McAfee - Kompletní popis produktu

Z HelpDesk

Připravili jsme pro vás základní nápovědu pro instalaci, ovládání a nastavení aplikace McAfee.

Instalace McAfee

V této kapitole je popsána instalace McAfee, počínaje definicí nutných podmínek pro úspěšné dokončení přes vlastní spuštění až po řešení případných problémů s instalací.

Nutné předpoklady

Dříve než začnete s instalací, ujistěte se, že

  • je odinstalován stávající antivirový program, protože jinak může docházet ke kolizím a destabilizaci systému.
  • jsou vypnuté všechny instalované firewally (interní MS Windows, Kerio Personal Firewall, ...), nebo je na nich povolit komunikaci 80/TCP ve směru ven a 8081/TCP ve směru dovnitř s IP adresou 147.228.244.66 (centrální server McAfee pro ZČU).
  • nepoužíváte neaktuálního klienta AFS. Pokud je verze starší než 1.5.2600 neistalujte McAfee dokud nezaktualizujete AFS klienta, protože neaktuální verze si s McAfee nerozumí a může zablokovat veškerou síťovou komunikaci. Verzi vašeho OpenAFS klienta zjistíte klinutím na ikonku zámečku v tray:
Zjištění verze OpenAFS klienta (zde špatná verze 1.2.10)

Průběh instalace

  • Po spuštění instalační souboru FramePkg.exe (ke stažení zde)je průběh instalace je zobrazován následovně:
    Průběh instalace
  • Po dokončení instalace se v oznamovací oblasti objeví ikonka McAfee (může to trvat pár minut) s těmito možnostmi:
    Ikonka McAfee - stav po instalaci Agenta
  • Během cca 20 minut agent zahájí stahování všech dostupných modulů a jejich defaultní konfigurace.
  • V případě, že nechcete čekat, spusťte "Status monitor"
    • Varianta A
      • Kliknutí na ePolicy Orchestrator Agent.
      • V následujícím menu vybráno Status monitor....
    • Varianta B (použitelná pokud se ikonka dlouho nezobrazuje)
      • Spustit C:\Program Files\McAfee\Common Framework\CmdAgent.exe /s
    • V obou případech se otevře okno, kde lze Agenta úkolovat:
      Status monitor
    • Po kliknutí na Check New Policies se Agent se ihned spojí se serverem a začne stahovat moduly a jejich nastavení (v okně s logy se to začne hemžit zápisy o aktivitách Agenta).
  • Po dokončení instalace se kliknutím na ikonku McAfee zobrazí v menu více položek:
    Ikonka McAfee - stav po dokončení instalace
    • Kliknutím na možnost About ... se objeví seznam nainstalovaných modulů a jejich verzí:
      Seznam nainstalovaných komponent a jejich verzí
    • V seznamu by měly být následující položky:
      1. McAfee AutoUpdate
      2. Host Intrusion Prevention 7.0.0
      3. Product Coverage Report
      4. McAfee VirusScan Enterprise Workstation
      5. McAfee AntiSpyware Enterprise Module

Řešení známých problémů souvisejících s instalací

Při instalaci se mohou vyskytnout určité problémy, přičemž ne vždy musí být problém ze strany McAfee. V řadě případů plní McAfee pouze svou funkci a blokuje závadné aplikace, které máte na stanici už delší dobu a předchozímu antivirovému programu nevadili. Do této sekce jsou průběžně doplňovány informace o známých problémech a jejich řešení.

Problém:
Příčina:
Řešení:

Poznámky

  • Po dokončení instalace některých modulů je vyžadován restart počítače.
  • Během instalace modulu HIPS je restartováno síťové spojení.
  • Než je instalace kompletní a jsou staženy příslušné politiky, není vhodné spouštět libovolné další programy.

Práce s aplikací

V této kapitole vám budou představeny základní informace týkající se běžného provozu a soužití s McAfee. Detaily o poskytovaných funkcích jsou popsány v následující kapitole věnované popisu jednotlivých součástí.

Kde všude jsi, McAfee?

McAfee ikona v tray

V první řadě jistě zaznamenáte červenobílou ikonu v tray oblasti, obsah příslušné kontentextové nabídky závisí na konkrétním nastavení pro vaši stanici. Implicitně jsou všechny dostupné všechny zmiňované v kapitole o instalaci.

Dále v nabídce Start přibyla skupina McAfee, která obsahuje často používané volby.

  • On Access Scan - slouží ke konfiguraci antivirového štítu
  • On Demand Scan - umožňuje plánovat a spouštět uživatelem definované scany
  • VirusScan Console - přístup do konfigurační konzole modulu VirusScan
  • Host Intrusion Prevention - přístup do konfigurační konzole modulu HIPS

McAfee Agent, jednotlivé moduly a vše s nimi související se na disku implicitně nachází v adresářích

c:\Program Files\McAfee
c:\Documents and Settings\All Users\Data aplikací\McAfee

Za samostatnou zmínku stojí soubory s logy, do kterých McAfee ukládá informace o své činnosti. V případě potíží jde o cenný zdroj informací.

