Installation and Administration Guide SEP12.1.2 PDF

Guia de Instalação e
Administração do Symantec™
Endpoint Protection e do
Symantec Network Access
Control
Guia de Instalação e Administração do Symantec
Endpoint Protection e do Symantec Network Access
Control
O software descrito neste guia é fornecido sob um contrato de licença e deve ser usado
somente de acordo com os termos desse contrato.
Versão do produto: 12.1.2
Versão da documentação: 12.1.2, versão 1
Avisos legais
Copyright © 2012 Symantec Corporation. Todos os direitos reservados.
Symantec, o logotipo da Symantec, Bloodhound, Confidence Online, Digital Immune System,

LiveUpdate, Norton, Sygate e TruScan são marcas comerciais ou marcas registradas da
Symantec Corporation ou de seus afiliados nos Estados Unidos e em outros países. Outros
nomes de produtos podem ser marcas comerciais de seus respectivos proprietários.
Este produto da Symantec pode conter software de terceiros para o qual são necessárias
atribuições fornecidas pela Symantec a esses terceiros ("Programas de terceiros"). Alguns
dos Programas de terceiros estão disponíveis sob licenças de software de código aberto ou
livre. O Contrato de licença que acompanha o software não altera nenhum direito ou obrigação
que você possa ter sob essas licenças de software de código aberto ou livre. Consulte o
Apêndice Avisos legais sobre terceiros para esta documentação ou o arquivo Leia-me TPIP
que acompanha este produto da Symantec para obter mais informações sobre os Programas
de terceiros.
O produto descrito neste documento é distribuído sob licenças que restringem o uso, a cópia,
a distribuição e a descompilação/engenharia reversa. Não está permitida de forma alguma
a reprodução de qualquer seção deste documento sem a autorização prévia escrita da
Symantec Corporation e dos concessores de licenças, se houver algum.
A DOCUMENTAÇÃO É FORNECIDA "NO ESTADO EM QUE SE ENCONTRA" E TODAS AS

CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPRESSAS OU IMPLÍCITAS, INCLUINDO
QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM
PROPÓSITO EM PARTICULAR OU SEM VIOLAÇÃO, SÃO ISENTAS, EXCETO SE AS ISENÇÕES
DE RESPONSABILIDADE FOREM CONSIDERADAS INVÁLIDAS JURIDICAMENTE. A
SYMANTEC CORPORATION SE ISENTA DE RESPONSABILIDADE POR DANOS INCIDENTAIS
OU CONSEQUENTES RELATIVOS AO FORNECIMENTO, EXECUÇÃO OU USO DESTA
DOCUMENTAÇÃO. AS INFORMAÇÕES DESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A
ALTERAÇÃO SEM AVISO PRÉVIO.
O Software Licenciado e a documentação são considerados software comercial para

computadores, conforme definido na FAR 12.212 e sujeito a direitos restritos, conforme
definido no artigo 52.227-19 da FAR "Software comercial para computadores - Direitos
restritos" e DFARS 227.7202, "Direitos em Software comercial para computadores ou
documentação de software comercial para computadores", conforme aplicável, e todas as
regulamentações sucessoras. Qualquer uso, modificação, versão de reprodução, apresentação,
exibição ou divulgação do Software Licenciado e da documentação pelo governo dos EUA
deve ser feita exclusivamente de acordo com os termos deste Contrato.
Symantec Corporation
350 Ellis Street
Mountain View, CA 94043
http://www.symantec.com/pt/br/
Suporte técnico
O suporte técnico da Symantec mantém centros globais de suporte. A principal
função do suporte técnico é de responder a consultas específicas sobre os recursos
e a funcionalidade dos produtos. A equipe de suporte técnico cria também o
conteúdo para nossa Base de conhecimento on-line. A equipe de suporte técnico
trabalha em colaboração com outras áreas funcionais dentro da Symantec para
responder prontamente suas perguntas. Por exemplo, a equipe de suporte técnico
trabalha com a Engenharia de produtos e o Symantec Security Response para
fornecer serviços de alerta e atualizações das definições de vírus.
As ofertas de suporte da Symantec incluem o seguinte:
■ Várias opções de suporte que lhe proporcionam flexibilidade para selecionar
a quantidade adequada de serviços para empresas de todos os portes.
■ Suporte telefônico e/ou com base na Web que fornece resposta rápida e
informações atualizadas
■ Garantia de upgrade que fornece upgrades de software
■ Suporte global adquirido em um horário comercial regional ou 24 horas por
dia, 7 dias por semana
■ Ofertas de serviços Premium que incluem Serviços de gerenciamento de conta
Para obter mais informações sobre as ofertas de suporte da Symantec, acesse
nosso site no seguinte URL:
www.symantec.com/pt/br/business/support/
Os serviços de suporte serão fornecidos de acordo com seu contrato de suporte e
com a política de suporte técnico corporativo atual.
Contato com o suporte técnico

Os clientes com um contrato de suporte atual podem acessar as informações do
suporte técnico no seguinte URL:
Antes de entrar em contato com o suporte técnico, certifique-se de satisfazer os
requisitos do sistema que estão relacionados na documentação do produto. Além
disso, é necessário estar no computador em que ocorreu o problema, caso seja
necessário replicá-lo.
Quando você entra em contato com o suporte técnico, tenha disponíveis as
seguintes informações:
■ Nível de versão do produto
■ Informações de hardware
■ Memória disponível, espaço em disco e informações do NIC
■ Sistema operacional
■ Versão e nível de patch
■ Topologia da rede
■ Roteador, gateway e informações do endereço IP
■ Descrição do problema:
■ Mensagens de erro e arquivos de log
■ Soluções de problemas executadas antes de entrar em contato com a
Symantec
■ Mudanças de configuração recentes do software e mudanças da rede
Licenciamento e registro
Se seus produtos da Symantec exigem o registro ou um código de licença, acesse
nossa página da Web do suporte técnico no seguinte URL:
Atendimento ao cliente
As informações do atendimento ao cliente estão disponíveis no seguinte URL:
O atendimento ao cliente está disponível para ajudar com perguntas não técnicas,
como os seguintes tipos de problemas:
■ Perguntas a respeito do licenciamento ou da serialização do produto
■ Atualizações de registro do produto, como alterações de endereço ou de nome
■ Informações gerais sobre o produto (recursos, disponibilidade de idiomas,
revendedores locais)
■ Informações mais recentes sobre atualizações e upgrades do produto
■ Informações sobre a garantia de upgrade e os contratos de suporte
■ Informações sobre os programas de compra da Symantec
■ Recomendações sobre as opções de suporte técnico da Symantec
■ Perguntas não técnicas do pré-vendas
■ Problemas relacionados aos CD-ROMs, DVDs ou manuais
Recursos do contrato de suporte
Se desejar contatar a Symantec a respeito de um contrato de suporte existente,
entre em contato com a equipe de administração do contrato de suporte de sua
região da seguinte forma:
Pacífico-Asiático e Japão customercare_apac@symantec.com
Europa, Oriente Médio e África semea@symantec.com
America do Norte e América Latina supportsolutions@symantec.com

Sumário
Suporte técnico ................................................................................................... 4

Capítulo 1 Introdução ao Symantec Endpoint Protection .............. 43
Sobre o Symantec Endpoint Protection ............................................ 43
O que há de novo no Symantec Endpoint Protection 12.1.2 .................. 44
Sobre os tipos de proteção contra ameaças que o Symantec Endpoint
Protection fornece .................................................................. 48
Proteção de sua rede com o Symantec Endpoint Protection .................. 52
Para executar o Symantec Endpoint Protection pela primeira
vez ...................................................................................... 54
Para gerenciar a proteção em computadores-cliente ........................... 62
Para manter a segurança de seu ambiente ......................................... 65
Solução de problemas do Symantec Endpoint Protection ..................... 66
Seção 1 Instalação do Symantec Endpoint

Protection ................................................................... 69
Capítulo 2 Para planejar a instalação ................................................. 71
Para planejar a instalação .............................................................. 71
Componentes do Symantec Endpoint Protection ................................ 75
Componentes do Symantec Network Access Control ........................... 77
Requisitos do sistema para o Symantec Endpoint Protection ................ 79
Requisitos de internacionalização ............................................. 83
Requisitos da licença do produto ..................................................... 85
Produtos de virtualização e instalações virtuais suportados ................. 87
Sobre a compatibilidade do Symantec Endpoint Protection Manager
com outros produtos ............................................................... 88
Considerações sobre a arquitetura de rede ........................................ 89
Sobre como escolher um tipo do banco de dados ................................ 90
Sobre as configurações do banco de dados interno .............................. 91
Sobre as configurações do SQL Server .............................................. 93
Sobre os modos de autenticação do banco de dados do SQL
Server .................................................................................. 98
8 Sumário
Capítulo 3 Instalação do Symantec Endpoint Protection

Manager .......................................................................... 99
Para instalar o Symantec Endpoint Protection Manager ...................... 99

Para configurar o servidor de gerenciamento durante a
instalação ........................................................................... 101
Desinstalação do Symantec Endpoint Protection Manager ................. 102
Para aceitar o certificado de servidor autoassinado (SSL) do Symantec
Endpoint Protection Manager ................................................. 103
Logon no console do Symantec Endpoint Protection Manager ............. 103
Para exibir uma mensagem aos administradores antes que façam
logon no Symantec Endpoint Protection Manager ................ 106
Para permitir ou bloquear o acesso aos consoles remotos do
Symantec Endpoint Protection Manager ............................. 107
Para desbloquear uma conta de administrador após várias
tentativas de logon ......................................................... 109
Aumento do período de tempo para permanecer conectado ao
console ............................................................................... 110
O que você pode fazer no console ................................................... 110
Capítulo 4 Para gerenciar licenças do produto ............................... 115

Licenciamento do Symantec Endpoint Protection ............................. 116
Sobre a licença do trialware .......................................................... 118
Sobre a compra de licenças ........................................................... 118
Para ativar ou importar sua licença de produto do Symantec Endpoint
Protection ou Symantec Network Access Control 12.1 ................. 120
Informações necessárias de contato de licenciamento ................. 123
Sobre o Portal de licenciamento da Symantec ............................ 124
Sobre upgrades e licenças de produtos ............................................ 125
Sobre como renovar sua licença do Symantec Endpoint
Protection ........................................................................... 125
Verificação do status da licença ..................................................... 125
Sobre o licenciamento de regras de imposição .................................. 126
Backup dos arquivos de licença ..................................................... 127
Recuperação de uma licença excluída ............................................. 128
Para apagar clientes obsoletos do banco de dados e tornar mais
licenças disponíveis .............................................................. 128
Sobre licenças de vários anos ........................................................ 129
Para licenciar um cliente não gerenciado ........................................ 130
Sumário 9
Capítulo 5 Para instalar o cliente do Symantec Endpoint

Protection ...................................................................... 133
Preparação para a instalação do cliente .......................................... 134
Preparação dos sistemas operacionais Windows para
implementação remota .................................................... 136
Sobre firewalls e portas de comunicação ................................... 137
Sobre métodos de implementação do cliente .................................... 140
Quais recursos deve você instalar no cliente? ............................. 141
Para implementar clientes usando e-mail e link da Web ............... 142
Para implementar clientes usando a instalação remota por
envio ............................................................................ 144
Para implementar clientes usando a opção Salvar pacote ............. 147
Para exportar pacotes de instalação do cliente ................................. 149
Sobre as configurações de instalação do cliente ................................ 152
Para configurar recursos do pacote de instalação do cliente ................ 153
Para configurar pacotes do cliente para desinstalar software de
segurança de terceiros existente .............................................. 154
Para reiniciar computadores-cliente .............................................. 156
Sobre clientes gerenciados e não gerenciados .................................. 158
Instalação de um cliente não gerenciado ......................................... 159
Para desinstalar o cliente Windows ................................................ 160
Para desinstalar o cliente Mac ....................................................... 161
Para gerenciar pacotes de instalação do cliente ................................ 162
Para adicionar atualizações de pacotes de instalação do cliente ........... 164
Capítulo 6 Para fazer o upgrade do Symantec Endpoint

Protection ...................................................................... 167
Para fazer upgrade de uma nova versão do Symantec Endpoint
Protection ........................................................................... 168
Recursos de upgrade para o Symantec Endpoint Protection 12.1 ......... 170
Para mapear recursos entre clientes 11.x e 12.1 ............................... 173
Caminhos de upgrade do Symantec Endpoint Protection Manager
suportados .......................................................................... 176
Para aumentar o espaço em disco do Symantec Endpoint Protection
Manager antes do upgrade para a versão 12.1 ............................ 177
Para fazer upgrade de um servidor de gerenciamento ........................ 179
Para fazer o upgrade de um ambiente que usa vários bancos de dados
incorporados e servidores de gerenciamento ............................. 180
Para desativar a replicação antes do upgrade ................................... 181
Para ativar a replicação após o upgrade .......................................... 182
10 Sumário
Para interromper e iniciar o serviço do servidor de

gerenciamento ..................................................................... 183
Caminhos suportados de upgrade para o cliente do Symantec Endpoint
Protection ........................................................................... 184
Sobre como fazer upgrade do software-cliente ................................. 185
Para fazer o upgrade de clientes usando a Atualização automática no
Symantec Endpoint Protection ................................................ 186
Para atualizar o software-cliente com a política de configurações do
LiveUpdate .......................................................................... 187
Para fazer upgrade de provedores de atualizações de grupo ................ 188
Capítulo 7 Para migrar para o Symantec Endpoint

Protection ...................................................................... 189
Para migrar do Symantec AntiVirus ou do Symantec Client
Security .............................................................................. 190
Caminhos de migração suportados e não suportados no Symantec
Endpoint Protection .............................................................. 192
Caminhos de migração suportados e não suportados para o cliente
Mac ................................................................................... 194
Para desativar verificações agendadas no Symantec System
Center ................................................................................ 194
Para desativar o LiveUpdate no Symantec System Center .................. 195
Para desativar o serviço de roaming no Symantec System
Center ................................................................................ 196
Desbloqueio de grupos de servidores no Symantec System
Center ................................................................................ 197
Para desativar a Proteção contra adulterações no Symantec System
Center ................................................................................ 197
Desinstalação e exclusão de servidores de relatório ........................... 198
Sobre grupos de computadores importados com o Assistente de
Migração ............................................................................ 199
Para importar configurações de grupos e de políticas com o Assistente
de Migração ......................................................................... 199
Capítulo 8 Para gerenciar sites e replicação ................................... 201

Para configurar sites e replicação .................................................. 201
Sobre como determinar de quantos sites você precisa ........................ 203
Como a replicação funciona .......................................................... 205
Como resolver conflitos dos dados entre sites durante a
replicação ..................................................................... 207
Replicação dos dados sob demanda ................................................ 208
Como alterar o agendamento de replicação automática ...................... 209
Sumário 11
Como especificar que dados replicar .............................................. 210

Para excluir parceiros de replicação ............................................... 211
Para readicionar um parceiro de replicação que você excluiu
previamente ........................................................................ 211
Capítulo 9 Para gerenciar o Symantec Endpoint Protection no

Protection Center ........................................................ 213
Sobre o Symantec Endpoint Protection e o Protection Center .............. 213
Sobre como fazer upgrade para o Protection Center versão 2 .............. 214
Sobre a configuração do Symantec Endpoint Protection no Protection
Center ................................................................................ 215
Sobre como configurar vários domínios do Symantec Endpoint
Protection no Protection Center .............................................. 216
Configuração da comunicação entre o Symantec Endpoint Protection
Manager e o Protection Center ................................................ 217
Seção 2 Para gerenciar grupos, clientes e

administradores ................................................... 219
Capítulo 10 Para gerenciar grupos de
computadores-cliente ................................................. 221
Para gerenciar grupos de clientes .................................................. 221
Como você pode estruturar grupos ................................................. 223
Adição de um grupo .................................................................... 224
Para importar grupos existentes e computadores de um servidor
Active Directory ou LDAP ...................................................... 225
Sobre a importação de unidades organizacionais do servidor de
diretório ....................................................................... 227
Para conectar o Symantec Endpoint Protection Manager a um
servidor de diretório ....................................................... 228
Para conectar-se a um servidor de diretório em um site
replicado ...................................................................... 229
Para importar unidades organizacionais de um servidor de
diretório ....................................................................... 230
Para pesquisar e importar contas específicas de um servidor de
diretório ....................................................................... 231
Atribuição de clientes a grupos antes de instalar o
software-cliente ................................................................... 232
Como desativar e ativar a herança de um grupo ................................ 233
12 Sumário
Para impedir que computadores-cliente sejam adicionados a

grupos ................................................................................ 234
Para mover um computador-cliente para outro grupo ....................... 235
Capítulo 11 Para gerenciar clientes ..................................................... 237

Para gerenciar computadores-cliente ............................................. 238
Para determinar se o cliente está conectado no console ..................... 240
Exibição do status de proteção de clientes e
computadores-cliente ............................................................ 242
Para exibir quais clientes não têm o software-cliente instalado ........... 243
Procura de informações sobre computadores-cliente ......................... 244
Sobre como ativar e desativar a proteção quando você precisar
solucionar problemas ............................................................ 245
Sobre comandos que você pode executar em
Para executar comandos no computador-cliente através do
console ............................................................................... 250
Para garantir que um cliente não seja reiniciado ............................... 250
Para alternar um cliente entre o modo de usuário e o modo de
computador ......................................................................... 251
Para configurar um cliente para detectar dispositivos não
gerenciados ......................................................................... 253
Sobre o acesso à interface do cliente .............................................. 254
Sobre o controle misto ................................................................. 255
Alteração do nível de controle do usuário ........................................ 256
Definição das configurações da interface do usuário ......................... 259
Como coletar informações do usuário ............................................. 261
Proteção do cliente por senha ....................................................... 262
Capítulo 12 Para gerenciar clientes remotos ..................................... 265

Gerenciamento de clientes remotos ............................................... 265
Gerenciamento de locais para clientes remotos ................................ 267
Ativação da detecção de local para um cliente .................................. 269
Como adicionar um local para um grupo ......................................... 271
Alteração de um local padrão ........................................................ 272
Configuração de condições de detecção de local do Cenário 1 .............. 273
Configuração de condições de detecção de local do Cenário 2 .............. 275
Configuração de definições de comunicação para um local ................. 277
Sobre o reforço das políticas de segurança para clientes remotos ......... 278
Melhores práticas para as configurações da política de
firewall ......................................................................... 279
Sumário 13
Sobre as melhores práticas para configurações de política do

LiveUpdate .................................................................... 280
Sobre como ativar notificações para clientes remotos ........................ 280
Sobre a personalização das configurações de gerenciamento de log
para clientes remotos ............................................................ 281
Sobre como monitorar clientes remotos .......................................... 282
Capítulo 13 Para gerenciar domínios .................................................. 283

Sobre domínios .......................................................................... 283
Adição de um domínio ................................................................. 285
Para alternar para o domínio atual ................................................. 285
Capítulo 14 Para gerenciar contas de administrador e

senhas ............................................................................ 287
Para gerenciar domínios e contas de administrador .......................... 287
Sobre funções e direitos de acesso da conta de administrador ............. 289
Adição de uma conta de administrador ........................................... 292
Configuração dos direitos de acesso para um administrador
limitado .............................................................................. 293
Para mudar o método de autenticação de contas de
administrador ...................................................................... 294
Configuração do servidor de gerenciamento para autenticar os
administradores que usam RSA SecurID para fazer
logon ............................................................................ 296
Autenticação dos administradores que usam o RSA SecurID para
fazer logon no servidor de gerenciamento ........................... 297
Melhores práticas para testar se um servidor de diretório autentica
uma conta de administrador ................................................... 298
Para mudar a senha de uma conta de administrador .......................... 303
Permissão de administradores para redefinir senhas esquecidas ......... 304
Para enviar uma senha temporária a um administrador ..................... 304
Para exibir as caixas de seleção Lembrar meu nome de usuário e
Lembrar minha senha na tela de logon ..................................... 306
14 Sumário
Seção 3 Para gerenciar a proteção e personalizar

as políticas ............................................................... 307
Capítulo 15 Para usar políticas para gerenciar a segurança .......... 309
Para executar as tarefas comuns a todas as políticas de
segurança ........................................................................... 310
Os tipos de políticas de segurança .................................................. 313
Sobre políticas compartilhadas e não compartilhadas ........................ 316
Adição de política ....................................................................... 317
Edição de uma política ................................................................. 317
Para copiar e colar uma política na página Políticas .......................... 318
Para copiar e colar uma política na página Clientes .......................... 319
Para bloquear e desbloquear configurações de política do vírus e de
spyware .............................................................................. 320
Atribuição de uma política a um grupo ........................................... 321
Para testar uma política ............................................................... 322
Substituição de uma política ......................................................... 323
Para exportar e importar políticas individuais ................................. 324
Conversão de uma política compartilhada em uma política não
compartilhada ..................................................................... 326
Para retirar uma política de um grupo ............................................ 327
Como os computadores-cliente obtêm atualizações da política ............ 328
Configuração do modo de envio ou de instalação pull para atualizar
políticas e conteúdo do cliente ................................................ 329
Para usar o número de série da política para verificar a comunicação
cliente-servidor .................................................................... 331
Para atualizar manualmente políticas no cliente .............................. 332
Para monitorar os aplicativos e serviços executados em
Configuração do servidor de gerenciamento para recolher
informações sobre os aplicativos executados pelos
computadores-cliente ...................................................... 335
Pesquisa das informações sobre os aplicativos executados pelos
computadores ...................................................................... 336
Capítulo 16 Para gerenciar a proteção contra vírus e

spyware .......................................................................... 339
Para impedir e controlar ataques de vírus e spyware nos
Correção de riscos nos computadores de sua rede ............................. 342
Para identificar computadores infectados e em risco ................... 344
Sumário 15
Para verificar a ação de verificação e para verificar novamente

computadores identificados .............................................. 345
Para gerenciar verificações em computadores-cliente ....................... 346
Sobre os tipos de verificações e proteção em tempo real ............... 349
Sobre os tipos de Auto-Protect ................................................ 352
Sobre vírus e riscos à segurança .............................................. 354
Sobre os arquivos e pastas que o Symantec Endpoint Protection
exclui das verificações de vírus e spyware ........................... 357
Sobre as configurações padrão de verificação da Política de
proteção contra vírus e spyware ........................................ 360
Como o Symantec Endpoint Protection controla as detecções dos
vírus e dos riscos à segurança ........................................... 364
Como o Symantec Endpoint Protection executa detecções em
computadores Windows 8 ............................................... 366
Para configurar verificações agendadas executadas em computadores
Windows ............................................................................. 366
Para configurar as verificações agendadas executadas em
computadores Mac ............................................................... 369
Execução de verificações sob demanda nos
Para ajustar as verificações para melhorar o desempenho do
computador ......................................................................... 371
Para ajustar verificações para aumentar a proteção em seus
Para gerenciar detecções do Download Insight ................................. 377
Como o Symantec Endpoint Protection usa os dados de reputação
para tomar decisões sobre arquivos ......................................... 382
Como os recursos da política do Symantec Endpoint Protection
funcionam em conjunto ......................................................... 383
Sobre o envio de informações sobre detecções para o Symantec
Security Response ................................................................ 385
Sobre a regulagem de envios ......................................................... 386
Ativação ou desativação de envios de clientes para o Symantec
Security Response ................................................................ 387
Para especificar um servidor proxy para envios do cliente e outras
comunicações externas .......................................................... 389
Para gerenciar a quarentena ......................................................... 391
Especificação de uma pasta de quarentena local ......................... 392
Especificar quando os arquivos em quarentena forem excluídos
automaticamente ........................................................... 393
Configuração de clientes para enviar itens em quarentena para
um Servidor da Quarentena central ou Symantec Security
Response ...................................................................... 394
16 Sumário
Configuração de como a quarentena controla a nova verificação

dos arquivos depois que as definições novas são
recebidas ...................................................................... 395
Para usar o Log de riscos para excluir arquivos em quarentena
em seu computador-cliente .............................................. 395
Para gerenciar as notificações de vírus e spyware que aparecem nos
Sobre as notificações pop-up que aparecem nos clientes que executam
o Windows 8 ........................................................................ 398
Para ativar ou desativar as notificações pop-up do Symantec Endpoint
Protection em clientes do Windows 8 ....................................... 399
Para gerenciar detecções do início antecipado do antimalware (ELAM,
Early launch anti-malware) .................................................... 400
Como ajustar as opções do início antecipado do antimalware (ELAM,
Early launch anti-malware) do Symantec Endpoint Protection
......................................................................................... 402
Capítulo 17 Para personalizar verificações ........................................ 405

Para personalizar as verificações de vírus e spyware executadas em
computadores Windows ......................................................... 406
Para personalizar as verificações de vírus e spyware executadas em
computadores Mac ............................................................... 407
Para personalizar o Auto-Protect para clientes Windows ................... 408
Para personalizar o Auto-Protect para clientes Mac .......................... 410
Para personalizar o Auto-Protect para verificações de e-mail em
computadores Windows ......................................................... 411
Para personalizar verificações definidas pelo administrador para
clientes executados em computadores Windows ......................... 412
Para personalizar verificações definidas pelo administrador para
clientes que são executados em computadores Mac ..................... 414
Como escolher verificações aleatoriamente para melhorar o
desempenho do computador em ambientes virtualizados ............. 415
Para modificar configurações de verificação global para clientes
Windows ............................................................................. 416
Modificação de configurações variadas para Proteção contra vírus e
spyware em computadores Windows ........................................ 417
Personalização de configurações do Download Insight ...................... 420
Para mudar a ação do Symantec Endpoint Protection quando fizer
uma detecção ....................................................................... 421
Para permitir que usuários exibam o andamento das verificações e
interajam com elas ................................................................ 423
Sumário 17
Como o Symantec Endpoint Protection interage com a Central de

Segurança do Windows .......................................................... 425
Capítulo 18 Para gerenciar o SONAR .................................................. 429

Sobre o SONAR .......................................................................... 429
Para gerenciar o SONAR .............................................................. 431
Como controlar e impedir as detecções de falsos positivos do
SONAR ............................................................................... 436
Para ajustar as configurações do SONAR em seus
Monitoramento de resultados de detecção do SONAR para procurar
falsos positivos .................................................................... 440
Gerenciamento das verificações proativas de ameaças TruScan de
clientes legados .................................................................... 441
Sobre como ajustar as configurações do TruScan para clientes
legados ......................................................................... 442
Para definir as configurações da verificação proativa contra
ameaças TruScan para clientes legados .............................. 446
Capítulo 19 Para gerenciar a Proteção contra adulterações .......... 449

Sobre a proteção contra adulterações ............................................. 449
Para alterar as configurações da Proteção contra adulterações ............ 450
Capítulo 20 Para gerenciar a proteção de firewall ........................... 451

Para gerenciar a proteção de firewall .............................................. 451
Como um firewall funciona ..................................................... 453
Sobre o firewall do Symantec Endpoint Protection ...................... 454
Para criar uma política de firewall ................................................. 455
Como ativar ou desativar uma política de firewall ....................... 458
Automaticamente permitir comunicações para serviços de rede
essenciais ..................................................................... 459
Definição de configurações de firewall para controle misto .......... 460
Bloqueio automático de conexões a um computador invasor ......... 461
Detecção de ataques potenciais e tentativas de spoofing .............. 462
Como impedir a detecção de dissimulação ................................. 463
Desativação do firewall do Windows ........................................ 464
Configuração da autenticação ponto a ponto .............................. 465
Para gerenciar regras de firewall ................................................... 467
Sobre regras do servidor de firewall e do cliente ......................... 469
Sobre a regra de firewall, a configuração de firewall e a ordem
de processamento da prevenção contra intrusões ................. 470
18 Sumário
Sobre regras herdadas de firewall ............................................ 471

Para alterar a ordem das regras de firewall ................................ 473
Como o firewall usa a inspeção com monitoração de estado .......... 474
Sobre acionadores do aplicativo de regras de firewall .................. 474
Sobre acionadores de host da regra de firewall ........................... 479
Sobre os acionadores dos serviços de rede da regra de
firewall ......................................................................... 483
Sobre acionadores do adaptador de rede da regra de
firewall ......................................................................... 485
Para configurar regras de firewall ................................................. 486
Para adicionar uma regra de firewall nova ................................. 487
Importação e exportação de regras de firewall ........................... 489
Para copiar e colar regras de firewall ........................................ 490
Personalização das regras de firewall ....................................... 490
Capítulo 21 Para gerenciar a prevenção contra intrusões .............. 501

Para gerenciar a prevenção contra intrusões em seu
computador-cliente .............................................................. 501
Como a prevenção contra intrusões funciona ................................... 504
Sobre Symantec IPS signatures ..................................................... 505
Sobre as assinaturas IPS personalizadas ......................................... 506
Ativação ou desativação da prevenção contra intrusões na rede ou
prevenção contra intrusões no navegador ................................. 507
Para criar exceções para assinaturas IPS ......................................... 508
Para configurar uma lista de computadores excluídos ....................... 509
Configuração de notificações da prevenção contra intrusões do
cliente ................................................................................ 511
Para gerenciar assinaturas de prevenção contra intrusões
personalizada ...................................................................... 512
Criação de uma biblioteca IPS personalizada .............................. 513
Para adicionar assinaturas a uma biblioteca IPS
personalizada ................................................................ 514
Atribuição de várias bibliotecas IPS personalizadas a um
grupo ........................................................................... 516
Alteração da ordem de assinaturas IPS personalizadas ................ 516
Para copiar e colar assinaturas IPS personalizadas ..................... 517
Definição de variáveis para assinaturas IPS personalizadas .......... 518
Para testar assinaturas IPS personalizadas ................................ 519
Sumário 19
Capítulo 22 Para gerenciar o controle de dispositivos e

aplicativos ..................................................................... 521
Sobre o controle de dispositivos e aplicativos ................................... 521
Sobre Políticas de controle de dispositivos e aplicativos ..................... 523
Sobre a estrutura de uma política de controle de dispositivos e
aplicativos .......................................................................... 523
Configuração do controle de dispositivos e aplicativos ....................... 524
Ativação de um conjunto de regras de controle de aplicativos
padrão ................................................................................ 526
Criação de regras personalizadas do controle de aplicativos ............... 527
Sobre as melhores práticas para criar regras de controle de
aplicativos .................................................................... 529
Regras típicas do controle de aplicativos ................................... 531
Criação de um conjunto de regras personalizadas e adição de
regras .......................................................................... 534
Como copiar conjuntos ou regras de aplicativos entre políticas
de controle de dispositivos e aplicativos .............................. 535
Aplicação de uma regra a aplicativos específicos e exclusão de
aplicativos de uma regra .................................................. 536
Adição de condições e ações a uma regra personalizada do
controle de aplicativos ..................................................... 538
Conjuntos de regras de controle de aplicativos de teste ................ 539
Configuração do bloqueio do sistema .............................................. 541
Para fazer o modo blacklist para bloqueio do sistema aparecer
no Symantec Endpoint Protection Manager ......................... 547
Para criar uma lista de impressões digitais de arquivos com o
checksum.exe ................................................................ 549
Importação ou mesclagem de listas de impressões digitais de
arquivos no Symantec Endpoint Protection Manager ............ 550
Para atualizar manualmente uma lista de impressões digitais de
arquivos no Symantec Endpoint Protection Manager ............ 552
Para criar uma lista de nomes de aplicativos para importação na
configuração de bloqueio do sistema .................................. 553
Para atualizar automaticamente whitelists ou blacklists para
bloqueio do sistema ........................................................ 554
Para configurar e testar a configuração do bloqueio do sistema
antes de ativar o bloqueio do sistema ................................. 559
Para ativar o bloqueio do sistema para executar no modo
whitelist ....................................................................... 562
Para ativar o bloqueio do sistema para ser executado no modo
blacklist ........................................................................ 563
20 Sumário
Para testar itens selecionados antes de adicioná-los ou removê-los

quando o bloqueio do sistema já estiver ativado ................... 564
Gerenciamento do controle de dispositivos ...................................... 566
Sobre a lista de dispositivos de hardware .................................. 567
Como obter um ID da classe ou do dispositivo ............................ 568
Adição de um dispositivo de hardware à lista Dispositivos de
hardware ...................................................................... 569
Configuração de controle de dispositivos .................................. 570
Capítulo 23 Para gerenciar exceções .................................................. 573

Sobre exceções ao Symantec Endpoint Protection ............................. 573
Para gerenciar exceções para o Symantec Endpoint Protection ........... 574
Criação de exceções para o Symantec Endpoint Protection ................. 576
Exclusão de um arquivo ou pasta das verificações ....................... 581
Exclusão de riscos conhecidos das verificações de vírus e
spyware ........................................................................ 583
Exclusão de extensões de arquivo das verificações de vírus e
spyware ........................................................................ 584
Para monitorar um aplicativo a fim de criar uma exceção ............. 584
Para especificar como o Symantec Endpoint Protection gerencia
aplicativos monitorados .................................................. 585
Exclusão de um domínio confiável da Web das verificações .......... 586
Para criar uma exceção da Proteção contra adulterações .............. 586
Para criar uma exceção para um aplicativo que faz mudanças no
DNS ou em arquivo do host .............................................. 587
Restrição dos tipos de exceções que os usuários podem configurar
em computadores-cliente ....................................................... 588
Para criar exceções de eventos de log no Symantec Endpoint
Protection Manager .............................................................. 589
Capítulo 24 Para configurar atualizações e atualizar a proteção

do computador-cliente ............................................... 591
Para gerenciar atualizações de conteúdo ......................................... 592
Sobre os tipos do conteúdo que o LiveUpdate pode fornecer ......... 597
Como os computadores-cliente recebem atualizações de
conteúdo ....................................................................... 602
Configuração de um site para fazer o download de atualizações de
conteúdo ............................................................................. 609
Configuração do agendamento de download do LiveUpdate para
Symantec Endpoint Protection Manager ................................... 613
Download do conteúdo do LiveUpdate manualmente para o Symantec
Endpoint Protection Manager ................................................. 614
Sumário 21
Verificação da atividade do servidor do LiveUpdate .......................... 614

Para configurar o Symantec Endpoint Protection Manager para se
conectar a um servidor proxy a fim de acessar a Internet e fazer
download de conteúdo do Symantec LiveUpdate ......................... 615
Especificação de um servidor proxy que os clientes usem para se
comunicar com o Symantec LiveUpdate ou um servidor interno
do LiveUpdate ...................................................................... 615
Como ativar e desativar o agendamento do LiveUpdate para
Como configurar os tipos de conteúdos usados para atualizar
Configuração do agendamento de download do LiveUpdate para
Configuração da quantidade de controle que os usuários têm sobre o
LiveUpdate .......................................................................... 620
Para configurar as revisões de conteúdo usadas pelos clientes ............ 621
Configuração do espaço em disco usado para downloads do
LiveUpdate .......................................................................... 622
Sobre a escolha aleatória de downloads simultâneos de
conteúdo ............................................................................. 623
Como escolher aleatoriamente downloads do conteúdo do servidor
de gerenciamento padrão ou de um Provedor de atualizações de
grupo ................................................................................. 624
Como escolher aleatoriamente o download de conteúdo de um servidor
do LiveUpdate ...................................................................... 625
Configuração das atualizações do cliente a serem executadas quando
os computadores-cliente estiverem ociosos ............................... 626
Configuração de atualizações do cliente para serem executadas quando
as definições forem antigas ou o computador tiver sido
desconectado ....................................................................... 627
Configuração de um servidor externo do LiveUpdate ......................... 628
Configuração de um servidor interno do LiveUpdate ......................... 629
Para usar Provedores de atualizações de grupo para distribuir
conteúdo aos clientes ........................................................... 632
Sobre os tipos de Provedores de atualizações de grupo ................ 634
Sobre os efeitos de configurar mais de um tipo de provedor de
atualizações de grupo em sua rede ..................................... 639
Sobre como configurar regras para vários Provedores de
atualizações de grupo ...................................................... 641
Para configurar Provedores de atualizações de grupo .................. 643
Pesquisa dos clientes que atuam como Provedores de atualizações
de grupo ....................................................................... 647
22 Sumário
Para usar arquivos do Intelligent Updater para atualizar definições

de vírus e de riscos à segurança do cliente ................................. 647
Como usar ferramentas de distribuição de terceiros para atualizar
Configuração de uma política de configurações do LiveUpdate
para permitir a distribuição de conteúdo de terceiros a
clientes gerenciados ........................................................ 650
Preparação de clientes não gerenciados para receber as
atualizações das ferramentas de distribuição de
terceiros ....................................................................... 651
Distribuição do conteúdo usando ferramentas de distribuição de
terceiros ....................................................................... 653
Capítulo 25 Para monitorar a proteção com relatórios e

logs ................................................................................. 657
Monitoração da proteção de endpoints ........................................... 657

Exibição de um relatório de status diário ou semanal ................... 662
Exibição da proteção do sistema .............................................. 663
Para encontrar computadores off-line ...................................... 663
Como encontrar computadores não verificados .......................... 664
Exibição de riscos ................................................................. 664
Para exibir o status de computadores-cliente
implementados .............................................................. 666
Exibição de destinos e origens do ataque ................................... 666
Para gerar uma lista de versões do Symantec Endpoint Protection
instaladas nos clientes e servidores em sua rede ................... 667
Configuração das preferências de relatório ...................................... 668
Logon no relatório através de um navegador da Web autônomo .......... 669
Sobre os tipos dos relatórios ......................................................... 670
Execução e personalização de relatórios rápidos ............................... 672
Salvamento e exclusão de relatórios personalizados .......................... 674
Criação de relatórios agendados .................................................... 676
Edição do filtro usado para um relatório agendado ............................ 677
Como imprimir e salvar a cópia de um relatório ................................ 678
Exibição de logs .......................................................................... 679
O que você pode fazer nos logs ................................................ 681
Como salvar e excluir logs personalizados usando-se filtros ......... 683
Exibição de logs de outros sites ............................................... 685
Para executar comandos através do log de status do computador ........ 685
Sumário 23
Capítulo 26 Para gerenciar notificações ............................................. 689

Gerenciamento de notificações ..................................................... 689
Como as notificações funcionam ............................................. 690
O que são os tipos de notificações e quando são enviados? ............ 691
Sobre notificações do parceiro ................................................ 695
Estabelecimento de comunicação entre o servidor de gerenciamento
e os servidores de e-mail ........................................................ 696
Exibição e reconhecimento de notificações ...................................... 697
Como salvar e excluir filtros administrativos de notificação ............... 698
Configuração de notificações do administrador ................................ 699
Como os upgrades de outra versão afetam as condições de
notificação .......................................................................... 700
Seção 4 Para gerenciar a proteção em ambientes

virtuais ........................................................................ 703
Capítulo 27 Visão geral do Symantec Endpoint Protection e
infraestruturas virtuais .............................................. 705
Para usar o Symantec Endpoint Protection nas infraestruturas
virtuais ............................................................................... 705
Sobre o Cache de inteligência compartilhado .................................. 707
Sobre a ferramenta Exceção de imagem virtual ................................ 708
Capítulo 28 Para instalar e usar um Cache de inteligência

compartilhado baseado em rede .............................. 709
O que preciso fazer para usar o Cache de inteligência compartilhado
baseado na rede? .................................................................. 710
Requisitos do sistema para implementar o Cache de inteligência
compartilhado baseado na rede ............................................... 710
Para instalar e desinstalar um Cache de inteligência compartilhado
baseado em rede ................................................................... 711
Para ativar ou desativar o uso do Cache de inteligência compartilhado
baseado na rede ................................................................... 713
Para personalizar as configurações baseadas em rede do Cache de
inteligência compartilhado ..................................................... 715
Para interromper e iniciar o serviço do Cache de inteligência
compartilhado ..................................................................... 719
Para exibir eventos de log do Cache de inteligência compartilhado
baseado na rede ................................................................... 719
24 Sumário
Para monitorar contadores de desempenho do Cache de inteligência

compartilhado baseado na rede ............................................... 721
Solução de problemas no Cache de inteligência compartilhado ........... 722
Capítulo 29 Para instalar o Appliance de segurança virtual e

usar um Cache de inteligência compartilhado
ativado para vShield ................................................... 725
O que preciso fazer para usar o Cache de inteligência compartilhado
ativado para vShield? ............................................................ 726
O que preciso fazer para instalar um Appliance de segurança
virtual? ............................................................................... 727
Sobre o Appliance de segurança virtual do Symantec Endpoint
Protection ........................................................................... 728
Requisitos do software VMware para instalar o Appliance de
segurança virtual da Symantec ............................................... 729
Requisitos do software de VMware para máquinas virtuais
convidadas .......................................................................... 730
Para configurar o arquivo de configurações de instalação do Appliance
de segurança virtual do Symantec Endpoint Protection ............... 731
Para instalar o Appliance de segurança virtual do Symantec Endpoint
Protection ........................................................................... 734
Para ativar clientes do Symantec Endpoint Protection para usar o
Cache de inteligência compartilhado ativado para vShield ........... 737
Para interromper e iniciar o serviço do Cache de inteligência
compartilhado ativado para vShield ......................................... 737
Comandos de serviço para o Cache de inteligência compartilhado
ativado para vShield ............................................................. 738
Configurações do arquivo de configuração para um Cache de
inteligência compartilhado ativado para vShield ........................ 739
Sobre o log de eventos do Cache de inteligência compartilhado ativado
para vShield ........................................................................ 742
Para desinstalar o Appliance de segurança virtual do Symantec
Endpoint Protection .............................................................. 742
Capítulo 30 Para usar a Exceção de imagem virtual ........................ 745

Para usar a ferramenta Exceção de imagem virtual em uma imagem
base ................................................................................... 745
Requisitos do sistema para a ferramenta Exceção de imagem
virtual ................................................................................ 746
Para executar a ferramenta Exceção de imagem virtual ..................... 747
Para configurar o Symantec Endpoint Protection para ignorar a
verificação de arquivos de imagem base .................................... 747
Sumário 25
Capítulo 31 Infraestruturas da área de trabalho virtual não

persistentes .................................................................. 749
Para usar o Symantec Endpoint Protection em infraestruturas da
área de trabalho virtual não persistentes .................................. 749
Para configurar a imagem base para máquinas virtuais convidadas
não persistentes em infraestruturas da área de trabalho
virtual ................................................................................ 750
Para criar uma chave de registro para marcar as máquinas virtuais
convidadas (GVMs) de imagem base como clientes não
persistentes ......................................................................... 751
Para configurar um intervalo separado de apagamento para clientes
VDI off-line não persistentes .................................................. 752
Seção 5 Para configurar e gerenciar o Symantec

Endpoint Protection Manager ...................... 753
Capítulo 32 Para gerenciar a conexão entre o servidor de
gerenciamento e os computadores-cliente ............ 755
Para gerenciar a conexão do servidor-cliente ................................... 756
Como determinar se o cliente está conectado e protegido ................... 757
Por que eu preciso substituir o arquivo de comunicação
servidor-cliente no computador-cliente? ................................... 759
Como substituo o arquivo de comunicação cliente-servidor no
computador-cliente? ............................................................. 760
Para restaurar as comunicações cliente-servidor usando um pacote
de instalação do cliente .......................................................... 761
Para exportar manualmente o arquivo de comunicação
cliente-servidor .................................................................... 762
Para importar configurações de comunicação cliente-servidor no
cliente ................................................................................ 764
Para configurar o SSL entre o Symantec Endpoint Protection Manager
e os clientes ......................................................................... 764
Verificação da disponibilidade de portas ................................... 765
Para alterar a atribuição da porta SSL ...................................... 766
Ativação da comunicação SSL entre o servidor de gerenciamento
e o cliente ..................................................................... 767
Aprimoramento de desempenho do cliente e do servidor .................... 767
Sobre certificados de servidor ....................................................... 770
Melhores práticas para atualizar certificados de servidor e manter a
conexão do servidor-cliente .................................................... 771
26 Sumário
Para desativar ou ativar comunicações seguras entre o servidor

e o cliente ..................................................................... 772
Para atualizar ou restaurar um certificado de servidor ................ 773
Capítulo 33 Para configurar o servidor de gerenciamento ............. 775

Para gerenciar os servidores do Symantec Endpoint Protection
Manager e de terceiros .......................................................... 775
Sobre os tipos de servidores do Symantec Endpoint Protection ........... 778
Exportação e importação de configurações do servidor ...................... 779
Para ativar ou desativar os serviços da Web do Symantec Endpoint
Capítulo 34 Para gerenciar banco de dados ...................................... 781

Manutenção do banco de dados ..................................................... 781
Agendamento de backups automáticos do banco de dados .................. 785
Agendamento de tarefas automáticas de manutenção do banco de
dados ................................................................................. 786
Aumento do tamanho do arquivo do banco de dados do Microsoft
SQL Server .................................................................... 788
Exportação de dados para um servidor Syslog .................................. 788
Exportação de dados de log para um arquivo de texto ........................ 789
Exportação de dados do log para um arquivo de texto delimitado por
vírgulas .............................................................................. 791
Especificação do tamanho do log do cliente e de quais fazer upload
para o servidor de gerenciamento ............................................ 792
Como especificar por quanto tempo as entradas de log devem ser
mantidas no banco de dados ................................................... 793
Sobre aumentar o espaço em disco no servidor para dados de log de
clientes ............................................................................... 794
Como remover dados de log do banco de dados manualmente ............. 795
Capítulo 35 Para gerenciar failover e balanceamento de

carga ............................................................................... 797
Configuração do failover e balanceamento de carga .......................... 797
Sobre o failover e o balanceamento de carga .................................... 798
Configuração de uma lista de servidores de gerenciamento ................ 801
Atribuição de uma lista de servidores de gerenciamento a um grupo
ou local ............................................................................... 802
Sumário 27
Capítulo 36 Para preparar a recuperação após desastres .............. 805

Para preparar a recuperação após desastres .................................... 805
Backup de logs e banco de dados .................................................... 807
Backup do certificado de servidor .................................................. 808
Seção 6 Solução de problemas do Symantec

Endpoint Protection ........................................... 811
Capítulo 37 Para executar a recuperação após desastres .............. 813
Para executar a recuperação após desastres ..................................... 813
Reinstalação ou reconfiguração do Symantec Endpoint Protection
Manager ............................................................................. 814
Para gerar um novo certificado de servidor ..................................... 815
Restauração do banco de dados ..................................................... 816
Capítulo 38 Solução de problemas de instalação e de

comunicação ................................................................ 819
Para solucionar problemas do computador com a ferramenta de

suporte do Symantec Endpoint Protection ................................. 819
Identificação do ponto de falha de uma instalação ............................ 820
Solução de problemas de comunicação entre o servidor de
gerenciamento e o cliente ...................................................... 821
Para verificar a conexão ao servidor de gerenciamento no
computador-cliente ........................................................ 823
Investigação de problemas da proteção usando o arquivo da
solução de problemas no cliente ........................................ 823
Ativação e exibição do log de acesso para verificar se o cliente se
conectará ao servidor de gerenciamento ............................. 824
Interrupção e inicialização do servidor Web Apache .................... 825
Uso do comando ping para testar a conectividade com o servidor
de gerenciamento ........................................................... 826
Para usar um navegador para testar a conectividade ao Symantec
Endpoint Protection Manager no cliente do Symantec
Endpoint Protection ........................................................ 826
Verificação de logs de depuração no computador-cliente .............. 827
Verificação dos logs da caixa de entrada no servidor de
gerenciamento ............................................................... 827
Para recuperar configurações de comunicação do cliente usando
a ferramenta SylinkDrop ................................................. 828
28 Sumário
Solução de problemas de comunicação entre o servidor de

gerenciamento e o console ou o banco de dados .......................... 830
Verificação da conexão com o banco de dados ............................ 831
Arquivos de comunicação de cliente e servidor ................................. 833
Capítulo 39 Solução de problemas de geração de relatórios ......... 835

Solução de problemas de geração de relatórios ................................. 835
Alteração de parâmetros do tempo limite para verificar relatórios e
logs .................................................................................... 837
Acesso a páginas de relatórios quando o uso de endereços do loopback
estiver desativado ................................................................. 839
Sobre a recuperação de um log de sistemas do cliente em
computadores de 64 bits ........................................................ 840
Seção 7 Para gerenciar o Symantec Network

Access Control ....................................................... 841
Capítulo 40 Introdução ao Symantec Network Access
Control ........................................................................... 843
Sobre o Symantec Network Access Control ...................................... 844
Sobre os tipos de imposição no Symantec Network Access
Control ............................................................................... 844
Como funciona o Symantec Network Access Control ......................... 846
Como funciona a autoimposição .................................................... 847
Sobre os appliances Enforcer do Symantec Network Access
Control ............................................................................... 849
Como os appliances do Symantec Network Access Control Enforcer
funcionam com políticas de integridade do host ......................... 850
Comunicação entre um appliance Enforcer e um Symantec
Endpoint Protection Manager ........................................... 851
Comunicação entre o appliance Enforcer e os clientes ................. 852
Como funciona o appliance Gateway Enforcer .................................. 852
Como funciona o appliance LAN Enforcer ....................................... 853
Como funciona o Integrated Enforcer for Microsoft DHCP
Servers ............................................................................... 855
Como um Integrated Enforcer for Microsoft Network Access
Protection funciona com um Microsoft Network Policy Server
(NPS) .................................................................................. 857
Como funciona o cliente On-Demand .............................................. 857
O que você pode fazer com appliances do Symantec Enforcer ............. 858
O que você pode fazer com os Symantec Integrated Enforcers ............. 860
Sumário 29
O que você pode fazer com clientes On-Demand ............................... 860
Capítulo 41 Para instalar o Symantec Network Access

Control ........................................................................... 863
Para implementar o Symantec Network Access Control ..................... 863
Para fazer upgrade do Symantec Endpoint Protection Manager para
incluir o Symantec Network Access Control ............................... 865
Sobre a instalação de um appliance Enforcer ................................... 866
Instalação de um appliance Enforcer .............................................. 867
Sobre os indicadores e os controles do appliance Enforcer .................. 867
Configuração de um appliance Enforcer .......................................... 869
Logon em um appliance Enforcer ................................................... 870
Para configurar um appliance Enforcer .......................................... 871
Capítulo 42 Para fazer upgrade e recriar imagem de todos os

tipos de imagens do appliance Enforcer ................ 875
Sobre como fazer upgrade e gerar imagens do appliance
Enforcer ............................................................................. 875
Matriz de compatibilidade de hardware do Enforcer .......................... 876
Como determinar a versão atual de uma imagem do appliance
Enforcer ............................................................................. 877
Upgrade de imagens do appliance Enforcer ..................................... 877
Geração de imagens do appliance Enforcer ...................................... 878
Capítulo 43 Para personalizar as políticas de integridade do

host ................................................................................. 881
O que você pode fazer com as Políticas de integridade do host ............. 882
Para criar e testar uma Política de integridade do host ....................... 883
Sobre requisitos da integridade do host .......................................... 885
Adição de requisitos da integridade do host ..................................... 887
Integridade do host para Mac ........................................................ 889
Para ativar, desativar e excluir políticas de integridade do host ........... 890
Alteração da sequência dos requisitos de integridade do host .............. 891
Para adicionar um requisito da integridade do host através de um
modelo ............................................................................... 891
Sobre configurações para verificações da integridade do host ............. 892
Como permitir que a verificação de integridade do host seja aprovada
se um requisito falhar ........................................................... 893
Configuração de notificações para verificações da integridade do
host ................................................................................... 894
Sobre a correção da Integridade do host .......................................... 895
30 Sumário
Sobre os aplicativos de correção e arquivos de Integridade do

host ............................................................................. 896
Configurações de correção de integridade do host e do
Enforcer ....................................................................... 896
Para criar uma política de quarentena para uma verificação de
integridade do host com falha ................................................. 897
Especificação do período de tempo que o cliente espera pela
correção ............................................................................. 898
Permissão para que os usuários adiem ou cancelem a correção da
integridade do host ............................................................... 898
Capítulo 44 Para adicionar requisitos personalizados à política

de integridade do host ............................................... 901
Sobre os requisitos personalizados ................................................ 902
Sobre condições ......................................................................... 902
Sobre condições do antivírus .................................................. 903
Sobre as condições do antispyware .......................................... 903
Sobre as condições do firewall ................................................. 904
Sobre as condições do arquivo ................................................. 905
Sobre as condições do sistema operacional ................................ 906
Sobre as condições do registro ................................................ 907
Sobre funções ............................................................................ 909
Sobre a lógica de requisito personalizado ........................................ 910
Sobre a instrução RETURN ..................................................... 911
Sobre as instruções IF, THEN e ENDIF ...................................... 911
Sobre a instrução ELSE .......................................................... 911
Sobre a palavra-chave NOT .................................................... 912
Sobre as palavras-chave AND e OR .......................................... 912
Gravação de um script de requisitos personalizados .......................... 912
Adição de uma instrução IF THEN ........................................... 914
Alternância entre as instruções IF e IF NOT ............................... 914
Adição de uma instrução ELSE ................................................ 915
Adição de um comentário ....................................................... 915
Como copiar e colar instruções IF, condições, funções e
comentários .................................................................. 915
Exclusão de uma instrução, condição ou função ......................... 916
Exibição de uma caixa de diálogo de mensagens ............................... 916
Download de um arquivo ............................................................. 917
Definição de um valor do registro .................................................. 918
Incremento de um valor DWORD do registro ................................... 919
Execução de um programa ........................................................... 919
Execução de um script ................................................................. 920
Sumário 31
Definição do carimbo de hora de um arquivo ................................... 921

Especificação de um tempo de espera para o script de requisitos
personalizado ...................................................................... 922
Capítulo 45 Para realizar tarefas básicas no console de todos

os tipos de appliances Enforcer ............................... 923
Sobre a execução de tarefas básicas no console de um appliance
Enforcer ............................................................................. 923
Configuração de uma conexão entre um appliance Enforcer e um
Sobre o comando configure spm ............................................ 925
Verificação do status de comunicação de um appliance Enforcer no
console do Enforcer .............................................................. 927
Acesso remoto a um appliance Enforcer .......................................... 927
Sobre a hierarquia de comandos da CLI do appliance Enforcer ............ 928
Capítulo 46 Para planejar a instalação do appliance Gateway

Enforcer ......................................................................... 929
Planejamento da instalação para um appliance Gateway
Enforcer ............................................................................. 929
Onde colocar o appliance Gateway Enforcer .............................. 931
Diretrizes para endereços IP em um appliance Gateway
Enforcer ....................................................................... 933
Sobre dois appliances Gateway Enforcer em série ....................... 933
Proteção do acesso VPN através de um appliance Gateway
Enforcer ....................................................................... 934
Proteção de pontos de acesso sem fio através de um appliance
Gateway Enforcer ........................................................... 934
Proteção dos servidores através de um appliance Gateway
Enforcer ....................................................................... 934
Proteção de servidores e de clientes que não sejam Windows
através de um appliance Gateway Enforcer ......................... 935
Requisitos para a permissão de clientes que não sejam Windows
sem autenticação ............................................................ 936
Configurações de NIC do appliance Gateway Enforcer ....................... 937
Planejamento de failover para appliances Gateway Enforcer .............. 938
Como o failover funciona com os appliances Gateway Enforcer
na rede ......................................................................... 938
Onde colocar um ou mais appliances Gateway Enforcer para
failover em uma rede com uma ou mais VLANs .................... 939
32 Sumário
Configuração de appliances do Gateway Enforcer para

failover ......................................................................... 942
Planejamento de fail-open e fail-closed para um appliance Gateway
Enforcer ............................................................................. 942
Capítulo 47 Para configurar o appliance Symantec Gateway

Enforcer através do Symantec Endpoint
Protection Manager .................................................... 943
Sobre como configurar o appliance Symantec Gateway Enforcer no
Console do Symantec Endpoint Protection Manager .................... 944
Alteração de configurações do appliance Gateway Enforcer no
Sobre configurações gerais em um appliance Gateway ....................... 948
Adição ou edição da descrição de um grupo do appliance Gateway
Enforcer ....................................................................... 948
Adição ou edição da descrição de um appliance Gateway
Enforcer ....................................................................... 949
Adição ou edição do endereço IP ou nome do host de um appliance
Gateway Enforcer ........................................................... 950
Estabelecimento de comunicação entre um appliance Gateway
Enforcer e um Symantec Endpoint Protection Manager
através de uma lista de servidores de gerenciamento e o
arquivo conf.properties ................................................... 950
Sobre configurações de autenticação em um appliance Gateway .......... 952
Configurações de autenticação em um appliance Gateway ............ 952
Sobre as sessões de autenticação em um Gateway Enforcer
appliance ...................................................................... 956
Sobre a autenticação do cliente em um Gateway Enforcer
appliance ...................................................................... 956
Especificação do número máximo de pacotes de desafio durante
uma sessão de autenticação .............................................. 957
Especificação da frequência de envio dos pacotes de desafio aos
clientes ......................................................................... 958
Especificação do período de tempo durante o qual um cliente é
bloqueado depois de a autenticação falhar ........................... 959
Especificação do período de tempo durante o qual um cliente tem
permissão para reter sua conexão de rede sem nova
autenticação .................................................................. 960
Permissão para todos os clientes com registro em log contínuo
de clientes não autenticados ............................................. 960
Permissão para que clientes que não sejam Windows se conectem
à rede sem autenticação ................................................... 962
Sumário 33
Verificação do número de série da política em um cliente ............. 963

Envio de uma mensagem de não-conformidade de um appliance
Gateway Enforcer a um cliente .......................................... 964
Redirecionamento de solicitações HTTP para uma página da
Web ............................................................................. 966
Configurações de intervalo de autenticação ..................................... 967
Intervalos de endereços IP do cliente comparados a endereços
IP externos e confiáveis ................................................... 968
Quando usar os intervalos de endereços IP de cliente .................. 968
Sobre os endereços IP confiáveis ............................................. 970
Adição de intervalos de endereço IP do cliente à lista de endereços
que necessitam de autenticação ........................................ 971
Edição de intervalos de endereço IP de cliente na lista de
endereços que necessitam de autenticação .......................... 973
Remoção de intervalos de endereço IP do cliente da lista de
endereços que necessitam de autenticação .......................... 973
Adição de um endereço IP interno e confiável para clientes em
um servidor de gerenciamento .......................................... 974
Especificação de endereços IP externos e confiáveis .................... 975
Edição de endereço IP interno e confiável ou endereço IP interno
e confiável .................................................................... 976
Remoção de um endereço IP interno e confiável ou um endereço
IP externo e confiável ...................................................... 977
Ordem de verificação do intervalo de endereços IP ...................... 977
Sobre configurações avançadas do appliance Gateway Enforcer .......... 978
Especificação dos tipos de pacote e protocolos ........................... 979
Permissão para um cliente legado se conectar à rede com um
appliance Gateway Enforcer ............................................. 980
Ativação da autenticação local em um appliance Gateway
Enforcer ....................................................................... 981
Ativação das atualizações de horário do sistema para o appliance
Gateway Enforcer usando o Network Time Protocol .............. 981
Uso do appliance Gateway Enforcer como um servidor da
Web ............................................................................. 982
Uso do Gateway Enforcer como um servidor de spoofing de DNS
................................................................................... 983
Capítulo 48 Planejamento da instalação para o appliance LAN

Enforcer ......................................................................... 985
Planejamento da instalação de um appliance LAN Enforcer ................ 985
Onde colocar appliances LAN Enforcer ..................................... 986
34 Sumário
Planejamento de failover para appliances LAN Enforcer e servidores

Radius ................................................................................ 989
Onde colocar servidores Radius para fazer failover em uma
rede ............................................................................. 989
Capítulo 49 Para configurar o appliance LAN Enforcer no

Symantec Endpoint Protection Manager ................ 993
Sobre como configurar o Symantec LAN Enforcer no console do
Sobre a configuração de servidores RADIUS em um appliance LAN
Enforcer ............................................................................. 994
Sobre a configuração de pontos de acesso sem fio 802.1x em um
appliance LAN Enforcer ......................................................... 995
Alteração das configurações do LAN Enforcer no Symantec Endpoint
Uso das configurações gerais ........................................................ 998
Adição ou edição do nome de um grupo do appliance LAN
Enforcer com um LAN Enforcer ......................................... 999
Especificação de uma porta de escuta para a comunicação entre
um alternador VLAN e um LAN Enforcer ........................... 1000
Adição ou edição da descrição de um grupo do Enforcer com um
LAN Enforcer ............................................................... 1000
Adição ou edição do endereço IP ou nome do host de um LAN
Enforcer ...................................................................... 1001
Adição ou edição da descrição de um LAN Enforcer ................... 1001
Como conectar o LAN Enforcer a um Symantec Endpoint
Protection Manager ....................................................... 1002
Uso das configurações de grupo do servidor RADIUS ....................... 1003
Adição de um nome do grupo de servidor RADIUS e de um
servidor RADIUS .......................................................... 1004
Edição do nome de um grupo de servidor RADIUS ..................... 1006
Edição do nome amigável de um servidor RADIUS .................... 1006
Edição do nome do host ou endereço IP de um servidor
RADIUS ...................................................................... 1007
Edição do número da porta de autenticação de um servidor
RADIUS ...................................................................... 1007
Edição do segredo compartilhado de um servidor RADIUS .......... 1008
Ativação do suporte para o Servidor de políticas da rede (NPS)
do Windows no LAN Enforcer ......................................... 1009
Exclusão do nome de um grupo de servidor RADIUS .................. 1010
Exclusão de um servidor RADIUS ........................................... 1010
Uso das configurações do alternador ............................................ 1011
Sumário 35
Configurações do alternador ................................................. 1011

Sobre o suporte a atributos dos modelos de alternador ............... 1012
Adição de uma política de alternador compatível com 802.1x a
um appliance LAN Enforcer com assistente ....................... 1015
Edição de informações básicas sobre a política de switch e o
switch compatível com 802.1x ......................................... 1024
Edição de informações sobre o alternador compatível com
802.1x ........................................................................ 1029
Edição de informações VLAN para a política de alternador ......... 1031
Edição de informações de ação para a política de alternador ....... 1034
Uso das configurações avançadas do appliance LAN Enforcer ........... 1039
Permissão para um cliente legado se conectar à rede com um
appliance LAN Enforcer ................................................. 1039
Ativação da autenticação local no appliance LAN Enforcer ......... 1040
Ativação das atualizações do horário do sistema para o appliance
Enforcer usando o Network Time Protocol ......................... 1040
Configuração de endereços MAC e desvio da autenticação MAC (MAB)
no LAN Enforcer ................................................................. 1041
Uso da autenticação 802.1x ........................................................ 1042
Sobre a reautenticação no computador-cliente ......................... 1045
Capítulo 50 Para configurar Enforcers no Symantec Endpoint

Protection Manager ................................................... 1047
Sobre o gerenciamento de Enforcers no console do servidor de
gerenciamento ................................................................... 1048
Sobre o gerenciamento de Enforcers na página Servidores ............... 1048
Sobre os grupos do Enforcer ....................................................... 1049
Como o console determina o nome do grupo do Enforcer ............ 1049
Sobre os grupos de failover do Enforcer .................................. 1049
Sobre a alteração de um nome de grupo .................................. 1050
Sobre a criação de um grupo do Enforcer ................................. 1050
Sobre as informações do Enforcer que são exibidas no console do
Enforcer ............................................................................ 1051
Exibição das informações sobre o Enforcer no console de
gerenciamento ................................................................... 1052
Alteração do nome e da descrição de um Enforcer ........................... 1052
Exclusão de um Enforcer ou de um grupo do Enforcer ...................... 1053
Exportação e importação das configurações do grupo do
Enforcer ............................................................................ 1054
Mensagens pop-up para clientes bloqueados .................................. 1054
Mensagens dos computadores que executam o cliente ............... 1054
36 Sumário
Mensagens dos computadores com Windows que não estão

executando o cliente (somente Gateway Enforcer) ............... 1055
Configuração das mensagens do Enforcer ................................ 1056
Sobre as configurações do cliente e o Enforcer ............................... 1056
Configuração de clientes para usar uma senha a fim de interromper
o serviço do cliente .............................................................. 1056
Sobre relatórios e logs do Enforcer ............................................... 1057
Definição das configurações do log do Enforcer .............................. 1058
Como desativar o registro em log do Enforcer no console do
Symantec Endpoint Protection Manager ........................... 1059
Como ativar o envio dos logs do Enforcer de um Enforcer para o
Symantec Endpoint Protection Manager ........................... 1060
Configuração do tamanho e do prazo dos logs do Enforcer .......... 1060
Filtragem dos logs de tráfego de um Enforcer ........................... 1061
Para usar o servidor do syslog para monitorar o Enforcer ........... 1062
Capítulo 51 Introdução do Symantec Integrated Enforcer ........... 1065

Sobre o Symantec Network Access Control Integrated Enforcer for
Microsoft DHCP Servers ....................................................... 1065
Sobre o Symantec Network Access Control Integrated Enforcer for
Microsoft Network Access Protection ..................................... 1065
Capítulo 52 Para instalar o Symantec Network Access Control

Integrated Enforcer for Microsoft DHCP
Servers ......................................................................... 1067
Processo de instalação de um Symantec Network Access Control

Integrated Enforcer for Microsoft DHCP Servers ...................... 1067
Requisitos do sistema para o Integrated Enforcer para Microsoft
DHCP Servers .................................................................... 1068
Componentes para um Integrated Enforcer for Microsoft DHCP
Servers ............................................................................. 1069
Requisitos de colocação para o Integrated Enforcer for Microsoft
DHCP Servers .................................................................... 1070
Noções básicas sobre a instalação de um Integrated Enforcer for
Microsoft DHCP Servers ...................................................... 1072
Instalação do Integrated Enforcer for Microsoft DHCP Servers .......... 1073
Desinstalação do Symantec Network Access Control Integrated
Enforcer for Microsoft DHCP Servers ............................... 1075
Upgrade do Integrated Enforcer for Microsoft DHCP
Servers ....................................................................... 1076
Sumário 37
Capítulo 53 Para configurar os Symantec Integrated Enforcers

no console do Enforcer ............................................. 1077
Sobre a configuração do Integrated Enforcers em um console do
appliance Enforcer .............................................................. 1078
Para estabelecer ou alterar uma comunicação entre o Integrated
Enforcer para servidores DHCP da Microsoft e o Symantec
Endpoint Protection Manager ............................................... 1080
Configuração da quarentena automática ....................................... 1082
Como editar uma conexão do Symantec Endpoint Protection
Manager ........................................................................... 1084
Definição de configurações de comunicação do Integrated Enforcer
no Symantec Endpoint Protection Manager ............................. 1085
Configuração de uma lista de fornecedor confiável .......................... 1086
Exibição de logs do Enforcer no console ........................................ 1087
Como interromper e iniciar os serviços de comunicação entre o
Integrated Enforcer e um servidor de gerenciamento ................. 1088
Configuração de uma máscara de sub-rede segura ........................... 1089
Criação de exceções do escopo do DHCP ........................................ 1090
Capítulo 54 Para configurar o Symantec Network Access Control

Integrated Enforcer para o servidor DHCP da
Microsoft no Symantec Endpoint Protection
Manager ....................................................................... 1091
Sobre a configuração do Symantec Network Access Control Integrated
Enforcer para o servidor DHCP da Microsoft no Symantec
Endpoint Protection Manager ............................................... 1092
Configurações básicas do Symantec Network Access Control
Integrated Enforcer ............................................................. 1092
Adição ou edição do nome de um grupo do Enforcer para o
Symantec Network Access Control Integrated Enforcer ....... 1093
Symantec Network Access Control Integrated Enforcer ....... 1093
Adição ou edição da descrição de um Symantec Network Access
Control Integrated Enforcer ............................................ 1094
Para conectar o Integrated Enforcer do Symantec Network Access
Control a um Symantec Endpoint Protection Manager ......... 1094
Configurações avançadas do Symantec Network Access Control
Ativação de servidores, clientes e dispositivos para que se
conectem à rede como hosts confiáveis sem
autenticação ................................................................ 1096
38 Sumário
Ativação da autenticação local no Integrated Enforcer ............... 1097

Configuração de autenticação do Symantec Network Access Control
Sobre o uso das configurações de autenticação ......................... 1098
Sobre as sessões de autenticação ........................................... 1100
Especificação do número máximo de pacotes de desafio durante
uma sessão de autenticação ............................................ 1101
clientes ....................................................................... 1102
Permissão para todos os clientes com registro em log contínuo
de clientes não autenticados ........................................... 1103
Permissão para que clientes que não sejam Windows se conectem
à rede sem autenticação ................................................. 1104
Como fazer com que o Symantec Network Access Control
Integrated Enforcer verifique o número de série da política
em um cliente .............................................................. 1104
Configuração de logs para o Symantec Network Access Control
Capítulo 55 Para instalar o Symantec Integrated Enforcer for

Microsoft Network Access Protection .................... 1107
Antes de instalar o Symantec Integrated Enforcer for Microsoft
Network Access Protection ................................................... 1107
Processo para instalar o Symantec Network Access Control Integrated
Enforcer for Microsoft Network Access Protection .................... 1108
Requisitos do sistema para um Integrated Enforcer for Microsoft
Componentes de um Symantec Integrated Enforcer for Microsoft
Instalação do Integrated Enforcer for Microsoft Network Access
Protection ......................................................................... 1112
Desinstalação do Integrated Enforcer for Microsoft Network
Access Protection ......................................................... 1113
Interrupção e inicialização manual do Network Access
Protection ................................................................... 1114

Integrated Enforcer for Microsoft Network
Sumário 39
Access Protection em um console do

Enforcer ....................................................................... 1117
Sobre como configurar o Symantec Integrated Enforcer for Microsoft

Network Access Protection em um console do Enforcer .............. 1118
Como conectar um Symantec Integrated Enforcer for Microsoft
Network Access Protection a um servidor de gerenciamento em
um console do Enforcer ........................................................ 1119
Criptografia de comunicação entre o Symantec Integrated Enforcer
for Microsoft Network Access Protection e um servidor de
gerenciamento ................................................................... 1121
Configuração de um nome de grupo do Enforcer no console do
Symantec Integrated Enforcer for Microsoft Network Access
Protection ......................................................................... 1122
Configuração de um protocolo de comunicação HTTP no console do
Symantec Integrated Enforcer for Microsoft Network Access
Protection ......................................................................... 1123

Access Protection no Symantec Endpoint
Protection Manager ................................................... 1125
Sobre como configurar o Symantec Integrated Enforcer for Microsoft
Network Access Protection no Symantec Endpoint Protection
Manager ........................................................................... 1126
Ativação da imposição do NAP para clientes .................................. 1127
Como verificar se o servidor de gerenciamento gerencia o
cliente .............................................................................. 1128
Verificação das políticas do Validador da integridade de
segurança .......................................................................... 1128
Verificação de clientes que passaram na verificação de integridade
do host .............................................................................. 1129
Configuração de logs para o Symantec Integrated Enforcer for
40 Sumário
Capítulo 58 Para configurar conexões temporárias para clientes

do Symantec Network Access Control sob
demanda ...................................................................... 1131
Sobre os clientes do Symantec Network Access Control
On-Demand ....................................................................... 1132
Para configurar clientes sob demanda do Symantec Network Access
Control em um console de um Gateway Enforcer ...................... 1132
Configuração do desafio de acesso do convidado usando o Integrated
Enforcer DHCP do Symantec Network Access Control ................ 1135
Ativação de clientes sob demanda do Symantec Network Access
Control para se conectarem temporariamente a uma rede .......... 1139
Como desativar o cliente do Symantec Network Access Control
On-Demand ....................................................................... 1142
Configuração da autenticação no console do Gateway Enforcer para
clientes do Symantec Network Access Control sob demanda ....... 1142
Configuração da autenticação do usuário com um banco de dados
local ........................................................................... 1143
Configuração da autenticação de usuário com o Microsoft
Windows 2003 Server Active Directory ............................. 1143
Configuração da autenticação de usuário com um servidor
Radius ........................................................................ 1144
Configuração do cliente sob demanda no Windows para
autenticação com o protocolo dot1x-tls ............................. 1145
Configuração do cliente sob demanda no Windows para
autenticação com o protocolo dot1x-peap .......................... 1146
Comandos on-demand authentication ..................................... 1147
Edição do banner na página Bem-vindo ......................................... 1155
Capítulo 59 Solução de problemas do appliance Enforcer ........... 1157

Solução de problemas de comunicação entre um appliance Enforcer
e o Symantec Endpoint Protection Manager ............................. 1157
Solução de problemas de um appliance Enforcer ............................. 1159
Perguntas frequentes sobre os appliances Enforcer ......................... 1159
Que proteção antivírus e software antivírus são gerenciados pela
integridade do host? ...................................................... 1160
As políticas de integridade do host podem ser definidas em nível
de grupo ou em nível global? ........................................... 1160
Você pode criar uma mensagem personalizada de integridade do
host? .......................................................................... 1160
Sumário 41
O que acontece se os appliances Enforcer não puderem se

comunicar com o Symantec Endpoint Protection
Manager? .................................................................... 1161
É necessário ter um servidor RADIUS quando um appliance LAN
Enforcer é executado no modo transparente? ..................... 1162
Como a aplicação gerencia computadores sem clientes? ............. 1163
Solução de problemas de conexão entre o Enforcer e clientes
On-Demand ....................................................................... 1165
Apêndice A Diferenças entre recursos do Mac e do

Windows ...................................................................... 1169
Recursos de proteção do cliente por plataforma .............................. 1169

Recursos de gerenciamento por plataforma ................................... 1170
Configurações da Política de proteção contra vírus e spyware
disponíveis para Windows e Mac ........................................... 1172
Configurações de política do LiveUpdate disponíveis para Windows
e Mac ................................................................................ 1173
Apêndice B Para personalizar e implementar a instalação do

cliente usando-se ferramentas de terceiros ........ 1175
Para instalar o software-cliente usando ferramentas de
terceiros ........................................................................... 1176
Sobre os recursos e as propriedades de instalação do cliente ............. 1178
Sobre a configuração das strings de comando MSI .................... 1179
Sobre a configuração do Setaid.ini ......................................... 1179
Propriedades de instalação do cliente do Symantec Endpoint
Protection ......................................................................... 1180
Recursos do cliente do Symantec Endpoint Protection ..................... 1181
Parâmetros do Windows Installer ................................................ 1183
Propriedades da Central de Segurança do Windows ......................... 1185
Exemplos de linha de comando para instalar o cliente ...................... 1186
Sobre como instalar e implementar o software-cliente com o Symantec
Management Agent ............................................................. 1186
Para instalar clientes com o Microsoft SMS 2003 ............................ 1187
Para instalar clientes com o objeto de política de grupo do Active
Directory ........................................................................... 1189
Para criar a imagem de instalação administrativa ..................... 1190
Criação de uma distribuição de software de GPO ....................... 1191
Para criar um script de inicialização para instalar Windows
Installer 3.1 ou superior ................................................. 1193
Adição de computadores à unidade organizacional e ao software
de instalação ................................................................ 1194
42 Sumário
Para copiar um arquivo Sylink.xml aos arquivos de instalação

para fazer clientes gerenciados ....................................... 1195
Para desinstalar o software-cliente com o objeto de política de grupo
do Active Directory ............................................................. 1196
Apêndice C Opções da linha de comando para o cliente .............. 1199

Para executar comandos do Windows para o serviço do cliente .......... 1199
Códigos de erro ......................................................................... 1204
Digitação de um parâmetro caso o cliente esteja protegido por
senha ............................................................................... 1205
Apêndice D Opções da linha de comando para a ferramenta

Exceção de imagem virtual ...................................... 1207
vietool .................................................................................... 1208
Apêndice E Sintaxe para assinaturas de Prevenção contra

intrusões personalizada e regras de controle de
aplicativo ..................................................................... 1211
Expressões regulares no Symantec Endpoint Protection

Manager ........................................................................... 1212
Sobre sintaxe e convenções das assinaturas ................................... 1214
Argumentos do tipo de protocolo ................................................. 1215
Argumentos do protocolo TCP ..................................................... 1215
Argumentos do protocolo UDP .................................................... 1217
Argumentos do protocolo ICMP ................................................... 1218
Argumentos do protocolo IP ....................................................... 1219
Argumentos de Msg .................................................................. 1222
Argumentos de conteúdo ............................................................ 1223
Argumentos de conteúdo opcionais .............................................. 1223
Diferenciação entre maiúsculas e minúsculas ................................. 1223
Decodificação HTTP .................................................................. 1224
Deslocamento e profundidade ..................................................... 1224
Argumentos Streamdepth .......................................................... 1225
Operadores suportadas .............................................................. 1226
Exemplo de sintaxe personalizada da assinatura IPS ....................... 1226
Índice ................................................................................................................ 1229

Capítulo 1
Introdução ao Symantec
Endpoint Protection
Este capítulo contém os tópicos a seguir:
■ Sobre o Symantec Endpoint Protection
■ O que há de novo no Symantec Endpoint Protection 12.1.2
■ Sobre os tipos de proteção contra ameaças que o Symantec Endpoint Protection

fornece
■ Proteção de sua rede com o Symantec Endpoint Protection
■ Para executar o Symantec Endpoint Protection pela primeira vez
■ Para gerenciar a proteção em computadores-cliente
■ Para manter a segurança de seu ambiente
■ Solução de problemas do Symantec Endpoint Protection
Sobre o Symantec Endpoint Protection

O Symantec Endpoint Protection é uma solução do servidor de cliente que protege
laptop, áreas de trabalho, computadores Windows e Mac e servidores em sua rede
contra o malware. O Symantec Endpoint Protection combina a proteção antivírus
à proteção contra ameaças avançada para proteger de forma proativa seus
computadores contra ameaças conhecidas e desconhecidas.
O Symantec Endpoint Protection protege contra malwares, como vírus, worms,
Cavalos de Troia, spywares e adwares. Ele fornece a proteção contra os ataques
mais sofisticados que passam pelas medidas de segurança tradicionais como
rootkits, ataques de dia zero e spywares que se transformam. Com pouca
44 Introdução ao Symantec Endpoint Protection
O que há de novo no Symantec Endpoint Protection 12.1.2
manutenção e grande eficácia, o Symantec Endpoint Protection se comunica sobre

sua rede para proteger automaticamente sistemas físicos e virtuais contra ataques.
Esta solução abrangente protege as informações confidenciais e valiosas
combinando várias camadas de proteção em um único cliente integrado. O
Symantec Endpoint Protection reduz a sobrecarga de gerenciamento, o tempo e
os custos, oferecendo um único console de gerenciamento para os clientes.
Consulte “Sobre os tipos de proteção contra ameaças que o Symantec Endpoint
Protection fornece” na página 48.
O que há de novo no Symantec Endpoint Protection

12.1.2
A Tabela 1-1 descreve os novos recursos na versão mais recente do Symantec
Endpoint Protection.
Tabela 1-1 Novos recursos no Symantec Endpoint Protection 12.1.2
Recurso Descrição
Requisitos do O Symantec Endpoint Protection inclui as seguintes mudanças nos requisitos do sistema:
sistema
■ O Symantec Endpoint Protection Manager é suportado no Windows 8/Windows Server 2012.
■ O cliente Windows é suportado no Windows 8.
■ O cliente Mac suporta a instalação em volumes formatados diferenciando maiúsculas e
minúsculas no Mac OS X.
■ O cliente Mac agora é suportado no Mac OS X 10.8 (64 bits).
■ O Symantec Endpoint Protection Manager é suportado nos navegadores da Web Microsoft
Internet Explorer 10 e Google Chrome. Para obter a lista completa dos requisitos do sistema:
Consulte “Requisitos do sistema para o Symantec Endpoint Protection” na página 79.
Consulte o artigo da Base de conhecimento: Release Notes and System Requirements for all versions
of Symantec Endpoint Protection and Symantec Network Access Control (em inglês)
Introdução ao Symantec Endpoint Protection 45
Recurso Descrição
Instalação O Symantec Endpoint Protection agora inclui os seguintes requisitos adicionais do sistema:
■ O Assistente de Implementação de cliente inclui a opção Implementação do pacote de

atualização de comunicação para enviar o arquivo de comunicação (sylink.xml) ao cliente em
um pacote de instalação de cliente. Use o arquivo sylink.xml para converter um cliente não
gerenciado em um cliente gerenciado, ou para gerenciar um cliente previamente órfão. Em
versões anteriores, você precisava exportar o arquivo sylink.xml do servidor de gerenciamento
e importar o sylink.xml para cada cliente.
Consulte “Para restaurar as comunicações cliente-servidor usando um pacote de instalação do
cliente” na página 761.
Consulte “Por que eu preciso substituir o arquivo de comunicação servidor-cliente no
computador-cliente?” na página 759.
■ O Assistente de Implementação de cliente procura a rede mais rapidamente para encontrar os
computadores que não têm o software-cliente instalado.
■ O Assistente de Implementação de cliente inclui a opção Desinstalar automaticamente o
software de segurança existente para que uma ferramenta de remoção de software de segurança
possa desinstalar produtos de segurança de terceiros no computador-cliente. A ferramenta
remove o software de segurança antes que o pacote de instalação de cliente instale o
software-cliente. Com a versão 12.1.2, a ferramenta remove mais de 40 produtos adicionais de
terceiros.
Para obter uma lista de produtos desinstalados pela ferramenta de remoção de software de
segurança de terceiros, consulte o artigo da Base de conhecimento: About the third-party
security software removal feature in Symantec Endpoint Protection 12.1 (em inglês)
Consulte “Para implementar clientes usando e-mail e link da Web” na página 142.
Consulte “Para implementar clientes usando a instalação remota por envio” na página 144.
Consulte “Para implementar clientes usando a opção Salvar pacote” na página 147.
Você pode fazer o download e executar uma nova ferramenta diagnóstica no servidor de
gerenciamento e no cliente para ajudá-lo a diagnosticar problemas comuns antes e depois da
instalação. O Symantec Diagnostic e o Product Advisor permite que você mesmo resolva problemas
dos produtos em vez de chamar o suporte.
Consulte “Para solucionar problemas do computador com a ferramenta de suporte do Symantec

Endpoint Protection” na página 819.
Consulte o artigo da Base de conhecimento:

http://entced.symantec.com/entt?product=SEP&version=12.1.2&language=english&module=doc&error=LP
Recurso Descrição
Virtualização O Symantec Endpoint Protection inclui as seguintes melhorias da virtualização:
■ Um Cache de inteligência compartilhado ativado para vShield da VMWare. Fornecido em um

Appliance de segurança virtual, você pode implementar o Cache de inteligência compartilhado
ativado para vShield em uma infraestrutura do VMware em cada host. O Cache de inteligência
compartilhado ativado pelo vShield torna a verificação de arquivos mais eficiente. Você pode
monitorar o Appliance de segurança virtual e o status do cliente no Symantec Endpoint
Protection Manager.
Consulte “O que preciso fazer para usar o Cache de inteligência compartilhado ativado para
vShield?” na página 726.
■ Para gerenciar Máquinas virtuais convidadas (GVMs, Guest Virtual Machines) em infraestruturas
de área de trabalho virtual não persistentes:
■ O Symantec Endpoint Protection Manager inclui uma nova opção para configurar o período
de vencimento para GVMs não persistentes off-line. O Symantec Endpoint Protection
Manager remove os clientes GVM não persistentes que estiveram off-line por um tempo
maior que o período especificado.
■ Os clientes do Symantec Endpoint Protection têm agora uma configuração para indicar que
eles são GVMs não persistentes. Você pode filtrar GVMs não persistentes off-line na exibição
da guia Clientes no Symantec Endpoint Protection Manager.
Consulte “Para usar o Symantec Endpoint Protection em infraestruturas da área de trabalho
virtual não persistentes” na página 749.
Gerenciamento O Symantec Endpoint Protection fornece suporte público para gerenciar e monitorar remotamente
remoto o cliente e o servidor de gerenciamento. Os novos serviços da Web permitem gravar suas próprias
ferramentas para executar remotamente as tarefas a seguir:
■ Executar comandos no cliente para corrigir situações de ameaça.

■ Exportar políticas do servidor.
■ Aplicar políticas aos clientes através dos servidores.
■ Monitorar o status da licença e do conteúdo no servidor de gerenciamento.
A documentação e outras ferramentas do suporte do monitoramento remoto e do gerenciamento

aparecem no SDK de serviços da Web, localizados na seguinte pasta: /Tools/Integration/
SEPM_WebService_SDK
Recursos do ■ Suporte à interface do usuário estilo Microsoft Windows 8.

Windows 8 Consulte “Definição das configurações da interface do usuário” na página 259.
■ O suporte ao início antecipado do antimalware (ELAM, Early launch anti-malware) do Windows
8 fornece uma maneira suportada pela Microsoft de o software antimalware ser iniciado antes
de todos os outros componentes de terceiros. Além disso, os fornecedores podem agora controlar
o início dos drivers de terceiros, dependendo dos níveis de confiança. Se um driver não for
confiável, poderá ser removido da sequência de inicialização. O suporte do ELAM torna possível
uma detecção de rootkit mais eficiente.
Consulte “Como ajustar as opções do início antecipado do antimalware (ELAM, Early launch
anti-malware) do Symantec Endpoint Protection ” na página 402.
Recurso Descrição
Recursos de Proteção antivírus e antispyware:

proteção
■ Suporte completo à interface do usuário estilo Microsoft Windows 8.
■ A maior parte das opções da Política de proteção contra vírus e spyware, da Política de prevenção
contra intrusões e da Proteção contra adulterações que foram desbloqueadas por padrão nas
versões legadas estão agora bloqueadas. Qualquer nova política na versão 12.1.2 bloqueia as
opções por padrão. Contudo, qualquer política legada importada ou migrada que tenha sido
salva continuará a usar seus padrões salvos no Symantec Endpoint Protection Manager 12.1.2.
Proteção proativa contra ameaças:
■ Consulte “Sobre o SONAR” na página 429.

■ O Controle de dispositivos agora envia uma notificação e cria um evento de log cada vez que
bloquear um dispositivo previamente desativado. Anteriormente, o Controle de dispositivos
enviava uma notificação e um evento de log somente na primeira vez que o dispositivo era
desativado.
Consulte “Gerenciamento do controle de dispositivos” na página 566.
■ O bloqueio do sistema pode agora ser executado em modo blacklist. Você pode configurar o
bloqueio do sistema para exibir o modo blacklist, bem como o modo whitelist padrão. O modo
blacklist bloqueia somente os aplicativos na lista especificada. O Symantec Endpoint Protection
Manager pode atualizar automaticamente as listas de impressão digital de arquivos e as listas
de nomes de aplicativos existentes que o bloqueio do sistema utiliza para fazer whitelists ou
blacklists.
Consulte “Para atualizar automaticamente whitelists ou blacklists para bloqueio do sistema”
na página 554.
Exceções:
■ Suporte adicionado para HTTPS em exceções de domínios da Web confiáveis.

■ As variáveis comuns nas exceções agora aplicam-se a aplicativos de 64 bits bem como a
aplicativos de 32 bits.
Consulte “Exclusão de um arquivo ou pasta das verificações” na página 581.
Políticas:
■ É possível exportar todas as políticas, locais e configurações do servidor para um domínio. Se

você importar estas políticas e configurações a um novo domínio, não precisará recriá-las.
Consulte “Exportação e importação de configurações do servidor” na página 779.
Consulte “Adição de um domínio” na página 285.
Consulte “Para exportar e importar políticas individuais” na página 324.
Sobre os tipos de proteção contra ameaças que o Symantec Endpoint Protection fornece
Recurso Descrição
LiveUpdate A Política de configurações do LiveUpdate inclui um tipo adicional do Provedor de atualizações

de grupo (GUP) que permite que os clientes se conectem aos provedores de atualizações de grupo
em uma sub-rede diferente. Este novo tipo de GUP permite definir explicitamente a quais redes
cada cliente pode se conectar. Você pode configurar uma única política do LiveUpdate para atender
a todos seus requisitos.
Consulte “Para usar Provedores de atualizações de grupo para distribuir conteúdo aos clientes ”
na página 632.
Um link na página de Status do cliente agora permite aos usuários finais confirmar rápida e
facilmente se o cliente tem o conteúdo mais atual. O link exibe a caixa de diálogo da versão do
conteúdo, onde uma nova coluna lista a última vez em que o cliente verificou cada tipo de conteúdo
para atualizações. Os usuários podem ficar mais seguros de que seu cliente seja atualizado
corretamente e tenha a proteção mais recente.
Sobre os tipos de proteção contra ameaças que o

Symantec Endpoint Protection fornece
Você precisa de combinações de todas as tecnologias de proteção para proteger
inteiramente e personalizar a segurança em seu ambiente. O Symantec Endpoint
Protection combina a verificação tradicional, a análise comportamental, a
prevenção contra intrusões e a inteligência da comunidade em um sistema de
segurança superior.
A Tabela 1-2 descreve os tipos de proteção que o produto fornece e seus benefícios.
Tabela 1-2 Camadas de proteção
Tipo de Descrição Benefício

proteção
Proteção contra Proteção contra vírus e spyware protege A proteção contra vírus e spyware detecta as
vírus e spyware computadores dos vírus e dos riscos à segurança ameaças novas mais cedo e com mais exatidão
e pode em muitos casos reparar seus efeitos usando soluções não apenas baseadas em
colaterais. A proteção inclui verificações em assinaturas e no comportamento, mas também
tempo real dos arquivos e e-mails, além de em outras tecnologias.
verificações agendadas e verificações sob
■ O Symantec Insight fornece detecção mais
demanda. As verificações de vírus e spyware
exata e mais rápida de malware para detectar
detectam vírus e os riscos à segurança que
as ameaças novas e desconhecidas que outras
podem tornar um computador, assim como uma
abordagens não detectam. O Insight
rede, vulnerável. Os riscos à segurança incluem
identifica ameaças novas e de dia zero
spyware, adware e outros arquivos maliciosos.
usando a sabedoria coletiva de milhões de
Consulte “Para gerenciar verificações em sistemas em centenas de países.
computadores-cliente” na página 346. ■ O Bloodhound usa a heurística para detectar
ameaças conhecidas e desconhecidas.
■ O Auto-Protect verifica arquivos de uma lista
de assinaturas enquanto são lidos ou
gravados no computador-cliente.

proteção
Proteção contra A Proteção contra ameaças à rede oferece a O mecanismo de firewall com base em regras
■
ameaças à rede proteção de um firewall e um sistema de bloqueia ameaças maliciosas para impedir
prevenção contra intrusões, impedindo que que prejudiquem o computador.
ataques e conteúdo malicioso atinjam um ■ O IPS verifica o tráfego na rede e os arquivos
computador em que o software-cliente é em busca de indicativos de intrusão ou de
executado. tentativas de intrusão.
O firewall permite ou bloqueia o tráfego da rede ■ A prevenção contra intrusão no navegador
com base nos vários critérios que o verifica os ataques dirigidos às
administrador define. Se o administrador vulnerabilidades do navegador.
permitir, os usuários finais poderão configurar ■ A proteção universal do download monitora
também políticas de firewall. todos os downloads do navegador e garante
que os downloads não são malware.
O sistema de prevenção contra intrusões (IPS,
Intrusion Prevention System) analisa todas as
informações de entrada e de saída para os
padrões de dados que são típicos de um ataque.
Ele detecta e bloqueia tráfego e tentativas
maliciosas de ataque de usuários externos contra
o computador-cliente. A prevenção de intrusões
também monitora o tráfego de saída e impede a
propagação de worms.
Consulte “Para gerenciar a proteção de firewall”

na página 451.
Consulte “Para gerenciar a prevenção contra

intrusões em seu computador-cliente”
na página 501.

proteção
Proteção A proteção proativa contra ameaças usa o O SONAR examina programas à medida que são
proativa contra SONAR para proteger contra vulnerabilidades executados e identifica e interrompe o
ameaças do ataque de dia zero em sua rede. As comportamento malicioso de ameaças novas e
vulnerabilidades a ataques de dia zero são as previamente desconhecidas. O SONAR usa a
novas vulnerabilidades, ainda não conhecidas heurística, assim como os dados de reputação,
publicamente. As ameaças que exploram estas para detectar ameaças emergentes e
vulnerabilidades podem iludir a detecção desconhecidas.
baseada em assinaturas, tais como definições de
O controle de aplicativos controla que
spyware. Os ataques de dia zero podem ser
aplicativos são permitidos para execução ou
usados em ataques direcionados e na propagação
acesso a recursos do sistema. Controle de
de código malicioso. O SONAR fornece a
dispositivos gerencia os dispositivos periféricos
proteção comportamental em tempo real
que os usuários podem anexar a computadores
monitorando processos e ameaças quando são
desktop.
executados.
O controle de dispositivos e aplicativos monitora

e controla o comportamento dos aplicativos em
computadores-cliente e gerencia os dispositivos
de hardware que acessam os
computadores-cliente.
Consulte “Para gerenciar o SONAR”

na página 431.
Consulte “Sobre o controle de dispositivos e

aplicativos” na página 521.
Consulte “Configuração do controle de

dispositivos e aplicativos” na página 524.
O servidor de gerenciamento aplica cada proteção usando uma política associada

que é transferida por download ao cliente.
A Figura 1-1 mostra as categorias de ameaças que cada tipo de proteção bloqueia.
Proteção de sua rede com o Symantec Endpoint Protection
Figura 1-1 Uma visão geral das camadas de proteção
Internet Rede da empresa
Portas dos Aplicativo Arquivo/ Ameaças internas Adware

fundos vulnerabilidades processo/ Keyloggers Portas dos fundos
Ataques DoS Portas dos fundos registro Vírus retrôs Ameaças mutantes
Verificações de Vulnerabilidades do modificações Spyware Spyware
portas do sistema Ataques Cavalos de Troia
Ataques a operacional direcionados Worms
pilhas Cavalos de Troia Cavalos de Troia Vírus
Cavalos de Worms Worms
Troia Ameaças de dia
Worms zero
DNS e host
alterações em
Proteção arquivos
contra
ameaças
à rede
Política
de firewall
Política de
prevenção
contra
Placa de interface de rede intrusões
Proteção proativa contra ameaças
Política de
controle de
dispositivos e
aplicativos
Política de proteção
contra vírus e
Memória/periféricos spyware(SONAR)
Proteção contra vírus e spyware
Política de
proteção contra
vírus e spyware
Sistema de arquivos
Endpoint
Consulte “Componentes do Symantec Endpoint Protection” na página 75.
Proteção de sua rede com o Symantec Endpoint

Protection
Você protege os computadores em sua rede instalando e gerenciando o Symantec
Endpoint Protection Manager e o cliente do Symantec Endpoint Protection.
Proteção de sua rede com o Symantec Endpoint Protection
Para o Symantec Network Access Control, você instala o Symantec Endpoint

Protection Manager e o cliente do Symantec Network Access Control.
A Tabela 1-3 esboça as principais tarefas de nível elevado que você precisa fazer
para usar o Symantec Endpoint Protection.
Tabela 1-3 Etapas para definir, configurar e gerenciar o Symantec Endpoint

Protection
Tarefa Descrição
Configuração do Symantec Endpoint Você pode instalar o cliente Symantec Endpoint

Protection Protection Manager e Symantec Endpoint Protection
ou o cliente Symantec Network Access Control e
proteger sua rede em algumas simples etapas.
Consulte “Para executar o Symantec Endpoint

Protection pela primeira vez” na página 54.
Gerenciamento do Symantec O Symantec Endpoint Protection Manager vem com

Endpoint Protection configurações e políticas padrão, de modo que sua
rede fique protegida imediatamente depois da
instalação. Você pode modificar essas configurações
para se adaptarem ao seu ambiente de rede.
Consulte “Para gerenciar a proteção em

computadores-cliente” na página 62.
Manutenção de um ambiente de Convém executar a manutenção contínua para manter

rede seguro seu ambiente de rede em execução sem problemas
no desempenho máximo. Por exemplo, é necessário
fazer backup do banco de dados caso você precise
executar uma recuperação após desastres.
Consulte “Para manter a segurança de seu ambiente”

na página 65.
Solução de problemas do Symantec Se você tiver problemas com a instalação ou uso do

Endpoint Protection e do Symantec produto, o Symantec Endpoint Protection Manager
Network Access Control incluirá recursos para ajudar a corrigir problemas
comuns, como comunicação servidor-cliente e
epidemias de vírus.
Consulte “Solução de problemas do Symantec

Consulte “Componentes do Symantec Endpoint Protection” na página 75.

Consulte o artigo da Base de conhecimento Top "Best Practices" Articles for
Symantec Endpoint Protection (em inglês).
Para executar o Symantec Endpoint Protection pela primeira vez
Para executar o Symantec Endpoint Protection pela

primeira vez
Você deve avaliar seus requisitos de segurança e decidir se as configurações padrão
fornecem o equilíbrio do desempenho e da segurança de que você precisa. Alguns
aprimoramentos do desempenho podem ser feitos imediatamente após a instalação
do Symantec Endpoint Protection Manager.
A Tabela 1-4 relaciona as tarefas que você deverá executar para instalar e proteger
os computadores em sua rede imediatamente.
Tabela 1-4 Tarefas para instalar e configurar o Symantec Endpoint Protection
Ação Descrição
Planejar a arquitetura de rede Antes de instalar o produto, execute as seguintes tarefas:
■ Certifique-se de que o computador no qual você instalar o servidor de

gerenciamento atenda aos requisitos mínimos do sistema.
Para verificar os requisitos do sistema mais atuais, consulte: Release Notes and
System Requirements for all versions of Symantec Endpoint Protection and
Symantec Network Access Control (em inglês)
■ Se você instalar ou fizer upgrade do banco de dados do Microsoft SQL Server,
certifique-se de ter as informações de nome de usuário e senha.
Consulte “Sobre as configurações do SQL Server” na página 93.
■ Para redes com mais de 500 clientes, determine os requisitos de dimensionamento.
Você precisa avaliar diversos fatores para assegurar o bom desempenho da rede
e do banco de dados. Por exemplo, é necessário identificar quantos computadores
precisam da proteção e com que frequência para agendar atualizações de conteúdo.
Para obter mais informações para ajudá-lo a planejar instalações de média a
grande escala, consulte o informe oficial da Symantec, Symantec Endpoint
Protection Sizing and Scalability Best Practices White Paper (em inglês).
Instalar, fazer o upgrade ou Independentemente de você estar instalando o produto pela primeira vez, fazendo
migrar o servidor de upgrade de uma versão anterior ou migrando de outro produto, é necessário primeiro
gerenciamento instalar o Symantec Endpoint Protection Manager.
Consulte “Para instalar o Symantec Endpoint Protection Manager” na página 99.
Consulte “Para fazer upgrade de uma nova versão do Symantec Endpoint Protection”
na página 168.
Consulte “Para migrar do Symantec AntiVirus ou do Symantec Client Security”

na página 190.
Ação Descrição
Criar grupos e locais Você pode adicionar grupos que contenham computadores com base no nível de
segurança ou na função que os computadores executam. Por exemplo, é necessário
colocar computadores com um nível mais alto de segurança em um grupo ou um
grupo de computadores Mac em outro grupo.
Você pode usar a seguinte estrutura do grupo como base:
■ Desktops
■ Laptops
■ Servidores
Consulte “Como você pode estruturar grupos” na página 223.
Consulte “Adição de um grupo” na página 224.
Você pode migrar grupos existentes do Active Directory quando instalar o Symantec
Endpoint Protection Manager. Se você estiver executando proteção legada da
Symantec, geralmente fará upgrade de configurações de política e de grupo de sua
versão anterior.
Consulte “Para importar grupos existentes e computadores de um servidor Active

Directory ou LDAP” na página 225.
Você pode aplicar um nível diferente de segurança para computadores com base em
sua localização, dentro ou fora da rede da empresa. Para usar esse método, você criará
locais separados e aplicará políticas de segurança diferentes para cada local. Em
geral, os computadores que se conectam à sua rede de fora do firewall precisam ter
um nível de segurança mais forte do que aqueles que estão dentro do firewall.
Você pode configurar um local que permita que os computadores móveis que não
estão no escritório atualizem suas definições automaticamente dos servidores do
Symantec LiveUpdate.
Consulte “Como adicionar um local para um grupo” na página 271.
Consulte “O que você pode fazer no console” na página 110.
Desativar a herança em Por padrão, os grupos herdam as configurações de segurança e de política do grupo
grupos especiais pai padrão, Minha empresa. Você deve desativar a herança antes de mudar as
configurações de política para todos os novos grupos que você criar.
Consulte “Como desativar e ativar a herança de um grupo” na página 233.

Ação Descrição
Alterar as configurações de Você pode melhorar o desempenho de rede modificando as seguintes configurações
comunicação para aumentar de comunicação entre cliente e servidor em cada grupo:
o desempenho
■ Use o modo de instalação pull em vez do modo de envio para controlar quando
os clientes usarem recursos de rede para fazer o download de políticas e de
atualizações de conteúdo.
■ Aumente o intervalo de pulsação e o intervalo da escolha aleatória. Para menos
de 100 clientes por servidor, aumente a pulsação para 15 a 30 minutos. Para 100
a 1.000 clientes, aumente a pulsação para 30 a 60 minutos. Os ambientes maiores
podem precisar de um intervalo de pulsação mais longo.
■ Aumente o download aleatório entre uma e três vezes o intervalo de pulsação.
Consulte “Como escolher aleatoriamente downloads do conteúdo do servidor de

gerenciamento padrão ou de um Provedor de atualizações de grupo” na página 624.
Consulte “Configuração do modo de envio ou de instalação pull para atualizar políticas

e conteúdo do cliente” na página 329.
Para obter mais informações, consulte o Symantec Endpoint Protection Sizing and
Scalability Best Practices White Paper (em inglês).
Ativar a licença do produto Compre e ative uma licença no prazo de 60 dias após a instalação do produto.
Consulte “Para ativar ou importar sua licença de produto do Symantec Endpoint

Protection ou Symantec Network Access Control 12.1” na página 120.
Preparar os computadores Se você implementar o software-cliente remotamente, primeiro modifique as

para a instalação do cliente configurações de firewall em seus computadores-cliente para permitir a comunicação
(opcional) entre os computadores e o servidor de gerenciamento.
Consulte “Preparação dos sistemas operacionais Windows para implementação
remota” na página 136.
Consulte “Sobre firewalls e portas de comunicação” na página 137.
Consulte “Preparação para a instalação do cliente” na página 134.

Ação Descrição
Instalar o software-cliente Crie um pacote de instalação do cliente e implemente-o nos computadores-cliente.

usando o Assistente de
Implementação de Cliente
Consulte “Para implementar clientes usando a instalação remota por envio”
na página 144.
Consulte “Para exportar pacotes de instalação do cliente” na página 149.

Crie um conjunto de recursos personalizados de instalação do cliente com as seguintes
configurações:
■ Use o Modo de computador para a maioria dos ambientes e não o Modo de usuário.
Consulte “Para alternar um cliente entre o modo de usuário e o modo de
computador” na página 251.
■ Para pacotes de instalação do cliente para estações de trabalho, selecione a opção
de proteção do verificador de e-mails que se aplica ao servidor de e-mail em seu
ambiente. Por exemplo, se você usar um servidor de e-mail Microsoft Exchange,
selecione Verificador do Microsoft Outlook.
Consulte “Para configurar recursos do pacote de instalação do cliente”
na página 153.
Ação Descrição
Verificar se os computadores No console de gerenciamento, na página Clientes > Clientes :

estão listados nos grupos
1 Altere a exibição para Status do cliente para verificar se os computadores-cliente
previstos e se os clientes se
em cada grupo se comunicam com o servidor de gerenciamento.
comunicam com o servidor
de gerenciamento Verifique as informações nas seguintes colunas:
■ A coluna Nome exibe um ponto verde para os clientes que estão conectados
ao servidor de gerenciamento.
Consulte “Para determinar se o cliente está conectado no console”
na página 240.
■ A coluna Última alteração do status exibe a hora em que cada cliente efetuou
a última comunicação com o servidor de gerenciamento.
■ A coluna Reinicialização necessária exibe os computadores-cliente que
precisam ser reinicializados para ativar a proteção.
Consulte “Para reiniciar computadores-cliente” na página 156.
■ A coluna Número de série da política exibe o número de série mais atual da
política. A política pode não ser atualizada por uma ou duas pulsações. Você
poderá manualmente atualizar a política no cliente se a política não for
atualizada imediatamente.
Consulte “Para usar o número de série da política para verificar a
comunicação cliente-servidor” na página 331.
Consulte “Para atualizar manualmente políticas no cliente” na página 332.
2 Altere para a exibição Tecnologia de proteção e assegura-se de que o status

esteja definido como Ativado nas colunas do meio e incluindo Status do antivírus
e Status da Proteção contra adulterações.
Consulte “Exibição do status de proteção de clientes e computadores-cliente”

na página 242.
3 No cliente, verifique se o cliente está conectado a um servidor e se o número de

série da política é o mais atual.
Consulte “Para verificar a conexão ao servidor de gerenciamento no

computador-cliente” na página 823.
Consulte “Solução de problemas de comunicação entre o servidor de gerenciamento

e o cliente” na página 821.
A Tabela 1-5 exibe as tarefas a serem executadas depois que você instalar e
configurar o produto para avaliar se os computadores-cliente têm o nível correto
de proteção.
Tabela 1-5 Tarefas para executar duas semanas depois da instalação
Ação Descrição
Modificar a política de Mude as seguintes configurações padrão de verificação:

Proteção contra vírus e
■ Se você criar um grupo para servidores, mude a hora da verificação agendada
spyware
para um horário em que a maioria dos usuários estiver off-line.
Consulte “Para configurar verificações agendadas executadas em computadores
Windows” na página 366.
■ Ative o Rastreador de riscos no Auto-Protect.
Para obter mais informações, consulte o artigo da Base de conhecimento do Suporte
técnico da Symantec, What is Risk Tracer? (em inglês)
O Rastreador de riscos tem os seguintes pré-requisitos:
■ A Proteção contra ameaças à rede está ativada.
Consulte “Para executar comandos no computador-cliente através do console”
na página 250.
■ O compartilhamento de arquivos e impressoras do Windows está ativado.
Consulte “Para personalizar o Auto-Protect para clientes Windows” na página 408.
Modificar a política de ■ Aumente a segurança de computadores remotos certificando-se de que as seguintes

firewall para o grupo de regras padrão de firewall para locais externos estejam ativadas:
computadores remotos e o ■ Bloquearocompartilhamentodearquivoslocaisparacomputadoresexternos
grupo de servidores ■ Bloquear a administração remota
■ Diminua a segurança do grupo de servidores certificando-se de que a seguinte
regra de firewall esteja ativada: Permitir o compartilhamento de arquivos locais
para computadores locais. Esta regra de firewall garante que apenas o tráfego
local esteja permitido.
Consulte “Personalização das regras de firewall” na página 490.
Consulte “Gerenciamento de locais para clientes remotos” na página 267.

Ação Descrição
Excluir aplicativos e arquivos Você pode aumentar o desempenho configurando o cliente para que não verifique
de serem verificados determinadas pastas e arquivos. Por exemplo, o cliente verificará o servidor de e-mail
sempre que uma verificação agendada for executada. Você deve excluir arquivos de
programas e diretórios do servidor de e-mail da verificação.
Para obter mais informações, consulte o artigo da base de conhecimento: About the
automatic exclusion of files and folders for Microsoft Exchange server and Symantec
products (em inglês).
Você pode melhorar o desempenho excluindo as pastas e os arquivos que sabidamente

causarão problemas se forem verificados. Por exemplo, o Symantec Endpoint
Protection não deve verificar os arquivos Microsoft SQL Server proprietários. Você
deve adicionar uma exceção que impeça a verificação de pastas que contenham
arquivos do banco de dados do Microsoft SQL Server. Estas exceções melhoram o
desempenho e evitam que os arquivos sejam corrompidos ou bloqueados quando o
Microsoft SQL Server precisar usá-los.
Para obter mais informações, consulte o artigo da base de conhecimento: How to

exclude MS SQL files and folders using Centralized Exceptions (em inglês).
Você pode também excluir arquivos pela extensão para verificações do Auto-Protect
em computadores Windows.
Consulte “Criação de exceções para o Symantec Endpoint Protection” na página 576.
Consulte “Para personalizar o Auto-Protect para clientes Mac” na página 410.
Executar um relatório rápido Execute os relatórios rápidos e agendados para considerar se os computadores-cliente
e um agendado após a têm o nível de segurança correto.
verificação agendada
Consulte “Sobre os tipos dos relatórios” na página 670.
Consulte “Execução e personalização de relatórios rápidos” na página 672.
Consulte “Criação de relatórios agendados” na página 676.
Selecionar para assegurar-se Reveja monitores, logs e o status dos computadores-cliente para certificar-se de que
de que as verificações você tenha o nível correto de proteção para cada grupo.
agendadas obtenham êxito e
Consulte “Monitoração da proteção de endpoints” na página 657.
os clientes operem como
esperado
Ação Descrição
Configurar as revisões do Defina o número de revisões de conteúdo armazenadas no servidor de gerenciamento

conteúdo disponíveis para para reduzir o uso da largura de banda para clientes. Quanto maior for o número de
clientes a fim de reduzir a revisões de conteúdo armazenadas pelo cliente, maior será a probabilidade de fazer
largura de banda o download de um pacote incremental menor. Contudo, você deve equilibrar o uso
da largura de banda com a quantidade de espaço no disco rígido.
■ Tipicamente, três atualizações de conteúdo são fornecidas por dia. Você configura
o número de atualizações retidas no servidor. Geralmente, convém armazenar
apenas as atualizações de conteúdo mais recentes. Um cliente que não tiver se
conectado durante o tempo em que o servidor acumula o número ajustado de
atualizações, terá que fazer o download de todo o pacote do conteúdo. Um pacote
inteiro é normalmente maior de 100 MB. Uma atualização incremental tem entre
1 MB e 2 MB. Você define o número de atualizações armazenadas para minimizar
a frequência com que um cliente deverá fazer o download de um pacote inteiro
de atualização.
■ Em regra geral, 1 revisão de conteúdo usa aproximadamente 1,4 GB de espaço em
disco no Symantec Endpoint Protection Manager. Quando o LiveUpdate do servidor
de gerenciamento for definido com o padrão de a cada quatro horas, 10 revisões
de conteúdo cobrirão no mínimo três dias.
Para obter mais informações sobre como calcular os requisitos de armazenamento

e de largura de banda, consulte o Symantec Endpoint Protection Sizing and Scalability
Best Practices White Paper.
Configurar notificações para Crie uma notificação para Evento com risco único e modificar a notificação para
uma única epidemia de risco Epidemia de risco.
e quando um risco novo for
Para estas notificações, a Symantec recomenda que você faça o seguinte:
detectado
1 Mude Gravidade do risco para Categoria 1 (muito baixo e superior) para evitar
receber e-mails sobre cookies de rastreamento.
2 Mantenha a configuração de Agregação em Automático.
As notificações são essenciais para manter um ambiente seguro e também podem

economizar tempo.
Consulte “Configuração de notificações do administrador” na página 699.
Consulte “Gerenciamento de notificações” na página 689.
Aumentar o tempo permitido O console o desconecta após uma hora. Você pode aumentar este período de tempo.
pelo console para manter seu
Consulte “Aumento do período de tempo para permanecer conectado ao console”
logon
na página 110.
Consulte “Proteção de sua rede com o Symantec Endpoint Protection” na página 52.
Consulte o artigo da Base de conhecimento Top "Best Practices" Articles for
Symantec Endpoint Protection (em inglês).
Para gerenciar a proteção em computadores-cliente

Você usa um único console de gerenciamento para gerenciar a proteção nos
computadores-cliente. Embora os computadores-cliente estejam protegidos
imediatamente, talvez seja preciso modificar a proteção para se adaptar às suas
necessidades.
A Tabela 1-6 esboça as tarefas que você poderá executa se precisar ajustar as
configurações padrão.
Tabela 1-6 Modificação da proteção no computador-cliente
Tarefa Descrição
Organização e gerenciamento Você aplica a proteção aos computadores-cliente com base no grupo em que você
de grupos coloca um computador. Os computadores em cada grupo têm o mesmo nível de
segurança.
Você pode importar a estrutura do grupo existente de sua empresa. Você também
pode criar grupos novos.
Para determinar quais grupos serão adicionados, considere primeiro a estrutura da

rede. Ou, se você criar uma nova estrutura de grupo, baseie sua estrutura de grupo
na função, no cargo,na geografia ou em uma combinação de critérios. Por exemplo,
considere o número de computadores no site ou se os computadores são do mesmo
tipo, como computadores Windows ou Mac.
Consulte “Para gerenciar grupos de clientes” na página 221.
Consulte “Para gerenciar computadores-cliente” na página 238.
Ao adicionar locais a um grupo, será possível mudar a política que é atribuída a um

computador-cliente com base em onde o computador está localizado. Por exemplo,
é recomendável uma política diferente que seja aplicada a um computador-cliente
em um escritório, uma residência ou em outro local.

Tarefa Descrição
Modificação da proteção O Symantec Endpoint Protection Manager inclui as políticas padrão para cada tipo
de proteção. As políticas combinam a necessidade de proteção e de desempenho.
Prontas para uso, as políticas padrão fornecem configurações apropriadas para
grandes e pequenas empresas. Convém ajustar as configurações com o passar do
tempo com base nas necessidades de sua empresa.

Consulte “Para gerenciar verificações em computadores-cliente” na página 346.
Consulte “Para gerenciar a proteção de firewall” na página 451.
Consulte “Para gerenciar a prevenção contra intrusões em seu computador-cliente”

na página 501.
Consulte “Configuração do controle de dispositivos e aplicativos” na página 524.
Configuração da proteção em O Symantec Endpoint Protection fornece recursos que melhoram o desempenho em
ambientes virtuais ambientes virtuais.
Consulte “Para usar o Symantec Endpoint Protection nas infraestruturas virtuais”

na página 705.
Gerenciamento de políticas As políticas de segurança devem ser aplicadas a um grupo antes que os clientes
apliquem as políticas ao computador-cliente. Você pode criar políticas das quais todos
os grupos compartilham ou que se aplicam a apenas um grupo. O Symantec Endpoint
Protection Manager facilita a adição e modificação de políticas para todas as
necessidades de segurança de sua empresa.
Consulte “Os tipos de políticas de segurança” na página 313.
Consulte “Para executar as tarefas comuns a todas as políticas de segurança”

na página 310.
Agendamento e Os computadores-cliente precisam receber atualizações periódicas ao conteúdo de

gerenciamento de proteção como definições de vírus, assinaturas de prevenção contra intrusões e
atualizações software do produto. Você pode configurar o método, o tipo de conteúdo e o
agendamento que o Symantec Endpoint Protection usa para fazer download do
conteúdo para os computadores-cliente.
Consulte “Para gerenciar atualizações de conteúdo” na página 592.
Controle do acesso de Você pode configurar o cliente para exibir diferentes recursos de clientes e recursos
usuários de proteção. Como você configura estes recursos depende de quanto controle você
deseja que os usuários do computador-cliente em cada grupo tenham.
Consulte “Alteração do nível de controle do usuário” na página 256.
Consulte “Definição das configurações da interface do usuário” na página 259.

Tarefa Descrição
Para gerenciar a A Symantec recomenda que você analise quais computadores precisam de cada tipo
implementação do cliente de segurança. Se você não implementou o pacote de instalação do cliente no momento
da instalação do Symantec Endpoint Protection Manager, poderá implementar o
software-cliente mais tarde.
Você tem a opção de procurar computadores desprotegidos.
Monitoração e resposta para Você usa relatórios e logs para exibir o status de segurança dos computadores-cliente.
mudanças de status Os relatórios e os logs ajudam-no a controlar epidemias de vírus e a aumentar a
segurança e o desempenho da rede de sua empresa.
Você também pode configurar notificações para alertar administradores e usuários

de computadores sobre problemas de segurança potenciais.
Otimização do Symantec Você pode configurar o Symantec Endpoint Protection para melhorar o desempenho
Endpoint Protection no servidor de gerenciamento e nos computadores-cliente.
Consulte “Aprimoramento de desempenho do cliente e do servidor” na página 767.
Gerenciamento de domínios Os domínios separam deveres administrativos de um conjunto de grupos. Você usa
e administradores domínios para gerenciar os computadores-cliente que estão localizados em empresas
ou em unidades de negócios diferentes.
Gerenciamento de
administradores Você pode adicionar contas de administrador de modo que administradores diferentes
tenham níveis de controle diferentes sobre gerenciamento de grupos, políticas,
comandos e relatórios no Symantec Endpoint Protection Manager.
Consulte “Para gerenciar domínios e contas de administrador” na página 287.
Gerenciamento de Você pode instalar e gerenciar o Symantec Network Access Control para assegurar-se
conformidade do endpoint de que um computador-cliente esteja compatível com a política de segurança da
empresa. Se o computador for compatível, ele terá permissão para se conectar à rede
da empresa. Se o computador-cliente não for compatível, o computador deverá
primeiramente obter e executar o software de que precisa para corrigir
automaticamente falhas de conformidade antes de poder se conectar à rede.
Consulte “Sobre os tipos de imposição no Symantec Network Access Control”

na página 844.
Consulte “Para implementar o Symantec Network Access Control” na página 863.
Para manter a segurança de seu ambiente
Consulte “Para executar o Symantec Endpoint Protection pela primeira vez”

na página 54.
Para manter a segurança de seu ambiente

Após ter protegido sua rede, convém modificar a proteção e a infraestrutura para
aumentar a segurança ou melhorar o desempenho.
Talvez seja preciso adaptar-se a mudanças na arquitetura, tais como a adição de
um servidor de gerenciamento novo ou o fornecimento de proteção para
computadores-cliente adicionais.
Tabela 1-7 Tarefas que você pode executar para manter a segurança de sua
rede
Tarefa Descrição
Verificação do status de Você deve verificar periodicamente a home page para exibir o status de segurança
segurança de sua rede geral de sua rede. Você pode usar as notificações, os relatórios e os logs para fornecer
os detalhes sobre o status de segurança.
Manutenção do banco de O Symantec Endpoint Protection Manager suporta o banco de dados interno e um
dados banco de dados Microsoft SQL. O banco de dados armazena informações sobre as
configurações que você define no servidor de gerenciamento, como as políticas, os
grupos, os pacotes de instalação do cliente e as entradas de log.
Se a largura de banda ou o espaço no disco rígido for um problema, você poderá

minimizar a quantidade de dados armazenados e executar outras tarefas para
aumentar o desempenho do banco de dados. Em caso de corrupção de dados ou falha
de hardware, é necessário fazer backup do banco de dados regularmente.
Consulte “Manutenção do banco de dados” na página 781.
Manutenção de licenças Você pode verificar se sua licença está quase expirando ou se tem muitos clientes
implementados, além do que sua licença cobre.
Consulte “Licenciamento do Symantec Endpoint Protection” na página 116.
Preparação para a Para ajudar a abrandar um exemplo de corrupção de dados ou de uma falha de
recuperação após desastres hardware, é necessário fazer backup do banco de dados regularmente e fazer uma
cópia de arquivos específicos do servidor de gerenciamento.
Consulte “Para preparar a recuperação após desastres” na página 805.

Solução de problemas do Symantec Endpoint Protection
Tarefa Descrição
Reconfiguração de servidores À medida que você adiciona mais computadores-cliente, talvez seja preciso instalar
servidores de gerenciamento adicionais e configurá-los. Talvez seja preciso configurar
o failover e o balanceamento de carga. Você também pode precisar alternar de um
banco de dados interno para um banco de dados Microsoft SQL.
Consulte “Para gerenciar os servidores do Symantec Endpoint Protection Manager

e de terceiros” na página 775.
Consulte “Estabelecimento de comunicação entre o servidor de gerenciamento e os

servidores de e-mail” na página 696.
Consulte “Especificação de um servidor proxy que os clientes usem para se comunicar

com o Symantec LiveUpdate ou um servidor interno do LiveUpdate” na página 615.
Consulte “Para configurar o Symantec Endpoint Protection Manager para se conectar

a um servidor proxy a fim de acessar a Internet e fazer download de conteúdo do
Symantec LiveUpdate” na página 615.
Configuração do failover e Em um site, você deverá configurar o failover para manter a comunicação quando
balanceamento de carga os clientes não puderem se comunicar com um servidor de gerenciamento. Você
configura o balanceamento de carga para distribuir o gerenciamento de clientes entre
servidores de gerenciamento.
Consulte “Configuração do failover e balanceamento de carga” na página 797.
Solução de problemas do Symantec Endpoint

Protection
A Tabela 1-8 exibe os problemas mais comuns que você poderá encontrar quando
instalar e usar o Symantec Endpoint Protection.
Tabela 1-8 Problemas comuns que você pode solucionar
Tarefa Descrição
Correção de problemas de Você pode fazer o download e executar a ferramenta de suporte do Symantec Endpoint
instalação Protection para verificar se seus computadores estão prontos para instalação. A
ferramenta de suporte é fornecida com o servidor de gerenciamento e o cliente. Ela
está também disponível no site de Suporte da Symantec.
Consulte “Para solucionar problemas do computador com a ferramenta de suporte

do Symantec Endpoint Protection” na página 819.
Consulte “Identificação do ponto de falha de uma instalação” na página 820.

Tarefa Descrição
Controle de epidemias de Você pode impedir que ameaças ataquem os computadores em sua rede.
vírus
Consulte “Para impedir e controlar ataques de vírus e spyware nos
Consulte “Correção de riscos nos computadores de sua rede” na página 342.
Se uma ameaça atacar um computador-cliente, será possível identificar e responder

a ela. Consulte o artigo da Base de conhecimento a seguir:
Best practices for troubleshooting viruses on a network (em inglês).
Solução de problemas da Se as definições de vírus mais recentes não forem atualizadas corretamente no
atualização de conteúdo Symantec Endpoint Protection Manager ou nos clientes, consulte o seguinte artigo
da Base de conhecimento:
Symantec Endpoint Protection: solução de problemas do LiveUpdate.
Correção de erros de Os canais de comunicação entre todos os componentes do Symantec Endpoint

comunicação Protection devem estar abertos. Estes canais incluem servidor para cliente, servidor
para banco de dados e servidor e cliente para o componente da entrega do conteúdo,
tal como o LiveUpdate.


e o console ou o banco de dados” na página 830.
Consulte o artigo da Base de conhecimento a seguir:

Troubleshooting Symantec Endpoint Protection Manager communication problems
(em inglês).
Execução da recuperação Em caso de corrupção do banco de dados ou de falha no hardware, será possível
após desastres restaurar a captura de imagem mais recente do banco de dados se você tiver um
arquivo de backup do banco de dados.
Consulte “Para executar a recuperação após desastres” na página 813.
Redução do espaço no banco Você pode tornar mais espaço disponível no banco de dados se seu tamanho estiver
de dados demasiado grande.
Solução de problemas de Você pode resolver vários problemas de relatórios e logs.

geração de relatórios
Consulte “Solução de problemas de geração de relatórios” na página 835.
Solução de problemas com o Você pode resolver vários problemas do appliance Enforcer.
appliance Enforcer
Consulte “Solução de problemas de um appliance Enforcer” na página 1159.
Seção 1
Instalação do Symantec
Endpoint Protection
■ Capítulo 2. Para planejar a instalação
■ Capítulo 3. Instalação do Symantec Endpoint Protection Manager
■ Capítulo 4. Para gerenciar licenças do produto
■ Capítulo 5. Para instalar o cliente do Symantec Endpoint Protection
■ Capítulo 6. Para fazer o upgrade do Symantec Endpoint Protection
■ Capítulo 7. Para migrar para o Symantec Endpoint Protection
■ Capítulo 8. Para gerenciar sites e replicação
■ Capítulo 9. Para gerenciar o Symantec Endpoint Protection no Protection

Center
70
Capítulo 2
Para planejar a instalação
■ Para planejar a instalação
■ Componentes do Symantec Endpoint Protection
■ Componentes do Symantec Network Access Control
■ Requisitos do sistema para o Symantec Endpoint Protection
■ Requisitos da licença do produto
■ Produtos de virtualização e instalações virtuais suportados
■ Sobre a compatibilidade do Symantec Endpoint Protection Manager com outros

produtos
■ Considerações sobre a arquitetura de rede
■ Sobre como escolher um tipo do banco de dados
■ Sobre as configurações do banco de dados interno
■ Sobre as configurações do SQL Server
■ Sobre os modos de autenticação do banco de dados do SQL Server

A Tabela 2-1 resume as etapas de alto nível para instalar o Symantec Endpoint
Protection.
72 Para planejar a instalação
Tabela 2-1 Planejamento da instalação
Etapa Ação Descrição
Etapa 1 Planejar a arquitetura de Entenda os requisitos de dimensionamento de sua rede. Além de identificar os
rede endpoints que requerem proteção e agendar atualizações, outras variáveis
devem ser avaliadas para assegurar o bom desempenho da rede e do banco de
dados.
Para obter informações que o ajudem a planejar instalações de médio a grande

porte, consulte o informe oficial da Symantec: Recomendações para o
dimensionamento e a escalabilidade do Symantec Endpoint Protection (em
inglês)
Consulte “Considerações sobre a arquitetura de rede” na página 89.
Etapa 2 Verificar e comprar uma Entenda os requisitos de licenciamento do produto. Compre uma licença no
licença prazo de 60 dias da instalação do produto.
Consulte “Requisitos da licença do produto” na página 85.
Etapa 3 Verificar os requisitos do Certifique-se de que os computadores nos quais você instalar o cliente e o
sistema software do servidor de gerenciamento estejam em conformidade com os
requisitos mínimos do sistema.
Consulte o artigo da base de conhecimento: Release Notes and System

Requirements for all versions of Symantec Endpoint Protection and Symantec
Network Access Control (em inglês)
Para planejar a instalação 73
Etapa 4 Preparar os Para instalar o servidor e os clientes de gerenciamento, você deverá estar
computadores para a conectado com uma conta que conceda acesso com direitos de administrador
instalação local. Desinstale outro software de segurança de seus computadores
configurando o pacote de instalação do cliente do Symantec Endpoint Protection
para desinstalá-lo automaticamente. Você pode também manualmente
desinstalar outros softwares de segurança. Alguns programas podem ter rotinas
especiais de desinstalação: Consulte a documentação para o software de
terceiros.
Certifique-se de que o acesso com direitos de administrador a sistemas remotos

esteja disponível. Abra os firewalls (inclusive portas e protocolos) para permitir
a implementação remota entre o Symantec Endpoint Protection Manager e os
computadores endpoint.
Consulte “Para configurar pacotes do cliente para desinstalar software de

segurança de terceiros existente” na página 154.


Etapa 5 Preparar para instalar o Decidir sobre os seguintes itens antes da instalação do servidor de
servidor de gerenciamento:
gerenciamento
■ Uma senha para fazer login no console de gerenciamento
■ Um endereço de e-mail no qual você pode receber relatórios e notificações
importantes
■ Uma senha de criptografia que possa ser exigida dependendo das opções
que você selecionar durante a instalação
Se você decidir usar o banco de dados do Microsoft SQL Server, a instalação

exigirá etapas adicionais. Estas etapas incluem, mas não se limitam a, configurar
ou criar uma instância de banco de dados configurada para usar um modo misto
ou o modo de autenticação do Windows. Você também precisará fornecer as
credenciais de administração do servidor de banco de dados para criar o banco
de dados e seu usuário. Estes são especificamente para o uso com o servidor de
gerenciamento. Será necessário criar uma senha para o usuário do banco de
dados e um nome de usuário se você não quiser aceitar o padrão.
Estas informações devem estar disponíveis e as tarefas de configuração,

concluídas, para que a instalação do servidor de gerenciamento possa ser
iniciada.
Consulte “Para configurar o servidor de gerenciamento durante a instalação”

na página 101.
Consulte “Sobre as configurações do banco de dados interno” na página 91.
Etapa 6 Instalar o servidor de Instale o Symantec Endpoint Protection Manager.

gerenciamento
Se a rede que suporta a sua empresa for pequena e estiver em um local
geográfico, você precisará instalar apenas o Symantec Endpoint Protection
Manager. Se sua rede estiver dispersa geograficamente, poderá ser necessário
instalar servidores de gerenciamento adicionais para fins de balanceamento
de carga e de distribuição da largura de banda.
Se sua rede for muito grande, será possível instalar sites adicionais com bancos
de dados adicionais e configurá-los para compartilhar dados com replicação.
Para fornecer redundância adicional, é possível instalar sites adicionais para
suporte ao failover ou ao balanceamento de carga. O failover e o balanceamento
de carga apenas podem ser usados com bancos de dados do Microsoft SQL
Server.

Componentes do Symantec Endpoint Protection
Etapa 7 Preparar e implementar Determine qual método funcionaria melhor em seu ambiente para implementar
o software-cliente o software-cliente em seus computadores.
Instale o cliente do Symantec Endpoint Protection em seus computadores
endpoint.
Nota: A Symantec recomenda instalar também o cliente no computador que
hospeda o Symantec Endpoint Protection Manager.
Consulte “Sobre métodos de implementação do cliente” na página 140.
Etapa 8 Tarefas pós-instalação Verificar se seus computadores-cliente estão online e protegidos.
Familiarize-se com os recursos e funções do console de gerenciamento do

Symantec Endpoint Protection e realize tarefas de configuração e otimização.

na página 54.

A Tabela 2-2 relaciona os componentes do produto e descreve suas funções.
Tabela 2-2 Componentes do produto
Componente Descrição
Symantec Endpoint O Symantec Endpoint Protection Manager é um servidor de gerenciamento que

Protection Manager gerencia os computadores-cliente que se conectam à rede de sua empresa.
O Symantec Endpoint Protection Manager inclui os seguintes componentes:
■ O software do servidor de gerenciamento oferece uma comunicação segura entre

os computadores-cliente e o console.
■ O console é a interface do servidor de gerenciamento. O software do console
coordena e gerencia as políticas de segurança, os computadores-cliente, os
relatórios, os logs, as funções e o acesso, as funções administrativas e a segurança.
Você pode também instalar um console remoto e usá-lo para fazer logon no servidor
de gerenciamento em qualquer computador com conexão de rede.

Banco de dados O banco de dados armazena eventos e políticas de segurança. Você instala o banco
de dados incorporado no computador que hospeda o Symantec Endpoint Protection
Manager.
Você pode também instalar separadamente o banco de dados do Microsoft SQL Server
para usá-lo em vez do banco de dados incorporado.
Consulte “Sobre como escolher um tipo do banco de dados” na página 90.
Cliente do Symantec O cliente protege os computadores com verificações de vírus e spyware, SONAR,
Endpoint Protection Download Insight, um firewall, um sistema de prevenção contra intrusões e outras
tecnologias de proteção. Ele é executado nos servidores, nos desktops e nos
computadores portáteis que você deseja proteger.
O cliente do Mac do Symantec Endpoint Protection protege os computadores com

verificações de vírus e spyware.
Para obter mais informações sobre como usar o cliente, consulte o Guia do Cliente do
Symantec Endpoint Protection e do Symantec Network Access Control.
Consulte “Sobre o Symantec Endpoint Protection” na página 43.
Symantec Protection Center O Symantec Protection Center permite integrar consoles de gerenciamento de vários
(opcional) produtos do Symantec Security suportados em um único ambiente de gerenciamento.
O Symantec Endpoint Protection é integrado ao Protection Center por meio de uma
série de serviços Web.
Você faz o download e instala a versão 2 do Protection Center separadamente.
Consulte “Sobre o Symantec Endpoint Protection e o Protection Center” na página 213.

Consulte o Guia de Introdução ao Symantec Protection Center 2.0
LiveUpdate Administrator O LiveUpdate Administrator faz o download de definições, assinaturas e atualizações

(opcional) do produto através do Servidor do Symantec LiveUpdate e distribui as atualizações
aos computadores-cliente.
Para obter mais informações, consulte o Guia do Usuário do Symantec LiveUpdate

Administrator.
Quarentena central A Quarentena central recebe arquivos suspeitos e itens infectados não reparados dos
(opcional) clientes do Symantec Endpoint Protection. A Quarentena central encaminha uma
amostra ao Symantec Security Response, que analisa a amostra. Se uma ameaça é
nova, o Symantec Security Response produz atualizações de segurança.
Para obter mais informações, consulte o Guia de Implementação do Symantec Central

Quarantine.
Consulte “Componentes do Symantec Network Access Control” na página 77.

Componentes do Symantec Network Access Control


A Tabela 2-3 relaciona os componentes do produto e descreve suas funções.
Tabela 2-3 Componentes do produto Symantec Network Access Control
Symantec Endpoint O Symantec Endpoint Protection Manager é um servidor de gerenciamento que

Protection Manager gerencia os computadores-cliente que se conectam à rede de sua empresa.
O Symantec Endpoint Protection Manager inclui os seguintes softwares:
■ O software do servidor de gerenciamento oferece uma comunicação segura entre

os computadores-cliente e o console.
■ O console é a interface do servidor de gerenciamento. O software do console
coordena e gerencia as políticas de segurança, os computadores-cliente, os
relatórios, os logs, as funções e o acesso, as funções administrativas e a segurança.
Você pode também instalar um console remoto e usá-lo para fazer logon no servidor
de gerenciamento em qualquer computador com conexão de rede.
Banco de dados O banco de dados armazena eventos e políticas de segurança. Você instala o banco
de dados incorporado no computador que hospeda o Symantec Endpoint Protection
Manager.
Você pode também instalar separadamente o banco de dados do Microsoft SQL Server
para usá-lo em vez do banco de dados incorporado.
Cliente do Symantec Network O cliente do Symantec Network Access Control aplica a conformidade com as políticas
Access Control de segurança nos computadores-cliente usando as verificações de integridade do host
e os recursos de autoimposição. O cliente relata seu status de conformidade com a
integridade do host a um Symantec Enforcer.
Para obter mais informações sobre a utilização do cliente, consulte o Guia do cliente
do Symantec Endpoint Protection e do Symantec Network Access Control.
Consulte “Sobre o Symantec Network Access Control” na página 844.

Symantec Protection Center O Symantec Protection Center permite integrar consoles de gerenciamento de vários
produtos do Symantec Security suportados em um único ambiente de gerenciamento.
O Symantec Endpoint Protection é integrado ao Protection Center por meio de uma
série de serviços Web.
Você faz o download e instala a versão 2 do Protection Center separadamente.
Consulte “Sobre o Symantec Endpoint Protection e o Protection Center” na página 213.
Administrador do O LiveUpdate Administrator faz o download de definições, assinaturas e atualizações

LiveUpdate (opcional) do produto através do Servidor do Symantec LiveUpdate e distribui as atualizações
Para obter mais informações, consulte o Guia do Usuário do Symantec LiveUpdate

Administrator.
Symantec Enforcer (opcional) O Enforcer certifica-se de que os clientes que tentarem se conectar à rede atendam
às políticas de segurança configuradas. Você pode restringir computadores não
compatíveis a segmentos específicos da rede para correção e pode proibir
completamente o acesso aos computadores que não estiverem em conformidade.
O Symantec Network Access Control inclui os seguintes tipos de Enforcers:
■ O appliance Gateway Enforcer fornece imposição in-line em pontos de obstrução

da rede.
■ O appliance LAN Enforcer 802.1x fornece uma abordagem baseada em padrões
fora de banda para redes LAN e sem fio.
■ O Integrated Enforcer DHCP fornece uma abordagem baseada em DHCP para
redes LAN e sem fio em toda a infraestrutura.
■ O Microsoft Network Access Protection Integrated Enforcer fornece uma
abordagem com base no Microsoft NAP para redes sem fio e LAN.
Consulte About the LAN Enforcer appliance installation na página 849.
Consulte “Sobre o Symantec Network Access Control Integrated Enforcer for Microsoft
DHCP Servers” na página 1065.
Consulte “Sobre o Symantec Network Access Control Integrated Enforcer for Microsoft
Network Access Protection” na página 1065.
Clientes sob demanda do Os clientes sob demanda são os clientes temporários que você fornece aos usuários
Symantec Network Access quando eles não estão autorizados a acessar sua rede. Os computadores-cliente não
Control para Windows e autorizados não têm o software compatível com sua política de segurança. Assim que
Macintosh (opcional) o Enforcer tiver instalado um cliente sob demanda, ele se conectará temporariamente
a uma rede corporativa como convidado.
Consulte “Sobre os clientes do Symantec Network Access Control On-Demand”

na página 1132.
Requisitos do sistema para o Symantec Endpoint Protection
Requisitos do sistema para o Symantec Endpoint

Protection
Em geral, os requisitos do sistema para o Symantec Endpoint Protection Manager
e para os clientes são os mesmos dos sistemas operacionais suportados.
A Tabela 2-4 exibe os requisitos mínimos para o Symantec Endpoint Protection
Manager.
A Tabela 2-5 exibe os requisitos mínimos para o cliente do Symantec Endpoint
Protection.
A Tabela 2-6 exibe os requisitos mínimos para o cliente do Symantec Network
Access Control.
A Tabela 2-7 exibe os requisitos mínimos para o cliente do Symantec Network
Access Control sob demanda.
Tabela 2-4 Requisitos do sistema do Symantec Endpoint Protection Manager
Componente Requisitos
Processador ■ Processador de 32 bits: Intel Pentium III de 1 GHz ou mínimo

equivalente (Intel Pentium 4 ou equivalente recomendado)
■ Processador de 64 bits: Pentium 4 de 2 GHz com suporte a x86-64
ou mínimo equivalente
Nota: Processadores Intel Itanium IA-64 não são suportados.
RAM física 1 GB de RAM para sistemas operacionais de 32 bits, 2 GB de RAM

para sistemas operacionais de 64 bits ou superiores, se solicitado
pelo sistema operacional
Unidade de disco 4 GB ou mais de espaço livre; mais 4 GB para o banco de dados

rígido localmente instalado.
Vídeo 800 x 600

Sistema operacional ■ Windows XP (de 32 bits, SP2 ou superior; de 64 bits, todo o SPs;
todas as edições exceto Home)
■ Windows 7 (32 bits, 64 bits, RTM e SP1; todas as edições, exceto
Home)
■ Windows 8 (32 bits, 64 bits)
■ Windows Server 2003 (32 bits, 64 bits, R2, SP1 ou superior)
■ Windows Server 2008 (32 bits, 64 bits, R2, RTM, SP1 e SP2)
■ Windows Server 2012
■ Windows Small Business Server 2003 (32 bits)
■ Windows Small Business Server 2011 (de 64 bits)
■ Windows Essential Business Server 2008 (64 bits)
Navegador da Web ■ Microsoft Internet Explorer 7, 8, 9, 10

■ Mozilla Firefox
■ Google Chrome
Nota: Esta versão do Symantec Endpoint Protection Manager pode gerenciar

clientes anteriores à versão 12.1, independentemente do sistema operacional do
cliente.
O Symantec Endpoint Protection Manager inclui um banco de dados interno. Você

também pode escolher uma das seguintes versões do Microsoft SQL Server:
■ SQL Server 2005, SP4
■ SQL Server 2008
■ SQL Server 2008 R2
■ SQL Server 2012
Nota: Se você instalar o Symantec Endpoint Protection Manager e o banco de

dados SQL no mesmo computador, recomenda-se no mínimo 4 GB de RAM.
Tabela 2-5 Requisitos do sistema de clientes Windows e Mac para o Symantec

Endpoint Protection
Processador ■ Processador de 32 bits para Windows: Intel Pentium III de 1 GHz

ou mínimo equivalente (Intel Pentium 4 ou equivalente
recomendado)
■ Processador de 32 bits para Mac: Intel Core Solo, Intel Core Duo.
Os processadores PowerPC não são suportados.
■ Processador de 64 bits para Windows: Pentium 4 de 2 GHz com
suporte a x86-64 ou mínimo equivalente. Os processadores
Itanium não são suportados.
■ Processador de 64 bits para Mac: Intel Core 2 Duo, Intel Quad-Core
Xeon
RAM física Windows: 512 MB de RAM (1 GB recomendado) ou mais se exigido

pelo sistema operacional
Mac: 1 GB de RAM para 10.6; 2 GB para 10.7 e 10.8
Unidade de disco Windows: 850 MB de espaço disponível em disco para a instalação;

rígido é necessário espaço adicional para conteúdo e logs
Mac: 500 MB de espaço disponível no disco rígido para a instalação

Nota: Os requisitos de espaço são baseados em sistemas de arquivos
NTFS.
Vídeo 800 x 600
Sistema operacional ■ Windows XP Home ou Professional (32 bits, SP2 ou superior; 64

bits, todos os SPs)
■ Windows XP Embedded (SP2 e posterior)
■ Windows Vista (32 bits, 64 bits)
■ Windows 7 (32 bits, 64 bits, RTM e SP1)
■ Windows Embedded Standard 7
■ Windows Server 2008 (32 bits, 64 bits, R2, SP1 e SP2)
■ Windows Small Business Server 2011 (de 64 bits)
■ Mac OS X 10.6.8, 10.7 (32 bits, 64 bits); 10.8 (64 bits)
■ Mac OS X Server 10.6.8, 10.7 (32 bits, 64 bits); 10.8 (64 bits)
Para obter informações sobre os requisitos do sistema para o cliente Symantec

AntiVirus no Linux, consulte o Guia de Implementação do Symantec AntiVirus for
Linux.
Tabela 2-6 Requisitos do sistema do cliente do Symantec Network Access

Control
Componente Requisito
Processador ■ Processador de 32 bits para Windows: Intel Pentium III de 1 GHz

ou mínimo equivalente (Intel Pentium 4 ou equivalente
recomendado)
■ Processador de 64 bits para Windows: Pentium 4 de 2 GHz com
suporte a x86-64 ou mínimo equivalente. Os processadores
Itanium não são suportados.
Sistema operacional ■ Windows XP (32 bits, XP-2 ou superior; 64 bits, todos os SPs)
■ Windows XP Embedded
■ Windows Server 2008 (de 32 bits, de 64 bits)
RAM física 512 MB de RAM ou superior se solicitado pelo sistema operacional
Disco rígido 32 bits: 300 MB; 64 bits: 400 MB
Vídeo 800 x 600
Tabela 2-7 Requisitos do sistema do cliente do Symantec Network Access

Control sob demanda
Processador ■ Windows: Intel Pentium II de 550 MHz (1 GHz para Windows

Vista) ou mais rápido
■ Mac: Intel CPU somente
Sistema operacional ■ Windows XP Home ou Professional (32 bits, SP2 e SP3)

■ Windows Server 2008 (32 bits, 64 bits, R2)
■ Mac OS X 10.5, 10.6 ou 10.7
Espaço em disco e ■ Tamanho do download: 9 MB. Quantidade de espaço livre em

RAM física disco necessária para executar o cliente: 100 MB.
■ RAM física para Clientes sob demanda Windows ou Mac: 512 MB
Navegador da Web ■ Para o Cliente Windows sob demanda: Microsoft Internet Explorer
6.0 ou superior; Mozilla Firefox 2.0, 3.0, 3.5, 3.6.3, 11.0
Nota: Clientes da versão 11.0 RU6 e inferiores não suportam o
Firefox 3.6.3.
■ Para Cliente Mac sob demanda: Apple Safari 4.0 e 5.0; Mozilla
Firefox 2.0, 3.0, 3.5, 3.6.3
Nota: Clientes da versão 11.0 RU6 e inferiores não suportam o
Firefox 3.6.3.
Outro ■ Exibição do vídeo: Super VGA (1.024 x 768) ou superior

■ Pelo menos um adaptador Ethernet (com TCP/IP instalado)
Consulte “Para planejar a instalação” na página 71.
Consulte “Produtos de virtualização e instalações virtuais suportados”
na página 87.
Consulte “Requisitos de internacionalização” na página 83.
Requisitos de internacionalização
Determinadas restrições serão aplicadas quando você instalar o Symantec Endpoint
Protection Manager em um ambiente que não seja Inglês ou tenha diversos idiomas.
Tabela 2-8 Requisitos de internacionalização
Nomes de computador, Os caracteres que não são do inglês são compatíveis com as seguintes limitações:
nomes do servidor e
■ A auditoria da rede pode não funcionar para um host ou usuário que use um conjunto
nomes de grupos de
de caracteres de byte duplo ou um conjunto de caracteres ASCII estendidos.
trabalho
■ Os nomes de conjuntos de caracteres de dois bytes ou nomes de conjuntos de caracteres
high-ASCII não podem ser exibidos corretamente no console do Symantec Endpoint
Protection Manager ou na interface do usuário do cliente.
■ Os nomes extensos de host dos conjuntos de caracteres de dois bytes ou ASCII estendidos
não podem ser mais extensos do que o NetBIOS permite. Se o nome do host for mais
extenso do que o NetBIOS permite, as páginas Início, Monitores e Relatórios não serão
exibidas no console do Symantec Endpoint Protection Manager.
Caracteres do inglês Os caracteres do inglês são necessários nas seguintes situações:
■ Implemente um pacote do cliente em um computador remoto.

■ Defina a pasta de dados do servidor no Assistente de Configuração do servidor de
gerenciamento.
■ Defina o caminho de instalação do Symantec Endpoint Protection Manager.
■ Defina as credenciais quando você implementar o cliente em um computador remoto.
■ Defina um nome de grupo.
Você pode criar um pacote do cliente para um nome de grupo que contenha caracteres
que não sejam do inglês. Talvez você não possa implementar o pacote de cliente usando
o Assistente de Implementação por envio quando o nome de grupo tiver caracteres que
não sejam do inglês.
■ Enviar automaticamente caracteres que não sejam do inglês aos computadores-cliente.
Alguns caracteres que não são do inglês e que são gerados no lado do servidor não podem
aparecer corretamente na interface do usuário do cliente.
Por exemplo, um nome do local do conjunto de caracteres de dois bytes não aparece
corretamente em computadores-cliente nomeados do conjunto de caracteres sem byte
duplo.
Caixa de diálogo Não usar caracteres de dois bytes ou ASCII estendidos ao fornecer comentários na caixa de
Informações sobre o diálogo Informações sobre o usuário do computador-cliente depois de instalar o pacote
usuário do exportado.
computador-cliente
Consulte “Como coletar informações do usuário” na página 261.
Requisitos da licença do produto
Assistente de Ativação Não use caracteres de dois bytes nos seguintes campos:
de licença
■ Nome
■ Sobrenome
■ Nome da empresa
■ Cidade
■ Estado/Província
Consulte “Para ativar ou importar sua licença de produto do Symantec Endpoint Protection
ou Symantec Network Access Control 12.1” na página 120.

Se desejar usar o Symantec Endpoint Protection após o período de teste expirar,
será necessário comprar e ativar uma licença do produto.
A Tabela 2-9 exibe os requisitos necessários para licenciar o Symantec Endpoint
Protection.
Tabela 2-9 Requisitos da licença do produto
Produto Requisito
Instalação de licença paga do Você deve comprar uma licença que ofereça cobertura
Symantec Endpoint Protection a todos os clientes implementados. Uma licença
oferece cobertura a todos os clientes
independentemente da plataforma e da versão.
Consulte “Sobre o licenciamento de regras de

imposição” na página 126.
Software de proteção antivírus O Symantec Endpoint Protection aceita o arquivo de

legado da Symantec licença de seu software legado de proteção antivírus
da Symantec. Você deve comprar uma licença nova
quando a licença legada expirar.
Trialware Uma licença de teste de 60 dias é incluída no Symantec

Endpoint Protection. Você deverá comprar uma
licença quando a licença de teste expirar.
A seguinte terminologia aplica-se às licenças dos produtos da Symantec:

Número de série Uma licença contém um número de série que identifica com
exclusividade sua licença e associa a licença com sua empresa. O
número de série pode ser usado para ativar sua licença do
Symantec Endpoint Protection.
Consulte “Para ativar ou importar sua licença de produto do

Symantec Endpoint Protection ou Symantec Network Access
Control 12.1” na página 120.
Implementado Implementado refere-se aos computadores endpoint que estão

protegidos pelo software-cliente do Symantec Endpoint Protection.
Por exemplo, “Nós temos 50 estações implementadas.” significa
que 50 endpoints têm o software-cliente instalado.
Ativar Você ativa sua licença de produto do Symantec Endpoint

Protection para ativar o acesso ilimitado a toda a funcionalidade
do programa. Você usa o Assistente de Ativação de licença para
concluir o processo de ativação.
Consulte “Para ativar ou importar sua licença de produto do

Symantec Endpoint Protection ou Symantec Network Access
Control 12.1” na página 120.
Estação Uma estação é um único computador endpoint que o

software-cliente do Symantec Endpoint Protection protege. Uma
licença é comprada e validada para um número de estações
específico. “Estações válidas” refere-se ao número total de estações
que está especificado em todas as suas licenças ativas.
Trialware Trialware refere-se a uma instalação totalmente funcional do

Symantec Endpoint Protection em funcionamento no período de
teste gratuito. O período de teste é de 60 dias a partir da instalação
inicial do Symantec Endpoint Protection Manager. Se desejar
continuar usando o Symantec Endpoint Protection além do período
de teste, será necessário comprar e ativar uma licença para sua
instalação. Você não precisa desinstalar o software para converter
o trialware em uma instalação licenciada.
Consulte “Sobre a compra de licenças” na página 118.
Implementado Uma licença é implementada excessivamente quando o número

excessivamente de clientes implementados excede o número de estações
licenciadas.
Entenda que os requisitos da licença fazem parte do planejamento da instalação

e pós-instalação do Symantec Endpoint Protection, gerenciando suas licenças do
produto.
Produtos de virtualização e instalações virtuais suportados

Produtos de virtualização e instalações virtuais

suportados
Você pode usar os clientes do Symantec Endpoint Protection para proteger
instâncias virtuais dos sistemas operacionais suportados. Você pode instalar e
gerenciar o Symantec Endpoint Protection Manager em instâncias virtuais dos
sistemas operacionais suportados.
A Tabela 2-10 relaciona os produtos de virtualização suportados.
Tabela 2-10 Produtos suportados de virtualização
Software da Symantec Produto de virtualização
Symantec Endpoint Protection ■ VMware WS 5.0 (estação de trabalho) ou

Manager, console e componentes do superior
banco de dados interno ■ VMware GSX 3.2 (corporativo) ou superior
■ VMware ESX 2.5 (estação de trabalho) ou
superior
■ VMware VMotion
■ Microsoft Virtual Server 2005
■ Windows Server 2008 Hyper-V
■ Windows 8 Server Hyper-V
■ Novell Xen
■ Virtual Box, fornecido pela Oracle
Software-cliente do Symantec Endpoint ■ VMware WS 5.0 (estação de trabalho) ou

Protection superior
■ VMware GSX 3.2 (corporativo) ou superior
■ VMware ESX 2.5 (estação de trabalho) ou
superior
■ VMware VMotion
■ Microsoft Virtual Server 2005
■ Windows Server 2008 Hyper-V
■ Windows 8 Server Hyper-V
■ Novell Xen
■ Virtual Box, fornecido pela Oracle
Sobre a compatibilidade do Symantec Endpoint Protection Manager com outros produtos
O Symantec Endpoint Protection inclui recursos que aprimoram o desempenho

em ambientes virtuais.
na página 705.
Consulte “Como escolher verificações aleatoriamente para melhorar o desempenho
do computador em ambientes virtualizados” na página 415.
Sobre a compatibilidade do Symantec Endpoint

Protection Manager com outros produtos
Alguns produtos podem causar conflitos com o Symantec Endpoint Protection
quando estão instalados no mesmo servidor. Você precisará configurar a instalação
do Symantec Endpoint Protection Manager se um ou mais dos seguintes produtos
estiver instalado no mesmo servidor:
■ Symantec Backup Exec 10, 10D ou 11D
■ Symantec Brightmail
■ Symantec Enterprise Vault
■ Symantec Ghost Solution Suite 2.0
■ Symantec Mail Security for Exchange
■ Symantec NetBackup
■ Microsoft Outlook Web Access
■ Microsoft SharePoint
■ Microsoft Windows Update Services
Na maioria dos casos, mudanças na porta são necessárias para permitir que estes
programas sejam executados simultaneamente com o Symantec Endpoint
Protection.
Para obter informações sobre as alterações de configuração, consulte o artigo da
Base de conhecimento do Suporte da Symantec, Addressing Symantec Endpoint
Protection compatibility issues (em inglês).
Considerações sobre a arquitetura de rede
Considerações sobre a arquitetura de rede

Você pode instalar o Symantec Endpoint Protection para finalidades de teste sem
considerar a arquitetura de rede da empresa. É possível instalar o Symantec
Endpoint Protection Manager em alguns clientes e familiarizar-se com os recursos
e as funções.
Quando você estiver pronto para instalar os clientes de produção, será necessário
planejar a implementação com base nas necessidades da estrutura organizacional
e de computação.
Convém considerar os seguintes elementos ao planejar a implementação:
■ Symantec Endpoint Protection Manager
Os administradores usam o Symantec Endpoint Protection Manager para
gerenciar políticas de segurança e computadores-cliente. Convém considerar
a segurança e a disponibilidade do computador em que o Symantec Endpoint
Protection Manager é instalado.
■ Console remoto
Os administradores podem usar um computador remoto que execute o software
do console para acessar o Symantec Endpoint Protection Manager. Os
administradores podem também usar um computador remoto quando estiverem
longe do escritório. Você deve certificar-se de que os computadores remotos
atendam aos requisitos do console remoto.
■ Computadores locais e remotos
Os computadores remotos podem ter conexões de rede mais lentas. Convém
usar um método diferente de instalação daquele usado para a instalação em
computadores locais.
■ Computadores portáteis, como notebooks
Os computadores portáteis podem não conectar-se à rede em um agendamento
regular. Convém certificar-se de que os computadores portáteis tenham uma
política do LiveUpdate que ative um agendamento do LiveUpdate. Os
computadores portáteis que não executam verificações regularmente não
obtêm outras atualizações da política.
■ Computadores localizados em áreas seguras
Computadores localizados em áreas seguras podem precisar de configurações
de segurança diferentes das configurações de computadores que não estão em
áreas seguras.
Você identifica os computadores em que planeja instalar o cliente. A Symantec
recomenda que você instale o software-cliente em todos os computadores
Sobre como escolher um tipo do banco de dados
desprotegidos, incluindo o computador que executa o Symantec Endpoint

Protection Manager.
Você decide como deseja gerenciar os computadores. Na maioria dos casos, os
computadores são gerenciados através do console do Symantec Endpoint Protection
Manager. Esses são chamados de “computadores gerenciados”. Convém gerenciar
manualmente os computadores portáteis que se conectam à rede da empresa
intermitentemente. Por exemplo, dispositivos móveis como computadores
portáteis. Um computador gerenciado manualmente é chamado de “computador
não gerenciado”. Computadores que nunca se conectam à rede da empresa são
computadores não gerenciados por definição, pois nunca se conectam ao Symantec
Endpoint Protection Manager.
Organize os computadores com necessidades de segurança semelhantes em grupos.
Por exemplo, você pode organizar os computadores do departamento de folha de
pagamento no grupo Folha de pagamento. Você pode definir a estrutura do grupo
para que corresponda à estrutura de sua organização.
Você cria os grupos usando o Symantec Endpoint Protection Manager. Ajuste as
configurações da política de segurança para os grupos que exigem restrições
adicionais.
Você atribui os computadores aos grupos. É possível atribuir computadores aos
grupos durante a instalação do cliente. Você também pode atribuir computadores
aos grupos do console após a instalação do cliente.
Sobre como escolher um tipo do banco de dados

O Symantec Endpoint Protection Manager usa um banco de dados para armazenar
informações sobre clientes e configurações. O banco de dados é criado como parte
do processo de configuração. Você deve decidir qual banco de dados será usado
antes de instalar o servidor de gerenciamento. Você não pode usar o console até
configurar o servidor de gerenciamento para usar um banco de dados.
Tabela 2-11 Bancos de dados usados pelo Symantec Endpoint Protection

Manager
Tipo de banco de dados Descrição
Banco de dados interno O banco de dados interno é incluído com o Symantec

Endpoint Protection Manager. O banco de dados incorporado
não exige configuração e é mais fácil de instalar. O banco de
dados interno suporta até 5.000 clientes.
Consulte “Sobre as configurações do banco de dados interno”

na página 91.
Sobre as configurações do banco de dados interno
Tipo de banco de dados Descrição
Banco de dados Microsoft Se você tiver optado por usar esta opção, será necessário
SQL Server instalar o Microsoft SQL Server antes de instalar o Symantec
Endpoint Protection Manager. Além disso, as ferramentas
do cliente SQL Server devem ser instaladas no mesmo
computador em que você instala o Symantec Endpoint
Protection Manager.
Você deve considerar comprar e instalar o Microsoft SQL

Server pelas seguintes razões:
■ Você deve suportar mais de 5.000 clientes. Cada servidor

de gerenciamento que usa o Microsoft SQL Server pode
suportar até 50.000 clientes. Se sua organização tiver
mais de 50.000 clientes, será possível instalar outro
servidor de gerenciamento.
■ Você deseja suportar o failover e o balanceamento de
carga.
■ Você deseja configurar servidores de gerenciamento
adicionais como sites parceiros.
Consulte “Sobre como determinar de quantos sites você
precisa” na página 203.
Se você criar um banco de dados do Microsoft SQL Server,

deverá antes instalar uma instância do Microsoft SQL Server.
Você deverá então configurá-lo para se comunicar com o
Consulte “Sobre as configurações do SQL Server”

na página 93.

Os seguintes valores representam as configurações padrão quando você instala
o Symantec Endpoint Protection Manager. As portas que são listadas são portas
TCP.
Você poderá configurar alguns dos seguintes valores somente quando instalar o
Symantec Endpoint Protection Manager para usar uma configuração personalizada.
Tabela 2-12 Configurações do banco de dados interno
Configuração Padrão Descrição
Nome do servidor nome do host local O nome do computador que executa o Symantec Endpoint
Protection Manager.
Porta do servidor 8443 O Symantec Endpoint Protection Manager escuta nesta

porta.
Porta do console da 9090 As conexões remotas do console HTTP usam esta porta.
Web
Porta de comunicação 8014 Os clientes comunicam-se com o servidor de gerenciamento

do cliente nesta porta.
Os dispositivos de hardware opcionais do Enforcer também

usam esta porta.
Porta dos serviços 8444 A porta pela qual o Symantec Protection Center 2.x faz o
Web do Protection feed de dados e as solicitações do fluxo de trabalho ao
Center Symantec Endpoint Protection Manager.
Porta de serviços Web 8446 O Monitoramento e gerenciamento remoto (RMM, Remote

do gerenciamento Monitoring and Management) usa esta porta para enviar
remoto o tráfego de serviços Web por HTTPS.
Porta de controle do 8765 O serviço Web do Tomcat usa esta porta.

servidor
Porta de geração de 8445 O serviço Web do Apache usa esta porta para gerar
relatórios relatórios.
Pasta de dados do C:\Arquivos de Diretório no qual o Symantec Endpoint Protection Manager

servidor Programas\Symantec\Symantec coloca os arquivos de dados que incluem backups, logs de
Endpoint Protection replicação e outros arquivos. O programa de instalação
Manager\data (sistema criará este diretório se ele não existir.
operacional de 32 bits)
C:\Arquivos de Programas
(x86)\Symantec\Symantec
Endpoint Protection
Manager\data (sistema
operacional de 64 bits)
Sobre as configurações do SQL Server
Senha de criptografia Nenhuma Essa senha criptografa a comunicação entre os clientes do

Symantec Endpoint Protection Manager e os dispositivos
de hardware opcionais do Enforcer.
Se escolher a configuração padrão, o sistema gerará
automaticamente a senha de criptografia para você. Na
tela de resumo, você pode imprimir ou copiar estas
informações na área de transferência.
Se escolher uma configuração personalizada, você poderá

fazer com que o sistema gere automaticamente uma senha
aleatória ou poderá criar sua própria senha. A senha pode
ser de 6 a 32 caracteres alfanuméricos.
Anote esta senha e coloque-a em um local seguro. Não é

possível alterar nem recuperar a senha após criar o banco
de dados. Você também deverá inserir a senha para a
recuperação após desastres, caso não tenha um backup do
banco de dados para restaurar.
Consulte “Para preparar a recuperação após desastres”

na página 805.
Nome do usuário admin O nome do usuário padrão usado para fazer logon pela
primeira vez no console do Symantec Endpoint Protection
Manager. Este valor não é configurável.
Senha Nenhuma A senha especificada para a conta do administrador durante

a configuração de servidor.
Se o banco de dados incorporado for usado, a senha original
do administrador será necessária para reconfigurar o
servidor de gerenciamento. Anote esta senha e coloque-a
em um local seguro.
Endereço de e-mail Nenhuma As notificações do sistema são enviadas ao endereço de

e-mail especificado.

Se você instalar o Symantec Endpoint Protection Manager com um banco de dados
Microsoft SQL Server, haverá requisitos de configuração específicos para o SQL
Server.
Antes de criar o banco de dados, a Symantec recomenda instalar uma nova
instância do SQL Server que esteja em conformidade com os requisitos de
instalação e configuração da Symantec. É possível instalar um banco de dados em

uma instância existente, mas esta deverá ser configurada corretamente ou a
instalação do banco de dados falhará. Por exemplo, se você selecionar um
agrupamento do SQL que diferencie maiúsculas de minúsculas, a instalação falhará.
Aviso: O Symantec Endpoint Protection Manager autentica o Microsoft SQL Server

com um nome de usuário e uma senha de texto simples do proprietário do banco
de dados. Para maximizar a postura de segurança das comunicações remotas do
Microsoft SQL Server, localize ambos os servidores em uma sub-rede segura.
Tabela 2-13 Configurações necessárias do SQL Server
Configuração Requisito de instalação
Nome da instância Não use o nome padrão. Crie um nome como

SEPM.
Por padrão, um banco de dados nomeado Sem5

será criado na instância do SQL Server quando
você instalar o Symantec Endpoint Protection
Manager. O nome padrão é suportado, mas pode
causar confusão se você instalar várias instâncias
em um computador.
Configuração de autenticação Modo misto ou modo Autenticação do Windows
Consulte “Sobre os modos de autenticação do

banco de dados do SQL Server” na página 98.
Senha sa Defina essa senha quando definir a autenticação

para o modo Misto.
Protocolo ativado TCP/IP
Endereços IP do TCP/IP Ative IP1 e IP2
Números de porta TCP/IP para IP1, IP2 Deixe as portas dinâmicas TCP em branco e
e IPALL especifique um número para a porta TCP.
Geralmente, a porta padrão é 1433. Especifique
esse número de porta ao criar o banco de dados.
O banco de dados do Symantec Endpoint

Protection Manager não suporta portas dinâmicas.
Conexões remotas Devem estar ativadas. O protocolo TCP/IP também

deve estar especificado.
Se seu banco de dados estiver localizado em um servidor remoto, você também

deverá instalar componentes do cliente do SQL Server, incluindo o BCP.EXE, no
computador que executa o Symantec Endpoint Protection Manager. Consulte a
documentação do Microsoft SQL Server para obter instruções sobre a instalação.
Durante a fase de configuração do banco de dados da instalação do Symantec
Endpoint Protection Manager, você seleciona e digita vários valores do banco de
dados. Entenda as decisões que você deve tomar para corretamente configurar o
banco de dados.
A Tabela 2-14 exibe as configurações que você pode precisar antes de iniciar o
processo de instalação.
Tabela 2-14 Configurações do banco de dados SQL Server
Nome do servidor Nome do host local Nome do computador que executa o Symantec Endpoint
Protection Manager.
Pasta de dados do C:\Arquivos de Pasta em que o Symantec Endpoint Protection Manager

servidor programas\Symantec Endpoint coloca os arquivos de dados que incluem backups,
Protection Manager\data replicação e outros arquivos do Symantec Endpoint
Protection Manager. O instalador criará esta pasta se ela
não existir.
Senha de criptografia Nenhuma A senha que criptografa a comunicação entre o Symantec

Endpoint Protection Manager, clientes e dispositivos de
hardware opcionais do Enforcer. A senha pode ter de 6 a
32 caracteres alfanuméricos e é obrigatória.
Anote esta senha e coloque-a em um local seguro. Não é

possível alterar nem recuperar a senha após criar o banco
de dados. Você também deverá inserir a senha para a
recuperação após desastres, caso não tenha um backup do
banco de dados para restaurar.
Consulte “Para executar a recuperação após desastres”

na página 813.
Servidor de banco de Nome do host local Nome do Microsoft SQL Server e nome opcional da
dados instância. Se o servidor do banco de dados foi instalado
com a instância padrão, que não tem nome, digite o nome
do host ou o endereço IP do host. Se o servidor de banco de
dados foi instalado com uma instância nomeada, digite o
nome do host\nome da instância ou endereço IP\nome da
instância. Usar o nome do host somente funciona com um
DNS configurado adequadamente.
Se você instalar em um servidor de banco de dados remoto,

deverá primeiro instalar os componentes do cliente do SQL
Server no computador que executa o Symantec Endpoint
Protection Manager.
Porta do servidor SQL 1433 A porta usada para enviar e receber o tráfego do SQL
Server.
A porta 0 não é compatível. Ela é utilizada para especificar

uma porta aleatória, negociada.
Nome do banco de sem5 Nome do banco de dados que é criado.

dados
Nome de usuário do sem5 Nome da conta do usuário do banco de dados que é criado.
banco de dados A conta de usuário tem uma função padrão com acesso de
leitura e gravação. O nome pode ser uma combinação de
valores alfanuméricos e caracteres especiais ~#%_+=|:./.
Os caracteres especiais `!@'$^&*()-{}[]"\<;>,? não
são permitidos. Os seguintes nomes também não são
aceitos: sysadmin, server admin, setupadmin,
securityadmin, processadmin, dbcreator, diskadmin,
bulkadmin.
Senha do banco de Nenhuma A senha associada à conta do usuário do banco de dados.

dados O nome pode ser uma combinação de valores alfanuméricos
e caracteres especiais ~#%_+=|:./. Os caracteres especiais
!@*(){}[];,? não são permitidos.
Pasta do cliente do SQL SQL Server 2005: C:\Arquivos Local do diretório local do utilitário SQL Client que contém
Server de Programas\Microsoft SQL o bcp.exe.
Server\ 90\Ferramentas\Binn
SQL Server 2008: C:\Arquivos
de Programas\Microsoft SQL
Server\100\ Ferramentas\Binn
SQL Server C:\Arquivos de

Programas\Microsoft 2012 SQL
Server\110\Ferramentas\Binn
Nome de usuário do Nenhuma Nome da conta de administrador do servidor de banco de

servidor dados, geralmente sa.
Senha do servidor Nenhuma A senha associada à conta de administrador do servidor de

banco de dados.
Pasta dados do banco Detectada automaticamente Local da pasta de dados do SQL Server. Se você instalar um
de dados depois de clicar em Padrão. servidor remoto, o identificador de volume deverá
corresponder ao identificador do servidor remoto.
de Programas\Microsoft SQL ■ Se você instalar uma instância nomeada no SQL Server
Server\MSSQL.1\MSSQL\Data 2005, o nome da instância será anexado ao MSSQL com
um identificador numérico do ponto. Por exemplo,
\MSSQL.n\MSSQL\Data
de Programas\Microsoft SQL
■ Se você instalar em uma instância nomeada no SQL
Server\
Server 2008, o nome da instância será adicionado a
MSSQL10.MSSQLSERVER\
MSSQL10. Por exemplo, \MSSQL10.nome da
MSSQL\Data
instância\MSSQL\Data.
SQL Server 2008 R2: C:\ ■ Se você instalar em uma instância nomeada no SQL
Arquivos de Programas\ Server 2008 R2, o nome da instância será adicionado a
Microsoft SQL Server\ MSSQL10_50. Por exemplo, \MSSQL10_50.nome da
MSSQL10_50.MSSQLSERVER\ instância\MSSQL\Data.
MSSQL\Data ■ Se você instalar em uma instância nomeada no SQL
SQL Server 2012: C:\Arquivos Server 2012, o nome da instância será adicionado a
de Programas\Microsoft SQL MSSQL11. Por exemplo, \MSSQL11.nome da
Server\ instância\MSSQL\Data.
MSSQL11.MSSQLSERVER\ Nota: Clicar na opção Padrão exibe a pasta de instalação
MSSQL\Data correta, se você digitou o servidor de banco de dados e o
nome da instância corretamente. Se você clicar na opção
Padrão e a pasta de instalação correta não aparecer,
significa que ocorreu uma falha na criação do banco de
dados.
Sobre os modos de autenticação do banco de dados do SQL Server
Sobre os modos de autenticação do banco de dados

do SQL Server
O Symantec Endpoint Protection Manager suporta dois modos de autenticação
do banco de dados do SQL Server:
■ Modo Autenticação do Windows
■ Modo misto
O Microsoft SQL Server pode ser configurado para usar a Autenticação do Windows
ou a autenticação do Modo misto. A autenticação de modo misto permite o uso de
credenciais do Windows ou SQL Server. Quando o SQL Server for configurado
para usar o modo misto, o Symantec Endpoint Protection Manager poderá ser
definido para usar a Autenticação do Windows ou autenticação do Modo misto.
Quando o SQL Server for definido para usar o modo de Autenticação do Windows,
o Symantec Endpoint Protection Manager deverá também ser configurado para
usar o modo de Autenticação do Windows.
Para as conexões de banco de dados remoto que usam o modo Autenticação do
Windows, esteja ciente dos seguintes requisitos:
■ Para implementações em um ambiente do Active Directory, o Symantec
Endpoint Protection Manager e o SQL Server devem estar localizados no mesmo
domínio do Windows.
■ Para implementações em um ambiente de grupo de trabalho, as credenciais
de conta do Windows devem ser as mesmas para os computadores locais e os
computadores remotos.
Capítulo 3
Instalação do Symantec
Endpoint Protection
Manager
■ Para instalar o Symantec Endpoint Protection Manager
■ Para configurar o servidor de gerenciamento durante a instalação
■ Desinstalação do Symantec Endpoint Protection Manager
■ Para aceitar o certificado de servidor autoassinado (SSL) do Symantec Endpoint

Protection Manager
■ Logon no console do Symantec Endpoint Protection Manager
■ Aumento do período de tempo para permanecer conectado ao console
■ O que você pode fazer no console
Para instalar o Symantec Endpoint Protection

Manager
Execute diversas tarefas para instalar o servidor de gerenciamento e o console.
No Assistente de Instalação, uma marca de verificação verde aparece ao lado de
cada tarefa concluída.
100 Instalação do Symantec Endpoint Protection Manager
Para instalar o Symantec Endpoint Protection Manager
Nota: O Symantec Endpoint Protection Manager exige o acesso ao registro do

sistema para a instalação e a operação normal. Para preparar um servidor que
execute o Windows Server 2003 para instalar o Symantec Endpoint Protection
Manager usando uma conexão à área de trabalho remota, você deverá
primeiramente permitir o controle remoto no servidor. Você deve igualmente
usar uma sessão do console remoto ou fazer uma cópia de sombra da sessão do
console.
na página 54.
Para instalar o Symantec Endpoint Protection Manager
1 Insira e exiba o disco do produto.
A instalação deve iniciar automaticamente. Se não iniciar, clique duas vezes
em Setup.exe.
Se você fizer o download do produto, extraia a imagem inteira do disco do
produto para um disco físico, como um disco rígido. Execute o arquivo
Setup.exe no disco físico.
2 Na caixa de diálogo Programa de instalação do Symantec Endpoint
Protection, clique em Instalar Symantec Endpoint Protection e em Instalar
o Symantec Endpoint Protection Manager.
3 Reveja a sequência de eventos da instalação e clique em Avançar para
começar.
4 No painel Contrato de licença, clique em Aceito os termos do contrato de
licença e clique em Avançar.
5 No painel Pasta de destino, aceite a pasta de destino padrão ou especifique
outra pasta de destino e clique em Avançar.
6 Clique em Instalar.
O processo de instalação começa para o Symantec Endpoint Protection
Manager e console. Quando a instalação for concluída, clique em Avançar.
Instalação do Symantec Endpoint Protection Manager 101
Para configurar o servidor de gerenciamento durante a instalação
7 Após a conclusão da instalação inicial, configure o servidor e o banco de dados.

