Konsole 13 von VirusScan Enterprise 10 Konventionen dieses Handbuchs 6

Option "Hchstens verschieben fr", VirusScan Enterprise 72 Option fr alle Dateien, VirusScan Enterprise 59 Option fr standardmige und zustzliche Dateitypen, VirusScan Enterprise 59

L
Liste "Task", VirusScan-Konsole 13

P
Planen Tasks 55 Platzhalterzeichen, Verwendung in Scan-Elementen 54 Ports Netzwerkverkehr blockieren auf 25, 27 Zugriffsschutz, Optionen 33 Potenziell unerwnschte Programme (siehe Unerwnschte Programme) 41 Protokolldateien, VirusScan Enterprise On-Demand-Scan und 75 Scannen von E-Mails und 78 siehe Aktivittsprotokolle, VirusScan Enterprise 96 Zugriffsverletzungen 26 Prozesse "include" und "exclude" 35 Prozesseinstellungen Scannen bei Zugriff 65 PUPe (siehe Unerwnschte Programme) 41

M
McAfee Agent Symbole geben Version an 15 VirusScan Enterprise-Komponentenbersicht 10 McAfee Headquarters, VirusScan Enterprise-Komponente 10 McAfee Labs Einreichen von Beispielen 108 Senden eines Beispiels 84 Artemis sendet Fingerabdruck an 60 VirusScan Enterprise-Komponentenbersicht 10 Zugreifen auf die Bedrohungsbibliothek 109 Zugriff 13 McAfee ServicePortal, zugreifen 8 McAfee Validation Trust Protection Service, Deaktivieren whrend der Fehlerbehebung 112 Menleiste, VirusScan-Konsole 13 MERTool (siehe Minimum Escalation Requirements Tool) 111 MFEVTP (siehe McAfee Validation Trust Protection Service) 112 Minimum Escalation Requirements-Tool 111 MirrorLog.txt, Aktivittsprotokoll 96 Modulaktualisierung AutoUpdate, Prozessbersicht 48 Strategien 47 Wichtigkeit 47 msiexec.exe, Befehlsinstallationsbefehl 109

Q
Quarantne, VirusScan Enterprise Konfigurieren mit der VirusScan-Konsole 88 Konfigurieren mit ePolicy Orchestrator 4.0 87 Konfigurieren mit ePolicy Orchestrator 4.5 oder 4.6 86 Quarantne-Richtlinie 86 bersicht 86

R N
Netzwerklaufwerke Konfigurieren mithilfe der VirusScan-Konsole 70 Konfigurieren mithilfe von ePolicy Orchestrator 4.0 69 Konfigurieren mithilfe von ePolicy Orchestrator 4.5 und 4.6 69 Konfigurieren, bersicht 68 Notfall-DATs bersicht 93 Regeln, VirusScan Enterprise Zugriffsschutz 25 Antivirus 28 benutzerdefinierte, Typen 27 Datei- und Ordnerblockierung 34 nicht verwendete entfernen 35, 36, 37 Port-Blockierung 33 Registrierungsblockieroptionen 34 Registerkarte "Aktionen", VirusScan Enterprise Scannen bei Zugriff 65, 67 E-Mail-Scan bei Empfang 78, 80 On-Demand-Scan 75 Registerkarte "Allgemein", VirusScan Enterprise Scannen bei Zugriff 61 Registerkarte "Ausschlsse", VirusScan Enterprise Scannen bei Zugriff 65, 67 On-Demand-Scan 75 Registerkarte "Berichte", VirusScan Enterprise Scannen bei Zugriff 61 E-Mail-Scan bei Empfang 78, 80 On-Demand-Scan 75 Statistische Daten zum Scannen bei Zugriff 100 Registerkarte "Blockieren", VirusScan Enterprise Scannen bei Zugriff 61 Registerkarte "Leistung", VirusScan Enterprise On-Demand-Scan 75 Registerkarte "Nachrichten", VirusScan Enterprise Scannen bei Zugriff 61 Registerkarte "Notes-Scannereinstellungen", VirusScan Enterprise E-Mail-Scan bei Empfang 78, 80

O
On-Demand-Scan Befehlszeilenoptionen 105 Unerwnschte Programme, konfigurieren (siehe Konfigurieren von On-Demand-Scan-Tasks) 41 Ausschlsse 75 Entdeckungen und Aktionen 85 inkrementell, fortsetzbar, im Arbeitsspeicher 71 Konfigurieren mit der VirusScan-Konsole 74 Konfigurieren mit ePolicy Orchestrator 4.0 74 Konfigurieren mit ePolicy Orchestrator 4.5 oder 4.6 73 Konfigurieren von Tasks 75 Methoden 71 Scan-Verschiebung 72 Scans des Remote-Speichers 72 Systemauslastung 72 bersicht 71 OnAccessScanLog.txt, Aktivittsprotokoll 96 OnDemandScanLog.txt, Aktivittsprotokoll 96 Option "Auf Netzlaufwerken", VirusScan Enterprise 58 Option "Globale Scan-Einstellungen", VirusScan Enterprise 76