  • Základní aktivity McAfee Agenta:
c:\Documents and Settings\All Users\Data aplikací\McAfee\Common Framework\Db\Agent_<SystemName>.log
  • Aktivity komponenty Access Protection modulu VirusScan Enterprise:
c:\Documents and Settings\All Users\Data aplikací\McAfee\Desktop Protection\AccessProtectionLog.txt
  • Aktivity komponenty Buffer Overflow Protection modulu VirusScan Enterprise:
c:\Documents and Settings\All Users\Data aplikací\McAfee\Desktop Protection\BufferOverflowProtectionLog.txt
  • Aktivity komponenty Buffer Overflow Protection modulu On-Delivery e-mail Scanner:
c:\Documents and Settings\All Users\Data aplikací\McAfee\Desktop Protection\EmailOnDeliveryLog.txt
  • Aktivity antivirového štítu (komponenty On Access Scanner a Unwanted Program Policy) modulu VirusScan Enterprise:
c:\Documents and Settings\All Users\Data aplikací\McAfee\Desktop Protection\OnAccessScanLog.txt
  • Informace o scanech vyžádaných uživatelem:
c:\Documents and Settings\All Users\Data aplikací\McAfee\Desktop Protection\OnDemandScanLog.txt
  • Informace o (ne)proběhlých update virových bází a dalších komponent:
c:\Documents and Settings\All Users\Data aplikací\McAfee\Desktop Protection\UpdateLog.txt

Co všechno hlídáš, McAfee?

Implicitně instalované řešení se skládá z několika základních komponent, které zajišťují vaši bezpečnost. Některé pracují téměř nepozorovaně, například antivir a antispyware se ozve pouze v případě, že narazí na vir. Zatímco jiné komponenty mohou se mohou dožadovat vaši pozornosti i v okamžicích, kdy vám žádné nebezpečí nehrozí.

Co se tedy děje s každou aplikací či běžící službou? Než je povoleno jejich spuštění a umožněn přístup k síti, musí projít následujícím kontrolním kolečkem.

1. VirusScan Enterprise / On Access Scan (Antivirová kontrola)

  • Každý soubor je při svém otevření prověřen, zda neobsahuje viry.
  • V případě, že je virus nalezen, McAfee zakáže přístup k tomuto souboru (nastavení CIV, záleží na konfiguraci).
  • Seznam virů je připravován firmou McAfee a pravidelně doručován na váš počítač.
  • V případě oprávněné potřeby si každý uživatel může nastavit výjimky, které nejsou scanovány.

2. VirusScan Enterprise / Unwanted Program Detection (Detekce nežádoucích programů)

  • Každý soubor je při svém otevření prověřen, zda neobsahuje nežádoucí programy jako je spyware, adware a jiný malware.
  • V případě detekce problémového souboru je k němu opět implicitně odepřen přístup.
  • Seznam nežádoucích a podezřelých programů je připravován firmou McAfee a pravidelně doručován na váš počítač.
  • Opět je možné v oprávněných případech nastavít výjimky pro vybrané aplikace.

3. HIPS / IPS (Detekce známých průniků)

  • Intrusion Prevention System průběžně kontroluje co aplikace dělá a pokud je tato aktivita na seznamu nebezpečných a nepovolených činností, zablokuje ji.
  • Seznam nežádoucích činností je vytvářen firmou McAfee, ale CIV a lokální správci mohou v případě potřeby nevhodná pravidla vypnout.
  • I pro tento modul je možné nastavit výjimky, které nejsou kontrolovány komponentou IPS.

4. HIPS / Application Blocking (Povolení ke spuštění aplikace)

  • Modul pro blokování aplikací má k dispozici seznam pravidel, podle kterého zjišťuje jaké aplikace (ne)smějí být spouštěny.
  • Řada pravidel týkajících se operačního systému je předdefinována od McAfee, případně od pracovníků CIV.
  • Při spuštění každé aplikace se modul podívá do seznamu a najde-li příslušné pravidlo, je aplikaci povoleno nebo zakázáno spuštění .
  • Co když není nalezeno žádné pravidlo? Nikdo, kromě uživatele systému neumí zjistit, zda danou aplikaci chtěl spustit nebo ne, proto se uživateli zobrazí dotaz zda má taková aplikace spuštěna

Dotaz ke spuštění aplikace Dotaz ke spuštění aplikace aplikací

  • Na prvním obrázku je vidět dotaz zjišťující, zda si uživatel přeje povolit spuštění aplikace (Application Creation Alert).
  • Na druhém obrázku je vidět podobný dotaz zjišťující, zda si uživatel přeje povolit aplikaci spouštění dalších aplikací (Application Hook Alert). Některé aplikace si totiž pro vyřizování svých potřeb spouští další aplikace, např. GimpShop a řada dalších. Podle způsobu programování dané aplikace je někdy za spouštění aplikace považováno i otevření dialogu "Uložit jako ..." apod.
  • V dialogu jsou údaje, které vám mají pomoci v rozhodování - pokud se jedná o program nebo službu, která souvisí s tím co právě děláte, neváhejte s povolením (Allow). V opačném případě zvolte zablokovat (Deny).
  • Automaticky je přidáno odpovídající pravidlo, takže podruhé se již dotaz ke stejné aplikaci již nezobrazí.
  • Všechna vytvořená pravidla lze změnit, takže pokud si zablokujete oblíbenou aplikaci, lze to snadno napravit.
  • V případě, že se spustí další aplikace dříve než se vám povede vyřídit první dotaz, můžete mezi vznesenými dotazy listovat pomocí tlačítek Previous a Next.

5. HIPS / Firewall (Povolení komunikace po síti)

  • Pokud chce aplikace také komunikovat po síti, musí projít firewallem. Velké množství aplikací si vystačí bez sítě, takže k prověrce firewallem nedojde.
  • Podobně jako u blokování aplikací, i firewall má seznam pravidel, podle kterého určuje jestli daný požadavek na síťovou komunikaci má povolit nebo zákazat.
  • Základní pravidla jsou připravena pracovníky CIV a měla by pokrývat základní programové vybavení v síti WEBnet. Další může přidávat uživatel systému.
  • Není-li žádné použitelné pravidlo k dispozici, McAfee se opět obrátí s dotazem na uživatele. Zobrazený dialog je velmi podobný tomu, který již znáte z blokování aplikací. Na první pohled se liší tím, že obsahuje dvě záložky a na druhý pohled rozdílným textem (viz následující obrázky).