Clique em Avançar.
O Assistente de Configuração do servidor de gerenciamento é iniciado
automaticamente.
Consulte “Para configurar o servidor de gerenciamento durante a instalação”
na página 101.
8 Você configura o servidor de gerenciamento de acordo com seus requisitos.
Siga as instruções na tela. Após a configuração do servidor e do banco de
dados, clique em Avançar para criar o banco de dados.
9 Clique em Concluir para concluir a configuração.
A tela de login do console do Symantec Endpoint Protection Manager
aparecerá se você deixar a opção marcada. Após fazer login, você poderá
começar a implementação do cliente. Você pode também opcionalmente
executar o Assistente de Migração neste momento, se desejar.
Consulte “Para implementar clientes usando e-mail e link da Web”
na página 142.
na página 190.
Para configurar o servidor de gerenciamento durante

a instalação
O Assistente de Configuração do servidor de gerenciamento é iniciado
automaticamente após a instalação do Symantec Endpoint Protection Manager.
Você também pode iniciar o Assistente de Configuração do servidor de
gerenciamento a qualquer momento após a instalação em Iniciar > Todos os
programas > Symantec Endpoint Protection Manager > Ferramentas do
Symantec Endpoint Protection Manager.
Para configurar o servidor, especifique as seguintes informações:
■ O tipo de configuração: padrão ou personalizada. O assistente fornece
informações sobre cada tipo.
■ Se você deseja usar um arquivo de recuperação.
Desinstalação do Symantec Endpoint Protection Manager
Nota: Se esta for a sua primeira instalação do Symantec Endpoint Protection

Manager, não haverá nenhum arquivo de recuperação.

■ A senha da conta de administrador padrão.
■ O endereço de e-mail que recebe notificações e relatórios importantes.
■ O número da porta e o nome do servidor de e-mail.
■ Opcionalmente, é possível adicionar as informações do parceiro se você tiver
um parceiro de vendas da Symantec que gerencie suas licenças da Symantec.
Cada tipo de configuração tem um processo de configuração separado. Siga as
instruções que são fornecidas no Assistente de Configuração do servidor de
gerenciamento para concluir a configuração.
Desinstalação do Symantec Endpoint Protection

Manager
A desinstalação do Symantec Endpoint Protection Manager desinstalará o servidor
e o console. Você pode opcionalmente remover o banco de dados e os arquivos de
backup do banco de dados durante a desinstalação.
Se você planeja reinstalar o Symantec Endpoint Protection Manager, será
necessário fazer backup do banco de dados antes de desinstalá-lo.
Você deve desativar a replicação antes de tentar desinstalar o Symantec Endpoint
Protection Manager que está configurado para replicação.
Para desinstalar o Symantec Endpoint Protection Manager
O texto que você visualizará depende do sistema operacional do computador do
servidor.
1 No computador do servidor, no menu Iniciar, clique em Painel de Controle
> Adicionar ou remover programas (ou Painel de Controle > Programas >
Desinstalar um programa ).
2 Na caixa de diálogo Adicionar ou remover programas (ou Desinstalar ou
alterar um programa ), clique em Symantec Endpoint Protection Manager
e depois em Alterar Remover ou Desinstalar.
3 Siga as instruções na tela para remover o Symantec Endpoint Protection
Manager.
Para aceitar o certificado de servidor autoassinado (SSL) do Symantec Endpoint Protection Manager
Em alguns casos, poderá ser necessário desinstalar o Symantec Endpoint Protection

Manager manualmente.
Para obter mais informações, consulte o artigo da base de conhecimento: Methods
for uninstalling Symantec Endpoint Protection (em inglês).
Consulte “Backup de logs e banco de dados” na página 807.
Consulte “Para desativar a replicação antes do upgrade” na página 181.
Consulte “Para ativar a replicação após o upgrade” na página 182.
Para aceitar o certificado de servidor autoassinado

(SSL) do Symantec Endpoint Protection Manager
Quando você instalar o Symantec Endpoint Protection Manager, um certificado
autoassinado das páginas que são processadas em um navegador será incluído
como parte da instalação. Quando você acessar primeiro estas páginas de um
console remoto, será necessário aceitar o certificado autoassinado para que as
páginas sejam exibidas.
Os certificados são armazenados separadamente para cada usuário. Cada conta
de administrador deve aceitar o certificado para cada local remoto do qual se
conectam ao servidor de gerenciamento.
Para que as instruções adicionem o certificado de segurança ao navegador da Web,
veja o artigo da base de conhecimento do Suporte Técnico da Symantec, How to
install the certificate for Symantec Protection Center or Endpoint Protection
Manager for Web console access (em inglês).
Consulte “Logon no console do Symantec Endpoint Protection Manager”
na página 103.
Logon no console do Symantec Endpoint Protection

Manager
Você pode fazer logon no console do Symantec Endpoint Protection Manager
depois de instalar o Symantec Endpoint Protection Manager. Você pode fazer
logon no console de duas maneiras:
■ Localmente, do computador no qual o servidor de gerenciamento está instalado.
■ Remotamente, de algum computador que cumprir os requisitos do sistema
para um console remoto e tiver a conectividade de rede ao servidor de
gerenciamento.
Você pode fazer logon no console da Web remoto ou no console Java remoto.
Logon no console do Symantec Endpoint Protection Manager
Para fazer logon remotamente, você precisa saber o endereço IP ou o nome do

host do computador em que o servidor de gerenciamento está instalado. Você
também deve assegurar que as opções da Internet em seu navegador da Web
permitam exibir o conteúdo do servidor no qual fará logon.
Quando você fizer logon remotamente, será possível executar as mesmas tarefas
que os administradores que fazem logon localmente. O que é possível exibir e
fazer através do console depende do tipo de administrador. A maioria dos
administradores em empresas pequenas fazem logon como administrador do
sistema.
Você também pode acessar as funções do relatório de um navegador da Web
autônomo conectado ao servidor de gerenciamento.
Nota: Se você instalar o console Java remoto com uma versão anterior do produto,
será necessário reinstalá-lo quando fizer upgrade para uma versão mais recente.
O console o desconecta após uma hora. Você pode aumentar este período de tempo.
Para fazer logon no console localmente
1 Vá para Iniciar > Programas > Symantec Endpoint Protection Manager >
2 Na caixa de diálogo de logon do Symantec Endpoint Protection Manager,
digite o nome de usuário (admin por padrão) e a senha que você configurou
durante a instalação.
Se o console tem mais de um domínio, clique em Opções> e digite o nome do
domínio.
3 Clique em Fazer logon.
Para fazer logon no console remotamente

1 Abra um navegador da Web suportado e digite o seguinte endereço na caixa
do endereço:
http://nome do host:9090
onde nome do host é o nome do host ou o endereço IP do servidor de
gerenciamento. Para obter uma lista de navegadores da Web suportados,
consulte o artigo da Base de conhecimento Release Notes and System
Requirements for all versions of Symantec Endpoint Protection and Symantec
Network Access Control (em inglês).
2 Na página de acesso da Web do console do Symantec Endpoint Protection
Manager, clique no tipo de console desejado.
Se você clicar em Console da Web do Symantec Endpoint Protection
Manager, uma página da Web segura será carregada. Assim é possível fazer
logon remotamente sem o uso do Java Runtime Environment (JRE).
Se clicar em Console do Symantec Endpoint Protection Manager, o
computador do qual você fizer logon deverá ter o JRE instalado para executar
o cliente de Java. Caso isso não ocorra, você deverá fazer o download e
instalá-lo. Siga os prompts para instalar o JRE e siga todas as outras instruções
fornecidas.
As duas outras opções não são soluções do gerenciamento remoto. A opção
Symantec Protection Center leva você à tela de logon do Symantec Protection
Center 1.0.0, que fornece dados limitados da geração de relatórios. Veja a
ajuda contextual para mais informações. A opção Certificado do Symantec
Endpoint Protection Manager alerta você para fazer o download o arquivo
de certificado do console de gerenciamento. Você pode então importar este
arquivo em seu navegador da Web se necessário.
3 Se uma mensagem do nome do host aparecer, clique em Sim.
Esta mensagem significa que o URL remoto do console que você especificou
não corresponde ao nome do certificado do Symantec Endpoint Protection
Manager. Esse problema ocorrerá se você fizer logon e especificar um endereço
IP, em vez do nome do computador do servidor de gerenciamento.
Se o aviso do certificado de segurança da página da Web aparecer, clique em
Continuar neste site (não recomendado) e adicione o certificado autoassinado.
4 Siga os avisos para concluir o processo de logon.

Dependendo do método de logon, pode ser necessário fornecer informações
adicionais. Por exemplo, se o console tiver vários domínios, clique em Opções
e forneça o nome do domínio no qual você quer fazer logon.
Quando você fizer logon pela primeira vez após a instalação, use o nome da
conta admin.
Você pode receber uma ou mais mensagens de aviso de segurança durante a
inicialização do console remoto. Caso receba, clique em Sim, Executar, Iniciar,
ou na opção equivalente, e continue até que o console seja exibido.
Talvez seja necessário aceitar o certificado autoassinado que o Symantec
Endpoint Protection Manager exige.
Consulte “Logon no relatório através de um navegador da Web autônomo”
na página 669.
Consulte “Para permitir ou bloquear o acesso aos consoles remotos do Symantec
Endpoint Protection Manager” na página 107.
Consulte “Para exibir uma mensagem aos administradores antes que façam logon
no Symantec Endpoint Protection Manager” na página 106.
Consulte “Sobre funções e direitos de acesso da conta de administrador”
na página 289.
Consulte “Para aceitar o certificado de servidor autoassinado (SSL) do Symantec
Consulte “Aumento do período de tempo para permanecer conectado ao console”
na página 110.
Para exibir uma mensagem aos administradores antes que façam logon
no Symantec Endpoint Protection Manager
Você pode criar e exibir uma mensagem personalizável que todos os
administradores verão antes de fazer logon no console. Você pode exibir qualquer
mensagem. A finalidade a mais comum é a de exibir um aviso legal para informar
aos administradores que eles estão a ponto de fazer logon em um computador
proprietário.
A mensagem é exibida no console após os administradores digitarem seu nome
de usuário e senha e clicarem em Logon. Depois de ler a mensagem, os
administradores podem reconhecer o aviso clicando em OK, que faz o logon dos
administradores. Se os administradores clicarem em Cancelar, o processo de logon
é cancelado e o administrador é levado de volta à janela de logon.
A mensagem também é exibida se o administrador executar as funções de geração

de relatórios em um navegador da Web independente que esteja conectado ao
Para exibir uma mensagem aos administradores antes que façam logon no Symantec
Endpoint Protection Manager
1 No console, clique em Administrador.
2 Na página Administrador, clique em Domínios.
3 Selecione o domínio ao qual adicionar um banner de logon.
4 Em Tarefas, clique em Editar propriedades de domínio.
5 Na guia Bannerdelogon, marque Forneçaumavisolegalaosadministradores
quando fizerem logon no Symantec Endpoint Protection Manager.
6 Digite o título e o texto do banner. Clique em Ajuda para obter mais
informações.
7 Clique em OK.
Consulte “Sobre domínios” na página 283.
Para permitir ou bloquear o acesso aos consoles remotos do Symantec

Por padrão, todos os consoles têm acesso permitido. Os administradores podem
fazer logon no console principal localmente ou remotamente de qualquer
computador na rede.
Você pode proteger um console de gerenciamento das conexões remotas negando
o acesso a determinados computadores.
Convém permitir ou negar o acesso dos seguintes tipos de usuários ou de
computadores:
■ Você deve negar o acesso a qualquer um na Internet. Se não, o console será
exposto a ataques da Internet.
■ Você deve negar o acesso aos administradores limitados que usam consoles
em uma rede diferente do que a rede que gerenciam.
■ Você deve conceder o acesso aos administradores do sistema.
■ Você deve permitir o acesso aos administradores de TI.
■ Você deve conceder acesso a computadores de laboratórios, como um
computador que seja usado para testes.
Além de conceder ou negar acesso globalmente, é possível especificar as exceções

por endereço IP. Se você conceder acesso a todos os consoles remotos, o servidor
de gerenciamento negará o acesso às exceções. Ao contrário, se você negar acesso
a todos os consoles remotos, concederá automaticamente acesso às exceções.
Quando criar uma exceção, o computador especificado deverá ter um endereço IP
estático. Você também pode criar uma exceção para um grupo de computadores
especificando uma máscara de sub-rede. Por exemplo, talvez você queira permitir
acesso em todas as áreas que administrar. Porém, convém negar o acesso a um
console localizado em uma área pública.
Para conceder ou negar o acesso a um console remoto
1 No console, clique em Administrador e, em seguida, em Servidores.
2 Em Servidores, selecione o servidor para o qual você quer mudar a permissão
de acesso remoto do console.
3 Em Tarefas, clique em Editar as propriedades do servidor.
4 Na guia Geral, clique em Acesso concedido ou em Acesso negado.
5 Se quiser especificar endereços IP de computadores que são isentos dessa
permissão de acesso do console, clique em Adicionar.
Os computadores que você adiciona transforma-se em exceções. Se você clicar
em Acesso concedido, os computadores que você especificar terão acesso
negado. Se você clicar em Acesso negado, os computadores que você
especificar terão o acesso concedido. Você pode criar uma exceção para um
único computador ou grupo de computadores.
6 Na caixa de diálogo Negar acesso ao console, clique em uma das seguintes
opções:
■ Único computador
Para um computador, digite o endereço IP.
■ Grupo de computadores
Para vários computadores, digite o endereço IP e a máscara de sub-rede
para o grupo.
7 Clique em OK.
Os computadores agora serão exibidos na lista de exceções. Para cada endereço
IP e máscara, será exibido o status de permissão.
Se você alterar o Acesso concedido para Acesso negado ou vice-versa, todas
as exceções serão alteradas. Se você tiver criado exceções para negar acesso,
agora elas terão acesso.
8 Clique em Editar tudo para alterar os endereços IP ou nomes do host desses

computadores exibidos na lista de exceções.
O Editor de endereço IP será exibido. O Editor de endereço IP é um editor
de texto que permite que você edite endereços IP e máscaras de sub-rede.
9 Clique em OK.
10 Quando você concluir o acréscimo de exceções à lista ou a edição da lista,
clique em OK.
Consulte “Adição de uma conta de administrador” na página 292.
na página 103.
Para desbloquear uma conta de administrador após várias tentativas

de logon
Para oferecer mais segurança, o Symantec Endpoint Protection Manager bloqueia
um administrador por um determinado período de tempo depois de um número
de tentativas malsucedidas de logon. Por padrão, o servidor de gerenciamento
bloqueia um administrador depois de cinco tentativas e por 15 minutos.
Se sua conta for bloqueada, você poderá executar uma das seguintes tarefas:
■ Se houver somente uma conta de administrador do sistema no servidor de
gerenciamento, aguarde 15 minutos e faça logon no Symantec Endpoint
Protection Manager.
A conta padrão do administrador do sistema é admin.
■ Faça logon no Symantec Endpoint Protection Manager usando uma conta com
o mesmo nível de acesso ou mais alto e desbloqueie sua conta.
na página 289.
Para desbloquear a conta de um administrador após várias tentativas de logon
2 Na página Administrador, clique em Administradores.
3 Em Administradores, selecione a conta de administrador bloqueada.
4 Em Tarefas, clique em Editar o administrador.
Aumento do período de tempo para permanecer conectado ao console
5 Na guia Geral, desmarque Bloquear a conta após o número especificado de

tentativas malsucedidas de logon.
Você também pode manter o recurso de bloqueio ativado, mas aumente o
número de tentativas malsucedidas de logon que são permitidas antes que
uma conta seja bloqueada. Você pode igualmente aumentar ou diminuir a
quantidade de tempo necessária para aguardar até que a conta seja
desbloqueada.
6 Clique em OK.
Consulte “Para enviar uma senha temporária a um administrador”
na página 304.
Consulte “Para mudar a senha de uma conta de administrador” na página 303.
Aumento do período de tempo para permanecer

conectado ao console
Para ajudar a proteger o console, o console exige que você digite novamente o
nome de usuário e a senha após uma hora. Você pode aumentar o período de tempo
limite de modo que não precise fazer logon no console de gerenciamento
constantemente.
Para aumentar o período de tempo para permanecer conectado ao console
2 Clique em Site local ou em um site remoto e clique em Editar propriedades
do site.
3 Na guia Geral, clique na lista suspensa Tempo limite do console e selecione
Nunca.
4 Clique em OK.
O que você pode fazer no console

O console do Symantec Endpoint Protection Manager fornece uma interface gráfica
do usuário para os administradores. Use o console para gerenciar políticas e
computadores, monitorar o status da proteção de endpoints, e criar e gerenciar
contas de administrador.
O console divide as funções e as tarefas que você executa por páginas.
Tabela 3-1 Páginas do console do Symantec Endpoint Protection Manager
Página Descrição
Início Exibe o status de segurança de sua rede.

Você pode realizar as tarefas a seguir através da página Início:
■ Obter uma contagem de vírus e outros riscos à segurança detectados.

■ Obter uma contagem de computadores desprotegidos em sua rede.
■ Obter uma contagem dos computadores que receberam definição de
vírus e outras atualizações de conteúdo.
■ Exibir o status da licença.
■ Ajustar preferências do console.
■ Obter as informações sobre a Internet e as ameaças à segurança mais
recentes.
Consulte “Configuração das preferências de relatório” na página 668.
Consulte “Verificação do status da licença” na página 125.
Monitores Monitore os logs de eventos que se referem ao Symantec Endpoint

Protection Manager e a seus computadores gerenciados.
Você pode fazer as tarefas a seguir na página Monitores:
■ Exibir gráficos da distribuição de riscos.

■ Exibir logs de eventos.
■ Exibir o status de comandos recentemente emitidos.
■ Exibir e criar notificações.
Consulte “Exibição e reconhecimento de notificações” na página 697.
Relatórios Executa relatórios para obter informações atualizadas sobre o computador

e a atividade da rede.
Você pode fazer as tarefas a seguir na página Relatórios:
■ Executar Relatórios rápidos.

■ Executar o Relatório de resumo diário.
■ Executar o Relatório de resumo semanal.

Página Descrição
Políticas Exibe as políticas de segurança que definem as configurações da

tecnologia de proteção.
Você pode fazer as tarefas a seguir na página Políticas:
■ Exibir e ajustar as configurações de proteção.

■ Criar, editar, copiar e excluir políticas de segurança.
■ Atribuir políticas de segurança a grupos de computadores.
■ Especificar configurações do LiveUpdate para computadores-cliente.
Consulte “Para executar as tarefas comuns a todas as políticas de

segurança” na página 310.
Clientes Gerencia computadores e grupos.

Você pode faz as seguintes tarefas nesta página:
■ Criar e excluir grupos.

■ Editar propriedades do grupo.
■ Exibir as políticas de segurança que são atribuídas aos grupos.
■ Executar comandos em grupos.
■ Implementar o software-cliente em computadores em sua rede.

Página Descrição
Admin Gerenciar configurações, licenças e contas de administrador do Symantec

Você pode fazer as tarefas a seguir na página Admin:
■ Aumentar o tempo de conexão ao Symantec Endpoint Protection

Manager.
■ Criar, editar e excluir contas de administrador.
■ Exibir e editar configurações de e-mail e de servidor proxy.
■ Importar e comprar licenças.
■ Ajustar o agendamento de LiveUpdate para o Symantec Endpoint
Protection Manager.
■ Fazer o download de atualizações de conteúdo do LiveUpdate.
■ Exibir o status do LiveUpdate e download recentes.
■ Gerenciar os domínios do Symantec Endpoint Protection Manager.
■ Adicionar, excluir e exportar pacotes de instalação do cliente.
Consulte “Aumento do período de tempo para permanecer conectado ao

console” na página 110.
Consulte “Para gerenciar domínios e contas de administrador”

na página 287.

Capítulo 4
Para gerenciar licenças do
produto
■ Licenciamento do Symantec Endpoint Protection
■ Sobre a licença do trialware
■ Sobre a compra de licenças
■ Para ativar ou importar sua licença de produto do Symantec Endpoint

Protection ou Symantec Network Access Control 12.1
■ Sobre upgrades e licenças de produtos
■ Sobre como renovar sua licença do Symantec Endpoint Protection
■ Verificação do status da licença
■ Sobre o licenciamento de regras de imposição
■ Backup dos arquivos de licença
■ Recuperação de uma licença excluída
■ Para apagar clientes obsoletos do banco de dados e tornar mais licenças

disponíveis
■ Sobre licenças de vários anos
■ Para licenciar um cliente não gerenciado

116 Para gerenciar licenças do produto
Licenciamento do Symantec Endpoint Protection

O Symantec Endpoint Protection exige uma licença paga após o período de teste
expirar ou quando sua licença atual expirar. Você pode aplicar uma licença
existente a um upgrade de produto.
Você usa o Assistente de Ativação de licença para ativar licenças novas ou
renovadas ou quando converter uma licença de teste a uma licença paga. Você
licencia o Symantec Endpoint Protection de acordo com o número de clientes do
Symantec Endpoint Protection para os quais você precisa proteger os endpoints
em seu site.
Depois que o Symantec Endpoint Protection Manager é instalado, você tem 60
dias para comprar estações suficientes para dar cobertura a todos os seus clientes
implementados.
Nota: Para administrar licenças, faça logon no Symantec Endpoint Protection

Manager com uma conta do administrador do sistema do servidor de
gerenciamento, como o administrador padrão da conta.
na página 289.
A Tabela 4-1 relaciona as tarefas que são necessárias para comprar, ativar e
gerenciar a licença do produto da Symantec.
Tabela 4-1 Tarefas de licenciamento
Tarefa Descrição
Verificar os requisitos da Entender a importância dos requisitos da licença para os

licença do produto computadores que você quer proteger. Uma licença
permite instalar o cliente do Symantec Endpoint
Protection em um número especificado de computadores.
Uma licença permite fazer o download de definições de
vírus, conteúdo de segurança e de atualizações do produto
do LiveUpdate.
Consulte “Requisitos da licença do produto” na página 85.
Consulte “Sobre o licenciamento de regras de imposição”

na página 126.
Consulte “Sobre licenças de vários anos” na página 129.

Para gerenciar licenças do produto 117
Tarefa Descrição
Comprar uma licença e salvá-la Você precisa comprar uma licença nas seguintes situações:
no servidor de gerenciamento
■ Você deseja comprar o Symantec Endpoint Protection.
■ Sua licença trialware expirou.
■ Sua licença paga expirou.
■ Sua licença foi implementada excessivamente.
■ Sua licença de upgrade do Symantec Endpoint
Protection 11.x expirou.
Para começar com a versão 12.1, você não precisa fazer o

download manualmente de um arquivo de licença.
Dependendo do método usado para comprar sua licença,
um arquivo de licença Symantec (.slf) ou um número de
série da licença será enviado a você por e-mail.
Consulte “Sobre a licença do trialware” na página 118.
Importar o arquivo de licença Use o Assistente de Ativação de licença no Symantec

e ativar a licença que você Endpoint Protection Manager para importar e ativar a
adquiriu licença do produto da Symantec.
Antes de ativar a licença, você deve ter:
■ Um número de série de licença da Symantec

■ Um arquivo de licença Symantec (.slf)
Você receberá um destes itens quando comprar uma

licença.
Consulte “Para ativar ou importar sua licença de produto

do Symantec Endpoint Protection ou Symantec Network
Access Control 12.1” na página 120.
Consulte “Sobre o Portal de licenciamento da Symantec”

na página 124.
Fazer backup de seus arquivos Faça o backup de seus arquivos de licença para manter os
de licença arquivos de licença caso o banco de dados ou o disco rígido
do computador sejam danificados.
Consulte “Backup dos arquivos de licença” na página 127.
Consulte “Recuperação de uma licença excluída”

na página 128.
Sobre a licença do trialware
Tarefa Descrição
Verificar as notificações As notificações de licença pré-configuradas alertam os

pré-configuradas da licença administradores sobre licenças expiradas e outros
problemas de licença.
Consulte “O que são os tipos de notificações e quando são
enviados?” na página 691.
Manter um controle de quando Verifique o status de cada licença que você importou no
suas licenças expiram e console para ver se precisa renovar ou comprar mais
renová-las licenças.
Consulte “Sobre como renovar sua licença do Symantec

Sobre a licença do trialware

A licença do trialware permite avaliar e testar o Symantec Endpoint Protection
em seu ambiente.
A licença do trialware aplica-se aos seguintes componentes do Symantec Endpoint
Protection:
■ Symantec Endpoint Protection Manager
■ Cliente do Symantec Endpoint Protection
■ Acesso ao conteúdo do LiveUpdate
Após a licença do trialware expirar, será necessário ativar uma licença paga para
manter a funcionalidade completa do produto. Você não precisa desinstalar a
versão com licença de teste para converter sua instalação do Symantec Endpoint
Protection em uma instalação inteiramente licenciada.
A licença de trialware expira 60 dias depois que você instala o produto.
Sobre a compra de licenças

Você precisa comprar uma licença nas seguintes situações:
■ Sua licença de teste expirou. O Symantec Endpoint Protection vem com uma
licença trialware que permite instalar e avaliar o produto em seu ambiente.
Sobre a compra de licenças
■ Sua licença atual está expirada.

■ Sua licença atual foi implementada excessivamente. A implementação em
excesso significa que você implementou mais instâncias do cliente ou do
Symantec Endpoint Protection Manager do que sua licença atual se permite.
■ Você decidirá sobre manter a nova versão depois que a avaliação do upgrade
do Symantec Endpoint Protection 11.x expirar. Se você usar o Symantec
Endpoint Protection 11.x, a Symantec enviará um e-mail com uma oferta de
upgrade que inclui uma avaliação gratuita do upgrade. Se decidir manter a
nova versão além do período de teste de 90 dias do upgrade, você precisará
comprar uma licença paga.
Dependendo de como comprar sua licença, você receberá um número de série da
licença do produto ou um arquivo de licença Symantec. Os arquivos de licença
são enviados para você por e-mail ou obtidos por download de um site seguro. O
arquivo de licença usa a extensão de arquivo .slf. Quando você receber o arquivo
de licença por e-mail, ele estará anexado ao e-mail como um arquivo.zip. Você
deverá extrair o arquivo .slf do arquivo .zip.
Salve o arquivo de licença em um computador que possa ser acessado pelo console
do Symantec Endpoint Protection Manager. Muitos usuários salvam a licença no
computador que hospeda o Symantec Endpoint Protection Manager. Muitos
usuários também salvam uma cópia da licença em um computador diferente ou
numa mídia de armazenamento removível por segurança.
Aviso: Para impedir que o arquivo de licença seja corrompido, não abra nem altere
o conteúdo do arquivo. No entanto, você pode copiar e armazenar a licença
conforme desejar.
A Tabela 4-2 mostra onde saber mais sobre a compra de licenças.
Tabela 4-2 Para comprar tarefas de licença
Tarefa Descrição
Determinar seus requisitos de Consulte “Requisitos da licença do produto”

licenciamento na página 85.
Consulte “Sobre o licenciamento de regras de imposição”
na página 126.
Para ativar ou importar sua licença de produto do Symantec Endpoint Protection ou Symantec Network Access Control
12.1
Tarefa Descrição
Descobrir onde comprar licenças Você pode comprar uma licença de produto da Symantec
do produto nos seguintes locais:
■ A loja online da Symantec:
http://store.symantec.com/
■ Seu revendedor preferido da Symantec:
Para encontrar um revendedor, use o Localizador de
parceiros
Para saber mais sobre os parceiros da Symantec, vá
para http://www.symantec.com/partners/index.jsp
■ A equipe de vendas da Symantec:
Visite Symantec Ordering Web site (em inglês) para
obter informações de contato de vendas.
Obter mais informações sobre Consulte “Sobre a licença do trialware” na página 118.
como fazer o upgrade da licença
trialware que acompanha o
Symantec Endpoint Protection
Obter ajuda na compra de http://customercare.symantec.com/

licenças ou saber mais sobre
licenças
Para ativar ou importar sua licença de produto do

Symantec Endpoint Protection ou Symantec Network
Access Control 12.1
Você pode usar o fluxo de trabalho do Assistente de Ativação de Licença para
executar as tarefas a seguir:
■ Para ativar uma nova licença paga.
■ Para converter uma licença de teste em licença paga.
■ Para renovar uma licença.
■ Para ativar uma licença após fazer upgrade de uma versão anterior, tal como
Symantec Endpoint Protection 11.x.
■ Para ativar uma licença paga adicional em resposta a um status da
implementação excessiva.
12.1
É possível importar e ativar um arquivo de licença que você tenha recebido das
seguintes fontes:
■ Portal de licenciamento da Symantec
■ Parceiro da Symantec ou revendedor preferido
■ Equipe de vendas da Symantec
■ Symantec Business Store
Nota: Você pode importar sua licença do Symantec Network Access Control 12.1
somente em um servidor de gerenciamento ativado do Symantec Network Access
Control.
Você pode iniciar o Assistente de Ativação de licença das seguintes maneiras:

■ A tela de apresentação do Symantec Endpoint Protection que aparece depois
de instalar o produto.
■ No menu Tarefas comuns, na página Início.
■ Na página Administrador do console do Symantec Endpoint Protection
Manager.
Se ativar ou importar sua licença da tela de apresentação ou do menu Tarefas
comuns, você poderá ignorar as três primeiras etapas a seguir.
Para ativar ou importar sua licença de produto do Symantec Endpoint Protection
ou do Symantec Network Access Control 12.1
1 No console do Symantec Endpoint Protection Manager, clique em
Administrador.
2 Na página Admin, clique em Licenças.
3 Em Tarefas, clique em Ativar licença.
4 No Assistente de Ativação de licença, selecione Ativar uma nova licença e
clique em Avançar. Se você não vir este painel, prossiga para a próxima etapa.
12.1
5 No painel Ativação de licença, selecione a opção que corresponde à sua

situação e clique em Avançar.
A seguinte tabela descreve cada opção:
Opção Descrição
Tenho um número de série Você pode receber um número de

série da licença quando ou você ou
seu Parceiro da Symantec
compraram a licença. Se você tiver
um número de série da licença,
selecione esta opção.
Se você for cliente do eFlex

(opções do Symantec Enterprise)
e tiver um número de série gerado
no eFlex, selecione Eu tenho um
Arquivo de licença Symantec.
Tenho um arquivo de licença Symantec (.slf) Na maioria dos casos, um Arquivo

de licença Symantec (arquivo .slf)
será enviado por um e-mail da
Symantec logo após a conclusão
do processo da compra. O arquivo
chega anexado ao e-mail de
notificação como um arquivo .zip.
Se você recebeu um arquivo .slf,
selecione esta opção.
Nota: É necessário extrair o
arquivo .slf do .zip antes de usá-lo
para ativar sua licença de produto.
Aviso: O arquivo .slf contém

informações exclusivas de sua
licença. Para evitar corromper o
arquivo de licença, não altere seu
conteúdo. Você pode copiar o
arquivo para seus registros.
Você pode encontrar informações sobre o eFlex no seguinte URL:

Enterprise Options (em inglês)
6 Execute uma destas tarefas com base na seleção que você fez na etapa anterior:
■ Se você selecionou Tenho um número de série, digite o número de série,
e clique em Enviar. Verifique as informações sobre a licença que você
adicionou e clique em Avançar.
12.1
■ Se você selecionou Eu tenho um Arquivo de licença Symantec (.slf), clique

em Adicionar arquivo. Procure e selecione o arquivo .slf que você extraiu
do arquivo .zip que foi anexado ao e-mail de notificação da Symantec.
Clique em Abrir e em Avançar.
7 Digite as informações sobre seus contatos técnicos e primários e sobre sua

empresa. Clique para reconhecer a indicação da divulgação, e em seguida
clique Enviar.
Se você forneceu estas informações quando comprou sua licença, este painel
não será exibido.
8 Clique em Concluir.
Você também pode exibir um vídeo de passo a passo do Symantec Endpoint
Protection.
Para exibir o vídeo de passo a passo
1 Acesse http://go.symantec.com/education_septc.
2 Na página vinculada, clique em Symantec Endpoint Protection 12.1.
3 Na lista expandida, clique em Symantec Endpoint Protection 12.1: Como
ativar a licença.
Consulte “Sobre a licença do trialware” na página 118.
Consulte “Sobre como renovar sua licença do Symantec Endpoint Protection”
na página 125.
na página 190.
Informações necessárias de contato de licenciamento

Durante o processo de ativação, você será solicitado a fornecer todas as
informações ausentes de contato da licença. As declarações de privacidade são
fornecidas no assistente que descreve como estas informações são usadas. Você
deve indicar que as condições de privacidade são aceitáveis para concluir o processo
de ativação.
A Tabela 4-3 inclui as informações de que você precisa.
12.1
Tabela 4-3 Licenciamento das informações de contato
Tipo de informações Descrição
Contato técnico Informações do contato para a pessoa responsável pelas

atividades técnicas relacionadas à instalação ou manutenção
de sua infraestrutura de segurança do endpoint. O nome, o
endereço de e-mail e o número de telefone de contato são
necessários.
Contato primário Informações de contato da pessoa que representa sua

empresa. O nome, o endereço de e-mail e o número de
telefone de contato são necessários.
Nota: Clique na caixa de seleção para indicar quando o
contato técnico e o contato principal forem a mesma pessoa.
Informações da empresa Inclui o nome da empresa, o local, o número de telefone e o

endereço de e-mail.
Sobre o Portal de licenciamento da Symantec

Você pode usar o Portal de licenciamento da Symantec para ativar licenças de
produto. Porém, é possível ativar licenças no console do Symantec Endpoint
Protection Manager, que é mais simples e rápido.
O Portal de licenciamento da Symantec está no seguinte local:
https://licensing.symantec.com
Mais informações sobre como usar o Portal de licenciamento da Symantec para
gerenciar licenças estão disponíveis no site de atendimento ao cliente da Symantec:
http://customersupport.symantec.com/
Nota: Você deve criar uma conta para usar o portal de licenciamento. Se você não
tiver uma conta do Portal de licenciamento da Symantec, um link será fornecido
na página principal para criar uma conta.

Sobre upgrades e licenças de produtos
Sobre upgrades e licenças de produtos

Quando a Symantec divulgar uma nova versão do Symantec Endpoint Protection,
você poderá aplicar sua licença ativa existente na nova versão. Você recebe uma
notificação de e-mail de que uma nova versão está disponível, incluindo instruções
para fazer o download da nova versão do Symantec Endpoint Protection.
Para obter mais informações sobre licenciamentos de upgrades de produtos,
consulte as Perguntas frequentes do Upgrade da versão no seguinte URL:
http://www.symantec.com/business/products/upgrades/faq/index.jsp
Consulte “Para fazer upgrade de uma nova versão do Symantec Endpoint
Protection” na página 168.
Sobre como renovar sua licença do Symantec

Endpoint Protection
Quando sua licença atual estiver prestes a expirar, o Symantec Endpoint Protection
Manager enviará notificações de vencimento da licença ao administrador do
Symantec Endpoint Protection. A Symantec recomenda que você renove sua
licença antes que ela expire.
Quando você renovar uma licença, o servidor de gerenciamento removerá e
substituirá a licença expirada por uma licença nova. Para comprar licenças de
renovação, visite a Loja online da Symantec ou contate seu parceiro da Symantec
ou revendedor de preferência da Symantec.
Caso você exclua acidentalmente uma licença, é possível recuperá-la pelo console
Consulte “Recuperação de uma licença excluída” na página 128.
Verificação do status da licença

Você pode descobrir se o servidor de gerenciamento usa uma licença trialware ou
uma licença paga. Também é possível obter as seguintes informações de cada
licença paga que você importou no console:
■ Número de série, contagem total de estações e data de expiração da licença
■ Número de estações válidas
Sobre o licenciamento de regras de imposição
■ Número de estações implementadas

■ Número de estações expiradas
■ Número de clientes com implementações excessivas
O status da licença não está disponível para uma licença trialware.
Para determinar se sua instalação usa uma licença paga ou uma licença trialware
2 Na página Admin, clique em Licenças.
Para verificar o status da licença de licenças pagas
1 No console, clique em Início.
2 Na página Início, clique em Detalhes de licenciamento.
Sobre o licenciamento de regras de imposição

As licenças do Symantec Endpoint Protection são aplicadas de acordo com as
seguintes regras:
Tabela 4-4 Licenciamento de regras de imposição
Onde aplica-se Regra
Termo da licença O termo da licença tem início na hora e na data de

ativação e vai até à meia-noite do último dia do termo
do licenciamento.
Se você tiver vários sites, a licença expirará no dia e na

hora do banco de dados do Symantec Endpoint
Protection Manager na extremidade esquerda.
Cobertura da licença: A licença do Symantec Endpoint Protection se aplica

componentes do Symantec aos clientes do Symantec Endpoint Protection. Por
Endpoint Protection exemplo, em uma rede com 50 endpoints, a licença deve
fornecer um mínimo de 50 estações. As instâncias do
Symantec Endpoint Protection Manager não exigem
uma licença.
Backup dos arquivos de licença
Onde aplica-se Regra
Cobertura da licença: sites e Uma licença de produto do Symantec Endpoint

domínios Protection é aplicada a uma instalação inteira
independentemente do número de sites replicados ou
de domínios que compõem a instalação. Por exemplo,
uma licença para 100 estações cobre uma instalação de
dois sites em que cada site tem 50 estações.
Se você não implementou a replicação, poderá

implementar o mesmo arquivo .slf em vários servidores
de gerenciamento do Symantec Endpoint Protection. O
número de clientes que geram relatórios aos servidores
de gerenciamento não deve exceder o número total de
estações licenciadas.
Cobertura da licença: plataformas As estações de licenciamento aplicam-se aos clientes

executados em qualquer plataforma, seja a plataforma
Windows ou Mac.
Cobertura da licença: produtos e As estações de licença se aplicam igualmente através

versões das versões do produto. Por exemplo, uma licença cobre
clientes das versões 11.x e 12.1.x dentro do mesmo site.
Backup dos arquivos de licença

A Symantec recomenda fazer backup de seus arquivos de licença. O backup dos
arquivos de licença mantém os arquivos de licença caso o banco de dados ou o
disco rígido do computador do console sejam danificados.
Por padrão, quando você importar o arquivo de licença usando o Assistente de
Ativação de licença, o Symantec Endpoint Protection Manager colocará uma cópia
do arquivo de licença no seguinte local: \\Diretório de instalação do Symantec
Endpoint Protection Manager\Inetpub\licença
Se tiver colocado os arquivos de licença obtidos originalmente por download no
local incorreto ou tiver recebido os arquivos por e-mail, você poderá fazer o
download dos arquivos novamente no site do Portal de licenciamento da Symantec.
Para fazer backup dos arquivos de licença
◆ Usando o Windows, copie os arquivos de licença .slf do diretório onde você
salvou os arquivos para outro computador de sua escolha.
Consulte o procedimento de sua empresa para fazer backup de arquivos.
Recuperação de uma licença excluída

Consulte “Sobre o Portal de licenciamento da Symantec” na página 124.
Recuperação de uma licença excluída

Se você excluir acidentalmente um arquivo de licença, poderá recuperá-lo no
console do Symantec Endpoint Protection Manager.
Para recuperar uma licença excluída
1 Na página Administrador do console do Symantec Endpoint Protection
Manager, clique em Licenças e, em Tarefas, clique em Recuperar licença
excluída.
2 No painel Recuperação de licença, verifique a licença excluída que você quer
recuperar e clique em Enviar.
Para apagar clientes obsoletos do banco de dados e

tornar mais licenças disponíveis
O Symantec Endpoint Protection Manager pode exibir incorretamente um status
de implementação excessivo devido a clientes obsoletos. Eles são entradas do
banco de dados para os clientes que não mais se comunicam com o Symantec
Endpoint Protection Manager no ambiente protegido. Os clientes podem se tornar
obsoletos por muitas razões, como quando você faz upgrade do sistema operacional,
desativa um computador ou muda a configuração de hardware.
Os clientes obsoletos afetam a licença do produto; portanto, é importante apagar
clientes obsoletos assim que forem criados. Se os relatórios da licença mostrarem
mais estações licenciadas do que aquelas implementadas, será necessário apagar
os clientes obsoletos do banco de dados. Por padrão, a limpeza ocorre a cada 30
dias. Reduza o intervalo entre os ciclos de limpeza para apagar mais rapidamente
os clientes obsoletos. Redefina o intervalo conforme a necessidade para que se
adéque a suas necessidades de longo prazo depois que o ciclo de apagamento for
concluído. Em infraestruturas de desktop virtual não persistentes (VDIs, Virtual
Desktop Infrastructures), você pode definir um período de tempo separado para
apagar os clientes não persistentes. Esta configuração apaga os clientes off-line
que não se conectaram durante o período de tempo definido. Os clientes não
persistentes off-line não afetam a contagem de licenças.
Sobre licenças de vários anos
Para apagar clientes obsoletos do banco de dados

1 No Symantec Endpoint Protection Manager, na página Administrador, clique
em Domínios.
2 Na árvore Domínios, selecione o domínio desejado.
4 Na guia Editar propriedades de domínio > Geral, mude o horário especificado
para excluir os clientes que não se conectaram no tempo padrão de 30 dias
para 1.
5 Clique em OK.
6 Aguarde 24 horas e reverta então as configurações para 30 dias ou outro
intervalo que satisfaça seus requisitos.
Sobre licenças de vários anos

Quando você comprar uma licença de vários anos, receberá um conjunto de
arquivos de licença igual ao número de anos durante os quais sua licença será
válida. Por exemplo, uma licença de três anos consiste em três arquivos de licença
separados. Quando você ativar uma licença de vários anos, importará todos os
arquivos de licença durante a mesma sessão de ativação. O Symantec Endpoint
Protection Manager mescla os arquivos de licença separados em uma única licença
ativada válida durante o período comprado.
Embora não seja recomendado, é possível ativar menos licenças do que aquelas
fornecidas no pacote completo. Neste caso, o Symantec Endpoint Protection
Manager mescla os arquivos e os aplica pela duração do arquivo de licença que
expirar por último. Por exemplo, uma licença de três anos ativada com apenas os
primeiros dois arquivos indica uma duração de apenas dois anos. Quando o terceiro
arquivo for ativado posteriormente, a duração completa da licença será indicada
exatamente como três anos. Em todos os casos, o número de estações permanece
consistente com o número de estações que você comprou.
Quando o Symantec Endpoint Protection Manager mesclar os arquivos, os arquivos
com menor duração serão excluídos e o arquivo com maior duração será mantido
para as funções de manutenção de licenças internas. Se você considerar que uma
licença foi excluída de modo inapropriado, recupere e reative a licença excluída.
Você pode ver os números de série da licença com duração mais curta que são
associados à licença ativa. Na página Administrador, clique em Licenças e depois
clique na licença ativada. As licenças associadas aparecerão na coluna Licenças
associadas.
Para licenciar um cliente não gerenciado
Consulte “Recuperação de uma licença excluída” na página 128.


Para ativar o envio dos dados de reputação de um cliente não gerenciado, você
deverá instalar uma licença paga no cliente não gerenciado.
1 Encontre e crie uma cópia de seu arquivo de licenciamento atual da Symantec
(.slf).
Use o mesmo arquivo que você usou para ativar sua licença no Symantec
2 No computador-cliente, coloque o arquivo de licença copiado na caixa de
entrada do cliente do Symantec Endpoint Protection.
■ Nos clientes executados em uma versão anterior ao Windows Vista, a caixa
de entrada é encontrada em: Unidade:\Documents and Settings\All
Users\Dados de aplicativos\Symantec\Symantec Endpoint
Protection\CurrentVersion\inbox
■ Em clientes que usam Vista ou uma versão posterior do Windows, a caixa
de entrada é encontrada em: Unidade:\ProgramData\Symantec\Symantec
Endpoint Protection\CurrentVersion\inbox\
Se o arquivo de licença for inválido ou a instalação da licença falhar, uma
pasta nomeada Inválido será criada e a licença inválida será colocada na
pasta. Se o arquivo for válido, ele será removido automaticamente da caixa
de entrada depois de processado.
3 Para verificar se você aplicou a licença corretamente, certifique-se de que
nenhum arquivo apareça na pasta da caixa de entrada.
4 Verifique se o arquivo .slf está em uma das seguintes pastas:
■ Para clientes executados em uma versão anterior ao Windows Vista:
Unidade:\Documents and Settings\All Users\Dados de
aplicativos\Symantec\Symantec Endpoint
Protection\identificação_silo\Data\Config
■ Para clientes executados no Vista ou em versões posteriores do Windows:
Unidade:\ProgramData\Symantec\Symantec Endpoint
Protection\identificação_silo\Data\Config
Você pode também incluir o arquivo .slf como parte de um pacote de

implementação de terceiros.
Consulte “Para instalar o software-cliente usando ferramentas de terceiros”

na página 1176.
Capítulo 5
Para instalar o cliente do
Symantec Endpoint
Protection
■ Preparação para a instalação do cliente
■ Sobre métodos de implementação do cliente
■ Para exportar pacotes de instalação do cliente
■ Sobre as configurações de instalação do cliente
■ Para configurar recursos do pacote de instalação do cliente
■ Para configurar pacotes do cliente para desinstalar software de segurança de

terceiros existente
■ Para reiniciar computadores-cliente
■ Sobre clientes gerenciados e não gerenciados
■ Instalação de um cliente não gerenciado
■ Para desinstalar o cliente Windows
■ Para desinstalar o cliente Mac
■ Para gerenciar pacotes de instalação do cliente
■ Para adicionar atualizações de pacotes de instalação do cliente

134 Para instalar o cliente do Symantec Endpoint Protection
Preparação para a instalação do cliente

A Tabela 5-1 relaciona as ações que você deve executar antes de poder instalar o
software-cliente nos computadores em sua rede.
Tabela 5-1 Preparação do computador-cliente
Ação Descrição
Identificar os Identifique os computadores nos quais deseja instalar o software-cliente. Todos os

computadores-cliente computadores devem executar um sistema operacional suportado.
Para verificar os requisitos do sistema mais atuais, consulte: Release Notes and System
Requirements for all versions of Symantec Endpoint Protection and Symantec Network
Access Control (em inglês)
Nota: A Symantec recomenda instalar também o cliente no computador que hospeda
o Symantec Endpoint Protection Manager.
Identificar grupos de Identifique os grupos de computadores a que você quer que os clientes pertençam.
computadores Você pode agrupar os clientes baseados no tipo de computador, para estar de acordo
com sua organização corporativa ou no nível de segurança necessário. Você pode
criar estes grupos se ainda não o tiver feito. Você também pode importar uma estrutura
de grupo existente, como uma estrutura do Active Directory.

Consulte “Atribuição de clientes a grupos antes de instalar o software-cliente”

na página 232.
Para instalar o cliente do Symantec Endpoint Protection 135
Ação Descrição
Preparar computadores para Prepare os computadores para a implementação do cliente remoto.

a implementação remota
■ Modifique as configurações de firewall para permitir a comunicação entre os
componentes do Symantec Endpoint Protection.
■ Desinstale qualquer software de proteção antivírus legado da Symantec se a
migração não for suportada.
Consulte “Caminhos de migração suportados e não suportados no Symantec
Consulte a documentação da Symantec de seu software de proteção antivírus
legado da Symantec para obter informações sobre a desinstalação.
Nota: Se seus usuários não tiverem direitos administrativos para seus computadores,
instale remotamente o software-cliente usando Instalação remota por envio. A
instalação remota por envio exige que você incorpore as credenciais que têm direitos
administrativos locais para os computadores.

na página 144.
Implementar o Implemente o software-cliente usando qualquer um dos três métodos disponíveis.

software-cliente Você também pode exportar um pacote de cliente personalizado antes de
implementá-lo.
Consulte “Para exportar pacotes de instalação do cliente” na página 149.
■ Você decide que recursos instalar nos computadores-cliente.

Consulte “Sobre as configurações de instalação do cliente” na página 152.
na página 153.
■ Você pode escolher desinstalar automaticamente o software de segurança de
terceiros existente ao criar ou implementar um pacote de instalação do cliente.
Caso contrário, você deverá desinstalar o software de segurança de terceiros antes
da implementação.
Nota: Alguns programas podem ter rotinas especiais de desinstalação: Consulte
a documentação do software de terceiros.
Ação Descrição
Verificar o status da Você deve confirmar o status dos clientes no console. Os clientes gerenciados podem
instalação não aparecer no console até depois de serem reiniciados.
Você pode executar etapas adicionais para proteger computadores não gerenciados
e otimizar o desempenho da instalação do Symantec Endpoint Protection.
Consulte “Sobre clientes gerenciados e não gerenciados” na página 158.
Consulte “Instalação de um cliente não gerenciado” na página 159.

na página 54.
Preparação dos sistemas operacionais Windows para implementação

remota
A Tabela 5-2 relaciona as tarefas associadas que você deve fazer em sistemas
operacionais do computador-cliente para instalar com êxito o cliente remotamente.
Tabela 5-2 Ações da implementação remota
Sistema operacional Tarefas
Preparar os servidores dos Os servidores dos computadores Windows XP e do Windows Server 2003 que são
computadores Windows XP instalados nos grupos de trabalho não aceitam a implementação remota por padrão.
ou do Windows Server 2003 Para permitir a implementação remota, desative o compartilhamento simples de
que são instalados nos arquivos.
grupos de trabalho Nota: Esta limitação não se aplica aos computadores que fazem parte de um domínio
do Windows.
Você também pode precisar executar as tarefas a seguir:
■ Assegure-se de que a conta de administrador não tenha uma senha vazia.

■ Desative o firewall do Windows ou permita as portas necessárias para uma
comunicação entre o Symantec Endpoint Protection e o Symantec Endpoint
Protection Manager.

Sistema operacional Tarefas
Preparar computadores O controle de conta de usuário do Windows impede contas administrativas locais de
Windows Vista, Windows 7 acessar remotamente compartilhamentos administrativos remotos como C$ e Admin$.
ou Windows Server 2008 Não será necessário desativar inteiramente o Controle de conta de usuário nos
computadores-cliente durante a implementação remota se você desativar a chave do
registro LocalAccountTokenFilterPolicy. Para obter mais informações, visite o seguinte
URL:
http://support.microsoft.com/kb/951016
Para enviar o software-cliente remotamente em computadores, será necessário usar

uma conta de administrador do domínio se o computador-cliente fizer parte de um
domínio do Active Directory. A implementação remota exige também privilégios de
administrador para instalar.
Execute as tarefas a seguir:
■ Desative o Assistente de Compartilhamento.

■ Ative a descoberta de rede usando a central de rede e compartilhamento.
■ Ative a conta do administrador integrado e atribua uma senha à conta.
■ Verifique se a conta tem privilégios de administrador.
Preparar computadores Antes de implementar, execute as tarefas a seguir:

Windows 8 ou Windows
■ Desative o Firewall do Windows.
Server 2012
■ Crie a chave do registro LocalAccountTokenFilterPolicy. Para obter mais
informações, visite o seguinte URL:
http://support.microsoft.com/kb/942817
■ Ative e inicie o serviço Remote Registry.
Consulte sua documentação do Windows para obter mais informações.

Sobre firewalls e portas de comunicação

Se seu Symantec Endpoint Protection Manager e os computadores-cliente
executarem software de firewall, será necessário abrir determinadas portas para
comunicação entre o servidor de gerenciamento e os clientes. Consulte sua
documentação do produto de software do firewall para obter instruções sobre
portas abertas ou permitir que os aplicativos usem portas.
Aviso: O firewall no cliente do Symantec Endpoint Protection é desativado por

padrão na instalação inicial. Para garantir a proteção de firewall, deixe o firewall
do Windows ativado nos clientes até que o software esteja instalado e o cliente
tenha sido reiniciado. O firewall do cliente do Symantec Endpoint Protection
desativará automaticamente o firewall do Windows quando o computador for
reiniciado.
Tabela 5-3 Portas para a instalação e comunicação de clientes e servidores
Função Componente Protocolo e porta
Implementação de Servidor de gerenciamento e TCP 139 e 445 em clientes e servidores de gerenciamento

envio cliente
UDP 137 e 138 em clientes e servidores de gerenciamento
Portas TCP efêmeras em clientes e servidores de

gerenciamento
Comunicação do Servidor de gerenciamento e TCP 2967 em todos os dispositivos

Provedor de Provedor de atualizações de Nota: Você pode alterar esta porta padrão.
atualizações de grupo grupo
Provedor de atualizações de
grupo e clientes
Comunicação geral Servidor de gerenciamento e Para servidores de gerenciamento e clientes:

cliente
■ TCP 8014 para servidores de gerenciamento, por
padrão.
Você pode alterar a TCP 8014 (HTTP) para TCP 443
(HTTPS).
■ Porta TCP efêmera nos clientes.
Para servidores e consoles de gerenciamento remoto:
■ TCP 8443 para servidores e console de gerenciamento

remoto
■ Portas TCP efêmeras e 9090 nos consoles
■ TCP 8445 para consoles remotos da geração de
relatórios
Comunicação de De site para site entre os TCP 8443 entre servidores de bancos de dados
replicação servidores de bancos de dados
Instalação remota do Servidor de gerenciamento e TCP 9090 em servidores de gerenciamento remoto

console do Symantec console do servidor de
Portas TCP efêmeras nos consoles remotos
Endpoint Protection gerenciamento remoto
Manager Nota: Você pode alterar a porta.
Função Componente Protocolo e porta
Serviços da Web Monitoramento remoto e TCP 8446 para serviços Web de RMM
Gerenciamento (RMM, Remote
TCP 8444 para serviços Web do Symantec Protection
Monitoring and Management)
Center 2.x
Symantec Protection Center 2.x
Comunicação externa Servidores remotos Microsoft TCP 1433 nos servidores Microsoft SQL remotos
do banco de dados SQL e servidor de gerenciamento
Portas TCP efêmeras em servidores de gerenciamento
Nota: A porta 1433 é o padrão.
Comunicação do Servidor de gerenciamento e TCP 1812 em servidores de gerenciamento

Symantec Network Enforcer
Portas TCP efêmeras nos enforcers
Access Control
Enforcer Nota: Servidores RADIUS usam a porta 1812. Não é
possível instalar o servidor de gerenciamento no mesmo
servidor. Você pode não alterar a porta no servidor de
gerenciamento.
Autenticação de cliente pelo Enforcer no UDP 39.999
Migração e Symantec Endpoint Protection Portas efêmeras TCP 139, TCP 445, TCP e UDP 137
implementação do Manager e servidor de
cliente gerenciamento Symantec legado
LiveUpdate Cliente e servidor LiveUpdate Portas TCP efêmeras nos clientes
TCP 80 nos servidores do LiveUpdate
■ Windows Vista, Windows 7, Windows 8, Windows Server 2008 e Windows

Server 2012 contêm um firewall ativado por padrão. Se o firewall estiver
ativado, talvez você não possa instalar ou implementar remotamente o
software-cliente. Se você tiver problemas ao implementar o cliente nos
computadores que executam estes sistemas operacionais, configure seus
firewalls para que permitam o tráfego necessário.
■ Se você tiver o software de proteção antivírus legado da Symantec em seu
ambiente, abra a porta 2967 de TCP e de UDP, se já não estiverem abertas.
■ Se você decidir usar o firewall do Windows após a implementação, será
necessário configurá-lo para permitir o compartilhamento de arquivos e de
impressoras (porta 445).
Para obter mais informações sobre como configurar definições do firewall do
Windows, consulte a documentação do Windows.
Consulte “Como ativar ou desativar uma política de firewall” na página 458.
Sobre métodos de implementação do cliente


Implemente o cliente do Symantec Endpoint Protection usando o Assistente de
Implementação de Cliente. Você implementa o software-cliente depois que o
Symantec Endpoint Protection Manager estiver instalado.
Antes de executar o Assistente de Implementação de cliente, você deve identificar
as configurações da instalação do cliente.
A Tabela 5-4 exibe os métodos de implementação do cliente que você pode usar.
Tabela 5-4 Opções de implementação do cliente
Opções Descrição
Link da Web e e-mail Os usuários recebem uma mensagem de e-mail que contém
um link para fazer o download e instalar o software-cliente.
Os usuários devem ter direitos de administrador locais de
seus computadores. A Instalação de link da Web e notificação
de e-mail é o método de implementação recomendado.
Consulte “Para implementar clientes usando e-mail e link

da Web” na página 142.
Instalação remota por envio A instalação remota por envio permite controlar a instalação
do cliente. A Instalação remota por envio instala
remotamente o software-cliente nos computadores
especificados. A instalação inicia automaticamente.
Consulte “Preparação dos sistemas operacionais Windows

para implementação remota” na página 136.
Consulte “Para implementar clientes usando a instalação

remota por envio” na página 144.
Salvar pacote A instalação personalizada cria um pacote de instalação

executável que você salvar no servidor de gerenciamento e
distribuir aos computadores-cliente. Os usuários executam
um arquivo setup.exe para instalar o software-cliente.
Consulte “Para implementar clientes usando a opção Salvar

pacote” na página 147.
Consulte “Quais recursos deve você instalar no cliente?” na página 141.

Quais recursos deve você instalar no cliente?

Quando você implementar o cliente usando o Assistente de Implementação de
cliente, será necessário escolher o conjunto de recursos. O conjunto de recursos
inclui vários componentes de proteção que são instalados no cliente. É possível
instalar um conjunto de recursos padrão ou selecionar componentes individuais.
Decida o conjunto de recursos que você instalará com base na função dos
computadores e no nível de segurança ou de desempenho exigidos pelos
computadores.
A Tabela 5-5 relaciona as tecnologias de proteção que devem ser instaladas nos
computadores-cliente com base em suas funções.
Tabela 5-5 Conjunto de recursos recomendados por função do computador
Função de computador-cliente Conjunto de recursos recomendados
Estações de trabalho, Proteção completa para clientes

computadores desktop e laptop
Inclui todas as tecnologias de proteção. Apropriada para
laptops, estações de trabalho e desktops. Inclui a
Proteção de download completa e a proteção de
protocolo de correio.
Nota: Sempre que possível, use a Proteção completa
para obter o máximo de segurança.
Servidores Proteção completa para servidores
Inclui todas as tecnologias de proteção, exceto a

proteção de protocolo de e-mail. Apropriada para todos
os servidores que exigem segurança máxima da rede.
Servidores com alta taxa de Proteção básica para servidores

transferência
Inclui a Proteção contra vírus e spyware e a Proteção
de download. Apropriada para todos os servidores que
exigem desempenho máximo da rede.

na página 153.
Para implementar clientes usando e-mail e link da Web

O método de e-mail e link da Web cria um URL para cada pacote de instalação do
cliente. Envie o link aos usuários em um e-mail ou disponibilize-o em uma
localização de rede.
O link da Web e de e-mail executa as seguintes ações:
■ Seleciona e configura os pacotes de instalação do cliente.
Os pacotes de instalação do cliente são criados para computadores Windows
de 32 bits e 64 bits. Os pacotes de instalação são armazenados no computador
que executa o Symantec Endpoint Protection Manager.
■ Notifica os usuários de computador sobre os pacotes de instalação do cliente.
Uma mensagem de e-mail é enviada aos usuários de computador selecionados.
A mensagem de e-mail contém instruções para fazer o download e instalar os
pacotes de instalação do cliente. Os usuários seguem as instruções para instalar
o software-cliente.
O pacote de instalação do cliente Mac é exportado automaticamente como um
arquivo morto .zip. Para expandir o pacote e extrair a pasta que contém o arquivo
do instalador da Apple (.pkg) e a pasta Additional Resources,, use o recurso
Archive Utility do Mac ou o comando ditto. Você não pode usar o comando
unzip do Mac, um aplicativo de terceiros, nem qualquer aplicativo do Windows
para expandir este arquivo. Você deve manter o arquivo .pkg e a pasta Additional
Resources juntos para concluir com êxito a instalação.
Antes de implementar o pacote de instalação do cliente com e-mail, certifique-se

de configurar corretamente a conexão do servidor de gerenciamento ao servidor
de e-mail.
Inicie a implementação do cliente através do console.
Para implementar os clientes usando um e-mail e link da Web

1 No console, na página Início, no menu Tarefas comuns, selecione Instalar
cliente de proteção nos computadores.
2 Em Assistente de Implementação de Cliente, clique em Nova implementação
de pacote para criar um pacote de instalação novo e clique novamente em
Avançar.
A opção Implementação de pacote existente permite implementar os pacotes
que foram exportados previamente, mas você pode somente usar a Instalação
remota por envio com esta opção.
A opção Implementação de pacote de atualização de comunicação permite
atualizar configurações de uma comunicação do cliente nos computadores
que já têm o cliente instalado. Use esta opção para converter um cliente não
gerenciado a um cliente gerenciado. Você pode somente usar a Instalação
remota por envio ou Salvar pacote com esta opção.
na página 144.
Consulte “Para implementar clientes usando a opção Salvar pacote”
na página 147.
Consulte “Para restaurar as comunicações cliente-servidor usando um pacote
de instalação do cliente” na página 761.
3 Para um novo pacote, faça seleções de Pacotes de instalação, Grupo, Instalar
conjuntos de recursos, Configurações da instalação, Opções de conteúdo e
Modo de preferência. Clique em Avançar.
Nota: Para desinstalar software de segurança de terceiros no cliente, você

deve especificar as configurações personalizadas de instalação do cliente
antes de iniciar o Assistente de Implementação de Cliente. Para verificar qual
software de terceiros é removido pelo pacote do cliente, consulte o seguinte
artigo da base de conhecimento: About the third-party security software
removal feature in Symantec Endpoint Protection 12.1 (em inglês).

4 Clique em Link da Web e e-mail e em Avançar.
5 No painel Destinatários e mensagem de e-mail, especifique os destinatários

do e-mail e o assunto.
Para especificar vários destinatários de e-mail, digite uma vírgula após cada
endereço de e-mail. Um administrador de sistema do console de gerenciamento
recebe automaticamente uma cópia da mensagem.
Você pode aceitar o assunto e o corpo padrão do e-mail ou editar o texto. Você
também pode copiar o URL e colá-lo em um local online conveniente, como
uma página de intranet.
Para criar o pacote e fornecer o link por e-mail, clique em Avançar e em
Concluir.
6 Certifique-se de que os usuários de computador tenham recebido a mensagem
de e-mail e instalado o software-cliente.
Os computadores-cliente podem não aparecer dentro do console de
gerenciamento até depois de serem reiniciados. Dependendo das configurações
de reinicialização do cliente implementado, você ou os usuários do computador
talvez precisem reiniciar os computadores-cliente.
Consulte “Para exibir o status de computadores-cliente implementados”
na página 666.
Consulte “Estabelecimento de comunicação entre o servidor de gerenciamento e
os servidores de e-mail” na página 696.
Para implementar clientes usando a instalação remota por envio

A instalação remota por envio permite controlar a instalação do cliente. A
instalação remota por envio instala remotamente o software-cliente nos
computadores especificados. O uso da opção Instalação remota por envio exige o
conhecimento de como procurar redes para localizar computadores pelo endereço
IP ou por nomes de computador. Quando o pacote for enviado, a instalação será
executada automaticamente e não dependerá do usuário do computador para
começá-la.
A instalação remota por envio executa as seguintes ações:
■ Seleciona um pacote de instalação existente do cliente ou cria um pacote de
instalação novo.
■ Para novos pacotes de instalação, define as configurações de implementação

do pacote.
■ Encontra os computadores em sua rede.
O envio remoto localiza computadores específicos para os quais você fornece
uma faixa ou um número IP, ou todos os computadores que são visíveis
procurando na rede.
■ Instala remotamente o software-cliente nos computadores que você especificar.
A instalação começará automaticamente nos computadores quando o pacote
for enviado com êxito.
O cliente Mac não pode ser implementado usando a Instalação remota por envio.
Para implementar clientes usando a instalação remota por envio
1 No console, na página Início, no menu Tarefas comuns, clique em Instalar
2 Em Assistente de Implementação de Cliente, execute uma das seguintes
tarefas:
■ Clique em Nova implementação de pacote para criar um pacote de
instalação novo e clique em Avançar.
■ Clique em Implementação de pacote existente para usar um pacote criado
previamente e clique em Procurar para encontrar o pacote para
implementar.
O Assistente de Implementação de cliente faz o upload do pacote e
direciona-o ao painel Seleção de computador (etapa 5).
■ Clique em Implementação de pacote de atualização de comunicação se
quiser atualizar configurações de uma comunicação do cliente nos
computadores que já têm o cliente instalado.
Use esta opção para converter um cliente não gerenciado a um cliente
gerenciado.
3 Para um pacote novo, no painel Selecionar grupo e conjuntos de recursos

de instalação, faça seleções de Pacotes de instalação, de Grupo, de Instalar
conjuntos de recursos, de Configurações da instalação, de Opções de
conteúdo e de Modo de preferência. Clique em Avançar.
Para desinstalar software de segurança de terceiros no cliente, especifique
as configurações personalizadas de instalação do cliente antes de iniciar o
Assistente de Implementação de cliente. Você pode também usar o pacote de
instalação de um cliente existente que esteja configurado para ativar esta
função. Para visualizar o software de terceiros removido pelo pacote do cliente,
consulte o seguinte artigo da base de conhecimento: About the Security
Software Removal feature in Symantec Endpoint Protection 12.1 (em inglês).
4 Clique em Instalação remota por envio e em Avançar.
5 No painel Seleção de computador, encontre os computadores para receber
o software usando um dos seguintes métodos:
■ Para procurar a rede para computadores, clique em Procurar rede.
■ Para encontrar computadores pelo endereço IP ou pelo nome do
computador, clique em Pesquisar rede e em Encontrar computadores.
Você pode definir um valor de tempo limite para restringir a quantidade de
tempo que o servidor utiliza em uma pesquisa.
6 Clique em > > para adicionar os computadores à lista e autenticá-los com o
domínio ou grupo de trabalho se o assistente solicitar.
A Instalação remota por envio exige privilégios elevados.
Se o computador-cliente fizer parte de um domínio do Active Directory, você
deverá usar uma conta de administrador de domínio.
7 Clique em Avançar e em Enviar para enviar o software-cliente aos
computadores selecionados.
Quando o painel Resumo da implementação indicar uma implementação
bem-sucedida, a instalação começará automaticamente nos
A instalação leva vários minutos para ser concluída.
8 Clique em Avançar e em Concluir.

9 Confirme o status dos clientes implementados na página Clientes.
na página 666.
Para implementar clientes usando a opção Salvar pacote

A opção Salvar pacote cria os pacotes de instalação que você pode instalar
manualmente, com software de implementação de terceiros ou com um script de
login.
A opção Salvar pacote executa as seguintes ações:
■ Cria um pacote de instalação de 32 bits ou de 64 bits.
O pacote de instalação pode abranger um arquivo setup.exe ou uma coleção
de arquivos que incluem um arquivo setup.exe. Frequentemente, os usuários
de computador consideram um arquivo setup.exe mais fácil de usar.
■ Salva o pacote de instalação em um diretório no computador que executa o
Você deve fornecer o pacote de instalação aos usuários de computador. Os usuários
executam o arquivo setup.exe para instalar o software-cliente. Você ou os usuários
de computador devem reiniciar os computadores após a instalação. Como
alternativa, você pode usar o software de implementação de terceiros para executar
a instalação.
O pacote de instalação do cliente Mac é exportado automaticamente como um
arquivo morto .zip. Para expandir o pacote e extrair a pasta que contém o arquivo
do instalador da Apple (.pkg) e a pasta Additional Resources,, use o recurso
Archive Utility do Mac ou o comando ditto. Você não pode usar o comando
unzip do Mac, um aplicativo de terceiros, nem qualquer aplicativo do Windows

para expandir este arquivo. Você deve manter o arquivo .pkg e a pasta Additional
Resources juntos para concluir com êxito a instalação.

Para implementar clientes usando a opção Salvar pacote
1 No console, na página Início, no menu Tarefas comuns, clique em Instalar
2 Em Assistente de Implementação de Cliente, clique em Nova implementação
de pacote para configurar um pacote de instalação novo e clique novamente
em Avançar.
A opção Implementação de pacote existente permite implementar os pacotes
que foram exportados previamente, mas você pode somente usar a Instalação
remota por envio com esta opção.
A opção Implementação de pacote de atualização de comunicação permite
atualizar configurações de uma comunicação do cliente nos computadores
que já têm o cliente instalado. Use esta opção para converter um cliente não
gerenciado a um cliente gerenciado. Clique em Avançar para selecionar o
grupo de clientes em que o pacote é instalado.
3 Para um novo pacote, faça seleções de Pacotes de instalação, Grupo, Instalar
conjuntos de recursos, Configurações da instalação, Opções de conteúdo e
Modo de preferência. Clique em Avançar.
Nota: Para desinstalar software de segurança de terceiros no cliente, você

deve especificar as configurações personalizadas de instalação do cliente
antes de iniciar o Assistente de Implementação de Cliente. Para visualizar o
software de terceiros removido pelo pacote do cliente, consulte o seguinte
artigo da base de conhecimento: About the Security Software Removal feature
in Symantec Endpoint Protection 12.1 (em inglês).

4 Clique em Salvar pacote e em Avançar.
Para exportar pacotes de instalação do cliente
5 Clique em Procurar e especifique a pasta para receber o pacote.

Marque Arquivo .exe único (padrão) ou Separar arquivos (obrigatório para
.MSI) e clique em Avançar.
Nota: Use a opção Único arquivo .exe, a menos que você precise de arquivos
separados para um programa de implementação de terceiros.
6 Analise o resumo das configurações, clique em Avançar e em Concluir.

7 Forneça o pacote de instalação personalizada aos usuários de computador.
Por exemplo, você pode salvar o pacote de instalação em um local da rede
compartilhada ou enviar por e-mail o pacote de instalação aos usuários do
computador. Você também pode usar um programa de terceiros para
implementar o pacote.
8 Confirme que os usuários de computador receberam e instalaram o
software-cliente e confirme o status dos clientes implementados.
na página 666.
na página 144.

Convém exportar um pacote de instalação do cliente se você quiser usar um sistema
de distribuição de terceiros ou um cliente não gerenciado com políticas
personalizadas.
Quando você exportar pacotes de software-cliente, serão criados arquivos de
instalação do cliente para a implementação. Ao exportar pacotes, é preciso procurar
um diretório que conterá os pacotes exportados. Caso especifique um diretório
inexistente, ele será automaticamente criado. O processo de exportação cria

subdiretórios com nomes descritivos no diretório e coloca os arquivos de instalação
nos subdiretórios.
Por exemplo, se você criar um pacote de instalação para um grupo chamado Meu
grupo abaixo de Minha empresa, um diretório chamado Meu grupo_Minha
empresa será criado. Esse diretório conterá o pacote de instalação exportado.
Nota: Essa convenção de denominação não faz a distinção entre pacotes de

instalação do cliente do Symantec Endpoint Protection e do Symantec Network
Access Control. O nome de um pacote exportado para um único executável é
setup.exe para o Symantec Endpoint Protection e o Symantec Network Access
Control. Portanto, certifique-se de criar uma estrutura de diretórios que permita
distinguir entre os arquivos de instalação do Symantec Endpoint Protection e do
Symantec Network Access Control.
Você deve decidir se um pacote de instalação será criado para clientes gerenciados
ou não gerenciados. Ambos os tipos de pacotes têm os recursos, as políticas e as
configurações que você atribui. Se você criar um pacote para clientes gerenciados,
será possível gerenciá-los com o console do Symantec Endpoint Protection
Manager. Se você criar um pacote para clientes não gerenciados, não poderá
gerenciá-los do console. Você pode converter um cliente não gerenciado a um
cliente gerenciado em qualquer momento com Implementação de pacote de
atualização de comunicação com Assistente de Implementação de cliente.
Nota: Se você exportar pacotes de instalação do cliente através de um console

remoto, os pacotes serão criados no computador no qual o console remoto for
executado. Além disso, se vários domínios forem usados, exporte os pacotes para
cada domínio ou eles não aparecerão como disponíveis para os grupos de domínio.
Após você exportar um ou mais pacotes de instalação, implemente o pacote de

instalação nos computadores-cliente.
Nota: Naqueles computadores que executam as versões de 64 bits de sistemas

operacionais da Microsoft Windows, você implementa os pacotes de instalação
do cliente com a opção silenciosa ou sem a intervenção do usuário. Estes sistemas
operacionais de 64 bits incluem versões do Windows Vista, Windows 7, Windows
8, Windows Server 2008 (inclusive R2) e servidor Windows 2012. Use somente a
opção silenciosa para os pacotes que você implementa nos computadores que
executam as versões de 32 bits do Windows Vista, Windows 7, Windows 8 e
Windows Server 2008. Quando uma implementação silenciosa for usada, os
aplicativos ligados ao Symantec Endpoint Protection, tal como o Microsoft Outlook
e o Lotus Notes, deverão ser reiniciados.

1 No console, clique em Admin e, em seguida, clique em Instalar pacotes.
2 Em Instalar pacotes, clique em Pacotes de instalação do cliente.
3 No painel Pacote de instalação do cliente, em Nome do pacote, clique com
o botão direito do mouse no pacote a ser exportado e clique em seguida em
Exportar.
4 Na caixa de diálogo Exportar pacote, ao lado da caixa de texto Exportar pasta,
procure e selecione o diretório que deverá conter o pacote exportado e clique
em OK.
Nota: Diretórios com caracteres de dois bytes ou ASCII de alto valor não são
suportados e são bloqueados.
5 Na caixa de diálogo Exportar pacote, defina as demais opções de acordo com

seus objetivos de instalação.
Para obter detalhes sobre a configuração de outras opções nessa caixa de
diálogo, clique em Ajuda.
6 Clique em OK.
Consulte “Para gerenciar pacotes de instalação do cliente” na página 162.
Consulte “Para restaurar as comunicações cliente-servidor usando um pacote de
instalação do cliente” na página 761.
Sobre as configurações de instalação do cliente
Sobre as configurações de instalação do cliente

O Assistente de Implementação de cliente solicita que você especifique o nome
de grupo e as tecnologias de proteção que você quer instalar no computador-cliente.
As tecnologias de proteção são agrupadas nos conjuntos de recursos. Você pode
especificar quais conjuntos de recursos estarão ativos no computador-cliente.
Você pode atribuir conjuntos de recursos de acordo com o grupo de clientes.
A Tabela 5-6 define os componentes nos conjuntos de recursos que você pode
instalar no computador-cliente.
Tabela 5-6 Conjuntos de recursos
Conjunto de recursos Descrição
Proteção de download básica ■ Proteção contra vírus e spyware

e contra vírus e spyware Instala os recursos principais contra vírus e spyware e proteção de download.
Inclui a verificação em tempo real do arquivo Auto-Protect e a verificação manual
do arquivo.
■ Proteção de download avançada
Permite o controle total sobre a agressividade da detecção. O Download Insight
detectará um arquivo malicioso ou potencialmente malicioso quando um usuário
tentar fazer download do arquivo de um navegador ou de um cliente de
mensagem de texto. O Download Insight usa as informações de reputação para
inspecionar arquivos obtidos por download para problemas de segurança.
■ Proteção de e-mail
Verifica os e-mails em busca de código malicioso enquanto são enviados ou
recebidos.
Consulte “Como o Symantec Endpoint Protection usa os dados de reputação para

tomar decisões sobre arquivos” na página 382.
Proteção proativa contra ■ SONAR

ameaças Substitui a tecnologia de TruScan nas versões anteriores. O SONAR opera em
tempo real para identificar o comportamento malicioso de ameaças
desconhecidas.
■ Controle de dispositivos e aplicativos
Monitora os aplicativos em computadores-cliente e no hardware que se conecta
Consulte “Sobre o SONAR” na página 429.
Consulte “Sobre o controle de dispositivos e aplicativos” na página 521.

Para configurar recursos do pacote de instalação do cliente
Conjunto de recursos Descrição
Proteção contra ameaças à ■ Firewall

rede Protege contra ameaças da rede detectando e bloqueando o tráfego malicioso
de entrada e de saída.
■ Prevenção contra intrusões
Usa as assinaturas para identificar ataques em computadores-cliente. Para
ataques conhecidos, a prevenção contra intrusões descarta automaticamente
os pacotes que correspondem a ameaças conhecidas.
Consulte “Como um firewall funciona” na página 453.
Consulte “Como a prevenção contra intrusões funciona” na página 504.
Após a instalação, você pode ativar ou desativar as tecnologias de proteção nas

políticas de segurança.
na página 153.
Consulte “Sobre como ativar e desativar a proteção quando você precisar solucionar
problemas” na página 245.
na página 310.
Para configurar recursos do pacote de instalação do

cliente
Os recursos de instalação são os componentes do cliente que estão disponíveis
para instalação. Por exemplo, se pacotes do Symantec Endpoint Protection forem
criados, será possível selecionar a instalação de recursos antivírus, antispyware
e de firewall. Também é possível selecionar apenas a instalação do recurso antivírus
e antispyware.
Você deve nomear cada conjunto de seleções. Depois, você seleciona um conjunto
de recursos denominado ao exportar pacotes de software-cliente de 32 ou 64 bits.
Para pacotes de instalação do cliente para servidores de e-mail, em Proteção
download básica e contra vírus/spyware, não selecione as opções de proteção do
verificador de e-mails. Para pacotes de instalação do cliente para estações de
trabalho, selecione a opção de proteção do verificador de e-mails que se aplica ao
Para configurar pacotes do cliente para desinstalar software de segurança de terceiros existente
servidor de e-mail em seu ambiente. Por exemplo, se você usar um servidor de

e-mail Microsoft Exchange, selecione Verificador do Microsoft Outlook.
Nota: A Symantec testou e certificou os componentes de Proteção contra vírus e

spyware para serem usados em ambientes compatíveis com a Federal Desktop
Core Configuration (FDCC).
Para configurar recursos de pacote de instalação do cliente

2 Em Instalar pacotes, clique em Conjunto de recursos de instalação do cliente.
3 Em Tarefas, clique em Adicionar conjunto de recursos de instalação do
cliente.
4 Na caixa de diálogo Adicionar recursos de instalação do cliente, na caixa
Nome, digite um nome.
5 Na caixa Descrição, digite uma descrição do conjunto de recursos de instalação
de cliente.
6 Clique em OK.
Para configurar pacotes do cliente para desinstalar

software de segurança de terceiros existente
Você pode configurar e implementar novos pacotes de instalação para desinstalar
software de segurança de terceiros existentes antes da instalação do cliente
Symantec Endpoint Protection. Desinstalar software de segurança de terceiros
permite ao cliente do Symantec Endpoint Protection ser executado mais
eficientemente.
Ative o recurso de remoção de software de segurança criando ou modificando uma
configuração personalizada de instalação do cliente. Selecione então esta
configuração personalizada durante a implementação.
Para verificar qual software de terceiros é removido pelo pacote do cliente, consulte
o seguinte artigo da base de conhecimento: About the third-party security software
Para configurar pacotes do cliente para desinstalar software de segurança de terceiros existente
removal feature in Symantec Endpoint Protection 12.1 (em inglês). Alguns

programas podem ter rotinas especiais de desinstalação: Consulte a documentação
do software de terceiros.
Nota: Você não pode remover softwares de segurança de terceiros com pacotes
de cliente Mac ou Symantec Network Access Control. Você também não pode
configurar os pacotes de instalação anteriores ao cliente do Symantec Endpoint
Protection versão 12.1.1101 e versões 11.x do cliente legado para remover
softwares de segurança de terceiros.
Somente os pacotes que você criar usando o seguinte procedimento poderão
remover softwares de segurança de terceiros.
Para configurar pacotes de cliente para desinstalar softwares de segurança de

terceiros existente
1 No console, na página Administrador, clique em Pacotes de instalação e em
Configurações de instalação do cliente.
2 Em Tarefas, clique em Adicionar configurações de instalação do cliente.
Nota: Se você criou anteriormente uma configuração personalizada das

Configurações de instalação do cliente, poderá modificá-las em Tarefas e
depois clicar em Editar configurações de instalação do cliente…. Modificar
uma configuração personalizada existente não modifica pacotes de instalação
exportados previamente.
3 Na guia Configurações básicas, selecione Desinstalar automaticamente o

software de segurança existente e clique em OK.
Você pode modificar outras opções para esta configuração. Clique em Ajuda
para obter mais informações sobre estas opções. Clique em OK novamente
para salvar a configuração.
4 Na página Início, na lista suspensa Tarefas comuns, clique em Instalar cliente
de proteção nos computadores.
Para reiniciar computadores-cliente
5 No Assistente de Implementação de cliente, clique em Nova implementação

de pacote e clique em Avançar.
Você pode usar Implementação de pacote existente para implementar pacotes
de instalação criados previamente por Link da Web e e-mail ou por Salvar
pacote, ou exportados através da página Administrador. Contudo, você
deverá ter exportado estes pacotes usando uma configuração personalizada
das Configurações de instalação do cliente como a descrita das etapas 1 até
3.
6 Em Selecionar grupo e instalar conjunto de recursos, na lista suspensa
Configurações da instalação, clique na configuração personalizada das
Configurações de instalação do cliente você criou ou modificou na etapa 2.
Clique em Avançar.
7 Escolha o método de implementação que você quer usar: Link da Web e e-mail,
Instalação remota por envio ou Salvar pacote.
8 Clique em Avançar para continuar e concluir seu método de implementação
escolhido.
na página 144.

Você precisar reiniciar os computadores-cliente depois de instalar o
software-cliente. Por padrão, os computadores-cliente são reiniciados
automaticamente após a instalação.
Você pode configurar as opções de reinicialização em um grupo para controlar
como é feita a reinicialização dos computadores-cliente após a Atualização
automática. Você também pode reinicializar os computadores-cliente a qualquer
momento executando um comando de reinicialização no servidor de
gerenciamento. Você tem a opção de agendar os computadores-cliente para
reiniciar durante um período que seja conveniente para os usuários. Você pode
forçar uma reinicialização imediata ou dar aos usuários a opção de atrasá-la.
Para configurar as opções de reinicialização em computadores-cliente
1 No console, clique em Clientes.
2 Em Clientes, selecione um grupo e clique em Políticas.
3 Na guia Políticas, clique em Configurações gerais.

4 Na caixa de diálogo Configurações gerais, na guia Configurações de
reinicialização, selecione o agendamento e o método de reinicialização.
Algumas opções de reinicialização aplicam-se somente aos clientes Windows.
Para obter detalhes, consulte a ajuda contextual.
Você também pode adicionar uma notificação que seja exibida no
computador-cliente antes que a reinicialização ocorra.
5 Clique em OK.
Para reiniciar um computador-cliente selecionado
1 No console, clique em Clientes
2 Na página Clientes, na guia Clientes, selecione um grupo.
3 Na guia Clientes, selecione um cliente, clique com o botão direito do mouse
em Executar comando nos computadores e clique em Reiniciar
4 Clique em Sim, especifique as opções de reinicialização necessárias e clique
em OK.
Para reiniciar os computadores-cliente em um grupo selecionado
2 Na página Clientes, na guia Clientes, selecione um grupo, clique em Executar
comando no grupo e clique em Reiniciar computadores-cliente.
3 Clique em Sim, especifique as opções de reinicialização necessárias e clique
em OK.
Consulte “Sobre comandos que você pode executar em computadores-cliente”
na página 247.
na página 250.
Sobre clientes gerenciados e não gerenciados
Sobre clientes gerenciados e não gerenciados

Instale o software-cliente como um cliente gerenciado ou como um cliente não
gerenciado. Na maioria dos casos, você deve instalar um cliente gerenciado.
Convém instalar um cliente não gerenciado se quiser que o usuário tenha mais
controle sobre o computador, tal como um computador de teste. Certifique-se de
que os usuários do cliente não gerenciado tenham o nível apropriado de
conhecimento para especificar todas as configurações de segurança que forem
diferentes das configurações padrão.
Tabela 5-7 Diferenças entre um cliente gerenciado e um não gerenciado
Tipo Descrição
Cliente gerenciado Você administra os clientes através do console. Os

computadores-cliente gerenciados se conectam à sua rede.
Você usa o console para atualizar o software-cliente, as
políticas de segurança e as definições de vírus nos
computadores-cliente gerenciados.
Na maioria dos casos, instale o software-cliente como um

cliente gerenciado.
Você pode instalar um cliente gerenciado em qualquer uma
das seguintes maneiras:
■ Durante a instalação inicial do produto

■ Do console após a instalação
Cliente não gerenciado O usuário de computador primário deve administrar o

computador-cliente. Um cliente não gerenciado não pode
ser administrado através do console. O usuário de
computador primário deve atualizar o software-cliente, as
políticas de segurança e as definições de vírus no
computador-cliente não gerenciado.
Instale um cliente não gerenciado diretamente do disco do

produto. Você também pode exportar um cliente não
gerenciado do console de gerenciamento com políticas de
um grupo ou com as políticas padrão.
Consulte “Para exportar pacotes de instalação do cliente”

na página 149.
Consulte “Instalação de um cliente não gerenciado”

na página 159.
Consulte “Por que eu preciso substituir o arquivo de comunicação servidor-cliente

no computador-cliente?” na página 759.
Instalação de um cliente não gerenciado
Instalação de um cliente não gerenciado

Os clientes não gerenciados não se conectam ao Symantec Endpoint Protection
Manager. Na maioria dos casos, os clientes não gerenciados se conectam ou não
a sua rede intermitentemente.
Você ou os usuários principais do computador devem manter os computadores.
Esta manutenção inclui a monitoração e o ajuste da proteção nos computadores,
e a atualização de políticas de segurança, definições de vírus e software.
Para instalar um cliente Windows não gerenciado
1 No computador, insira o disco do produto.
A instalação deve iniciar automaticamente. Se não iniciar automaticamente,
clique duas vezes em Setup.exe.
produto para um disco físico, como um disco rígido. Execute o arquivo
Setup.exe no disco físico.
Se você exportar o cliente não gerenciado do console de gerenciamento, copie

a pasta exportada no computador-cliente e clique duas vezes em Setup.exe.
2 Clique em Instalar um cliente não gerenciado e clique em Avançar.
3 No painel Contrato de licença, clique em Aceito os termos do contrato de
licença e depois clique em Avançar.
4 Confirme se o computador não gerenciado foi selecionado e clique em
Avançar.
Este painel será exibido quando você instalar o software-cliente pela primeira
vez em um computador.
5 No painel Opções de proteção, selecione os tipos de proteção e clique em
Avançar.
6 No painel Pronto para instalar o programa, clique em Instalar.
7 No painel Assistente concluído, clique em Concluir.
Para desinstalar o cliente Windows
Para instalar um cliente Mac não gerenciado

1 No computador Mac, insira e clique duas vezes no disco do produto.
produto em um disco físico, tal como um disco rígido, em um computador
Windows. Copie a pasta SEP_MAC para a área de trabalho do computador Mac.
2 Clique duas vezes na pasta SEP_MAC.
3 Clique duas vezes em Symantec Endpoint Protection.dmg para montá-lo
como um disco virtual.
4 Clique duas vezes em Symantec Endpoint Protection.pkg para iniciar a
instalação.
5 No painel Introdução, clique em Continuar.
6 No painel Acordo de licença de software, clique em Continuar e clique em
Concordar.
Você pode imprimir ou salvar o contrato de licença para revisão.
7 Clique em Instalar e em Continuar instalação.
Digite a senha para a conta administrativa do Mac quando solicitado.
8 No painel Resumo, clique em Desconectar.
Quando você fizer login novamente no computador Mac, o LiveUpdate será
inicializado para atualizar as definições.
Para desinstalar o cliente Windows

Desinstale o cliente do Symantec Endpoint Protection usando o painel de controle
apropriado do Windows, como Adicionar ou remover programas.
Se o software-cliente usar uma política que bloqueia os dispositivos de hardware,
a política bloqueará os dispositivos depois que você desinstalar o software. Use o
Gerenciador de dispositivos do Windows para desbloquear os dispositivos.
Consulte sua documentação do Windows para obter mais informações.
Para desinstalar o cliente
O texto visualizado dependerá do sistema operacional do computador-cliente.
Para desinstalar o cliente Mac
1 No computador-cliente, no menu Iniciar, clique em Painel de Controle >

Adicionar ou remover programas (ou Painel de Controle > Programas >
Desinstalar um programa ).
2 Na caixa de diálogo Adicionar ou remover programas (ou Desinstalar ou
alterar um programa ), clique em Symantec Endpoint Protection e depois
em Alterar Remover ou Desinstalar.
3 Siga os prompts na tela para remover o software-cliente.
Se o método padrão de desinstalação do Windows falhar, você poderá ter que
desinstalar manualmente o cliente. Para obter mais informações, consulte o artigo
da base de conhecimento: Methods for uninstalling Symantec Endpoint Protection
(em inglês).

Você pode desinstalar o cliente Mac do Symantec Endpoint Protection usando o
Desinstalador da Symantec que é incluído no disco do produto, na pasta SEP_MAC.
Dois arquivos são fornecidos no arquivo morto .tgz. O Desinstalador da
Symantec é o verdadeiro desinstalador do cliente Mac do Symantec Endpoint
Protection. SymantecUninstaller.pkg permite instalar o Desinstalador da
Symantec no computador-cliente. Por exemplo, você pode instalar o Desinstalador
da Symantec para permitir que um usuário administrativo desinstale o cliente
Mac do Symantec Endpoint Protection futuramente. Para instalar o Desinstalador
da Symantec no computador-cliente, não desinstale o Cliente Mac do Symantec
Nota: Após desinstalar o cliente do Symantec Endpoint Protection, você será

alertado para reiniciar o computador-cliente para concluir a desinstalação.
Certifique-se de que os usuários do computador-cliente salvem antes seu trabalho
ou fechem todos os aplicativos abertos.

1 Copie o arquivo morto do Desinstalador da Symantec .tgz para o
computador-cliente Mac.
2 Clique duas vezes no arquivo para extrair a pasta do Desinstalador da
Symantec usando o Utilitário de arquivamento.
3 Clique duas vezes em Desinstalador da Symantec.
4 Na coluna Excluir, marque a caixa na frente do Symantec Endpoint Protection,
e clique em Desinstalar.
Para gerenciar pacotes de instalação do cliente
5 Clique em Desinstalar novamente para confirmar e se autentique com seu

nome de usuário administrativo e senha do Mac quando solicitado.
6 Clique em Reiniciar para reiniciar o computador Mac.
Se o Desinstalador da Symantec falhar, talvez seja necessário usar um método
alternativo para desinstalá-lo.
Para obter mais informações, consulte o artigo da base de conhecimento: Methods
for uninstalling Symantec Endpoint Protection (em inglês).

Para gerenciar computadores com o Symantec Endpoint Protection Manager, você
deve exportar pelo menos um pacote de instalação do cliente para um servidor de
gerenciamento no site. Depois de exportar o pacote de instalação do cliente, instale
os arquivos do pacote nos computadores-cliente. É possível exportar pacotes para
clientes gerenciados pela Symantec, por terceiros e para clientes não gerenciados.
Você pode exportar estes pacotes como um único arquivo executável ou como
uma série de arquivos em um diretório. O método escolhido dependerá do método
de implementação e se você deseja fazer o upgrade do software-cliente em grupos.
Normalmente, se você usar o objeto de política de grupo do Active Directory, não
escolherá fazer a exportação para um único arquivo executável.
Ocasionalmente, a Symantec oferece pacotes atualizados de arquivos de instalação.
Quando um software-cliente for instalado em computadores-cliente, você poderá
automaticamente atualizar o software-cliente em todos os clientes de um grupo
com o recurso Atualização automática. Você não precisa implementar novamente
o software com ferramentas de implementação de instalação.
Tabela 5-8 Tarefas relacionadas ao pacote de instalação do cliente
Tarefa Descrição
Configurar pacotes de Você pode selecionar tecnologias de proteção de cliente

instalação do cliente específicas para instalar e especificar como a instalação
interage com os usuários finais.
Consulte “Para configurar recursos do pacote de instalação

do cliente” na página 153.
Exportar pacotes de É possível exportar pacotes para clientes gerenciados pela

instalação do cliente Symantec, por terceiros e para clientes não gerenciados.
Consulte “Para exportar pacotes de instalação do cliente”

na página 149.
Tarefa Descrição
Adicionar atualizações de Quando receber atualizações do pacote de instalação do

pacotes de instalação do cliente da Symantec, você as adicionará ao banco de dados
cliente para torná-las disponíveis para distribuição do Symantec
Endpoint Protection Manager. Você também pode exportar
os pacotes durante esse procedimento para disponibilizar
o pacote para a implementação em computadores que não
têm o software-cliente.
Consulte “Para adicionar atualizações de pacotes de

Fazer upgrade de clientes em Você pode instalar os pacotes exportados em um computador

um ou mais grupos de cada vez ou implementar os arquivos exportados em
vários computadores simultaneamente.
Quando a Symantec oferecer atualizações para pacotes de

instalação do cliente, primeiro adicione-os ao Symantec
Endpoint Protection Manager e disponibilize-os para
exportação. Entretanto, não é necessário reinstalá-los com
ferramentas de implementação do cliente. A maneira mais
fácil de atualizar clientes em grupos com o software mais
recente é usar o console para atualizar o grupo que contém
os clientes. Primeiro, é preciso atualizar um grupo com um
pequeno número de computadores de teste.
Consulte “Para fazer o upgrade de clientes usando a

Atualização automática no Symantec Endpoint Protection”
na página 186.
Também é possível atualizar clientes com o LiveUpdate, se
você permitir que os clientes executem o LiveUpdate e se a
política de configurações do LiveUpdate permitir
atualizações.
Excluir pacotes de instalação Você pode excluir pacotes de instalação mais antigos do
do cliente cliente para economizar espaço em disco. Contudo, esses
pacotes de instalação mais antigos do cliente são usados às
vezes para criar pacotes de upgrade quando a Atualização
automática é utilizada. Isso resultará em downloads menores
efetuados pelos clientes.

Para adicionar atualizações de pacotes de instalação do cliente
Para adicionar atualizações de pacotes de instalação

do cliente
A Symantec envia para você atualizações do pacote de instalação do cliente, e
então adicione-as ao banco de dados do Symantec Endpoint Protection para
distribuí-las do Symantec Endpoint Protection Manager. Você também pode
exportar os pacotes durante esse procedimento para disponibilizar o pacote para
implementação em computadores que não contenham software-cliente.
Nota: Um pacote de instalação importado consiste em dois arquivos. Um arquivo

denominado nome_do_produto.dat e outro arquivo denominado
nome_do_produto.info.
Para adicionar uma atualização de pacote de instalação do cliente

1 Copie o pacote a um diretório no computador que executa o Symantec
3 Em Tarefas, clique em Adicionar pacote de instalação do cliente.
4 Na caixa de diálogo Adicionar pacote de instalação do cliente, digite um
nome e uma descrição para o pacote.
5 Clique em Procurar.
6 Na caixa de diálogo Selecione a pasta, localize e selecione o arquivo
nome_do_produto.info para o novo pacote e, então, clique em Selecionar.
7 Quando o prompt Concluído com êxito for exibido, proceda de uma das
seguintes maneiras:
■ Se não deseja exportar os arquivos de instalação e disponibilizá-los para
implementação, clique em Fechar.
Você concluiu esse procedimento.
■ Se não deseja exportar os arquivos de instalação e disponibilizá-los para
implementação, clique em Exportar este pacote e, então, conclua esse
procedimento.
8 Na caixa de diálogo Exportar pacote, clique em Procurar.

9 Na caixa de diálogo Selecionar a pasta para exportação, procure e selecione
o diretório para conter o pacote exportado; em seguida, clique em OK.
10 Na caixa de diálogo Exportar pacote, selecione um grupo e defina, então, as

outras opções de acordo com seus objetivos de instalação.
11 Clique em OK.
Capítulo 6
Para fazer o upgrade do
Symantec Endpoint
Protection
■ Para fazer upgrade de uma nova versão do Symantec Endpoint Protection
■ Recursos de upgrade para o Symantec Endpoint Protection 12.1
■ Para mapear recursos entre clientes 11.x e 12.1
■ Caminhos de upgrade do Symantec Endpoint Protection Manager suportados
■ Para aumentar o espaço em disco do Symantec Endpoint Protection Manager

antes do upgrade para a versão 12.1
■ Para fazer upgrade de um servidor de gerenciamento
■ Para fazer o upgrade de um ambiente que usa vários bancos de dados

incorporados e servidores de gerenciamento
■ Para desativar a replicação antes do upgrade
■ Para ativar a replicação após o upgrade
■ Para interromper e iniciar o serviço do servidor de gerenciamento
■ Caminhos suportados de upgrade para o cliente do Symantec Endpoint

Protection
■ Sobre como fazer upgrade do software-cliente

168 Para fazer o upgrade do Symantec Endpoint Protection
Para fazer upgrade de uma nova versão do Symantec Endpoint Protection
■ Para fazer o upgrade de clientes usando a Atualização automática no Symantec

Endpoint Protection
■ Para atualizar o software-cliente com a política de configurações do LiveUpdate
■ Para fazer upgrade de provedores de atualizações de grupo
Para fazer upgrade de uma nova versão do Symantec

Endpoint Protection
Você pode fazer upgrade da mais nova versão do produto para aproveitar os novos
recursos. Para instalar uma versão nova do software, é necessário executar
determinadas tarefas para garantir um upgrade ou migração com êxito. Você deve
também verificar os problemas conhecidos que aparecem nas Notas da versão em
busca de informações mais recentes relacionadas aos upgrades.
Para fazer o upgrade, revise as seguintes informações:
■ Requisitos do sistema
Para verificar os requisitos do sistema mais atuais, consulte: Release Notes
and System Requirements for all versions of Symantec Endpoint Protection
and Symantec Network Access Control (em inglês)
■ Novos recursos nesta versão
Consulte “O que há de novo no Symantec Endpoint Protection 12.1.2”
na página 44.
■ Alterações de recursos entre a versão anterior e a mais nova versão do cliente
Consulte “Para mapear recursos entre clientes 11.x e 12.1” na página 173.
■ Caminhos de upgrade compatíveis do Symantec Endpoint Protection Manager
Consulte “Caminhos de upgrade do Symantec Endpoint Protection Manager
suportados” na página 176.
■ Caminhos compatíveis de upgrade de clientes Windows
Consulte “Caminhos suportados de upgrade para o cliente do Symantec
■ Migrações compatíveis de clientes Mac
Consulte “Caminhos de migração suportados e não suportados para o cliente
Mac” na página 194.
A Tabela 6-1 exibe as etapas que você deve seguir para fazer upgrade para a versão
mais recente.
Para fazer o upgrade do Symantec Endpoint Protection 169
Para fazer upgrade de uma nova versão do Symantec Endpoint Protection
Esta seção é específica para fazer upgrade do software em ambientes nos quais
uma versão compatível do Symantec Endpoint Protection ou do Symantec Network
Access Control já está instalada.
Nota: Se você fizer o upgrade da versão 11.x e usar o Controle de dispositivos e

aplicativos, desative a regra "Proteger arquivos de clientes e chaves de registro
do controle de aplicativos." Depois que os clientes receberem a nova política, você
poderá fazer o upgrade dos computadores-cliente.
Consulte “Criação de um conjunto de regras personalizadas e adição de regras”
na página 534.
Tabela 6-1 Processo de upgrade para a versão completa
Etapa 1 Fazer backup do banco de Faça o backup do banco de dados que o Symantec Endpoint Protection
dados Manager usa para assegurar a integridade das informações de seu cliente.
Etapa 2 Desativar a replicação Desative a replicação em todos os sites configurados como parceiros de
replicação para evitar quaisquer tentativas de atualizar o banco de dados
durante a instalação.
Etapa 3 Ativar a autenticação local, Os Enforcers não podem autenticar clientes durante um upgrade. Para evitar
caso o Symantec Network problemas com autenticação de clientes, a Symantec recomenda que você
Access Control tenha sido ative a autenticação local antes de fazer o upgrade. Depois que o upgrade
instalado estiver concluído, é possível retornar à sua configuração anterior de
autenticação.
Consulte “Ativação da autenticação local no Integrated Enforcer”

na página 1097.
Consulte “Ativação da autenticação local em um appliance Gateway Enforcer”

na página 981.
Consulte “Ativação da autenticação local no appliance LAN Enforcer”

na página 1040.
Etapa 4 Interromper o serviço do Você deve interromper o serviço do servidor de gerenciamento para instalar
Symantec Endpoint uma versão mais nova.
Protection Manager
Consulte “Para interromper e iniciar o serviço do servidor de gerenciamento”
na página 183.
Recursos de upgrade para o Symantec Endpoint Protection 12.1
Etapa 5 Fazer o upgrade do Instale a versão nova do Symantec Endpoint Protection Manager em todos
software do Symantec os sites em sua rede. A versão existente é detectada automaticamente e todas
Endpoint Protection as configurações são salvas durante o upgrade.
Manager
Consulte “Para instalar o Symantec Endpoint Protection Manager”
na página 99.
Etapa 6 Ativar a replicação após o Ative a replicação quando a instalação for concluída para restaurar a
upgrade configuração.
Etapa 7 Fazer o upgrade do Faça o upgrade do software-cliente para a versão mais recente.
software-cliente da
Consulte “Sobre como fazer upgrade do software-cliente” na página 185.
Symantec
Consulte “Para fazer upgrade de provedores de atualizações de grupo”
na página 188.
Quando a Symantec oferecer atualizações para pacotes de instalação do

cliente, adicione as atualizações a um Symantec Endpoint Protection Manager
e disponibilize-as para exportação. Entretanto, não é necessário instalar o
cliente novamente com ferramentas de implementação do cliente. A maneira
mais fácil de atualizar clientes nos grupos com o software mais recente é usar
a Atualização automática. Primeiro, você deve atualizar um grupo com um
pequeno número de computadores de teste para atualizar a rede de produção
inteira.
Consulte “Para fazer o upgrade de clientes usando a Atualização automática

no Symantec Endpoint Protection” na página 186.
Também será possível atualizar clientes com o LiveUpdate, se você permitir
que os clientes executem o LiveUpdate e se a política de configurações do
LiveUpdate permitir

na página 190.
Recursos de upgrade para o Symantec Endpoint

Protection 12.1
A Tabela 6-2 relaciona os tópicos que o ajudam a se preparar para um upgrade
bem-sucedido para versão mais recente.
Tabela 6-2 Tarefas e recursos do upgrade de produto
Tarefa Recurso
Aprender sobre os requisitos do Para fazer upgrade, verifique os pré-requisitos, as

upgrade do Symantec Endpoint diferenças das versões anteriores e os caminhos
Protection 12.1 suportados do upgrade.
Para verificar os requisitos do sistema mais atuais,

consulte: Release Notes and System Requirements for
all versions of Symantec Endpoint Protection and
Known issues for Symantec Endpoint Protection 12.1

(em inglês)
Consulte “Para mapear recursos entre clientes 11.x e

12.1” na página 173.
Consulte “Caminhos suportados de upgrade para o

cliente do Symantec Endpoint Protection”
na página 184.
Consulte “Caminhos de upgrade do Symantec

Endpoint Protection Manager suportados”
na página 176.
Consulte “Caminhos de migração suportados e não

suportados para o cliente Mac” na página 194.
Fazer upgrade do Symantec Execute as tarefas a seguir antes de fazer o upgrade

Endpoint Protection Manager do servidor de gerenciamento:
■ Faça o backup do banco de dados.
Consulte “Backup de logs e banco de dados”
na página 807.
■ Desative a replicação (se usada).
Consulte “Para desativar a replicação antes do
upgrade” na página 181.
■ Remova todos os pacotes atribuídos aos grupos de
clientes. Se você implementar os pacotes de
clientes que não usam a opção Manter recursos
de cliente existentes ao atualizar, estes pacotes
deverão ser removidos.
Para obter mais informações, consulte o artigo
Clients show "No Symantec protection
technologies are installed" after migrating the
SEPM from 11.x to 12.1 (em inglês) da base de
conhecimento
Tarefa Recurso
Gerenciar licenças de produto O Symantec Endpoint Protection 12.1 é licenciado de

acordo com o número de clientes necessários para
proteger os endpoints em seu site.
Consulte “Requisitos da licença do produto”
na página 85.
Consulte “Sobre upgrades e licenças de produtos”

na página 125.
Fazer upgrade do software-cliente Prepare os computadores que precisam de upgrade

do cliente. Se você usar provedores de atualizações
de grupo, eles deverão receber upgrade
primeiramente.
Nota: Quando você fizer upgrade do Symantec
Endpoint Protection Small Business Edition, a licença
de upgrade ativará novos recursos em clientes
previamente instalados.
Consulte “Preparação para a instalação do cliente”

na página 134.
Consulte “Para fazer upgrade de provedores de

atualizações de grupo” na página 188.
Consulte “Para fazer o upgrade de clientes usando a

Atualização automática no Symantec Endpoint
Consulte “Sobre métodos de implementação do

A Tabela 6-3 fornece informações adicionais para fazer o upgrade.

Para mapear recursos entre clientes 11.x e 12.1
Tabela 6-3 Recursos adicionais do upgrade
Item Recurso
Configurações Você pode configurar pacotes de instalação do cliente com várias

e recursos do configurações e recursos de proteção.
pacote de
instalação do
cliente Consulte “Recursos de proteção do cliente por plataforma” na página 1169.

na página 153.
Descrições de Consulte “Sobre os tipos de proteção contra ameaças que o Symantec

recursos e Endpoint Protection fornece” na página 48.
políticas
Dependências Consulte “Como os recursos da política do Symantec Endpoint Protection

de recursos funcionam em conjunto” na página 383.

na página 190.

Quando você fizer o upgrade de clientes com o recurso Atualização automática e
selecionar a opção Manter recursos existentes, os recursos configurados em
clientes legados serão associados à nova versão.
As tabelas nesta seção descrevem o mapeamento de recursos entre as versões
anteriores e a nova versão do Symantec Endpoint Protection para de cenários
comuns de atualização.
Se você migrar de uma versão anterior, esteja ciente de que a Proteção antivírus
e antispyware no Symantec Endpoint Protection 11.x é chamada de Proteção
contra vírus e spyware na versão 12.1.
A Tabela 6-4 compara as tecnologias de proteção padrão dos clientes 11.x e 12.1.
Tabela 6-4 Proteção padrão dos clientes da versão 11.x para a 12.1
Proteção padrão do cliente 11.x Proteção padrão do cliente 12.1
Antivírus + TruScan Antivírus + SONAR + Download Insight

Proteção padrão do cliente 11.x Proteção padrão do cliente 12.1
Antivírus Antivírus + Download Insight básico
Antivírus sem Proteção proativa contra Antivírus sem SONAR ou Download Insight
ameaças
Tabela 6-5 Proteção completa da versão 11.x para a 12.1
Recursos existentes da versão 11.x Recursos da versão 12.1 instalados após

instalados a Atualização automática
Proteção antivírus e antispyware Proteção contra vírus e spyware
■ Proteção antivírus e antispyware ■ Proteção contra vírus e spyware básica

■ Download Insight
Proteção de e-mail do Auto-Protect Proteção de e-mail do Auto-Protect
■ Verificador de POP3/SMTP ■ Verificador de POP3/SMTP

■ Verificador do Microsoft Outlook ■ Verificador do Microsoft Outlook
■ Verificador do Lotus Notes ■ Verificador do Lotus Notes
Proteção proativa contra ameaças Proteção proativa contra ameaças
■ Verificação proativa contra ameaças ■ SONAR

TruScan ■ Controle de dispositivos e aplicativos
Proteção contra ameaças à rede Proteção contra ameaças à rede

■ Proteção contra ameaças à rede ■ Proteção contra ameaças à rede
■ Prevenção contra intrusões ■ Prevenção contra intrusões
Tabela 6-6 11.x para 12.1 somente antivírus


Tabela 6-7 11.x para 12.1 antivírus + Proteção proativa contra ameaças




■ Prevenção contra intrusões ■ Prevenção contra intrusões
Tabela 6-8 11.x a 12.1 (versão corporativa) somente firewall


■ Controle de dispositivos e aplicativos ■ Controle de dispositivos e aplicativos
■ Proteção contra ameaças à rede ■ Proteção contra ameaças à rede

Nota: A versão 12.1 inclui apenas o
firewall
Caminhos de upgrade do Symantec Endpoint Protection Manager suportados
Tabela 6-9 Da versão Small Business Edition 12.0 para a 12.1 (versão
corporativa)
Recursos do Small Business Edition 12.0 Recursos da versão 12.1 instalados após
Proteção contra vírus e spyware Proteção contra vírus e spyware
■ Proteção contra vírus e spyware ■ Proteção contra vírus e spyware básica



■ Firewall e prevenção contra intrusões ■ Proteção contra ameaças à rede

■ Prevenção contra intrusões
Caminhos de upgrade do Symantec Endpoint

Protection Manager suportados
Os seguintes caminhos de upgrade do Symantec Endpoint Protection Manager
são suportados:
■ De 11.x a 12.1.2 (versão corporativa)
■ Da versão 12.0 do Small Business Edition para a 12.1.2 (versão corporativa)
■ Da versão 12.1 do Small Business Edition para a 12.1.2 (versão corporativa)
Nota: As informações do servidor do Symantec AntiVirus 10.x podem ser

importadas durante a instalação do Symantec Endpoint Protection Manager versão
12.1.2.
na página 190.
Os seguintes caminhos para downgrade não são suportados:

■ Do Symantec Endpoint Protection 11.x para o Small Business Edition 12.1.2
Para aumentar o espaço em disco do Symantec Endpoint Protection Manager antes do upgrade para a versão 12.1
■ Do 12.1.x (versão corporativa) para o Small Business Edition 12.1.2

Para obter detalhes sobre como fazer o upgrade de versões específicas do Symantec
Endpoint Protection Manager 11.x para a 12.1, consulte o seguinte artigo da base
de conhecimento:
Supported upgrade paths to Symantec Endpoint Protection Manager 12.1 from
Symantec Endpoint Protection Manager 11.x (em inglês)
Para aumentar o espaço em disco do Symantec

Endpoint Protection Manager antes do upgrade para
a versão 12.1
O Symantec Endpoint Protection Manager versão 12.1 exige uma quantidade
mínima de espaço livre em disco para a instalação. Certifique-se de que os
servidores legados ou novos hardwares atendam aos requisitos mínimos de
hardware. Contudo, mais espaço livre em disco poderá ser necessário durante um
upgrade para permitir a criação dos arquivos temporários.
Nota: Faça um backup do banco de dados antes de efetuar mudanças de

configuração
A Tabela 6-10 relaciona as maneiras como você pode disponibilizar mais espaço
em disco para o upgrade.
Para aumentar o espaço em disco do Symantec Endpoint Protection Manager antes do upgrade para a versão 12.1
Tabela 6-10 Tarefas para aumentar o espaço em disco no servidor de

gerenciamento
Tarefa Descrição
Altere as configurações do 1 Acesse Administrador > Servidor e clique com o

LiveUpdate para reduzir os botão direito do mouse em Site local. Selecione
requisitos de espaço. Editar propriedades do site.
2 Na guia LiveUpdate, desmarque Armazenar

pacotes do cliente descompactados para fornecer
o melhor desempenho da rede para upgrades.
3 Na guia LiveUpdate, reduza o número de revisões

de conteúdo a ser mantido. O valor ideal é de 30
revisões, mas uma configuração mais baixa usará
menos espaço em disco. Para o upgrade, você pode
reduzir a configuração para 10. Aguarde até que o
Symantec Endpoint Protection Manager apague
as revisões extras. Após o upgrade, retorne a
configuração para 30.
Certifique-se de excluir 1 Acesse Administrador > Servidor e clique com o

definições de vírus não utilizadas botão direito do mouse em Site local. Selecione
do banco de dados do Symantec Editar propriedades.
2 Na guia Banco de dados, verifique se a opção
Excluir definições de vírus não usadas está
selecionada.
Realoque ou remova programas ■ Se outros programas estiverem instalados no mesmo

e arquivos coexistentes computador com o Symantec Endpoint Protection
Manager, considere realocá-los em outro servidor.
Programas não usados podem ser removidos.
■ Se o Symantec Endpoint Protection Manager
compartilhar o computador com outros aplicativos
de uso intenso de armazenamento, considere dedicar
um computador para oferecer suporte apenas ao
■ Remova arquivos temporários do Symantec Endpoint
Protection.
Para obter uma lista de arquivos temporários que
podem ser removidos, consulte o artigo da base de
conhecimento, Symantec Endpoint Protection
Manager directories contain many .TMP folders
consuming large amounts of disk space (em inglês).
Nota: Desfragmente a unidade de disco rígido depois
de remover programas e arquivos.
Para fazer upgrade de um servidor de gerenciamento
Tarefa Descrição
Use um banco de dados externo Se o banco de dados do Symantec Endpoint Protection

estiver no mesmo computador do Symantec Endpoint
Protection Manager, considere instalar um banco de
dados Microsoft SQL Server em outro computador. Um
espaço em disco significativo é economizado e, na
maioria dos casos, o desempenho é aprimorado.
Consulte “Sobre como escolher um tipo do banco de

dados” na página 90.
Nota: Certifique-se de que os computares-cliente também tenham espaço em disco

suficiente antes do upgrade. Verifique os requisitos do sistema e, se necessário,
remova programas e arquivos desnecessários. Em seguida, faça a desfragmentação
da unidade de disco rígido do computador-cliente.
Para fazer upgrade de um servidor de gerenciamento

Você deve fazer upgrade de todos os servidores de gerenciamento antes de fazer
upgrade de todos os clientes.
Se fizer o upgrade de servidores de gerenciamento em um ambiente que suporte
o balanceamento de carga, o failover ou a replicação, você deverá prepará-los e
fazer upgrade em uma ordem específica.
Aviso: Você deverá seguir o cenário que se aplica a seu tipo de instalação, ou seu
upgrade poderá falhar.
O processo de upgrade é semelhante a uma instalação nova.

Consulte “Para fazer o upgrade de um ambiente que usa vários bancos de dados
incorporados e servidores de gerenciamento” na página 180.
Consulte “Para configurar sites e replicação” na página 201.
A Tabela 6-11 relaciona as tarefas necessárias para fazer upgrade do Symantec
Para fazer o upgrade de um ambiente que usa vários bancos de dados incorporados e servidores de gerenciamento
Tabela 6-11 Tarefas de upgrade
Tarefa Descrição
Instale e configure o Instale o servidor de gerenciamento e configure-o com o

servidor de Assistente de Configuração do servidor de gerenciamento.
gerenciamento novo
Para fazer upgrade dos servidores do Symantec Sygate
Enterprise Protection que usam a proteção de Políticas de
integridade do host ou do Enforcer, instale o Symantec Endpoint
Protection primeiro. Assim, você repete o procedimento de
instalação e instala o servidor de gerenciamento para o
Symantec Network Access Control para acessar a funcionalidade
de Integridade do host e do Enforcer.
Consulte “Para instalar o Symantec Endpoint Protection

Manager” na página 99.
Registre-se no servidor Quando o painel de logon do Symantec Endpoint Protection

de gerenciamento Manager aparecer, faça o logon no console usando suas
credenciais de logon legadas.
Consulte “Logon no console do Symantec Endpoint Protection

(Opcional) Instale o Faça logoff do Symantec Endpoint Protection Manager. Em

servidor de seguida, repita este processo e instale o Symantec Endpoint
gerenciamento do Protection Manager para o Symantec Network Access Control
Symantec Network do disco do produto Symantec Network Access Control.
Access Control
Consulte “Para fazer upgrade do Symantec Endpoint Protection
Manager para incluir o Symantec Network Access Control”
na página 865.
Nota: Não é necessário reiniciar o computador após o upgrade, mas você pode
observar melhorias no desempenho se reiniciar o computador e fizer o logon.
Para fazer o upgrade de um ambiente que usa vários

bancos de dados incorporados e servidores de
gerenciamento
A migração de uma instância de instalação que usa vários bancos de dados
incorporados e vários servidores de gerenciamento tem as seguintes implicações:
Para desativar a replicação antes do upgrade
■ Nenhum failover ou balanceamento de carga é aceito porque o banco de dados

interno não é suportado pelos servidores de failover ou balanceamento de
carga.
■ Os servidores de gerenciamento são configurados para replicação.
Todos os sites têm um computador em que o servidor de gerenciamento foi
instalado primeiro. Somente um desses servidores de gerenciamento foi instalado
com uma licença e um segredo pré-compartilhado. Esse servidor de gerenciamento
deve ser o primeiro a ser migrado. Em seguida, os outros servidores de
gerenciamento que foram instalados para replicação podem ser migrados.
Para fazer o upgrade de um ambiente que usa vários bancos de dados incorporados
e servidores de gerenciamento
1 Desative a replicação em todos os servidores de gerenciamento.
2 Faça a autenticação e conecte-se ao computador que contém o Symantec
Endpoint Protection Manager instalado com a licença e o segredo
pré-compartilhado.
Não se conecte ao Symantec Endpoint Protection Manager.
3 Migre o servidor de gerenciamento.
Consulte “Para fazer upgrade de um servidor de gerenciamento” na página 179.
4 Migre todos os servidores de gerenciamento adicionais um a um.
5 Depois de migrar os servidores, ative a replicação em cada servidor.

Se tiver sites legados da Symantec configurados para replicação, você deverá
desativar a replicação antes de fazer o upgrade. Você não deseja que os sites tentem
replicar dados entre bancos de dados legados e atualizados durante ou depois do
upgrade. Desative a replicação em cada site que replicar. Você deve estar conectado
e desativar a replicação pelo menos em dois sites.
1 No console, clique em Administrador > Servidores.
2 Em Servidores expanda Parceiros de replicação e selecione um site.
3 Clique com o botão direito do mouse no site e clique em seguida em Excluir.
Para ativar a replicação após o upgrade
4 Clique em Sim.
5 Desconecte-se do console e repita esse procedimento em todos os sites que
replicam dados.

Depois de migrar ou fazer o upgrade dos servidores que usaram a replicação, é
necessário ativar a replicação. Após a migração, adicione um parceiro de replicação
para ativar a replicação. Você deve adicionar parceiros de replicação no computador
em que primeiro instalou o servidor de gerenciamento. Os parceiros de replicação
aparecem automaticamente nos outros servidores de gerenciamento.
2 Em Servidores expanda Parceiros de replicação e selecione um site.
3 Clique com o botão direito do mouse no site e clique em seguida em Adicionar
parceiro.
4 No painel Adicionar parceiro de replicação, clique em Avançar.
5 No painel Informações do site remoto, insira as informações de identificação
sobre o parceiro de replicação, as informações de autenticação e clique em
Avançar.
6 No painel Agendar replicação, defina o agendamento para que a replicação
ocorra automaticamente e clique em Avançar.
7 No painel Replicação de arquivos de log e pacotes de clientes, selecione os
itens a replicar e, em seguida, clique em Avançar.
A replicação de pacotes usa grandes quantidades de tráfego e de espaço no
disco rígido.
8 No painel Concluindo o Assistente de Adição de parceiro de replicação,
clique em Concluir.
9 Repita este procedimento para todos os computadores que repliquem dados
com este computador.
Para interromper e iniciar o serviço do servidor de gerenciamento
Para interromper e iniciar o serviço do servidor de

gerenciamento
Antes de fazer o upgrade, você deve interromper manualmente o serviço do
Symantec Endpoint Protection Manager em todos os servidores de gerenciamento
em seu site. Depois de fazer o upgrade, o serviço é iniciado automaticamente.
Aviso: Se não interromper o serviço do Symantec Endpoint Protection Manager

antes de fazer upgrade do servidor, você correrá o risco de corromper seu banco
de dados existente do Symantec Endpoint Protection.
Nota: Se você interromper o serviço do servidor de gerenciamento, os clientes não

poderão mais conectar-se a ele. Se os clientes precisarem se comunicar com o
servidor de gerenciamento para se conectar à rede, eles terão o acesso negado até
que o serviço do servidor de gerenciamento seja reiniciado.
Por exemplo, um cliente deve se comunicar com o servidor de gerenciamento para
aprovar uma verificação da Integridade do host.

Para interromper o serviço do Symantec Endpoint Protection Manager
1 Clique em Iniciar > Configurações > Painel de controle > Ferramentas
administrativas >Serviços.
2 Na janela Serviços, em Nome, localize e clique com o botão direito do mouse
em Symantec Endpoint Protection Manager.
3 Clique em Parar.
4 Feche a janela Serviços.
Aviso: Feche a janela Serviços ou o upgrade poderá falhar.
5 Repita esse procedimento para todas as instalações do Symantec Endpoint

Protection Manager.
Nota: Para iniciar o serviço do Symantec Endpoint Protection Manager, siga o

procedimento acima e clique em Iniciar em vez de Interromper.
Caminhos suportados de upgrade para o cliente do Symantec Endpoint Protection
Para interromper o serviço do Symantec Endpoint Protection Manager usando a

linha de comando
◆ Em um prompt de comando, digite:
net stop semsrv
Para iniciar o serviço do Symantec Endpoint Protection Manager usando a linha de

comando
net start semsrv
Caminhos suportados de upgrade para o cliente do

As seguintes versões de cliente do Symantec Endpoint Protection podem receber
upgrade diretamente para a versão 12.1.2:
■ 11.0.780.1109
■ 11.0.1000.1375 - Versão de Manutenção 1 (MR1)
■ 11.0.2000.1567 - Versão de Manutenção 2 (MR2), com ou sem patch de
manutenção
■ 11.0.3001.2224 - Versão de Manutenção 3 (MR3)
■ 11.0.4000.2295 - Versão de Manutenção 4 (MR4), com ou sem patch de
manutenção
■ 11.0.5002.333 - Release Update 5 (RU5)
■ 11.0.6000.550 - Release Update 6 (RU6), com ou sem patch de manutenção
■ 12.0.122.192 Small Business Edition
■ 12.0.1001.95 Small Business Edition - Release Update 1 (RU1)
■ 12.1.671.4971
Os seguintes caminhos para downgrade não são suportados:
■ Do Symantec Endpoint Protection 11.x para o Small Business Edition 12.1
■ Do 12.1.x (versão corporativa) para o Small Business Edition 12.1.2
Sobre como fazer upgrade do software-cliente
A migração do Symantec AntiVirus 10.x para o 12.1 é suportada. A migração do

Symantec AntiVirus 9.x e do Symantec Sygate Enterprise Protection 5.x não é
suportada.
Sobre como fazer upgrade do software-cliente

Você pode usar diversos métodos para fazer upgrade do software-cliente da
Symantec. Alguns métodos podem levar até a 30 minutos. Portanto, talvez você
queira fazer o upgrade do software-cliente quando a maioria dos usuários não
estiver conectada aos computadores.
Tabela 6-12 Métodos para fazer upgrade do software-cliente
Método de Descrição
upgrade
Atualização Use a Atualização automática para atualizar os clientes em um ou

automática mais grupos do console no Symantec Endpoint Protection Manager.
Consulte “Para fazer o upgrade de clientes usando a Atualização

automática no Symantec Endpoint Protection” na página 186.
Política de Configure uma política de configurações do LiveUpdate para um grupo

configurações do que defina um servidor do LiveUpdate e permita que os clientes
LiveUpdate executem o LiveUpdate para obter atualizações do produto.
Consulte “Para atualizar o software-cliente com a política de

configurações do LiveUpdate” na página 187.
Disco do produto Use o programa de instalação do disco do produto para instalar uma
nova versão do cliente.
Outros métodos Use um dos outros métodos suportados para a instalação do

software-cliente.
Se o cliente do Symantec Network Access Control também estiver instalado, você

deve fazer upgrade do cliente do Symantec Endpoint Protection e do cliente do
Symantec Network Access Control. Você pode atribuir o pacote do Symantec
Endpoint Protectione do Symantec Network Access Control ao mesmo grupo.
Neste caso, certifique-se de que a opção Manter recursos esteja selecionada.
Para fazer o upgrade de clientes usando a Atualização automática no Symantec Endpoint Protection
Para fazer o upgrade de clientes usando a Atualização

automática no Symantec Endpoint Protection
O processo de Atualização automática permite fazer upgrade automaticamente
do software-cliente Symantec Endpoint Protection para todos os clientes contidos
em um grupo. Por exemplo, é possível usar a Atualização automática para fazer
upgrade de clientes para uma atualização ou nova versão do produto.
Você deve testar o processo da Atualização automática antes de tentar fazer
upgrade de um número grande de clientes na rede de produção. Se você não tiver
uma rede de teste, poderá criar um grupo de teste dentro da rede de produção.
Para este tipo de teste, adicione alguns clientes não críticos ao grupo de teste e
faça upgrade deles usando a Atualização automática.
Confirme que o upgrade foi concluído com êxito verificando o número de versão
do software-cliente. O número de versão é exibido no painel Ajuda > Sobre do
cliente. O número de versão atualizado do cliente também é exibido no Symantec
Endpoint Protection Manager na página Clientes após uma verificação
bem-sucedida. Você seleciona o grupo, a guia Clientes e muda a exibição para
Status do cliente.
Nota: Se você fizer o upgrade da versão 11.x e usar o Controle de dispositivos e

aplicativos, desative a regra "Proteger arquivos de clientes e chaves de registro
do controle de aplicativos." Depois que os clientes receberem a nova política, você
poderá fazer o upgrade usando a Atualização automática.
Consulte “Criação de um conjunto de regras personalizadas e adição de regras”
na página 534.

Para fazer o upgrade de clientes usando a Atualização automática no Symantec
Endpoint Protection
1 No console do Symantec Endpoint Protection Manager, clique em Admin.
2 Clique em Instalar pacotes.
3 Em Tarefas, clique em Fazer upgrade de clientes com pacote.
4 No painel Assistente de Upgrade de clientes, clique em Avançar.
5 No painel Selecionar o pacote de instalação do cliente, selecione o pacote de
instalação do cliente apropriado e clique em Avançar.
Para atualizar o software-cliente com a política de configurações do LiveUpdate
6 No painel Especificar os grupos, selecione os grupos que contêm os

computadores-cliente dos quais você deseja fazer upgrade e clique em
Avançar.
7 No painel Configurações de upgrade do pacote, selecione Fazer download
do servidor de gerenciamento.
Opcionalmente é possível organizar e selecionar um pacote em um servidor
da Web.
8 Clique em Fazer upgrade das configurações.
9 Na guia Geral, selecione Manter os recursos atuais do cliente ao atualizar.
Opcionalmente, você pode adicionar ou remover recursos ao fazer upgrade.
10 Opcionalmente, na guia Notificação, personalize as configurações de
notificação do usuário. Você pode personalizar a mensagem exibida no
computador-cliente durante o upgrade. Você também pode permitir que o
usuário adie o upgrade por um período especificado.
Para obter mais informações sobre as configurações de agendamento e
notificação, clique em Ajuda.
11 Clique em OK.
12 No painel Assistente de Upgrade de clientes concluído, clique em Avançar.
Para atualizar o software-cliente com a política de

configurações do LiveUpdate
Com uma permissão de atualizações de produto na política de configurações do
LiveUpdate, é possível atualizar automaticamente produtos de software-cliente
da Symantec. Quando as atualizações do produto forem permitidas e uma
atualização estiver disponível, os clientes farão o download e instalarão a
atualização quando uma sessão do LiveUpdate for executada. A sessão pode ser
agendada ou iniciada manualmente. Quando a Política do LiveUpdate não estiver
configurada para fazer o download de atualizações do produto, o software-cliente
poderá somente ser atualizado usando o console do Symantec Endpoint Protection
Manager ou manualmente.
Por padrão, quando o Symantec Endpoint Protection Manager fizer o download
e processar o conteúdo através do LiveUpdate, ele será configurado para fazer o
download de atualizações do cliente. Quando o servidor de gerenciamento fizer
o download de uma nova versão do cliente, você poderá selecionar o novo pacote
Para fazer upgrade de provedores de atualizações de grupo
e fazer o upgrade dos clientes com a Atualização automática ou outro método de

upgrade.
Consulte “Para fazer o upgrade de clientes usando a Atualização automática no
Symantec Endpoint Protection” na página 186.
Para atualizar o software-cliente da Symantec com a política de configurações do
LiveUpdate
1 No console do Symantec Endpoint Protection Manager, clique em Políticas.
2 Em Políticas, clique em LiveUpdate.
3 No painel direito, na guia Configurações do LiveUpdate, clique em uma
política do LiveUpdate.
4 Na parte inferior do painel esquerdo, em Tarefas, clique em Editar a política.
5 Em Política do LiveUpdate, clique em Configurações avançadas.
6 No painel Configurações avançadas, em Configurações de atualização do
produto, selecione Fazer download das atualizações do produto Symantec
Endpoint Protection usando um servidor do LiveUpdate.
7 Clique em OK e depois aplique a política a um grupo ou a um local em um
grupo.
na página 310.
Para fazer upgrade de provedores de atualizações de

grupo
Use este procedimento para fazer o upgrade de clientes que são provedores de
atualizações do grupo.
Para fazer upgrade de clientes do provedor de atualizações de grupo
1 Faça upgrade do servidor do Symantec Endpoint Protection Manager para a
nova versão do software.
2 Faça upgrade dos clientes que são provedores de atualização de grupo para
a nova versão do software-cliente.
3 Atualize o restante dos clientes para a nova versão do software-cliente.
Capítulo 7
Para migrar para o
Symantec Endpoint
Protection
■ Para migrar do Symantec AntiVirus ou do Symantec Client Security
■ Caminhos de migração suportados e não suportados no Symantec Endpoint

Protection
■ Caminhos de migração suportados e não suportados para o cliente Mac
■ Para desativar verificações agendadas no Symantec System Center
■ Para desativar o LiveUpdate no Symantec System Center
■ Para desativar o serviço de roaming no Symantec System Center
■ Desbloqueio de grupos de servidores no Symantec System Center
■ Para desativar a Proteção contra adulterações no Symantec System Center
■ Desinstalação e exclusão de servidores de relatório
■ Sobre grupos de computadores importados com o Assistente de Migração
■ Para importar configurações de grupos e de políticas com o Assistente de

Migração
190 Para migrar para o Symantec Endpoint Protection
Para migrar do Symantec AntiVirus ou do Symantec Client Security
Para migrar do Symantec AntiVirus ou do Symantec

Client Security
Você pode migrar os grupos, os clientes e as configurações de um ambiente de
software de proteção antivírus legada da Symantec. Durante a migração, os dados
de grupo e os dados da política da instalação legada preenchem o banco de dados
do Symantec Endpoint Protection. A seguir, você implementa pacotes de instalação
aos clientes migrados.
Nota: Os servidores de gerenciamento migram os clientes legados.

Para migrar para o Symantec Endpoint Protection 191
Para migrar do Symantec AntiVirus ou do Symantec Client Security
Tabela 7-1 Resumo da migração
Tarefa Descrição
Prepare para a migração Execute as tarefas a seguir para preparar sua instalação legada para a migração:
legada no Symantec System
■ Desative as verificações agendadas
Center
A migração pode falhar se uma verificação estiver em execução durante a migração.
Consulte “Para desativar verificações agendadas no Symantec System Center”
na página 194.
■ Desative o LiveUpdate.
Poderão ocorrer conflitos se o LiveUpdate for executado nos computadores-cliente
durante a migração.
Consulte “Para desativar o LiveUpdate no Symantec System Center” na página 195.
■ Desative o serviço de roaming.
A migração poderá travar e sua conclusão falhar se o serviço de roaming estiver
em execução nos computadores-cliente.
Consulte “Para desativar o serviço de roaming no Symantec System Center”
na página 196.
■ Desbloqueie os grupos de servidores.
Você poderá encontrar resultados imprevisíveis se migrar do Symantec AntiVirus
antes de desbloquear os grupos de servidores.
Consulte “Desbloqueio de grupos de servidores no Symantec System Center”
na página 197.
■ Desative a Proteção contra adulterações.
A Proteção contra adulterações pode causar resultados imprevisíveis durante a
migração.
Consulte “Para desativar a Proteção contra adulterações no Symantec System
Center” na página 197.
■ Desinstale e exclua os servidores de relatório.
Desinstale os servidores de relatório e, opcionalmente, exclua os arquivos do banco
de dados.
Consulte “Desinstalação e exclusão de servidores de relatório” na página 198.
Para obter informações técnicas adicionais, veja sua documentação do software de

proteção antivírus legado da Symantec nas seguintes páginas do produto:
■ Symantec AntiVirus Corporate Edition (em inglês)

■ Symantec Client Security (em inglês)
Caminhos de migração suportados e não suportados no Symantec Endpoint Protection
Tarefa Descrição
Instalar o Symantec Use o Assistente de Migração para importar as configurações de grupo legado e das
Endpoint Protection Manager políticas do seu servidor do Symantec AntiVirus. O Assistente de Migração aparecerá
e migrar o grupo legado e as depois que você instalar e configurar o console de gerenciamento. Você pode também
configurações de política clicar em Menu Iniciar > Todos os Programas > Symantec Endpoint Protection
quando solicitado Manager > Ferramentas do Symantec Endpoint Protection Manager > Assistente
de Migração.
Você pode também ajustar as configurações dos grupos migrados e das políticas após
importá-los.
Consulte “Sobre grupos de computadores importados com o Assistente de Migração”

na página 199.
Consulte “Para importar configurações de grupos e de políticas com o Assistente de

Migração” na página 199.
Consulte “Para mover um computador-cliente para outro grupo” na página 235.
Para obter mais informações sobre como executar tarefas comuns entre o Symantec
System Center e o Symantec Endpoint Protection Manager, consulte: Guia de
Referência do Symantec Endpoint Protection Manager 12.1.x para Usuários do
Symantec System Center
Implementar o Implemente o cliente nos novos computadores-cliente.

software-cliente do Symantec
Endpoint Protection
Executar as tarefas Familiarize-se com a interface, os recursos e as funções do Symantec Endpoint

pós-migração Protection. Você pode executar muitas das mesmas tarefas que são feitas após uma
nova instalação para se familiarizar com o Symantec Endpoint Protection Manager.

na página 54.
Consulte “Recursos de upgrade para o Symantec Endpoint Protection 12.1”

na página 170.
Caminhos de migração suportados e não suportados

no Symantec Endpoint Protection
O Symantec Endpoint Protection detecta e migra o software de proteção antivírus
legado da Symantec.
Caminhos de migração suportados e não suportados no Symantec Endpoint Protection
Tabela 7-2 Caminhos de migração suportados e não suportados
Produto Descrição
Software de proteção Você pode migrar o software de proteção antivírus legado da

antivírus legado da Symantec para o Symantec Endpoint Protection.
Symantec A migração detecta e migra instalações do seguinte software de
proteção antivírus legado da Symantec:
■ Symantec AntiVirus Corporate Edition 10.x

■ Symantec Client Security 3.x
■ Symantec AntiVirus for Mac (apenas cliente)
A migração dos seguintes produtos legados não é suportada:
■ Symantec AntiVirus 9.x ou anterior

■ Symantec Client Security 2.x
■ Symantec Sygate Enterprise Protection 5.x
Você pode ignorar a migração da seguinte forma:
■ Desinstale o software de proteção antivírus legado da

Symantec de seus servidores e computadores-cliente.
■ Durante a instalação do Symantec Endpoint Protection
Manager, não selecione a opção de migração.
■ Após a instalação inicial do produto, use o Symantec
Endpoint Protection Manager para ajustar as configurações
da política e do grupo.
■ Instale o cliente do Symantec Endpoint Protection nos
computadores legados desprotegidos.
Consulte “Para migrar do Symantec AntiVirus ou do Symantec

Client Security” na página 190.
Consulte “Caminhos de migração suportados e não suportados

para o cliente Mac” na página 194.
Symantec Endpoint Você pode fazer o upgrade do Symantec Endpoint Protection

Protection do Symantec Endpoint Protection 11.x, do Small Business
Edition 12.0 ou de uma nova atualização da versão 12.1.
Consulte “Para fazer upgrade de uma nova versão do Symantec

Consulte “Caminhos suportados de upgrade para o cliente do

Consulte “Recursos de upgrade para o Symantec Endpoint Protection 12.1”

na página 170.
Caminhos de migração suportados e não suportados para o cliente Mac
Caminhos de migração suportados e não suportados

para o cliente Mac
A Tabela 7-3 exibe os produtos que podem ser migrados para o Symantec Endpoint
Protection para clientes Mac.
Tabela 7-3 Cainhos de migração do Symantec AntiVirus for Mac para o

Symantec Endpoint Protection cliente Mac
Migrar de Migrar para Suportado?
Cliente Symantec AntiVirus for Cliente Symantec Endpoint Sim

Mac gerenciado Protection for Mac
gerenciado

Mac não gerenciado Protection for Mac não
gerenciado

Mac não gerenciado Protection for Mac
gerenciado
Cliente Symantec AntiVirus for Cliente Symantec Endpoint Sim, mas as configurações
Mac gerenciado Protection for Mac não do cliente gerenciado são
gerenciado retidas.
Norton AntiVirus para Mac Cliente Symantec Endpoint Não. O cliente deve
Protection for Mac desinstalar os produtos
gerenciado ou não Norton antes de instalar o
gerenciado Symantec Endpoint
Protection.

na página 190.
Para desativar verificações agendadas no Symantec

System Center
Se uma verificação for agendada e estiver em execução enquanto ocorrer a
migração do cliente, esta poderá falhar. Uma melhor prática é desativar as
verificações agendadas durante a migração e, então, reativá-las depois da migração.
na página 190.
Para desativar o LiveUpdate no Symantec System Center
Para desativar verificações agendadas no Symantec System Center

1 No Symantec System Center, realize uma das seguintes ações:
■ Clique com o botão direito do mouse em um servidor de gerenciamento.
■ Clique com o botão direito do mouse em um grupo de clientes.
2 Clique em Todas as tarefas > Symantec AntiVirus > Verificações agendadas.

3 Na guia Verificações de servidor da caixa de diálogo Verificações agendadas,
desmarque todas as verificações agendadas.
4 Na guia Verificações do cliente, desmarque todas as verificações agendadas
e, em seguida, clique em OK.
5 Repita esse procedimento para todos os servidores de gerenciamento
principais, todos os servidores de gerenciamento secundários e todos os
grupos de clientes.
Para desativar o LiveUpdate no Symantec System

Center
Se o LiveUpdate estiver em execução nos computadores-cliente durante a migração,
poderão ocorrer conflitos. Consequentemente, é necessário desativar o LiveUpdate
nos computadores-cliente durante a migração.
na página 190.
Para desativar o LiveUpdate no Symantec System Center
1 No Symantec System Center, clique com o botão direito do mouse em um
grupo de servidores.
2 Clique em Todas as tarefas > Symantec AntiVirus > Gerenciador de
definições de vírus.
3 Na caixa de diálogo Gerenciador de definições de vírus, marque Atualizar
apenas o servidor principal deste grupo de servidores e, em seguida, clique
em Configurar.
4 Na caixa de diálogo Configurar atualizações do servidor principal, desmarque
Agendar para atualizações automáticas e, em seguida, clique em OK.
5 Na caixa de diálogo Gerenciador de definições de vírus, desmarque as seguintes
seleções:
■ Atualizar definições de vírus do servidor pai
Para desativar o serviço de roaming no Symantec System Center
■ Agendar cliente para receber atualizações automáticas usando o

LiveUpdate
■ Ativar o LiveUpdate contínuo
6 Marque Não permitir que o cliente inicie manualmente o LiveUpdate e, em

seguida, clique em OK.
7 Repita esse procedimento para todos os grupos de servidores, caso tenha mais
de um.
Para desativar o serviço de roaming no Symantec

System Center
Se o serviço de roaming estiver em execução nos computadores-cliente, a migração
poderá travar e não ser concluída. Se o serviço de roaming estiver ativado, será
necessário desativá-lo para iniciar a migração.
Nota: Se seus clientes em roaming executarem o Symantec AntiVirus versão 10.x,

desbloqueie seus grupos de servidores antes de desativar o serviço de roaming.
Essa prática ajuda a garantir que os clientes em roaming sejam autenticados
adequadamente com os certificados para seu servidor pai.
Para desativar o serviço de roaming no Symantec System Center

2 Clique em Todas as tarefas > Symantec AntiVirus > Opções de roaming do
cliente.
3 Na caixa de diálogo Opções de roaming do cliente, na caixa Validar pai a cada
minuto, digite 1.
4 Na caixa Procurar o pai mais próximo a cada minuto, digite 1, e depois clique
em OK.
5 Aguarde alguns minutos.
7 Clique em Todas as tarefas > Symantec AntiVirus > Opções de roaming do
cliente.
Desbloqueio de grupos de servidores no Symantec System Center
8 Na caixa de diálogo Opções de trânsito do cliente, desmarque Ativar roaming

em clientes que tiverem o serviço de roaming do Symantec AntiVirus
instalado.
9 Clique em OK.
na página 190.
Desbloqueio de grupos de servidores no Symantec

System Center
Se os grupos de servidores não forem desbloqueados antes da migração, poderão
ocorrer resultados imprevisíveis. Além disso, se o serviço de roaming estiver
ativado para clientes, o desbloqueio do grupo de servidores ajudará a garantir que
os clientes sejam autenticados corretamente em um servidor pai. Os clientes
autenticados corretamente em um servidor pai são colocados no banco de dados.
Os clientes colocados no banco de dados são exibidos automaticamente no grupo
legado correto no console, depois da instalação.
Para desbloquear um grupo de servidores
grupo de servidores bloqueado e, em seguida, clique em Desbloquear grupo
de servidores.
2 Na caixa de diálogo Desbloquear grupo de servidores, se necessário, digite
as credenciais de autenticação e, em seguida, clique em OK.
na página 190.
Para desativar a Proteção contra adulterações no

Symantec System Center
A Proteção contra adulterações impede que processos interfiram com os processos
da Symantec. Você deve desativar a Proteção contra adulterações antes da
migração. A Proteção contra adulterações pode causar resultados imprevisíveis
durante a migração.
na página 190.
Para desativar a Proteção contra adulterações no Symantec System Center
1 No Symantec System Center, realize uma das seguintes ações:
Desinstalação e exclusão de servidores de relatório
■ Clique com o botão direito do mouse em um servidor ou um grupo de

servidores e em Todas as tarefas > Symantec AntiVirus > Opções de
Proteção contra adulterações do cliente.
■ Clique com o botão direito do mouse em um servidor ou um grupo de
servidores e em Todas as tarefas > Symantec AntiVirus > Opções de
Proteção contra adulterações do servidor.
2 Se você usar o Symantec AntiVirus 10.1, em Proteção, desmarque Processos

e desmarque Objetos internos.
3 Desmarque Ativar a proteção contra adulterações.
4 Se você configurar Opções de proteção contra adulterações do cliente, poderá
clicar em Redefinir tudo. Esta opção propaga as configurações nesta guia a
todos os clientes anexados ao servidor ou ao grupo de servidores.
Desinstalação e exclusão de servidores de relatório

Se você instalou um ou mais servidores de relatório, será necessário desinstalar
esses servidores de relatório e, opcionalmente, excluir os arquivos do banco de
dados. Você também deve excluir servidores de relatório do Symantec System
Center. Informações completas sobre a desinstalação do servidor de relatório
estão disponíveis na ajuda online do Symantec System Center. Configurações
legadas foram armazenadas no registro do Windows. Todas as configurações estão
agora armazenadas em um banco de dados juntamente com os dados de relatórios.
na página 190.
Para desinstalar os servidores de relatório
1 Faça logon em um computador em que o servidor de relatório seja executado.
2 Clique em Iniciar > Configurações > Painel de controle> Adicionar ou
remover programas.
3 Na caixa de diálogo Adicionar ou remover programas, clique em Symantec
Reporting Server e clique em Remover.
4 Siga os avisos na tela até excluir o servidor de relatório.
5 Repita esse procedimento para todos os servidores de relatório.
Para excluir servidores de relatório do Symantec System Center
1 No Symantec System Center, clique com o botão direito do mouse e selecione
para expandir Relatório.
2 Clique com o botão direito do mouse em cada servidor de relatório e clique
em Excluir.
Sobre grupos de computadores importados com o Assistente de Migração
Sobre grupos de computadores importados com o

Assistente de Migração
Você importa grupos de computadores do Symantec AntiVirus ou do Symantec
Client Security com Assistente de Migração. O assistente cria um grupo filho
Minha empresa para cada grupo legado importado. O nome do grupo filho Minha
empresa é uma concatenação de cada grupo legado e de seus grupos filho legados.
Por exemplo, suponhamos que o grupo legado Clientes contenha os grupos filho
legados Grupo_de_clientes1 e Grupo_de_clientes2. Os nomes do grupo filho Minha
empresa são Clientes, Clientes.Grupo_de_clientes1 e Clientes.Grupo_de_clientes2.
Consulte “Para importar configurações de grupos e de políticas com o Assistente
de Migração” na página 199.
na página 190.
Para importar configurações de grupos e de políticas

com o Assistente de Migração
O seguinte procedimento usa o Assistente de Migração para importar as
configurações do grupo e das políticas do Symantec AntiVirus Corporate Edition
e do Symantec Client Security.
Você pode executar o Assistente de Migração durante a instalação inicial do
produto. Você também pode executar o Assistente de Migração no menu Iniciar
no computador que hospeda o Symantec Endpoint Protection Manager.
Para importar as configurações dos grupos e das políticas com o Assistente de
Migração
1 Inicie o Assistente de Migração, caso seja necessário.
Para iniciar o Assistente de Migração no computador do console, no menu
Iniciar, clique em Todos os programas > Symantec Endpoint Protection
Manager > Symantec Endpoint Protection Manager Ferramentas >
Assistente de Migração.
2 No painel Assistente de Migração, clique em Avançar.
3 No painel Assistente de Migração, especifique as seguintes configurações:
Para importar configurações de grupos e de políticas com o Assistente de Migração
Configurações de Especifique onde as configurações de política do servidor são

política do servidor configuradas.
Selecione uma das opções a seguir:
■ Grupo de servidores
■ Cada servidor-pai
Configurações de Especifique onde as configurações de política do cliente são

política do cliente configuradas.
Selecione uma das opções a seguir:
■ Grupo do servidor ou grupo do cliente

■ Cada servidor-pai
4 Clique em Avançar.
5 No painel Assistente de Migração, selecione uma das seguintes opções:
Detectar servidores Esta opção importa as configurações de todos os servidores.

automaticamente Digite o endereço IP de um computador que execute o
Symantec System Center.
Adicionar servidor Esta opção importa as configurações de um único servidor e

dos clientes que gerencia. Digite o endereço IP de um
computador que execute um servidor.
7 Siga os prompts na tela para concluir a migração.
na página 190.
Capítulo 8
Para gerenciar sites e
replicação
■ Para configurar sites e replicação
■ Sobre como determinar de quantos sites você precisa
■ Como a replicação funciona
■ Replicação dos dados sob demanda
■ Como alterar o agendamento de replicação automática
■ Como especificar que dados replicar
■ Para excluir parceiros de replicação
■ Para readicionar um parceiro de replicação que você excluiu previamente
Para configurar sites e replicação

Um site consiste em um banco de dados, um ou mais servidores de gerenciamento
e clientes. Por padrão, você implementa o Symantec Endpoint Protection com um
único site. Empresas com mais de um datacenter ou local físico geralmente usam
vários sites.
A Tabela 8-1 exibe as etapas a serem seguidas para configurar sites adicionais e
a replicação.
202 Para gerenciar sites e replicação
Para configurar sites e replicação
Tabela 8-1 Processo para configurar sites
Etapas Tarefas Descrição
Etapa 1 Determine se você precisa Antes de configurar vários sites e a replicação, certifique-se de que isto é
adicionar outro site. necessário. A Symantec recomenda a você configurar a replicação somente
em circunstâncias específicas. Se você adicionar um site, decida que design
de site funciona para sua organização.
Consulte “Sobre como determinar de quantos sites você precisa” na página 203.
Para obter mais informações sobre a configuração da replicação, consulte o

seguinte artigo da base de conhecimento: Quando usar a replicação com o
Symantec Endpoint Protection Manager (em inglês)
Consulte “Como a replicação funciona” na página 205.
Etapa 2 Instale o Symantec Endpoint Quando você instalar o Symantec Endpoint Protection pela primeira vez, por
Protection Manager no padrão terá instalado o primeiro site ou o site local.
primeiro site.
na página 99.
Etapa 3 Instale o Symantec Endpoint Você pode instalar o servidor de gerenciamento do segundo site usando o
Protection Manager no Assistente de Configuração do servidor de gerenciamento. No assistente,
segundo site. clique na opção Instalar um site adicional e siga as instruções no assistente.
O segundo servidor de gerenciamento é classificado como um site remoto e

chamado de parceiro de replicação.
Quando você adicionar o segundo site como um parceiro de replicação, execute
as tarefas a seguir:
■ Por padrão, a replicação é agendada para ocorrer automaticamente.
Contudo, você pode mudar a agenda de replicação, com base na quantidade
de espaço em disco que está disponível.
Consulte “Como alterar o agendamento de replicação automática”
na página 209.
■ Escolha se irá replicar logs, pacotes de instalação do cliente ou conteúdo
do LiveUpdate.
Consulte “Como especificar que dados replicar” na página 210.
A Symantec recomenda adicionar um máximo de quatro sites ao farm de

sites.
Para obter informações sobre como configurar a replicação, consulte o

seguinte vídeo: Conceitos e configuração da replicação (em inglês)
Para gerenciar sites e replicação 203
Sobre como determinar de quantos sites você precisa
Etapas Tarefas Descrição
Etapa 4 Replicar os dados entre os A primeira vez que os bancos de dados entre os dois sites forem replicados,
dois sites aguarde a replicação ser concluída completamente. A replicação pode levar
bastante tempo, pois o banco de dados inteiro é replicado.
Convém replicar os dados imediatamente, em vez de aguardar até que o banco
de dados esteja agendado para replicar. Você também pode mudar a agenda
de replicação para ocorrer mais cedo ou mais tarde.
Consulte “Replicação dos dados sob demanda” na página 208.
Consulte “Como alterar o agendamento de replicação automática”

na página 209.
Após configurar o Symantec Endpoint Protection, será necessário fazer backup

do banco de dados, que contém todas as suas mudanças de configuração.
Se você excluir um parceiro de replicação para migrar ou para fazer upgrade para
a versão mais recente do servidor de gerenciamento, deverá adicionar novamente
o parceiro de replicação.
Consulte “Para excluir parceiros de replicação” na página 211.
Consulte “Para readicionar um parceiro de replicação que você excluiu
previamente” na página 211.
Consulte “Para conectar-se a um servidor de diretório em um site replicado”
na página 229.

A maioria das organizações pequenas e médias necessitam apenas de um único
site para gerenciar centralmente a segurança da rede. Como cada site tem um
banco de dados apenas, todos os dados estão localizados centralmente.
Mesmo uma grande organização com um único local geográfico normalmente
precisa de apenas um site. Mas para as organizações que são demasiado complexas
para gerenciar centralmente, é necessário usar uma arquitetura de gerenciamento
distribuído com vários sites.
Você deve considerar vários sites para qualquer um dos seguintes fatores:
■ Um grande número de clientes.
■ O número de locais geográficos e o tipo de links de comunicação entre eles.
■ O número de divisões funcionais ou de grupos administrativos.
■ O número de datacenters. Uma melhor prática é configurar um site do Symantec

Endpoint Protection para cada datacenter.
■ Com que frequência você deseja a atualização do conteúdo.
■ Quantos dados de log de cliente você precisa reter, por quanto tempo precisa
retê-los e onde eles devem ser armazenados.
■ Um link de WAN lento entre vários locais físicos com milhares de clientes. Se
você configurar um segundo site com seu próprio servidor de gerenciamento,
será possível minimizar o tráfego do servidor-cliente sobre esse link lento.
Com menos clientes, você deve usar o Provedor de atualizações de grupo.
Consulte “Para usar Provedores de atualizações de grupo para distribuir
conteúdo aos clientes ” na página 632.
■ Qualquer gerenciamento corporativo variado e considerações de gerenciamento
de segurança de TI que sejam exclusivos.
Use as seguintes diretrizes de tamanho para decidir quantos sites instalar:
■ Instale o mínimo de sites possível, até um máximo de 20 sites. Você deve manter
o número de sites replicados abaixo de cinco.
■ Conecte até 10 servidores de gerenciamento para um banco de dados.
■ Conecte de 45.000 a 50.000 clientes para um servidor de gerenciamento.
Após adicionar um site, será necessário duplicar as informações do site em vários
sites através da replicação. A replicação é o processo de compartilhamento de
informações entre os bancos de dados, a fim de garantir que o conteúdo seja
consistente.
A Tabela 8-2 exibe os designs multissite dos quais você pode escolher.
Tabela 8-2 Designs multissite
Design do site Descrição
Distribuídas Cada site executa a replicação bidirecional de grupos e políticas, mas

não de logs e conteúdo. Para exibir os relatórios do site, você usa o
console para se conectar a um servidor de gerenciamento no site remoto.
Use este design quando você não precisar de acesso imediato aos dados
do site remoto.
Registro em log Todos os logs são encaminhados de outros sites para um site central.
centralizado
Use este design quando você exigir geração de relatórios centralizada.
Como a replicação funciona
Design do site Descrição
Alta Cada site tem várias instalações de servidores de gerenciamento e

disponibilidade clusters de banco de dados. Você poderá configurar computadores-cliente
para alternar automaticamente para um servidor de gerenciamento
alternativo se o servidor de gerenciamento primário se tornar
indisponível.
Use este design para fornecer redundância, failover e recuperação após

desastres.
Nota: Quando você usar a replicação com um banco de dados
incorporado, a Symantec recomenda que você não adicione o
balanceamento de carga, porque poderá resultar em inconsistência e
perda dos dados.
Consulte “Configuração do failover e balanceamento de carga”

na página 797.
Nota: Não adicione sites que controlam clientes adicionais. Em vez disso, é possível
instalar dois ou mais servidores de gerenciamento e usar a lista de servidores de
gerenciamento.
Para obter mais informações sobre se você deve ou não configurar a replicação,
veja o seguinte artigo da base de conhecimento: When to use replication with
Symantec Endpoint Protection Manager (em inglês)

A replicação permite que os dados sejam duplicados entre bancos de dados em
sites separados, de modo que ambos os bancos de dados contenham as mesmas
informações. Se um banco de dados falhar, você pode gerenciar cada site usando
as informações no banco de dados do segundo site.
Um parceiro é um servidor de gerenciamento em outro site com um servidor de
gerenciamento e um banco de dados diferentes. Um site poderá ter muitos
parceiros, conforme necessário. Cada parceiro ou site remoto, conecta-se ao site
principal ou ao site local, que é o site ao qual você está conectado. Todos os sites
configurados como parceiros são considerados como estando no mesmo farm do
site.
Cada site com o qual você replica dados é um parceiro de replicação ou um site
parceiro. Os parceiros de replicação e os sites parceiros usam vários servidores
de gerenciamento, mas o banco de dados que eles usam e a maneira de se
comunicarem são diferentes:
■ os parceiros de replicação podem usar um banco de dados interno ou um banco
de dados do Microsoft SQL Server. Os servidores de gerenciamento não
compartilham o banco de dados. Todos os parceiros de replicação compartilham
uma chave de licença comum.
Se você usar um banco de dados incorporado, será possível conectar apenas
um Symantec Endpoint Protection Manager. Se você usar um banco de dados
Microsoft SQL Server, será possível conectar vários servidores de
gerenciamento que compartilham um banco de dados. Somente um dos
servidores de gerenciamento precisa ser configurado como parceiro de
replicação.
■ Os sites parceiros compartilham um único banco de dados do Microsoft SQL.
As mudanças que você faz em qualquer parceiro são duplicadas a todos parceiros
restantes. Por exemplo, é recomendável configurar um site no seu escritório
principal (site 1) e um segundo site (site 2). O site 2 é um parceiro para o site 1. Os
bancos de dados do site 1 e do site 2 são reconciliados usando a agenda de
replicação. Se for feita uma alteração no site 1, ela será exibida automaticamente
no site 2 depois que a replicação ocorrer. Se for feita uma alteração no site 2, ela
será exibida automaticamente no site 1 depois que a replicação ocorrer. Você
também pode instalar um terceiro site (site 3) que possa replicar dados do site 1
ou do 2.
Depois que a replicação ocorre, o banco de dados no site 1 e o banco de dados no
site 2 são os mesmos. Somente as informações de identificação do computador
dos servidores diferem.
Os grupos e as políticas são replicados sempre. Você pode optar por replicar logs,
conteúdo atualizado e patches.
Figura 8-1 Como a replicação funciona entre o site principal e dois sites
remotos
Site 1 Site 2
Symantec Endpoint Symantec

Protection Manager Endpoint
Protection
Manager
Banco de dados Banco de dados

MS SQL MS SQL
Replicação
Replicação
Site 3
Symantec Endpoint
Protection Manager
Banco de
dados MS SQL
Consulte “Como resolver conflitos dos dados entre sites durante a replicação”
na página 207.
Para obter mais informações sobre com que frequência replicar, consulte o seguinte
artigo da base de conhecimento: The Philosophy of SEPM Replication Setup (em
inglês)
Como resolver conflitos dos dados entre sites durante a replicação

Se os administradores alterarem as configurações nos sites em um farm de sites,
poderão ocorrer conflitos.
A Tabela 8-3 exibe as maneiras usadas pelo Symantec Endpoint Protection Manager
para controlar os conflitos que ocorrerem.
Replicação dos dados sob demanda
Tabela 8-3 Como o servidor de gerenciamento resolve conflitos entre sites
Tipo de conflito Exemplo Resolução
Duas diferenças não Os administradores para ambos O servidor de gerenciamento retém apenas a alteração
podem existir em os sites 1 e 2 definem uma recentemente feita.
conjunto. configuração idêntica da política
Por exemplo, se você primeiramente fizer uma mudança
de firewall. No site 1, a
no site 1 e depois no site 2, a alteração feita no site 2 será
configuração é ativada. No site 2,
mantida.
a configuração é desativada.
A mesma variável é Os administradores no site 1 e no O servidor de gerenciamento retém ambas as alterações,

criada para ambos os 2 adicionam um grupo com o adicionando um til e o numeral 1 (~1) após a variável
sites. mesmo nome. mais recentemente feita.
Por exemplo, com dois grupos nomeados como Vendas,

o grupo recentemente chamado de Vendas transforma-se
em Vendas ~1.
Os dados podem ser O administrador do site 1 O servidor de gerenciamento mescla as alterações

mesclados sem adiciona duas políticas de
Por exemplo, o servidor de gerenciamento exibe todas
conflito. firewall; o administrador do site
as sete políticas de firewall em ambos os sites.
2 adiciona cinco políticas de
firewall.
Replicação dos dados sob demanda

A replicação geralmente ocorre de acordo com o agendamento definido quando
você adicionou um parceiro de replicação durante a instalação. O site com o menor
número de ID inicia a replicação agendada. Convém realizar a replicação
imediatamente.
Se você usar o banco de dados do Microsoft SQL Server com mais de um servidor,
poderá somente iniciar a replicação pelo primeiro servidor nesse site.
Agendamento da replicação por solicitação
2 Em Servidores, expanda Parceiros de replicação e selecione o parceiro cujo
banco de dados você quer replicar imediatamente.
3 Em Tarefas, clique em Replicar agora.
Como alterar o agendamento de replicação automática
4 Clique em Sim.
5 Clique em OK.
Como alterar o agendamento de replicação

automática
A replicação geralmente ocorre de acordo com o agendamento que você definiu
quando adicionou um parceiro de replicação durante a instalação inicial. O site
com o menor número de ID inicia a replicação agendada. Quando um parceiro de
replicação tiver sido estabelecido, você poderá alterar o agendamento de replicação.
Quando você altera o agendamento em um parceiro de replicação, o agendamento
em ambos os lados é o mesmo após a próxima replicação.
O tempo que leva para replicar depende do tamanho do banco de dados, assim
como da conexão de rede entre os sites. Primeiro, teste um ciclo de replicação para
ver quanto tempo leva. Você deve agendar sua replicação com base nesse período
de tempo e certificar-se de que o momento em que os servidores de gerenciamento
duplicarem dados não coincida.
Após a replicação completa inicial do banco de dados, as replicações subsequentes
serão razoavelmente pequenas, se você replicar somente políticas, clientes e
grupos, e não logs.
Para alterar frequências de replicação
2 Em Servidores, clique em Parceiros de replicação.
3 Em Tarefas, clique em Editar parceiro de replicação.
4 Na caixa de diálogo Editar parceiro de replicação, especifique o agendamento
da replicação entre os dois parceiros seguindo uma destas etapas:
■ Selecione Replicação automática.
Com isso, uma replicação automática e frequente ocorre entre dois sites.
Essa opção é a configuração padrão. Portanto, você não pode definir um
agendamento personalizado para uma replicação.
Nota: A opção Replicação automática executa o processo de replicação a

cada duas horas. As versões anteriores do produto foram replicadas
automaticamente a cada cinco minutos.
Como especificar que dados replicar
■ Desmarque Replicação automática.

