Webroot ha rilasciato per la versione agent 9.0.1 e successive la tanto attesa funzionalità di esclusione di file e di directory, senza la necessità di usare l’md5 dei file, ma soprattutto introducendo l’esclusione di cartelle e sottocartelle.
La possibilità di settare queste regole sarà sia a livello globale di console GSM, sia a livello di singolo Endpoint sempre pilotando l’esclusione dalla console stessa.
ESCLUSIONE FILE E CARTELLE A LIVELLO GLOBALE IN CONSOLE GSM
All’interno della console GSM selezionare Gestisci –> Sovrascrivi (sic) –> Aggiungi è possibile creare esclusioni sia di directory (e relative sotto directory) che di file senza dover specificare alcun MD5.
Premendo il tasto aggiungi, si apre una seconda maschera in cui scegliere che tipo di override effettuare (se con Md5 o di file e cartelle)
Selezionando Cartella/File si apre una maschera con una serie di voci di cui vediamo il significato di seguito
Nome/Descrizione: Rappresenta il nome della regola appena creata
Maschera File: E’ possibile indicare un gruppo di file (ad esempio tutti i file con estensione .exe), se il campo viene lasciato vuoto prenderà tutti i file del path scelto.
Percorso/Maschera cartella: Oltre a poter specificare il percorso del file o della directory che si vuole escludere su filsesystem, vengono riconosciute anche alcune variabili d’ambiente di sistema operativo Windows (premendo il tasto % nella sezione è possibile ottenere l’elenco di quelle supportate)
Se si deve escludere percorso di rete , bisogna usare l’FQDN e non ad esempio il nome del disco mappato.
Esempio: se voglio escludere nomerserverapp dovrò specificare esattamente questo campo specifico
Includi sottocartelle: Va selezionato se si vuole che l’override agisca anche sulle sottocartelle
Rileva se dannoso: Con questa opzione abilitata, Webroot continuerà a proteggere il tuo sistema da minacce originate da file esclusi, ma non verrà fatto il monitoraggio e il journaling di queste esclusioni, rendendo quindi impossibile un eventuale rollback. Sarai quindi esposto a malware “zero day”.
Disabilitando questo flag i file in whitelist non saranno in alcun modo controllati da Webroot
COME APPLICARE L’OVERRIDE CREATO?
L’esclusione creata a livello di Impostazioni Globali sarà automaticamente applicata a tutti i siti, tutti criteri e tutti gli endpoint.
Per applicare esclusioni su singoli siti o singoli client si veda sezione successiva riguardante esclusione file e cartelle per la sezione endpoint
Eseguire da console un comando di verifica file e processi, oltre che un comando di scansione, così facendo l’override sarà applicato immediatamente.,
NOTE IMPORTANTI:
1. Gli override del file/cartella saranno supportati esclusivamente da endpoint che eseguono una versione 9.0.1 o successiva.Versioni precedenti supportano solo l’override attraverso MD5
2. La funzionalità di Blacklist resta invariata
3. Importa override continua a supportare solo MD5
ESCLUSIONE FILE E CARTELLE PER UNO O PIÙ ENDPOINT
Le esclusioni possono essere applicate a uno o più client dalla sezione endpoint Protection.
Entrare in Elenco Sito -> [nome sito], Protezione Endpoint .->Esegui Override–>Elenco e poi premendo il tasto Crea
Si aprirà poi una maschera di configurazione, dove il significato dei campi è lo stesso di quelli visti sopra con in aggiunta la possibilità di:
– rendere l’override globlae Override Globale (GSM
– selezionare il criterio per cui far valere l’ovveride creato
Nome/Descrizione: Rappresenta il nome della regola appena creata
Maschera File: E’ possibile indicare un gruppo di file (ad esempio tutti i file con estensione .exe), se il campo viene lasciato vuoto prenderà tutti i file del path scelto.
Percorso/Maschera cartella: Oltre a poter specificare il percorso del file o della directory che si vuole escludere su filsesystem, vengono riconosciute anche alcune variabili d’ambiente di sistema operativo Windows (premendo il tasto % nella sezione è possibile ottenere l’elenco di quelle supportate)
Se si deve escludere percorso di rete , bisogna usare l’FQDN e non ad esempio il nome del disco mappato.
Esempio: se voglio escludere nomerserverapp dovrò specificare esattamente questo campo specifico
Includi sottocartelle: Va selezionato se si vuole che l’override agisca anche sulle sottocartelle
Rileva se dannoso: Con questa opzione abilitata, Webroot continuerà a proteggere il tuo sistema da minacce originate da file esclusi, ma non verrà fatto il monitoraggio e il journaling di queste esclusioni, rendendo quindi impossibile un eventuale rollback. Sarai quindi esposto a malware “zero day”.
Disabilitando questo flag i file in whitelist non saranno in alcun modo controllati da Webroot
COME APPLICARE L’OVERRIDE CREATO A UNO O PIÙ ENDPOINT?
Per applicare l’override per uno o più endpoint,è necessario :
– Creare un criterio e associarlo al client o ai client su cui si vuole applicare l’override
– Associare tale criterio all’override creato tramite la voce Applica al Criterio. La voce Seleziona criterio all’interno della finestra Crea override ha esattamente questo scopo ( nel nostro esempio il criterio che si vuole associare all’override si chiama test_whitelist_dir)
– Attenzione alla voce Override Globale (GSM) che invece rende l’esclusione valida per tutti i siti, tutti criteri e tutti gli endpoint
– Eseguire da console un comando di verifica file e processi, oltre che un comando di scansione, così facendo l’override sarà applicato immediatamente.
NOTE IMPORTANTI:
1. Gli override del file/cartella saranno supportati esclusivamente da endpoint che eseguono una versione 9.0.1 o successiva. Versioni precedenti supportano solo l’override attraverso MD5
2. La funzionalità di Blacklist resta invariata
3. Importa override continua a supportare solo MD5
4. Se si seleziona No per la voce applica criterio, l’override verrà apllicato a tutto il sito