Dotaz k povolení síťové komunikace - první záložka Dotaz k povolení síťové komunikace - druhá záložka

  • V první záložce je specifikováno, že se jedná o dotaz ohledně síťové komunikace (Network Application Alert). Dále pak informace o aplikaci, která chce přístup k síti. Opět je možné požadavek schválit (Allow) nebo zamítnout (Deny).
  • Druhá záložka rozšiřuje možnosti rozhodování. Jednak jsou zobrazeny detailnější informace o spojení - ne každé aplikace můžete chtít povolit libovolnou komunikaci. Dále obsahuje dvě zaškrtávácí políčka
    • Create a firewall application rule for all ports and protocols - zaškrtnutím dáte najevo, že vybraná aplikace není nijak omezována v komunikaci (vytvoří se rozšířené pravidlo).
    • Remove this rule whet the application terminates - zaškrtnutím zajistíte, že aplikace může komunikovat pouze do jejího vypnutí. Pak je pravidlo smazáno.
  • Opět je možné listovat mezi více dotazy pomocí tlačítek Previous a Next.
  • Již vytvořená pravidla jde kdykoliv měnit.

Popis jednotlivých součástí

V této kapitole je popsáno uživatelské rozhraní McAfee a poskytované funkce.

Po nainstalování McAfee se dostanete do základní nabídky přes ikonu v "tray nabídce" (vpravo dole)

Základní nabídka

ePolicy Orchestrator Agent

Agent zajišťuje spojení se serverem na ZČU, ze kterého se stahují jednotlivé moduly a bezpečnostní politiky (dále jen BPo).

ePolicy Orchstrator Agent

Update Now

Tato záložka stáhne poslední aktualizace ze serveru ZČU.

Update Now

Status Monitor

Status monitor slouží pro úkolování Agenta a monitoring jeho činnosti. Po dokončení instalace není důvod jej používat.

Status Monitor
  1. Zde vidíte záznam činnosti Agenta
  2. Zašle serveru zaznamenané události (útok na PC apod.)
  3. Zkontroluje aktuální nastavení BPo
  4. Uplatní BPo
  5. Zobrazí nastavení Agenta (viz. kapitola Settings)

Settings

Zde je nastavení agenta

Settings
  1. Interval jak často bude agent kontrolovat dodržování BPo
  2. Interval jak často bude agent stahovat nastavení BPo ze serveru

McAfee Host Intrusion Prevention

Modul označovaný HIPS (Host Intrusion Prevention System) se skládá z firewallu, lokálního IPS a blokování aplikací.

HIPS

V základní nabídce HIPS můžete jednotlivé části vypnout.

  • Disable All => vypne všechny části
  • Disable IPS => vypne Intrusion Prevention System
  • Disable Firewall => vypne firewall
  • Disable App Blocking => vypne blokování aplikací
  • Restore setting => pokud je něco vypnuto, poklikáním na tuto záložku se vše opět spustí
HIPS Restore

Pokud chcete změnit předdefinované nastavení, zvolte záložku Configure.

Nastavení HIPS

Uživatelské rozhraní k jednotlivým komponentám modulu HIPS vypadá následovně:

Nastaveni HIPS

Přihlášení do HIPS

Aby jste mohli provádět změny, tak se nejdříve musíte přihlásit.

Unlock HIPS

A poté zadejte Password: mcafee-zcu

Login HIPS

IPS Policy

V této záložce je možné měnit nastavení IPS.

IPS Policy
  1. Zapne/Vypne IPS
  2. Zapne adaptivní mód - program si při běhu sám vytváří výjimky (tj. v okně 3 se automaticky objeví seznam programů, které by IPS zablokovalo, doporučujeme vypnout)
  3. Seznam výjimek - programy, které nejsou blokovány, i v případě kdyby je IPS rádo blokovalo.
  4. Zapne IPS také pro síťové rozhraní
  5. Možnost nachat detekovaného útočníka zablokovat na určený čas
  6. Kliknutím na Add můžete přidávat další předem definované výjimky.

Přidání programu

  1. Stručný popis výjimky
  2. Kliknutím na Browse vyhledáte daný program
  3. Aktivuje výjimku pro program
Pridani programu
Pridany program

Firewall Policy

Záložka pro nastavení aplikačního firewallu. Jednotlivým aplikacím lze vytvářet pravidla pro síťovou komunikaci.

Firewall
  1. Zapne/vypne firewall
  2. Zapne/vypne adaptivní mód - program sám vytváří pravidla pro firewall podle proběhlé komunikace. Případně zde může být místo adaptivního režimu učící se módu, kdy je pro každé spojení, které nevyhovuje žádnému pravidlu, zobrazen dotaz a podle reakce uživatele vytvořeno pravidlo.
  3. Zde vidíte již existující pravidla firewallu
  4. Kliknutím na Add můžete přidat další pravidla
  5. V properties si můžete upravit označené pravidlo (totéž dvojklikem na pravidlo)
  6. Duplicate vytvoří kopii označeného pravidla
  7. Remove smaže označené pravidlo

Přidání pravidla
Manuální přidání pravidla.