Agora você pode definir um agendamento personalizado para uma
replicação.
■ Selecione a Frequência de replicação de hora em hora, diariamente
ou semanalmente.
■ Selecione o dia específico durante o qual você deseja que a replicação
ocorra na lista Dia da semana para configurar um agendamento
semanal.
5 Clique em OK.
Como especificar que dados replicar

Você pode optar por replicar ou duplicar pacotes de cliente, conteúdo do
LiveUpdate e os logs entre o site local e o remoto. O administrador no site remoto
pode então implementar o pacote do cliente e o conteúdo do LiveUpdate.
Se decidir replicar pacotes do cliente e o conteúdo do LiveUpdate, você poderá
duplicar um volume grande de dados. Os dados em um pacote de cliente podem
ser tão grandes quanto 5 GB. Os pacotes de instalação de 32 e 64 bits do Symantec
Endpoint Protection e do Symantec Network Access Control podem exigir até 500
MB de espaço em disco. Se pretender replicar logs, certifique-se de ter suficiente
espaço em disco para os logs adicionais em todos os servidores parceiros de
replicação.
Para especificar que dados replicar
2 Em Servidores, clique em Parceiros de replicação.
3 Expanda Parceiros de replicação e selecione o parceiro de replicação com o
qual você deseja replicar pacotes de clientes.
4 Em Tarefas, clique em Editar propriedades do parceiro de replicação.
5 Na caixa de diálogo Propriedades do parceiro de replicação, clique em
Replicar pacotes de clientes e conteúdo do LiveUpdate entre o site local e
o site de parceiro.
6 Clique em OK.
Para excluir parceiros de replicação
Para excluir parceiros de replicação

Quando você remover um servidor de gerenciamento em um site remoto, você
precisará excluí-lo manualmente de todos os sites. Desinstalar o software de um
console do servidor de gerenciamento não faz com que o ícone desapareça do
painel Servidores em outros consoles.
Para excluir um parceiro de replicação
1 No console, clique em Admin.
2 Em Tarefas, clique em Servidores.
3 Expanda Sites remotos e selecione o site que você planeja excluir.
4 Em Tarefas, clique em Excluir site remoto.
5 Clique em Sim.
Consulte “Para readicionar um parceiro de replicação que você excluiu
previamente” na página 211.
Para readicionar um parceiro de replicação que você

excluiu previamente
Você pode adicionar um parceiro de replicação que tenha sido excluído
anteriormente como um parceiro. Por exemplo, você deve excluir parceiros de
replicação para poder migrar ou fazer upgrade à versão mais recente do servidor
de gerenciamento. Posteriormente, é possível adicionar esse parceiro de replicação
de volta para tornar os bancos de dados consistentes. No entanto, algumas
alterações podem ter conflito. Se você adicionar um parceiro excluído, o servidor
de gerenciamento a que deseja se conectar deverá previamente ter sido um parceiro
no mesmo farm do site.
Para readicionar um parceiro de replicação que você excluiu previamente
2 Em Servidores, selecione um site.
3 Em Tarefas, clique em Adicionar parceiro de replicação existente.
4 No Assistente de Especificação de parceiro de replicação existente, clique
em Avançar.
5 No painel Informações do site remoto, digite o endereço IP ou o nome do
host e o número da porta do servidor de gerenciamento que é o parceiro de
replicação.
Para readicionar um parceiro de replicação que você excluiu previamente
6 Digite o nome de usuário e a senha do administrador para o servidor do

gerenciamento remoto e clique em seguida em Avançar.
7 No painel Agendar replicação, especifique o agendamento da replicação
entre os dois parceiros seguindo estas etapas:
■ Selecione Replicação automática.
Com isso, uma replicação automática e frequente ocorre entre dois sites.
■ Para configurar um agendamento personalizado para a replicação, marque
Replicação automática e especifique o agendamento.
9 No painel Replicação de arquivos de log e pacotes de clientes, marque ou
desmarque as opções, dependendo se você quer ou não replicar logs.
10 Na caixa de diálogo Adicionar parceiro de replicação execute um destes
procedimentos:
■ Se o banco de dados foi restaurado no site do parceiro de replicação, clique
em Sim.
Você deve restaurar o banco de dados em cada site do parceiro de
replicação antes de continuar, caso esteja fazendo um upgrade ou
restaurando um banco de dados.
■ Clique em Não se o banco de dados não foi restaurado.
Em seguida, restaure o banco de dados e reinicie esse procedimento.
O parceiro de replicação é adicionado em Parceiros de replicação na página
Administrador.
Consulte “Para excluir parceiros de replicação” na página 211.
Capítulo 9
Para gerenciar o Symantec
Endpoint Protection no
Protection Center
■ Sobre o Symantec Endpoint Protection e o Protection Center
■ Sobre como fazer upgrade para o Protection Center versão 2
■ Sobre a configuração do Symantec Endpoint Protection no Protection Center
■ Sobre como configurar vários domínios do Symantec Endpoint Protection no

Protection Center
■ Configuração da comunicação entre o Symantec Endpoint Protection Manager

e o Protection Center
Sobre o Symantec Endpoint Protection e o Protection

Center
O Protection Center permite gerenciar o Symantec Endpoint Protection junto com
outros produtos da Symantec em um único ambiente. O Symantec Endpoint
Protection é integrado ao Protection Center por meio de uma série de serviços da
Web. Estes serviços da Web fornecem comunicação entre o servidor do Symantec
Endpoint Protection Manager e o servidor do Protection Center.
Você pode executar as tarefas a seguir no Protection Center:
■ Executar o console do Symantec Endpoint Protection Manager no Protection
Center junto com os consoles de outros produtos da Symantec.
214 Para gerenciar o Symantec Endpoint Protection no Protection Center
Sobre como fazer upgrade para o Protection Center versão 2
O console do Symantec Endpoint Protection Manager no Protection Center é

quase idêntico ao console autônomo. As opções das funções principais que
aparecem à esquerda da janela do console na versão autônoma; porém,
aparecem na parte superior no Protection Center.
■ Executar os relatórios que contenham dados do Symantec Endpoint Protection
e de outros produtos, como o Symantec Messaging Gateway.
Os serviços da Web de feed de dados definem que dados do Symantec Endpoint
Protection são gravados no banco de dados do Protection Center.
■ Inicie os fluxos de trabalho do Protection Center que incluem tarefas do
Symantec Endpoint Protection. O Protection Center fornece os seguintes fluxos
de trabalho do Symantec Endpoint Protection:
■ Fluxo de trabalho do endpoint em quarentena
■ Mover fluxo de trabalho do endpoint
■ Atualizar definições de vírus no fluxo de trabalho do endpoint
■ Atualizar definições de vírus e fluxo de trabalho do endpoint da verificação
Outros produtos podem fornecer tarefas ou conjuntos de pontos de integração

diferentes. Para obter mais informações sobre como os produtos podem ser
integrados ao Protection Center, consulte a documentação do Protection Center.
Consulte “Sobre como fazer upgrade para o Protection Center versão 2”
na página 214.
Consulte “Sobre a configuração do Symantec Endpoint Protection no Protection
Consulte “Sobre como configurar vários domínios do Symantec Endpoint Protection
no Protection Center” na página 216.
Consulte “Configuração da comunicação entre o Symantec Endpoint Protection
Manager e o Protection Center” na página 217.
Para obter mais informações, consulte Guia de Integração do Symantec Endpoint
Protection e do Symantec Protection Center.
Sobre como fazer upgrade para o Protection Center

versão 2
Para fazer upgrade para o Protection Center versão 2, execute uma instalação
nova. Em seguida adicione o Symantec Endpoint Protection ao Protection Center.
O processo de adição é semelhante a adicionar produtos na versão 1.
Para gerenciar o Symantec Endpoint Protection no Protection Center 215
Sobre a configuração do Symantec Endpoint Protection no Protection Center

Porém, a configuração de contas no Protection Center para acessar produtos
integrados é diferente. Para obter mais informações, consulte a documentação do
Protection Center.
Sobre a configuração do Symantec Endpoint

Protection no Protection Center
Configure o Symantec Endpoint Protection no Protection Center executando as
tarefas a seguir:
■ Adicione o servidor do Symantec Endpoint Protection Manager ao Protection
Center e ative o servidor.
■ Crie contas do Protection Center para acessar o Symantec Endpoint Protection
e seus outros produtos integrados.
■ Mapeie as contas do Protection Center às contas apropriadas no Symantec
Endpoint Protection e em seus outros produtos integrados.
Para obter informações detalhadas sobre como adicionar produtos e criar contas,
consulte a documentação do Protection Center.
Você deve configurar vários domínios individualmente. Se o Symantec Endpoint
Protection Manager incluir apenas o domínio padrão, você não precisará especificar
informações do domínio no Protection Center.
Consulte “Sobre como configurar vários domínios do Symantec Endpoint Protection
no Protection Center” na página 216.
Nota: No Protection Center versão 1, é possível adicionar o Symantec Endpoint

Protection usando uma conta de administrador limitado que tenha direitos de
geração de relatórios. Na versão 2, é necessário usar uma conta de administrador
do sistema ou de administrador de domínio.
O Protection Center pode descobrir automaticamente os servidores do Symantec

Endpoint Protection Manager na rede. Por padrão, esta descoberta de rede é ativada
no Symantec Endpoint Protection Manager. Se você a desativou, poderá adicionar
o Symantec Endpoint Protection Manager manualmente. Para obter detalhes
sobre como adicionar um produto manualmente, consulte a documentação do
Protection Center.
Sobre como configurar vários domínios do Symantec Endpoint Protection no Protection Center
Sobre como configurar vários domínios do Symantec

Endpoint Protection no Protection Center
Para gerenciar vários domínios do Symantec Endpoint Protection no Protection
Center, é necessário adicionar cada domínio ao Protection Center separadamente.
Você deve especificar o domínio como parte do nome de usuário no formulário
<nome_de_domínio>\ nome_da_conta.
Nota: Os domínios do Symantec Endpoint Protection são equivalentes a locatários

no Protection Center. Você fornecerá também o nome de domínio no campo do
locatário quando adicionar um domínio do Symantec Endpoint Protection ao
Protection Center.
Quando configurar o Symantec Endpoint Protection Manager, você configurará

portas para seu sistema inteiro. Você pode usar as portas padrão ou pode
especificar portas personalizadas. Quando adicionar vários domínios no Protection
Center, será necessário especificar estas portas para cada domínio adicionado. Os
números da porta são os mesmos, mas o Protection Center exige que você os
forneça para cada domínio.
A Tabela 9-1 exibe os termos que o Protection Center usa para se referir às portas
Tabela 9-1 Nomes de porta
Nome de porta do Protection Nome de porta do Symantec Endpoint Protection

Center Manager
Porta do feed de dados Porta dos serviços da Web
Porta do registro Porta dos serviços da Web
Porta do console Porta do servidor

Para gerenciar o Symantec Endpoint Protection no Protection Center 217
Configuração da comunicação entre o Symantec Endpoint Protection Manager e o Protection Center
Configuração da comunicação entre o Symantec

Endpoint Protection Manager e o Protection Center
Você pode adicionar um Symantec Endpoint Protection Manager ao Protection
Center usando as configurações padrão de comunicação que serão instaladas
quando instalar o Symantec Endpoint Protection Manager.
Em alguns casos, porém, pode ser necessário mudar algumas destas configurações.
Para configurar a comunicação entre o Symantec Endpoint Protection Manager e
o Protection Center
1 No console, clique em Administrador > Servidores > Nome do servidor >
Editar propriedades do site.
2 Na guia Serviços da Web, altere algumas das seguintes configurações:
Feeds de dados Se os feeds de dados do Protection Center consumirem muito de

sua largura de banda da rede, você poderá alterar estas
configurações.
Nota: Os feeds de dados são informados continuamente ao
Protection Center.
Tamanho do fluxo Eventos acionam os fluxos de trabalho do Protection Center. Os

de trabalho fluxos de trabalho são, portanto, menos frequentes do que os
feeds de dados. Convém usar estas configurações para refinar o
quanto os fluxos de trabalho do Protection Center solicitam dados
do Symantec Endpoint Protection.
Descoberta de rede Se você desativar a descoberta de rede, será necessário adicionar

o Symantec Endpoint Protection Manager ao Protection Center
manualmente. Consulte a documentação do Protection Center
para obter mais informações.
Autenticação Permite a autenticação baseada em sessão para que o suporte

técnico da Symantec ou os engenheiros de vendas gravem
ferramentas com base em serviço da Web para ajudar a otimizar
seu ambiente.
3 Clique em OK.
Para informações mais detalhadas sobre estas configurações, consulte a ajuda
contextual do painel Serviços da Web.
Consulte “Para ativar ou desativar os serviços da Web do Symantec Endpoint
Protection Manager” na página 780.
Configuração da comunicação entre o Symantec Endpoint Protection Manager e o Protection Center

Seção 2
Para gerenciar grupos,
clientes e administradores
■ Capítulo 10. Para gerenciar grupos de computadores-cliente
■ Capítulo 11. Para gerenciar clientes
■ Capítulo 12. Para gerenciar clientes remotos
■ Capítulo 13. Para gerenciar domínios
■ Capítulo 14. Para gerenciar contas de administrador e senhas

220
Capítulo 10
Para gerenciar grupos de
computadores-cliente
■ Para gerenciar grupos de clientes
■ Como você pode estruturar grupos
■ Adição de um grupo
■ Para importar grupos existentes e computadores de um servidor Active

Directory ou LDAP
■ Atribuição de clientes a grupos antes de instalar o software-cliente
■ Como desativar e ativar a herança de um grupo
■ Para impedir que computadores-cliente sejam adicionados a grupos
■ Para mover um computador-cliente para outro grupo
Para gerenciar grupos de clientes

No Symantec Endpoint Protection Manager, os grupos funcionam como containers
para os endpoints que executam o software-cliente. Estes endpoints podem ser
computadores ou usuários. Você organiza os clientes que tenham necessidades
da segurança semelhantes em grupos para facilitar o gerenciamento da segurança
da rede.
O Symantec Endpoint Protection Manager contém os seguintes grupos padrão:
■ O grupo Minha empresa é o grupo de nível superior, ou pai. Contém uma árvore
simples de grupos filho.
222 Para gerenciar grupos de computadores-cliente
Para gerenciar grupos de clientes
■ O Grupo padrão é um subgrupo de Minha empresa. Os clientes são primeiro

atribuídos ao Grupo padrão quando eles são registrados pela primeira vez
com o Symantec Endpoint Protection Manager, a menos que pertençam a um
grupo predefinido. Você não pode criar subgrupos em Grupo padrão.
Nota: Você não pode renomear ou excluir os grupos padrão.
Tabela 10-1 Ações de gerenciamento de grupo
Tarefa Descrição
Adicionar grupos Consulte “Como você pode estruturar grupos” na página 223.
Importar grupos existentes Se sua organização já tem uma estrutura de grupo existente,
é possível importar os grupos como unidades
organizacionais.
Nota: Você não pode gerenciar unidades organizacionais
importadas da mesmas maneira que gerencia os grupos
criados no Symantec Endpoint Protection Manager.
Consulte “Para importar grupos existentes e computadores

de um servidor Active Directory ou LDAP” na página 225.
Desativar herança para Os subgrupos herdam as mesmas configurações de

subgrupos segurança do grupo pai por padrão. Você pode desativar a
herança.
Consulte “Como desativar e ativar a herança de um grupo”

na página 233.
Criar locais dentro de grupos Você pode configurar os clientes para alternar
automaticamente para uma política de segurança diferente
se o local físico do cliente mudar.
Consulte “Gerenciamento de locais para clientes remotos”

na página 267.
Algumas configurações de segurança são específicas de

grupo e outras são específicas do local. Você pode
personalizar quaisquer configurações que forem específicas
do local.
Consulte “Configuração de definições de comunicação para

um local” na página 277.
Para gerenciar grupos de computadores-cliente 223
Como você pode estruturar grupos
Tarefa Descrição
Atribuir clientes a grupos Consulte “Atribuição de clientes a grupos antes de instalar

antes de instalar o o software-cliente” na página 232.
software-cliente
Gerenciar políticas de Você pode criar políticas de segurança baseadas nas

segurança para grupos necessidades de cada grupo. Assim, você poderá atribuir
políticas diferentes a grupos ou locais diferentes.
Consulte “Adição de política” na página 317.
Consulte “Atribuição de uma política a um grupo”

na página 321.
Consulte “Para executar as tarefas comuns a todas as

políticas de segurança” na página 310.
Executar manutenção de Você pode mover grupos para um gerenciamento mais fácil
grupo básica e mover clientes entre grupos. Também é possível bloquear
a adição de clientes a um grupo específico.
Consulte “Para mover um computador-cliente para outro

grupo” na página 235.
Consulte “Para impedir que computadores-cliente sejam

adicionados a grupos” na página 234.
Como você pode estruturar grupos

Você pode criar vários grupos e subgrupos para que correspondam à estrutura
organizacional de sua empresa. Você pode embasar sua estrutura de grupo no
papel, na função, na geografia ou em uma combinação de critérios.
Tabela 10-2 Critérios para criar grupos
Critério Descrição
Função Você pode criar os grupos com base nos tipos de computadores a serem
gerenciados, como laptops, desktops e servidores. Como alternativa, é
possível criar vários grupos que são baseados no tipo de uso. Por exemplo,
você pode criar um grupo remoto para os computadores-cliente usados em
trânsito e um grupo local para os computadores-cliente que permanecem
no escritório.
Função Você pode criar grupos para funções de departamento, tais como vendas,
engenharia, finanças e marketing.
Adição de um grupo
Critério Descrição
Geografia Você pode criar os grupos com base nos escritórios, nas cidades, nos estados,
nas regiões ou nos países onde os computadores estão localizados.
Combinação Você pode criar os grupos com base em uma combinação de critérios. Por
exemplo, é possível usar o papel e a função.
Você pode adicionar um grupo pai por atividade e adicionar subgrupos filhos
por função, como no seguinte cenário:
■ Vendas, com subgrupos de laptops, desktops e servidores.

■ Engenharia, com subgrupos de laptops, desktops e servidores.
Depois de organizar os computadores-cliente no grupo, você poderá aplicar a

quantidade apropriada de segurança a esse grupo.
Por exemplo, suponha que uma empresa tem departamentos de telemarketing e
de contabilidade. Esses departamentos têm funcionários nos escritórios de Nova
York, Londres e Frankfurt da empresa. Todos os computadores de ambos os
departamentos são atribuídos ao mesmo grupo de modo a receber atualizações
das definições de vírus e de risco à segurança da mesma origem. Porém, os
relatórios de TI indicam que o departamento de telemarketing é mais vulnerável
a riscos que o departamento de contabilidade. Como resultado, o administrador
do sistema cria grupos separados de telemarketing e de contabilidade. Os clientes
de telemarketing compartilham as configurações que limitam estritamente como
os usuários podem interagir com a proteção contra vírus e riscos à segurança.
Se você tiver clientes do Symantec Endpoint Protection e Symantec Network
Access Control instalados, mantenha-os em grupos separados.
Consulte o artigo da base de conhecimento Best Practices for Creating Group
Structure (em inglês).
na página 310.
Adição de um grupo
É possível adicionar grupos após definir a estrutura de grupos da sua organização.
As descrições dos grupos podem ter até 1024 caracteres. Os nomes de grupo podem
conter qualquer caractere exceto os seguintes caracteres: [” / \ * ? < > | :] as
descrições do grupo não são restritas.
Para importar grupos existentes e computadores de um servidor Active Directory ou LDAP
Nota: Não é possível adicionar grupos ao Grupo padrão.
Consulte “Como você pode estruturar grupos” na página 223.

Para adicionar um grupo
2 Em Clientes, selecione o grupo ao qual você quer adicionar um novo subgrupo.
3 Na guia Clientes, sob Tarefas, clique em Adicionar grupo.
4 Na caixa de diálogo Adicionar grupo para nome de grupo, digite o nome do
grupo e uma descrição.
5 Clique em OK.
Para importar grupos existentes e computadores de

um servidor Active Directory ou LDAP
Se sua empresa usa um servidor Active Directory ou LDAP para gerenciar grupos,
você poderá importar a estrutura do grupo no Symantec Endpoint Protection
Manager. Você pode então gerenciar os grupos e os computadores do console de
gerenciamento.
A Tabela 10-3 relaciona as tarefas que você deve executar para importar a estrutura
do grupo antes de gerenciá-las.
Tabela 10-3 Para importar grupos e computadores existentes
Etapa Tarefa Descrição
Etapa Conecte o Symantec Endpoint Você pode conectar o Symantec Endpoint Protection Manager a um servidor
1 Protection Manager ao Active Directory ou LDAP-compatível. Quando você adicionar o servidor,
servidor de diretório da sua deverá ativar a sincronização.
empresa
Consulte “Sobre a importação de unidades organizacionais do servidor de
diretório” na página 227.
Consulte “Para conectar o Symantec Endpoint Protection Manager a um

servidor de diretório” na página 228.
Consulte “Para conectar-se a um servidor de diretório em um site replicado”

na página 229.
Etapa Importe unidades Você pode importar a estrutura de grupo existente ou contas de computador
2 organizacionais inteiras, ou contas de usuário individuais para os grupos do Symantec Endpoint
contas de computador ou Protection Manager criados.
contas de usuário específicas
Consulte “Para importar unidades organizacionais de um servidor de
Se você quiser usar a estrutura do grupo do Symantec Endpoint Protection

Manager e não o servidor de diretório, importe contas individuais.
Consulte “Para pesquisar e importar contas específicas de um servidor de

Etapa Mantenha o computador Após importar unidades organizacionais, você poderá fazer qualquer uma
3 importado ou as contas de das seguintes ações:
usuário em seu próprio grupo
■ Manter as unidades organizacionais ou as contas importadas em seus
ou copie as contas importadas
próprios grupos. Após importar unidades organizacionais ou contas
para grupos existentes
individuais, você atribuirá políticas à unidade organizacional ou ao grupo.
■ Copie as contas importadas para grupos do Symantec Endpoint Protection
Manager existentes. As contas copiadas seguem a política do grupo do
Symantec Endpoint Protection Manager, e não da unidade organizacional
importada.
Consulte “Atribuição de uma política a um grupo” na página 321.
Etapa Altere o método de Para as contas de administrador que você adicionou no Symantec Endpoint
4 autenticação para as contas Protection Manager, mude o método de autenticação para autenticação de
de administrador (opcional) servidor de diretório em vez da autenticação padrão do Symantec Endpoint
Protection Manager. É possível usar as contas de administrador para
autenticar as contas que você importou. Quando um administrador faz logon
no Symantec Endpoint Protection Manager, o servidor de gerenciamento
recupera o nome de usuário do banco de dados e a senha do servidor de
diretório.
Consulte “Para mudar o método de autenticação de contas de administrador”

na página 294.
Consulte “Melhores práticas para testar se um servidor de diretório autentica

uma conta de administrador” na página 298.
Sobre a importação de unidades organizacionais do servidor de

diretório
Os servidores Active Directory e LDAP da Microsoft usam unidades organizacionais
para gerenciar contas de computadores e usuários. Você pode importar uma
unidade organizacional e os dados de sua conta para o Symantec Endpoint
Protection Manager, e gerenciar os dados da conta no console de gerenciamento.
Como o Symantec Endpoint Protection Manager trata a unidade organizacional
como um grupo, você poderá então atribuir uma política de segurança ao grupo
da unidade organizacional.
Você pode igualmente mover contas das unidades organizacionais para um grupo
do Symantec Endpoint Protection Manager copiando-as. A mesma conta existe
então no grupo e na unidade organizacional do Symantec Endpoint Protection
Manager. Como a prioridade do grupo do Symantec Endpoint Protection Manager
é mais alta do que a unidade organizacional, as contas copiadas adotam a política
do grupo do Symantec Endpoint Protection Manager.
Se excluir uma conta do servidor de diretório que você copiou para um grupo do
Symantec Endpoint Protection Manager, o nome da conta ainda permanecerá no
grupo do Symantec Endpoint Protection Manager. Você deve remover a conta do
servidor de gerenciamento manualmente.
Se você precisar modificar os dados da conta na unidade organizacional, deverá
executar esta tarefa no servidor de diretório, e não no Symantec Endpoint
Protection Manager. Por exemplo, você pode excluir uma unidade organizacional
do servidor de gerenciamento, que não exclui permanentemente a unidade
organizacional no servidor de diretório. Você deve sincronizar o Symantec
Endpoint Protection Manager com o servidor do Active Directory, de modo que
estas mudanças sejam atualizadas automaticamente no Symantec Endpoint
Protection Manager. Ative a sincronização quando configurar a conexão ao servidor
de diretório.
Nota: A sincronização somente é possível para servidores do Active Directory. O

Symantec Endpoint Protection não suporta a sincronização com servidores LDAP.
Você também pode importar usuários selecionados para um grupo do Symantec

Endpoint Protection Manager em vez de importar a unidade organizacional inteira.
Consulte “Para conectar o Symantec Endpoint Protection Manager a um servidor
de diretório” na página 228.
Consulte “Para importar unidades organizacionais de um servidor de diretório”

na página 230.
Consulte “Para pesquisar e importar contas específicas de um servidor de diretório”
na página 231.
Para conectar o Symantec Endpoint Protection Manager a um servidor

de diretório
Você deve primeiramente conectar o Symantec Endpoint Protection Manager ao
servidor de diretório da sua empresa para que seja possível importar as unidades
organizacionais que contêm contas de computador ou contas de usuário.
Você não pode modificar as contas nas unidades organizacionais no servidor de
gerenciamento, somente no servidor de diretório. Contudo, você pode sincronizar
os dados de uma conta entre o servidor do Active Directory e o servidor de
gerenciamento. Qualquer alteração feita no servidor do Active Directory será
atualizada automaticamente no Symantec Endpoint Protection Manager. Todas
as alterações que você realizar no servidor do Active Directory não serão exibidas
imediatamente na unidade organizacional importada para o servidor de
gerenciamento. O período de latência depende da frequência da sincronização.
Ative a sincronização e defina a frequência da sincronização quando configurar
a conexão.
Se você excluir uma conexão do servidor de diretório do Symantec Endpoint
Protection Manager, deverá primeiramente excluir todas as unidades
organizacionais importadas que estejam associadas com essa conexão. Após, você
pode sincronizar dados entre os servidores.

Symantec Endpoint Protection não suporta a sincronização com servidores LDAP.
Para conectar o Symantec Endpoint Protection Manager a um servidor de diretório

2 Em Servidores e em Site local, selecione o servidor de gerenciamento.
4 Na caixa de diálogo Propriedades do servidor, na guia Servidores de
diretórios, clique em Adicionar.
5 Na caixa de diálogo Adicionar servidor de diretório, digite um nome para o
servidor de diretório.
6 Marque Active Directory ou LDAP e digite o endereço IP, o nome do host ou

o nome de domínio.
Se você adicionar um servidor LDAP, mude o número da porta do servidor
LDAP se ele for diferente do que o valor padrão.
7 Se você quiser uma conexão criptografada, marque Usar conexão segura.
8 Clique em OK.
9 Na guia Servidores de diretórios, marque Sincronizar com servidores de
diretórios e em Agendamento, configure o agendamento da sincronização.
10 Clique em OK.
na página 230.
na página 231.
Para conectar-se a um servidor de diretório em um site replicado

Se um site usar um servidor replicado do Active Directory ou LDAP, você poderá
conectar o Symantec Endpoint Protection Manager ao servidor de diretório
primário e ao servidor replicado. Se o servidor de diretório primário for
desconectado, o servidor de gerenciamento ficará conectado ao servidor do
diretório replicado.
O Symantec Endpoint Protection Manager pode então autenticar contas de
administrador e sincronizar unidades organizacionais em todos os servidores do
Active Directory do site local e dos sites replicados.

Symantec Endpoint Protection não oferece suporte à sincronização com servidores
LDAP.
Para conectar-se a um servidor de diretório em um site replicado

2 Em Servidores, selecione o servidor de gerenciamento.
4 Na caixa de diálogo Propriedades do servidor, na guia Servidores de

diretórios, clique em Adicionar.
5 Na caixa de diálogo Adicionar o servidor de diretório, na guia Servidores
de replicação, clique em Adicionar.
6 Na caixa de diálogo Adicionar o servidor de replicação, digite o endereço IP,
o nome do host ou o nome de domínio do servidor de diretório e clique em
OK.
7 Clique em OK.
8 Clique em OK.
Para importar unidades organizacionais de um servidor de diretório

Quando você importar contas de computador ou contas de usuário de um servidor
do Active Directory ou LDAP, elas serão importadas como unidades
organizacionais. Você pode então aplicar uma política de segurança à unidade
organizacional. Você pode igualmente copiar essas contas para um grupo do
Você pode importar a unidade organizacional como um subgrupo de Minha
empresa ou de um grupo criado por você, mas não o Grupo padrão. Você não
pode criar grupos como um subgrupo de uma unidade organizacional. Você não
pode colocar uma unidade organizacional em mais de um grupo do Symantec
Se não quiser importar todas as contas de computador ou contas de usuário dentro
de um grupo, você poderá selecionar e importar contas específicas.
na página 231.
Nota: Antes de importar unidades organizacionais para o Symantec Endpoint

Protection Manager, você deverá converter alguns dos caracteres especiais que
precedem um nome de computador ou um nome de usuário. Você executa esta
tarefa no servidor de diretório. Se não quiser converter os caracteres especiais, o
servidor de gerenciamento não importará essas contas.
Você deve converter os seguintes caracteres especiais:

■ Um espaço ou um caractere hash (#) que ocorra no início de uma entrada.
■ Um caractere de espaço que ocorra no final de uma entrada.
■ Uma vírgula (,), o sinal de mais (+), aspas duplas ("), símbolos de menor que ou
maior que (< ou >), sinal de igual (=), ponto-e-vírgula (;), barra invertida (\).
Para permitir que um nome inclua estes caracteres a serem importados, será
necessário preceder cada caractere com um caractere da barra invertida (\).
Para importar unidades organizacionais de um servidor de diretório
1 Conecte o Symantec Endpoint Protection Manager a um servidor de diretório.
2 No console, clique em Clientes e, em Clientes, selecione o grupo a que você
quer adicionar a unidade organizacional.
3 Em Tarefas, clique em Importar uma unidade organizacional ou um
container.
4 Na lista suspensa Domínio, escolha o nome do servidor de diretório criado
na etapa 1.
5 Selecione o domínio ou um subgrupo.
6 Clique em OK.
Consulte “Sobre a importação de unidades organizacionais do servidor de diretório”
na página 227.
Para pesquisar e importar contas específicas de um servidor de

diretório
Você pode importar contas de computador ou contas do usuário específicas em
vez de uma estrutura inteira do grupo de um servidor de diretório para grupos do
Symantec Endpoint Protection Manager. Você deve importar contas específicas
se quiser aplicar políticas de segurança diferentes para as contas em uma unidade
organizacional.
Por exemplo, convém manter computadores remotos em um grupo. Você cria um
grupo para computadores remotos e atribui uma política de grupo personalizada
para computadores remotos nesse grupo. Você pode então pesquisar e importar
computadores da unidade organizacional diretamente para o grupo remoto.
Se você não quiser importar contas específicas, poderá importar todas as contas
em uma unidade organizacional.
Atribuição de clientes a grupos antes de instalar o software-cliente
Para pesquisar e importar contas específicas de um servidor de diretório

1 Conecte-se a um servidor de diretório.
3 Na guia Clientes, em Tarefas, clique em Importar usuários do Active
Directory ou do LDAP.
4 Na caixa de diálogo Importar usuários do Active Directory e do LDAP,
selecione o nome do servidor na lista suspensa Servidor de diretório.
O nome de usuário e a senha do servidor aparecem automaticamente.
Se a opção Exibir apenas os usuários que não estejam incluídos em nenhum
grupo estiver marcada, somente as contas ainda não adicionadas serão
exibidas.
5 Clique em Relacionar usuários.
No campo Filtro LDAP, você também pode digitar uma consulta de LDAP
para encontrar os nomes das contas que quer importar.
Para mais informações, clique em Ajuda.
6 Para selecionar contas específicas, clique em Adicionar ou clique em

Adicionar tudo.
7 Clique em Fechar.
na página 230.
Atribuição de clientes a grupos antes de instalar o

software-cliente
Você pode atribuir seus clientes aos seus grupos antes de instalar o
software-cliente. Se você executar esta tarefa primeiro, será possível atribuir
políticas de segurança ao cliente separadamente da instalação. Neste caso, o cliente
não receberá as políticas de segurança do grupo que está especificado no pacote
de instalação do cliente. Em vez disso, o cliente será atribuído ao grupo que você
especificou antes da instalação.
Você adiciona o cliente baseado em um nome de usuário ou em um nome de
computador. Você não pode adicionar o cliente a mais de um grupo.
Como desativar e ativar a herança de um grupo

Nota: Certifique-se de que o servidor de gerenciamento não bloqueie clientes novos

de serem adicionados a um grupo.
Consulte “Para impedir que computadores-cliente sejam adicionados a grupos”
na página 234.
Para atribuir clientes a grupos antes de instalar o software-cliente

2 Na página Clientes, em Clientes, localize o grupo ao qual você deseja adicionar
um cliente.
3 Na guia Clientes, em Tarefas, realize uma das seguintes ações:
■ Para o modo do usuário, clique em Adicionar conta de usuário. Digite o
nome de usuário. Se o usuário fizer parte de um domínio do Windows,
digite o nome de domínio. Se o usuário fizer parte de um grupo de trabalho,
clique em Fazer login em computador local.
■ Para o modo do computador, clique em Adicionar conta de computador.
Digite o nome do computador e digite então o nome de domínio do
Windows ou digite Grupo de trabalho.
4 Clique em OK.
Como desativar e ativar a herança de um grupo

Na estrutura do grupo, os subgrupos inicialmente e automaticamente herdam os
locais, as políticas e as configurações do grupo pai. Por padrão, a herança é ativada
para cada grupo. Você pode desativar a herança de modo que você possa configurar
as definições de segurança separadas para um subgrupo. Se você fizer mudanças
e depois ativar a herança, todas as mudanças realizadas nas configurações do
subgrupo serão sobrescritas.
Para impedir que computadores-cliente sejam adicionados a grupos
Para desativar ou ativar a herança de um grupo

2 Na página Clientes, em Clientes, selecione o grupo para o qual você quer
desativar ou ativar a herança.
Você pode selecionar qualquer grupo, exceto o grupo de nível superior, Minha
empresa.
3 No painel nome do grupo, na guia Políticas, realize uma das seguintes tarefas:
■ Para desativar a herança, desmarque Herdar políticas e configurações
do grupo pai "nome do grupo".
■ Para ativar a herança, marque Herdar políticas e configurações do grupo
pai "nome do grupo" e clique em Sim quando for solicitado para continuar.
Para impedir que computadores-cliente sejam

adicionados a grupos
É possível configurar pacotes de instalação do cliente com suas associações de
grupo já definidas. Se um grupo for definido no pacote, o computador-cliente será
automaticamente adicionado ao grupo apropriado. O cliente é adicionado na
primeira vez que se conectar ao servidor de gerenciamento.
É possível bloquear um cliente se você não quiser que os clientes sejam adicionados
automaticamente a um grupo específico quando se conectarem à rede. É possível
impedir que um novo cliente seja adicionado ao grupo ao qual foi atribuído no
pacote de instalação do cliente. Nesse caso, o cliente será adicionado ao grupo
padrão. Você pode manualmente mover um computador para um grupo bloqueado.
Para impedir que computadores-cliente sejam adicionados a grupos
2 Em Clientes, clique com o botão direito do mouse em um grupo e clique em
Propriedades.
3 Na guia Detalhes, em Tarefas, clique em Editar propriedades do grupo.
4 Na caixa de diálogo Propriedades do grupo para nome do grupo, clique em
Bloquear novos clientes.
5 Clique em OK.
Para mover um computador-cliente para outro grupo

Se os computadores-cliente não estiverem no grupo correto, você poderá movê-los
para outro grupo.
Para mover o cliente dos vários grupos para um único grupo, você pode
implementar o pacote de instalação do cliente novamente.
1 No console, clique em Computadores.
2 Na página Clientes, na guia Computadores, selecione um grupo.
3 Na guia Clientes, no grupo selecionado, selecione o computador e clique com
o botão direito do mouse em Mover.
Use a tecla Shift ou Control para selecionar vários computadores.
4 Na caixa de diálogo Mover clientes, selecione o novo grupo.
5 Clique em OK.
Capítulo 11
Para gerenciar clientes
■ Para gerenciar computadores-cliente
■ Para determinar se o cliente está conectado no console
■ Exibição do status de proteção de clientes e computadores-cliente
■ Para exibir quais clientes não têm o software-cliente instalado
■ Procura de informações sobre computadores-cliente
■ Sobre como ativar e desativar a proteção quando você precisar solucionar

problemas
■ Sobre comandos que você pode executar em computadores-cliente
■ Para executar comandos no computador-cliente através do console
■ Para garantir que um cliente não seja reiniciado
■ Para alternar um cliente entre o modo de usuário e o modo de computador
■ Para configurar um cliente para detectar dispositivos não gerenciados
■ Sobre o acesso à interface do cliente
■ Sobre o controle misto
■ Alteração do nível de controle do usuário
■ Definição das configurações da interface do usuário
■ Como coletar informações do usuário
■ Proteção do cliente por senha

238 Para gerenciar clientes
Para gerenciar computadores-cliente

A Tabela 11-1 relaciona as tarefas que você deve executar nos computadores
depois de instalar o software-cliente.
Tabela 11-1 Tarefas para gerenciar computadores-cliente
Tarefa Descrição
Verificar se o ■ Você pode exibir os computadores em cada grupo que não tenha o software-cliente
software-cliente está instalado ainda.
instalado nos computadores Consulte “Para exibir quais clientes não têm o software-cliente instalado”
na página 243.
■ Você pode configurar um computador-cliente para detectar que outros dispositivos
não têm o software-cliente instalado. Alguns desses dispositivos podem ser
computadores desprotegidos. Você pode instalar o software-cliente nesses
computadores.
Consulte “Para configurar um cliente para detectar dispositivos não gerenciados”
na página 253.
■ Você pode adicionar um cliente a um grupo e instalar o software-cliente mais tarde.
Verificar se o cliente está Você pode verificar os ícones de status do cliente no console de gerenciamento e no
conectado ao servidor de cliente. O ícone de status mostra se o cliente e o servidor se comunicam.
gerenciamento
Consulte “Para determinar se o cliente está conectado no console” na página 240.
Consulte “Como determinar se o cliente está conectado e protegido” na página 757.
Um computador pode ter o software-cliente instalado, mas é um cliente não gerenciado.

Você não pode gerenciar um cliente não gerenciado. Em vez disso, você pode converter
o cliente não gerenciado em cliente gerenciado.
Consulte “Por que eu preciso substituir o arquivo de comunicação servidor-cliente no

Configurar a conexão entre Após a instalação do software-cliente, os computadores-cliente se conectam

o cliente e o servidor automaticamente ao servidor de gerenciamento na próxima pulsação. Você pode
mudar como o servidor se comunica com o computador-cliente.
Consulte “Para gerenciar a conexão do servidor-cliente” na página 756.
Você pode solucionar problemas quaisquer problemas de conexão.

e o console ou o banco de dados” na página 830.
Para gerenciar clientes 239
Tarefa Descrição
Verificar se os ■ Você pode exibir o status de cada tecnologia de proteção em seus

computadores-cliente têm o computadores-cliente.
nível correto de proteção Consulte “Exibição do status de proteção de clientes e computadores-cliente”
na página 242.
■ Você poderá executar relatórios ou exibir logs se precisar aumentar a proteção ou
melhorar o desempenho. Por exemplo, as verificações podem causar falsos positivos.
Você também pode identificar os computadores-cliente que precisam de proteção.
■ Você pode modificar a proteção com base em atributos específicos do
software-cliente ou dos computadores-cliente.
Consulte “Procura de informações sobre computadores-cliente” na página 244.
Ajustar a proteção em Se decidir que os clientes não têm o nível correto de proteção, você poderá ajustar as
computadores-cliente configurações da proteção.
■ Você pode aumentar ou diminuir cada tipo de proteção com base nos resultados
nos relatórios e nos logs.
■ Você poderá desativar temporariamente a proteção nos computadores-cliente se
precisar diagnosticar um problema ou melhorar o desempenho.
na página 250.
■ Você pode exigir uma senha no cliente.
Consulte “Proteção do cliente por senha” na página 262.
Mover endpoints de um Para mudar o nível de proteção de um computador-cliente, é possível movê-lo para
grupo a outro para modificar um grupo que forneça mais ou menos proteção.
a proteção (opcional)
Quando implementar um pacote de instalação do cliente, especifique em qual grupo

o cliente será incluído. É possível mover o cliente para um grupo diferente. Se o cliente
for excluído ou desconectado e em seguida adicionado e conectado novamente, ele
retornará ao grupo original. Para manter o cliente com o grupo para o qual ele foi
movido pela última vez, configure as preferências de reconexão. Você define estas
configurações na caixa de diálogo Configurações de comunicações, na guia Clientes
> Políticas.
Para determinar se o cliente está conectado no console
Tarefa Descrição
Deixar que os usuários Você pode especificar o tipo de controle que os usuários têm sobre a proteção em
controlem a proteção do computadores-cliente.
computador (opcional)
■ Para a Proteção contra vírus e spyware e a Proteção proativa contra ameaças, você
pode bloquear ou desbloquear uma caixa de seleção para especificar se os usuários
podem alterar configurações individuais.
Consulte “Para bloquear e desbloquear configurações de política do vírus e de
spyware” na página 320.
■ Para a política de firewall, a política do IPS e para algumas configurações da
interface do usuário do cliente, é possível mudar o nível de controle do usuário
mais geralmente.
■ Se usuários precisarem de mais controle do cliente, você poderá instalar um cliente
não gerenciado.
Remover software-cliente Se um computador não for mais usado e você desejar usar a licença para um
dos computadores computador diferente, poderá excluir o cliente do banco de dados após um determinado
(opcionais) número de dias. Com a exclusão de um cliente, você também pode economizar espaço
no banco de dados.
Consulte “Para desinstalar o cliente Windows” na página 160.
Consulte “Para desinstalar o cliente Mac” na página 161.
Consulte “Para gerenciar a proteção em computadores-cliente” na página 62.
Para determinar se o cliente está conectado no

console
No Symantec Endpoint Protection Manager, você pode usar os ícones de status
do cliente para verificar se o cliente e o servidor se comunicam.
Tabela 11-2 Ícones de status do cliente no console de gerenciamento
Ícone Descrição
Esse ícone indica o seguinte status:
A instalação do software-cliente falhou.

Para determinar se o cliente está conectado no console
Ícone Descrição
■ O cliente pode comunicar-se com o Symantec Endpoint Protection

Manager.
■ O cliente está no modo computador.
■ O cliente não pode se comunicar com o Symantec Endpoint

Protection Manager.
■ O cliente pode ter sido adicionado através do console e talvez não
tenha um software-cliente da Symantec instalado.

Manager.
■ O cliente é um detector não gerenciado.

Protection Manager.

Manager.
■ O cliente está no modo de usuário.

Protection Manager.
■ O cliente pode ter sido adicionado através do console e talvez não
tenha um software-cliente da Symantec instalado.

Manager em outro site.
Exibição do status de proteção de clientes e computadores-cliente
Ícone Descrição



na página 242.
Você também pode ver se o cliente está conectado ao servidor de gerenciamento.
Consulte “Como determinar se o cliente está conectado e protegido” na página 757.
Exibição do status de proteção de clientes e

Você pode exibir as informações sobre o status operacional e de proteção em tempo
real de clientes e computadores em sua rede.
Você pode exibir:
■ Uma lista dos computadores-cliente gerenciados que não têm o cliente
instalado.
Você pode exibir o nome do computador, do domínio e do usuário que está
conectado.
■ Se o cliente for uma máquina virtual em uma infraestrutura de VMware que
usa um Appliance de segurança virtual, o Appliance de segurança virtual ao
qual o cliente está associado.
■ Quais proteções são ativadas e desativadas.
■ Qual computador-cliente tem as políticas e as definições mais recentes.
■ O número de série da política do grupo e o número da versão do cliente.
■ As informações sobre os componentes da rede do computador-cliente, como
endereço MAC da placa de rede usada pelo computador.
Para exibir quais clientes não têm o software-cliente instalado
■ As informações do sistema sobre o computador-cliente, como a quantidade de

espaço livre em disco e do número de versão do sistema operacional.
Depois de conhecer o status de um cliente específico, você pode resolver quaisquer
problemas de segurança nos computadores-cliente. Você pode solucionar muitos
problemas executando comandos em grupos. Por exemplo, é possível atualizar o
conteúdo ou ativar o Auto-Protect.
Nota: Se você gerenciar clientes legados, algumas tecnologias de proteção mais

recentes podem ser listadas como não informadas. Esse comportamento é
esperado. Isso não significa que você precisa tomar ação nesses clientes.

na página 250.
Consulte “Para exibir quais clientes não têm o software-cliente instalado”
na página 243.
Para exibir o status de proteção dos computadores-cliente
2 Na página Clientes, em Clientes, localize o grupo que contém os clientes sobre
os quais você deseja obter informações.
3 Na guia Clientes, clique na lista suspensa Exibir. Em seguida, selecione uma
categoria.
Você pode ir diretamente a uma página específica digitando o número da
página na caixa de texto no canto direito inferior.
Para exibir quais clientes não têm o software-cliente

instalado
Você pode exibir quais clientes em um grupo aparecerão na guia Clientes, com
base nos seguintes critérios:
■ O software-cliente está instalado.
■ Os clientes executam computadores Windows ou Mac
■ Os clientes estão no modo computador ou no modo usuário .
■ Os clientes são não persistentes e estão off-line nas infraestruturas da área de
trabalho virtual.
Procura de informações sobre computadores-cliente
Você também pode configurar quantos clientes aparecerão em cada página para
facilitar o gerenciamento da lista.
Nota: O Symantec Endpoint Protection Manager retém a configuração do filtro

Exibição do cliente e a armazena com o nome de login do administrador individual
ou do administrador limitado. Se um administrador definir uma condição de filtro,
essa condição será retida para esse administrador. Diferentes administradores
verão apenas os filtros que eles mesmos definiram.

na página 242.
Para exibir quais clientes não têm o software-cliente instalado
2 No painel Clientes, selecione o grupo que você deseja pesquisar.
3 Na guia Clientes, em Tarefas, clique em Definir filtro de exibição.
4 Na caixa de diálogo Definir filtro de exibição, selecione os critérios pelos
quais você quer filtrar e exibir os computadores-cliente.
5 Para encurtar a lista, clique em Resultados por página e digite o número de
resultados para mostrar em cada página.
Os valores válidos variam de 1 a 1000.
6 Clique em OK.
Procura de informações sobre computadores-cliente

Você pode pesquisar para obter informações sobre clientes, computadores-cliente
e usuários para tomar decisões sobre a segurança de sua rede. Por exemplo, você
pode verificar que computadores no grupo Vendas executam o sistema operacional
mais recente. Você pode verificar também que computadores-cliente no grupo
Finanças precisam das definições de antivírus mais recentes instaladas. É possível
exibir as informações sobre cada cliente no grupo na página Clientes. Você pode
restringir a pesquisa se houver muitos clientes.
na página 242.
Você pode exportar os dados contidos na consulta para um arquivo de texto.
Sobre como ativar e desativar a proteção quando você precisar solucionar problemas
Nota: Para pesquisar a maioria das informações sobre os usuários, é necessário

coletar as informações durante a instalação do software-cliente ou mais tarde.
Estas informações do usuário são exibidas também na guia Geral e na guia
Informações do usuário, na caixa de diálogo Editar propriedades do cliente.
Consulte “Como coletar informações do usuário” na página 261.

Para pesquisar e obter informações sobre computadores-cliente
2 Na guia Clientes, em Exibir clientes, escolha o grupo que você quer pesquisar.
3 Em Tarefas, clique em Pesquisar clientes.
4 Na caixa de diálogo Procurar clientes, na lista suspensa Localizar, clique em
Computadores ou Usuários.
5 Clique em Procurar para selecionar um grupo que não seja o padrão.
6 Na caixa de diálogo Selecionar grupo, selecione o grupo e clique em OK.
7 Em Critérios de pesquisa, clique no Campo de pesquisa para ver a lista
suspensa e selecione os critérios pelos quais você quer procurar.
8 Clique na lista suspensa Operador de comparação e selecione um operador
de comparação.
É possível usar operadores booleanos padrão nos critérios da pesquisa.
9 Na célula Valor, digite a string de pesquisa.
10 Clique em Pesquisar.
Você pode exportar os resultados para um arquivo de texto.
11 Clique em Fechar.
Sobre como ativar e desativar a proteção quando você

precisar solucionar problemas
Em geral, convém sempre manter as tecnologias de proteção ativadas em um
computador-cliente.
Talvez seja preciso desativar temporariamente todas as tecnologias de proteção
ou tecnologias de proteção individuais se você tiver um problema com o
computador-cliente. Por exemplo, se um aplicativo não for executado corretamente
ou se não for executado de forma alguma, recomenda-se a desativação da Proteção
contra ameaças à rede. Se você ainda tiver o problema depois de desativar todas
as tecnologias de proteção, desinstale completamente o cliente. Se o problema
Sobre como ativar e desativar a proteção quando você precisar solucionar problemas
persistir, você saberá que o problema não é devido ao Symantec Endpoint

Protection.
Aviso: Certifique-se de ativar novamente qualquer uma das proteções depois de

concluir a tarefa de solução de problemas para assegurar-se de que seu computador
permaneça protegido.
A Tabela 11-3 descreve as razões pelas quais convém desativar cada tecnologia
de proteção.
Tabela 11-3 Finalidade para desativar uma tecnologia de proteção
Tecnologia de Finalidade para desativar a tecnologia de proteção

proteção
Proteção contra vírus Se desativar esta proteção, você desativará o Auto-Protect apenas.
e spyware
As verificações agendadas ou de inicialização ainda serão executadas se você ou o usuário
as configuraram para fazer isso.
Você pode ativar ou desativar o Auto-Protect pelas seguintes razões:
■ O Auto-Protect pode impedi-lo de abrir um documento. Por exemplo, se abrir um

Microsoft Word que tenha uma macro, o Auto-Protect poderá não permitir que você o
abra. Se você souber que o documento é seguro, é possível desativar o Auto-Protect.
■ O Auto-Protect pode avisá-lo sobre uma atividade semelhante a vírus que não é
proveniente de um vírus. Por exemplo, você poderá receber avisos ao instalar novos
aplicativos de computador. Se você planeja instalar mais aplicativos e deseja evitar o
aviso, é possível desativar temporariamente o Auto-Protect.
■ O Auto-Protect pode interferir na substituição de drivers do Windows.
■ O Auto-Protect pode tornar mais lento o computador-cliente.
Nota: Se desativar o Auto-Protect, você desativará também o Download Insight, mesmo se

ele estiver ativado. O SONAR também não pode detectar ameaças heurísticas. A detecção
do SONAR de alterações no arquivo e no sistema de host continua a funcionar.
Consulte “Para executar comandos no computador-cliente através do console” na página 250.
Se o Auto-Protect causar um problema com um aplicativo, será melhor criar uma exceção
do que desativar permanentemente a proteção.
Proteção proativa Convém desativar a Proteção proativa contra ameaças pelas seguintes razões:
contra ameaças
■ Você recebe avisos demais sobre ameaças que você sabe que não são ameaças.
■ A Proteção proativa contra ameaças pode tornar mais lento o computador-cliente.
Consulte “Para ajustar as configurações do SONAR em seus computadores-cliente”

na página 438.
Sobre comandos que você pode executar em computadores-cliente
Tecnologia de Finalidade para desativar a tecnologia de proteção

proteção
Proteção contra Convém desativar a Proteção contra ameaças à rede pelas seguintes razões:
ameaças à rede
■ Você instala um aplicativo que pode fazer com que o firewall o bloqueie.
■ O firewall ou o Sistema de prevenção contra intrusões causa problemas relacionados à
conectividade da rede.
■ O firewall pode tornar mais lento o computador-cliente.
■ Você não pode abrir um aplicativo.
Se não tiver certeza de que a Proteção contra ameaças à rede está causando o problema,
talvez seja preciso desativar todas as tecnologias de proteção.
Você pode configurar a Proteção contra ameaças à rede de modo que os usuários não possam
ativá-la ou desativá-la. Você pode definir também os seguintes limites para quando e quanto
tempo a proteção será desativada:
■ Se o cliente permitir todo o tráfego ou somente todo o tráfego de saída.

■ O período de tempo em que a proteção será desativada.
■ Quantas vezes você pode desativar a proteção antes de reiniciar o cliente.
Consulte “Ativação ou desativação da prevenção contra intrusões na rede ou prevenção

contra intrusões no navegador” na página 507.
Proteção contra Geralmente você deve manter a Proteção contra adulterações ativada.
adulterações
Convém desativar temporariamente a Proteção contra adulterações se você obtiver muitas
detecções de falsos positivos. Por exemplo, alguns aplicativos de terceiros podem fazer as
mudanças que tentam inadvertidamente modificar configurações ou processos da Symantec.
Se você tiver certeza de que um aplicativo é seguro, poderá criar uma exceção da Proteção
contra adulterações para o aplicativo.
Consulte “Para alterar as configurações da Proteção contra adulterações” na página 450.
Sobre comandos que você pode executar em

Você pode executar comandos remotamente em clientes individuais ou em um
grupo inteiro através do console.
Você pode ativar e desativar a proteção para solucionar problemas no
computador-cliente.
Tabela 11-4 Comandos que podem ser executados em computadores-cliente
Comandos Descrição
Verificar Executa a verificação sob demanda nos computadores-cliente.
Se você executar o comando de verificação e selecionar uma

verificação Personalizada, a verificação usará as configurações
de verificação do comando definidas na página Verificações
definidas pelo administrador. O comando usa as configurações
que estão na política de proteção contra vírus e spyware que é
aplicada aos computadores-cliente selecionados.
Consulte “Execução de verificações sob demanda nos

Atualizar conteúdo Atualiza o conteúdo em clientes iniciando uma sessão do

LiveUpdate nos computadores-cliente. Os clientes recebem o
conteúdo mais recente do Symantec LiveUpdate.
Consulte “Configuração do agendamento de download do

LiveUpdate para Symantec Endpoint Protection Manager”
na página 613.
Atualizar conteúdo e Atualiza o conteúdo iniciando uma sessão do LiveUpdate e executa

executar verificação uma verificação sob demanda nos computadores-cliente.
Reiniciar Reinicia os computadores-cliente.

Se os usuários estiverem conectados ao cliente, eles serão avisados
sobre a reinicialização com base nas opções de reinicialização que
o administrador configurou para esse cliente. Você pode configurar
as opções de reinicialização do cliente na guia Configurações
gerais.
Nota: Algumas opções de reinicialização se aplicam de maneiras
diferentes em clientes Mac e Windows.

Nota: Você pode se assegurar de que um cliente não seja
reiniciado. Você pode adicionar uma chave do registro ao cliente
que o impede de reiniciar, mesmo que um administrador emita
um comando de reinicialização.
Consulte “Para garantir que um cliente não seja reiniciado”

na página 250.
Comandos Descrição
Ativar o Auto-Protect Ativa o Auto-Protect para o sistema de arquivos nos

Por padrão, o Auto-Protect do sistema de arquivos é ativado.
Poderá ser necessário ativar o Auto-Protect no console se você
tiver permitido que os usuários alterem a configuração ou se
desativar o Auto-Protect. Você pode bloquear a configuração para
que os usuários dos computadores-cliente não possam desativar
o Auto-Protect.
Consulte “Para personalizar o Auto-Protect para clientes Windows”

na página 408.
Consulte “Para personalizar o Auto-Protect para clientes Mac”

na página 410.
Se você quiser ativar ou desativar o Auto-Protect para e-mail,

deverá incluir a configuração na política de proteção contra vírus
e spyware.
Ativar a proteção Ativa ou desativa o firewall e ativa a prevenção contra intrusões

contra ameaças à rede nos computadores-cliente.
e Desativar a proteção Nota: Os computadores-cliente Mac não processam este comando.
contra ameaças à rede
Ativar Download Ativa ou desativa o Download Insight nos computadores-cliente.

Insight e Desativar Nota: Os computadores-cliente Mac não processam este comando.
Download Insight
Consulte “Para gerenciar detecções do Download Insight”
na página 377.

na página 250.
Consulte “Para executar comandos através do log de status do computador”
na página 685.
Você pode configurar um administrador limitado para que ele tenha direitos a
alguns desses comandos ou a nenhum.
Consulte “Configuração dos direitos de acesso para um administrador limitado”
na página 293.
Para executar comandos no computador-cliente através do console
Para executar comandos no computador-cliente

através do console
Em clientes gerenciados, os comandos que você executa sobrepõem-se aos
comandos que o usuário executa. A ordem em que as ações e os comandos são
processados no computador-cliente varia conforme o comando. Independentemente
de onde o comando for iniciado, os comandos e as ações são processados da mesma
forma.
Você também pode executar esses comandos em clientes do log Status do
computador.
na página 685.
na página 247.
Para executar comandos no computador-cliente através do console
1 No console, clique em Clientes e em Computadores, selecione o grupo que
inclui os computadores nos quais deseja executar um comando.
2 Realize uma das seguintes ações:
■ No painel esquerdo, em Computadores, clique com o botão direito do
mouse no grupo no qual deseja executar o comando.
■ No painel direito, na guia Clientes, selecione e clique com o botão direito
do mouse nos computadores ou usuários nos quais deseja executar o
comando.
3 Clique em um dos comandos a seguir:

■ Executar comando no grupo > comando
■ Executar comando em clientes > comando
4 Na caixa de mensagem exibida, clique em OK.
Para garantir que um cliente não seja reiniciado

Você pode usar o seguinte procedimento para assegurar que nenhum
computador-cliente do Symantec Endpoint Protection seja reiniciado. Por exemplo,
convém definir este valor nos servidores que executam o cliente do Symantec
Endpoint Protection. Para definir esta chave de registro, garanta que o servidor
não seja reiniciado se um administrador emitir um comando Reiniciar o
computador em seu grupo através do console.
Para alternar um cliente entre o modo de usuário e o modo de computador
Para garantir que um cliente não seja reiniciado

1 No computador-cliente, abra o editor do registro.
2 Navegue até HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec
Endpoint Protection\SMC.
3 Adicione a seguinte linha ao registro:
DisableRebootCommand REG_DWORD 1
Para alternar um cliente entre o modo de usuário e

o modo de computador
Você adiciona clientes para que estejam no modo de usuário ou no modo de
computador, baseado em como deseja aplicar as políticas aos clientes nos grupos.
Depois que um usuário ou computador é adicionado a um grupo, ele assume a
política atribuída ao grupo.
Quando você adicionar um cliente, o padrão será o modo de computador, que
prevalece sobre o modo de usuário. A Symantec recomenda que você use o modo
de computador.
Modo Descrição
Modo de O computador-cliente obtém as políticas do grupo de que o computador

computador é um membro. O cliente protege o computador com as mesmas
políticas, independente do usuário que está conectado ao computador.
A política segue o grupo em que o computador está. O modo de
computador é a configuração padrão. Muitas organizações configuram
uma maioria dos clientes no modo de computador. Baseado em seu
ambiente de rede, é possível querer configurar alguns clientes com
requisitos especiais como usuários.
Você não pode alternar do modo do usuário para o modo do

computador se o nome de computador já estiver em outro grupo. A
mudança para o modo de computador exclui o nome de usuário do
cliente do grupo e adiciona o nome do computador do cliente ao grupo.
Clientes adicionados no modo de computador podem ser ativados

como detectores não gerenciados e usados para detectar dispositivos
não autorizados.
Consulte “Para configurar um cliente para detectar dispositivos não

gerenciados” na página 253.
Modo Descrição
Modo de usuário O computador-cliente obtém as políticas do grupo de que o usuário é

um membro. A mudança de políticas, dependendo do usuário que está
conectado ao cliente. A política segue o usuário.
Você não pode alternar do modo do computador para o modo do

usuário se o nome de logon do usuário e o nome de computador já
estão contidos em um grupo. A mudança para o modo de usuário exclui
o nome do computador do cliente no grupo. Depois, o nome de usuário
do cliente é adicionado ao grupo.
Quando implementar um pacote de instalação do cliente, você especificará em

que grupo colocar o cliente. Você pode especificar mais tarde se o cliente estará
no modo de usuário ou de computador. Se o cliente mais tarde for excluído ou
desconectado e for, em seguida, adicionado e conectado novamente, o cliente
retornará ao grupo original. Contudo, você pode configurar o cliente para ficar
no grupo para o qual foi movido por último no modo de usuário ou modo de
computador. Por exemplo, um usuário novo pode fazer logon em um cliente
configurado no modo de usuário. O cliente fica no grupo em que o usuário anterior
estava.
Defina estas configurações clicando em Clientes > Políticas e em Configurações
de comunicações.
2 Na página Clientes, em Clientes, selecione o grupo que contém o usuário ou
o computador.
3 Na guia Clientes, clique com o botão direito do mouse no computador ou no
nome de usuário na tabela e selecione Alternar para o modo de computador
ou Alternar para o modo de usuário.
Esse modo é uma configuração de alternância, dessa forma um deles sempre
será exibido. As informações na tabela serão alteradas para refletir a nova
configuração.
Consulte “Atribuição de clientes a grupos antes de instalar o software-cliente”
na página 232.
Para configurar um cliente para detectar dispositivos não gerenciados
Para configurar um cliente para detectar dispositivos

não gerenciados
Os dispositivos não autorizados podem conectar-se à rede de várias maneiras,
como acesso físico em uma sala de conferência ou em pontos de acesso sem fio
invasores. Para aplicar políticas em cada endpoint, é necessário poder detectar
rapidamente a presença de novos dispositivos na rede. Você deve determinar se
os dispositivos são seguros. Você pode ativar um cliente como um detector não
gerenciado para verificar dispositivos desconhecidos. Os dispositivos
desconhecidos são os dispositivos não gerenciados que não são executados no
software-cliente do Symantec Endpoint Protection. Se o dispositivo não gerenciado
for um computador, você poderá instalar o software-cliente do Symantec Endpoint
Protection.
Quando um dispositivo é iniciado, o sistema operacional envia o tráfego ARP à
rede para permitir que outros computadores detectem a presença do dispositivo.
Um cliente ativado como detector não gerenciado coleta e envia as informações
do pacote ARP para o servidor de gerenciamento. O servidor de gerenciamento
pesquisa o pacote ARP pelo endereço MAC e o endereço IP do dispositivo. O servidor
compara esses endereços à lista de endereços MAC e IP existentes no banco de
dados do servidor. Se o servidor não puder encontrar um endereço correspondente,
ele registrará o dispositivo como novo. Você pode então decidir se o dispositivo é
seguro. Como o cliente apenas transmite as informações, ele não usa recursos
adicionais.
Você pode configurar o detector não gerenciado para ignorar determinados
dispositivos, como impressoras. Você também pode configurar notificações de
e-mail para avisá-lo quando o detector não gerenciado detectar um dispositivo
desconhecido.
Para configurar o cliente como um detector não gerenciado, é necessário fazer o
seguinte:
■ Ative a Proteção contra ameaças à rede.
na página 250.
■ Alterne o cliente para o modo de computador.
■ Instale o cliente em um computador que esteja sempre em execução.
■ Ative os clientes do Symantec Endpoint Protection como detectores não
gerenciados.
Sobre o acesso à interface do cliente
Um cliente do Symantec Network Access Control não pode ser um detector

não gerenciado.
Para configurar um cliente para detectar dispositivos não autorizados
2 Em Clientes, selecione o grupo que contém o cliente que você deseja ativar
como um detector não gerenciado.
3 Na guia Clientes, clique com o botão direito do mouse no cliente que você
deseja ativar como um detector não gerenciado e clique em Ativar detector
não gerenciado.
4 Para especificar um ou mais dispositivos para excluir da detecção do detector
não gerenciado, clique em Configurar detector não gerenciado.
5 Na caixa de diálogo Exceções do detector não gerenciado para nome do
cliente, clique em Adicionar.
6 Na caixa de diálogo Adicionar exceção do detector não gerenciado, clique
em uma das seguintes opções:
■ Excluir a detecção de um intervalo de endereços IP e digite então um
intervalo de endereços IP para diversos dispositivos.
■ Excluir detecção de um endereço MAC e digite então o endereço MAC do
dispositivo.
7 Clique em OK.
8 Clique em OK.
Para exibir a lista de dispositivos não autorizados detectados pelo cliente
2 Na página Início, na seção Status de segurança, clique em Mais detalhes.
3 Na caixa de diálogo Detalhes do status de segurança, encontre a tabela Falhas
desconhecidas no dispositivo.
4 Feche a caixa de diálogo.
Sobre o acesso à interface do cliente

Você pode determinar o nível de interação que deseja que os usuários tenham no
cliente do Symantec Endpoint Protection. Escolha que recursos estão disponíveis
para serem configurados pelos usuários. Por exemplo, você pode controlar o
número de notificações exibidas e limitar a capacidade dos usuários de criar regras
de firewall e verificações de vírus e spyware. Também pode conceder acesso total
à interface do usuário aos usuários.
Sobre o controle misto
Os recursos que os usuários podem personalizar na interface do usuário são

chamados de configurações gerenciadas. O usuário não tem acesso a todos os
recursos do cliente, como a proteção por senha.
Para determinar o nível de interação do usuário, você pode personalizar a interface
do usuário das seguintes maneiras:
■ Para configurações de vírus e spyware, você pode bloquear ou desbloquear as
opções.
■ Para configurações de firewall, de Prevenção contra intrusões e para algumas
configurações da interface de usuário do cliente, você pode definir o nível de
controle do usuário e também as configurações associadas.
Consulte “Definição de configurações de firewall para controle misto”
na página 460.
■ Você pode proteger o computador-cliente com senha.
Sobre o controle misto

Para os clientes que estão no controle misto, você pode determinar quais opções
gerenciadas deseja que os usuários configurem ou não. As opções gerenciadas
incluem as configurações em uma política de firewall, uma política de Prevenção
contra intrusões e as configurações da interface de usuário do cliente.
Para cada opção, você pode atribuí-la ao controle do servidor ou ao controle do
cliente. No controle do cliente, somente o usuário pode ativar ou desativar a
configuração. No controle do servidor, somente você pode ativar ou desativar a
configuração. O controle do cliente é o nível de controle do usuário padrão. Se
você atribuir uma opção ao controle do servidor, você deverá definir então a
configuração na página ou na caixa de diálogo correspondente no console do
Symantec Endpoint Protection Manager. Por exemplo, você pode ativar as
configurações do firewall na política de firewall. Você pode configurar os logs na
caixa de diálogo Configurações do log de cliente, na guia Políticas da página
Clientes.
Você pode fazer as seguintes configurações:
■ Configurações da interface do usuário
Consulte “Ativação ou desativação da prevenção contra intrusões na rede ou
prevenção contra intrusões no navegador” na página 507.
Alteração do nível de controle do usuário
■ Configurações gerais da Proteção contra ameaças à rede

Consulte “Definição de configurações de firewall para controle misto”
na página 460.
■ Configurações da política de firewall
Consulte “Sobre o firewall do Symantec Endpoint Protection” na página 454.
■ Configurações da política de Prevenção contra intrusões

Você pode determinar se certos recursos de tecnologia de proteção e configurações
da interface do usuário do cliente estarão disponíveis para usuários para
configuração no cliente do Symantec Endpoint Protection. Para determinar quais
configurações estarão disponíveis, você deve especificar o nível de controle do
usuário. Esse nível determina se o cliente pode ser completamente invisível, exibir
um conjunto parcial de recursos ou exibir uma interface do usuário completa.
Nas divulgações do Symantec Endpoint Protection anteriores a 12.1, uma alteração
do controle do cliente para controle do servidor fazem com que todas as
configurações, independentemente de seu status do fechamento, sejam revertidas
para seus valores padrão de controle do servidor na próxima vez que as políticas
forem distribuídas aos clientes. No 12.1, bloqueios estão em vigor em todos os
modos de controle. As configurações desbloqueadas comportam-se da seguinte
forma em modos de controle do servidor e de controle do cliente:
■ No controle do servidor, alterações podem ser feitas para desbloquear
configurações, mas serão sobrescritas quando a próxima política for aplicada.
■ No controle do cliente, as configurações modificadas pelo cliente prevalecem
sobre configurações do servidor. Elas não serão sobrescritas quando a política
nova for aplicada, a menos que a configuração esteja bloqueada na política
nova.
Nota: O cliente do Symantec Network Access Control é executado somente no

controle do servidor. Usuários não podem configurar configurações da interface
do usuário.
Tabela 11-5 Níveis de controle do usuário
Nível de controle do Descrição

usuário
Controle do servidor Disponibiliza aos usuários o mínimo de controle sobre o cliente. O controle do servidor
bloqueia as configurações gerenciadas, de modo que os usuários não podem configurá-las.
O controle do servidor apresenta as seguintes características:
■ Os usuários não podem definir nem ativar regras de firewall, configurações específicas
de aplicativos, configurações de firewall e configurações de prevenção contra intrusões,
além dos logs da Proteção contra ameaças à rede e do Gerenciamento do cliente. Você
configura todas as regras de firewall e configurações de segurança para o cliente no
■ Os usuários podem exibir logs, o histórico do tráfego do cliente e a lista de aplicativos
que o cliente executa.
■ Você pode definir certas configurações da interface do usuário e notificações do firewall
para que sejam exibidas ou não no cliente. Por exemplo, você pode ocultar a interface
de usuário do cliente.
Os parâmetros que você definir no controle do servidor poderão ser exibidos acinzentados
ou não ser visíveis na interface de usuário do cliente.
Quando você cria um novo local, ele é definido automaticamente ao controle do servidor.
Controle do cliente Disponibiliza aos usuários o máximo de controle sobre o cliente. O controle do cliente
desbloqueia as configurações gerenciadas, de modo que os usuários possam configurá-las.
O controle do cliente apresenta as seguintes características:
■ Os usuários podem definir ou ativar regras de firewall, configurações específicas de

aplicativos, notificações de firewall, configurações de firewall, configurações e
Prevenção contra intrusões e configurações da interface de usuário do cliente.
■ O cliente ignorará as regras de firewall que você configurar para o cliente.
Você pode conceder controle de cliente aos computadores-cliente que os funcionários

usam em um local remoto ou em casa.
Nível de controle do Descrição

usuário
Controle misto Disponibiliza ao usuário um controle misto sobre o cliente.

O controle misto apresenta as seguintes características:
■ Os usuários podem definir as regras de firewall e as configurações específicas de

aplicativos.
■ Você pode configurar as regras de firewall, as quais poderão ou não sobrepor as regras
que os usuários configurarem. A posição das regras do servidor na lista Regras da
política de firewall determina se as regras do servidor sobreporão as regras do cliente.
■ Você pode especificar certas opções para que estejam disponíveis ou não no cliente e
os usuários possam ativá-las e configurá-las. Essas opções incluem os logs da Proteção
contra ameaças à rede, os logs de Gerenciamento de clientes, as configurações de
firewall, as configurações de prevenção contra intrusões e algumas configurações da
interface do usuário.
■ Você pode definir as configurações de proteção contra vírus e spyware para sobrepor
a configuração do cliente, mesmo que essa configuração esteja desbloqueada. Por
exemplo, se desbloquear o recurso Auto-Protect e o usuário desativá-lo, você poderá
reativar o Auto-Protect.
As opções que você definir para o controle do cliente estarão disponíveis para o usuário.
Os parâmetros que você definir no controle do servidor poderão ser exibidos acinzentados
ou não ser visíveis na interface de usuário do cliente.
Consulte “Sobre o controle misto” na página 255.
Algumas configurações gerenciadas têm dependências. Por exemplo, os usuários

podem ter permissão para configurar regras de firewall, mas não ter acesso à
interface do usuário do cliente. Como os usuários não têm acesso à caixa de diálogo
Configurar regras de firewall, eles não podem criar regras.
Você pode definir um nível de controle de usuário diferente para cada local.
Nota: Os clientes executados em controle do cliente ou controle misto alternam

para controle do servidor quando o servidor aplica uma política de quarentena.
Para alterar o nível de controle do usuário

2 Em Exibir clientes, selecione o grupo cujo local você deseja modificar.
3 Clique na guia Políticas.
4 Em Políticas e configurações específicas do local, no local que você deseja
modificar, expanda Configurações específicas de local.
Definição das configurações da interface do usuário
5 À direita de Configurações de controle de interface de usuário cliente, clique

em Tarefas > Editar configurações.
6 Na caixa de diálogo Configurações de controle de interface de usuário cliente,
proceda de uma das seguintes maneiras:
■ Clique em Controle do servidor e clique em Personalizar.
Configure algumas das configurações e clique em OK.
■ Clique em Controle do cliente.
■ Clique em Controle misto e clique em Personalizar.
Configure algumas das configurações e clique em OK.
■ No cliente do Symantec Network Access Control, você pode clicar em
Exibir cliente e Exibir o ícone da área de notificação.
7 Clique em OK.
Consulte “Para criar uma política de quarentena para uma verificação de
integridade do host com falha” na página 897.

Você pode configurar opções da interface do usuário no cliente se executar
qualquer uma das seguintes tarefas:
■ Definir o nível de controle de usuário do cliente para controle do servidor.
■ Definir o nível de controle de usuário do cliente para controle misto e definir
o recurso pai, na guia Configurações de controle do cliente/servidor como
Servidor.
Por exemplo, você pode definir a opção Exibir/ocultar ícone da área de
notificação como Cliente. O ícone da área de notificação é exibido no cliente e
o usuário pode optar por exibir ou ocultar o ícone. Se você definir a opção
Exibir/ocultar ícone da área de notificação como Servidor, poderá optar se
exibe ou oculta o ícone da área de notificação no cliente.
Para definir as configurações da interface do usuário no controle misto
1 Altere o nível de controle do usuário para controle misto.
2 Na caixa de diálogo Configurações de controle da interface do usuário do
cliente para nome do local, ao lado de Controle misto, clique em Personalizar.
3 Na caixa de diálogo Configurações de controle misto da interface de usuário

do cliente, na guia Configurações de controle de cliente/servidor, tome uma
das seguintes medidas:
■ Bloqueie uma opção de forma que você só possa configurá-la do servidor.
Para as opções que deseja bloquear, clique em Servidor.
As configurações da proteção contra vírus e spyware definidas no Servidor
substituirão as configurações no cliente.
■ Desbloqueie uma opção de forma que o usuário possa configurá-la no
cliente. Para a opção que deseja bloquear, clique em Cliente. A seleção
padrão para todas as configurações, exceto as configurações de vírus e
spyware é Cliente.
4 Para as seguintes opções definidas em Servidor, clique na guia Configurações

de interface de usuário do cliente para configurá-las:
Exibir/ocultar ícone da área de Exibir o ícone da área de notificação

notificação
Ativar/desativar a Proteção contra Permitir que os usuários ativem e desativem

ameaças à rede a Proteção contra ameaças à rede
Comando do menu Testar a segurança Permitir que os usuários executem um teste

da rede de segurança
Configurar as configurações de tráfego Permitir o tráfego de IP ou o tráfego apenas

de IP não correspondentes do aplicativo e alertar o usuário antes de
permitir o tráfego do aplicativo
Exibir/ocultar notificações da Exibir notificações da Prevenção contra

Prevenção contra intrusões intrusões
Para obter informações sobre onde configurar no console as demais opções

que você definiu como Servidor, clique em Ajuda. Para ativar as configurações
de firewall e as configurações da prevenção contra intrusões, configure-as
na política de firewall e na política de prevenção contra intrusões.
Consulte “Automaticamente permitir comunicações para serviços de rede
essenciais” na página 459.
Consulte “Detecção de ataques potenciais e tentativas de spoofing”
na página 462.
5 Na guia Configurações de interface de usuário do cliente, marque a caixa de
seleção da opção para que ela esteja disponível no cliente.
Como coletar informações do usuário
6 Clique em OK.
7 Clique em OK.
Para definir as configurações da interface do usuário no controle do servidor
1 Altere o nível de controle do usuário para controle misto.
2 Na caixa de diálogo Configurações de controle da interface do usuário do
cliente para nome do local, ao lado de Controle do servidor, clique em
Personalizar.
3 Na caixa de diálogo Configurações de interface de usuário do cliente, marque
a caixa de seleção da opção para que ela seja exibida no cliente e usada pelo
usuário.
4 Clique em OK.
5 Clique em OK.
Como coletar informações do usuário

Você pode solicitar que os usuários em computadores-cliente digitem informações
pessoais durante o processo de instalação do software-cliente ou durante
atualizações de políticas. É possível coletar informações como o número de telefone
móvel do funcionário, o cargo e o endereço de e-mail. Após reunir essas
informações, você deverá mantê-las e atualizá-las manualmente.
Nota: Após ativar a mensagem para que seja exibida pela primeira vez no
computador-cliente, e o usuário responder com as informações solicitadas, a
mensagem não será exibida novamente. Mesmo se você editar alguns campos ou
desativar e reativar a mensagem, o cliente não mostrará uma nova mensagem.
Porém, o usuário poderá editar as informações em qualquer momento, e o servidor
de gerenciamento recuperará essas informações.

Para coletar informações do usuário
2 Em Exibir pacotes de instalação, clique em Pacotes de instalação do cliente.
3 No painel Pacotes de instalação do cliente, clique no pacote para o qual deseja
coletar informações do usuário.
4 Em Tarefas, clique em Definir a coleta de informações sobre o usuário.
Proteção do cliente por senha
5 Na caixa de diálogo Definir coleção de informações sobre o usuário, marque

Coletar informações do usuário.
6 Na caixa de texto Mensagem pop-up, digite a mensagem que deseja que os
usuários leiam quando as informações forem solicitadas.
7 Se você deseja que o usuário tenha a capacidade de adiar a coleta de
informações, marque AtivarLembrar-medepois e defina o tempo em minutos.
8 Em Selecione os campos que serão exibidos para que o usuário insira dados
escolha o tipo de informações que devem ser coletadas e clique em Adicionar.
Você pode marcar um ou mais campos simultaneamente, pressionando a tecla
Shift ou a tecla Control.
9 Na coluna Opcional, marque a caixa de seleção ao lado de todos os campos
que deseja definir como opcionais para o preenchimento pelo usuário.
10 Clique em OK.

Você poderá aumentar a segurança corporativa exigindo proteção por senha no
computador-cliente sempre que os usuários executarem certas tarefas.
Você pode exigir que os usuários digitem uma senha quando tentarem tomar uma
das seguintes ações:
■ Abrir a interface de usuário do cliente.
■ Interromper o cliente.
■ Importar e exportar a política de segurança.
■ Desinstalar o cliente.
Você pode modificar as configurações de proteção por senha somente para os
subgrupos que não herdam de um grupo pai.
Consulte “Sobre o acesso à interface do cliente” na página 254.
Para proteger o cliente por senha
2 Em Clientes, selecione o grupo para o qual você deseja configurar a proteção
por senha.
3 Na guia Políticas, em Políticas e configurações independentes do local,
clique em Configurações gerais.
4 Clique em Configurações de segurança.
5 Na guia Configurações de segurança, em Proteção por senha do cliente,

clique em qualquer uma das caixas de seleção.
6 Nas caixas de texto Senha e Confirmar senha, digite a senha.
A senha é limitada a no máximo 15 caracteres.
7 Clique em OK.
Capítulo 12
Para gerenciar clientes
remotos
■ Gerenciamento de clientes remotos
■ Gerenciamento de locais para clientes remotos
■ Ativação da detecção de local para um cliente
■ Como adicionar um local para um grupo
■ Alteração de um local padrão
■ Configuração de condições de detecção de local do Cenário 1
■ Configuração de condições de detecção de local do Cenário 2
■ Configuração de definições de comunicação para um local
■ Sobre o reforço das políticas de segurança para clientes remotos
■ Sobre como ativar notificações para clientes remotos
■ Sobre a personalização das configurações de gerenciamento de log para clientes

remotos
■ Sobre como monitorar clientes remotos
Gerenciamento de clientes remotos

Sua rede pode incluir alguns clientes que se conectam à rede de locais diferentes.
Você pode precisar gerenciar esses clientes diferentemente dos clientes que se
conectam somente de dentro da rede. Você pode precisar gerenciar alguns clientes
266 Para gerenciar clientes remotos
Gerenciamento de clientes remotos
que sempre se conectam remotamente por uma VPN ou clientes que se conectam
pelos vários locais porque os funcionários viajam. Você também pode precisar
gerenciar a segurança de alguns computadores que estão fora de seu controle
administrativo. Por exemplo, pode ser permitido a clientes, prestadores de serviço,
fornecedores ou parceiros de negócios ter acesso limitado à rede. Alguns
funcionários podem conectar-se à sua rede usando seus próprios computadores
pessoais e você pode precisar gerenciar esses clientes diferentemente.
Em todos esses casos, é necessário lidar com alto risco à segurança. As conexões
podem ser menos seguras ou os computadores-cliente podem ser menos seguros
e você pode ter menos controle sobre alguns clientes. Para minimizar esses riscos
à segurança geral da rede, é necessário avaliar os tipos diferentes de acesso remoto
à sua rede que os clientes possuem. Você pode em seguida aplicar políticas de
segurança mais rigorosas com base em sua avaliação.
Para gerenciar os clientes que se conectam à rede de maneira diferente devido
aos riscos à segurança oferecidos, você poderá utilizar a Detecção de local do
Symantec Endpoint Protection&.
Você aplica diferentes políticas aos clientes que oferecem um risco maior à sua
rede com base em seu local. Um local no Symantec Endpoint Protection é definido
como o tipo de conexão que um computador-cliente usa para se conectar à sua
rede. Um local também pode incluir as informações sobre se a conexão está
localizada dentro ou fora da rede da empresa.
Você define locais para um grupo de clientes. Você atribui políticas diferentes a
cada local. Algumas configurações de segurança podem ser atribuídas a todo o
grupo independentemente do local. Algumas configurações são diferentes
dependendo do local.
Tabela 12-1 Gerenciamento de clientes remotos
Tarefa Descrição
Configurar grupos com base na avaliação do risco Consulte “Para gerenciar grupos de
à segurança clientes” na página 221.
Configurar locais para grupos de clientes Consulte “Gerenciamento de locais para

remotos clientes remotos” na página 267.
Configurar a comunicação para locais Consulte “Configuração de definições de

comunicação para um local”
na página 277.
Reforçar suas políticas de segurança Consulte “Sobre o reforço das políticas

de segurança para clientes remotos”
na página 278.
Para gerenciar clientes remotos 267
Gerenciamento de locais para clientes remotos
Tarefa Descrição
Ativar notificações do cliente Consulte “Sobre como ativar notificações

para clientes remotos” na página 280.
Personalizar configurações de gerenciamento Consulte “Sobre a personalização das

de log do cliente configurações de gerenciamento de log
para clientes remotos” na página 281.
Monitorar clientes remotos Consulte “Sobre como monitorar clientes

remotos” na página 282.

Você adiciona os locais depois de configurar os grupos de que você precisa para
gerenciar. Caso sua estratégia de segurança exija, cada grupo poderá ter locais
diferentes. No console do Symantec Endpoint Protection Manager, você configura
as condições que acionam a troca automática de políticas com base no local. A
detecção de local aplica automaticamente a política de segurança que você
especifica para um cliente, com base nas condições do local que o cliente cumpre.
As condições do local podem ser baseadas em diversos critérios diferentes. Estes
critérios incluem endereços IP, tipo de conexão de rede, se o computador-cliente
pode se conectar ao servidor de gerenciamento e mais. Você pode permitir ou
bloquear as conexões do cliente baseadas nos critérios que você especificar.
Um local se aplica ao grupo para o qual você o criou e para todos os subgrupos
que herdaram do grupo. Uma melhor prática é criar locais que todos os clientes
possam usar no nível de grupo Minha empresa. Em seguida, crie locais para um
grupo específico no nível de subgrupo.
É mais simples gerenciar suas políticas de segurança e configurações se você criar
menos grupos e locais. A complexidade de sua rede e de seus requisitos de
segurança, porém, podem exigir mais grupos e locais. Os números de configurações
de segurança, de configurações relacionadas ao log, de configurações de
comunicação e de políticas diferentes de que você precisa determinam quantos
grupos e locais você cria.
Algumas das opções de configuração que convêm personalizar para seus clientes
remotos são independentes de local. Essas opções são herdadas do grupo pai ou
definidas independentemente. Se você criar um único grupo para conter todos os
clientes remotos, essas configurações independentes de local serão as mesmas
para os clientes no grupo.
As seguintes configurações são independentes de local:
■ Assinaturas da Prevenção contra intrusões personalizada
■ Configurações do bloqueio do sistema

■ Configurações de monitoração de aplicativos na rede
■ Configurações da Política de conteúdo do LiveUpdate
■ Configurações do log de cliente
■ Configurações da comunicação cliente-servidor
■ Configurações gerais relativas à segurança, incluindo a detecção de local e a
Proteção contra adulterações.
Para personalizar quaisquer configurações independentes de local, por exemplo,
como os logs do cliente são controlados, é necessário criar grupos separados.
Algumas configurações são específicas aos locais.
Como melhor prática, você não deve permitir que os usuários desativem as
seguintes proteções:
■ Auto-Protect
■ SONAR
■ Para clientes legados, Verificações proativas de ameaças TruScan
■ proteção contra adulterações
■ As regras de firewall que foram criadas.
Tabela 12-2 Tarefas de detecção de local que você pode executar
Tarefas Descrição
Planejar locais Você deve considerar os diferentes tipos de políticas de

segurança dos quais você precisa em seu ambiente para
determinar os locais que você deve usar. Você pode então
determinar os critérios a serem usados para definir cada local.
É uma melhor prática planejar grupos e locais ao mesmo tempo.
Você pode encontrar os seguintes exemplos úteis:
Consulte “Configuração de condições de detecção de local do

Cenário 1” na página 273.
Consulte “Configuração de condições de detecção de local do

Cenário 2” na página 275.
Ativação da detecção de local para um cliente
Tarefas Descrição
Ativar detecção de local Para controlar as políticas que são atribuídas ao contingente de
clientes no local do qual os clientes se conectam, você pode
ativar a detecção de local.
Consulte “Ativação da detecção de local para um cliente”
na página 269.
Adicionar locais Você pode adicionar locais a grupos.
Atribuir locais padrões Todos os grupos devem ter um local padrão. Quando você
instalar o console, haverá um local apenas, chamado Padrão.
Quando você cria um grupo novo, seu local padrão será sempre
o Padrão. É possível alterar o local padrão mais tarde, após
adicionar outros.
O local padrão é usado se um dos seguintes casos ocorre:
■ Um dos vários locais atender a critérios de local e o último

local não atender a esses critérios.
■ Ao usar a detecção de local, nenhum local atenderá aos
critérios.
■ O local é renomeado ou alterado na política. O cliente retorna
ao local padrão quando recebe a política nova.
Consulte “Alteração de um local padrão” na página 272.
Configurar a Você também pode definir as configurações de comunicação

comunicação para locais entre um servidor de gerenciamento e o cliente com base no
local.
Consulte “Configuração de definições de comunicação para um

local” na página 277.
Consulte o artigo da Base de conhecimento Best Practices for Symantec Endpoint

Protection Location Awareness (em inglês)..
Consulte “Configuração de definições de comunicação para um local” na página 277.
Consulte “Gerenciamento de clientes remotos” na página 265.

Para criar as políticas que são atribuídas aos clientes dependendo do local de
conexão do cliente, é possível ativar a conscientização de local para o cliente.

Se você selecionar Lembrar o último local, quando um cliente se conectar à rede,
ele receberá a política do último local usado. Se a conscientização de local estiver
ativada, o cliente alterna automaticamente para a política apropriada depois de
alguns segundos. A política associada a um local específico determina a conexão
de rede do cliente. Se a conscientização de local estiver desativada, o cliente poderá
alternar manualmente entre os locais, mesmo quando ele estiver no controle do
servidor. Se um local de quarentena estiver ativado, o cliente poderá alternar para
a política de quarentena depois de alguns segundos.
Se você desmarcar Lembrar o último local, quando um cliente se conectar à rede,
ele receberá a política do local padrão. Não é possível ao cliente conectar-se ao
último local usado. Se a conscientização de local estiver ativada, o cliente alterna
automaticamente para a política apropriada depois de alguns segundos. A política
associada a um local específico determina a conexão de rede do cliente. Se a
conscientização de local estiver desativada, o usuário poderá alternar manualmente
entre os locais, mesmo quando o cliente estiver no controle do servidor. Se um
local de quarentena estiver ativado, o cliente poderá alternar para a Política de
quarentena depois de alguns segundos.
Para ativar a conscientização de local para um cliente
2 Na página Clientes, em Clientes, selecione o grupo para o qual você quer
implementar a alternação automática dos locais.
3 Na guia Políticas, desmarque Herdar políticas e configurações do grupo pai
"nome do grupo".
4 Em Políticas e configurações independentes do local, clique em
Configurações gerais.
5 Na caixa de diálogo Configurações gerais, na guia Configurações gerais, em
Configurações do local, marque Lembrar o último local.
Por padrão, essa opção fica ativada. O cliente é atribuído inicialmente à política
associada ao local de onde o cliente se conectou à rede pela última vez.
6 Marque Ativar conscientização de local.
Por padrão, a conscientização de local fica ativada. O cliente é
automaticamente atribuído à política associada ao local de onde o usuário
tenta conectar-se à rede.
7 Clique em OK.
Como adicionar um local para um grupo
Como adicionar um local para um grupo

Quando você adicionar um local a um grupo, você especificará as condições que
acionam os clientes no grupo para alternar para o local. A detecção de local é
apenas eficaz se você aplicar também políticas e configurações apropriadas para
cada local.
Consulte “Sobre o reforço das políticas de segurança para clientes remotos”
na página 278.
Para adicionar um local a um grupo
2 Na página Clientes, em Clientes, selecione o grupo para o qual deseja adicionar
um ou mais locais.
"nome do grupo".
Somente é possível adicionar locais a grupos que não herdam políticas de um
grupo pai.
Você também pode clicar em Adicionar local para executar o Assistente de
Adição de local.
4 Na página Cliente, em Tarefas, clique em Gerenciar locais.
5 Na caixa de diálogo Gerenciar locais, em Locais, clique em Adicionar.
6 Na caixa de diálogo Adicionar local, digite o nome e a descrição do novo local
e clique em OK.
7 À direita da caixa Alternar para esse local quando, clique em Adicionar.
8 Na lista Tipo, selecione uma condição e, em seguida, selecione a definição
apropriada para a condição.
Um computador-cliente é alternado para o local se ele atender aos critérios
especificados.
9 Clique em OK.
10 Para adicionar mais condições, clique em Adicionar e selecione em seguida
Critérios E relação ou Critérios OU relação.
11 Repita as etapas de 8 a 9.
12 Clique em OK.
Alteração de um local padrão
Alteração de um local padrão

Quando o Symantec Endpoint Protection Manager for instalado inicialmente,
existirá um local apenas, chamado padrão. Nesse momento, o local padrão de
todos os grupos será Padrão. Cada grupo deve ter um local padrão. Quando você
criar um grupo novo, o console do Symantec Endpoint Protection Manager tornará
Padrão seu local automaticamente.
Você poderá especificar outro local para ser o local padrão para um grupo depois
de adicionar outros locais. Se preferir, designe um local, como Residência ou
Trânsito, como o local padrão.
O local padrão de um grupo será usado se um dos seguintes casos ocorrer:
■ Um dos vários locais atender a critérios de local e o último local não atender
a esses critérios.
■ Ao usar a conscientização de local, nenhum local atenderá aos critérios.
■ O local é renomeado ou alterado na política. O cliente retorna ao local padrão
quando recebe a política nova.
Para mudar um local padrão
2 Na página Clientes, em Clientes, clique no grupo ao qual você deseja atribuir
um local padrão diferente.
"nome do grupo".
4 Em Tarefas, clique em Gerenciar locais.
5 Na caixa de diálogo Gerenciar locais, em Locais, selecione o local desejado
como local padrão.
6 Em Descrição, marque Definir este local como local padrão em caso de
conflito.
O local Padrão estará definido até que você atribua outro local ao grupo.
7 Clique em OK.
Configuração de condições de detecção de local do Cenário 1
Configuração de condições de detecção de local do

Cenário 1
Se você tiver clientes remotos, no caso mais simples, é uma prática comum usar
o grupo Minha empresa e três locais. Este é o Cenário 1.
Para gerenciar a segurança dos clientes neste cenário, é possível criar os seguintes
locais no grupo Minha empresa para usar:
■ Clientes do escritório que fazem logon no escritório.
■ Os clientes remotos que fazem logon na rede da empresa remotamente em
uma VPN.
■ Os clientes remotos que fazem logon na Internet remotamente, mas não em
uma VPN.
Como o local remoto sem a conexão do VPN é o menos seguro, ele tem as políticas
mais seguras. É uma melhor prática fazer sempre deste local o local padrão.
Nota: Se você desativar a herança do grupo Minha empresa e, em seguida, adicionar

grupos, os grupos adicionados não herdarão os locais que você configurou para o
grupo Minha empresa.
As seguintes sugestões representam as melhores práticas para o Cenário 1.

Para configurar o local do escritório para os clientes localizados no escritório
1 Na página Clientes, selecione o grupo ao qual você deseja adicionar um local.
2 Na guia Políticas, em Tarefas, clique em Adicionar local.
3 No Assistente de Adição de local, clique em Avançar.
4 Digite um nome do local e, opcionalmente, adicione uma descrição e depois
clique em Avançar.
5 Na caixa de listagem, clique em O cliente pode se conectar ao servidor de
gerenciamento na lista e, em seguida, clique em Avançar.
6 Clique em Concluir e, em seguida, clique em OK.
7 Em Tarefas, clique em Gerenciar locais e selecione o local que você criou.
8 Clique em Adicionar e, em seguida, clique em Critérios E relação.
9 Na caixa de diálogo Especificar critério de local, na lista Tipo, clique em Tipo
de conexão de rede.
10 Clique em Se o computador-cliente não usa o tipo de conexão de rede
especificado abaixo.
11 Na caixa de listagem inferior, selecione o nome do cliente VPN que sua

organização usa e, em seguida, clique em OK.
12 Clique em OK para sair da caixa de diálogo Gerenciar locais.
Para configurar o local remoto para os clientes que fazem logon em uma VPN
clique em Avançar.
5 Na caixa de listagem, clique em Tipo de conexão de rede.
6 Na caixa de listagem Tipo de conexão, selecione o nome do cliente VPN que
sua organização usa e, em seguida, clique em Avançar.
8 Clique em OK.
Para configurar o local remoto para os clientes que não fazem logon em uma VPN
clique em Avançar.
5 Na caixa de listagem, deixe Nenhuma condição específica e, em seguida,
clique em Avançar.
Usando estas configurações, as políticas deste local, que devem ser as mais
restritas e seguras, serão usadas como as políticas de local padrão.
6 Clique em Concluir e, em seguida, clique em OK.
Consulte “Configuração de condições de detecção de local do Cenário 2”
na página 275.
Configuração de condições de detecção de local do

Cenário 2
No Cenário 2, você usa os mesmos dois locais remotos como especificado no Cenário
1 e dois locais do escritório, para um total de quatro locais.
Você adicionaria os seguintes locais do escritório:
■ Clientes no escritório que fazem logon em uma conexão Ethernet.
■ Clientes no escritório que fazem logon em uma conexão sem fio.
Isso simplifica o gerenciamento de licenças para deixar todos os clientes no mesmo
modo de controle do servidor padrão. Se desejar um controle mais detalhado sobre
o que seus usuários podem e não podem fazer, um administrador experiente poderá
usar o controle misto. Uma configuração de controle misto dá ao usuário final
algum controle sobre as configurações de segurança, mas você pode sobrescrever
suas mudanças, caso necessário. O controle do cliente permite que os usuários
tenham mais controle sobre o que podem fazer e, assim, constitui-se em um maior
risco à segurança da rede.
Nós sugerimos que você use o controle do cliente apenas nas seguintes situações:
■ Se seus usuários tiverem conhecimentos sobre segurança informática.
■ Se você tiver uma razão convincente para usá-lo.
Nota: Você pode ter alguns clientes que usem conexões Ethernet no escritório
enquanto outros usam conexões sem fio. Por este motivo, você define a última
condição no procedimento para clientes sem fio no escritório. Esta condição
permite criar uma política de firewall do local de Ethernet para bloquear todo o
tráfego sem fio quando ambos os tipos das conexões forem usados
simultaneamente.
Para configurar o local do escritório para os clientes que estão conectados em

Ethernet
2 Em Tarefas, clique em Adicionar local.
clique em Avançar.
5 Na caixa de listagem, selecione O cliente pode se conectar ao servidor de
gerenciamento e clique em Avançar.
7 Clique em OK.
9 Ao lado de Alternar para esse local quando, clique em Adicionar e selecione
Critérios E relação.
15 Clique em Se o computador-cliente usar o tipo de conexão de rede
16 Na caixa de listagem inferior, selecione Ethernet e clique em OK.
Para configurar o local do escritório para os clientes que estão em uma conexão
sem fio
2 Em Tarefas, clique em Adicionar local.
clique em Avançar.
5 Na caixa de listagem, clique em O cliente pode se conectar ao servidor de
gerenciamento e depois clique em Avançar.
7 Clique em OK.
9 Ao lado de Alternar para esse local quando, clique em Adicionar e depois em
Critérios E relação.
Configuração de definições de comunicação para um local

16 Na caixa de listagem inferior, clique em Ethernet e depois em OK.
19 Clique em Se o computador-cliente usar o tipo de conexão de rede
20 Na caixa de listagem inferior, clique em Conexão sem fio e depois em OK.
Consulte “Configuração de condições de detecção de local do Cenário 1”
na página 273.
Configuração de definições de comunicação para um

local
Por padrão, você configura definições de comunicação entre o servidor de
gerenciamento e o cliente em nível de grupo. Porém, você também pode definir
estas configurações para locais individuais em um grupo. Por exemplo, você pode
usar um servidor de gerenciamento separado para um local onde os
computadores-cliente conectem-se via VPN. Para minimizar o número de clientes
que se conectam ao servidor de gerenciamento ao mesmo tempo, você pode
especificar uma pulsação diferente para cada local.
Você pode definir as seguintes configurações de comunicação para locais:
■ O modo de controle em que os clientes são executados.
■ A lista do servidor de gerenciamento que os clientes usam.
■ O modo de download em que os clientes são executados.
Sobre o reforço das políticas de segurança para clientes remotos
■ Se uma lista de todos os aplicativos executados em clientes deve ser coletada

e enviada para o servidor de gerenciamento.
■ Intervalo de pulsação que os clientes usam para download.
■ Se o servidor de gerenciamento torna aleatório o download de conteúdo do
servidor de gerenciamento padrão ou de um Provedor de atualizações de grupo.
Nota: Apenas algumas destas configurações podem ser definidas para clientes
Mac.
Para definir configurações de comunicação para um local

2 Na página Clientes, selecione um grupo.
3 Na guia Políticas, em Políticas e configurações específicas do local, em um
local, expanda Configurações específicas de local.
4 À direita de Configurações de comunicações, clique em Tarefas e, então,
desmarque Usar as configurações de comunicações do grupo.
5 Clique em Tarefas novamente e, em seguida, clique em Editar configurações.
6 Na caixa de diálogo Configurações de comunicações para nome do local,
modifique as configurações apenas para o local específico.
7 Clique em OK.
Consulte “Configuração do modo de envio ou de instalação pull para atualizar
políticas e conteúdo do cliente” na página 329.
Sobre o reforço das políticas de segurança para

clientes remotos
Quando você gerenciar usuários remotos, adotará essencialmente uma das
seguintes posições:
■ Deixar as políticas padrão em vigor, de modo a não impedir que usuários
remotos usem seus computadores.
■ Reforçar suas políticas de segurança padrão para fornecer mais proteção para
sua rede, mesmo que isso restrinja o que os usuários remotos podem fazer.
Sobre o reforço das políticas de segurança para clientes remotos
Na maioria das situações, a prática recomendada é reforçar as políticas de

segurança para clientes remotos.
Políticas podem ser criadas como compartilhadas ou não compartilhadas e
atribuídas aos grupos ou aos locais. Uma política compartilhada é aquela que se
aplica a todo o grupo e local e que pode ser herdada. Uma política não
compartilhada é aquela que se aplica somente a um local específico em um grupo.
Tipicamente, considera-se uma prática recomendada a criação de políticas
compartilhadas, pois facilita a alteração de políticas em vários grupos e locais.
Contudo, quando forem necessárias políticas exclusivas de um local específico,
você precisará criá-las como políticas não compartilhadas ou convertê-las em
políticas não compartilhadas.
Melhores práticas para as configurações da política de firewall

A Tabela 12-3 descreve cenários e recomendações de melhores práticas.
Tabela 12-3 Melhores práticas da política de firewall
Cenário Recomendação
Local remoto onde os ■ Determine as políticas de segurança mais rigorosas para

usuários fazem logon clientes que fazem logon remotamente sem usar uma VPN.
sem uma VPN ■ Ative a proteção do NetBIOS.
Nota: Não ativar a proteção do NetBIOS para o local onde um

cliente remoto está conectado na rede da empresa por meio
de uma VPN. Esta regra é apropriada somente quando os
clientes remotos estão conectados à Internet, não à rede da
empresa.
■ Bloquear todo o tráfego TCP local nas portas NetBIOS 135,
139 e 445 para aumentar a segurança.
Local remoto onde os ■ Deixe sem alteração todas as regras que bloqueiam o tráfego
usuários fazem logon em todos os adaptadores. Não mude essas regras.
através de uma VPN ■ Deixe sem alteração a regra que permite o tráfego VPN em
todos os adaptadores. Não mude essa regra.
■ Altere a coluna Adaptador de Todos os adaptadores para o
nome do adaptador VPN que você usa para todas as regras que
usam a ação Permitir.
■ Ative a regra que bloqueia todo o tráfego restante.
Nota: Será necessário fazer todas essas mudanças se desejar

evitar a possibilidade de túnel dividido por meio da VPN.
Sobre como ativar notificações para clientes remotos
Cenário Recomendação
Locais de escritório Use sua política de firewall padrão. Para a conexão sem fio,
onde os usuários fazem assegure-se de que a regra para permitir o EAPOL sem fio esteja
logon com as conexões ativada. O 802.1x usa protocolo de autenticação extensível sobre
Ethernet ou sem fio rede local (EAPOL, Extensible Authentication Protocol over LAN)
para a autenticação da conexão.
Consulte “Para criar uma política de firewall” na página 455.

Sobre as melhores práticas para configurações de política do

LiveUpdate
Se você mantém o controle estrito sobre o conteúdo e as atualizações de produtos
da Symantec para seus clientes, considere mudar a Política do LiveUpdate para
seus clientes remotos.
Para o local remoto onde os usuários fazem login sem uma VPN, sugerimos as
seguintes melhores práticas:
■ Alterar a configuração da Política do LiveUpdate para usar o servidor padrão
do Symantec LiveUpdate. Esta configuração permite que os clientes remotos
façam a atualização quando se conectam à Internet.
■ Alterar a configuração de frequência de agendamento do LiveUpdate para uma
hora para que seja mais provável que os clientes atualizem sua proteção quando
se conectarem à Internet.
Para todos os outros locais, é uma melhor prática usar o Symantec Endpoint
Protection Manager para distribuir atualizações de software e de conteúdo. Um
pacote de atualização distribuído através do console de gerenciamento é
incremental em vez de um pacote completo. Estes pacotes de atualização são
menores que os pacotes transferidos por download diretamente do servidor do
Symantec LiveUpdate.
Sobre como ativar notificações para clientes remotos

Para os clientes remotos que não estão conectados por VPN, uma prática
recomendada é ativar as notificações do cliente para as seguintes situações:
■ Detecção de intrusões
Sobre a personalização das configurações de gerenciamento de log para clientes remotos
Você pode ativar estas notificações usando o servidor específico do local ou

selecionando a opção Controle misto em Configurações de controle de
interface de usuário cliente. Você pode personalizar as configurações na guia
Configurações de interface de usuário do cliente.
■ Vírus e riscos à segurança
É possível ativar estas notificações na Política de proteção contra vírus e
spyware.
Ativar notificações ajuda a garantir que os usuários remotos estejam cientes
quando um problema de segurança ocorre.
Sobre a personalização das configurações de

gerenciamento de log para clientes remotos
Convém personalizar as configurações de gerenciamento de log para clientes
remotos. A personalização pode ser particularmente útil se os clientes estiverem
off-line por diversos dias.
As seguintes configurações podem ajudar a reduzir a largura de banda e a carga
em seus servidores de gerenciamento:
■ Os clientes não transferem seus logs ao servidor de gerenciamento.
■ Os clientes apenas fazem upload dos log de segurança do cliente.
■ Filtrar eventos de log para fazer upload apenas de eventos especificados.
Eventos sugeridos para upload incluem atualizações de definição ou falhas em
reparar efeitos colaterais.
■ Torne o tempo de retenção de log mais longo.
Períodos de retenção mais longos permitem verificar mais dados de eventos
antivírus e antispyware.
Nota: Algumas configurações de log do cliente são específicas para um grupo. As

configurações de log específicas do local fazem parte de uma política de proteção
contra vírus e spyware. Dependendo das configurações de log que você deseja
personalizar, é possível usar grupos, em vez de locais, para gerenciar seus clientes
remotos.
Consulte “Exibição de logs” na página 679.

Sobre como monitorar clientes remotos
Sobre como monitorar clientes remotos

Notificações e logs são essenciais para manter um ambiente seguro. Geralmente,
é necessário monitorar seus clientes remotos da mesma maneira que seus outros
clientes são monitorados. Sempre deve verificar se suas proteções estão atualizadas
e se a rede não está atualmente sob ataque. Se sua rede estiver sob ataque, você
desejará saber quem está por trás do ataque e como eles atacaram.
Suas configurações de preferência de home page determinam o período de tempo
durante o qual o Symantec Endpoint Protection Manager exibe os dados. Por
padrão, os dados na home page representam somente os clientes que se conectaram
nas últimas 12 horas. Se muitos clientes estiverem frequentemente off-line, sua
melhor opção de monitoramento será ir para os logs e os relatórios. Nos logs e
nos relatórios, você pode filtrar os dados para incluir clientes off-line.
Mesmo se restringir alguns dos dados de log de cliente que são transferidos por
upload por clientes móveis, as seguintes telas poderão ser verificadas.
Tabela 12-4 Telas para monitorar a segurança do cliente remoto
Tela Descrição
Início > Status do endpoint Exibe se o conteúdo está atualizado ou para ver se alguma proteção está
desativada.
Você pode verificar as seguintes condições do status:
■ Datas de conteúdo e números de versão

■ Conexões de cliente
■ Proteções ativadas e desativadas
Você pode clicar em Detalhes para ver o status para cada cliente.
Início > Status de segurança Exibe a visão geral de segurança do sistema. Exibe o Resumo de atividades
de vírus e riscos para ver se sua rede está sob ataque.
Você pode clicar em Detalhes para ver o status para cada tecnologia de
proteção de segurança.
Início > Resumo de atividades de vírus Exibe a atividade de vírus e risco detectada e as ações tomadas, como limpo,
e riscos bloqueado, ou colocado em quarentena.
Monitores > Tipo de resumo > Exibe as informações sobre tipos e fontes de ataques.
Proteção contra ameaças à rede

Capítulo 13
Para gerenciar domínios
■ Sobre domínios
■ Adição de um domínio
■ Para alternar para o domínio atual
Sobre domínios
Quando você instalar um servidor de gerenciamento, o console do Symantec
Endpoint Protection Manager incluirá um domínio, que é chamado Padrão. Um
domínio é um container estrutural no console usado para organizar uma hierarquia
de grupos, clientes, computadores e políticas. Você configura domínios adicionais
para gerenciar seus recursos de rede.
Nota: Os domínios dentro do Symantec Endpoint Protection Manager não se

relacionam aos domínios da Microsoft.
Cada domínio que você adiciona compartilha os mesmos servidores de

gerenciamento e banco de dados e fornece uma instância adicional do console. Os
dados em cada domínio são completamente separados. Esta separação impede
que os administradores em um domínio vejam os dados em outros domínios. Você
pode adicionar uma conta de administrador de modo que cada domínio tenha seu
próprio administrador. Estes administradores podem exibir e gerenciar apenas o
conteúdo de seu próprio domínio.
Se sua empresa for de grande porte, com sites em várias regiões, talvez seja
necessário ter uma visão geral das informações de gerenciamento. Você pode
delegar a autoridade administrativa, separar fisicamente dados de segurança ou
ter maior flexibilidade no modo como os usuários, os computadores e as políticas
284 Para gerenciar domínios
Sobre domínios
são organizados. Se você é um provedor de serviços gerenciado (MSP, managed

service provider), talvez precise gerenciar várias empresas independentes, bem
como provedores de serviços da Internet. Para atender a essas necessidades, você
pode criar vários domínios. Por exemplo, você pode criar um domínio separado
para cada país, região ou empresa.
Figura 13-1 Visão geral dos domínios do Symantec Endpoint Protection Manager
Symantec Endpoint Protection Manager

Cliente A
Cliente B
Cliente C
Banco de dados do
SEPM (separado por
https https https domínio e cliente)
Console Console Console

do SEPM do SEPM do SEPM
Domínio A Domínio B Domínio C
Quando você adicionar um domínio, o domínio estará vazio. Você deve configurar
o domínio para que ele seja o domínio atual. Você adiciona então grupos, clientes,
computadores e políticas a esse domínio.
Você pode copiar políticas e clientes de um domínio para outro. Para copiar
políticas entre domínios, exporte a política do domínio de origem e a importe para
o domínio de destino. Para copiar clientes entre domínios, você usa a ferramenta
SylinkDrop. Esta ferramenta substitui o arquivo de comunicação em um cliente
para permitir que o cliente se comunique com um servidor de gerenciamento
diferente.
Você poderá desativar um domínio se não precisar mais dele. Assegure-se de que
não esteja definido como o domínio atual quando você tentar desativá-lo.
Consulte “Para recuperar configurações de comunicação do cliente usando a
ferramenta SylinkDrop” na página 828.
Consulte “Para alternar para o domínio atual” na página 285.
Para gerenciar domínios 285
Adição de um domínio
Adição de um domínio
Você cria um domínio para organizar uma hierarquia de grupos, usuários, clientes
e políticas em sua organização. Por exemplo, convém adicionar domínios para
organizar usuários por divisão.
Nota: Você pode usar um ID do domínio para a recuperação após desastres. Se

todos os servidores de gerenciamento em sua organização falharem, você precisará
reconstruir o servidor de gerenciamento usando o mesmo ID que o servidor antigo.
Você pode obter o antigo ID do domínio no arquivo sylink.xml em qualquer cliente.
Para adicionar um domínio

3 Em Tarefas, clique em Adicionar domínio.
4 Na caixa de diálogo Adicionar domínio, digite um nome de domínio, um nome
da empresa e as informações de contato opcionais.
5 Se você quer adicionar um ID do domínio, clique em Avançado e digite o valor
na caixa de texto.
6 Clique em OK.
Para alternar para o domínio atual

O nome de domínio padrão é Padrão e é definido como o domínio atual. Quando
você adicionar primeiro um novo domínio no console do Symantec Endpoint
Protection Manager, o domínio estará vazio. Para adicionar grupos, clientes,
políticas e administradores a um novo domínio, é necessário primeiro defini-lo
como o domínio atual. Quando um domínio for designado como o domínio atual,
o texto Domínio atual seguirá o nome de domínio no título. Se você tiver muitos
domínios, será necessário percorrer a lista Domínios para exibir o domínio atual.
Se fizer logon no console como administrador do sistema, você poderá ver todos
os domínios, independente de qual domínio é o atual. Porém, você pode exibir
apenas os administradores e administradores limitados que foram criados no
domínio atual. Se você fizer logon no console como administrador ou administrador
limitado, apenas serão exibidos os domínios aos quais você tem acesso.
286 Para gerenciar domínios
Se remover o domínio atual, você será desconectado pelo servidor de

gerenciamento. Você pode somente remover um domínio que não seja o domínio
atual e o único domínio.
3 Em Domínios, clique no domínio que deseja tornar o domínio atual.
4 Em Tarefas, clique em Administrar domínio.
5 Na caixa de diálogo Administrar domínio, para confirmar, clique em Sim.
6 Clique em OK.
Capítulo 14
Para gerenciar contas de
administrador e senhas
■ Para gerenciar domínios e contas de administrador
■ Sobre funções e direitos de acesso da conta de administrador
■ Adição de uma conta de administrador
■ Configuração dos direitos de acesso para um administrador limitado
■ Para mudar o método de autenticação de contas de administrador
■ Melhores práticas para testar se um servidor de diretório autentica uma conta

de administrador
■ Para mudar a senha de uma conta de administrador
■ Permissão de administradores para redefinir senhas esquecidas
■ Para enviar uma senha temporária a um administrador
■ Para exibir as caixas de seleção Lembrar meu nome de usuário e Lembrar minha
senha na tela de logon
Para gerenciar domínios e contas de administrador

Você pode usar contas de administrador para gerenciar o Symantec Endpoint
Protection Manager. Administradores fazem logon no console do Symantec
Endpoint Protection Manager para mudar configurações de política, gerenciar
grupos, executar relatórios e instalar o software-cliente, assim como outras tarefas
de gerenciamento.
288 Para gerenciar contas de administrador e senhas
Para gerenciar domínios e contas de administrador
A conta padrão é uma conta do administrador do sistema que fornece acesso a

todos os recursos. Você também pode adicionar uma conta de administrador mais
limitado, para os administradores que precisam executar um subconjunto de
tarefas.
Para uma empresa de pequeno porte, talvez você precise de apenas um
administrador. Para uma empresa de grande porte, com vários sites e domínios,
é provável que você precise de vários administradores, alguns dos quais com mais
direitos de acesso que outros.
Gerencie domínios e contas de administrador e suas senhas na página Admin.
Tabela 14-1 Administração de contas e domínios
Tarefa Descrição
Decidir se adiciona Decidir se adiciona domínios.

vários domínios
Consulte “Para alternar para o domínio atual” na página 285.
Adicionar contas de Adicionar contas aos administradores que precisam de acesso ao console do Symantec
administrador Endpoint Protection Manager.
■ Aprender sobre as funções da conta de administrador que estão disponíveis.

Consulte “Sobre funções e direitos de acesso da conta de administrador” na página 289.
■ Criar os tipos de contas de administrador de que você precisa.
na página 293.
■ Alterar o método que é usado para autenticar as contas de administrador (opcional).
Por padrão, o banco de dados do Symantec Endpoint Protection Manager autentica as
credenciais do administrador. Você também pode usar o RSA SecurID, um servidor LDAP
ou um servidor do Microsoft Active Directory para a autenticação.
na página 294.
Desbloquear ou Por padrão, o Symantec Endpoint Protection Manager bloqueia um administrador depois
bloquear uma conta de que um usuário tenta fazer logon em demasia no Symantec Endpoint Protection Manager
administrador usando a conta de administrador. Você pode especificar estas configurações para aumentar
o número de tentativas ou o tempo que o administrador é bloqueado.
Consulte “Para desbloquear uma conta de administrador após várias tentativas de logon”
na página 109.
Para gerenciar contas de administrador e senhas 289
Sobre funções e direitos de acesso da conta de administrador
Tarefa Descrição
Redefinir senhas Você pode executar as tarefas para senhas a seguir:
■ Alterar a senha para uma conta de administrador.

Consulte “Para mudar a senha de uma conta de administrador” na página 303.
■ Certifique-se de que o link Esqueceu sua senha?O link aparece de modo que os
administradores possam restaurar suas próprias senhas esquecidas.
Consulte “Permissão de administradores para redefinir senhas esquecidas” na página 304.
■ Enviar a um administrador uma senha provisória de modo que ele possa restaurar sua
senha.
■ Exibir as caixas de diálogo Lembrar meu nome de usuário e Lembrar minha senha na
tela de logon do servidor de gerenciamento.
Consulte “Para exibir as caixas de seleção Lembrar meu nome de usuário e Lembrar
minha senha na tela de logon” na página 306.
Configurar opções de Você pode configurar as seguintes opções de logon para cada tipo de administrador:
logon para o Symantec
■ Indicar uma mensagem para que os administradores leiam antes que entrem.
Endpoint Protection
Consulte “Para exibir uma mensagem aos administradores antes que façam logon no
Manager
Symantec Endpoint Protection Manager” na página 106.
■ Permitir ou bloquear o acesso de logon ao console de gerenciamento, de modo que
determinados administradores possam ou não fazer logon remotamente.
Consulte “Para permitir ou bloquear o acesso aos consoles remotos do Symantec Endpoint
■ Por padrão, se um administrador tentar fazer logon no Symantec Endpoint Protection
Manager muitas vezes, ele será bloqueado por 15 minutos. Você pode definir estas
configurações para cada administrador.
Consulte “Para desbloquear uma conta de administrador após várias tentativas de logon”
na página 109.

na página 103.
Sobre funções e direitos de acesso da conta de

administrador
Quando você instalar o Symantec Endpoint Protection Manager, uma conta padrão
de administrador do sistema será criada, chamada admin. A conta de administrador
do sistema dá acesso com direitos de administrador a todos os recursos do
Para ajudá-lo a gerenciar a segurança, você pode adicionar contas adicionais de
administrador do sistema, de administrador de domínio e de administrador
limitado. Os administradores de domínio e os administradores limitados têm

acesso a um subconjunto de recursos do Symantec Endpoint Protection Manager.
Você escolhe as contas necessárias com base nos tipos de funções e de direitos de
acesso necessários em sua empresa. Por exemplo, uma empresa de grande porte
pode usar os seguintes tipos de administradores:
■ Um administrador que instale o servidor de gerenciamento e os pacotes de
instalação do cliente. Depois que o produto estiver instalado, um administrador
responsável pelas operações assume o comando. Estes administradores são,
muito provavelmente, administradores do sistema.
■ Um administrador de operações mantém os servidores, os bancos de dados e
instala patches. Se você tiver um único domínio, o administrador de operações
poderá ser um administrador de domínio inteiramente autorizado para
gerenciar sites.
■ Um administrador de antivírus, que cria e mantém as políticas de vírus e de
spyware, além das políticas do LiveUpdate nos clientes. Este administrador é,
muito provavelmente, um administrador limitado.
■ Um administrador do desktop, responsável pela segurança, que cria e mantém
as políticas de firewall e de prevenção contra intrusões para os clientes. Este
administrador é, muito provavelmente, um administrador de domínio.
■ Um administrador do helpdesk que cria relatórios e tem acesso somente leitura
às políticas. O administrador de antivírus e o administrador do desktop leem
os relatórios enviados pelo administrador de helpdesk. O administrador do
helpdesk é, muito provavelmente, um administrador limitado a quem são
concedidos direitos de geração de relatórios e direitos de política.
A Tabela 14-2 descreve o tipo de conta e os direitos de acesso de cada função.
Tabela 14-2 Funções e responsabilidades do administrador
Função do Responsabilidades
administrador
Administrador do Os administradores do sistema podem fazer logon no console do Symantec Endpoint

sistema Protection Manager com acesso completo e ilimitado a todos os recursos e tarefas.
Um administrador do sistema pode criar e gerenciar outras contas de administrador do

sistema, de administrador de domínio e de administrador limitado.
Um administrador do sistema pode executar as tarefas a seguir:
■ Gerenciar todos os domínios.

■ Administrar licenças.
■ Exibir e gerenciar todas as configurações do console.
■ Gerenciar os bancos de dados e os servidores de gerenciamento.
■ Gerenciar Enforcers.
Administrador Administradores são administradores de domínio que podem visualizar e gerenciar um

único domínio. Um administrador de domínio tem os mesmos privilégios que um
administrador do sistema, mas somente para um único domínio.
Por padrão, o administrador de domínio tem direitos completos de administrador do

sistema para gerenciar um domínio, mas não um site. Você deve explicitamente conceder
direitos do site em um único domínio. Os administradores de domínio podem modificar
os direitos do site de outros administradores e de administradores limitados, embora não
possam modificar os direitos do site para si.
Um administrador de domínio pode executar as tarefas a seguir:
■ Criar e gerenciar contas de administrador e contas de administrador limitado dentro

de um único domínio.
Os administradores de domínio não podem modificar seus próprios direitos do site. Os
administradores do sistema devem executar esta função.
■ Executar relatórios, gerenciar sites e redefinir senhas. Você deve explicitamente
configurar direitos de geração de relatórios aos grupos migrados do Symantec AntiVirus
10.x.
■ Não é possível administrar licenças. Somente os administradores do sistema podem
administrar licenças.
■ Não é possível gerenciar Enforcers.

Adição de uma conta de administrador
Função do Responsabilidades
administrador
Administrador Os administradores limitados podem fazer logon no console do Symantec Endpoint

limitado Protection Manager com acesso restrito. Os administradores limitados não têm direitos
de acesso por padrão. Uma função do administrador do sistema deve explicitamente
conceder direitos de acesso para permitir que um administrador limitado execute tarefas.
Partes da interface do usuário não estarão disponíveis para administradores limitados

quando você restringir os direitos de acesso. Por exemplo:
■ Os administradores limitados sem direitos à geração de relatórios não podem visualizar

as páginas Início, Monitores ou Relatórios.
■ Os administradores limitados sem direitos de políticas não podem exibir ou modificar
a política. Além disso, não podem aplicar, substituir ou retirar uma política.

na página 293.

Adição de uma conta de administrador

Como um administrador do sistema, você pode adicionar um outro administrador
do sistema, administrador ou administrador limitado. Como um administrador
dentro de um domínio, é possível adicionar outros administradores com direitos
de acesso iguais ou menos restritivos do que seus próprios. Os administradores
podem adicionar administradores limitados e configurar seu direitos de acesso.
Para adicionar uma conta de administrador
3 Em Tarefas, clique em Adicionar um administrador.
4 Na caixa de diálogo Adicionar administrador, na guia Geral, digite o nome
do usuário e o endereço de e-mail.
Configuração dos direitos de acesso para um administrador limitado
5 Nas guias Direitos de acesso e Autenticação, especifique a função do

administrador, os direitos de acesso e o método de autenticação.
na página 289.
na página 294.
Clique em Ajuda para obter mais informações.
6 Clique em OK.
Configuração dos direitos de acesso para um

administrador limitado
Se você adicionar uma conta de administrador limitado, será necessário também
especificar os direitos de acesso do administrador. As contas do administrador
limitado que não tem nenhum direito de acesso são criadas em um estado
desativado e o administrador limitado não poderá fazer logon no servidor de
gerenciamento.
Nota: Os direitos de relatórios são necessários para integrar o Symantec Endpoint

Protection Manager com o Symantec Protection Center versão 1. Assegure-se de
conceder direitos de geração de relatórios a todos os administradores limitados
que usarem o Protection Center versão 1 para acessar o console do Symantec
Endpoint Protection Manager. Para obter mais informações, consulte a ajuda do
Protection Center versão 1.
Para configurar os direitos de acesso para um administrador limitado

3 Selecione o administrador limitado.
Você também pode configurar os direitos de acesso ao criar uma conta de
administrador limitado.
4 Em Tarefas, clique em Editar administrador.
Para mudar o método de autenticação de contas de administrador
5 Na guia Direitos de acesso, selecione uma opção e clique, em seguida, no

botão correspondente para definir os direitos de acesso. Clique em Ajuda
para obter mais informações.
6 Se desejar autorizar o administrador limitado a criar apenas as políticas não
compartilhadas para um local, selecione Permitir apenas edição de política
específica do local.
7 Clique em OK.
na página 289.
Para mudar o método de autenticação de contas de

administrador
Após adicionar uma conta de administrador, o nome de usuário e a senha são
armazenados no banco de dados do Symantec Endpoint Protection Manager.
Quando o administrador fizer logon no servidor de gerenciamento, o servidor de
gerenciamento verificará no banco de dados se o nome de usuário e a senha estão
corretos. Contudo, se sua empresa usar um servidor de terceiros para autenticar
nomes de usuário e senhas existentes, você poderá configurar o Symantec Endpoint
Protection Manager para autenticar no servidor.
A Tabela 14-3 exibe os métodos de autenticação que o servidor de gerenciamento
pode usar para autenticar contas de administrador.
Tabela 14-3 Métodos de autenticação
Autenticação de Symantec Autentica os administradores com as credenciais do

Endpoint Protection Manager administrador que estão armazenadas no banco de dados
(padrão) do Symantec Endpoint Protection Manager.
Autenticação RSA SecurID Autentica os administradores usando o token RSA SecurID

(não tokens de software RSA), o cartão RSA SecurID ou o
teclado numérico do cartão RSA (não cartões inteligentes
RSA).
Autenticação de servidor de Autentica os administradores em um servidor LDAP ou

diretório servidor do Microsoft Active Directory.
Para métodos de autenticação de terceiros, o Symantec Endpoint Protection

Manager tem uma entrada no banco de dados para a conta de administrador, mas
o servidor de terceiros valida o nome de usuário e a senha.
1 Adicione uma conta de administrador
2 Na guia Autenticação, selecione o método de autenticação.
■ Para autenticar os administradores que usam um mecanismo RSA SecurID,
primeiramente instale o servidor ACE da RSA e ative a autenticação
criptografada para RSA SecurID.
Consulte “Configuração do servidor de gerenciamento para autenticar os
administradores que usam RSA SecurID para fazer logon” na página 296.
Consulte “Autenticação dos administradores que usam o RSA SecurID
para fazer logon no servidor de gerenciamento” na página 297.
■ Para autenticar os administradores que usam um servidor de diretório
Active Directory ou LDAP, você precisa configurar uma conta no servidor
de diretório. Você deve também estabelecer uma conexão entre o servidor
de diretório e o Symantec Endpoint Protection Manager. Se não estabelecer
uma conexão, você não poderá importar usuários de um Active Directory
ou sincronizar com eles.
Nota: A sincronização somente é possível para servidores do Active

Directory. O Symantec Endpoint Protection não suporta a sincronização
com servidores LDAP.
Você pode verificar se o servidor de diretório autentica o nome de uma

conta clicando em Testar conta.
Consulte “Melhores práticas para testar se um servidor de diretório
autentica uma conta de administrador” na página 298.
3 Clique em OK.
4 Na caixa de diálogo Confirmar alteração, digite a senha que você usa para
fazer logon no Symantec Endpoint Protection Manager e clique em OK.
Quando alternar entre métodos de autenticação, você deverá digitar a senha
da conta de administrador.
Configuração do servidor de gerenciamento para autenticar os

administradores que usam RSA SecurID para fazer logon
Se sua rede da empresa inclui um servidor RSA, você precisa instalar o software
para um agente RSA ACE no computador em que instalou o Symantec Endpoint
Protection Manager e configurá-lo como um cliente de autenticação SecurID.
Para configurar o servidor de gerenciamento para autenticar os administradores
que usam RSA SecurID para fazer logon
1 Instale o software para o agente RSA ACE no mesmo computador em que você
instalou o servidor de gerenciamento. Você pode instalar o software
executando o arquivo.msi do Windows do disco do produto do agente de
autenticação RSA.
2 Copie os arquivos nodesecret.rec, sdconf.rec e agent_nsload.exe do servidor
RSA ACE para o computador em que você instalou o servidor de
gerenciamento.
3 No prompt de comando, digite o seguinte comando:
agent_nsload -f nodesecret.rec -p senha
onde -p é a senha para o arquivo nodesecret

5 Em Servidores, selecione o servidor de gerenciamento ao qual você deseja
conectar um servidor proxy RSA.
6 Em Tarefas, clique em Configurar autenticação SecurID.
7 No painel Bem-vindoaoAssistentedeConfiguraçãodaautenticaçãoSecurID,
clique em Avançar.
8 No painel Qualificação, do painel do Assistente de Configuração da
autenticação SecurID, leia os pré-requisitos de forma que possa atender a
todos os requisitos.
10 No painel Transferir arquivo RSA por upload do painel Assistente de
Configuração da autenticação SecurID, procure a pasta na qual o arquivo
sdconf.rec reside.
Você também pode digitar o nome do caminho.
12 Clique em Teste para testar a sua configuração.

13 Na caixa de diálogo Testar configuração, digite o nome de usuário e a senha
para a sua SecurID e, em seguida, clique em Teste.
Agora, a autenticação é feita com êxito.
Consulte “Autenticação dos administradores que usam o RSA SecurID para fazer
logon no servidor de gerenciamento” na página 297.
Autenticação dos administradores que usam o RSA SecurID para fazer

logon no servidor de gerenciamento
Se desejar autenticar os administradores que usam o Symantec Endpoint Protection
Manager com RSA SecurID, você precisará ativar a autenticação criptografada,
executando o Assistente de Instalação do RSA.
Para autenticar os administradores que usam o RSA SecurID para fazer logon no
servidor de gerenciamento
1 Instale um servidor ACE RSA, caso necessário.
2 Registre o computador em que você instalou o servidor de gerenciamento
como um host válido no servidor ACE RSA.
3 Crie um arquivo Node Secret para o mesmo host.
4 Certifique-se de que o arquivo sdconf.rec do servidor RSA ACE está acessível
na rede.
5 Atribua um cartão SecurID ou cartão com sensor magnético sincronizado a
uma conta do servidor de gerenciamento; ative o nome de logon no servidor
ACE RSA.
6 Assegure-se de que o administrador tenha o PIN ou a senha do RSA disponível.
A Symantec oferece suporte aos seguintes tipos de logon RSA:
■ Token RSA SecurID (não tokens de software da RSA)
■ Cartão RSA SecurID
■ Cartão de teclado numérico da RSA (não cartões inteligentes da RSA)
Para fazer logon no servidor de gerenciamento com o RSA SecurID, o administrador
precisa de um nome de logon, do token (hardware) e de um número de identificação.
Consulte “Configuração do servidor de gerenciamento para autenticar os
administradores que usam RSA SecurID para fazer logon” na página 296.
na página 294.
Melhores práticas para testar se um servidor de diretório autentica uma conta de administrador
Melhores práticas para testar se um servidor de

diretório autentica uma conta de administrador
Você pode testar se um servidor Active Directory ou LDAP autentica o nome de
usuário e a senha para uma conta de administrador que criar. O teste também
garante que você adicionou o nome de usuário e a senha corretamente.
Use o mesmos nome de usuário e senha para uma conta de administrador no
Symantec Endpoint Protection Manager como você faz no servidor de diretório.
Quando o administrador fizer logon no servidor de gerenciamento, o servidor de
diretório autenticará o nome de usuário e a senha do administrador. O servidor
de gerenciamento usa a configuração de servidor de diretório que você adicionou
para pesquisar a conta no servidor do diretório.
A opção Testar conta verifica se o nome da conta existe no servidor de diretório.
Você também pode testar se um servidor do Active Directory ou do LDAP autentica
uma conta de administrador sem nome de usuário e senha. Uma conta sem nome
de usuário ou senha é acesso anônimo. Você deve criar uma conta de administrador
com acesso anônimo de modo que os administradores nunca estejam bloqueados
se a senha for mudada no servidor de diretório.
Nota: No servidor do Active Directory do Windows 2003, a autenticação anônima

é desativada por padrão. Portanto, quando você adicionar um servidor de diretório
sem nome de usuário a uma conta de administrador e clicar em Testar conta, uma
mensagem de erro Falha na autenticação da conta será exibida. Para contornar
este problema, crie duas entradas de servidor de diretório, uma para teste e uma
para acesso anônimo. O administrador ainda pode fazer logon no servidor de
gerenciamento usando um nome de usuário e uma senha válidos.
Tabela 14-4 Etapas para testar a autenticação de servidor de diretório para uma
conta de administrador
Etapa Adicionar várias conexões Para facilitar o teste para acesso anônimo, adicione pelo menos duas entradas do
1 do servidor de diretório servidor de diretório. Use uma entrada para testar a autenticação e a segunda
entrada para testar o acesso anônimo. Estas entradas usam o mesmo servidor de
diretório com configurações diferentes.
Por padrão, a maioria dos usuários reside em CN=Users a menos que movidos
para unidades organizacionais diferentes. Usuários no servidor de diretório LDAP
são criados em CN=Users, DC=< dominio_de_amostra >, DC=local. Para encontrar
onde um usuário reside no LDAP, use ADSIEdit.
Use as seguintes informações para configurar os servidores do diretório para este

exemplo:
■ CN=John Smith
■ OU=test
■ DC=< dominio_de_amostra >
■ DC=local
O exemplo usa Active Directory padrão LDAP (389) mas pode também usar LDAP
seguro (636).
Etapa Adicionar várias contas Adicione várias contas de administrador do sistema. A conta para acesso anônimo
2 de administrador não usa nome de usuário ou senha.
Consulte “Para adicionar as contas de administrador usando as entradas do

Para adicionar as conexões do servidor de diretório para testar a autenticação de

servidor do Active Directory e do LDAP
1 No console, clique em Administrador > Servidores, selecione o servidor
padrão e clique em Editar as propriedades do servidor.
2 Na guia Servidores de diretórios, clique em Adicionar.
3 Na guia Geral, adicione as seguintes configurações do servidor de diretório
e clique em OK.
Servidor de diretório 1:
■ Nome: <dominio_de_amostra> Active Directory
■ Tipo de servidor: Active Directory
■ Nome ou endereço IP do servidor:
server01.<dominio_de_amostra>.local
■ Nome do usuário: <dominio_de_amostra>\administrador

■ Senha: < senha do servidor de diretório >

Servidor de diretório 2:
■ Nome: <dominio_de_amostra> LDAP com Nome de usuário
■ Tipo de servidor: LDAP
■ Porta LDAP: 389

■ BaseDN do LDAP: DC=<dominio_de_amostra>, DC=local
■ Nome do usuário: <dominio_de_amostra>\administrador
■ Senha: < senha do servidor de diretório >
Servidor de diretório 3 (para autenticação anônima):
■ Nome: <dominio_de_amostra> LDAP sem Nome de usuário
■ Tipo de servidor: LDAP
■ Porta LDAP: 389

■ BaseDN do LDAP: <vazio>
Deixe este campo vazio quando usar o acesso anônimo.
■ Nome do usuário: <vazio>
■ Senha: <vazio>
Após clicar em OK, um aviso aparecerá. Mas o servidor de diretório será
válido.
Quando você tentar adicionar um BaseDN sem nome de usuário e senha,
o aviso aparecerá.
Para adicionar as contas de administrador usando as entradas do servidor de

diretório
1 No console, clique em Admin > Administradores, e na guia Geral, adicione
as contas de administrador na etapa 2.
na página 294.
Após adicionar cada conta de administrador e clicar na opção Testar conta,
você verá uma mensagem. Em alguns casos, a mensagem parecerá invalidar
a informação de conta. Mas o administrador poderá fazer logon no Symantec
2 Conta de administrador 1:
■ Na guia Geral, digite as seguintes informações:
Nome do usuário: john
■ Nome completo: John Smith
■ Endereço de e-mail john@<dominio_de_amostra>.local
■ Na guia Direitos de acesso, clique em Administrador do sistema.
■ Na guia Autenticação, clique em Autenticação de diretório.
Na lista suspensa Servidor de diretório, selecione <dominio_de_amostra>
Active Directory.
No campo Nome da conta, digite john.
Clique em Testar conta.
O administrador do sistema john poderá fazer logon no Symantec Endpoint
Protection Manager com autenticação do diretório.
Conta de administrador 2:
■ Nome do usuário: john
LDAP com Nome do usuário.
No campo Nome da conta, digite john.

O administrador do sistema john não poderá fazer logon no Symantec
Endpoint Protection Manager com autenticação do diretório.
Conta de administrador 3:
LDAP com Nome do usuário.
No campo Nome da conta, digite John Smith.
O administrador do sistema john poderá fazer logon no Symantec Endpoint
Protection Manager com autenticação do diretório.
Conta de administrador 4, para acesso anônimo:
LDAP sem Nome do usuário.
No campo Nome da conta, digite John Smith.
A autenticação da conta falhará, mas o administrador do sistema John
Smith poderá fazer logon no Symantec Endpoint Protection Manager.

Para mudar a senha de uma conta de administrador

Para fins de segurança, poderá ser necessário mudar a senha da conta de outro
administrador.
As seguintes regras se aplicam à mudança de senhas:
■ Os administradores do sistema podem mudar a senha para todos os
administradores.
■ Os administradores de domínio podem mudar a senha para outros
administradores de domínio e administradores limitados dentro do mesmo
domínio.
■ Os administradores limitados somente podem mudar suas próprias senhas.
Nota: Quando você configurar o servidor de gerenciamento no Assistente de

Configuração do servidor de gerenciamento, selecione o banco de dados
incorporado ou o banco de dados do Microsoft SQL Server. Se você selecionar o
banco de dados incorporado, a senha digitada para a conta de administrador
padrão admin também se transformará na senha do banco de dados. Se você alterar
a senha padrão do administrador, a senha do banco de dados não será alterada.
Se a senha for redefinida para corrigir um bloqueio da conta do administrador, o

administrador ainda deverá aguardar o período de bloqueio expirar. O período
padrão de bloqueio é de 15 minutos.
Consulte “Para desbloquear uma conta de administrador após várias tentativas
de logon” na página 109.
1 No console, clique em Admin > Administradores.
2 Em Administradores, selecione a conta de administrador e clique em Alterar
senha.
3 Digite sua senha e a nova senha do administrador.
A senha deve conter de seis a 20 caracteres. Os seguintes caracteres não são
permitidos: "/ \ [ ] : ; | = , + * ? < >
4 Clique em Alterar.
Permissão de administradores para redefinir senhas esquecidas
Permissão de administradores para redefinir senhas

esquecidas
Se tiver uma conta de administrador do sistema, você poderá permitir que seus
administradores redefinam as senhas. Se você ativar este recurso, os
administradores podem clicar no link Esqueceu sua senha? no painel de logon
para solicitar uma senha temporária.
Nota: Você pode permitir este método de redefinição de senha apenas para as
contas de administrador que são autenticadas usando a autenticação do Symantec
Management Server. Este método não funciona para nenhuma conta de
administrador que seja autenticada usando a autenticação RSA SecurID ou a
autenticação de diretório.
Para permitir que os administradores redefinam senhas esquecidas

2 Na página Administrador, clique em Servidores.
3 Em Servidores, selecione o site local.
Você controla esta configuração apenas para o site local.
4 Clique em Editar propriedades do site.
5 Na guia Senhas, selecione Permita que os administradores redefinam as
senhas.
6 Clique em OK.
Consulte “Para enviar uma senha temporária a um administrador” na página 304.
Consulte “Para exibir as caixas de seleção Lembrar meu nome de usuário e Lembrar
minha senha na tela de logon” na página 306.
Para enviar uma senha temporária a um

administrador
Se você tiver uma conta de administrador do sistema, poderá permitir que seus
administradores redefinam suas próprias senhas. Um e-mail que contenha um
link para ativar a senha temporária será para enviado para o administrador. Você
deve primeiramente certificar-se de que o link Esqueceu sua senha? aparece na
tela de login do Symantec Endpoint Protection Manager.
Para enviar uma senha temporária a um administrador
Por razões de segurança, o servidor de gerenciamento não armazena nem verifica

as senhas provisórias. Para verificar se o administrador restaurou a senha com
êxito, confira se o administrador recebeu a mensagem de e-mail.
Um administrador pode pedir uma senha temporária no console de gerenciamento
somente uma vez por minuto.
Você deve configurar o servidor de e-mail de modo que o servidor de e-mail envie
a notificação.
Você pode usar este método de redefinição de senha apenas para as contas de
administrador que são autenticadas usando a autenticação do Symantec
Management Server. Este método não funciona para nenhuma conta de
administrador que seja autenticada usando a autenticação RSA SecurID ou a
autenticação de diretório.
Para enviar uma senha provisória a um administrador
1 No computador do servidor de gerenciamento, clique em Iniciar > Todos os
Programas > Symantec Endpoint Protection Manager > Symantec Endpoint
Protection Manager.
Por padrão, o link Esqueceu sua senha? aparece na tela de logon do servidor
de gerenciamento. Caso isso não ocorra, você deverá ativá-lo.
Consulte “Para exibir as caixas de seleção Lembrar meu nome de usuário e
Lembrar minha senha na tela de logon” na página 306.
2 Na tela Logon, clique em Esqueceu sua senha?
3 Na caixa de diálogo Esqueci a senha, digite o nome de usuário da conta para
a qual você deseja redefinir a senha.
Para administradores de domínio e administradores limitados, digite o nome
de domínio da conta. Se você não configurou domínios, deixe o campo de
domínio em branco.
4 Clique em Senha temporária.
Como uma medida de segurança, o administrador deve mudar a senha
temporária imediatamente depois de fazer logon.
na página 294.
Para exibir as caixas de seleção Lembrar meu nome de usuário e Lembrar minha senha na tela de logon
Para exibir as caixas de seleção Lembrar meu nome

de usuário e Lembrar minha senha na tela de logon
Você pode exibir as caixas de seleção Lembrar meu nome de usuário e Lembrar
minha senha na tela de logon do Symantec Endpoint Protection Manager. Se você
ativar este recurso, o nome de usuário e a senha do administrador serão
preenchidos previamente na tela de logon.
Para exibir as caixas de seleção Lembrar meu nome de usuário e Lembrar minha
senha na tela de logon
3 Em Domínios, selecione o domínio para o qual permitir que administradores
salvem as credenciais de logon.
4 Clique em Editar propriedades de domínio.
5 Na guia Senhas, selecione Permitir que os usuários salvem as credenciais
ao fazer logon.
6 Clique em OK.
Seção 3
Para gerenciar a proteção e
personalizar as políticas
■ Capítulo 15. Para usar políticas para gerenciar a segurança
■ Capítulo 16. Para gerenciar a proteção contra vírus e spyware
■ Capítulo 17. Para personalizar verificações
■ Capítulo 18. Para gerenciar o SONAR
■ Capítulo 19. Para gerenciar a Proteção contra adulterações
■ Capítulo 20. Para gerenciar a proteção de firewall
■ Capítulo 21. Para gerenciar a prevenção contra intrusões
■ Capítulo 22. Para gerenciar o controle de dispositivos e aplicativos
■ Capítulo 23. Para gerenciar exceções
■ Capítulo 24. Para configurar atualizações e atualizar a proteção do

computador-cliente
■ Capítulo 25. Para monitorar a proteção com relatórios e logs
■ Capítulo 26. Para gerenciar notificações

308
Capítulo 15
Para usar políticas para
gerenciar a segurança
■ Para executar as tarefas comuns a todas as políticas de segurança
■ Os tipos de políticas de segurança
■ Sobre políticas compartilhadas e não compartilhadas
■ Adição de política
■ Edição de uma política
■ Para copiar e colar uma política na página Políticas
■ Para copiar e colar uma política na página Clientes
■ Para bloquear e desbloquear configurações de política do vírus e de spyware
■ Atribuição de uma política a um grupo
■ Para testar uma política
■ Substituição de uma política
■ Para exportar e importar políticas individuais
■ Conversão de uma política compartilhada em uma política não compartilhada
■ Para retirar uma política de um grupo
■ Como os computadores-cliente obtêm atualizações da política
■ Configuração do modo de envio ou de instalação pull para atualizar políticas

e conteúdo do cliente
310 Para usar políticas para gerenciar a segurança
Para executar as tarefas comuns a todas as políticas de segurança
■ Para usar o número de série da política para verificar a comunicação

cliente-servidor
■ Para atualizar manualmente políticas no cliente
■ Para monitorar os aplicativos e serviços executados em computadores-cliente
■ Pesquisa das informações sobre os aplicativos executados pelos computadores
Para executar as tarefas comuns a todas as políticas

de segurança
Suas políticas de segurança definem como as tecnologias de proteção protegem
seus computadores contra as ameaças conhecidas e desconhecidas.
Você pode gerenciar suas políticas de segurança do Symantec Endpoint Protection
de várias maneiras. Por exemplo, você pode criar cópias das políticas de segurança
e personalizá-las para suas necessidades específicas. Você pode bloquear e
desbloquear determinadas configurações de modo que os usuários não as possam
mudar no computador-cliente.
A Tabela 15-1 descreve muitas das tarefas da política que você pode executar.
Tabela 15-1 Tarefas comuns a todas as políticas
Tarefa Descrição
Adicionar política Se você não quiser usar uma das políticas padrão, é possível
adicionar uma política nova.
Você pode adicionar políticas compartilhadas ou políticas não

compartilhadas.
Nota: Se você adicionar ou editar políticas compartilhadas na
página Políticas, será necessário também atribuir as políticas
a um grupo ou local. Caso contrário, essas políticas não entrarão
em vigor.
Consulte “Sobre políticas compartilhadas e não compartilhadas”

na página 316.

Para usar políticas para gerenciar a segurança 311
Tarefa Descrição
Bloquear e desbloquear Você pode bloquear e desbloquear algumas configurações da

configurações de Política de proteção contra vírus e spyware. Os usuários do
políticas computador não podem mudar as configurações de política
bloqueadas. Um ícone de cadeado aparece ao lado de uma
configuração de política que pode ser bloqueada.
Consulte “Para bloquear e desbloquear configurações de política

do vírus e de spyware” na página 320.
Editar uma política Se desejar alterar as configurações em uma política existente,

poderá editá-la. Você pode aumentar ou diminuir a proteção em
seus computadores modificando suas políticas de segurança.
Não é necessário atribuir novamente uma política modificada a
menos que você altere a atribuição do grupo.
Consulte “Edição de uma política” na página 317.
Atribuir uma política Para colocar uma política em uso, você deve atribuí-la a um ou
mais grupos ou locais.
Testar uma política A Symantec recomenda que você sempre teste uma política nova
antes de usá-la em um ambiente de produção.
Consulte “Para testar uma política” na página 322.
Atualizar políticas em Com base na largura de banda disponível, é possível configurar

clientes um cliente para usar o modo de envio ou o de instalação pull
como seu método de atualização.
Consulte “Como os computadores-cliente obtêm atualizações

da política” na página 328.
Consulte “Configuração do modo de envio ou de instalação pull

para atualizar políticas e conteúdo do cliente” na página 329.
Substituir uma política Você pode substituir uma política compartilhada por outra
política compartilhada. É possível substituir a política
compartilhada em todos os locais ou em apenas um local.
Consulte “Substituição de uma política” na página 323.

Tarefa Descrição
Copiar e colar uma Em vez de adicionar uma política nova, talvez convenha copiar
política uma política existente para usar como a base da política nova.
Você pode copiar e colar políticas na página Políticas ou na guia
Políticas da página Clientes.
Nota: Você também pode copiar todas as políticas em um grupo
e colá-las em outro grupo, da guia Políticas na página Clientes.
Consulte “Para copiar e colar uma política na página Clientes ”

na página 319.
Consulte “Para copiar e colar uma política na página Políticas ”

na página 318.
Converter uma política Você pode copiar o conteúdo de uma política compartilhada e
compartilhada em uma criar uma política não compartilhada desse conteúdo.
política não
Consulte “Sobre políticas compartilhadas e não compartilhadas”
compartilhada
na página 316.
Uma cópia permite mudar o conteúdo de uma política

compartilhada em um local e não em todos os outros locais. A
cópia substitui a política não compartilhada existente.
Você poderá converter uma política compartilhada em uma

política não compartilhada se a política não mais se aplicar a
todos os grupos ou a todos os locais. Quando você terminar a
conversão, a política convertida com seu novo nome aparecerá
em Políticas e configurações específicas do local.
Consulte “Conversão de uma política compartilhada em uma

política não compartilhada ” na página 326.
Exportar e importar uma Você poderá exportar uma política existente se quiser usá-la em
política outro site ou servidor de gerenciamento. Você pode, em seguida,
importar a política e aplicá-la a um grupo ou local específico.
Consulte “Para exportar e importar políticas individuais”

na página 324.
Você pode também exportar e importar todas as políticas em

vez de uma política de cada vez. Se fizer o upgrade do servidor
de gerenciamento de uma versão anterior para uma versão mais
recente, você deverá exportar a importação de todas as políticas.
Consulte “Exportação e importação de configurações do servidor”

na página 779.
Os tipos de políticas de segurança
Tarefa Descrição
Retirar uma política Se você excluir uma política, o Symantec Endpoint Protection
removerá a política do banco de dados. Se você não desejar
excluir uma política, mas não quiser mais usá-la, a política
poderá ser retirada.
Você pode retirar qualquer tipo de política exceto uma Política

de proteção contra vírus e spyware e uma Política de
configurações do LiveUpdate.
Consulte “Para retirar uma política de um grupo” na página 327.
Excluir uma política Se uma política for atribuída a um ou mais grupos e locais, você
não poderá excluí-la até que a desassocie de todos os grupos e
locais. Você também pode substituir a política por outra política
Verificar se o cliente tem Você pode verificar se o cliente tem a política mais recente. Se
a política mais recente não, você poderá manualmente atualizar a política no cliente.
Consulte “Como os computadores-cliente obtêm atualizações

da política” na página 328.
Consulte “Para usar o número de série da política para verificar

a comunicação cliente-servidor” na página 331.
Consulte “Para atualizar manualmente políticas no cliente”

na página 332.

Você usa vários tipos diferentes de políticas de segurança para gerenciar a
segurança da rede. A maioria dos tipos de políticas é criada automaticamente
durante a instalação. Você pode usar as políticas padrão ou personalizar políticas
para atender a seu ambiente específico.
na página 310.
Tabela 15-2 Tipos de política de segurança
Tipo de política Descrição
Política de proteção contra A Política de proteção contra vírus e spyware fornece a

vírus e spyware seguinte proteção:
■ Detecta, remove e repara os efeitos colaterais dos riscos

à segurança e vírus usando assinaturas.
■ Detecta as ameaças nos arquivos que os usuários tentam
obter por download usando dados de reputação do
Download Insight.
■ Detecta os aplicativos que apresentam comportamento
suspeito usando a heurística e os dados de reputação do
SONAR.
A Política de proteção contra vírus e spyware encontra
anomalias no comportamento com sua tecnologia do
SONAR. Para clientes legados, encontra anomalias no
comportamento com as verificações proativas de
ameaças TruScan.
Nota: O Download Insight e a tecnologia do SONAR estão
disponível apenas para clientes Windows.
Consulte “Para gerenciar verificações em

Política de firewall A Política de firewall fornece a seguinte proteção:
■ Impede que usuários não autorizados acessem os

computadores e as redes que se conectam à Internet.
■ Detecta os ataques por hackers.
■ Elimina as fontes indesejáveis de tráfego na rede.
Nota: As políticas de firewall podem ser aplicadas apenas

a clientes Windows.
Consulte “Para gerenciar a proteção de firewall”

na página 451.
Política de prevenção contra A Política de prevenção contra intrusões automaticamente

intrusões detecta e bloqueia ataques à rede e ataques a navegadores.
Nota: As políticas de prevenção contra intrusões podem
ser aplicadas apenas a clientes Windows.
Consulte “Para gerenciar a prevenção contra intrusões em

seu computador-cliente” na página 501.
Tipo de política Descrição
Política do LiveUpdate A Política de Conteúdo do LiveUpdate e a Política de

configurações do LiveUpdate contêm as configurações que
determinam como e quando os computadores-cliente fazem
o download das atualizações de conteúdo do LiveUpdate.
Você deve especificar os computadores que os clientes
contatam para verificar atualizações e agendar quando e
com que frequência os computadores-cliente buscam
atualizações.
Consulte “Para gerenciar atualizações de conteúdo”

na página 592.
Controle de dispositivos e A Política de controle de dispositivos e aplicativos protege

aplicativos os recursos de um sistema contra aplicativos e gerencia os
dispositivos periféricos que podem ser anexados a
computadores.
Consulte “Configuração do controle de dispositivos e

aplicativos” na página 524.
Nota: As políticas de controle de dispositivos e aplicativos
podem ser apenas aplicadas a clientes Windows.
Integridade do host A Política de integridade do host fornece a capacidade de

definir, aplicar e restaurar a segurança de
computadores-cliente para manter as redes e os dados
corporativos seguros. Esta política é usada para verificar se
os clientes que têm acesso à rede executam o software
antivírus, patches e outros critérios de aplicativos definidos
por você.
Consulte “O que você pode fazer com as Políticas de

integridade do host” na página 882.
Política de exceções A Política de exceções fornece a capacidade de excluir

aplicativos e processos da detecção pelas verificações de
vírus e spyware e pelo SONAR.
Você também pode excluir aplicativos do controle de

aplicativos.
Consulte “Para gerenciar exceções para o Symantec

Sobre políticas compartilhadas e não compartilhadas
Sobre políticas compartilhadas e não compartilhadas

As políticas são compartilhadas ou não compartilhadas. Uma política será
compartilhada se for aplicada a mais de um grupo ou local. Se você criar políticas
compartilhadas, poderá facilmente editar e substituir uma política em todos os
grupos e locais que a utilizam. Você pode aplicar políticas compartilhadas ao grupo
Minha empresa ou um nível de grupo inferior e subgrupos podem herdar políticas.
É possível ter várias políticas compartilhadas.
Se você precisar de uma política especializada para um grupo ou local específico,
crie uma política exclusiva. Você atribui esta política exclusiva e não compartilhada
a um grupo ou local específico. Você pode ter apenas uma política de cada tipo
por local.
Por exemplo, aqui estão alguns cenários possíveis:
■ Um grupo de usuários do Financeiro precisa conectar-se a uma rede corporativa
usando locais diferentes no escritório e em casa. Talvez seja necessário aplicar
uma política diferente de firewall com seu próprio conjunto de regras e
configurações para cada local para esse grupo.
■ Você tem os usuários remotos que usam normalmente DSL e ISDN, para os
quais eles podem precisar de uma conexão VPN. Você tem outros usuários
remotos que querem conexão discada ao se conectar à rede corporativa. Porém,
os grupos de marketing e vendas também querem usar conexões sem fio. Cada
um desses grupos precisa de sua própria Política de firewall para os locais de
onde se conecta à rede corporativa.
■ Você quer implementar uma política restritiva em relação à instalação de
aplicativos não aprovados na maioria das workstations dos funcionários para
proteger a rede corporativa contra ataques. O grupo de TI pode exigir acesso
a aplicativos adicionais. Portanto, o grupo de TI precisará de uma política de
segurança menos restritiva que os funcionários em geral. Nesse caso, você
pode criar uma Política de firewall diferente para o grupo de TI.
Normalmente, você pode adicionar qualquer política que os grupos e os locais
compartilham na página Políticas, na guia Políticas. Entretanto, adicione qualquer
política que não seja compartilhada entre grupos e que somente se aplique a um
local específico, na página Clientes. Se decidir adicionar uma política na página
Clientes, você pode adicionar uma política usando qualquer um dos métodos
abaixo:
■ Adicione uma política nova.
■ Copie uma política existente na qual a nova política será baseada.
Consulte “Para copiar e colar uma política na página Políticas ” na página 318.
Adição de política
Consulte “Para copiar e colar uma política na página Clientes ” na página 319.
■ Importe uma política que foi exportada previamente de outro site.
na página 310.
Consulte “Conversão de uma política compartilhada em uma política não
compartilhada ” na página 326.
Adição de política
O Symantec Endpoint Protection Manager vem com uma política padrão para
cada tipo de proteção. Se você precisar personalizar uma política, adicione-a e
edite-a. Você pode criar várias versões de cada tipo de política.
A Symantec recomenda que você teste todas as novas política antes de usá-las em
um ambiente de produção.
Para adicionar uma nova política
1 No console, clique em Políticas.
2 Na página Políticas, selecione um tipo de política e clique no link para
adicionar uma política nova.
3 Modifique as configurações da política para aumentar ou diminuir a proteção.
4 Clique em OK para salvar a política.
5 Opcionalmente, atribua a política nova a um grupo.
Você pode atribuir uma política nova a um grupo durante ou após a criação
de políticas. A política nova substitui a política atualmente atribuída do mesmo
tipo de proteção.
Consulte “Para testar uma política” na página 322.
na página 310.
Edição de uma política

Você pode editar políticas compartilhadas e não compartilhadas na guia Políticas,
na página Clientes, e na página Políticas.
Os locais e os grupos podem compartilhar a mesma política. Você deve atribuir
uma política compartilhada depois de editá-la.
Para copiar e colar uma política na página Políticas

na página 310.
Para editar uma política na página Políticas
2 Na página Políticas, em Políticas, clique no tipo da política.
3 No painel Políticas tipo de política, clique na política específica que deseja
editar
4 Em Tarefas, clique em Editar a política.
5 No painel Visão geral da política tipo de política, edite o nome e a descrição
da política, se for necessário.
6 Para editar a política, clique em qualquer uma das páginas Política tipo de
política para as políticas.
Para editar uma política na página Clientes
2 Na página Clientes, em Clientes, selecione o grupo para o qual deseja editar
uma política.
"nome do grupo".
Você deve desativar a herança para este grupo. Se você não desmarcar herança,
não poderá editar uma política.
4 Em Políticas e configurações específicas do local, role a barra de rolagem
para encontrar o nome do local cuja política deseja editar.
5 Localize a política específica para o local que deseja editar.
6 À direita da política selecionada, clique em Tarefas e clique em Editar política.
7 Realize uma destas tarefas:
■ Para editar uma política não compartilhada, vá para a etapa 8.
■ Para editar uma política compartilhada, na caixa de diálogo Editar política,
clique em Editar compartilhadas para editar a política em todos os locais.
8 Você pode clicar em um link para obter o tipo de política que deseja editar.
Para copiar e colar uma política na página Políticas

Você pode copiar e colar uma política na página Políticas. Por exemplo, convém
editar um pouco as configurações de política para serem aplicadas a outro grupo.
Para copiar e colar uma política na página Clientes

na página 310.
Para copiar uma política na página Políticas
2 Na página Políticas, em Políticas, clique no tipo de política que deseja copiar.
copiar.
4 Na página Políticas, em Tarefas, clique em Copiar a política.
5 Na caixa de diálogo Copiar política, selecione Não mostrar esta mensagem
novamente se você não quiser mais ser notificado sobre este processo. A
mensagem informa que a política foi copiada para a área de transferência e
está pronta para ser colada.
6 Clique em OK.
Para colar uma política na página Políticas
2 Na página Políticas, em Políticas, clique no tipo de política que deseja colar.
3 No painel PolíticasTipo de política, clique especificamente na política que
deseja colar.
4 Na página Políticas, em Tarefas, clique em Colar uma política.
Para copiar e colar uma política na página Clientes

Você pode copiar e colar uma política em vez de ter que adicionar uma política
nova. Você pode copiar uma política compartilhada ou não compartilhada na
página Clientes.
na página 310.
Para copiar uma política na página Clientes
2 Na página Clientes, em Clientes, selecione o grupo para o qual deseja copiar
uma política.
3 Na guia Políticas, em Políticas e configurações específicas do local, procure
o nome do local de onde você quer copiar uma política.
4 Localize a política específica do local que deseja copiar.
Para bloquear e desbloquear configurações de política do vírus e de spyware
5 À direita da política, clique em Tarefas e clique em Copiar.

6 Clique em OK.
Para colar uma política na página Clientes
2 Na página Clientes, em Clientes, selecione o grupo no qual deseja colar uma
política.
" nome do grupo".
não poderá colar uma política.
para encontrar o nome do local cuja política deseja colar.
5 Localize a política específica para o local que deseja colar.
6 À direita da política, clique em Tarefas e clique em Colar.
7 Quando for solicitado a sobrescrever a política atual, clique em Sim.
Para bloquear e desbloquear configurações de política

do vírus e de spyware
Você pode bloquear e desbloquear algumas configurações da política de proteção
contra vírus e spyware. Os usuários finais não podem alterar configurações
bloqueadas. Um ícone de cadeado é exibido ao lado de uma configuração que pode
ser bloqueada.
Consulte “Sobre o acesso à interface do cliente” na página 254.
na página 310.
Para bloquear e desbloquear uma configuração de política
1 No console, abra uma política de proteção contra vírus e spyware.
2 Selecione uma das páginas, como Auto-Protect.
3 Clique no ícone de cadeado para bloquear ou desbloquear a configuração
correspondente.
4 Clique em OK.
Atribuição de uma política a um grupo
Você pode também bloquear e desbloquear configurações da proteção contra

adulterações, configurações de envios e configurações da prevenção contra
intrusões.
Consulte “Para alterar as configurações da Proteção contra adulterações”
na página 450.
Consulte “Ativação ou desativação de envios de clientes para o Symantec Security
Response” na página 387.
Atribuição de uma política a um grupo

Atribua uma política a um computador-cliente através de um grupo. Cada grupo
sempre terá exatamente uma política de cada tipo de proteção que lhe é atribuído.
Se você tiver clientes Windows e Mac, será possível colocá-los em grupos separados
ou gerenciá-los no mesmo grupo. Se você colocá-los no mesmo grupo e aplicar
uma política, cada tipo de cliente aplicará as configurações de política apropriadas.
Os computadores Windows ignoram as configurações que se aplicam apenas a
computadores Mac e os computadores Mac ignoram as configurações que se
aplicam apenas a computadores Windows.
As políticas não atribuídas não são transferidas por download aos
computadores-cliente nos grupos e nos locais. Se você não atribuir a política ao
adicioná-la, poderá atribuir a política aos grupos e aos locais mais tarde. Você
também pode atribuir novamente uma política a um grupo ou local diferente.
Políticas são atribuídas aos grupos de computadores da seguinte forma:
■ Na instalação inicial, as políticas de segurança padrão da Symantec são
atribuídas ao grupo pai Minha empresa.
■ As políticas de segurança no grupo pai de Minha empresa são atribuídas
automaticamente a cada grupo filho recém-criado.
■ Substitua uma política em um grupo atribuindo outra política do mesmo tipo.
Você pode substituir uma política atribuída ao grupo pai de Minha empresa
ou a qualquer grupo filho.
Os novos grupos sempre herdam características do grupo pai imediato. Se você
criar uma hierarquia de subgrupos, cada um herda características de seu pai
imediato, em vez do pai de nível superior.
A interface do usuário na caixa de diálogo Atribuir política transmite as seguintes
informações adicionais:
Um ícone da pasta indica um grupo.
Para testar uma política
Um ícone redondo indica um local.
■ Em um ícone do grupo, uma marca de seleção em um círculo verde indica que

esta política está atribuída a todos os locais no grupo.
■ Em um ícone de local, uma marca de seleção em um círculo verde indica que
esta política foi atribuída a este local.
■ O texto esmaecido significa que o grupo ou o local herdam a política do grupo
pai.
na página 310.
Para atribuir uma política a um grupo
2 Na página Políticas, selecione uma política e clique em Atribuir a política.
3 Na caixa de diálogo Atribuir política, selecione os grupos e clique em Atribuir.
4 Clique em OK para confirmar.

A Symantec recomenda testar uma política antes de usá-la em um ambiente de
produção.
na página 310.
1 Crie um grupo para usar para o teste da política.
2 Atribua a política do teste ao grupo de teste.
Substituição de uma política
3 Identifique três ou quatro computadores gerenciados para usar para o teste

da política.
Caso necessário, instale o software-cliente nos computadores. Instale os
computadores como computadores gerenciados.
4 Mova os computadores de teste ao grupo de teste.
5 Verifique se os computadores de teste têm a política mais recente.
Consulte “Como os computadores-cliente obtêm atualizações da política”
na página 328.
Consulte “Para usar o número de série da política para verificar a comunicação
cliente-servidor” na página 331.
6 Execute os computadores de teste para verificar se eles estão operando
corretamente.
Substituição de uma política

Talvez você queira substituir uma política compartilhada por outra. É possível
substituir a política compartilhada em todos os locais ou para locais individuais.
Quando você substituir uma política para todos os locais, o servidor de
gerenciamento substituirá somente a política para os locais que a tiverem. Por
exemplo, suponha que o grupo Vendas use a política de vendas para três de seus
quatro locais. Se você substituir a política de vendas pela política de mercado,
simplesmente aqueles três locais receberão a política de mercado.
Convém que um grupo de clientes use as mesmas configurações,
independentemente do local. Neste caso, é possível substituir uma política não
compartilhada por uma política compartilhada. Você substitui uma política não
compartilhada por uma política compartilhada para cada local individualmente.
na página 310.
Para substituir uma política compartilhada para todos os locais
2 Na página Políticas, em Políticas, clique no tipo de política que deseja
substituir.
3 No painel Políticas tipo de política, clique na política.
Para exportar e importar políticas individuais
4 Na página Políticas, em Tarefas, clique em Substituir política.

5 Na caixa de diálogo Substituir política tipo da política, na caixa de lista Nova
política tipo da política, selecione a política compartilhada que substituirá
a antiga.
6 Selecione os grupos e os locais onde você quer substituir a política existente.
7 Clique em Substituir.
8 Quando solicitado a confirmar a substituição da política para os grupos e
locais, clique em Sim.
Para substituir uma política compartilhada ou uma política não compartilhada para
um local
2 Na página Clientes, em Clientes, selecione o grupo para o qual deseja
substituir uma política.
"nome do grupo".
Você deve desativar a herança para este grupo. Se a opção Herança não for
desmarcada, não será possível substituir a política.
4 Em Políticas e configurações específicas do local, role para encontrar o local
que contém a política.
5 Ao lado da política que você quer substituir, clique em Tarefas e em Substituir
política.
6 Na caixa de diálogo Substituir política, na caixa de listagem de Nova política,
selecione a política da substituição.
7 Clique em OK.

Você pode exportar e importar políticas em vez de recriá-las. Todas as
configurações associadas à política são exportadas automaticamente.
Talvez seja necessário exportar uma política pelas seguintes razões:
■ Você atualiza o servidor de gerenciamento de uma versão mais antiga para
uma mais nova. Você quer atualizar o novo servidor de gerenciamento com as
políticas que você personalizou previamente.
■ Você quer exportar uma política para uso em um site diferente.
Você pode exportar e importar políticas das seguintes maneiras:
■ Você exporta e importa uma política de cada vez. Ao exportar um arquivo, você
o importa e aplica a um grupo ou somente a um local. É possível exportar uma
política compartilhada ou não compartilhada para um local específico na página
Clientes.
■ Você exporta e importa todas as políticas usando o arquivo de propriedades
do servidor. O arquivo de propriedades do servidor inclui todas as políticas,
locais e configurações do servidor. A Symantec recomenda este método se você
fizer o upgrade de uma versão legada do servidor de gerenciamento para a
versão atual do servidor de gerenciamento.
na página 310.
Para exportar uma única política da página Políticas
2 Na página Políticas, em Políticas, clique no tipo de política que você deseja
exportar.
exportar.
4 Na página Políticas, em Tarefas, clique em Exportar a política.
5 Na caixa de diálogo Exportar política, localize a pasta para onde deseja
exportar o arquivo de políticas e clique em Exportar.
Para exportar uma política compartilhada ou não compartilhada da página Clientes
2 Em Clientes, selecione o grupo para o qual você quer exportar uma política.
"nome do grupo".
não poderá exportar uma política.
para encontrar o nome do local cuja política deseja exportar.
5 Localize a política específica para o local que deseja exportar.
6 À direita da política, clique em Tarefas e clique em Exportar política.
7 Na caixa de diálogo Exportar política, procure a pasta para a qual deseja
exportar a política.
8 Na caixa de diálogo Exportar política, clique em Exportar.
Conversão de uma política compartilhada em uma política não compartilhada
Para importar uma única política

2 Na página Políticas, em Políticas, clique no tipo de política que deseja
importar.
3 No painel Políticas tipo de política, clique na política que deseja importar.
4 Na página Políticas, em Tarefas, clique em Importar uma política tipo de
política.
5 Na caixa de diálogo Importar política, procure o arquivo de políticas que
você deseja importar e clique em Importar.
Conversão de uma política compartilhada em uma

política não compartilhada
Você pode copiar o conteúdo de uma política compartilhada e criar uma política
não compartilhada desse conteúdo. Uma cópia permite mudar o conteúdo de uma
política compartilhada em um local e não em todos os outros locais. A cópia
sobrescreve a política compartilhada existente.
Quando você terminar a conversão, a política convertida com seu novo nome
aparecerá em Políticas e configurações específicas do local.
Consulte “Sobre políticas compartilhadas e não compartilhadas” na página 316.
Consulte “Para copiar e colar uma política na página Políticas ” na página 318.
Para converter uma política compartilhada em uma política não compartilhada
2 Na página Clientes, em Clientes, selecione o grupo ao qual deseja converter
uma política.
3 No painel associado ao grupo selecionado na etapa anterior, clique em
Políticas.
4 Na guia Políticas, desmarque o grupo Herdar políticas e configurações do
grupo pai group_name.
Você deve desativar a herança para este grupo. Se a opção Herança não for
desmarcada, não será possível substituir a política.
5 Em Políticas e configurações específicas do local, role para encontrar o nome
do local e a política específica que deseja converter.
6 Ao lado da política específica, clique em Tarefas e, em seguida, clique em
Converter para política não compartilhada.
Para retirar uma política de um grupo
7 Na caixa de diálogo Visão geral, edite o nome e a descrição da política.