122

McAfee VirusScan Enterprise 8.8-Produkthandbuch

Index

Registerkarte "Plan", VirusScan Enterprise 55 Registerkarte "Proxyeinstellungen", VirusScan Enterprise 52 Registerkarte "Repositories", VirusScan Enterprise 52 Registerkarte "Scan-Elemente", VirusScan Enterprise Scannen bei Zugriff 58, 65, 67 E-Mail-Scan bei Empfang 78, 80 Konfigurieren der Richtlinie fr unerwnschte Programme mithilfe der VirusScan-Konsole 44 Konfigurieren der Richtlinie fr unerwnschte Programme mithilfe von ePolicy Orchestrator 4.0 43 Konfigurieren der Richtlinie fr unerwnschte Programme mithilfe von ePolicy Orchestrator 4.5 oder 4.6 42 On-Demand-Scan 75 Richtlinie fr unerwnschte Programme 42 Scannen bei Zugriff 58, 65, 67 Registerkarte "Scan-Speicherorte", VirusScan Enterprise 75 Registerkarte "ScriptScan", VirusScan Enterprise Scannen bei Zugriff 61 Registerkarte "Spiegeln", VirusScan Enterprise 50 Registerkarte "Task", VirusScan Enterprise Planen von On-Demand-Scans 75 Planen von Tasks 55 Registerkarte "Vorgnge", VirusScan Enterprise Scannen bei Zugriff 65, 67 Registerkarte "Warnmeldungen", VirusScan Enterprise E-Mail-Scan bei Empfang 78, 80 Registrierungsschlssel Einschrnken des Zugriffs 27 Optionen 34 Remote-Konsole bersicht 107 Zugreifen auf Remote-Systeme 108 Repositories AutoUpdate, Verbindung herstellen mit 48 EXTRA.DAT-Dateien entfernen aus 48 zentral, fr VSE-Aktualisierung verwenden 47 Repository-Liste Konfigurieren 52 AutoUpdate 52 Richtlinie fr unerwnschte Programme Ausschlsse 42, 43 Richtlinien, VirusScan Enterprise Allgemeine Optionen 23 Richtlinien fr das E-Mail-Scannen bei Empfang 78 Scannen bei Zugriff 61 Scannen von E-Mails 78 Unerwnschte Programme 41, 84 Warnungsrichtlinien 89 Rollback von DATs, VirusScan Enterprise 53

S
Scan-Aktualisierung Strategien 47 Scan-Cache Konfigurieren mithilfe der VirusScan-Konsole 78 Konfigurieren mithilfe von ePolicy Orchestrator 4.0 77 Konfigurieren mithilfe von ePolicy Orchestrator 4.5 oder 4.6 76 bersicht 76 Scan-Modul VirusScan Enterprise-Komponentenbersicht 10 Wichtigkeit der Aktualisierung 47 Scan-Verschiebung, bersicht 72 Scannen Aktivittsprotokolle 84 Ausschlsse, Festlegen 54

Scannen (Fortsetzung) Bei Zugriff (siehe Scannen bei Zugriff) 57 E-Mail-Scans (siehe Scannen von E-Mails) 78 Festlegen von Scan-Elementen ber Platzhalterzeichen 54 Hinzufgen und Ausschlieen von Scan-Elementen 54 On-Demand (siehe On-Demand-Scan) 71 Scannen bei Zugriff Aktivittsprotokolldatei 110 Deaktivieren whrend der Fehlerbehebung 112 Konfigurieren mit der VirusScan-Konsole 67 Konfigurieren mit ePolicy Orchestrator 4.0 66 Konfigurieren mit ePolicy Orchestrator 4.5 und 4.6 66 Allgemeine und Prozesseinstellungen 61 die Anzahl der Scan-Richtlinien bestimmen 61 Entdeckungen und Aktionen 82, 84 Lesen von oder Schreiben auf Datentrger 58, 59 Prozesseinstellungen 65 Scan-Richtlinien 61 Skript-Scan 59 bersicht 57 Unerwnschte Programme, Aktivieren mithilfe der VirusScan-Konsole 46 Unerwnschte Programme, Aktivieren mithilfe von ePolicy Orchestrator 4.0 45 Unerwnschte Programme, Aktivieren mithilfe von ePolicy Orchestrator 4.5 oder 4.6 44 Unerwnschte Programme, bersicht 44 Scannen von E-Mails Entdeckungen und Aktionen 85 Konfigurieren 78 Unerwnschte Programme, Aktivieren mithilfe der VirusScan-Konsole 46 Unerwnschte Programme, Aktivieren mithilfe von ePolicy Orchestrator 4.0 45 Unerwnschte Programme, Aktivieren mithilfe von ePolicy Orchestrator 4.5 oder 4.6 44 Unerwnschte Programme, bersicht 44 Scans des Remote-Speichers, bersicht 72 Schutzregeln fr virtuelle Computer Konfigurieren des Zugriffsschutzes 28 Vorkonfigurierter Zugriffsschutz 25 ScriptScan, Deaktivieren whrend der Fehlerbehebung 112 SDAT (siehe SuperDAT-Pakete) 93 Server-Tasks ePolicy Orchestrator, bersicht 102 ePolicy Orchestrator, Konfigurieren eines Beispiels 103 ServicePortal des technischen Supports bei McAfee 8 Fehlerbehebung 112 Verwenden von MERTool 111 ServicePortal, Finden von Produktdokumentation 8 SETUPVSE.exe, Befehlsinstallationsbefehl 109 SITELIST.XML (siehe Repository-Liste) 52 Skript-Scan (siehe Scannen bei Zugriff) 59 Spiegelungs-Task Konfiguration 50 bersicht 50 Spyware (siehe Unerwnschte Programme) 41 Statusleiste, VirusScan-Konsole 13 SuperDAT-Pakete herunterladen 93 Installieren in einem ePolicy Orchestrator-Repository 94 bersicht 93 Symbole, Taskleiste 15 Symbolleiste, VirusScan-Konsole 13 Systemauslastungsoption, bersicht 72