Pridani pravidla
  1. Popisek pravidla
  2. Nastavte zda se má program blokovat (Block) nebo povolit (Permit)
  3. Nastavte jaký protokol daná aplikace používá
  4. Nastavte v jakém směru se má blokovat (povolit) aplikaci povolit/zakázat komunikace
    • Incoming - nastaví odchozí spojení
    • Outgoing - nastaví příchozí spojení
    • Either - nastaví v obou směrech
  5. Kliknutím na Browse vyhledejte daný program
  6. Nastavte, jestli má být pravidlo aktivní, jestli se má logovat nebo tlačítkem Time v jaké době se má uplatňovat
  7. Možnost specifikovat také zdrojové a cílové porty a rozsah IP adres, se kterými aplikace (ne)smí komunikovat.

Application Policy

V Application Policy si můžete nastavit jestli aplikace mají právo být spuštěny a jestli mohou spouštět další aplikace. Pokud jsou šedivé, tak s nimi není možno manipulovat.

Application Policy
  1. Zapne/vypne Application Policy
  2. Zapne/vypne Hooking monitor
  3. Zde jsou vypsaná již známá pravidla
  4. Přidání dalšího pravidla
  5. Upraví již přidané pravidlo
  6. Odstraní pravidlo z Application Policy

Přidání dalšího pravidla

Pridani programu
  • Application Rule is Active - Zapne/vypne jestli je pravidlo aktivní
  • Application is allowed to be Created - Zapne/vypne jestli má aplikace právo být spuštěna
  • Application is allowed to Hook other applications - Zapne/vypne jestli má program právo spouštět jiné aplikace

Blocked Hosts

Tato záložka zobrazuje "černou listinu" nežádoucích IP. Pokud chcete někoho zablokovat (provádí na vás nepřetržité útoky), tak jej stačí přidat do seznamu.

Blocked Hosts
  1. Seznam blokovaných IP adresy
  2. Přidání IP adresy

Přidání blokování určité IP adresy

Pridani IP
  • IP Address - sem napište IP adresu pocítače, který chcete blokovat
  • Block until removed - pokud zatrhnete toto pole, tak se bude IP blokovat dokud ji neodstraníte
  • for - zde můžete nastavit na jak dlouho chcete blokovat určitou IP adresu

Application Protection List

Seznam programů, kterým McAfee věří a nejsou nijak omezeny.

Application Protection List

Activity Log

Přehled všech aktivit, které HIPS provedl. Zaznamenávají se pouze aktivity, u kterých je to povoleno.

Activity Log

Na seznam lze aplikovat filtr, který zobrazí pouze požadované typy záznamů

  1. Vypne/zapne zobrazení spojení blokovaných firewallem
  2. Vypne/zapne zobrazení spojení povolených firewallem
  3. Vypne/zapne zobrazení seznamu proběhlých spojení
  4. Vypne/zapne zobrazení pokusů o průnik
  5. Vypne/zapne zobrazení aktivit "Aplication Policy"

VirusScan Enterprise

V konzoli VSE si můžete nastavit různé chování antivirového a antispywarovému programu.

VirusScan Enterprise
  1. Zapne příslušnou službu
  2. Vypne příslušnou službu
  3. Seznam momentálně dostupných služeb a plánovaných akcí (update, měsíční scan, ...)

Access Protection

Komponenta umožňující chránit přístup k určitým částem systému, např. přístup k registrům, systémovým službám apod.

Access Protection

Zde si můžete nastavit různá pravidla, jak se bude McAfee chovat. Od výrobce jsou k dispozici předdefinovaná pravidla v několika kategoriích. Uživatel si může u každé nastavit

  • Block - pokud je zatrženo, tak zablokuje port, aplikaci atd.,
  • Report - pokud je zatrženo, tak se bude událost logovat.

Příklad

Pokud budete třeba chtít, aby vám nejaký spyware nepřenastavil Internet Explorer, tak zvolíte možnost Block. Jestli chcete mít i přehled o změnách, tak si ještě zaškrtněte možnost Report.

Access Protection - priklad

Nastavení můžete dále upravovat kliknutím na Edit

Access Protection - priklad,edit
  1. Název pravidla
  2. Sem napište programy, které se budou pravidlem řídit
  3. Sem napište programy, které se NEbudou pravidlem řídit

Buffer Overflow Protection

Standardně vypnuto. BOP sleduje systém a blokuje určitý typ chyb v programech, které umožňují jeho zneužití. Defaultně je vypnutná, jelikož tuto službu již poskytuje HIPS.

On-Delivery E-mail Scanner

Tato služba kontroluje vaši emailovou poštu, zda neobsahuje nějaké nebezpečné programy, spyware apod. Také si můžete nastavit, co se s takovým nebezpečným materiálem bude dít dál.

Detection

E-mail - Detection
  • All Files - proscanuje všechny typy souborů bez výjimky
  • Default + aditional files - proscanuje základní typy souborů plus přidané typy (v závorce je udán počet přidaných typů)
  • Specified Files - proscanuje pouze přidané typy

Advanced

E-mail - Advanced
  • Heruistic - pokusí se odhalit zatím neznámé viry, trojské koně atd.
    • Find unknown program viruses and trojans - pokusí se najít dosud neznámé viry a trojany
    • Find unknown macro viruses - pokusí se najít dosud neznámé makro viry
    • Find attachments with multiple extensions - pokusí se najít soubory s vícenásobnou příponou (např. obrazek.jpg.exe)
  • Compressed files - zabalené soubory
    • Scan inside archives (e.g. .ZIP) - prohledá archívy (např. .ZIP)
    • Decode MIME encoded files - proscanuje také soubory kódované MIME
  • E-mail message body (Setting for Outlook scanner only) - tělo emailu (nastavení pouze pro Outlook scanner)
    • Scan e-mail message body (Outlook scanner only) - zkontroluje tělo emailu (pouze pro Outlook scanner)