8 Modifique as outras configurações de política como desejado.
9 Clique em OK.
na página 310.
Para retirar uma política de um grupo

Você pode desejar retirar uma política de um grupo ou local sob certas
circunstâncias.
Por exemplo, um grupo específico pode ter enfrentado problemas depois de você
ter introduzido uma nova política. Se desejar que a política permaneça no banco
de dados, será possível retirar a política em vez de excluí-la. Se remover uma
política, ela será automaticamente retirada dos grupos e locais aos quais você a
atribuiu. O número de locais para os quais uma política é usada aparece no painel
Políticas tipo da política na página Políticas.
Nota: Você deve retirar ou substituir uma política de todos os grupos e locais antes
que possa excluí-la.
Você pode retirar todas as políticas na página Políticas de um local ou grupo com
exceção das seguintes políticas:
■ Proteção contra vírus e spyware
■ Configurações do LiveUpdate
Você pode apenas substituí-las por outra Política de proteção contra vírus e
spyware ou Política do LiveUpdate.
Consulte “Substituição de uma política” na página 323.
Para retirar uma política compartilhada na página Políticas
2 Na página Políticas, em Políticas, clique no tipo de política que deseja retirar.
3 No painel Políticas tipo de política, clique na política específica que você
deseja retirar.
4 Na página Políticas, em Tarefas, clique em Retirar a política.
Como os computadores-cliente obtêm atualizações da política
5 Na caixa de diálogo Retirar a política, marque os grupos e locais dos quais

deseja retirar a política.
6 Clique em Retirar.
7 Quando solicitado a confirmar a retirada da política dos grupos e locais, clique
em Sim.
Para retirar uma política compartilhada ou não compartilhada na página Clientes
2 Na página Clientes, em Clientes, selecione o grupo do qual deseja retirar uma
política.
"nome do grupo".
Você deve desativar a herança para este grupo. Se você não desmarcar a
herança, não será possível retirar uma política.
para encontrar o nome do local do qual você quer retirar uma política.
5 Localize a política para o local que você deseja retirar.
6 Clique em Tarefas e em Retirar política.
7 Na caixa de diálogo Retirar política, clique em Sim.
na página 310.
Como os computadores-cliente obtêm atualizações

da política
Quando você configurar políticas no servidor de gerenciamento, será preciso fazer
o download das políticas atualizadas no cliente. No console, é possível configurar
os computadores-cliente para que usem um dos seguintes métodos de atualização:
Modo pull O computador-cliente se conecta ao servidor de gerenciamento

periodicamente, dependendo da frequência da configuração da
pulsação. O computador-cliente verificará o status do servidor de
gerenciamento quando o cliente se conectar.
Modo de envio O computador-cliente estabelece uma conexão HTTP contínua com o

servidor de gerenciamento. Sempre que ocorrer uma alteração no
status do servidor de gerenciamento, o computador-cliente será
notificado imediatamente.
Configuração do modo de envio ou de instalação pull para atualizar políticas e conteúdo do cliente
Em ambos os modos, o computador-cliente executará a ação correspondente com

base na alteração feita no status do servidor de gerenciamento. Como é necessária
uma conexão contínua, o modo de envio exige uma grande largura de banda de
rede. Os computadores-cliente configurados para usar o modo de instalação pull
exigem menos largura de banda.
O protocolo de pulsação define a frequência com que os computadores-cliente
fazem upload dos dados como entradas de log e políticas de download. A primeira
pulsação ocorre imediatamente depois que o cliente é iniciado. A próxima pulsação
ocorre na frequência de pulsação que você definiu.
A frequência de pulsação é um fator chave no número de clientes que cada
Symantec Endpoint Protection Manager pode suportar. Se você definir uma
frequência de pulsação em 30 minutos ou menos, isso limitará o número total de
clientes que o Symantec Endpoint Protection Manager pode suportar. Para
implementações de 1.000 clientes ou mais, a Symantec recomenda que você defina
a frequência de pulsação no período máximo de tempo possível. A Symantec
recomenda que você use o intervalo mais longo que atenda aos requisitos de
segurança de sua empresa. Por exemplo, se você quiser atualizar as políticas de
segurança e coletar os logs diariamente, defina a frequência de pulsação como 24
horas. Consulte os serviços profissionais ou o suporte corporativo da Symantec
para avaliar a configuração, os componentes de hardware e a arquitetura de rede
apropriados, necessários para seu ambiente de rede.
Nota: Você também pode atualizar as políticas manualmente no

computador-cliente.

Configuração do modo de envio ou de instalação pull

para atualizar políticas e conteúdo do cliente
Você pode especificar se o Symantec Endpoint Protection Manager imporá a
política aos clientes ou se os clientes extrairão a política do Symantec Endpoint
Protection Manager. A configuração padrão é o modo de envio. Se você selecionar
o modo pull, por padrão, os clientes se conectarão ao servidor de gerenciamento
a cada 5 minutos, mas você pode mudar este intervalo de pulsação padrão.
Configuração do modo de envio ou de instalação pull para atualizar políticas e conteúdo do cliente

na página 328.
na página 310.
Você pode definir o modo para um grupo ou para um local.
Nota: Se você instalar o Symantec Endpoint Protection Manager em um servidor

Windows XP, note que o Windows XP suportará um número limitado de usuários
simultâneos se os clientes estiverem no modo de envio. É uma melhor prática usar
o modo de instalação pull quando você implementar políticas a até 100 clientes.
Para configurar o modo de envio ou de instalação pull para um grupo

2 Em Clientes, selecione o grupo para o qual você deseja especificar para enviar
ou receber políticas.
3 Clique em Políticas.
4 Desmarque o "nome de grupo" Herdar políticas e configuração do grupo
pai.
5 No painel Políticas e configurações independentes do local, em
Configurações, clique em Configurações de comunicações.
6 Na caixa de diálogo Configurações de comunicações para nome do grupo,
em Download, verifique se Fazer o download de políticas e de conteúdo do
servidor de gerenciamento está marcado.
■ Clique em Modo de envio.
■ Clique em Modo de instalação pull e, em Intervalo de pulsação, defina o
número de minutos ou horas.
8 Clique em OK.
Para especificar o Modo de envio ou o Modo de instalação pull para um local
2 Em Clientes, selecione o grupo para o qual você deseja especificar para enviar
ou receber políticas.
4 Desmarque o "nome de grupo" Herdar políticas e configuração do grupo
pai.
Para usar o número de série da política para verificar a comunicação cliente-servidor
5 Em Políticas e configurações específicas do local, em Políticas específicas

de local do local que você quer modificar, expanda Configurações específicas
de local.
6 Em Configurações especificas de local, à direita de Configurações de
comunicação, clique em Tarefas e desmarque Usar as configurações de
comunicações do grupo.
7 À direita de Configurações de comunicações, clique em Local - Push ou (
Local - Pull ).
■ Clique em Modo de envio.
■ Clique em Modo de instalação pull e, em Intervalo de pulsação, defina o
número de minutos ou horas.
9 Clique em OK.
na página 310.
Para usar o número de série da política para verificar

a comunicação cliente-servidor
Para confirmar se o servidor e o cliente se comunicam, verifique o número de série
da política no console e no cliente. Se o cliente se comunica com o servidor de
gerenciamento e recebe atualizações regulares da política, os números de série
devem ser correspondentes.
Se os números de série da política não forem correspondentes, você pode tentar
atualizar manualmente as políticas no computador-cliente e verificar os logs da
solução de problemas.
na página 328.
Para atualizar manualmente políticas no cliente
Para exibir o número de série da política no console

2 Em Clientes, selecione o grupo relevante.
O número de série e a data da política aparecem no canto direito superior da
janela do programa.
Nota: O número de série da política e a data da política também aparecem na

parte inferior da lista de detalhes na guia Detalhes.
Para exibir o número de série da política no computador-cliente

◆ No computador-cliente, no cliente, clique em Ajuda > Solução de problemas.
Na guia Gerenciamento, consulte o número de série da política.
O número de série deve corresponder ao número de série no console para o
grupo em que o computador-cliente está.
na página 310.
Para atualizar manualmente políticas no cliente

Você poderá atualizar manualmente as políticas no computador-cliente se acreditar
que não tem a política mais recente no cliente. Se o cliente não receber a
atualização, poderá haver um problema de comunicação.
Verifique o número de série da política para verificar se seus computadores-cliente
gerenciados podem se comunicar com o servidor de gerenciamento.
Para atualizar manualmente políticas através do computador-cliente
1 No computador-cliente, na interface de usuário do cliente, clique em Ajuda
> Solução de problemas.
2 Na caixa de diálogo Solução de problemas, na coluna esquerda, clique em
Gerenciamento.
3 No painel Gerenciamento, em Perfil da política, clique em Atualizar.
Para monitorar os aplicativos e serviços executados em computadores-cliente
Para atualizar políticas no console manualmente

2 Em Clientes, clique com o botão direito do mouse em um grupo que esteja
configurado para o modo de instalação pull e, em seguida, clique em Executar
comando no grupo.
Os computadores-cliente que estão configurados para o Modo de envio
recebem atualizações da política imediatamente; assim, não é preciso
atualizá-los manualmente.
3 Clique em Atualizar conteúdo.
4 Verifique os números de série da política no console e em um
computador-cliente para ver se os números correspondem.
na página 310.
Para monitorar os aplicativos e serviços executados

em computadores-cliente
O cliente do Windows Symantec Endpoint Protection monitora e coleta informações
sobre os aplicativos e serviços executados em cada computador. Você pode
configurar o cliente para coletar as informações em uma lista e enviar a lista para
o servidor de gerenciamento. A lista de aplicativos e de suas características é
chamada de aplicativos conhecidos.
Você pode usar essas informações para descobrir quais aplicativos seus usuários
estão executando. Você também poderá usá-las quando quiser informações sobre
aplicativos nas seguintes áreas:
■ Políticas de firewall
■ Políticas de controle de dispositivos e aplicativos
■ Tecnologia do SONAR
Para clientes legados, as verificações proativas de ameaças TruScan
■ políticas de integridade do host
■ Monitoramento de aplicativo de rede
■ Listas de impressão digital de arquivos
Nota: O cliente Mac não monitora os aplicativos e os serviços executados em

computadores Mac.
O cliente do Symantec Network Access Control não grava informações sobre os
aplicativos que os clientes do Symantec Network Access Control executam. O
recurso de aplicativos conhecidos não está disponível no console se você instalar
somente o Symantec Network Access Control. Se você integrar o Symantec Network
Access Control com o Symantec Endpoint Protection, poderá usar a ferramenta
de aplicativos reconhecidos com as políticas de integridade do host. É necessário
instalar o módulo de proteção contra ameaças à rede e o módulo de controle de
dispositivos e aplicativos no cliente para que esse recurso funcione.
Você pode executar diversas tarefas para configurar e usar aplicativos

reconhecidos.
Tabela 15-3 Etapas para monitorar os aplicativos
Etapas Descrição
Ativar aplicativos Configure o servidor de gerenciamento para recolher

reconhecidos informações sobre os aplicativos executados pelos
Consulte “Configuração do servidor de gerenciamento para

recolher informações sobre os aplicativos executados pelos
Como procurar Você pode usar uma ferramenta de consulta para pesquisar a
aplicativos lista de aplicativos executados pelos computadores-cliente. Você
pode pesquisar critérios com base no aplicativo ou no
computador. Por exemplo, você pode descobrir a versão do
Internet Explorer que cada computador-cliente usa.
Consulte “Pesquisa das informações sobre os aplicativos

executados pelos computadores” na página 336.
Você pode salvar os resultados de pesquisa de um aplicativo

para revisão.
Nota: Em alguns países, pode não ser permitido pelas leis locais usar a ferramenta
de aplicativos conhecidos em determinadas circunstâncias, como para obter
informações de uso do aplicativo através de um laptop quando o funcionário se
registrar na rede do seu escritório em sua residência usando um laptop. Antes de
usar essa ferramenta, confirme se o uso é permitido para os seus fins na sua
jurisdição. Se não for permitido, siga as instruções para desativar a ferramenta.
Configuração do servidor de gerenciamento para recolher informações

sobre os aplicativos executados pelos computadores-cliente
Você pode ativar aplicativos reconhecidos para um grupo ou local. Os clientes
controlam todos os aplicativos executados e enviam esses dados ao servidor de
gerenciamento.

computadores Mac.
Você também pode configurar uma notificação para ser enviada a seu endereço
de e-mail quando cada cliente em um grupo ou local executar um aplicativo.
Nota: É possível modificar essa configuração somente para os subgrupos que não
herdaram as políticas e configurações de um grupo pai.
Para enviar a lista de aplicativos reconhecidos ao servidor de gerenciamento para

um grupo
2 Em Exibir clientes, selecione um grupo.
3 Na guia Políticas, clique em Configurações de comunicação.
4 Na caixa de diálogo Configurações de comunicações de nome do grupo,
certifique-se de que Reconhecer aplicativos executados nos
computadores-cliente esteja selecionado.
5 Clique em OK.
Para enviar aplicativos reconhecidos ao servidor de gerenciamento para um local
2 Em Exibir clientes, selecione um grupo.
3 Em Políticas e configurações específicas do local, selecione o local e expanda
Configurações específicas de local.
4 À direita de Configurações de comunicações, clique em Tarefas e, então,
desmarque Usar as configurações de comunicações do grupo.
A seleção dessa configuração permite criar uma configuração do local em vez
de uma configuração do grupo.
5 Clique em Tarefas e, em seguida, em Editar configurações.
Pesquisa das informações sobre os aplicativos executados pelos computadores
6 Na caixa de diálogo Configurações de comunicações de nome do local,

selecione Reconhecer aplicativos executados nos computadores-cliente.
7 Clique em OK.
Consulte “Para monitorar os aplicativos e serviços executados em
na página 310.
Pesquisa das informações sobre os aplicativos

executados pelos computadores
Depois que o servidor de gerenciamento receber a lista de aplicativos dos clientes,
será possível executar consultas para saber detalhes sobre os aplicativos. Por
exemplo, você pode encontrar todos os computadores-cliente que usam um
aplicativo não autorizado. Em seguida, você pode criar uma regra de firewall para
bloquear o aplicativo no computador-cliente. Ou você pode fazer o upgrade de
todos os computadores-cliente para usar a versão mais recente do Microsoft Word.
Você pode usar a tarefa Procurar aplicativos de qualquer tipo de política.

computadores Mac.
É possível procurar um aplicativo das seguintes maneiras:

■ Por aplicativo.
Você pode limitar a pesquisa para aplicativos específicos ou detalhes do
aplicativo como nome, impressão digital do arquivo, caminho, tamanho, versão
ou última hora modificada.
■ Por cliente ou computador-cliente.
Você pode procurar aplicativos que um usuário específico ou um
computador-cliente específico executa. Por exemplo, você pode procurar no
endereço IP do computador.
Você pode também procurar nomes de aplicativos para adicionar a uma regra de
firewall, diretamente na política de firewall.
Consulte “Definição de informações sobre aplicativos” na página 475.
Nota: As informações na caixa Pesquisar não são recolhidas até que você ative os
recursos que controlam todos os aplicativos executados pelos clientes. Você pode
acessar a página Clientes, na caixa de diálogo Configurações de comunicação,
para cada grupo ou local para ativar este recurso.
Para pesquisar as informações sobre os aplicativos executados pelos computadores

2 Na página Políticas, em Tarefas, clique em Procurar aplicativos.
3 Na caixa de diálogo Procurar aplicativos, à direita do campo Procurar
aplicativos em, clique em Procurar.
4 Na caixa de diálogo Selecionar grupo ou local, selecione um grupo de clientes
dos quais você deseja exibir os aplicativos e, em seguida, clique em OK.
Você só pode especificar um grupo de cada vez.
5 Verifique se a opção Pesquisar subgrupos está selecionada.
■ Para procurar informações por usuário ou computador, clique em Com
base em informações do cliente/computador.
■ Para procurar por aplicativo, clique em Com base em aplicativos.
7 Clique na célula vazia em Campo de pesquisa e selecione o critério de busca

na lista.
A célula de Campo de pesquisa exibe os critérios para a opção que você
selecionou. Para obter detalhes sobre esses critérios, clique em Ajuda.
8 Clique na célula vazia em Operador de comparação e depois selecione um dos
operadores.
9 Clique na célula vazia em Valor e selecione ou digite um valor.
A célula Valor pode fornecer um formato ou um valor na lista suspensa,
dependendo do critério selecionado na célula Campo de pesquisa.
10 Para acrescentar critérios adicionais de pesquisa, clique na segunda linha e,
em seguida, insira as informações nas células Campo de pesquisa, Operador
de comparação e Valor.
Se você inserir mais de uma linha de critério de pesquisa, a consulta tentará
corresponder todas as condições.
12 Na tabela Resultados da consulta, execute uma das seguintes tarefas:
■ Clique nas setas de rolagem para exibir linhas e colunas adicionais.

■ Clique em Voltar e Avançar para visualizar as telas adicionais de
informação.
■ Selecione uma linha e, em seguida, clique em Exibir detalhes para
visualizar as informações adicionais sobre o aplicativo.
Os resultados não são salvos a menos que você os exporte para um arquivo.
13 Para remover os resultados da consulta, clique em Limpar tudo.
na página 310.
Capítulo 16
Para gerenciar a proteção
contra vírus e spyware
■ Para impedir e controlar ataques de vírus e spyware nos computadores-cliente
■ Correção de riscos nos computadores de sua rede
■ Para gerenciar verificações em computadores-cliente
■ Para configurar verificações agendadas executadas em computadores Windows
■ Para configurar as verificações agendadas executadas em computadores Mac
■ Execução de verificações sob demanda nos computadores-cliente
■ Para ajustar as verificações para melhorar o desempenho do computador
■ Para ajustar verificações para aumentar a proteção em seus

■ Para gerenciar detecções do Download Insight
■ Como o Symantec Endpoint Protection usa os dados de reputação para tomar

decisões sobre arquivos
■ Como os recursos da política do Symantec Endpoint Protection funcionam em

conjunto
■ Sobre o envio de informações sobre detecções para o Symantec Security

Response
■ Sobre a regulagem de envios
■ Ativação ou desativação de envios de clientes para o Symantec Security

Response
340 Para gerenciar a proteção contra vírus e spyware
Para impedir e controlar ataques de vírus e spyware nos computadores-cliente
■ Para especificar um servidor proxy para envios do cliente e outras

comunicações externas
■ Para gerenciar a quarentena
■ Para gerenciar as notificações de vírus e spyware que aparecem nos

■ Sobre as notificações pop-up que aparecem nos clientes que executam o

Windows 8
■ Para ativar ou desativar as notificações pop-up do Symantec Endpoint

Protection em clientes do Windows 8
■ Para gerenciar detecções do início antecipado do antimalware (ELAM, Early

launch anti-malware)
■ Como ajustar as opções do início antecipado do antimalware (ELAM, Early

launch anti-malware) do Symantec Endpoint Protection
Para impedir e controlar ataques de vírus e spyware

nos computadores-cliente
Você pode impedir e controlar ataques de vírus e spyware em computadores-cliente
seguindo algumas diretrizes importantes.
Tabela 16-1 Para proteger computadores contra ataques de vírus e spyware
Tarefa Descrição
Certificar-se de que seus Todos os computadores em sua rede e todos os seus servidores devem ter o
computadores tenham o Symantec Endpoint Protection instalado. Certifique-se de que o Symantec
Symantec Endpoint Protection Endpoint Protection esteja funcionando corretamente.
instalado
Manter as definições atuais Certifique-se de que as definições mais recentes estejam instaladas nos
Você pode verificar a data das definições na guia Clientes. Você pode executar
um comando para atualizar as definições desatualizadas.
Você também pode executar um relatório de status do computador para verificar

a data das definições mais recentes.

Para gerenciar a proteção contra vírus e spyware 341
Para impedir e controlar ataques de vírus e spyware nos computadores-cliente
Tarefa Descrição
Executar verificações regulares Por padrão, o Auto-Protect e o SONAR são executados nos computadores-cliente.
Uma verificação ativa padrão agendada também é executada em
Você pode executar verificações sob demanda. Você pode personalizar as
configurações da verificação.
Consulte “Execução de verificações sob demanda nos computadores-cliente”

na página 370.
Convém criar e personalizar verificações agendadas.
Normalmente, convém criar uma verificação agendada completa para ser

executada uma ver por semana e uma verificação ativa para ser executada uma
vez por dia. Por padrão, o Symantec Endpoint Protection gera uma verificação
ativa executada às 12:30. Nos computadores não gerenciados, o Symantec
Endpoint Protection inclui também uma verificação na inicialização padrão que
está desativada.
Você deve certificar-se de que esteja executando uma verificação ativa diariamente
nos computadores em sua rede. Recomenda-se agendar uma verificação completa
semanal ou mensal se você suspeitar que tenha uma ameaça inativa em sua rede.
As verificações completas consomem mais recursos do computador e podem
afetar seu desempenho.

Consulte “Para configurar as verificações agendadas executadas em computadores

Verificar ou modificar Por padrão, as verificações de vírus e spyware detectam, removem e reparam os
configurações para oferecer mais efeitos colaterais de vírus e riscos à segurança.
proteção
As configurações padrão da verificação otimizam o desempenho dos
computadores-cliente fornecendo um alto nível de proteção. Você pode aumentar
o nível de proteção, porém.
Por exemplo, convém aumentar a proteção heurística do Bloodhound™.
Recomenda-se também ativar as verificações das unidades de rede.
Consulte “Para ajustar verificações para aumentar a proteção em seus

Permitir que os clientes enviem Os clientes podem enviar informações sobre as detecções à Symantec. As
informações sobre as detecções informações enviadas ajudam a Symantec a lidar com as ameaças.
à Symantec
Correção de riscos nos computadores de sua rede
Tarefa Descrição
Executar a prevenção contra A Symantec recomenda que você execute a prevenção contra intrusões em seus
intrusões computadores-cliente assim como a proteção contra vírus e spyware.
Consulte “Para gerenciar a prevenção contra intrusões em seu
Corrigir infecções, caso Depois que as verificações são executadas, os computadores-cliente podem ainda
necessário ter infecções. Por exemplo, uma nova ameaça pode não ter uma assinatura, ou o
Symantec Endpoint Protection não foi capaz de remover completamente a ameaça.
Em alguns casos os computadores-cliente exigem uma reinicialização para que
o Symantec Endpoint Protection conclua o processo de limpeza.

Você corrige riscos como parte do controle de ataques de vírus e spyware em seus
computadores.
Você usa os recursos de Recursos e Monitores no console para determinar quais
computadores estão infectados e para exibir os resultados da correção.
Tabela 16-2 Correção de riscos em computadores-cliente
Etapa Identificar Você pode obter informações sobre computadores infectados e em risco através
1 computadores do Symantec Endpoint Protection Manager. Na home page, verifique os totais de
infectados e em risco Infectado recentemente e Ainda infectado em Resumo de atividades de vírus e
riscos. O total de Infectado(s) recentemente é um subconjunto do total de Ainda
infectado(s). O total de Infectado(s) recentemente mostra o número de
computadores infectados e em risco durante o intervalo de tempo especificado no
resumo.
Nota: As detecções não corrigidas do SONAR não são incluídas no total de Ainda
infectado. Elas fazem parte do total de Suspeito no resumo.
Os computadores serão considerados ainda infectados se uma verificação

subsequente detectar que estão infectados. Por exemplo, uma verificação agendada
pode parcialmente limpar um arquivo. Logo depois, o Auto-Protect detecta o
arquivo como um risco.
Os arquivos considerados “ainda infectados” serão verificados novamente quando

novas definições chegarem ou assim que o computador-cliente estiver ocioso.
Consulte “Para identificar computadores infectados e em risco” na página 344.

Etapa Atualizar definições e Você deve certificar-se de que os clientes usam as definições mais recentes.
2 verificar novamente
Para os clientes executados em computadores Windows, é necessário também
certificar-se de que suas verificações agendadas e sob demanda usem o recurso
Pesquisa do Insight.
Você pode verificar a data das definições no relatório Computadores infectados e

vulneráveis. Você pode executar o comando Atualizar conteúdo e verificar no log
de riscos.
Quando o Resumo de atividades de vírus e riscos na home page mostrar o total de

Ainda infectado(s) e Infectado(s) recentemente como zero, todos os riscos serão
eliminados.
Etapa Verificar ações da As verificações podem ser configuradas para não fazer nada com o risco. Convém
3 verificação e verificar editar a Política de proteção contra vírus e spyware e alterar a ação para a categoria
novamente do risco. Na próxima vez em que a verificação for executada, o Symantec Endpoint
Protection aplicará a ação nova.
Você define a ação na guia Ações para o tipo específico de verificação (verificação
definida pelo administrador ou sob demanda ou Auto-Protect). Você também pode
mudar a ação de detecção do Download Insight e do SONAR.
Consulte “Para verificar a ação de verificação e para verificar novamente

computadores identificados” na página 345.
Etapa Reiniciar computadores Alguns computadores podem ainda estar vulneráveis ou infectados porque precisam
4 caso necessário para ser reiniciados para concluir a correção de um vírus ou risco à segurança.
concluir a correção
Você pode exibir o Log de riscos para determinar se algum computador exige a
reinicialização.
Você pode executar um comando dos logs para reiniciar os computadores.

na página 685.
Etapa Investigar e limpar Se algum risco permanecer, será necessário investigá-lo mais.
5 riscos restantes
Você pode consultar as páginas da Web do Symantec Security Response para obter
informações atualizadas sobre vírus e riscos à segurança.
http://www.symantec.com/pt/br/security_response/
No computador-cliente, você também pode acessar o site do Security Response na

caixa de diálogo dos resultados da verificação.
O suporte técnico da Symantec oferece também uma ferramenta, Threat Expert,

que rapidamente fornece análise detalhada das ameaças. Você também pode
executar uma ferramenta de análise de ponto de carregamento que pode ajudá-lo
a solucionar problemas.
Etapa Verificar o log de status Exiba o log de status do computador para verificar se os riscos são corrigidos ou
6 do computador removidos dos computadores-cliente.
Para obter mais informações sobre como controlar vírus e epidemias em uma rede,
consulte o artigo da base de conhecimento, Best practices for troubleshooting
viruses on a network (em inglês).
Para identificar computadores infectados e em risco

Você pode usar a home page do Symantec Endpoint Protection Manager e um
relatório de risco para identificar os computadores que estão infectados e
vulneráveis.
Para identificar computadores infectados

1 No console, clique em Início e exiba o Resumo de atividades de vírus e riscos.
Se você for um administrador do sistema, verá o total de número de
computadores com status Infectado recentemente e Ainda infectado(s) em
seu local. Se você for um administrador de domínio, verá o total de número
de computadores com status Infectado recentemente e Ainda infectado(s) em
seu domínio.
O valor de Ainda infectado(s) é um subconjunto de Infectado recentemente
e o total de Ainda infectado é reduzido à medida que você elimina os riscos
de sua rede. Os computadores são considerados ainda infectados se uma
verificação subsequente os registrar como infectados. Por exemplo, o
Symantec Endpoint Protection pode ter limpado um risco apenas parcialmente
em um computador; então, o Auto-Protect ainda detecta o risco.
2 No console, clique em Relatórios.
3 Na caixa de listagem Tipo de relatório, clique em Risco.
4 Na caixa de listagem Selecione um relatório, clique em Computadores
infectados e vulneráveis.
5 Clique em Criar relatório e observe as listas de computadores infectados e
em risco que são exibidas.
Para verificar a ação de verificação e para verificar novamente

computadores identificados
Se você tiver computadores infectados ou vulneráveis, será necessário identificar
por que eles ainda estão assim. Verifique a ação que foi realizada para cada risco
nos computadores infectados ou vulneráveis. Uma das possibilidades é que a ação
configurada e realizada foi Ignorado. Se a ação foi Ignorado, você deve limpar o
risco do computador, remover o computador da rede ou aceitar o risco. Para
clientes Windows, convém editar a Política de proteção contra vírus e spyware e
mudar a ação de verificação.
Para gerenciar verificações em computadores-cliente
Para identificar as ações que precisam ser alteradas e verificar novamente os

computadores identificados
1 No console, clique em Monitores.
2 Na guia Logs, selecione o log de riscos e clique em Exibir log.
Na coluna de eventos do log de riscos, você pode verificar o que aconteceu e
a ação que foi realizada. Na coluna Nome do risco, pode-se ver os nomes dos
riscos que ainda estão ativos. Na coluna Usuário do grupo de domínio, você
pode verificar de qual grupo o computador é membro.
Se um cliente estiver vulnerável porque uma verificação executou a ação
Ignorado, poderá ser necessário alterar a Política de proteção contra vírus e
spyware do grupo. Na coluna Computador, você pode ver os nomes dos
computadores que ainda possuem riscos ativos.
Consulte “Para mudar a ação do Symantec Endpoint Protection quando fizer
uma detecção” na página 421.
Se sua política estiver configurada para usar o Modo de envio, ela será enviada
para os clientes do grupo na próxima pulsação.
na página 328.
3 Clique em Voltar.
4 Na guia Logs, selecione o Log de status do computador e clique em Exibir log.
5 Se você alterou uma ação e enviou uma nova política, selecione os
computadores que precisam ser verificados novamente com as novas
configurações.
6 Na caixa de listagem Comando, selecione Verificar e clique em Iniciar para
verificar novamente os computadores.
Você pode monitorar o status do comando Verificar através da guia Status
do comando.

Algumas verificações são executadas por padrão, mas convém alterar as
configurações ou configurar suas próprias verificações agendadas. Você também
pode personalizar as verificações e alterar o quanto de proteção elas fornecem
em seus computadores-cliente.
Tabela 16-3 Para gerenciar verificações em computadores-cliente
Tarefa Descrição
Examinar os tipos de verificações Verifique suas configurações de verificação. Você pode verificar os padrões e
e configurações padrão determinar se deseja fazer alterações.
Consulte “Sobre os tipos de verificações e proteção em tempo real” na página 349.
Consulte “Sobre as configurações padrão de verificação da Política de proteção

contra vírus e spyware” na página 360.
Criar verificações agendadas e As verificações agendadas e verificações sob demanda são utilizadas para
executar verificações sob suplementar a proteção fornecida pelo Auto-Protect. O Auto-Protect oferece
demanda proteção ao ler e gravar arquivos. As verificações agendadas e verificações sob
demanda podem verificar qualquer arquivo existente nos computadores-cliente.
Elas também podem proteger a memória, pontos de carga e outros locais
importantes nos computadores-cliente.
Nota: No caso de clientes gerenciados, o Symantec Endpoint Protection oferece
uma verificação agendada padrão que verifica todos os arquivos, as pastas e os
locais em computadores-cliente.


Consulte “Execução de verificações sob demanda nos computadores-cliente”

na página 370.
Personalizar configurações da Você pode personalizar as configurações do Auto-Protect assim como as opções
verificação para seu ambiente em verificações definidas pelo administrador. Convém alterar as configurações
da verificação para controlar detecções de falsos positivos, otimizar o desempenho
da verificação ou do computador ou alterar ações ou notificações da verificação.
Para verificações agendadas, você também pode definir opções para verificações
perdidas, verificações escolhidas aleatoriamente e se as unidades de rede devem
ser verificadas ou não.
Consulte “Para personalizar as verificações de vírus e spyware executadas em

computadores Windows” na página 406.

computadores Mac” na página 407.
Tarefa Descrição
Ajustar verificações que para Por padrão, o Symantec Endpoint Protection fornece um alto nível de segurança
melhorar o desempenho do e minimiza o efeito no desempenho dos computadores-cliente. Você pode alterar
computador-cliente algumas configurações, porém, para otimizar ainda mais o desempenho do
computador. A otimização é importante em ambientes virtualizados.
Nota: Quando você ajustar as configurações para otimizar o desempenho do
computador-cliente, poderá diminuir a segurança em seus computadores-cliente.
Consulte “Para ajustar as verificações para melhorar o desempenho do

Ajustar verificações para As configurações padrão da verificação otimizam o desempenho dos

aumentar a proteção em seus computadores-cliente fornecendo um alto nível de proteção. Você pode aumentar
computadores-cliente o nível de proteção, porém.
Consulte “Para ajustar verificações para aumentar a proteção em seus

Gerenciar detecções do Download O Download Insight verifica arquivos que os usuários tentam obter por download
Insight através de navegadores da Web, clientes de mensagem de texto e outros portais.
O Download Insight usa informações de reputação do Symantec Insight para
tomar decisões sobre arquivos.
Consulte “Para gerenciar detecções do Download Insight” na página 377.
Gerenciar o SONAR O SONAR faz parte da proteção proativa contra ameaças em seus
computadores-cliente. No entanto, as configurações do SONAR fazem parte de
uma política de proteção contra vírus e spyware.
Consulte “Para gerenciar o SONAR” na página 431.
Configurar exceções para Você pode criar exceções para os arquivos e aplicativos que você sabe que são
verificações seguros.
O Symantec Endpoint Protection exclui também alguns arquivos e pastas

automaticamente.
Consulte “Para gerenciar exceções para o Symantec Endpoint Protection”

na página 574.
Consulte “Sobre os arquivos e pastas que o Symantec Endpoint Protection exclui

das verificações de vírus e spyware” na página 357.
Gerenciar arquivos em Você pode monitorar e excluir os arquivos colocados em quarentena em seus
quarentena computadores-cliente.
Você também pode especificar as configurações da quarentena.
Consulte “Para gerenciar a quarentena” na página 391.

Tarefa Descrição
Permitir que os clientes enviem Por padrão, os clientes enviam informações sobre as detecções à Symantec. Você
informações sobre as detecções pode desativar os envios ou escolher quais tipos de informações que os clientes
à Symantec enviam.
A Symantec recomenda que você sempre permita que os clientes realizem os
envios. As informações ajudam a Symantec a lidar com as ameaças.

Gerenciar as notificações de vírus Você pode decidir se as notificações aparecem nos computadores-cliente para
e spyware que aparecem nos eventos de vírus e spyware.
Consulte “Para gerenciar as notificações de vírus e spyware que aparecem nos
Sobre os tipos de verificações e proteção em tempo real

O Symantec Endpoint Protection inclui tipos diferentes de verificações e a proteção
em tempo real para detectar diferentes tipos de vírus, ameaças e riscos.
Por padrão, o Symantec Endpoint Protection executa uma verificação ativa todos
os dias às 12:30. O Symantec Endpoint Protection executará também uma
verificação ativa quando as novas definições chegarem no computador-cliente.
Nos computadores não gerenciados, o Symantec Endpoint Protection inclui também
uma verificação padrão de inicialização desativada.
Nota: Quando um computador-cliente estiver desativado ou em modo de hibernação

ou suspensão, o computador poderá perder uma verificação agendada. Quando o
computador for iniciado ou ativado, a verificação será repetidas por padrão em
um intervalo especificado. Se o intervalo já tiver expirado, o Symantec Endpoint
Protection não executará a verificação e aguardará até a próxima verificação
agendada. Você pode modificar as configurações de verificações agendadas
perdidas.
Você deve certificar-se de que esteja executando uma verificação ativa diariamente
nos computadores em sua rede. Recomenda-se agendar uma verificação completa
semanal ou mensal se você suspeitar que tenha uma ameaça inativa em sua rede.
As verificações completas consomem mais recursos do computador e podem afetar
seu desempenho.
Tabela 16-4 Tipos de verificação
Tipo de verificação Descrição
Auto-Protect O Auto-Protect inspeciona continuamente dados de arquivos e e-mails conforme são

gravados ou lidos de um computador. O Auto-Protect automaticamente neutraliza ou
elimina vírus e riscos à segurança detectados.
Nota: Clientes Mac suportam o Auto-Protect apenas para o sistema de arquivos.
Consulte “Sobre os tipos de Auto-Protect” na página 352.
Download Insight O Download Insight aumentará a segurança das verificações do Auto-Protect

inspecionando arquivos quando os usuários tentarem fazer o download por navegadores
e outros portais. Ele usa as informações de reputação do Symantec Insight para permitir
ou bloquear tentativas de download.
O Download Insight funciona como parte do Auto-Protect e exige que o Auto-Protect

esteja ativado.
Consulte “Como o Symantec Endpoint Protection usa os dados de reputação para tomar
decisões sobre arquivos” na página 382.
Verificações definidas As verificações definidas pelo administrador detectam vírus e riscos à segurança
pelo administrador examinando todos os arquivos e processos no computador-cliente. As verificações definidas
pelo administrador podem também verificar a memória e os pontos de carregamento.
Os seguintes tipos de verificações definidos pelo administrador estão disponíveis:
■ Verificações agendadas
Uma verificação agendada é executada nos computadores-cliente em horários
designados. Todas as verificações agendadas simultaneamente são executadas em
sequência. Se um computador estiver desativado ou no modo de hibernação ou de
suspensão durante uma verificação agendada, a verificação não será executada a
menos que esteja configurada para repetir verificações perdidas. Quando o computador
for inicializado ou ativado, o Symantec Endpoint Protection repetirá a verificação até
que a verificação inicie ou o intervalo de nova tentativa expirará. É possível agendar
uma verificação ativa, completa ou personalizada.
Nota: Apenas as verificações personalizadas estão disponíveis para clientes Mac.
Você pode salvar as configurações da verificação agendada como um modelo. Você
pode usar qualquer verificação salva como modelo como base para uma verificação
diferente. Os modelos de verificação poderão economizar tempo quando você
configurar várias políticas. Um modelo de verificação agendada é incluído na política
por padrão. A verificação agendada padrão verifica todos os arquivos e diretórios.
■ Verificações de inicialização e verificações acionadas
As verificações de inicialização serão executadas quando os usuários fizerem logon
nos computadores. As verificações acionadas serão executadas quando for feito o
download de novas definições de vírus nos computadores.
Nota: As verificações de inicialização e as verificações acionadas estão disponíveis
apenas para clientes Windows.
■ Verificações sob demanda
As verificações sob demanda são as verificações executadas imediatamente quando
você seleciona o comando de verificação no Symantec Endpoint Protection Manager.
Você pode selecionar o comando na guia Clientes ou através dos logs.
SONAR O SONAR oferece proteção em tempo real contra ataques de dia zero. O SONAR pode
interromper ataques mesmo antes que as definições tradicionais baseadas em assinaturas
detectem uma ameaça. O SONAR usa heurística assim como os dados de reputação de um
arquivo para tomar decisões sobre aplicativos ou arquivos.
Como verificações proativas de ameaças, o SONAR detecta keyloggers, spyware e qualquer

outro aplicativo que possa ser malicioso ou potencialmente malicioso.
Nota: O SONAR é suportado apenas em computadores Windows com o Symantec Endpoint
Protection versão 12.1 e superior.

Verificações proativas Suportado em computadores Windows que executam o Symantec Endpoint Protection
contra ameaças TruScan versão 11.x. O SONAR não é suportado em nenhum computador que execute a versão
11.x.
As verificações proativas contra ameaças TruScan fornecem proteção a clientes legados
contra ataques de dia zero. As verificações proativas contra ameaças TruScan determinam
se um aplicativo ou processo apresenta características de ameaças conhecidas. Estas
verificações detectam Cavalos de Troia, worms, keyloggers, adware e spyware e aplicativos
usados para finalidades maliciosas.
Diferentemente de SONAR, que é executado em tempo real, as verificações proativas

contra ameaças TruScan são executadas em uma frequência definida.
Início antecipado do Funciona com o driver do início antecipado do antimalware do Windows. Suportado
antimalware (ELAM, somente no Windows 8.
Early launch
O início antecipado do antimalware fornece proteção para os computadores em sua rede
anti-malware)
quando eles iniciam e antes que drivers de terceiros inicializem.
Consulte “Para gerenciar detecções do início antecipado do antimalware (ELAM, Early

launch anti-malware)” na página 400.
Sobre os tipos de Auto-Protect

O Auto-Protect verifica arquivos, assim como determinados tipos de e-mail e de
anexos.
Por padrão, são ativados todos os tipos de Auto-Protect. Se computadores-cliente
executarem outros produtos de segurança de e-mail, como o Symantec Mail
Security, é possível que você não precise ativar o Auto-Protect para e-mail.
Os clientes Mac não suportam verificações do Auto-Protect de e-mails.
Consulte “Sobre os tipos de verificações e proteção em tempo real” na página 349.
Tabela 16-5 Tipos de Auto-Protect
Tipo de Auto-Protect Descrição
Auto-Protect Verifica continuamente os arquivos à medida que eles são lidos ou gravados
no computador-cliente.
O Auto-Protect é ativado por padrão para o sistema de arquivos. Ele é

carregado na inicialização do computador. Ele inspeciona todos os arquivos
em busca de vírus e riscos à segurança e impede que os riscos à segurança
sejam instalados. Opcionalmente, pode verificar arquivos pela extensão de
arquivo, verificar arquivos em computadores remotos e verificar disquetes
quanto a vírus de inicialização. Opcionalmente, pode fazer backup de
arquivos antes de tentar reparar os arquivos, cancelar processos e
interromper serviços.
Você pode configurar o Auto-Protect para que ele verifique somente as

extensões de arquivo selecionadas. Quando o Auto-Protect verificar as
extensões selecionadas, poderá determinar um tipo de arquivo mesmo se
um vírus alterar sua extensão.
Para os clientes Mac ou Windows que não executam o Auto Protect para
e-mail, seus computadores-cliente ainda serão protegidos quando o
Auto-Protect for ativado. A maioria dos aplicativos de e-mail salva anexos
em uma pasta temporária quando os usuários iniciam anexos de e-mail. O
Auto-Protect verifica o arquivo enquanto ele é gravado na pasta temporária
e detecta qualquer vírus ou risco à segurança. O Auto-Protect também
detectará o vírus se o usuário tentar salvar um anexo infectado em uma
unidade local ou unidade da rede.
Auto-Protect para e-mail da Internet Verifica e-mails (POP3 ou SMTP) e anexos da Internet em busca de vírus e
riscos à segurança; executa também a verificação da heurística de e-mails
de saída.
Por padrão, o Auto-Protect para e-mail da Internet oferece suporte para

senhas criptografadas e e-mail em conexões POP3 e SMTP. Se você usar
POP3 ou SMTP com SSL (Secure Sockets Layer), o cliente detectará conexões
seguras, mas não verificará mensagens criptografadas.
Nota: Por motivo de desempenho, não há suporte para o Auto-Protect para
e-mail da Internet para POP3 em sistemas operacionais de servidor. A
verificação de e-mails da Internet não é suportada em computadores de 64
bits.
A verificação de e-mails não suporta e-mails com base em IMAP, AOL ou

HTTP, como Hotmail ou Yahoo! Mail.
Tipo de Auto-Protect Descrição
Auto-Protect do Microsoft Outlook Verifica e-mail (MAPI e Internet) e anexos do Microsoft Outlook em busca
de vírus e riscos à segurança.
Suportado para Microsoft Outlook 98/2000/2002/2003/2007/2010 (MAPI
e Internet).
Se o Microsoft Outlook já estiver instalado no computador quando você

realizar uma instalação de software-cliente, o software-cliente detectará
o aplicativo de e-mail. O cliente instala automaticamente o Auto-Protect
do Microsoft Outlook.
Se você usar o Microsoft Outlook sobre MAPI ou o Microsoft Exchange

Client e tiver o Auto-Protect ativado para e-mail, os anexos serão verificados
quando o usuário abrir o anexo. Se um usuário fizer o download de um
anexo grande através de uma conexão lenta, o desempenho do e-mail poderá
ser afetado. Recomenda-se desativar este recurso para os usuários que
recebem anexos grandes regularmente.
Nota: Em um servidor do Microsoft Exchange, o Auto-Protect do Microsoft
Outlook não deverá ser instalado. Em vez disso, você deve instalar o
Symantec Mail Security for Microsoft Exchange.
Auto-Protect do Lotus Notes Verifica e-mail e anexos do Lotus Notes em busca de vírus e riscos à
segurança.
Suportado para Lotus Notes 7.x ou superior.
Se o Lotus Notes já estiver instalado no computador quando você realizar

uma instalação de software-cliente, o software-cliente detectará o aplicativo
de e-mail. O cliente instala automaticamente o Auto-Protect do Lotus Notes.
Sobre vírus e riscos à segurança

O Symantec Endpoint Protection verifica a presença de vírus e de riscos à
segurança. Os vírus e os riscos à segurança podem chegar com mensagens de
e-mail ou programas de mensagens instantâneas. Muitas vezes, o usuário faz
download de um risco inadvertidamente ao aceitar um Contrato de licença do
usuário final de programas de software.
Muitos vírus e riscos à segurança são instalados como downloads não solicitados.
Estes downloads ocorrem geralmente quando os usuários acessam sites maliciosos
ou infectados e o carregador do aplicativo é instalado através de uma
vulnerabilidade legítima no computador.
Em clientes Windows, é possível mudar a ação que o Symantec Endpoint Protection
toma quando detecta um vírus ou um risco à segurança. As categorias dos riscos
à segurança são dinâmicas e mudam com o passar do tempo porque a Symantec

coleta informações sobre riscos.
Consulte “Para mudar a ação do Symantec Endpoint Protection quando fizer uma
detecção” na página 421.
Você pode exibir as informações sobre o vírus específico e os riscos à segurança
no site do Symantec Security Response.
Tabela 16-6 Vírus e riscos à segurança
Risco Descrição
Vírus Programas ou códigos que anexam cópias de si mesmos a outros

programas ou arquivos ao serem executados. Quando o programa
infectado for executado, o programa de vírus anexado será ativado
e se anexará a outros programas e arquivos.
Os seguintes tipos de ameaças são incluídos na categoria dos
vírus:
■ Bots da Internet maliciosos

Programas que executam tarefas automatizadas pela Internet.
Os bots podem ser usados para automatizar ataques em
computadores ou para coletar informações em sites.
■ Worms
Programas que se duplicam sem infectar outros programas.
Alguns worms se espalham copiando a si mesmos de um disco
para outro, enquanto outros se duplicam na memória a fim
de reduzir o desempenho do computador.
■ Cavalos de Troia
Programas que se ocultam em algo confiável, como um jogo
ou um utilitário.
■ Ameaças combinadas
Ameaças que combinam as características de vírus, worms,
Cavalos de Troia e códigos a vulnerabilidades do servidor e
da Internet para iniciar, transmitir e disseminar ataques. As
ameaças combinadas usam vários métodos e técnicas para se
disseminar rapidamente, causando danos generalizados.
■ Rootkits
Programas que se ocultam do sistema operacional de um
computador.
Adware Programas que fornecem qualquer conteúdo de propaganda.

Risco Descrição
Discadores Programas que usam um computador, sem a permissão ou o

conhecimento do usuário, para discar para um número 900 ou
site FTP pela Internet. Em geral, esses números são discados para
incorrer em custos.
Ferramentas para Programas que hackers usam para ganhar o acesso não autorizado
hackers ao computador de um usuário. Um exemplo de ferramenta para
hackers é o keylogger, que rastreia e registra cada tecla
pressionada e envia essas informações para o hacker. Assim, o
hacker será capaz de verificar as portas ou as vulnerabilidades
dos computadores alheios. As ferramentas para hackers também
podem ser usadas para criar vírus.
Programas de Programas que alteram ou interrompem a operação de um

brincadeiras computador a fim de perturbar ou assustar o usuário. Por
exemplo, um programa de brincadeiras poderá mover a lixeira
para longe do mouse quando o usuário tentar excluir um item.
Aplicativos enganosos Aplicativos que deturpam intencionalmente o status de segurança

de um computador. Estes aplicativos normalmente disfarçam-se
de notificações de segurança para qualquer infecção falsificada
que deve ser removida.
Programas de controle Programas que monitoram ou limitam o uso do computador. Os

para pais programas podem ser executados sem ser detectados e geralmente
transmitem informações de monitoração para outro computador.
Programas de acesso Programas que permitem o acesso à Internet através de outro

remoto computador, visando obter informações, atacar ou alterar o
computador de um usuário.
Ferramenta de Programas que são usados para coletar informações para acesso
avaliação de segurança não autorizado a um computador.
Spyware Programas independentes que podem monitorar secretamente

a atividade do sistema, detectar senhas e outras informações
confidenciais e enviá-las a outro computador.
Trackware Aplicativos independentes ou complementares capazes de

rastrear as atividades de um usuário na Internet e enviar
informações ao controlador ou ao sistema do hacker.
Sobre os arquivos e pastas que o Symantec Endpoint Protection exclui

das verificações de vírus e spyware
Quando o Symantec Endpoint Protection detectar a presença de determinados
aplicativos de terceiros e de alguns produtos Symantec, ele criará automaticamente
exclusões para estes arquivos e estas pastas. O cliente exclui estes arquivos e estas
pastas de todas as verificações.
Nota: O cliente não exclui as verificações das pastas temporárias do sistema porque
assim a segurança do computador pode ficar muito vulnerável.
Para melhorar o desempenho de verificação ou reduzir detecções de falsos

positivos, é possível excluir arquivos adicionando uma exceção de arquivo ou
pasta a uma Política de exceções. Você também pode especificar as extensões de
arquivo ou as pastas que deseja incluir em uma verificação específica.
Aviso: Os arquivos ou as pastas que você exclui das verificações não serão
protegidos contra vírus e riscos à segurança.
Você pode exibir as exclusões que o cliente cria automaticamente.

Consulte nos seguintes locais do registro do Windows:
■ Nos computadores de 32 bits, consulte
HKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint
Protection\AV\Exclusions.
■ Nos computadores de 64 bits, consulte
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Symantec\Symantec
Endpoint Protection\AV\Exclusions.
Aviso: Não edite este registro diretamente.

Tabela 16-7 Exclusões de arquivo e pasta
Arquivos Descrição
Microsoft Exchange O software-cliente cria automaticamente exclusões de verificação de arquivos e pastas

para as seguintes versões do servidor Microsoft Exchange:
■ Exchange 5,5
■ Exchange 6.0
■ Exchange 2000
■ Exchange 2003
■ Exchange 2007
■ Exchange 2007 SP1.
■ Exchange 2010
Para o Exchange 2007, consulte a documentação do usuário para obter informações

sobre compatibilidade com o software antivírus. Em algumas circunstâncias, talvez
seja preciso criar exclusões da verificação para algumas pastas do Exchange 2007
manualmente. Por exemplo, em um ambiente em cluster, talvez seja preciso criar
algumas exclusões.
O software-cliente verifica alterações no local dos arquivos e pastas apropriados do

Microsoft Exchange em intervalos regulares. Se o Microsoft Exchange for instalado
em um computador onde o software-cliente já está instalado, as exclusões serão
criadas quando o cliente verificar alterações. O cliente exclui tanto os arquivos quanto
as pastas; se um único arquivo for movido de uma pasta excluída, o arquivo
permanecerá excluído.
Para obter mais informações, consulte o artigo da base de conhecimento, Preventing

Symantec Endpoint Protection from scanning the Microsoft Exchange 2007 directory
structure (em inglês).
Microsoft Forefront O cliente cria automaticamente exclusões de arquivo e pasta para os seguintes
produtos do Microsoft Forefront:
■ Forefront Server Security para Exchange

■ Segurança do servidor do Forefront para SharePoint
■ Gateway de gerenciamento de ameaças do Forefront
Verifique o site da Microsoft para obter uma lista de exclusões recomendadas.
Consulte também o artigo da base de conhecimento do suporte técnico da Symantec,

Configuring Symantec Endpoint Protection exclusions for Microsoft Forefront (em
inglês).
Controlador de domínio do O cliente cria automaticamente exclusões de arquivos e pastas para o banco de dados,
Active Directory os logs e os arquivos de trabalho do controlador de domínio do Active Directory. O
cliente monitora os aplicativos que são instalados no computador-cliente. Se o software
detecta o Active Directory no computador-cliente, ele cria automaticamente as
exclusões.
Produtos da Symantec O cliente cria automaticamente exclusões de verificação adequadas de arquivos e

pastas para determinados produtos Symantec quando eles são detectados.
O cliente cria exclusões para os seguintes produtos Symantec:
■ Symantec Mail Security 4.0, 4.5, 4.6, 5.0 e 6.0 para Microsoft Exchange
■ Symantec AntiVirus/Filtering 3.0 para Microsoft Exchange
■ Norton AntiVirus 2.x para Microsoft Exchange
■ Banco de dados e logs integrados do Symantec Endpoint Protection Manager
Extensões selecionadas e Para cada tipo de verificação definida pelo administrador ou Auto-Protect, é possível
pastas Microsoft selecionar arquivos a serem incluídos por extensão. Para verificações definidas pelo
administrador, também é possível selecionar arquivos para incluir por pasta. Por
exemplo, pode-se especificar que uma verificação agendada verifique apenas
determinadas extensões e que o Auto-Protect verifique todas as extensões.
Para arquivos executáveis e arquivos do Microsoft Office, o Auto-Protect poderá

determinar o tipo de um arquivo mesmo se um vírus mudar a extensão do arquivo.
Por padrão, o Symantec Endpoint Protection verifica todas as extensões e pastas.

Todas as extensões ou pastas que você desmarcar são excluídas dessa verificação
específica.
A Symantec não recomenda que você exclua nenhuma extensão das verificações. Se
você decidir excluir arquivos por extensão e qualquer pasta Microsoft, porém, é
necessário considerar a quantidade de proteção que sua rede exige. Você também
deve considerar a quantidade de tempo e os recursos que seus computadores-cliente
exigem para concluir as verificações.
Nota: Todas as extensões de arquivo que você excluir das verificações do Auto-Protect
do sistema de arquivos também excluem as extensões do Download Insight. Se você
estiver executando o Download Insight, será necessário incluir extensões para
programas e documentos comuns na lista de extensões que deseja verificar. Você
também deve certificar-se de verificar arquivos .msi.
Exceções de arquivos e Você usa uma Política de exceções para criar exceções para os arquivos ou as pastas
pastas que deseja que o Symantec Endpoint Protection exclua de todas as verificações de
vírus e spyware.
Nota: Por padrão, os usuários em computadores-cliente também podem criar exceções
de arquivo e de pasta.
Por exemplo, é recomendável criar exclusões de arquivo para uma caixa de entrada
do aplicativo de e-mail.
Se o cliente detectar um vírus no arquivo da caixa de entrada durante uma verificação

sob demanda ou agendada, o cliente colocará em quarentena a caixa de entrada inteira.
Você pode criar uma exceção para excluir o arquivo da caixa de entrada. Se o cliente
detectar um vírus quando um usuário abrir uma mensagem de e-mail, porém, o cliente
ainda colocará a mensagem em quarentena ou a excluirá.
Arquivos confiáveis As verificações de vírus e spyware incluem um recurso chamado Insight que permite
que arquivos confiáveis sejam ignorados pelas verificações. Você pode escolher o
nível de confiança para os arquivos que deseja ignorar ou pode desativar a opção. Se
você desativar a opção, será possível aumentar o tempo da verificação.
O Auto-Protect também pode ignorar os arquivos que são acessados por processos
confiáveis, como o Windows Search.
Sobre as configurações padrão de verificação da Política de proteção

O Symantec Endpoint Protection Manager inclui três políticas padrão.
■ Política equilibrada de proteção contra vírus e spyware
■ Política de alta segurança de proteção contra vírus e spyware
A política de alta segurança é a mais rigorosa de todas as políticas
pré-configuradas. Você deve estar ciente de que ela pode afetar o desempenho
de outros aplicativos.
■ Política de alto desempenho de proteção contra vírus e spyware
A Política de alto desempenho fornece melhor desempenho do que a Política
de alta segurança, mas não fornece as mesmas proteções. A política se baseia,
basicamente, na verificação de arquivos pelo Auto-Protect com extensões de
arquivo selecionadas para detectar ameaças.
A Política de proteção contra vírus e spyware básica fornece um bom equilíbrio
entre segurança e desempenho.
Tabela 16-8 Configurações da verificação da política equilibrada de proteção

Configuração Descrição
Auto-Protect para o Ativado

sistema de arquivos
A sensibilidade para arquivos maliciosos do Download Insight é
definida como nível 5.
A ação do Download Insight para arquivos não comprovados é

Ignorar.
O Auto-Protect inclui as seguintes configurações:
■ Verifica todos os arquivos para vírus e riscos à segurança.

■ Impede que os riscos à segurança sejam instalados.
■ Limpa os arquivos infectados por vírus. Faz backup dos
arquivos antes de repará-los. Coloca em quarentena os arquivos
que não podem ser limpos.
■ Coloca em quarentena os arquivos com riscos à segurança. Faz
login dos arquivos que não podem ser colocados em
quarentena.
■ Verifica todos os disquetes para vírus de inicialização. Registra
os vírus de inicialização.
■ Notifica os usuários de computador sobre vírus e riscos à
segurança.
Auto-Protect para Ativado

e-mail Outros tipos de Auto-Protect incluem as seguintes configurações:
■ Verifica todos os arquivos, incluindo os arquivos que estão

dentro de arquivos compactados.
■ Limpa os arquivos infectados por vírus. Coloca em quarentena
os arquivos que não podem ser limpos.
quarentena.
■ Envia uma mensagem para os usuários do computador sobre
os vírus detectados e os riscos à segurança.
SONAR Ativado para os clientes do Symantec Endpoint Protection 12.1 e

superior. Os clientes legados usam configurações do TruScan. O
TruScan será ativado quando o SONAR for ativado.
As detecções heurísticas de alto risco são colocadas em quarentena
Registra em log todas as detecções heurísticas de baixo risco
O modo agressivo é desativado
Mostrar alerta na detecção é ativado
As ações de detecção de alterações no sistema são definidas como

Ignorar.
A detecção de comportamento suspeito bloqueia ameaças de alto

risco e ignora ameaças de baixo risco.
Verificações definidas A verificação agendada inclui as seguintes configurações padrão:

pelo administrador
■ Executa uma verificação ativa a cada dia às 12:30. A verificação
é escolhida aleatoriamente.
■ Verifica todos os arquivos e pastas, incluindo os arquivos que
estão contidos nos arquivos compactados.
■ Verifica a memória, locais comuns da infecção e locais
conhecidos do vírus e do risco à segurança.
quarentena.
■ Repete verificações perdidas no prazo de três dias.
■ A Pesquisa do Insight está definida no nível 5.
A verificação sob demanda fornece a seguinte proteção:
■ Verifica todos os arquivos e pastas, incluindo os arquivos que

estão contidos nos arquivos compactados.
■ Verifica a memória e os locais comuns da infecção.
quarentena.
A política padrão contra vírus e spyware de segurança elevada fornece a segurança

de nível elevado e inclui muitas das configurações da política de proteção contra
vírus e spyware. A política fornece verificação aprimorada.
Tabela 16-9 Configurações da política equilibrada de proteção contra vírus e

spyware
Auto-Protect para o Igual à política equilibrada de proteção contra vírus e spyware

sistema de arquivos e
O Auto-Protect também verifica arquivos nos computadores
e-mail
remotos.
SONAR Igual à política equilibrada de proteção contra vírus e spyware,

mas com as seguintes mudanças:
Bloqueia todos os eventos de alteração no sistema.
Configurações globais O Bloodhound é definido como Agressivo.
A política padrão de alto desempenho contra vírus e spyware fornece desempenho

de nível elevado. A política inclui muitas das configurações da política de proteção
contra vírus e spyware. A política fornece segurança reduzida.
Tabela 16-10 Configurações da política de alto desempenho de proteção contra

vírus e spyware
Auto-Protect para o Igual à política equilibrada de proteção contra vírus e spyware,

sistema de arquivos mas com as seguintes mudanças:
■ A sensibilidade para arquivos maliciosos do Download Insight

é definida como nível 1.
Auto-Protect para Desativado

e-mail da Internet
Auto-Protect do
Microsoft Outlook
Auto-Protect do Lotus
Notes
SONAR Igual à política de proteção contra vírus e spyware com as

seguintes mudanças:
Ignora todos os eventos de alteração no sistema.
Ignora todos os eventos comportamentais de imposição da política.

Verificações definidas Igual à política de proteção contra vírus e spyware, exceto pela
pelo administrador seguinte configuração:
■ A Pesquisa do Insight está definida no nível 1.
Como o Symantec Endpoint Protection controla as detecções dos vírus

e dos riscos à segurança
O Symantec Endpoint Protection usa ações padrão para controlar a detecção dos
vírus e dos riscos à segurança. Você pode mudar alguns dos padrões.
Tabela 16-11 Como o Symantec Endpoint Protection controla a detecção de vírus

e de riscos à segurança
Detecção Descrição
Vírus Por padrão, o cliente Symantec Endpoint Protection tenta

primeiro limpar um arquivo infectado por um vírus.
Se o software-cliente não puder limpar o arquivo, ele
executará estas ações:
■ Move o arquivo para a Quarentena no computador

infectado
■ Nega qualquer acesso ao arquivo
■ Registra o evento
Detecção Descrição
Riscos à segurança Por padrão, o cliente move todos os arquivos que os riscos
à segurança infectam para a Quarentena no computador
infectado. O cliente também tenta remover ou reparar os
efeitos colaterais do risco.
Se um risco à segurança não puder ser colocado em

quarentena e reparado, a segunda ação será registrar o risco
em log.
A Quarentena, por padrão, contém um log de todas as ações

executadas pelo cliente. Você pode retornar o
computador-cliente ao estado que existiu antes de o cliente
tentar a remoção e o reparo.
Nos computadores-cliente Windows, é possível desativar a

verificação de riscos à segurança do Auto-Protect. Convém
desativar temporariamente a verificação de riscos à
segurança do Auto-Protect, se a detecção de um risco à
segurança puder comprometer a estabilidade de um
computador. As verificações agendadas e sob demanda
continuam a detectar o risco.
As detecções feitas pelo SONAR são consideradas eventos suspeitos. Você configura
ações para essas detecções como parte da configuração do SONAR.
Para computadores-cliente Windows, é possível atribuir uma primeira e segunda
ação para o Symantec Endpoint Protection realizar quando encontra riscos. Você
pode configurar ações diferentes para vírus e riscos à segurança. Você pode usar
ações diferentes para verificações agendadas, sob demanda ou do Auto-Protect.
Nota: Nos computadores-cliente Windows, a lista dos tipos de detecção para riscos
à segurança é dinâmica e muda à medida que a Symantec descobre categorias
novas. É feito o download de novas categorias para o console ou para o
computador-cliente quando novas definições chegam.
Para computadores-cliente Mac, é possível especificar se o Symantec Endpoint

Protection repara os arquivos infectados que encontra. Você também pode
especificar se o Symantec Endpoint Protection move para a Quarentena os arquivos
infectados que não consegue reparar. Você pode definir as configurações para
todas as verificações definidas pelo administrador ou para verificações do
Auto-Protect.
Para configurar verificações agendadas executadas em computadores Windows
Como o Symantec Endpoint Protection executa detecções em

computadores Windows 8
O Symantec Endpoint Protection protege a interface do usuário estilo Windows
8 assim como a área de trabalho do Windows 8. Contudo, as ações para as detecções
que são relacionadas a arquivos e aplicativos estilo Windows 8 funcionam
diferentemente das ações para outras detecções.
Os aplicativos hospedados na página Iniciar estilo Windows 8 são implementados
em containers que são isolados de outros processos do sistema operacional. O
Symantec Endpoint Protection não limpa nem coloca em quarentena as detecções
que afetam arquivos ou aplicativos estilo Windows 8. Nas detecções que
envolverem estes aplicativos e arquivos, Symantec Endpoint Protection somente
excluirá ou registrará em log as detecções.
Para algumas detecções não relacionadas a arquivos e aplicativos estilo Windows
8, o Symantec Endpoint Protection poderá colocar em quarentena e reparar as
detecções e as funções como faz tipicamente em qualquer outro sistema
operacional Windows.
Você deverá se lembrar da diferença ao configurar ações na Política de proteção
contra vírus e spyware e quando executar relatórios.
Consulte “Sobre as notificações pop-up que aparecem nos clientes que executam
o Windows 8” na página 398.
Consulte “Como o Symantec Endpoint Protection controla as detecções dos vírus
e dos riscos à segurança” na página 364.
Para configurar verificações agendadas executadas

em computadores Windows
Você configura verificações agendadas como parte de uma política de proteção
contra vírus e spyware. As configurações da verificação são diferentes para clientes
Windows e para clientes Mac.
Você pode salvar as configurações da verificação agendada como um modelo. Os
modelos de verificação poderão economizar tempo quando você configurar várias
políticas. Você pode usar qualquer verificação salva como modelo como a base
para uma nova verificação em uma política diferente. Um modelo de verificação
agendada é incluído na política por padrão. A verificação agendada padrão verifica
todos os arquivos e pastas.
Consulte “Para personalizar verificações definidas pelo administrador para clientes
executados em computadores Windows” na página 412.
Consulte “Exclusão de extensões de arquivo das verificações de vírus e spyware”

na página 584.
Considere os seguintes aspectos importantes quando você configurar uma
verificação agendada:
Várias verificações Se você agendar várias verificações para que ocorram no

simultâneas executadas em mesmo computador e estas iniciarem ao mesmo tempo, elas
série serão executadas em série. Quando uma verificação
terminar, outra iniciará. Por exemplo, você pode agendar
três verificações diferentes no computador para que ocorram
às 13 horas. Cada verificação é feita em uma unidade
diferente. Uma verificação é feita na unidade C, outra na
unidade D e outra na unidade E. Nesse exemplo, a melhor
solução é criar uma verificação agendada que abranja as
unidades C, D e E.
As verificações agendadas Se o computador perder uma verificação agendada por

perdidas podem não ser qualquer motivo, o Symantec Endpoint Protection, tentará,
executadas por padrão, executar a verificação até a sua inicialização ou
até um intervalo de tempo específico expirar. Se o Symantec
Endpoint Protection não puder iniciar a verificação perdida
dentro do intervalo de tempo, a verificação não será
executada.
O tempo da verificação O Symantec Endpoint Protection poderá não usar o horário

agendada pode variar agendado se a última execução da verificação tiver ocorrido
em outro horário devido à duração da verificação ou à perda
das configurações de verificação agendada. Por exemplo,
você pode configurar uma verificação semanal para ser
executada todos os domingos à meia-noite e em um intervalo
de nova tentativa de um dia. Se o computador perder a
verificação e iniciar na segunda-feira às 6:00, a verificação
será executada às 6:00. A próxima verificação é executada
uma semana depois da segunda-feira às 6:00, em vez de ser
executada no próximo domingo à meia-noite.
Se você não tiver reiniciado seu computador até terça-feira

às 6:00, o que significa dois dias de atraso e excede o
intervalo da nova tentativa, o Symantec Endpoint Protection
não repetirá a verificação. Ele aguardará até a meia-noite
do próximo domingo para tentar executar a verificação.
Em ambos os casos, se escolher aleatoriamente o horário de

início da verificação, você poderá mudar a hora da última
execução da verificação.
Clique em Ajuda para obter mais informações sobre as opções usadas nesse
procedimento.
Para configurar as verificações agendadas executadas em computadores Windows
2 Em Configurações Windows, clique em Verificações definidas pelo
administrador.
3 Na guia Verificações, em Verificações agendadas, clique em Adicionar.
4 Na caixa de diálogo Adicionar verificação agendada, clique em Criar uma
nova verificação agendada.
5 Clique em OK.
6 Na caixa de diálogo Adicionar verificação agendada, na guia Detalhes da
verificação, digite um nome e uma descrição para essa verificação agendada.
7 Clique em Verificação ativa, Verificação completa ou Verificação
personalizada.
8 Se tiver selecionado Personalizada, em Verificação, você poderá especificar
os diretórios que deseja verificar.
9 Em Tipos de arquivo, clique em Verificar todos os arquivos ou Verificar
apenas extensões selecionadas.
Nota: As verificações agendadas sempre verificam arquivos do container, a

menos que você desative a opção Verificar arquivos dentro de arquivos
compactados, em Opções avançadas de verificação ou crie exceções
específicas para as extensões de arquivo do container.
10 Em Aperfeiçoar a verificação verificando, marque ou desmarque Memória,

Locais comuns de infecção ou Locais de vírus e riscos à segurança
conhecidos.
11 Na guia Agendamento, em Agendamento de verificação, defina a frequência
e a hora em que a verificação deve ser executada.
A configuração de repetição em Verificações agendadas perdidas muda
automaticamente conforme o que você seleciona Diariamente, Semanal ou
Mensal.
Para configurar as verificações agendadas executadas em computadores Mac
12 Em Verificações agendadas perdidas, é possível desativar a opção para

executar uma verificação perdida ou você pode alterar o intervalo de repetição.
Você também pode especificar a duração máxima de uma verificação antes
que a verificação seja pausada. Você também pode escolher aleatoriamente
a hora de início da verificação.
13 Se você quiser salvar essa verificação como um modelo, selecione Salvar uma
cópia como um modelo de verificação agendada.
14 Clique em OK.
Para configurar as verificações agendadas executadas

em computadores Mac
Você configura verificações agendadas como parte de uma política de proteção
contra vírus e spyware. As configurações da verificação são diferentes para clientes
Windows e para clientes Mac.
que são executados em computadores Mac” na página 414.
Você pode salvar as configurações da verificação agendada como um modelo. É
possível usar qualquer verificação salva como modelo como a base para uma
política de proteção contra vírus e spyware. Os modelos da verificação poderão
economizar tempo quando você configurar novas políticas ou verificações. Um
modelo de verificação agendada é incluído na política por padrão. A verificação
agendada padrão verifica todos os arquivos e diretórios.
Para configurar uma verificação agendada para clientes Mac
2 Em Configurações do Mac, clique em Verificações definidas pelo
administrador.
3 Na guia Verificações, em Verificações agendadas, clique em Adicionar.
4 Na caixa de diálogo Adicionar verificação agendada, clique em Criar uma
nova verificação agendada e em OK.
5 Na caixa de diálogo Adicionar verificação agendada, na guia Detalhes da
verificação, digite um nome e uma descrição para a verificação.
6 Em Verificar unidades e pastas especifique os itens para verificar.
7 Personalize quaisquer configurações, incluindo a prioridade da verificação.
Execução de verificações sob demanda nos computadores-cliente
8 Na guia Agendamento, em Agendamento de verificação, defina a frequência

e a hora em que a verificação deve ser executada.
9 Se você quiser salvar essa verificação como um modelo, selecione Salvar uma
cópia como um modelo de verificação agendada.
10 Clique em OK.
Execução de verificações sob demanda nos

Você pode executar uma verificação manual ou sob demanda em
computadores-cliente remotamente do console de gerenciamento. Convém executar
uma verificação sob demanda como parte de sua estratégia para impedir e controlar
ataques de vírus e spyware em seus computadores-cliente.
Por padrão, uma verificação ativa é executada automaticamente depois de você
atualizar as definições. Você pode configurar uma verificação sob demanda como
uma verificação completa ou personalizada e, em seguida, executar a verificação
sob demanda para uma verificação mais abrangente.
As configurações de verificações sob demanda são semelhantes às configurações
de verificações agendadas.
Para computadores-cliente Windows, é possível executar uma verificação sob
demanda personalizada, completa ou ativa.
Para computadores-cliente Mac, é possível executar apenas uma verificação sob
demanda personalizada.
A verificação personalizada usa as configurações definidas para as verificações
sob demanda na Política de proteção contra vírus e spyware.
Nota: Se você emitir um comando de reinicialização no computador-cliente que

executa a verificação sob demanda, a verificação será interrompida e o
computador-cliente será reinicializado. A verificação não é reinicializada.
Você pode executar uma verificação sob demanda do log Status do computador
ou da guia Clientes no console.
É possível cancelar todas as verificações em andamento e em fila para clientes
selecionados no log Status do computador. Se você confirmar o comando, a tabela
Para ajustar as verificações para melhorar o desempenho do computador
será atualizada e você poderá ver que o comando cancelar é adicionado à tabela
de status do comando.
na página 685.
na página 247.
Para executar uma verificação sob demanda em computadores-cliente
1 No console do Symantec Endpoint Protection Manager, clique em Clientes.
2 Em Clientes, clique com o botão direito do mouse nos clientes ou no grupo
que deseja verificar.
■ Clique em Executar comando no grupo > Verificar.
■ Clique em Executar comando nos clientes > Verificar.
4 Para clientes Windows, selecione Verificação ativa, Verificação completa

ou Verificação personalizada e clique em OK.
Para ajustar as verificações para melhorar o

desempenho do computador
Por padrão, as verificações de vírus e spyware minimizam o efeito nos recursos
dos seus computadores-cliente. Você pode mudar algumas configurações de
verificação para otimizar o desempenho ainda mais. Muitas das tarefas sugeridas
aqui são úteis nos ambientes que executam o Symantec Endpoint Protection nos
sistemas operacionais convidados em máquinas virtuais (VMs).
As configurações que estão disponíveis são diferentes para computadores Windows
e Mac.
Tabela 16-12 Ajuste das verificações para melhorar o desempenho em

computadores Windows
Tarefa Descrição
Modificar opções de ajuste e de Você pode ajustar as seguintes opções para verificações agendadas e sob demanda:
arquivos compactados para
■ Alterar opções de ajuste
verificações agendadas e sob
Você pode alterar o ajuste de verificação para Melhor desempenho de
demanda
aplicativos. Quando você configurar uma verificação com esta configuração,
ela poderá ser iniciada, mas apenas serão executadas quando o
computador-cliente estiver ocioso. Se você configurar uma verificação ativa
para ser executada quando novas definições chegarem, ela poderá não ser
executada por até 15 minutos se o usuário estiver usando o computador.
■ Altere a quantidade de níveis para a verificação de arquivos compactados
O nível padrão é 3. Convém alterar o nível para 1 ou 2 para reduzir o tempo
de verificação.
Consulte “Para personalizar verificações definidas pelo administrador para

clientes executados em computadores Windows” na página 412.
Usar verificações de retorno Para os computadores em sua rede que têm grandes volumes, as verificações
agendadas podem ser configuradas como verificações de retorno.
Uma opção de duração da verificação fornece um período especificado para

executar uma verificação. Se a verificação não for concluída até o fim da duração
especificada, ela será reiniciada quando o próximo período de verificação agendada
ocorrer. A verificação será reiniciada no ponto onde foi interrompida, até que o
volume inteiro seja verificado. Tipicamente, você usa a opção de duração da
verificação em servidores.
Nota: Não use uma verificação de retorno se você suspeitar que o computador
está infectado. Você deve executar uma verificação completa até que o computador
inteiro seja verificado. Você também não deverá usar uma verificação de retorno
se uma verificação puder ser concluída antes do intervalo especificado.

Tarefa Descrição
Ajustar configurações do Você pode ajustar algumas configurações para verificações do Auto-Protect do
Auto-Protect sistema de arquivos que podem melhorar o desempenho de seus
Você pode definir as seguintes opções:
■ Cache de arquivos
Certifique-se de que o cache de arquivo esteja ativado (o padrão é ativado).
Quando o cache de arquivo estiver ativado, o Auto-Protect memorizará os
arquivos limpos que verificou e não os verificará novamente.
■ Configurações de rede
Quando as verificações do Auto-Protect em computadores remotos forem
ativadas, certifique-se de que Apenas quando os arquivos forem executados
esteja ativado.
Permitir todas as verificações As verificações de vírus e spyware incluem uma opção chamada Insight que ignora
para ignorar arquivos confiáveis arquivos confiáveis. o Insight está ativado por padrão. Você pode alterar o nível
de confiança para os tipos de arquivos que as verificações ignoram:
■ De confiança da comunidade e da Symantec

Este nível ignora os arquivos que são de confiança da Symantec e da
comunidade da Symantec.
■ De confiança da Symantec
Este nível ignora os arquivos apenas que são de confiança da Symantec.
Consulte “Para modificar configurações de verificação global para clientes

Escolher verificações agendadas Em ambientes virtualizados, onde várias máquinas virtuais (VMs) são
aleatoriamente implementadas, verificações simultâneas criam problemas de recursos. Por
exemplo, um único servidor pode executar 100 ou mais VMs. As verificações
simultâneas nessas VMs drenam recursos no servidor.
Você pode escolher aleatoriamente as verificações para limitar o impacto em seu

servidor.
Consulte “Como escolher verificações aleatoriamente para melhorar o desempenho

do computador em ambientes virtualizados” na página 415.
Tarefa Descrição
Usar o Cache de inteligência O Cache de inteligência compartilhado elimina a necessidade de verificar

compartilhado em ambientes novamente os arquivos que o Symantec Endpoint Protection determinou que
virtualizados estão limpos. Você pode usar o Cache de inteligência compartilhado para
verificações agendadas e manuais em seus computadores-cliente. O Cache de
inteligência compartilhado é um aplicativo separado que você instala em um
servidor ou em um ambiente virtual.
Consulte “Para ativar ou desativar o uso do Cache de inteligência compartilhado

baseado na rede” na página 713.
Desativar a detecção do início O ELAM do Symantec Endpoint Protection funciona com o ELAM do Windows
antecipado do antimalware para fornecer proteção contra drivers maliciosos de inicialização.
(ELAM, Early launch
Consulte “Para gerenciar detecções do início antecipado do antimalware (ELAM,
anti-malware)
Early launch anti-malware)” na página 400.
Tabela 16-13 Ajuste das verificações para melhorar o desempenho em

computadores Mac
Tarefa Descrição
Ajustar a prioridade da verificação Aplica-se a verificações agendadas em clientes

executados em computadores Mac.
A prioridade da verificação em computadores Mac

é equivalente ao ajuste ou ao ajuste de
desempenho em computadores Windows. A
prioridade alta significa que a verificação é
executada da maneira mais rápida possível, mas
outros aplicativos podem ser executados mais
lentamente durante a verificação. A prioridade
baixa significa que outros aplicativos são
executados da maneira mais rápida possível, mas
a verificação pode ser executada mais lentamente.
A prioridade média equilibra a velocidade em que
os aplicativos e as verificações são executados.
Consulte “Para personalizar verificações definidas

pelo administrador para clientes que são
executados em computadores Mac” na página 414.
Para ajustar verificações para aumentar a proteção em seus computadores-cliente
Tarefa Descrição
Modificar a configuração de arquivos Aplica-se ao Auto-Protect e a verificações sob

compactados demanda.
Você pode ativar ou desativar a opção, mas não
pode especificar o nível dos arquivos compactados
para verificação.
Consulte “Para personalizar o Auto-Protect para

clientes Mac” na página 410.
Para ajustar verificações para aumentar a proteção

em seus computadores-cliente
O Symantec Endpoint Protection fornece um alto nível de segurança por padrão.
Você pode aumentar a proteção ainda mais. As configurações são diferentes para
os clientes que são executados em computadores Windows e clientes executados
em computadores Mac.
Nota: Se você aumentar a proteção em seu computador-cliente, poderá impactar

o desempenho do computador.
Tabela 16-14 Para ajustar verificações para aumentar a proteção em

Tarefa Descrição
Bloquear configurações de Algumas configurações são bloqueadas por padrão; você

verificação pode bloquear configurações adicionais de modo que os
usuários não possam mudar a proteção em seus
computadores.
Para ajustar verificações para aumentar a proteção em seus computadores-cliente
Tarefa Descrição
Modificar as configurações para Você deve marcar ou modificar as seguintes opções:

verificações definidas pelo
■ Desempenho da verificação
administrador
Defina o ajuste da verificação para Melhor
desempenho de verificação. Porém, a configuração
pode afetar o desempenho de seu
computador-cliente. As verificações são executadas
mesmo se o computador não estiver ocioso.
■ Duração da verificação agendada
Por padrão, verificações agendadas serão executadas
até que o intervalo de tempo especificado expire e
em seguida reinicie quando o computador-cliente
estiver ocioso. Você pode definir a duração da
verificação para Verificar até a conclusão.
■ Usar a Pesquisa do Insight
A Pesquisa do Insight usa o mais recente conjunto
de definições da nuvem e informações do banco de
dados de reputação do Insight para verificar e tomar
decisões sobre os arquivos. Você deve certificar-se
de que a Pesquisa do Insight está ativada. As
configurações da Pesquisa do Insight são
semelhantes às do Download Insight.
Consulte “Para personalizar verificações definidas pelo

administrador para clientes executados em
Especificar ações de detecção da Especifique ações de Quarentena, Excluir ou Encerrar

verificação mais sólidas para detecções.
Nota: Tenha cuidado quando você usar Excluir ou
Encerrar para detecções de risco à segurança. A ação
pode causar a perda de funcionalidade de alguns
aplicativos legítimos.
Consulte “Para mudar a ação do Symantec Endpoint

Protection quando fizer uma detecção” na página 421.
Aumentar o nível de proteção do O Bloodhound localiza e isola as regiões lógicas de um

Bloodhound arquivo para detectar o comportamento próprio de vírus.
Você pode mudar o nível de detecção de Automática
para Agressiva para aumentar a proteção em seus
computadores. Porém, é provável que a configuração
Agressiva produza mais falsos positivos.
Consulte “Para modificar configurações de verificação

global para clientes Windows” na página 416.
Para gerenciar detecções do Download Insight
Tarefa Descrição
Ajustar configurações do Você pode mudar as seguintes opções:

Auto-Protect
■ Cache de arquivos
Você pode desativar o cache de arquivos de modo
que o Auto-Protect verifique novamente arquivos
válidos.
■ Configurações de rede
Por padrão, os arquivos em unidades de rede são
verificados somente quando são executados. Você
pode desativar esta opção.
Consulte “Para personalizar o Auto-Protect para clientes

Tabela 16-15 Para ajustar verificações para aumentar a proteção em

computadores Mac
Tarefa Descrição
Bloquear configurações de Algumas configurações são bloqueadas por padrão; você

verificação pode bloquear configurações adicionais de modo que os
usuários não possam mudar a proteção em seus
computadores.
Especificar ações de detecção da Especifique ações de Quarentena, Excluir ou Encerrar

verificação mais sólidas para detecções.
Nota: Tenha cuidado quando você usar Excluir ou
Encerrar para detecções de risco à segurança. A ação
pode causar a perda de funcionalidade de alguns
aplicativos legítimos.
Consulte “Para mudar a ação do Symantec Endpoint

Protection quando fizer uma detecção” na página 421.

O Auto-Protect inclui um recurso chamado Download Insight, que examina os
arquivos que os usuários tentam transferir por download através dos navegadores
da Web, clientes de mensagem de texto e outros portais.
Os portais suportados incluem Internet Explorer, Firefox, Microsoft Outlook,
Outlook Express, Google Chrome, Windows Live Messenger e Yahoo Messenger.
O Download Insight determina que um arquivo obtido por download pode ser um
risco com base em evidências sobre a reputação do arquivo. O Download Insight
é suportado apenas para os clientes executados em computadores Windows.
Nota: Se você instalar o Auto-Protect para e-mail em seu computador-cliente, o

Auto-Protect verificará também os arquivos que os usuários recebem como anexos
de e-mail.
Tabela 16-16 Gerenciamento de detecções do Download Insight
Tarefa Descrição
Saber como o Download Insight O Download Insight usa as informações de reputação exclusivamente quando
usa dados de reputação para toma decisões sobre arquivos obtidos por download. Ele não usa assinaturas ou
tomar decisões sobre arquivos heurística para tomar decisões. Se o Download Insight permitir um arquivo, o
Auto-Protect ou o SONAR verificará o arquivo quando o usuário abrir ou executar
o arquivo.

Tarefa Descrição
Exibir o relatório da distribuição Você pode usar o relatório da distribuição de risco de download para exibir os
de risco de download para arquivos que o Download Insight detectar em seus computadores-cliente. Você
visualizar as detecções do pode classificar o relatório por URL, domínio da Web ou aplicativo. Você também
Download Insight poderá ver se um usuário optar por permitir um arquivo detectado.
Nota: Os detalhes do risco para uma detecção do Download Insight mostram
apenas o primeiro aplicativo do portal que tentou o download. Por exemplo, um
usuário pode usar o Internet Explorer para tentar fazer o download de um arquivo
que o Download Insight detecta. Se o usuário usar em seguida o Firefox para
tentar fazer o download do arquivo, os detalhes do risco mostrarão o Internet
Explorer como o portal.
Os arquivos permitidos pelo usuário que aparecem no relatório podem indicar

detecções de falsos positivos.
Você pode especificar também receber notificações de e-mail sobre downloads

permitidos por novos usuários.
Os usuários podem permitir arquivos respondendo às notificações que aparecem

para detecções.
Os administradores recebem o relatório como parte de um relatório semanal que

o Symantec Endpoint Protection Manager gera e envia por e-mail. Você deve ter
especificado um endereço de e-mail para o administrador durante a instalação
ou configurado como parte das propriedades do administrador. Você também
pode gerar o relatório da guia Relatórios no console.

Tarefa Descrição
Criar exceções para arquivos ou Você pode criar uma exceção para um aplicativo que seus usuários obtêm por
domínios da Web específicos download. Você também pode criar uma exceção para um domínio específico da
Web que você acredite ser confiável.
Consulte “Para especificar como o Symantec Endpoint Protection gerencia
aplicativos monitorados” na página 585.
Consulte “Exclusão de um domínio confiável da Web das verificações”

na página 586.
Nota: Se seus computadores-cliente usarem um proxy com autenticação, será
necessário especificar exceções do domínio da Web confiável para os URLs da
Symantec. As exceções permitem que seus computadores-cliente comuniquem-se
com o Symantec Insight e com outros sites importantes da Symantec.
Para obter informações sobre exceções recomendadas, consulte os seguintes

artigos relacionados da base de conhecimento:
■ How to test connectivity to Insight and Symantec licensing servers (em inglês)
■ Required exclusions for proxy servers to allow Symantec Endpoint Protection
to connect to Symantec reputation and licensing servers (em inglês)
Por padrão, o Download Insight não examina arquivos que os usuários obtêm por
download de um site confiável da Internet ou da intranet. Você configura sites
confiáveis e sites locais confiáveis da intranet na guia Painel de controle do
Windows > Opções da Internet > Segurança. Quando a opção Confiar
automaticamente em qualquer arquivo obtido por download em um site da
intranet estiver ativada, o Symantec Endpoint Protection permitirá qualquer
arquivo que um usuário transferir por download de qualquer sites nas listas.
O Symantec Endpoint Protection procura atualizações da lista de sites confiáveis

das Opções da Internet no logon do usuário e a cada quatro horas.
Nota: O Download Insight reconhece apenas sites confiáveis explicitamente
configurados. Caracteres curingas são permitidos, mas faixas de endereço IP não
roteáveis não são suportadas. Por exemplo, o Download Insight não reconhece
10.*.*.* como um site confiável. O Download Insight também não suporta os sites
descobertos pela opção Opções da Internet > Segurança > Detectar
automaticamente a rede intranet.
Certificar-se de que as buscas do O Download Insight exige dados de reputação do Symantec Insight para tomar
Insight estejam ativadas decisões sobre arquivos. Se você desativar as buscas do Insight, o Download
Insight será executado, mas detectará apenas os arquivos com as piores
reputações. As buscas do Insight são ativadas por padrão.

Tarefa Descrição
Personalizar configurações do Convém personalizar as configurações do Download Insight pelas seguintes

Download Insight razões:
■ Aumentar ou diminuir o número de detecções do Download Insight.
Você pode ajustar o regulador da sensibilidade a arquivos maliciosos para
aumentar ou diminuir o número de detecções. Em níveis mais baixos de
sensibilidade, o Download Insight detectará menos arquivos como maliciosos
e mais arquivos como não comprovados. Menos detecções são de falsos
positivos.
Em níveis mais altos de sensibilidade, o Download Insight detectará mais
arquivos como maliciosos e menos arquivos como não comprovados. Mais
detecções são de falsos positivos.
■ Mudar a ação para detecções de arquivos maliciosos ou não comprovados.
Você pode mudar como o Download Insight controla arquivos maliciosos ou
não comprovados. A ação especificada afeta não apenas a detecção, mas
também se os usuários podem interagir com a detecção.
Por exemplo, é possível alterar a ação de arquivos não comprovados para
Ignorar. Então, o Download Insight sempre permite arquivos não comprovados
e não alerta o usuário.
■ Alerte usuários sobre as detecções do Download Insight.
Quando as notificações estiverem ativadas, a configuração de sensibilidade
de arquivos maliciosos afetará o número de notificações que os usuários
recebem. Se você aumentar a sensibilidade, aumentará o número de
notificações do usuário porque o número total de detecções aumentará
também.
Você pode desativar as notificações para que os usuários não tenham como
escolher quando o Download Insight fizer uma detecção. Se você mantiver as
notificações ativadas, poderá definir a ação para arquivos não comprovados
como Ignorar para que estas detecções sejam permitidas sempre e os usuários
não sejam notificados.
Independentemente da configuração de notificações, quando o Download
Insight detectar um arquivo não comprovado e a ação for Solicitar, o usuário
poderá permitir ou bloquear o arquivo. Se o usuário permitir o arquivo, o
arquivo será executado automaticamente.
Quando as notificações forem ativadas e o Download Insight colocar um
arquivo em quarentena, o usuário poderá desfazer a ação de quarentena e
permitir o arquivo.
Nota: Se os usuários permitirem um arquivo em quarentena, o arquivo não
será executado automaticamente. O usuário pode executar o arquivo da pasta
temporária Internet. Normalmente, o local da pasta é unidade:\\Documents
and Settings\nome_de_usuário\Local Settings\Temporary Internet Files.
Consulte “Personalização de configurações do Download Insight” na página 420.

Como o Symantec Endpoint Protection usa os dados de reputação para tomar decisões sobre arquivos
Tarefa Descrição
Permitir que os clientes enviem Por padrão, os clientes enviam informações sobre detecções de reputação para a
informações sobre as detecções Symantec.
de reputação à Symantec
A Symantec recomenda que você ative os envios para detecções de reputação. As
informações ajudam a Symantec a lidar com as ameaças.

Como o Symantec Endpoint Protection usa os dados

de reputação para tomar decisões sobre arquivos
A Symantec coleta informações sobre arquivos de sua comunidade global de
milhões de usuários e de sua Rede de inteligência global. As informações coletadas
formam um banco de dados de reputação que a Symantec hospeda. Os produtos
da Symantec utilizam as informações para proteger computadores-cliente das
ameaças novas, de destino e mutantes. Os dados são, às vezes, tratados como se
estivessem na nuvem, já que não residem no computador-cliente. O
computador-cliente deve solicitar ou consultar o banco de dados da reputação.
A Symantec usa uma tecnologia chamada Insight para determinar o nível de risco
ou de classificação de segurança de cada arquivo.
O Insight determina a classificação de segurança de um arquivo examinando as
seguintes características do arquivo e de seu contexto:
■ A origem do arquivo
■ A idade do arquivo
■ O nível de conhecimento do arquivo na comunidade
■ Outras métricas de segurança: como o arquivo pode ser associado ao malware
Os recursos de verificação do Symantec Endpoint Protection utilizam o Insight
para tomar decisões sobre arquivos e aplicativos. A Proteção contra vírus e spyware
inclui um recurso chamado Download Insight. O Download Insight depende das
informações de reputação para fazer detecções. Se você desativar as buscas do
Insight, o Download Insight será executado mas não poderá fazer detecções. Outros
recursos de proteção, tais como o Insight Lookup e o SONAR, usam as informações
de reputação para fazer detecções; porém, esses recursos podem usar outras
tecnologias para fazerem detecções.
Por padrão, um computador-cliente envia as informações sobre as detecções de
reputação para o Symantec Security Response para fins de análise. As informações
Como os recursos da política do Symantec Endpoint Protection funcionam em conjunto
ajudam a refinar o banco de dados de reputação do Insight. Quanto mais clientes

enviarem informações, mais útil o banco de dados da reputação fica.
Você pode desativar o envio das informações de reputação. Porém, a Symantec
recomenda que você mantenha os envios ativados.
Os computadores-cliente enviam também outros tipos de informações sobre
detecções para o Symantec Security Response.
Consulte “Como os recursos da política do Symantec Endpoint Protection
funcionam em conjunto” na página 383.
Como os recursos da política do Symantec Endpoint

Protection funcionam em conjunto
Alguns recursos da política precisam uns dos outros para fornecer a proteção
completa em computadores-cliente Windows.
Aviso: A Symantec recomenda que você não desative as Pesquisas do Insight.
Tabela 16-17 Como os recursos da política funcionam em conjunto
Recurso Notas de interoperabilidade
Proteção de download A proteção de download faz parte do Auto-Protect e dá ao Symantec

Endpoint Protection a capacidade de rastrear os URLs. O controle do URL
é necessário para vários recursos da política.
Se você instalar o Symantec Endpoint Protection sem a proteção de

download, o Download Insight terá recursos limitados. A prevenção contra
intrusão no navegador e o SONAR exigem a proteção de download.
A opção Confiar automaticamente em qualquer arquivo transferido por

download de um site da intranet também exige a proteção de download.
Como os recursos da política do Symantec Endpoint Protection funcionam em conjunto
Download Insight O Download Insight tem as seguintes dependências:
■ O Auto-Protect deve estar ativado

Se você desativar o Auto-Protect, o Download Insight não funcionará
mesmo se estiver ativado.
■ As Pesquisas do Insight devem estar ativadas
A Symantec recomenda que você mantenha a opção de Pesquisas do
Insight ativada. Se desativar a opção, você desativará o Download Insight
completamente.
Nota: Se a Proteção de download básica não estiver instalada, o Download
Insight será executado no cliente no nível 1. Qualquer nível que você definir
na política não será aplicado. O usuário também não pode ajustar o nível
de sensibilidade.
Mesmo se você desativar o Download Insight, a opção Confiar

automaticamente em qualquer arquivo transferido por download de um
site da intranet continuará funcionando para a Pesquisa do Insight.
Pesquisa do Insight Usa as Pesquisas do Insight
A Pesquisa do Insight usa as definições mais recentes da nuvem e do banco

de dados de reputação do Insight para tomar decisões sobre os arquivos.
Se você desativar as Pesquisas do Insight, a Pesquisa do Insight usará as
definições mais recentes apenas para tomar decisões sobre os arquivos.
A Pesquisa do Insight usa também a opção Confiar automaticamente em

qualquer arquivo transferido por download de um site da intranet.
A Pesquisa do Insight não é executa em verificações de clique com o botão

direito do mouse de pastas ou unidades em seus computadores-cliente.
Contudo, a Pesquisa do Insight é executada em verificações com o botão
direito do mouse de arquivos selecionados.
Nota: A Pesquisa do Insight usa o valor configurado do nível do regulador
da Pesquisa do Insight para avaliar os arquivos que foram obtidos por
download de um portal suportado. Se os arquivos não foram obtidos por
download de um portal suportado, a Pesquisa do Insight apenas detectará
os arquivos se esses tiverem a pior reputação (semelhante ao nível 1).
Sobre o envio de informações sobre detecções para o Symantec Security Response
SONAR O SONAR tem as seguintes dependências:
■ A proteção de download deve estar instalada.

■ O Auto-Protect deve estar ativado.
Se o Auto-Protect estiver desativado, o SONAR perderá parte da
funcionalidade de detecção e parecerá não estar funcionando
corretamente no cliente. O SONAR pode detectar ameaças heurísticas,
porém, mesmo se o Auto-Protect estiver desativado.
■ As Pesquisas do Insight devem estar ativadas.
Sem as Pesquisas do Insight, o SONAR pode ser executado, mas não
pode fazer detecções. Em alguns casos raros, o SONAR pode fazer
detecções sem as Pesquisas do Insight. Se o Symantec Endpoint
Protection tiver armazenado previamente em cache as informações de
reputação sobre arquivos específicos, o SONAR poderá usar as
informações armazenadas em cache.
Prevenção contra intrusão no A proteção de download deve estar instalada. O Download Insight pode
navegador estar ativado ou desativado.
Exceção de domínio Web confiável A exceção será aplicada somente se a Proteção de download estiver
instalada.

na página 501.
Sobre o envio de informações sobre detecções para

o Symantec Security Response
Você pode configurar seu computador-cliente para enviar automaticamente
informações sobre as detecções para o Symantec Security Response para fins de
análise.
O Symantec Response e a Global Intelligence Network usam essas informações
enviadas para rapidamente formular respostas a ameaças à segurança, novas e
em desenvolvimento. Os dados que você envia melhoram a capacidade da Symantec
de responder a ameaças e personalizar a proteção. A Symantec recomenda que
você sempre permita envios.
Sobre a regulagem de envios
Você pode escolher enviar alguns dos seguintes tipos de dados:

■ Reputação do arquivo
As informações sobre os arquivos que são detectados com base em sua
reputação. As informações sobre esses arquivos contribuem para o banco de
dados de reputação do Symantec Insight a fim de ajudar a proteger seus
computadores contra riscos novos e emergentes.
■ Detecções antivírus
Informações sobre detecções de verificação de vírus e spyware.
■ Detecções heurísticas avançadas do antivírus
Informações sobre possíveis ameaças que são detectadas pelo Bloodhound e
por outras heurísticas de verificação de vírus e spyware.
Estas detecções são silenciosas, pois não aparecem no Log de riscos. As
informações sobre essas detecções são usadas para fins de análise estatística.
■ Detecções do SONAR
Informações sobre as ameaças que o SONAR detecta, que incluem detecções
de baixo ou alto risco, eventos de mudança de sistema e comportamento
suspeito dos aplicativos confiáveis.
■ Heurística do SONAR
As detecções heurísticas do SONAR são detecções silenciosas que não aparecem
no Log de riscos. Essas informações são usadas para análise estatística.
No cliente, você também pode enviar manualmente uma amostra para o Response
da exibição da Quarentena ou através do site da Symantec. Para enviar um arquivo
através do site da Symantec, contate o suporte técnico da Symantec.
Consulte “Sobre a regulagem de envios” na página 386.
Sobre a regulagem de envios

O Symantec Endpoint Protection regula envios do computador-cliente para
minimizar qualquer efeito em sua rede. O Symantec Endpoint Protection regula
os envios das seguintes maneiras:
■ Os computadores-cliente somente enviarão amostras quando o computador
estiver ocioso. O envio em período ocioso ajuda a escolher aleatoriamente o
tráfego de envio através da rede.
Ativação ou desativação de envios de clientes para o Symantec Security Response
■ Os computadores-cliente enviam amostras somente para arquivos exclusivos.

Se a Symantec já conhecer o arquivo, o computador-cliente não enviará as
informações.
■ O Symantec Endpoint Protection usa um arquivo de dados de controle de envio
(SCD, Submission Control Data). A Symantec publica o arquivo SCD e o inclui
como parte de um pacote do LiveUpdate. Cada produto da Symantec tem seu
próprio arquivo SCD.
O arquivo SCD controla as seguintes configurações:
■ Quantos envios um cliente pode fazer por dia
■ Quanto tempo de espera antes que o software-cliente tente enviar novamente
■ Quantas vezes foram feitas novas tentativas de envios que falharam
■ Que endereço IP do servidor Symantec Security Response recebe o envio
Se o arquivo SCD tornar-se desatualizado, os clientes interromperão o envio. A
Symantec considera o arquivo SCD desatualizado quando um computador-cliente
não tiver recuperado o conteúdo do LiveUpdate em sete dias. O cliente
interromperá os envios após 14 dias.
Se os clientes interromperem a transmissão de envios, o software-cliente não
coletará as informações nem as enviará depois. Quando os clientes reiniciarem a
transmissão dos envios, enviarão apenas as informações sobre os eventos que
ocorrerem depois do reinício da transmissão.
Consulte “Sobre o envio de informações sobre detecções para o Symantec Security
Ativação ou desativação de envios de clientes para o

Symantec Security Response
O Symantec Endpoint Protection pode proteger computadores enviando
informações sobre detecções ao Symantec Security Response. O Symantec Security
Response usa essas informações para abordar ameaças novas e em mudança.
Todos os dados que você envia melhoram a capacidade da Symantec de responder
às ameaças e personalizar a proteção para seus computadores. A Symantec
recomenda que você envie todas as informações de detecção possíveis.
Consulte “Sobre o envio de informações sobre detecções para o Symantec Security
Ativação ou desativação de envios de clientes para o Symantec Security Response
Consulte “Para especificar um servidor proxy para envios do cliente e outras

comunicações externas” na página 389.
Os computadores-cliente enviam anonimamente as informações sobre detecções.
Você pode especificar os tipos de detecções para as quais os clientes enviam
informações. Você também pode ativar ou desativar envios dos
computadores-cliente. A Symantec recomenda que você sempre ative envios. Em
alguns casos, porém, convém impedir que seus clientes enviem tais informações.
Por exemplo, suas políticas corporativas podem impedir que seus
computadores-cliente enviem todas as informações da rede a entidades exteriores.
Para ativar ou desativar envios de clientes para o Symantec Security Response
1 No console, selecione Clientes e clique na guia Políticas.
2 No painel Configurações, clique em Configuraçõesdecomunicaçõesexternas.
3 Clique na guia Envios.
4 Se desejar ativar seus computadores-cliente para enviar dados para a análise,
selecione Deixar que os computadores encaminhem as informações de
segurança anônimas selecionadas automaticamente à Symantec.
5 Para desativar envios para o cliente, desmarque Deixar que os computadores
encaminhem as informações de segurança anônimas selecionadas
automaticamente à Symantec.
Se você desativar envios para um cliente e bloquear as configurações, o usuário
não poderá configurar o cliente para enviar. Se você ativar, selecionar seus
tipos de envios e bloquear as configurações, o usuário não poderá alterar suas
configurações escolhidas. Se você não bloquear suas configurações, o usuário
poderá mudar a configuração conforme desejado.
A Symantec recomenda que você envie informações de ameaças para ajudá-la
a fornecer proteção contra ameaças personalizada. Porém, você pode precisar
desativar esse recurso em resposta aos problemas de largura de banda da
rede ou uma restrição nos dados que saem do cliente. Você poderá verificar
a atividade do cliente para exibir a atividade de envio de logs, se precisar
monitorar o uso da largura de banda.
6 Selecione os tipos de informações a serem enviadas:
■ Reputação do arquivo
As informações sobre os arquivos que são detectados com base em sua
reputação. As informações sobre estes arquivos contribuem para que o
banco de dados da reputação do Symantec Insight ajude a proteger seus
computadores contra riscos novos e emergentes.
Para especificar um servidor proxy para envios do cliente e outras comunicações externas
Nota: Os clientes não gerenciados exigem uma licença paga para ativar o
envio de dados de reputação do arquivo.
Consulte “Para licenciar um cliente não gerenciado” na página 130.
■ Detecções antivírus
Informações sobre detecções de verificação de vírus e spyware.
■ Detecções heurísticas avançadas do antivírus
Informações sobre as possíveis ameaças que são detectadas pelo
Bloodhound e pela outra heurística de verificação de vírus e spyware.
Estas detecções são as detecções silenciosas que não aparecem no log de
riscos. As informações sobre essas detecções são usadas para fins de análise
estatística.
Informações sobre as ameaças que o SONAR detecta, que incluem detecções
de alto ou baixo risco, eventos de alteração de sistema e comportamento
suspeito dos aplicativos confiáveis.
■ Heurística do SONAR
As detecções heurísticas do SONAR são detecções silenciosas que não
aparecem no Log de riscos. Essas informações são usadas para fins de
análise estatística.
7 Selecione a opção Permitir buscas do Insight para a detecção de ameaças

para permitir que o Symantec Endpoint Protection use o banco de dados da
reputação do Symantec Insight para tomar decisões sobre ameaças.
As buscas do Insight são ativadas por padrão. Você poderá desativar esta
opção se não quiser permitir que o Symantec Endpoint Protection consulte
o banco de dados da reputação do Symantec Insight.
O Download Insight, o Insight Lookup e o SONAR usam as buscas do Insight
para a detecção de ameaças. A Symantec recomenda que você permita buscas
do Insight. Desativar as buscas desativa o Download Insight e pode danificar
a funcionalidade da heurística do SONAR e do Insight Lookup.
Para especificar um servidor proxy para envios do

cliente e outras comunicações externas
Você pode configurar o Symantec Endpoint Protection Manager para usar um
servidor proxy para envios e outras comunicações externas que seus clientes
Windows usam.
Para especificar um servidor proxy para envios do cliente e outras comunicações externas
Para especificar um servidor proxy para envios do cliente e outras comunicações

externas
1 No console, na página Clientes, selecione o grupo e clique em seguida em
Políticas.
2 Em Configurações ou Configurações especificas de local, clique em
Comunicações externas.
3 Na guia Servidor proxy (Windows), em Configuração de proxy HTTPS,
selecione Usar configurações personalizadas de proxy.
4 Digite as informações sobre o servidor proxy que seus clientes usam. Consulte
a ajuda online para obter mais informações sobre as opções.
5 Clique em OK.
Nota: Se seus computadores-cliente usarem um proxy com autenticação, talvez

seja preciso especificar exceções para URLs da Symantec em sua configuração do
servidor proxy. As exceções permitem que seus computadores-cliente
comuniquem-se com o Symantec Insight e com outros sites importantes da
Symantec.
Você precisará incluir exceções para URLs da Symantec em suas configurações

do servidor proxy se usar as seguintes opções de configuração do proxy:
■ Você usa um servidor proxy com autenticação.
■ Você seleciona a opção Usar um servidor proxy especificado pelo meu
navegador cliente na caixa de diálogo Comunicação externa do Symantec
■ Use detecção e configuração automática nas Opções da Internet do seu
navegador.
Você não precisará especificar exceções para URLs da Symantec em suas
configurações do servidor proxy se não usar detecção ou configuração automática.
Você deve selecionar Usar configurações personalizadas de proxy na caixa de
diálogo Comunicação externa e então especificar as configurações de autenticação.
Para obter informações sobre exceções recomendadas, consulte os seguintes
artigos da base de conhecimento:
■ How to test connectivity to Insight and Symantec licensing servers (em inglês)
■ Required exclusions for proxy servers to allow Symantec Endpoint Protection
to connect to Symantec reputation and licensing servers (em inglês)
Para gerenciar a quarentena

Quando as verificações de vírus e spyware detectarem uma ameaça ou o SONAR
detectar uma ameaça, o Symantec Endpoint Protection colocará os arquivos na
quarentena local do computador-cliente.
Tabela 16-18 Para gerenciar a quarentena
Tarefa Descrição
Monitorar arquivos na Você deve verificar periodicamente os arquivos em quarentena para impedir o acúmulo
quarentena de um grande número de arquivos. Verifique os arquivos em quarentena quando
aparecer uma nova epidemia de vírus na rede.
Deixe os arquivos com infecções desconhecidas na quarentena. Quando o cliente

receber definições novas, ele verificará novamente os itens na quarentena e poderá
excluir ou reparar o arquivo.
Excluir arquivos na Você poderá excluir um arquivo em quarentena se um backup existir ou se tiver uma
quarentena cópia do arquivo de uma origem confiável.
Você pode excluir um arquivo em quarentena diretamente no computador infectado

ou usando o log de riscos no console do Symantec Endpoint Protection.
Consulte “Para usar o Log de riscos para excluir arquivos em quarentena em seu
Configurar como o Symantec Por padrão, o Symantec Endpoint Protection verifica novamente os itens na
Endpoint Protection quarentena quando definições novas chegam. Ele automaticamente repara e restaura
verificará novamente os itens itens silenciosamente. Normalmente, você deve manter a configuração padrão, mas
na quarentena quando é possível mudar a ação da nova verificação com base em suas necessidades.
chegarem definições novas
Consulte “Configuração de como a quarentena controla a nova verificação dos arquivos
depois que as definições novas são recebidas” na página 395.
Tarefa Descrição
Especificar como os clientes O Symantec Endpoint Protection permite que usuários enviem arquivos infectados
enviam as informações sobre ou suspeitos e os efeitos colaterais relacionados para o Symantec Security Response
itens em quarentena para uma análise mais detalhada. Quando os usuários enviam as informações, a
Symantec pode fazer uma detecção e um reparo mais detalhados.
Você pode ativar detecções baseadas em assinaturas na quarentena para serem

encaminhadas da quarentena local para um Servidor da Quarentena central. As
detecções da reputação na quarentena local não podem ser enviadas para um Servidor
da Quarentena central. Você poderá configurar o cliente para que ele encaminhe os
itens se usar um Servidor da Quarentena central na rede de segurança. O Servidor
da Quarentena central pode enviar as informações para o Symantec Security Response.
As informações enviadas pelos clientes ajudam a Symantec a determinar se uma
ameaça detectada é real.
Os arquivos enviados ao Symantec Security Response tornam-se propriedade da

Symantec Corporation. Em alguns casos, os arquivos podem ser compartilhados com
a comunidade antivírus. Se a Symantec compartilha arquivos, ela usa criptografia
padrão do setor e pode tornar os dados anônimos para proteger a integridade do
conteúdo e a sua privacidade.
Consulte “Configuração de clientes para enviar itens em quarentena para um Servidor

da Quarentena central ou Symantec Security Response” na página 394.
Gerenciar o armazenamento Por padrão, a quarentena armazena arquivos de backup, reparados e em quarentena
de arquivos em quarentena em uma pasta padrão. Ela exclui automaticamente os arquivos após 30 dias.
Você pode gerenciar o armazenamento dos itens em quarentena das seguintes
maneiras:
■ Especifique uma pasta local para armazenar arquivos em quarentena.
É possível usar a pasta padrão ou uma pasta que você escolher.
Consulte “Especificação de uma pasta de quarentena local” na página 392.
■ Especifique quando os arquivos forem excluídos automaticamente.
A quarentena exclui automaticamente arquivos após um número especificado de
dias. Você também pode configurar a quarentena para excluir arquivos quando a
pasta onde os arquivos estão armazenados atingir um tamanho especificado. Você
pode definir as configurações individualmente para arquivos de backup, reparados
e em quarentena.
Consulte “Especificar quando os arquivos em quarentena forem excluídos
automaticamente” na página 393.
Especificação de uma pasta de quarentena local

Se não desejar utilizar uma pasta padrão de quarentena para armazenar arquivos
em quarentena nos computadores-cliente, você poderá especificar uma pasta local
diferente. Você pode expandir o caminho utilizando o sinal de porcentagem. Por
exemplo, você pode digitar %COMMON_APPDATA%. Os caminhos relativos não

são permitidos.
Para especificar uma pasta de quarentena local
1 Na página Política de proteção contra vírus e spyware, clique em Quarentena.
2 Na guia Miscelânea, em Opções locais de quarentena, clique em Especificar
a pasta de quarentena.
3 Na caixa de texto, digite o nome de uma pasta local nos computadores-cliente.
Você pode expandir o caminho utilizando o sinal de porcentagem. Por exemplo,
você pode digitar %COMMON_APPDATA%, mas os caminhos relativos não
são permitidos.
4 Se você tiver concluído a configuração desta política, clique em OK.
Especificar quando os arquivos em quarentena forem excluídos

automaticamente
O Symantec Endpoint Protection exclui automaticamente os arquivos na
quarentena quando excedem uma idade especificada. Você poderá configurar a
quarentena para também excluir arquivos quando a pasta onde eles estão
armazenados atingir um determinado tamanho.
Você pode usar uma das configurações ou utilizá-las juntas. Se você escolher os
dois tipos de limites, todos os arquivos que ultrapassarem a data definida serão
eliminados primeiro. Se o tamanho da pasta ainda exceder o limite definido, os
arquivos mais antigos serão excluídos um a um. Os arquivos são excluídos até que
o tamanho da pasta fique abaixo do limite especificado.
Para configurar as opções de limpeza automática
1 No console, abra uma política de proteção contra vírus e spyware e clique em
Quarentena.
2 Na guia Limpeza, em Arquivos reparados, marque ou desmarque Ativar a
exclusão automática dos arquivos reparados.
3 Na caixa Excluir após, digite um valor ou clique em uma seta para selecionar
o intervalo de tempo em dias.
4 Marque Excluir os arquivos mais antigos para limitar o tamanho da pasta
e, em seguida, digite o tamanho máximo da pasta, em megabytes. A
configuração padrão é 50 MB.
5 Em Arquivos de backup, marque ou desmarque Ativar a exclusão automática

dos arquivos de backup.
6 Na caixa Excluir após, digite ou clique em uma seta para selecionar o intervalo
de tempo em dias.
7 Marque a caixa de seleção Excluir os arquivos mais antigos para limitar o
tamanho da pasta e, em seguida, digite o tamanho máximo da pasta, em
megabytes. O padrão é 50 MB.
8 Em Arquivos em quarentena, marque ou desmarque Ativar a exclusão
automática dos arquivos em quarentena que não puderam ser reparados.
9 Na caixa Excluir após, digite um valor ou clique em uma seta para selecionar
o intervalo de tempo em dias.
10 Marque Excluir os arquivos mais antigos para limitar o tamanho da pasta
e, em seguida, digite o tamanho máximo da pasta, em megabytes. O padrão
é 50 MB.
Configuração de clientes para enviar itens em quarentena para um

Servidor da Quarentena central ou Symantec Security Response
Os clientes podem enviar automaticamente itens em quarentena para um Servidor
da Quarentena central.
Você também pode permitir usuários em computadores-cliente para enviar
manualmente itens em quarentena diretamente para o Symantec Security
Response.
Para configurar clientes para enviar itens em quarentena para um Servidor da
Quarentena central ou para o Symantec Security Response
Quarentena.
2 Em Itens em quarentena, faça um ou ambos dos seguintes procedimentos:
■ Selecione Permitir que os computadores-cliente enviem os itens em
quarentena automaticamente para um servidor de quarentena.
Digite o nome do servidor de quarentena.
Digite o número da porta a ser usada e selecione o número de segundos
para repetir conexão.
■ Selecione Permitir que os computadores-cliente enviem os itens em

quarentena manualmente para o Symantec Security Response.
3 Se você tiver concluído a definição das configurações desta política, clique

em OK.
Configuração de como a quarentena controla a nova verificação dos

arquivos depois que as definições novas são recebidas
Você pode configurar as ações que deseja executar quando novas definições forem
recebidas nos computadores-cliente. O cliente verifica novamente os itens na
quarentena e repara e restaura automaticamente os itens no modo silencioso por
padrão. Em geral, você sempre deveria usar esta configuração.
Se você criou uma exceção para um arquivo ou aplicativo na quarentena, o
Symantec Endpoint Protection restaura o arquivo depois que definições novas
são recebidas.
Para configurar como a quarentena controla a nova verificação dos arquivos depois
que as definições novas são recebidas
Quarentena.
2 Na guia Geral, em Quando novas definições de vírus forem recebidas, clique
em uma das seguintes opções:
■ Reparar e restaurar arquivos em quarentena no modo silencioso
automaticamente
■ Reparar arquivos em quarentena no modo silencioso sem restaurá-los
■ Solicitar uma ação do usuário
■ Nenhuma ação
Para usar o Log de riscos para excluir arquivos em quarentena em seu

computador-cliente
Você pode usar o Log de riscos no console do Symantec Endpoint Protection
Manager para excluir arquivos em quarentena em seu computador-cliente. Você
executa o comando Excluir da quarentena do log para todo arquivo em quarentena
que deseja excluir.
Para gerenciar as notificações de vírus e spyware que aparecem nos computadores-cliente

Se o Symantec Endpoint Protection detectar riscos em um arquivo compactado,
ele será enviado inteiramente para a quarentena. Contudo, o Log de riscos contém
uma entrada separada para cada arquivo no arquivo compactado. Para excluir
com êxito todos os riscos em um arquivo compactado, será necessário selecionar
todos os arquivos no arquivo compactado.
Para usar o Log de riscos para excluir arquivos da quarentena em seu
computador-cliente
1 Clique em Monitores.
2 Na guia Logs, da caixa de listagem Tipo de log, selecione o log Riscos e clique
em Exibir log.
■ Selecione uma entrada no log que tenha um arquivo em quarentena.
■ Selecione todas as entradas dos arquivos no arquivo compactado.
É necessário ter todas as entradas no arquivo compactado na exibição do
log. Use a opção Limite em Configurações avançadas para aumentar o
número de entradas na exibição.
4 Na caixa de listagem Ação, selecione Excluir da quarentena.

5 Clique em Iniciar.
6 Na caixa de diálogo exibida, clique em Excluir.
7 Na caixa de diálogo de confirmação exibida, clique em OK.
Para gerenciar as notificações de vírus e spyware que

aparecem nos computadores-cliente
Você pode decidir se as notificações aparecem nos computadores-cliente para
eventos de vírus e spyware. Você pode personalizar as mensagens sobre detecções.
Para gerenciar as notificações de vírus e spyware que aparecem nos computadores-cliente
Tabela 16-19 Tarefas para gerenciar as notificações de vírus e spyware que

aparecem no computador-cliente
Tarefa Descrição
Personalizar uma mensagem de Para computadores-cliente Windows, é possível configurar uma mensagem de
detecção da verificação detecção para os seguintes tipos de verificações:
■ Todos os tipos do Auto-Protect, incluindo o Download Insight

■ Verificações agendadas e verificações sob demanda
Para verificações agendadas, é possível configurar uma mensagem separada
para cada verificação.
Nota: Se um processo fizer o download continuamente do mesmo risco à
segurança para um computador-cliente, o Auto-Protect suspenderá o envio
automático de notificações após três detecções. O Auto-Protect para também de
registrar o evento em log. Em algumas situações, porém, o Auto-Protect não
suspende o envio de notificações e o registro em log dos eventos. O Auto-Protect
continuará a enviar notificações e evento de log quando a ação para a detecção
for Ignorar (somente log).
Para computadores-cliente Mac, é possível configurar uma mensagem de detecção

que se aplica a todas as verificações agendadas e uma mensagem que se aplica a
verificações sob demanda.


clientes que são executados em computadores Mac” na página 414.
Alterar configurações para Você pode alterar o que os usuários das notificações recebem sobre as detecções
notificações do usuário sobre do Download Insight.
detecções dos Download Insight
Alterar configurações para Você pode alterar o que os usuários das notificações recebem sobre as detecções
notificações do usuário sobre do SONAR.
detecções do SONAR
Escolher se a caixa de diálogo de Aplica-se apenas a computadores-cliente Windows.

resultados do Auto-Protect deve
Aplica-se ao Auto-Protect apenas para o sistema de arquivos.
ser exibida
Sobre as notificações pop-up que aparecem nos clientes que executam o Windows 8
Tarefa Descrição
Configurar as notificações de Aplica-se apenas a computadores-cliente Windows.

e-mail do Auto-Protect
Quando as verificações de e-mail do Auto-Protect encontrarem um risco, o
Auto-Protect poderá enviar notificações de e-mail para alertar o remetente do
e-mail e qualquer outro endereço de e-mail que você especificar. Você também
pode inserir um aviso na mensagem de e-mail.
Para o Auto-Protect para e-mail da Internet, você também poderá especificar que
seja exibida uma notificação sobre o andamento da verificação quando o
Auto-Protect verificar um e-mail.
Consulte “Para personalizar o Auto-Protect para verificações de e-mail em

Permitir que os usuários vejam o Aplica-se apenas a computadores-cliente Windows.

andamento da verificação e
Você pode configurar se a caixa de diálogo do andamento da verificação deve ser
iniciem ou interrompam
exibida. Você pode configurar se os usuários podem pausar ou atrasar verificações.
verificações
Quando você permitir que usuários visualizem o andamento da verificação, um
link para a caixa de diálogo do andamento da verificação aparecerá nas páginas
principais da interface de usuário do cliente. Um link para reprogramar a próxima
verificação agendada aparece também.
Consulte “Para permitir que usuários exibam o andamento das verificações e

interajam com elas” na página 423.
Configurar avisos, erros e Aplica-se apenas a computadores-cliente Windows.

prompts
Você pode ativar ou desativar vários tipos de alertas que aparecem nos
computadores-cliente sobre eventos de proteção contra vírus e spyware.
Consulte “Modificação de configurações variadas para Proteção contra vírus e

spyware em computadores Windows” na página 417.
Ativar ou desativar notificações Aplica-se a clientes que são executados no Windows 8.

pop-up na interface do usuário
Você pode ativar ou desativar as notificações pop-up que aparecem na interface
estilo Windows 8
do usuário estilo Windows 8 para detecções e outros eventos críticos.
Consulte “Para ativar ou desativar as notificações pop-up do Symantec Endpoint

Protection em clientes do Windows 8” na página 399.
Sobre as notificações pop-up que aparecem nos

clientes que executam o Windows 8
Em computadores Windows 8, notificações pop-up de detecções do malware e o
outros eventos críticos do Symantec Endpoint Protection aparecerão na interface
do usuário estilo Windows 8 e na área de trabalho do Windows 8. As notificações
Para ativar ou desativar as notificações pop-up do Symantec Endpoint Protection em clientes do Windows 8
alertam o usuário sobre um evento ocorrido na interface do usuário estilo Windows

8 ou na área de trabalho do Windows 8, independentemente de qual interface o
usuário está visualizando atualmente.
Você pode ativar ou desativar as notificações de pop-up em seus
Nota: A configuração do Windows 8 também inclui configurações para mostrar

ou ocultar notificações. As notificações pop-up do Symantec Endpoint Protection
aparecerão somente se o Windows 8 estiver configurado para mostrá-las. Na
interface do usuário estilo Windows 8, o painel Configurações ou a opção Alterar
configurações do PC permitem mostrar ou ocultar as notificações do aplicativo.
Consulte a documentação de usuário do Windows 8 para obter mais informações.
Se o usuário clicar em uma notificação na interface do usuário estilo Windows 8,

a área de trabalho do Windows 8 aparecerá. Se o usuário clicar na notificação na
área de trabalho do Windows 8, a notificação desaparecerá. Para detecções de
malware ou de riscos à segurança, o usuário pode exibir as informações sobre as
detecções na caixa de diálogo Resultados da detecção na área de trabalho do
Windows 8.
Quando o Symantec Endpoint Protection notificar o Windows 8 que detectou um
malware ou um risco à segurança que afeta um aplicativo estilo Windows 8, um
ícone de alerta aparecerá na telha do aplicativo. Quando o usuário clicar no bloco,
a loja de aplicativos do Windows aparecerá de modo que o usuário possa refazer
o download do aplicativo.
Consulte “Para ativar ou desativar as notificações pop-up do Symantec Endpoint
Protection em clientes do Windows 8” na página 399.
Consulte “Como o Symantec Endpoint Protection executa detecções em
computadores Windows 8 ” na página 366.
Para ativar ou desativar as notificações pop-up do

Symantec Endpoint Protection em clientes do
Windows 8
Por padrão, as notificações pop-up aparecem na interface do usuário estilo
Windows 8 e na área de trabalho do Windows 8 para detecções de malware e outros
eventos críticos do Symantec Endpoint Protection.
O usuário pode visualizar a área de trabalho do Windows para ver detalhes sobre
o evento que produziu a notificação. O usuário pode precisar executar uma ação,
Para gerenciar detecções do início antecipado do antimalware (ELAM, Early launch anti-malware)
como fazer novo download de um aplicativo. Em alguns casos, contudo, é possível

ocultar estas notificações pop-up dos usuários. Você pode ativar ou desativar este
tipo de notificação na configuração do Symantec Endpoint Protection.
Nota: A configuração do Windows 8 também inclui configurações para mostrar

ou ocultar notificações. As notificações do Symantec Endpoint Protection
aparecerão somente se o Windows 8 estiver configurado para mostrá-las. Na
interface do usuário estilo Windows 8, o painel Configurações ou a opção Alterar
configurações do PC permite mostrar ou ocultar notificações de aplicativos.
Consulte a documentação de usuário do Windows 8 para obter mais informações.
Para ativar ou desativar notificações do Symantec Endpoint Protection em clientes

do Windows 8
1 No console, na guia Clientes, na guia Políticas, em Configurações especificas
de local, ao lado de Configurações de controle de interface de usuário-cliente,
clique em Controle do servidor.
2 Ao lado de Controle do servidor, clique em Personalizar.
3 Na caixa de diálogo Configurações de interface do usuário cliente, em Geral,
marque ou desmarque Ativar notificações Metro.
4 Clique em OK.
Consulte “Sobre as notificações pop-up que aparecem nos clientes que executam
o Windows 8” na página 398.
Para gerenciar detecções do início antecipado do

antimalware (ELAM, Early launch anti-malware)
O início antecipado do antimalware (ELAM) fornece proteção para os computadores
em sua rede quando eles iniciam e antes que drivers de terceiros inicializem.
Softwares maliciosos podem ser carregados como um driver ou rootkits podem
atacar antes que o sistema operacional seja totalmente carregado e o Symantec
Endpoint Protection inicie. Algumas vezes, rootkits podem se ocultar das
verificações de vírus e spyware. O início antecipado do antimalware detecta estes
rootkits e drivers inválidos na inicialização.
O Symantec Endpoint Protection fornece um driver ELAM que funciona com o
driver Windows ELAM para fornecer proteção. O driver Windows ELAM deve
estar ativado para que o driver Symantec ELAM tenha efeito.
Para gerenciar detecções do início antecipado do antimalware (ELAM, Early launch anti-malware)
Você usa o editor de políticas de grupo do Windows para exibir e modificar as

configurações do Windows ELAM. Consulte sua documentação do Windows 8 para
obter mais informações.
Tabela 16-20 Para gerenciar detecções do ELAM
Tarefa Descrição
Exibir o status do ELAM em seus Você pode verificar se o ELAM do Symantec Endpoint Protection está
computadores-cliente ativado no log de status do computador.
Exibir detecções do ELAM Você pode exibir detecções do início antecipado do antimalware no log de
Risco.
Quando o ELAM do Symantec Endpoint Protection ELAM estiver

configurado para relatar detecções de drivers inválidos ou de drivers críticos
inválidos como desconhecidos ao Windows, o Symantec Endpoint Protection
registrará em log as detecções como Somente registrar em log. Por padrão,
o Windows ELAM permite que drivers desconhecidos sejam carregados.
Ativar ou desativar o ELAM Convém desativar o ELAM do Symantec Endpoint Protection para ajudar
a melhorar o desempenho do computador.
Consulte “Como ajustar as opções do início antecipado do antimalware

(ELAM, Early launch anti-malware) do Symantec Endpoint Protection ”
na página 402.

Ajustar as configurações da detecção As configurações do ELAM do Symantec Endpoint Protection fornecem

do ELAM se você obtiver falsos uma opção para tratar drivers inválidos e drivers inválidos críticos como
positivos desconhecidos. Os drivers inválidos críticos são drivers identificados como
malware, mas necessários para a inicialização do computador. Convém
selecionar a opção de sobreposição se você obtiver detecções de falso
positivo que bloqueiam um driver importante. Se você bloquear um driver
importante, poderá impedir que os computadores-cliente sejam iniciados.
Nota: O ELAM não suporta uma exceção específica para um driver
individual. A opção de sobreposição é aplicada globalmente às detecções
do ELAM.
Consulte “Como ajustar as opções do início antecipado do antimalware

(ELAM, Early launch anti-malware) do Symantec Endpoint Protection ”
na página 402.
Como ajustar as opções do início antecipado do antimalware (ELAM, Early launch anti-malware) do Symantec Endpoint
Protection
Tarefa Descrição
Executar a ferramenta do Power Eraser Em alguns casos, uma detecção do ELAM exige a ferramenta Symantec
nas detecções do ELAM que o Symantec Power Eraser, que faz parte do Symantec Diagnostic and Product Advisor.
Endpoint Protection não pode corrigir
Consulte “Para solucionar problemas do computador com a ferramenta de
suporte do Symantec Endpoint Protection” na página 819.
Como ajustar as opções do início antecipado do

antimalware (ELAM, Early launch anti-malware) do
O Symantec Endpoint Protection fornece um driver do ELAM que funciona com
o driver do Microsoft ELAM para fornecer proteção para os computadores em sua
rede quando eles forem inicializados. As configurações são suportadas no Microsoft
Windows 8.
O driver ELAM do Symantec Endpoint Protection é um tipo especial de driver que
é inicializado primeiro e verifica outros drivers de inicialização em busca de por
códigos maliciosos. Quando o driver detectar um driver de inicialização, ele
determinará se o driver é válido, inválido ou desconhecido. O driver do Symantec
Endpoint Protection passará então as informações ao Windows para decidir
permitir ou bloquear o driver detectado.
Você não pode criar exceções para detecções ELAM individuais; contudo, poderá
criar uma exceção global para registrar em log todos os drivers inválidos como
desconhecidos. Por padrão, drivers desconhecidos têm permissão de carregar.
Para algumas detecções de ELAM que necessitem de correção, poderá ser necessário
executar o Power Eraser. O Power Eraser faz parte da ferramenta Symantec
Diagnostic and Product Advisor.
Nota: O Auto-Protect verifica todos os drivers que forem carregados.
Para ajustar as opções de ELAM do Symantec Endpoint Protection

1 No console do Symantec Endpoint Protection Manager, na guia Políticas,
abra uma política de proteção contra vírus e spyware.
2 Em Tecnologias de proteção, selecione Driver do início antecipado do
antimalware.
Protection
3 Marque ou desmarque Ativar início antecipado do antimalware.

O driver Windows ELAM deve estar ativado para que esta opção seja ativada.
Você usa o editor de políticas de grupo do Windows para exibir e modificar
as configurações do Windows ELAM. Consulte sua documentação do Windows
8 para obter mais informações.
4 Se você quiser registrar em log apenas as detecções, em Configurações de
detecção, selecione Registrar em log a detecção como desconhecida para
que o Windows permita o carregamento do driver.
5 Clique em OK.
Consulte “Para gerenciar detecções do início antecipado do antimalware (ELAM,
Early launch anti-malware)” na página 400.
Consulte “Para solucionar problemas do computador com a ferramenta de suporte
do Symantec Endpoint Protection” na página 819.
Protection
Capítulo 17
Para personalizar
verificações
■ Para personalizar as verificações de vírus e spyware executadas em

■ Para personalizar as verificações de vírus e spyware executadas em

computadores Mac
■ Para personalizar o Auto-Protect para clientes Windows
■ Para personalizar o Auto-Protect para clientes Mac
■ Para personalizar o Auto-Protect para verificações de e-mail em computadores

Windows
■ Para personalizar verificações definidas pelo administrador para clientes

executados em computadores Windows
■ Para personalizar verificações definidas pelo administrador para clientes que

são executados em computadores Mac
■ Como escolher verificações aleatoriamente para melhorar o desempenho do

computador em ambientes virtualizados
■ Para modificar configurações de verificação global para clientes Windows
■ Modificação de configurações variadas para Proteção contra vírus e spyware

em computadores Windows
■ Personalização de configurações do Download Insight
■ Para mudar a ação do Symantec Endpoint Protection quando fizer uma detecção
406 Para personalizar verificações
Para personalizar as verificações de vírus e spyware executadas em computadores Windows
■ Para permitir que usuários exibam o andamento das verificações e interajam

com elas
■ Como o Symantec Endpoint Protection interage com a Central de Segurança

do Windows
Para personalizar as verificações de vírus e spyware

executadas em computadores Windows
Você pode personalizar opções para as verificações definidas pelo administrador
(verificações agendadas e sob demanda) que são executadas em computadores
Windows. Você também pode personalizar opções para o Auto-Protect.
Tabela 17-1 Personalização de verificações de vírus e spyware em computadores

Windows
Tarefa Descrição
Personalizar configurações do Você pode personalizar o Auto-Protect de várias maneiras, incluindo as

Auto-Protect seguintes configurações:
■ Os tipos de arquivos que o Auto-Protect verifica

■ As ações que o Auto-Protect executará quando fizer uma detecção
■ As notificações do usuário para detecções do Auto-Protect
Você também pode ativar ou desativar a caixa de diálogo Resultados da

verificação para verificações de Auto-Protect do sistema de arquivos.
Consulte “Para personalizar o Auto-Protect para clientes Windows”

na página 408.
Consulte “Para personalizar o Auto-Protect para verificações de e-mail em

Personalizar verificações definidas pelo Você pode personalizar os seguintes tipos de opções para verificações
administrador agendadas e sob demanda.
■ Arquivos compactados
■ Opções de ajuste
■ Pesquisa do Insight
■ Opções avançadas de agendamento
■ Notificações do usuário sobre detecções

Você também pode personalizar ações de verificação.

Para personalizar verificações 407
Para personalizar as verificações de vírus e spyware executadas em computadores Mac
Tarefa Descrição
Ajustar as configurações de ELAM Convém ativar ou desativar a detecção do início antecipado do antimalware
(ELAM, Early launch anti-malware) do Symantec Endpoint Protection se
você acreditar que o ELAM está afetando o desempenho de seu computador.
Convém também sobrepor a configuração padrão da detecção se você obtiver
muitas detecções de falsos positivos do ELAM.
Consulte “Para gerenciar detecções do início antecipado do antimalware

(ELAM, Early launch anti-malware)” na página 400.
Ajustar configurações do Download Convém ajustar a sensibilidade para arquivos maliciosos para aumentar
Insight ou diminuir o número de detecções. Você também pode modificar ações
para detecções e notificações do usuário para detecções.
Consulte “Personalização de configurações do Download Insight”

na página 420.
Personalizar ações de verificação Você pode mudar a ação que o Symantec Endpoint Protection executa
quando faz uma detecção.
Consulte “Para mudar a ação do Symantec Endpoint Protection quando

fizer uma detecção” na página 421.
Personalizar configurações de Convém personalizar as configurações da verificação global para aumentar

verificação global ou diminuir a proteção em seu computador-cliente.
Consulte “Para modificar configurações de verificação global para clientes

Personalizar opções diversas de Você pode especificar os tipos de eventos de risco que os clientes enviam
proteção contra vírus e spyware para o Symantec Endpoint Protection Manager. Você também pode ajustar
como o Symantec Endpoint Protection interage com a Central de Segurança
do Windows.
Consulte “Modificação de configurações variadas para Proteção contra

vírus e spyware em computadores Windows” na página 417.
Consulte “Como o Symantec Endpoint Protection interage com a Central

de Segurança do Windows” na página 425.
Para personalizar as verificações de vírus e spyware

executadas em computadores Mac
Você pode personalizar opções para as verificações definidas pelo administrador
(verificações agendadas e sob demanda) que são executadas em computadores
Mac. Você também pode personalizar opções para o Auto-Protect.
Para personalizar o Auto-Protect para clientes Windows
Tabela 17-2 Para personalizar as verificações de vírus e spyware executadas em

computadores Mac
Tarefa Descrição
Personalizar Auto-Protect Você pode personalizar configurações de Auto-Protect

para clientes executados em computadores Mac.
Consulte “Para personalizar o Auto-Protect para clientes

Personalizar verificações Você pode personalizar configurações e notificações

definidas pelo administrador comuns assim como verificar a prioridade.
Você também poderá ativar ou desativar um aviso para

alertar o usuário quando as definições estiverem
desatualizadas.
Consulte “Para personalizar verificações definidas pelo

administrador para clientes que são executados em
Para personalizar o Auto-Protect para clientes

Windows
Convém personalizar as configurações do Auto-Protect para clientes Windows.
Para configurar o Auto-Protect para clientes Windows
2 Em Configurações Windows, em Tecnologia de proteção, clique em
Auto-Protect.
3 Na guia Detalhes da verificação, marque ou desmarque Ativar o
Auto-Protect.
Nota: Se você desativar o Auto-Protect, o Download Insight não funcionará

mesmo se estiver ativado.
4 Em Verificação, em Tipos de arquivos, selecione uma destas opções:

■ Verificar todos os arquivos
Para personalizar o Auto-Protect para clientes Windows
Esta opção é padrão e é a opção mais segura.

■ Verificar apenas extensões selecionadas
É possível melhorar o desempenho da verificação selecionando esta opção;
porém, você poderá diminuir a proteção em seu computador.
5 Em Opções adicionais, marque ou desmarque Verificar riscos à segurança.

6 Clique em Verificação e monitoramento avançados para mudar as opções
das ações que acionam verificações do Auto-Protect e como o Auto-Protect
controla verificações de disquetes.
7 Clique em OK.
8 Em Configurações de rede, marque ou desmarque Verificar arquivos em
computadores remotos para ativar ou desativar verificações do Auto-Protect
de arquivos de rede.
Por padrão, o Auto-Protect verifica arquivos nos computadores remotos
apenas quando os arquivos são executados.
Convém desativar a verificação da rede para melhorar a verificação e o
desempenho de computador.
9 Quando as verificações de arquivos em computadores remotos estiverem
ativadas, clique em Configurações de rede para modificar opções de
verificação de rede.
10 Na caixa de diálogo Configurações de rede, proceda de uma das seguintes
maneiras:
■ Ative ou desative o Auto-Protect para confiar em arquivos nos
computadores remotos que executam o Auto-Protect.
■ Configure as opções de cache da rede para as verificações do Auto-Protect.
11 Clique em OK.
12 Na guia Ações, selecione qualquer uma das seguintes opções.
Você também pode definir opções de correção para o Auto-Protect.
13 Na guia Notificações, defina qualquer uma das opções de notificação.
Consulte “Para gerenciar as notificações de vírus e spyware que aparecem
nos computadores-cliente” na página 396.
14 Na guia Avançado, defina qualquer uma destas opções:
■ Inicialização e desligamento
Para personalizar o Auto-Protect para clientes Mac
■ Opções de recarga
15 Em Opções adicionais, clique em Cache do arquivo ou em Rastreador de

riscos.
16 Configure o cache do arquivo ou as configurações do rastreador de riscos e
clique em OK.

Convém personalizar as configurações do Auto-Protect para clientes executados
em computadores Mac.
2 Em Configurações do Mac, em Tecnologia de proteção, clique em
Auto-Protect do sistema de arquivos.
3 Na parte superior da guia Detalhes da verificação, clique no ícone de bloqueio
para bloquear ou desbloquear todas as configurações.
4 Selecione ou desmarque qualquer uma das seguintes opções:
■ Ativar o Auto-Protect do sistema de arquivos
■ Reparar automaticamente arquivos infectados
■ Colocar em quarentena os arquivos que não puderem ser reparados
■ Verificar arquivos compactados
Para personalizar o Auto-Protect para verificações de e-mail em computadores Windows
5 Em Detalhes gerais da verificação especifique os arquivos que o Auto-Protect

verifica.
Nota: Para excluir arquivos da verificação, é necessário selecionar Verificar

em todos os locais, exceto nas pastas especificadas e adicionar uma Política
de exceções para especificar os arquivos a serem excluídos.
6 Em Detalhes da verificação de discos montados, selecione ou desmarque

algumas das opções disponíveis.
7 Na guia Notificações, defina algumas das opções de notificação e clique em
OK.
Para personalizar o Auto-Protect para verificações

de e-mail em computadores Windows
Você pode personalizar o Auto-Protect para verificações de e-mail em
computadores Windows.
Para personalizar o Auto-Protect para verificações de e-mail em computadores
Windows
2 Em Configurações Windows, clique em uma das seguintes opções:
■ Auto-Protect para e-mail da Internet
■ Microsoft Outlook Auto-Protect
■ Auto-Protect do Lotus Notes
3 Na guia Detalhes da verificação, marque ou desmarque Ativar o Auto-Protect

para e-mail da Internet.
4 Em Verificação, em Tipos de arquivos, selecione uma destas opções:
■ Verificar todos os arquivos
Esta a opção é padrão e a mais segura.
■ Verificar apenas extensões selecionadas
Para personalizar verificações definidas pelo administrador para clientes executados em computadores Windows
É possível melhorar o desempenho da verificação selecionando esta opção;

porém, você poderá diminuir a proteção em seu computador.
5 Marque ou desmarque Verificarosarquivosdentrodearquivoscompactados.

6 Na guia Ações, selecione qualquer uma das seguintes opções.
7 Na guia Notificações, em Notificações, marque ou desmarque Exibir uma
mensagem de notificação no computador infectado. A mensagem também
pode ser personalizada.
8 Em Notificações de e-mail, marque ou desmarque qualquer uma das seguintes
opções:
■ Inserir um aviso na mensagem de e-mail
■ Enviar e-mail ao remetente
■ Enviar e-mail a outros
Você pode personalizar a mensagem de texto e incluir um aviso. Para o
Auto-Protect para e-mail da Internet, você também deve especificar o servidor
de e-mail.
9 Para o Auto-Protect para e-mail da Internet apenas, na guia Avançado, em
Conexões criptografadas, ative ou desative conexões criptografadas de POP3
ou de SMTP.
10 Em Heurística de worms de e-mail em massa, marque ou desmarque
Heurística de worms enviados.
Para personalizar verificações definidas pelo

administrador para clientes executados em
Convém personalizar verificações sob demanda ou agendadas para os clientes
executados em computadores Windows. Você pode definir opções para verificações
de arquivos compactados e otimizar a verificação para o desempenho da verificação
ou do computador.
Para personalizar verificações definidas pelo administrador para clientes executados em computadores Windows

Para personalizar uma verificação definida pelo administrador para clientes
executados em computadores Windows
2 Em Configurações Windows, clique em Verificações definidas pelo
administrador.
■ Em Verificações agendadas, selecione a verificação agendada que deseja
personalizar ou crie uma nova verificação agendada.
■ Em Verificação sob demanda do administrador, clique em Editar.
4 Na guia Detalhes da verificação, selecione Opções avançadas de verificação.

5 Na guia Arquivos compactados, é possível reduzir o número de níveis para
verificar arquivos compactados. Se você reduzir o número de níveis, será
possível melhorar o desempenho do computador-cliente.
6 Na guia Ajuste, mude o nível de ajuste para o melhor desempenho do
computador-cliente ou da verificação.
7 Clique em OK.
8 Na guia Pesquisa do Insight, mude algumas configurações para ajustar como
a Pesquisa do Insight lida com detecções de reputação. As configurações são
semelhantes às configurações do Download Insight.
9 Somente para as verificações agendadas, na guia Agendamento, defina
qualquer uma das seguintes opções:
■ Duração da verificação
Você pode definir quanto tempo a verificação será executada antes que
pause e aguarde até que o computador-cliente esteja ocioso. Você também
pode escolher aleatoriamente a hora de início da verificação.
■ Verificações agendadas perdidas
Você pode especificar um intervalo de repetição para verificações perdidas.
10 Na guia Ações, mude qualquer uma das ações de detecção.

Para personalizar verificações definidas pelo administrador para clientes que são executados em computadores Mac
11 Na guia Notificações, ative ou desative uma notificação que aparecerá em

computadores-cliente quando a verificação fizer uma detecção.
Consulte “Para gerenciar as notificações de vírus e spyware que aparecem
nos computadores-cliente” na página 396.
12 Clique em OK.
Para personalizar verificações definidas pelo

administrador para clientes que são executados em
computadores Mac
Você personaliza verificações agendadas e sob demanda separadamente. Algumas
das opções são diferentes.
Para personalizar uma verificação agendada que é executada em computadores
Mac
2 Em Configurações do Mac, selecione Verificações definidas pelo
administrador.
3 Em Verificações agendadas, selecione a verificação agendada que deseja
personalizar ou crie uma nova verificação agendada.
4 Na guia Detalhes da verificação, em Verificar unidades e pastas, selecione
os itens que deseja verificar.
5 Defina a prioridade da verificação.
6 Clique em OK.
Editar os detalhes da verificação para qualquer outra verificação incluída
nesta política.
Como escolher verificações aleatoriamente para melhorar o desempenho do computador em ambientes virtualizados
7 Na guia Notificações, ative ou desative mensagens de notificação sobre

detecções de verificação. A configuração se aplica a todas as verificações
agendadas que você inclui nesta política.
8 Na guia Configurações comuns, defina qualquer uma destas opções:
■ Opções de verificação
■ Ações
■ Alertas
Estas opções se aplicam a todas as verificações agendadas que você inclui
nesta política.
9 Clique em OK.
Para personalizar verificações sob demanda executadas em computadores Mac
1 Na página da Política de proteção contra vírus e spyware, em Configurações
do Mac, selecione Verificações definidas pelo administrador.
2 Em Verificação sob demanda do administrador, clique em Editar.
3 Na guia Detalhes da verificação, em Verificar unidades e pastas, selecione
os itens que deseja verificar.
Você também pode especificar ações para detecções de verificação e ativar
ou desativar verificações dos arquivos compactados.
4 Na guia Notificações, ative ou desative notificações para detecções. Você
também pode especificar a mensagem que aparece.
5 Clique em OK.
Como escolher verificações aleatoriamente para

melhorar o desempenho do computador em
ambientes virtualizados
Você pode optar por escolher aleatoriamente as verificações agendadas para
melhorar o desempenho em computadores-cliente Windows. A escolha aleatória
é importante em ambientes virtualizados.
Por exemplo, é possível agendar as verificações para que sejam executadas às
20:00. Se você selecionar um intervalo de tempo de quatro horas, as verificações
em computadores-cliente iniciarão em uma hora escolhida aleatoriamente entre
20:00 e 24:00.
Para modificar configurações de verificação global para clientes Windows

Para escolher verificações aleatoriamente para melhorar o desempenho do
computador em ambientes virtualizados
Verificações definidas pelo administrador.
2 Crie uma nova verificação agendada ou selecione uma verificação agendada
existente para editar.
3 Na caixa de diálogo Adicionar verificação agendada ou Editar uma
verificação agendada, clique na guia de Agendamento.
4 Em Agendamento de verificação, selecione com que frequência a verificação
deve ser executada.
5 Em Duração da verificação, selecione Verificar até e selecione o número de
horas. O número de horas controla o intervalo de tempo durante o qual as
verificações são escolhidas aleatoriamente.
6 Certifique-se de ativar Escolher aleatoriamente o horário de início da
verificação dentro deste período (recomendado em máquinas virtuais)
7 Clique em OK.
8 Certifique-se de aplicar a política ao grupo que inclui os computadores que
executam máquinas virtuais.
Para modificar configurações de verificação global

para clientes Windows
Você pode personalizar configurações globais para verificações executadas em
computadores-cliente Windows. Convém modificar essas opções para aumentar
a segurança em seus computadores-cliente.
Nota: Se aumentar a proteção em seus computadores-cliente modificando essas

opções, você poderá afetar o desempenho do computador-cliente.

Modificação de configurações variadas para Proteção contra vírus e spyware em computadores Windows
Para modificar configurações da verificação global para clientes Windows

2 Em Configurações Windows, clique em Opções de verificação global.
3 Configurar qualquer uma destas opções:
Insight O Insight permite que as verificações ignorem

arquivos válidos confiáveis. A verificação pode
ignorar os arquivos que a Symantec garante como
válidos (mais seguros) ou que a comunidade
garante como válidos (menos seguros).
Bloodhound O Bloodhound isola e localiza as regiões lógicas

de um arquivo para detectar um percentual alto
de vírus desconhecidos. O Bloodhound analisa
então a lógica do programa quanto a
comportamentos típicos de vírus. Você pode
especificar o nível de sensibilidade para a
detecção.
Senha para unidades de rede Especifica se os clientes solicitarão ou não uma

mapeadas senha aos usuários quando verificarem unidades
de rede.
4 Clique em OK.
Modificação de configurações variadas para Proteção

contra vírus e spyware em computadores Windows
Cada Política de proteção contra vírus e spyware inclui as opções que se aplicam
a todas as verificações de vírus e spyware que são executadas em
computadores-cliente Windows.
Consulte “Como o Symantec Endpoint Protection interage com a Central de
Segurança do Windows” na página 425.
Central de Segurança do Windows Você pode especificar como a Central de

Segurança do Windows funcionará com o
Proteção do navegador da Internet Você pode especificar um URL padrão que o

Symantec Endpoint Protection usa quando repara
um risco à segurança que alterou uma home page
do navegador.
Eventos de log de riscos Clientes, por padrão, sempre enviam

determinados tipos de eventos para o servidor de
gerenciamento (como Verificação interrompida
ou Verificação iniciada ). Você pode optar por
enviar ou não outros tipos de eventos (como
Arquivo não verificado ).
Os eventos enviados por clientes para o servidor

de gerenciamento afetam as informações em
relatórios e logs. Você deve decidir quais tipos de
eventos deseja encaminhar para o servidor de
gerenciamento. Você pode reduzir o tamanho dos
logs e a quantidade de informações incluída em
relatórios, caso selecione apenas determinados
tipos de eventos.
Você também pode configurar por quanto tempo

o cliente irá manter os itens de log. Essa opção
não afeta nenhum evento que os clientes enviam
para o console de gerenciamento. Você pode usar
a opção para reduzir o tamanho real do log nos
Você também pode especificar com que frequência

os computadores-cliente enviam eventos
agregados ao servidor de gerenciamento.
Notificações variadas É possível configurar estas notificações:
■ Avisar os usuários quando as definições

estiverem desatualizadas ou ausentes
Você poderá exibir e personalizar as
mensagens de aviso que serão exibidas nos
computadores-cliente quando as definições de
vírus e riscos à segurança estiverem
desatualizadas ou ausentes. Convém alertar
os usuários se não tiver agendado atualizações
automáticas.
■ Incluir um URL nas mensagens de erro que
aparecem durante verificações
Em casos raros, os usuários poderão ver erros
aparecendo em seu computador-cliente
durante verificações. Por exemplo, o
computador-cliente poderá deparar-se com
buffer excedido ou problemas de
descompactação.
Você pode especificar um URL que conduza
ao site de suporte da Symantec ou a um URL
personalizado. Por exemplo, você pode ter um
site interno que deseje especificar.
Nota: O URL também é exibido no log de
eventos do sistema para o cliente no qual o
erro ocorreu.
Exceções da imagem virtual Você pode exclui imagens virtuais do Auto-Protect

ou das verificações definidas pelo administrador.
Você deve criar as imagens da linha de base que
deseja excluir com a ferramenta de exclusão de
imagem virtual.
Para modificar configurações variadas para Proteção contra vírus e spyware

2 Em Configurações do Windows, clique em Miscelânea.
Especifique opções para a Central de Segurança do Windows ou a Proteção
do navegador da Internet.
3 Na guia Manuseio de logs, defina as opções para a filtragem de eventos,
retenção e agregação de logs.
4 Na guia Notificações, configure notificações globais.
Personalização de configurações do Download Insight
5 Na guia Imagens virtuais, configure exceções da imagem virtual.

6 Clique em OK.
Personalização de configurações do Download Insight

Convém personalizar as configurações do Download Insight para diminuir as
detecções de falso positivo em computadores-cliente. Você pode alterar a
sensibilidade do Download Insight para os dados de reputação do arquivo usados
para caracterizar arquivos maliciosos. Você também poderá alterar as notificações
que o Download Insight exibirá nos computadores-cliente quando fizer uma
detecção.
Para personalizar as configurações do Download Insight
1 No console, abra uma política de proteção contra vírus e spyware e selecione
Proteção de download.
2 Na guia Download Insight, certifique-se de selecionar Ativar o Download
Insight para detectar possíveis riscos em arquivos obtidos por download
com base na reputação do arquivo.
Se o Auto-Protect estiver desativado, o Download Insight não funcionará
mesmo ativado.
3 Mova o regulador da sensibilidade de arquivos maliciosos ao nível apropriado.
Se você definir o nível mais alto, o Download Insight detectará mais arquivos
como maliciosos e menos arquivos como não comprovados. Configurações
mais altas, porém, retornam mais falsos positivos.
4 Marque ou desmarque as seguintes opções para usar como critérios adicionais
para examinar arquivos não comprovados:
■ Arquivos com menos de x usuários
■ Arquivos conhecidos pelos usuários há menos de x dias
Quando os arquivos não comprovados atenderem a esses critérios, o Download
Insight detectará os arquivos como maliciosos.
5 Certifique-se de que a opção Confiar automaticamente em qualquer arquivo
transferido por download de um site da intranet esteja selecionada.
6 Na guia Ações, em Arquivos maliciosos especifique uma primeira ação e
uma segunda ação.
Para mudar a ação do Symantec Endpoint Protection quando fizer uma detecção
7 Em Arquivos não comprovados, especifique a ação.

8 Na guia Notificações, é possível especificar se uma mensagem deverá ser
exibida nos computadores-cliente quando o Download Insight fizer uma
detecção.
Você também pode personalizar o texto de um mensagem de aviso que
aparecerá quando um usuário permitir um arquivo que o Download Insight
detectar.
9 Clique em OK.
Para mudar a ação do Symantec Endpoint Protection

quando fizer uma detecção
Você pode configurar a ação ou as ações que as verificações praticarão quando
fizerem uma detecção. Cada verificação tem seu próprio conjunto de ações, tais
como Limpar, Colocar em quarentena, Excluir ou Ignorar (log apenas).
Em clientes Windows, cada categoria de detecção pode ser configurada com uma
primeira e uma segunda ação no caso de a primeira ação não ser possível.
Consulte “Para verificar a ação de verificação e para verificar novamente
computadores identificados” na página 345.
Por padrão, o Symantec Endpoint Protection tenta limpar um arquivo infectado
por vírus. Se o Symantec Endpoint Protection não puder limpar um arquivo, ele
executará as seguintes ações:
■ Move o arquivo para a quarentena no computador infectado e nega qualquer
acesso ao arquivo.
■ Registra o evento.
Por padrão, o Symantec Endpoint Protection move qualquer arquivo infectado
por riscos à segurança para a quarentena.
Para mudar a ação do Symantec Endpoint Protection quando fizer uma detecção
Se você configurar a ação para fazer registro em log apenas, por padrão se os
usuários criarem ou salvarem arquivos infectados, o Symantec Endpoint Protection
os excluirá.
Em computadores Windows, você também pode configurar ações de correção para
verificações do administrador, sob demanda e do Auto-Protect do sistema de
arquivos.
Você pode bloquear ações para que usuários não possam alterar a ação em
computadores-cliente que usem essa política.
Aviso: Para os riscos à segurança, use a ação de exclusão com cuidado. Em alguns
casos, excluir riscos à segurança pode prejudicar a funcionalidade dos aplicativos.
Se você configurar o cliente para excluir os arquivos afetados pelo risco à
segurança, ele não poderá restaurá-los.
Para fazer backup dos arquivos afetados pelos riscos à segurança, use a ação
Colocar em quarentena.
Para alterar a ação que o Symantec Endpoint Protection executará quando fizer
uma detecção em computadores Windows
1 No console, abra uma política de Proteção contra vírus e spyware e selecione
a verificação (qualquer verificação do Auto-Protect, do administrador ou sob
demanda).
2 Na guia Ações, em Detecção, selecione um tipo de malware ou risco à
segurança.
Por padrão, cada subcategoria é configurada automaticamente para usar as
ações definidas para a categoria inteira.
Nota: As categorias mudam dinamicamente com o passar do tempo, enquanto

a Symantec obtém novas informações sobre riscos.
3 Para configurar ações para uma subcategoria apenas, execute uma das
seguintes ações:
■ Marque Sobrepor ações configuradas para malware e defina em seguida
as ações para essa subcategoria apenas.
Nota: Pode haver uma única subcategoria sob uma categoria, dependendo
de como a Symantec classifica riscos atualmente. Por exemplo, em
Malware, pode haver uma única subcategoria chamada Vírus.
Para permitir que usuários exibam o andamento das verificações e interajam com elas
■ Selecione Sobrepor ações configuradas para riscos à segurança e defina

as ações para essa subcategoria apenas.
4 Em Ações para, selecione a primeira e a segunda ações que o software-cliente

executa ao detectar essa categoria de vírus ou risco à segurança.
Para os riscos à segurança, use a ação de exclusão com cuidado. Em alguns
casos, excluir riscos à segurança pode prejudicar a funcionalidade dos
aplicativos.
5 Repita essas etapas para cada categoria para a qual você deseja definir ações
(vírus e riscos à segurança).
6 Quando terminar de configurar essa política, clique em OK.
Para especificar a ação que o Symantec Endpoint Protection executará quando
fizer uma detecção em computadores Mac
1 Na Política de proteção contra vírus e spyware, em Configurações do Mac,
selecione Verificações definidas pelo administrador.
■ Para verificações agendadas, selecione a guia Configurações comuns.
■ Para verificações sob demanda, na guia Verificações, em Verificação sob
demanda do administrador, clique em Editar.
3 Em Ações, marque qualquer uma das seguintes opções:

■ Reparar automaticamente arquivos infectados
■ Colocar em quarentena os arquivos que não puderem ser reparados
4 Para verificações sob demanda, clique em OK.

5 Quando terminar de configurar essa política, clique em OK.
Para permitir que usuários exibam o andamento das

verificações e interajam com elas
Você pode configurar se a caixa de diálogo andamento da verificação será ou não
exibida em computadores-cliente. Se você permitir que a caixa de diálogo seja
exibida em computadores-cliente, os usuários sempre terão permissão para pausar
ou atrasar uma verificação definida pelo administrador.
Quando você permitir que usuários exibam o andamento da verificação, um link
aparecerá nas páginas principais da interface do usuário do cliente para exibir o
andamento da verificação da verificação atualmente em execução. Um link para
reprogramar a próxima verificação agendada aparece também.
Para permitir que usuários exibam o andamento das verificações e interajam com elas
Quando você permitir que os usuários exibam o andamento da verificação, as

seguintes opções aparecerão nas páginas principais da interface do usuário do
cliente:
■ Quando uma verificação for executada, o link da mensagem Verificação em
andamento aparecerá.
O usuário pode clicar no link para exibir o andamento da verificação.
■ Um link para reprogramar a próxima verificação agendada aparece também.
Você pode permitir que os usuários interrompam uma verificação por completo.
Você pode também configurar as opções para o usuário pausar ou atrasar as
verificações.
Você pode permitir que o usuário execute as seguintes ações de verificação:
Pausar Quando o usuário pausa uma verificação, a caixa de diálogo Resultados

da verificação permanece aberta, aguardando que ele continue ou
anule a verificação. Se o computador for desligado, a verificação
pausada não continuará.
Pausar Ao adiar uma verificação agendada, o usuário tem a opção de adiá-la

intermitentemente por uma hora ou três horas. O número de adiamentos é configurável.
Quando uma verificação é pausada intermitentemente, a caixa de
diálogo Resultados da verificação é fechada. Ela reaparecerá quando
o período de pausa intermitente se encerrar e a verificação for
reiniciada.
Interromper Quando o usuário interrompe a verificação, ela, em geral, para

imediatamente. Se o usuário interromper a verificação enquanto o
software-cliente verifica um arquivo compactado, a verificação não
será interrompida imediatamente. Nesse caso, a verificação para assim
que o arquivo compactado é verificado. As verificações interrompidas
não são reiniciadas.
As verificações pausadas são reiniciadas automaticamente após um período

predeterminado.
Clique em Ajuda para obter mais informações sobre as opções usadas nesse
procedimento.
Como o Symantec Endpoint Protection interage com a Central de Segurança do Windows
Para permitir que usuários exibam o andamento das verificações e interajam com
elas
Verificações definidas pelo administrador.
2 Na guia Avançado, em Opções de andamento da verificação, selecione
Mostrar andamento da verificação ou Mostrar andamento da verificação
se houver um risco detectado.
3 Para fechar automaticamente o indicador de andamento quando a verificação
for concluída, selecione Fechar a janela de andamento da verificação após
a conclusão.
4 Selecione Permitir que o usuário interrompa a verificação.
5 Clique em Opções de pausa.
6 Na caixa de diálogo Opções de pausa de verificação, proceda de uma das
seguintes maneiras:
■ Para limitar o tempo para a pausa de uma verificação, marque Limitar o
tempo de pausa da verificação e digite um número de minutos. A faixa é
de 3 a 180.
■ Para limitar o número de vezes que o usuário pode atrasar (ou pausar
intermitentemente) uma verificação, na caixa Número máximo de
suspensões, digite um número entre 1 e 8.
■ Por padrão, um usuário pode atrasar a verificação por uma hora. Para
alterar esse limite para 3 horas, marque Permitir que os usuários
suspendam a verificação por 3 horas.
7 Clique em OK.
Como o Symantec Endpoint Protection interage com

a Central de Segurança do Windows
A Central de Segurança do Windows fornecerá alertas em seu computador-cliente
se algum software de segurança estiver desatualizado ou se as configurações de
segurança precisarem ser reforçadas. São incluídos no Windows XP Service Pack
2 ou superior e no Windows Vista. Você pode usar Política de proteção contra
vírus e spyware para definir as configurações da Central de Segurança do Windows
em seus computadores-cliente que executam o Windows XP Service Pack 2 ou
Service Pack 3. As configurações não se aplicam aos clientes que executam o
Windows Vista.

executados em computadores Windows” na página 412.
Nota: As configurações não se aplicam à Central de Segurança no Windows 7 e

Windows 8.
Tabela 17-3 Opções para configurar como a Central de Segurança do Windows

funciona com o cliente
Opção Descrição Quando usar
Desativar a Central de Permite desativar permanente ou Desative a Central de Segurança do

Segurança do Windows temporariamente a Central de Segurança Windows permanentemente se você não
do Windows nos computadores-cliente quiser que seus usuários de cliente
recebam alertas de segurança que ele
Opções disponíveis:
fornece. Os usuários do cliente ainda
■ Nunca. A Central de Segurança do podem receber alertas do Symantec
Windows está sempre ativada no Endpoint Protection.
computador-cliente.
Ative a Central de Segurança do Windows
■ Uma vez. A Central de Segurança do
permanentemente se você quiser que os
Windows é desativada apenas uma vez.
usuários do cliente recebam alertas de
Se um usuário o ativar, não será
segurança que ele fornece. Você pode
desativado novamente.
configurar a Central de Segurança do
■ Sempre. A Central de Segurança do
Windows para exibir alertas do Symantec
Windows é desativada
permanentemente no
computador-cliente. Se um usuário o
ativar, será desativado imediatamente.
■ Restaurar. A Central de Segurança do
Windows será ativada caso tenha sido
previamente desativada pela política
de proteção contra vírus e spyware.
Exibir alertas de antivírus Permite definir que os alertas de antivírus Ative esta configuração se desejar que
na Central de Segurança do do cliente do Symantec Endpoint seus usuários recebam alertas do
Windows Protection apareçam na área de Symantec Endpoint Protection com outros
notificação do Windows. alertas de segurança na área de
notificação do Windows de seus
computadores.
Opção Descrição Quando usar
Exibir uma mensagem da Permite definir o número de dias depois Defina esta opção se deseja que a Central
Central de Segurança do dos quais a Central de Segurança do de Segurança do Windows notifique seus
Windows quando as Windows considera as definições usuários de cliente sobre definições
definições estiverem desatualizadas. Por padrão, a Central de desatualizados mais frequentemente do
desatualizadas Segurança do Windows envia esta que o tempo padrão (30 dias).
mensagem após 30 dias. Nota: Em computadores-cliente, o
Symantec Endpoint Protection verifica, a
cada 15 minutos, para comparar o tempo
de desatualização, a data das definições e
a data atual. Em geral, nenhum status de
desatualização é relatado à Central de
Segurança, pois as definições costumam
ser atualizadas automaticamente. Se você
atualizar as definições manualmente,
talvez precise aguardar até 15 minutos
para exibir um status exato na Central de
Segurança do Windows.
Capítulo 18
Para gerenciar o SONAR
■ Sobre o SONAR
■ Para gerenciar o SONAR
■ Como controlar e impedir as detecções de falsos positivos do SONAR
■ Para ajustar as configurações do SONAR em seus computadores-cliente
■ Monitoramento de resultados de detecção do SONAR para procurar falsos

positivos
■ Gerenciamento das verificações proativas de ameaças TruScan de clientes

legados
Sobre o SONAR
O SONAR é uma proteção em tempo real que detecta aplicativos potencialmente
maliciosos quando são executados em seus computadores. O SONAR fornece a
proteção do “dia zero” porque detecta ameaças antes que definições tradicionais
de detecção contra vírus e spyware sejam criadas para lidar com as ameaças.
O SONAR usa a heurística, assim como os dados de reputação, para detectar
ameaças emergentes e desconhecidas. O SONAR fornece um nível adicional de
proteção em seus computadores-cliente e complementa a proteção contra vírus
e spyware, a prevenção contra intrusões e a proteção de firewall existentes.
O SONAR usa um sistema de heurística que utiliza a rede online de inteligência
da Symantec com monitoração local proativa em seus computadores-cliente para
detectar ameaças emergentes. O SONAR detecta também mudanças ou
comportamento em seu computador-cliente que você deve monitorar.
430 Para gerenciar o SONAR
Sobre o SONAR
Nota: O Auto-Protect também utiliza um tipo de heurística denominado Bloodhound

para detectar comportamento suspeito nos arquivos.
O SONAR pode introduzir um código nos aplicativos que são executados no modo
de usuário do Windows para monitorá-los em busca de atividade suspeita. Em
alguns casos, a introdução pode afetar o desempenho do aplicativo ou causar
problemas na execução do aplicativo. Você pode criar uma exceção para excluir
o arquivo, a pasta ou o aplicativo deste tipo de monitoração.
Nota: O SONAR não introduz códigos em aplicativos em clientes do Symantec

Endpoint Protection 12.1 ou anteriores. Se você usar o Symantec Endpoint
Protection Manager 12.1.2 para gerenciar clientes, uma exceção de arquivo do
SONAR em uma política de exceções será ignorada em seus clientes legados. Se
você usar um Symantec Endpoint Protection Manager legado para gerenciar
clientes, a política legada não suportará exceções de arquivos do SONAR em seus
clientes do Symantec Endpoint Protection 12.1.2. No entanto, você pode impedir
a introdução de código do SONAR em aplicativos nestes clientes, criando uma
exceção de Aplicativo para monitoração na política legada. Depois que o cliente
aprender o aplicativo, você poderá configurar uma exceção do aplicativo na política.
Os clientes do Symantec Endpoint Protection versão 12.0 ou anterior não suportam

o SONAR; contudo, os clientes legados usam verificações de proteção proativa
contra ameaças TruScan para fornecer proteção contra ameaças de dia zero. As
verificações proativas contra ameaças TruScan são executadas periodicamente
em vez de em tempo real.
O SONAR não faz detecções no tipo do aplicativo, mas em como um processo se
comporta. O SONAR atuará em um aplicativo apenas se esse aplicativo se
comportar de modo malicioso, independentemente de seu tipo. Por exemplo, se
um Cavalo de Troia ou um keylogger não atuarem de modo malicioso, o SONAR
não o detectará.
O SONAR detecta os seguintes itens:
Ameaças heurísticas O SONAR usa a heurística para determinar se um arquivo

desconhecido se comporta de modo suspeito e pode ser de
alto ou de baixo risco. Usa também dados de reputação para
determinar se a ameaça é de alto ou de baixo risco.
Mudanças de sistema O SONAR detecta aplicativos ou os arquivos que tentam

modificar configurações do DNS ou um arquivo do host em
um computador-cliente.
Para gerenciar o SONAR 431
Aplicativos confiáveis que Alguns arquivos válidos confiáveis podem ser associados
apresentam mau ao comportamento suspeito. O SONAR detecta esses
comportamento arquivos como eventos de comportamento suspeito. Por
exemplo, um aplicativo conhecido de compartilhamento de
documentos pode criar arquivos executáveis.
Se você desativar o Auto-Protect, limitará a capacidade do SONAR de fazer

detecções de arquivos de alto e de baixo risco. Se você desativar as buscas do
Insight (consultas de reputação), você também limitará o recurso de detecção do
SONAR.
na página 574.