McAfee VirusScan Enterprise 8.8-Produkthandbuch

123

Index

T
Task AutoUpdate 49 aktualisieren 48 Planen 55 spiegeln 50 Task-Planung empfohlenes On-Demand-Intervall 55 Konfigurieren 55 Taskleiste Funktionen der rechten Maustaste 15 Menoptionen 15 Symbole 15 Taskleistensymbol Konfigurieren des Zugriffs auf die VirusScan Enterprise-Oberflche 23 Zugriffsverletzungen und 26

VirusScan-Konsole Analysieren von Bedrohungen 100 Funktionen der rechten Maustaste 15 bersicht 13 Vorgnge mit geringem Risiko Einstellungen 61 VirusScan Enterprise konfigurieren 61 Vorgnge mit hohem Risiko Einstellungen 61 VirusScan Enterprise konfigurieren 61 Vorgnge, VirusScan Enterprise geringes Risiko und hohes Risiko 61 Inkrementelles oder fortsetzbares Scannen 71 Scannen von Prozessen im Arbeitsspeicher 71 Skript-Scan 59 Standard, konfigurieren 61

W U
berwachen, VirusScan Enterprise Tools 96 bersicht 96 Unerwnschte Programme Aktionen und On-Demand-Scan 75 Entdeckungen und Aktionen 84 Konfiguration der Richtlinie fr 41 On-Demand-Scan 71 Scannen von E-Mails, Aktionen 78 bersicht 41 UpdateLog.txt, Aktivittsprotokoll 96 Warnungen, VirusScan Enterprise Konfigurieren 89 On-Demand-Scan 75 Scannen bei Zugriff 57 Scannen von E-Mails 78 bersicht 89 Warnungsmeldungen des Zugriffsscans 57 WebImmune-Website 108 Windows Dateischutz, Ausschlsse 54 Windows-Explorer Funktionen der rechten Maustaste 15

V
VirusScan Enterprise Entfernen whrend der Fehlerbehebung 112 Reparieren der Installation 109 Aktualisieren 47, 48 Aktualisierung, Anforderungen 48 Allgemeine Einstellungen, konfigurieren 61 Allgemeine Einstellungen, Konfigurieren mithilfe der VirusScan-Konsole 64 Allgemeine Einstellungen, Konfigurieren mithilfe von ePolicy Orchestrator 4.0 63 Allgemeine Einstellungen, Konfigurieren mithilfe von ePolicy Orchestrator 4.5 oder 4.6 62 auszuschlieende Elemente, Hinzufgen und Ausschlieen 54 Benachrichtigungen und Warnungen 89 Benutzeroberflchensicherheit 22 Erstkonfiguration 18 nicht verwendete Regeln entfernen 35, 36, 37 On-Demand-Scan 71 Produktberblick 9 Richtlinie fr unerwnschte Programme 41 Scannen bei Zugriff 57, 84 Scannen von E-Mails 78 Zugriffsschutz 25, 26

Z
Zielgruppe dieses Handbuches 6 Zugriffsschutz Deaktivieren whrend der Fehlerbehebung 112 Antivirus- und Common-Regeln 28 Ausschlieen von Prozessen 35 Beispiel einer Bedrohung 21 Beispiel eines Protokollberichts 21 Benutzerdefinierte Regeln 25, 27, 30, 31, 32, 33 Common-Regeln 25 Datei- und Ordnerblockierungsregeln 34 Entdeckungen und Aktionen 83 Erste Schritte 25 nicht verwendete Regeln entfernen 35, 36, 37 Port-Blockierungsregeln 33 Protokolle, einschrnken 27 Regeltypen 25 Registrierungsblockierungsregeln 34 Richtlinien, bersicht 28 Schutzregeln fr virtuelle Computer 25 Standardschutz und maximaler Schutz 25 bersicht 20, 25 Vorkonfigurierte Regeln 25 Zugriffsverletzungen 26

124

McAfee VirusScan Enterprise 8.8-Produkthandbuch