Action

E-mail - Action
  • When a threat is found - co se má stát, když scan najde nebezpečný materiál
    • Promt for action - zeptá se vás, co má dělat s nalezeným obsahem
    • Move attachments to a folder - přesune nalezený obsah do předem určené složky
    • Delete attachments - smaže nalezený obsah
    • Continue scanning - bude dál pokračovat ve scanovaní bez ohledu na nalezený obsah
    • Clean attachments - pokusí se odstranit virus a v případě neúspěchu jej přesune do karantény
    • Delete mail - smaže celý email (pouze pro Outlook)
  • Move to folder - přesune obsah do složky Quarantine
  • Allowed action in Promt dialog Box - pokud si nastavíte Promt for action, tak zde si můžete upravit, co vše bude s nalezeným obsahem možno dělat

Alerts

E-mail - Alert
  • Email Alert
    • Send alert mail to user - pokud služba narazí na nějaký problém, tak pošle email na předem definovanou adresu, kterou nastavíme kliknutím na Configure
E-mail - Alert,Configure
  • If Promt For Action is selected - toto pravidlo se použije pokud je zapnuto Promt For Action
  • Display custom message - při problému zobrazí předem nastavenou hlášku

Unwanted Programs

E-mail - UP
  • Detection - pokud zapnete tuto službu, tak se použijí pravidla, která jsou nastavena v konzole
    • Detect unwanted programs - pokud je zatrženo, tak bude hlídat podezřelé programy
  • When an unwanted attachment is found - co se má stát, když je nalezena nežádoucí příloha
    • Promt for action - zeptá se vás, co má dělat s nalezeným obsahem
    • Move attachments to a folder - přesune nalezený obsah do předem určené složky
    • Delete attachments - smaže nalezený obsah
    • Continue scanning - bude dál pokračovat ve scanovaní bez ohledu na nalezený obsah
    • Clean attachments - pokusí se problémový program z přílohy odstranit a v případě neúspěchu jej přesune do karantény
    • Delete mail - smaže celý email (pouze pro Outlook)

Reports

E-mail - Reports
  • Log File - soubor kam se ukladjí logy
    • Log to File - kam se budou ukládat logy
    • View Log - otevře soubor s logy
    • Browse - zde si můžete najít soubor, do kterého se bude následně zapisovat (logovat)
    • Limit size of log file - maximální velikost, kterou může dosáhnout soubor s logy
    • Format - znaková sada, ve které se bude psát log
  • What to log in adition to scanning activity - co se bude logovat
    • Session settings - bude logovat nastavení
    • Session summary - bude logovat souhrny
    • Failure to scan encrypted files - bude logovat, když selže scanování enkryptovaných souborů

Unwanted Programs Policy

Zde si můžete nastavit různé třídy programů, které se mají hlídat. Zahrnuje to různý spyware, adware atd. Pokud máte například svůj program nebo používáte nějaký program, který se chová nestandardně. Tak ho můžete vyloučit z kontroly pomocí Exclusion.

Unwanted Programs Policy

Detection
Tady vidíte třídy, o které bude projevovat McAfee zájem.

User-Defined Detection
Seznam přidaných programů. Pokud chcete nějaký program nechat blokovat, přidejte jej pomocí Add.

Unwanted Programs Policy
  • Filename - jméno souboru
  • Description - popis programu

On-Access Scan Properties

Po termínem On-Access Scan se vlastně skrývá antivirový štít, jehož chování lze zde definovat.

On-access Scan Properties
  1. Všeobecné nastavení
  2. Nastavení pro jednotlivé procesy

General Settings
Všeobecné nastavení stejné pro všechny procesy General

GS
  • Scan
    • Boot sectors - kontroluje bootovací sektory
    • Floppy during shutdown - kontroluje diskety při vypínání
  • General
    • Enable on-access scanning at system startup - zapne kontrolu při startování systému
  • Scan Time
    • Maximum archive scan time - nastavení maximálního času, po který s bude kontrolovat archív
    • Enforce a maximum scanning time for all folders - vynutí maximální čas pro kontrolu všech složek
      • Maximum scan time - nastavení maximálního času, po který se bude kontrolovat složka

ScriptScan
Kontroluje JavaScripty a VBScripty, které jsou spouštěny pomocí Windows Script Host. WSH používají programy Internet Explorer a Outlook

SS
  • ScriptScan
    • Enable ScriptScan - zapne tuto službu
  • ADD - kliknutím na ADD můžete přidávat výjimky - skripty, které se nebudou kontrolovat.
    • Process name - název procesu. Identifikátorem není jméno souboru, ale popis skriptu - přesný název lze nalézt v příslušném logu.

Blocking
Nastavuje, co se stane, když vzdálený počítač ohrozí váš systém

Blocking
  • Messange
    • Send Message - pokud je zatrženo, tak pošle zprávu, kterou si sami nastavíte
  • Block

Stejná funkcnionalita jako komponenta IPS modulu HIPS. Detekuje síťové útoky a může je zablokovat.

    • Block the connection - zablokuje spojení
      • Unblock connection after - odblokuje spojení po předem určeném čase
      • Block if an unwanted program is detected - zablokuje, pokud najde nežádoucí program

Messages
Nastavení zprávy, která se zobrazí uživateli, když se něco detekuje. A také to, co bude povoleno uživateli dále provádět s nalezeným obsahem.