O SONAR faz parte da proteção proativa contra ameaças em seus
computadores-cliente. Você gerencia as configurações do SONAR como parte de
uma política de proteção contra vírus e spyware.
Defina configurações do SONAR para os clientes que executam o Symantec
Endpoint Protection versão 12.1. Configurações do SONAR também incluem
configurações de verificação proativa de ameaças de TruScan para clientes legados.
Muitas das configurações podem ser bloqueadas para que os usuários dos
computadores-cliente não possam alterá-las.
Tabela 18-1 Para gerenciar o SONAR
Tarefa Descrição
Saiba como o SONAR funciona Saiba como o SONAR detecta ameaças

desconhecidas. Informações sobre como o SONAR
funciona podem ajudá-lo a tomar decisões sobre
como usar o SONAR em sua rede de segurança.

Tarefa Descrição
Verificar se o SONAR está ativado Para fornecer a mais completa proteção para seu
computador-cliente, você deve ativar o SONAR.
O SONAR interopera com alguns outros recursos
do Symantec Endpoint Protection. O SONAR exige
o Auto-Protect.
Você pode usar a guia Clientes para verificar se a

proteção proativa contra ameaças está ativada
Nota: Os clientes legados não relatam o status da
proteção proativa contra ameaças ao Symantec
Consulte “Para ajustar as configurações do SONAR

em seus computadores-cliente” na página 438.
Verificar as configurações padrão do As configurações do SONAR fazem parte de uma

SONAR política de proteção contra vírus e spyware.
Consulte “Sobre as configurações padrão de

verificação da Política de proteção contra vírus e
Certifique-se de que as Pesquisas do O SONAR usa dados de reputação, além de

Insight estejam ativadas heurística, para fazer detecções. Se você desativar
as Pesquisas do Insight, o SONAR fará detecções
usando somente a heurística. A taxa de falsos
positivos poderá aumentar, e a proteção que o
SONAR fornece será limitada.
Ative ou desative as Pesquisas do Insight na caixa

de diálogo Envios.
Consulte “Ativação ou desativação de envios de

clientes para o Symantec Security Response”
na página 387.
Tarefa Descrição
Monitorar eventos do SONAR para Você pode usar o log do SONAR para monitorar
procurar detecções de falsos positivos eventos.
Você também pode exibir o relatório de resultados
de Detecção do SONAR (em Relatórios de risco)
para exibir informações sobre detecções.
Consulte “Monitoramento de resultados de

detecção do SONAR para procurar falsos
positivos” na página 440.
Consulte “Monitoração da proteção de endpoints”

na página 657.
Ajustar configurações do SONAR Você pode alterar a ação de detecção para alguns
tipos de ameaças que o SONAR detecta. Convém
mudar a ação de detecção para reduzir detecções
de falsos positivos.
Convém também ativar ou desativar notificações

para detecções heurísticas de alto ou baixo risco.

Consulte “Como controlar e impedir as detecções

de falsos positivos do SONAR” na página 436.
Tarefa Descrição
Impedir que o SONAR detecte os O SONAR pode detectar os arquivos ou aplicativos

aplicativos que você sabe que são que você deseja executar em seus
seguros computadores-cliente. É possível usar uma
política de exceções para especificar exceções para
arquivos, pastas ou aplicativos específicos que
você deseja permitir. Para os itens que o SONAR
coloca em quarentena, é possível criar uma
exceção para o item em quarentena do log do
SONAR.
Também recomenda-se definir as ações do SONAR

para registrar em log e permitir detecções. Você
pode usar a aprendizagem de aplicativo para que
o Symantec Endpoint Protection saiba quais são
os aplicativos legítimos em seu
computador-cliente. Depois que o Symantec
Endpoint Protection souber que aplicativos você
usa em sua rede, será possível mudar a ação do
SONAR para Quarentena.
Nota: Se você definir a ação para detecções de
alto risco como somente registrar em log, poderá
permitir possíveis ameaças em seu
computador-cliente.
Consulte “Como controlar e impedir as detecções

de falsos positivos do SONAR” na página 436.
Impeça que o SONAR examine alguns Em alguns casos, um aplicativo poderá tornar-se
aplicativos instável ou não poder ser executado quando o
SONAR introduzir um código no aplicativo para
examiná-lo. Você pode criar uma exceção de
arquivo, pasta ou aplicativo para o aplicativo.
Consulte “Criação de exceções para o Symantec

Tarefa Descrição
Gerenciar a maneira com que o SONAR Você pode usar as configurações de política do
detecta os aplicativos que fazem SONAR para ajustar globalmente a forma como
alterações no DNS ou no arquivo do o SONAR gerencia detecções de alterações de DNS
host ou de arquivo do host. Você pode usar a Política
de exceções para configurar exceções para
aplicativos específicos.

Consulte “Para criar uma exceção para um

aplicativo que faz mudanças no DNS ou em
arquivo do host” na página 587.
Gerenciar verificações proativas de Os clientes do Symantec Endpoint Protection

ameaças TruScan de clientes legados versão 12.0 ou mais recente não suportam o
SONAR; estes clientes usam as verificações de
proteção proativa contra ameaças TruScan. É
possível ajustar as configurações da verificação
proativa de ameaças TruScan para alterar as
ações, a sensibilidade e a frequência da
verificação. Convém ajustar as configurações para
controlar detecções de falsos positivos em seus
computadores-cliente legados.
Consulte “Sobre como ajustar as configurações

do TruScan para clientes legados” na página 442.
Consulte “Para definir as configurações da
verificação proativa contra ameaças TruScan para
clientes legados” na página 446.
Permitir que os clientes enviem A Symantec recomenda que você ative os envios
informações sobre as detecções do em seus computadores-cliente. As informações
SONAR à Symantec que os clientes enviam sobre as detecções ajudam
a Symantec a lidar com as ameaças. Essas
informações ajudam a Symantec a criar a melhor
heurística, o que resulta em menos detecções de
falsos positivos.
Consulte “Ativação ou desativação de envios de

clientes para o Symantec Security Response”
na página 387.
Como controlar e impedir as detecções de falsos positivos do SONAR
Como controlar e impedir as detecções de falsos

positivos do SONAR
O SONAR pode fazer detecções de falsos positivos para determinados aplicativos
personalizados internos. Além disso, se você desativar as Pesquisas do Insight, o
número de falsos positivos do SONAR aumentará.
Você pode mudar as configurações do SONAR para diminuir as detecções de falsos
positivos em geral. Você também poderá criar exceções para um arquivo ou
aplicativo específico que o SONAR detectar como um falso positivo.
Você pode também ajustar as configurações e criar exceções para as verificações
de proteção proativa contra ameaças TruScan, que são executadas em clientes do
Symantec Endpoint Protection versão 12.0 ou anterior.Consulte “Gerenciamento
das verificações proativas de ameaças TruScan de clientes legados” na página 441.
Aviso: Se você definir a ação para detecções de alto risco como apenas registrar
em log, poderá permitir possíveis ameaças em seu computador-cliente.
Como controlar e impedir as detecções de falsos positivos do SONAR
Tabela 18-2 Controle de falsos positivos do SONAR
Tarefa Descrição
Registrar em log as detecções Convém definir a ações de detecção para as

heurísticas de alto risco do SONAR e detecções heurísticas de alto risco como Log por
usar aprendizagem de aplicativo um curto período de tempo. Deixe a aprendizagem
de aplicativo em execução durante o mesmo
período de tempo. O Symantec Endpoint
Protection descobrirá os processos legítimos
executados em sua rede. Algumas detecções
verdadeiras podem não ser colocadas em
quarentena, porém.
Consulte “Configuração do servidor de

gerenciamento para recolher informações sobre
os aplicativos executados pelos
Após o período de tempo, é necessário definir a

ação de detecção de volta para Quarentena.
Nota: Se usar o modo agressivo para detecções
heurísticas de baixo risco, você aumentará a
probabilidade de detecções de falsos positivos. O
modo agressivo é desativado por padrão.

Para ajustar as configurações do SONAR em seus computadores-cliente
Tarefa Descrição
Criar exceções para que o SONAR Você pode criar exceções para o SONAR das
permita aplicativos seguros seguintes maneiras:
■ Usar o log do SONAR para criar uma exceção
para um aplicativo que foi detectado e
colocado em quarentena
Você pode criar uma exceção de log do SONAR
para detecções de falsos positivos. Se o item
for colocado em quarentena, ele será
restaurado pelo Symantec Endpoint Protection
depois de verificar novamente o item em
quarentena. Os itens em quarentena são
verificados novamente depois que o cliente
recebe as definições atualizadas.
Consulte “Para criar exceções de eventos de
log no Symantec Endpoint Protection
Consulte “Configuração de como a quarentena
controla a nova verificação dos arquivos
depois que as definições novas são recebidas”
na página 395.
■ Use a Política de exceções para especificar uma
exceção para um nome de arquivo, um nome
de pasta ou um aplicativo específico.
Você pode excluir uma pasta inteira da
detecção do SONAR. Convém excluir as pastas
onde seus aplicativos personalizados residem.
Consulte “Criação de exceções para o
Para ajustar as configurações do SONAR em seus

Convém alterar as ações do SONAR para reduzir a taxa de detecções de falsos
positivos. Também convém alterar as ações do SONAR para alterar o número de
notificações de detecção que aparecem em seus computadores-cliente.
Nota: As configurações das notificações do SONAR são usadas também para

notificações da verificação proativa contra ameaças TruScan.

1 Na política de proteção contra vírus e spyware, selecione SONAR.
2 Certifique-se de que Ativar o SONAR esteja selecionado.
3 Em Detalhes da verificação, altere as ações para ameaças heurísticas de alto
ou baixo risco.
Você pode ativar o modo agressivo para detecções de baixo risco. Essa
configuração aumenta a sensibilidade do SONAR para detecções de baixo
risco. Ela pode aumentar as detecções de falsos positivos.
4 Opcionalmente, altere as configurações para as notificações que aparecem
As configurações do SONAR também controlam notificações para verificações
proativas contra ameaças TruScan.
5 Em Eventos de alteração do sistema, altere a ação para Detectada alteração
de DNS ou Detectada alteração no arquivo host.
Nota: A ação Avisar pode resultar em muitas notificações em seus

computadores-cliente. Qualquer ação que não seja Ignorar pode resultar em
muitos eventos de log no console e notificações de e-mail aos administradores.
Aviso: Se você definir a ação para Bloquear, poderá bloquear aplicativos

importantes nos computadores-cliente.
Por exemplo, se você definir a ação Bloquear para Detectada alteração de
DNS, poderá bloquear clientes VPN. Se você definir a ação Bloquear para
Detectada alteração no arquivo host, poderá bloquear aplicativos que
precisam acessar o arquivo do host. Você pode usar DNS ou uma exceção de
mudança de arquivo no host para permitir que um aplicativo específico faça
mudanças no DNS ou em arquivos do host.
Consulte “Para criar uma exceção para um aplicativo que faz mudanças no
DNS ou em arquivo do host” na página 587.
6 Em Detecção de comportamento suspeito, altere a ação para detecções de
alto ou baixo risco.
7 Clique em OK.
Monitoramento de resultados de detecção do SONAR para procurar falsos positivos
Monitoramento de resultados de detecção do SONAR

para procurar falsos positivos
O cliente coleta e faz o upload de resultados de detecção do SONAR para o servidor
de gerenciamento. Os resultados são salvos no log do SONAR.
Para determinar quais processos são legítimos e quais resultam em riscos à
segurança, verifique as seguintes colunas no log:
Evento O tipo de evento e a ação que o cliente tomou no processo, tal como
a limpeza ou o registro em log dele. Procure pelos seguintes tipos
de evento:
■ Um processo legítimo possível é listado como um evento de Risco

em potencial encontrado.
■ Um risco à segurança provável é listado como um evento de Risco
à segurança encontrado.
Aplicativo O nome de processo.
Tipo de aplicativo O tipo de malware detectado pelo SONAR ou por uma verificação
proativa de ameaças TruScan.
Arquivo/caminho O nome do caminho de onde o processo foi iniciado.
A coluna Evento informa imediatamente se um processo detectado é um risco à

segurança ou um processo legítimo possível. Porém, um possível risco que é
encontrado pode ou não pode ser um processo legítimo, e um risco à segurança
que é encontrado pode ou não pode ser um processo malicioso. Portanto, você
precisa verificar o Tipo de aplicativo e as colunas Arquivo/caminho para obter
mais informações. Por exemplo, é possível reconhecer o nome do aplicativo de
um aplicativo legítimo desenvolvido por uma empresa de terceiros.
Os clientes legados não oferecem suporte ao SONAR. Porém, os clientes legados
coletam eventos semelhantes das verificações de proteção proativa TruScan e os
incluem no log do SONAR.
Para monitorar resultados da detecção do SONAR para verificar falsos positivos
1 No console, clique em Monitores> Logs.
2 Na guia Logs, na lista suspensa Tipo de log, clique em SONAR.
3 Selecione uma hora da caixa da lista de Intervalo de tempo mais próxima da
última vez que você fez alterações em uma configuração de verificação.
4 Clique em Configurações avançadas.
5 Na lista suspensa Tipo de evento, selecione um dos seguintes eventos de log:
Gerenciamento das verificações proativas de ameaças TruScan de clientes legados
■ Para exibir todos os processos detectados, certifique-se de que Todos

esteja selecionado.
■ Para exibir os processos que foram avaliados como riscos à segurança,
clique em Risco à segurança encontrado.
■ Para exibir os processos que foram avaliados e registrados como possíveis
riscos, clique em Risco em potencial encontrado.
6 Clique em Exibir log.

7 Após identificar os aplicativos legítimos e os riscos à segurança, crie uma
exceção para eles em uma política de exceções.
Você pode criar a exceção diretamente no painel Logs do SONAR.
Consulte “Para criar exceções de eventos de log no Symantec Endpoint Protection
Gerenciamento das verificações proativas de ameaças

TruScan de clientes legados
Você pode gerenciar as verificações proativas de ameaças TruScan usando duas
abordagens diferentes de implementação. Cada abordagem oferece as vantagens
relacionadas ao tamanho de sua rede, recursos de segurança e a carga de trabalho
que sua equipe de suporte técnico enfrenta.
Com qualquer abordagem, você precisa normalmente criar exceções para detecções
de falsos positivos.
Consulte “Sobre como ajustar as configurações do TruScan para clientes legados”
na página 442.
Consulte “Para definir as configurações da verificação proativa contra ameaças
TruScan para clientes legados” na página 446.
Tabela 18-3 Gerenciamento das verificações proativas de ameaças TruScan em

clientes legados
Tarefa Descrição
Usar as configurações padrão da As configurações padrão da Symantec fornecem

Symantec um alto nível de proteção e exigem um baixo nível
de gerenciamento. Quando você instalar o
Symantec Endpoint Protection Manager, use as
Usando os padrões da Symantec, o

software-cliente determinará a ação e o nível de
sensibilidade. O mecanismo de verificação
executado no computador-cliente coloca
automaticamente em quarentena os riscos à
segurança e registra em log possíveis riscos e
riscos desconhecidos.
Use as configurações padrão da Symantec durante

as primeiras duas a quatro semanas depois de
configurar o servidor de gerenciamento.
Ajuste as configurações padrão Após o período de adaptação inicial, durante o

manualmente. qual você se familiariza com a tecnologia, convém
ter mais controle. Se você usar esta abordagem,
você mesmo ajustará a ação de detecção e o nível
de sensibilidade.
Quando você desativar os padrões da Symantec,

você especificará uma única ação de resposta para
as detecções, mesmo que não sejam riscos. Por
exemplo, uma verificação pode colocar em
quarentena todos os processos detectados ou
registrar em log todos os processos detectados,
mas não faz ambos.
Sobre como ajustar as configurações do TruScan para clientes legados

Normalmente, é necessário usar padrões da Symantec para as verificações
proativas de ameaças do TruScan. Porém, na configuração de sua rede, convém
definir as configurações manualmente.
Tabela 18-4 Como definir as configurações do TruScan para clientes legados
Ação Como melhor prática, quando você iniciar o gerenciamento

das verificações, defina a ação como Log. Isto significa
que nem os riscos à segurança nem os processos legítimos
usam a ação que você deseja. Você deseja que as
verificações coloquem em quarentena ou encerrem os
riscos à segurança e ignorem os processos legítimos.
Crie exceções para qualquer detecção de falsos positivos.

As exceções definirão o processo e a ação a tomar quando
uma verificação detectar um processo especificado.
Sensibilidade
Quando você ajustar o nível de sensibilidade de Cavalos

de Troia e worms, defina-o como 10. Quando o nível de
sensibilidade for baixo, as verificações detectarão menos
processos do que com o nível de sensibilidade ajustado
como mais alto. A taxa de processos legítimos registrados
em log como possível risco é baixa. Após executar o nível
de sensibilidade como 10 por alguns dias e monitorar o
log de todos os aplicativos legítimos, é possível aumentar
o nível de sensibilidade para 20. Durante um período de
60 a 90 dias, é possível aumentar gradualmente o nível de
sensibilidade de 10 em 10 até 100. Para proteção máxima,
deixe o nível de sensibilidade em 100.
Usando esta abordagem de adaptação gradual, os usuários

nos computadores-cliente não são sobrecarregados com
notificações de detecção assim que você implementa o
cliente. Em vez disso, é possível atribuir o tempo para
monitorar o aumento nas notificações a cada nível.
Para keyloggers, inicie o nível de sensibilidade em Baixo.
À medida que você aumenta o nível de sensibilidade, mais

processos serão detectados, maliciosos e legítimos. O nível
de sensibilidade não afeta apreciavelmente a taxa de
processos legítimos registrados. Um nível de sensibilidade
mais alto significa que uma verificação sinaliza uma
quantidade maior de processos que são riscos à segurança
assim como processos legítimos. Mas a proporção de
processos maliciosos para legítimos permanece quase
constante, apesar do nível de sensibilidade. Além disso, o
nível de sensibilidade não indica o nível de certeza
associado a uma detecção. Por exemplo, uma verificação
pode detectar um processo no nível de sensibilidade 10 e
detectar outro processo no nível de sensibilidade 90. Mas
o nível de sensibilidade não significa que um processo
representa uma ameaça maior do que o outro.
Após mudar o nível de sensibilidade das verificações, use

o log do SONAR para determinar se o nível de sensibilidade
é muito baixo ou muito alto. Se o cliente relatar muitos
processos legítimos como riscos à segurança, convém
definir um nível de sensibilidade mais baixo. Você pode
aumentar o nível depois de criar exceções para os
processos legítimos.
Nota: Após ter adicionado todas as exceções a uma política
de exceções, é provável que todas as novas detecções sejam
riscos à segurança. Para ter mais segurança, é possível

mudar a ação da resposta para todos os processos de volta
para Quarentena ou Encerrar. Continue monitorando o
log do SONAR caso a verificação detecte aplicativos
legítimos novos e colocá-los em quarentena.
Frequência da verificação A frequência padrão para verificações é uma hora. Se o

desempenho dos computadores-cliente se tornar muito
lento, diminua a frequência da verificação.
Consulte “Gerenciamento das verificações proativas de ameaças TruScan de

Consulte “Para definir as configurações da verificação proativa contra ameaças
TruScan para clientes legados” na página 446.
Para definir as configurações da verificação proativa contra ameaças

TruScan para clientes legados
Os clientes legados não podem usar as configurações do SONAR. Em vez disso, os
clientes usam o TruScan para detectar ameaças desconhecidas.
Por padrão, as Verificações proativas contra ameaças TruScan detectam Cavalos
de Troia, worms e keyloggers. Também por padrão, a resposta e a sensibilidade
da detecção são determinadas pela Symantec. Por exemplo, um processo detectado
pode ser colocado em quarentena ou registrado em log. Se você optar por configurar
as ações manualmente, você definirá uma única ação para as detecções. Um
processo detectado seria sempre colocado em quarentena ou registrado em log,
dependendo da ação que você escolher.
Você também pode definir a ação para detecções de aplicativo comerciais.
Normalmente, você não deve modificar as configurações padrão.
Nota: Você controla as notificações do usuário para detecções do TruScan na guia

do SONAR Detalhes da verificação.
Para definir as configurações da verificação proativa contra ameaças TruScan para

clientes legados
1 Na política de proteção contra vírus e spyware, clique em SONAR.
2 Selecione Configurações de cliente legado do TruScan.
Por padrão, as configurações Detalhes da verificação, Detecção de aplicativos
comerciais e Frequência são ocultadas.
3 Clique no ícone de seta para expandir as configurações de Detalhes da
verificação.
4 Selecione ou desmarque Verificar Cavalos de Troia e worms e Verificar
keyloggers.
5 Para alterar as ações ou a sensibilidade de qualquer tipo de risco, desmarque
Usar os padrões definidos pela Symantec.
As notificações serão enviadas automaticamente se uma ação estiver definida
como Quarentena ou Encerrar. Use a ação Encerrar com cuidado. Em alguns
casos, você pode fazer com que os aplicativos percam a funcionalidade.
■ Mova o regulador de sensibilidade para a esquerda ou direita para diminuir
ou aumentar a sensibilidade, respectivamente.
■ Clique em Baixa ou Alta.
7 Clique no ícone de seta para expandir as configurações de Detecção de

aplicativos comerciais.
8 Defina a ação para keyloggers comerciais ou programas de controle remoto
comerciais.
9 Clique na seta para expandir as configurações de Frequência de verificação.
10 Defina uma das opções a seguir:
■ Na frequência de verificação padrão
O software de mecanismo de verificação determina a frequência da
verificação. Essa opção é a configuração padrão.
■ Em uma frequência de verificação personalizada
Se você ativar essa opção, poderá especificar se o cliente deve verificar
novos processos imediatamente quando detectá-los. Você também poderá
configurar o tempo de frequência da verificação.
11 Clique em OK.
Consulte “Gerenciamento das verificações proativas de ameaças TruScan de
Consulte “Sobre como ajustar as configurações do TruScan para clientes legados”

na página 442.
Capítulo 19
Para gerenciar a Proteção
contra adulterações
■ Sobre a proteção contra adulterações
■ Para alterar as configurações da Proteção contra adulterações
Sobre a proteção contra adulterações

A proteção contra adulterações garante proteção em tempo real aos aplicativos
da Symantec executados em servidores e clientes. Ela evita que os processos que
não sejam Symantec, como worms, Cavalos de Troia, vírus e riscos à segurança,
afetem os recursos da Symantec. Você pode configurar o software para bloquear
ou registrar tentativas de modificar os recursos da Symantec.
Nota: A proteção contra adulterações é executada nos clientes Windows apenas.

Ela não é executada em clientes Mac.
Por padrão, a Proteção contra adulterações é ativada e definida como Bloquear,

mas não registrar em log. Você poderá mudar a configuração para Somente
registrar em log ou Bloquear e registrar em log se quiser monitorar as detecções
para falsos positivos. A Proteção contra adulterações pode gerar muitas mensagens
de log, assim não convém registrar os eventos em log.
Se você usar verificadores de riscos à segurança de terceiros que detectam e
protegem contra adwares e spywares indesejáveis, esses verificadores geralmente
afetarão os recursos da Symantec. Se você definir a Proteção contra adulterações
para registrar em log eventos de adulteração quando você executar o verificador,
a Proteção contra adulterações vai gerar um grande número entradas de log. Se
450 Para gerenciar a Proteção contra adulterações
Para alterar as configurações da Proteção contra adulterações
você decidir registrar em log os eventos da Proteção contra adulterações, use a

filtragem de log para gerenciar o número de eventos.
Você também pode criar exceções para os aplicativos que a Proteção contra
adulterações detectar.
na página 450.
Consulte “Para criar uma exceção da Proteção contra adulterações” na página 586.
Para alterar as configurações da Proteção contra

adulterações
A Proteção contra adulterações garante proteção em tempo real aos aplicativos
da Symantec executados em servidores e clientes. Impede que as ameaças e os
riscos à segurança adulterem recursos da Symantec. Você pode ativar ou desativar
a Proteção contra adulterações. Você pode também configurar a ação que a
Proteção contra adulterações executará quando detectar uma tentativa de
adulteração nos recursos da Symantec em sua rede.
As configurações da proteção contra adulterações são configuradas globalmente
para um grupo selecionado.
Para alterar as configurações da proteção contra adulterações
2 Na guia Políticas, em Configurações, clique em Configurações gerais.
3 Na guia Proteção contra adulterações, marque ou desmarque Proteger o
software de segurança da Symantec contra adulterações ou desligamento.
4 Na caixa de listagem em Ações a serem tomadas se um aplicativo tentar
adulterar ou desligar o software de segurança da Symantec, selecione uma
das seguintes ações:
■ Somente registrar em log
■ Bloquear, mas não registrar em log
■ Bloquear e registrar em log
5 Clique no ícone para bloquear ou desbloquear estas opções nos

computadores-cliente. Quando bloquear uma opção, você impedirá que o
usuário altere a opção.
6 Clique em OK.
Consulte “Sobre a proteção contra adulterações” na página 449.
Capítulo 20
Para gerenciar a proteção
de firewall
■ Para gerenciar a proteção de firewall
■ Para criar uma política de firewall
■ Para gerenciar regras de firewall
■ Para configurar regras de firewall
Para gerenciar a proteção de firewall

O firewall permite o tráfego de entrada e de saída da rede que você especifica na
política de firewall. A política de firewall do Symantec Endpoint Protection contém
regras e configurações de proteção e a maior parte delas você pode ativar ou
desativar e configurar.
A Tabela 20-1 descreve maneiras de gerenciar a proteção de firewall. Todas estas
tarefas são opcionais.
Tabela 20-1 Gerenciar a proteção de firewall
Tarefa Descrição
Ler sobre a Antes de configurar sua proteção de firewall, é necessário familiarizar-se

proteção de com o firewall.
firewall
Consulte “Sobre o firewall do Symantec Endpoint Protection”

na página 454.
452 Para gerenciar a proteção de firewall
Tarefa Descrição
Criar uma O Symantec Endpoint Protection é instalado com uma política de firewall
política de padrão. Você pode modificar a política padrão ou criar novas.
firewall
Você deve criar uma política antes de definir regras de firewall e
configurações de proteção de firewall para essa política.
Consulte “Como ativar ou desativar uma política de firewall”

na página 458.
Criar e As regras de firewall são os componentes da política que controlam como

personalizar o firewall protege computadores-cliente contra ataques maliciosos.
regras de
A política de firewall padrão contém regras padrão de firewall. E, quando
firewall
você criar uma política nova, o Symantec Endpoint Protection fornecerá
regras padrão de firewall. Porém, é possível modificar as regras padrão
ou criar novas.
Consulte “Para gerenciar regras de firewall” na página 467.
Consulte “Para configurar regras de firewall” na página 486.
Ativar Depois que o firewall concluir determinadas operações, o controle será

configurações aprovado para vários componentes. Cada componente é projetado para
de proteção de executar um tipo diferente de análise do pacote.
firewall
Consulte “Automaticamente permitir comunicações para serviços de
rede essenciais” na página 459.
Consulte “Bloqueio automático de conexões a um computador invasor”

na página 461.
Consulte “Detecção de ataques potenciais e tentativas de spoofing”

na página 462.
Consulte “Como impedir a detecção de dissimulação” na página 463.
Consulte “Desativação do firewall do Windows” na página 464.
Consulte “Configuração da autenticação ponto a ponto” na página 465.
Monitorar a Monitore regularmente o status da proteção de firewall em seus

proteção de computadores.
firewall

na página 250.
Consulte “Definição de configurações de firewall para controle misto” na página 460.
Para gerenciar a proteção de firewall 453
Consulte o artigo da Base de conhecimento Symantec Endpoint Protection Network

Threat Protection (Firewall) Overview and Best Practices White Paper (em inglês).
Como um firewall funciona

Um firewall realiza todas as seguintes tarefas:
■ Impede que usuários não autorizados acessem os computadores e as redes em
sua organização que se conectam à Internet
■ Monitora a comunicação entre seus computadores e outros computadores na
Internet
■ Cria um escudo que permite ou bloqueia tentativas de acesso às informações
em seu computador
■ Avisa-o sobre as tentativas de conexão de outros computadores
■ Avisa também sobre tentativas de conexão feitas por aplicativos em seu
computador que se conectam a outros computadores.
O firewall verifica os pacotes de dados que viajam através da Internet. Um pacote
é uma parte de dados discreta que faz parte do fluxo de informações entre dois
computadores. Os pacotes são remontados em seu destino para aparecer como
um fluxo de dados inteiro.
Os pacotes contêm informações sobre o seguinte:
■ Computadores que enviam
■ Destinatários pretendidos
■ Como os dados de pacote são processados
■ Portas que recebem os pacotes
As portas são os canais que dividem o fluxo de dados que vêm da Internet. Os
aplicativos que são executados em um computador escutam as portas. Os
aplicativos aceitam os dados que são enviados às portas.
Os ataques à rede exploram pontos fracos em aplicativos vulneráveis. Os invasores
usam estes pontos fracos para enviar pacotes que contêm código de programação
malicioso para as portas. Quando os aplicativos vulneráveis escutam as portas, o
código malicioso permite que os invasores acessem o computador.
Consulte “Sobre o firewall do Symantec Endpoint Protection” na página 454.
Sobre o firewall do Symantec Endpoint Protection

O firewall do Symantec Endpoint Protection usa políticas de firewall e regras para
permitir ou bloquear o tráfego na rede. O Symantec Endpoint Protection inclui
uma política de firewall padrão com regras de firewall e configurações de firewall
padrão para o ambiente de escritório. Normalmente, o ambiente de empresas está
sob a proteção de firewalls corporativos, filtros de pacotes delimitadores ou
servidores antivírus. Portanto, ele é normalmente mais seguro do que a maioria
dos ambientes domésticos, onde existe uma proteção limitada.
As regras de firewall controlam o modo como o cliente protege o
computador-cliente de tráfego de entrada e de saída malicioso. Com base nessas
regras, o firewall verifica automaticamente todos os pacotes de entrada e de saída.
O firewall, então, permite ou bloqueia os pacotes que se baseiam nas informações
especificadas nas regras. Quando um computador tenta se conectar a outro
computador, o firewall compara o tipo de conexão com sua lista de regras de
firewall. O firewall usa também a inspeção com monitoração de estado de todo o
tráfego na rede.
Quando você instalar o console pela primeira vez, ele adicionará automaticamente
uma política de firewall padrão a cada grupo.
Cada vez que você adicionar um novo local, o console copiará uma política de
firewall para o local padrão automaticamente.
Determine o nível de interação com o cliente que deseja atribuir aos usuários,
permitindo ou bloqueando sua capacidade de configurar regras e configurações
de firewall. Os usuários podem interagir com o cliente apenas quando ele os
notificar sobre conexões de rede novas e de possíveis problemas. Ou eles podem
ter acesso completo à interface do usuário.
Você pode ativar ou desativar a proteção de firewall conforme a necessidade.
Você pode instalar o cliente com configurações de firewall padrão. Na maioria dos
casos, você não precisa alterar as configurações. Entretanto, se você tiver uma
boa compreensão de redes, poderá efetuar alterações no firewall do cliente para
melhorar a proteção do computador-cliente.
Consulte “Como o firewall usa a inspeção com monitoração de estado” na página 474.
Para criar uma política de firewall

O Symantec Endpoint Protection inclui uma política de firewall padrão com regras
de firewall e configurações de firewall padrão para o ambiente de escritório.
Normalmente, o ambiente de empresas está sob a proteção de firewalls
corporativos, filtros de pacotes delimitadores ou servidores antivírus. Portanto,
ele é normalmente mais seguro do que a maioria dos ambientes domésticos, onde
existe uma proteção limitada.
Quando você instalar o console pela primeira vez, ele adicionará automaticamente
uma política de firewall padrão a cada grupo.
Cada vez que você adicionar um novo local, o console copiará uma política de
firewall para o local padrão automaticamente. Se a proteção padrão não for
apropriada, você poderá personalizar a política de firewall para cada local como,
por exemplo, um site local ou o do cliente. Se você não quiser a política de firewall
padrão, poderá editá-la ou substituí-la por outra política compartilhada.
Quando você ativar a proteção de firewall, a política permitirá todo o tráfego na
rede de entrada com base em IP e todo o tráfego na rede de saída com base em IP,
com as seguintes exceções:
■ A proteção de firewall padrão bloqueia o tráfego IPv6 de entrada e de saída
com todos os sistemas remotos.
Nota: O IPv6 é um protocolo de camada de rede usado na Internet. Se você

instalar o cliente nos computadores que executam o Microsoft Vista, a lista
Regras conterá várias regras padrão que bloqueiam o tipo IPv6 de protocolo
Ethernet. Se você remover as regras padrão, será necessário criar uma regra
que bloqueie o IPv6.
■ A proteção de firewall padrão restringe as conexões de entrada para alguns

protocolos que são usados frequentemente em ataques (por exemplo, no
compartilhamento de arquivos do Windows).
As conexões internas de rede são permitidas e as redes externas são bloqueadas.
A Tabela 20-2 descreve as tarefas que você pode executar para configurar uma
nova política de firewall. Você deve primeiro adicionar uma política de firewall,
mas depois disso, as tarefas restantes são opcionais e é possível concluí-las em
qualquer ordem.
Tabela 20-2 Como criar uma política de firewall
Tarefa Descrição
Adicionar uma política Quando você criar uma política nova, dará a ela um nome e uma
de firewall descrição. Você especifica também os grupos aos quais a política
é aplicada.
Uma política de firewall será ativada automaticamente quando

você a criar. Mas você poderá desativá-la, se precisar.
Consulte “Como ativar ou desativar uma política de firewall”

na página 458.
Criar regras de firewall As regras de firewall são os componentes da política que

controlam como o firewall protege os computadores-cliente
contra o tráfego de entrada e aplicativos maliciosos. O firewall
verifica automaticamente todos os pacotes de entrada e de saída
em relação a estas regras. Ele permite ou bloqueia os pacotes
com base nas informações especificadas nas regras. Você pode
modificar as regras padrão, criar regras novas ou desativar as
regras padrão.
Quando você criar uma política de firewall nova, o Symantec

Endpoint Protection fornecerá regras padrão de firewall.
As regras padrão de firewall são ativadas por padrão.
Ativar e personalizar as Você pode enviar aos usuários uma notificação de que um
notificações aos usuários aplicativo que eles querem acessar está bloqueado.
que acessam um
Estas configurações são desativadas por padrão.
aplicativo bloqueado
Consulte “Notificação de usuários sobre o bloqueio do acesso a
um aplicativo” na página 479.
Tarefa Descrição
Ativar regras Você pode ativar as opções que permitem automaticamente a

automáticas de firewall comunicação entre determinados serviços de rede. Estas opções
eliminam a necessidade de criar as regras que explicitamente
permitem esses serviços. É possível também ativar as
configurações de tráfego para detectar e bloquear o tráfego que
se comunica por meio de NetBIOS e anéis de token.
Apenas os protocolos do tráfego são ativados por padrão.
Consulte “Automaticamente permitir comunicações para

serviços de rede essenciais” na página 459.
Se o cliente do Symantec Endpoint Protection detectar um ataque

à rede, poderá bloquear automaticamente a conexão para
assegurar que o computador-cliente fique protegido. O cliente
aciona uma resposta ativa, que bloqueia automaticamente toda
a comunicação recebida e enviada pelo computador invasor por
um período definido. O endereço IP do computador invasor é
bloqueado para um único local.
Essa opção está desativada por padrão.
Consulte “Bloqueio automático de conexões a um computador

invasor” na página 461.
Definir configurações de Você pode ativar configurações para detectar e registrar em log
proteção e dissimulação ataques potenciais nas tentativas de spoofing do cliente e de
bloqueio.
Consulte “Detecção de ataques potenciais e tentativas de
spoofing” na página 462.
Você pode ativar as configurações que impedem que os ataques

externos detectem informações sobre seus clientes.
Consulte “Como impedir a detecção de dissimulação”

na página 463.
Todas as opções da proteção e de dissimulação são desativadas

por padrão.
Tarefa Descrição
Integrar o firewall do Você pode especificar as condições em que o Symantec Endpoint

Symantec Endpoint Protection desativa o firewall do Windows. Quando o Symantec
Protection com o firewall Endpoint Protection for desinstalado, o Symantec Endpoint
do Windows Protection restaurará a configuração do firewall do Windows
para o estado em que estava antes de o Symantec Endpoint
Protection ser instalado.
A configuração padrão é desativar o firewall do Windows uma

vez apenas e desativar a mensagem de Firewall do Windows
desativado.
Consulte “Desativação do firewall do Windows” na página 464.
Configurar a Você pode usar a autenticação ponto a ponto para permitir que
autenticação ponto a um computador-cliente remoto (par) conecte-se a outro
ponto computador-cliente (autenticador) dentro da mesma rede da
empresa. O autenticador bloqueia temporariamente o tráfego
de entrada TCP e UDP do computador remoto até que este seja
aprovado na verificação da integridade do host.
Nota: Você poderá apenas exibir e ativar esta opção se instalar
e licenciar o Symantec Network Access Control.
Essa opção está desativada por padrão.
Consulte “Configuração da autenticação ponto a ponto”

na página 465.

Consulte “Melhores práticas para as configurações da política de firewall”
na página 279.
Como ativar ou desativar uma política de firewall

As políticas de firewall são ativadas automaticamente quando você as cria. Você
pode desativar uma política de firewall conforme a necessidade e depois ativá-la
novamente. Você deve ativar uma política de firewall para que ela para seja ativa.
Convém desativar o firewall por qualquer uma das seguintes razões:
■ Você instala um aplicativo que pode fazer com que o firewall o bloqueie.
■ Uma regra de firewall ou uma configuração de firewall bloqueia um aplicativo
devido ao erro de um administrador.
■ O firewall causa problemas relacionados à conectividade da rede.
■ O firewall pode tornar o computador-cliente mais lento.

Você deve ativar pelo menos a proteção de firewall padrão para manter seus
computadores protegidos durante a instalação do cliente remoto.
Para ativar ou desativar uma política de firewall
2 Na página Políticas, selecione a política de firewall e clique com o botão direito
do mouse em Editar.
3 Na política, na página Visão geral, selecione Ativar esta política para ativar
a política; desmarque esta opção para desativar a política.
4 Clique em OK.
Automaticamente permitir comunicações para serviços de rede

essenciais
Você pode ativar as opções que permitem automaticamente a comunicação entre
determinados serviços de rede, assim, você não tem que definir as regras que
permitem explicitamente aqueles serviços. É possível também ativar as
configurações de tráfego para detectar e bloquear o tráfego que se comunica por
meio de NetBIOS e anéis de token.
Você pode permitir solicitações de saída e respostas de entrada para as conexões
de rede que estão configuradas para usar tráfego DHCP, DNS e WINS.
Os filtros permitem que clientes DHCP, DNS ou WINS recebam um endereço IP
de um servidor. Protege também os clientes contra ataques da rede com as
seguintes condições:
Se o cliente enviar uma O cliente aguardará cinco segundos para permitir uma
solicitação ao servidor resposta de entrada.
Se o cliente não enviar uma Cada filtro não permitirá o pacote.

solicitação ao servidor
Quando você ativar essas opções, o Symantec Endpoint Protection permitirá o

pacote se uma solicitação for feita; não bloqueia pacotes. Você deve criar uma
regra de firewall para bloquear pacotes.
Nota: Para fazer as configurações no controle misto, você também deve ativar
essas configurações na caixa de diálogo Configurações de controle misto da
interface de usuário do cliente.
Para permitir automaticamente comunicações para serviços de rede essenciais

1 No console, abra uma política de firewall.
2 Na página Política de firewall, clique em Regras integradas.
3 Marque as opções que você deseja ativar.
4 Clique em OK.
5 Caso seja solicitado, atribua um local para a política.
Definição de configurações de firewall para controle misto

Você pode configurar o cliente de modo que os usuários não tenham nenhum
controle, controle total ou controle limitado sobre configurações de firewall que
eles podem configurar.
Use as seguintes diretrizes quando você configurar o cliente:
Controle do servidor O usuário não pode criar nenhuma regra de firewall ou ativar
configurações de firewall.
Controle do cliente O usuário pode criar regras de firewall e ativar todas as

configurações de firewall.
Controle misto O usuário pode criar regras de firewall. Você decide quais
configurações de firewall o usuário pode ativar.
Para configurar definições de firewall para controle misto

2 Em Exibir clientes, selecione o grupo com o nível de controle de usuário que
você quer modificar.
em Tarefas > Editar configurações.
5 Na caixa de diálogo Configurações do modo controle, clique em Controle

misto e, em seguida, em Personalizar.
6 Na guia Configurações de controle de cliente/servidor, sob a categoria
Política de firewall, execute um destes procedimentos:
■ Para disponibilizar uma configuração de cliente para configuração dos
usuários, clique em Cliente.
■ Para configurar uma configuração de cliente, clique em Servidor.
7 Clique em OK.
8 Clique em OK.
9 Para cada configuração de firewall que você define para Servidor, ative ou
desative a configuração na política de firewall.
Consulte “Detecção de ataques potenciais e tentativas de spoofing” na página 462.
na página 250.
Bloqueio automático de conexões a um computador invasor

Se o cliente do Symantec Endpoint Protection detectar um ataque à rede, poderá
bloquear automaticamente a conexão para assegurar que o computador-cliente
fique protegido. O cliente aciona uma resposta ativa, que bloqueia automaticamente
toda a comunicação recebida e enviada pelo computador invasor por um período
definido. O endereço IP do computador invasor é bloqueado para um único local.
O endereço IP do invasor é registrado no Log de segurança. Você pode desbloquear
um ataque cancelando um endereço IP específico ou cancelando todas as respostas
ativas.
Se você definir o cliente para controle misto, poderá especificar se a configuração
estará disponível no cliente para que o usuário a ative. Se não estiver disponível,
você terá de ativá-la na caixa de diálogo Configurações de controle misto da
Assinaturas IPS atualizadas, assinaturas de negação de serviço atualizadas,
verificações de portas e spoofing de MAC também acionam a resposta ativa.
Para bloquear automaticamente conexões a um computador invasor

2 Na página Política de firewall no painel esquerdo, clique em Regras
integradas.
3 Em Outro, selecione Bloquear automaticamente um endereço IP de invasor
4 No campo de texto Número de segundos de duração do bloqueio ao endereço
IP ... segundos, especifique o número de segundos de bloqueio aos invasores
potenciais.
Você pode digitar um valor de 1 até 999.999.
5 Clique em OK.
Detecção de ataques potenciais e tentativas de spoofing

Você pode ativar as várias configurações que permitem que o Symantec Endpoint
Protection detecte e registre em log ataques potenciais no cliente e bloquear
tentativas de spoofing. Todas estas opções são desativadas por padrão.
As configurações que você pode ativar são:
Ativar detecção de Quando esta configuração é ativada, o Symantec Endpoint

verificação de portas Protection monitora todos os pacotes de entrada que
qualquer regra de segurança bloquear. Se uma regra bloquear
diversos pacotes diferentes em portas diferentes em um
período de tempo curto, o Symantec Endpoint Protection
criará uma entrada de log de segurança.
A detecção da verificação de portas não bloqueia nenhum

pacote. Você deve criar uma política de segurança para
bloquear o tráfego quando uma verificação de portas ocorrer.
Ativar detecção de negação A negação da detecção de serviço é um tipo de detecção de

de serviço intrusões. Quando ativada, o cliente bloqueia o tráfego se
detectar um teste padrão das assinaturas conhecidas,
independentemente do número da porta ou do tipo de IP.
Ativar antispoofing de MAC Quando ativado, o Symantec Endpoint Protection permite

o tráfego de entrada e de saída do protocolo de resolução de
endereço (ARP) se um pedido do ARP foi feito àquele host
específico. Todos os outros tráfegos inesperados do ARP são
bloqueados, e uma entrada é gerada para o log de segurança.
Para detectar ataques potenciais e tentativas de spoofing

2 Na página Política de firewall, clique em Proteção e dissimulação.
3 Em Configurações de proteção, marque qualquer uma das opções que você
queira ativar.
4 Clique em OK.
Como impedir a detecção de dissimulação

Você pode ativar as configurações que impedem que os ataques externos detectem
informações sobre seus clientes. Estas configurações são desativadas por padrão.
Para impedir a detecção de dissimulação

2 Na página Política de firewall, clique em Proteção e dissimulação.
3 Em Configurações dissimuladas, selecione qualquer uma das opções que

você queira ativar da seguinte forma:
Ativar navegação na Web Impede que os sites saibam qual sistema operacional e
no modo dissimulado navegador seus clientes usam.
Ativar novo Escolhe aleatoriamente o número de sequenciamento do

sequenciamento de TCP TCP para evitar o registro de impressão digital e alguns
tipos de spoofing de IP do sistema operacional.
Ativar mascaramento de Impede que os programas detectem o sistema operacional

impressão digital de SO do computador no qual o firewall é executado.
4 Clique em OK.
Desativação do firewall do Windows

Você pode especificar as condições em que o Symantec Endpoint Protection
desativa o firewall do Windows. Quando o Symantec Endpoint Protection for
desinstalado, o Symantec Endpoint Protection restaurará a configuração do firewall
do Windows para o estado em que estava antes de o Symantec Endpoint Protection
ser instalado.
Nota: O Symantec Endpoint Protection não modifica nenhuma regra de política

ou exclusões existentes de firewall do Windows.
As ações que o Symantec Endpoint Protection pode tomar são:
Nenhuma ação Não muda a configuração atual do firewall do Windows.
Desativar somente uma vez O firewall do Windows será desativado na inicialização

quando o Symantec Endpoint Protection detectar pela
primeira vez que o firewall do Windows está ativado. Em
inicializações subsequentes, o Symantec Endpoint Protection
não desativará o firewall do Windows.
Essa é a configuração padrão

Desativar sempre Desativa o firewall do Windows a cada inicialização e

reativará o firewall do Windows se o Symantec Client
Firewall for desinstalado.
Restaurar se desativado Ativa o firewall do Windows na inicialização.
Tipicamente, um usuário do Windows receberá uma notificação quando seu

computador reinicializar caso o firewall do Windows estiver desativado. O
Symantec Endpoint Protection desativa esta notificação por padrão de forma que
seus usuários não são avisados quando o firewall do Windows estiver desativado.
Mas você pode ativar a notificação, se desejado.
Para desativar o firewall do Windows
2 Em Políticas, clique em Firewall.
■ Criar uma nova política de firewall.
■ Na lista Políticas de firewall, clique duas vezes na política de firewall que
você deseja modificar.
4 Em Política de firewall, clique em Integração com o Windows.

5 Na lista suspensa Desativar Firewall do Windows, especifique quando você
deseja que o firewall do Windows seja desativado.
A configuração padrão é Desativar somente uma vez.
6 Na lista suspensa Mensagem de firewall do Windows desativado, especifique
se você deseja desativar a mensagem do Windows na inicialização para indicar
que o firewall está desativado.
A configuração padrão é Desativar, que significa que o usuário não recebe
uma mensagem sobre uma inicialização do computador indicando que o
firewall do Windows está desativado.
7 Clique em OK.
Configuração da autenticação ponto a ponto

Você pode usar a autenticação ponto a ponto para permitir que um
computador-cliente remoto (par) conecte-se a outro computador-cliente
(autenticador) dentro da mesma rede da empresa. O autenticador bloqueia
temporariamente o tráfego de entrada TCP e UDP do computador remoto até que

este seja aprovado na verificação de integridade do host.
Nota: Você deve ter o Symantec Network Access Control instalado e licenciado
para exibir esta opção.
A verificação de integridade do host verifica as seguintes características do

computador remoto:
■ O computador remoto tem o Symantec Endpoint Protection e o Symantec
Network Access Control instalados.
■ O computador remoto cumpre os requisitos da política de integridade do host.
Se o computador remoto passar na verificação de integridade do host, o
autenticador permitirá que o computador remoto conecte-se.
Se o computador remoto falhar na verificação de integridade do host, o
autenticador continuará a bloquear o computador remoto. Você pode especificar
por quanto tempo o computador remoto será bloqueado antes que possa tentar
conectar-se novamente ao autenticador. Você pode também especificar que
determinados computadores remotos sempre sejam permitidos, mesmo se não
passarem na verificação de integridade do host. Se você não ativar uma política
de integridade do host para o computador remoto, este será aprovado na verificação
de integridade do host.
As informações de autenticação ponto a ponto aparecem no log de conformidade
do cliente do Enforcer e no log de tráfego da proteção contra ameaças à rede.
Nota: A autenticação ponto a ponto funciona no controle do servidor e no controle

misto, mas não no controle do cliente.
Aviso: Não ative a autenticação ponto a ponto para os clientes instalados no mesmo
computador do servidor de gerenciamento. Caso contrário, o servidor de
gerenciamento não poderá fazer o download de políticas para o computador remoto
se este falhar na verificação de integridade do host.
Para configurar a autenticação ponto a ponto

2 Na página Política de firewall, clique em Configurações de autenticação
ponto a ponto.
3 No painel Configurações de autenticação ponto a ponto, marque Ativar
autenticação ponto a ponto.
Para gerenciar regras de firewall
4 Configure os valores listados na página.

Para obter mais informações sobre essas opções, clique em Ajuda.
5 Para permitir que os computadores remotos conectem-se ao
computador-cliente sem serem autenticados, marque Excluir hosts da
autenticação e clique em Hosts excluídos.
O computador-cliente permite o tráfego aos computadores na lista Host.
6 Na caixa de diálogo Hosts excluídos, clique em Adicionar para adicionar os
computadores remotos que não precisam ser autenticados.
7 Na caixa de diálogo Host, defina o host pelo endereço IP, intervalo IP ou pela
sub-rede e clique em OK.
8 Na caixa de diálogo Hosts excluídos, clique em OK.
9 Quando concluir a configuração dessa política, clique em OK.

As regras de firewall controlam como o firewall protege computadores contra o
tráfego de entrada e os aplicativos maliciosos. O firewall verifica todos os pacotes
de entrada e de saída em relação às regras que você ativa. Ele permite ou bloqueia
os pacotes com base nas condições que você especifica na regra de firewall.
O Symantec Endpoint Protection é instalado com uma política padrão de firewall
que contém regras padrão. Quando você criar uma política de firewall nova, o
Symantec Endpoint Protection fornecerá regras padrão de firewall. Você poderá
modificar algumas das regras padrão ou criar novas regras de firewall se seu
administrador a permitir ou se o cliente não for gerenciado.
Você deve ter pelo menos uma regra em cada política. Mas você pode ter tantas
regras quantas precisar. Você pode ativar ou desativar regras conforme a
necessidade. Por exemplo, convém desativar uma regra para executar a solução
de problemas e ativá-la quando tiver concluído.
A Tabela 20-3 descreve o que você precisa saber para gerenciar regras de firewall.
Tabela 20-3 Para gerenciar regras de firewall
Assunto Descrição
Aprender como as Antes de modificar as regras de firewall, você deverá entender as seguintes informações
regras de firewall sobre como as regras de firewall funcionam.
funcionam e o que
■ A relação entre o nível de controle do usuário e sua interação com as regras de firewall.
compõe uma regra de
A relação entre regras do servidor e regras do cliente.
firewall
Consulte “Sobre regras do servidor de firewall e do cliente” na página 469.
■ Como ordenar as regras para garantir que as mais restritas sejam avaliadas primeiro
e que as mais gerais sejam avaliadas por último.
Consulte “Sobre a regra de firewall, a configuração de firewall e a ordem de
processamento da prevenção contra intrusões” na página 470.
■ As implicações de herdar regras de um grupo pai e como as regras herdadas são
processadas.
Consulte “Sobre regras herdadas de firewall” na página 471.
■ O cliente usa a inspeção com monitoração de estado, que elimina a necessidade de você
criar regras adicionais.
■ Os componentes do firewall que compõem a regra de firewall.
Quando entender estes acionadores e como pode usá-los melhor, você poderá
personalizar suas regras de firewall para proteger seus clientes e servidores.
Consulte “Sobre acionadores do aplicativo de regras de firewall” na página 474.
Consulte “Sobre acionadores de host da regra de firewall” na página 479.
Consulte “Sobre os acionadores dos serviços de rede da regra de firewall” na página 483.
Consulte “Sobre acionadores do adaptador de rede da regra de firewall” na página 485.
Adicionar uma nova Você pode executar as tarefas a seguir para gerenciar regras de firewall:
regra de firewall
■ Você pode adicionar novas regras de firewall através do console usando vários métodos.
Um método permite adicionar uma regra em branco que tenha configurações padrão.
O outro método oferece um assistente que guia você na criação de uma nova regra.
Consulte “Para adicionar uma regra de firewall nova” na página 487.
■ Você pode personalizar uma regra padrão ou uma regra que tenha criado mudando
alguns dos critérios da regra de firewall.
■ Exportar e importar regras de firewall
Outra maneira de adicionar uma regra de firewall é exportar regras de firewall existentes
de outra política de firewall. Você pode em seguida importar as regras de firewall e as
configurações para não precisar criá-las novamente.
Consulte “Importação e exportação de regras de firewall” na página 489.
■ Copiar e colar regras de firewall
Você pode economizar tempo ao criar uma regra de firewall nova copiando uma regra
existente que seja semelhante à regra que você deseja criar. Em seguida, você pode
modificar a regra copiada para atender às suas necessidades.
Consulte “Para copiar e colar regras de firewall” na página 490.
Assunto Descrição
Ativar ou desativar uma As regras de firewall são ativadas automaticamente. Contudo, você poderá precisar desativar
regra de firewall temporariamente uma regra de firewall para testá-la. O firewall não verifica regras
desativadas.
Personalizar uma regra Após criar uma nova regra ou se desejar personalizar uma regra padrão, é possível modificar
de firewall alguns dos critérios da regra de firewall.
Sobre regras do servidor de firewall e do cliente

As regras são categorizadas como regras do servidor ou do cliente. As regras do
servidor são as regras que você cria no Symantec Endpoint Protection Manager
e que são obtidas por download pelo cliente do Symantec Endpoint Protection. As
regras do cliente são aquelas criadas pelo usuário no cliente.
A Tabela 20-4 descreve a relação entre o nível de controle do usuário e sua
interação com as regras de firewall.
Tabela 20-4 Nível de controle do usuário e status de regras
Nível de controle do Interação do usuário

usuário
Controle do servidor O cliente recebe regras do servidor, mas o usuário não pode
visualizá-las. O usuário não pode criar regras do cliente.
Controle misto O cliente recebe regras do servidor. O usuário pode criar regras
do cliente, que são mescladas com as regras do servidor e com
as configurações de segurança do cliente.
Controle do cliente O cliente não recebe as regras do servidor. O usuário pode criar
regras do cliente. Não é possível visualizar as regras do cliente.
A Tabela 20-5 relaciona a ordem em que o firewall processa as regras do servidor

e do cliente e as configurações do cliente.
Tabela 20-5 Prioridade de processamento das regras do servidor e do cliente
Prioridade Tipo de regra ou configuração
Primeira Regras do servidor com níveis altos de prioridade (regras acima

da linha azul na lista Regras )
Prioridade Tipo de regra ou configuração
Segunda Regras do cliente
Terceira Regras do servidor com níveis mais baixos de prioridade (regras

abaixo da linha azul na lista Regras )
No cliente, as regras do servidor abaixo da linha azul são

processadas depois das regras do cliente.
Quarta Configurações de segurança do cliente
Quinta Configurações do cliente de aplicativos específicos
No cliente, os usuários podem modificar uma regra do cliente ou uma configuração

de segurança, mas não podem modificar uma regra do servidor.
Aviso: Se o cliente estiver no controle misto, os usuários podem criar uma regra
do cliente que permita todo o tráfego. Essa regra sobrepõe todas as regras do
servidor abaixo da linha azul.

Consulte “Para alterar a ordem das regras de firewall” na página 473.
Sobre a regra de firewall, a configuração de firewall e a ordem de

processamento da prevenção contra intrusões
As regras de firewall são ordenadas sequencialmente, da prioridade mais alta até
a mais baixa na lista de regras. Se a primeira regra não especifica como controlar
um pacote, o firewall inspeciona a segunda regra. Esse processo continua até que
o firewall encontre uma correspondência. Depois que o firewall encontra uma
correspondência, ele realiza a ação especificada na regra. As regras subsequentes
de prioridade mais baixa não são inspecionadas. Por exemplo, se uma regra que
bloqueia todo o tráfego for a primeira relacionada, seguida de uma regra que
permite todo o tráfego, o cliente irá bloquear todo o tráfego.
Você pode solicitar regras de acordo com a exclusividade. As regras mais restritivas
são avaliadas primeiro e a maioria das regras gerais são avaliadas por último. Por
exemplo, você deve colocar as regras que bloqueiam o tráfego perto do início da
lista de regras. As regras que têm menor colocação na lista poderão permitir o
tráfego.
A lista Regras contém uma linha divisória azul. A linha divisória configura a
prioridade das regras nas seguintes situações:
■ Quando um subgrupo herda regras de um grupo pai.

■ Quando o cliente é configurado com controle misto. O firewall processa tanto
regras do servidor quanto do cliente.
A Tabela 20-6 mostra a ordem em que o firewall processa as regras, as
configurações de firewall e as configurações de prevenção contra intrusões.
Tabela 20-6 Ordem de processamento
Prioridade Configuração
Primeira Assinaturas IPS personalizadas
Segunda Configurações de Prevenção contra intrusões, configurações de tráfego

e configurações dissimuladas
Terceira Regras integradas
Quarta Regras de firewall
Quinta Verificações de portas
Sexta Assinaturas IPS obtidas por download por meio do LiveUpdate
Consulte “Para alterar a ordem das regras de firewall” na página 473.

Sobre regras herdadas de firewall

Uma política do subgrupo pode herdar somente as regras de firewall que estiverem
ativadas no grupo pai. Depois de herdar as regras, você pode desativá-las, mas
não pode modificá-las. À medida que as novas regras são adicionadas à política
do grupo pai, elas também são adicionadas automaticamente à política de herança.
Quando as regras herdadas forem exibidas na lista Regras, elas serão sombreadas
na cor púrpura. Acima da linha azul, as regras herdadas são adicionadas acima
das regras que você criou. Abaixo da linha azul, as regras herdadas são adicionadas
abaixo das regras que você criou.
Uma política de firewall também herda as regras padrão; portanto, a política de
firewall do subgrupo pode ter dois conjuntos de regras padrão. Você pode excluir
um conjunto de regras padrão.
Se quiser remover as regras herdadas, remova a herança em vez de excluí-las.
Você deve remover todas as regras herdadas em vez das regras selecionadas.
Os processos do firewall herdaram regras de firewall na lista Regras como segue:
Acima da linha divisora azul As regras que a política herda têm precedência sobre as
regras que você cria.
Abaixo da linha divisória azul As regras que você cria têm precedência sobre as regras que
a política herda.
A Figura 20-1 exibe como a lista Regras ordena as regras quando um subgrupo
as herda de um grupo pai. Nesse exemplo, o grupo Vendas é o grupo pai. O grupo
Vendas Europa herda as regras do grupo Vendas.
Figura 20-1 Um exemplo de como as regras de firewall herdam regras entre si

Grupo de Grupo de Grupo de
vendas vendas na vendas na
Europa Europa
As vendas na Europa herdam as
regras de firewall das Vendas Regra 1 Tem prioridade
Regra 1 Regra 3
Regra 3
Linha azul Linha azul Linha azul
Regra 4 Tem prioridade

Regra 2 Regra 4
Regra 2

Consulte “Adição de regras herdadas de firewall de um grupo pai” na página 472.
Adição de regras herdadas de firewall de um grupo pai

Você pode adicionar regras de firewall a uma política de firewall herdando regras
de um grupo pai. Para herdar as regras de um grupo pai, a política de subgrupos
deve ser uma política não compartilhada.
Nota: Se o grupo herda todas as políticas de um grupo pai, esta opção está
indisponível.
Para adicionar regras herdadas de firewall de um grupo pai

2 Na página Política de firewall, clique em Regras.
3 Na guia Regras, marque Herdar regras de firewall do grupo pai.
Para remover as regras herdadas, desmarque Herdar regras de firewall do
grupo pai.
4 Clique em OK.
Consulte “Sobre regras herdadas de firewall” na página 471.
Para alterar a ordem das regras de firewall

O firewall processa a lista de regras de firewall de cima para baixo. Você pode
determinar como o firewall processa essas regras alterando a sua ordem.
A alteração da ordem afeta somente a ordem dos locais selecionados no momento.
Nota: Para obter melhor proteção, coloque as regras mais restritivas primeiro e
as menos restritivas depois.
Para alterar a ordem das regras de firewall

2 Na página Política de firewall, clique em Regras e selecione a regra que deseja
mover.
■ Para processar essa regra antes da regra anterior, clique em Mover para
cima.
■ Para processar essa regra após a regra posterior, clique em Mover para
baixo.
4 Clique em OK.
Como o firewall usa a inspeção com monitoração de estado

A proteção de firewall usa a inspeção com monitoração de estado para controlar
conexões atuais. A inspeção com monitoração de estado controla os endereços IP
de origem e destino, as portas, os aplicativos e outras informações de conexão.
Antes que o cliente inspecione as regras de firewall, ele decisões sobre o fluxo de
tráfego que são baseadas nas informações de conexão.
Por exemplo, se uma regra de firewall permite que um computador se conecte a
um servidor da Web, o firewall registra informações sobre a conexão. Quando o
servidor responde, o firewall descobre que uma resposta do servidor da Web ao
computador é esperado. Ele permite que o tráfego do servidor da Web flua para
o computador sendo iniciado sem inspecionar a base da regra. Uma regra deve
permitir o tráfego inicial de saída antes que o firewall registre a conexão.
A inspeção com monitoração de estado elimina a necessidade de criar regras novas.
Para o tráfego iniciado em uma direção, não será necessário criar regras que
permitam o tráfego em ambas as direções. O tráfego do cliente que é iniciado em
uma direção inclui Telnet (porta 23), HTTP (porta 80) e HTTPS (porta 443). Os
computadores-cliente iniciam este tráfego de saída; você cria uma regra que
permita o tráfego de saída para esses protocolos. A inspeção com monitoração de
estado permite automaticamente o tráfego de retorno que responde ao tráfego de
saída. Como o firewall faz naturalmente a monitoração de estado, apenas é preciso
criar as regras que iniciam uma conexão, e não as características de um pacote
específico. Todos os pacotes pertencentes a uma conexão permitida são
implicitamente permitidos, como se fossem parte integrante dessa mesma conexão.
A inspeção com monitoração de estado suporta todas as regras que direcionam o
tráfego TCP.
Ela não oferece suporte para as regras que filtram o tráfego ICMP. Para o tráfego
ICMP, você deve criar regras que permitam o tráfego em ambas as direções. Por
exemplo, para que os clientes usem o comando ping e recebam respostas, é
necessário criar uma regra que permita o tráfego ICMP em ambas as direções.
Sobre acionadores do aplicativo de regras de firewall

Quando o aplicativo é o único acionador definido em uma regra que permite
tráfego, o firewall permite que o aplicativo execute qualquer operação de rede. O
aplicativo é o valor significativo, não as operações de rede realizadas por ele. Por
exemplo, suponha que seja dada permissão ao Internet Explorer e que nenhum
outro acionador seja definido. Os usuários podem acessar sites remotos que usem
HTTP, HTTPS, FTP, Gopher e qualquer outro protocolo suportado pelo navegador.
É possível definir acionadores adicionais para descrever protocolos e hosts de

rede específicos com os quais a comunicação é permitida.
Pode ser difícil solucionar problemas de regras baseadas em aplicativos, pois um
aplicativo pode usar vários protocolos. Por exemplo, se o firewall processa uma
regra que permite o Internet Explorer antes de uma regra que bloqueia o FTP, o
usuário ainda poderá se comunicar com o FTP. O usuário pode inserir um URL
baseado em FTP no navegador, como, por exemplo, ftp://ftp.symantec.com.
Por exemplo, suponha que seja dada permissão ao Internet Explorer e que nenhum
outro acionador seja definido. Os usuários do computador podem acessar sites
remotos que usem HTTP, HTTPS, FTP, Gopher e qualquer outro protocolo aceito
pelo navegador da Web. É possível definir acionadores adicionais para descrever
os protocolos e hosts de rede com os quais a comunicação é permitida.
Não devem ser usadas regras de aplicativos para controlar o tráfego no nível da
rede. Por exemplo, uma regra que bloqueia ou limita o uso do Internet Explorer
não teria qualquer efeito se o usuário usasse um outro navegador da Web. O tráfego
gerado por outro navegador da Web seria comparado a quaisquer outras regras,
com exceção da regra do Internet Explorer. Regras baseadas em aplicativos são
mais eficientes quando as regras são configuradas para bloquear os aplicativos
que enviam e recebem tráfego.
Consulte “Notificação de usuários sobre o bloqueio do acesso a um aplicativo”
na página 479.
Consulte “Bloqueio dos aplicativos em rede que podem estar sob ataque”
na página 477.
Definição de informações sobre aplicativos

Você pode definir as informações sobre os aplicativos que os clientes executam e
incluir essas informações em uma regra de firewall.
Você pode definir aplicativos das seguintes maneiras:
■ Digitar as informações manualmente.
Consulte “Para definir as informações sobre aplicativos manualmente ”
na página 476.
■ Pesquisar o aplicativo na lista de aplicativos aprendidos.
Os aplicativos da lista de aplicativos reconhecidos são os que os
computadores-cliente de sua rede executam.
Consulte “Para procurar aplicativos na lista de aplicativos reconhecidos”
na página 476.
Para definir as informações sobre aplicativos manualmente

2 Na página Políticas de firewall, clique em Regras.
3 Na guia Regras, na lista Regras, clique com o botão direito do mouse no campo
Aplicativo e clique em seguida em Editar.
4 Na caixa de diálogo Lista de aplicativos, clique em Adicionar.
5 Na caixa de diálogo Adicionar aplicativo, preencha um ou mais dos campos
a seguir:
■ Caminho e nome do arquivo
■ Descrição
■ Tamanho, em bytes
■ Data da última alteração do aplicativo
■ Impressão digital do arquivo
6 Clique em OK.
7 Clique em OK.
Para procurar aplicativos na lista de aplicativos reconhecidos
2 Na guia Regras, selecione uma regra, clique com o botão direito no campo
Aplicativo e clique em Editar.
3 Na caixa de diálogo Lista de aplicativos, clique em Adicionar de.
4 Na caixa de diálogo Procurar aplicativos, procure um aplicativo.
5 Na tabela Resultados da consulta, para adicionar o aplicativo à lista
Aplicativos, selecione o aplicativo, clique em Adicionar e clique em seguida
em OK.
6 Clique em Fechar.
7 Clique em OK.
Bloqueio dos aplicativos em rede que podem estar sob ataque

O Monitoramento de aplicativo de rede rastreia o comportamento do aplicativo
no registro de segurança. Se o conteúdo de um aplicativo for modificado com
muita frequência, será provável que ele tenha sido atacado por um Cavalo de Troia,
e o computador-cliente não estará seguro. Se o conteúdo de um aplicativo for
modificado raramente, será provável que um patch tenha sido instalado, e o
computador-cliente estará seguro. Você pode usar estas informações para criar
uma regra de firewall que permita ou bloqueie um aplicativo.
Você pode configurar o cliente para detectar e monitorar qualquer aplicativo que
está sendo executado no computador-cliente e que está em rede. Os aplicativos
de rede enviam e recebem tráfego. O cliente detecta se o conteúdo de um aplicativo
é alterado.
Se houver suspeita de que um Cavalo de Troia atacou um aplicativo, você poderá
usar o monitoramento de aplicativo de rede para configurar o cliente para bloquear
o aplicativo. Também é possível configurar o cliente para perguntar aos usuários
se desejam permitir ou bloquear o aplicativo.
O conteúdo de um aplicativo é alterado pelos seguintes motivos:
■ Um Cavalo de Troia atacou o aplicativo.
■ O aplicativo foi atualizado com uma nova versão ou com uma atualização.
Você pode adicionar aplicativos à lista para que o cliente não os monitore. Você
pode excluir os aplicativos que considere seguros contra um ataque de Cavalo de
Troia, mas que tenham atualizações de patches frequentes e automáticas.
Você poderá desativar o monitoramento de aplicativo de rede se estiver confiante
de que os computadores-cliente possuem a Proteção antivírus e antispyware
adequada. Você também pode desejar minimizar o número de notificações pedindo
aos usuários para permitir ou bloquear um aplicativo de rede.
Para bloquear os aplicativos em rede que podem estar sob ataque
2 Em Clientes, selecione um grupo e clique em seguida em Políticas.
clique em Monitoramento de aplicativo de rede.
4 Na caixa de diálogo Monitoramento de aplicativos de rede para nome do
grupo, clique em Ativar o monitoramento de aplicativo de rede.
5 Na lista suspensa Quando for detectada uma modificação no aplicativo,

selecione a ação que o firewall deve executar no aplicativo que está sendo
executado no cliente:
Solicitar Solicita ao usuário permitir ou bloquear o aplicativo.
Bloquear o tráfego Bloqueia a execução do aplicativo.
Permitir e registrar Permite que o aplicativo seja executado e registra as

informações no registro de segurança.
O firewall toma esta ação somente nos aplicativos que

tenham sido modificados.
6 Se você selecionou Perguntar, clique em Texto adicional.

7 Na caixa de diálogo Texto adicional, digite o texto que deseja exibir na
mensagem padrão e, depois, clique em OK.
8 Para excluir um aplicativo do monitoramento, na Lista de aplicativos não
monitorados, execute uma das seguintes ações:
Para definir um aplicativo Clique em Adicionar, preencha um ou mais campos e

manualmente clique em OK.
Para definir um aplicativo de Clique em Adicionar de.

uma lista de aplicativos
A lista de aplicativos reconhecidos monitora tanto
reconhecidos
aplicativos de rede quanto os não conectados. Você
deve selecionar os aplicativos de rede somente da lista
de aplicativos reconhecidos. Depois de adicionar
aplicativos à Lista de aplicativos não monitorados,
você poderá ativá-los, desativá-los, editá-los ou
excluí-los.
9 Selecione a caixa ao lado do aplicativo para ativá-lo; desmarque a caixa para

desativá-lo.
10 Clique em OK.
Consulte “Notificação de usuários sobre o bloqueio do acesso a um aplicativo”
na página 479.
Consulte “Pesquisa das informações sobre os aplicativos executados pelos
computadores” na página 336.
Consulte “Configuração do servidor de gerenciamento para recolher informações

sobre os aplicativos executados pelos computadores-cliente” na página 335.
Notificação de usuários sobre o bloqueio do acesso a um

aplicativo
Você pode enviar aos usuários uma notificação de que um aplicativo que eles
querem acessar está bloqueado. Essa notificação é exibida nos computadores dos
usuários.
Nota: A ativação de notificações demais pode não apenas sobrecarregar seus

usuários, mas também alarmá-los. Tenha cuidado ao ativar notificações.
Para notificar os usuários sobre o bloqueio do acesso a um aplicativo

3 Na guia Notificações, selecione as seguintes opções que você quer aplicar:
Exibir notificação no Uma notificação é exibida quando o cliente bloqueia

computador quando o um aplicativo.
cliente bloquear um
aplicativo
Adicionar texto à Clique em Definir texto adicional e personalize a

notificação notificação.
A personalização do texto da notificação é opcional.
4 Clique em OK.
Consulte “Como ativar ou desativar uma política de firewall” na página 458.
Consulte “Bloqueio dos aplicativos em rede que podem estar sob ataque”
na página 477.
Sobre acionadores de host da regra de firewall

Você especifica o host em ambos os lados da conexão de rede descrita quando
define os acionadores do host.
Normalmente, o que expressa a relação entre os hosts é a origem ou o destino de

uma conexão de rede.
Você pode definir a relação entre hosts de uma das seguintes maneiras:
Origem e destino O host de origem e o host de destino dependem da direção do

tráfego. Em um caso o computador-cliente local pode ser a
origem, enquanto em outro o computador remoto pode ser a
origem.
A relação entre a origem e o destino é mais comumente usada

em firewalls baseados em rede.
Local e remoto O host local é sempre o computador-cliente local. O host remoto

é sempre o computador remoto em outro local da rede. Esta
expressão do relacionamento do host independe da direção do
tráfego.
A relação local-remoto é usada mais comumente em firewalls

baseados em hosts e é uma maneira mais simples de se observar
o tráfego.
Você pode definir vários hosts de origem e vários hosts de destino.

A Figura 20-2 ilustra a relação entre a origem e o destino com relação à direção
de tráfego.
Figura 20-2 A relação entre os hosts de origem e de destino
Origem Destino
` HTTP
Symantec.com
Cliente SEP
Origem Destino
` RDP
`
Cliente SEP
Outro cliente
A Figura 20-3 ilustra a relação entre o host local e o host remoto com relação à
direção de tráfego.
Figura 20-3 A relação entre os host locais e remotos
Local Remota
` HTTP
Symantec.com
Cliente SEP
Local Remota
` RDP
`
Cliente SEP
Outro cliente
As relações são avaliadas pelos seguintes tipos de indicações:
Os hosts que você define em ambos os lados da conexão Expressão OR

(entre a fonte e o destino)
Hosts selecionados Expressão AND
Por exemplo, considere uma regra que define um único host local e vários hosts
remotos. Enquanto o firewall examina os pacotes, o host local deve corresponder
ao endereço IP de relevância. Entretanto, os lados do endereço que se opõem devem
corresponder a qualquer host remoto. Por exemplo, você pode definir uma regra
que permita comunicação HTTP entre o host local e Symantec.com, Yahoo.com
ou Google.com. Essa única regra equivale a três regras.
Consulte “Como adicionar grupos de hosts” na página 481.
Consulte “Bloqueio do tráfego em um servidor específico” na página 493.
Como adicionar grupos de hosts

Um grupo de hosts é uma coleção de: Nomes de domínio e de host DNS, endereços
IP, faixas de IP, endereços MAC ou sub-redes que são agrupados sob um nome. O
objetivo dos grupos de host é de eliminar a necessidade de digitar novamente os
endereços e nomes de host. Por exemplo, você pode adicionar vários endereços
IP em uma regra de firewall, um por vez. Ou então, pode adicionar vários endereços
IP em um grupo de host e, então, adicionar o grupo na regra de firewall.
À medida que incorpora grupos de host, você deve descrever onde os grupos são
usados. Se posteriormente você decidir excluir um grupo de host, será necessário
primeiro remover o grupo de todas as regras de firewall que fazem referência a
ele.
Quando um grupo de host for adicionado, ele será exibido na parte inferior da
Lista Hosts. Você pode acessar a Lista Hosts no campo Host em uma regra de
firewall.
Para adicionar grupos de hosts
2 Expanda Componentes das políticas e clique em Grupos de host.
3 Em Tarefas, clique em Adicionar um grupo de host.
4 Na caixa de diálogo Grupo de host, digite um nome e, em seguida, clique em
Adicionar.
5 Na caixa de diálogo Host, na lista suspensa Tipo, selecione um host.
6 Digite as informações apropriadas para cada tipo de host.
7 Clique em OK.
8 Se necessário, adicione mais hosts.
9 Clique em OK.
Definição das consultas do DNS baseadas no local

Você pode definir com que frequência você deseja que um local específico execute
uma consulta do DNS. Este recurso permite configurar um local para consulta do
servidor DNS com mais frequência do que outros locais.
Por exemplo, suponha que você tenha uma política para bloquear todo o tráfego
fora de sua rede da empresa, exceto o tráfego da VPN. E suponha que seus usuários
viajem e devam acessar sua rede com uma VPN de uma rede do hotel. Você pode
criar uma política para uma conexão da VPN que use a resolução do DNS. O
Symantec Endpoint Protection continua a enviar a consulta do DNS a cada 5
segundos até que alterne para este local. Desta maneira, seus usuários podem
mais rapidamente acessar sua rede.
Cuidado: Tome cuidado quando você definir esta configuração para um valor muito
baixo. É possível que seu servidor DNS seja encerrado se todos os seus sistemas
acessarem o servidor a cada 5 segundos, por exemplo.
Para definir as consultas do DNS baseadas em local

2 Em Clientes, selecione o grupo ao qual se aplica o recurso.
3 Em Tarefas, clique em Gerenciar locais.
4 Assegure-se de que Loop de consulta do DNS em esteja marcado.
5 Clique na configuração e nos incrementos de tempo e os modifique como
desejado.
Você pode definir o valor em segundos, minutos ou horas.
O valor padrão é de 30 minutos.
6 Clique em OK.
Sobre os acionadores dos serviços de rede da regra de firewall

Os serviços de rede permitem que computadores em rede enviem e recebam
mensagens, compartilhem arquivos e imprimam. Um serviço de rede usa um ou
mais protocolos ou portas para passar por um determinado tipo de tráfego. Por
exemplo, o serviço HTTP usa portas 80 e 443 no protocolo TCP. É possível criar
uma regra de firewall que permita ou bloqueie os serviços de rede. Um acionador
de serviço de rede identifica um ou mais protocolos de rede significativos em
relação ao tráfego na rede descrito.
Ao definir os acionadores de serviço baseados em TCP ou UDP, você identifica as
portas em ambos os lados da conexão de rede descrita. As portas normalmente
são atribuídas como origem ou destino de uma conexão de rede.
Consulte “Como adicionar serviços de rede à lista dos serviços de rede padrão”
na página 483.
Consulte “Para permitir que clientes procurem arquivos e impressoras na rede”
na página 496.
Como adicionar serviços de rede à lista dos serviços de rede

padrão
mensagens, compartilhem arquivos e imprimam. É possível criar uma regra de
firewall que permita ou bloqueie os serviços de rede.
A lista de serviços de rede elimina a necessidade de redigitar protocolos e portas

para as regras de firewall que você cria para bloquear ou permitir serviços de rede.
Quando você criar uma regra de firewall, será possível selecionar um serviço de
rede de uma lista padrão de serviços de rede de uso geral. Você pode adicionar
serviços de rede à lista padrão. Porém, é necessário estar familiarizado com o tipo
de protocolo e as portas que ele usa.
Nota: IPv4 e IPv6 são os dois protocolos de camada de rede usados na Internet. O
firewall bloqueia os ataques que passam pelo IPv4, mas não pelo IPv6. Se você
instalar o cliente nos computadores que executam o Microsoft Vista, a lista Regras
conterá várias regras padrão que bloqueiam o tipo IPv6 de protocolo Ethernet. Se
você remover as regras padrão, será necessário criar uma regra que bloqueie o
IPv6.
Nota: Você pode adicionar um serviço de rede personalizado através de uma regra
de firewall. Entretanto, esse serviço de rede não será adicionado à lista padrão.
Não é possível acessar o serviço personalizado de rede de nenhuma outra regra.
Para adicionar serviços de rede à lista dos serviços de rede padrão

2 Expanda Componentes das políticas e clique em Serviços de rede.
3 Em Tarefas, clique em Adicionar um serviço de rede.
4 Na caixa de diálogo Serviço de rede, digite um nome para o serviço e clique
em Adicionar.
5 Selecione um protocolo da lista suspensa Protocolo.
As opções se alteram com base no protocolo que você selecionou.
6 Digite nos campos apropriados e clique em OK.
7 Acrescente um ou mais protocolos adicionais, se for necessário.
8 Clique em OK.
Consulte “Sobre os acionadores dos serviços de rede da regra de firewall”
na página 483.
Consulte “Como controlar se os computadores em rede podem compartilhar
mensagens, arquivos e impressão” na página 495.
Consulte “Para permitir que clientes procurem arquivos e impressoras na rede”
na página 496.
Sobre acionadores do adaptador de rede da regra de firewall

Você pode definir uma regra de firewall que bloqueie ou permita que o tráfego
passe (seja transmitido ou recebido) por um adaptador de rede.
Quando definir um tipo particular de adaptador, saiba como esse adaptador deve
ser usado. Por exemplo, se uma regra permite tráfego de saída HTTP de
adaptadores Ethernet, então HTTP tem permissão em todos os adaptadores
instalados do mesmo tipo. A única exceção ocorre quando você também especificar
endereços de host locais. O computador-cliente pode usar servidores de vários
NIC e estações de trabalho que liguem dois ou mais segmentos de rede. No caso
de controle de tráfego relativo a um adaptador particular, deve ser usado o esquema
de endereços de cada segmento em vez do adaptador por si só.
A lista de adaptadores de rede elimina a necessidade de digitar novamente os tipos
de adaptadores para regras de firewall. Em vez disso, quando você criar uma regra
de firewall, será possível selecionar um adaptador de rede de uma lista padrão de
adaptadores de rede de uso geral. Você pode adicionar adaptadores de rede à lista
padrão.
Você pode selecionar um adaptador de rede em uma lista padrão compartilhada
pelas regras e políticas de firewall. Os adaptadores mais comuns são incluídos na
lista padrão, na lista Componentes das políticas. Os adaptadores comuns incluem
VPNs, Ethernet, conexão sem fio, adaptadores Cisco, Nortel e Enterasys.
Nota: Você pode adicionar um adaptador de rede personalizado usando uma regra
de firewall. Entretanto, esse adaptador de rede não será adicionado à lista padrão.
Não é possível acessar o adaptador de rede personalizado de nenhuma outra regra.

Consulte “Como adicionar um adaptador de rede personalizado para a lista do
adaptador de rede” na página 485.
Consulte “Controle do tráfego que passar por um adaptador de rede” na página 499.
Como adicionar um adaptador de rede personalizado para a

lista do adaptador de rede
Você pode aplicar uma regra de firewall separada para cada adaptador de rede.
Por exemplo, talvez você queira bloquear tráfego através de um VPN em um local
de escritório, mas não em um local doméstico.
Você pode selecionar um adaptador de rede em uma lista padrão compartilhada
pelas regras e políticas de firewall. Os adaptadores mais comuns são incluídos na
Para configurar regras de firewall
lista padrão, na lista Componentes das políticas. Use a lista padrão para que não
seja preciso digitar novamente cada adaptador de rede para cada regra criada.
A lista de adaptadores de rede elimina a necessidade de digitar novamente os
adaptadores para regras de firewall. Quando você criar uma regra de firewall, será
possível selecionar um adaptador de rede de uma lista padrão de adaptadores de
rede de uso geral. Você pode adicionar adaptadores de rede à lista padrão.
Nota: Você pode adicionar um adaptador de rede personalizado usando uma regra
de firewall. Entretanto, esse adaptador de rede não será adicionado à lista padrão.
Não é possível acessar o adaptador de rede personalizado de nenhuma outra regra.
Para adicionar um adaptador de rede personalizado para a lista do adaptador de

rede
1 No console, clique em Políticas > Componentes das políticas > Adaptadores
de rede.
2 Em Tarefas, clique em Adicionar um adaptador de rede.
3 Na caixa de diálogo Adaptador de rede, na lista suspensa Tipo de adaptador,
selecione um adaptador.
4 Opcionalmente, no campo Nome do adaptador, digite uma descrição.
5 Na caixa de texto Identificação do adaptador, digite o nome da marca do
adaptador, levando em conta as letras maiúsculas e minúsculas.
Para localizar o nome da marca do adaptador, abra uma linha de comando
no cliente e, depois, digite o texto a seguir:
ipconfig/all.
6 Clique em OK.
Consulte “Sobre acionadores do adaptador de rede da regra de firewall”
na página 485.
Consulte “Controle do tráfego que passar por um adaptador de rede” na página 499.

A Tabela 20-7 descreve como configurar novas regras de firewall.
Tabela 20-7 Como configurar novas regras de firewall
Etapa 1 Adicionar uma Você pode adicionar novas regras de firewall através do console usando vários métodos.
nova regra de Um método permite adicionar uma regra em branco que tenha configurações padrão. O
firewall outro método oferece um assistente que guia você na criação de uma nova regra.
Consulte “Para adicionar uma regra de firewall nova” na página 487.
Outra maneira de adicionar uma regra de firewall é exportar regras de firewall existentes
de outra política de firewall. Você pode em seguida importar as regras de firewall e as
configurações para não precisar criá-las novamente.
Consulte “Importação e exportação de regras de firewall” na página 489.
Você pode economizar tempo ao criar uma regra de firewall nova copiando uma regra
existente que seja semelhante à regra que você deseja criar. Em seguida, você pode
modificar a regra copiada para atender às suas necessidades.
Consulte “Para copiar e colar regras de firewall” na página 490.
Etapa 2 (Opcional) Após criar uma nova regra ou se desejar personalizar uma regra padrão, é possível
Personalizar modificar alguns dos critérios da regra de firewall.
os critérios da
regra de
firewall
Para adicionar uma regra de firewall nova

Você pode criar regras de firewall novas usando qualquer um dos seguintes
métodos:
Regra vazia Uma regra em branco permite todo o tráfego.
Consulte “Para adicionar uma regra de firewall vazia nova”

na página 488.
Assistente de Se você adicionar regras com o Assistente de Adição de regra de

Adição de regra de firewall, certifique-se de ter configurado a regra. O assistente não
firewall pode configurar regras novas com vários critérios.
Consulte “Para adicionar uma regra de firewall nova usando um

assistente ” na página 488.
Você deve especificar o tráfego de entrada e de saída na regra sempre que possível.
Não é necessário criar regras de entrada de tráfego, como HTTP. O cliente do
Symantec Endpoint Protection usa a inspeção com monitoração de estado para o
tráfego TCP. Portanto, não é necessária uma regra para filtrar o tráfego de retorno
que os clientes iniciam.
Quando você criar uma regra de firewall nova, ela será ativada automaticamente.
É possível desativar uma regra de firewall se for necessário permitir o acesso
específico a um computador ou programa. A regra é desativada para todas as
políticas herdadas.
No caso de uma política compartilhada, a regra também é desativada para todos
os locais e, no caso de uma política específica de local, é desativada apenas para
um local.
Nota: As regras devem ser ativadas para que o firewall as processe.
Para adicionar uma regra de firewall vazia nova

3 Na guia Regras, na lista Regras, clique em Adicionar regra em branco.
4 Opcionalmente, é possível personalizar os critérios da regra de firewall
conforme a necessidade.
5 Após concluir a configuração da regra, clique em OK.
Para adicionar uma regra de firewall nova usando um assistente
3 Na guia Regras, na lista Regras, clique em Adicionar regra.
4 No Assistente de Adição de regra de firewall, clique em Avançar.
5 No painel Selecionar tipo de regra, selecione um dos tipos de regra.
7 Digite os dados em cada painel para criar o tipo de regra que você selecionou.
8 Para aplicativos e hosts, clique em Adicionar mais para adicionar aplicativos
e serviços adicionais.
9 Quando tiver terminado, clique em Concluir.
10 Opcionalmente, é possível personalizar os critérios da regra de firewall
conforme a necessidade.

Importação e exportação de regras de firewall

É possível exportar e importar regras e configurações de firewall de outra política
de firewall para que não seja necessário criá-las novamente. Por exemplo, você
pode importar um conjunto parcial de regras de uma política para outra. Para
importar regras, primeiro é necessário exportá-las para um arquivo .dat e ter
acesso ao mesmo.
As regras serão adicionadas na mesma ordem em que estão relacionadas na política
pai em relação à linha azul. Depois, é possível alterar a ordem de processamento.
Para exportar regras de firewall
3 Na lista Regras, selecione as regras que deseja exportar, clique com o botão
direito do mouse e clique em Exportar.
4 Na caixa de diálogo Exportar política, localize um diretório onde salvar o
arquivo .dat, digite um nome de arquivo e clique em Exportar.
Para importar regras de firewall
3 Clique com o botão direito do mouse na lista Regras e clique em Importar.
4 Na caixa de diálogo Importar política, localize o arquivo .dat que contém as
regras de firewall a serem importadas e clique em Importar.
5 Na caixa de diálogo Entrada, digite o novo nome para a política e clique em
OK.
6 Clique em OK.
Para copiar e colar regras de firewall

Economize tempo ao criar uma regra de firewall nova copiando uma regra existente
que seja semelhante à regra nova que você deseja criar. Em seguida, você poderá
modificar a regra copiada conforme a necessidade.
Você pode copiar e colar regras da mesma política ou de outra.
Para copiar e colar regras de firewall
3 Na guia Regras, clique com o botão direito do mouse na regra que você deseja
copiar e, em seguida, clique em Copiar regra.
4 Clique com o botão direito do mouse na linha onde deseja colar a regra e, em
seguida, clique em Colar regra.
5 Clique em OK.
Personalização das regras de firewall

Quando uma Política de firewall é criada, ela inclui várias regras padrão. Você
pode modificar um ou vários componentes da regra, conforme a necessidade.
Os componentes de uma regra de firewall são:
Ações Os parâmetros de ação especificam que ações o firewall realizará quando

uma regra for correspondida com êxito. Se a regra for correspondida e
selecionada em resposta a um pacote recebido, o firewall realizará todas
as ações. O firewall permite ou bloqueia o pacote e realiza ou não seu log.
A regra especifica o acesso à rede se o firewall permite o tráfego. A regra
especifica que o tráfego não tem acesso à rede se o firewall bloquear o
tráfego.
As ações são:
■ Permitir
O firewall permite a conexão de rede.
■ Bloquear
O firewall bloqueia a conexão de rede.
Acionadores Quando o firewall avaliar a regra, todos os acionadores deverão ser

verdadeiros para que ocorra uma correspondência positiva. Se qualquer
acionador não for verdadeiro em relação ao pacote atual, o firewall não
poderá aplicar a regra. É possível combinar as definições de acionamento
para formar regras mais complexas, como identificar um protocolo em
particular em relação a um endereço específico de destino.
Os acionadores são:
■ Aplicativo
Quando o aplicativo for o único acionador definido em uma regra de
tráfego permitido, o firewall permitirá que o aplicativo execute qualquer
operação de rede. O aplicativo é o valor significativo, não as operações
de rede realizadas por ele. É possível definir acionadores adicionais
para descrever protocolos e hosts de rede específicos com os quais a
comunicação é permitida.
Consulte “Sobre acionadores do aplicativo de regras de firewall”
na página 474.
■ Host
Ao definir acionadores de host, você especifica o host nos dois lados
da conexão da rede descrita.
Normalmente, o que expressa a relação entre os hosts é a origem ou o
destino de uma conexão de rede.
■ Serviços de rede
Um acionador de serviço de rede identifica um ou mais protocolos de
rede significativos em relação ao tráfego da rede descrito.
O computador-host local sempre possui a porta local e o computador
remoto sempre possui a porta remota. Esta expressão do
relacionamento da porta independe da direção do tráfego.
Consulte “Sobre os acionadores dos serviços de rede da regra de
firewall” na página 483.
■ Adaptador de rede
Se um acionador de adaptador de rede for definido, a regra será
relevante somente para o tráfego transmitido ou recebido usando o
tipo de adaptador especificado. É possível especificar qualquer
adaptador ou aquele que está atualmente associado ao
computador-cliente.
na página 485.
Condições As condições da regra consistem no agendamento da regra e no estado da

proteção de tela.
Os parâmetros condicionais não descrevem um aspecto de uma conexão

de rede. Em vez disso, os parâmetros condicionais determinam o estado
de ação de uma regra. É possível definir um agendamento ou identificar
um estado de protetor de tela que dita quando a regra é considerada ativa
ou inativa. Os parâmetros condicionais são opcionais e, caso não sejam
configurados, eles não serão significativos. O firewall não avalia regras
inativas.
Notificações As configurações de log permitem especificar se o servidor criará uma

entrada de log ou enviará uma mensagem de e-mail quando um evento do
tráfego corresponder aos critérios que foram definidos para essa regra.
A configuração de gravidade permite especificar o nível de gravidade da

violação da regra.
Personalização das regras de firewall

3 Na guia Regras, na lista Regras, no campo Ativado, assegure-se de que a
caixa esteja selecionada para ativar a regra; desmarque a caixa para desativar
a regra.
O Symantec Endpoint Protection apenas processará as regras que você ativar.
Todas as regras estão ativadas por padrão.
4 Clique duas vezes no campo Nome e digite um nome exclusivo para a regra
de firewall.
5 Clique com o botão direito do mouse no campo Ação e selecione a ação que
você deseja que o Symantec Endpoint Protection execute se a regra for
acionada.
6 No campo Aplicativo, defina um aplicativo.
7 No campo Host especifique um acionador do host.
8 Além de especificar um acionador do host, você também pode especificar o
tráfego que tem permissão para acessar sua sub-rede local.
Consulte “Como permitir tráfego específico apenas para a sub-rede local”
na página 494.
9 No campo Serviço, especifique um acionador do serviço de rede.

Consulte “Como controlar se os computadores em rede podem compartilhar
mensagens, arquivos e impressão” na página 495.
10 No campo Log, especifique quando você deseja que o Symantec Endpoint
Protection envie uma mensagem de e-mail para você quando esta regra de
firewall for violada.
Consulte “Configuração de notificações para violações da regra de firewall”
na página 498.
11 Clique com o botão direito do mouse no campo Gravidade e selecione o nível
de gravidade de violação da regra.
12 Na coluna Adaptador, especifique um acionador do adaptador para a regra.
Consulte “Controle do tráfego que passar por um adaptador de rede”
na página 499.
13 Na coluna Hora, especifique os períodos de tempo em que esta regra será
ativada.
Consulte “Agendamento quando uma regra de firewall estiver ativa”
na página 500.
14 Clique com o botão direito do mouse no campo Proteção de tela e especifique
o estado em que a proteção de tela deve estar para que a regra seja ativada.
O campo Criado em não é editável. Se a política for compartilhado, o termo
Compartilhado aparecerá. Se a política não for compartilhada, o campo exibirá
o nome do grupo ao qual a política não compartilhada está atribuída.
15 Clique com o botão direito do mouse no campo Descrição, clique em Editar,
digite uma descrição opcional para a regra e clique em OK.
Bloqueio do tráfego em um servidor específico

Para bloquear o tráfego em um servidor específico, bloqueie o tráfego pelo endereço
IP, e não pelo nome de domínio ou nome do host. Do contrário, o usuário poderá
acessar com o endereço IP equivalente ao nome do host.
Para bloquear o tráfego em um servidor específico
3 Na guia Regras, na lista Regras, selecione a regra que você deseja editar,
clique com o botão direito do mouse no campo Host e clique em Editar.
4 Na caixa de diálogo Lista de hosts, tome uma das seguintes ações:
■ Clique em Origem/Destino.
■ Clique em Local/Remoto.
Para selecionar um Realize essas tarefas:

tipo de host na lista
■ Nas tabelas de Origem e destino ou Local e remoto, clique
suspensa Tipo
em Adicionar.
■ Na caixa de diálogo Host, selecione um tipo de host na lista
suspensa Tipo e digite as informações apropriadas para cada
tipo de host.
■ Clique em OK.
O host que você criou é ativado automaticamente.
Para selecionar um Na caixa de diálogo Lista de hosts, tome uma das seguintes
grupo de hosts ações:
■ Clique em Origem/Destino.
■ Clique em Local/Remoto.
Em seguida, na caixa de diálogo Lista de hosts, selecione a caixa

na coluna Ativado para qualquer grupo de hosts que você queira
adicionar à regra.
6 Se necessário, adicione mais hosts.

7 Clique em OK para retornar à lista Regras.
Consulte “Como adicionar grupos de hosts” na página 481.
Como permitir tráfego específico apenas para a sub-rede local

Você pode criar uma regra de firewall que permite tráfego específico apenas em
sua sub-rede local. Esta regra de firewall aplica-se sempre para seu endereço IP
local da sub-rede, independentemente do endereço. Portanto, mesmo se você
mudar seu endereço IP local da sub-rede, você nunca terá que modificar esta regra
para o endereço novo.
Por exemplo, é possível criar esta regra pra permitir tráfego para a porta 80 apenas
na sub-rede local, independentemente do endereço IP local da sub-rede.
Para permitir tráfego específico apenas para a sub-rede local
3 Na guia Regras, na lista Regras, selecione a regra que deseja editar.
4 Na tabela Regras de firewall, na coluna Host, clique duas vezes na regra para
a qual você deseja criar uma condição de tráfego para a sub-rede local.
5 No tipo de hosts para os quais esta regra se aplica (Local ou Remoto), clique
em Adicionar.
6 Clique na lista suspensa Tipo de endereço e selecione Sub-rede local.
7 Clique em OK e clique em seguida em OK novamente para fechar a caixa de
diálogo Lista de hosts.
Como controlar se os computadores em rede podem

compartilhar mensagens, arquivos e impressão
mensagens, arquivos compartilhados e impressão. É possível criar uma regra de
firewall que permita ou bloqueie os serviços de rede.
Você pode adicionar um serviço de rede personalizado através de uma regra de
firewall. Entretanto, esse serviço de rede não será adicionado à lista padrão. Não
é possível acessar o serviço personalizado de nenhuma outra regra.
Para controlar se os computadores em rede podem compartilhar mensagens,
arquivos e impressão
3 Na guia Regras, na lista Regras, selecione a regra que deseja editar, clique
com o botão direito do mouse no campo Serviço e clique em Editar.
4 Na caixa de diálogo Lista de serviços, selecione a caixa ao lado de cada serviço
que você deseja que acione a regra.
5 Para adicionar um serviço adicional somente para a regra selecionada, clique
em Adicionar.
6 Na caixa de diálogo Protocolo, selecione um protocolo na lista suspensa

Protocolo.
7 Preencha os campos adequados.
8 Clique em OK.
9 Clique em OK.
10 Clique em OK.
Consulte “Sobre os acionadores dos serviços de rede da regra de firewall”
na página 483.
Consulte “Como adicionar serviços de rede à lista dos serviços de rede padrão”
na página 483.
Para permitir que clientes procurem arquivos e impressoras

na rede
Você pode ativar o cliente para compartilhar seus arquivos ou para procurar
arquivos e impressoras compartilhados na rede local. Para impedir ataques
baseados em rede, convém não desativar o compartilhamento de arquivos e
impressoras de rede.
Você ativa o compartilhamento de arquivos e impressoras de rede adicionando
regras de firewall. As regras de firewall permitem o acesso às portas para procurar
e compartilhar arquivos e impressoras. Você cria uma regra de firewall para que
o cliente possa compartilhar arquivos. Você cria uma segunda regra de firewall
de modo que o cliente possa procurar outros arquivos e impressoras.
As configurações funcionam de maneira diferente com base no tipo de controle
que você especifica para seu cliente, da seguinte forma:
Controle do cliente ou Os usuários no cliente podem ativar estas configurações

controle misto automaticamente configurando-as em Proteção contra ameaças
à rede.
Controle misto Uma regra de firewall do servidor que especifica este tipo de
tráfego pode sobrepor estas configurações.
Controle do servidor Estas configurações não estão disponíveis no cliente.

Para permitir que clientes procurem arquivos e impressoras na rede

com o botão direito do mouse no campo Serviço e clique em Editar.
4 Na caixa de diálogo Lista de serviços, clique em Adicionar.
5 Na caixa de diálogo Protocolo, na lista suspensa Protocolo, clique em TCP e
em Local/Remoto.
Para permitir que Na lista suspensa Porta remota, digite 88, 135, 139, 445.
clientes procurem
arquivos e
impressoras na rede
Para ativar outros Na lista suspensa Porta local, digite 88, 135, 139, 445
computadores para
procurar arquivos no
cliente
7 Clique em OK.
8 Na caixa de diálogo Lista de serviços, clique em Adicionar.
9 Na caixa de diálogo Protocolo, na lista suspensa Protocolo, clique em UDP.
Para permitir que Na lista suspensa Porta local, digite 137, 138.
clientes procurem
Na lista suspensa Porta remota, digite 88
arquivos e
impressoras na rede
Para ativar outros Na lista suspensa Porta local, digite 88, 137, 138.
computadores para
procurar arquivos no
cliente
11 Clique em OK.
12 Na caixa de diálogo Lista de serviços, certifique-se de que os dois serviços
estejam ativados e clique em OK.
13 Na guia Regras, certifique-se de que o campo Ação esteja definido como

Permitir.
14 Após concluir a configuração da política, clique em OK.
Configuração de notificações para violações da regra de firewall

Você pode configurar o Symantec Endpoint Protection para enviar uma mensagem
de e-mail sempre que o firewall detectar uma violação de regra, um ataque ou um
evento. Por exemplo, você pode ser informado quando um cliente bloquear o
tráfego recebido de um endereço IP específico.
Para configurar notificações para violações da regra de firewall
3 Na guia Regras, selecione uma regra, clique com o botão direito no campo
Registro em log e execute um ou mais dos seguintes procedimentos:
Para enviar uma mensagem Marque Enviar alerta de e-mail.

de e-mail quando uma regra
de firewall for acionada
Para gerar um evento de log Marque Gravar em log de tráfego e Gravar em log de
quando uma regra de firewall pacote.
for acionada
4 Quando concluir a configuração dessa política, clique em OK.

5 Configure um alerta de segurança.
6 Configure um servidor de e-mails.
7 Clique em OK.
Controle do tráfego que passar por um adaptador de rede

Quando você definir um acionador do adaptador de rede, a regra será relevante
apenas para o tráfego que o adaptador especificado transmite ou recebe.
Você pode adicionar um adaptador de rede personalizado usando uma regra de
firewall. Entretanto, esse adaptador não será adicionado à lista compartilhada.
Não é possível acessar o adaptador personalizado de nenhuma outra regra.
Para controlar o tráfego que passar por um adaptador de rede
com o botão direito do mouse no campo Adaptador e clique em Mais
adaptadores.
4 Na caixa de diálogo Adaptador de rede, execute uma das seguintes ações:
Para acionar a regra a qualquer adaptador Clique em Aplicar esta regra a todos os
(mesmo se não estiver listado) adaptadores e, em seguida, vá para a
etapa 7.
Para acionar a regra para adaptadores Clique em Aplicar esta regra aos
selecionados seguintes adaptadores.
Em seguida, selecione a caixa ao lado de

cada adaptador que você queira que acione
a regra.
5 Para adicionar um adaptador personalizado apenas para a regra selecionada,

execute as tarefas a seguir:
■ Clique em Adicionar.
■ Na caixa de diálogo Adaptador de rede, selecione o tipo de adaptador e
digite o nome de sua marca no campo de texto Identificação do adaptador.
6 Clique em OK.
7 Clique em OK.
8 Clique em OK.

na página 485.
Agendamento quando uma regra de firewall estiver ativa

Você pode especificar um período de tempo em que uma regra de firewall estará
ativa.
Para agendar quando uma regra de firewall estiver ativa
3 Na guia Regras, selecione a regra que você deseja editar, clique com o botão
direito do mouse no campo Hora e, depois, clique em Editar.
4 Na caixa de diálogo Agendar lista, clique em Adicionar.
5 Na caixa de diálogo Adicionar agenda, configure a hora de início e a hora de
término em que deseja que a regra esteja ativa ou não.
6 Na lista suspensa Mês, selecione Todos ou um mês específico.
7 Selecione a caixa referente ao período de tempo que deseja.
Se você selecionar Especificar dias, marque um ou mais dos dias relacionados.
8 Clique em OK.
9 Na lista Agendar, execute uma das seguintes ações:
Para manter a regra ativa Desmarque a caixa na coluna Qualquer hora exceto.
neste período
Para fazer com que a regra Marque a caixa na coluna Qualquer hora exceto.
fique inativa neste período
10 Clique em OK.
Capítulo 21
Para gerenciar a prevenção
contra intrusões
■ Para gerenciar a prevenção contra intrusões em seu computador-cliente
■ Como a prevenção contra intrusões funciona
■ Sobre Symantec IPS signatures
■ Sobre as assinaturas IPS personalizadas
■ Ativação ou desativação da prevenção contra intrusões na rede ou prevenção

contra intrusões no navegador
■ Para criar exceções para assinaturas IPS
■ Para configurar uma lista de computadores excluídos
■ Configuração de notificações da prevenção contra intrusões do cliente
■ Para gerenciar assinaturas de prevenção contra intrusões personalizada
Para gerenciar a prevenção contra intrusões em seu

computador-cliente
As configurações padrão da prevenção contra intrusões protegem os
computadores-cliente contra uma grande variedade de ameaças. É possível alterar
as configurações padrão da rede.
502 Para gerenciar a prevenção contra intrusões
Para gerenciar a prevenção contra intrusões em seu computador-cliente
Tabela 21-1 Para gerenciar a prevenção contra intrusões
Tarefa Descrição
Saber mais sobre a prevenção contra Saiba como a prevenção contra intrusões detecta e bloqueia ataques à rede
intrusões e ao navegador.
Consulte “Sobre Symantec IPS signatures” na página 505.
Ativar ou desativar a prevenção contra Convém desativar a prevenção contra intrusões para fins de solução de
intrusões problemas ou se os computadores-cliente detectarem falsos positivos
excessivos. Porém, para manter seus computadores-cliente seguros,
normalmente você não deve desativar a prevenção contra intrusões.
Você pode ativar ou desativar os seguintes tipos de prevenção contra
intrusões na Política de prevenção contra intrusões:
■ Prevenção contra intrusões na rede

■ Prevenção contra intrusão no navegador
Consulte “Ativação ou desativação da prevenção contra intrusões na rede

ou prevenção contra intrusões no navegador” na página 507.
Você também poderá ativar ou desativar ambos os tipos de prevenção contra

intrusões, assim como o firewall, quando executar o comando Ativar
proteção contra ameaças à rede ou Desativar proteção contra ameaças à
rede.
Consulte “Para executar comandos no computador-cliente através do

console” na página 250.
Para gerenciar a prevenção contra intrusões 503
Para gerenciar a prevenção contra intrusões em seu computador-cliente
Tarefa Descrição
Criar exceções o comportamento para Convém criar exceções para alterar o comportamento padrão das
alterar o padrão de assinaturas da assinaturas padrão da prevenção contra intrusões à rede da Symantec.
Prevenção contra intrusões na rede da Algumas assinaturas bloqueiam o tráfego por padrão e outras assinaturas
Symantec permitem o tráfego por padrão.
Nota: Você não pode mudar o comportamento de assinaturas da prevenção
contra intrusões no navegador.
Convém mudar o comportamento padrão de algumas assinaturas da rede

pelas seguintes razões:
■ Reduzir o consumo em seu computador-cliente.

Por exemplo, talvez você queira reduzir o número de assinaturas que
bloqueiam o tráfego. Certifique-se, porém, de que uma assinatura de
ataque não ofereça nenhuma ameaça antes de excluí-la do bloqueio.
■ Permitir algumas assinaturas de rede que a Symantec bloqueia por
padrão.
Por exemplo, talvez você queira criar exceções para reduzir falsos
positivos quando a atividade benigna da rede corresponder a uma
assinatura de ataque. Se você souber que a atividade da rede é segura,
será possível criar uma exceção.
■ Bloquear algumas assinaturas que a Symantec permite.
Por exemplo, a Symantec inclui assinaturas para aplicativos ponto a
ponto e permite o tráfego por padrão. Você pode criar exceções para
bloquear o tráfego.
Consulte “Para criar exceções para assinaturas IPS” na página 508.
Você pode usar o controle de aplicativos para impedir que os usuários

executem aplicativos ponto a ponto em seus computadores.
Consulte “Regras típicas do controle de aplicativos” na página 531.
Se desejar bloquear as portas que enviam e recebem o tráfego ponto a ponto,

use uma política de firewall.
Criar exceções para ignorar assinaturas Você pode criar exceções para excluir assinaturas do navegador da
do navegador em computadores-cliente prevenção contra intrusão no navegador.
Talvez você queira ignoras assinaturas do navegador se a prevenção contra

intrusão no navegador causar problemas com navegadores em sua rede.

Como a prevenção contra intrusões funciona
Tarefa Descrição
Excluir computadores específicos das Talvez você queira excluir determinados computadores da prevenção contra
verificações da prevenção contra intrusões. Por exemplo, alguns computadores na sua rede interna podem
intrusões estar configurados para testes. É possível que você queira que o Symantec
Endpoint Protection ignore o tráfego que entra e sai desses computadores.
Quando excluir os computadores, você também os excluirá da proteção

contra negação de serviço e da proteção da verificação de portas que o
firewall fornece.
Consulte “Para configurar uma lista de computadores excluídos”

na página 509.
Configurar as notificações da prevenção Por padrão, as mensagens aparecem nos computadores-cliente para
contra intrusões tentativas de intrusão. Você pode personalizar a mensagem.
Consulte “Configuração de notificações da prevenção contra intrusões do

Criar assinaturas de Prevenção contra Você pode gravar sua própria assinatura de prevenção contra intrusões
intrusões personalizada para identificar uma ameaça específica. Quando você gravar sua própria
assinatura, será possível reduzir a possibilidade de a assinatura causar um
falso positivo.
Por exemplo, convém usar assinaturas de Prevenção contra intrusões

personalizada para bloquear e registrar sites.
Consulte “Para gerenciar assinaturas de prevenção contra intrusões

personalizada” na página 512.
Monitorar a prevenção contra intrusões Verifique regularmente que a prevenção contra intrusões esteja ativada
nos computadores-cliente em sua rede.
Como a prevenção contra intrusões funciona

A prevenção contra intrusões faz parte da Proteção contra ameaças à rede.
A prevenção contra intrusões detecta e bloqueia automaticamente ataques à rede
e ataques a navegadores. A prevenção contra intrusões é a segunda camada de
defesa depois do firewall para proteger computadores-cliente. A prevenção contra
intrusões é às vezes chamada de sistema de prevenção contra intrusões (IPS,
Intrusion Prevention System).
A prevenção contra intrusões intercepta dados na camada da rede. Ela usa
assinaturas para verificar pacotes ou fluxos de pacotes. Ela verifica cada pacote
individualmente procurando padrões que correspondam a ataques à rede ou ao
Sobre Symantec IPS signatures
navegador. A prevenção contra intrusões detecta ataques a componentes do

sistema operacional e à camada do aplicativo.
A prevenção contra intrusões fornece dois tipos de proteção.
Tabela 21-2 Tipos de prevenção contra intrusões
Tipo Descrição
Prevenção contra A prevenção contra intrusão na rede usa assinaturas para identificar ataques em
intrusões na rede computadores-cliente. Para ataques conhecidos, a prevenção contra intrusões descartará
automaticamente os pacotes que corresponderem às assinaturas.
Você também pode criar suas próprias assinaturas de rede personalizadas como parte de
uma Política de prevenção contra intrusões. Você não pode criar assinaturas personalizadas
no cliente diretamente; porém, é possível importar assinaturas personalizadas para o
cliente.
Consulte “Sobre Symantec IPS signatures” na página 505.
Prevenção contra A prevenção contra intrusão no navegador monitora ataques no Internet Explorer e no
intrusão no navegador Firefox. A prevenção contra intrusão no navegador não é suportada em nenhum outro
navegador.
O Firefox pode desativar o plug-in do Symantec Endpoint Protection, mas você poderá
reativá-lo.
Este tipo de prevenção contra intrusões usa assinaturas de ataque, assim como heurística,
para identificar ataques a navegadores.
Para alguns ataques ao navegador, a prevenção contra intrusões exige que o cliente encerre
o navegador. Uma notificação aparecerá no computador-cliente.
Veja o seguinte artigo da Base de conhecimento para obter as últimas informações sobre
os navegadores que a prevenção contra intrusão no navegador protege: Supported browser
versions for browser intrusion prevention (em inglês).

na página 501.
Sobre Symantec IPS signatures

As assinaturas da Prevenção contra intrusões da Symantec são instaladas no
cliente por padrão.
na página 501.
A prevenção contra intrusões usa as assinaturas da Symantec para monitorar
pacotes individuais ou fluxos de pacotes. Para os fluxos de pacotes, a prevenção
Sobre as assinaturas IPS personalizadas
contra intrusões pode se lembrar da lista de padrões ou de padrões parciais dos

pacotes anteriores. Em seguida, ela pode aplicar essas informações a inspeções
de pacotes subsequentes.
As assinaturas da Symantec incluem assinaturas para a prevenção contra intrusões
na rede e no navegador.
Assinaturas da prevenção As assinaturas de rede fazem a correspondência de padrões

contra intrusões na rede de ataque que possam travar aplicativos ou explorar
sistemas operacionais em seus computadores-cliente.
Você pode mudar se a assinatura de rede da Symantec

bloqueará ou permitirá o tráfego. Você também pode mudar
até mesmo se o Symantec Endpoint Protection registrará
em log uma detecção de uma assinatura no Log de segurança.
Assinaturas da Prevenção As assinaturas de navegador fazem a correspondência de

contra intrusões no padrões de ataque em navegadores suportados, como
navegador arquivos de script que possam travar o navegador.
Você não pode personalizar a configuração de ação ou log

para assinaturas de navegador, mas pode excluir uma
assinatura de navegador.

A equipe do Symantec Security Response fornece as assinaturas de ataque. O
mecanismo de prevenção contra intrusões e o conjunto correspondente de
assinaturas são instalados no cliente por padrão. As assinaturas fazem parte do
conteúdo que você atualiza no cliente.
Você pode exibir as informações sobre assinaturas IPS na seguinte página do site
da Symantec:
Assinaturas de ataque
Sobre as assinaturas IPS personalizadas

Você pode criar suas próprias assinaturas IPS da rede. Estas assinaturas são
baseadas em pacotes.
Diferentemente das assinaturas da Symantec, as assinaturas personalizadas
verificam somente atividades de pacotes únicos. Porém, as assinaturas
personalizadas podem detectar ataques na pilha TCP/IP antes das assinaturas da
Symantec.
As assinaturas baseadas em pacotes examinam um único pacote que corresponda
a uma regra. A regra baseia-se em vários critérios, como porta, protocolo, origem
Ativação ou desativação da prevenção contra intrusões na rede ou prevenção contra intrusões no navegador
ou endereço IP de destino, número que sinaliza o TCP ou aplicativo. Por exemplo,

uma assinatura personalizada pode monitorar os pacotes de informação recebidos
por uma string "phf" em GET / cgi-bin/phf? como um indicador de ataque a um
programa CGI. Cada pacote é avaliado de acordo com esse padrão específico. Se
o pacote de tráfego corresponder à regra, o cliente permitirá ou bloqueará o pacote.
Você pode especificar se o Symantec Endpoint Protection registra em log uma
detecção das assinaturas personalizadas no log de pacotes.
Consulte “Para gerenciar assinaturas de prevenção contra intrusões personalizada”
na página 512.
Ativação ou desativação da prevenção contra

intrusões na rede ou prevenção contra intrusões no
navegador
Você pode ativar ou desativar qualquer tipo de prevenção contra intrusões.
Geralmente, você não deve desativar qualquer tipo de prevenção contra intrusões.
na página 501.
Você também pode excluir computadores específicos da prevenção contra intrusões
na rede.
Consulte “Para configurar uma lista de computadores excluídos” na página 509.

Ativação ou desativação da prevenção contra intrusões na rede ou prevenção contra
intrusões no navegador
1 No console, abra uma política de prevenção contra intrusões.
2 Na página Política de prevenção contra intrusões, clique em Configurações.
3 Selecione ou desmarque as seguintes opções:
■ Ativar prevenção contra intrusões na rede
■ Ativar Prevenção contra intrusões no navegador
Para criar exceções para assinaturas IPS
4 Clique no ícone para bloquear ou desbloquear estas opções nos

computadores-cliente. Quando bloquear uma opção, você impedirá que o
usuário altere a opção.
5 Clique em OK.
Para criar exceções para assinaturas IPS

Você pode criar exceções para executar as seguintes ações:
■ Mudar o comportamento padrão de assinaturas da rede IPS.
■ Especificar as assinaturas do navegador que os computadores-cliente devem
ignorar.
Você poderá alterar a ação executada pelo cliente quando o IPS reconhecer uma
assinatura de rede. Também é possível alterar se o cliente registrar o evento no
Log de segurança.
Você não pode mudar o comportamento de assinaturas do navegador da Symantec;
diferentemente das assinaturas da rede, as assinaturas do navegador não permitem
configurações personalizadas de ação e registro em log. Porém, é possível criar
uma exceção para uma assinatura do navegador de modo que os clientes ignorem
a assinatura.
Nota: Quando você adicionar uma exceção da assinatura do navegador, o Symantec

Endpoint Protection Manager incluirá a assinatura nas lista de exceções e definirá
automaticamente a ação para Permitir e a configuração de log para Não bloquear.
Você não pode personalizar a ação ou a configuração de log.

na página 501.
Nota: Para alterar o comportamento de uma assinatura IPS personalizada criada

ou importada, edite a assinatura diretamente.
Para alterar o comportamento das assinaturas de rede IPS da Symantec

2 Na página Política de prevenção contra intrusões, clique em Exceções e, em
seguida, clique em Adicionar.
3 Na caixa de diálogo Adicionar exceções de prevenção contra intrusões,
execute uma das ações a seguir para filtrar as assinaturas:
Para configurar uma lista de computadores excluídos
■ Para exibir as assinaturas de uma categoria específica, selecione uma

opção na lista suspensa Exibir categoria.
■ Para exibir as assinaturas classificadas com uma gravidade específica,
selecione uma opção na lista suspensa Exibir gravidade.
4 Selecione uma ou mais assinaturas.

Para tornar igual o comportamento de todas as assinaturas de rede, clique
em Selecionar tudo.
6 Na caixa de diálogo Ação da assinatura, defina a ação como Bloquear ou
Permitir.
Nota: A caixa de diálogo Ação da assinatura apenas se aplica a assinaturas

de rede.
7 Opcionalmente, defina a ação como Registrar o tráfego ou Não registrar o

tráfego.
8 Clique em OK.
Se deseja voltar para o comportamento original da assinatura de rede,
selecione a assinatura e clique em Excluir.
Se desejar que os clientes usem a assinatura do navegador e não a ignorem,
selecione a assinatura e clique em Excluir.
9 Clique em OK.

É possível definir uma lista de computadores nos quais o cliente não compara
assinaturas de ataque, não procura verificações de portas ou ataques de negação
de serviço. O cliente permite todo o tráfego de entrada e saída desses hosts,
independentemente das regras e configurações de firewall ou das assinaturas IPS.
Convém configurar uma lista de computadores a excluir da prevenção contra
intrusões. Computadores podem executar algum software legítimo que a prevenção
contra intrusões detecta como uma ameaça. Por exemplo, é possível executar um
verificador de vulnerabilidade em sua rede. A prevenção contra intrusões bloqueia
o verificador de vulnerabilidade quando ele é executado. Você pode excluir o
endereço IP do verificador de vulnerabilidade da detecção de prevenção contra
intrusões.
Você também pode excluir computadores para permitir que um provedor de

serviços da Internet verifique as portas em sua rede para assegurar a conformidade
com seus contratos de serviço. Ou você pode ter computadores na sua rede interna
que deseja configurar para testes.
Nota: Também é possível configurar uma lista de computadores que permita todo
tráfego de entrada e saída, exceto se uma assinatura IPS detectar um ataque. Nesse
caso, crie uma regra de firewall que permita todos os hosts.

2 Na página Política de prevenção contra intrusões, clique em Configurações.
3 Se ainda não estiver marcado, marque Ativar hosts excluídos e clique em
Hosts excluídos.
4 Na caixa de diálogo Hosts excluídos, marque Ativado ao lado de qualquer
grupo de hosts que você queira excluir.
5 Para adicionar os hosts que deseja excluir, clique em Adicionar.
6 Na caixa de diálogo Host, na lista suspensa, selecione um destes tipos de host:
■ endereço IP
■ Faixa de IP
■ Sub-rede
7 Insira as informações corretas associadas ao tipo de host selecionado.

8 Clique em OK.
9 Repita as etapas 5 e 8 para adicionar dispositivos e computadores adicionais
à lista de computadores excluídos.
10 Para editar ou excluir um dos hosts excluídos, selecione uma linha e clique
em Editar ou Excluir.
11 Clique em OK.
12 Após configurar a política, clique em OK.
Configuração de notificações da prevenção contra intrusões do cliente
Configuração de notificações da prevenção contra

intrusões do cliente
Por padrão, as notificações aparecem em computadores-cliente quando o cliente
detecta eventos de proteção contra intrusões. Quando estas notificações são
ativadas, elas exibem uma mensagem padrão. Você pode adicionar texto
personalizado à mensagem padrão.
Para configurar as notificações da Prevenção contra intrusões de acordo com o
cliente
1 No console, clique em Clientes e, em Clientes, selecione um grupo.
em Tarefas e em Editar configurações.
4 Na caixa de diálogo Configurações de controle da interface do cliente para
nome do grupo, clique em Controle misto ou Controle do servidor.
5 Ao lado de Controle misto ou de Controle do servidor, clique em Personalizar.
Se você clicar em Controle misto na guia Configurações de controle de
cliente/servidor, ao lado de Exibir/ocultar notificações da prevenção contra
intrusões, clique em Servidor. Depois clique na guia Configurações de
6 Na caixa de diálogo ou guia Configurações de interface de usuário do cliente,
clique em Exibir notificações da Prevenção contra intrusões.
7 Para ativar um bipe quando a notificação for exibida, clique em Usar som ao
notificar os usuários.
8 No campo de texto Número de segundos para exibição das notificações,
digite o número de segundos em que você deseja que a notificação apareça.
9 Para adicionar texto à notificação padrão que é exibida, clique em Texto
adicional.
10 Na caixa de diálogo Texto adicional, digite o texto adicional que você deseja
que a notificação exiba e clique em OK.
11 Clique em OK.
12 Clique em OK.
na página 501.
Para gerenciar assinaturas de prevenção contra intrusões personalizada
Para gerenciar assinaturas de prevenção contra

intrusões personalizada
Você pode gravar suas próprias assinaturas de prevenção contra intrusão na rede
para identificar uma intrusão específica e reduzir a possibilidade de que as
assinaturas criem um falso positivo. Quanto mais informações você puder adicionar
a uma assinatura personalizada, mais eficiente ela será.
Aviso: Você deve estar familiarizado com os protocolos TCP, UDP ou ICMP antes
de desenvolver as assinaturas de prevenção contra intrusões. Uma assinatura
formada incorretamente pode corromper a biblioteca de assinaturas personalizada
e danificar a integridade dos clientes.
Tabela 21-3 Para gerenciar assinaturas de prevenção contra intrusões

personalizada
Tarefa Descrição
Criar uma biblioteca personalizada com Você deve criar uma biblioteca personalizada para conter suas assinaturas
um grupo de assinaturas personalizadas. Quando criar uma biblioteca personalizada, você usará
grupos de assinatura para gerenciar as assinaturas mais facilmente. Você
deve adicionar pelo menos um grupo de assinaturas a uma biblioteca de
assinaturas personalizadas antes de adicionar as assinaturas.
Consulte “Criação de uma biblioteca IPS personalizada” na página 513.
Adicionar assinaturas IPS Você adiciona assinaturas IPS personalizadas a um grupo de assinaturas
personalizadas a uma biblioteca em uma biblioteca personalizada.
personalizada
Consulte “Para adicionar assinaturas a uma biblioteca IPS personalizada”
na página 514.
Atribuir bibliotecas a grupos de clientes Você atribui bibliotecas personalizadas a grupos de clientes em vez de a
um local.
Consulte “Atribuição de várias bibliotecas IPS personalizadas a um grupo”

na página 516.
Tarefa Descrição
Alterar a ordem das assinaturas A prevenção contra intrusões usa a primeira correspondência de regra. O
Symantec Endpoint Protection verifica as assinaturas na ordem em que
estão listadas na lista de assinaturas.
Por exemplo, se você adicionar um grupo de assinaturas para bloquear
tráfego TCP nas duas direções na porta de destino 80, poderá adicionar as
seguintes assinaturas:
■ Bloquear todo o tráfego na porta 80.

■ Permitir todo o tráfego na porta 80.
Se a assinatura Bloquear todo o tráfego estiver listada primeiro, a assinatura

Permitir todo o tráfego nunca será executada. Se a assinatura Permitir todo
o tráfego estiver listada primeiro, a assinatura Bloquear todo o tráfego
nunca será executada e todo tráfego HTTP será sempre permitido.
Nota: As regras de firewall tomam a precedência sobre as assinaturas de
prevenção contra intrusões.
Consulte “Alteração da ordem de assinaturas IPS personalizadas”

na página 516.
Copiar e colar assinaturas Você pode copiar e colar as assinaturas entre os grupos e entre as
bibliotecas.
Consulte “Para copiar e colar assinaturas IPS personalizadas” na página 517.
Definir variáveis para assinaturas Ao adicionar uma assinatura personalizada, é possível usar variáveis para
representar dados sujeitos a alterações em assinaturas. Se os dados forem
alterados, você poderá editar a variável em vez de editar as assinaturas da
biblioteca.
Consulte “Definição de variáveis para assinaturas IPS personalizadas”

na página 518.
Testar assinaturas personalizadas Você deve testar as assinaturas de Prevenção contra intrusões personalizada
para se certificar de que funcionem.
Consulte “Para testar assinaturas IPS personalizadas” na página 519.
Criação de uma biblioteca IPS personalizada

Você cria uma biblioteca IPS personalizada para conter suas assinaturas IPS
personalizadas.
na página 512.
Para criar uma biblioteca IPS personalizada

1 No console, clique em Políticas e, em seguida, clique em Prevenção contra
intrusões.
2 Em Tarefas, clique em Adicionar assinaturas de prevenção contra intrusões
personalizada.
3 Na caixa de diálogo Assinaturas de prevenção contra intrusões
personalizada, digite um nome e uma descrição opcional para a biblioteca.
O Grupo NetBIOS é um grupo de assinatura de exemplo com uma assinatura
de amostra. Você pode editar o grupo existente ou adicionar um novo grupo.
4 Para adicionar um novo grupo, na guia Assinaturas, na lista Grupos de
assinatura, clique em Adicionar.
5 Na caixa de diálogo Grupo de assinatura de prevenção contra intrusões,
digite um nome de grupo e descrição opcional e, em seguida, clique em OK.
O grupo é ativado por padrão. Se o grupo de assinatura estiver ativado, todas
as assinaturas no grupo serão ativadas automaticamente. Para reter o grupo
para referência, mas desativá-lo, desmarque Ativar esse grupo.
6 Adicione uma assinatura personalizada.
Consulte “Para adicionar assinaturas a uma biblioteca IPS personalizada”
na página 514.
Para adicionar assinaturas a uma biblioteca IPS personalizada

Você adiciona assinaturas da prevenção contra intrusões personalizada a uma
biblioteca IPS personalizada nova ou existente.
na página 512.
Para adicionar uma assinatura personalizada
1 Crie uma biblioteca IPS personalizada.
Consulte “Criação de uma biblioteca IPS personalizada” na página 513.
2 Na guia Assinaturas, em Assinaturas para esse grupo, clique em Adicionar.
3 Na caixa de diálogo Adicionar assinatura, digite um nome e descrição opcional
para a assinatura.
4 Na lista suspensa Gravidade, selecione um nível.
Os eventos que corresponderem às condições de assinatura são registrados
com essa gravidade.
5 Na lista suspensa Direção, especifique a direção do tráfego que deseja que a

assinatura verifique.
6 No campo Conteúdo, digite a sintaxe da assinatura.
Por exemplo, as assinaturas de alguns protocolos comuns usam a seguinte
sintaxe:
HTTP rule tcp, dest=(80,443), saddr=$LOCALHOST,

msg="MP3 GET in HTTP detected",
regexpcontent="[Gg][Ee][Tt] .*[Mm][Pp]3 .*"
FTP rule tcp, dest=(21), tcp_flag&ack, saddr=$LOCALHOST,

msg="MP3 GET in FTP detected",
regexpcontent="[Rr][Ee][Tt][Rr] .*[Mm][Pp]3\x0d\x0a"
Para obter mais informações sobre a sintaxe, clique em Ajuda
7 Se deseja que um aplicativo acione a assinatura, clique em Adicionar.

8 Na caixa de diálogo Adicionar aplicativo, digite o nome de arquivo e uma
descrição opcional do aplicativo.
Por exemplo, para adicionar o aplicativo Internet Explorer, digite o nome do
arquivo como iexplore ou iexplore.exe. Se você não especificar um nome de
arquivo, qualquer aplicativo pode acionar a assinatura.
9 Clique em OK.
O aplicativo adicionado será ativado por padrão. Se deseja desativar o
aplicativo mais tarde, desmarque a caixa de seleção na coluna Ativado.
10 Na caixa do grupo Ação, selecione a ação que deseja que o cliente realize
quando a assinatura detectar o evento:
Bloquear Identifica e bloqueia o evento ou o ataque e o grava no Log de segurança
Permitir Identifica e permite o evento ou o ataque e o grava no Log de segurança
11 Para gravar o evento ou o ataque no Log de pacotes, selecione Gravar em log

de pacote.
12 Clique em OK.
A assinatura adicionada será ativada por padrão. Se deseja desativar a
assinatura mais tarde, desmarque a caixa de seleção na coluna Ativado.
13 Você pode acrescentar assinaturas adicionais. Após concluir, clique em OK.

14 Se você for solicitado, atribua as assinaturas IPS personalizadas a um grupo.
Você também pode atribuir várias bibliotecas IPS personalizadas a um grupo.
Consulte “Atribuição de várias bibliotecas IPS personalizadas a um grupo”
na página 516.
Atribuição de várias bibliotecas IPS personalizadas a um grupo

Após criar uma biblioteca IPS personalizada, atribua a biblioteca a um grupo, em
vez de atribuí-la a um local individual. Mais tarde, você poderá atribuir outras
bibliotecas IPS personalizadas ao grupo.
na página 512.
Para atribuir várias bibliotecas IPS personalizadas a um grupo
2 Em Clientes, selecione o grupo ao qual você quer atribuir as assinaturas
personalizadas.
clique em Prevenção contra intrusões personalizada.
4 Na caixa de diálogo Prevenção contra intrusões personalizada para nome
do grupo, marque a caixa de seleção na coluna Ativada de cada biblioteca
IPS personalizada que desejar atribuir àquele grupo.
5 Clique em OK.
Alteração da ordem de assinaturas IPS personalizadas

O mecanismo IPS para assinaturas personalizadas verifica as assinaturas na ordem
em que estão relacionadas na lista de assinaturas. Apenas uma assinatura é
acionada por pacote. Quando uma assinatura corresponder a um pacote de tráfego
de entrada de saída, o mecanismo IPS interromperá a verificação de outras
assinaturas. Para que o mecanismo IPS execute as assinaturas na ordem correta,
você pode alterar a ordem delas na lista de assinaturas. Se várias assinaturas
corresponderem, mova as de prioridade mais alta para o topo.
Por exemplo, se você adicionar um grupo de assinaturas para bloquear tráfego
TCP nas duas direções na porta de destino 80, poderá adicionar as seguintes
assinaturas:
■ Bloquear todo o tráfego na porta 80.
■ Permitir todo o tráfego na porta 80.
Se a assinatura Bloquear todo o tráfego estiver listada primeiro, a assinatura

Permitir todo o tráfego nunca será executada. Se a assinatura Permitir todo o
tráfego estiver listada primeiro, a assinatura Bloquear todo o tráfego nunca será
executada e todo tráfego HTTP será sempre permitido.
Nota: As regras de firewall tomam a precedência sobre as assinaturas de prevenção

contra intrusões.

na página 512.
Para alterar a ordem de assinaturas IPS personalizadas
1 Abra a biblioteca IPS personalizada.
2 Na guia Assinaturas, na tabela Assinaturas para esse grupo, selecione a
assinatura que você deseja mover e execute uma das ações a seguir:
■ Para processar essa assinatura antes da que está acima dela, clique em
Mover para cima.
■ Para processar essa assinatura depois da que está abaixo dela, clique em
Mover para baixo.
3 Quando terminar de configurar essa biblioteca, clique em OK.
Para copiar e colar assinaturas IPS personalizadas

Você pode copiar e colar assinaturas no mesmo grupo de assinaturas, entre grupos
de assinaturas, ou entre bibliotecas de assinaturas. Por exemplo, você pode se dar
conta que adicionou uma assinatura ao grupo de assinaturas errado. Também é
possível que você queira ter duas assinaturas quase idênticas.
na página 512.
Para copiar e colar assinaturas IPS personalizadas
1 Abra a biblioteca IPS personalizada.
2 Na caixa de diálogo Assinatura de prevenção contra intrusões personalizada,
na guia Assinaturas, na tabela Assinaturas para esse grupo, clique com o
botão direito do mouse na assinatura que deseja copiar e clique em Copiar.
3 Clique com o botão direito do mouse na lista de assinaturas e, em seguida,
clique em Colar.
4 Quando terminar de configurar esta biblioteca, clique em OK.
Definição de variáveis para assinaturas IPS personalizadas

Ao adicionar uma assinatura IPS personalizada, é possível usar variáveis para
representar dados sujeitos a alterações em assinaturas. Se os dados forem
alterados, você poderá editar a variável em vez de editar as assinaturas da
biblioteca.
na página 512.
Para usar as variáveis na assinatura, você precisará defini-las. As variáveis
definidas na biblioteca de assinaturas personalizadas podem ser usadas em
qualquer assinatura dessa biblioteca.
Você pode copiar e colar o conteúdo da variável de amostra existente para começar
como uma base para criar conteúdo.
Para definir variáveis para assinaturas IPS personalizadas
1 Crie uma biblioteca IPS personalizada.
2 Na caixa de diálogo Assinaturas de prevenção contra intrusões
personalizada, clique na guia Variáveis.
3 Clique em Adicionar.
4 Na caixa de diálogo Adicionar variável, digite um nome e descrição opcional
para a variável.
5 Adicione uma string de conteúdo de até 255 caracteres para o valor da variável.
Ao inserir a string de conteúdo da variável, siga as mesmas orientações de
sintaxe que você usa para inserir valores no conteúdo da assinatura.
6 Clique em OK.
Depois de adicionar a variável à tabela, você poderá usá-la em qualquer
assinatura da biblioteca personalizada.
Para usar variáveis em assinaturas IPS personalizadas
1 Na guia Assinaturas, adicione ou edite uma assinatura.
2 Na caixa de diálogo Adicionar assinatura ou em Editar assinatura, no campo
Conteúdo, digite o nome da variável com um sinal de cifrão ($) na frente.
Por exemplo, se você criar uma variável chamada HTTP para especificar
portas HTTP, digite o seguinte:
$HTTP
3 Clique em OK.
4 Quando terminar de configurar esta biblioteca, clique em OK.
Para testar assinaturas IPS personalizadas

Após criar assinaturas IPS personalizadas, é necessário testá-las para certificar-se
de que funcionam corretamente.
Tabela 21-4 Como testar assinaturas IPS personalizadas
Etapa 1 Certificar-se de que os A próxima vez que o cliente receber a política, deverá aplicar as
clientes usam a política atual novas assinaturas personalizadas.
de prevenção contra
Consulte “Como os computadores-cliente obtêm atualizações da
intrusões
política” na página 328.
Etapa 2 Testar o conteúdo da Você deve testar o tráfego que deseja bloquear nos
assinatura no cliente computadores-cliente.
Por exemplo, se suas assinaturas IPS personalizadas bloquearem

arquivos MP3, tente fazer o download de alguns arquivos MP3
para os computadores-cliente. Se o download não ocorrer ou
atingir o tempo limite depois de muitas tentativas, as assinatura
IPS personalizadas terá êxito.
Você pode clicar em Ajuda para obter mais informações sobre a

sintaxe que você pode usar em assinaturas IPS personalizadas.
Etapa 3 Exibir eventos bloqueados no Você pode exibir eventos nos logs do ataque à proteção contra
Symantec Endpoint ameaças à rede. A mensagem que você especifica na assinatura
Protection Manager IPS personalizada aparece no log.

na página 512.
Capítulo 22
Para gerenciar o controle
de dispositivos e aplicativos
■ Sobre o controle de dispositivos e aplicativos
■ Sobre Políticas de controle de dispositivos e aplicativos
■ Sobre a estrutura de uma política de controle de dispositivos e aplicativos
■ Configuração do controle de dispositivos e aplicativos
■ Ativação de um conjunto de regras de controle de aplicativos padrão
■ Criação de regras personalizadas do controle de aplicativos
■ Configuração do bloqueio do sistema
■ Gerenciamento do controle de dispositivos
Sobre o controle de dispositivos e aplicativos

Você pode usar o controle de dispositivos e aplicativos para monitorar e controlar
o comportamento dos aplicativos em computadores-cliente e gerenciar os
dispositivos de hardware que acessam os computadores-cliente. Você também
pode controlar aplicativos configurando o bloqueio do sistema para permitir
apenas os aplicativos aprovados nos computadores-cliente.
Nota: O controle de aplicativos e o controle de dispositivos são suportados em

computadores de 32 bits e de 64 bits.
522 Para gerenciar o controle de dispositivos e aplicativos
Sobre o controle de dispositivos e aplicativos
Use uma Política de controle de dispositivos e aplicativos para configurar o controle

de aplicativos e de dispositivos em computadores-cliente. Use a guia Políticas na
página Clientes para configurar o bloqueio do sistema.
Aviso: O controle de aplicativos e o bloqueio do sistema são recursos de segurança

avançada que somente administradores experientes devem configurar.
Um resumo dos recursos do controle de dispositivos e aplicativos é dado aqui.
Controle de aplicativos Você pode usar o controle de aplicativos para controlar

aplicativos das seguintes maneiras:
■ Impedir que malware assuma o controle de aplicativos

■ Restringir os aplicativos que podem ser executados
■ Impedir usuários de alterar arquivos de configuração
■ Proteger chaves do registro específicas
■ Proteger pastas específicas como WINDOWS\system
Controle de dispositivos Você pode usar o controle de dispositivos para controlar

dispositivos das seguintes maneiras:
■ Bloquear ou permitir tipos diferentes de dispositivos que

se conectam a computadores-cliente, como dispositivos
USB, infravermelho e FireWire
■ Bloquear ou permitir portas seriais e portas paralelas
Bloqueio do sistema Você pode usar o bloqueio do sistema para controlar

aplicativos das seguintes maneiras:
■ Controlar os aplicativos em seus computadores-cliente.

■ Bloquear virtualmente qualquer Cavalo de Troia, spyware
ou malware que tente ser executado ou carregado em
um aplicativo existente.
O bloqueio do sistema assegura que o seu sistema permaneça

em um estado conhecido e confiável.
Nota: Se você não implementar o bloqueio do sistema com
cuidado, poderá causar problemas graves em sua rede. A
Symantec recomenda que você implemente o bloqueio do
sistema em fases específicas.
Consulte “Configuração do bloqueio do sistema”

na página 541.
Consulte “Sobre Políticas de controle de dispositivos e aplicativos” na página 523.

Para gerenciar o controle de dispositivos e aplicativos 523
Sobre Políticas de controle de dispositivos e aplicativos
Sobre Políticas de controle de dispositivos e

aplicativos
Você pode implementar o controle de acesso ou de dispositivos em
computador-cliente usando uma Política de controle de dispositivos e aplicativos.
Você pode atribuir somente uma Política de controle de dispositivos e aplicativos
de cada vez a um grupo ou a um local.
Por padrão, há uma Política de controle de dispositivos e aplicativos no servidor
de gerenciamento. Porém, o driver da Política de controle de dispositivos e
aplicativos está desativado por padrão no cliente. Para ativar o driver, é necessário
ativar uma regra existente ou adicionar e ativar uma nova regra na política. Depois
que a política for aplicada ao computador-cliente, um aviso solicitará que o usuário
reinicie o computador-cliente. O usuário deve reiniciar o computador para que a
política entre em vigor.
Se você retirar ou desativar a Política de controle de dispositivos e aplicativos, o
driver será desativado e o cliente não estará protegido. Quando você reativar a
política, o usuário deverá reiniciar o computador-cliente novamente.
Sobre a estrutura de uma política de controle de

dispositivos e aplicativos
O controle de aplicativos de uma política de controle de dispositivos e aplicativos
pode conter vários conjuntos de regras, e cada conjunto de regras contém uma ou
mais regras. Você pode configurar propriedades de um conjunto de regras, além
de configurar propriedades, condições e ações para cada regra.
As regras controlam as tentativas de acesso a entidades do computador, como
arquivos ou chaves de registro do Windows, que o Symantec Endpoint Protection
monitora. Configure os diferentes tipos de tentativas como condições. Para cada
condição, você pode configurar ações a serem tomadas quando a condição for
cumprida. Configure regras para aplicar somente a determinados aplicativos.
Você pode, opcionalmente, configurá-los para excluir outros aplicativos de ter a
ação aplicada.
Consulte “Criação de regras personalizadas do controle de aplicativos”
na página 527.
O controle de dispositivos consiste em uma lista de dispositivos bloqueados e uma
lista de dispositivos que são excluídos do bloqueio. Você pode adicionar a ambas
as listas e gerenciar seu conteúdo.
Configuração do controle de dispositivos e aplicativos
A Figura 22-1 ilustra os componentes do controle de dispositivos e aplicativos e

como eles se relacionam entre si.
Figura 22-1 Estrutura da política de controle de dispositivos e aplicativos

Você pode configurar o controle de dispositivos e aplicativos executando algumas
tarefas típicas.
Tabela 22-1 Configuração do controle de dispositivos e aplicativos
Tarefa Descrição
Ativar conjuntos padrão de regras do As políticas de controle de dispositivos e aplicativos contêm conjuntos
controle de aplicativos padrão de regras do controle de aplicativos. Os conjuntos de regras padrão
são desativados. Você pode ativar quaisquer conjuntos que precisar.
Nota: Se os conjuntos de regras padrão não atenderem a seus requisitos,
crie conjuntos de regras personalizados.
Os conjuntos de regras padrão são configurados em modo de produção em

vez de modo de teste. Porém, é possível mudar a configuração para o modo
de teste e testar as regras em sua rede de teste, antes que você aplique-as
à sua rede de produção.
Consulte “Ativação de um conjunto de regras de controle de aplicativos

padrão” na página 526.
Nota: Os computadores-cliente exigem uma reinicialização quando você
ativa regras de controle de aplicativos.
Criar e testar conjuntos personalizados Você pode criar conjuntos personalizados de regras do controle de
de regras do controle de aplicativos aplicativos. Normalmente, somente administradores avançados devem
executar esta tarefa.

na página 527.

Nota: Os computadores-cliente exigem uma reinicialização quando você
ativa regras de controle de aplicativos.
Criar exceções para o controle de O controle de aplicativos poderá causar problemas para alguns aplicativos
aplicativos executados em sua rede. Você pode excluir arquivos ou pastas do controle
de aplicativos. Você usa uma Política de exceções para especificar a exceção.
Nota: O Symantec Endpoint Protection 12.1 incluiu uma exceção separada
de controle de aplicativo. Na versão atual, uma exceção do controle de
aplicativo é criada como parte da configuração das exceções de arquivo ou
pasta.
Configurar o bloqueio do sistema de O bloqueio do sistema controla os aplicativos em seus computadores-cliente.

configuração
Consulte “Configuração do bloqueio do sistema” na página 541.
Ativação de um conjunto de regras de controle de aplicativos padrão
Tarefa Descrição
Configurar o controle de dispositivos O controle de dispositivos especifica quais dispositivos de hardware são
para permitir ou bloquear dispositivos permitidos ou bloqueados em seus computadores-cliente.
de hardware
O Symantec Endpoint Protection Manager fornece uma lista de dispositivos
que você pode usar na configuração de controle de dispositivos. Você pode
adicionar dispositivos à lista.
Exibir os logs de controle de aplicativos Você pode exibir os eventos do controle de aplicativos e de dispositivos no
e de dispositivos log de Controle de aplicativos e de Controle de dispositivos no Symantec
No computador-cliente, os eventos do controle de aplicativos e de

dispositivos aparecem no log de Controle.
Nota: Você poderá ver várias entradas de log ou duplicadas de uma única
ação de controle de aplicativos. Por exemplo, se o explorer.exe tentar copiar
um arquivo, ele define a gravação e excluir os bits da máscara de acesso do
arquivo. O Symantec Endpoint Protection registra o evento em log. Se a
ação da cópia falhar porque uma regra do controle de aplicativos bloquear
a ação, o explorer.exe tenta copiar o arquivo usando apenas o bit de exclusão
na máscara de acesso. O Symantec Endpoint Protection registra em log
outro evento para a tentativa da cópia.
Impedir ou permitir usuários de ativar Você pode impedir ou permitir os usuários de ativar ou desativar o controle
ou de desativar o controle de de dispositivos e aplicativos no cliente. Use a configuração na caixa de
dispositivos e aplicativos diálogo Configurações de interface de usuário do cliente.
Ativação de um conjunto de regras de controle de

aplicativos padrão
O controle de aplicativos de uma Política de controle de dispositivos e aplicativos
é composto de conjuntos de regras de controle de aplicativos. Cada conjunto de
regras de controle de aplicativos é composto de uma ou mais regras. Os conjuntos
de regras de controle de aplicativos padrão são instalados com o Symantec
Endpoint Protection Manager. Os conjuntos padrão de regras são desativados na
instalação.
Se você quiser usar os conjuntos padrão de regras em uma Política de controle de
dispositivos e aplicativos, será necessário ativá-los.
Criação de regras personalizadas do controle de aplicativos
Para ativar um conjunto de regras de controle de aplicativos padrão

1 No console, na política de controle de dispositivos e aplicativos a que deseja
adicionar um conjunto de regras padrão do controle de aplicativo, clique em
Controle de aplicativos.
2 Para rever a configuração em um conjunto de regras de controle de aplicativos
padrão, clique no nome em Conjunto de regras e, depois, clique em Editar.
Certifique-se de não fazer nenhuma mudança.
3 Quando você concluir a verificação das regras e das configurações de
condições, clique em Cancelar.
4 Marque a caixa de seleção ao lado de cada conjunto de regras que você quer
ativar.
Por exemplo, ao lado do conjunto de regras Bloquear gravação em unidades
USB, marque a caixa de seleção da coluna Ativado.
5 Clique em OK.
Para testar o conjunto de regras Bloquear gravação em unidades USB
1 No computador-cliente, anexe a unidade USB.
2 Abra o Windows Explorer e clique duas vezes na unidade USB.
3 Clique com o botão direito do mouse na janela e clique em Novo > Pasta.
4 Se o controle do aplicativo estiver em vigor, uma mensagem de erro Não é
possível criar a pasta aparecerá.
Criação de regras personalizadas do controle de

aplicativos
Convém usar regras personalizadas do controle de aplicativos ao configurar o
controle de dispositivos e aplicativos.
Tabela 22-2 Criação de regras personalizadas do controle de aplicativos
Etapa 1 Planejar o conjunto de regras Um novo conjunto de regras de aplicativos contém uma ou mais
regras definidas pelo administrador. Cada conjunto de regras e
cada regra tem propriedades. Cada regra pode conter uma ou mais
condições para monitorar os aplicativos e o seu acesso a arquivos,
pastas, chaves de registro e processos específicos.
Você deve verificar as melhores práticas antes de criar regras

personalizadas.
Consulte “Sobre as melhores práticas para criar regras de controle

de aplicativos” na página 529.
Você também pode verificar a estrutura dos conjuntos de regras

padrão para ver como elas são construídas.
Etapa 2 Criar o conjunto de regras e Você pode criar várias regras e adicioná-las a um único conjunto
adicionar regras de regras de controle de aplicativos. Você pode excluir as regras
da lista e mudar sua posição na hierarquia do conjunto de regras
conforme necessário. Você pode também ativar e desativar
conjuntos de regras ou regras individuais dentro de um conjunto.
Consulte “Criação de um conjunto de regras personalizadas e adição

de regras” na página 534.
Você pode copiar e colar conjuntos de regras ou regras individuais

na mesma política ou entre duas políticas. Convém copiar as regras
das políticas das quais você fez o download da Symantec ou de
políticas de teste que contêm as regras que você deseja usar em
políticas da produção.
Consulte “Como copiar conjuntos ou regras de aplicativos entre

políticas de controle de dispositivos e aplicativos” na página 535.
Etapa 3 Aplicar uma regra a aplicativos Toda regra deve ser aplicada a pelo menos um aplicativo. Você
específicos e excluir determinados também pode excluir determinados aplicativos da regra. Especifique
aplicativos da regra os aplicativos na guia Propriedades da regra.
Consulte “Aplicação de uma regra a aplicativos específicos e

exclusão de aplicativos de uma regra” na página 536.
Etapa 4 Adicionar condições e ações a A condição especifica o que o aplicativo tenta fazer quando você
regras deseja controlá-lo.
É possível definir qualquer uma das condições abaixo:
■ Tentativas de acesso a registros

■ Tentativas de acesso a arquivos e pastas
■ Iniciar tentativas de processo
■ Encerrar tentativas de processo
■ Carregar tentativas de DLL
Consulte “Adição de condições e ações a uma regra personalizada

do controle de aplicativos” na página 538.
Você pode configurar qualquer uma das seguintes ações a serem
realizadas em um aplicativo quando ele cumprir a condição
configurada:
■ Continuar processando outras regras.

■ Permitir que o aplicativo acesse a entidade.
■ Bloquear o aplicativo de acessar a entidade.
■ Encerrar o aplicativo que tenta acessar uma entidade.
Nota: Lembre-se de que as ações se aplicam sempre ao processo

que está definido para a regra. Elas não se aplicam a um processo
definido em uma condição.
Etapa 5 Testar as regras Você deve testar suas regras antes de aplicá-las à sua rede da
produção.
Os erros de configuração nos conjuntos de regras usados em uma

Política de controle de dispositivos e aplicativos podem desativar
um computador ou servidor. O computador-cliente pode falhar ou
sua comunicação com o Symantec Endpoint Protection Manager
pode ser bloqueada.
Consulte “Conjuntos de regras de controle de aplicativos de teste”

na página 539.
Após testar as regras, será possível aplicá-las à sua rede da

produção.
Sobre as melhores práticas para criar regras de controle de aplicativos

Você deve planejar suas regras personalizadas de controle de aplicativos com
cuidado.

na página 527.
Quando você criar regras de controle de aplicativos, mantenha em mente as
seguintes melhores práticas:
Tabela 22-3 Melhores práticas para regras de controle de aplicativos
Melhores práticas Descrição Exemplo
Use um conjunto de regras Uma melhor prática é criar um conjunto Você deseja bloquear tentativas de
por objetivo de regras que inclua todas as ações que gravação em todas as unidades removíveis
permitem, bloqueiam e monitoram uma e deseja impedir que aplicativos interfiram
dada tarefa. em um aplicativo específico.
Para realizar estes objetivos, é necessário

criar dois conjuntos de regras diferentes.
Você não deve criar todas as regras
necessárias para realizar ambos os
objetivos com um conjunto de regras.
Considere a ordem da regra As regras do controle de aplicativos Você deseja impedir que todos os usuários
funcionam de maneira semelhante à movam, copiem e criem arquivos em
maioria das regras de firewall baseadas unidades USB.
em rede, pois ambas usam a primeira
Você tem uma regra existente com uma
regra correspondente. Quando várias
condição que permite o acesso de gravação
condições forem verdadeiras, a primeira
a um arquivo chamado Test.doc. Você
regra será a única a ser aplicada, a menos
adiciona uma segunda condição a este
que a ação configurada para a regra seja
conjunto de regras existente para bloquear
Continuar processando outras regras.
todas as unidades USB. Neste cenário, os
usuários podem ainda criar e modificar o
arquivo Teste.doc em unidades USB. A
condição Permitir acesso para Test.doc
vem antes da condição Bloquear acesso
para unidades USB no conjunto de regras.
A condição Bloquearacesso para unidades
USB não será processada quando a
condição que a preceder na lista for
verdadeira.
Melhores práticas Descrição Exemplo
Use a ação Encerrar processo A ação Encerrar processo encerra um Você deseja encerrar o Winword.exe
com cuidado processo quando este atender à condição sempre que um processo iniciá-lo.
configurada.
Você cria e configura uma regra com a
Apenas administradores avançados devem condição Iniciar tentativas de processo
usar a ação Encerrar processo. e a ação Encerrar processo. Você aplica
Tipicamente, é necessário usar a ação a condição ao Winword.exe e aplica a
Bloquear acesso. regra a todos os processos.
Você pode esperar que esta regra encerre

o Winword.exe, mas isso não é o que a
regra faz. Se você tentar iniciar o
Winword.exe pelo Windows Explorer, uma
regra com esta configuração encerrará o
Explorer.exe, não o Winword.exe.
Usuários ainda poderão executar o
Winword.exe se o iniciarem diretamente.
Use a condição Encerrar A condição Encerrar tentativas de O Process Explorer é uma ferramenta que
tentativas de processo para processo permite ou bloqueia a exibe os processos de DLL que foram
proteger processos capacidade de um aplicativo de encerrar abertos ou carregados e quais recursos
um processo em um computador-cliente. são usados pelos processos.
A condição não permite nem impede que Convém encerrar o Process Explorer
os usuários interrompam um aplicativo quando ele tentar encerrar um aplicativo
pelos métodos usuais, como clicar em Sair específico.
no menu Arquivo.
Use a condição Encerrar tentativas de
processo e a ação Encerrar processo para
criar este tipo de regra. Você aplica a
condição ao aplicativo Process Explorer.
Você aplica a regra ao aplicativo ou aos
aplicativos que não quer que o Process
Explorer encerre.
Regras típicas do controle de aplicativos

Convém criar regras personalizadas de controle de aplicativos para impedir que
usuários abram aplicativos, gravem ou compartilhem arquivos.
na página 527.
Você pode verificar os conjuntos de regras padrão para ajudá-lo a determinar
como configurar suas regras. Por exemplo, é possível editar o conjunto de regras
Bloquear a execução de aplicativos para verificar como usar uma condição Iniciar
tentativas de processo.
Consulte “Ativação de um conjunto de regras de controle de aplicativos padrão”

na página 526.
Tabela 22-4 Regras típicas do controle de aplicativos
Regra Descrição
Impedir que os usuários abram um Você poderá bloquear um aplicativo quando ele cumprir qualquer uma
aplicativo destas condições:

Por exemplo, para impedir que usuários transfiram arquivos FTP, é
possível adicionar uma regra que bloqueie um usuário de iniciar um
cliente FTP do prompt de comando.
Por exemplo, se você adicionar uma regra que bloqueie a Msvcrt.dll no
computador-cliente, os usuários não poderão abrir o Microsoft WordPad.
A regra bloqueia também qualquer outro aplicativo que use a DLL.
Impedir que os usuários gravem em um É possível que você queira deixar que usuários abram um arquivo, mas não
arquivo específico o modifiquem. Por exemplo, um arquivo pode incluir dados financeiros que
os funcionários devem ver, mas não editar.
Você pode criar uma regra para dar aos usuários o acesso somente leitura
para um arquivo. Por exemplo, é possível adicionar uma regra que permita
abrir um arquivo de texto no Bloco de Notas, mas não permite editá-lo.
Use a condição Tentativas de acesso a arquivos e pastas para criar este

tipo de regra.
Regra Descrição
Bloquear compartilhamentos de Você pode criar uma regra personalizada que se aplique a todos os
arquivo em computadores Windows aplicativos para desativar o compartilhamento de arquivos locais e de
impressão em computadores Windows.
Inclua as seguintes condições:

Adicione todas as chaves de registro relevantes de segurança e
compartilhamento do Windows.
Especifique o processo do serviço do servidor (svchost.exe).
Especifique as DLLs das guias Segurança e Compartilhamento
(rshx32.dll, ntshrui.dll).
Especifique a DLL do serviço do servidor (srvsvc.dll).
Você define a ação de cada condição para Bloquear acesso.

Nota: Após aplicar a política, será necessário reiniciar os
computadores-cliente para desativar completamente o compartilhamento
de arquivos.
Você também pode usar regras de firewall para impedir ou permitir que os
computadores-cliente compartilhem arquivos.
Consulte “Para permitir que clientes procurem arquivos e impressoras na

rede” na página 496.
Impedir que os usuários executem Você pode usar o controle de aplicativos para impedir que os usuários
aplicativos ponto a ponto executem aplicativos ponto a ponto em seus computadores.
Você pode criar uma regra personalizada com uma condição Iniciar
tentativas de processo. Na condição, será necessário especificar todos os
aplicativos ponto a ponto que você deseja bloquear, como LimeWire.exe ou
*.torrent. Você pode definir a ação para a condição Bloquear acesso ou
Encerrar processo.
Use uma política de prevenção contra intrusões para bloquear o tráfego na

rede dos aplicativos ponto a ponto. Use uma política de firewall para
bloquear as portas que enviam e recebem tráfego de aplicativos ponto a
ponto.
Consulte “Para gerenciar a prevenção contra intrusões em seu


Regra Descrição
Bloquear tentativas de gravação em de Atualmente, o Symantec Endpoint Protection Manager não suporta um
DVD conjunto de regras que especifique o bloqueio de tentativas de gravação
em unidades de DVD. Você pode selecionar a opção na Política de controle
de dispositivos e aplicativos, porém, a opção não é aplicada. Em vez disso,
você pode criar uma Política de controle de dispositivos e aplicativos que
bloqueie os aplicativos específicos que gravam em unidades de DVD.
Você também deve criar uma Política de integridade do host que defina a
chave do registro do Windows para bloquear tentativas de gravação em
unidades de DVD.
Criação de um conjunto de regras personalizadas e adição de regras

Você pode criar várias regras e adicioná-las a um único conjunto de regras de
controle de aplicativos. Crie tantas regras e tantos conjuntos de regras quanto
você precisar para implementar a proteção desejada. Você pode excluir as regras
da lista e mudar sua posição na hierarquia do conjunto de regras conforme
necessário. Você pode também ativar e desativar conjuntos de regras ou regras
individuais dentro de um conjunto.
Nota: Se você criar uma regra personalizada que bloqueie o acesso a uma pasta
específica de 32 bits (tal como o Windows\system32), as regras não funcionarão
em clientes de 64 bits. Você também deve criar uma regra para bloquear o acesso
à pasta Windows\syswow64.

na página 527.
Criação de um conjunto de regras personalizadas e adição de regras
1 No console, abra uma política de controle de dispositivos e aplicativos e clique
em Adicionar.
2 Na caixa de diálogo Adicionar conjunto de regras de controle de aplicativos,
desmarque Ativar log se você não desejar registrar eventos sobre esse
conjunto de regras.
3 Na caixa de texto Nome de conjunto de regras, mude o nome padrão do
conjunto de regras.
4 No campo Descrição, digite uma descrição.
5 Altere o nome padrão da regra na caixa de texto Nome da regra e digite então
uma descrição.
6 Desmarque Ativar essa regra se você não quiser ativar a regra neste momento.
7 Na guia Propriedades, você especifica os aplicativos aos quais esta regra se
aplica e que aplicativos devem ser excluídos da regra.
Cada regra deve ter um aplicativo ao qual se aplique.
Consulte “Aplicação de uma regra a aplicativos específicos e exclusão de
aplicativos de uma regra” na página 536.
Cada regra também deve ter condições e ações.
Consulte “Adição de condições e ações a uma regra personalizada do controle
de aplicativos” na página 538.
8 Para adicionar regras ao conjunto de regras, clique em Adicionar e clique em
seguida em Adicionar regra.
9 Clique em OK.
O novo conjunto de regras é exibido e configurado para o modo de teste. Você
deve testar novos conjuntos de regras antes de aplicá-los nos
Consulte “Conjuntos de regras de controle de aplicativos de teste”
na página 539.
Como copiar conjuntos ou regras de aplicativos entre políticas de

controle de dispositivos e aplicativos
Você pode copiar conjuntos de regras do controle de aplicativos ou regras
individuais entre duas políticas diferentes. Você também pode copiar conjuntos
de regras ou regras na mesma política. Os procedimentos aqui abordados
descrevem como copiar conjuntos de regras ou regras entre duas políticas
diferentes.
na página 527.
Como copiar conjuntos de regras de aplicativos entre Políticas de controle de
1 No console, abra a política de controle de dispositivos e aplicativos que contém
os conjuntos de regras que você deseja copiar.
2 Clique em Controle de aplicativos.
3 Na página Controle de aplicativos, em Conjuntos de regras de controle de
aplicativos, clique com o botão direito do mouse no conjunto de regras que
desejar copiar e selecione Copiar.
4 Clique em OK para fechar a política atual.
5 No console, em Políticas de controle de dispositivos e aplicativos, selecione

a política de destino.
Em Tarefas, clique em Editar a política.
6 Na política de destino, selecione Controle de aplicativos.
7 Em Conjuntos de regras do Controle de aplicativos, clique com o botão direito
do mouse e selecione Colar.
Como copiar regras do aplicativo entre políticas de controle de dispositivos e
aplicativos
1 No console, abra a Política de controle de dispositivos e aplicativos que contém
a regra que você quer copiar.
2 Clique em Controle de aplicativos.
3 Selecione o conjunto de regras que você quer copiar e clique em Editar.
4 Em Regras, clique com o botão direito do mouse na regra que deseja copiar
e selecione Cópia.
5 Clique em OK para fechar o conjunto de regras.
6 Clique em OK para fechar a política.
7 No console, em Políticas de controle de dispositivos e aplicativos, selecione
a política de destino.
8 Em Tarefas, clique em Editar a política.
9 Na política de destino, selecione Controle de aplicativos.
10 Selecione o conjunto de regras para o qual deseja copiar a regra e clique em
Editar.
11 Em Regras, clique com o botão direito do mouse e selecione Colar.
Aplicação de uma regra a aplicativos específicos e exclusão de

aplicativos de uma regra
É possível aplicar uma regra aos aplicativos e excluir aplicativos das ações da
regra. Você especifica uma lista que contenha os aplicativos aos quais a regra se
aplica (as inclusões). Você especifica uma outra lista que contenha os aplicativos
aos quais a regra não se aplica (as exclusões). Para vincular uma regra a um
aplicativo específico, defina esse aplicativo no campo de texto Aplicar essa regra
aos seguintes processos.
Se você quer vincular a regra a todos os aplicativos, exceto a um conjunto de
aplicativos específico, use as seguintes configurações:
■ Na caixa de texto Aplicar essa regra aos seguintes processos, defina um

caractere curinga para todos os processos (*).
■ Na caixa de texto Não aplicar essa regra aos seguintes processos, relacione os
aplicativos que precisam de uma exceção.
Você pode definir tantos aplicativos quanto quiser para cada lista.
Nota: Cada regra deve ter pelo menos um aplicativo listado na caixa de texto
Aplicar essa regra aos seguintes processos.
Quando você adiciona aplicativos a uma regra, é possível usar as seguintes

maneiras para especificar o aplicativo:
■ O nome de processo
■ Caracteres curingas
■ Expressões regulares
■ Impressões digitais de arquivos
■ Os tipos de unidade de onde o aplicativo foi iniciado
■ O ID do dispositivo
na página 527.
Para aplicar uma regra a aplicativos específicos e para excluir uma regra
1 Na caixa de diálogo Editar conjunto de regras do controle de aplicativos,
clique na regra que você quer aplicar.
2 Se você quer configurar um aplicativo para aplicar a regra, à direita de Aplicar
essa regra aos seguintes processos, clique em Adicionar.
3 Na caixa de diálogo Adicionar definição de processo, configure os seguintes
itens:
■ Digite o nome do aplicativo que você deseja que corresponda a esta regra.
■ Clique em Use a correspondência de caracteres curinga (suporte a * e ?)
ou em Use a correspondência de expressões regulares.
■ Se desejado, marque os tipos de unidades específicas que correspondem
ao processo.
■ Se desejado, marque Somente corresponder processos executados nos
seguintes tipos de identificação do dispositivo e digite um tipo de ID do
dispositivo no campo de texto ou clique em Selecionar para escolher um
tipo de ID do dispositivo da lista na caixa de diálogo Seleção de dispositivo
para somente corresponder processos executados em dispositivos desse

tipo de ID.
■ Se desejado, clique em Opções para corresponder processos baseados na
impressão digital do arquivo e para somente corresponder processos que
tenham um argumento designado. Você pode optar por corresponder aos
argumentos exatamente ou usar a correspondência de expressões
regulares.
4 Clique em OK.
Você pode repetir etapas de 2 a 4 para adicionar tantos aplicativos quanto
desejar.
5 Se você quiser configurar um ou mais aplicativos a serem excluídos da regra,
à direita do campo de texto Não aplicar essa regra aos seguintes processos,
clique em Adicionar.
Repita a configuração dos aplicativos a excluir, conforme o desejado. Você
tem as mesmas opções quando define um aplicativo a excluir e quando aplica
a regra a um aplicativo.
6 Quando você tiver concluído a definição dos aplicativos, clique em OK.
Adição de condições e ações a uma regra personalizada do controle

de aplicativos
Após definir a quais aplicativos uma regra personalizada se aplica, é necessário
definir as condições e as ações para uma regra. As propriedades de uma condição
especificam o que a condição procura. Suas ações definem o que acontece quando
a condição é cumprida.
na página 527.
Adição de condições e ações a uma regra do controle de aplicativos
1 Na caixa de diálogo Adicionar conjunto de regras do controle de aplicativos
ou Editar conjunto de regras do controle de aplicativos, em Regras, clique
em Adicionar e em seguida em Adicionar condição.
2 Selecione uma das seguintes condições:
■ Tentativas de acesso a arquivos e pastas
■ Encerrar tentativas de processo
3 Na guia Propriedades para a condição, digite um nome e uma descrição para

a condição.
4 À direita de Aplicar à seguinte entidade, em que entidade representa chaves
de registro, arquivos e pastas, processos ou DLLs, clique em Adicionar.
5 Na caixa de diálogo Adicionar definição de entidade, digite a chave de
registro, o arquivo ou o nome de pasta, o nome do processo ou a DLL.
Nota: Quando você aplica uma condição a todas as entidade em uma pasta
em particular, a melhor prática é usar nome_da_pasta\* ou nome_da_pasta\*\*.
Um asterisco inclui todos os arquivos e pastas na pasta nomeada. Use
nome_da_pasta\*\* para incluir cada arquivo e pasta na pasta nomeada, além
de cada arquivo e pasta em cada subpasta.
6 Clique em OK.
7 À direita de Não aplicar aos seguintes processos, clique em Adicionar e
especifique as chaves de registro, os arquivos e as pastas, os processos ou as
DLLs.
8 Clique em OK.
9 Na guia Ações para a condição, selecione uma das seguintes ações:
■ Continuar processando outras regras
■ Permitir acesso
■ Bloquear acesso
■ Encerrar processo
Nas condições Tentativas de acesso a registros e Tentativas de acesso a
arquivos e pastas, você pode configurar dois conjuntos de ações, um para
Tentativa de leitura e outro para Tentativa de criar, excluir ou gravar.
10 Marque Ativar registro de log e selecione um nível de gravidade para atribuir
às entradas que estão registradas.
11 Selecione Notificar usuário e digite o texto que deseja que o usuário veja.
12 Clique em OK.
Conjuntos de regras de controle de aplicativos de teste

Após criar regras personalizadas de controle de aplicativos, é necessário testá-las
em sua rede.

na página 527.
Tabela 22-5 Conjuntos de regras de controle de aplicativos de teste
Etapa Descrição
Configure o conjunto de regras para o Você testa conjuntos de regras definindo o modo
Modo de teste e ative ou desative regras para Modo de teste (log apenas). O Modo de teste
cria uma entrada de log para indicar quando as
regras no conjunto de regras seriam aplicadas
sem realmente aplicar a regra.
Regras personalizadas usam o Modo de teste por

padrão. Você também pode testar conjuntos de
regras padrão.
Convém testar regras dentro do conjunto

individualmente. Você pode testar regras
individuais ativando ou desativando-as no
conjunto de regras.
Consulte “Criação de um conjunto de regras

personalizadas e adição de regras” na página 534.
Consulte “Ativação de um conjunto de regras de

controle de aplicativos padrão” na página 526.
Aplique a política de controle de Se você criar uma nova política de controle de

dispositivos e aplicativos em sua rede dispositivos e aplicativos, será necessário aplicar
de teste a política nos clientes em sua rede de teste.
Consulte “Atribuição de uma política a um grupo”
na página 321.
Nota: Os computadores-cliente deverão ser
reiniciados depois que você aplicar uma nova
política de Controle de dispositivos e aplicativos
ou quando você mudar a política padrão.
Configuração do bloqueio do sistema
Etapa Descrição
Verificar o log de controle Após executar seus conjuntos de regras no Modo

de teste por um período de tempo, é possível
verificar qualquer erro nos logs do cliente.
Você pode exibir o log do controle de aplicativos
no Symantec Endpoint Protection Manager.
Você também pode exibir o log do controle no

computador-cliente.
Quando as regras funcionarem como você espera,

será possível mudar o modo do conjunto de regras
para Modo de produção.