Messages
  • Messages for local users - zpráva pro místního uživatele
    • Show the messages dialog when a detection occurs - zobrazí dialog zpráv, při detekci
    • Alert when a cookie detection occurs - hláška při detekci v cookies

Další nastavení se týkají toho, co může provádět uživatel bez administrátorských práv

  • Remove message from the list - odstraní zprávu ze seznamu
  • Clean files - pokusí se soubory vyčistit a v případě neúspěchu je přesune do karantény
  • Delete files - přesune soubory do karantény

Reports

Reports
  • Log File - soubor kam se ukladjí logy
    • Log to File - kam se budou ukládat logy
    • View Log - otevře soubor s logy
    • Browse - zde si můžete najít soubor, do kterého se bude následně zapisovat (logovat)
    • Limit size of log file - maximální velikost, kterou může dosáhnout soubor s logy
    • Format - znaková sada, ve které se bude psát log
  • What to log in adition to scanning activity - co se bude logovat
    • Session settings - bude logovat nastavení
    • Session summary - bude logovat souhrny
    • Failure to scan encrypted files - bude logovat, když selže scanování enkryptovaných souborů

All Processes
Buď je možné ke všem procesům přistupovat stejně (doporučeno) nebo je rozlišit na skupiny málo, normálně a hodně nebezpečných procesů. Jednotlivé kategorie pak mohou mít rozdílné nastavení. Processes
Základní nastavení

Reports
  • Use the settings on these tabs for all processes - nastavení této služby se bude týkat všech procesů
  • Use different settings for high-risk and low-risk processes - nastaví různá pravidla pro velmi nebezpečné a méně nebezpečné procesy

Podíváme se na druhou možnost

Different

Low-Risk

Seznam programů, které jsou vedené jako méně nebezpečné. Tlačítkem Add můžete přidávat do této kategorie další programy tak, že příslušný program vyberete přímo z nabídky nebo ho vyhledáte pomocí Browse. A pomocí Remove naopak program odeberete.

Lowrisk

High-Risk

Seznam programů, které jsou vedené jako více nebezpečné. Tlačítkem ADD můžete přidávat do této kategorie další programy tak, že příslušný program vyberete přímo z nabídky nebo ho vyhledáte pomocí Browse. A pomocí Remove naopak program odeberete.

HighRisk

Detection
Specifikuje jaké věci se budou kontrolovat

Detection
  • Scan Files - scanování souborů
    • When writing to disk - když se budou zapisovat na disk
    • When reading from disk - když se budou číst z disku
    • On network disk - na síťovém disku
  • What to scan - co se bude scanovat
    • All Files - proscanuje všechny typy souborů bez vyjímky
    • Default + aditional files - proscanuje zakladní typy souborů plus přidané typy (v závorce je udán počet přidaných typů)
    • Specified Files - proscanuje pouze přidané typy
  • What not to scan - co se nebude scanovat
    • Exclusions slouží k přídání programů, které se pak nikdy nebudou kontrolovat

Advanced
Specifikuje pokročilejší nastavení

Advanced
  • Heruistic - pokusí se odhalit zatím neznámé viry, trojské koně atd.
    • Find unknown unwanted programs and trojans - pokusí se najít dosud neznámé a nežádoucí programy a trojany
    • Find unknown macro viruses - pokusí se najít dosud neznámé makro viry
  • Compressed files - zabalené soubory
    • Scan inside archives (e.g. .ZIP) - prohledá archívy (např. .ZIP)
    • Decode MIME encoded files - proscanuje i soubory zakódované pomocí MIME
  • Miscellaneous
    • Scan files opened for Backup - zkontroluje soubory otevřené pro zálohu

Action
Nastaví, co se má stát, když se najde ohrožení

Action

When a threat is found - co se má stát, když se najde ohrožení

    • Primary action - primární akce
      • Clean files atomatically - pokusí se soubory vyléčit a v případě neúspěchu je přesune do karantény
      • Delete files atomatically - přesun do karantény
      • Deny access to files - zakáže přístup k souborům
    • Secondary action - sekundární akce (provede se, pokud selže primární akce)
      • Delete files atomatically - automaticky smaže soubory
      • Deny access to files - zakáže přístup k souborům

Unwanted Programs

Unwanted Programs
  • Detection - pokud zapnete tuto službu, tak se použijí pravidla, která jsou nastavena v konzole
    • Detect unwanted programs - pokud je zatrženo, tak bude hlídat podezřelé programy

When an unwanted program is found - co se má stát, když je nalezen nežádoucí program

  • Primary action - primární akce
      • Clean files atomatically - pokusí se soubory vyléčit a v případě neúspěchu je přesune do karantény
      • Delete files atomatically - přesun do karantény
    • Allow access to files - povolí přístup k souborům
    • Deny access to files - zakáže přístup k souborům
  • Secondary action - sekundární akce (provede se, pokud selže primární akce)
    • Delete files atomatically - automaticky smaže soubory
    • Allow access to files - povolí přístup k souborům
    • Deny access to files - zakáže přístup k souborům

Quarantine Manage Policy

Do karantény se ukládají všechny napadené soubory, pokud není nastaveno jinak. Soubory v ní zůstanou po určenou dobu a pak se nenávratně vymažou.

Policy

Quarantine Manage Policy
  • Quarantine folder - umístění adresáře "Karanténa"
  • Atomatically delete quarantined data - automatické mazání dat v karanténě
    • Number of days... - počet dní, jak dlouho mají zůstávat soubory v karanténě

Manager
Seznam souborů, které byly přesunuty do karentény a jsou přístupné k dalším akcím.

Quarantine Manage Policy

K dalším možnostem se dostanete kliknutím pravým tlačítkem na řádek se kterým chcete ještě pracovat.

  • Rescan - znovu proskenuje soubor
  • Delete - smaže soubor z karantény
  • Restore - obnoví soubor (pokud je stále považován za nebezpečný, bude opět přesunut do karantény)
  • Check for false positive - zkontroluje soubory, zda nejsou špatně označeny
  • Properties - detailní informace o souboru, kdy byl přesunut do karantény apod.