O bloqueio do sistema controla aplicativos em um grupo de computadores-cliente
bloqueando aplicativos não aprovados. Você pode configurar o bloqueio do sistema
para permitir somente aplicativos em uma lista especificada (whitelist). A whitelist
abrange todos os aplicativos aprovados; todos os outros aplicativos são bloqueados
nos computadores-cliente. Ou você pode configurar o bloqueio do sistema para
bloquear somente aplicativos em uma lista especificada (blacklist). A blacklist
abrange todos os aplicativos não aprovados; todos os outros aplicativos são
permitidos nos computadores-cliente.
Nota: Qualquer aplicativo que o bloqueio do sistema permite está sujeito a outros
recursos de proteção no Symantec Endpoint Protection.
Uma whitelist ou uma blacklist podem incluir listas de impressão digital do arquivo
e nomes de aplicativo específicos. Uma lista de impressões digitais de arquivos é
uma lista de somas de verificação do arquivo e de locais do caminho do computador.
Você pode usar a Política de controle de dispositivos e aplicativos para controlar
aplicativos específicos em vez do ou em adição ao bloqueio do sistema.
Você configura o bloqueio do sistema para cada grupo ou local em sua rede.
Tabela 22-6 Etapas de bloqueio do sistema
Etapa 1 Criar listas de impressão digital Você pode criar uma lista de impressões digitais de arquivos que inclua
de arquivos os aplicativos que são permitidos ou não permitidos para execução
em seus computadores-cliente. Você usa a lista de impressões digitais
de arquivos como parte de uma whitelist ou de uma blacklist no
bloqueio do sistema.
O Symantec Endpoint Protection fornece um utilitário da soma de

verificação para criar uma lista de impressões digitais de arquivos. O
utilitário é instalado junto com o Symantec Endpoint Protection no
computador-cliente.
Você pode usar o utilitário para criar uma soma de verificação para
um aplicativo específico ou todos os aplicativos em um caminho
especificado.
Nota: Quando você executar o bloqueio do sistema no modo padrão
ou de whitelist, precisará de uma lista de impressões digitais de
arquivos que inclua todos os aplicativos que você quer que os usuários
possam executar em seus computadores. Por exemplo, sua rede pode
incluir clientes do Windows Vista de 32 bits, Windows Vista de 64 bits
e Windows XP SP2. É possível criar uma lista de impressões digitais
de arquivos para cada imagem do cliente que você quer adicionar à
whitelist.
Você pode igualmente criar uma lista de impressões digitais de

arquivos com qualquer utilitário de terceiros da soma de verificação.
Consulte “Para criar uma lista de impressões digitais de arquivos com

o checksum.exe” na página 549.
Etapa 2 Importar as listas de impressão Após criar as listas de impressões digitais de arquivos, você deverá
digital de arquivos para o importá-las para o Symantec Endpoint Protection Manager. Após
Symantec Endpoint Protection importar as listas, elas estarão disponíveis para adicionar à
Manager configuração do bloqueio do sistema.
Consulte “Importação ou mesclagem de listas de impressões digitais

de arquivos no Symantec Endpoint Protection Manager” na página 550.
Você também pode exportar listas de impressões digitais de arquivos

existentes no Symantec Endpoint Protection Manager.
Etapa 3 Criar listas de nome de aplicativos É possível usar qualquer editor de texto para criar um arquivo de texto
para aplicativos aprovados ou não que inclua os nomes do arquivo dos aplicativos que você quer adicionar
aprovados à whitelist ou à blacklist. Ao contrário das listas de impressões digitais
de arquivos, você importa estes arquivos diretamente na configuração
do bloqueio do sistema. Após você importar os arquivos, os aplicativos
aparecem como entradas individuais na configuração do bloqueio do
sistema.
A opção de importação estará disponível somente quando o modo de

blacklist estiver disponível.
Você também poderá dar entrada manualmente com nomes individuais

do aplicativo na configuração do bloqueio do sistema.
Consulte “Para fazer o modo blacklist para bloqueio do sistema

aparecer no Symantec Endpoint Protection Manager” na página 547.
Nota: Um grande número de aplicativos nomeados poderá afetar o
desempenho de computador-cliente quando o bloqueio do sistema for
ativado no modo blacklist.
Consulte “Para criar uma lista de nomes de aplicativos para importação

na configuração de bloqueio do sistema” na página 553.
Etapa 4 Configurar e testar a configuração No modo de teste, o bloqueio do sistema é desativado e não bloqueia
do bloqueio do sistema nenhum aplicativo. Todos os aplicativos não aprovados são registrados
em log, mas não são bloqueados. Você usa a opção Registrar em log
apenas aplicativos não aprovados na caixa de diálogo Bloqueio do
sistema para testar a configuração inteira do bloqueio do sistema.
Para configurar e executar o teste, conclua as seguintes etapas:
■ Adicione listas de impressão digital de arquivos à configuração do

No modo whitelist, as impressões digitais do arquivo são aplicativos
aprovados. No modo blacklist, as impressões digitais do arquivo
são aplicativos não aprovados.
■ Adicione listas individuais de nomes de aplicativo ou importe listas
de nomes de aplicativos de importação na configuração do bloqueio
do sistema.
A opção de importação estará disponível somente quando o modo
de blacklist estiver disponível.
Você pode importar uma lista de nomes de aplicativo em vez de
digitar os nomes um por um na configuração do bloqueio do
sistema. No modo whitelist, os aplicativos são aplicativos
aprovados. No modo blacklist, os aplicativos são aplicativos não
aprovados.
■ Execute o teste por um período de tempo.
Execute o bloqueio do sistema no modo de teste o tempo suficiente
para que os clientes executem seus aplicativos normais. Um período
de tempo típico pode ser uma semana.
Consulte “Para configurar e testar a configuração do bloqueio do

sistema antes de ativar o bloqueio do sistema” na página 559.
Etapa 5 Exibir os aplicativos não Após executar o teste por um período de tempo, você poderá verificar
aprovados e modificar a a lista de aplicativos não aprovados. Você pode exibir a lista de
configuração do bloqueio do aplicativos não aprovados verificando o status na caixa de diálogo
sistema caso necessário Bloqueio do sistema.
Os eventos registrados em log igualmente aparecem no Log de controle

de aplicativos.
Você poderá decidir se adicionará mais aplicativos à impressão digital

de arquivos ou à lista de aplicativos. Você pode igualmente adicionar
ou remover as listas de impressões digitais de arquivos ou os
aplicativos, caso necessário, antes de ativar o bloqueio do sistema.

Etapa 6 Ativar o bloqueio do sistema Por padrão, o bloqueio do sistema fornece somente um modo whitelist.
Você pode configurar o Symantec Endpoint Protection Manager de
modo que o bloqueio do sistema possa ser configurado no modo
whitelist ou blacklist.
Quando você ativar o bloqueio do sistema no modo padrão ou modo

whitelist, bloqueará qualquer aplicativo que não estiver na lista
aprovada dos aplicativos. Quando você ativar o bloqueio do sistema
no modo blacklist, bloqueará qualquer aplicativo que estiver na lista
não aprovada de aplicativos.
Nota: Certifique-se de que você teste sua configuração antes de ativar
o bloqueio do sistema. Se você bloquear um aplicativo necessário, seus
computadores-cliente não poderão ser reinicializados.

Consulte “Para ativar o bloqueio do sistema para executar no modo

whitelist” na página 562.
Consulte “Para ativar o bloqueio do sistema para ser executado no

modo blacklist” na página 563.
Etapa 7 Atualizar as listas de impressão Com o passar do tempo, você poderá mudar os aplicativos executados
digital de arquivos para o bloqueio em sua rede. Você pode atualizar suas listas de impressões digitais de
do sistema arquivos ou remover as listas conforme a necessidade.
Você pode atualizar listas de impressões digitais de arquivos de duas
maneiras:
■ Importar, anexar, substituir ou mesclar listas de impressões digitais

de arquivos manualmente.
Consulte “Para atualizar manualmente uma lista de impressões
digitais de arquivos no Symantec Endpoint Protection Manager”
na página 552.
Consulte “Importação ou mesclagem de listas de impressões digitais
de arquivos no Symantec Endpoint Protection Manager”
na página 550.
■ Atualize listas de impressões digitais de arquivos existentes
automaticamente quando os modos whitelist e blacklist estiverem
disponíveis.
Também é possível atualizar automaticamente os aplicativos nas
listas de nomes do aplicativo que você importa.
Consulte “Para atualizar automaticamente whitelists ou blacklists
para bloqueio do sistema” na página 554.
Consulte “Para criar uma lista de nomes de aplicativos para
importação na configuração de bloqueio do sistema” na página 553.
Nota: É possível reexaminar a configuração inteira do bloqueio do
sistema se você adicionar computadores-cliente a sua rede. Você pode
mover clientes novos para uma rede separada do grupo ou do teste
onde o bloqueio do sistema não seja ativado. Ou mantenha o bloqueio
do sistema ativado e teste impressões digitais de arquivos individuais
ou aplicativos como descrito na próxima etapa.

Etapa 8 Testar itens selecionados antes de Depois que o bloqueio do sistema estiver ativado, você poderá testar
adicioná-los ou removê-los, impressões digitais individuais de arquivos, listas de nomes de
quando o bloqueio do sistema aplicativos ou aplicativos específicos antes de adicioná-los ou
estiver ativado removê-los para a configuração do bloqueio do sistema.
É possível remover as listas de impressões digitais de arquivos se você

tiver muitas listas e não usar mais algumas delas.
Nota: Seja cuidadoso quando adicionar ou remover uma lista de
impressões digitais de arquivos ou um aplicativo específico do bloqueio
do sistema. Adicionar ou remover itens do bloqueio do sistema pode
ser arriscado. Você pode bloquear aplicativos importantes em seus
■ Teste itens selecionados.

Use a opção Testar antes da remoção ou Testar antes de adicionar
para registrar em log listas de impressão digital de arquivos
específicos ou aplicativos específicos como não aprovados.
Quando você executar este teste, o bloqueio do sistema será ativado,
mas não bloqueará nenhum aplicativo selecionado ou nenhum
aplicativo nas listas de impressões digitais de arquivos
selecionadas. Em vez disso, o bloqueio do sistema registra em log
os aplicativos como não aprovados.
■ Verifique o log de controle de aplicativos.
As entradas de log aparecem no log de controle de aplicativos. Se
o log não tiver nenhuma entrada para os aplicativos testados, você
saberá que seus clientes não usam aqueles aplicativos. Você pode
remover com segurança a lista.
Consulte “Para testar itens selecionados antes de adicioná-los ou

removê-los quando o bloqueio do sistema já estiver ativado”
na página 564.
Para fazer o modo blacklist para bloqueio do sistema aparecer no

Você pode configurar o Symantec Endpoint Protection Manager de modo que o
bloqueio do sistema inclua uma opção de blacklist para bloquear uma lista
especificada de aplicativos não aprovados. Para usar o recurso de blacklist, você
deve modificar o arquivo conf.properties para permitir que a opção do modo
blacklist apareça no console do Symantec Endpoint Protection Manager.
Nota: Um modo whitelist também estará disponível quando o modo blacklist

estiver disponível. O modo whitelist é o mesmo da funcionalidade padrão de
bloqueio do sistema que permite somente que uma lista de aplicativos aprovados
sejam executados em computadores-cliente.
É possível especificar um número máximo de aplicativos nomeados no arquivo

conf.properties.
■ Por padrão, 512 é o número máximo. Você deverá mudar a configuração se
quiser importar um grande número de nomes de aplicativo na configuração
do bloqueio do sistema no modo blacklist.
■ O número máximo é aplicado ao número de aplicativos que você especificar
em suas listas de nomes de aplicativos combinadas.
■ A configuração não se aplica às listas de impressões digitais de arquivos, que
não têm nenhuma limitação máxima no número de aplicativos que incluem.
Para fazer o modo blacklist para bloqueio do sistema aparecer no console do
1 Interrompa o serviço do Symantec Endpoint Protection Manager.
2 Abra o arquivo conf.properties com qualquer editor de texto. O arquivo está
localizado tipicamente em C:\Arquivos de Programas\Symantec\Symantec
Endpoint Protection Manager\tomcat\etc.
3 Para permitir que as novas opções apareçam, adicione a seguinte linha ao
arquivo:
scm.systemlockdown.blacklist.enabled=1
4 Para especificar um número máximo de aplicativos a colocar em uma lista

de nomes de aplicativos, adicione a seguinte linha ao arquivo:
scm.systemlockdown.max.count.extrafiles=max num of apps
5 Salve o arquivo.
6 Reinicie o serviço do Symantec Endpoint Protection Manager.
Consulte “Para criar uma lista de nomes de aplicativos para importação na
configuração de bloqueio do sistema” na página 553.
na página 183.
Para criar uma lista de impressões digitais de arquivos com o

checksum.exe
Você pode usar o utilitário checksum.exe para criar uma lista de impressões digitais
de arquivos. A lista contém o caminho e o nome do arquivo e também a soma de
verificação correspondente de cada arquivo executável ou DLL que reside em um
caminho especificado no computador. O utilitário é instalado com o Symantec
Endpoint Protection no computador-cliente.
Você pode também usar um utilitário de terceiros para criar uma lista de
impressões digitais de arquivos.
Você importa a lista de impressões digitais de arquivos no Symantec Endpoint
Protection Manager para usá-la em sua configuração de bloqueio do sistema.
O formato de cada linha é soma_de_verificação_do_arquivo espaço
nome_completo_do_caminho_do_exe_ou_DLL.
Um exemplo de resultado do checksum.exe é mostrado aqui:
0bb018fad1b244b6020a40d7c4eb58b7 c:\dell\openmanage\remind.exe
35162d98c2b445199fef95e838feae4b c:\dell\pnp\m\co\HSFCI008.dll
4f3ef8d2183f927300ac864d63dd1532 c:\dell\pnp\m\co\HXFSetup.exe
dcd15d648779f59808b50f1a9cc3698d c:\dell\pnp\m\co\MdmXSdk.dll
2f276c59243d3c051547888727d8cc78 c:\Nokia Video Manager\QtCore4.dll
e6b635b6f204b9f2a43ba7df8780a7a6 c:\Nokia Video Manager\QtNetwork4.dll
0901d37ec3339ef06dba0a9afb0ac97c c:\Nokia Video Manager\QtXml4.dll
a09eaad7f8c7c4df058bbaffd938cd4c c:\Nokia Video Manager\VideoManager.exe
Para criar uma lista de impressões digitais de arquivos com o checksum.exe

1 Abra uma janela do prompt de comando no computador que contém a imagem
para a qual você quer criar uma lista de impressões digitais de arquivos.
O computador deve ter o software-cliente Symantec Endpoint Protection
instalado.
2 Navegue até pasta que contém o arquivo checksum.exe. Por padrão, este
arquivo é situado na seguinte pasta:
C:\Arquivos de programas\Symantec\Symantec Endpoint Protection
3 Digite o seguinte comando:
checksum.exe arquivo_de_saídacaminho
onde =arquivo_de_saída é o nome do arquivo de texto que contém as somas

de verificação de todos os executáveis localizados na unidade especificada.
O arquivo de saída é um arquivo de texto (arquivo_de_saída.txt).
O seguinte é um exemplo da sintaxe que você pode usar para criar uma lista de
impressões digitais para uma imagem:
checksum.exe cdrive.txt c:
Este comando cria um arquivo chamado cdrive.txt. Ele contém as somas de

verificação e os caminhos dos arquivos para todos os executáveis e DLLs
encontrados na unidade C do computador-cliente no qual foi executado.
O seguinte é um exemplo da sintaxe que você pode usar para criar uma impressão
digital para uma pasta no computador-cliente:
checksum.exe blocklist.txt c:\Arquivos
Este comando cria um arquivo chamado blocklist.txt. Ele contém as somas de

verificação e os caminhos de arquivo de todos os executáveis e DLLs encontrados
na pasta Arquivos.
Importação ou mesclagem de listas de impressões digitais de arquivos

no Symantec Endpoint Protection Manager
Para que você possa usar uma lista de impressões digitais de arquivos no bloqueio
do sistema, deverá importar o arquivo no Symantec Endpoint Protection Manager.
Você também pode mesclar listas de impressões digitais de arquivos.
Você deve já ter criado a lista de impressões digitais de arquivos. Você pode usar
o utilitário checksum.exe ou um utilitário de terceiros para criar a lista de
Consulte “Para criar uma lista de impressões digitais de arquivos com o

checksum.exe” na página 549.
Importação ou mesclagem de listas de impressões digitais de arquivos
2 Em Políticas, expanda Componentes das políticas e clique em Listas de
impressão digital de arquivos.
3 Em Tarefas, clique em Adicionar uma lista de impressões digitais de
arquivos.
4 Em Bem-vindo ao Assistente de Adição de impressão digital de arquivo,
clique em Avançar.
5 No painel Informações sobre nova impressão digital de arquivo, digite um
nome e uma descrição para a nova lista mesclada.
7 No painel Criar uma impressão digital de arquivo, selecione uma das
seguintes opções:
■ Criar a impressão digital de arquivo importando um arquivo de
impressão digital
■ Criar a impressão digital de arquivo combinando várias impressões
digitais de arquivos
Esta opção estará disponível apenas se você já tiver importado várias listas
de impressões digitais de arquivos.
■ Especificar o caminho para a impressão digital do arquivo que você criou.
Você pode navegar para encontrar o arquivo.
■ Selecione as impressões digitais que deseja mesclar.
A lista importada ou mesclada da impressão digital aparece em Listas de
Para atualizar manualmente uma lista de impressões digitais de

arquivos no Symantec Endpoint Protection Manager
Convém atualizar suas listas de impressões digitais de arquivos depois de executar
o bloqueio do sistema por algum tempo. Você pode anexar, substituir ou remover
entradas de uma lista de impressões digitais de arquivos existente. Você não pode
editar diretamente uma lista existente de impressões digitais de arquivos no
Nota: Você pode também exportar uma lista existente de impressões digitais de
arquivos.
Se desejar mesclar listas de impressão digital em uma nova lista com um nome
diferente, use o Assistente de Adição de impressão digital de arquivo.
Consulte “Importação ou mesclagem de listas de impressões digitais de arquivos
Para atualizar manualmente uma lista de impressões digitais de arquivos no
2 Em Políticas, expanda Componentes das políticas e clique em Listas de
impressão digital de arquivos.
3 No painel Listas de impressões digitais de arquivos, selecione a lista de
impressões digitais que deseja editar.
4 Clique em Editar.
5 No Assistente de Edição de impressão digital de arquivo, clique em Avançar
6 Proceda de uma das seguintes maneiras:
■ Clique em Acrescentar um arquivo de impressão digital a esta impressão
digital de arquivo para adicionar um novo arquivo a um existente.
■ Clique em Anexar outro arquivo de impressão digital à impressão digital
do arquivo para mesclar as lista de impressões digitais do arquivo que
você já importou.
■ Clique em Substituir uma lista existente por nova lista de impressões
digitais de arquivo.
■ Clique em Remover impressões digitais de uma lista existente que
corresponda a impressões digitais em uma nova lista.

■ Clique em Procurar para encontrar o arquivo ou para digitar o caminho

completo da lista de impressões digitais de arquivos que você quer anexar,
substituir ou remover.
■ Selecione as impressões digitais do arquivo que você quer mesclar.
9 Clique em Fechar.
Para criar uma lista de nomes de aplicativos para importação na

configuração de bloqueio do sistema
É possível importar uma lista de nomes de aplicativos na configuração de bloqueio
do sistema quando o modo blacklist estiver disponível. Convém importar uma
lista de nomes de aplicativos em vez de adicionar nomes de aplicativos
individualmente à configuração de bloqueio do sistema.
Por padrão, 512 é o número máximo de aplicativos que você pode incluir nas listas
de nomes de aplicativos combinadas. É possível alterar o número máximo no
arquivo conf.properties.
Você pode criar um arquivo de lista de nomes de aplicativos com qualquer editor
de texto.
Cada linha do arquivo pode conter os seguintes itens separados por um espaço:
■ O nome do arquivo
Se você usar um nome de caminho, ele deverá estar entre aspas.
■ O modo de teste
O valor deve ser 1 ou Y para ativado ou 0 ou N para desativado. Se você deixar
o campo em branco, o modo de teste estará desativado. Será necessário incluir
um valor se você quiser especificar o modo de correspondência.
■ O modo de correspondência (caractere curinga ou expressão regular)
O valor deve ser 1 ou Y para correspondência de expressão regular ou 0 ou N
para correspondência de caractere curinga. Se você deixar o campo em branco,
a correspondência de caractere curinga estará desativada.
Nota: O campo de modo de teste ativa ou desativa a opção Testar antes de adicionar
ou Testar antes de remover para cada aplicativo na lista. O campo de modo de
teste será ignorado quando você usar a opção Apenas registrar aplicativos para
testar a configuração completa de bloqueio do sistema.
Cada linha deve usar a seguinte sintaxe:

filename test_mode matching_mode
Por exemplo:
aa.exe
bb.exe 0 1
cc.exe 1
dd.exe 1 0
"c:\program files\ee.exe" 0 0
Quando você importar essa lista no bloqueio do sistema, os aplicativos individuais

aparecerão na configuração do sistema com as seguintes configurações:
Tabela 22-7 Exemplo que corresponda às configurações do modo
Nome do aplicativo Testar antes de adicionar Modo de correspondência

ou Testar antes de
remover
aa.exe Desativado Caractere curinga
bb.exe Desativado Expressão regular
cc.exe Ativado Caractere curinga
dd.exe Ativado Caractere curinga
c:\arquivos de Desativado Caractere curinga

programas\ee.exe
Consulte “Para fazer o modo blacklist para bloqueio do sistema aparecer no

Para atualizar automaticamente whitelists ou blacklists para bloqueio

do sistema
O Symantec Endpoint Protection Manager pode atualizar automaticamente listas
de impressões digitais de arquivos e listas de nomes de aplicativos existentes que
o bloqueio do sistema usa no modo whitelist ou blacklist.
O Symantec Endpoint Protection Manager pode atualizar listas existentes. Ele
não pode fazer automaticamente o upload de uma nova whitelist ou blacklist.
Você também pode atualizar manualmente impressões digitais do arquivo
existentes.
Tabela 22-8 Atualização de whitelists ou blacklists para bloqueio do sistema
Etapa 1 Criar listas de impressões digitais de Você pode usar o utilitário checksum.exe ou qualquer utilitário
arquivos ou listas de nome de de terceiros para criar as listas atualizadas de impressões digitais
aplicativos atualizadas e compactar os de arquivos. Você pode usar qualquer editor de texto para
arquivos atualizar listas de nomes de aplicativos. As listas devem ter os
mesmos nomes que já existem no Symantec Endpoint Protection
Manager.
Consulte “Para criar uma lista de impressões digitais de arquivos

com o checksum.exe” na página 549.
O recurso de atualizações automáticas exige um arquivo

compactado (arquivo zip) da impressão digital de arquivos e das
listas de nomes de aplicativos. Você pode usar o recurso de
compactação de arquivo no Windows ou qualquer utilitário de
compactação para compactar os arquivos.
Etapa 2 Criar um arquivo index.ini O arquivo index.ini especifica quais listas de impressões digitais
de arquivos e de nomes de aplicativo o Symantec Endpoint
Protection Manager deve atualizar.
Você pode criar um arquivo index.ini com qualquer editor de

texto e copiar o arquivo no URL especificado.
Consulte “Para criar um arquivo index.ini para atualizações

automáticas de whitelists e blacklists usadas para bloqueio do
sistema” na página 556.
Etapa 3 Tornar o arquivo compactado e o O Symantec Endpoint Protection Manager usa UNC, FTP ou
index.ini disponíveis ao Symantec HTTP/HTTPS para recuperar o arquivo index.ini e o arquivo zip
Endpoint Protection Manager no URL especificado. O Symantec Endpoint Protection Manager
usa as instruções no arquivo index.ini para atualizar os arquivos
especificados. Quando você ativar atualizações automáticas, o
Symantec Endpoint Protection Manager verificará
periodicamente o URL para obter arquivos atualizados com base
no agendamento que você definiu.
Nota: Se não puder usar UNC, FTP ou HTTP/HTTPS, você poderá
copiar o index.ini e os arquivos atualizados das listas de
impressões digitais de arquivos e de nomes de aplicativos
diretamente na pasta: ..\Symantec Endpoint Protection
Manager\data\inbox\WhitelistBlacklist\content. Os arquivos
devem ser descompactados. O Symantec Endpoint Protection
Manager verificará esta pasta se não puder usar UNC, FTP ou
HTTP/HTTPS para atualizar os arquivos.
Etapa 4 Ativar as atualizações automáticas de Você deve ativar a atualização automática de whitelists ou
whitelists e blacklists no console de blacklists existentes no console do Symantec Endpoint Protection
gerenciamento Manager.
Use a caixa de diálogo Atualização da impressão digital de
arquivos no Symantec Endpoint Protection Manager para ativar
o recurso de atualização e especificar o agendamento e as
informações do URL. O modo blacklist deve estar disponível no

aparecer no Symantec Endpoint Protection Manager”
na página 547.
Consulte “Para ativar as atualizações automáticas de whitelists

e blacklists para bloqueio do sistema” na página 558.
Etapa 5 Verificar o status de atualizações Você pode se certificar de que o Symantec Endpoint Protection
automáticas para whitelist ou blacklist Manager concluiu as atualizações verificando o status no console.
Consulte “Para verificar o status de atualizações automáticas de

whitelists ou blacklists para bloqueio do sistema” na página 558.
Consulte “Para atualizar manualmente uma lista de impressões digitais de arquivos

Para criar um arquivo index.ini para atualizações automáticas

de whitelists e blacklists usadas para bloqueio do sistema
O recurso de atualizações automáticas exige um arquivo index.ini. Você pode criar
o arquivo com qualquer editor de texto.
Nota: Se você usar caracteres que não sejam do inglês no arquivo de texto, deverá
usar UTF-8 sem um caractere de marca de ordem de byte (BOM, Byte Order Mark)
para editar e salvar o arquivo.
O arquivo index.ini especifica os seguintes itens:

■ A revisão e o nome do arquivo compactado que inclui suas listas de impressão
digital de arquivos e listas de nomes de aplicativos atualizados.
■ Os nomes das listas de impressão digital de arquivos e das listas de nomes de
aplicativos que você quer atualizar.
■ Os nomes dos grupos de clientes que usam as listas de nomes de aplicativos.
O atual grupo ou a lista de impressões digitais de arquivos deve existir atualmente

no Symantec Endpoint Protection Manager. O grupo de ter o bloqueio do sistema
ativado. As listas de impressão digital de arquivos e as listas de nomes de
aplicativos devem estar disponíveis no arquivo compactado especificado.
Você deve estruturar o arquivo index.ini com a seguinte sintaxe:
[Revision]
Revision=YYYYMMDD RXXX
SourceFile=zip file name
Description=optional description
[FingerprintList - domain name or Default]

existing fingerprint list="updated list" REPLACE/APPEND/REMOVE
[ApplicationNameList - domain name or Default]

existing group path="updated list" REPLACE/APPEND/REMOVE
Por exemplo, você pode usar as seguintes linhas em um arquivo index.ini:
[Revision]
Revision=20111014 R001
SourceFile=20110901 R001.zip
Description=NewUpdates
[FingerprintList - Default]
FingerprintListName 1="FingerprintList1.txt" REPLACE
[ApplicationNameList - Default]
My Company\Group AA\Group AA 1="ApplicationNameList1.txt" REPLACE
[FingerprintList - DomainABC]
[ApplicationNameList - DomainABC]
Consulte “Para atualizar automaticamente whitelists ou blacklists para bloqueio

do sistema” na página 554.
Para ativar as atualizações automáticas de whitelists e

blacklists para bloqueio do sistema
Você pode atualizar automaticamente as whitelists e blacklists usadas para
Para ativar as atualizações automáticas de whitelists e blacklists no console de
gerenciamento
1 No console, na guia Admin, clique em Servidores.
2 Clique com o botão direito do mouse no servidor relevante e selecione Editar
propriedades do servidor.
3 Na caixa de diálogo Propriedades do servidor, selecione a guia Atualização
da impressão digital de arquivos.
A guia aparecerá apenas se você tiver configurado o console para executar o
modo whitelist e blacklist definindo scm.systemlockdown.blacklist.enabled=1
no arquivo conf.properties.
4 Na guia Atualização de impressão digital de arquivos, selecione Atualizar
automaticamente a whitelist ou a blacklist.
5 Digite o URL do local do index.ini e do arquivo compactado.
Se você quiser usar UNC ou FTP, deverá especificar também um nome de
usuário e senha para o index.ini e o conteúdo.
6 Em Agendamento, é possível especificar a frequência com que o Symantec
Endpoint Protection Manager deve tentar atualizar a whitelist ou a blacklist
ou se você pode usar a configuração padrão.
7 Clique em OK.
Para verificar o status de atualizações automáticas de

whitelists ou blacklists para bloqueio do sistema
Após o Symantec Endpoint Protection Manager atualizar uma whitelist ou blacklist,
você poderá verificar o status da atualização de diversas maneiras.
Para verificar o status das atualizações automáticas de whitelists ou blacklists
para bloqueio do sistema
◆ No console, execute uma das seguintes ações:
■ Na guia Administrador, selecione o site. Uma mensagem será exibida

semelhante a: Atualização da whitelist e da blacklist para revisão
"20120528 R016 descrição" concluída com êxito.
■ Na guia Monitores, veja Logs do sistema: Atividade do servidor. O tipo
de evento normalmente é semelhante a Atualização da impressão digital
de arquivos.
■ Na guia Políticas, em Componentes da política, verifique a descrição da
lista de impressão digital de arquivos. A descrição é semelhante a Revisão:
20120528 R016 descrição.

Para configurar e testar a configuração do bloqueio do sistema antes

de ativar o bloqueio do sistema
Normalmente, você executa o bloqueio do sistema no modo de teste por uma
semana ou tempo suficiente para clientes executarem seus aplicativos normais.
Após determinar que suas configurações do bloqueio do sistema não causarão
problemas para os usuários, você poderá ativar o bloqueio do sistema.
Quando você executar o bloqueio do sistema no modo de teste, o bloqueio do
sistema será desativado. O bloqueio do sistema não bloqueia nenhum aplicativo.
Em vez disso, aplicativos não aprovados são registrados em log, de modo que você
possa verificar a lista antes de ativar o bloqueio do sistema. Você pode exibir as
entradas de log no log de controle. Você também pode exibir os aplicativos não
aprovados na caixa de diálogo Bloqueio do sistema.
Nota: Você pode também criar regras de firewall para permitir aplicativos
aprovados no cliente.
Para configurar e testar a configuração do bloqueio do sistema antes de ativar o

bloqueio do sistema
1 No console, clique em Clientes e, em Clientes, localize o grupo no qual deseja
configurar o bloqueio do sistema.
2 Na guia Políticas, clique em Bloqueio do sistema.
3 Na caixa de diálogo Bloqueio do sistema para nome do grupo, se o console

for configurado para exibir o modo, selecione Ativar modo whitelist ou Ativar
modo blacklist.
4 Clique em Etapa 1: Apenas registrar em log aplicativos não aprovados para
executar o bloqueio do sistema no modo de teste.
Esta opção registra os aplicativos não aprovados que os clientes estão
executando atualmente.
■ Em Aplicativos aprovados, em Lista de impressões digitais de arquivos,
adicione ou remova as listas de impressões digitais de arquivos.
■ Em Aplicativos não aprovados, em Lista de impressões digitais de
arquivos, adicione ou remova as listas de impressões digitais de arquivos.
Para adicionar uma lista, a lista deve ser importada e estar disponível no
Consulte “Importação ou mesclagem de listas de impressões digitais de
arquivos no Symantec Endpoint Protection Manager” na página 550.
6 Para adicionar aplicativos de uma lista de aplicativos, execute um destes
procedimentos:
■ Em Aplicativos aprovados, em Nome do arquivo, clique em Importar
para adicionar uma lista de nomes do aplicativo.
■ Em Aplicativos não aprovados, em Nome do arquivo, clique em Importar
para adicionar uma lista de nomes de aplicativo.
Especifique a lista de nomes do aplicativo que você quer importar e clique
em Importar. Os aplicativos na lista aparecem como entradas individuais na
configuração do bloqueio do sistema.
Nota: A opção de importação estará disponível somente se o modo blacklist

estiver disponível. A lista de nome do aplicativo deve ser um arquivo de texto
que especifique o nome de arquivo, o modo de teste e o modo de
correspondência.

7 Para adicionar um aplicativo individual, execute um destes procedimentos.
■ Em Aplicativos aprovados, em Nome do arquivo, clique em Adicionar

para adicionar um aplicativo individual.
■ Em Aplicativos não aprovados, em Nome do arquivo, clique em Adicionar
para adicionar um aplicativo individual.
8 Na caixa de diálogo Adicionar definição de arquivo, especifique o nome

completo do caminho do arquivo (.exe ou .dll).
Os nomes podem ser especificados usando uma string normal ou sintaxe de
expressão regular. Os nomes podem incluir caracteres curinga (* para qualquer
caractere e ? para um caractere). O nome também pode incluir variáveis do
ambiente como %ProgramFiles% para representar o local do diretório
Arquivos de programas ou %windir% para o diretório de instalação do
Windows.
9 Selecione Use a correspondência de caracteres curinga (suporte a * e ?) como
padrão ou clique em Use a correspondência de expressões regulares se você
usou expressões regulares no nome do arquivo.
10 Se você quer permitir o arquivo somente quando for executado em um tipo
específico de unidade, clique em Somente corresponder arquivos nos
seguintes tipos de unidades.
Desmarque os tipos de unidades que você não quer incluir. Todos os tipos de
unidades são selecionados por padrão.
11 Se você quer corresponder pelo tipo de ID do dispositivo, marque Somente
corresponder arquivos nos seguintes tipos de ID de dispositivos e clique
em Selecione.
12 Clique no dispositivo que você quer na lista e clique em OK.
13 Clique em OK para começar o teste.
Após um período de tempo, você poderá exibir a lista de aplicativos não aprovados.
Se você abrir a caixa de diálogo Bloqueio do sistema para nome do grupo
novamente, será possível ver há quanto tempo o teste está em execução.
Para exibir os aplicativos não aprovados que o teste registrou em log mas não
bloqueou
1 Na caixa de diálogo Bloqueio do sistema nome do grupo, clique em Exibir
aplicativos não aprovados.
2 Na caixa de diálogo Aplicativos não aprovados, examine os aplicativos.
Esta lista inclui informações sobre a hora em que o aplicativo foi executado,
o nome do host do computador, o nome de usuário do cliente e o nome do
arquivo executável.
3 Determine como você deseja lidar com os aplicativos não aprovados.

No modo whitelist, você pode adicionar os nomes dos aplicativos que quer
permitir à lista de aplicativos aprovados. Para o modo de blacklist, é possível
remover os nomes dos aplicativos que você quer permitir.
4 Na caixa de diálogo Aplicativos não aprovados, clique em Redefinir o teste
se você tiver alterado as listas de impressões digitais de arquivos ou os
aplicativos individuais e quiser executar o teste novamente. Caso contrário,
clique em Fechar.
5 Após terminar o teste, você poderá ativar o bloqueio do sistema.
Para ativar o bloqueio do sistema para executar no modo whitelist

Você pode ativar o bloqueio do sistema para permitir somente aplicativos
aprovados em seus computadores-cliente. Somente os aplicativos na lista aprovada
podem ser executados. Todos os outros aplicativos são bloqueados. A lista aprovada
é chamada uma whitelist. Os aplicativos aprovados estão sujeitos a outros recursos
de proteção do Symantec Endpoint Protection.
Nota: Por padrão, o bloqueio do sistema será executado no modo whitelist quando
você o ativar. Você poderá escolher um modo whitelist ou blacklist se configurar
o Symantec Endpoint Protection Manager para mostrar ambas as opções.
Você deve configurar o bloqueio do sistema para executar no modo whitelist

somente depois que as seguintes condições forem verdadeiras:
■ Você testou a configuração do bloqueio do sistema com a opção Registrar em
log apenas aplicativos não aprovados.
■ Você tem certeza de que todos os aplicativos que seus computadores-cliente
precisam executar estão listados na lista de aplicativos aprovados.
Para ativar o bloqueio do sistema para executar no modo whitelist
2 Em Clientes, selecione o grupo no qual deseja configurar o bloqueio do sistema.
Se você selecionar um subgrupo, o grupo pai deverá ter a herança desativada.
4 Se você configurar o Symantec Endpoint Protection Manager para exibir as
opções dos modos whitelist e blacklist, clique em Ativar modo whitelist.
5 Clique em Etapa 2: Permitir Bloqueio do sistema para bloquear todos os

aplicativos não aprovados que os clientes tentarem executar.
6 Em Aplicativos aprovados, certifique-se de ter incluído todos os aplicativos
executados nos computadores-cliente.
Aviso: Você deve incluir todos os aplicativos que seus computadores-cliente

executam na lista de aplicativos aprovados. Caso contrário, é possível fazer
com que alguns computadores-cliente não possam reiniciar ou impedir que
usuários executem aplicativos importantes.
7 Para mostrar uma mensagem no computador-cliente quando o cliente bloquear

um aplicativo, selecione Notificar o usuário se um aplicativo estiver
bloqueado.
8 Clique em OK.
Consulte “Para configurar e testar a configuração do bloqueio do sistema antes
de ativar o bloqueio do sistema” na página 559.
Para ativar o bloqueio do sistema para ser executado no modo blacklist

Você pode ativar o bloqueio do sistema para bloquear uma lista de aplicativos não
aprovados em seus computadores-cliente. Todos os aplicativos na lista de não
aprovados serão bloqueados. A lista de não aprovados é chamada de blacklist.
Qualquer outro aplicativo será permitido. Os aplicativos permitidos estão sujeitos
aos outros recursos de proteção do Symantec Endpoint Protection.
Nota: Você poderá escolher o modo whitelist ou blacklist se configurar o Symantec

Endpoint Protection Manager para mostrar ambas as opções.
Você deve configurar o bloqueio do sistema para bloquear aplicativos não

aprovados somente após as seguintes condições serem verdadeiras:
■ Você testou a configuração do bloqueio do sistema com a opção Registrar em
logo apenas aplicativos não aprovados.
■ Você está certo de que todos os aplicativos que seus computadores-cliente
devem bloquear estão listados na lista de aplicativos não aprovados.
Para ativar o bloqueio do sistema para ser executado no modo blacklist

2 Em Clientes, selecione o grupo no qual deseja configurar o bloqueio do sistema.
Se você selecionar um subgrupo, o grupo pai deverá ter a herança desativada.
3 Na guia Políticas, selecione Bloqueio do sistema.
4 Na caixa de diálogo Bloqueio do sistema, selecione Ativar modo Blacklist.
5 Clique em Etapa 2: Ativar Bloqueio do sistema. Esta etapa bloqueará todos
os aplicativos não aprovados que os clientes tentarem executar nos
computadores-cliente no grupo selecionado.
6 Em Aplicativos não aprovados, certifique-se de que você incluiu todos os
aplicativos que seus computadores-cliente devem bloquear.
Nota: Um número grande de aplicativos nomeados pode diminuir o

desempenho de seus computadores-cliente.
7 Para exibir uma mensagem no computador-cliente quando o cliente bloquear

um aplicativo, selecione Notificar o usuário se um aplicativo estiver
bloqueado.
8 Clique em OK.
Para testar itens selecionados antes de adicioná-los ou removê-los

quando o bloqueio do sistema já estiver ativado
Depois que o bloqueio do sistema for ativado por um período de tempo, será
possível adicionar ou remover as listas de impressões digitais de arquivos ou
aplicativos específicos. Com o passar do tempo, você poderá acumular muitas
listas de impressões digitais de arquivos que não usa mais. Ou os aplicativos que
seus usuários poderão alterar.
Você testa itens específicos antes de adicioná-los ou removê-los de modo que seus
computadores-cliente não bloqueiem aplicativos importantes. No modo blacklist,
o bloqueio do sistema bloqueia todos os itens novos que você adicionar à

configuração. No modo whitelist, o bloqueio do sistema bloqueia todos os itens
que você remover. O bloqueio do sistema é executado em modo whitelist por
padrão. Os modos somente aparecem como opções no console se você configurá-lo
para mostrar as opções.
Nota: Quando você testar itens individuais, o bloqueio do sistema será ativado. O
bloqueio do sistema continua a bloquear os aplicativos que não são parte do teste.
Você pode testar listas de impressões digitais de arquivos individuais para

certificar-se de que seus computadores-cliente não usam mais os aplicativos na
lista. Você pode igualmente testar os aplicativos individuais que são especificados
na configuração do bloqueio do sistema.
Você poderá testar a configuração inteira do bloqueio do sistema, em vez de itens
específicos, quando o bloqueio do sistema for desativado.
Para testar itens selecionados antes de adicioná-los ou removê-los quando o
bloqueio do sistema já estiver ativado
2 Em Clientes, localize o grupo no qual deseja remover itens do bloqueio do
sistema.
A configuração do bloqueio do sistema já deve estar ativada.
■ Para o modo whitelist, você deverá saber qual lista de impressões digitais
de arquivos existente ou o nome do aplicativo específico que você quer
testar.
■ Para o modo blacklist, você deverá adicionar uma nova lista de impressões
digitais de arquivos ou um novo nome de aplicativo que você queira testar.
Consulte “Para ativar o bloqueio do sistema para executar no modo whitelist”
na página 562.
Consulte “Para ativar o bloqueio do sistema para ser executado no modo
blacklist” na página 563.
■ No modo whitelist, em Aplicativos aprovados, marque Testar antes da
remoção ao lado de uma lista de impressões digitais de arquivos existente
ou aplicativo que você quer testar.
Gerenciamento do controle de dispositivos
■ No modo blacklist, em Aplicativos não aprovados, marque Testar antes

de adicionar ao lado de uma lista de impressões digitais de arquivos nova
ou aplicativo que você quer testar.
O bloqueio do sistema continua permitindo esses aplicativos, mas eles são
registrados em log como aplicativos não aprovados.
Se você importar uma lista de nome do aplicativo, o campo Testar antes da
remoção ou Testar antes de adicionar já estará preenchido.
5 Clique em OK para começar o teste.
Se você abrir a caixa de diálogo Bloqueio do sistema para nome do grupo
novamente, será possível ver há quanto tempo o teste está em execução.
Normalmente, será possível executar este teste por uma semana ou mais.
Após o teste, você pode verificar o Log de controle de aplicativos. Se os aplicativos
que você testar aparecerem no Log de controle de aplicativos, você saberá que
seus usuários executam os aplicativos. Você pode decidir se mantém o item testado
como parte da configuração do bloqueio do sistema.
Se você decidir que deseja bloquear os itens que testou, execute uma destas ações:
■ Na caixa de diálogo Bloqueio do sistema para nome de grupo, quando o modo
whitelist estiver ativado, selecione o item testado e clique em Remover.
■ Na caixa de diálogo Bloqueio do sistema para nome de grupo, quando o modo
blacklist estiver ativado, desmarque Testar antes de adicionar.
Aviso: No modo whitelist, o bloqueio do sistema bloqueia todos os aplicativos em

listas de impressões digitais de arquivos e os nomes de aplicativo específicos que
você remover da configuração. No modo blacklist, o bloqueio do sistema bloqueia
todos os aplicativos em listas de impressões digitais de arquivos e os nomes de
aplicativo específicos que você adicionar à configuração.


A lista de dispositivos de hardware e uma Política de controle de dispositivos e
aplicativos são usadas para gerenciar o controle de dispositivos.

Consulte “Sobre Políticas de controle de dispositivos e aplicativos” na página 523.
Tabela 22-9 Gerenciamento do controle de dispositivos
Ação Descrição
Verificar a lista de dispositivos de Por padrão, o Symantec Endpoint Protection

hardware padrão no Symantec Manager inclui uma lista de dispositivos de
Endpoint Protection Manager hardware. A lista aparece na guia Políticas do
Symantec Endpoint Protection Manager em
Componentes das políticas. Esta lista é usada
para selecionar os dispositivos que você deseja
controlar em seus computadores-cliente.
Se quiser controlar um dispositivo que não esteja

incluído na lista, será necessário adicionar o
dispositivo primeiro.
Consulte “Sobre a lista de dispositivos de

hardware” na página 567.
Adicionar dispositivos à lista de Ao adicionar um dispositivo à lista de dispositivos,

dispositivos de hardware (se necessário) é necessário um ID da classe ou do dispositivo
para o dispositivo.
Consulte “Adição de um dispositivo de hardware

à lista Dispositivos de hardware” na página 569.
Consulte “Como obter um ID da classe ou do
dispositivo” na página 568.
Configurar o controle de dispositivos Especifique os dispositivos que deseja bloquear

ou excluir do bloqueio.
Consulte “Configuração de controle de

dispositivos” na página 570.
Sobre a lista de dispositivos de hardware

O Symantec Endpoint Protection Manager inclui uma lista de dispositivos de
hardware. Alguns dispositivos são incluídos na lista por padrão. Os dispositivos
são usados ao configurar o controle de dispositivos.
Você pode adicionar dispositivos à lista. Você não pode editar ou excluir nenhum
dispositivo padrão.
Os dispositivos são identificados por um ID do dispositivo ou ID da classe. Use

qualquer um desses valores para adicionar um dispositivo à lista.
Consulte “Como obter um ID da classe ou do dispositivo” na página 568.
ID da classe O ID da classe refere-se ao Windows GUID. Cada tipo de dispositivo

tem uma classe e um ClassGuid associados a ele. O ClassGuid é um
valor hexadecimal com o seguinte formato:
{00000000-0000-0000-0000-000000000000}
ID do dispositivo Um ID do dispositivo é o ID mais específico para um dispositivo. A

sintaxe de um ID do dispositivo inclui algumas string descritivas que
tornam a leitura mais fácil do que o ID da classe.
Quando você adiciona um ID do dispositivo, é possível usar a

identificação específica de um dispositivo. Como alternativa, é possível
usar um caractere curinga na string do ID do dispositivo para indicar
um grupo menos específico de dispositivos. Você pode usar um
asterisco (*) para indicar caracteres zero ou mais adicionais ou um
ponto de interrogação (?) para indicar um único caractere de qualquer
valor.
O item a seguir é um ID do dispositivo para um dispositivo específico

de USB ScanDisk:
USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER_MICRO&REV_2033
\0002071406&0
O item a seguir é um ID do dispositivo com um caractere curinga que

indica qualquer dispositivo de USB SanDisk:
USBSTOR\DISK&VEN_SANDISK*

indica qualquer dispositivo de disco USB:
USBSTOR\DISK*

indica qualquer dispositivo de armazenamento USB:
USBSTOR*
Como obter um ID da classe ou do dispositivo

Você pode usar a ferramenta Symantec DevViewer para obter o ID da classe (GUID)
ou do dispositivo e usar o Gerenciador de dispositivos do Windows para obter o
ID do dispositivo.
Depois que você obtiver um ID do dispositivo, será possível modificá-lo com um
caractere curinga para indicar um grupo menos específico de dispositivos.
Para obter o ID da classe ou do dispositivo usando a ferramenta DevViewer

1 No disco do produto, localize a pasta \Tools\DevViewer e faça o download
da ferramenta DevViewer.exe no computador-cliente.
2 No computador-cliente, execute DevViewer.exe.
3 Expanda a árvore de dispositivo e localize o dispositivo do qual você quer o
ID do dispositivo ou o GUID.
Por exemplo, expanda as unidades de DVD-ROM e selecione o dispositivo
dentro dessa categoria.
4 No painel direito, clique com o botão direito do mouse no ID do dispositivo
(inicia com [ID do dispositivo]) e clique em Copiar ID do dispositivo.
5 Clique em Sair.
6 No servidor de gerenciamento, cole o ID do dispositivo na lista de dispositivos
de hardware.
Para obter um ID do dispositivo do Painel de controle
1 Abra Gerenciador de dispositivos no Painel de Controle.
O caminho do Gerenciador de dispositivos dependerá do sistema operacional
Windows. Por exemplo, no Windows 7, clique em Iniciar > Painel de Controle
> Sistema > Gerenciador de dispositivos.
2 Na caixa de diálogo Gerenciador de dispositivos, clique com o botão direito
do mouse no dispositivo e depois clique em Propriedades.
3 Na caixa de diálogo Propriedades do dispositivo, na guia Detalhes, selecione
o ID do dispositivo
Por padrão, o ID do dispositivo é o primeiro valor mostrado.
4 Copie a string do ID.
5 Clique em OK.
Consulte “Adição de um dispositivo de hardware à lista Dispositivos de
hardware” na página 569.
Adição de um dispositivo de hardware à lista Dispositivos de hardware

Depois que você obtiver um ID da classe ou um ID do dispositivo para um
dispositivo de hardware, poderá adicionar o dispositivo de hardware à lista
Dispositivos de hardware padrão. Você poderá então acessar essa lista padrão na
parte do controle de dispositivo da política de controle de dispositivos e aplicativos.
Consulte “Sobre a lista de dispositivos de hardware” na página 567.
Para adicionar dispositivos de hardware à lista Dispositivos de hardware

2 Em Políticas, expanda Componentes das políticas e clique em Dispositivos
de hardware.
3 Em Tarefas, clique em Adicionar um dispositivo de hardware.
4 Digite o nome do dispositivo que você deseja adicionar.
Os IDs da classe e os IDs do dispositivo são colocados entre chaves por
convenção.
5 Selecione ID da classe ou ID do dispositivo e cole o ID que você copiou do
Gerenciador de dispositivos do Windows ou da ferramenta DevViewer.
6 Você pode usar caracteres curinga para definir um conjunto de IDs do
dispositivo. Por exemplo, é possível usar esta string: *IDE\DVDROM*.
Consulte “Como obter um ID da classe ou do dispositivo” na página 568.
7 Clique em OK.
Configuração de controle de dispositivos

Políticas de controle de dispositivos e aplicativos são usadas para configurar o
controle de dispositivos. Todos os dispositivos necessários já foram adicionados
à lista Dispositivos de hardware.
Configuração de controle de dispositivos
1 No console, abra uma política de controle de dispositivos e aplicativos.
2 Clique em Controle de dispositivos.
3 Em Dispositivos bloqueados, clique em Adicionar.
4 Na janela Seleção do dispositivo, selecione um ou mais dispositivos. Se você
bloquear portas, certifique-se de excluir dispositivos caso seja necessário.
Nota: Normalmente, você nunca deve bloquear um teclado.
5 Clique em OK.
6 Em Dispositivos excluídos do bloqueio, clique em Adicionar.
7 Na janela Seleção do dispositivo, selecione um ou mais dispositivos.
8 Selecione Notificar usuários quando os dispositivos forem bloqueados se

desejar notificar o usuário.
9 Clique em Especificar texto da mensagem para digitar a mensagem exibida
na notificação.
10 Clique em OK.
Capítulo 23
Para gerenciar exceções
■ Sobre exceções ao Symantec Endpoint Protection
■ Para gerenciar exceções para o Symantec Endpoint Protection
■ Criação de exceções para o Symantec Endpoint Protection
■ Restrição dos tipos de exceções que os usuários podem configurar em

■ Para criar exceções de eventos de log no Symantec Endpoint Protection

Manager
Sobre exceções ao Symantec Endpoint Protection

Normalmente, as exceções são itens, tais como arquivos ou domínios da Web, que
você deseja excluir de verificações.
O Symantec Endpoint Protection exclui automaticamente alguns arquivos das
Também é possível usar exceções para detectar um aplicativo ou mudar o
comportamento padrão quando o Symantec Endpoint Protection detectar um
aplicativo ou quando o aplicativo for inicializado.
Convém usar exceções para reduzir a quantidade de tempo em que as verificações
são executadas. Por exemplo, é possível excluir arquivos, pastas e extensões das
verificações. Se você reduzir o tempo de verificação, poderá aumentar o
desempenho do sistema em computadores-cliente.
574 Para gerenciar exceções
Para gerenciar exceções para o Symantec Endpoint Protection
Nota: Você não pode criar exceções para verificações de um vírus individual e de
spyware. Por exemplo, se você criar uma exceção de arquivo, o Symantec Endpoint
Protection aplicará a exceção a todas as verificações de vírus e spyware
(Auto-Protect, Download Insight e qualquer verificação definida pelo administrador
ou usuário).
As exceções se aplicam a um tipo específico de cliente (Windows ou Mac). Você

configura as exceções separadamente. Por exemplo, se você configurar uma
exceção de arquivo, ela se aplicará a clientes que executam em computadores
Windows ou clientes que executam em computadores Mac. Algumas exceções não
estão disponíveis para clientes Mac.
Tabela 23-1 Exceções de verificação e tipo do cliente
Tipo do cliente Exceção
Clientes Mac Exceção de arquivo ou pasta
Clientes Windows Você pode configurar os seguintes tipos de exceções:
■ Arquivo
■ Pasta
■ Risco conhecido
■ Extensão
■ Domínio Web confiável
■ Aplicativo para monitoração
■ Aplicativo
■ Proteção contra adulterações
Consulte “Sobre os arquivos e pastas que o Symantec Endpoint Protection exclui

das verificações de vírus e spyware” na página 357.
na página 574.
Para gerenciar exceções para o Symantec Endpoint

Protection
Você pode gerenciar exceções para o Symantec Endpoint Protection no console
Para gerenciar exceções 575
Para gerenciar exceções para o Symantec Endpoint Protection
Tabela 23-2 Para gerenciar exceções
Tarefa Descrição
Identificar exceções As exceções são usadas para excluir itens das

verificações e da proteção em seus
Consulte “Sobre exceções ao Symantec Endpoint

Verificar os tipos de arquivos e pastas O Symantec Endpoint Protection cria

que o Symantec Endpoint Protection automaticamente exceções ou exclusões para
exclui automaticamente das alguns aplicativos de terceiros e alguns produtos
verificações Symantec.
Você também pode configurar verificações

individuais para incluir apenas determinadas
extensões e ignorar todas as outras extensões.
Consulte “Sobre os arquivos e pastas que o

Symantec Endpoint Protection exclui das
verificações de vírus e spyware” na página 357.
Criar exceções para verificações As exceções são adicionadas diretamente a uma

Política de exceções. Ou é possível adicionar
exceções de eventos de log na página Monitores.
Consulte “Criação de exceções para o Symantec

Consulte “Para criar exceções de eventos de log

no Symantec Endpoint Protection Manager”
na página 589.
Restrição dos tipos de exceções que os Por padrão, nos computadores-cliente, os usuários
usuários podem configurar em têm direitos de configuração limitados para
computadores-cliente exceções. Você pode restringir os usuários ainda
mais, de modo que não possam criar exceções para
verificações de vírus e spyware ou para o SONAR.
Usuários nunca podem forçar a detecção de um

aplicativo e nunca têm permissão para criar
exceções à Proteção contra adulterações.
Usuários também não podem criar exceções de

arquivo para o controle de aplicativo.
Consulte “Restrição dos tipos de exceções que os

usuários podem configurar em
Criação de exceções para o Symantec Endpoint Protection
Tarefa Descrição
Verificar os logs em busca de detecções Depois que o Symantec Endpoint Protection fizer
para as quais criar exceções uma detecção, você poderá criar uma exceção para
a detecção do evento de log.
Por exemplo, é possível criar uma exceção para
um arquivo que as verificações detectam, mas do
qual seus usuários solicitam o download.
Consulte “Para criar exceções de eventos de log

no Symantec Endpoint Protection Manager”
na página 589.
Configurar exceções da prevenção Você pode especificar exceções para a prevenção

contra intrusões contra intrusões.
Você também pode configurar uma lista de host

excluídos para a prevenção contra intrusões.
As exceções da prevenção contra intrusões são

configuradas em uma Política de prevenção contra
intrusões.
Consulte “Para gerenciar a prevenção contra

intrusões em seu computador-cliente”
na página 501.
Criação de exceções para o Symantec Endpoint

Protection
Você pode criar diferentes tipos de exceções para o Symantec Endpoint Protection.
Toda a exceção que você criar prevalece sobre qualquer exceção que um usuário
possa definir. Nos computadores-cliente, os usuários não podem exibir as exceções
que você cria. Um usuário pode exibir apenas as exceções que o usuário cria.
Nota: A Política de exceções inclui uma exceção do caminho do arquivo SONAR

para impedir a introdução de código do SONAR no aplicativo especificado. O
SONAR não introduz códigos em aplicativos em clientes do Symantec Endpoint
Protection 12.1 ou anteriores. Se você usar o Symantec Endpoint Protection
Manager 12.1.2 para gerenciar clientes, uma exceção de arquivo do SONAR em
uma política de exceções será ignorada em seus clientes legados. Se você usar um
Symantec Endpoint Protection Manager legado para gerenciar clientes, a política
legada não suportará exceções de arquivos do SONAR em seus clientes do Symantec
Endpoint Protection 12.1.2. No entanto, você pode impedir a introdução de código
do SONAR em aplicativos nestes clientes, criando uma exceção de Aplicativo para
monitoração na política legada. Depois que o cliente aprender o aplicativo, você
poderá configurar uma exceção do aplicativo na política.
As exceções para verificações de vírus e spyware também se aplicam ao Download

Insight.
Tabela 23-3 Criação de exceções para o Symantec Endpoint Protection
Tarefa Descrição
Excluir um arquivo das verificações Suportado em clientes Windows e Mac.
Exclui um arquivo pelo nome das verificações de vírus e spyware, do SONAR

ou do controle de aplicativo em clientes Windows.
Você também pode excluir um arquivo das verificações de vírus e spyware

em clientes Mac.
Excluir uma pasta das verificações Suportado em clientes Windows e Mac.
Exclui uma pasta das verificações de vírus e spyware, do SONAR ou de todas

as verificações em clientes Windows. Você também pode excluir uma pasta
das verificações de vírus e spyware em clientes Mac.

Tarefa Descrição
Excluir um risco conhecido das Suportado em clientes Windows.

verificações de vírus e spyware
Exclui um risco conhecido das verificações de vírus e spyware. As
verificações ignoram o risco, mas você pode configurar a exceção de modo
que as verificações registrem em log a detecção. Em qualquer caso, o
software-cliente não notifica os usuários ao detectar os riscos especificados.
Se um usuário configurar as ações personalizadas de um risco conhecido

que você configura para ignorar, as ações personalizadas serão ignoradas
pelo Symantec Endpoint Protection.
Consulte “Exclusão de riscos conhecidos das verificações de vírus e spyware”

na página 583.
As exceções de riscos à segurança não se aplicam ao SONAR.
Excluir extensões de arquivo das Suportado em clientes Windows.

verificações de vírus e spyware
Exclui qualquer arquivo com as extensões especificadas das verificações
de vírus e spyware.
Consulte “Exclusão de extensões de arquivo das verificações de vírus e

As exceções da extensão não se aplicam ao SONAR.
Monitorar um aplicativo para criar uma Suportado em clientes Windows.

exceção para o aplicativo
Use a exceção Aplicativo para monitoração para monitorar um aplicativo
específico. Quando o Symantec Endpoint Protection reconhecer o aplicativo,
você pode criar uma exceção para especificar como o Symantec Endpoint
Protection controlará o aplicativo.
Se você desativar o reconhecimento de aplicativo, a exceção Aplicativo para

monitoração forçará o reconhecimento do aplicativo especificado.
Consulte “Para monitorar um aplicativo a fim de criar uma exceção”

na página 584.
Tarefa Descrição
Especificar como as verificações Suportado em clientes Windows.

gerenciam os aplicativos monitorados
Use uma exceção do aplicativo para especificar uma ação para Symantec
Endpoint Protection para aplicar a um aplicativo monitorado. O tipo de
ação determina se o Symantec Endpoint Protection aplicará a ação quando
detectar o aplicativo ou quando o aplicativo for executado. O Symantec
Endpoint Protection aplica a ação Encerrar, Colocar em quarentena ou
Remover a um aplicativo quando ele for iniciado ou executado. Ele aplicará
a ação Somente registrar em log ou Ignorar quando detectar o aplicativo.
Ao contrário de uma exceção do nome de arquivo, uma exceção do aplicativo

é uma exceção baseada em hash. Os arquivos diferentes podem ter o mesmo
nome, mas um hash do arquivo identifica um aplicativo com exclusividade.
A exceção do aplicativo é uma exceção baseada em hash SHA-2. As exceções

legadas para as verificações proativas contra ameaças do TruScan aparecem
como exceções baseadas em hash SHA-1. Os clientes legados suportam
apenas exceções SHA-1. A impressão digital do arquivo na lista de exceções
é precedida por 2 ou 1 respectivamente para indicar o tipo de hash do
arquivo.
Aplicativos para os quais você pode criar exceções aparecem na caixa de

diálogo Exceções após o Symantec Endpoint Protection reconhecer o
aplicativo. Você pode pedir que o Symantec Endpoint Protection monitore
um aplicativo específico para reconhecê-lo.

Consulte “Configuração do servidor de gerenciamento para recolher

informações sobre os aplicativos executados pelos computadores-cliente”
na página 335.
Tarefa Descrição
Excluir um domínio da Web das Suportado em clientes Windows.

verificações
O Download Insight verifica os arquivos que os usuários tentam transferir
por download de sites e outros portais. O Download Insight é executado
como parte de uma verificação de vírus e spyware. É possível configurar
uma exceção para um domínio específico da Web que você sabe que é seguro.
O Download Insight deve estar ativado para que a exceção entre em vigor.
Nota: Se seus computadores-cliente usarem um proxy com autenticação,
será necessário especificar exceções do domínio da Web confiável para os
URLs da Symantec. As exceções permitem que seus computadores-cliente
comuniquem-se com o Symantec Insight e com outros sites importantes
da Symantec.
Veja os seguintes artigos relacionados da base de conhecimento:
■ How to test connectivity to Insight and Symantec licensing servers (em

inglês)
■ Required exclusions for proxy servers to allow Symantec Endpoint
Protection to connect to Symantec reputation and licensing servers (em
inglês)
Consulte “Exclusão de um domínio confiável da Web das verificações”

na página 586.
Criar exceções do arquivo para Proteção Suportado em clientes Windows.

contra adulterações
A Proteção contra adulterações protege os computadores-cliente dos
processos que adulteram processos e objetos internos da Symantec. Quando
a Proteção contra adulterações detectar um processo que poderia modificar
as configurações da Symantec ou os valores do registro do Windows, ela
bloqueará o processo.
Alguns aplicativos de terceiros tentam inadvertidamente modificar

processos ou configurações da Symantec. Talvez seja preciso permitir que
um aplicativo seguro modifique configurações da Symantec. Talvez você
queira interromper a Proteção contra adulterações para certas áreas do
registro ou certos arquivos do computador-cliente.
Em alguns casos, a Proteção contra adulterações pode bloquear um leitor

de tela ou algum outro aplicativo de tecnologia de auxílio. Você pode criar
uma exceção de arquivo de modo que o aplicativo possa ser executado em
computadores-cliente. As exceções de pasta não são suportadas para a
Proteção contra adulterações.
Consulte “Para criar uma exceção da Proteção contra adulterações”

na página 586.
Tarefa Descrição
Permitir que aplicativos façam Suportado em clientes Windows

alterações no DNS ou no arquivo do
Você pode criar uma exceção para que um aplicativo faça alterações no
host
DNS ou no arquivo do host. O SONAR tipicamente impede mudanças no
sistema como alterações no DNS ou no arquivo de host. Talvez seja preciso
fazer uma exceção para um aplicativo VPN, por exemplo.
Consulte “Para criar uma exceção para um aplicativo que faz mudanças no
DNS ou em arquivo do host” na página 587.

na página 574.
Exclusão de um arquivo ou pasta das verificações

Você adiciona exceções para arquivos ou pastas individualmente. Se quiser criar
exceções para mais de um arquivo, repita o procedimento.
Você pode configurar exceções de arquivo ou de pasta em clientes Windows e Mac.
Em clientes Windows, exceções de arquivo podem se aplicar às verificações de
vírus e spyware, ao SONAR e ao controle de aplicativo. As exceções de pasta se
aplicam às verificações de vírus e spyware e ao SONAR.
Para excluir um arquivo das verificações em clientes Windows
1 Na página Política de exceções, clique em Exceções.
2 Em Exceções, clique em Adicionar > Exceções do Windows > Arquivo
3 Na caixa suspensa Variável de prefixo, selecione uma pasta comum.
Selecione [NENHUM] para digitar o caminho absoluto e o nome do arquivo.
Quando você selecionar um prefixo, a exceção pode ser usada em sistemas
operacionais Windows diferentes.
4 Na caixa de texto Arquivo, digite o nome do arquivo.
Se você selecionar uma variável de prefixo, o caminho deverá ser relativo ao
prefixo. Se você selecionar [NENHUM], digite o nome do caminho completo.
Nota: Os caminhos devem ser denotados usando uma barra inversa.

5 Em Especificar os tipos de verificações que excluirão esse arquivo, selecione

o tipo de verificação ( Risco à segurança, SONAR ou Controle de aplicativos
).
Você deve selecionar pelo menos um tipo.
6 Para verificações de risco à segurança, em Especifique o tipo de verificação
de risco à segurança, selecione Auto-Protect, Agendado e sob demanda ou
Todas as verificações.
7 Clique em OK.
Para excluir uma pasta das verificações em clientes Windows
2 Em Exceções, clique em Adicionar > Exceções do Windows > Pasta
3 Na caixa suspensa Variável de prefixo, selecione uma pasta comum.
4 Na caixa de texto Pasta, digite o nome da pasta.
Nota: Os caminhos devem ser denotados usando uma barra inversa.
5 Em Especificar os tipos de verificações que excluirão esse arquivo, selecione

o tipo de verificação ( Risco à segurança, SONAR, Controle de aplicativos
ou Todos )
Você deve selecionar pelo menos um tipo.
6 Para verificações de risco à segurança, em Especifique o tipo de verificação
de risco à segurança, selecione Auto-Protect, Agendado e sob demanda ou
Todas as verificações.
7 Clique em OK.
Para excluir um arquivo ou pasta em clientes Mac
1 Na página Política de exceções, clique em Exceções centralizadas.
2 Em Exceções, clique em Adicionar > Exceções Mac > Exceções de riscos à
segurança para Arquivo ou pasta.
3 Em Exceção de arquivo ou pasta de riscos à segurança, na caixa suspensa

Variável de prefixo, selecione uma pasta comum.
4 Na caixa de texto Arquivo ou Pasta, digite o nome da pasta.
Nota: Os caminhos de pastas devem ser denotados usando uma barra.
5 Clique em OK.
Exclusão de riscos conhecidos das verificações de vírus e spyware

Os riscos à segurança detectados pelo software-cliente são exibidos na caixa de
diálogo Exceções de riscos à segurança conhecidos.
A lista de riscos à segurança conhecidos inclui informações sobre a gravidade do
risco.
Para excluir riscos conhecidos das verificações de vírus e spyware
2 Em Exceções, clique em Adicionar > Exceções do Windows > Riscos
conhecidos.
3 Na caixa de diálogo Adicionar Exceções de riscos à segurança conhecidos,
selecione um ou mais riscos à segurança que você queira excluir das
4 Marque Registrar quando o risco à segurança for detectado se quiser
registrar a detecção.
Se essa opção não for marcada, o cliente ignorará o risco quando detectar os
riscos selecionados. Portanto, o cliente não registrará a detecção.
5 Clique em OK.
Exclusão de extensões de arquivo das verificações de vírus e spyware

É possível adicionar várias extensões de arquivos a uma exceção. Depois de criar
a exceção, não é possível criar outras exceções de extensão para a mesma política.
É preciso editar a exceção existente.
Somente é possível adicionar uma extensão por vez. Se várias extensões forem
inseridas na caixa de texto Adicionar, a política tratará a entrada como um nome
de extensão único.
Para excluir extensões de arquivo das verificações de vírus e spyware
2 Em Exceções, clique em Adicionar > Exceções do Windows > Extensões.
3 Na caixa de texto, digite a extensão a ser excluída e clique em Adicionar.
4 Adicione todas as outras extensões à exceção.
5 Clique em OK.
Para monitorar um aplicativo a fim de criar uma exceção

Quando o Symantec Endpoint Protection reconhecer um aplicativo monitorado,
ele aparecerá na caixa de diálogo Exceção de aplicativo. Você pode criar uma ação
de exceção para o aplicativo na Política de exceções. O aplicativo aparece também
no log relevante, e você pode criar uma exceção do log.
Se você desativar o reconhecimento de aplicativo, a exceção Aplicativo para
monitoração forçará o reconhecimento do aplicativo especificado.
Para monitorar um aplicativo a fim de criar uma exceção
2 Clique em Adicionar > Exceções do Windows > Aplicativo para monitoração.
3 Na caixa de diálogo, digite o nome do aplicativo.

Por exemplo, poderia ser digitado o nome de um arquivo executável, como
segue:
foo.exe
Para especificar como o Symantec Endpoint Protection gerencia

aplicativos monitorados
Você pode monitorar um aplicativo específico de modo a criar uma exceção para
como o Symantec Endpoint Protection controla o aplicativo. Quando o Symantec
Endpoint Protection reconhecer o aplicativo, e o console de gerenciamento receber
o evento, o aplicativo aparecerá na lista do aplicativo na caixa de diálogo Exceção
de aplicativo. A lista de aplicativos aparecerá vazia se os computadores-cliente
de sua rede ainda não tiverem reconhecido nenhum aplicativo.
A lista dos aplicativos inclui os aplicativos que você monitora, assim como os
arquivos obtidos por download por seus usuários. O Symantec Endpoint Protection
aplicará a ação quando o Symantec Endpoint Protection detectar o aplicativo ou
o aplicativo for executado.
Os aplicativos também aparecem na lista de Exceção de alteração de DNS e arquivo
do host.
Consulte “Para monitorar um aplicativo a fim de criar uma exceção” na página 584.
Consulte “Para criar uma exceção para um aplicativo que faz mudanças no DNS
ou em arquivo do host” na página 587.
Para especificar como o Symantec Endpoint Protection gerencia aplicativos
monitorados
2 Clique em Adicionar > Exceções do Windows > Aplicativo.
3 Na lista suspensa Exibir, selecione Todos, Aplicativos monitorados ou
Aplicativos permitidos pelo usuário.
4 Selecione os aplicativos para os quais deseja criar uma exceção.
5 Na caixa suspensa Ação, selecione Ignorar, Somente registrar em log, Colocar

em quarentena, Encerrar ou Remover.
As ações Ignorar e Somente registrar em log se aplicam quando as
verificações detectam o aplicativo. As ações Encerrar, Colocar em quarentena
e Remover serão aplicadas quando o aplicativo for inicializado.
6 Clique em OK.
Exclusão de um domínio confiável da Web das verificações

Você pode excluir um domínio Web das verificações de vírus e spyware e do SONAR.
Você pode especificar apenas um domínio Web de cada vez. Você deve especificar
um URL de HTTP ou HTTPS ou um endereço IP quando especificar uma exceção
confiável do domínio da Web. Os URL FTP não são suportados na configuração
de exceções. Você deve especificar um endereço IP para um local FTP. Você não
pode usar um número de porta.
Nota: Se o Download Insight ou o Auto-Protect forem desativados, as exceções do

domínio Web confiável serão desativadas também.

Para excluir um domínio confiável da Web das verificações
1 Na página Política de exceções, clique em Adicionar > Exceções do Windows
> Domínio Web confiável.
2 Na caixa de diálogo Adicionar Exceção de domínio confiável da Web, digite
o site de HTTP ou HTTPS ou o endereço IP que você deseja excluir.
3 Clique em OK.
4 Repetir o procedimento para adicionar mais exceções de domínio Web.
Para criar uma exceção da Proteção contra adulterações

Você pode criar exceções de arquivos para a proteção contra adulterações. Convém
criar uma exceção de proteção contra adulterações se a proteção contra
adulterações interferir com um aplicativo seguro conhecido em seus
computadores-cliente. Por exemplo, a Proteção contra adulterações pode bloquear
um aplicativo de tecnologia de auxílio, como um leitor de tela.
Você precisa saber o nome do arquivo associado ao aplicativo da tecnologia de
auxílio. Então você pode criar uma exceção para permitir que o aplicativo seja
executado.
Nota: A Proteção contra adulterações não suporta exceções de pasta.

Para criar uma exceção da Proteção contra adulterações
2 Clique em Adicionar > Exceções do Windows > Exceção de proteção contra
adulterações.
3 Na caixa de diálogo Adicionar exceção de proteção contra adulterações, na
caixa suspensa Variável de prefixo, selecione uma pasta comum.
Selecione [NENHUM] se deseja digitar o caminho absoluto e o nome do
arquivo.
4 Na caixa de texto Arquivo, digite o nome do arquivo.
Se você selecionou um prefixo, o caminho deverá ser relativo ao prefixo. Se
você selecionou [NENHUM] para o prefixo, digite o nome do caminho
completo.
Você deve especificar um nome de arquivo. A Proteção contra adulterações
não suporta exceções de pasta. Se você digitar um nome de pasta, a Proteção
contra adulterações não excluirá todos os arquivos de uma pasta com esse
nome. Ela excluirá somente um arquivo com aquele nome especificado.
5 Clique em OK.
Para criar uma exceção para um aplicativo que faz mudanças no DNS
ou em arquivo do host
Você pode criar uma exceção para um aplicativo específico que faça mudanças no
DNS ou no arquivo do host. O SONAR pode impedir mudanças de sistema como
mudanças no DNS ou arquivo do host. Talvez seja preciso fazer uma exceção para
um aplicativo VPN, por exemplo.
Você pode monitorar um aplicativo específico de modo que possa criar uma exceção
de mudança no DNS ou no arquivo do host. Quando o Symantec Endpoint
Protection detectar o aplicativo, e o console de gerenciamento receber o evento,
o aplicativo aparecerá na lista do aplicativo. A lista de aplicativos aparecerá vazia
se os computadores-cliente de sua rede ainda não tiverem reconhecido nenhum
aplicativo.
Restrição dos tipos de exceções que os usuários podem configurar em computadores-cliente
Use as Configurações do SONAR para controlar como o SONAR detecta mudanças

no DNS ou no arquivo do host.
Para criar uma exceção para um aplicativo que faça mudança no DNS ou no arquivo
do host
2 Clique em Adicionar > Exceções do Windows > Exceção na alteração do DNS
ou do arquivo de host.
3 Selecione os aplicativos para os quais deseja criar uma exceção.
4 Na caixa suspensa Ação, selecione Ignorar, Somente registrar em log, Aviso
ou Encerrar.
As ações se aplicam quando as verificações detectam o aplicativo que faz
mudanças no DNS ou no arquivo do host.
5 Clique em OK.
Consulte “Para ajustar as configurações do SONAR em seus computadores-cliente”
na página 438.
Restrição dos tipos de exceções que os usuários

podem configurar em computadores-cliente
Você pode configurar restrições de modo que os usuários em computadores-cliente
não possam criar exceções para verificações de vírus e spyware ou para o SONAR.
Por padrão, os usuários têm permissão para configurar exceções.
Nos computadores-cliente, os usuários nunca podem criar exceções para a proteção
contra adulterações, independentemente das configurações de restrição.
Usuários também não podem criar exceções de arquivo para o controle de
aplicativo.
na página 574.
Para criar exceções de eventos de log no Symantec Endpoint Protection Manager
Para restringir os tipos de exceções que os usuários podem configurar em

1 Na página Política de exceções, clique em Restrições de clientes.
2 Em Restrições de clientes, desmarque qualquer exceção a qual você não
deseja que os usuários configurem em computadores-cliente.
Para criar exceções de eventos de log no Symantec

Você pode criar exceções de eventos de log para verificações de vírus e spyware,
SONAR, controle de aplicativos e proteção contra adulterações.
Nota: Você não pode criar exceções dos eventos de log para detecções de início
antecipado do antimalware.
Tabela 23-4 Exceções e tipos de log
Tipo de exceção Tipo de log
Arquivo Log de riscos
Pasta Log de riscos

Log do SONAR
Risco conhecido Log de riscos
Extensão Log de riscos
Aplicativo Log de riscos
Log do SONAR
Domínio Web confiável Log de riscos
Log do SONAR
proteção contra adulterações Log do Controle de aplicativos
Mudança no DNS ou no arquivo do host Log do SONAR

O Symantec Endpoint Protection já deve ter detectado o item para o qual você
deseja criar uma exceção. Quando você usar um evento de log para criar uma
exceção, especifique a Política de exceções que deve incluir a exceção.
na página 574.
1 Na guia Monitores, clique na guia Logs.
2 Na lista suspensa Tipo de log, selecione o log de riscos, o log do SONAR ou o
log de controle de dispositivos e aplicativos.
3 Se você selecionou Controle de dispositivos e aplicativos, selecione Controle
de aplicativos na caixa de listagem Conteúdo do log.
5 Ao lado de Intervalo de tempo, selecione o intervalo de tempo para filtrar o
log.
6 Selecione a entrada ou as entradas para as quais deseja criar uma exceção.
7 Ao lado de Ação, selecione o tipo de exceção que deseja criar.
O tipo de exceção que você selecionar deverá ser válido para o item ou os itens
selecionados.
8 Clicar em Aplicar ou Iniciar.
9 Na caixa de diálogo, remova todos os itens que você não quer incluir na
exceção.
10 Para riscos à segurança, marque Registrar quando o risco à segurança for
detectado, se quiser que o Symantec Endpoint Protection registre a detecção.
11 Selecione todas as Políticas de exceções que devem usar a exceção.
12 Clique em OK.
Capítulo 24
Para configurar
atualizações e atualizar a
proteção do
computador-cliente
■ Para gerenciar atualizações de conteúdo
■ Configuração de um site para fazer o download de atualizações de conteúdo
■ Configuração do agendamento de download do LiveUpdate para Symantec

■ Download do conteúdo do LiveUpdate manualmente para o Symantec Endpoint

Protection Manager
■ Verificação da atividade do servidor do LiveUpdate
■ Para configurar o Symantec Endpoint Protection Manager para se conectar a

um servidor proxy a fim de acessar a Internet e fazer download de conteúdo
do Symantec LiveUpdate
■ Especificação de um servidor proxy que os clientes usem para se comunicar

com o Symantec LiveUpdate ou um servidor interno do LiveUpdate
■ Como ativar e desativar o agendamento do LiveUpdate para

■ Como configurar os tipos de conteúdos usados para atualizar

592 Para configurar atualizações e atualizar a proteção do computador-cliente
Para gerenciar atualizações de conteúdo
■ Configuração do agendamento de download do LiveUpdate para

■ Configuração da quantidade de controle que os usuários têm sobre o LiveUpdate
■ Para configurar as revisões de conteúdo usadas pelos clientes
■ Configuração do espaço em disco usado para downloads do LiveUpdate
■ Sobre a escolha aleatória de downloads simultâneos de conteúdo
■ Como escolher aleatoriamente downloads do conteúdo do servidor de

gerenciamento padrão ou de um Provedor de atualizações de grupo
■ Como escolher aleatoriamente o download de conteúdo de um servidor do

LiveUpdate
■ Configuração das atualizações do cliente a serem executadas quando os

computadores-cliente estiverem ociosos
■ Configuração de atualizações do cliente para serem executadas quando as

definições forem antigas ou o computador tiver sido desconectado
■ Configuração de um servidor externo do LiveUpdate
■ Configuração de um servidor interno do LiveUpdate
■ Para usar Provedores de atualizações de grupo para distribuir conteúdo aos

clientes
■ Para usar arquivos do Intelligent Updater para atualizar definições de vírus e

de riscos à segurança do cliente
■ Como usar ferramentas de distribuição de terceiros para atualizar


Os produtos da Symantec dependem das informações atuais para proteger
computadores das ameaças com a mais recente tecnologia de proteção contra
ameaças. Os computadores-cliente e os servidores precisam de atualizações
periódicas do conteúdo de proteção como definições de spyware e vírus, assinaturas
do sistema de proteção contra intrusões e software do produto. O LiveUpdate
fornece estas atualizações da Symantec através de uma conexão com a Internet.
O cliente do LiveUpdate as verifica para se assegurar de que as atualizações venham
da Symantec e não tenham sido adulteradas de nenhuma maneira.
Para configurar atualizações e atualizar a proteção do computador-cliente 593
O Symantec Endpoint Protection suporta os protocolos HTTPS, HTTP e FTP para

se conectar aos servidores internos do LiveUpdate. Ele suporta conexões ao
servidor do Symantec LiveUpdate via HTTP, com FTP como método de backup.
Embora o HTTPS não seja suportado para conexão ao servidor do Symantec
LiveUpdate, o conteúdo é assinado digitalmente. A vantagem do HTTP é que a
maioria dos clientes pode se conectar ao servidor do LiveUpdate sobre HTTP,
sendo geralmente mais rápido.
Nota: O LiveUpdate que o Symantec Endpoint Protection usa não atualiza o

conteúdo em outros produtos da Symantec. Se você usou previamente uma única
instância do LiveUpdate para atualizações de conteúdo em vários produtos, deverá
agora ativar o agendador do LiveUpdate nesses outros produtos da Symantec.
Para configurar atualizações para clientes, você usa as seguintes políticas:

■ Política de configurações do LiveUpdate
■ Política de conteúdo do LiveUpdate
A política de configurações do LiveUpdate especifica os servidores de conteúdo
contatados pelos computadores-cliente para verificar atualizações e com que
frequência as atualizações são buscadas pelos clientes. A política de conteúdo do
LiveUpdate especifica os tipos de conteúdo do qual seus computadores-cliente
fazem download. Você também pode configurar alguns dos tipos de conteúdo que
são obtidos por download do servidor de gerenciamento na guia LiveUpdate da
caixa de diálogo Propriedades do site.
Se você usar um servidor do LiveUpdate, a Política de configurações do LiveUpdate
fornecerá Configurações avançadas para as seguintes áreas:
■ O grau de controle do usuário sobre o LiveUpdate
Você pode permitir que usuários iniciem o LiveUpdate manualmente de seus
computadores-cliente. Esta configuração está desativada por padrão. Se você
ativar essa configuração, os usuários podem iniciar o LiveUpdate e fazer o
download das definições de vírus, atualizações de componentes e atualizações
de produtos mais recentes. Dependendo do tamanho da população de usuários,
talvez você não queira deixar que os usuários façam o download de todo o
conteúdo sem antes conduzir testes. Além disso, podem ocorrer conflitos se
duas sessões do LiveUpdate forem executadas simultaneamente em
Você pode igualmente escolher permitir que usuários mudem seu agendamento
de LiveUpdate e alterem suas configurações de proxy.
■ Download das atualizações do produto
Por padrão, não é permitido aos usuários fazer download de atualizações do

produto de um servidor do LiveUpdate, mas você poderá mudar esta
configuração.
■ Uso de cabeçalhos padrão de HTTP
O LiveUpdate usa às vezes os cabeçalhos não padronizados que um firewall
pode bloquear. Você pode usar esta configuração para fazer o Symantec
Endpoint Protection Manager exigir cabeçalhos HTTP padrão do LiveUpdate.
Esta configuração aplica-se apenas a downloads para clientes de um servidor
interno ou externo do LiveUpdate.
Você pode impedir usuários de executar o LiveUpdate somente em clientes
Windows. Usuários em clientes Mac sempre podem executar o LiveUpdate. As
atualizações do produto de um servidor do LiveUpdate, porém, podem ser restritas
em clientes Mac e Windows. Se você restringir as atualizações do produto do
LiveUpdate em um cliente Mac, será necessário fornecê-las manualmente. Os
clientes Mac não podem obter atualizações do servidor de gerenciamento.
A Tabela 24-1 descreve algumas das tarefas que você pode executar para gerenciar
atualizações de conteúdo. Como você pode usar os padrões para atualizações,
todas as tarefas são opcionais.
Tabela 24-1 Tarefas para gerenciar atualizações de conteúdo
Tarefa Descrição
Executar o LiveUpdate Após instalar o Symantec Endpoint Protection Manager, ele é configurado para
após a instalação periodicamente atualizar o conteúdo de maneira automática. Porém, é possível executar o
LiveUpdate imediatamente ou em qualquer momento para fazer o download das mais
recentes atualizações do produto e de segurança.
Consulte “Download do conteúdo do LiveUpdate manualmente para o Symantec Endpoint

Tarefa Descrição
Definir as Configure o servidor de gerenciamento para receber atualizações regulares de conteúdo.

configurações de Estas atualizações de conteúdo podem ser distribuídas a computadores-cliente.
download do Quando você configurar um site para fazer download de conteúdo do LiveUpdate para o
LiveUpdate para o Symantec Endpoint Protection Manager, você precisará tomar as seguintes decisões:
servidor de
gerenciamento ■ Com que frequência o site procura atualizações de conteúdo do LiveUpdate.
■ Que tipos de conteúdo para obter por download para o site.
■ Os idiomas para os tipos de atualizações a serem obtidas por download.
■ O servidor do LiveUpdate fornece o conteúdo ao site.
■ O número de revisões de conteúdo a ser mantido e se os pacotes de clientes devem ser
armazenados descompactados.
Consulte “Configuração de um site para fazer o download de atualizações de conteúdo”

na página 609.
Consulte “Configuração do espaço em disco usado para downloads do LiveUpdate”

na página 622.
Consulte “Configuração do agendamento de download do LiveUpdate para Symantec

Consulte “Verificação da atividade do servidor do LiveUpdate” na página 614.
Configurar uma Estabeleça comunicação entre um servidor proxy e o Symantec Endpoint Protection Manager
conexão para permitir para que ele possa se conectar a serviços de assinatura da Symantec. Um servidor proxy
que um servidor proxy pode fornecer um nível adicional de proteção entre seu site e um servidor externo do
se conecte ao servidor Symantec LiveUpdate.
do Symantec
Consulte “Para configurar o Symantec Endpoint Protection Manager para se conectar a um
LiveUpdate
servidor proxy a fim de acessar a Internet e fazer download de conteúdo do Symantec
LiveUpdate” na página 615.
Especificar Você pode especificar configurações de proxy para clientes que se conectam a um servidor
configurações de proxy interno do LiveUpdate para obter atualizações. As configurações de proxy são somente
para comunicação do para atualizações. Elas não se aplicam a outros tipos de comunicação externa que os clientes
cliente a um servidor usam. Configure o proxy para outros tipos de comunicação externa de clientes
interno do LiveUpdate separadamente.
Consulte “Especificação de um servidor proxy que os clientes usem para se comunicar com
o Symantec LiveUpdate ou um servidor interno do LiveUpdate” na página 615.
Tarefa Descrição
Decidir como os Os computadores-cliente podem automaticamente fazer o download de definições de

computadores-cliente segurança e outras atualizações do produto do Symantec Endpoint Protection Manager,
obtêm atualizações mas diversos outros métodos de distribuição do conteúdo estão disponíveis. Por exemplo,
é possível permitir que os usuários viajem com computadores portáteis para usar uma
conexão com a Internet para obter atualizações diretamente de um servidor do Symantec
LiveUpdate.
Algumas instalações que têm um grande número de clientes podem configurar um ou vários
Provedores de atualizações de grupo para reduzir a carga no servidor de gerenciamento.
Você também pode configurar uma lista explícita de Provedores de atualizações de grupo
que os clientes podem usar para se conectar aos Provedores de atualizações de grupo que
estão em sub-redes diferentes da própria sub-rede do cliente.
Nota: Os clientes Mac obtêm atualizações apenas de um servidor interno ou externo do
LiveUpdate.
Consulte “Sobre os tipos do conteúdo que o LiveUpdate pode fornecer” na página 597.
Consulte “Como os computadores-cliente recebem atualizações de conteúdo” na página 602.
Consulte “Configuração do agendamento de download do LiveUpdate para

Configurar a Você pode decidir quanto controle para dar a seus usuários sobre suas atualizações de
quantidade de controle conteúdo.
que será dada a
Consulte “Configuração da quantidade de controle que os usuários têm sobre o LiveUpdate”
usuários sobre pelo
na página 620.
LiveUpdate
Ajustar parâmetros de Para diminuir o efeito dos downloads na largura de banda da rede, é possível fazer o
download do cliente download do conteúdo aleatoriamente de modo que nem todos os clientes obtenham
atualizações ao mesmo tempo.
Consulte “Sobre a escolha aleatória de downloads simultâneos de conteúdo” na página 623.

Para diminuir o efeito dos downloads no desempenho de computadores-cliente, é possível

fazer com que o download das atualizações de conteúdo dos computadores-cliente seja feito
quando os computadores-cliente estiverem ociosos.
Consulte “Configuração das atualizações do cliente a serem executadas quando os

computadores-cliente estiverem ociosos” na página 626.
Configurar um método Os computadores-cliente fazem automaticamente o download das definições de vírus e

alternativo de outras atualizações de conteúdo do Symantec Endpoint Protection Manager, mas há diversos
distribuição métodos de distribuição alternativos que você pode usar.
Consulte “Como os computadores-cliente recebem atualizações de conteúdo” na página 602.

Sobre os tipos do conteúdo que o LiveUpdate pode fornecer

Os tipos de conteúdo que o LiveUpdate pode fornecer incluem definições de vírus
e spyware, assinaturas do Sistema de prevenção contra intrusões e atualizações
de produtos. Para controlar os tipos de conteúdo que seus computadores-cliente
obtêm por download, você usa uma política de conteúdo do LiveUpdate. Para
controlar os tipos de conteúdo que o servidor de gerenciamento padrão obtém
por download para distribuir aos clientes, você define as configurações das
propriedades do site. Se o conteúdo estiver selecionado em uma política do
LiveUpdate, mas não tiver sido selecionado nas propriedades do site esse conteúdo
não será fornecido aos clientes.
Nota: Normalmente, não é necessário restringir o conteúdo que o Symantec

Endpoint Protection Manager obtém por download. Cuide para desativar somente
o tipo de conteúdo que você está certo de que não precisa.
As atualizações do LiveUpdate incluem definições e outros tipos de conteúdo. Ele

não inclui atualizações de políticas. O Symantec Endpoint Protection Manager
atualizará políticas em clientes quando você atribuir uma nova política a um grupo
ou editar uma política existente.
A Tabela 24-2 relaciona os tipos de conteúdo que você pode configurar no Symantec
Endpoint Protection Manager para fazer o download aos clientes.
Tabela 24-2 Os tipos de conteúdo que você pode configurar para o download
aos clientes
Tipo de conteúdo Descrição
Atualizações do produto As atualizações de produtos são melhorias ao software-cliente instalado. Essas

atualizações de produto são criadas geralmente para estender a compatibilidade do
sistema operacional ou do hardware, para ajustar problemas de desempenho ou
corrigir erros do produto. As atualizações do produto são lançadas de acordo com a
necessidade. Os clientes podem receber atualizações do produto diretamente de um
servidor do LiveUpdate. Os clientes gerenciados também podem receber atualizações
do produto do Symantec Endpoint Protection Manager.
■ O parâmetro Configurações de atualização do produto em Configurações

avançadas de uma política de configurações do LiveUpdate permite controlar as
versões do software-cliente. Esta escolha não é configurada em uma política de
conteúdo do LiveUpdate. Quando esta configuração estiver ativada, o
software-cliente poderá ser atualizado com o LiveUpdate.
■ O Symantec Endpoint Protection Manager faz o download de atualizações do
cliente por meio do LiveUpdate por padrão. Esta configuração pode ser desativada
nas propriedades do site para o Symantec Endpoint Protection Manager. Quando
for feito o download de uma atualização, ela aparecerá no painel Pacotes de
instalação do cliente. Você pode então selecionar o pacote e usar o recurso Fazer
upgrade de clientes com o pacote para os clientes Windows.
Você pode usar o Assistente de Implementação de Cliente para atualizar seus clientes
Mac. Link da Web e e-mail cria um pacote e envia o URL do download aos destinatários
pretendidos do e-mail. Salvar pacote cria e exporta um pacote de instalação. Este
pacote pode então ser implementado com uma ferramenta de terceiros ou colocado
em um local de rede para download e instalação manual.
Definições de vírus e spyware Pacotes separados da definição de vírus estão disponíveis para as plataformas x86 e
x64. Este tipo de conteúdo igualmente inclui a lista do portal do Auto-Protect.
Assinaturas heurísticas do Proteger contra ameaças de ataque de dia zero.

SONAR
Lista de aplicativos Inclui os aplicativos comerciais legítimos que geraram falsos positivos no passado.
comerciais da Verificação Estes serão usados para a compatibilidade com versões anteriores quando você
proativa de ameaças TruScan gerenciar clientes legados.
Assinaturas de prevenção Protege contra ameaças à rede e suporta a prevenção contra intrusões e os mecanismos
contra intrusões de detecção.
Assinaturas de controle de Controla o fluxo dos envios ao Symantec Security Response.

envio
Configurações de reputação Inclui as atualizações para os dados de reputação usados na proteção.

Tipo de conteúdo Descrição
Conteúdo de integridade do Inclui os modelos de requisitos predefinidos que aplicam patches atualizados e medidas
host de segurança no computador-cliente. O LiveUpdate faz o download dos modelos para
os computadores que executam sistemas operacionais Windows e Mac.
Consulte “Para adicionar um requisito da integridade do host através de um modelo”
na página 891.
Nota: Essa opção somente aparecerá na caixa de diálogo Propriedades do site quando
você instalar o Symantec Network Access Control.
Nota: Você não pode excluir todos os tipos de conteúdo. Por exemplo, Assinaturas
e atributos de arquivo estendido, usados para controlar certificados-raiz e
informações do signatário, são sempre obtidos por download.

Consulte “Como os computadores-cliente recebem atualizações de conteúdo”
na página 602.
Consulte “Como configurar os tipos de conteúdos usados para atualizar
A Tabela 24-3 relaciona os recursos que precisam de atualizações regulares e os
tipos de conteúdo de que cada recurso precisa.
Tabela 24-3 Recursos e o conteúdo de atualização necessário
Quando você instalar um Quando você fizer a atualização, precisará fazer download desses tipos de
cliente não gerenciado conteúdo
Proteção contra vírus e ■ Definições de vírus e spyware

spyware ■ Definições do SONAR
Quando você configurar tipos de conteúdo para download em Propriedades do
site, isso se chamará assinaturas heurísticas do SONAR.
■ Whitelist da Symantec
Quando você configurar um site para fazer download do conteúdo, esse tipo de
conteúdo será chamado de lista de aplicativos comerciais da verificação proativa
de ameaças TruScan.
■ Dados de revogação (download por padrão, não configurado no Symantec Endpoint
Protection Manager)
■ Configurações de reputação centralizada
site, esse tipo de conteúdo será chamado de Configurações de reputação.
■ Assinaturas de controle de envio
■ Lista do portal do Auto-Protect
Proteção antivírus e ■ Definições de vírus e spyware

antispyware > Proteção de ■ Definições do SONAR
download Quando você configurar tipos de conteúdo para download em Propriedades do
Protection Manager)
■ Assinaturas de prevenção contra intrusões
Quando você selecionar essa opção para fazer o download, ela incluirá atualizações
às assinaturas de prevenção contra intrusões e aos mecanismos de prevenção
contra intrusões.

spyware > Verificador do ■ Definições do SONAR
Outlook Quando você configurar tipos de conteúdo para download em Propriedades do
Protection Manager)

spyware > Verificador do ■ Definições do SONAR
Notes Quando você configurar tipos de conteúdo para download em Propriedades do
Protection Manager)
Proteção proativa contra Definições do SONAR

ameaças > SONAR
Assinaturas de controle de envio
Quando você configurar tipos de conteúdo para download no Symantec Endpoint
Protection Manager, isso se chamará assinaturas heurísticas do SONAR.
Proteção proativa contra Assinaturas de controle de envio

ameaças > Controle de
Proteção contra ameaças à Assinaturas de prevenção contra intrusões

rede > Prevenção contra
intrusões
Nota: Quando você selecionar essa opção para fazer o download, ela incluirá
atualizações às assinaturas de prevenção contra intrusões e aos mecanismos de
prevenção contra intrusões.
Proteção contra ameaças à Assinaturas de controle de envio

rede > Firewall
Controle de acesso à rede Conteúdo de integridade do host
Nota: Você não pode configurar Assinaturas e atributos de arquivo estendido e

Assinaturas de controle de envio. Elas são instaladas sempre.
Como os computadores-cliente recebem atualizações de conteúdo

Os computadores-cliente podem usar o LiveUpdate para fazer automaticamente
o download de definições de segurança e outras atualizações do produto, mas você
também pode usar diversos outros métodos de distribuição de conteúdo para
atualizar os clientes.
As configurações de agendamento do servidor do LiveUpdate são definidas em
Propriedades do site na página Administrador. As configurações de agendamento
do cliente LiveUpdate são definidas na política de configurações do LiveUpdate.
Ao adicionar e aplicar uma Política de configurações do LiveUpdate, é necessário
planejar com que frequência você deseja que os computadores-cliente verifiquem
as atualizações. A configuração padrão é a cada quatro horas. Você também deve
saber de onde deseja que os computadores-cliente verifiquem e obtenham
atualizações. Se possível, você deseja que os computadores-cliente procurem e
obtenham atualizações do Symantec Endpoint Protection Manager. Após criar
sua política, atribua a política a um ou mais grupos e locais.
Os métodos de distribuição do conteúdo que você usa dependem dos seguintes
fatores:
■ Como você configura sua rede.
■ Quantos computadores-cliente você gerencia.
Por exemplo, se você tiver um número muito grande de clientes, poderá usar
provedores de atualizações de grupo para facilitar a carga em seus servidores
de gerenciamento. Você pode até mesmo configurar os servidores internos do

LiveUpdate que usam o administrador do LiveUpdate, caso necessário.
■ Se você gerenciar computadores-cliente Windows e Mac.
Por exemplo, os computadores-cliente Mac obtêm atualizações apenas de um
servidor interno ou externo do LiveUpdate. Apenas computadores-cliente
Windows podem obter atualizações do servidor de gerenciamento ou do
Provedor de atualizações de grupo.
■ Se os computadores-cliente conectam-se regularmente à sua rede.
Por exemplo, alguns usuários podem viajar com computadores portáteis que
se conectam intermitentemente ou não se conectam à sua rede. Neste caso, é
possível permitir que os computadores-cliente obtenham atualizações
diretamente de um servidor do Symantec LiveUpdate usando a Internet.
Tabela 24-4 Métodos de distribuição de conteúdo e quando usá-los
Método Descrição Quando usá-lo
Symantec Endpoint O servidor de gerenciamento padrão pode Nota: Apenas computadores-cliente

Protection Manager para atualizar os computadores-cliente que Windows podem obter atualizações do
computadores-cliente gerencia. Você pode ter vários servidores de servidor de gerenciamento. Os
gerenciamento na rede do Symantec computadores-cliente Mac devem
(Padrão)
Endpoint Protection Manager. O site que atualmente obter suas atualizações de um
inclui os servidores de gerenciamento recebe servidor do Symantec LiveUpdate ou
o conteúdo do LiveUpdate. manualmente.
Consulte “Para usar arquivos do Intelligent

Updater para atualizar definições de vírus
e de riscos à segurança do cliente”
na página 647.
Este método é configurado por padrão após

a instalação do servidor de gerenciamento.
Também é possível combinar esse método
com um Provedor de atualizações de grupo.
Provedor de atualizações Um Provedor de atualizações de grupo é um Configurar um Provedor de atualizações de

de grupo para computador-cliente que recebe atualizações grupo é mais fácil do que configurar um
computadores-cliente de um servidor de gerenciamento. Em servidor interno do LiveUpdate. Os
seguida, encaminha as atualizações para os provedores de atualizações de grupo
outros computadores-cliente no grupo. Um utilizam recursos com menor intensidade
Provedor de atualizações de grupo pode e, assim, reduzem a carga nos servidores de
atualizar vários grupos. gerenciamento.
Observe que os Provedores de atualizações Este método é particularmente útil para

de grupo distribuem todos os tipos de grupos em locais remotos com largura de
conteúdo do LiveUpdate, exceto atualizações banda mínima.
de software-cliente. Os provedores de
Consulte “Para usar Provedores de
atualizações de grupo também não podem
atualizações de grupo para distribuir
ser usados para atualizar políticas.
conteúdo aos clientes ” na página 632.
Servidor interno do Os computadores-cliente podem fazer o Você pode usar um servidor interno do
LiveUpdate para download de atualizações diretamente de LiveUpdate em redes muito grandes para
computadores-cliente um servidor interno do LiveUpdate que reduzir a carga no Symantec Endpoint
recebe suas atualizações de um servidor do Protection Manager. Você deve primeiro
Symantec LiveUpdate. considerar se os provedores de atualizações
de grupo cumprem as necessidades de sua
Você usa o utilitário de administração do
organização. Os provedores de atualizações
LiveUpdate para fazer o download das
de grupo são mais fáceis de configurar e
atualizações de definição do servidor do
também reduzem a carga nos servidores de
Symantec LiveUpdate. O utilitário coloca os
gerenciamento.
pacotes em um servidor da Web, em um site
FTP ou em um local designado com um Use um servidor interno do LiveUpdate se
caminho UNC. Você configura seus você tiver clientes Mac e não quiser que se
servidores de gerenciamento e conectem ao Servidor do Symantec
computadores-cliente para fazer o download LiveUpdate pela Internet.
de suas atualizações de definições por este
Um servidor interno do LiveUpdate também
local.
será útil se sua organização executar vários
Caso necessário, é possível configurar vários produtos da Symantec que também usam o
servidores internos do LiveUpdate e LiveUpdate para atualizar os
distribuir a lista a computadores-cliente. computadores-cliente.
Para obter mais informações sobre a Normalmente, você usa um servidor interno
configuração do servidor do LiveUpdate, do LiveUpdate em grandes redes de mais de
consulte o Guia de Usuário Administrador 10.000 clientes.
do LiveUpdate. Nota: Você não deve instalar o Symantec
O guia está disponível no disco do produto Endpoint Protection Manager e um servidor
Ferramentas e no site do Suporte da interno do LiveUpdate no mesmo hardware
Symantec. ou máquina virtual física. A instalação no
mesmo computador pode causar problemas
significativos de desempenho no servidor.
Para obter mais informações, consulte o

artigo da Base de conhecimento: LiveUpdate
Administrator 2.x e Symantec Endpoint
Protection Manager no mesmo computador..
Consulte “Configuração de um servidor

interno do LiveUpdate” na página 629.
Servidor do Symantec Os computadores-cliente podem receber Utilize um servidor externo do Symantec

LiveUpdate a atualizações diretamente de um servidor do LiveUpdate para os computadores-cliente
computadores-cliente Symantec LiveUpdate. que não estão sempre conectados à rede da
pela Internet Nota: Os computadores-cliente Mac devem empresa.
usar este método. O Symantec Endpoint Protection Manager
e as atualizações agendadas estão ativados
por padrão, assim como as opções para
executar apenas atualizações agendadas
quando a conexão com o Symantec Endpoint
Protection Manager for perdida e as
definições de vírus e spyware forem mais
antigas do que um determinado tempo. Com
as configurações padrão, os clientes sempre
obtêm atualizações do Symantec Endpoint
Protection Manager, a não ser quando o
Symantec Endpoint Protection Manager não
estiver respondendo durante um longo
período.
Nota: Não configure grandes números de
clientes gerenciados conectados à rede para
obter atualizações de um servidor externo
do Symantec LiveUpdate. Essa configuração
consome quantidades desnecessárias de
largura de banda da Internet.
Consulte “Configuração de um servidor

externo do LiveUpdate” na página 628.
Distribuição de Ferramentas de terceiros, como Microsoft Use esse método quando quiser testar
ferramentas de terceiros SMS, permitem distribuir arquivos de arquivos de atualização antes de
atualização específicos para clientes. distribuí-los. Use esse método se você tem
uma infraestrutura de distribuição de
ferramentas de terceiros e deseja
aproveitá-la.
Consulte “Distribuição do conteúdo usando

ferramentas de distribuição de terceiros”
na página 653.
Intelligent Updater Os arquivos do Intelligent Updater contêm Você pode usar arquivos do Intelligent
o conteúdo de risco à segurança e vírus que Updater se não quiser usar o Symantec
você pode usar para atualizar clientes LiveUpdate ou se o LiveUpdate não estiver
manualmente. Você pode fazer o download disponível.
dos arquivos com extração automática do
Consulte “Para usar arquivos do Intelligent
Intelligent Updater no site da Symantec.
Updater para atualizar definições de vírus
e de riscos à segurança do cliente”
na página 647.
Para atualizar outros tipos de conteúdo, é

necessário configurar um servidor de
gerenciamento para fazer o download e
preparar os arquivos de atualização.
Consulte “Como usar ferramentas de

distribuição de terceiros para atualizar
A Figura 24-1 mostra um exemplo de arquitetura de distribuição para redes

menores.
Figura 24-1 Exemplo de arquitetura de distribuição para redes menores
Symantec LiveUpdate
Servidor de Servidor de
Grupo de clientes gerenciamento gerenciamento
Provedor de
atualizaes de
Grupos de grupo Cliente
clientes
Clientes
Grupo de clientes
A Figura 24-2 mostra um exemplo de arquitetura de distribuição para redes

maiores.
Configuração de um site para fazer o download de atualizações de conteúdo
Figura 24-2 Exemplo de arquitetura de distribuição para redes maiores
Symantec LiveUpdate
Servidor Servidor
interno do LiveUpdate interno do LiveUpdate
Servidor de gerenciamento
Grupos de clientes
Grupos de clientes
Configuração de um site para fazer o download de

atualizações de conteúdo
Quando você configurar um site para fazer o download de conteúdo do LiveUpdate,
terá que tomar várias decisões.
Tabela 24-5 Decisões sobre o download do conteúdo
Decisão Descrição
Com que frequência meu site O agendamento padrão de que o Symantec Endpoint Protection Manager execute o
deve procurar atualizações LiveUpdate a cada quatro horas é uma melhor prática.
de conteúdo do LiveUpdate?
De que tipo de conteúdo devo Certifique-se de que o site faça o download de todas as atualizações de conteúdo
fazer download? especificadas nas Políticas de conteúdo do LiveUpdate do cliente.
Consulte “Sobre os tipos do conteúdo que o LiveUpdate pode fornecer” na página 597.
Consulte “Como configurar os tipos de conteúdos usados para atualizar

Quais idiomas devem ser Esta configuração na caixa de diálogo Propriedades do site se aplica apenas às
transferidos por download atualizações do produto; as atualizações de conteúdo são apropriadas para todos os
para as atualizações do idiomas.
produto?
Qual servidor do LiveUpdate Você pode especificar um servidor do Symantec LiveUpdate (recomendado) externo
deve servir o conteúdo ao ou um ou mais servidores internos do LiveUpdate que foram previamente instalados
site? e configurados.
Consulte “Configuração de um servidor externo do LiveUpdate” na página 628.
Você não deve instalar o Symantec Endpoint Protection Manager e um servidor

interno do LiveUpdate no mesmo hardware ou máquina virtual física. A instalação
no mesmo computador pode causar problemas significativos de desempenho no
servidor.
Se você decidir usar um ou mais servidores internos do LiveUpdate, será recomendável

adicionar o servidor público do Symantec LiveUpdate como a entrada mais recente.
Se seus clientes não puderem atingir nenhum servidor na lista, então eles ainda
poderão atualizar pelo servidor do Symantec LiveUpdate.
Nota: Se você usar a versão 1.x do Administrador do LiveUpdate para gerenciar seu
servidor interno do LiveUpdate, será necessário fazer uma alteração se você tiver
aplicado pacotes personalizados de resposta. Os clientes do LiveUpdate que usam a
versão atual não podem autenticar pacotes personalizados de resposta. Você deve
remover todos os pacotes personalizados do servidor central do LiveUpdate.
Consulte “Configuração de um servidor interno do LiveUpdate” na página 629.

Quantas revisões de Uma boa razão para armazenar várias revisões de um único tipo de conteúdo é fornecer
conteúdo o site deve a capacidade de criar e distribuir deltas aos clientes. Quando o Symantec Endpoint
armazenar e os pacotes do Protection Manager e o cliente tiverem uma revisão de conteúdo em comum, o
cliente devem ser Symantec Endpoint Protection Manager poderá usá-la como uma base para um delta
armazenados a ser enviado para clientes. Os clientes podem aplicar o delta para a mesma base
descompactados? localmente a fim de obter o conteúdo mais recente. Os deltas são, tipicamente, muito
menores do que os pacotes completos, o que resulta em grande economia de largura
de banda.
Você também poderá armazenar revisões de conteúdo porque convém testar o

conteúdo mais recente antes de implementá-lo em todos os clientes. Talvez você
deseje manter versões anteriores do conteúdo caso seja necessário reverter a
implementação.
Nota: Quando você mantém um grande número revisões, mais espaço em disco é
necessário no Symantec Endpoint Protection Manager.

na página 622.
Consulte “Para configurar as revisões de conteúdo usadas pelos clientes” na página 621.
Para configurar um site para fazer o download de atualizações

2 Em Servidores, clique com o botão direito do mouse em Site local e clique
em seguida em Editar propriedades.
3 Na guia LiveUpdate, na caixa de grupo Agendamento de download, clique
em Editar agendamento, defina as opções para a frequência com que o
servidor deve procurar atualizações.
4 Clique em OK.
5 Em Tipos de conteúdo para download, inspecione a lista de tipos de
atualização que são obtidas por download.
6 Para adicionar um tipo de atualização, clique em Alterar seleção, modifique
a lista e, então, clique em OK.
A lista deve corresponder à lista de tipos de conteúdo que você inclui na
Política de conteúdo do LiveUpdate para seus computadores-cliente.
7 Em Idiomas para download, inspecione a lista de idiomas dos tipos de
atualização obtidos por download.
8 Para adicionar um idioma, clique em Alterar seleção, modifique a lista e,
então, clique em OK.
9 Em Plataformas para download, clique em Mudar plataformas e verifique

a lista de plataformas. Desmarque as plataformas para as quais você não
deseja fazer download do conteúdo.
10 Em Servidores de origem do LiveUpdate, clique em Editar servidores de
origem e inspecione o servidor do LiveUpdate atual que é usado para atualizar
o servidor de gerenciamento. Este servidor é o servidor do Symantec
LiveUpdate por padrão. Então, execute um destes procedimentos:
■ Para usar o servidor de origem do LiveUpdate, clique em OK.
■ Para usar um servidor interno do LiveUpdate, clique em Usar um servidor
interno especificado do LiveUpdate e em Adicionar.
11 Se você selecionou Usar um servidor interno especificado do LiveUpdate,

na caixa de diálogo Adicionar servidor do LiveUpdate, preencha as caixas
com as informações que identificam o servidor do LiveUpdate e, em seguida,
clique em OK.
Você pode adicionar mais de um servidor para fins de failover. Se um servidor
ficar off-line, o outro servidor fornecerá suporte. Você também pode adicionar
o servidor público do Symantec LiveUpdate como o último servidor na lista.
Se você adicionar o servidor público, use
http://liveupdate.symantecliveupdate.com como o URL.
Nota: Se você usar um servidor UNC, o LiveUpdate exigirá que você use o
domínio ou o grupo de trabalho como parte do nome de usuário.
Se o computador estiver em um domínio, use o formato
domain_name\user_name.
Se o computador estiver em um grupo de trabalho, use o formato
computer_name\user_name.
12 Na caixa de diálogo Servidores do LiveUpdate, clique em OK.

13 Em Gerenciamento de espaço em disco para downloads, digite o número de
revisões de conteúdo do LiveUpdate a ser mantido.
Mais espaço em disco é necessário para o armazenamento de um grande
número de revisões de conteúdo. Os pacotes de clientes que são armazenados
no formato expandido também exigem mais espaço em disco.
Configuração do agendamento de download do LiveUpdate para Symantec Endpoint Protection Manager
14 Marque ou desmarque Armazenar pacotes de cliente descompactados para

fornecer melhor desempenho de rede para upgrades.
Nota: Desativar esta opção também desativará a capacidade do Symantec

Endpoint Protection de construir deltas entre revisões de conteúdo e poderá,
adversamente, afetar o desempenho de rede para atualizações.
15 Clique em OK.
Configuração do agendamento de download do

LiveUpdate para Symantec Endpoint Protection
Manager
Você pode ajustar o agendamento que o Symantec Endpoint Protection Manager
usa para fazer o download das atualizações de conteúdo do LiveUpdate para o
servidor de gerenciamento. Por exemplo, você pode alterar a frequência padrão
do agendamento do servidor de a cada hora para diário a fim de economizar largura
de banda.
Para configurar o agendamento de downloads do LiveUpdate para o Symantec
3 Selecione o site e, em Tarefas, clique em Editar propriedades do site.
4 Na caixa de diálogo Propriedades do servidor, na guia LiveUpdate, clique
em Editar agendamento.
5 Mude a frequência e quaisquer outras configurações que desejar mudar.
6 Clique em OK.
Download do conteúdo do LiveUpdate manualmente para o Symantec Endpoint Protection Manager
Download do conteúdo do LiveUpdate manualmente

para o Symantec Endpoint Protection Manager
Você não precisa aguardar os download agendado do LiveUpdate. Você pode fazer
o download de atualizações de conteúdo manualmente para o Symantec Endpoint
Protection Manager. Você pode usar qualquer um dos seguintes procedimentos.
Para fazer o download de atualizações de conteúdo manualmente para o Symantec
1 Na Home page, selecione Tarefas comuns e, em seguida, selecione Executar
o LiveUpdate.
2 Clique em Fazer download.
Para fazer o download de atualizações de conteúdo manualmente para o Symantec
2 A página Administrador, clique em Servidores e selecione o site.
3 Clique em Fazer o download de conteúdo do LiveUpdate.
4 Na caixa de diálogo Fazer o download de conteúdo do LiveUpdate, verifique
as propriedades e clique em Fazer download.
Se você precisar mudar as propriedades, clique em Cancelar e mude as
propriedades primeiro.
Consulte “Configuração de um site para fazer o download de atualizações de
conteúdo” na página 609.
Verificação da atividade do servidor do LiveUpdate

Você pode relacionar os eventos que se referem ao Symantec Endpoint Protection
Manager e ao LiveUpdate. Através desses eventos, você pode determinar quando
o conteúdo foi atualizado.
Para verificar a atividade do servidor do LiveUpdate
2 Na página Administrador, em Tarefas, clique em Servidores e selecione o
site.
3 Clique em Mostrar o status do LiveUpdate.
4 Clique em Fechar.
Para configurar o Symantec Endpoint Protection Manager para se conectar a um servidor proxy a fim de acessar a
Internet e fazer download de conteúdo do Symantec LiveUpdate
Para configurar o Symantec Endpoint Protection

Manager para se conectar a um servidor proxy a fim
de acessar a Internet e fazer download de conteúdo
do Symantec LiveUpdate
Se desejar que o Symantec Endpoint Protection Manager passe por um servidor
proxy para se conectar à Internet, será necessário configurar o Symantec Endpoint
Protection Manager para se conectar ao servidor proxy. Um servidor proxy pode
adicionar uma camada de segurança porque apenas ele está conectado diretamente
à Internet.
Para configurar o Symantec Endpoint Protection Manager para se conectar a um
servidor proxy, acessar a Internet e fazer download de conteúdo do Symantec
LiveUpdate
2 Em Servidores, selecione o servidor de gerenciamento ao qual deseja conectar
um servidor proxy.
4 Na guia Servidor proxy, em Configurações de proxy HTTP ou Configurações
de proxy FTP, para Uso de proxy, selecione Usar configurações
personalizadas de proxy.
5 Tipo nas configurações de proxy.
Para obter mais informações sobre essas configurações, clique em Ajuda
6 Clique em OK.
Especificação de um servidor proxy que os clientes

usem para se comunicar com o Symantec LiveUpdate
ou um servidor interno do LiveUpdate
Você pode especificar um servidor proxy que seus clientes usam para se comunicar
com um servidor interno do LiveUpdate. As configurações de proxy não afetam
as configurações dos provedores de atualizações do grupo.
Como ativar e desativar o agendamento do LiveUpdate para computadores-cliente
Nota: Defina as configurações de proxy para outras comunicações do cliente

separadamente.
Para especificar um servidor proxy que os clientes em computadores Windows

usam para se comunicar com o Symantec LiveUpdate ou um servidor interno do
LiveUpdate
2 Em Políticas, clique em LiveUpdate e na guia Configurações do LiveUpdate.
3 Clique com o botão direito do mouse na política que você deseja e selecione
Editar.
4 Em Configurações Windows, clique em Configurações do servidor.
5 Em Configurações de proxy do LiveUpdate, clique em Configurar opções de
proxy.
6 Na guia HTTP ou HTTPS ou na guia FTP, selecione as opções desejadas.
Consulte a ajuda online para obter mais informações sobre as opções.
7 Clique em OK na caixa de diálogo.
8 Clique em OK.
Para especificar um servidor proxy que os clientes em computadores Mac usam
para se comunicar com o Symantec LiveUpdate ou um servidor interno do LiveUpdate
1 No console, clique em Clientes > Políticas.
2 Em Políticas e configurações independentes do local, em Configurações,
clique em Configurações de comunicações externas.
3 Na guia Servidor proxy (Mac), selecione as opções desejadas.
Consulte a ajuda online para obter mais informações sobre as opções.
4 Clique em OK.
Como ativar e desativar o agendamento do LiveUpdate

para computadores-cliente
Se você ativar o LiveUpdate para computadores-cliente, os computadores obterão
atualizações de conteúdo através do LiveUpdate , com base no agendamento
padrão ou em um agendamento que você especificar.
Como configurar os tipos de conteúdos usados para atualizar computadores-cliente
Se você desativar o LiveUpdate para computadores-cliente, os computadores não

obterão atualizações de conteúdo diretamente do servidor do Symantec LiveUpdate.
Para ativar o agendamento do LiveUpdate para computadores-cliente
3 Na guia Configurações do LiveUpdate, clique com o botão direito do mouse
na política que deseja e clique em Editar.
4 Em Configurações do Windows, clique em Agendamento.
5 Selecione Ativar o agendamento do LiveUpdate.
6 Especifique a frequência e a janela de repetição.
7 Clique em OK.
Para desativar o agendamento do LiveUpdate para computadores-cliente
5 Desmarque Ativar o agendamento do LiveUpdate.
6 Clique em OK.
Como configurar os tipos de conteúdos usados para

atualizar computadores-cliente
A Política de conteúdo do LiveUpdate especifica os tipos de conteúdo que os clientes
têm permissão para verificar e instalar. Reverter o conteúdo para uma revisão
antiga pode ser útil em situações de solução de problemas.
Nota: Use este recurso com muito cuidado. Desmarcar um tipo de conteúdo significa
que o recurso não é mantido atualizado no cliente. Isto pode colocar seus clientes
em risco.
Configuração do agendamento de download do LiveUpdate para computadores-cliente
Para configurar o conteúdo de atualização para computadores-cliente

2 Em Políticas, clique em LiveUpdate e clique na guia Conteúdo do LiveUpdate.
3 Clique com o botão direito do mouse na política de conteúdo que deseja e
clique em Editar.
4 Em Configurações do Windows, clique em Definições de segurança.
5 Selecione os tipos de atualizações de conteúdo que deseja que os clientes
obtenham por download e instalem e desmarque os tipos que você não quer.
Nota: Se você tiver clientes Mac, eles poderão instalar apenas atualizações
para as definições de spyware e de vírus. Esta opção, em Configurações do
Mac, Definições de segurança, é ativada por padrão.
6 Opcionalmente, para cada atualização, é possível usar o mais recente conteúdo

disponível ou selecionar uma revisão específica de uma lista de versões
disponíveis.
7 Clique em OK.
Se você já não tiver atribuído essa política a grupos e locais, você deverá
atribuir a política para que ela entre em vigor.
Consulte “Para configurar as revisões de conteúdo usadas pelos clientes”
na página 621.
Configuração do agendamento de download do

LiveUpdate para computadores-cliente
As configurações de agendamento do cliente LiveUpdate são definidas na política
de configurações do LiveUpdate.
Para economizar largura de banda, os clientes do Symantec Endpoint Protection
poderão ser configurados para somente executarem LiveUpdates agendados do
Servidor do Symantec LiveUpdate, se uma das seguintes condições for atendida:
■ As definições de vírus e spyware em um computador-cliente têm mais de dois
dias.
Configuração do agendamento de download do LiveUpdate para computadores-cliente
■ Um computador-cliente for desconectado do Symantec Endpoint Protection

Manager por mais de oito horas.
Se você marcar ambas as opções, o LiveUpdate agendado de um computador-cliente
da Symantec será executado apenas se cumprir ambos os critérios.
Para configurar o agendamento para downloads do LiveUpdate para
computadores-cliente Windows
1 Clique em Políticas e em seguida clique em LiveUpdate.
4 Selecione Ativar o agendamento do LiveUpdate.
5 Especifique a frequência.
Se você selecionar Diariamente, defina também a hora do dia em que será
executada. Se você selecionar Semanalmente, defina também a hora do dia
e o dia da semana em que será executada.
6 Se você selecionar qualquer frequência a não ser Continuamente, especifique
a Janela de repetição.
A Janela de repetição é o número de horas ou de dias que o computador-cliente
tentará executar o LiveUpdate se houver falha no LiveUpdate agendado por
qualquer motivo.
7 Defina as opções adicionais, se desejado.
8 Clique em OK.
Consulte “Como escolher aleatoriamente o download de conteúdo de um servidor
do LiveUpdate” na página 625.
Para configurar o agendamento para downloads do LiveUpdate para
computadores-cliente Mac
1 Clique em Políticas e em seguida clique em LiveUpdate.
2 Na guia Política de configurações do LiveUpdate, clique com o botão direito
do mouse na política que desejar e clique em Editar.
3 Em Configurações do Mac, clique em Agendamento.
4 Especifique a frequência.
Se você selecionar Diariamente, defina também a hora do dia em que será
executada. Se você selecionar Semanalmente, defina também a hora do dia
e o dia da semana em que será executada.
5 Clique em OK quando concluir.
Configuração da quantidade de controle que os usuários têm sobre o LiveUpdate
Configuração da quantidade de controle que os

usuários têm sobre o LiveUpdate
Convém permitir que os usuários que viajam usem uma conexão à Internet para
obter atualizações diretamente de um servidor do Symantec LiveUpdate. Você
também pode permitir que os usuários modifiquem o agendamento configurado
do LiveUpdate para download do conteúdo.
Nota: Se um cliente não gerenciado tiver uma Política de configurações do

LiveUpdate atribuída a ele quando um pacote de instalação for criado, as
configurações de política terão prioridade sobre as mudanças de um usuário
quando o usuário reiniciar o computador. Para instalar um cliente não gerenciado
que retenha as mudanças de um usuário feitas nas configurações do LiveUpdate
depois que o computador for reiniciado, instale o cliente usando o disco do produto.
Não use um pacote de instalação do cliente que tenha sido exportado do Symantec
Para configurar a quantidade de controle que os usuários têm sobre o LiveUpdate

4 Em Configurações do Windows, clique em Configurações avançadas.
5 No painel Configurações do usuário, selecione Permitir que o usuário inicie
manualmente o LiveUpdate.
6 Opcionalmente, selecione Permitir que o usuário modifique o agendamento
do LiveUpdate.
7 Opcionalmente, em Configurações de atualização do produto, selecione
Fazer download das atualizações do produto Symantec Endpoint Protection
usando um servidor do LiveUpdate. Ative esta opção apenas se você não
precisar manter o controle restrito das revisões do software-cliente que seus
clientes usam.
Consulte “Para configurar as revisões de conteúdo usadas pelos clientes”
na página 621.
Para configurar as revisões de conteúdo usadas pelos clientes

Para configurar as revisões de conteúdo usadas pelos

clientes
Se você armazenar várias versões de conteúdo no Symantec Endpoint Protection
Manager, convém especificar uma revisão específica em sua Política de conteúdo
do LiveUpdate. Por exemplo, você pode testar a revisão mais recente antes
implementá-la nos clientes.
Nota: Se desejar manter o controle restrito das revisões do software-cliente usadas

pelos clientes, não as ative para fazer download de atualizações de produto.
Consulte “Configuração da quantidade de controle que os usuários têm sobre o
LiveUpdate” na página 620.
Em alguns casos, a versão que é especificada na política não corresponde às versões

armazenadas no Symantec Endpoint Protection Manager. Por exemplo, você pode
importar uma política que referencie uma revisão que não existe no servidor ou
ainda replicar políticas, mas não replicar o conteúdo do LiveUpdate de outro site.
Em ambos os casos, a política mostra que a revisão não está disponível. Mesmo
que a revisão não esteja disponível no servidor, os clientes que usam a política
ainda estão protegidos. Os clientes usam a revisão de conteúdo mais recente.
Para configurar clientes, use uma versão de conteúdo específica
3 Clicar na guia Conteúdo do LiveUpdate.
4 Clique com o botão direito do mouse na Política de conteúdo do LiveUpdate
que deseja e clique em Editar.
5 Em Configurações do Windows, clique em Definições de segurança.
6 No tipo de conteúdo que deseja restabelecer, clique em Selecionar uma versão.
7 Clique em Editar e selecione a revisão que deseja restabelecer da lista suspensa
Revisão.
8 Clique em OK.
Configuração do espaço em disco usado para downloads do LiveUpdate
Configuração do espaço em disco usado para

downloads do LiveUpdate
Se você selecionar 500 clientes ou menos durante a instalação do Symantec
Endpoint Protection Manager, por padrão, o Symantec Endpoint Protection
Manager armazenará três revisões de conteúdo do LiveUpdate para cada tipo de
conteúdo. Se você selecionar 500 para 1.000 clientes, o Symantec Endpoint
Protection Manager armazenará 10 revisões por padrão. Se você selecionar mais
de 1.000 clientes, o Symantec Endpoint Protection Manager armazenará 30 revisões
por padrão. Por exemplo, se você selecionar 500 clientes ou menos, o Symantec
Endpoint Protection Manager armazenará três revisões.
Para reduzir o espaço em disco e o tamanho do banco de dados, é possível reduzir
o número de revisões de conteúdo mantidas no servidor. Você deve estar ciente,
porém, de que reduzir o número de revisões de conteúdo afeta também a capacidade
de um servidor fazer deltas entre as atualizações de conteúdo. Um delta é uma
atualização que contém apenas as alterações incrementais desde a última revisão
completa de conteúdo. Os arquivos delta são normalmente muito menores do que
os arquivos de atualizações completas.
Quanto mais revisões de conteúdo você mantiver, maior a capacidade do servidor
de criar deltas entre revisões de conteúdo. O número de revisões de conteúdo que
você mantém será particularmente importante se você tiver alguns
computadores-cliente que ficam off-line por alguns dias ao mesmo tempo. A
Symantec libera normalmente 3 ou 4 revisões de conteúdo de vírus e spyware por
dia. Manter pelo menos 10 revisões garante que os computadores que se
desconectaram na sexta-feira poderão usar um delta para fazer a atualização
segunda-feira de manhã. As atualizações delta levam menos tempo e ocupam
menos largura de banda do que fazer o download de uma revisão completa de
conteúdo.
Para configurar o espaço em disco usado para downloads do LiveUpdate
2 Clique em Servidores e selecione o site que você deseja configurar.
3 Em Tarefas, clique em Editar propriedades do site e, em seguida, em
LiveUpdate.
4 Em Gerenciamento de espaço em disco para downloads, digite o número de
downloads do conteúdo que deseja armazenar.
Sobre a escolha aleatória de downloads simultâneos de conteúdo
5 Se desejar reduzir a quantidade de espaço em disco usada, desmarque a opção

Armazenar pacotes de cliente descompactados para fornecer melhor
desempenho de rede para upgrades.
Nota: Desativar esta opção também desativa a capacidade do Symantec

Endpoint Protection Manager para construir deltas entre revisões de conteúdo
e pode adversamente afetar o desempenho de rede para atualizações.
6 Clique em OK.
Sobre a escolha aleatória de downloads simultâneos

de conteúdo
O Symantec Endpoint Protection Manager suporta a escolha aleatória de downloads
simultâneos de conteúdo em clientes do servidor de gerenciamento padrão ou de
um Provedor de atualizações de grupo. Ele suporta também a escolha aleatória
de downloads de conteúdo de um servidor do LiveUpdate em clientes. A escolha
aleatória reduz o pico do tráfego na rede e está ativada por padrão.
Você pode ativar ou desativar a função de escolha aleatória. A configuração padrão
é ativada. Você também pode configurar uma janela de escolha aleatória. O servidor
de gerenciamento usa a janela de escolha aleatória para balancear o sincronismo
dos downloads de conteúdo. Normalmente, você não precisa alterar as
configurações padrão de escolha aleatória.
Em alguns casos, porém, convém aumentar o valor da janela de escolha aleatória.
Por exemplo, você pode executar o cliente do Symantec Endpoint Protection em
várias máquinas virtuais no mesmo computador físico que executa o servidor de
gerenciamento. O valor mais elevado da escolha aleatória melhora o desempenho
do servidor, mas atrasa as atualizações de conteúdo nas máquinas virtuais.
Você também pode querer aumentar a janela de escolha aleatória quando tiver
muitos computadores-cliente físicos que se conectam a um único servidor que
execute o servidor de gerenciamento. Em geral, quanto mais elevada a razão
cliente-para-servidor, maior será a janela de escolha aleatória que poderá ser
configurada por você. O valor mais elevado de escolha aleatória diminui a carga
máxima no servidor, mas atrasa as atualizações de conteúdo nos
Como escolher aleatoriamente downloads do conteúdo do servidor de gerenciamento padrão ou de um Provedor de
atualizações de grupo
Em um cenário com poucos clientes em que você queira uma rápida distribuição
de conteúdo, é possível definir a janela de escolha aleatória em um valor mais
baixo. O valor mais baixo de escolha aleatória aumenta a carga máxima no servidor,
mas fornece uma distribuição mais rápida de conteúdo aos clientes.
Para downloads do servidor de gerenciamento padrão ou de um Provedor de
atualizações de grupo, defina as configurações da escolha aleatória na caixa de
diálogo Configurações de comunicação para o grupo selecionado. As configurações
não são parte da política de configurações do LiveUpdate.
Para downloads de um servidor do LiveUpdate para clientes, defina a configuração
da escolha aleatória como parte da política de configurações do LiveUpdate.
Como escolher aleatoriamente downloads do

conteúdo do servidor de gerenciamento padrão ou
de um Provedor de atualizações de grupo
Seu servidor de gerenciamento ou seus provedores de atualizações de grupo padrão
poderão ter o desempenho reduzido quando vários computadores-cliente tentarem
fazer download de conteúdo deles simultaneamente. Você pode definir uma janela
de escolha aleatória nas configurações de comunicação para o grupo ao qual os
computadores-cliente pertencem. Cada computador-cliente tenta fazer download
do conteúdo em um hora aleatória que ocorre dentro dessa janela.
Nota: As configurações de comunicação não controlam as configurações de escolha

aleatória para os computadores-cliente que fazem o download do conteúdo de um
servidor do LiveUpdate. Você pode mudar as configurações de escolha aleatória
daqueles computadores na política de configurações do LiveUpdate.
Como escolher aleatoriamente o download de conteúdo de um servidor do LiveUpdate
Para escolher aleatoriamente downloads do conteúdo do servidor de gerenciamento

padrão ou de um Provedor de atualizações de grupo
2 Em Clientes, clique no grupo que deseja.
3 Na guia Políticas, em Políticas e configurações independentes do local, em
Configurações, clique em Configurações de comunicação.
4 Na caixa de diálogo Configurações de comunicação, em Download aleatório,
selecione Ativar escolha aleatória.
5 Opcionalmente, altere a duração da janela de escolha aleatória.
6 Clique em OK.
Consulte “Sobre a escolha aleatória de downloads simultâneos de conteúdo”
na página 623.
Como escolher aleatoriamente o download de

conteúdo de um servidor do LiveUpdate
Sua rede poderá ter problemas de congestionamento de tráfego quando vários
computadores-cliente tentarem fazer o download de conteúdo de um servidor do
LiveUpdate. Você pode configurar o agendamento da atualização para incluir uma
janela da escolha aleatória. Cada computador-cliente tenta fazer download do
conteúdo em um hora aleatória que ocorre dentro dessa janela.
Nota: As configurações do agendamento na política de configurações do LiveUpdate

não controlam a escolha aleatória para os computadores-cliente que fazem o
download do conteúdo pelo servidor de gerenciamento padrão ou por um Provedor
de atualizações de grupo. Você pode alterar as configurações da escolha aleatória
para aqueles computadores na caixa de diálogo Configurações de comunicação
para o grupo ao qual pertencem.
Para escolher aleatoriamente os downloads do conteúdo do cliente de um servidor

do LiveUpdate
Configuração das atualizações do cliente a serem executadas quando os computadores-cliente estiverem ociosos

na política que deseja editar e clique em Editar.
5 Em Opções de download aleatório, selecione Escolher aleatoriamente a hora
inicial para ser + ou - (em horas).
Nota: Esta configuração estará em dias, se você tiver selecionado a opção

Semanal.
6 Opcionalmente, altere a duração da hora inicial escolhida aleatoriamente.

7 Clique em OK.
Consulte “Sobre a escolha aleatória de downloads simultâneos de conteúdo”
na página 623.
Configuração das atualizações do cliente a serem

executadas quando os computadores-cliente
estiverem ociosos
Para reduzir os problemas de desempenho do computador-cliente, será possível
configurar os downloads de conteúdo para serem executados quando os
computadores-cliente estiverem ociosos. Essa configuração está ativada por
padrão. Diversos critérios, tais como usuário, CPU e ações do disco, são usados
para determinar quando o computador está ocioso.
Se a Detecção de ociosidade estiver ativada, quando uma atualização estiver
vencendo, as seguintes condições poderão atrasar a sessão:
■ O usuário não está ocioso.
■ O computador está na carga da bateria.
■ A CPU está ocupada.
■ A E/S do disco está ocupada.
■ Nenhuma conexão de rede está presente.
Após uma hora, o conjunto de bloqueio é reduzido para CPU ocupada, E/S de disco
ocupada ou nenhuma conexão de rede existe. Quando a atualização agendada
estiver atrasada por duas horas, a menos que haja uma conexão de rede, o
LiveUpdate agendado será executado independentemente do status ocioso.
Configuração de atualizações do cliente para serem executadas quando as definições forem antigas ou o computador
tiver sido desconectado
Para configurar as atualizações do cliente a serem executadas quando os

computadores-cliente estiverem ociosos
5 Marque Adie o LiveUpdate agendado até que o computador esteja ocioso.
As sessões atrasadas serão executadas incondicionalmente.
6 Clique em OK.
Consulte “Configuração de atualizações do cliente para serem executadas quando
as definições forem antigas ou o computador tiver sido desconectado” na página 627.
Configuração de atualizações do cliente para serem

executadas quando as definições forem antigas ou o
computador tiver sido desconectado
Você pode garantir que os clientes façam atualizações quando as definições
estiverem antigas ou o computador tiver sido desconectado da rede por uma
quantidade de tempo especificada.
Nota: Se você marcar ambas as opções disponíveis, o computador-cliente deverá

cumprir ambas as condições.
Para configurar atualizações do cliente quando as definições estiverem antigas ou

os computadores estiverem desconectados do gerenciador
Configuração de um servidor externo do LiveUpdate
5 Selecione O LiveUpdate apenas será executado se as definições de vírus e

spyware forem anteriores a: e em seguida defina o número de horas ou de
dias.
6 Selecione O LiveUpdate apenas será executado se o cliente for desconectado
do Symantec Endpoint Protection por mais de: e em seguida defina o número
de minutos ou de horas.
7 Clique em OK.
Consulte “Configuração das atualizações do cliente a serem executadas quando
os computadores-cliente estiverem ociosos” na página 626.
Configuração de um servidor externo do LiveUpdate

A maioria das organizações deve usar o servidor padrão de gerenciamento para
atualizar os clientes, mas você pode usar um servidor do Symantec LiveUpdate.
Nota: Os computadores-cliente Mac não podem obter atualizações do servidor de

gerenciamento padrão.
Para configurar um servidor externo do LiveUpdate para clientes Windows

4 Em Configurações do Windows, clique em Configurações do servidor.
5 Clique em Usar o servidor padrão do Symantec LiveUpdate.
6 Clique em OK.
Para configurar um servidor externo do LiveUpdate para clientes Mac
4 Em Configurações do Mac, clique em Configurações do servidor.
5 Clique em Usar o servidor padrão do Symantec LiveUpdate.
Configuração de um servidor interno do LiveUpdate
6 Se o servidor interno do LiveUpdate usar o FTP, clique em Configurações do

Advanced Server.
7 Clique no modo FTP que o servidor usa, Ativo ou Passivo.
8 Clique em OK.

Por padrão, o cliente obtém suas atualizações do servidor de gerenciamento através
do Symantec Endpoint Protection Manager. A maioria das organizações deve usar
o servidor de gerenciamento padrão para atualizações do cliente. Se você selecionar
o servidor de gerenciamento padrão e seu ambiente contiver computadores Mac
e Windows, os clientes Mac obterão suas atualizações do servidor do LiveUpdate
padrão. Para organizações com muitos clientes, convém usar provedores de
atualizações de grupo (GUPs, Group Update Providers). Os GUPs reduzem a carga
no servidor de gerenciamento e são mais fáceis de serem configurados do que um
servidor interno do LiveUpdate.
Consulte “Para usar Provedores de atualizações de grupo para distribuir conteúdo
aos clientes ” na página 632.
Se você não quiser usar o servidor de gerenciamento padrão ou os provedores de
atualizações de grupo para atualizações do cliente, poderá
■ Configurar um servidor interno do LiveUpdate.
■ Usar um Servidor do Symantec LiveUpdate externo à sua rede.
Para usar um servidor interno do LiveUpdate, é necessário executar as tarefas a
seguir:
■ Instalar o servidor interno do LiveUpdate.
Se você fornecer atualizações de clientes de um servidor da versão 1.x do
Administrador do LiveUpdate , deverá ir para Configurações do Advanced
Server em Política de configurações do LiveUpdate e ativar o suporte. Você
deve selecionar a caixa de seleção para ativar o suporte do Utilitário de
administração do LiveUpdate 1.x. O suporte para o LiveUpdate Administrator
2.x e superior é ativado sempre.
Para obter mais informações sobre o uso de um servidor interno do LiveUpdate,
consulte o Guia do Administrador do LiveUpdate.
Nota: Se você usar a versão 1.x do Administrador do LiveUpdate para gerenciar

seu servidor interno do LiveUpdate, será necessário fazer uma alteração se
você tiver pacotes personalizados de resposta aplicados. Os clientes do
LiveUpdate que usam a versão atual não podem autenticar pacotes
personalizados de resposta. Você deve remover todos os pacotes personalizados
do servidor central do LiveUpdate.
■ Use a política de configurações do LiveUpdate para configurar seus clientes

para que usem o servidor interno do LiveUpdate.
Para configurar os clientes Windows para que usem um servidor interno do
LiveUpdate
4 No painel Configurações do servidor, selecione Usar um servidor do
LiveUpdate.
5 Clique em Usar um servidor interno especificado do LiveUpdate e clique
em Adicionar.
6 Na caixa de diálogo Adicionar servidor do LiveUpdate, digite as informações
que você precisa para identificar e se comunicar com o servidor que deseja
usar.
Por exemplo, para o URL:
■ Se você usar o método FTP (recomendado), digite o endereço FTP do
servidor. Por exemplo: ftp://myliveupdateserver.com
■ Se você usar o método HTTP, digite o URL do servidor. Por exemplo:
http://myliveupdateserver.com or 2.168.133.11/Export/Home/LUDepot
■ Se você usar o método LAN, digite o nome do caminho UNC do servidor.
Por exemplo, \\Myserver\LUDepot
7 Se necessário, digite um nome de usuário e senha para o servidor.
Nota: Se você usar um servidor UNC o LiveUpdate exigirá que você use o
domínio ou o grupo de trabalho além do nome de usuário. Se o computador
fizer parte de um domínio, use o formato domain_name\user_name
Se o computador fizer parte de um grupo de trabalho, use o formato
computer_name\user_name
8 Em Política do LiveUpdate, clique em Agendamento para configurar um

agendamento para atualizações através do LiveUpdate.
9 Clique em OK.
Decida se as configurações padrão do usuário, as configurações de atualização
do produto e as configurações não padronizadas do cabeçalho serão mantidas
ou alteradas. Geralmente, não se permite que os usuários modifiquem as
configurações de atualização. Entretanto, você pode permitir que os usuários
iniciem sessões do LiveUpdate manualmente se não houver suporte a centenas
ou milhares de clientes.
Consulte “Configuração da quantidade de controle que os usuários têm sobre
o LiveUpdate” na página 620.
11 Clique em OK.
Para configurar os clientes Mac para que usem um servidor interno do LiveUpdate
3 Em Configurações do Mac, clique em Configurações do servidor.
4 Clique em Usar um servidor interno especificado do LiveUpdate e clique
em Adicionar.
5 Na caixa de diálogo Adicionar servidor do LiveUpdate, digite as informações
que você precisa para identificar e se comunicar com o servidor que deseja
usar.
Por exemplo, para o URL:
■ Se você usar o método FTP (recomendado), digite o endereço FTP do
servidor. Por exemplo: ftp://myliveupdateserver.com
■ Se você usar o método HTTP, digite o URL do servidor. Por exemplo:
http://myliveupdateserver.com or 2.168.133.11/Export/Home/LUDepot
6 Se necessário, digite em um nome de usuário e senha para o servidor e clique

em OK.
7 Se seu servidor usar FTP, clique em Configurações do Advanced Server.
8 Clique no modo FTP que o servidor usa, Ativo ou Passivo e clique em OK.
Para usar Provedores de atualizações de grupo para distribuir conteúdo aos clientes
9 Se você usar a versão 1.x do Administrador do LiveUpdate em vez da versão

atual, clique em Ativar suporte para a versão 1.x do Administrador do
LiveUpdate.
10 Em Configurações do Mac, clique em Configurações avançadas.
Se desejar permitir que os computadores-cliente obtenham configurações de
atualização do produto através do LiveUpdate, clique em Fazer download
das atualizações do produto Symantec Endpoint Protection usando um
servidor do LiveUpdate.
11 Clique em OK.
na página 602.
Para usar Provedores de atualizações de grupo para

distribuir conteúdo aos clientes
Um Provedor de atualizações de grupo é um computador-cliente que você designa
para distribuir localmente as atualizações de conteúdo aos clientes. Um Provedor
de atualizações de grupo faz o download das atualizações de conteúdo do servidor
de gerenciamento e distribui as atualizações a ele mesmo e aos outros clientes.
Uma vantagem do uso do Provedor de atualizações de grupo é que ele ajuda a
conservar a largura de banda, descarregando o poder de processamento do servidor
ao Provedor de atualizações de grupo. Um Provedor de atualizações de grupo é
ideal para fornecer atualizações de conteúdo aos clientes que têm acesso de rede
limitado ao servidor. Você pode usar um Provedor de atualizações de grupo para
preservar a largura de banda nos clientes em um local remoto que tenham um
link lento. Configurar um Provedor de atualizações de grupo é mais fácil do que
configurar um servidor interno do LiveUpdate. Os Provedores de atualizações de
grupo utilizam recursos com menor intensidade e, assim, reduzem a carga nos
Você usa Política de configurações do LiveUpdate para configurar Provedores de
atualizações de grupo.
Tabela 24-6 Tarefas para configurar e usar Provedores de atualizações de grupo
Etapa 1 Entender as diferenças entre Um único Provedor de atualizações de grupo é um computador-cliente

os tipos de Provedores de dedicado que fornece o conteúdo para um ou mais grupos de clientes. Vários
atualizações de grupo que Provedores de atualizações de grupo usam um conjunto de regras ou
você pode configurar critérios de modo que sirvam grupos de clientes na sub-rede. Uma lista
explícita de Provedores de atualizações de grupo permite que os clientes
se conectem aos provedores de atualizações de grupo que estão em sub-redes
diferentes da própria sub-rede do cliente. Você usa a lista explícita para
mapear um único Provedor de atualizações de grupo e vários Provedores
de atualizações de grupo à sub-redes do cliente.
Os tipos de Provedor de atualizações de grupo que você escolhe configurar

dependem de sua rede e dos clientes nessa rede.
Consulte “Sobre os tipos de Provedores de atualizações de grupo”

na página 634.
Consulte “Sobre os efeitos de configurar mais de um tipo de provedor de

atualizações de grupo em sua rede” na página 639.
Consulte “Sobre como configurar regras para vários Provedores de

Etapa 2 Verificar a comunicação do Antes que você configure Provedores de atualizações de grupo, verifique
cliente se os clientes podem receber atualizações de conteúdo do servidor. Resolva
quaisquer problemas de comunicação cliente-servidor.
Você pode exibir a atividade de servidor-cliente nos logs do sistema na guia

Logs, na página Monitores.
Consulte “Solução de problemas de comunicação entre o servidor de

gerenciamento e o cliente” na página 821.
Etapa 3 Configurar Provedores de Os Provedores de atualizações de grupo são configurados especificando as

atualizações de grupo em Configurações do servidor na Política de configurações do LiveUpdate.
uma ou várias políticas de Você pode configurar um único Provedor de atualizações de grupo, uma
configurações do LiveUpdate lista explícita de Provedores de atualizações de grupo ou vários Provedores
de atualizações de grupo.
Consulte “Para configurar Provedores de atualizações de grupo”

na página 643.
Etapa 4 Atribuir a Política de A Política de configurações do LiveUpdate é atribuída aos grupos que usam
configurações do LiveUpdate os Provedores de atualizações de grupo. Também é possível atribuir a
aos grupos política ao grupo em que o Provedor de atualizações de grupo reside.
Para um único Provedor de atualizações de grupo, é atribuída uma Política
de configurações do LiveUpdate por grupo por site.
Para vários Provedores de atualizações de grupo e listas explícitas de

Provedores de atualizações de grupo, você atribui uma política de
configurações do LiveUpdate a vários grupos nas sub-redes.
Etapa 5 Verificar se os clientes estão Você pode exibir os computadores-cliente que são designados como
designados como Provedores Provedores de atualizações de grupo. Você pode procurar
de atualizações de grupo computadores-cliente para exibir uma lista de Provedores de atualizações
de grupo. Você também pode clicar em um computador-cliente na página
Clientes e exibir suas propriedades para ver se é um Provedor de
Consulte “Pesquisa dos clientes que atuam como Provedores de atualizações

de grupo” na página 647.
Sobre os tipos de Provedores de atualizações de grupo

Você pode configurar diversos tipos diferentes de Provedores de atualizações de
grupo na política de configurações do LiveUpdate: um único Provedor de
atualizações de grupo, uma lista explícita de provedores de atualizações de grupo
e vários provedores de atualizações de grupo. Os tipos de Provedor de atualizações
de grupo não são mutuamente exclusivos. Você pode configurar um ou vários
tipos de Provedor de atualizações de grupo por política.
■ Único Provedor de atualizações de grupo
Um único Provedor de atualizações de grupo é um computador-cliente dedicado
que fornece o conteúdo para um ou mais grupos de clientes. Um único Provedor
de atualizações de grupo pode ser um computador-cliente em qualquer grupo.
Para configurar um único Provedor de atualizações de grupo, especifique o
endereço IP ou o nome do host do computador-cliente que deseja designar
como o Provedor de atualizações de grupo. Um único Provedor de atualizações
de grupo é um Provedor de atualizações de grupo estático.
A configuração de um único Provedor de atualizações de grupo transforma
um único cliente em um Provedor de atualizações de grupo.
■ Lista de Provedores de atualizações de grupo explícitos
Você pode configurar uma lista explícita de Provedores de atualizações de
grupo que os clientes podem usar para se conectar aos Provedores de
atualizações de grupo que estão em sub-redes diferentes da sub-rede do cliente.

Os clientes que mudarem de local frequentemente poderão mover-se para o
Provedor de atualizações de grupo mais próximo na lista.
Uma lista explícita dos Provedores de atualizações de grupo não transforma
clientes em Provedores de atualizações de grupo. Você usa uma lista explícita
de Provedores de atualização do grupo para mapear os endereços de rede da
sub-rede do cliente aos Provedores de atualizações de grupo. Você identifica
os Provedores de atualizações de grupo de uma das seguintes maneiras:
■ Endereço IP
■ Nome do host
■ Sub-rede
Os Provedores de atualizações de grupo explícitos podem ser estáticos ou
dinâmicos, dependendo de como você configurá-los. Se você usar um endereço
IP ou um nome de host para configurar o Provedor de atualizações de grupo
explícito, esse será um Provedor de atualizações de grupo estático. Essa
diferença afeta como os Provedores de atualizações de grupo atuam em redes
que misturam clientes e gerenciadores de versões legadas e atuais.
Se você usar uma sub-rede para designar um Provedor de atualizações de
grupo, ele será dinâmico, porque os clientes buscam um Provedor de
atualizações de grupo nessa sub-rede.
Nota: Esta sub-rede é o endereço de rede da sub-rede do Provedor de

atualizações de grupo, que algumas vezes também é chamado de prefixo da
rede ou ID da rede.
■ Lista de vários Provedores de atualizações de grupo

Vários Provedores de atualizações de grupo usam um conjunto de regras ou
critérios de modo que sirvam grupos de clientes em suas próprias sub-redes.
Para configurar vários Provedores de atualizações de grupo, especifique os
critérios que os computadores-cliente devem atender para que se qualifiquem
como um Provedor de atualizações de grupo. Você pode usar um nome de host
ou endereço IP, chaves do registro ou o sistema operacional como critérios. Se
um computador-cliente cumprir os critérios, o Symantec Endpoint Protection
Manager adicionará o cliente à sua lista global de Provedores de atualizações
de grupo. O Symantec Endpoint Protection Manager disponibiliza então a lista
global a todos os clientes na rede. Os clientes verificam a lista e escolhem os
Provedores de atualizações de grupo que estão situados em sua própria
sub-rede. Vários Provedores de atualizações de grupo são Provedores de
atualizações de grupo dinâmicos.
A configuração de vários Provedores de atualizações de grupo transforma

vários clientes em Provedores de atualizações de grupo.
Nota: Você não pode usar vários Provedores de atualizações de grupo com os
clientes legados que executam versões do Symantec Endpoint Protection
anteriores à versão 11.0.5 (RU5).
A configuração de um ou vários Provedores de atualizações de grupo em uma

Política de configurações do LiveUpdate executa as seguintes funções:
■ Especifica quais clientes com esta política devem atuar como Provedores de
■ Especifica quais Provedores de atualizações de grupo devem ser usados com
essa política pelos clientes para atualizações de conteúdo.
A configuração de uma lista de Provedores de atualização do grupo explícito
executa somente uma função:
■ Especifica quais provedores devem ser usados pelos clientes com esta política
para atualizações de conteúdo. Mapeia os Provedores de atualizações de grupo
nas sub-redes para serem usados pelos clientes em diferentes sub-redes.
■ Não especifica nenhum cliente como Provedores de atualizações de grupo.
Embora isso não transforme clientes em Provedores de atualizações de grupo,
você ainda pode configurar e aplicar uma política que contenha somente uma lista
de provedores explícitos. Contudo, você deve ter um único Provedor de atualizações
de grupo ou vários Provedores de atualizações de grupo configurados em outra
política no Symantec Endpoint Protection Manager. Você pode também ter ambos
os tipos configurados em outras políticas.
Nota: Como o Symantec Endpoint Protection Manager cria uma lista global, todos
os Provedores de atualizações de grupo configurados em qualquer uma das políticas
em um Symantec Endpoint Protection Manager estão potencialmente disponíveis
para o uso dos clientes. Os clientes em uma sub-rede diferente poderão usar um
Provedor de atualizações de grupo que você configurou como único provedor
estático se o mapeamento da sub-rede configurado em uma lista explícita de outra
política corresponder a ele.
Consulte “Sobre os efeitos de configurar mais de um tipo de provedor de

atualizações de grupo em sua rede” na página 639.
Se um cliente não puder obter sua atualização nos Provedores de atualizações de

grupo, ele poderá então, opcionalmente, tentar atualizar através do Symantec
Tabela 24-7 Como o tipo explícito de Provedor de atualizações de grupo pode

ser usado com base nas versões de software na rede
Versão do Versões do Versão do Tipos de Provedores de atualizações de grupo que você

Symantec cliente cliente do pode usar
Endpoint Provedor de
Protection atualizações
Manager de grupo
12.1.2 ou posterior 12.1.2 ou 11.0.5 ou Você pode configurar Provedores de atualizações de grupo
posterior posterior explícitos estáticos e dinâmicos.
12.1.2 ou posterior 12.1.2 ou 11.0.0 a 11.0.4 Você pode configurar um computador-cliente 11.0.4 como
posterior um único Provedor de atualizações de grupo. Você pode então
usá-lo em uma lista de Provedores de atualização do grupo
explícito como um Provedor de atualizações de grupo estático.
12.1.2 ou posterior 12.1.1 e Qualquer Você pode configurar um único ou vários Provedores de
anterior atualizações de grupo, mas não Provedores de atualizações
de grupo explícitos, pois os clientes não os suportam.
12.1.1 e anterior Qualquer Qualquer Você pode configurar um único ou vários Provedores de
atualizações de grupo, mas nenhum tipo de Provedor de
atualizações de grupo explícito, pois não estão disponíveis
Os tipos de Provedores de atualizações de grupo que você configurar dependerão

de como sua rede é configurada e se a rede inclui clientes legados.
Nota: Um cliente legado é um computador que executa uma versão do Symantec

Endpoint Protection anterior à versão 11.0.5.
Tabela 24-8 Quando usar tipos específicos de Provedor de atualizações de grupo
Tipo de Provedor de Quando usar

Único Use um único Provedor de atualizações de grupo quando sua rede incluir alguns dos
seguintes cenários:
■ Sua rede inclui clientes legados

Os clientes legados podem obter o conteúdo de um único Provedor de atualizações de
grupo; os clientes legados também podem ser designados como um Provedor de
Os clientes legados não suportam vários Provedores de atualizações de grupo.
■ Deseja usar o mesmo Provedor de atualizações de grupo para todos os seus
Você pode usar uma única Política de configurações de conteúdo do LiveUpdate para
especificar um endereço IP estático ou um nome de host para um único Provedor de
atualizações de grupo. Contudo, você deverá mudar o endereço IP na política se os
clientes que servem como único Provedor de atualizações de grupo mudarem de local.
Se desejar usar diferentes Provedores de atualizações de grupo em grupos diferentes,
você deverá criar uma Política de configurações do LiveUpdate separada para cada
grupo.
Lista explícita Use uma lista explícita de Provedores de atualizações de grupo quando você quiser que os
clientes possam se conectar aos Provedores de atualizações de grupo que estão nas
sub-redes diferentes da sub-rede do cliente. Os clientes que mudarem de local poderão
mover-se para o Provedor de atualizações de grupo mais próximo na lista.
Nota: Clientes de divulgações anteriores a esta versão não suportam o uso de listas de
Provedores de atualizações de grupo explícitos. Clientes que se comunicam com o Symantec
Endpoint Protection Manager versões 12.1 e anterior não receberão nenhuma informação
sobre listas de Provedores de atualização de grupo explícitos.
Tipo de Provedor de Quando usar

Vários Use vários Provedores de atualizações de grupo quando sua rede incluir alguns dos
seguintes cenários:
■ Os computadores-cliente em sua rede não são clientes legados.

Vários Provedores de atualizações de grupo são suportados nos computadores que
executam o software do Symantec Endpoint Protection 11.0.5 (RU5) ou uma versão
posterior. Você não pode usar vários Provedores de atualizações de grupo com os
clientes legados que executam versões do Symantec Endpoint Protection anteriores à
versão 11.0.5 (RU5). Os clientes legados não podem obter o conteúdo de vários
Provedores de atualizações de grupo. Um cliente legado não poderá ser designado como
um Provedor de atualizações de grupo, mesmo se atender aos critérios para vários
Provedores de atualizações de grupo.
Você pode criar uma Política de configurações do LiveUpdate separada e configurar
um único Provedor de atualizações de grupo estático para um grupo de clientes legados.
■ Você tem vários grupos e quer usar Provedores de atualizações de grupo diferentes
para cada grupo
Você pode usar uma política que especifique regras para a eleição de vários Provedores
de atualizações de grupo. Se os clientes mudarem os locais, você não terá que atualizar
a Política de configurações do LiveUpdate. O Symantec Endpoint Protection Manager
combina vários Provedores de atualizações de grupo através de sites e domínios. Ele
disponibiliza a lista para todos os clientes em todos os grupos em sua rede.
■ Vários Provedores de atualizações de grupo podem funcionar como um mecanismo de
failover. O uso de Vários Provedores de atualizações de grupo assegura uma
probabilidade mais alta de que pelo menos um Provedor de atualizações de grupo esteja
disponível em cada sub-rede.

Consulte “Sobre como configurar regras para vários Provedores de atualizações
de grupo” na página 641.
Consulte “Para configurar Provedores de atualizações de grupo” na página 643.
Sobre os efeitos de configurar mais de um tipo de provedor de

atualizações de grupo em sua rede
Quando você configurar provedores únicos ou múltiplos de atualizações de grupo
nas políticas, o Symantec Endpoint Protection Manager criará uma lista global
de todos os provedores inscritos. Por padrão, em sistemas operacionais de 32 bits,
este arquivo está em \Arquivos de Programas\Symantec\Symantec Endpoint
Protection Manager\data\outbox\agent\gup\globallist.xml. O Symantec Endpoint
Protection Manager fornece esta lista global a qualquer cliente que solicitá-la de
modo que o cliente possa determinar qual provedor de atualizações de grupo deve
usar. Devido a este processo, clientes que tenham políticas com somente provedores
de atualizações de grupo explícitos ou múltiplos configurados poderão também
usar provedores únicos de atualizações de grupo, se o provedor único atender ao
critério explícito de mapeamento. Este fenômeno pode ocorrer porque os
provedores únicos são uma parte da lista global de provedores que os clientes
obtêm do Symantec Endpoint Protection Manager.
Assim, todos os provedores de atualizações de grupo que são configurados em
algumas das políticas em um Symantec Endpoint Protection Manager estão
potencialmente disponíveis para uso pelos clientes. Se você aplicar uma política
que contenha somente uma lista de provedores de atualização do grupo explícita
aos clientes em um grupo, todos os clientes do grupo tentarão usar os provedores
de atualizações de grupo que estão na lista global do provedor de atualizações de
grupo do Symantec Endpoint Protection Manager que atender aos critérios
explícitos de mapeamento.
Nota: Um cliente do Symantec Endpoint Protection pode ter vários endereços IP.
O Symantec Endpoint Protection vai considerar todos os endereços IP quando
corresponderem a um provedor de atualizações de grupo. Assim, o endereço IP
ao qual a política corresponde não é sempre vinculado à interface que o cliente
usa para se comunicar com o Symantec Endpoint Protection Manager e o provedor
Se todos os tipos de provedores de atualizações de grupo forem configurados nas

políticas em um Symantec Endpoint Protection Manager , os clientes tentarão
conectar-se aos provedores de atualizações de grupo na lista global na seguinte
ordem:
■ Provedores na lista Vários Provedores de atualizações de grupo, em ordem
■ Provedores na lista Provedores de atualizações de grupo explícitos, em ordem
■ O provedor que estiver configurado como Único provedor de atualizações de
grupo
Você pode configurar os seguintes tipos de critérios explícitos de mapeamento:
■ Endereço IP: os clientes na sub-rede A devem usar o provedor de atualizações
de grupo que tem o endereço IP x.x.x.x.
■ Nome do host: os clientes na sub-rede A devem usar o provedor de atualizações
de grupo que tem o nome do host xxxx.
■ Endereço de rede da sub-rede: os clientes na sub-rede A deverão usar qualquer
provedor de atualizações de grupo que residir em sub-rede B.
Os vários critérios de mapeamento podem ser usados em uma lista de provedores

de atualização do grupo explícita em uma única política. A Symantec recomenda
que você seja muito cuidadoso em como configurar vários critérios de mapeamento
para evitar consequências indesejadas. Por exemplo, você pode isolar seus clientes
sem meios de obter atualizações se configurar incorretamente um mapeamento
explícito.
Considere um cenário com os seguintes critérios múltiplos explícitos de
mapeamento configurados em uma única política:
■ Se um cliente estiver na sub-rede 10.1.2.0, usará o provedor de atualizações
de grupo que tenha o endereço IP 10.2.2.24
de grupo que tenha o endereço IP 10.2.2.25
de grupo que tenha o nome de host algum_computador
■ Se um cliente estiver na sub-rede 10.1.2.0, usará qualquer provedor de
atualizações de grupo na sub-rede 10.5.12.0
■ Se um cliente estiver na sub-rede 10.6.1.0, usará qualquer provedor de
atualizações de grupo na sub-rede 10.10.10.0
Com esta política explícita do provedor de atualizações de grupo, se um cliente
estiver na sub-rede 10.1.2.0, as primeiras quatro regras serão aplicáveis; a quinta
regra, não. Se o cliente estiver em uma sub-rede para a qual nenhum mapeamento
foi especificado, como 10.15.1.0, nenhuma das regras se aplicará a esse cliente. A
política deste cliente diz para usar uma lista de provedores de atualização do grupo
explícita, mas não há nenhum mapeamento que o cliente pode usar com base
nestas regras. Se você também tiver desativado a capacidade deste cliente fazer
o download de atualizações do Symantec Endpoint Protection Manager e do
servidor do Symantec LiveUpdate, então esse cliente não terá nenhum método
útil de atualização.
Sobre como configurar regras para vários Provedores de atualizações

de grupo
Os vários Provedores de atualizações de grupo usam regras para determinar que
computadores-cliente atuam como um Provedor de atualizações de grupo.
As regras são estruturadas da seguinte forma:
■ Conjuntos de regras
Um conjunto de regras inclui as regras a que um cliente deve corresponder
para atuar como um Provedor de atualizações de grupo.
■ Regras
As regras podem especificar endereços IP, nomes do host, chaves de registro

do cliente Windows ou sistemas operacionais do cliente. Você pode incluir um
de cada tipo de regra em um conjunto de regras.
■ Condições da regra
Uma regra especifica uma condição a que um cliente deva corresponder para
atuar como um Provedor de atualizações de grupo. Se uma regra especifica
uma condição com vários valores, o cliente deve corresponder a um dos valores.
Tabela 24-9 Tipos de regra
Tipo de regra Descrição
Endereço IP ou nome Esta regra especifica endereços IP ou nomes do host do cliente.

do host
Chaves do registro Esta regra especifica chaves do registro do cliente Windows.
Sistema operacional Esta regra especifica sistemas operacionais do cliente.
As regras são correspondidas com base nos operadores lógicos OU e E da seguinte

forma:
■ Vários conjuntos de regras são do operador OU.
Um cliente deve corresponder a pelo menos um conjunto de regras para atuar
como um Provedor de atualizações de grupo.
■ Várias regras são do operador E.
Um cliente deve corresponder a cada regra especificada em um conjunto de
regras para atuar como um Provedor de atualizações de grupo.
■ Vários valores para uma condição de regra são do operador OU.
Um cliente deve corresponder a um dos valores em uma condição de regra
para atuar como um Provedor de atualizações de grupo.
Por exemplo, é possível criar o conjunto de regras 1 que inclui uma regra do
endereço IP com diversos endereços IP. Você cria então o conjunto de regras 2
que inclui uma regra do nome do host e uma regra do sistema operacional, cada
uma com vários valores. Um computador-cliente deve corresponder ao conjunto
de regras 1 ou conjunto de regras 2. Um cliente corresponderá ao conjunto de
regras 1 se tiver qualquer um dos endereços IP. Um cliente corresponderá ao
conjunto de regras 2 apenas se tiver um dos nomes do host e se executar um dos
sistemas operacionais especificados.
Consulte “Sobre os tipos de Provedores de atualizações de grupo” na página 634.
Consulte “Para configurar Provedores de atualizações de grupo” na página 643.
Para configurar Provedores de atualizações de grupo

Você configura Provedores de atualizações de grupo em Política de configurações
do LiveUpdate.
Você pode configurar a política de configurações do LiveUpdate de modo que os
clientes apenas obtenham atualizações do Provedor de atualizações de grupo e
nunca do servidor. Você pode especificar quando os clientes devem ignorar o
Provedor de atualizações de grupo. Você pode configurar definições para fazer o
download e armazenar atualizações de conteúdo no computador do Provedor de
atualizações de grupo. Você pode também configurar tipos diferentes de Provedores
Você pode configurar a quantidade máxima de tempo durante o qual os clientes
tentam fazer o download de atualizações de um Provedor de atualizações de grupo
antes de tentarem obter atualizações pelo servidor de gerenciamento padrão. Se
você definir esse tempo como 15 minutos, isto significará que o computador-cliente
deverá tentar o download continuamente por 15 minutos sem sucesso.
Nota: Se o Provedor de atualizações de grupo executar um firewall que não seja

da Symantec, talvez seja preciso modificar o firewall para permitir que a porta
TCP receba comunicações do servidor. Por padrão, o Symantec Firewall Policy é
configurado corretamente.
Você só pode configurar um único Provedor de atualizações de grupo por política

de configurações do LiveUpdate por grupo. Para criar um único Provedor de
atualizações de grupo para vários sites, você deve criar um grupo por site e uma
política de configurações do LiveUpdate por site.
Você pode configurar vários Provedores de atualizações de grupo especificando
os critérios que os clientes usam para determinar se eles são qualificados para
atuar como Provedores de atualizações de grupo.
Você pode configurar uma lista explícita de Provedores de atualizações de grupo
para que os clientes em roaming usem.
Consulte “Sobre os tipos de Provedores de atualizações de grupo” na página 634.
Para configurar um Provedor de atualizações de grupo

4 Na janela Política de configurações do LiveUpdate, clique em Configurações
do servidor.
5 Em Servidor interno ou externo do LiveUpdate, selecione Use o servidor de
6 Em Provedor de atualizações de grupo, marque Usar o Provedor de
7 Clique em Provedor de atualizações de grupo.
■ Siga as etapas em Para configurar um único Provedor de atualizações de
grupo.
■ Siga as etapas em Para configurar vários Provedores de atualizações de
grupo.
Nota: Os clientes legados podem usar apenas um único Provedor de

atualizações de grupo. Os clientes legados não suportam vários Provedores
9 Na caixa de diálogo Provedor de atualizações de grupo, configure as opções

para controlar como o conteúdo é obtido por download e armazenado no
computador do Provedor de atualizações de grupo.
Clique em Ajuda para obter informações sobre downloads de conteúdo.
10 Clique em OK.
Para configurar um único Provedor de atualizações de grupo
1 Na caixa de diálogo Provedor de atualizações de grupo, em Seleção de
Provedor de atualizações de grupo para o cliente, clique em Endereço IP ou
nome do host exclusivo do Provedor de atualizações de grupo.
2 Na caixa Endereço IP ou nome do host exclusivo do Provedor de atualizações
de grupo, digite o endereço IP ou o nome do host do computador-cliente que
atua como o único Provedor de atualizações de grupo.
Clique em Ajuda para obter informações sobre o endereço IP ou o nome do
host.
3 Retorne ao procedimento para configurar um Provedor de atualizações de
grupo.
Para configurar vários Provedores de atualizações de grupo

Provedor de atualizações de grupo para o cliente, clique em Vários
Provedores de atualizações de grupo.
2 Clique em Configure a lista de Provedores de atualizações de grupo.
3 Na caixa de diálogo Lista de Provedores de atualizações de grupo, selecione
o nó Provedor de atualizações de grupo da árvore.
4 Clique em Adicionar para adicionar um conjunto de regras.
5 Na caixa de diálogo Especificar critérios de regra do Provedor de atualizações
de grupo, na lista suspensa Verificar, selecione uma das seguintes opções:
■ Endereço IP ou nome do host do computador
■ Chaves do Registro
■ Sistema operacional
6 Se você selecionou Endereço IP ou nome do host do computador ou Chaves

de registro, clique em Adicionar.
7 Digite ou selecione o endereço IP ou o nome do host, a chave de registro do
Windows ou as informações do sistema operacional.
Clique em Ajuda para obter informações sobre como configurar regras.
Consulte “Sobre como configurar regras para vários Provedores de
8 Clique em OK até retornar para a caixa de diálogo Lista do Provedor de
atualizações de grupo, na qual você poderá adicionar mais conjuntos de
regras.
9 Clique em OK.
10 Retorne ao procedimento para configurar um Provedor de atualizações de
grupo.
Quando configurar uma lista explícita de Provedores de atualizações de grupo,
você poderá especificar que os clientes do Symantec Endpoint Protection com
endereços IP em uma sub-rede específica devem usar um Provedor de atualizações
de grupo específico. Observe que um cliente pode ter vários endereços IP e que o
Symantec Endpoint Protection considerará todos os seus endereços IP quando
corresponder ao Provedor de atualizações de grupo que será usado. Assim, o
endereço IP ao qual a política corresponde não é necessariamente vinculado à
interface que o cliente usa para a comunicação com o Provedor de atualizações
de grupo.
Por exemplo, suponha que um cliente tenha o endereço IP A, que ele usa para se
comunicar com o Symantec Endpoint Protection Manager e com o Provedor de
atualizações de grupo. Este mesmo cliente também tem o endereço IP B, que é
aquele que corresponde ao Provedor de atualizações de grupo explícito que você
configurou na política de configurações do LiveUpdate para este cliente. O cliente
pode escolher usar um Provedor de atualizações de grupo baseado no endereço
B, mesmo que aquele não seja o endereço que usado para se comunicar com o
Para configurar uma lista explícita de Provedores de atualizações de grupo
3 Na guia Configurações do LiveUpdate, clique em Adicionar uma política de
configurações do LiveUpdate ou clique com o botão direito do mouse na
política que deseja e clique em Editar.
4 Na janela Política de configurações do LiveUpdate, clique em Configurações
do servidor.
5 Em Servidor interno ou externo do LiveUpdate, selecione Use o servidor de
6 Em Provedor de atualizações de grupo, marque Usar o Provedor de
7 Clique em Provedor de atualizações de grupo.
Provedor de atualização de grupo para o cliente, clique em Provedores de
atualizações de grupo explícitos para clientes em roaming e clique em
Configurar a lista de Provedores de atualizações de grupo explícitos.
10 Na caixa de diálogo Adicionar Provedor de atualizações de grupo explícito,
digite a sub-rede do cliente para a qual você quer mapear estes Provedores
11 Em Configurações do provedor de grupo explícito, selecione o Tipo de
mapeamento que você quer configurar: baseado no endereço IP, no nome do
host ou no endereço de rede do Provedor de atualizações de grupo.
12 Digite as configurações necessárias para o tipo de mapeamento selecionado
e clique em OK.
Para usar arquivos do Intelligent Updater para atualizar definições de vírus e de riscos à segurança do cliente
Pesquisa dos clientes que atuam como Provedores de atualizações de

grupo
Você pode verificar se clientes estão disponíveis como Provedores de atualizações
de grupo. Você pode exibir uma lista de Provedores de atualizações de grupo
pesquisando-os na guia Clientes.
Nota: Você também pode verificar as propriedades de um cliente. As propriedades

incluem um campo que indica se o cliente é um Provedor de atualizações de grupo.
Para pesquisar pelos clientes que atuam como Provedores de atualizações de grupo
2 Na guia Clientes, na caixa Exibir, selecione Status do cliente.
3 No painel Tarefas, clique em Procurar clientes.
4 Na lista suspensa Localizar, selecione Computadores.
5 Na caixa No grupo especificar o nome do grupo.
6 Em Critérios de pesquisa, clique na coluna Campo de pesquisa e selecione
7 Em Critérios de pesquisa, clique na coluna Operador de comparação e
selecione =.
8 Em Critérios de pesquisa, clique na coluna Valor e selecione Verdadeiro.
Clique em Ajuda para as informações nos critérios de pesquisa.
Para usar arquivos do Intelligent Updater para

atualizar definições de vírus e de riscos à segurança
do cliente
A Symantec recomenda que os computadores-cliente usem o LiveUpdate para
atualizar definições de vírus e riscos à segurança. Porém, se você não quiser usar
o LiveUpdate ou se o LiveUpdate não estiver disponível, poderá usar um arquivo
do Intelligent Updater para atualizar clientes. Os arquivos Intelligent Updater.exe
são projetados para atualizar clientes apenas. Os arquivos do Intelligent Updater
não contêm as informações que um Symantec Endpoint Protection Manager ou
Como usar ferramentas de distribuição de terceiros para atualizar computadores-cliente
um servidor-pai legado do Symantec AntiVirus precisam para atualizar seus

clientes gerenciados.
Um arquivo do Intelligent Updater é um arquivo autoexecutável que contém
atualizações das definições de vírus e spyware. Um arquivo do Intelligent Updater
não fornece atualizações de nenhum outro tipo de conteúdo. Depois de fazer o
download do arquivo, é possível usar seu método de distribuição preferido para
distribuir as atualizações a seus clientes.
Nota: O Intelligent Updater não suporta os atributos de arquivo estendido, as

assinaturas ou a lista do portal do Auto-Protect.
Para fazer o download de um arquivo do Intelligent Updater

1 Usando seu navegador da Web, vá para um dos seguintes sites:
http://www.symantec.com/business/security_response/definitions/download/
detail.jsp?gid=savce
ftp://ftp.symantec.com/AVDEFS/symantec_antivirus_corp/
2 No site da Web ou no site FTP, clique no arquivo do produto apropriado com
a extensão .exe.
3 Quando você for solicitado a fornecer o local onde deseja salvar o arquivo,
selecione uma pasta em sua unidade de disco rígido.
4 Distribua o arquivo para os computadores-cliente usando seu método de
distribuição preferido.
Para instalar os arquivos de definições de vírus e de risco à segurança em um
computador-cliente
1 No computador-cliente, localize o arquivo do Intelligent Updater que foi
distribuído ao cliente.
2 Clique duas vezes no arquivo .exe e siga as instruções na tela.
na página 602.
Como usar ferramentas de distribuição de terceiros

para atualizar computadores-cliente
Algumas grandes empresas dependem de ferramentas de distribuição de terceiros,
como IBM Tivoli ou Microsoft SMS, para distribuir as atualizações de conteúdo
aos computadores-cliente. O Symantec Endpoint Protection suporta o uso de
ferramentas de distribuição de terceiros para atualizar os clientes gerenciados e
não gerenciados que executam sistemas operacionais Windows. Os clientes Mac

podem apenas receber atualizações de conteúdo de servidores internos ou externos
do LiveUpdate.
A Tabela 24-10 resume as tarefas que você precisa executar para usar uma
ferramenta de distribuição de terceiros.
Nota: Antes de configurar o uso de ferramentas de distribuição de terceiros, é

necessário já ter instalado o Symantec Endpoint Protection Manager e os
computadores-cliente que você deseja atualizar.
Tabela 24-10 Tarefas para configurar o uso de ferramentas de distribuição de

terceiros para atualizações
Tarefa Descrição
Configure o Symantec Você pode configurar o servidor de gerenciamento para

Endpoint Protection Manager receber atualizações de conteúdo automaticamente ou
para receber atualizações de manualmente.
conteúdo.
Consulte “Configuração de um site para fazer o download
de atualizações de conteúdo” na página 609.
Consulte “Para gerenciar atualizações de conteúdo”

na página 592.
Configure a política de Se desejar usar ferramentas de distribuição de terceiros

configurações do LiveUpdate para atualizar clientes gerenciados, será necessário
do grupo para permitir a configurar a política de configurações do LiveUpdate do
distribuição da atualização grupo para permiti-las.
de conteúdo de terceiros.
Consulte “Configuração de uma política de configurações
do LiveUpdate para permitir a distribuição de conteúdo de
terceiros a clientes gerenciados” na página 650.
Preparar clientes não Se desejar usar ferramentas de distribuição de clientes para

gerenciados para receber atualizar clientes não gerenciados, será necessário primeiro
atualizações das ferramentas criar uma chave do registro em cada cliente não gerenciado.
de distribuição de terceiros
Consulte “Preparação de clientes não gerenciados para
receber as atualizações das ferramentas de distribuição de
terceiros” na página 651.
Tarefa Descrição
Localize, copie e distribua o Cada grupo de clientes do Symantec Endpoint Protection

conteúdo. Manager tem um arquivo index2.dax localizado no
computador que executa o Symantec Endpoint Protection
Manager. Esses arquivos estão localizados nas subpastas
da unidade:\Arquivos de Programas\Symantec\Symantec
Endpoint Protection Manager\data\outbox\agent folder.
Para atualizar clientes, você precisa usar os arquivos
index2.dax.
Consulte “Configuração de um site para fazer o download

de atualizações de conteúdo” na página 609.
Consulte “Distribuição do conteúdo usando ferramentas de

distribuição de terceiros” na página 653.
Configuração de uma política de configurações do LiveUpdate para

permitir a distribuição de conteúdo de terceiros a clientes gerenciados
Se desejar usar ferramentas de distribuição de terceiros para atualizar clientes
gerenciados, será necessário configurar a política de configurações do LiveUpdate
do grupo de clientes para permiti-las. Você pode optar por desativar a capacidade
de usuários do cliente de executar manualmente o LiveUpdate.
Quando você tiver concluído este procedimento, uma pasta aparecerá nos
computadores-cliente do grupo nos seguintes locais:
■ Sistemas operacionais anteriores ao Vista, clientes legados do Symantec
Endpoint Protection 11.x:
unidade:\Documents and Settings\All Users\Application
Data\Symantec\Symantec Endpoint Protection\inbox
■ Sistemas operacionais Vista, clientes legados do Symantec Endpoint Protection
11.x:
unidade:\Program Data\Symantec\Symantec Endpoint Protection\inbox
■ Sistemas operacionais Pre-Vista, clientes da versão 12.1 do Symantec Endpoint
Protection
Data\Symantec\CurrentVersion\inbox
■ Sistemas operacionais Vista, clientes da versão 12.1 do Symantec Endpoint
Protection
unidade:\ProgramData\Symantec\Symantec Endpoint
Protection\CurrentVersion\inbox
Para ativar a distribuição de conteúdo de terceiros para clientes gerenciados com

uma política do LiveUpdate
3 Na guia Configurações do LiveUpdate, em Tarefas, clique em Adicionar uma
política de configurações do LiveUpdate.
4 Na janela Política do LiveUpdate, nas caixas de texto Nome da política e
Descrição, digite um nome e uma descrição.
6 Em Gerenciamentodeterceiros, marque Ativargerenciamentodeconteúdos
de terceiros.
7 Desmarque todas as outras opções de origem do LiveUpdate.
8 Clique em OK.
9 Na caixa de diálogo Atribuir política, clique em Sim.
Você também pode cancelar este procedimento e atribuir a política
posteriormente.
10 Na caixa de diálogo Atribuir política do LiveUpdate, marque um ou mais
grupos para os quais deseja atribuir esta política e clique em Atribuir.
Preparação de clientes não gerenciados para receber as atualizações

das ferramentas de distribuição de terceiros
Se você instalar clientes não gerenciados do disco do produto, não poderá usar
imediatamente ferramentas de distribuição de terceiros para distribuir a eles o
conteúdo ou as atualizações da política do LiveUpdate. Como uma medida de
segurança, por padrão estes computadores-cliente não confiam nem processam
o conteúdo que as ferramentas de distribuição de terceiros lhes fornecem.
Para utilizar com êxito as ferramentas de distribuição de terceiros de modo a
fornecer atualizações, é necessário primeiro criar uma chave de registro do
Windows em cada um dos clientes não gerenciados. A chave permite usar a pasta
da caixa de entrada em clientes não gerenciados para distribuir o conteúdo e as
atualizações da política do LiveUpdate usando ferramentas de distribuição de
terceiros.
A pasta da caixa de entrada aparece em clientes não gerenciados nos seguintes
locais:
■ Sistemas operacionais Pre-Vista, clientes legados:

Data\Symantec\Symantec Endpoint Protection\inbox
■ Sistemas operacionais Vista, clientes legados:
unidade:\Program Data\Symantec\Symantec Endpoint Protection\inbox
■ Sistemas operacionais Pre-Vista, clientes da versão 12.1 do Symantec Endpoint
Protection
unidade:\Documents and Settings\All Users\Application Data\Symantec\
CurrentVersion\inbox
■ Sistemas operacionais Vista, clientes da versão 12.1 do Symantec Endpoint
Protection
unidade:\ProgramData\Symantec\Symantec Endpoint Protection\
CurrentVersion\inbox
Quando você criar a chave do registro, será possível usar uma ferramenta de
distribuição de terceiros para copiar atualizações de conteúdo e políticas para
esta pasta. Em seguida, o software-cliente do Symantec Endpoint Protection confia
e processa as atualizações.
Para preparar clientes não gerenciados para receber atualizações das ferramentas
de distribuição de terceiros
1 Em cada computador-cliente, use regedit.exe ou outra ferramenta de edição
de registro do Windows para criar uma das seguintes chaves de registro do
Windows:
■ Nos clientes que executam o Symantec Endpoint Protection 12.1, crie
HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint
Protection\SMC\SPE\TPMState
■ Nos clientes que executam o Symantec Endpoint Protection 11.x, crie
HKLM\Software\Symantec\Symantec Endpoint
Protection\SMC\TPMState
2 Defina o valor da chave de registro para hexadecimal 80, da seguinte maneira:
0x00000080 (128)
Nota: O valor é do tipo DWORD.
3 Salve a chave de registro e saia em seguida da ferramenta de edição de registro.

Consulte “Como usar ferramentas de distribuição de terceiros para atualizar
Consulte “Distribuição do conteúdo usando ferramentas de distribuição de

terceiros” na página 653.
Distribuição do conteúdo usando ferramentas de distribuição de

terceiros
Para usar as ferramentas de distribuição de terceiros para distribuir conteúdo
para computadores-cliente, você precisará usar o arquivo index2.dax. O conteúdo
relacionado ao LiveUpdate no arquivo index2 inclui um conjunto de GUIDs
chamados de identificadores de objetos de conteúdo e seus números de sequência
associados. Cada identificador de conteúdo corresponde a um tipo de conteúdo
específico. Cada número de sequência no arquivo index2 corresponde a uma
revisão de um tipo de conteúdo específico. Dependendo dos recursos de proteção
que você instalou, você precisará determinar qual dos tipos de conteúdo você
precisa.
Consulte “Sobre os tipos do conteúdo que o LiveUpdate pode fornecer”
na página 597.
Content moniker mapping for updating legacy clients (em inglês)
À exceção das definições de vírus e spyware, que são compatíveis com versões
anteriores do Symantec Endpoint Protection 11.x, este conteúdo é para clientes
com a divulgação atual do Symantec Endpoint Protection em execução. Se você
tiver clientes legados para atualizar com outros tipos de conteúdo, será necessário
usar o conteúdo legado para atualizá-los. Este método de usar ferramentas de
gerenciamento de terceiros não pode ser usado para atualizar clientes com versões
do Symantec AntiVirus ou Symantec Client Security anteriores ao Symantec
Endpoint Protection 11.x em execução.
Nota: Os identificadores de conteúdo normalmente mudam para cada versão

importante. Às vezes, também podem mudar para uma versão menos importante.
A Symantec normalmente não muda os identificadores para atualizações de versão
ou patches de manutenção.
É possível consultar um mapeamento do identificador com o seu tipo de conteúdo

através do arquivo ContentInfo.txt. O arquivo ContentInfo.txt está localizado
normalmente na pasta unidade:\Program Files\Symantec\Symantec Endpoint
Protection Manager\Inetpub\content.
Por exemplo, é possível ver a seguinte entrada:
{535CB6A4-441F-4e8a-A897-804CD859100E}: SESC Virus Definitions

Win32 v11 - MicroDefsB.CurDefs - SymAllLanguages
Cada grupo de clientes do Symantec Endpoint Protection Manager tem seu próprio
arquivo index2. O arquivo index2 para cada grupo de clientes é encontrado em
uma pasta para esse grupo. As pastas para grupos de clientes podem sejam
encontradas em unidade:\Arquivos de programas\Symantec\Symantec Endpoint
Protection Manager\data\outbox\agent. O nome de pasta para um grupo de clientes
corresponde ao número de série da política de grupo. Você pode encontrar o
número de série na caixa de diálogo Propriedades do grupo ou na página Clientes
guia Detalhes. Os primeiros quatro valores hexadecimais de cada número de série
da política de grupo correspondem aos primeiros quatro valores hexadecimais da
pasta desse grupo.
O arquivo index2.dax usado pelos clientes gerenciados é criptografado. Para
verificar o conteúdo do arquivo, abra o arquivo index2.xml que está disponível
na mesma pasta. O arquivo index2.xml fornece uma lista dos identificadores de
conteúdo e de seus números de sequência (revisão). Por exemplo, é possível ver a
seguinte entrada:
<File Checksum="191DEE487AA01C3EDA491418B53C0ECC" DeltaFlag="1"

FullSize="30266080" LastModifiedTime="1186471722609" Moniker=
"{535CB6A4-441F-4e8a-A897-804CD859100E}" Seq="80806003"/>
A Política de conteúdo do LiveUpdate para um grupo especifica uma revisão

específica do conteúdo ou o conteúdo mais recente. O número de sequência no
arquivo index2 deve corresponder ao número de sequência que corresponde à
especificação do conteúdo na Política de conteúdo do LiveUpdate do grupo. Por
exemplo, se a política for configurada para Usar disponível mais recente para
todos os tipos de conteúdo em seguida, o número de sequência para cada tipo será
o conteúdo disponível mais recente. Neste exemplo, a distribuição somente
trabalhará se o arquivo index2 mostrar os números de sequência (revisões) que
correspondem à revisão do conteúdo mais recente. A distribuição falhará se os
números de sequência corresponderem a qualquer outra revisão.
Nota: Você deve usar o comando Copiar para colocar arquivos na pasta \inbox do
cliente. Usar o comando Mover não aciona a o processamento de atualização e a
atualização falha. Se você compactar o conteúdo em um único arquivo morto para
distribuição, você não deverá descompactá-lo diretamente na pasta \inbox.
Se você distribuir o conteúdo de vírus e spyware aos clientes legados que usam o
Symantec Endpoint Protection 11.x, o esquema do identificador será alterado.
Você pode usar as definições da versão 12.x para atualizar clientes legados, mas
deve renomear o identificador de destino antes de distribuí-lo.
Para distribuir conteúdo para clientes usando ferramentas de distribuição de

terceiros
1 No computador que executa o Symantec Endpoint Protection Manager, crie
uma pasta de trabalho, como \Work_Dir.
■ Para um cliente gerenciado, no console, na guia Clientes, clique com o
botão direito do mouse no grupo a ser atualizado e clique em seguida em
Propriedades.
■ Para um cliente não gerenciado, no console, na guia Clientes, clique com
o botão direito do mouse em Minha empresa e clique em seguida em
Propriedades.
3 Anote os primeiros quatro valores hexadecimais do Número de série da

política, tal como 7B86.
4 Navegue para a seguinte pasta:
\\Arquivos de programas\Symantec\Symantec Endpoint Protection
Manager\dados\outbox\agente
5 Localize a pasta que contém os primeiros quatro valores hexadecimais que
correspondem ao Número de série da política.
6 Abra essa pasta e copie em seguida o arquivo index2.dax para sua pasta de
trabalho.
7 Navegue para a seguinte pasta:
\\\Arquivos de programas\SymantecSymantec Endpoint Protection
Manager\Inetpub\conteúdo
8 Abra e leia ContentInfo.txt para descobrir o conteúdo que cada pasta
identificador de destino contém.
O conteúdo de cada diretório é identificador de destino\número de
sequência\full.zip|full.
9 Copie o conteúdo de cada pasta \identificador de destino para a pasta de
trabalho, como \Work_Dir.
10 Para distribuir o conteúdo das definições de vírus e spyware aos clientes
legados do Symantec Endpoint Protection 11.x, é necessário executar as
seguintes etapas:
■ Para computadores de 32 bits, copie o conteúdo do
{535CB6A4-441F-4e8a-A897-804CD859100E}\número de sequência\full.zip.
Renomeie o conteúdo para o

{C60DC234-65F9-4674-94AE-62158EFCA433}\número de
sequência\full.zip e copie o conteúdo para sua pasta de trabalho.
■ Para computadores de 64 bits, copie o conteúdo do
{07B590B3-9282-482f-BBAA-6D515D385869}\número de
sequência\full.zip.
Renomeie o conteúdo para o
{1CD85198-26C6-4bac-8C72-5D34B025DE35}\número de
sequência\full.zip e copie o conteúdo para sua pasta de trabalho.
11 Exclua todos os arquivos e pastas de cada \identificador de destino para que

somente esta estrutura de pastas e arquivos permaneça no diretório de
trabalho:
\\Work_Dir\identificador de destino\número de sequência mais recente\full.zip
A pasta de trabalho agora contém a estrutura de pastas e os arquivos a serem
distribuídos aos seus clientes.
12 Use suas ferramentas de distribuição de terceiros para distribuir o conteúdo
da pasta de trabalho para a pasta \\Symantec Endpoint Protection\inbox\ em
cada um dos clientes.
O resultado final deve ter esta aparência:
\\Symantec Endpoint Protection\inbox\index2.dax
\\Symantec Endpoint Protection\inbox\identificador de destino\número de
sequência mais recente\full.zip
Os arquivos processados com êxito são excluídos em seguida. Os arquivos
que não são processados com êxito são movidos para uma subpasta de nome
Inválida. Se você identificar arquivos em uma pasta Inválida na pasta caixa
de entrada, você deverá tentar novamente com aqueles arquivos.
Consulte “Preparação de clientes não gerenciados para receber as atualizações
das ferramentas de distribuição de terceiros” na página 651.
Capítulo 25
Para monitorar a proteção
com relatórios e logs
■ Monitoração da proteção de endpoints
■ Configuração das preferências de relatório
■ Logon no relatório através de um navegador da Web autônomo
■ Sobre os tipos dos relatórios
■ Execução e personalização de relatórios rápidos
■ Salvamento e exclusão de relatórios personalizados
■ Criação de relatórios agendados
■ Edição do filtro usado para um relatório agendado
■ Como imprimir e salvar a cópia de um relatório
■ Exibição de logs
■ Para executar comandos através do log de status do computador
Monitoração da proteção de endpoints

O Symantec Endpoint Protection coleta informações sobre os eventos de segurança
em sua rede. Você pode usar o log e os relatórios para exibir estes eventos e pode
usar notificações para permanecer informado sobre os eventos enquanto eles
ocorrem.
658 Para monitorar a proteção com relatórios e logs
Você pode usar os relatórios e os logs para determinar as respostas aos seguintes
tipos de perguntas:
■ Que computadores estão infectados?
■ Que computadores precisam de verificação?
■ Que riscos foram detectados na rede?
Nota: O Symantec Endpoint Protection extrai automaticamente os eventos que

aparecem nos relatórios dos logs de eventos em seus servidores de gerenciamento.
Os logs de eventos contêm carimbos de hora com os fusos horários dos
computadores-cliente. Quando o servidor de gerenciamento recebe os eventos,
ele converte os carimbos de hora do evento no horário do Meridiano Greenwich
(GMT) para a inserção no banco de dados. Quando criar relatórios, o software do
relatório exibirá informações sobre os eventos na hora local do computador no
qual você exibe os relatórios.
Para monitorar a proteção com relatórios e logs 659
Tabela 25-1 Tarefas para monitorar a proteção do endpoint
Tarefa Descrição
Rever o status de A seguinte lista descreve algumas das tarefas que você pode executar para monitorar o
segurança de sua rede status de segurança de seu computador-cliente.
■ Obter uma contagem de vírus detectados e de outros riscos à segurança e exibir detalhes
para cada vírus e risco à segurança.
Consulte “Exibição de riscos” na página 664.
■ Obter uma contagem de computadores desprotegidos em sua rede e exibir detalhes
para cada um.
Consulte “Exibição da proteção do sistema” na página 663.
■ Exibir o número de computadores com definições atualizadas de vírus e spyware.
■ Exibir o status operacional em tempo real de seus computadores-cliente.
na página 242.
■ Exibir o número de computadores que estão off-line.
Consulte “Para encontrar computadores off-line” na página 663.
■ Rever os processos que são executados em sua rede.
Consulte “Monitoramento de resultados de detecção do SONAR para procurar falsos
positivos” na página 440.
■ Localizar quais computadores estão atribuídos a cada grupo.
■ Exibir uma lista de versões do software Symantec Endpoint Protection que estão
instaladas nos clientes e nos servidores do Symantec Endpoint Protection Manager em
sua rede.
Consulte “Para gerar uma lista de versões do Symantec Endpoint Protection instaladas
nos clientes e servidores em sua rede” na página 667.
■ Exibir as informações de licenciamento nos computadores-cliente, o que inclui o número
de estações válidas, de estações implementadas excessivamente, de estações expiradas
e a data de vencimento.
Consulte “Para exibir o status de computadores-cliente implementados” na página 666.
Consulte “Exibição de um relatório de status diário ou semanal” na página 662.

Tarefa Descrição
Localizar quais Você pode executar as tarefas a seguir para exibir ou encontrar quais computadores
computadores-cliente precisam de proteção adicional:
precisam de proteção
■ Exibir o número de computadores com o Symantec Endpoint Protection desativado.
■ Exibir o número de computadores com definições desatualizadas de vírus e spyware.
■ Encontrar os computadores que não foram verificados recentemente.
Consulte “Como encontrar computadores não verificados” na página 664.
■ Exibir destinos e origens do ataque.
Consulte “Exibição de destinos e origens do ataque” na página 666.
■ Exibir logs de eventos.
Proteger seu Você pode executar comandos do console para proteger os computadores-cliente.
Consulte “Para executar comandos através do log de status do computador” na página 685.
Por exemplo, é possível eliminar riscos à segurança em computadores-cliente.
Consulte “Para verificar a ação de verificação e para verificar novamente computadores

identificados” na página 345.
Configurar notificações Você pode criar e configurar notificações a serem acionadas quando certos eventos
para alertá-lo quando relacionados à segurança ocorrerem. Por exemplo, é possível definir uma notificação para
eventos de segurança ocorrer quando uma tentativa de intrusão ocorre em um computador-cliente.
ocorrerem
Criar relatórios rápidos Você pode criar e gerar relatórios rápidos personalizados e pode agendar relatórios
personalizados e personalizados para que sejam executados regularmente com as informações que deseja
agendados para ver.
monitoramento
contínuo
Consulte “Salvamento e exclusão de relatórios personalizados” na página 674.
Consulte “Configuração das preferências de relatório” na página 668.

Tarefa Descrição
Minimizar a quantidade Para finalidades de segurança, convém reter registros de log por mais tempo. No entanto,
de espaço que os logs do se você tiver um grande número de clientes, poderá ter um grande volume de dados de log
cliente ocupam dos clientes.
Se seu servidor de gerenciamento ficar pouco espaço, convém diminuir o tamanho do log
e a quantidade de tempo durante o qual o banco de dados mantém os logs.
Você pode reduzir o volume de dados do log executando as tarefas a seguir:
■ Fazer upload somente de alguns logs do cliente para o servidor e altere a frequência
com a qual o upload dos logs do cliente é feito.
Consulte “Especificação do tamanho do log do cliente e de quais fazer upload para o
servidor de gerenciamento” na página 792.
■ Especificar quantas entradas de log o computador-cliente pode manter no banco de
dados e por quanto tempo pode mantê-las.
Consulte “Como especificar por quanto tempo as entradas de log devem ser mantidas
no banco de dados” na página 793.
■ Filtrar os eventos de risco e de sistema menos importantes para que menos dados sejam
encaminhados ao servidor.
Consulte “Modificação de configurações variadas para Proteção contra vírus e spyware
em computadores Windows” na página 417.
■ Reduzir o número de clientes que cada servidor de gerenciamento gerencia.
■ Reduzir a frequência da pulsação, que controla a frequência com que é feito o upload
dos logs dos clientes para o servidor.
■ Reduzir a quantidade de espaço no diretório onde os dados de log são armazenados
antes de serem inseridos no banco de dados.
Consulte “Sobre aumentar o espaço em disco no servidor para dados de log de clientes”
na página 794.
Tarefa Descrição
Exportar dados de log A exportação de dados do log é útil se você deseja reunir todos os logs da rede em um local
para um local centralizado. A exportação de dados de log também é útil quando você deseja usar um
centralizado programa de terceiros, como uma planilha eletrônica para organizar ou manipular os
dados. Convém também exportar os dados dos seus logs antes de excluir os dados gravados
no log.
É possível exportar os dados em alguns logs para um arquivo de texto delimitado por
vírgulas. Você pode exportar dados de outros logs para um arquivo de texto delimitado
por tabulação, chamado arquivo de despejo, ou para um servidor Syslog.
Consulte “Exportação de dados de log para um arquivo de texto” na página 789.
Consulte “Exportação de dados para um servidor Syslog” na página 788.
Consulte “Exportação de dados do log para um arquivo de texto delimitado por vírgulas”
na página 791.
Consulte “Exibição de logs de outros sites” na página 685.
Solucionar problemas Você pode solucionar alguns problemas com a geração de relatórios.
com relatórios e logs
Consulte “Solução de problemas de geração de relatórios” na página 835.
Exibição de um relatório de status diário ou semanal

O relatório de status diário fornece as seguintes informações:
■ A detecção de vírus abrange ações limpas, suspeitas, bloqueadas, em
quarentena, excluídas, recém-infectadas e ainda infectadas.
■ Linha de tempo da distribuição de definições de vírus
■ 10 principais riscos e infecções
Os relatórios de status semanais fornecem as seguintes informações:
■ Status do computador
■ Detecção de vírus
■ Captura de imagem do status de proteção
■ Linha de tempo da distribuição de definições de vírus
■ Distribuição de riscos por dia
■ 10 principais riscos e infecções
Para exibir o relatório de status diário

2 Na página Início, no painel Relatórios favoritos, clique em Status diário do
Symantec Endpoint Protection ou em Status semanal do Symantec Endpoint
Protection.
Exibição da proteção do sistema

A proteção do sistema abrange as seguintes informações:
■ O número de computadores com definições de vírus atualizadas.
■ O número de computadores com definições de vírus desatualizadas.
■ O número de computadores que estão off-line.
■ O número de computadores que estão desativados.
Para exibir a proteção do sistema
A proteção do sistema é exibida no painel Status do endpoint.
2 No painel Status do endpoint, clique em Exibir detalhes para exibir mais
informações sobre a proteção de sistema.
Para encontrar computadores off-line

Você pode listar os computadores que estão off-line.
Um cliente pode estar off-line por vários motivos. Você pode identificar os
computadores que estão off-line e corrigir esses problemas de várias formas.
Para encontrar computadores off-line
2 Na página Início, no painel Status do Endpoint, clique no link que representa
o número de computadores off-line.
3 Para obter mais informações sobre computadores off-line, clique no link
Exibir detalhes.
Para exibir computadores-cliente off-line no log de status do computador

2 Na guia Logs, na caixa de listagem Tipo de log, clique em Status do
computador.
4 Na caixa de diálogo Status online, clique em Off-line.
Por padrão, será exibida uma lista dos computadores que ficaram off-line
durante as últimas 24 horas. A lista inclui o nome de cada computador, o
endereço IP e a última vez que ele acessou o servidor. Você pode ajustar o
intervalo de tempo para exibir computadores off-line para qualquer intervalo
de tempo que deseja verificar.
Como encontrar computadores não verificados

Você pode relacionar os computadores que precisam de verificação.
Para encontrar computadores não verificados
2 Na guia Relatórios rápidos, especifique as seguintes informações:
Tipo de relatório Selecione Verificar.
Relatório selecionado Selecione Computadores não verificados.
3 Clique em Criar relatório.
Exibição de riscos
Você pode obter informações sobre os riscos em sua rede.
Para exibir computadores infectados e vulneráveis

Tipo de relatório Risco
Relatório selecionado Computadores infectados e vulneráveis

Para melhor entender os benefícios e os riscos de não ativar determinados recursos,
você poderá executar o relatório de Distribuição de riscos por tecnologia de
proteção. Este relatório fornece as seguintes informações:
■ Detecções baseadas em assinaturas de vírus e de spyware
■ Detecções do Download Insight
■ Prevenção contra intrusões e detecções da proteção do navegador
Para exibir os riscos detectados pelos tipos de tecnologia de proteção
Relatório selecionado Distribuição de riscos por tecnologia de proteção

Para exibir riscos recém-detectados
Relatório selecionado Novos riscos detectados na rede

Para exibir um relatório abrangente do risco

Selecione um relatório Relatório de risco abrangente
Para exibir o status de computadores-cliente implementados

Você pode confirmar o status de seus computadores-cliente implementados.
Para exibir o status de computadores-clientes implementados
Tipo de relatório Status do computador
Selecione um Detalhes sobre o inventário do cliente

relatório
Exibição de destinos e origens do ataque

Você pode exibir os destinos e as origens do ataque.
Para exibir os principais destinos atacados
Tipo de relatório Selecione Proteção contra ameaças à rede.
Selecionar um Selecione Principais alvos atacados.

relatório

Para exibir as principais origens do ataque

Selecionar um Selecione Principais ocorrências de ataques, por origem.

relatório

Um relatório completo contém as seguintes estatísticas:
■ Principais tipos de ataque
■ Principais destinos de ataque
■ Principais ocorrências de ataques, por origem
■ Principais notificações de tráfego
Para exibir um relatório completo sobre destinos e origens de ataque
Selecionar um Selecione Relatório completo.

relatório
opção Configurar Opcionalmente, você pode selecionar os relatórios para incluir

nos relatórios completos.
Para gerar uma lista de versões do Symantec Endpoint Protection

instaladas nos clientes e servidores em sua rede
Você pode executar um relatório rápido do Symantec Endpoint Protection Manager
que fornece uma lista de versões do software Symantec Endpoint Protection que
estão instaladas nos clientes e nos servidores do Symantec Endpoint Protection
Manager em sua rede. Esta lista poderá ser útil quando você quiser fazer o upgrade
ou migrar seu software de uma versão anterior do Symantec Endpoint Protection.
A lista inclui computadores locais e remotos.
Configuração das preferências de relatório
Você pode salvar o relatório usando o formato de arquivo morto da página da Web
MHTML.
Consulte “Como imprimir e salvar a cópia de um relatório” na página 678.
Se você usar o Symantec Network Access Control, aquelas versões de software
serão também incluídas no relatório.
Para gerar um relatório que relacione as versões do software Symantec Endpoint
Protection
2 Em Tipo de relatório, selecione Status do computador.
3 Em Selecione um relatório, selecione Versões do produto Symantec Endpoint
Protection.
Configuração das preferências de relatório

É possível configurar as preferências de relatório:
■ As opções de exibição das páginas Início e Monitores
■ Os limites do Status de segurança
■ As opções de exibição utilizadas para os logs e relatórios, bem como o upload
do arquivo de log herdado
Os limites do status de segurança que você definir determinarão quando a
mensagem Status de segurança na página de Início do Symantec Endpoint
Protection Manager será considerada deficiente. Os limites são expressos como
um percentual e refletem quando a sua rede é considerada como não estando em
conformidade com as suas políticas de segurança.
Por exemplo, você pode definir o percentual de computadores com definições de
vírus desatualizados que aciona um status de segurança insatisfatório. Você
também pode definir quantos dias as definições precisam ser qualificadas como
desatualizadas. O Symantec Endpoint Protection determina que é atual quando
calcula se as assinaturas ou definições estão desatualizadas da seguinte forma.
Seu padrão são as definições de vírus mais atuais e as datas de assinatura IPS
disponíveis no servidor de gerenciamento no qual o console é executado.
Nota: Se você tiver apenas o Symantec Network Access Control instalado, você
não terá a guia Status de segurança para configurar os limites de segurança.
Logon no relatório através de um navegador da Web autônomo
Para obter informações sobre as opções de preferência definidas, você pode clicar
em Ajuda em cada guia na caixa de diálogo Preferências.
Para configurar as preferências de relatório
1 No console, na página Início, clique em Preferências.
2 Clique nas seguintes guias, dependendo do tipo de preferências que deseja
definir:
■ Página inicial e monitores
■ Status de segurança
■ Logs e relatórios
3 Defina os valores para as opções que deseja alterar.

4 Clique em OK.
Logon no relatório através de um navegador da Web

autônomo
Você pode acessar as páginas Início, Monitores e Relatórios em um navegador
da Web independente que esteja conectado ao servidor de gerenciamento.
Entretanto, todas as outras funções do console não estarão disponíveis ao usar
um navegador autônomo.
As páginas de relatórios e logs são sempre exibidas no idioma do servidor de
gerenciamento instalado. Para exibir essas páginas quando você usa um console
remoto ou navegador, você deverá ter a fonte apropriada instalada no computador
usado.
Para acessar o relatório a através de um navegador da Web, você deverá ter as
■ O nome do host do servidor de gerenciamento.
Nota: Quando você digitar o URL do relatório independente do HTTPS em seu

navegador, o navegador poderá exibir um aviso. O aviso é exibido porque o
certificado usado pelo servidor de gerenciamento é autoassinado. Para
contornar esse problema, é possível instalar o certificado no armazenamento
de certificados confiáveis do seu navegador. O certificado suporta os nomes
do host apenas; portanto, use o nome do host no URL. Se você usar o localhost,
o endereço IP ou o nome de domínio totalmente qualificado, ainda será exibido
um aviso.
Sobre os tipos dos relatórios
■ O nome de usuário e a senha do servidor de gerenciamento.
Nota: Você deve ter o Internet Explorer 6.0 ou superior instalado. Outros
navegadores da Web não são suportados.
Para fazer logon no relatório através de um navegador da Web autônomo

1 Abra um navegador da Web.
2 Digite o URL do relatório padrão na caixa de texto do endereço no formato a
seguir:
https://nome do host do servidor de gerenciamento:8445/reporting
Nota: O URL de relatórios padrão do Symantec Endpoint Protection versão

11 é http://endereço do servidor de gerenciamento:8014/reporting. Se você
migrar da versão 11, será necessário atualizar os marcadores do seu
navegador.
3 Quando for exibida a caixa de diálogo do logon, digite o nome de usuário e a

senha e clique em Fazer logon.
Se você tiver mais de um domínio, na caixa de texto Domínio, digite seu nome
de domínio.

As seguintes categorias de relatórios estão disponíveis:
■ Relatórios rápidos, que você executa sob demanda.
■ Relatórios agendados, que são executados automaticamente com base em um
agendamento que você configura.
Os relatórios incluem os dados de evento que são coletados de seus servidores de
gerenciamento, assim como dos computadores-cliente que se comunicam com
aqueles servidores. Você pode personalizar relatórios para fornecer as informações
que deseja ver.
Os relatórios rápidos são predefinidos, mas você pode personalizá-los e salvar os
filtros usados para criar os relatórios personalizados. Você pode usar os filtros
personalizados para criar relatórios agendados personalizados. Quando você
agendar um relatório para execução, será possível configurá-lo para ser enviado
por e-mail a um ou mais destinatários.
Um relatório agendado sempre é executado por padrão. Você pode alterar as

configurações de qualquer relatório que ainda não foi executado. Você também
pode excluir um ou todos ou relatórios agendados.
Você também pode imprimir e salvar relatórios.
A Tabela 25-2 descreve os tipos de relatórios disponíveis.
Tabela 25-2 Tipos de relatório disponíveis como relatórios rápidos e relatórios

agendados
Tipo de relatório Descrição
Auditoria Exibe informações sobre as políticas usadas pelos clientes

e pelos locais atualmente. Contém informações sobre
atividades de modificação de políticas, como os tipos e as
horas dos eventos, modificações de políticas, domínios, sites,
administradores e descrições.
Controle de dispositivos e Exibe informações sobre eventos onde algum tipo de

aplicativos comportamento foi bloqueado. Estes relatórios contêm
informações sobre alertas de segurança de aplicativos,
destinos e dispositivos bloqueados. Os destinos bloqueados
podem ser chaves de registro, dlls, arquivos e processos.
Conformidade Exibe informações sobre o status de conformidade da rede.

Estes relatórios contêm informações sobre servidores do
Enforcer, clientes do Enforcer, tráfego do Enforcer e
conformidade do host.
status do computador Exibe informações sobre o status operacional dos

computadores na rede, por exemplo, quais computadores
têm os recursos de segurança desativados. Estes relatórios
contêm informações sobre versões, clientes que não foram
registrados no servidor, inventário do cliente e status online.
Proteção contra ameaças à Exibe informações sobre prevenção contra intrusões,

rede ataques no firewall, tráfego do firewall e pacotes.
Os relatórios da Proteção contra ameaças à rede permitem

rastrear as atividades de um computador e sua interação
com outros computadores e redes. Eles registram
informações sobre as tentativas de entrada e saída de tráfego
dos computadores por meio das suas conexões de rede.
Execução e personalização de relatórios rápidos
Tipo de relatório Descrição
Risco Exibe informações sobre eventos de riscos nos servidores

de gerenciamento e seus clientes. Inclui informações sobre
verificações do SONAR e, se você tiver clientes legados em
sua rede, sobre verificações de proteção proativa de ameaças
TruScan.
Verificar Exibe as informações sobre a atividade de verificação de

vírus e spyware.
Sistema Exibe informações sobre horas de eventos, tipos de evento,

sites, domínios, servidores e níveis de gravidade. Os
relatórios de sistema contêm informações úteis para
solucionar problemas no cliente.
Se você tiver vários domínios na rede, muitos relatórios permitirão exibir os dados
de todos os domínios ou de um ou alguns sites. O padrão de todos os relatórios
rápidos é a exibição de todos os domínios, grupos, servidores e assim por diante,
conforme apropriado para o relatório que você selecionar.
Nota: Alguns relatórios predefinidos contêm informações que são obtidas do

Symantec Network Access Control. Se você não tiver adquirido esse produto, mas
executar um de seus relatórios, o relatório estará vazio. Se você tem instalado o
Symantec Network Access Control apenas, um número significativo de relatórios
estará vazio. Os relatórios Controle de dispositivos e aplicativos, Proteção contra
ameaças à rede, Risco e Verificação não conterão dados. Os relatórios
Conformidade e Auditoria conterão dados, assim como alguns dos relatórios
Status do computador e Sistema.

Os relatórios rápidos são predefinidos e personalizáveis. Esses relatórios incluem
dados de evento coletados de seus servidores de gerenciamento assim como de
computadores-cliente que se comunicam com esses servidores. Os relatórios
rápidos fornecem informações sobre eventos específicos às configurações do
relatório. Você pode salvar as configurações do relatório para executar o mesmo
relatório em outro momento, além de poder imprimir e salvar relatórios.
Os relatórios rápidos são estáticos, fornecem informações específicas ao período

de tempo que você especifica para o relatório. Como alternativa, é possível
monitorar eventos em tempo real usando os logs.
Para executar um relatório rápido
2 Na guia Relatórios rápidos, na caixa de listagem Tipo de relatório, selecione
o tipo de relatório que deseja executar.
3 Na caixa de listagem Selecionar um relatório, selecione o nome do relatório
que você deseja executar.
Para personalizar um relatório rápido
2 Na guia Relatórios rápidos, na caixa de listagem Tipo de relatório, selecione
o tipo de relatório que deseja personalizar.
3 Na caixa de listagem Selecionar um relatório, selecione o nome do relatório
que você deseja personalizar.
Para o relatório de Status de conformidade da rede e o relatório Status de
conformidade, na caixa de listagem Status, selecione uma configuração de
filtro salvo que você queira usar ou deixe o filtro padrão.
Para o relatório Correlação das principais detecções de riscos, é possível
selecionar valores para que as caixas de listagem Eixo X e Eixo Y especifiquem
como você deseja exibir o relatório.
Para o relatório Verificação do histograma de estatísticas da verificação, é
possível selecionar valores para Largura do compartimento e Número de
compartimentos.
Para alguns relatórios, é possível especificar como agrupar os resultados do
relatório na caixa de listagem Grupo. Para outros relatórios, é possível
selecionar um destino no campo Destino no qual filtrar resultados do relatório.
4 Na caixa de listagem Utilizar um filtro salvo, selecione uma configuração de
filtro salva ou mantenha o filtro padrão.
5 Na caixa de listagem Intervalo de tempo, em Quais configurações de filtro
você gostaria de usar?, selecione o intervalo de tempo do relatório.
Salvamento e exclusão de relatórios personalizados
6 Se você selecionar Definir datas específicas, use as caixas de listagem Data

de início e Data de término. Essas opções definem o intervalo de tempo sobre
o qual você deseja exibir informações.
Quando você gerar um relatório de status do computador e selecionar Definir
datas específicas, especifique que deseja ver todas as entradas que envolvem
um computador que não acessou o servidor desde o horário que você
especificou no campo de hora e data.
7 Se você desejar definir configurações adicionais para a configuração do
relatório, clique em Configurações avançadas e defina as opções desejadas.
Você pode clicar em Mais informações para ver descrições das opções do
filtro na ajuda contextual.
Nota: As caixas de texto das opções de filtro que aceitam caracteres curinga
e que pesquisam correspondências não diferenciam maiúsculas de minúsculas.
O asterisco ASCII é o único que pode ser usado como um caractere curinga.
É possível salvar as definições de configuração do relatório se você acreditar

que desejará executar esse relatório novamente no futuro.

Você pode salvar as configurações de relatórios personalizados em um filtro para
gerar novamente o mesmo relatório em outro momento. Quando você salva as
configurações, elas são salvas no banco de dados. O nome do filtro aparece na
caixa de listagem Utilizar um filtro salvo para esse tipo de log e de relatório.
Nota: As definições de configuração de filtros que você salvar ficam disponíveis

somente na sua conta de usuário. Outros usuários com privilégios de relatório
não podem acessar as configurações que você salvar.
Consulte “Edição do filtro usado para um relatório agendado” na página 677.

Você pode excluir qualquer configuração de relatório que criar. Quando excluir
uma configuração, o relatório não estará mais disponível. O nome da configuração
padrão do relatório aparecerá na caixa de listagem Usar relatório salvo e a tela

será preenchida novamente com as configurações padrão.
Nota: Se você excluir um administrador do servidor de gerenciamento, você terá

a opção de salvar os relatórios que forem criados pelo administrador excluído. A
posse dos relatórios é alterada, bem como os nomes dos relatórios. O nome novo
do relatório está no formato "OriginalName('AdminName')". Por exemplo, um
relatório criado pelo administrador JSmith, chamado de Monday_risk_reports,
seria renomeado para Monday_risk_reports(JSmith).

na página 289.
Para salvar um relatório personalizado
2 Na guia Relatórios rápidos, selecione um tipo de relatório da caixa de listagem.
3 Altere quaisquer configurações básicas ou avançadas do relatório.
4 Clique em Salvar filtro.
5 Na caixa de texto Nome do filtro, digite um nome descritivo para o filtro de
relatório. Apenas os 32 primeiros caracteres do nome que você der serão
exibidos quando o filtro for adicionada à lista Utilizar um filtro salvo.
6 Clique em OK.
7 Quando a caixa de diálogo de confirmação for exibida, clique em OK.
Depois que um filtro é salvo, ele é exibido na caixa de listagem Utilizar um
filtro salvo dos relatórios e logs associados.
Para excluir um relatório personalizado
2 Na guia Relatórios rápidos, selecione um tipo de relatório.
3 Na caixa de listagem Utilizar um filtro salvo, selecione o nome do filtro que
deseja excluir.
4 Clique no ícone Excluir ao lado da caixa de listagem Utilizar um filtro salvo.
5 Quando a caixa de diálogo de confirmação for exibida, clique em Sim.
Criação de relatórios agendados
Criação de relatórios agendados

Os relatórios agendados são os relatórios executados automaticamente com base
no agendamento que você configurar. Os relatórios agendados são enviados por
e-mail aos destinatários; portanto, você deve incluir o endereço de e-mail de pelo
menos um destinatário. Após a execução de um relatório, o mesmo é enviado aos
destinatários definidos, como um arquivo .mht anexo.
Os dados exibidos nos relatórios agendados são atualizados no banco de dados de
hora em hora. Quando o servidor de gerenciamento enviar um relatório agendado
por e-mail, os dados no relatório serão os que foram atualizados na última hora.
Os outros relatórios que contêm dados em função do tempo são atualizados no
banco de dados com base no intervalo de upload configurado para os logs do
cliente.
Consulte “Especificação do tamanho do log do cliente e de quais fazer upload para
o servidor de gerenciamento” na página 792.
Nota: Se você tiver vários servidores em um site que compartilha um banco de

dados, apenas o servidor instalado primeiramente executará os relatórios
agendados para o site. Esse padrão assegura que nenhum dos servidores no site
executará as mesmas verificações agendadas simultaneamente. Se você deseja
designar um servidor diferente para execução dos relatórios agendados, pode
configurar essa opção nas propriedades do site local.
Para criar um relatório agendado

2 Na guia Relatórios agendados, clique em Adicionar.
3 Na caixa de texto Nome de relatório, digite um nome descritivo e, se desejar,
uma descrição mais detalhada.
Embora seja possível colar mais do que 255 caracteres na caixa de texto da
descrição, apenas 255 serão salvos.
4 Se você não quiser que esse relatório seja executado até a próxima vez,
desmarque a caixa de seleção Ativar este relatório agendado.
5 Selecione o tipo de relatório que deseja agendar na caixa de listagem.
6 Selecione o nome do relatório específico que deseja agendar na caixa de
listagem.
7 Selecione o nome do filtro salvo que deseja usar na caixa de listagem.
Edição do filtro usado para um relatório agendado
8 Na caixa de texto Executar a cada, selecione o intervalo de tempo em que

você deseja enviar por e-mail o relatório (horas, dias, semanas, meses). Então,
digite o valor do intervalo de tempo selecionado. Por exemplo, se você deseja
que o relatório seja enviado a você um dia sim, um dia não, selecione dias e
digite 2.
9 Na caixa de texto Iniciar após, digite a data ou clique no ícone do calendário
e selecione a data em que deseja iniciar a execução dos relatórios. Então,
selecione a hora e os minutos nas caixas de listagem.
10 Em Destinatários do relatório, digite um ou mais endereços de e-mail
separados por vírgulas.
Você já deverá ter configurado as propriedades do servidor de e-mails para
que as notificações por e-mail funcionem.
11 Clique em OK para salvar a configuração do relatório agendado.
Edição do filtro usado para um relatório agendado

Você pode alterar as configurações de qualquer relatório que já esteja agendado.
Na próxima vez em que o relatório for executado, ele usará as novas configurações
de filtro. Você também pode criar relatórios agendados adicionais, que podem ter
como base um filtro de relatório salvo anteriormente.
O armazenamento do filtro baseia-se, em parte, no criador, para que não ocorram
problemas quando dois usuários diferentes criam um filtro com o mesmo nome.
Entretanto, um usuário individual ou dois usuários que fizeram logon na conta
padrão do administrador não deverão criar filtros com o mesmo nome.
Se os usuários criarem filtros com o mesmo nome, poderá ocorrer um conflito sob
duas condições:
■ Dois usuários fazem logon na conta padrão do administrador em sites diferentes
e os dois criam um filtro com o mesmo nome.
■ Um usuário cria um filtro, faz logon em um site diferente e cria imediatamente
um filtro com o mesmo nome.
Se uma das condições ocorrer antes da replicação do site, o usuário verá em seguida
dois filtros com o mesmo nome na lista de filtros. Somente um dos filtros poderá
ser utilizado. Se esse problema ocorrer, a prática recomendada será excluir o filtro
utilizável e recriá-lo com um nome diferente. Ao excluir o filtro utilizável, você
também excluirá o filtro inutilizável.
Como imprimir e salvar a cópia de um relatório
Nota: Quando você associar um filtro salvo a um relatório agendado, certifique-se

de que o filtro não contenha datas personalizadas. Se o filtro especificar uma data
personalizada, você obterá o mesmo relatório cada vez que ele for executado.

Para editar o filtro usado para um relatório agendado
2 Clique em Relatórios agendados.
3 Na lista de relatórios, clique no relatório agendado que deseja editar.
4 Clique em Editar filtro.
5 Faça as alterações que desejar no filtro.
Se desejar manter o filtro original do relatório, dê um novo nome a esse filtro
editado.
7 Clique em OK.
Como imprimir e salvar a cópia de um relatório

Você pode imprimir um relatório ou salvar uma cópia de um relatório rápido. Não
é possível imprimir relatórios agendados. Um arquivo salvo ou um relatório
impresso fornece uma captura de imagem dos atuais dados no banco de dados da
geração de relatórios para que você possa manter um log do histórico.
Nota: O Internet Explorer não imprime as cores e imagens do segundo plano por
padrão. Se a opção de impressão estiver desativada, o relatório impresso poderá
parecer diferente do relatório criado por você. Você pode alterar as configurações
no navegador para imprimir as cores e imagens do segundo plano.

Para imprimir a cópia de um relatório
1 Na janela do relatório, clique em Imprimir.
2 Na caixa de diálogo Impressão, selecione a impressora desejada e, se
necessário, clique em Imprimir.
Exibição de logs
Ao salvar um relatório, você salva uma captura de imagem do ambiente de

segurança com base nos dados atuais no banco de dados de relatórios. Se executar
o mesmo relatório em outro momento, com base na mesma configuração de filtro,
o novo relatório mostrará outros dados.
Para salvar a cópia de um relatório
1 Na janela do relatório, clique em Salvar.
2 Na caixa de diálogo Download do arquivo, clique em Salvar.
3 Na caixa de diálogo Salvar como, na caixa de seleção Salvar em, procure o
local no qual deseja salvar o arquivo.
4 Na caixa de listagem Nome do arquivo, altere o nome padrão do arquivo, se
desejar.
5 Clique em Salvar.
O relatório é salvo no formato de arquivo morto MHTML da página da Web
no local que você selecionou.
6 Na caixa de diálogo Download concluído, clique em Fechar.
Exibição de logs
Você pode gerar uma lista de eventos para exibir dos logs baseados em uma coleção
de configurações de filtro selecionadas por você. Cada tipo de log e de conteúdo
tem uma configuração padrão de filtro que pode ser usada como está ou ser
modificada. Você pode também criar e salvar novas configurações de filtro. Esses
novos filtros podem basear-se no filtro padrão ou em um filtro existente criado
previamente. Se você salvar a configuração do filtro, poderá gerar a mesma exibição
do log mais tarde, sem precisar definir as configurações cada vez. É possível excluir
configurações personalizadas de filtro se você não precisar mais delas.
Nota: Se forem gerados erros no banco de dados ao exibir os logs que incluem uma
grande quantidade de dados, você poderá alterar os parâmetros do tempo limite
do banco de dados.
Se surgirem erros CGI ou de processos concluídos, convém alterar outros
parâmetros do tempo limite.
Consulte “Alteração de parâmetros do tempo limite para verificar relatórios e

logs” na página 837.
Como os logs contêm algumas informações coletadas em intervalos, você pode
atualizar as exibições dos logs. Para configurar a taxa de atualização do log, exiba
Exibição de logs
o log e selecione-o na caixa de listagem Atualizar automaticamente, na parte

superior direita dessa exibição do log.
Nota: Se você exibir dados de log usando datas específicas, os dados permanecerão
os mesmos quando você clicar em Atualizar automaticamente.
Relatórios e logs são sempre exibidos no idioma em que o servidor de

gerenciamento foi instalado. Para exibi-los quando você usar um console remoto
do Symantec Endpoint Protection Manager ou navegador, você deverá ter a fonte
apropriada instalada no computador usado.
Consulte “O que você pode fazer nos logs” na página 681.
Consulte “Como salvar e excluir logs personalizados usando-se filtros”
na página 683.
Para exibir um log
1 Na janela principal, clique em Monitores.
2 Na guia Logs, da caixa de listagem Tipo de log, selecione o tipo de log que
você deseja exibir.
3 Para alguns tipos de logs, a caixa de listagem Conteúdo do log é exibida. Se
for exibida, selecione o conteúdo do log que você deseja exibir.
4 Na caixa de listagem Usar filtro salvo, selecione um filtro salvo ou use o valor
Padrão.
5 Selecione uma hora da caixa de listagem Intervalo de tempo ou use o valor
padrão. Se você selecionar Definir datas específicas, então defina a data ou
datas e a hora das entradas que você deseja exibir.
6 Clique em Configurações avançadas para limitar o número de entradas que
você deseja exibir.
Você também pode definir quaisquer outras Configurações avançadas
disponíveis para o tipo de log selecionado.
Nota: Os campos de opções de filtro que aceitam caracteres curinga e

pesquisam correspondências não diferenciam maiúsculas de minúsculas. O
asterisco ASCII é o único que pode ser usado como um caractere curinga.
7 Após definir a configuração de exibição que você deseja, clique em Exibir log.
A exibição do log aparece na mesma janela.
Exibição de logs
O que você pode fazer nos logs

Os logs contêm registros sobre alterações na configuração do cliente, atividades
relativas à segurança e erros. Estes logs são denominados eventos. Os logs exibem
esses eventos com todas as informações adicionais relevantes. As atividades
relativas à segurança incluem as informações sobre detecções de vírus, status do
computador e tráfego de entrada e saída do computador-cliente.
Os logs são um método importante de rastrear as atividades do computador-cliente
e a interação com outros computadores e redes. Você pode usar estes dados para
analisar o status geral de segurança da rede e modificar a proteção nos
computadores-cliente. Você pode acompanhar as tendências que se relacionam
aos vírus, aos riscos à segurança e aos ataques. Se o mesmo computador for usado
por várias pessoas, você poderá identificar qual delas introduz os riscos e, assim,
ajudá-la a usar precauções mais eficientes.
Você pode exibir os dados de log na guia Logs da página Monitores.
O servidor de gerenciamento faz upload regularmente das informações nos logs
dos clientes ao servidor de gerenciamento. Você pode exibir estas informações
nos logs ou nos relatórios. Como os relatórios são estáticos, e eles não contêm
tantos detalhes como os logs, talvez você prefira monitorar a rede com os logs.
Nota: Caso você tenha apenas o Symantec Network Access Control instalado,
somente alguns logs conterão dados; outros logs estarão vazios. Os logs de
auditoria, de conformidade, de status do computador e do sistema contêm dados.
Se tiver apenas o Symantec Endpoint Protection instalado, os logs de conformidade
e do Enforcer estarão vazios, mas todos os outros logs conterão dados.
Além de usar os logs para monitorar sua rede, você poderá tomar as seguintes
ações dos vários logs:
■ Executar comandos nos computadores-cliente.
na página 685.
■ Adicionar diversos tipos de exceções.
Consulte “Para criar exceções de eventos de log no Symantec Endpoint
■ Excluir arquivos da Quarentena.
Consulte “Para usar o Log de riscos para excluir arquivos em quarentena em
A Tabela 25-3 descreve os diferentes tipos de conteúdo que podem ser exibidos e
as ações que podem ser realizadas através de cada log.
Exibição de logs
Tabela 25-3 Tipos de log
Tipo de log Conteúdos e ações
Auditoria O Log de auditoria contém informações sobre atividade de modificação de política.
As informações disponíveis incluem a hora e o tipo de evento; a política modificada;

o domínio, local e nome de usuário envolvido, e uma descrição.
Nenhuma ação está associada a esse log.
Controle de dispositivos e Os logs do Controle de aplicativos e do Controle de dispositivos contêm informações

aplicativos sobre eventos em que algum tipo de comportamento foi bloqueado.
Os seguintes logs do Controle de dispositivos e aplicativos estão disponíveis:
■ Controle de aplicativos, que inclui informações sobre a Proteção contra

adulterações.
■ Controle de dispositivos
A informações disponíveis incluem o horário em que o evento ocorreu, a ação tomada,

além do domínio e do computador envolvidos. Também são incluídos o usuário
envolvido, a gravidade, a regra envolvida, o processo do chamador e o destino.
Você pode criar um controle de aplicativos ou uma exceção da proteção contra

adulterações do log de controle de aplicativos.
Consulte “Para especificar como o Symantec Endpoint Protection gerencia aplicativos

monitorados” na página 585.
Conformidade Os logs de conformidade contêm informações sobre o servidor Enforcer, seus clientes
e seu tráfego, e sobre a conformidade do host.
Nenhuma ação está associada a esses logs.
Status do computador O Log de status do computador contém informações sobre o status operacional em
tempo real dos computadores-cliente na rede.
As informações disponíveis incluem o nome do computador, o endereço IP, o status

de infectado, as tecnologias de proteção, o status do Auto-Protect, as versões e as
datas de definições. Também são incluídos o usuário, o horário da última verificação,
a política, o grupo, o domínio e o status de reinício necessário.
Nesse log, também é possível limpar o status infectado dos computadores.

Nota: Este log contém informações que são coletadas dos clientes Windows e Mac.
Exibição de logs
Tipo de log Conteúdos e ações
Proteção contra ameaças à Os logs da Proteção contra ameaças à rede contêm informações sobre ataques ao
rede firewall e prevenção contra intrusões. São disponibilizadas informações sobre ataques
de negação de serviço, verificação de portas e mudanças efetuadas em arquivos
executáveis. Os logs também contêm informações sobre conexões efetuadas por meio
do firewall (tráfego) e os pacotes de dados que passam por ele. Esses logs contêm
ainda algumas das mudanças operacionais que são efetuadas nos computadores,
como aplicativos de rede e configuração de software.
SONAR O log do SONAR contém informações sobre as ameaças que foram detectadas durante
a verificação de ameaças do SONAR. Estas são verificações em tempo real que detectam
aplicativos potencialmente maliciosos quando são executados em seu
computador-cliente.
As informações incluem itens como a hora da ocorrência, a ação real do evento, o

nome de usuário, o domínio da Web, o aplicativo, o tipo de aplicativo, o arquivo e o
caminho.
Se você tiver clientes legados em sua rede, o log do SONAR poderá também conter as
informações das Verificações proativas de ameaças TruScan legadas.
Risco O Log de riscos contém informações sobre eventos de risco. As informações disponíveis
incluem a hora do evento, a ação real do evento, o nome de usuário, o computador e
domínio, a fonte e o nome do risco, a contagem, o arquivo e o caminho.
Verificar O log de verificações contém informações sobre a atividade da verificação de vírus e

spyware dos clientes Windows e Mac.
As informações disponíveis incluem itens como o início da verificação, computador,

endereço IP, status, duração, detecções, verificados, omitidos e domínio.
Sistema Os logs do sistema contêm informações sobre eventos, como quando um serviço é
iniciado ou interrompido.
Como salvar e excluir logs personalizados usando-se filtros

Você pode gerar filtros personalizados com a opção Configurações básicas e
Configurações avançadas para alterar as informações que você deseja visualizar.
É possível salvar as configurações de filtro para o banco de dados a fim de gerar
novamente a mesma exibição no futuro. Quando você salva as configurações, elas
Exibição de logs
são salvas no banco de dados. O nome do filtro aparece na caixa de listagem Utilizar
um filtro salvo para esse tipo de log e relatório.
Nota: Se selecionar Últimas 24 como o intervalo de tempo de um filtro de log, o

intervalo de tempo de 24 horas começará quando você selecionar o filtro. Se você
atualizar a página, o início do intervalo de 24 horas não será redefinido. Se você
selecionar o filtro e aguardar para exibir um log, o intervalo de tempo começará
quando você selecionar o filtro. Ele não começa quando você exibe o log.
Se você deseja verificar se o intervalo de últimas 24 horas começa agora, selecione
um intervalo de tempo diferente e selecione novamente Últimas 24 horas.
Para salvar um log personalizado usando um filtro

1 Na janela principal, clique em Monitores.
2 Na guia Logs, selecione o tipo de exibição de log para o qual deseja configurar
o filtro na caixa de listagem Tipo de log.
3 Para alguns tipos de logs, a caixa de listagem Conteúdo do log é exibida. Se
ela for exibida, selecione o conteúdo do log para o qual deseja configurar o
filtro.
4 Na caixa de listagem Utilizar um filtro salvo, selecione o filtro do qual você
deseja começar. Por exemplo, selecione o filtro padrão.
5 Em Quais configurações de filtro você gostaria de usar?, clique em
Configurações avançadas.
6 Altere quaisquer configurações.
8 Na caixa de diálogo exibida, na caixa Nome do filtro, digite o nome que você
deseja usar para essa configuração de filtro de log. Somente os primeiros 32
caracteres do nome são exibidos quando o filtro salvo é adicionado à lista de
filtros.
9 Clique em OK e o novo nome do filtro será adicionado à caixa de listagem
Utilizar um filtro salvo.
Para excluir um filtro salvo
1 Na caixa de listagem Utilizar um filtro salvo, selecione o nome do filtro de
log que você deseja excluir.
2 Ao lado do caixa de listagem Utilizar um filtro salvo, clique no ícone Excluir.
3 Quando solicitado a confirmar se deseja excluir o filtro, clique em Sim.
Para executar comandos através do log de status do computador
Exibição de logs de outros sites

Se desejar exibir os logs de outro site, você deve fazer logon em um servidor no
site remoto do console do Symantec Endpoint Protection Manager. Se você tiver
uma conta em um servidor no site remoto, poderá fazer logon remotamente e
exibir os logs desse site.
Se você tiver configurado parceiros de replicação, poderá escolher que todos os
logs dos parceiros de replicação sejam copiados para o parceiro local e vice-versa.
Se escolher replicar logs, por padrão você verá as informações tanto do seu site
como dos sites replicados, ao exibir um log. Se você quiser ver um único site, será
preciso filtrar os dados para limitá-los ao local que deseja exibir.
Nota: Se escolher replicar logs, certifique-se de ter suficiente espaço em disco

para os logs adicionais em todos os parceiros de replicação.
Para exibir os logs de outro site

1 Abra um navegador da Web.
2 Digite o nome ou o endereço IP do servidor e o número da porta, 9090, na
caixa de texto do endereço como segue:
http://192.168.1.100:9090
O console faz o download. Você deve fazer logon de um computador que tenha
o Java 2 Runtime Environment (JRE) instalado. Se não estiver instalado, você
será solicitado a fazer o download e a instalação. Siga os avisos para instalar
o JRE.
3 Na caixa de diálogo de logon do console, digite o nome de usuário e a senha.
4 Na caixa de texto Servidor, se não for preenchida automaticamente, digite o
nome ou o endereço IP do servidor e o número da porta, 8443, como segue:
http://192.168.1.100:8443
Para executar comandos através do log de status do

computador
No log Status do computador, você pode tomar os seguintes tipos de ações em
computadores-cliente:
■ Executar ou cancelar verificações.

■ Reiniciar computadores.
■ Atualizar conteúdo.
■ Ativar ou desativar diversas tecnologias de proteção.
Também é possível clicar com o botão direito do mouse diretamente em um grupo
da página Clientes do console do Symantec Endpoint Protection Manager para
executar comandos.
na página 247.
na página 250.
Na guia Status do comando, é possível exibir o status dos comandos executados
do console e seus detalhes. Você poderá também cancelar uma verificação
específica nesta guia se a verificação estiver em andamento.
Você pode cancelar todas as verificações em andamento e enfileiradas para clientes
selecionados. Se confirmar o comando, a tabela será atualizada e você poderá ver
que o comando cancelar é adicionado à tabela de status do comando.
Nota: Se você executar o comando de verificação e selecionar uma verificação

Personalizada, a verificação usará as configurações de verificação do comando
definidas na página Verificação definida pelo administrador. O comando usa as
configurações que estão na política de proteção contra vírus e spyware que é
aplicada aos computadores-cliente selecionados.
Se você executar o comando Reiniciar computador-cliente de um log, o comando

será enviado imediatamente. Se os usuários estiverem conectados ao cliente, eles
serão avisados sobre a reinicialização com base nas opções que o administrador
configurou para esse cliente.
Você pode configurar as opções de reinicialização do cliente na guia Configurações
gerais.
Para executar um comando no Log de status do computador
2 Na guia Logs, na caixa de listagem Tipo de log, selecione Status do
computador.
4 Selecione um comando na caixa de listagem Ação.

Se houver opções de configuração para o comando selecionado, uma nova
página será exibida onde você poderá configurar as configurações adequadas.
6 Após concluir a configuração, clique em Sim ou em OK.
7 Na caixa de mensagem de confirmação do comando exibida, clique em Sim.
8 Na caixa de diálogo Mensagem, clique em OK.
Se o comando não for colocado em fila com êxito, poderá ser necessário repetir
esse procedimento. Você pode verificar se o servidor está inativo. Se o console
perdeu conectividade com o servidor, faça logoff do console e então faça login
novamente para ver se isso ajuda.
Para exibir detalhes sobre o status do comando
2 Na guia Status do comando, selecione um comando na lista e então clique
em Detalhes.
Para cancelar uma verificação específica em andamento
2 Na guia Status do comando, clique no ícone Cancelar verificação na coluna
Comando do comando de verificação que deseja cancelar.
3 Quando a confirmação de que o comando foi colocado em fila com êxito for
exibida, clique em OK.
Para cancelar todas as verificações em andamento ou em fila
2 Na guia Logs, na caixa de listagem Tipo de log, selecione Status do
computador.
4 Selecione um ou mais computadores na lista e selecione Cancelar todas as
verificações na lista de comandos.
6 Quando a caixa de diálogo de confirmação for exibida, clique em Sim para
cancelar todas as verificações em andamento e em fila para os computadores
selecionados.
7 Quando a confirmação de que o comando foi colocado em fila com êxito for
exibida, clique em OK.
Capítulo 26
Para gerenciar notificações
■ Gerenciamento de notificações
■ Estabelecimento de comunicação entre o servidor de gerenciamento e os

servidores de e-mail
■ Exibição e reconhecimento de notificações
■ Como salvar e excluir filtros administrativos de notificação
■ Configuração de notificações do administrador
■ Como os upgrades de outra versão afetam as condições de notificação
Gerenciamento de notificações
As notificações alertam os administradores e os usuários de computadores sobre
problemas de segurança em potencial.
Alguns tipos de notificação contêm os valores padrão quando você as configura.
Essas orientações oferecem razoáveis pontos de partida, dependendo do tamanho
do seu ambiente, mas podem precisar de ajustes. Pode ser necessário o método de
tentativa e erro para encontrar o correto equilíbrio entre muitas ou poucas
notificações para seu ambiente. Configure o limite em um nível inicial e espere
alguns dias. Após alguns dias, é possível ajustar as configurações das notificações.
Para detecção de eventos de firewall, riscos à segurança e vírus, digamos que você
tenha menos de 100 computadores em uma rede. Um ponto de partida razoável
nessa rede é configurar uma notificação quando dois eventos de risco forem
detectados dentro de um minuto. Se você tiver de 100 a 1.000 computadores, a
detecção de cinco eventos de risco dentro de um minuto pode ser um ponto de
partida mais útil.
690 Para gerenciar notificações
Gerencie notificações na página Monitores. Você pode usar a página Início para
determinar o número de notificações desconhecidas que precisam de sua atenção.
A Tabela 26-1 lista as tarefas que você pode executar para gerenciar notificações.
Tabela 26-1 Gerenciamento de notificações
Tarefa Descrição
Saiba mais sobre as Aprenda como funcionam as notificações.

notificações
Consulte “Como as notificações funcionam” na página 690.
Confirme que o servidor de As notificações enviadas por e-mail exigem que o Symantec
e-mail está para Endpoint Protection Manager e servidor de e-mail estejam
configurado para ativar configurados corretamente.
notificações de e-mail
Consulte “Estabelecimento de comunicação entre o servidor
de gerenciamento e os servidores de e-mail” na página 696.
Verifique as notificações Verifique as notificações pré-configuradas fornecidas pelo

pré-configuradas Symantec Endpoint Protection.
Exiba as notificações não Exiba e responda a notificações não confirmadas.

confirmadas
Consulte “Exibição e reconhecimento de notificações”
na página 697.
Configure novas Opcionalmente, crie notificações para lembrar você e outros

notificações administradores sobre problemas importantes.
Consulte “Configuração de notificações do administrador”

na página 699.
Consulte “Sobre como ativar notificações para clientes

remotos” na página 280.
Crie filtros de notificação Opcionalmente, crie filtros que para expandir ou limitar a
exibição de todas as notificações que foram acionadas.
Consulte “Como salvar e excluir filtros administrativos de

notificação” na página 698.
Como as notificações funcionam

As notificações alertam os administradores e os usuários sobre possíveis problemas
de segurança. Por exemplo, uma notificação pode alertar os administradores sobre
uma licença expirada ou uma infecção por vírus.
Os eventos acionam uma notificação. Um novo risco à segurança, uma mudança
de hardware em um computador-cliente ou uma expiração de licença trialware
podem acionar uma notificação. As ações poderão, ser tomadas pelo sistema
Para gerenciar notificações 691
quando uma notificação for acionada. Uma ação pode gravar a notificação em um
log, executar um arquivo de lote ou um arquivo executável ou enviar um e-mail.
Nota: As notificações de e-mail exigem que as comunicações entre o Symantec

Endpoint Protection Manager e o servidor de e-mail estejam configuradas
corretamente.
Você pode definir um período do amortecedor para notificações. O período do

amortecedor especifica quanto tempo deve passar antes que a condição da
notificação seja verificada em busca de dados novos. Quando uma condição de
notificação tiver um período do amortecedor, a notificação será apenas emitida
na primeira ocorrência da condição do acionador nesse período. Por exemplo,
suponha que um ataque de vírus em grande escala ocorra e que haja uma condição
de notificação configurada para enviar um e-mail sempre que cinco computadores
forem infectados por vírus na rede. Se você definir um período do amortecedor
de uma hora para essa condição de notificação, o servidor enviará apenas um
e-mail de notificação a cada hora durante o ataque.
Consulte “O que são os tipos de notificações e quando são enviados?” na página 691.
O que são os tipos de notificações e quando são enviados?

O Symantec Endpoint Protection Manager fornece notificações para
administradores. Você pode personalizar a maioria destas notificações para
cumprir com suas necessidades específicas. Por exemplo, é possível adicionar
filtros para limitar uma condição de acionamento apenas para computadores
específicos. Ou você pode definir que as notificações tomem ações específicas
quando forem acionadas.
Por padrão, algumas dessas notificações serão ativadas quando você instalar o
Symantec Endpoint Protection Manager. As notificações ativadas por padrão são
configuradas para conectarem-se ao servidor e enviar um e-mail aos
administradores do sistema.
Consulte “Como os upgrades de outra versão afetam as condições de notificação”
na página 700.
Tabela 26-2 Notificações pré-configuradas
Notificação Descrição
Falha de autenticação Um número configurável de falhas de logon em um

período de tempo definido aciona a notificação de Falha
de autenticação. Você pode definir o número de falhas
de logon e o período de tempo no qual devem ocorrer
para que a notificação seja acionada.
Lista de clientes alterada Esta notificação será acionada quando houver uma
mudança na lista existente de clientes. Esta condição
de notificação é ativada por padrão.
As mudanças na lista de clientes podem incluir:
■ A adição de um cliente
■ Uma mudança no grupo de um cliente
■ Uma mudança no nome de um cliente
■ A exclusão de um cliente
■ Uma mudança no hardware de um cliente
■ Uma mudança no status Detector não gerenciado
de um cliente
■ Uma alteração no modo do cliente
Essa notificação fica ativada por padrão.
Alerta de segurança do cliente Esta notificação será acionada com qualquer um dos
seguintes eventos de segurança:
■ Eventos de conformidade
■ Eventos da Proteção contra ameaças à rede
■ Eventos de tráfego
■ Eventos do pacote
■ Eventos de controle de dispositivos
■ Eventos do controle de aplicativos
Você pode modificar esta notificação para especificar

o tipo, a gravidade e a frequência de eventos que
determinam quando essas notificações são acionadas.
Alguns desses tipos de ocorrências também requerem

a ativação do log na política associada.
Conteúdo de proteção de Alerta os administradores sobre o conteúdo

download desatualizado desatualizado da proteção de download. Você pode
especificar a idade em que as definições acionam a
notificação.
O Enforcer está desligado Esta notificação será acionada quando o appliance

Enforcer estiver off-line. A notificação informa o nome,
o grupo e a hora do último status de cada Enforcer.
Aplicativo forçado detectado Esta notificação será acionada quando um aplicativo

na lista de aplicativos comerciais for detectado ou
quando um aplicativo na lista de aplicativos
monitorados pelo administrador for detectado.
Assinatura IPS desatualizada Alerta os administradores sobre assinaturas IPS

desatualizadas. Você pode especificar a idade em que
as definições acionam a notificação.
Problema de licenciamento Esta notificação alerta administradores e,

opcionalmente, parceiros sobre licenças pagas que
Expiração da licença paga
expiraram ou que estão para expirar.
Problema de licenciamento Esta notificação alerta administradores e,

opcionalmente, parceiros sobre licenças pagas
Implementação excessiva
implementadas excessivamente.
Problema de licenciamento Esta notificação alerta administradores sobre licenças

de teste expiradas e as licenças de teste que devem
Vencimento da licença de teste
expirar em 60, 30 e 7 dias.
Esta notificação será ativada por padrão se houver uma
licença de teste. Ela não será ativada por padrão se sua
licença estiver vencida devido a um upgrade ou se tiver
sido paga.
Novo aplicativo reconhecido Essa notificação é acionada quando a aprendizagem

de aplicativo detecta um novo aplicativo.
Novo risco detectado Esta notificação sempre é acionada quando as

verificações de vírus e spyware detectarem um risco
novo.
Novo pacote de software Esta notificação será acionada quando for feito o
download de um novo pacote de software ou o seguinte
ocorrer:
■ O LiveUpdate faz o download de um pacote de
cliente.
■ É realizado o upgrade do servidor de gerenciamento.
■ O console importa manualmente pacotes de cliente.
Você pode especificar se a notificação é acionada

apenas pelas novas definições de segurança, apenas
por novos pacotes de cliente ou ambos. Por padrão, a
opção de configuração Pacote de cliente é ativada e a
opção Definições de segurança é desativada para esta
condição.
A notificação Novo software-cliente é ativada por

padrão.
Novo download permitido pelo Esta notificação será acionada quando um

usuário computador-cliente permitir um aplicativo detectado
pelo Download Insight. Um administrador pode usar
esta informação para ajudar a avaliar se o aplicativo
deve ser permitido ou bloqueado.
Epidemia de risco Essa notificação alerta os administradores sobre

epidemias de risco à segurança. Você define o número
e o tipo de ocorrências de riscos novos e o período de
tempo no qual devem ocorrer para acionar a
notificação. Os tipos incluem ocorrências em qualquer
computador, ocorrências em um único computador ou
ocorrências em computadores distintos.
Esta condição de notificação é ativada por padrão.
Appliance de segurança virtual Esta notificação alertará os administradores quando

off-line o Appliance de segurança virtual ficar off-line. Os
appliances virtuais de segurança somente são
executados em infraestruturas do vShield de VMware.
Integridade do servidor Os problemas de integridade do servidor acionam a

notificação. A notificação lista o nome do servidor, o
status de integridade, a razão e o mais recente status
online/off-line.

Evento com risco único Essa notificação é acionada na detecção de um evento

com risco único e fornece detalhes sobre o risco. Os
detalhes incluem o usuário e o computador envolvidos,
e as ações executadas pelo servidor de gerenciamento.
Definição desatualizada do Alerta administradores sobre definições de SONAR

SONAR desatualizadas. Você pode especificar a idade em que
Evento do sistema Esta notificação será acionada quando ocorrerem

determinados eventos do sistema e fornece o número
de tais eventos detectados.
Os eventos do sistema incluem os seguintes eventos:
■ Atividades do servidor
■ Atividades do Enforcer
■ Falhas na replicação
■ Erros do sistema
Computadores não gerenciados Esta notificação será acionada quando o servidor de

gerenciamento detectar computadores não gerenciados
na rede. A notificação fornece os detalhes incluindo o
endereço IP, o endereço MAC e o sistema operacional
de cada computador não gerenciado.
Expiração da licença de upgrade Os upgrades das versões anteriores do Symantec

Endpoint Protection Manager para a versão atual
recebem uma licença de upgrade. Essa notificação é
acionada quando a licença de upgrade estiver prestes
a expirar.
Nota: A notificação de Expiração da licença de
upgrade aparece somente depois de um upgrade do
Definições de vírus Alerta administradores sobre definições de vírus

desatualizadas desatualizadas. Você pode especificar a idade em que
Sobre notificações do parceiro

Quando o servidor de gerenciamento detectar que os clientes pagaram as licenças
que estão para expirar ou que expiraram, uma notificação poderá ser enviada para
o administrador do sistema. De maneira semelhante, o servidor de gerenciamento
Estabelecimento de comunicação entre o servidor de gerenciamento e os servidores de e-mail
poderá enviar uma notificação para o administrador quando detectar que as

licenças foram implementadas em excesso.
Porém, em ambos os casos, a resolução do problema pode exigir a compra de novas
licenças ou renovações. Em muitas instalações o administrador do servidor pode
não ter a autoridade para fazer tais compras, mas confia em um parceiro da
Symantec para executar esta tarefa.
O servidor de gerenciamento fornece a capacidade de manter as informações de
contato para o parceiro. Estas informações poderão ser fornecidas quando o
servidor for instalado. O administrador do sistema também pode fornecer ou
editar as informações do parceiro a qualquer momento após a instalação no painel
Licenças do console.
Quando as informações de contato do parceiro estiverem disponíveis ao servidor
de gerenciamento, as notificações relacionadas às licenças pagas e as notificações
de licença implementadas em excesso serão enviadas automaticamente ao
administrador e ao parceiro.
Estabelecimento de comunicação entre o servidor de

gerenciamento e os servidores de e-mail
Para que o servidor de gerenciamento envie notificações de e-mail automáticas,
é necessário configurar a conexão entre o servidor de gerenciamento e o servidor
de e-mail.
Para estabelecer a comunicação entre o servidor de gerenciamento e os servidores
de e-mail
2 Em Exibir servidores, selecione o servidor de gerenciamento para o qual você
deseja estabelecer uma conexão ao servidor de e-mails.
4 Na caixa de diálogo Propriedades do servidor, clique na guia Servidor de
e-mails.
5 Digite as configurações do servidor de e-mail.
Para obter detalhes sobre a configuração de opções nessa caixa de diálogo,
clique em Ajuda.
6 Clique em OK.
Exibição e reconhecimento de notificações
Exibição e reconhecimento de notificações

Você pode exibir notificações não confirmadas ou todas as notificações. Você pode
reconhecer uma notificação não confirmada. Você pode exibir todas as condições
de notificação que estão configuradas atualmente no console.
O painel Status de segurança na página Início indica o número de notificações
não confirmadas que ocorreram durante as últimas 24 horas.
Para exibir notificações recentes não confirmadas
2 Na página Início, no painel Status de segurança, clique em Visualizar
notificações.
Uma lista de notificações recentes aparece não confirmadas aparece na guia
Notificações.
3 Opcionalmente, na lista de notificações, na coluna Relatório, clique no ícone
do documento, se existir.
O relatório da notificação é exibido em uma janela separada do navegador.
Se não houver um ícone de documento, todas as informações sobre a
notificação aparecerão na coluna Mensagem, na lista de notificações.
Para exibir todas as notificações
1 No console, clique em Monitores e, em seguida, na guia Notificações.
2 Opcionalmente, na guia Notificações, do menu Utilizar um filtro salvo,
selecione um filtro salvo.
Consulte “Como salvar e excluir filtros administrativos de notificação”
na página 698.
3 Opcionalmente, na guia Notificações, do menu Intervalo de tempo, selecione
um intervalo de tempo.
4 Na guia Notificações, clique em Visualizar notificações.
Para reconhecer uma notificação
1 Exiba as notificações.
Consulte “Para exibir notificações recentes não confirmadas” na página 697.
Consulte “Para exibir todas as notificações” na página 697.
2 Na guia Notificações, na lista de notificações, na coluna Conf, clique no ícone
vermelho para reconhecer a notificação.
Como salvar e excluir filtros administrativos de notificação
Para exibir todas as condições de notificação configuradas

2 Na página Monitores, na guia Notificações, clique em Condições de
notificação.
Todas as condições de notificações configuradas no console são mostradas.
Você pode filtrar a lista selecionando um tipo de notificação no menu Mostrar
tipos de notificações.
Como salvar e excluir filtros administrativos de

notificação
Você pode usar filtros para expandir ou limitar a exibição de notificações
administrativas no console. Você pode salvar filtros novos e excluir filtros
previamente salvos.
Você pode criar um filtro salvo que use qualquer combinação dos seguintes
critérios:
■ Intervalo de tempo
■ Status de confirmação
■ Tipo de notificação
■ Criado por
■ Nome da notificação
Por exemplo, é possível criar um filtro que exiba apenas as notificações de epidemia
de riscos não confirmadas publicadas nas últimas 24 horas.
Para adicionar um filtro de notificação
2 Na página Monitores, na guia Notificações, clique em Configurações
avançadas.
3 No cabeçalho Quais configurações de filtro você deseja usar?, defina os
critérios do filtro.
5 Na guia Notificações, na caixa Nome do filtro, digite o nome de um filtro e
clique em OK.
Configuração de notificações do administrador
Para excluir um filtro de notificação salvo

2 A página Monitores, na guia Notificações, no menu Utilizar um filtro salvo
escolha um filtro.
3 À direita do menu Utilizar um filtro salvo, clique no ícone de X.
4 Na caixa de diálogo Excluir filtro, clique em Sim.
Configuração de notificações do administrador

Você pode configurar as notificações para alertarem você e outros administradores
quando tipos específicos de eventos ocorrerem. Você também pode adicionar as
condições que acionam notificações para lembrá-lo de executar tarefas
importantes. Por exemplo, é possível adicionar uma condição de notificação para
informá-lo quando uma licença tiver expirado ou quando um risco à segurança
for detectado.
Quando acionada, uma notificação pode executar ações específicas, como:
■ Registrar a notificação no banco de dados.
■ Enviar um e-mail para um ou mais indivíduos.
■ Executar um arquivo de lote.
Nota: Para enviar notificações de e-mail, é necessário configurar um servidor de

e-mail para comunicar-se com o servidor de gerenciamento.

Escolha a condição de notificação em uma lista de tipos de notificação disponíveis.
Depois de escolher o tipo de notificação, configure-o em seguida da seguinte forma:
■ Especifique filtros.
Nem todos os tipos de notificações fornecem filtros. Quando fornecem, é
possível usar os filtros para limitar as condições que acionam a notificação.
Por exemplo, é possível restringir que uma notificação seja acionada apenas
quando os computadores em um grupo específico forem afetados.
■ Especifique configurações.
Todos os tipos de notificação fornecem configurações, mas as configurações
específicas variam de acordo com o tipo. Por exemplo, uma notificação de risco
Como os upgrades de outra versão afetam as condições de notificação
pode permitir que você especifique que tipo de verificação acionará a

notificação.
■ Especifique ações.
Todos os tipos de notificação fornecem ações que você pode especificar.
Para configurar uma notificação do administrador
2 Na página Monitores, na guia Notificações, clique em Condições de
notificação.
3 Na guia Notificações, clique em Adicionar e, em seguida, clique em um tipo
de notificação.
4 Na caixa de diálogo Adicionar condições de notificação, forneça as seguintes
informações:
■ Na caixa de texto Nome da notificação, digite um nome para identificar
a condição de notificação.
■ Na área Quais configurações de filtro você gostaria de usar?, se estiver
presente, especifique as configurações do filtro para a condição de
notificação.
■ Na área Que configurações você deseja para esta notificação?, especifique
as condições que acionam a notificação.
■ Na área O que deve ocorrer quando esta notificação for acionada?,
especifique as ações que são executadas quando a notificação é acionada.
5 Clique em OK.
Como os upgrades de outra versão afetam as

condições de notificação
Quando o Symantec Endpoint Protection é instalado em um servidor novo, muitas
condições pré-configuradas de notificação estão ativas por padrão. Um upgrade
para o Symantec Endpoint Protection de uma versão anterior, porém, poderá
afetar que as condições de notificação estejam ativas por padrão. Pode também
afetar suas configurações padrão.
As seguintes condições de notificação estão ativas por padrão em uma instalação
nova do Symantec Endpoint Protection:
■ Lista de clientes alterada

■ Novo software-cliente
■ Problema com implementação em excesso
■ Problema com licença paga
■ Epidemia de risco
■ Integridade do servidor
■ Expiração da licença do trialware
■ Definição de vírus desatualizada
Quando um administrador fizer upgrade do software de uma versão anterior,
todas as condições existentes de notificação da versão anterior serão preservadas.
Porém, as condições existentes de notificação Novo pacote de software se tornarão
condições de notificação Novo software-cliente. A condição Novo software-cliente
tem duas configurações que não estão presentes na condição Novo pacote de
software : Pacote de cliente e Definições de segurança. Quando o software receber
upgrade, as duas configurações estarão ativas para as condições de notificação
deste tipo que forem preservadas no upgrade. As notificações Novo
software-cliente que forem condições criadas depois do upgrade, porém, terão a
configuração Pacote de cliente ativa e a configuração Definições de segurança
inativa por padrão.
Nota: Quando a configuração Definições de segurança na condição de notificação

Novo software-cliente estiver ativa, isso poderá causar o envio de um grande
número notificações. Esta situação poderá ocorrer quando houver muitos clientes
ou atualizações de definição da segurança agendadas frequentemente. Se você
não quiser receber notificações frequentes sobre atualizações de definição da
segurança, edite a condição de notificação para desativar a configuração Definições
de segurança
Diversas condições de notificação pode ter uma configuração nova que não aparecia
nas versões anteriores: Enviar e-mail aos administradores do sistema. Se essa
configuração for nova para uma condição de notificação, ela estará inativa por
padrão para todas as condições existentes desse tipo que sucedam o upgrade.
Quando um tipo padrão de condição de notificação não tiver sido adicionado em
uma instalação anterior, essa condição de notificação será adicionada na instalação
com upgrade. Porém, o processo de upgrade não poderá determinar que condições
padrão de notificação teriam sido excluídas deliberadamente pelo administrador
na instalação anterior. Com uma exceção, portanto, todas as configurações
seguintes de ação estarão inativas em cada condição padrão de notificação em
uma instalação com upgrade: Enviar e-mail aos administradores do sistema,

Registrar em log a notificação, Executar arquivo de lote e Enviar e-mail para.
Quando todas estas quatro ações estiverem inativas, a condição de notificação
não será processada, mesmo que a própria condição esteja presente. Os
administradores podem editar as condições de notificação para ativar algumas
ou todas estas configurações.
Nota que a condição de notificação Novo software-cliente é uma exceção: ela
poderá produzir notificações por padrão quando for adicionada durante o processo
de upgrade. Diferentemente de outras condições de notificação padrão, as
configurações das ações Registrar em log a notificação e Enviar um e-mail aos
administradores do sistema estarão ativas para esta condição.
Se a versão anterior do software não suportar licenças, uma condição de notificação
Expiração da licença de upgrade estará ativa.
Alguns tipos de condição de notificação não estão disponíveis nas versões
anteriores do software. Essas condições de notificação serão ativadas por padrão
quando o software receber upgrade.
Seção 4
Para gerenciar a proteção em
ambientes virtuais
■ Capítulo 27. Visão geral do Symantec Endpoint Protection e infraestruturas

virtuais
■ Capítulo 28. Para instalar e usar um Cache de inteligência compartilhado

baseado em rede
■ Capítulo 29. Para instalar o Appliance de segurança virtual e usar um Cache

de inteligência compartilhado ativado para vShield
■ Capítulo 30. Para usar a Exceção de imagem virtual
■ Capítulo 31. Infraestruturas da área de trabalho virtual não persistentes

704
Capítulo 27
Visão geral do Symantec
Endpoint Protection e
infraestruturas virtuais
■ Para usar o Symantec Endpoint Protection nas infraestruturas virtuais
■ Sobre o Cache de inteligência compartilhado
■ Sobre a ferramenta Exceção de imagem virtual
Para usar o Symantec Endpoint Protection nas

infraestruturas virtuais
O Symantec Endpoint Protection fornece o Cache de inteligência compartilhado
e recursos da Exceção de imagem virtual para infraestruturas virtuais, que podem
ser ativadas para melhorar o desempenho. Você precisa executar algumas tarefas
de instalação e configuração adicionais para ativar estes recursos.
706 Visão geral do Symantec Endpoint Protection e infraestruturas virtuais
Para usar o Symantec Endpoint Protection nas infraestruturas virtuais
Tabela 27-1 Recursos da infraestrutura virtual e seu uso
Recurso e uso Descrição
Use o Cache de inteligência O Cache de inteligência compartilhado controla os arquivos sabidamente

compartilhado para ignorar a limpos. O Cache de inteligência compartilhado pode reduzir a carga da
verificação dos arquivos sabidamente verificação eliminando a necessidade de verificar novamente esses arquivos.
limpos.
Você pode configurar os seguintes tipos de Cache de inteligência
compartilhado:
■ Cache de inteligência compartilhado ativado para vShield

Os clientes virtuais em uma infraestrutura do VMware vShield podem
usar o Cache de inteligência compartilhado ativado para vShield para
reduzir as cargas da verificação.
■ Cache de inteligência compartilhado baseado na rede
Os clientes virtuais que usam qualquer tipo da infraestrutura virtual
podem usar um Cache de inteligência compartilhado baseado na rede
para reduzir as cargas da verificação.
Nota: A Symantec suporta o uso de Cache de inteligência compartilhado
ativado para vShield somente para infraestruturas VMware.
Consulte “Sobre o Cache de inteligência compartilhado ” na página 707.
Consulte “O que preciso fazer para usar o Cache de inteligência

compartilhado ativado para vShield?” na página 726.
Consulte “O que preciso fazer para usar o Cache de inteligência

compartilhado baseado na rede?” na página 710.
Use a ferramenta Exceção de imagem A ferramenta Exceção de imagem virtual permite marcar arquivos de
virtual de modo que os clientes possam imagem base como seguros para que as verificações ignorem esses arquivos
ignorar a verificação de arquivos de e reduzam as cargas da verificação.
imagem base. Nota: A Symantec não suporta o uso da ferramenta Exceção de imagem
virtual em um ambiente físico.
Consulte “Sobre a ferramenta Exceção de imagem virtual” na página 708.
Configure o recurso de infraestruturas Os clientes do Symantec Endpoint Protection têm uma configuração para
de área de trabalho virtual não indicar que são clientes virtuais não persistentes. Você pode configurar
persistente. um período de duração separado para as GVMs off-line em infraestruturas
de área de trabalho virtual não persistente. O Symantec Endpoint Protection
Manager remove clientes GVM não persistentes que estiverem off-line por
mais tempo do que o período especificado.
Consulte “Para configurar um intervalo separado de apagamento para

clientes VDI off-line não persistentes” na página 752.
As tecnologias de proteção no Symantec Endpoint Protection Manager e no

Symantec Endpoint Protection funcionam tipicamente da mesma maneira em
Visão geral do Symantec Endpoint Protection e infraestruturas virtuais 707
Sobre o Cache de inteligência compartilhado
infraestruturas virtuais e em infraestruturas físicas. Você pode instalar, configurar

e usar clientes do Symantec Endpoint Protection Manager e do Symantec Endpoint
Protection em infraestruturas virtuais da mesma maneira que em infraestruturas
físicas.
Sobre o Cache de inteligência compartilhado

O uso do Cache de inteligência compartilhado melhora o desempenho em
infraestruturas virtuais. Arquivos que os clientes do Symantec Endpoint Protection
determinaram ser limpos são adicionados ao cache. As verificações subsequentes
que usam a mesma versão das definições de vírus podem ignorar os arquivos que
estão no Cache de inteligência compartilhado. O Cache de inteligência
compartilhado é usado somente para verificações agendadas e manuais.
O Cache de inteligência compartilhado é executado como um serviço Web
independente do cliente do Symantec Endpoint Protection. O Cache de inteligência
compartilhado usa um sistema de votação. Após um cliente usar o conteúdo mais
recente para verificar um arquivo e determinar se está limpo, o cliente enviará
um voto ao cache. Se o arquivo não estiver limpo, o cliente não enviará um voto.
Quando a contagem de votos para um arquivo for superior ou igual ao limite de
contagem de votos, o Cache de inteligência compartilhado considerará o arquivo
limpo. Quando outro cliente precisar subsequentemente verificar o mesmo arquivo,
esse cliente consultará primeiramente o Cache de inteligência compartilhado. Se
o arquivo for marcado como limpo para seu conteúdo atual, o cliente não verificará
esse arquivo.
Quando um cliente enviar um voto ao Cache de inteligência compartilhado, o
cache verificará a versão do conteúdo que o cliente usou para verificar o arquivo.
Se o cliente não tiver o conteúdo mais recente, o Cache de inteligência
compartilhado ignorará o voto. Se um conteúdo mais novo estiver disponível, esse
conteúdo será transformado em conteúdo conhecido mais recente e o Insight
compartilhado redefinirá a contagem de votos como um.
Para manter o tamanho do cache gerenciável, o Cache de inteligência
compartilhado usa um algoritmo de remoção. O algoritmo removerá primeiramente
as entradas mais antigas do cache, que são aquelas com o carimbo de hora mais
antigo. Este algoritmo assegura que o tamanho do cache não exceda o limite de
uso da memória.
Consulte “O que preciso fazer para usar o Cache de inteligência compartilhado
baseado na rede?” na página 710.
Consulte “O que preciso fazer para instalar um Appliance de segurança virtual?”
na página 727.
708 Visão geral do Symantec Endpoint Protection e infraestruturas virtuais
Sobre a ferramenta Exceção de imagem virtual

ativado para vShield?” na página 726.
na página 705.
Sobre a ferramenta Exceção de imagem virtual

A ferramenta Exceção de imagem virtual permite aos clientes ignorar a verificação
dos arquivos de imagem base para ameaças. Este recurso reduz a carga de recursos
na E/S do disco e na CPU.
O Symantec Endpoint Protection suporta o uso de Exceções de imagem virtual
para clientes gerenciados e clientes não gerenciados.
Nota: A Symantec não suporta o uso da ferramenta Exceção de imagem virtual

em ambientes físicos.
Consulte “Para usar a ferramenta Exceção de imagem virtual em uma imagem

base” na página 745.
na página 705.
Capítulo 28
Para instalar e usar um
Cache de inteligência
compartilhado baseado em
rede
■ O que preciso fazer para usar o Cache de inteligência compartilhado baseado

na rede?
■ Requisitos do sistema para implementar o Cache de inteligência compartilhado

baseado na rede
■ Para instalar e desinstalar um Cache de inteligência compartilhado baseado

em rede
■ Para ativar ou desativar o uso do Cache de inteligência compartilhado baseado

na rede
■ Para personalizar as configurações baseadas em rede do Cache de inteligência

compartilhado
■ Para interromper e iniciar o serviço do Cache de inteligência compartilhado
■ Para exibir eventos de log do Cache de inteligência compartilhado baseado na

rede
■ Para monitorar contadores de desempenho do Cache de inteligência

compartilhado baseado na rede
■ Solução de problemas no Cache de inteligência compartilhado

710 Para instalar e usar um Cache de inteligência compartilhado baseado em rede
O que preciso fazer para usar o Cache de inteligência compartilhado baseado na rede?
O que preciso fazer para usar o Cache de inteligência

compartilhado baseado na rede?
Você pode usar o Cache de inteligência compartilhado baseado na rede para
melhorar o desempenho da verificação.
Tabela 28-1 Tarefas para instalar e usar o Cache de inteligência compartilhado

baseado na rede
Etapa Tarefa
Etapa 1 Instale o Cache de inteligência compartilhado.
Consulte “Requisitos do sistema para implementar o Cache de inteligência

compartilhado baseado na rede” na página 710.
Consulte “Para instalar e desinstalar um Cache de inteligência compartilhado

baseado em rede” na página 711.
Etapa 2 Na política do vírus e spyware no Symantec Endpoint Protection Manager, ative

seus clientes virtuais para usar o Cache de inteligência compartilhado.
Consulte “Para ativar ou desativar o uso do Cache de inteligência compartilhado

Após instalar o Cache de inteligência compartilhado, você poderá opcionalmente

fazer as tarefas a seguir:
■ Personalizar as configurações de serviço, cache ou log do Cache de inteligência
compartilhado.
Consulte “Para personalizar as configurações baseadas em rede do Cache de
inteligência compartilhado” na página 715.
■ Exibir eventos relacionados no log.
Consulte “Para exibir eventos de log do Cache de inteligência compartilhado
■ Usar o Gerenciador de desempenho do Windows para monitorar o desempenho.
Consulte “Para monitorar contadores de desempenho do Cache de inteligência
Requisitos do sistema para implementar o Cache de

inteligência compartilhado baseado na rede
A Tabela 28-2 descreve os requisitos mínimos do sistema de que uma infraestrutura
virtual precisa para executar o Cache de inteligência compartilhado.
Para instalar e usar um Cache de inteligência compartilhado baseado em rede 711
Para instalar e desinstalar um Cache de inteligência compartilhado baseado em rede
Tabela 28-2 Requisitos do sistema do Cache de inteligência compartilhado

baseado na rede
Requisito Descrição
Software ■ Windows Server 2003/2008

■ .NET Framework 4
CPU O Cache de inteligência compartilhado deve ser instalado em um servidor

ou máquina virtual dedicado.
Memória Mínimo de 2 GB
Espaço livre em Mínimo de 100 MB

disco

Consulte “Para instalar e desinstalar um Cache de inteligência compartilhado
baseado em rede” na página 711.
Para instalar e desinstalar um Cache de inteligência

compartilhado baseado em rede
Antes de instalar o Cache de inteligência compartilhado, assegure-se de que
cumpriu todos os requisitos do sistema e que fez logon como administrador do
Windows.
Consulte “Requisitos do sistema para implementar o Cache de inteligência
Nota:
Para instalar o Cache de inteligência compartilhado baseado na rede

1 Em Ferramentas, no disco do produto Symantec Endpoint Protection, navegue
até a pasta Virtualization/SharedInsightCache.
2 Clique duas vezes no seguinte arquivo para iniciar o programa de instalação:
SharedInsightCacheInstallation.msi
Nota: Ou você pode digitar o comando a seguir, para iniciar o mesmo programa
de instalação:
msiexec /i SharedInsightCacheInstallation.msi
Para instalar e desinstalar um Cache de inteligência compartilhado baseado em rede
3 No painel do assistente ConfiguraçãodoCachedeinteligênciacompartilhado,

clique em Avançar.
4 Leia o acordo de licença de software da Symantec, marque Aceito os termos
do contrato de licença e depois clique em Avançar.
5 No painel Pasta de destino, realize uma das seguintes tarefas:
■ Clique em Avançar para aceitar o local padrão para o Cache de inteligência
compartilhado.
■ Clique em Alterar, procure e selecione uma pasta de destino diferente,
clique em OK e clique em Avançar.
6 No painel Configurações do Cache de inteligência compartilhado, especifique

as seguintes configurações do Cache de inteligência compartilhado:
Uso do cache (% da memória física) O tamanho máximo do cache.
Quando o cache exceder este limite, o Cache

de inteligência compartilhado cortará o
tamanho do cache.
Porta de escuta A porta na qual o servidor faz a escuta.
Porta de escuta do status A porta que o servidor usa para comunicar

o status no sistema.
7 Clique em Instalar.
8 Quando a instalação estiver concluída, clique em Concluir.
Desinstalar o Cache de inteligência compartilhado tem o mesmo efeito que
interromper o serviço do Cache de inteligência compartilhado. Se não tiver certeza
de que deseja desinstalar permanentemente o Cache de inteligência compartilhado,
será possível interromper o serviço.
Consulte “Para interromper e iniciar o serviço do Cache de inteligência
compartilhado” na página 719.
Para ativar ou desativar o uso do Cache de inteligência compartilhado baseado na rede
Nota: Para desinstalar o Cache de inteligência compartilhado, use o painel de

controle do Windows apropriado, tal como Adicionar ou Remover Programas.
Você deve ter direitos de administrador do Windows para desinstalar o Cache de
inteligência compartilhado.
Se você desinstalar o Cache de inteligência compartilhado, convém desativá-lo
no Symantec Endpoint Protection Manager. Desativar o Cache de inteligência
compartilhado impede que o log de eventos do Windows receba notificações cada
vez que os clientes não puderem contatar o cache.
Para ativar ou desativar o uso do Cache de

inteligência compartilhado baseado na rede
Para uma comunicação através da rede, por padrão o Cache de inteligência
compartilhado não usa nenhuma autenticação e nenhum SSL. A configuração
padrão da senha é nula. Ou seja, a senha está vazia. Se mudar as configurações
do Cache de inteligência compartilhado com autenticação SSL ou Básica sem SSL,
você deverá especificar um nome de usuário e uma senha que possam acessar o
Cache de inteligência compartilhado.
Você também pode mudar uma senha de autenticação definida pelo usuário. Mas,
se você alterá-la, será necessário especificar o nome de usuário e a senha de
autenticação no Symantec Endpoint Protection Manager para que os clientes
possam se comunicar com o Cache de inteligência compartilhado.
Para ativar o uso do Cache de inteligência compartilhado baseado na rede
1 No console do Symantec Endpoint Protection Manager, abra a Política de
proteção contra vírus e spyware apropriada e clique em Miscelânea.
2 Clique na guia Cache de inteligência compartilhado.
3 Selecione Ativar Cache de inteligência compartilhado.
4 Clique em Cache de inteligência compartilhado usando a rede.
Para ativar ou desativar o uso do Cache de inteligência compartilhado baseado na rede
5 Se você tiver ativado o SSL como parte das configurações do servidor do Cache
de inteligência compartilhado no arquivo de configuração, clique em Exigir
SSL.
Se ativar o SSL, você deverá também configurar seus clientes para se
comunicarem com o Cache de inteligência compartilhado adicionando o
certificado de servidor do Cache de inteligência compartilhado ao
armazenamento confiável de autoridades de certificado confiável para o
computador local. Caso contrário, a comunicação entre os clientes e o Cache
de inteligência compartilhado falhará.
Para obter informações sobre como adicionar um certificado de servidor,
consulte a documentação do Active Directory.
6 Na caixa Nome do host, digite o nome do host no qual você instalou o Cache
de inteligência compartilhado.
7 Na caixa Porta, digite o número da porta do Cache de inteligência
compartilhado.
8 Opcionalmente, se você configurou a autenticação para o Cache de inteligência
compartilhado, na caixa Nome de usuário, digite o nome de usuário.
9 Opcionalmente, se você configurou a autenticação para o Cache de inteligência
compartilhado, clique em Alterar senha para alterar a senha padrão (nula)
pela senha criada para a autenticação.
10 Nas caixas de diálogo Nova senha e Confirmar senha, digite a nova senha.
Deixe esses campos vazios se não quiser usar uma senha.
11 Clique em OK.
Para desativar a utilização do Cache de inteligência compartilhado baseado na rede
2 Clique na guia Cache de inteligência compartilhado.
3 Desmarque Ativar Cache de inteligência compartilhado.
4 Clique em OK.
Para personalizar as configurações baseadas em rede do Cache de inteligência compartilhado
Para personalizar as configurações baseadas em rede

do Cache de inteligência compartilhado
Depois de instalar o Cache de inteligência compartilhado, será possível personalizar
suas configurações no arquivo de configuração.
O arquivo de configuração é um arquivo XML que segue os padrões de configuração
de aplicativos .NET Framework. O Cache compartilhado do Insight não será iniciado
se houver uma configuração inválida, como XML inválido, tipos incorretos de
valor ou ausência de valores necessários.
Para obter mais informações, clique no seguinte link:
Configuration Editor Tool (SvcConfigEditor.exe)
A Tabela 28-3 descreve as opções que você pode configurar.
Tabela 28-3 Opções de configuração do Cache de inteligência compartilhado
Opção e valor padrão Descrição e comentários
Porta de escuta do Porta que o serviço monitora.

serviço do cache
Se a faixa não estiver entre 0 - 65535, o serviço não será iniciado.
O valor padrão é 9005.
O serviço não será iniciado se não puder monitorar a porta especificada.
<endpoint address="http://localhost:9005/1"
Por padrão, o servidor do Cache de inteligência compartilhado monitora todos os endereços

IP. Para configurar os endereços IP de escuta para serviços HTTP ou HTTPS, é necessário
usar HttpCfg.exe (Windows 2003) ou Netsh.exe (Windows 2008). O Cache de inteligência
compartilhado escuta nos endereços IP que você especificou na Lista de escuta de IP
modificada por essas ferramentas.
O Netsh.exe é incluído no Windows 2008. Você pode instalar o HttpCfg.exe através do

disco de instalação do Windows 2003. O instalador está localizado no seguinte caminho:
\Support\Tools\Suptools.msi
Para obter mais informações, clique no link:
Configuring HTTP and HTTPS
Porta de escuta do Porta que o serviço monitora.

serviço do status
O serviço não começará se a faixa não estiver entre 0 e 65535.
O serviço não será iniciado se não puder monitorar a porta especificada.
Contagem de votos Número dos clientes que devem verificar se o arquivo está limpo antes que o Cache de
inteligência compartilhado use os resultados.
O valor deve ser inferior ou igual a 15. Se o valor for superior a 15, o servidor usará o valor
padrão.
<cache.configuration vote.count="1"
Tamanho do corte Porcentagem do uso da memória a ser removida do cache quando este atingir o limite de
uso da memória.
O valor deve estar entre 10 e 100. Se o valor não estiver entre 10 e 100, o servidor usará o
valor padrão.
Nota: A Symantec recomenda que você mantenha o tamanho de remoção padrão.
prune.size="10"
Uso da memória A porcentagem do tamanho do cache antes que o Cache de inteligência compartilhado
comece a remover o cache.
Deve ser superior ou igual a 10.
mem.usage="50"
Arquivo de log Um arquivo para o log do Cache de inteligência compartilhado.
O valor padrão é <filevalue="CacheServer.log" />

install_folder/
CacheServer.log
Nível de log ALL
O valor padrão é ERRO. DEBUG

INFO
WARN
ERROR
FATAL
OFF
Um valor OFF indica que o Cache de inteligência compartilhado não registrou em log
nenhuma mensagem.
<level value="ERROR" />
Consulte “Para exibir eventos de log do Cache de inteligência compartilhado baseado na

rede” na página 719.
Tamanho do log O tamanho do log (em bytes) até que o Cache de inteligência compartilhado sobreponha
o log.
<maximumFileSizevalue="10000" />
Backups do log Número de logs sobrepostos a serem mantidos antes que o log mais antigo seja excluído.
O valor padrão é 1. Um valor de 0 indica que o Cache compartilhado do Insight não retém nenhum backup.
Um valor negativo indica que o Cache de inteligência compartilhado retém um número
ilimitado de backups.
<maxSizeRollBackupsvalue="1" />
Ativar SSL Por padrão, o Cache de inteligência compartilhado é configurado sem autenticação e sem
SSL. Ele pode ser alterado para autenticação básica com SSL, sem autenticação com SSL
Ativar autenticação
ou autenticação básica sem SSL.
<webHttpBinding>
<bindingname="CacheServerBinding">





<securitymode="None">
<transportclientCredentialType="Basic"/>
</security>
</binding>
</webHttpBinding>
Consulte “Para ativar ou desativar o uso do Cache de inteligência compartilhado baseado

na rede” na página 713.
Para personalizar as configurações do Cache de inteligência compartilhado

1 Encontre e abra o seguinte arquivo:
Pasta de instalação\SharedInsightCacheInstallation.exe.config
2 Faça as alterações conforme a necessidade.

Para interromper e iniciar o serviço do Cache de inteligência compartilhado
3 Salve suas alterações e feche o arquivo.

4 Reinicie o serviço do Cache de inteligência compartilhado.
Você deve reiniciar o serviço do Cache de inteligência compartilhado para
mudanças em todas as configurações, exceto no nível de log, para que entrem
em vigor.
compartilhado” na página 719.
Para interromper e iniciar o serviço do Cache de

inteligência compartilhado
Talvez seja necessário interromper o serviço do Cache de inteligência
compartilhado temporariamente para solucionar um problema. Uma vez resolvido
o problema, é possível reiniciar o serviço. Você pode iniciar e interromper o serviço
do Gerenciador de controle de serviço.
Desinstalar o Cache de inteligência compartilhado tem o mesmo efeito que
interromper o serviço do Cache compartilhado do Insight. Se não tiver certeza de
que deseja desinstalar permanentemente o Cache de inteligência compartilhado,
será possível interromper o serviço.
Você deverá ter direitos de administrador do Windows para interromper o serviço
do Cache de inteligência compartilhado.
Consulte “Solução de problemas no Cache de inteligência compartilhado ”
na página 722.
Para exibir eventos de log do Cache de inteligência

compartilhado baseado na rede
Você pode exibir o arquivo de log do Cache de inteligência compartilhado para
visualizar todos os eventos que o Cache de inteligência compartilhado criar. O
arquivo de log é situado na pasta de instalação e nomeado CacheServer.log.
O Cache de inteligência compartilhado gera logs no seguinte formato:
[|] %thread | %d{MM/dd/yyyyHH:mm:ss} | %level | %logger{2} | %message [-]%newline
Por exemplo:
Para exibir eventos de log do Cache de inteligência compartilhado baseado na rede
[|] 4 | 12/15/2010 10:51:37 | INFO | CacheServerService.Service | Started service [-]
Modifique o arquivo de configuração para especificar o nível do log que você deseja
usar para o Cache de inteligência compartilhado.
A Tabela 28-4 descreve os níveis que você pode definir.
Tabela 28-4 Níveis de log do Cache de inteligência compartilhado baseado na

rede
Nível de log Descrição
OFF OFF indica que nenhum incidente foi registrado em log.
FATAL As mensagens FATAL exigem executar uma ação. Essas mensagens são
os erros que causam a interrupção do Cache de inteligência compartilhado.
Por exemplo, uma mensagem FATAL pode indicar que o endereço IP do

servidor não está disponível, o que significa que o Cache de inteligência
compartilhado não pode ser executado.
ERROR As mensagens ERROR exigem executar uma ação, mas o processo continua
a ser executado. São erros no sistema que fazem o Cache de inteligência
compartilhado falhar ou perder funcionalidade.
Você também recebe todas as entradas de log de mensagens FATAL.
Este nível é padrão do registro em log.
WARN Mensagens WARN indicam um comportamento do Cache de inteligência

compartilhado que pode ser indesejável, mas não o fará falhar.
Você também recebe todas as entradas de log de mensagens FATAL e de

mensagens ERROR.
INFO As mensagens INFO descrevem as ações gerais ou fornecem as informações

sobre o Cache de inteligência compartilhado. Podem indicar o estado do
sistema e ajudar a validar o comportamento ou localizar problemas. Porém,
não têm a função de relatar itens que exijam ação.
Por exemplo, uma mensagem informativa pode indicar que o corte do

cache foi concluído. A mensagem não detalha um problema. Ela apenas
registra em log o comportamento.
Você também recebe todas as entradas de log de mensagens FATAL, de

mensagens ERROR e de mensagens WARN.
DEBUG As mensagens de nível de log DEBUG e ALL apresentam os mesmos

resultados. Estes níveis de log são projetados para dar suporte à solução
ALL
de problemas com o Cache compartilhado do Insight.
Você recebe também todas as entradas de log para todos os outros níveis
de log.
Para monitorar contadores de desempenho do Cache de inteligência compartilhado baseado na rede
Aumente o nível de log apenas quando for necessário solucionar problemas no

Cache de inteligência compartilhado. Quando aumentar o nível de log, você passará
a aumentar significativamente o tamanho de seu arquivo de log. Quando você
solucionar o problema, retorne para o nível de log ERROR.
Para exibir eventos do Cache de inteligência compartilhado no log
◆ Vá para o seguinte local:
Pasta de instalação/CacheServer.log

Para monitorar contadores de desempenho do Cache

de inteligência compartilhado baseado na rede
Você pode exibir estatísticas do Cache de inteligência compartilhado baseado na
rede no Monitor de desempenho do Windows. O serviço de Cache de inteligência
compartilhado deve estar em execução para exibir os contadores do desempenho.
Tabela 28-5 Estatísticas do Cache de inteligência compartilhado
Estatística Descrição
O número de itens no cache Este número representa o número atual de itens

no cache.
O número de itens no cache que foram Este número representa o número atual de itens
votados como limpos no cache, que receberam votos de limpos.
Número de solicitações do cache O número de solicitações de cache que foram

feitas ao serviço do Cache de inteligência
compartilhado.
Este é apenas o número de solicitações válidas

que receberam uma resposta 200. Este contador
não persiste através das reinicializações do
serviço.
Número de solicitações de atualização O número de solicitações de atualização que foram

feitas ao serviço.
Este número refere-se apenas às solicitações

válidas que receberam uma resposta 200. Este
contador não persiste através das reinicializações
do serviço.
Solução de problemas no Cache de inteligência compartilhado
Para monitorar contadores de desempenho do Cache de inteligência compartilhado

baseado na rede
1 No prompt de comando, digite o seguinte comando:
perfmon
2 Na janela Desempenho, clique com o botão direito do mouse no gráfico.

3 Selecione Adicionar contadores.
4 Na lista suspensa Objeto de desempenho, selecione Cache de inteligência
compartilhado.
5 Selecione os contadores que deseja exibir e clique em Adicionar.
6 Clique em Fechar.
Os contadores do Cache de inteligência compartilhado que você selecionou
aparecem no gráfico de desempenho.
Para obter mais informações sobre como usar o monitor de desempenho do
Windows, consulte a documentação do Windows.
Consulte “Solução de problemas no Cache de inteligência compartilhado ”
na página 722.
Solução de problemas no Cache de inteligência

compartilhado
A Tabela 28-6 fornece sugestões para como para solucionar problemas com o
Cache de inteligência compartilhado.
Tabela 28-6 Solução de problemas do Cache de inteligência compartilhado
Problema Explicação/solução
Problemas com os Reinicie o serviço.

resultados do cache
Consulte “Para interromper e iniciar o serviço do Cache de
Problema Explicação/solução
O Cache de O Cache de inteligência compartilhado não retorna nenhuma

inteligência resposta do resultado quando falha para executar com êxito uma
compartilhado consulta do cache. Se o cliente solicitar uma consulta do cache, a
retorna uma resposta inexistência de resultados significará que o arquivo deverá ser
“nenhum resultado” submetido a uma verificação de vírus.
Nota: O Cache de inteligência compartilhado retornará uma
resposta de êxito mesmo quando falhar para executar com êxito
uma atualização do cache. O motivo é que o cliente não precisa
executar uma ação diferente quando uma falha ocorre.
Problemas suspeitos Exiba o log de erros do tráfego de HTTP. Os erros do tráfego de

com tráfego de HTTP HTTP são registrados em log no seguinte local:
%Windir%\System32\Logfiles\HTTPERR
Consulte “Para exibir eventos de log do Cache de inteligência compartilhado

Consulte “Para monitorar contadores de desempenho do Cache de inteligência
Capítulo 29
Para instalar o Appliance de
segurança virtual e usar um
Cache de inteligência
compartilhado ativado para
vShield
■ O que preciso fazer para usar o Cache de inteligência compartilhado ativado

para vShield?
■ O que preciso fazer para instalar um Appliance de segurança virtual?
■ Sobre o Appliance de segurança virtual do Symantec Endpoint Protection
■ Requisitos do software VMware para instalar o Appliance de segurança virtual

da Symantec
■ Requisitos do software de VMware para máquinas virtuais convidadas
■ Para configurar o arquivo de configurações de instalação do Appliance de

segurança virtual do Symantec Endpoint Protection
■ Para instalar o Appliance de segurança virtual do Symantec Endpoint Protection
■ Para ativar clientes do Symantec Endpoint Protection para usar o Cache de

inteligência compartilhado ativado para vShield
726 Para instalar o Appliance de segurança virtual e usar um Cache de inteligência compartilhado ativado para vShield
O que preciso fazer para usar o Cache de inteligência compartilhado ativado para vShield?
■ Para interromper e iniciar o serviço do Cache de inteligência compartilhado

ativado para vShield
■ Comandos de serviço para o Cache de inteligência compartilhado ativado para

vShield
■ Configurações do arquivo de configuração para um Cache de inteligência

compartilhado ativado para vShield
■ Sobre o log de eventos do Cache de inteligência compartilhado ativado para

vShield
■ Para desinstalar o Appliance de segurança virtual do Symantec Endpoint

Protection
O que preciso fazer para usar o Cache de inteligência

compartilhado ativado para vShield?
Um Cache de inteligência compartilhado ativado para vShield é executado no
Appliance de segurança virtual do Symantec Endpoint Protection. As máquinas
virtuais convidadas (GVMs, Guest Virtual Machines) baseadas em Windows usam
o VMware vShield Endpoint para acessar o Cache de inteligência compartilhado.
Nota: A Symantec suporta o uso de um Cache de inteligência compartilhado ativado

para vShield somente em infraestruturas de VMware ESX/ESXi.
Tabela 29-1 Tarefas que você precisa executar para usar um Cache de
Etapa Tarefa
Etapa 1 Instalar o Appliance de segurança virtual em um host de ESX/ESXi.
Consulte “O que preciso fazer para instalar um Appliance de segurança

virtual?” na página 727.
Etapa 2 Instalar o driver de VMware EPSEC em cada GVM de modo que possam se
comunicar com o Appliance de segurança virtual.
Consulte “Requisitos do software de VMware para máquinas virtuais

convidadas” na página 730.
Para instalar o Appliance de segurança virtual e usar um Cache de inteligência compartilhado ativado para vShield 727
O que preciso fazer para instalar um Appliance de segurança virtual?
Etapa Tarefa
Etapa 3 Ativar as GVMs (clientes) para usar o Cache de inteligência compartilhado.

Execute esta tarefa da Política de proteção contra vírus e spyware no
Consulte “Para ativar clientes do Symantec Endpoint Protection para usar
o Cache de inteligência compartilhado ativado para vShield” na página 737.
Após ativar os clientes da GVM para usar um Cache de inteligência compartilhado

ativado para vShield, você poderá opcionalmente configurar notificações do
administrador para os Appliances de segurança virtual que ficam off-line.
O que preciso fazer para instalar um Appliance de

segurança virtual?
Um Cache de inteligência compartilhado ativado para vShield é executado no
Appliance de segurança virtual do Symantec Endpoint Protection. Você deve
instalar o appliance de modo que as Máquinas virtuais convidadas (GVMs, Guest
Virtual Machines) com base no Windows possam usar o Endpoint vShield da
VMware para acessar o Cache de inteligência compartilhado.
Nota: A Symantec suporta o uso do Appliance de segurança virtual somente em

infraestruturas VMware ESX/ESXi.
Tabela 29-2 Tarefas que você precisa executar para instalar o Appliance de
segurança virtual do Symantec Endpoint Protection
Etapa Tarefa
Etapa 1 Instale e configure o software VMware de pré-requisito de que você precisa.
Consulte “Requisitos do software VMware para instalar o Appliance de

segurança virtual da Symantec” na página 729.
Para obter informações sobre como instalar e configurar o software de

VMware, consulte sua documentação de VMware.
Sobre o Appliance de segurança virtual do Symantec Endpoint Protection
Etapa Tarefa
Etapa 2 No Symantec Endpoint Protection Manager, exporte o arquivo de

configurações de comunicação do grupo de clientes que você planeja usar
em suas Máquinas virtuais convidadas (GVMs, Guest Virtual Machines).
Você deve ter este arquivo para instalar o Appliance de segurança virtual.
Consulte “Para exportar manualmente o arquivo de comunicação

Etapa 3 Atualize o arquivo de configurações da instalação com as informações que

o executável de instalação exige para instalar o Appliance de segurança
virtual no host de ESXi.
Consulte “Para configurar o arquivo de configurações de instalação do

Appliance de segurança virtual do Symantec Endpoint Protection”
na página 731.
Etapa 4 Instale o Appliance de segurança virtual no host de ESX/ESXi.
Consulte “Para instalar o Appliance de segurança virtual do Symantec

Após instalar o Appliance de segurança virtual, você poderá ativar um Cache de

inteligência compartilhado ativado para vShield para suas GVMs usarem.
Sobre o Appliance de segurança virtual do Symantec

Endpoint Protection
O Appliance de segurança virtual do Symantec Endpoint Protection é um appliance
virtual baseado em Linux você instala em um servidor VMware ESX/ESXi. O
Appliance de segurança virtual integra-se ao vShield Endpoint da VMware. O
Cache de inteligência compartilhado é executado no appliance e permite que
máquinas virtuais convidadas (GVMs, Guest Virtual Machines) baseadas em
Windows compartilhem os resultados da verificação. Os arquivos idênticos são
confiados e, consequentemente, ignorados em todas as GVMs no host ESX/ESXi.
O Cache de inteligência compartilhado melhora o desempenho da verificação
completa reduzindo a E/S do disco e o uso da CPU.
Nota: Você deverá instalar o Appliance de segurança virtual em cada host ESX/ESXi
se quiser que as GVMs acessem o Cache de inteligência compartilhado.
Requisitos do software VMware para instalar o Appliance de segurança virtual da Symantec
Figura 29-1 Arquitetura do Appliance de segurança virtual do Symantec Endpoint

Protection
Symantec Symantec Symantec

Shared
Endpoint Endpoint Endpoint
Insight Protection Protection Protection
Cache Client Client Client
VMware vShield
Security Guest Guest Guest

Virtual Virtual Virtual Virtual
Appliance Machine Machine Machine
VMware ESXi Host
O appliance estará concluído e pronto para uso assim que você o instalar. O
appliance inclui o Cache de inteligência compartilhado.
Consulte “Requisitos do software VMware para instalar o Appliance de segurança
virtual da Symantec” na página 729.
na página 727.
Requisitos do software VMware para instalar o

Appliance de segurança virtual da Symantec
A Tabela 29-3 descreve os componentes do VMware que você deve ter instalados
para que seja possível instalar o Appliance de segurança virtual. Depois de instalar
o appliance, você poderá ativar o Cache de inteligência compartilhado ativado
para vShield para que as máquinas virtuais convidadas possam usá-lo.
Requisitos do software de VMware para máquinas virtuais convidadas
Tabela 29-3 Requisitos e pré-requisitos do software VMware para instalar um

Appliance de segurança virtual
Software-servidor Uma das seguintes versões:

do VMware ESXi
■ ESX 4.1, com patch ESX410-201107001
■ ESXi 5.0 Atualização 1
Software do ■ VMware vShield Manager 5.0 Atualização 1

produto vShield da ■ VMware vShield Endpoint 5.0 Atualização 1
VMware
Nota: Você deve usar o vShield Manager 5.0 Atualização 1 para
implementar o vShield Endpoint 5.0 Atualização 1 em cada host que
quer gerenciar.
Para obter mais informações sobre como usar o VMware vShield

Endpoint 5.0 Atualização 1, veja a seguinte página da Web:
Using vShield Endpoint 5.0 and vShield Data Security 5.0 with vSphere
4.1 (em inglês)
Nota: O Java Runtime Environment 7 ou superior é necessário para executar a

ferramenta de instalação do Appliance de segurança virtual.
Consulte “Para instalar o Appliance de segurança virtual do Symantec Endpoint

na página 727.
Consulte “Requisitos do software de VMware para máquinas virtuais convidadas”
na página 730.
Requisitos do software de VMware para máquinas

virtuais convidadas
A Tabela 29-4 descreve os requisitos de máquinas virtuais convidadas para usar
o Cache de inteligência compartilhado do Insight com base no vShield no Appliance
de segurança virtual da Symantec.
Para configurar o arquivo de configurações de instalação do Appliance de segurança virtual do Symantec Endpoint
Protection
Tabela 29-4 Requisitos de VMware para máquinas virtuais convidadas
Máquinas virtuais O driver EPSEC 2.0 deve ser instalado em todas as GVMs.
convidadas (GVMs,
Em GVMs hospedadas pelo ESX 4.1 com patch ESX410-201107001
Guest Virtual
aplicado, faça o download do driver EPSEC localmente e execute o
Machines)
instalador na máquina virtual
Nas GVMs hospedadas pelo ESXi 5.0 atualização 1, execute um destes

procedimentos:
■ Faça o download do driver EPSEC localmente e execute o instalador

na máquina virtual ou
■ Use o instalador das ferramentas de VMware para instalar o driver
EPSEC.
Nota: Execute uma instalação personalizada e selecione os drivers do
vShield em Drivers do dispositivo VMware/Drivers VMCI ou execute
uma instalação completa.

Para configurar o arquivo de configurações de

instalação do Appliance de segurança virtual do
É necessário configurar o arquivo SVA_InstallSettings.xml para instalar o
Appliance de segurança virtual. Este arquivo é situado na pasta
Virtualization\SecurityVirtualAppliance do disco do produto Ferramentas.
Nota: Todas as configurações são obrigatórias para a instalação, a menos que

explicitamente marcadas como opcional.
Protection
Tabela 29-5 Configurações do arquivo de instalação do Appliance de segurança

virtual
Informações do VMware Defina o endereço IP, o nome de usuário e a senha do VMware vCenter para a
vCenter instalação do Appliance de segurança virtual.
■ Endereço IP <vCenter>
■ Nome do usuário <ip_address>192.168.x.x</ip_address>
■ Senha <username>username</username>

</vCenter>
Nota: O nome de usuário e a senha do administrador do vCenter são necessários

para instalar Appliance de segurança virtual. Se você não configurar a senha nesse
arquivo de configurações, a instalação solicitará a senha.
Observe que para instalar ou desinstalar o Appliance de segurança virtual, a conta

de administrador do vCenter que você usar deverá ter permissões nas seguintes
categorias de privilégios:
■ Armazenamento de dados (todos os privilégios)

■ Rede (todos os privilégios)
■ vApp (todos os privilégios)
■ Máquina virtual (todos os privilégios)
■ Global > Cancelar tarefa
Você não pode definir estas permissões no arquivo de configurações de instalação

do Appliance de segurança virtual do Symantec Endpoint Protection.
Informações do Gerenciador Defina o endereço IP, o nome de usuário e a senha do VMware vShield Manager para
do VMware vShield a instalação do Appliance de segurança virtual.
■ Endereço IP Nota: As credenciais de administrador do vShield são necessárias para instalar o

■ Nome do usuário Appliance de segurança virtual. Se você não configurar a senha nesse arquivo de
■ Senha configurações, a instalação solicitará a senha.
<vShield>
<ip_address>192.168.x.y</ip_address>
<username>admin</username>

</vShield>
Protection
Configurações da instalação Forneça informações que guiem a instalação do Appliance de segurança virtual.
■ O local do arquivo OVA do O pacote de instalação é o arquivo OVA do Appliance de segurança virtual do Symantec
Appliance de segurança Endpoint Protection que você obtém por download no File Connect, em
virtual do Symantec https://fileconnect.symantec.com. Para acessar o File Connect, você precisa do número
Endpoint Protection de série de ativação que faz parte de seu certificado de licença disponível.
■ Endereço IP do host ESXi
O arquivo sylink.xml contém as configurações de comunicação do grupo de clientes
■ Local do arquivo que você exportou do Symantec Endpoint Protection Manager.
sylink_xml
Consulte “Para exportar manualmente o arquivo de comunicação cliente-servidor”
■ Prompt do
na página 762.
armazenamento de dados
Você poderá mudar o prompt do armazenamento de dados para zero se quiser instalar
automaticamente no primeiro armazenamento de dados do host ESXi.
<Installation>
<location_of_package>caminho do arquivo OVA</location_of_package>
<esx_ip_address>192.168.x.z</esx_ip_address>
<sylink_xml>./sylink.xml</sylink_xml>
<datastore_prompt>1</datastore_prompt>
</Installation>
Para instalar o Appliance de segurança virtual do Symantec Endpoint Protection
Informações do Appliance de Defina o nome do host do Appliance de segurança virtual. O nome do host deve ser
segurança virtual exclusivo no vCenter. O nome do host é limitado a caracteres alfanuméricos e ao
caractere hífen.
■ Nome do host SVA
■ Senha do administrador O nome de uma conta de login do Appliance de segurança virtual é admin.
do SVA Nota: Se você não configurar a senha da conta de administrador nesse arquivo de
■ Configurações de rede do configurações, a instalação solicitará a senha.
SVA
(Opcional) Opcionalmente, você pode definir as configurações de rede do Appliance de segurança
■ Endereço IP virtual. Por padrão, as configurações de rede são comentadas e a instalação tem como
padrão o uso de DHCP. Você não precisa usar as configurações de rede para instalar
■ Gateway
o Appliance de segurança virtual.
■ Sub-rede
■ DNS Nota: Se quiser especificar uma das configurações de rede do Appliance de segurança
virtual, você deverá desfazer os comentários e especificar todos os quatro. Se você
especificar somente de uma a três das configurações de rede, a instalação falhará.
<sva>
<hostname>Symantec-SVA</hostname>
<admin_password>symantec</admin_password>

</sva>
Consulte “Para instalar o Appliance de segurança virtual do Symantec Endpoint

na página 727.
Para instalar o Appliance de segurança virtual do

Após cumprir os pré-requisitos, você poderá instalar o Appliance de segurança
virtual. Você usa a ferramenta de instalação do Appliance de segurança virtual
pela linha de comando. Você deverá instalar o Appliance de segurança virtual em
cada host ESXi se quiser que as GVMs no host usem o Cache de inteligência
compartilhado ativado para vShield.
Para instalar ou desinstalar o Appliance de segurança virtual, a conta de
administrador do vCenter que você usar deverá ter permissões nas seguintes
Nota: Como parte do processo de instalação, o Appliance de segurança virtual e

seu host ESXi associado registram-se no vShield Manager. Por este motivo, você
não deve usar o vMotion com o Appliance de segurança virtual. A melhor prática
é usar o utilitário sva_install.jar para desinstalar e reinstalar o Appliance de
segurança virtual.

Nota: O Java Runtime Environment 7 ou superior é necessário para executar a

ferramenta de instalação do Appliance de segurança virtual.
Para instalar o Appliance de segurança virtual

1 Em Ferramentas do disco do produto, encontre a pasta
Virtualization\SecurityVirtualAppliance.
2 Copie o conteúdo inteiro da pasta SecurityVirtualAppliance em um diretório

local.
Para conveniência, convém copiar os arquivos no mesmo local que o arquivo
sylink.xml que você exportou do Symantec Endpoint Protection Manager.
3 Configure o arquivo SVA_InstallSettings.xml.

O nome padrão do arquivo de comunicação que você exportou do Symantec
Endpoint Protection Manager é nome do grupo_sylink.xml. Certifique-se
de mudar o nome do caminho <sylink_xml> no arquivo
SVA_InstallSettings.xml para que corresponda ao nome do arquivo
exportado.
Consulte “Para configurar o arquivo de configurações de instalação do
Appliance de segurança virtual do Symantec Endpoint Protection”
na página 731.
4 Faça uma captura de imagem do vShield Manager. Durante a instalação, o
Appliance de segurança virtual registra-se no vShield Manager. Uma captura
de imagem assegura que você poderá reverter ao estado anterior, caso ocorra
algum problema da instalação do Appliance de segurança virtual.
5 Na linha de comando, digite o seguinte comando:
java -jar Symantec_SVA_Install.jar -s
nome_do_caminho/SVA_InstallSettings.xml
Por padrão, se houver mais de um armazenamento de dados disponível, a

instalação solicitará que você selecione um. Se houver mais de uma rede, a
instalação solicitará que você selecione uma.
Os erros e outros resultados da instalação são gravados no arquivo
SVA_Install.log. Este arquivo de log é criado no mesmo diretório onde você
executou o comando de instalação.
Nota: Em algumas instâncias, a gravação nesse diretório poderá falhar. Nestes

casos, o arquivo é gravado no diretório /temp e nomeado SVA_Installxxx.log, onde
o sistema substitui xxx por um número aleatório.
Você pode executar as seguintes ações para recuperar-se de uma instalação

incompleta ou anulada do Appliance de segurança virtual.
Para recuperar-se de uma instalação incompleta ou anulada
1 Verifique se o Appliance de segurança virtual está relacionado no host ESXi.
2 Se estiver relacionado, desative o Appliance de segurança virtual e exclua-o
do disco.
3 Reverta o vShield Manager à captura de imagem que você tomou antes de
tentar instalar o Appliance de segurança virtual.
4 Reinstale o Appliance de segurança virtual.
Para ativar clientes do Symantec Endpoint Protection para usar o Cache de inteligência compartilhado ativado para
vShield
Quando tiver instalado o Appliance de segurança virtual, você poderá fazer login
com a conta do administrador.
Para ativar clientes do Symantec Endpoint Protection

para usar o Cache de inteligência compartilhado
Para permitir que clientes usem um Cache de inteligência compartilhado ativado
para vShield
2 Na página Miscelânea, clique em Cache de inteligência compartilhado.
3 Selecione Ativar Cache de inteligência compartilhado.
4 Clique em Cache de inteligência compartilhado usando VMware vShield.
5 Clique em OK.
Para interromper e iniciar o serviço do Cache de

Após ter instalado um Appliance de segurança virtual, o serviço Cache de
inteligência compartilhado será iniciado automaticamente. Se você quiser mudar
as configurações no arquivo de configuração do Cache de inteligência
compartilhado, deverá interromper o serviço antes de editar o arquivo.
Para interromper o serviço do Cache de inteligência compartilhado ativado para
vShield
1 Faça login no Appliance de segurança virtual como administrador com a
senha que você atribuiu no arquivo de configurações da instalação.
2 Na linha de comando, digite o comando a seguir:
sudo stop vsic
Comandos de serviço para o Cache de inteligência compartilhado ativado para vShield
Para iniciar o serviço do Cache de inteligência compartilhado ativado para vShield

1 Faça login no Appliance de segurança virtual como administrador com a
senha que você atribuiu no arquivo de configurações da instalação.
sudo start vsic
Consulte “Configurações do arquivo de configuração para um Cache de inteligência

compartilhado ativado para vShield” na página 739.
Comandos de serviço para o Cache de inteligência

Para enviar comandos de serviço, você deve fazer logon no Appliance de segurança
virtual usando a conta do administrador. A senha padrão é symantec, mas você
foi alertado a mudar a senha na primeira vez em que fez logon.
A Tabela 29-6 resume os comandos que você pode usar.
Tabela 29-6 Comandos de serviço para o Cache de inteligência compartilhado

Comando Descrição
sudo start vsic Inicia o serviço Cache de inteligência compartilhado ativado para
vShield.
sudo stop vsic Interrompe o serviço Cache de inteligência compartilhado ativado

para vShield.
sudo restart vsic Se o serviço Cache de inteligência compartilhado ativado para

vShield estiver em execução, interrompa o serviço Cache de
inteligência compartilhado ativado para vShield e inicie-o
novamente.
sudo status vsic Retorna o status do serviço Cache de inteligência compartilhado

ativado para vShield.

Configurações do arquivo de configuração para um Cache de inteligência compartilhado ativado para vShield
Configurações do arquivo de configuração para um

Cache de inteligência compartilhado ativado para
vShield
O arquivo de configuração para um Cache de inteligência compartilhado ativado
para vShield é um arquivo XML que segue o padrão de configuração de aplicativos
.NET. O Cache de inteligência compartilhado não será iniciado se houver qualquer
configuração inválida, o que inclui XML inválido, tipos de valor incorretos ou
valores necessários ausentes.
O arquivo de configuração é nomeado SharedInsightCacheService.exe.config
e está localizado no diretório /etc/symantec.
Nota: A Symantec testou e otimizou as configurações padrão nesse arquivo para

desempenho e escalabilidade. A Symantec recomenda que você não modifique
essas configurações. Se sentir que tem uma razão convincente para fazê-lo,
recomendamos primeiramente entrar em contato com o Suporte da Symantec,
antes de fazer qualquer mudança.
Antes de fazer qualquer mudança no arquivo de configuração, crie uma cópia de

backup do arquivo. Você também deve lembrar-se de reiniciar o serviço do Cache
de inteligência compartilhado ativado para vShield depois de salvar as mudanças.
Tabela 29-7 Opções de configuração
Tamanho de corte do Cache Porcentagem de uso da memória a ser removida do cache quando este atingir o
limite de uso da memória.
prune.size="10"
O valor deve estar entre 10 e 100. Se o valor não estiver entre 10 e 100, o servidor
usará o valor padrão de 10.
Nota: Evite modificar esta configuração.
Uso da memória do Cache A porcentagem máxima de memória física permitida ao uso do serviço. Após
este valor ser atingido, o serviço cortará o cache.
mem.usage="50"
Este valor deve ser 10 ou superior.
Intervalo de remoção do cache O intervalo em segundos em que o serviço verifica para ver se o cache deve ser
cortado.
clean.interval="10"
Ativar registro em log das Definir como falso para desativar.

estatísticas de desempenho Nota: O atributo intervalo pode substituir esta configuração.
enabled="true"
Arquivo de log das estatísticas de O local do arquivo que coleta dados de desempenho.
desempenho
file="/data/Symantec/vSIC/
vSIC_Perf.csv"
Intervalo das estatísticas de O intervalo, em segundos, em que as estatísticas são registradas. Se definido
desempenho para 0, este atributo desativará a gravação e substituirá o atributo enabled=true.
interval="10"
Tamanho máximo do arquivo de O tamanho máximo em bytes que é permitido ao arquivo de saída alcançar antes
estatísticas de desempenho de ser enviado a um arquivo de backup. Você também pode especificar o tamanho
máximo em kilobytes, megabytes ou gigabytes. O valor 10 KB é interpretado
maxSize="1MB"
como 10.240 bytes.
Número de backups do arquivo das Se definido como zero, não haverá arquivos de backup e o arquivo de log será
estatísticas de desempenho truncado quando alcançar o tamanho máximo (atributo maxSize). Se este
atributo for definido como um número negativo, nenhuma exclusão será feita.
maxBackups="1"
Nota: Quando você reiniciar o serviço depois de fazer uma mudança no atributo
maxBackups, os arquivos de backup existentes serão sobrescritos. A Symantec
recomenda que você mova os arquivos de backup existentes para um novo local
antes de reiniciar o serviço.
Tabela 29-8 Descrição das opções de configuração do registro em log
Arquivo de log O arquivo em que o serviço registra em log as

informações sobre o Appliance de segurança virtual
file value="/data/log/Symantec/vSIC.log"
e o Cache de inteligência compartilhado ativado para
vShield.
Número de arquivos de backup que devem ser mantidos Se este atributo for definido como zero, não haverá
arquivos de backup e o arquivo de log será truncado
maxSizeRollBackups value="1"
quando atingir o valor do atributo maxSize.
Nota: Quando você reiniciar o serviço depois de fazer
uma mudança no atributo maxBackups, os arquivos
de backup existentes serão sobrescritos. A Symantec
recomenda que você mova os arquivos de backup
existentes para um novo local antes de reiniciar o
serviço.
Tamanho do log Tamanho do log (em bytes) antes do log mais antigo
ser excluído.
maximumFileSize value="10MB"
Ativar a opção local ou remota de registro em log Você pode ativar o registro em log do Syslog local ou
remoto desfazendo os comentários de uma das opções.
appender-ref ref="LocalSyslogAppender"
O Syslog não está ativado por padrão.
appender-ref ref="RemoteSyslogAppender"
Se você quiser registrar em log remotamente, tenha
certeza de definir o endereço IP do
RemoteSyslogAppender.
Endereço IP para o registro em log remoto Você precisará definir este endereço se ativar o
registro em log remoto.
remoteAddress value="192.168.x.y"
Nível de log ALL
level value="ERROR" DEBUG
INFO
WARN
ERROR
FATAL
OFF
Cada nível inclui também as mensagens dos níveis

mais críticos. Por exemplo, ERROR registra em log as
mensagens de nível ERROR e as mensagens FATAL.
O nível INFO inclui todas as mensagens exceto as
mensagens de depuração.
Nota: Defina o valor como OFF se você quiser
desativar registrar em log inteiramente.
Sobre o log de eventos do Cache de inteligência compartilhado ativado para vShield

Para obter informações sobre o padrão da configuração do aplicativo .NET, veja
a seguinte página da Web:
Configuration Editor Tool (SvcConfigEditor.exe)
Para obter mais informações sobre a configuração de log4net, veja a seguinte
página da Web:
Apache Logging Services
Sobre o log de eventos do Cache de inteligência

O Symantec Endpoint Protection registra em log os eventos de um Cache de
inteligência compartilhado integrado ao Endpoint vShield da VMware no arquivo
vSIC.log por padrão. Este arquivo é criado no diretório /data/log/Symantec por
padrão.
O registro em log está ativado por padrão e o nível é definido para ERROR. Você
pode mudar o nível de registro em log e outros atributos do registro em log no
arquivo de configuração do Cache de inteligência compartilhado.
Para desinstalar o Appliance de segurança virtual do

Você deve usar a ferramenta de instalação de linha de comando que a Symantec
fornece para desinstalar o Appliance de segurança virtual.
Nota: Não remova manualmente o Appliance de segurança virtual do Symantec

Endpoint Protection. Use a ferramenta de instalação do Appliance de segurança
virtual da Symantec para desinstalar o Appliance de segurança virtual. Se você
remover manualmente o Appliance de segurança virtual, ele não cancelará o
registro do Appliance de segurança virtual do VMware vShield Manager. Esta
falha ao cancelar o registro causará problemas se você tentar posteriormente
reinstalar o Appliance de segurança virtual.
Para desinstalar o Appliance de segurança virtual do Symantec Endpoint Protection
Para instalar ou desinstalar o Appliance de segurança virtual, a conta de

administrador do vCenter que você usar deverá ter permissões nas seguintes
Para desinstalar os Appliances de segurança virtual
1 Navegue até o diretório onde você chamou a ferramenta
Symantec_SVA_Install.jar para instalar o Appliance de segurança virtual.

java -jar Symantec_SVA_Install.jar -s
nome_do_caminho/SVA_InstallSettings.xml -uninstall
Os erros e outros resultados de comando são gravados no arquivo de log

SVA_Install.log. Este arquivo é criado no mesmo diretório no qual você executou
o comando do arquivo Symantec_SVA_Install.jar.
Nota: Em algumas instâncias, a gravação nesse diretório poderá falhar. Nestes

casos, o arquivo será gravado no diretório /temp e nomeado SVA_Installxxx.log,
onde o sistema substituirá xxx por um número aleatório.
Consulte “Sobre o log de eventos do Cache de inteligência compartilhado ativado

para vShield” na página 742.
Para desinstalar o Appliance de segurança virtual do Symantec Endpoint Protection
Capítulo 30
Para usar a Exceção de
imagem virtual
■ Para usar a ferramenta Exceção de imagem virtual em uma imagem base
■ Requisitos do sistema para a ferramenta Exceção de imagem virtual
■ Para executar a ferramenta Exceção de imagem virtual
■ Para configurar o Symantec Endpoint Protection para ignorar a verificação

de arquivos de imagem base
Para usar a ferramenta Exceção de imagem virtual

em uma imagem base
Você pode usar a ferramenta Exceção de imagem virtual em uma imagem base
antes de criar suas máquinas virtuais. A ferramenta Exceção de imagem virtual
permite que seus clientes ignorem a verificação de ameaças em arquivos de imagem
base, o que reduz a carga de recursos na E/S do disco. Isso também melhora o
desempenho do processo de verificação da CPU em sua infraestrutura de área de
trabalho virtual.
O Symantec Endpoint Protection suporta o uso da ferramenta Exceção de imagem
virtual em clientes gerenciados e não gerenciados
Nota: Você não pode usar a ferramenta Exceção de imagem virtual em um ambiente
não virtual.
746 Para usar a Exceção de imagem virtual
Requisitos do sistema para a ferramenta Exceção de imagem virtual
Tabela 30-1 Processo para usar a ferramenta Exceção de imagem virtual em

uma imagem base.
Etapa Ação
Etapa 1 Na imagem base, execute uma verificação completa em todos os arquivos para
verificar se os arquivos estão limpos.
Se o cliente do Symantec Endpoint Protection colocar em quarentena arquivos

infectados, será necessário reparar ou excluir os arquivos em quarentena para
removê-los da quarentena.
Consulte “Especificar quando os arquivos em quarentena forem excluídos

automaticamente” na página 393.
Etapa 2 Certifique-se de que a quarentena do cliente esteja vazia.
Consulte “Para usar o Log de riscos para excluir arquivos em quarentena em

Etapa 3 Execute a ferramenta Exceção de imagem virtual da linha de comando para

marcar os arquivos de imagem base.
Consulte “Para executar a ferramenta Exceção de imagem virtual” na página 747.
Consulte vietool na página 1208.
Etapa 4 Ative o recurso no Symantec Endpoint Protection Manager de modo que seus
clientes saibam que devem procurar e ignorar os arquivos marcados quando
uma verificação for executada.
Consulte “Para configurar o Symantec Endpoint Protection para ignorar a

verificação de arquivos de imagem base” na página 747.
Etapa 5 Remova a ferramenta Exceção de imagem virtual da imagem base.
A ferramenta Exceção de imagem virtual suporta unidades locais fixas. Ela funciona
com arquivos que estão em conformidade com o Padrão do sistema de arquivos
de nova tecnologia (NTFS, New Technology File System).
Consulte “Requisitos do sistema para a ferramenta Exceção de imagem virtual”
na página 746.
Requisitos do sistema para a ferramenta Exceção de

imagem virtual
A ferramenta Exceção de imagem virtual é suportada para uso em VMware ESX,
Microsoft Hyper-V e plataformas Citrix Zen Desktop.
O cliente deve atender a todos os seguintes requisitos:
Para usar a Exceção de imagem virtual 747
Para executar a ferramenta Exceção de imagem virtual
■ O cliente deve estar instalado em um dos ambientes virtuais suportados.

■ O cliente deve executar o software-cliente do Symantec Endpoint Protection
versão 12.1 ou superior.
Para obter as informações mais atualizadas sobre requisitos e plataformas
suportadas, consulte a seguinte página da Web:
Release Notes and System Requirements for all versions of Symantec Endpoint
Protection and Symantec Network Access Control (em inglês)
Para executar a ferramenta Exceção de imagem

virtual
Antes de executar a ferramenta Exceção de imagem virtual, certifique-se de que
você tenha atendido a todos os requisitos do sistema.
Consulte “Requisitos do sistema para a ferramenta Exceção de imagem virtual”
na página 746.
Para executar a ferramenta Exceção de imagem virtual
1 Através das Ferramentas do Symantec Endpoint Protection, no disco do
produto, faça o download do seguinte arquivo para a imagem base:
/Virtualization/VirtualImageException/vietool.exe
2 Abra um prompt de comando com privilégios de administrador.

3 Execute a ferramenta Exceção de imagem virtual com os argumentos
apropriados.
Por exemplo, digite: vietool c: --generate
Consulte vietool na página 1208.
Para configurar o Symantec Endpoint Protection para

ignorar a verificação de arquivos de imagem base
Após executar a ferramenta Exceção de imagem virtual em arquivos de imagem
base, você poderá ativar o uso das Exceções de imagem virtual no Symantec
Endpoint Protection Manager. Quando o recurso estiver ativado, os clientes virtuais
procurarão pelo atributo que a ferramenta inseriu. O Symantec Endpoint Protection
ignora então a verificação dos arquivos de imagem base que contêm o atributo.
748 Para usar a Exceção de imagem virtual
Para configurar o Symantec Endpoint Protection para ignorar a verificação de arquivos de imagem base
Você pode ignorar a verificação de arquivos de imagem base inalterados em

verificações do Auto-Protect ou verificações definidas pelo administrador (como
verificações manuais ou agendadas).
Para configurar o Symantec Endpoint Protection para usar a Exceção de imagem
virtual para ignorar a verificação de arquivos de imagem base
1 No console, abra a Política de proteção contra vírus e spyware apropriada.
2 Em Opções avançadas, clique em Miscelânea.
3 Na guia Imagens virtuais, marque as opções que você queira ativar.
4 Clique em OK.
Capítulo 31
Infraestruturas da área de
trabalho virtual não
persistentes
■ Para usar o Symantec Endpoint Protection em infraestruturas da área de

trabalho virtual não persistentes
■ Para configurar a imagem base para máquinas virtuais convidadas não

persistentes em infraestruturas da área de trabalho virtual
■ Para criar uma chave de registro para marcar as máquinas virtuais convidadas
(GVMs) de imagem base como clientes não persistentes
■ Para configurar um intervalo separado de apagamento para clientes VDI off-line

não persistentes
Para usar o Symantec Endpoint Protection em

infraestruturas da área de trabalho virtual não
persistentes
Você pode configurar o cliente do Symantec Endpoint Protection em sua imagem
base para indicar que é um cliente virtual não persistente. Você pode então
configurar um intervalo separado de apagamento no Symantec Endpoint Protection
para as máquinas virtuais convidadas (GVMs, Guest Virtual Machines) off-line
em infraestruturas da área de trabalho virtual não persistentes. O Symantec
Endpoint Protection Manager remove os clientes GVM não persistentes que
750 Infraestruturas da área de trabalho virtual não persistentes
Para configurar a imagem base para máquinas virtuais convidadas não persistentes em infraestruturas da área de
trabalho virtual
estiveram off-line por um tempo maior que o período especificado. Este recurso
torna mais simples gerenciar as GVMs no Symantec Endpoint Protection Manager.
Tabela 31-1 Tarefas para usar o Symantec Endpoint Protection em

infraestruturas da área de trabalho virtual não persistentes
Etapa Descrição
Etapa 1 Configure a imagem base.
Consulte “Para configurar a imagem base para máquinas virtuais convidadas

não persistentes em infraestruturas da área de trabalho virtual”
na página 750.
Etapa 2 No Symantec Endpoint Protection Manager, configure um intervalo

separado de apagamento para clientes VDI off-line não persistentes.
Consulte “Para configurar um intervalo separado de apagamento para

clientes VDI off-line não persistentes” na página 752.
Para configurar a imagem base para máquinas virtuais

convidadas não persistentes em infraestruturas da
área de trabalho virtual
Você pode definir sua imagem base para torná-la mais simples de usar o Symantec
Endpoint Protection Manager para gerenciar GVMS em infraestruturas da área
de trabalho virtual não persistentes.
Tabela 31-2 Para configurar a imagem base para máquinas virtuais convidadas
não persistentes em infraestruturas da área de trabalho virtual
Etapa Descrição
Etapa 1 Instale o Symantec Endpoint Protection na imagem base.
Etapa 2 No Symantec Endpoint Protection Manager, desative a Proteção contra

adulterações de modo que você possa modificar o registro.

na página 450.
Infraestruturas da área de trabalho virtual não persistentes 751
Para criar uma chave de registro para marcar as máquinas virtuais convidadas (GVMs) de imagem base como clientes
não persistentes
Etapa Descrição
Etapa 3 Crie uma chave de registro na imagem base para marcar as GVMs como
clientes não persistentes.
Consulte “ Para criar uma chave de registro para marcar as máquinas
virtuais convidadas (GVMs) de imagem base como clientes não persistentes”
na página 751.
Etapa 4 No Symantec Endpoint Protection Manager, ative a Proteção contra

adulterações novamente.

na página 450.
Após ter concluído a configuração da imagem base, você poderá configurar um

intervalo separado de apagamento para clientes não persistentes no Symantec
Consulte “Para configurar um intervalo separado de apagamento para clientes
VDI off-line não persistentes” na página 752.
Consulte “Para usar o Symantec Endpoint Protection em infraestruturas da área
de trabalho virtual não persistentes” na página 749.
Para criar uma chave de registro para marcar as

máquinas virtuais convidadas (GVMs) de imagem base
como clientes não persistentes
Você deve criar uma chave de registro na imagem base para marcar as máquinas
virtuais convidadas (GVMs, Guest Virtual Machines) como clientes não
persistentes.
Para criar uma chave de registro para marcar GVMs de imagem base como clientes
não persistentes
1 Após instalar o cliente do Symantec Endpoint Protection e desativar a Proteção
contra adulterações, abra o editor de registro na imagem base.
2 Navegue até HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec
Endpoint Protection\SMC\.
3 Crie uma nova chave chamada Virtualização.
4 Em Virtualização, crie uma chave do tipo DWORD chamada IsNPVDIClient
e ajuste-a a um valor de 1.
752 Infraestruturas da área de trabalho virtual não persistentes
Para configurar um intervalo separado de apagamento para clientes VDI off-line não persistentes
Consulte “Para configurar a imagem base para máquinas virtuais convidadas não
persistentes em infraestruturas da área de trabalho virtual” na página 750.
Para configurar um intervalo separado de apagamento

para clientes VDI off-line não persistentes
Com o passar do tempo, os clientes obsoletos podem se acumular no banco de
dados do Symantec Endpoint Protection Manager. Os clientes obsoletos são aqueles
que não se conectaram ao Symantec Endpoint Protection Manager por 30 dias. O
Symantec Endpoint Protection Manager apaga clientes obsoletos a cada 30 dias
por padrão.
Se você não quiser aguardar o mesmo número de dias para apagar clientes
obsoletos não persistentes, poderá configurar um intervalo separado para eles.
Se você não configurar um intervalo separado, os clientes VDI off-line não
persistentes serão apagados no mesmo intervalo que os clientes obsoletos não
virtuais.
Nota: Os clientes online não persistentes contam para o número de licenças

implementadas; os clientes off-line não persistentes não o fazem.
Você também pode ocultar os clientes off-line não persistentes filtrando-os na

página Clientes.
Para configurar o intervalo de apagamento para clientes VDI off-line não persistentes
1 No console do Symantec Endpoint Protection Manager, na página Admin,
clique em Domínios.
2 Na árvore Domínios, clique no domínio desejado.
4 Na guia Editar propriedades de domínio > Geral, marque a caixa de seleção
Excluir clientes VDI não persistentes que não tenham se conectado por um
período específico e mude o valor de dias para o número desejado.
A opção Excluir clientes que não se conectaram por um período especificado
deve ser marcada para acessar a opção para clientes VDI off-line não
persistentes.
5 Clique em OK.
Consulte “Para usar o Symantec Endpoint Protection em infraestruturas da área
de trabalho virtual não persistentes” na página 749.
Seção 5
Para configurar e gerenciar
o Symantec Endpoint
Protection Manager
■ Capítulo 32. Para gerenciar a conexão entre o servidor de gerenciamento e os

■ Capítulo 33. Para configurar o servidor de gerenciamento
■ Capítulo 34. Para gerenciar banco de dados
■ Capítulo 35. Para gerenciar failover e balanceamento de carga
■ Capítulo 36. Para preparar a recuperação após desastres

754
Capítulo 32
Para gerenciar a conexão
entre o servidor de
gerenciamento e os
■ Para gerenciar a conexão do servidor-cliente
■ Como determinar se o cliente está conectado e protegido
■ Por que eu preciso substituir o arquivo de comunicação servidor-cliente no

computador-cliente?
■ Como substituo o arquivo de comunicação cliente-servidor no

computador-cliente?
■ Para restaurar as comunicações cliente-servidor usando um pacote de

instalação do cliente
■ Para exportar manualmente o arquivo de comunicação cliente-servidor
■ Para importar configurações de comunicação cliente-servidor no cliente
■ Para configurar o SSL entre o Symantec Endpoint Protection Manager e os

clientes
■ Aprimoramento de desempenho do cliente e do servidor
■ Sobre certificados de servidor

756 Para gerenciar a conexão entre o servidor de gerenciamento e os computadores-cliente
Para gerenciar a conexão do servidor-cliente
■ Melhores práticas para atualizar certificados de servidor e manter a conexão

do servidor-cliente
Para gerenciar a conexão do servidor-cliente

Depois que você instala o cliente, o servidor de gerenciamento se conecta
automaticamente ao computador-cliente. Talvez você precise verificar se o cliente
e o servidor se comunicam.
Você também pode querer configurar a conexão entre o servidor e o cliente.
A Tabela 32-1 relaciona as tarefas que você pode executar para exibir e gerenciar
como o servidor de gerenciamento se conecta aos clientes.
Tabela 32-1 Tarefas para gerenciar conexões entre o servidor de gerenciamento

e os clientes
Ação Descrição
Verificar se o cliente está Você pode verificar o ícone de status no cliente e no console de gerenciamento.
conectado ao servidor de O ícone de status mostra se o cliente e o servidor se comunicam.
gerenciamento
Um computador pode ter o software-cliente instalado, mas não ter o arquivo de

comunicação correto.

Consulte “Como substituo o arquivo de comunicação cliente-servidor no

Verificar se o cliente obtém Certifique-se de que os computadores-cliente obtenham as atualizações mais

atualizações da política recentes da política verificando o número de série da política no cliente e no
console de gerenciamento. O número de série da política deve ser correspondente
se o cliente puder se comunicar com o servidor e receber atualizações regulares
da política.
Pode ser executada uma atualização manual de política e comparados os números

de série da política entre si.


Para gerenciar a conexão entre o servidor de gerenciamento e os computadores-cliente 757
Como determinar se o cliente está conectado e protegido
Ação Descrição
Alterar qual método usar para Você pode configurar o servidor de gerenciamento para impor as políticas ao
fazer o download de políticas e cliente ou para que os clientes extraiam automaticamente as políticas do servidor
de conteúdo para os clientes de gerenciamento.
Decidir se a lista de servidores de Você pode trabalhar com uma lista alternativa de servidores de gerenciamento
gerenciamento padrão deve ser para fazer failover e balanceamento de carga. A lista de servidores de
usada gerenciamento fornece uma lista de vários servidores de gerenciamento a que os
clientes podem conectar.
Consulte “Configuração de uma lista de servidores de gerenciamento”

na página 801.
Definir configurações de Você pode definir configurações separadas de comunicação para locais e grupos.
comunicação para um local
Consulte “Configuração de definições de comunicação para um local” na página 277.
Solucionar problemas de Se o servidor de gerenciamento e o cliente não se conectam, é possível solucionar

conectividade do servidor de problemas de conexão.
gerenciamento
Se tiver instalado o Symantec Network Access Control, você também poderá

configurar a conexão entre o servidor de gerenciamento e Enforcers.
Para obter mais informações sobre as portas que o Symantec Endpoint Protection
usa, consulte o artigo da Base de conhecimento: Which Communications Ports
does Symantec Endpoint Protection use? (em inglês)
Como determinar se o cliente está conectado e

protegido
Você pode verificar o ícone da área de notificação no cliente para determinar se
o cliente está conectado a um servidor de gerenciamento e adequadamente
protegido.
O ícone está situado no canto inferior direito da área de trabalho do
computador-cliente. Você pode também clicar com o botão direito do mouse neste
ícone para mostrar comandos frequentemente usados.
Como determinar se o cliente está conectado e protegido
Tabela 32-2 Ícones de status do cliente do Symantec Endpoint Protection
Ícone Descrição
O cliente é executado sem problemas. Está off-line ou não é gerenciado. Os clientes

não gerenciados não são conectados a um servidor de gerenciamento. O ícone é
um escudo amarelo.
O cliente é executado sem problemas. Está conectado e comunica-se com o servidor.