Full Scan

Kompletní scan systému

Where
Co se bude scanovat

Where
  1. Spustí test
  2. Vrátí defaultní nastavení testu
  3. Uloží současné nastavení jako defaultní
  4. Zde si můžete naplánvat testy (na každý měsíc, den, týden apod.)
  5. Přidá další položku, která se bude testovat
  6. Upraví nastavení již přidané položky
  7. Smaže položku

Detection
Specifikuje jaké věci se budou kontrolovat

Detection
  • What to scan - co se bude scanovat
    • All Files - proscanuje všechny typy souborů bez vyjímky
    • Default + aditional files - proscanuje zakladní typy souborů plus přidané typy (v závorce je udán počet přidaných typů)
    • Specified Files - proscanuje pouze přidané typy
  • What not to scan - co se nebude scanovat
    • Exclusions slouží k přídání programů, které se pak nikdy nebudou kontrolovat
  • Compressed files - zabalené soubory
    • Scan inside archives (e.g. .ZIP) - prohledá archívy (např. .ZIP)
    • Decode MIME encoded files - ?????

Advanced
Specifikuje pokročilejší nastavení

Advanced
  • Heruistic - pokusí se odhalit zatím neznámé viry, trojské koně atd.
    • Find unknown unwanted programs and trojans - pokusí se najít dosud neznámé a nežádoucí programy a trojany
    • Find unknown macro viruses - pokusí se najít dosud neznámé makro viry
  • Miscellaneous
    • Scan files that have been migrated to storage - zkontroluje soubory, ktere byly presunuty do úschovny
  • Sytem utilization - nastaví vytížení systému

Aaction
Nastaví reakci McAfee při nalezení hrozby

Action

When a threat is found - co se má stát, když se najde ohrožení

  • Primary action - primární akce
    • Promt for action - Zeptá se vás, co chcete udělat
    • Delete - automaticky smaže soubory
    • Clean - automaticky smaže soubory
    • Continue scanning - bude pokračovat ve scanování
  • Secondary action - sekundární akce (provede se, pokud selže primární akce)
    • Promt for action - Zeptá se vás, co chcete udělat
    • Delete - automaticky smaže soubory
    • Continue scanning - bude pokračovat ve scanování

Allowen action in Promt dialog box - nastavení možností při zapnutém Promt for action

  • Clean files - zobrazí možnost smazat soubory (karanténa)
  • Delete files - zobrazí možnost smazat soubory

Unwanted Programs

Unwanted Programs
  • Detection - pokud zapnete tuto službu, tak se použijí pravidla, která jsou nastavena v konzole
    • Detect unwanted programs - pokud je zatrženo, tak bude scanovat podezřelé programy

When an unwanted program is found - co se má stát, když je nalezen nežádoucí program

  • Primary action - primární akce
    • Promt for action - Zeptá se vás, co chcete udělat
    • Delete - automaticky smaže soubory
    • Clean - automaticky smaže soubory
    • Continue scanning - bude pokračovat ve scanování
  • Secondary action - sekundární akce (provede se, pokud selže primární akce)
    • Promt for action - Zeptá se vás, co chcete udělat
    • Delete - automaticky smaže soubory
    • Continue scanning - bude pokračovat ve scanování

Reports

Reports
  • Log File - soubor kam se ukladjí logy
    • Log to File - kam se budou ukládat logy
    • View Log - otevře soubor s logy
    • Browse - zde si můžete najít soubor, do kterého se bude následně zapisovat (logovat)
    • Limit size of log file - maximální velikost, kterou může dosáhnout soubor s logy
    • Format - znaková sada, ve které se bude psát log
  • What to log in adition to scanning activity - co se bude logovat
    • Session settings - bude logovat nastavení
    • Session summary - bude logovat souhrny
    • Failure to scan encrypted files - bude logovat, když selže scanování enkryptovaných souborů

Targeted scan

Scan specifické části systému

Where
Nastavení, co se bude scanovat

Where
  1. Spustí test
  2. Vrátí defaultní nastavení testu
  3. Uloží současné nastavení jako defaultní
  4. Zde si můžete naplánvat testy (na každý měsíc, den, týden apod.)
  5. Přidá další položku, která se bude testovat
  6. Upraví nastavení již přidané položky
  7. Smaže položku

Detection
Specifikuje jaké věci se budou kontrolovat

Detection
  • What to scan - co se bude scanovat
    • All Files - proscanuje všechny typy souborů bez vyjímky
    • Default + aditional files - proscanuje zakladní typy souborů plus přidané typy (v závorce je udán počet přidaných typů)
    • Specified Files - proscanuje pouze přidané typy
  • What not to scan - co se nebude scanovat
    • Exclusions slouží k přídání programů, které se pak nikdy nebudou kontrolovat
  • Compressed files - zabalené soubory
    • Scan inside archives (e.g. .ZIP) - prohledá archívy (např. .ZIP)
    • Decode MIME encoded files - ?????

Advanced
Specifikuje pokročilejší nastavení

Advanced
  • Heruistic - pokusí se odhalit zatím neznámé viry, trojské koně atd.
    • Find unknown unwanted programs and trojans - pokusí se najít dosud neznámé a nežádoucí programy a trojany
    • Find unknown macro viruses - pokusí se najít dosud neznámé makro viry
  • Miscellaneous
    • Scan files that have been migrated to storage - zkontroluje soubory, ktere byly presunuty do úschovny
  • Sytem utilization - nastaví vytížení systému

Aaction
Nastaví reakci McAfee při nalezení hrozby

Action

When a threat is found - co se má stát, když se najde ohrožení

  • Primary action - primární akce
    • Promt for action - Zeptá se vás, co chcete udělat
    • Delete - automaticky smaže soubory
    • Clean - automaticky smaže soubory
    • Continue scanning - bude pokračovat ve scanování
  • Secondary action - sekundární akce (provede se, pokud selže primární akce)
    • Promt for action - Zeptá se vás, co chcete udělat
    • Delete - automaticky smaže soubory
    • Continue scanning - bude pokračovat ve scanování

Allowen action in Promt dialog box - nastavení možností při zapnutém Promt for action

  • Clean files - zobrazí možnost smazat soubory (karanténa)
  • Delete files - zobrazí možnost smazat soubory

Unwanted Programs

Unwanted Programs
  • Detection - pokud zapnete tuto službu, tak se použijí pravidla, která jsou nastavena v konzole
    • Detect unwanted programs - pokud je zatrženo, tak bude scanovat podezřelé programy

When an unwanted program is found - co se má stát, když je nalezen nežádoucí program

  • Primary action - primární akce
    • Promt for action - Zeptá se vás, co chcete udělat
    • Delete - automaticky smaže soubory
    • Clean - automaticky smaže soubory
    • Continue scanning - bude pokračovat ve scanování
  • Secondary action - sekundární akce (provede se, pokud selže primární akce)
    • Promt for action - Zeptá se vás, co chcete udělat
    • Delete - automaticky smaže soubory
    • Continue scanning - bude pokračovat ve scanování

Reports

Reports
  • Log File - soubor kam se ukladjí logy
    • Log to File - kam se budou ukládat logy
    • View Log - otevře soubor s logy
    • Browse - zde si můžete najít soubor, do kterého se bude následně zapisovat (logovat)
    • Limit size of log file - maximální velikost, kterou může dosáhnout soubor s logy
    • Format - znaková sada, ve které se bude psát log
  • What to log in adition to scanning activity - co se bude logovat
    • Session settings - bude logovat nastavení
    • Session summary - bude logovat souhrny
    • Failure to scan encrypted files - bude logovat, když selže scanování enkryptovaných souborů

AutoUpdate

Automatická aktualizace všech služeb McAfee, které jsou nainstalovány. Pokud chcete provést aktualizaci, tak klikněte na Update Now. Aktualizace si můžete naplánovovat, když kliknete na tlačítko Schedule.

AutoUpdate
  • Log File - soubor kam se ukladjí logy
    • Log to File - kam se budou ukládat logy
    • Browse - zde si můžete najít soubor, do kterého se bude následně zapisovat (logovat)
  • Update Oprions
    • Get newer detection definition files if available - bude stahovat novější detekční soubory, pokud budou k dospozici
    • Get newer detection engine and dats if available - bude stahovat novější nástroje a data, pokud budou k dospozici
    • Get other available updates - bude stahovat další aktualizace (například service packy, upgrady atd.)

Odstranění McAfee ze systému

Jednotlivé moduly je možné odebrat standardním postupem (Program Files -> Nastavení -> Ovládací panely -> Přidat nebo odebrat programy). Vlastní Agent může být následně ze systému odstraněn příkazem

C:\Program Files\McAfee\Common Framework\FRMINST.EXE /REMOVE=AGENT

Často kladené dotazy

Odpovědi na často kladné dotazy, které souvisejí s užíváním korporátní verze McAfee běžnými uživateli, počínaje od instalace a konfigurace po rutinní provoz. Lokální správci ještě mohou čerpat informace z často kladených otázek na stránkách s návodem pro lokální správce a s návodem k webovému rozhraní.



Otázka: Změny v zapnutí/vypnutí jednotlivých modulů HIPS se po restartu vždy nastaví na původní hodnotu, jak to?
Odpověď: Modul HIPS nebyl původně určen pro samostatnou správu, takže některé jeho funce lze řídit pouze centrálně a zapnutí/vypnutí modulu je právě takováto funkce. Dle našeho názoru je vhodné mít zapnuté všechny dostupné prvky ochrany, proto jsou implicitně všechny zapnuté. Dočasné vypnutí má sloužit zejména k diagnostice, když nějaká aplikace nefunguje jak má a je potřeba zjistit, zda za to může firewall či jiný modul HIPS.


Otázka: V tray jsou 4 ikonky místo inzerované jedné, proč?
Odpověď: Dle informací z fóra McAfee jde o známou vlastnost u 64-bitových operačních systémů, v příští verzi je slíben stejný vzhled jako u 32-bitových operačních systémů.


Otázka: McAfee nic nehlásí jak je den dlouhý, je to správně?
Odpověď: Pokud Vám vše funguje, je to ideální stav. Většina hlášení je ukládána pouze do lokálních logů a na uživatele pouze nesměle problikne žluté "i" v ikonce McAfee.


Otázka: McAfee se mne neustále na něco ptá, proč mne tím otravuje?
Odpověď: Oproti předchozímu způsobu zabezpečení (Avast) je používání McAfee velká změna - k dispozici není pouze antivirový program, ale také antispyware, firewall a aplikační blokování. Zatímco antivirový program a antispyware je přibližně stejně potichu jako Avast, zbývající komponenty se chovají jinak. Jednak aplikační blokování potřebuje vědět, jestli se smí daná aplikace spustit (zeptá se pouze jednou, při prvním spuštění) a jednak se firewall ptá (úplně stejně jako např. Kerio Personal Firewall) na autorizaci síťové komunikace. Základní služby a jejich nastavení jsou do Vaší konfiguraci včleněny při instalaci, ostatní musí po nainstalování nastavit lokálně uživatel nebo vzdáleně jeho lokální správce. Věřte, že s postupem času se bude těchto dotazů objevovat čím dál tím méně.