Todos os componentes da política de segurança protegem o computador. O ícone
é um escudo amarelo com um ponto verde.
O cliente tem um problema menor. Por exemplo, as definições de vírus podem

estar desatualizadas. O ícone é um escudo amarelo com um ponto amarelo fraco
que contém um ponto de exclamação preto.
O cliente não é executado, tem um problema importante ou tem pelo menos uma
tecnologia de proteção desativada. Por exemplo, a Proteção contra ameaças à rede
pode estar desativada. O ícone é um escudo amarelo com um ponto branco
contornado de vermelho e uma linha vermelha cruzando o ponto.
A Tabela 32-3 exibe os ícones de status do cliente do Symantec Network Access

Control que aparecem na área de notificação.
Tabela 32-3 Ícones de status do cliente do Symantec Network Access Control
Ícone Descrição
O cliente é executado sem problemas e foi aprovado na verificação da integridade

do host e atualizou a política de segurança. Está off-line ou não é gerenciado. Os
clientes não gerenciados não são conectados a um servidor de gerenciamento. O
ícone é uma chave dourada.
O cliente é executado sem problemas e foi aprovado na verificação da integridade

do host e atualizou a política de segurança. Comunica-se com o servidor. O ícone
é uma chave dourada com um ponto verde.
O cliente falhou na verificação da integridade do host ou não atualizou a política

de segurança. O ícone é uma chave dourada com um ponto vermelho que contém
um "x" branco.
Você pode também verificar o servidor de gerenciamento para exibir o status da

conexão dos computadores.
na página 666.
Por que eu preciso substituir o arquivo de comunicação servidor-cliente no computador-cliente?
Por que eu preciso substituir o arquivo de

comunicação servidor-cliente no computador-cliente?
O Symantec Endpoint Protection Manager se conecta ao cliente com um arquivo
de comunicação chamado Sylink.xml. O arquivo Sylink.xml inclui as configurações
de comunicação, como o endereço IP do servidor de gerenciamento e do intervalo
de pulsação. Após você instalar um pacote de instalação do cliente nos
computadores-cliente, o cliente e o servidor se comunicarão automaticamente.
Normalmente você não precisa substituir o arquivo Sylink.xml. Contudo, você
pode precisar substituir o arquivo Sylink.xml existente no computador-cliente
nas seguintes situações:
■ O cliente e o servidor não se comunicam. Se os clientes perderam a comunicação
com o servidor de gerenciamento, será necessário substituir o antigo arquivo
Sylink.xml por um arquivo novo.
■ Você quer converter um cliente não gerenciado a um cliente gerenciado. Se
um usuário instalar um cliente do disco do produto, o cliente será não
gerenciado e não se comunicará com o servidor de gerenciamento. Você pode
igualmente reinstalar o software-cliente no computador como um computador
gerenciado.
■ Você quer gerenciar um cliente previamente órfão. Por exemplo, se a unidade
de disco rígido onde o servidor de gerenciamento está instalado for corrompida,
você deverá reinstalar o servidor de gerenciamento. Você pode atualizar o
arquivo Sylink.xml para restabelecer uma comunicação com todos os seus
clientes órfãos.
Consulte “Para desativar ou ativar comunicações seguras entre o servidor e o
■ Você quer mover um grande número de clientes de vários grupos para um
único grupo. Por exemplo, convém mover os computadores-cliente em um
grupo remoto e em um grupo do laptop para um grupo de teste. Normalmente,
você precisará mover um grupo de computadores-cliente por vez.
■ Para instalar o Appliance de segurança virtual em um ambiente do vShield de
VMware. Para instalar o Appliance de segurança virtual, você deve exportar
o arquivo de comunicações manualmente.
Como substituo o arquivo de comunicação cliente-servidor no computador-cliente?

na página 727.
Consulte “Como substituo o arquivo de comunicação cliente-servidor no
Como substituo o arquivo de comunicação

cliente-servidor no computador-cliente?
Se você precisar substituir o arquivo de comunicação cliente-servidor (Sylink.xml)
no computador-cliente, poderá usar os seguintes métodos:
■ Crie um novo pacote de instalação do cliente e implemente-o nos
computadores-cliente. Use este método se manualmente importar o Sylink.xml
em ambiente grande não é fisicamente possível e exige o acesso administrativo.
■ Grave um script que execute a ferramenta SylinkDrop, situada na pasta
/Ferramenta do disco do produto de ferramentas. A Symantec recomenda este
método para um grande número de clientes. Você deve igualmente usar a
ferramenta SylinkDrop se usar uma ferramenta de gerenciamento de software
para fazer o download do software-cliente aos computadores. A vantagem da
ferramenta de gerenciamento de software é que ela faz o download do arquivo
Sylink.xml assim que o usuário final ativa o computador-cliente. Em
comparação, o pacote de instalação do cliente fará o download do novo arquivo
Sylink.xml somente depois que o computador-cliente se conectar ao servidor
de gerenciamento.
Consulte “Para recuperar configurações de comunicação do cliente usando a
ferramenta SylinkDrop” na página 828.
■ Exporte o arquivo Sylink.xml ao computador-cliente e importe-o no
computador-cliente manualmente. A Symantec recomenda este método se
você quiser usar uma ferramenta de gerenciamento de software como Altiris.
Com uma ferramenta de gerenciamento de software, a tarefa é colocada na
fila e concluída sempre que os usuários ativarem seu computador. Com os
outros métodos, o computador-cliente deve estar online.
A Tabela 32-4 exibe o processo para exportar e importar o arquivo Sylink.xml
Para restaurar as comunicações cliente-servidor usando um pacote de instalação do cliente
Tabela 32-4 Etapas para exportar e importar o arquivo de comunicação
Etapa Exporte um arquivo que inclua O nome padrão do arquivo é nome do grupo _sylink.xml.
1 todas as configurações de
comunicação para o grupo em que
deseja que o cliente esteja.
Etapa Implemente o arquivo no Você pode salvar o arquivo em um local da rede ou enviá-lo a um usuário
2 computador-cliente. individual no computador-cliente.
Etapa Importe o arquivo no Você ou o usuário podem importar o arquivo no computador-cliente.

3 computador-cliente.
Consulte “Para importar configurações de comunicação cliente-servidor
no cliente” na página 764.
Os clientes não gerenciados não são protegidos por senha, assim, você
não precisa de uma senha no cliente. Contudo, se você tentar importar
um arquivo em um cliente gerenciado protegido por senha, deverá digitar
uma senha. A senha é a mesma que é usada para importar ou exportar
uma política.
Você não precisa reiniciar o computador-cliente.
Etapa Verifique a comunicação entre o O cliente conecta-se imediatamente ao servidor de gerenciamento. O

4 cliente e o servidor no cliente. servidor de gerenciamento coloca o cliente no grupo especificado no
arquivo de comunicação. O cliente é atualizado com as políticas e
configurações do grupo. Depois que o cliente e o servidor de
gerenciamento se comunicarem, o ícone da área de notificação com o
ponto verde aparecerá na barra de tarefas do computador-cliente.
Consulte “Para determinar se o cliente está conectado no console”

na página 240.
Consulte “Arquivos de comunicação de cliente e servidor” na página 833.

Para restaurar as comunicações cliente-servidor

usando um pacote de instalação do cliente
Se as comunicações cliente-servidor forem rompidas, você poderá restaurá-las
rapidamente substituindo o arquivo Sylink.xml no computador-cliente. Você pode
substituir o arquivo Sylink.xml reimplementando um pacote de instalação do
cliente. Use este método para um número grande de computadores, para
Para exportar manualmente o arquivo de comunicação cliente-servidor
computadores que você não pode facilmente acessar fisicamente ou computadores

que exijam acesso administrativo.
Para restaurar as configurações das comunicações cliente-servidor usando um
pacote de instalação do cliente
1 Na página Início, na lista suspensa Tarefas comuns, clique em Instalar cliente
de proteção nos computadores.
2 No Assistente de Implementação de cliente, clique em Atualizar as
configurações do Symantec Endpoint Protection para comunicação com o
Symantec Endpoint Protection Manager e então clique em Avançar.
3 Selecione o grupo de computadores no qual você quer implementar o pacote
de instalação do cliente e clique em Avançar.
4 Escolha um dos seguintes métodos de implementação e clique em Avançar :
■ Clique em Instalação remota por envio e vá para a etapa 5 no
procedimento seguinte.
Consulte “Para implementar clientes usando a instalação remota por
envio” na página 144.
■ Clique em Salvar pacote e vá para a etapa 5 no procedimento seguinte.
Consulte “Para implementar clientes usando a opção Salvar pacote”
na página 147.
5 Certifique-se de que os usuários de computador tenham instalado o pacote

de instalação personalizada.
Você ou os usuários de computador devem reiniciar os computadores-cliente.
na página 666.
Para exportar manualmente o arquivo de comunicação

cliente-servidor
Se o cliente e o servidor não se comunicarem, poderá ser necessário reinstalar o
arquivo Sylink.xml no computador-cliente para restaurar a comunicação. Você
pode exportar manualmente o arquivo Sylink.xml do Symantec Endpoint Protection
Manager com base em grupos.
As razões mais comuns para substituir o Sylink.xml são:
Para exportar manualmente o arquivo de comunicação cliente-servidor
■ Converter um cliente não gerenciado em um cliente gerenciado.

■ Reconectar um cliente previamente órfão ao servidor de gerenciamento.
■ Instalar um Appliance de segurança virtual em um ambiente vShield de
VMware.
na página 727.
Se você precisar atualizar a comunicação cliente-servidor para um grande número
de clientes, reimplemente o pacote de instalação do cliente em vez de usar este
método.
Para exportar o arquivo de comunicação cliente-servidor manualmente
2 Em Exibir clientes, selecione o grupo no qual você deseja que o cliente apareça.
3 Clique com o botão direito do mouse no grupo e clique em Exportar
configurações de comunicação.
4 Na caixa de diálogo Exportar configurações de comunicação para nome do
grupo, clique em Procurar.
5 Na caixa de diálogo Selecionar arquivo de exportação, localize a pasta para
onde você deseja exportar o arquivo .xml e clique em OK.
6 Na caixa de diálogo Exportar configurações de comunicação para nome do
grupo, selecione uma das seguintes opções:
■ Para aplicar as políticas do grupo do qual o computador é membro, clique
em Modo de computador.
■ Para aplicar as políticas do grupo do qual o usuário é membro, clique em
Modo de usuário.
7 Clique em Exportar.
Se o nome do arquivo já existir, clique em OK para sobrescrevê-lo ou em
Cancelar para salvar o arquivo com um novo nome de arquivo.
Para terminar a conversão, você ou um usuário devem importar a configuração
de comunicação no computador-cliente.
Para importar configurações de comunicação cliente-servidor no cliente
Consulte “Para importar configurações de comunicação cliente-servidor no cliente”

na página 764.
Para importar configurações de comunicação

cliente-servidor no cliente
Após exportar configurações de comunicação cliente-servidor, você poderá
importá-las em um cliente. É possível usá-las para converter um cliente não
gerenciado em um cliente gerenciado ou reconectar um cliente previamente órfão
a um Symantec Endpoint Protection Manager.
Para importar o arquivo de configurações da comunicação cliente-servidor no
cliente
1 Abra o Symantec Endpoint Protection no computador que você deseja
converter em um cliente gerenciado.
2 No canto direito superior, clique em Ajuda e clique em Solução de problemas.
3 Na caixa de diálogo Solução de problemas, no painel Gerenciamento, clique
em Importar.
4 Na caixa de diálogo Importar Configurações registro de grupo, localize o
arquivo nome do grupo_sylink.xml e clique em Abrir.
5 Clique em Fechar para fechar a caixa de diálogo Solução de problemas.
Depois que você importar o arquivo de comunicação e o cliente e o servidor
de gerenciamento se comunicarem, o ícone da área de notificação aparecerá
na barra de tarefas do computador. O ponto verde indica que o cliente e o
servidor de gerenciamento estão em comunicação um com o outro.
Consulte “Para exportar manualmente o arquivo de comunicação cliente-servidor”
na página 762.
Para configurar o SSL entre o Symantec Endpoint

Protection Manager e os clientes
O Symantec Endpoint Protection Manager usa um site Apache para comunicar-se
com os clientes e proporcionar serviços de geração de relatórios. O site usa HTTP
para todas as comunicações. HTTP é um protocolo descriptografado e não fornece
a confidencialidade ou a integridade das comunicações. Você pode configurar o
site Apache do Symantec Endpoint Protection Manager para usar um certificado
SSL para assinar e criptografar dados usando uma conexão HTTPS.
Para configurar o SSL entre o Symantec Endpoint Protection Manager e os clientes
Tabela 32-5 Para configurar a comunicação SSL com o cliente
1 Verificar se a Em algumas redes, a porta 433 já pode estar vinculada a outro aplicativo ou serviço. Para
porta SSL padrão ativar a comunicação SSL, é necessário verificar se a porta padrão (433) está disponível.
está disponível
Consulte “Verificação da disponibilidade de portas” na página 765.
2 Altere a porta Se a porta 433 não estiver disponível, escolha uma porta não utilizada no intervalo de
SSL padrão portas superiores (49152 a 65535). Ajuste a configuração de servidor para usar a nova
conforme a porta.
necessidade
Consulte “Para alterar a atribuição da porta SSL” na página 766.
3 Ativar a Edite o arquivo httpd.config do Apache para permitir a comunicação SSL com o cliente.
comunicação Por padrão, o tráfego SSL usa a porta 433. Poderá ser necessário mudar a porta padrão
SSL com o se ela já estiver sendo usada.
cliente
Consulte “Ativação da comunicação SSL entre o servidor de gerenciamento e o cliente”
na página 767.

na página 190.
Verificação da disponibilidade de portas

Algumas configurações do Symantec Endpoint Protection Manager exigem que
você mude uma atribuição de porta padrão para evitar um conflito com outros
aplicativos ou serviços. Antes de atribuir uma porta nova, é necessário verificar
se a porta nova não está sendo usada.
Para verificar a disponibilidade da porta
1 Abra um prompt de comando e execute o comando:
netstat -an
2 Na coluna Endereço local, procure uma entrada que termine com o número
da porta que você deseja verificar.
Por exemplo, verifique se a porta 443 está disponível, procure na coluna
Endereço local uma entrada que termine em 443. Se nenhuma entrada
terminar em 443, a porta estará disponível.
Consulte “Para configurar o SSL entre o Symantec Endpoint Protection Manager
e os clientes” na página 764.
Para configurar o SSL entre o Symantec Endpoint Protection Manager e os clientes
Para alterar a atribuição da porta SSL

Poderá ser necessário mudar a atribuição padrão da porta SSL se a porta SSL
padrão não estiver disponível.
Você deve primeiramente verificar se a nova porta SSL escolhida não está sendo
utilizada.
Consulte “Verificação da disponibilidade de portas” na página 765.
Para mudar a atribuição da porta SSL
1 Em um editor de texto, abra o seguinte arquivo:
%SEPM%\apache\conf\ssl\sslForClients.conf
2 Edite a string, Listen 443 com o número da nova porta. Por exemplo, se o
novo número da porta for 53300, a string editada se tornará Listen 53300.
3 Salve o arquivo e feche o editor de texto.
4 Reinicie o Symantec Endpoint Protection Manager.
5 Para verificar se a porta nova funciona corretamente, em um navegador da
Web, entre no seguinte URL:
https://ServerHostName:<new port
number>/secars/secars.dll?hello.secars.
No URL, ServerHostName é o nome de computador do Symantec Endpoint

Protection Manager. Se a palavra "hello" for exibida, a mudança da porta terá
sido bem-sucedida. Se um erro de página for exibido, repita as primeiras
etapas e verifique se a string foi formatada corretamente. Verifique também
se o URL foi digitado corretamente.
6 No console, na guia Políticas, clique em Componentes das políticas > Listas
de servidores de gerenciamento.
7 Na lista de servidores de gerenciamento, clique no servidor de gerenciamento
sendo configurado para usar SSL e clique em Editar.
8 Na janela Editar servidor de gerenciamento, clique em Personalizar porta
HTTPS e digita o número da nova porta.
9 Clique em OK.
Consulte “Ativação da comunicação SSL entre o servidor de gerenciamento
Aprimoramento de desempenho do cliente e do servidor
Ativação da comunicação SSL entre o servidor de gerenciamento e o

cliente
Edite o arquivo httpd.config para ativar a comunicação SSL entre o Symantec
Endpoint Protection Manager e os clientes.
Ativação da comunicação SSL entre o servidor de gerenciamento e o cliente
1 Em um editor de texto, abra o arquivo %SEPM%\apache\conf\httpd.conf.
2 Localize a seguinte entrada:
#Include conf/ssl/sslForClients.conf
3 Remova a marca # da string de texto e salve o arquivo.

4 Reinicie o Symantec Endpoint Protection Manager.
na página 183.
Consulte “Interrupção e inicialização do servidor Web Apache” na página 825.
Consulte “Para configurar o SSL entre o Symantec Endpoint Protection Manager
e os clientes” na página 764.
Aprimoramento de desempenho do cliente e do

servidor
O Symantec Endpoint Protection Manager inclui vários recursos que permitem
aumentar o desempenho do cliente e do servidor ao mesmo tempo em que mantém
um alto nível de segurança.
Tabela 32-6 Tarefas para melhorar o desempenho no servidor e no cliente
Tarefa Descrição
Alterar configurações de Use o modo de instalação pull em vez do modo de envio para controlar com que
comunicação de frequência o servidor de gerenciamento faz o download de políticas e atualizações
servidor-cliente de conteúdo nos computadores-cliente. No modo de instalação pull, o servidor de
gerenciamento pode suportar mais clientes.
Aumente o intervalo de pulsação de modo que o cliente e o servidor se comuniquem

menos frequentemente. Para menos de 100 clientes por servidor, aumente a pulsação
para 15 a 30 minutos. Para 100 a 1.000 clientes, aumente a pulsação para 30 a 60
minutos. As redes maiores podem precisar de um intervalo de pulsação mais longo.
Aumente o download aleatório entre uma e três vezes o intervalo de pulsação.

Para obter mais informações sobre como definir intervalos de pulsação, consulte o
informe oficial Symantec Endpoint Sizing and Scalability Best Practices (em inglês).
Escolher aleatoriamente e As atualizações de conteúdo variam no tamanho e na frequência, dependendo do tipo

reduzir o número de de conteúdo e da disponibilidade. Você pode reduzir o efeito de fazer download e
atualizações de conteúdo importar um conjunto completo de atualizações de conteúdo usando os seguintes
métodos:
■ Distribua a carga do cliente através dos vários servidores de gerenciamento.

Consulte “Configuração de uma lista de servidores de gerenciamento” na página 801.
■ Use métodos alternativos para distribuir o conteúdo, como um provedor de
atualizações de grupo ou ferramentas de distribuição de terceiros.
Um provedor de atualizações de grupo o ajuda a conservar a largura de banda
descarregando poder de processamento do servidor para um cliente que faz
download do conteúdo.
■ Escolha aleatoriamente a hora em que o LiveUpdate faz download do conteúdo
nos computadores-cliente.
■ Faça download das atualizações de conteúdo quando os usuários não estiverem
usando ativamente o computador-cliente.
Tarefa Descrição
Ajustar verificações para Você pode alterar algumas configurações da verificação para melhorar o desempenho
melhorar o desempenho do dos computadores sem reduzir a proteção.
computador
Por exemplo, é possível configurar as verificações para ignorar arquivos confiáveis
ou para serem executadas quando o computador estiver ocioso.
Consulte “Para ajustar as verificações para melhorar o desempenho do computador”

na página 371.
Reduzir o volume do log do Você pode configurar as opções do registro em log para otimizar requisitos de
cliente do banco de dados armazenamento e atender as políticas da empresa que controlam a retenção de dados
em log.
O banco de dados recebe e armazena um fluxo constante de entradas nos arquivos

de log. Você deve gerenciar os dados armazenados no banco de dados para que eles
não consumam todo o espaço livre em disco. O excesso de dados pode causar falha
no computador no qual o banco de dados é executado.
■ Fazer upload somente de alguns logs do cliente para o servidor e altere a frequência
com a qual o upload dos logs do cliente é feito.
■ Especificar quantas entradas de log o computador-cliente pode manter no banco
de dados e por quanto tempo pode mantê-las.
Consulte “Como especificar por quanto tempo as entradas de log devem ser
mantidas no banco de dados” na página 793.
■ Filtrar os eventos de risco e de sistema menos importantes para que menos dados
sejam encaminhados ao servidor.
Consulte “Modificação de configurações variadas para Proteção contra vírus e
spyware em computadores Windows” na página 417.
■ Reduzir a frequência da pulsação, que controla a frequência com que é feito o
upload dos logs dos clientes para o servidor.
■ Aumente a quantidade do espaço em disco rígido no diretório em que os dados de
log são armazenados antes de serem gravados no banco de dados.
Consulte “Sobre aumentar o espaço em disco no servidor para dados de log de
clientes” na página 794.
Sobre certificados de servidor
Tarefa Descrição
Executar tarefas de Para aumentar a velocidade da comunicação entre o cliente e o servidor, é necessário
manutenção do banco de agendar tarefas regulares de manutenção do banco de dados.
dados
Consulte “Agendamento de tarefas automáticas de manutenção do banco de dados”
na página 786.
Sobre certificados de servidor

Os certificados são o padrão do setor para autenticar e criptografar dados
confidenciais. Para impedir a leitura de informações à medida que elas passam
através dos roteadores na rede, os dados deverão ser criptografados.
Para se comunicar com os clientes, o servidor de gerenciamento usa um certificado
de servidor. Para que o servidor de gerenciamento identifique e se autentique com
um certificado de servidor, o Symantec Endpoint Protection Manager criptografa
os dados por padrão. Contudo, há situações em que você deve desativar a
criptografia entre o servidor e o cliente.
Consulte “Melhores práticas para atualizar certificados de servidor e manter a
conexão do servidor-cliente” na página 771.
Você pode igualmente querer fazer backup do certificado como uma precaução
de segurança. Se o servidor de gerenciamento for danificado ou você esquecer a
senha do armazenamento de chave, poderá recuperá-la facilmente.
Consulte “Backup do certificado de servidor” na página 808.
Consulte “Para atualizar ou restaurar um certificado de servidor” na página 773.
O servidor de gerenciamento suporta os seguintes tipos de certificado:
■ Arquivo de armazenamento de chave JKS (.jks) (padrão)
Uma ferramenta Java denominada keytool.exe gera o arquivo de
armazenamento de chave. O formato Java Cryptography Extension (.jceks)
requer uma versão específica do Java Runtime Environment (JRE). O servidor
de gerenciamento suporta apenas um arquivo de armazenamento de chave
.jceks gerado com a mesma versão do Java Development Kit do servidor de
gerenciamento.
O arquivo de armazenamento de chave deve conter um certificado e uma chave
privada. A senha do armazenamento de chave deve ser a mesma senha da
chave. Você pode encontrar a senha no seguinte arquivo:
Melhores práticas para atualizar certificados de servidor e manter a conexão do servidor-cliente
Unidade:\\Arquivos de programas\Symantec\ Symantec Endpoint

Protection Manager\Server Private Key Backup\recovery_timestamp.zip.
A senha aparece na linha keystore.password=.
■ Arquivo de armazenamento de chave PKCS12 (.pfx e .p12)
■ Certificado e arquivo da chave privada (formato .der e .pem)
A Symantec suporta certificados e chaves privadas descriptografados no
formato .der ou .pem. As chaves privadas criptografadas Pkcs8 não são
suportadas.
Melhores práticas para atualizar certificados de

servidor e manter a conexão do servidor-cliente
Poderá ser necessário atualizar o certificado de segurança nas seguintes situações:
■ Você restaura um certificado de segurança anterior que os clientes já usam.
■ Você quer usar um certificado de segurança diferente do certificado padrão
(.jks).
Quando os clientes usam uma comunicação com o servidor, o certificado de servidor
é trocado entre o servidor e os clientes. Essa troca estabelece uma relação de
confiança entre o servidor e os clientes. Quando o certificado mudar no servidor,
a relação de confiança será quebrada e os clientes não poderão mais se comunicar.
Esse problema é chamado de clientes órfãos.
Nota: Use esse processo para atualizar um servidor de gerenciamento ou vários

servidores de gerenciamento ao mesmo tempo.
A Tabela 32-7 relaciona as etapas para fazer o upgrade do certificado sem deixar
os clientes que o servidor gerencia órfãos.
Tabela 32-7 Etapas para atualizar certificados de servidor
1 Desativar a verificação Desative as comunicações seguras entre o servidor e os clientes. Quando você desativar
do certificado de a verificação, os clientes ficarão conectados enquanto o servidor atualizar o certificado
servidor de servidor.
Consulte “Para desativar ou ativar comunicações seguras entre o servidor e o cliente”

na página 772.
2 Aguardar para que O processo de implementação da política atualizada pode levar uma semana ou mais,
todos os clientes dependendo dos seguintes fatores:
recebam a política
■ O número de clientes que se conectam ao servidor de gerenciamento. Instalações
atualizada
grandes podem demorar vários dias para concluir o processo porque os
computadores gerenciados devem estar online para receber a nova política.
■ Alguns usuários podem estar em férias com seus computadores off-line.

3 Atualizar o certificado Atualizar o certificado de servidor. Se você migrar ou fizer upgrade do servidor de
de servidor gerenciamento, faça o upgrade do certificado primeiramente.
4 Ativar novamente a Ative novamente as comunicações seguras entre o servidor e os clientes.

verificação do
Consulte “Para desativar ou ativar comunicações seguras entre o servidor e o cliente”
certificado do servidor
na página 772.
5 Aguardar para que Os computadores-cliente devem receber as alterações de política da etapa anterior.
todos os clientes
recebam a política
atualizada
6 Restaurar a relação de Se o servidor que você atualizou for replicado em outros servidores de gerenciamento,
replicação (opcional) restaure a relação de replicação.
Para desativar ou ativar comunicações seguras entre o servidor e o

cliente
Para autenticar a comunicação entre o servidor de gerenciamento e o cliente, o
servidor usa um certificado. Se o certificado estiver corrompido ou inválido, o
cliente não poderá se comunicar com o servidor. Se você desativar comunicações
seguras, os clientes ainda poderão se comunicar com o servidor. Contudo, os
clientes não autenticam comunicações do servidor de gerenciamento.
Você deve temporariamente desativar comunicações seguras entre os clientes e
o servidor pelas seguintes razões:
■ Para movimentar um grande número de clientes de um site para outro sem
precisar usar o arquivo sylink.xml.
Consulte “Por que eu preciso substituir o arquivo de comunicação

servidor-cliente no computador-cliente?” na página 759.
■ Para atualizar um certificado corrompido ou inválido. Você pode atualizar
vários servidores de gerenciamento ao mesmo tempo. Como melhor prática,
você deve executar a recuperação após desastres.
Certifique-se de que tenha definido esta configuração para os grupos que não
herdam de um grupo pai.
Após mover os clientes ou atualizar o certificado, reative as comunicações seguras.
Para desativar ou ativar comunicações seguras entre o servidor e o cliente
1 No console, clique em Clientes > Políticas > Configurações gerais.
2 Na guia Configurações de segurança, marque ou desmarque Ativar
comunicações seguras entre o servidor de gerenciamento e os clientes
usando certificados digitais para autenticação.
3 Clique em OK.
Consulte “Sobre certificados de servidor” na página 770.
Para atualizar ou restaurar um certificado de servidor

O certificado de servidor criptografa e descriptografa arquivos entre o servidor e
o cliente. O cliente se conecta ao servidor com uma chave de criptografia, faz o
download de um arquivo e descriptografa a chave para verificar sua autenticidade.
Se você mudar o certificado no servidor sem manualmente atualizar o cliente, a
conexão criptografada entre o servidor e o cliente será interrompida.
Você deve atualizar o certificado de servidor nas seguintes situações:
■ Reinstale o Symantec Endpoint Protection Manager sem usar o arquivo de
recuperação. Atualize o certificado para restaurar um certificado anterior que
os clientes já usem.
na página 99.
■ Substitua um servidor de gerenciamento por outro servidor de gerenciamento
e use o mesmo IP e nome do servidor.
■ Aplique o certificado de servidor errado (.JKS) após a recuperação após
desastres.
■ Você comprou um certificado diferente e quer usá-lo em vez do certificado

padrão .JKS.
■ Faça upgrade de um servidor de gerenciamento 11.x.
Para atualizar ou restaurar um certificado de servidor
2 Sob Servidores, em Site local, clique no servidor de gerenciamento para o
qual você quer atualizar o certificado de servidor.
3 Em Tarefas, clique em Gerenciar certificado de servidor e, em seguida, clique
em Avançar.
4 No painel Gerenciar certificado de servidor, clique em Atualizar o certificado
de servidor, em Avançar e em Sim.
Para manter a conexão de servidor-cliente, desative as conexões seguras.
Consulte “Para desativar ou ativar comunicações seguras entre o servidor e
o cliente” na página 772.
5 No painel Atualizar o certificado de servidor, escolha o certificado que você
quer atualizar e clique em Avançar :
6 Para cada tipo de certificado, siga as instruções nos painéis e clique em
Concluir.
Os certificados de servidor de backup estão em Unidade:\\Arquivos de
programas\Symantec\Symantec Endpoint Protection Manager\Server
Private Key Backup\recovery_timestamp.zip. Você pode encontrar a
senha para o arquivo armazenamento de chave no arquivo
settings.properties dentro do mesmo arquivo .zip. A senha aparece na
linha keystore.password=.
7 Você deve fazer logoff e reiniciar o servidor de gerenciamento para que o
certificado se torne eficaz.
na página 183.
Capítulo 33
Para configurar o servidor
de gerenciamento
■ Para gerenciar os servidores do Symantec Endpoint Protection Manager e de

terceiros
■ Sobre os tipos de servidores do Symantec Endpoint Protection
■ Exportação e importação de configurações do servidor
■ Para ativar ou desativar os serviços da Web do Symantec Endpoint Protection

Manager
Para gerenciar os servidores do Symantec Endpoint

Protection Manager e de terceiros
Você pode configurar o Symantec Endpoint Protection Manager para integrar-se
com muitos dos diferentes tipos de servidores em seu ambiente de rede.
Tabela 33-1 Gerenciamento do servidor
Tarefa Descrição
Saber mais sobre Decida quais os tipos de servidores que você precisa configurar.
servidores
Consulte “Sobre os tipos de servidores do Symantec Endpoint
776 Para configurar o servidor de gerenciamento
Para gerenciar os servidores do Symantec Endpoint Protection Manager e de terceiros
Tarefa Descrição
Definir permissões de Você pode permitir ou negar o acesso ao console remoto. Gerencie
comunicação do o acesso adicionando exceções baseadas no endereço IP de um
servidor único computador ou de um grupo de computadores.
Consulte “Para permitir ou bloquear o acesso aos consoles remotos
do Symantec Endpoint Protection Manager” na página 107.
Modificar Para modificar configurações do banco de dados ou restaurar o

configurações do banco de dados em um computador diferente, é possível modificar
servidor as configurações do servidor.
Consulte “Reinstalação ou reconfiguração do Symantec Endpoint

Configurar o servidor Para trabalhar com um servidor de e-mail específico em sua rede,
de e-mail você precisa configurar o servidor de e-mail.
Consulte “Estabelecimento de comunicação entre o servidor de

gerenciamento e os servidores de e-mail” na página 696.
Gerenciar servidores Você pode integrar o Symantec Endpoint Protection aos servidores
de diretórios de diretório para ajudar a gerenciar as contas de administrador
ou criar unidades organizacionais.
Consulte “Para conectar o Symantec Endpoint Protection Manager

a um servidor de diretório” na página 228.
Definir configurações Para configurar o Symantec Endpoint Protection Manager para

de proxy se você usar se conectar à Internet através de um servidor proxy, é necessário
um servidor proxy configurar a conexão do servidor proxy.
para se conectar a
Consulte “Para configurar o Symantec Endpoint Protection
servidores do
Manager para se conectar a um servidor proxy a fim de acessar a
Symantec LiveUpdate
Internet e fazer download de conteúdo do Symantec LiveUpdate”
na página 615.
Importar ou exportar Você pode exportar configurações do servidor em um arquivo xml

propriedades do e importar novamente as mesmas configurações.
servidor
Consulte “Exportação e importação de configurações do servidor”
na página 779.
Para configurar o servidor de gerenciamento 777
Para gerenciar os servidores do Symantec Endpoint Protection Manager e de terceiros
Tarefa Descrição
Gerenciar certificados O servidor do Symantec Endpoint Protection Manager usa um

de servidor certificado de servidor para criptografar dados para a comunicação
entre todos os servidores, clientes e Enforcers opcionais em uma
rede. O servidor identifica e autentica-se sozinho com um
certificado de servidor. Você pode precisar fazer backup, atualizar
ou gerar um certificado de servidor novo.
Consulte “Para atualizar ou restaurar um certificado de servidor”

na página 773.
Consulte “Para gerar um novo certificado de servidor”

na página 815.
Configurar a Se você optar por autenticar as contas de administrador usando

autenticação SecurID o RSA SecurID, deverá também configurar o servidor de
para um servidor gerenciamento para que ele se comunique com o servidor da RSA.
Consulte “Configuração do servidor de gerenciamento para

autenticar os administradores que usam RSA SecurID para fazer
logon” na página 296.
Mover o servidor para Você pode precisar mover o software do servidor de gerenciamento
um computador de um computador para outro pelas seguintes razões:
diferente
■ Você deve mover o servidor de gerenciamento de um ambiente
de teste para um ambiente de produto.
■ O computador no qual o servidor de gerenciamento é executado
tem uma falha de hardware.
Você pode mover o software do servidor de gerenciamento das

seguintes maneiras:
■ Instale o servidor de gerenciamento em outro computador e

realize a replicação.
Consulte “Para readicionar um parceiro de replicação que você
excluiu previamente” na página 211.
■ Instale o servidor de gerenciamento em outro computador
usando o arquivo de recuperação.
Consulte “Reinstalação ou reconfiguração do Symantec
Sobre os tipos de servidores do Symantec Endpoint Protection
Tarefa Descrição
Iniciar e interromper o O servidor de gerenciamento é executado como um serviço

servidor de automático. Você deve interromper o serviço do servidor de
gerenciamento gerenciamento quando fizer o upgrade ou executar a recuperação
após desastres.
Consulte “Para interromper e iniciar o serviço do servidor de

gerenciamento” na página 183.
Sobre os tipos de servidores do Symantec Endpoint

Protection
As seguintes definições podem ser úteis para entender quando gerenciar servidores:
■ Site
Um site consiste em um ou vários servidores de gerenciamento e em um banco
de dados (o banco de dados incorporado ou Microsoft SQL Server) situados
tipicamente em conjunto no mesmo local comercial. O site ao qual você está
conectado é o site local; portanto, é possível modificá-lo diretamente. Todos
os outros sites, exceto o local, são referidos como sites remotos. Você conecta
sites usando a replicação.
■ Servidor de gerenciamento
O computador no qual o software do Symantec Endpoint Protection Manager
está instalado. É possível criar e atribuir políticas a diferentes grupos
organizacionais através do servidor de gerenciamento. Você pode monitorar
clientes, exibir relatórios, logs e alertas e configurar servidores e contas de
administrador. Vários servidores de gerenciamento em um único site fornecem
recursos de failover e balanceamento de carga.
■ Servidor de banco de dados
O banco de dados usado pelo Symantec Endpoint Protection Manager. Há um
banco de dados por site. O banco de dados poderá estar no mesmo computador
que o servidor de gerenciamento ou em um computador diferente se você usar
um banco de dados do SQL Server.
■ Symantec Network Access Control Enforcer
Um Enforcer é usado pelo Symantec Network Access Control para permitir ou
negar o acesso à rede corporativa. O Symantec Network Access Control inclui
Para configurar o servidor de gerenciamento 779
Exportação e importação de configurações do servidor
os seguintes tipos de Enforcers: Gateway Enforcer, LAN Enforcer e Integrated

Enforcer.
Consulte “Sobre o Symantec Network Access Control” na página 844.
■ Parceiro de replicação
Uma relação criada entre dois sites para ativar a replicação de dados entre
eles.
Exportação e importação de configurações do servidor

O arquivo de propriedades do servidor inclui as configurações do servidor para o
Symantec Endpoint Protection Manager. Você pode precisar exportar e importar
o arquivo de propriedades do servidor nas seguintes situações:
■ Use o arquivo de recuperação após desastres para reinstalar o Symantec
O arquivo de recuperação após desastres não inclui as configurações do
servidor. Quando você reinstalar o Symantec Endpoint Protection Manager,
perderá quaisquer configurações padrão do servidor que tenham sido alteradas
previamente. Você pode usar o arquivo de propriedades exportado do servidor
para reimportar as configurações alteradas do servidor.
■ Instale o Symantec Endpoint Protection Manager em um ambiente de teste e
mais tarde instale o servidor de gerenciamento em um ambiente de produção.
Você pode importar o arquivo de propriedades exportado do servidor ao
ambiente de produção.
■ Faça upgrade do servidor de gerenciamento de uma versão anterior a uma
versão mais recente; você precisará importar todas as políticas e locais.
■ Você quer exportar todas as políticas em vez das políticas individuais de um
servidor de gerenciamento para outro.
O arquivo de propriedades do servidor inclui todas as políticas, locais e
configurações do servidor e usa um formato .xml.
Consulte “Para gerenciar os servidores do Symantec Endpoint Protection Manager
e de terceiros” na página 775.
Para exportar as configurações do servidor
2 Em Servidores, expanda Site local (site nome do site) e selecione em seguida
o servidor de gerenciamento que deseja exportar.
3 Clique em Exportar propriedades do servidor.
Para ativar ou desativar os serviços da Web do Symantec Endpoint Protection Manager
4 Selecione um local onde salvar o arquivo e especifique um nome para o mesmo.

Para importar as configurações do servidor
2 Em Servidores, expanda Site local (site nome do site) e selecione em seguida
o servidor de gerenciamento para o qual deseja importar configurações.
3 Clique em Importar propriedades do servidor.
4 Selecione o arquivo que você quer importar e clique em Importar.
5 Clique em Sim.
Para ativar ou desativar os serviços da Web do

O Symantec Endpoint Protection proporciona dois conjuntos de serviços da Web
no servidor de gerenciamento. Um conjunto foi gravado para fornecer a integração
com o Symantec Protection Center. O outro conjunto foi gravado para fornecer
suporte para o desenvolvimento de aplicativos de gerenciamento remoto.
Ambos os conjuntos de serviços da Web são ativados por padrão. Você pode ativar
ou desativar qualquer conjunto de serviços da Web executando um script incluído
com o produto.
Para ativar ou desativar os serviços da Web do Symantec Endpoint Protection
Manager
1 Em uma janela de comando, execute o seguinte arquivo de lote:
Symantec_Endpoint_Protection_Manager_installation_folder/ToolsConfigSEPM.bat
2 Defina qualquer uma das opções a seguir:
-RmmWS:ON Ativa serviços da Web para gerenciamento remoto.
-RmmWS:OFF Desativa serviços da Web para gerenciamento remoto.
-SpcWS:ON Ativa serviços da Web para ferramentas internas da Symantec

(Symantec Protection Center).
-SpcWS:OFF Desativa serviços da Web para ferramentas internas da

Symantec (Symantec Protection Center).
Capítulo 34
Para gerenciar banco de
dados
■ Manutenção do banco de dados
■ Agendamento de backups automáticos do banco de dados
■ Agendamento de tarefas automáticas de manutenção do banco de dados
■ Exportação de dados para um servidor Syslog
■ Exportação de dados de log para um arquivo de texto
■ Exportação de dados do log para um arquivo de texto delimitado por vírgulas
■ Especificação do tamanho do log do cliente e de quais fazer upload para o

■ Como especificar por quanto tempo as entradas de log devem ser mantidas no
banco de dados
■ Sobre aumentar o espaço em disco no servidor para dados de log de clientes
■ Como remover dados de log do banco de dados manualmente
Manutenção do banco de dados

O Symantec Endpoint Protection suporta um banco de dados interno e o banco
de dados do Microsoft SQL Server. Se você tiver mais de 5.000 clientes, será
necessário usar o banco de dados do Microsoft SQL Server.
782 Para gerenciar banco de dados
O Symantec Endpoint Protection Manager instala automaticamente um banco de

dados interno. O banco de dados contém informações sobre políticas de segurança,
configurações, dados do ataque, logs e relatórios.
Depois de instalar o Symantec Endpoint Protection Manager, o servidor de
gerenciamento começará a ficar mais lento após algumas semanas ou meses. Para
melhorar o desempenho do servidor de gerenciamento, talvez seja necessário
reduzir o espaço de armazenamento do banco de dados e agendar várias tarefas
de manutenção do banco de dados.
Tabela 34-1 Tarefas de gerenciamento do banco de dados
Tarefa Descrição
Agendar backups Você deve agendar os backups regulares do banco de dados caso o banco de dados seja
regulares do banco corrompido.
de dados
Consulte “Agendamento de backups automáticos do banco de dados” na página 785.
Opcionalmente, para impedir uma varredura automática do banco de dados após a ocorrência
de um backup,você poderá varrer manualmente os dados do banco de dados.
Consulte “Como remover dados de log do banco de dados manualmente” na página 795.
Agendar tarefas de Você pode acelerar o tempo de interação entre o servidor de gerenciamento e o banco de
manutenção do dados agendando tarefas de manutenção do banco de dados. Você pode agendar o servidor
banco de dados de gerenciamento para executar as seguintes tarefas de manutenção imediatamente ou
quando os usuários não estiverem nos computadores-cliente.
■ Remova dados não utilizados do registro de transação.

■ Reconstrua os índices da tabela de banco de dados para melhorar os recursos de
classificação e pesquisa do banco de dados.

na página 786.
Verificar Se você usar o banco de dados do Microsoft SQL Server em vez do banco de dados interno,
periodicamente o certifique-se de que o banco de dados não atinja o tamanho máximo do arquivo.
tamanho de arquivos
Consulte “Aumento do tamanho do arquivo do banco de dados do Microsoft SQL Server”
do banco de dados
na página 788.
Para gerenciar banco de dados 783
Tarefa Descrição
Calcular o espaço de Para decidir como reduzir a quantidade do espaço de armazenamento, calcule a quantidade
armazenamento do total de espaço em disco necessária.
banco de dados O armazenamento do banco de dados é baseados nos seguintes fatores:
necessário
■ Tamanho do log e período de tempo do vencimento.
■ O número de computadores-cliente.
■ O número médio de vírus por mês.
■ O número de eventos que você precisa reter para cada log.
■ O número de atualizações de conteúdo.
As atualizações de conteúdo exigem aproximadamente 300 MB cada uma.
na página 622.
Consulte “Para configurar as revisões de conteúdo usadas pelos clientes” na página 621.
■ O número de versões do cliente que você precisa reter para cada idioma.
Por exemplo, se você tiver clientes de 32 e 64 bits, precisará de duas vezes o número de
versões de idiomas.
■ O número de backups que você precisa manter.
O tamanho do backup é de aproximadamente 75% do tamanho do banco de dados,
multiplicados pelo número de cópias de backup que você mantém.
Para obter mais informações sobre como calcular o espaço que você precisa no disco rígido,
consulte o informe oficial da Symantec, Sizing and Scalability Recommendations for Symantec
Endpoint Protection (em inglês).
Tarefa Descrição
Reduzir o volume de O banco de dados recebe e armazena um fluxo constante de entradas nos arquivos de log.
dados do log Você deve gerenciar os dados armazenados no banco de dados para que eles não consumam
todo o espaço livre em disco. O excesso de dados pode causar falha no computador no qual o
banco de dados é executado.
■ Fazer upload somente de alguns logs do cliente para o servidor e altere a frequência com
a qual o upload dos logs do cliente é feito.
Consulte “Especificação do tamanho do log do cliente e de quais fazer upload para o
■ Especificar quantas entradas de log o computador-cliente pode manter no banco de dados
e por quanto tempo pode mantê-las.
Consulte “Como especificar por quanto tempo as entradas de log devem ser mantidas no
banco de dados” na página 793.
■ Filtrar os eventos de risco e de sistema menos importantes para que menos dados sejam
encaminhados ao servidor.
Consulte “Modificação de configurações variadas para Proteção contra vírus e spyware
em computadores Windows” na página 417.
■ Reduzir a quantidade de espaço no diretório onde os dados de log são armazenados antes
de serem inseridos no banco de dados.
Consulte “Sobre aumentar o espaço em disco no servidor para dados de log de clientes”
na página 794.
■ Reduzir a frequência da pulsação, que controla a frequência com que é feito o upload dos
logs dos clientes para o servidor.
Consulte “Configuração do modo de envio ou de instalação pull para atualizar políticas e
conteúdo do cliente” na página 329.
Exportar dados de Por motivos de segurança, talvez seja necessário reter o número de registros de log por um
log para outro período de tempo mais longo. Para manter o volume de dados de log do cliente baixo, você
servidor pode exportar os dados de log para outro servidor.
Criar pacotes de Quanto mais recursos de proteção você instalar com o cliente, mais espaço será ocupado no
instalação do cliente banco de dados pela informações do cliente. Crie o pacote de instalação do cliente com apenas
com apenas a o nível apropriado de proteção de que o computador-cliente precisa. Quanto mais grupos
proteção de que você você adicionar, mais espaço será ocupado no banco de dados pelas informações do cliente.
precisa
Consulte “Para configurar recursos do pacote de instalação do cliente” na página 153.
Agendamento de backups automáticos do banco de dados
Tarefa Descrição
Usar o provedor de Se você tiver pouca largura de banda ou mais de 100 computadores-cliente, use os Provedores
atualizações de de atualizações de grupo para fazer download do conteúdo. Por exemplo, 2.000 clientes que
grupo para fazer usam um Provedor de atualizações de grupo equivalem a usar de quatro a cinco servidores
download do de gerenciamento para fazer download do conteúdo.
conteúdo
Consulte “Para usar Provedores de atualizações de grupo para distribuir conteúdo aos clientes
” na página 632.
Para reduzir o espaço em disco e o tamanho do banco de dados, você pode reduzir o número
de revisões de conteúdo que são mantidas no servidor.

na página 622.
Restaurar o banco de Você pode recuperar um banco de dados corrompido restaurando o banco de dados no mesmo
dados computador em que foi instalado originalmente. Ou você pode instalar o banco de dados em
um computador diferente.
Consulte “Restauração do banco de dados” na página 816.
Consulte “Verificação da conexão com o banco de dados” na página 831.

As informações no banco de dados são armazenadas em tabelas, também chamadas
de esquemas de bancos de dados. Você pode precisar dos esquemas para gravar
consultas para relatórios personalizados. Para obter mais informações, consulte
Referência do esquema do banco de dados de Symantec Endpoint Protection Manager
no seguinte local: Symantec Endpoint Protection documentation site (em inglês).
Agendamento de backups automáticos do banco de

dados
Você pode agendar o backup do banco de dados para ocorrer num momento em
que menos usuários estejam conectados à rede.
Você também pode fazer backup do banco de dados a qualquer momento.
Para agendar backups automáticos do banco de dados
1 No console, clique em Admin e, em seguida, em Servidores.
2 Em Servidores, clique no ícone que representa o banco de dados para
armazenar em backup.
3 Em Tarefas, clique em Editar propriedades do banco de dados.
Agendamento de tarefas automáticas de manutenção do banco de dados
4 Na caixa de diálogo Propriedades do banco de dados, na guia Configurações

de backup, faça as tarefas a seguir.
■ Na lista suspensa Servidor de backup, especifique em que servidor de
gerenciamento você deseja salvar o backup.
■ Marque Fazer backup dos logs se precisar salvar uma cópia dos logs para
fins de segurança ou da política de empresa.
Caso contrário, deixe esta opção desativada, pois os logs usam muito espaço
em disco.
■ Especifique o número de backups se sua política da empresa o exigir.
5 Certifique-se de que Agendar backups esteja marcado e defina o agendamento.

6 Clique em OK.
Agendamento de tarefas automáticas de manutenção

do banco de dados
Após a instalação do servidor de gerenciamento, o espaço no banco de dados cresce
continuamente. O servidor de gerenciamento fica mais lento após algumas semanas
ou meses. Para reduzir o tamanho do banco de dados e melhorar o tempo de
resposta com o banco de dados, o servidor de gerenciamento executa as seguintes
tarefas de manutenção do banco de dados:
■ Trunca o registro de transação.
O registro de transação grava praticamente todas as mudanças ocorridas no
banco de dados. O servidor de gerenciamento remove os dados não utilizados
do registro de transação.
■ Reconstrói o índice.
O servidor de gerenciamento desfragmenta os índices da tabela do banco de
dados para melhorar o tempo necessário para classificar e pesquisar o banco
de dados.
Por padrão, o servidor de gerenciamento executa essas tarefas com base em um
agendamento. Você pode executar as tarefas de manutenção imediatamente ou
ajustar o agendamento para que ele ocorra quando os usuários não estiverem nos
computadores.
Agendamento de tarefas automáticas de manutenção do banco de dados
Nota: Você também pode executar as tarefas de manutenção do banco de dados

no Microsoft SQL Server Management Studio. Porém, é necessário executar essas
tarefas no Symantec Endpoint Protection Manager ou no Management Studio,
mas não em ambos. Consulte o artigo da Base de conhecimento: Create database
maintenance plans in MS SQL Server 2005 using SQL Server Integration Services
(SSIS) (em inglês).
Para executar as tarefas de manutenção do banco de dados sob demanda

1 No console, clique em Admin e, em seguida, em Servidores.
2 Em Servidores, clique no ícone que representa o banco de dados.
3 Em Tarefas, selecione qualquer uma das seguintes opções:
■ Truncar registro de transação agora
■ Reconstruir índices agora
4 Clique em Executar.
5 Após a conclusão da tarefa, clique em Fechar.
Para agendar as tarefas de manutenção do banco de dados para que sejam
executadas automaticamente
4 Na guia Geral, selecione uma ou ambas as seguintes opções e clique em
Agendar tarefa e especifique o agendamento de cada tarefa.
■ Truncar os logs de transações do banco de dados. O agendamento padrão
para essa tarefa é a cada quatro horas.
■ Reconstruir índices. O agendamento padrão para essa tarefa é todo
domingo às 14:00.
Aviso: Se você executar essas tarefas no SQL Server Management Studio,

desmarque essas opções.

Exportação de dados para um servidor Syslog
Aumento do tamanho do arquivo do banco de dados do Microsoft SQL

Server
Se você usar o banco de dados do Microsoft SQL Server, verifique periodicamente
o tamanho do banco de dados para certificar-se de que o banco de dados não atinja
o tamanho máximo. Se possível, aumente o tamanho máximo do banco de dados
do Microsoft SQL Server.
na página 786.
Para aumentar o tamanho do banco de dados do Microsoft SQL Server
1 No servidor de gerenciamento, localize o caminho de instalação do Microsoft
SQL Server.
O caminho padrão é:
C:\Arquivos de programas\Microsoft SQL Server\MSSQL.1\MSSQL\Data.
2 Expanda a pasta de dados, clique com o botão direito do mouse em sem5 e

clique em Propriedades.
3 Na caixa de diálogo Propriedades do Banco de Dados, selecione Arquivos.
4 Em Arquivos do banco de dados, selecione sem5_log1 e role para a direita
para exibir a coluna Aumento automático.
5 Na coluna Aumento Automático, clique no botão ….
6 Na caixa de diálogo Alterar Aumento Automático para sem5_log1, clique
em Aumento de Arquivo Irrestrito e em OK.
7 Clique em OK.
Exportação de dados para um servidor Syslog

Para aumentar o espaço no banco de dados, é possível configurar o servidor de
gerenciamento para enviar os dados de log a um servidor Syslog.
Quando os dados de log forem exportados para um servidor Syslog, será necessário
configurar o servidor Syslog para receber esses logs.
Para exportar dados de log para um servidor Syslog
2 Clique em Servidores.
3 Clique no site local ou remoto do qual você deseja exportar o log.
Exportação de dados de log para um arquivo de texto
4 Clique em Configurar log externo.

5 Na guia Geral, na caixa de listagem Frequência de atualização, selecione
com que frequência enviar os dados de log ao arquivo.
6 Na caixa de listagem Servidor mestre de registro em log, selecione o servidor
de gerenciamento a quem enviar os logs.
Se você usar o SQL Server e conectar vários servidores de gerenciamento ao
banco de dados, especifique somente um servidor como Servidor mestre de
registro em log.
7 Marque Ativar a transmissão de logs para um servidor Syslog.
8 Forneça as seguintes informações:
■ Servidor Syslog
Digite o endereço IP ou nome do domínio do servidor Syslog que você
deseja que receba dados de log.
■ Porta de destino
Selecione o protocolo a ser usado e digite a porta de destino que o servidor
do syslog usa para escutar mensagens de Syslog.
■ Recurso de log
Digite o número do recurso de log que você deseja que o arquivo de
configuração Syslog use ou use o padrão. Os valores válidos variam de 0
a 23.
9 Na guia Filtro de log, marque os logs a exportar.

10 Clique em OK.

Quando você exporta dados dos logs para um arquivo de texto, os arquivos são
colocados por padrão em uma pasta. O caminho da pasta é unidade:\Arquivos de
programas\Symantec\Symantec Endpoint Protection Manager\data\dump. As
entradas são colocadas em um arquivo .tmp até que os logs sejam transferidos
para o arquivo de texto.
Se você não instalou o Symantec Network Access Control, alguns destes logs não
existirão.
Nota: Não é possível restaurar o banco de dados usando os dados do log exportados.
A Tabela 34-2 mostra a correspondência entre os tipos de dados do log e os nomes

dos arquivos de dados do log exportados. Os nomes dos logs não correspondem
diretamente aos nomes dos logs usados na guia Logs da página Monitores.
Tabela 34-2 Nomes de arquivos de texto de log para o Symantec Endpoint

Protection
Dados do log Nome do arquivo de texto
Administração do servidor scm_admin.log
Controle de dispositivos e aplicativos agt_behavior.log
Cliente do servidor scm_agent_act.log
Política do servidor scm_policy.log
Sistema do servidor scm_system.log
Pacote do cliente agt_packet.log
Proteção proativa contra ameaças do agt_proactive.log

cliente
Risco do cliente agt_risk.log
Verificação do cliente agt_scan.log
Segurança do cliente agt_security.log
Sistema do cliente agt_system.log
Tráfego do cliente agt_traffic.log
A Tabela 34-3 mostra a correspondência entre os tipos de dados do log e os nomes

dos arquivos de dados do log exportados para os logs do Enforcer.
Tabela 34-3 Nomes do arquivo de texto do log para os logs do Enforcer
Dados do log Nome do arquivo de texto
Atividade do Enforcer do servidor scm_enforcer_act.log
Atividade do cliente do Enforcer enf_client_act.log
Sistema do Enforcer enf_system.log
Tráfego do Enforcer enf_traffic.log

Exportação de dados do log para um arquivo de texto delimitado por vírgulas
Nota: Ao exportar para um arquivo de texto, o número de logs exportados pode

ser diferente do número estabelecido na caixa de diálogo Log externo. Essa situação
ocorre quando o servidor de gerenciamento é reiniciado. Após reiniciar o servidor
de gerenciamento, a contagem de entrada de log retorna a zero, mas podem já
existir entradas nos arquivos de log temporários. Nessa situação, o primeiro
arquivo *.log de cada tipo que é gerado após a reinicialização contém mais entradas
que o valor especificado. Qualquer arquivo subsequentemente exportado contém
o número correto de entradas.
Para exportar dados do log para um arquivo de texto

3 Clique no site local ou remoto para o qual você deseja configurar o log externo.
4 Clique em Configurar log externo.
5 Na guia Geral, selecione com que frequência você deseja que os dados de log
sejam enviados ao arquivo.
6 Na caixa de listagem Servidor mestre de registro, selecione o servidor ao
qual você deseja enviar os logs.
Caso você use o Microsoft SQL com mais de um servidor de gerenciamento
conectado ao banco de dados, apenas um deles precisará ser um servidor
mestre de log.
7 Selecione Exportar logs para um arquivo de despejo.
8 Se necessário, selecione Limitar os registros de arquivo de despejo e digite
um número de entradas que deseja enviar por vez ao arquivo de texto.
9 Na guia Filtro de log, selecione todos os logs que deseja enviar para os arquivos
de texto.
Se o tipo de log selecionado permitir selecionar o nível de gravidade, selecione
os níveis de gravidade que você deseja exportar.
10 Clique em OK.
Exportação de dados do log para um arquivo de texto

delimitado por vírgulas
Você pode exportar os dados nos logs para um arquivo de texto delimitado por
vírgulas.
Especificação do tamanho do log do cliente e de quais fazer upload para o servidor de gerenciamento
Para exportar logs para um arquivo de texto delimitado por vírgulas

2 Na guia Logs, selecione o log que você deseja exportar.
5 Na caixa de diálogo Download do arquivo, clique em Salvar.
6 Especifique o nome do arquivo e o local e clique em seguida em Salvar.
7 Clique em Fechar.
Especificação do tamanho do log do cliente e de quais

fazer upload para o servidor de gerenciamento
A política da empresa pode exigir que você aumente o tempo e o tipo de eventos
de log que o banco de dados mantém. Você pode especificar o número de entradas
mantidas nos logs e o número de dias que cada entrada é mantida no cliente.
Você pode configurar se vai ou não fazer upload de cada tipo de log do cliente no
servidor e o tamanho máximo dos uploads. Se você optar por não fazer upload
dos logs do cliente, isso terá as seguintes consequências:
■ Você não pode exibir os dados do log do cliente através do console do Symantec
Endpoint Protection Manager usando a guia Logs, na página Monitores.
■ Você não poderá fazer backup dos logs do cliente quando fizer o backup do
banco de dados.
■ Você não poderá exportar os dados do log do cliente para um arquivo ou para
um servidor de log centralizado.
Nota: Algumas configurações do log do cliente são específicas de grupos e algumas

são definidas na política de proteção contra vírus e spyware, que pode seja aplicada
a um local. Se desejar que todas as configurações do log do cliente remoto e do
log do cliente do escritório difiram, será necessário usar grupos em vez de locais
para gerenciar clientes remotos.
Como especificar por quanto tempo as entradas de log devem ser mantidas no banco de dados
Para especificar o tamanho do log do cliente e de quais fazer upload para o servidor
de gerenciamento
1 No console, clique em Clientes e selecione um grupo.
clique em Configurações do log de cliente.
3 Na caixa de diálogo Configurações do log de cliente para nome do grupo,
configure o tamanho máximo do arquivo e o número de dias para manter as
entradas de log.
4 Marque Fazer upload para o servidor de gerenciamento para todos os logs
que você queira que os clientes encaminhem para o servidor.
5 Para os logs de Segurança e de Tráfego, defina o período do amortecedor e
o período ocioso do amortecedor.
Essas configurações determinam com que frequência os eventos da Proteção
contra ameaças à rede são incluídos.
6 Clique em OK.
Como especificar por quanto tempo as entradas de

log devem ser mantidas no banco de dados
Para ajudar a controlar o espaço no disco rígido, é possível diminuir o número de
entradas de log que o banco de dados mantém. Também é possível configurar o
número de dias durante os quais as entradas são mantidas.
Nota: As informações de log no console do Symantec Endpoint Protection Manager,

na guia Logs, página Monitores, é apresentada em grupos lógicos para você
visualizar. Os nomes de log na guia Configurações de registro de propriedades
do site correspondem ao conteúdo do log em vez de aos tipos de log na guia Logs
da página Monitores.

Para especificar por quanto tempo as entradas de log devem ser mantidas no banco
de dados
1 No console, clique em Admin.
2 Em Servidores expanda Site local e clique no banco de dados.
Sobre aumentar o espaço em disco no servidor para dados de log de clientes
4 Na guia Configurações de log, configure o número de entradas e o número

de dias para manter as entradas de log para cada tipo de log.
5 Clique em OK.
Sobre aumentar o espaço em disco no servidor para

dados de log de clientes
Uma configuração que faz upload de um grande volume de dados de log de clientes
para o servidor em intervalos frequentes pode causar problemas de espaço em
disco no servidor. Se você precisar fazer upload de um grande volume de dados
de log do cliente, talvez tenha que ajustar alguns valores padrão para evitar esses
problemas de espaço. À medida que você implementar para os clientes, deverá
monitorar o espaço do diretório de inserção de log no servidor e ajustar esses
valores conforme necessário.
O diretório padrão em que os logs são convertidos para arquivos .dat e gravados
no banco de dados está no seguinte local:
unidade:\Program Files\Symantec\Symantec Endpoint Protection Manager\
data\inbox\log.
Para ajustar os valores que controlam o espaço disponível no servidor, você deve
alterá-los no registro do Windows. As chaves de registro do Windows de que você
necessita para a alteração estão localizadas no servidor, em
Protection\SEPM.
A Tabela 34-4 relaciona as chaves de registro e seus valores padrão e descreve o
que elas fazem.
Tabela 34-4 As chaves de registro que contêm as configurações de upload do

log
Nome do valor Descrição
MaxInboxSpace Especifica o espaço que é destinado ao diretório

onde os arquivos do log são convertidos em
arquivos .dat antes de serem armazenados no
banco de dados.
O valor padrão é de 8 GB.

Como remover dados de log do banco de dados manualmente
Nome do valor Descrição
MinDataFreeSpace Especifica a quantidade mínima de espaço que se

deve manter livre nesse diretório. Essa chave é
útil para assegurar que outros aplicativos que
usam o mesmo diretório tenham espaço suficiente
para que sejam executados sem prejudicar o
desempenho.
O valor padrão é de 200 MB.
IntervalOfInboxSpaceChecking Especifica quanto tempo o servidor de

gerenciamento aguarda antes de verificar a
quantidade de espaço na caixa de entrada
disponível para os dados de log.
O valor padrão é 30 segundos.
Como remover dados de log do banco de dados

manualmente
Você pode realizar uma varredura manual de log após fazer backup do banco de
dados, caso prefira usar esse método como parte da manutenção de rotina do
banco de dados.
Se você permitir que uma varredura automática ocorra, poderá perder alguns
dados de log, caso seus backups do banco de dados não ocorram com frequência
suficiente. Se você realizar uma varredura manual de log regularmente, depois
de ter feito um backup do banco de dados, ela garantirá a manutenção de todos
os seus dados de log. Esse procedimento é muito útil, se você mantiver seus logs
por um período de tempo relativamente longo, como um ano, por exemplo. Você
pode limpar os logs manualmente, mas esse procedimento é opcional e
desnecessário.
Para remover manualmente os dados de log do banco de dados
1 Para impedir uma varredura automática do banco de dados até que ocorra
um backup, aumente o tamanho de log de um site para os valores máximos.
2 Faça o backup, conforme for apropriado.
Como remover dados de log do banco de dados manualmente
3 No computador onde está instalado o gerenciador, abra um navegador da

Web e digite o seguinte URL:
https://localhost:8443/servlet/ConsoleServlet?ActionType=ConfigServer&action
=SweepLogs
Depois de você ter executado essa tarefa, as entradas de log de todos os tipos
de logs são salvas na tabela de banco de dados alternativa. A tabela original
é mantida até que a próxima remoção seja iniciada.
4 Para esvaziar tudo, menos as entradas mais atuais, realize uma segunda
remoção. A tabela original é limpa e, a seguir, as entradas começam a ser
novamente armazenadas nela.
5 Retorne as configurações na guia Configurações de log da caixa de diálogo
Propriedades do site a suas configurações preferidas.
Capítulo 35
Para gerenciar failover e
balanceamento de carga
■ Configuração do failover e balanceamento de carga
■ Sobre o failover e o balanceamento de carga
■ Configuração de uma lista de servidores de gerenciamento
■ Atribuição de uma lista de servidores de gerenciamento a um grupo ou local
Configuração do failover e balanceamento de carga

Os computadores-cliente devem sempre poder se conectar a um servidor de
gerenciamento para fazer o download da política de segurança e para receber
eventos de log.
O failover é usado para manter a comunicação com o Symantec Endpoint Protection
Manager quando o servidor de gerenciamento se tornar indisponível. O
balanceamento de carga é usado para distribuir o gerenciamento de clientes entre
os vários servidores de gerenciamento.
Você pode configurar o failover e o balanceamento de carga se usar um Banco de
dados do Microsoft SQL Server. Você pode configurar o failover com o banco de
dados incorporado, mas somente se usar replicação. Quando você usar a replicação
com um banco de dados incorporado, a Symantec recomenda não configurar o
balanceamento de carga, pois isto pode resultar em inconsistência e perda de
dados.
Para configurar o failover e o balanceamento de carga, você adiciona vários
servidores de gerenciamento ou Enforcers a uma lista de servidores de
gerenciamento.
798 Para gerenciar failover e balanceamento de carga
Sobre o failover e o balanceamento de carga
A Tabela 35-1 lista as tarefas que você deve executar para configurar o failover e
o balanceamento de carga.
Tabela 35-1 Processo para configurar o failover e o balanceamento de carga
Tarefas Descrição
Ler sobre o failover e o Você deve entender se e quando é necessário definir um failover
balanceamento de e configurações do balanceamento de carga.
carga.
Consulte “Sobre o failover e o balanceamento de carga”
na página 798.
Adicionar servidores Você pode usar a lista de servidores de gerenciamento padrão ou

de gerenciamento a adicionar servidores de gerenciamento para obter uma lista de
uma lista de servidores servidores de gerenciamento nova. Uma lista de servidores de
de gerenciamento. gerenciamento inclui os endereços IP ou os nomes do host dos
servidores de gerenciamento aos quais os clientes e Enforcers
podem se conectar.
Consulte “Configuração de uma lista de servidores de

Atribuir a lista de Depois que você criar uma lista de servidores de gerenciamento
servidores de personalizado, será necessário atribuir a lista de servidores de
gerenciamento gerenciamento a um grupo.
personalizado a um
Consulte “Atribuição de uma lista de servidores de gerenciamento
grupo.
a um grupo ou local” na página 802.
Corrigir problemas de Se o servidor de gerenciamento estiver off-line ou o cliente e o

comunicação com o servidor de gerenciamento não se comunicarem, será necessário
servidor de também solucionar o problema.
gerenciamento.
Consulte “Solução de problemas de comunicação entre o servidor
de gerenciamento e o cliente” na página 821.

Você pode instalar dois ou mais servidores de gerenciamento que se comuniquem
com um banco de dados do Microsoft SQL Server e configurá-los para failover ou
balanceamento de carga. Como você pode instalar somente um Symantec Endpoint
Protection Manager para comunicar-se com o banco de dados incorporado, poderá
configurar o failover somente se replicar com outro site. Quando você usar a
replicação com um banco de dados incorporado, a Symantec recomenda que você
Para gerenciar failover e balanceamento de carga 799
não configure o balanceamento de carga, porque poderá resultar em inconsistência

e perda dos dados.
Uma lista de servidores de gerenciamento é uma lista priorizada de servidores de
gerenciamento que é atribuída a um grupo. Você deve adicionar pelo menos dois
servidores de gerenciamento a um site para distribuir automaticamente a carga
entre eles. Você pode instalar mais servidores de gerenciamento do que é necessário
para controlar seus clientes para proteger contra a falha de um servidor de
gerenciamento individual. Em uma lista de servidores de gerenciamento
personalizados, é atribuído um nível de prioridade a cada servidor. Um cliente
que entra na rede seleciona um servidor de prioridade um para se conectar
aleatoriamente. Se o primeiro servidor que ele tentar estiver indisponível e houver
outros servidores de prioridade um na lista, ele tentará aleatoriamente se conectar
a outro. Se nenhum servidor de prioridade um estiver disponível, em seguida o
cliente tentará se conectar a um dos servidores de prioridade dois na lista. Este
método de distribuir conexões do cliente distribui aleatoriamente a carga do cliente
entre seus servidores de gerenciamento.
A Figura 35-1 mostra componentes em sub-redes diferentes. Os servidores de
gerenciamento e os servidores de banco de dados podem estar nas mesmas
sub-redes. Os servidores são identificados com os números 1 e 2, que significam
uma configuração de failover.
Figura 35-1 Configuração de failover
Clientes
1 2
Symantec Endpoint Symantec Endpoint

Protection Manager Protection Manager
Microsoft SQL Server
Em uma configuração de failover, todos os clientes enviam e recebem tráfego do

servidor 1. Se o servidor 1 ficar off-line, todos os clientes enviarão e receberão
tráfego do servidor 2 até que o servidor 1 volte a ficar online. O banco de dados é
ilustrado como uma instalação remota, mas ele também pode ser instalado em
um computador que execute o Symantec Endpoint Protection Manager.
Você também poderá considerar o failover para atualizações de conteúdo, se
pretender usar servidores locais. Todos os componentes que executam o
LiveUpdate também podem usar uma lista priorizada de fontes de atualização.
Os servidores de gerenciamento podem usar um servidor local do LiveUpdate e
um failover para servidores LiveUpdate em outros locais físicos.
Nota: O uso dos servidores internos do LiveUpdate, dos provedores de atualizações

de grupo e da replicação do site não fornece a funcionalidade de balanceamento
de carga. Você não deve configurar vários sites para o balanceamento de carga.

Configuração de uma lista de servidores de gerenciamento

Configuração de uma lista de servidores de

gerenciamento
Por padrão, os servidores de gerenciamento são atribuídos com a mesma prioridade
quando configurados para failover e balanceamento de carga. Se você deseja mudar
a prioridade padrão após a instalação, será possível fazer isso usando o console
do Symantec Endpoint Protection Manager. O failover e o balanceamento de carga
poderão ser configurados somente quando um local incluir mais de um servidor
de gerenciamento.
Para fornecer balanceamento de carga e em roaming:
■ Ative o DNS e coloque um nome de domínio como a única entrada em uma
lista do servidor de gerenciamento personalizada.
■ Ative o recurso de detecção de local do Symantec Endpoint Protection e use
uma lista do servidor de gerenciamento personalizada para cada local. Crie
pelo menos um local para cada um de seus sites.
■ Use um dispositivo de hardware que forneça o failover ou o balanceamento de
carga. Muitos destes dispositivos oferecem também uma configuração para
roaming.
Consulte “Sobre o failover e o balanceamento de carga” na página 798.
Para configurar uma lista de servidores de gerenciamento
2 Expanda Componentes das políticas e, em seguida, clique em Listas de
3 Em Tarefas, clique em Adicionar uma lista de servidores de gerenciamento.
4 Na caixa de diálogo Listas de servidores de gerenciamento, clique em
Adicionar > Novo servidor.
5 Na caixa de diálogo Adicionar servidor de gerenciamento, na caixa Endereço
do servidor, digite o nome de domínio totalmente qualificado ou o endereço
IP de um servidor de gerenciamento ou de um Enforcer.
Se você digitar um endereço IP, certifique-se de que seja estático e de que
todos os clientes possam resolvê-lo.
6 Clique em OK.
7 Adicione os demais servidores, se houver.
Atribuição de uma lista de servidores de gerenciamento a um grupo ou local
8 Para configurar o balanceamento de carga com outro servidor de

gerenciamento, clique em Adicionar > Nova prioridade.
9 Para mudar a prioridade de um servidor para o balanceamento de carga,
selecione um servidor e, em seguida, execute uma destas tarefas:
■ Para fazer com que os clientes se conectem primeiro a esse servidor
específico, clique em Mover para cima.
■ Para dar uma prioridade mais baixa ao servidor, clique em Mover para
baixo.
10 Clique em OK.
Você deve então aplicar a lista de servidores de gerenciamento a um grupo.
Consulte “Atribuição de uma lista de servidores de gerenciamento a um grupo
ou local” na página 802.
Atribuição de uma lista de servidores de

gerenciamento a um grupo ou local
Após adicionar uma política, será necessário atribuí-la a um grupo, local ou ambos.
Você também pode usar a lista de servidores de gerenciamento para mover um
grupo de clientes de um servidor de gerenciamento para outro.
É necessário concluir a adição ou edição de uma lista de servidores de
gerenciamento para que ela possa ser atribuída.
Para atribuir uma lista de servidores de gerenciamento a um grupo e local
2 Na página Políticas expanda Componentes das políticas e clique em Listas
de servidores de gerenciamento.
3 No painel Listas de servidores de gerenciamento, selecione a lista do servidor
de gerenciamento que você quer atribuir.
4 Em Tarefas, selecione Atribuir a lista.
5 Na caixa de diálogo Aplicar lista de servidores de gerenciamento, marque
os grupos e os locais aos quais você quer aplicar a lista do servidor de
gerenciamento.
6 Clique em Atribuir.
7 Clique em Sim.
Para atribuir uma lista de servidores de gerenciamento a um grupo ou local na

página Clientes
1 No console, clique em Clientes > Políticas
2 Na guia Políticas, selecione o grupo e desmarque em seguida Herdar políticas
e configurações do grupo pai.
Não será possível configurar a comunicação de um grupo a menos que o
mesmo não mais herde políticas e configurações de um grupo-pai.
3 Em Políticas e configurações independentes do local, clique em
Configurações de comunicação.
4 Na caixa de diálogo Configurações de comunicações do nome do grupo, em
Lista de servidores de gerenciamento, selecione a respectiva lista.
O grupo previamente selecionado usará essa lista de servidores de
gerenciamento ao comunicar-se com o servidor de gerenciamento.
5 Clique em OK.
Capítulo 36
Para preparar a
recuperação após desastres
■ Para preparar a recuperação após desastres
■ Backup de logs e banco de dados
■ Backup do certificado de servidor
Para preparar a recuperação após desastres

Em caso de falha de hardware ou corrupção do banco de dados, você deverá fazer
backup das informações que serão coletadas após a instalação do Symantec
Endpoint Protection Manager. Em seguida, copie esses arquivos para outro
computador.
Tabela 36-1 Etapas de nível elevado para preparar-se para recuperação após
desastres
Etapa 1 Fazer backup do banco de dados Faça backup do banco de dados regularmente, de preferência
semanalmente.
Por padrão, a pasta de backup do banco de dados é salva ao seguinte

local:
Unidade: \\Arquivos de programas\Symantec\Symantec

Endpoint Protection Manager\data\backup.
O arquivo de backup é denominado data_carimbo_de_hora.zip.

806 Para preparar a recuperação após desastres
Para preparar a recuperação após desastres
Etapa 2 Fazer backup do arquivo de O arquivo de recuperação inclui a senha de criptografia, o ID do

recuperação após desastres domínio dos arquivos de armazenamento de chave, os arquivos de
certificado, os arquivos de licença e os números da porta. Por padrão,
Atualizar ou fazer backup do
o arquivo está localizado no seguinte diretório:
certificado de servidor (opcional)
Unidade:\\Arquivos de programas\Symantec\Symantec
Endpoint Protection Manager\Server Private Key
Backup\recovery_timestamp.zip
Nota: O arquivo de recuperação armazena somente o ID padrão do
domínio. Se você tiver vários domínios, o arquivo de recuperação
não armazenará essas informações. Se você precisar executar a
recuperação após desastres, será necessário adicionar novamente
os domínios.
Se você atualizar o certificado autoassinado para um tipo diferente

de certificado, o servidor de gerenciamento criará um novo arquivo
de recuperação. Como o arquivo de recuperação tem um carimbo
de hora, será possível dizer qual arquivo é o mais recente.
Consulte “Para atualizar ou restaurar um certificado de servidor”

na página 773.
Etapa 3 Salvar o endereço IP e o nome do host Se você tiver uma falha de hardware catastrófica, será necessário
do servidor de gerenciamento em um reinstalar o servidor de gerenciamento que usa o endereço IP e o
arquivo de texto (opcional) nome do host do servidor de gerenciamento original.
Adicionar o endereço IP e o nome do host a um arquivo de texto,

como: Backup.txt.
Etapa 4 Copiar os arquivos dos quais fez Copie os arquivos armazenados em backup em um computador em
backup nas etapas anteriores em um local seguro.
outro computador

Consulte “Backup dos arquivos de licença” na página 127.
Consulte o artigo da Base de conhecimento Best Practices for Disaster Recovery
with the Symantec Endpoint Protection Manager (em inglês).
Para preparar a recuperação após desastres 807
Backup de logs e banco de dados
Backup de logs e banco de dados

A Symantec recomenda fazer backup do banco de dados, pelo menos,
semanalmente. Você deve armazenar o arquivo de backup em outro computador.
Por padrão, o arquivo de backup é salvo na seguinte pasta: Unidade:\Arquivos
de Programas\Symantec\Symantec Endpoint Protection Manager\data\backup.
Os backups são colocados em um arquivo.zip. Por padrão, o arquivo de backup do

banco de dados é nomeado data_carimbodehora.zip, a data em que o backup ocorre.
Nota: Evite salvar o arquivo de backup no diretório de instalação do produto. Caso

contrário, o arquivo de backup será removido quando o produto for desinstalado.
Os dados de logs não são armazenados em backup a menos que você configure o
Symantec Endpoint Protection Manager para fazê-lo. Se você não fizer backup
dos logs, apenas as suas opções de configuração de log serão salvas durante um
backup. Você pode usar o backup para restaurar o banco de dados, mas os logs do
banco de dados estão vazios de dados quando eles são restaurados.
Você pode manter até 10 versões de backup do site. Você deve verificar se tem
espaço em disco suficiente para manter todos os dados se optar por manter várias
versões.
O backup do banco de dados pode levar alguns minutos para ser concluído. Você
pode verificar o log do sistema, assim como a pasta de backup para verificar o
status durante e após o backup.
Você pode fazer backup do banco de dados imediatamente ou agendar o backup
para que ocorra automaticamente. Você pode fazer backup de um banco de dados
interno ou de um banco de dados do Microsoft SQL Server configurado como o
banco de dados do Symantec Endpoint Protection Manager.
Para fazer backup do banco de dados e dos logs
1 No computador que executa o Symantec Endpoint Protection Manager, no
menu Iniciar, clique em Todososprogramas>SymantecEndpointProtection
Manager > Symantec Endpoint Protection Manager Tools > Database Back
Up and Restore.
2 Na caixa de diálogo Database Backup and Restore, clique em Fazer backup.
3 Na caixa de diálogo Fazer backup do banco de dados, selecione Logs de backup
e clique em Sim.
Backup do certificado de servidor
4 Clique em OK.
5 Quando o backup do banco de dados for concluído, clique em Sair.
6 Copie o arquivo do banco de dados de backup em outro computador.
Para fazer backup do banco de dados e dos logs dentro do console
3 Em Tarefas, clique em Fazer backup do banco de dados agora.
4 Na caixa de diálogo Fazer backup do banco de dados, selecione Logs de backup
e clique em Sim.
5 Clique em OK.
6 Clique em Fechar.

Caso o computador no qual o servidor de gerenciamento foi instalado for
corrompido, você deverá fazer o backup da chave privada e do certificado.
Será feito o backup do arquivo de armazenamento de chave JKS durante a
instalação inicial. Também será feito o backup de um arquivo chamado
server_carimbo_de_hora.xml. O arquivo Armazenamento de chave JKS inclui o
par de chaves privada e pública do servidor e o certificado autoassinado.
Para fazer backup do certificado de servidor
2 Em Servidores, clique no servidor de gerenciamento de cujo certificado de
servidor você deseja fazer backup.
em Avançar.
4 No painel Gerenciar certificado de servidor, clique em Fazer backup do
certificado de servidor e em Avançar.
5 No painel Fazer o backup do certificado de servidor, clique em Procurar
para especificar uma pasta de backup e clique em seguida em Abrir.
Observe que você fará o backup do certificado de servidor de gerenciamento
na mesma pasta.
6 No painel Fazer o backup do certificado de servidor, clique em Avançar.
Para preparar a recuperação após desastres 809

Seção 6
Solução de problemas do
Symantec Endpoint
Protection
■ Capítulo 37. Para executar a recuperação após desastres
■ Capítulo 38. Solução de problemas de instalação e de comunicação
■ Capítulo 39. Solução de problemas de geração de relatórios

812
Capítulo 37
Para executar a
recuperação após desastres
■ Para executar a recuperação após desastres
■ Reinstalação ou reconfiguração do Symantec Endpoint Protection Manager
■ Para gerar um novo certificado de servidor
■ Restauração do banco de dados
Para executar a recuperação após desastres

A Tabela 37-1 relaciona as etapas para recuperar o ambiente do Symantec Endpoint
Protection no caso de falha de hardware ou corrupção do banco de dados.
Nota: Este tópico supõe que você se preparou para a recuperação após desastres
e criou arquivos de backup e de recuperação.
814 Para executar a recuperação após desastres
Reinstalação ou reconfiguração do Symantec Endpoint Protection Manager
Tabela 37-1 Processo para executar a recuperação após desastres
Etapa Ação
Etapa 1 Reinstalar o Symantec Endpoint Protection Manager usando um arquivo de

recuperação após desastres.
Reinstalando o servidor de gerenciamento, é possível recuperar os arquivos

que foram salvos após a instalação inicial.
Consulte “Reinstalação ou reconfiguração do Symantec Endpoint Protection

Se você reinstalar o Symantec Endpoint Protection Manager em um

computador diferente e sem usar o arquivo de recuperação após desastres,
deverá gerar um certificado de servidor novo.
Consulte “Para gerar um novo certificado de servidor” na página 815.
Etapa 2 Restaurar o banco de dados.

Consulte o artigo da Base de conhecimento: Perform a disaster recovery when the
database backup/restore process fails using the "Database Backup/Restore Wizard"
for an Embedded Database (em inglês).
Reinstalação ou reconfiguração do Symantec Endpoint

Protection Manager
Se você precisar reinstalar ou reconfigurar o servidor de gerenciamento, poderá
importar todas as configurações usando um arquivo de recuperação após desastres.
Você pode reinstalar o software no mesmo computador e no mesmo diretório de
instalação.
Você também pode usar este procedimento para instalar um site adicional para
replicação.
O Symantec Endpoint Protection Manager cria um arquivo de recuperação durante
a instalação. O arquivo de recuperação é selecionado por padrão durante o processo
de reinstalação.
Para executar a recuperação após desastres 815
Para gerar um novo certificado de servidor
Para reinstalar o servidor de gerenciamento

1 Desinstale o servidor de gerenciamento existente.
2 Instale o servidor usando o disco do produto.
na página 99.
3 No painel Bem-vindo, certifique-se de que a opção Usar um arquivo de
recuperação esteja selecionada e clique em Avançar.
Por padrão, o arquivo de recuperação está localizado em: Unidade:\Arquivos
de Programa\Symantec\Symantec Endpoint Protection Manager\Server
Private Key Backup.
4 Siga as instruções em cada painel. As configurações padrão funcionam para

a maioria de casos. Se o servidor reinstalado se conectar a um banco de dados
existente, altere as configurações do banco de dados para aquelas do banco
de dados existente.
Você também pode restaurar o banco de dados, caso seja necessário. Porém, se o
banco de dados do Symantec Endpoint Protection Manager for hospedado em
outro computador ou não for afetado, você não precisará restaurar o banco de
dados.
Para reconfigurar o servidor de gerenciamento
1 Para reconfigurar o servidor de gerenciamento, clique em Iniciar > Todos os
Programas > Symantec Endpoint Protection Manager > Ferramentas do
Symantec Endpoint Protection Manager > Assistente de Configuração do
2 Para instalar um servidor de gerenciamento para replicação, clique em
Instalar um site adicional.
3 Siga as instruções em cada painel.

Se reinstalar o Symantec Endpoint Protection Manager em um computador
diferente, você deverá gerar um novo certificado de servidor.
Se o computador original estiver corrompido ou você fizer o upgrade do servidor
de gerenciamento de uma versão anterior, será necessário reinstalar o Symantec
Endpoint Protection Manager em um computador diferente. Para reinstalar o
Symantec Endpoint Protection Manager em um computador diferente, instale o
Restauração do banco de dados
servidor de gerenciamento como se fosse pela primeira vez, em vez de usar o

arquivo de recuperação.
Você reinstala as configurações do banco de dados em um computador diferente
usando o backup do banco de dados e restaura o utilitário. Contudo, o certificado
de servidor usado pelo novo servidor de gerenciamento não corresponde ao
certificado de servidor existente no banco de dados restaurado. Como a
comunicação servidor-cliente usa o certificado de servidor, você deverá gerar um
novo certificado de servidor.
Consulte “Reinstalação ou reconfiguração do Symantec Endpoint Protection
2 Em Servidores, clique no servidor de gerenciamento.
em Avançar.
4 No painel Gerenciar certificado de servidor, clique em Gerar novo certificado
de servidor e em Avançar.
5 Clique em Salvar e em Avançar.
Após fazer logon no Symantec Endpoint Protection Manager, você será solicitado
a confiar no novo certificado.
na página 103.

Se o banco de dados for corrompido ou você precisar executar a recuperação após
desastres, será possível restaurar o banco de dados. Para restaurar o banco de
dados, é necessário primeiro ter feito o backup.
Você deve restaurar o banco de dados usando a mesma versão do Symantec
Endpoint Protection Manager que usou para fazer o backup do banco de dados.
Você pode restaurar o banco de dados no mesmo computador em que foi instalado
originalmente ou em um computador diferente.
A restauração do banco de dados pode levar alguns minutos para ser concluída.
Para executar a recuperação após desastres 817
Para restaurar o banco de dados

1 Interrompa o serviço do servidor de gerenciamento.
na página 183.
2 No menu Iniciar, clique em Todos os programas > Symantec Endpoint
Protection Manager > Symantec Endpoint Protection Manager Tools >
Database Back Up and Restore.
3 Na caixa de diálogo Database Backup and Restore, clique em Restaurar.
4 Clique em Sim para confirmar a restauração do banco de dados.
5 Na caixa de diálogo Restaurar site, selecione o arquivo de backup do banco
de dados e clique em OK.
Localize a cópia do arquivo de backup do banco de dados feita quando você
fez backup do banco de dados. Por padrão, o arquivo de backup do banco de
dados é nomeado data_carimbo_de_hora.zip.
6 Clique em OK.
7 Clique em Sair.
8 Reinicie o serviço do servidor de gerenciamento.
Capítulo 38
Solução de problemas de
instalação e de
comunicação
■ Para solucionar problemas do computador com a ferramenta de suporte do

■ Identificação do ponto de falha de uma instalação
■ Solução de problemas de comunicação entre o servidor de gerenciamento e o

cliente
■ Solução de problemas de comunicação entre o servidor de gerenciamento e o

console ou o banco de dados
■ Arquivos de comunicação de cliente e servidor
Para solucionar problemas do computador com a

ferramenta de suporte do Symantec Endpoint
Protection
Você pode fazer o download de um utilitário que diagnostica problemas comuns
encontrados na instalação e uso do Symantec Endpoint Protection Manager ou
do cliente do Symantec Endpoint Protection.
A ferramenta de suporte ajuda a resolver os seguintes problemas:
■ Permite identificar problemas conhecidos de forma rápida e precisa.
820 Solução de problemas de instalação e de comunicação
Identificação do ponto de falha de uma instalação
■ Quando a ferramenta reconhecer um problema, redirecionará você aos recursos

para que você mesmo resolva o problema.
■ Quando um problema não for resolvido, a ferramenta permitirá enviar dados
ao suporte facilmente para diagnósticos adicionais.
Para solucionar problemas do computador com a ferramenta de suporte do
■ Consulte o artigo da Base de conhecimento:The Symantec Diagnostic and
Product Advisor (em inglês).
■ No console, clique em Ajuda > Ferramenta de suporte de download
2 Siga as instruções na tela.
Identificação do ponto de falha de uma instalação

O Windows Installer e o Assistente de Implementação por envio criam arquivos
de log que podem ser usados para verificar se uma instalação foi bem-sucedida
ou não. Os arquivos de log relacionam os componentes que foram instalados com
êxito e oferecem mais detalhes relacionados com o pacote de instalação. Use o
arquivo de log para ajudar a identificar o componente ou a ação que causou a falha
na instalação. Se você não pode determinar a razão da falha na instalação, retenha
o arquivo de log. Envie-o ao Suporte Técnico da Symantec se for necessário.
Nota: Sempre que o pacote de instalação for executado, o arquivo de log será
sobrescrito.
Para identificar o ponto de falha de uma instalação

1 Em um editor de texto, abra o arquivo de log gerado pela instalação.
2 Para encontrar falhas, pesquise a seguinte entrada:
Value 3
A ação anterior da linha que contém essa entrada provavelmente é a ação

que causou a falha. As linhas exibidas após essa entrada são componentes de
instalação que foram revertidos, pois a instalação não foi bem-sucedida.
Solução de problemas de instalação e de comunicação 821
Solução de problemas de comunicação entre o servidor de gerenciamento e o cliente
Solução de problemas de comunicação entre o

servidor de gerenciamento e o cliente
Se há problemas com a comunicação entre o cliente e o servidor, verifique primeiro
se não há problemas de rede. Também deve ser verificada a conectividade de rede
antes de chamar o suporte técnico da Symantec.
É possível testar a comunicação entre o cliente e o servidor de gerenciamento de
diversas maneiras.
Tabela 38-1 Verificação da conexão entre o cliente e o servidor de gerenciamento
O que verificar Solução
Consulte o cliente para ver se Você pode fazer o download e exibir o arquivo de solução
ele se conecta ao servidor de de problemas no cliente para verificar as configurações de
gerenciamento comunicação.
Consulte “Como determinar se o cliente está conectado e

protegido” na página 757.
Consulte “Para verificar a conexão ao servidor de

gerenciamento no computador-cliente” na página 823.
Consulte “Investigação de problemas da proteção usando o

arquivo da solução de problemas no cliente” na página 823.
Teste a conectividade entre Você pode executar diversas tarefas para verificar a
o cliente e o servidor de conectividade entre o cliente e o servidor de gerenciamento.
gerenciamento
■ Consulte “Ativação e exibição do log de acesso para
verificar se o cliente se conectará ao servidor de
■ Fazer ping no servidor de gerenciamento no
computador-cliente.
Consulte “Uso do comando ping para testar a
conectividade com o servidor de gerenciamento”
na página 826.
■ Usar um navegador da Web no computador-cliente para
se conectar ao servidor de gerenciamento.
Consulte “Para usar um navegador para testar a
conectividade ao Symantec Endpoint Protection Manager
no cliente do Symantec Endpoint Protection”
na página 826.
Verifique se o servidor de Se você reinstalar o Symantec Endpoint Protection Manager,

gerenciamento usa o certifique-se de que o certificado de servidor correto seja
certificado de servidor aplicado. Se o servidor de gerenciamento usar um certificado
correto de servidor diferente, o servidor ainda fará o download do
conteúdo, mas o cliente não poderá lê-lo.. Se o servidor de
gerenciamento usar o certificado de servidor errado, você
deverá atualizá-lo.
Consulte “Para atualizar ou restaurar um certificado de

servidor” na página 773.
Consulte “Melhores práticas para atualizar certificados de

servidor e manter a conexão do servidor-cliente”
na página 771.
Você pode conferir se o servidor de gerenciamento usa o
certificado de servidor errado verificando os seguintes itens:
■ O cliente não exibe o ponto verde na barra de tarefas, o

que indica que ele não se comunica com o servidor de
gerenciamento.
Consulte “Para determinar se o cliente está conectado
no console” na página 240.
■ O cliente não recebe atualizações da política do servidor
de gerenciamento.
■ O servidor de gerenciamento mostra que há conexão
com o cliente.
Consulte “Como determinar se o cliente está conectado
e protegido” na página 757.
Procure quaisquer problemas Deve ser analisado se não há algum problema de rede,
de rede verificando os seguintes itens:
■ Teste a conectividade entre o cliente e o servidor de

gerenciamento primeiro. Se o computador-cliente não
puder fazer ping ou executar o Telnet no servidor de
gerenciamento, será necessário verificar o serviço DNS
do cliente.
■ Verifique o caminho de roteamento do cliente.
■ Verifique se o servidor de gerenciamento não tem um
problema de rede.
■ Verifique se o firewall do Symantec Endpoint Protection
(ou algum firewall de terceiros) não causa problema de
rede.
Verifique os logs de Pode ser usado o log de depuração no cliente para

depuração no cliente determinar se o cliente tem problemas de comunicação.
Consulte “Verificação de logs de depuração no
Consulte “Verificação dos logs da caixa de entrada no

Recupere a comunicação Se os clientes perderam a comunicação com um servidor de

perdida do cliente gerenciamento, é possível usar uma ferramenta para
recuperar o arquivo de comunicação.
Consulte “Para recuperar configurações de comunicação do

cliente usando a ferramenta SylinkDrop” na página 828.
Se o Symantec Endpoint Protection Manager exibir erros de registro em log ou

códigos de erro de HTTP, consulte o seguinte artigo da Base de conhecimento:
Solução de problemas de comunicação do Symantec Endpoint Protection Manager.
Para verificar a conexão ao servidor de gerenciamento no

computador-cliente
Se você tiver um cliente gerenciado, poderá verificar sua conexão ao servidor de
gerenciamento. Se você não estiver conectado ao servidor de gerenciamento,
poderá pedir que seu cliente se conecte.
Para verificar a conexão ao servidor de gerenciamento no computador-cliente
1 Na página Status, clique em Ajuda > Solução de problemas.
2 Na caixa de diálogo Solução de problemas, clique em Status de conexão.
3 No painel Status da conexão, você poderá ver a última tentativa de conexão
e a conexão bem-sucedida mais recente.
4 Para restabelecer uma conexão com o servidor de gerenciamento, clique em
Conectar agora.
Investigação de problemas da proteção usando o arquivo da solução

de problemas no cliente
Para investigar problemas do cliente, você pode examinar o arquivo
Troubleshooting.txt no computador-cliente. O arquivo Troubleshooting.txt
contém informações sobre políticas, definições de vírus e outros dados relacionados

ao cliente.
O Suporte Técnico da Symantec pode pedir que você envie o arquivo
Troubleshooting.txt por e-mail.

Para exportar o arquivo da solução de problemas no cliente
1 No computador-cliente, abra o cliente.
2 No cliente, clique em Ajuda > Solução de problemas.
3 No painel Gerenciamento, em Dados de solução de problemas, clique em
Exportar.
4 Na caixa de diálogo Salvar como, aceite o nome padrão do arquivo de solução
de problemas ou digite um novo nome de arquivo e clique em Salvar.
Você pode salvar o arquivo na área de trabalho ou em uma pasta de sua
escolha.
5 Usando um editor de texto, abra o Troubleshooting.txt para examinar o
conteúdo.
Ativação e exibição do log de acesso para verificar se o cliente se

conectará ao servidor de gerenciamento
Você poderá exibir o logon de acesso do servidor HTTP Apache no servidor de
gerenciamento para verificar se o cliente se conectará ao servidor de
gerenciamento. Se o cliente se conectar, o problema de conexão do cliente
provavelmente não será um problema de rede. Os problemas de rede incluem o
firewall que bloqueia o acesso ou as redes que não se conectam entre si.
Você deve primeiro ativar o log de acesso do servidor HTTP Apache para poder
exibir o log.
Nota: Desative o log depois que você o exibir porque ele usa recursos da CPU e
espaço no disco rígido desnecessários.

Para ativar o log de acesso do servidor HTTP Apache

1 Em um editor de texto, abra o arquivo unidade:\Arquivos de
programas\Symantec\Symantec Endpoint Protection
Manager\Apache\conf\httpd.conf.
2 No arquivo httpd.conf, remova a marca de hash (#) da seguinte string de

texto e salve em seguida o arquivo:
#CustomLog "logs/access.log" combined
3 Interrompa e reinicie o serviço do Symantec Endpoint Protection Manager e

o servidor HTTP Apache:
na página 183.
Consulte “Interrupção e inicialização do servidor Web Apache” na página 825.
Para exibir o log de acesso do servidor HTTP Apache
1 No servidor de gerenciamento, abra unidade:\Arquivos de
programas\Symantec\Symantec Endpoint Protection
Manager\apache\logs\access.log
2 Procure pelo endereço IP ou pelo nome do host de um computador-cliente
que indique que os clientes se conectaram ao servidor HTTP Apache.
3 Desative o log de acesso do servidor HTTP Apache.
Interrupção e inicialização do servidor Web Apache

Quando você instalar o Symantec Endpoint Protection Manager, ele instalará o
servidor Web Apache. O servidor Web Apache é executado como um serviço
automático. Pode ser necessário interromper e reiniciar o servidor da Web para
ativar o log de acesso do servidor HTTP Apache.
Consulte “Ativação e exibição do log de acesso para verificar se o cliente se
conectará ao servidor de gerenciamento” na página 824.
Para interromper o servidor Web Apache
net stop semwebsrv
Para iniciar o servidor Web Apache

net start semwebsrv
Uso do comando ping para testar a conectividade com o servidor de

gerenciamento
É possível tentar fazer ping no servidor de gerenciamento no computador-cliente
para testar a conectividade.
Para usar o comando ping para testar a conectividade com o servidor de
gerenciamento
1 No cliente, abra um prompt de comando.
2 Digite o comando ping. Por exemplo:
ping nome
onde o nome é o nome do computador do servidor de gerenciamento. Você
pode usar o endereço IP do servidor no lugar do nome do computador. Em
ambos os casos, o comando deve retornar o endereço IP correto do servidor.
Se o comando ping não retornar o endereço correto, verifique o serviço DNS
para o cliente e verifique seu caminho de roteamento.
Para usar um navegador para testar a conectividade ao Symantec

Endpoint Protection Manager no cliente do Symantec Endpoint
Protection
Você pode usar um navegador da Web no computador-cliente para testar a
conectividade entre o cliente e o servidor de gerenciamento. Este método ajuda a
determinar se o cliente tem um problema com a conexão ou a rede ou um problema
com o cliente.
Você também pode verificar a conexão entre o servidor de gerenciamento no
computador-cliente usando os seguintes métodos:
■ Para verificar se o ícone de status do cliente do Symantec Endpoint Protection
mostra um ponto verde.
Consulte “Como determinar se o cliente está conectado e protegido”
na página 757.
■ Para verificar o status de conexão no cliente do Symantec Endpoint Protection.
Para usar um navegador para testar a conectividade ao Symantec Endpoint

Protection Manager no cliente do Symantec Endpoint Protection
1 No computador-cliente, abra um navegador da Web, como o Internet Explorer.
2 Na linha de comando do navegador, digite o comando a seguir:
http://endereço do servidor de
gerenciamento:8014/secars/secars.dll?hello,secars
onde endereço do servidor de gerenciamento é o nome do DNS, nome do NetBios
ou endereço IP do servidor de gerenciamento.
3 Quando a página da Web for exibida, procure um dos seguintes resultados:
■ Se a palavra OK é exibida, o computador-cliente conectará o servidor de
gerenciamento. Verifique a existência de problemas no cliente.
■ Se a palavra OK não for exibida, o computador-cliente não se conectará
ao servidor de gerenciamento. Verifique as conexões de rede do cliente e
se os serviços de rede estão sendo executados no computador-cliente.
Verifique o serviço DNS para o cliente e seu caminho de roteamento.
Verificação de logs de depuração no computador-cliente

É possível verificar o log de depuração no cliente. Se o cliente tem problemas de
comunicação com o servidor de gerenciamento, as mensagens de status sobre o
problema de conexão aparecem no log.
Você pode verificar o log de depuração usando os seguintes métodos:
■ No cliente, no menu Ajuda e suporte, na caixa de diálogo Solução de problemas,
clique em Editar configurações do log de depuração e digite um nome para o
log. Clique então em Exibir log.
■ É possível usar o registro do Windows para ativar a depuração no cliente.
A chave do registro do Windows pode ser encontrada no seguinte local:
Protection\SMC\smc_debuglog_on
Verificação dos logs da caixa de entrada no servidor de gerenciamento

É possível usar uma chave de registro do Windows para gerar logs sobre a atividade
na caixa de entrada do servidor de gerenciamento. Quando a chave de registro do
Windows for modificada, os logs (ersecreg.log e exsecars.log) serão gerados pelo

servidor de gerenciamento. Estes logs podem ser exibidos para solucionar
problemas de comunicação do cliente e do servidor.
Consulte “Verificação de logs de depuração no computador-cliente” na página 827.
Para verificar os logs da caixa de entrada no servidor de gerenciamento
1 No servidor de gerenciamento, em
Protection\SEPM, defina o valor de DebugLevel para 3.
Tipicamente, a caixa de entrada aparece no seguinte local no computador do
servidor de gerenciamento:
\Program Files\Symantec\Symantec Endpoint Protection Manager\data\

inbox\log
2 Abra o log com o Bloco de Notas.
Para recuperar configurações de comunicação do cliente usando a

ferramenta SylinkDrop
O arquivo Sylink.xml inclui configurações de comunicação entre o cliente e um
servidor do Symantec Endpoint Protection Manager. Se os clientes perderam a
comunicação com um servidor de gerenciamento, é necessário substituir o antigo
arquivo Sylink.xml por um arquivo novo. A ferramenta SylinkDrop substitui
automaticamente o arquivo Sylink.xml no computador-cliente por um novo arquivo
Sylink.xml.
Nota: Você pode também substituir o arquivo Sylink.xml reimplementando um

pacote de instalação do cliente. Use este método para um número grande de
computadores, para computadores que você não pode facilmente acessar
fisicamente ou computadores que exijam acesso administrativo.Consulte “Para
restaurar as comunicações cliente-servidor usando um pacote de instalação do
Quando você executa a ferramenta SylinkDrop, também pode executar as tarefas

a seguir:
■ Migrar ou mover clientes para um novo domínio ou servidor de gerenciamento.
■ Restaurar as rupturas de comunicação do cliente que não podem ser corrigidas

no servidor de gerenciamento.
■ Mover um cliente de um servidor para outro que não seja um parceiro de
replicação.
■ Mover um cliente de um domínio para outro.
■ Converte um cliente não gerenciado em um cliente gerenciado.
■ Converter um cliente gerenciado em um cliente não gerenciado.
Você pode gravar um script com a ferramenta para modificar as configurações
de comunicação de um grande número de clientes.
Nota: Você deve desativar a Proteção contra adulterações para usar a ferramenta
SylinkDrop.exe. Você pode também criar uma exceção de Proteção contra
adulterações para a ferramenta SylinkDrop.exe.

na página 450.
Consulte “Para criar uma exceção da Proteção contra adulterações” na página 586.
Para recuperar as configurações de comunicação do servidor do cliente usando a
ferramenta SylinkDrop
1 No console, exporte o arquivo de comunicações do grupo que está conectado
ao servidor de gerenciamento ao qual você deseja que o computador-cliente
se conecte. O arquivo de comunicações é o arquivo Sylink.xml.
2 Copie o arquivo de comunicação no computador-cliente.
Você pode salvar o arquivo em um local de rede, enviá-lo por e-mail ao usuário
no computador-cliente ou copiá-lo para a mídia removível.
■ No disco do produto das ferramentas, localize
\Tools\SylinkDrop\SylinkDrop.exe.
Solução de problemas de comunicação entre o servidor de gerenciamento e o console ou o banco de dados
■ No computador que executa o servidor de gerenciamento, localize

unidade:\Arquivos de programas (x86)\Symantec\Symantec Endpoint
Protection\número da versão\Bin\SylinkDrop.exe
Você pode executar a ferramenta remotamente ou salvá-la e executá-la no

computador-cliente. Se você usar a ferramenta na linha de comando, leia o
arquivo SylinkDrop.txt para ter acesso a uma lista dos parâmetros de comando
da ferramenta.
4 Na caixa de diálogo Sylink Drop, clique em Procurar e localize o arquivo .xml
implementado no computador-cliente na etapa 2.
5 Clique em Atualizar Sylink.
6 Se uma caixa de diálogo de confirmação for exibida, clique em OK.
7 Na caixa de diálogo Sylink Drop, clique em Sair.
Solução de problemas de comunicação entre o

servidor de gerenciamento e o console ou o banco de
dados
Se você tiver um problema de conexão com o console ou o banco de dados, poderá
ver um dos seguintes sintomas:
■ O serviço do servidor de gerenciamento (semsrv) é interrompido.
■ O serviço do servidor de gerenciamento não permanece em estado iniciado.
■ As páginas Início, Monitores e Relatórios exibem um erro de HTTP.
■ As páginas Início, Monitores e Relatórios estão em branco.
■ As páginas Início, Monitores e Relatórios exibem uma barra de andamento
continuamente carregando, sem exibir nenhum conteúdo.
Todos estes problemas exibem um erro Java -1 no log de eventos do Windows.
Para encontrar a causa específica para o erro Java -1, verifique o log do scm-server.
O log do scm-server está localizado normalmente no seguinte local:
C:\Arquivos de programa\Symantec\Symantec Endpoint Protection
Manager\tomcat\logs\scm-server-0.log
Tabela 38-2 Verificação da comunicação com o console ou o banco de dados
O que verificar Descrição
Teste a conectividade entre Você pode verificar se o servidor de gerenciamento e o banco

o banco de dados e o de dados se comunicam corretamente.
Consulte “Verificação da conexão com o banco de dados”
na página 831.
Verifique se o tamanho da Você pode precisar ajustar o tamanho da pilha de forma que
memória do servidor de seja apropriado para o sistema operacional do servidor de
gerenciamento está correto. gerenciamento. Se você não conseguir fazer login no console
remoto do servidor de gerenciamento ou se visualizar uma
mensagem avisando que está sem memória no log do
scm-server, poderá ser necessário aumentar a memória. O
tamanho padrão da memória para o Symantec Endpoint
Protection Manager é 256 MB.
Verifique se o servidor de Você pode verificar se o servidor de gerenciamento executa

gerenciamento não tem vários pacotes de software que usam versões diferentes do
várias versões do PHP em PHP. O PHP procura um arquivo de configuração global
execução. (php.ini). Se houver vários arquivos de configuração, será
necessário forçar cada produto a usar seu próprio intérprete.
Quando cada produto usar a versão correta do PHP associado
a ele, o servidor de gerenciamento funcionará corretamente.
Verifique os requisitos do Você pode verificar se o cliente e o servidor de gerenciamento

sistema. executam os requisitos do sistema recomendados ou o
mínimo.
Para verificar os requisitos do sistema mais atuais, consulte:
Release Notes and System Requirements for all versions of
Symantec Endpoint Protection and Symantec Network Access
Control (em inglês)
Verificação da conexão com o banco de dados

O servidor de gerenciamento e o banco de dados podem não se comunicar
corretamente. Você deve verificar se o banco de dados executa e testa em seguida
a conexão entre o servidor e o banco de dados.
Se o servidor de gerenciamento executar o banco de dados Sybase incorporado,
execute as seguintes etapas:
■ Verifique se o serviço incorporado de banco de dados da Symantec está em
execução e se o processo dbsrv9.exe escuta a porta TCP 2638.
■ Teste a conexão de ODBC.
Se o servidor de gerenciamento executar o banco de dados remoto do SQL, execute

as seguintes ações:
■ Verifique se você especificou uma instância nomeada quando o Symantec
Endpoint Protection Manager foi instalado e configurado.
■ Verifique se SQL Server está em execução e foi configurado corretamente.
■ Verifique se a conexão de rede entre o servidor de gerenciamento e o banco de
dados do SQL está correta.
■ Teste a conexão de ODBC.
Para verificar a comunicação com o banco de dados incorporado
1 No servidor de gerenciamento, clique em Iniciar > Painel de controle >
Ferramentas administrativas.
2 Na caixa de diálogo Ferramentas administrativas, clique duas vezes em Fontes
de dados (ODBC).
3 Na caixa de diálogo Administrador da fonte de dados de ODBC, clique em DSN
do sistema.
4 Na guia DSN do sistema, clique duas vezes em
SymantecEndpointSecurityDSN.
5 Na guia ODBC, verifique se a lista suspensa do nome da fonte de dados é
SymantecEndpointSecurityDSN e digite uma descrição opcional.
6 Clique em Login.
7 Na guia Login, na caixa de texto ID do usuário, digite dba.
8 Na caixa de texto Senha, digite a senha para o banco de dados.
Esta senha é a que você digitou para o banco de dados quando o servidor de
gerenciamento foi instalado.
9 Clique em Banco de dados.
10 Na guia Banco de dados, na caixa de texto Nome do servidor, digite
<\\servername\instancename>.
Se você usar a versão em inglês do Symantec Endpoint Protection Manager,
digite o padrão, sem5. Caso contrário, deixe a caixa de texto Nome do servidor
em branco.
11 Na guia ODBC, clique em Testar conexão e verifique se obteve êxito.
12 Clique em OK.
13 Clique em OK.
Arquivos de comunicação de cliente e servidor
Para verificar a comunicação com o banco de dados do SQL

1 No servidor de gerenciamento, clique em Iniciar > Painel de controle >
Ferramentas administrativas.
2 Na caixa de diálogo Ferramentas administrativas, clique duas vezes em Fontes
de dados (ODBC).
3 Na caixa de diálogo Administrador da fonte de dados de ODBC, clique em DSN
do sistema.
4 Na guia DSN do sistema, clique duas vezes em
SymantecEndpointSecurityDSN.
5 Na lista suspensa Servidor, verifique se o servidor e a instância corretos foram
selecionados.
7 Para o ID de login, digite sa.
8 Na caixa de texto Senha, digite a senha para o banco de dados.
Esta senha é a que você digitou para o banco de dados quando o servidor de
gerenciamento foi instalado.
9 Clique em Avançar e certifique-se de que sem5 esteja selecionado para o banco
de dados padrão.
12 Clique em Testar fonte de dados e procure o resultado que indica:
TESTES CONCLUÍDOS COM ÊXITO!

As configurações de comunicação entre o cliente e o servidor e outras configurações
do cliente são armazenadas em arquivos no computador-cliente.
Tabela 38-3 Arquivos do cliente
Nome do arquivo Descrição
SerDef.dat Um arquivo criptografado que armazena configurações de

comunicação por local. Sempre que o usuário mudar os locais, o
arquivo SerDef.dat será lido e as configurações apropriadas de uma
comunicação do novo local serão aplicadas ao cliente.
Nome do arquivo Descrição
sylink.xml Armazena as configurações de comunicação globais. Este arquivo é

para uso interno somente e não deve ser editado. Contém configurações
do Symantec Endpoint Protection Manager. Se você editar este arquivo,
a maioria das configurações será sobrescrita pelas configurações do
servidor de gerenciamento da próxima vez que o cliente conectar-se
ao servidor de gerenciamento.
SerState.dat Um arquivo criptografado que armazena informações sobre a interface

do usuário, como o tamanho da tela do cliente, se o console do cliente
de Proteção contra ameaças à rede aparecer e se os serviços do
Windows aparecerem. Quando o cliente começar, ele lerá este arquivo
e retornará ao mesmo estado da interface do usuário anterior à
interrupção.
Capítulo 39
Solução de problemas de
geração de relatórios
■ Solução de problemas de geração de relatórios
■ Alteração de parâmetros do tempo limite para verificar relatórios e logs
■ Acesso a páginas de relatórios quando o uso de endereços do loopback estiver

desativado
■ Sobre a recuperação de um log de sistemas do cliente em computadores de 64

bits
Solução de problemas de geração de relatórios

Você deve conhecer as seguintes informações ao usar os relatórios:
■ Os carimbos de hora, incluindo horários de verificação do cliente, nos relatórios
e nos logs são fornecidos no horário local do usuário. O banco de dados de
relatórios contém eventos no horário do Meridiano de Greenwich (GMT).
Quando você cria um relatório, os valores do GMT são convertidos na hora
local do computador no qual você exibe os relatórios.
■ Se os clientes gerenciados estiverem em um fuso horário diferente do servidor
de gerenciamento e você usar a opção do filtro Definir datas específicas, podem
ser exibidos resultados inesperados. A precisão dos dados e do horário no
cliente e no servidor de gerenciamento pode ser afetada.
■ Se você alterar o fuso horário no servidor, faça logoff do console e faça o logon
novamente para ver os horários exatos nos logs e relatórios.
836 Solução de problemas de geração de relatórios
Solução de problemas de geração de relatórios
■ Em alguns casos, os dados do relatório não têm uma correspondência direta

com a informação exibida nos produtos de segurança. Essa falta de
correspondência ocorre porque o software do relatório adiciona eventos de
segurança.
■ Você pode usar SSL com funções de relatório para aumentar a segurança. O
SSL oferece confidencialidade, integridade de seus dados e autenticação entre
o cliente e o servidor.
Consulte o artigo da Base de conhecimento: Configuring Secure Sockets Layer
(SSL) to work with the Symantec Endpoint Protection reporting functions on
Windows Server 2003. (em inglês)
■ As informações sobre a categoria de riscos são obtidas no site do Symantec
Security Response. Até que o console do Symantec Endpoint Protection
Manager possa recuperar essas informações, todos os relatórios que você gerar
mostrarão Desconhecido nos campos da categoria do risco.
■ Os relatórios gerados fornecem uma visão precisa dos computadores
comprometidos na rede. Eles estão baseados nos dados de logs, em vez de usar
os dados do registro do Windows.
■ Se forem gerados erros no banco de dados ao executar um relatório que inclui
uma grande quantidade de dados, convém alterar os parâmetros do tempo
limite do banco de dados.
Consulte “Alteração de parâmetros do tempo limite para verificar relatórios
e logs” na página 837.
■ Se surgirem erros CGI ou de processos concluídos, convém alterar outros
parâmetros do tempo limite.
Para obter mais informações, consulte o seguinte documento no artigo da Base
de conhecimento: SAV Reporting Server or SEPM Reporting does not respond
or shows a timeout error message when querying large amounts of data. (em
inglês)
■ Se você desativar os endereços de loopback no computador, as páginas de
geração de relatórios não serão exibidas.
Consulte “Acesso a páginas de relatórios quando o uso de endereços do loopback
estiver desativado” na página 839.
■ Se o log do Sistema for corrompido em um cliente de 64 bits, será possível ver
uma mensagem de erro não especificada nos logs do Sistema no console do
Consulte “Sobre a recuperação de um log de sistemas do cliente em
computadores de 64 bits” na página 840.
As seguintes informações são importantes se você tem computadores na rede que
executam versões legadas do Symantec AntiVirus:
Solução de problemas de geração de relatórios 837
Alteração de parâmetros do tempo limite para verificar relatórios e logs
■ Ao usar filtros de relatórios e logs, os grupos de servidores são categorizados

como domínios. Os grupos de clientes são categorizados como grupos e os
servidores pai, como servidores.
■ Se você gerar um relatório que inclui computadores legados, os campos de
endereço IP e endereço MAC exibirão Nenhum.
■ As funções de geração de relatórios usam uma pasta temporária, unidade:\
Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Temp.
Convém agendar suas próprias tarefas automatizadas para limpar
periodicamente esta pasta temporária. Se você fizer isso, não exclua o arquivo
LegacyOptions.inc, se ele existir. Se esse arquivo for excluído, você perderá os
dados de entrada dos logs do cliente do Symantec AntiVirus legado.
Alteração de parâmetros do tempo limite para

verificar relatórios e logs
Se forem gerados erros no banco de dados ao exibir relatórios ou logs que
contenham uma grande quantidade de dados, você poderá fazer as seguintes
alterações:
■ Alterar o tempo limite de conexão do servidor Microsoft SQL
■ Alterar o tempo limite dos comandos do servidor Microsoft SQL
Os padrões de relatórios para esses valores são:
■ O tempo limite da conexão é de 300 segundos (5 minutos).
■ O tempo limite dos comandos é de 300 segundos (5 minutos).
Para mudar valores de tempo limite do Microsoft SQL Server em Reporter.php
1 Procure a seguinte pasta no servidor do Symantec Endpoint Protection
Manager:
unidade:\Arquivos de programas\Symantec\Symantec Endpoint Protection
Manager\Inetpub\Geração de relatórios\Recursos
2 Abra o arquivo Reporter.php com um editor de texto simples, tal como Bloco
de Notas.
3 Encontre a linha $CommandTimeout e aumente o valor (em segundos). Se a
linha não existir, crie-a. Por exemplo, para aumentar o período de tempo
limite para 10 minutos, mude a linha para o seguinte valor:
$CommandTimeout = 600;
Alteração de parâmetros do tempo limite para verificar relatórios e logs
4 Encontre a linha $ConnectionTimeout e aumente o valor (em segundos). Se

a linha não existir, crie-a. Por exemplo, para aumentar o período de tempo
limite para 10 minutos, mude a linha para o seguinte valor:
$ConnectionTimeout = 600;
5 Salve e feche o arquivo Reporter.php.
Nota: Se o valor especificado for zero, ou se os campos forem deixados em branco,

as configurações padrão serão usadas.
Se surgirem erros CGI ou de processos concluídos, convém alterar outros

parâmetros do tempo limite:
■ parâmetro max_execution_time no arquivo Php.ini
■ Os parâmetros de tempo limite de Apache, FcgidIOTimeout, FcgidBusyTimeout
e FcgidIdleTimeout, no arquivo httpd.conf
Para mudar os valores de tempo limite em Php.ini
1 Procure a unidade:\Arquivos de programas\Symantec\Symantec Endpoint
Protection Manager\Diretório PHP.
2 Clique com o botão direito do mouse no arquivo Php.ini e clique em
Propriedades.
3 Na guia Geral, desmarque Somente leitura.
4 Clique em OK.
5 Abra o arquivo Php.ini com um editor de texto simples, tal como Bloco de
Notas.
6 Localize a entrada max_execution_time e aumente o valor (em segundos).
Por exemplo, para aumentar o tempo limite para 10 minutos, mude a linha
para o seguinte valor:
max_execution_time=600
7 Salve e feche o arquivo Php.ini.
8 Clique com o botão direito do mouse no arquivo Php.ini e clique em
Propriedades.
9 Na guia Geral, marque Somente leitura.
10 Clique em OK.
Solução de problemas de geração de relatórios 839
Acesso a páginas de relatórios quando o uso de endereços do loopback estiver desativado
Para mudar valores de tempo limite em httpd.conf

1 Procure a unidade:\Arquivos de programas\Symantec\Symantec Endpoint
Protection Manager\Apache\Diretório conf.
2 Abra o arquivo httpd.conf com um editor de texto simples, tal como Bloco de
Notas.
3 Localize as seguintes linhas e aumente os valores (em segundos):
■ FcgidIOTimeout 1800
■ FcgidBusyTimeout 1800
■ FcgidIdleTimeout 1800
4 Salve e feche o arquivo httpd.conf.
Acesso a páginas de relatórios quando o uso de

endereços do loopback estiver desativado
Se você desativar os endereços de loopback no computador, as páginas de geração
de relatórios não serão exibidas. Se você tentar fazer logon no console do Symantec
Endpoint Protection Manager ou acessar as funções de geração de relatórios, você
verá a seguinte mensagem de erro:
Não é possível se comunicar com o componente de relatórios
As páginas Início, Monitores e Relatórios estarão vazias; as páginas Políticas,
Clientes e Administrador terão o aspecto e o funcionamento normais.
Para fazer com que os componentes de Relatórios sejam exibidos quando você
desativar endereços de loopback, é necessário associar a palavra localhost ao
endereço IP do seu computador. Você pode editar o arquivo hosts do Windows
para associar o localhost a um endereço IP.
Consulte “Logon no relatório através de um navegador da Web autônomo”
na página 669.
Para associar o host local ao endereço IP em computadores que executam Windows
1 Altere o diretório para o local do arquivo hosts.
Por padrão, o arquivo hosts está localizado em %SystemRoot%\system32\
drivers\etc
2 Abra o arquivo hosts com um editor.
Sobre a recuperação de um log de sistemas do cliente em computadores de 64 bits
3 Adicione a seguinte linha ao arquivo hosts:

xxx.xxx.xxx.xxx localhost #para fazer logon nas funções de relatórios
onde você substitui xxx.xxx.xxx.xxx pelo endereço IP do seu computador. Você
pode adicionar qualquer comentário que desejar após o símbolo de cerquilha
(#). Por exemplo, é possível digitar a seguinte linha:
192.168.1.100 localhost # esta entrada é para meu computador do console
4 Salve e feche o arquivo.
Sobre a recuperação de um log de sistemas do cliente

em computadores de 64 bits
Se o log do Sistema for corrompido em um cliente de 64 bits, será possível ver
uma mensagem de erro não especificada nos logs do Sistema no console do
Symantec Endpoint Protection Manager. Se estiver corrompido, você não poderá
visualizar os dados do log no cliente e não será feito o upload dos dados para o
console. Esta condição pode afetar dados no console de logs e relatórios de Status
do computador, Risco e Verificação.
Para corrigir essa condição, você pode excluir o arquivo de log corrompido e o
arquivo serialize.dat no cliente. Esses arquivos estão localizados no cliente em
Unidade:\Documents and Settings\All Users\Dados de aplicativos\Symantec\
Symantec AntiVirus Corporate Edition\7.5\Logs\data.Log. Depois que esses
arquivos são excluídos, o arquivo de log é recriado e inicia o log de entradas
corretamente.
Seção 7
Para gerenciar o Symantec
Network Access Control
■ Capítulo 40. Introdução ao Symantec Network Access Control
■ Capítulo 41. Para instalar o Symantec Network Access Control
■ Capítulo 42. Para fazer upgrade e recriar imagem de todos os tipos de imagens
do appliance Enforcer
■ Capítulo 43. Para personalizar as políticas de integridade do host
■ Capítulo 44. Para adicionar requisitos personalizados à política de integridade

do host
■ Capítulo 45. Para realizar tarefas básicas no console de todos os tipos de

appliances Enforcer
■ Capítulo 46. Para planejar a instalação do appliance Gateway Enforcer
■ Capítulo 47. Para configurar o appliance Symantec Gateway Enforcer através

do Symantec Endpoint Protection Manager
■ Capítulo 48. Planejamento da instalação para o appliance LAN Enforcer
■ Capítulo 49. Para configurar o appliance LAN Enforcer no Symantec Endpoint

Protection Manager
842
■ Capítulo 50. Para configurar Enforcers no Symantec Endpoint Protection

Manager
■ Capítulo 51. Introdução do Symantec Integrated Enforcer
■ Capítulo 52. Para instalar o Symantec Network Access Control Integrated

Enforcer for Microsoft DHCP Servers
■ Capítulo 53. Para configurar os Symantec Integrated Enforcers no console do

Enforcer
■ Capítulo 54. Para configurar o Symantec Network Access Control Integrated

Enforcer para o servidor DHCP da Microsoft no Symantec Endpoint Protection
Manager
■ Capítulo 55. Para instalar o Symantec Integrated Enforcer for Microsoft

Network Access Protection

Enforcer for Microsoft Network Access Protection em um console do Enforcer

Enforcer for Microsoft Network Access Protection no Symantec Endpoint
Protection Manager
■ Capítulo 58. Para configurar conexões temporárias para clientes do Symantec

Network Access Control sob demanda
■ Capítulo 59. Solução de problemas do appliance Enforcer

Capítulo 40
Introdução ao Symantec
■ Sobre o Symantec Network Access Control
■ Sobre os tipos de imposição no Symantec Network Access Control
■ Como funciona o Symantec Network Access Control
■ Como funciona a autoimposição
■ Sobre os appliances Enforcer do Symantec Network Access Control
■ Como os appliances do Symantec Network Access Control Enforcer funcionam

com políticas de integridade do host
■ Como funciona o appliance Gateway Enforcer
■ Como funciona o appliance LAN Enforcer
■ Como funciona o Integrated Enforcer for Microsoft DHCP Servers
■ Como um Integrated Enforcer for Microsoft Network Access Protection funciona

com um Microsoft Network Policy Server (NPS)
■ Como funciona o cliente On-Demand
■ O que você pode fazer com appliances do Symantec Enforcer
■ O que você pode fazer com os Symantec Integrated Enforcers
■ O que você pode fazer com clientes On-Demand

844 Introdução ao Symantec Network Access Control
Sobre o Symantec Network Access Control
Sobre o Symantec Network Access Control

O Symantec Network Access Control garante que os computadores-cliente da
empresa estão em conformidade com as políticas de segurança da empresa antes
que tenham permissão para acessar a rede.
Quando os controles de aplicação não estiverem em vigor, os dados de sua
organização estarão vulneráveis a perdas intencionais ou inadvertidas. A
recuperação de dados pode resultar em tempo ocioso e em perdas financeiras
associadas à perda de produtividade. Para impedir essas perdas, o Symantec
Network Access Control controla o acesso local e remoto aos recursos da rede da
empresa. O Symantec Network Access Control fornece uma solução completa de
controle de acesso à rede.
O Symantec Network Access Control usa uma política de integridade do host e
um Symantec Enforcer opcional para descobrir e avaliar que computadores estão
em conformidade. Os clientes não compatíveis são dirigidos a um servidor de
correção. O servidor de correção faz o download de software, patches, atualizações
das definições de vírus etc. necessários para tornar o computador-cliente
compatível. O Symantec Network Access Control também monitora continuamente
os endpoints em busca de mudanças em seu status de conformidade.
O Symantec Network Access Control é um complemento do Symantec Endpoint
Protection. Ambos os produtos incluem o Symantec Endpoint Protection Manager,
que fornece a infraestrutura para instalar e gerenciar o Symantec Network Access
Control e os clientes do Symantec Endpoint Protection.
Consulte “Sobre o Symantec Endpoint Protection” na página 43.
na página 844.
Consulte “Como funciona a autoimposição” na página 847.
Sobre os tipos de imposição no Symantec Network

Access Control
O Symantec Network Access Control fornece métodos diferentes de imposição
para controlar o acesso a sua rede.
A Tabela 40-1 descreve as diferenças entre imposições baseadas em host e baseadas
em rede.
Introdução ao Symantec Network Access Control 845
Sobre os tipos de imposição no Symantec Network Access Control
Tabela 40-1 Tipos de imposições
Tipo de imposição Descrição
Autoimposição Permite que os computadores-cliente obtenham e executem o

baseada em host software de que precisam para corrigir automaticamente falhas
de conformidade. Quando o computador-cliente estiver corrigido,
ele poderá acessar a rede com segurança. Uma imposição com
base em host usa o firewall da Symantec para permitir ou bloquear
o acesso. O firewall está incluído com o produto Symantec
A imposição baseada em host inclui os seguintes métodos:
■ A autoimposição usa o firewall da Symantec para policiar o

acesso à rede, fornecendo uma opção de implementação de
imposição mais fácil e rápida. Você poderá implementar a
autoimposição de maneira mais fácil se a organização já tiver
implementado o produto do Symantec Endpoint Protection.
■ A imposição ponto a ponto garante que a comunicação cliente
a cliente ocorra apenas entre computadores da empresa e entre
computadores de fora da empresa que estejam em
conformidade. Os computadores que não estão em
conformidade têm a mais recente política de segurança da
empresa.
Consulte “Sobre a correção da Integridade do host” na página 895.
Imposição com base na Usa os appliances do Symantec Enforcer e os Enforcers do software

rede integrado para permitir que você controle o acesso à rede. A
aplicação baseada em rede autentica e permite o acesso à rede
apenas aos clientes que cumprem os requisitos na política de
integridade do host. A aplicação baseada em rede verifica também
se a política é atual.
Adicionalmente, se sua implementação incluir um appliance

Gateway Enforcer, será possível permitir que convidados sem
software em conformidade acessem temporariamente a rede. Esses
Enforcers permitem o acesso do convidado, instalando clientes
On-Demand em computadores convidados e desfazendo-os quando
os convidados fazem logoff. O acesso convidado trabalha com
clientes Windows e Mac. Esta imposição exige um appliance
Enforcer.
Consulte “Como funciona o Symantec Network Access Control” na página 846.

Consulte “Para implementar o Symantec Network Access Control” na página 863.
Como funciona o Symantec Network Access Control
Como funciona o Symantec Network Access Control

O Symantec Network Access Control realiza a conformidade do endpoint
executando as seguintes etapas:
Tabela 40-2 Processo que o Symantec Network Access Control usa para verificar
e corrigir a conformidade em computadores-cliente
1 Descobre todas as O endpoint conecta-se à rede. O Enforcer determina a

tentativas de acesso à configuração do endpoint.
sua rede.
2 Verifica a Verifica se todos os computadores-cliente que acessam sua

conformidade da rede cumprem os requisitos da política de segurança.
configuração em
relação à política.
3 Age com base no Para os computadores-cliente que não cumprem os

resultado da requisitos, um Enforcer:
verificação da política.
■ Faz a correção por meio do download, da instalação e
da execução do software exigido.
■ Permite o acesso limitado.
■ Permite o acesso completo e registra em log todas as
tentativas de acesso à rede.
4 Monitora o endpoint Monitora e gera relatórios sobre o status dos Enforcers, do

para assegurar a tráfego do sistema e da conformidade.
conformidade
contínua.
A Figura 40-1 mostra como o Symantec Endpoint Protection Manager impõe a

política de segurança em um computador-cliente gerenciado.
Como funciona a autoimposição
Figura 40-1 arquitetura do Symantec Network Access Control

Consulte “Como funciona o appliance Gateway Enforcer” na página 852.
Consulte “Como funciona o appliance LAN Enforcer” na página 853.
Consulte “Como funciona o Integrated Enforcer for Microsoft DHCP Servers”
na página 855.
Consulte “Como um Integrated Enforcer for Microsoft Network Access Protection
funciona com um Microsoft Network Policy Server (NPS)” na página 857.
Consulte “Como funciona o cliente On-Demand” na página 857.

Durante a verificação da integridade do host, o cliente segue os requisitos definidos
na política de integridade do host. Examina aplicativos ativos, a data e o tamanho
de um arquivo e outros parâmetros. Se estes itens cumprirem os requisitos da
política de integridade do host, o cliente poderá acessar a rede. Se não cumprir, o
cliente gerará automaticamente uma entrada detalhada da mensagem no log de
segurança para todos os requisitos com falha. O cliente segue em seguida as etapas
de correção que você projetou em sua política de integridade do host. Você pode
ter definido uma política em que o cliente possa acessar a rede, mesmo se a
verificação da integridade do host falhar. O caso mais provável é que você
configurou etapas de correção para deixar o cliente em conformidade com suas
Se o computador-cliente não cumprir os requisitos, o cliente poderá ser definido
para se conectar silenciosamente a um servidor de correção. De lá, ele poderá
fazer o download e instalar o software necessário. O software pode incluir um

patch, um hotfix, uma atualização nas definições de vírus etc. O cliente pode
oferecer ao usuário a opção de fazer o download imediatamente ou adiá-lo. A
política pode ser definida de modo que o computador não possa se conectar à rede
corporativa até que o software seja instalado.
Consulte “O que você pode fazer com as Políticas de integridade do host”
na página 882.
Sempre que um cliente receber uma nova política de segurança, ele realizará
imediatamente outra verificação da integridade do host.
O cliente pode configurar automaticamente o download e a instalar as mais
recentes políticas de integridade do host, predefinidas ou personalizadas, no
Symantec Endpoint Protection Manager. Se o cliente não puder se conectar ao
console, o cliente sob demanda do Windows ou do Macintosh obterá a política de
integridade do host do appliance Enforcer quando fizer o primeiro download.
Após, ele obterá a política de integridade do host no Symantec Endpoint Protection
Manager.
Você pode considerar alguns dos seguintes exemplos quando configurar os
requisitos para a imposição da integridade do host:
■ O cliente executa um software antivírus atualizado.
■ A verificação da integridade do host é feita somente quando o cliente tenta se
conectar à rede por meio de um Enforcer.
■ A verificação aciona as ações que ocorrem silenciosamente no cliente.
Você pode também usar um Enforcer para aplicar estas políticas. O Enforcer é um
aplicativo do software ou um appliance opcional do hardware que negocia a
conectividade do cliente à rede. A maioria dos seguintes exemplos mostra o uso
de um Enforcer.
O Enforcer pode ser configurado para fazer automaticamente o seguinte:
■ Verificar se um cliente foi instalado no computador de um usuário.
■ Solicitar a um cliente para que obtenha políticas de segurança atualizadas, se
disponíveis.
■ Solicitar que o cliente execute a verificação de integridade do host.
Primeiro, o cliente verifica se o software antivírus mais recente está instalado e
em execução. Se tiver sido instalado, mas não estiver em execução, o cliente inicia
o aplicativo antivírus silenciosamente. Se não estiver instalado, o cliente faz o
download do software usando um URL especificado no requisito da integridade
do host. A seguir, o cliente instala e inicia o software.
Sobre os appliances Enforcer do Symantec Network Access Control
Depois o cliente verifica se os arquivos de assinatura do antivírus são atuais. Se

os arquivos antivírus não forem atuais, o cliente obtém e instala silenciosamente
os arquivos antivírus atualizados.
O cliente realiza a verificação da integridade do host novamente e é aprovado. O
Enforcer recebe os resultados e concede ao cliente o acesso à rede corporativa.
Nesse exemplo, os seguintes requisitos devem ser satisfeitos:
■ O servidor de arquivos usado para atualizações da integridade do host possui
os arquivos mais recentes instalados.
O cliente obtém aplicativos atualizados do servidor de arquivos. Você pode
configurar um ou mais servidores de correção que estejam conectados à rede
corporativa. Com os servidores de correção, os usuários podem copiar ou fazer
download automaticamente dos patches e hotfixes necessários para qualquer
aplicativo exigido.
Se um servidor de correção falhar, a correção da integridade do host também
falhará. Se o cliente tentar se conectar por meio de um Enforcer, este bloqueará
o cliente, caso haja falha na integridade do host. Se o cliente está conectado a
Symantec Endpoint Protection Manager, você poderá definir o console para
ser aprovado na verificação de integridade do host, mesmo se a verificação
falhar. Neste caso, o Enforcer poderá bloquear o cliente. As informações sobre
a falha na verificação da integridade do host são gravadas no Log de segurança
do cliente.
■ O servidor de gerenciamento deve ser configurado de modo que as atualizações
da política de segurança sejam enviadas automaticamente a qualquer
computador que execute o cliente.
Se o Enforcer bloquear o cliente, o cliente tentará se recuperar. A política de
integridade do host é configurada para atualizar arquivos antes de permitir que
o cliente se conecte à rede. O usuário é, em seguida, notificado que uma atualização
precisa ser fornecida. Um indicador de andamento acompanha a atualização.
Consulte “Adição de requisitos da integridade do host” na página 887.
Sobre os appliances Enforcer do Symantec Network

Access Control
Os appliances Enforcer da Symantec são os componentes opcionais da rede que
funcionam com os clientes Symantec Network Access Control.
O Symantec Network Access Control vem com as seguintes imagens do Enforcer
baseadas em Linux que você instala nos appliances Symantec Enforcer:
■ Imagem do appliance Symantec Network Access Control Gateway Enforcer
Como os appliances do Symantec Network Access Control Enforcer funcionam com políticas de integridade do host
■ Imagem do appliance Symantec Network Access Control LAN Enforcer

Além disso, todo os Symantec Enforcers baseados no Windows trabalham com
clientes gerenciados para proteger sua rede. Estes clientes incluem o cliente do
Symantec Endpoint Protection e o cliente do Symantec Network Access Control.
Consulte “Instalação de um appliance Enforcer” na página 867.
Consulte “Planejamento da instalação para um appliance Gateway Enforcer”
na página 929.
Como os appliances do Symantec Network Access

Control Enforcer funcionam com políticas de
integridade do host
As políticas de segurança de que todos os appliances Enforcer direcionam clientes
do Symantec Network Access Control ou do Symantec Endpoint Protection para
serem executados nos computadores-cliente são chamadas Políticas de integridade
do host. Você cria e gerencia políticas de integridade do host no console do
As políticas de integridade do host especificam o software necessário para ser
executado em um cliente. Por exemplo, você pode especificar que o seguinte
software de segurança localizado em um computador-cliente deve estar em
conformidade com determinados requisitos:
■ Software antivírus
■ Software antispyware
■ Software de firewall
■ Patches
■ Service packs
Quando um cliente tenta conectar-se à rede, ele executa uma verificação de
integridade do host e envia os resultados a um appliance Enforcer. É possível
configurar clientes para executar verificações de integridade do host em vários
momentos.
Geralmente, o appliance Enforcer é configurado para, antes de conceder acesso
à rede ao cliente, verificar se ele passa na verificação de integridade do host. Se o
cliente passar na verificação de integridade do host, ele estará em conformidade
com a Política de integridade do host da empresa. Entretanto, cada tipo de
appliance Enforcer define os critérios de acesso à rede de maneira diferente.
Como os appliances do Symantec Network Access Control Enforcer funcionam com políticas de integridade do host
Comunicação entre um appliance Enforcer e um Symantec Endpoint

Protection Manager
O appliance Enforcer permanece conectado ao Symantec Endpoint Protection
Manager. Em intervalos regulares (a pulsação), o appliance Enforcer recupera
configurações do servidor de gerenciamento. Estas configurações controlam como
o appliance Enforcer opera. Quando são realizadas alterações no servidor de
gerenciamento, que afetam o appliance Enforcer, ele receberá a atualização durante
a próxima pulsação. O appliance Enforcer transmite suas informações de status
ao servidor de gerenciamento. Ele pode registrar os eventos que encaminha a esse
servidor de gerenciamento. Desta forma, as informações aparecerão nos logs do
O Symantec Endpoint Protection Manager mantém uma lista de servidores de
gerenciamento com informações de banco de dados replicadas. Ele transfere por
download a lista de servidores de gerenciamento para Enforcers conectados e
gerenciados, bem como clientes convidados. Se o appliance Enforcer perder a
comunicação com um servidor de gerenciamento, ele poderá conectar-se a outro
servidor que esteja incluído na lista de servidores de gerenciamento. Se o appliance
Enforcer for reiniciado, ele usará a lista de servidores de gerenciamento para
restabelecer a conexão com um deles.
Quando um cliente tenta se conectar à rede por meio do appliance Enforcer, o
appliance Enforcer autentica o Identificador global exclusivo (GUID) do cliente.
O appliance Enforcer envia o GUID ao servidor de gerenciamento e recebe uma
resposta de aceitação ou de rejeição.
Se um appliance Enforcer estiver configurado para autenticar o GUID, ele poderá
recuperar as informações do servidor de gerenciamento. O appliance Enforcer
pode, então, determinar se o perfil do cliente foi atualizado com as políticas de
segurança mais recentes. Se as informações do cliente mudarem no servidor de
gerenciamento, o servidor de gerenciamento poderá enviar as informações ao
appliance Enforcer. O appliance Enforcer poderá executar novamente a
autenticação do host no cliente.
Consulte “Alteração de configurações do appliance Gateway Enforcer no Symantec
Consulte “Alteração das configurações do LAN Enforcer no Symantec Endpoint
Como funciona o appliance Gateway Enforcer
Comunicação entre o appliance Enforcer e os clientes

A comunicação entre o appliance Enforcer e um cliente começa quando o cliente
tenta se conectar à rede. O appliance Enforcer pode detectar se um cliente está
em execução. Se um cliente estiver em execução, o Enforcer iniciará o processo
de autenticação com o cliente. O cliente responderá executando uma verificação
de integridade do host e enviando os resultados, juntamente com suas informações
de perfil, ao Enforcer.
O cliente também envia seu Identificador global exclusivo (GUID, Globally Unique
Identifier), que o Enforcer transmite ao servidor de gerenciamento para
autenticação. O appliance Enforcer usa as informações do perfil para verificar se
o cliente está atualizado com as políticas de segurança mais recentes. Se não
estiver, o appliance Enforcer notificará o cliente a atualizar seu perfil.
Após o appliance Gateway Enforcer permitir que o cliente se conecte, ele continuará
a se comunicar com o cliente em intervalos predefinidos regulares. Essa
comunicação permite que o appliance Enforcer continue a autenticar o cliente.
No appliance LAN Enforcer, o alternador 802.1x trata dessa autenticação periódica.
Por exemplo, o alternador 802.1 iniciará uma nova sessão de autenticação quando
o momento de reautenticação chegar.
O appliance Enforcer precisa ser executado sempre. Caso contrário, os clientes
que tentam se conectar à rede corporativa tentarão ser bloqueados.
Consulte “Para criar e testar uma Política de integridade do host” na página 883.
Como funciona o appliance Gateway Enforcer

Os appliances Gateway Enforcer realizam verificações unidirecionais. Eles
verificam os clientes que tentam se conectar à rede da empresa por meio da NIC
externa do appliance Gateway Enforcer.
Um appliance Gateway Enforcer usa os seguintes processos para verificar
computadores-cliente e determinar se eles podem acessar a rede:
■ O appliance Gateway Enforcer verifica informações do cliente e se o cliente
foi aprovado na verificação de Integridade do host.
Consulte “Como os appliances do Symantec Network Access Control Enforcer
funcionam com políticas de integridade do host” na página 850.
■ Se o cliente satisfaz os requisitos para o acesso, o appliance Gateway Enforcer
conecta o cliente à rede.
■ Se um cliente não satisfizer os requisitos para acesso, configure o appliance
Gateway Enforcer para realizar as seguintes ações:
■ Monitorar e registrar determinados eventos.
Como funciona o appliance LAN Enforcer
■ Bloquear usuários se houver falha na verificação de integridade do host.

■ Exibir uma mensagem pop-up no cliente.
■ Fornecer ao cliente acesso limitado à rede para permitir o uso de recursos
da rede para correção.
Para fornecer acesso limitado, você redireciona as solicitações de HTTP do
cliente a um servidor da Web com informações de correção. Por exemplo,
este servidor da Web poderá incluir instruções sobre onde obter o software
de correção. Ou, poderá permitir que o cliente possa fazer download do
software-cliente Symantec Network Access Control.
■ Permite que o cliente possa acessar a rede mesmo que falhe na verificação
de Integridade do host.
O appliance Gateway Enforcer tem os seguintes recursos opcionais de
configuração:
■ Permitir que os computadores-cliente com endereços IP confiáveis acessem
a rede imediatamente.
Você pode configurar quais endereços IP do cliente serão verificados e quais
endereços IP são confiáveis. Aos clientes com endereços IP confiáveis são
concedidos o acesso sem autenticação adicional.
■ Permitir aos computadores que não executam Windows acessar a rede.
Neste caso, o appliance Gateway Enforcer funciona como uma ponte em
vez de um roteador. Assim que o cliente é autenticado, o appliance Gateway
Enforcer encaminha os pacotes para permitir ao cliente o acesso à rede.
Consulte About the LAN Enforcer appliance installation na página 849.
Consulte “O que você pode fazer com appliances do Symantec Enforcer”
na página 858.
Consulte “Sobre a instalação de um appliance Enforcer” na página 866.

O appliance LAN Enforcer oferece a opção de autenticação EAP (Extensible
Authentication Protocol) 802.1x juntamente com a execução de uma verificação
da integridade do host pelo cliente.
Nota: Para obter detalhes sobre o EAP, consulte o RFC 2284 do IETF em PPP
Extensible Authentication Protocol (EAP). Para obter mais detalhes sobre o padrão
IEEE 802.1x, consulte o texto do padrão no seguinte URL: IEEE8021-PAE-MIB
Definitions.
Você pode implementar o LAN Enforcer usando um dos seguintes modos:

■ Modo transparente: Verifica se o cliente é compatível com a política de

segurança da integridade do host, mas não verifica o nome de usuário e a senha.
O modo transparente não usa um servidor RADIUS, mas exige um alternador
compatível com 802.1x.
■ Modo 802.1x completo: Autentica as credenciais do usuário (nome de usuário
e senha) além de fazer com que o cliente verifique a autenticação do host. Os
clientes incompatíveis são roteados a uma VLAN convidada que sua organização
definiu para correção da segurança do cliente. A autenticação 802.1x completa
exige um servidor Radius, um ponto de acesso sem fio ou um alternador
compatível com 802.1x e software requerente (cliente).
No modo transparente, um appliance LAN Enforcer usa os seguintes métodos para
processar pedidos do computador-cliente para acessar a rede:
■ O computador-cliente conecta-se e envia o logon, a conformidade da
autenticação do host e os dados da política com o EAP.
■ O alternador ou o ponto de acesso sem fio encaminham os dados do
computador-cliente ao appliance LAN Enforcer.
■ O appliance LAN Enforcer verifica se o cliente passou por uma verificação de
integridade do host.
Consulte “Como os appliances do Symantec Network Access Control Enforcer
funcionam com políticas de integridade do host” na página 850.
■ Se o cliente tiver passado por uma verificação de integridade do host, o Enforcer
abrirá uma parte do alternador e permitirá o acesso completo à rede.
■ Se o cliente for reprovado na verificação da integridade do host, o Enforcer
atribuirá o cliente à VLAN de quarentena onde recursos de correção podem
ser acessados.
No modo 802.1x completo, um appliance LAN Enforcer faz o seguinte para
processar pedidos do computador-cliente para acessar a rede:
■ O computador-cliente conecta-se e envia o logon, a conformidade da
autenticação do host e os dados da política com o EAP.
■ O requerente no computador-cliente pede ao usuário seu nome de usuário e
senha.
■ O alternador encaminha o nome de usuário e a senha ao LAN Enforcer.
■ O LAN Enforcer encaminha o nome de usuário e a senha ao servidor Radius.
■ O servidor Radius gera um estímulo EAP (nome de usuário e senha).
■ O LAN Enforcer recebe o estímulo EAP e adiciona a verificação de integridade
do host.
Como funciona o Integrated Enforcer for Microsoft DHCP Servers
■ O LAN Enforcer verifica se o cliente passou pela verificação de integridade do

host.
■ O LAN Enforcer verifica os resultados da integridade do host e encaminha-os
ao servidor Radius.
■ O servidor RADIUS executa a autenticação EAP e envia o resultado ao LAN
Enforcer.
■ O LAN Enforcer recebe os resultados da autenticação e encaminha os resultados
e a ação a ser tomada ao alternador.
■ Se o cliente tiver passado pelo estímulo EAP e de integridade do host, o
alternador permitirá o acesso à rede.
■ Se o cliente não tiver passado pelos estímulos, será roteado pelo alternador a
uma VLAN alternativa onde poderá acessar recursos de correção.
O appliance LAN Enforcer tem os seguintes recursos opcionais adicionais de
configuração. Você pode:
■ Usar um alternador ou um ponto de acesso sem fio para direcionar o cliente a
uma VLAN de correção. (Recomendado)
■ Configurar as possíveis respostas de falha, dependendo de você usar a
autenticação EAP ou a verificação da integridade do host.
■ Conectar vários appliances LAN Enforcer a um alternador para o failover do
LAN Enforcer.
■ Configurar vários servidores Radius para o failover do servidor Radius.
Consulte “O que você pode fazer com appliances do Symantec Enforcer”
na página 858.
Como funciona o Integrated Enforcer for Microsoft

DHCP Servers
O Integrated Enforcer for Microsoft DHCP Servers verifica instalações do Symantec
Endpoint Protection ou instalações do cliente do Symantec Network Access Control
nos clientes do DHCP gerenciados pelo servidor DHCP. Ele aplica, então, as políticas
nos clientes conforme configurado no Symantec Endpoint Protection Manager.
O Integrated Enforcer for Microsoft DHCP Servers também autentica o cliente
para:
■ A existência de um agente.
■ Um identificador global exclusivo (GUID, Globally Unique Identifier).
Como funciona o Integrated Enforcer for Microsoft DHCP Servers
■ Conformidade da integridade do host.

■ A versão do perfil de cada política configurada.
O Integrated Enforcer for Microsoft DHCP Servers é um componente de software
que interage com o Microsoft DHCP Server. Embora ambos devam ser instalados
no mesmo computador, o Integrated Enforcer for Microsoft DHCP Servers não é
dependente do servidor DHCP. Quando o Integrated Enforcer for Microsoft DHCP
Servers reside no mesmo computador que o servidor DHCP, ele elimina a
necessidade de hardware adicional.
Nota: Interromper o servidor DHCP não interrompe o Integrated Enforcer for

Microsoft DHCP Servers. Interromper o Integrated Enforcer for Microsoft DHCP
Servers não interrompe o servidor DHCP.
O Symantec Endpoint Protection Manager é usado para configurar as políticas de

segurança. Porém, o Integrated Enforcer for Microsoft DHCP Servers aplica as
O Integrated Enforcer for Microsoft DHCP Servers autentica os
computadores-cliente, verificando a resposta a respeito dos seguintes critérios:
■ O cliente do Symantec Endpoint Protection ou o cliente do Symantec Network
Access Control são executados em um computador-cliente?
■ O cliente do Symantec Endpoint Protection ou o cliente do Symantec Network
Access Control têm o identificador global exclusivo (GUID, Globally Unique
Identifier) correto?
O GUID é um número hexadecimal de 128 bits? Este número é atribuído a um
computador-cliente que executa o cliente do Symantec Endpoint Protection
ou o cliente do Symantec Network Access Control. O servidor de gerenciamento
gera um GUID quando o cliente é conectado inicialmente.
■ O cliente cumpre a Política de integridade do host mais recente que o
administrador configurou no console do Symantec Endpoint Protection
Manager?
■ O cliente recebeu a política de segurança mais recente?
Se o Integrated Enforcer for Microsoft DHCP Servers não puder autenticar o
cliente, ele fornecerá o acesso a uma área em quarentena. A área de quarentena
fornece recursos de rede limitados ao cliente. A área de quarentena é configurada
no mesmo computador do Integrated Enforcer for Microsoft DHCP Servers e do
Servidor DHCP da Microsoft.
Como um Integrated Enforcer for Microsoft Network Access Protection funciona com um Microsoft Network Policy
Server (NPS)
Também é possível configurar o acesso a um servidor de correção. O servidor de

correção fornece aos clientes os links para o software que permite que eles se
tornem compatíveis com suas políticas de segurança.
Consulte “Sobre o Symantec Network Access Control Integrated Enforcer for
Microsoft DHCP Servers” na página 1065.
Como um Integrated Enforcer for Microsoft Network

Access Protection funciona com um Microsoft
Network Policy Server (NPS)
O Integrated Enforcer for Microsoft Network Access Protection funciona
permitindo que você amplie os recursos do Microsoft Network Access Protection
(NAP), incluindo:
■ Verificação da aderência às políticas de segurança do endpoint. Os clientes
que se conectam podem usar as mesmas políticas ou políticas diferentes.
■ Controle do acesso do convidado.
■ Para autenticar usuários finais.
Quando você configurar um servidor de política da rede (NPS, Network Policy
Server) como um servidor de políticas NAP, ele avaliará as indicações de integridade
(SoH, statements of health) enviadas por clientes compatíveis com NAP. Se os
clientes estiverem íntegros, eles poderão se conectar à rede.
Você pode configurar políticas de NAP no NPS, que permite que os
computadores-cliente atualizem suas configurações para que se tornem
compatíveis com a política de segurança de sua organização. Configure essas
políticas seguindo as instruções na documentação do NPS.
Consulte “Sobre o Symantec Network Access Control Integrated Enforcer for
Microsoft Network Access Protection” na página 1065.
Como funciona o cliente On-Demand

O cliente sob demanda verificará a conformidade de seu computador se você tentar
conectá-lo a uma rede protegida como um convidado. Se o computador-cliente
cumprir todos os requisitos, uma conexão entre o computador-cliente e o Symantec
Endpoint Protection Manager será estabelecida automaticamente. Se o cliente
cumprir todos os requisitos de segurança, o cliente poderá acessar a rede protegida.
Nesse ponto, o computador-cliente em conformidade com a segurança poderá
executar todas as tarefas que o administrador ativar para este grupo no Symantec
O que você pode fazer com appliances do Symantec Enforcer
Endpoint Protection Manager. Se o computador-cliente não cumprir todos os

requisitos, uma conexão entre o computador-cliente e a rede protegida não será
estabelecida automaticamente. O usuário precisa corrigir todos os requisitos que
não estiverem em conformidade no computador-cliente fazendo o download dos
arquivos de correção como configurado pelo administrador. Até que a correção
esteja concluída, o cliente não pode acessar a rede protegida como um convidado.
Seu computador deve passar ou falhar na verificação do status de conformidade
quando tentar se conectar à rede protegida de uma empresa. Portanto, o status
do acesso à rede protegida de uma empresa é o seguinte:
■ Permitido — Você pode se conectar à rede. No modo Permitido, não há
comunicação com um Enforcer ou um Enforcer não está instalado na rede.
■ Aprovado — Você foi aprovado para se conectar à rede pelo Symantec Network
Access Control.
■ Colocar em quarentena — O Symantec Network Access Control colocou você
em uma área de quarentena porque seu status de conformidade falhou ou a
política não é a mais recente.
Consulte “Ativação de clientes sob demanda do Symantec Network Access Control
para se conectarem temporariamente a uma rede” na página 1139.
O que você pode fazer com appliances do Symantec

Enforcer
O appliance Enforcer é instalado nos endpoints da rede para clientes externos ou
internos.
Por exemplo, é possível instalar um appliance Enforcer entre a rede e um servidor
VPN. Ele também pode ser instalado para aplicação nos computadores-cliente que
se conectam à rede por um alternador compatível com 802.1x ou ponto de acesso
sem fio.
Um appliance Enforcer executa a autenticação do host, em vez da autenticação
em nível de usuário. Ele assegura que os computadores-cliente que tentam se
conectar à rede empresarial estejam em conformidade com as políticas de
segurança da empresa. Você pode configurar políticas de segurança específicas
Se o cliente não estiver em conformidade com as políticas de segurança, o appliance
Enforcer poderá efetuar as seguintes ações:
■ Bloquear o acesso à rede.
■ Permitir acesso somente a recursos limitados.
O que você pode fazer com appliances do Symantec Enforcer
■ Permite o acesso quando o cliente é incompatível e registra essa ação em log.

O appliance Enforcer pode redirecionar o cliente para a área de quarentena com
um servidor de correção. O cliente pode então obter o software, os aplicativos, os
arquivos de assinatura ou os patches necessários no servidor de correção.
Por exemplo, parte da rede pode já estar configurada para os clientes que se
conectam à rede local por meio de comutadores compatíveis com 802.1x. Se esse
for o caso, você pode usar um appliance LAN Enforcer para estes clientes.
Você também pode usar um appliance LAN Enforcer para os clientes que se
conectam através de um ponto de acesso sem fio compatível com 802.1x.
Consulte “Planejamento da instalação de um appliance LAN Enforcer”
na página 985.
Se houver funcionários que trabalhem remotamente, conectando-se por meio de
uma VPN, será possível usar o appliance Gateway Enforcer para esses clientes.
Você também pode usar o appliance Gateway Enforcer se um ponto de acesso sem
fio não for compatível com 802.1x.
Consulte “Planejamento da instalação para um appliance Gateway Enforcer”
na página 929.
Se for necessária alta disponibilidade, dois ou mais appliances Gateway ou LAN
Enforcer poderão ser instalados no mesmo local para fornecer failover.
Consulte “Planejamento de failover para appliances Gateway Enforcer”
na página 938.
Consulte “Planejamento de failover para appliances LAN Enforcer e servidores
Radius” na página 989.
Se quiser implementar alta disponibilidade para appliances LAN Enforcer, você
deverá instalar vários appliances LAN Enforcer e o alternador compatível com
802.1x. A alta disponibilidade pode ser alcançada pela adição do alternador
compatível com 802.1x. Se forem instalados vários appliances LAN Enforcer sem
um alternador compatível com 802.1x, a alta disponibilidade falhará. É possível
configurar um alternador compatível com 802.1x para alta disponibilidade.
Para obter informações sobre a configuração de um alternador compatível com
802.1x para alta disponibilidade, consulte a documentação que acompanha o
alternador.
Em algumas configurações de rede, um cliente pode conectar-se a uma rede através
de mais de um appliance Enforcer. Depois que o primeiro appliance Enforcer
O que você pode fazer com os Symantec Integrated Enforcers
fornecer a autenticação ao cliente, os appliances Enforcer restantes autenticarão

o cliente para que este possa conectar-se à rede.
O que você pode fazer com os Symantec Integrated

Enforcers
Os Symantec Network Access Control Integrated Enforcers opcionais são Enforcers
fornecidos como componentes de software. Você pode configurá-los para garantir
que os clientes que tentam se conectar à rede cumpram as políticas de segurança
configuradas pela sua organização.
■ Use o Symantec Network Access Control Integrated Enforcer for DHCP Servers
para garantir que os clientes de um servidor DHCP da Microsoft cumpram as
■ Use o Symantec Network Access Control Integrated Enforcer for Microsoft
Network Access Protection para garantir que os clientes cumpram as políticas
de integridade do cliente Microsoft. Além das políticas de integridade da
Microsoft, você também pode usar o agente de integridade da Symantec para
verificar políticas de integridade da Symantec.
Você pode executar as seguintes tarefas-chave com os Integrated Enforcers:
■ Certifique-se de que os computadores-cliente que tentam se conectar à rede
cumpram as políticas de segurança definidas no Symantec Endpoint Protection
Manager.
■ Configurar uma conexão ao Symantec Endpoint Protection Manager.
■ Iniciar e interromper o serviço do Enforcer.
■ Visualizar o status da conexão.
■ Exibir os logs de segurança e do sistema no Symantec Endpoint Protection
Manager.
Consulte “Como funciona o Integrated Enforcer for Microsoft DHCP Servers”
na página 855.
O que você pode fazer com clientes On-Demand

Quando os usuários não podem se conectar à sua rede porque não têm o software
de conformidade necessário, é possível fornecer a eles os clientes On-Demand.
Quando um cliente On-Demand é instalado, ele autentica o usuário e assegura-se
de que o computador seja aprovado na verificação de conformidade antes que

possa acessar a rede. Os clientes On-Demand permanecem em vigor até que o
convidado faça logoff. Estão disponíveis para computadores convidados Windows
e Macintosh.
Os clientes On-Demand protegem as informações confidenciais da empresa na
sua rede contra a perda de dados. Com um Cliente sob demanda, os convidados e
a equipe remota podem se conectar à sua rede com os aplicativos ativados para
Web sem introduzir spywares, keyloggers e outros malwares que podem infectar
sua rede.
O processo de provisionamento exige:
■ Um Gateway Enforcer configurado para fornecer clientes sob demanda.
■ O download e a instalação do cliente On-Demand em computadores convidados
Consulte “Ativação de clientes sob demanda do Symantec Network Access Control
para se conectarem temporariamente a uma rede” na página 1139.
Consulte “Configuração da autenticação no console do Gateway Enforcer para
clientes do Symantec Network Access Control sob demanda” na página 1142.
Capítulo 41
Para instalar o Symantec
■ Para implementar o Symantec Network Access Control
■ Para fazer upgrade do Symantec Endpoint Protection Manager para incluir o

Symantec Network Access Control
■ Sobre a instalação de um appliance Enforcer
■ Instalação de um appliance Enforcer
■ Sobre os indicadores e os controles do appliance Enforcer
■ Configuração de um appliance Enforcer
■ Logon em um appliance Enforcer
■ Para configurar um appliance Enforcer
Para implementar o Symantec Network Access

Control
É melhor implementar o Symantec Network Access Control em fases. Esta
abordagem permite que sua organização desenvolva uma implementação que se
ajuste às suas necessidades. Você aproveita cada fase anterior em vez de refazer
completamente sua infra-estrutura de segurança para fazer mudanças ou
aprimoramentos.
864 Para instalar o Symantec Network Access Control
Para implementar o Symantec Network Access Control
Tabela 41-1 Fases para implementar o Symantec Network Access Control
Fase Ação Descrição
Fase 1 Instale clientes do Symantec Endpoint Você pode controlar o acesso a laptop, desktops e servidores
Protection Manager e do Symantec que sua organização gerencia com autoimposição. Com a
Network Access Control. Use o Symantec autoimposição, os computadores podem obter o software de
Endpoint Protection Manager para que precisam para cumprir sua política de segurança.
configurar as políticas de integridade do
Consulte “Para executar o Symantec Endpoint Protection pela
host.
primeira vez” na página 54.
Consulte “Para criar e testar uma Política de integridade do

host” na página 883.
Consulte “Para fazer upgrade do Symantec Endpoint Protection

Manager para incluir o Symantec Network Access Control”
na página 865.
Fase 2 Instale e configure um appliance Gateway Para a proteção parcial da rede, controle o acesso com e sem
Enforcer. fio à rede para clientes gerenciados e não gerenciados e para
computadores convidados.
Os clientes gerenciados são aqueles que executam o cliente do

Os clientes não gerenciados são aqueles que:
■ Não estão executando o software-cliente do Symantec

Network Access Control.
■ Estão executando o software-cliente do Symantec Network
Access Control, mas não têm as atualizações da política
mais recentes.
Os clientes convidados são os laptop, os desktops e os

servidores que não cumprem seus requisitos da segurança para
itens como o software instalado e senhas protegidas. Estes são
dispositivos pertencentes a convidados, como fornecedores,
consultores e parceiros. Você pode permitir que estes clientes
convidados se conectem com segurança e temporariamente a
sua rede com clientes sob demanda.
Consulte “Sobre a instalação de um appliance Enforcer”

na página 866.
Consulte “Como funciona o appliance Gateway Enforcer”

na página 852.

Para instalar o Symantec Network Access Control 865
Para fazer upgrade do Symantec Endpoint Protection Manager para incluir o Symantec Network Access Control
Fase Ação Descrição
Fase 3 Instale e configure um appliance LAN Para proteção completa da rede, é possível controlar o acesso
Enforcer. à LAN para computadores-cliente e computadores convidados.
■ Para clientes gerenciados, use um appliance do LAN
Enforcer.
■ Para clientes não gerenciados, use appliances LAN ou
Gateway Enforcer.

na página 866.
Consulte “Como funciona o appliance LAN Enforcer”

na página 853.

na página 844.
Para fazer upgrade do Symantec Endpoint Protection

Manager para incluir o Symantec Network Access
Control
Se você já tiver instalado o Symantec Endpoint Protection, poderá fazer upgrade
do Symantec Endpoint Protection para incluir o Symantec Network Access Control.
O Symantec Network Access Control inclui dois componentes separados: o
Symantec Endpoint Protection Manager e o cliente do Symantec Network Access
Control.
Se você já tiver instalado o Symantec Endpoint Protection Manager para Symantec
Endpoint Protection, poderá fazer o upgrade da instalação do Symantec Endpoint
Protection Manager e instalar o cliente do Symantec Network Access Control.
Para fazer upgrade do Symantec Endpoint Protection Manager para incluir o
1 Insira o disco do produto para o Symantec Network Access Control.
Se o programa de instalação não começar imediatamente, abra o disco e clique
em duas vezes em setup.exe.
2 Na caixa de diálogo Instalação do Symantec Endpoint Protection, clique em
Instalar o Symantec Network Access Control.
3 Na próxima caixa de diálogo Instalação do Symantec Endpoint Protection,
clique em Instalar o Symantec Endpoint Protection Manager.
Sobre a instalação de um appliance Enforcer
4 Na caixa de diálogo Bem-vindo ao Assistente de Upgrade de servidor de

gerenciamento, clique em Avançar.
5 Após a conclusão do assistente, na caixa de diálogo Resumo da instalação do
console e do servidor de gerenciamento, clique em Avançar e clique em
Concluir.
6 Após o upgrade, a caixa de diálogo Bem-vindo ao Assistente de Configuração
do servidor de gerenciamento aparece. Forneça os valores apropriados, clique
em Avançar e em concluir.
7 Implemente o cliente do Symantec Network Access Control.
Sobre a instalação de um appliance Enforcer

Selecione o tipo de appliance Enforcer que deseja usar durante o processo de
instalação. Antes de você iniciar a instalação dos appliance Enforcers:
■ Familiarize-se com os locais dos componentes em sua rede.
■ Localize o Disco 2 da instalação do Symantec Network Access Control Enforcer.
Este disco contém o software para todos os tipos de appliances do Symantec
Network Access Control Enforcer.
■ Identifique o nome do host que deseja atribuir ao appliance Enforcer. O nome
de host padrão é Enforcer. Convém mudar este nome para facilitar a
identificação de cada appliance Enforcer em uma rede.
■ Identifique os endereços IP das placas de interface de rede (NICs) no appliance
Enforcer.
■ Identifique o endereço IP, nome do host ou ID de domínio do Servidor de nomes
de domínio (DNS, Domain Name Server), se aplicável. Somente os servidores
DNS podem resolver nomes de host.
Se desejar que o appliance Enforcer se conecte ao Symantec Endpoint Protection
Manager usando um nome do host, ele precisará se conectar a um servidor
DNS.
Você pode configurar o endereço IP do servidor DNS durante a instalação.
Porém, você pode usar o comando de configuração de DNS para mudar o
endereço IP de um servidor DNS do console do Enforcer com o comando
Configurar DNS.
Instalação de um appliance Enforcer
Instalação de um appliance Enforcer

A Tabela 41-2 relaciona as etapas para instalar todos os tipos de appliances
Enforcer.
Tabela 41-2 Resumo da instalação de um appliance Enforcer
Etapa 1 Aprenda onde colocar Os Enforcers devem ser colocados em locais específicos
Enforcers em sua rede. em sua rede para garantir que todos os endpoints
cumpram sua política de segurança.
Consulte “Planejamento da instalação para um

appliance Gateway Enforcer” na página 929.
Consulte “Onde colocar appliances LAN Enforcer”

na página 986.
Etapa 2 Configure o appliance. Conecte o appliance Enforcer à sua rede.

na página 866.
Consulte “Sobre os indicadores e os controles do

appliance Enforcer” na página 867.
Consulte “Configuração de um appliance Enforcer”

na página 869.
Etapa 3 Configure o appliance. Faça logon e configure o appliance Enforcer usando a

linha de comando do Enforcer.
Consulte “Logon em um appliance Enforcer”

na página 870.
Consulte “Para configurar um appliance Enforcer”

na página 871.
Sobre os indicadores e os controles do appliance

Enforcer
O appliance Enforcer é instalado em um chassi montável em rack 1U com suporte
para trilhos fixos.
A Figura 41-1 mostra os controles, os indicadores e os conectores localizados atrás
do painel opcional no painel frontal.
Sobre os indicadores e os controles do appliance Enforcer
Figura 41-1 Painel frontal do appliance Enforcer
1 Unidade de DVD-ROM
2 Botão Liga/desliga
3 Ícone de redefinição
4 Portas USB
5 Luz da unidade de disco rígido
6 Monitor
7 Reservado; não use
A Figura 41-2 mostra o painel traseiro do sistema.
Figura 41-2 Painel traseiro do appliance Enforcer (modelo de falha aberta

exibido)
1 Conector do cabo de alimentação
2 Conector do mouse
3 Conector do teclado
4 Portas USB
5 Porta serial
6 Monitor
7 Reservado; não use
8 Portas de rede reservadas; não use
9 Porta de rede eth0

Configuração de um appliance Enforcer
10 Porta de rede eth1
Use a porta e o cabo seriais fornecidos para conectar outro sistema conectado a
um monitor e teclado. Como alternativa, é possível conectar o monitor ou teclado
diretamente. Se você se conectar usando a porta serial, a taxa de transmissão
padrão que é definida no Enforcer será de 9.600 bps. Você deve configurar a
conexão no outro sistema para correspondência. A conexão pela porta serial é o
método preferencial. Para solucionar problemas, ela permite transferir arquivos,
como as informações de depuração, ao computador conectado.
Consulte “Configuração de um appliance Enforcer” na página 869.
Configuração de um appliance Enforcer

Configure o hardware do appliance Enforcer conectando-o à sua rede, ativando-o
e fazendo o logon na linha de comando.
Consulte “Sobre os indicadores e os controles do appliance Enforcer” na página 867.
Para configurar um appliance Enforcer
1 Remova o appliance Enforcer da embalagem.
2 Monte o appliance Enforcer em um rack ou coloque-o em uma superfície
nivelada.
Consulte as instruções de montagem em rack que acompanham o appliance
Enforcer.
3 Conecte-o à uma tomada elétrica.
4 Conecte o appliance Enforcer usando um destes métodos:
■ Conecte outro computador ao appliance Enforcer usando a porta serial.
Use um cabo de modem nulo com conector DB9 (fêmea). É necessário usar
software de terminal, como HyperTerminal, CRT ou NetTerm, para acessar
o console do Enforcer. Configure o software de terminal para 9600 bps, 8
bits de dados, sem paridade, 1 bit de parada, sem controle de fluxo.
■ Conecte um teclado e um monitor VGA diretamente ao appliance Enforcer.
Logon em um appliance Enforcer
5 Conecte os cabos Ethernet às portas de interface de rede, conforme descrito

abaixo:
Appliance Gateway Enforcer Conecte dois cabos Ethernet. Um cabo conecta-se à

porta eth0 (NIC interna). O outro cabo conecta-se à
porta eth1 (NIC externa) na parte traseira do appliance
Enforcer.
A NIC interna é conectada à rede protegida e ao

Symantec Endpoint Protection Manager. A NIC externa
é conectada aos endpoints.
Appliance LAN Enforcer Conecte um cabo de ethernet à porta eth0 na parte

traseira do appliance Enforcer. Esse cabo se conecta à
rede interna. A rede interna se conecta a um alternador
compatível com 802.1x e a todos os alternadores
compatíveis com 802.1x adicionais na rede.
6 Ligue a alimentação.
O appliance Enforcer é iniciado.
Consulte “Logon em um appliance Enforcer” na página 870.
Consulte “Para configurar um appliance Enforcer” na página 871.
Logon em um appliance Enforcer

Quando você ativar ou reiniciar o appliance Enforcer, o prompt de logon do console
será exibido:
Fazer login no Enforcer
Os seguintes níveis de acesso estão disponíveis:
Superusuário Acesso a todos os comandos
Normal Acesso apenas aos comandos clear, exit, help e show para cada nível
de hierarquia do comando
Nota: Após 90 segundos de inatividade, o appliance Enforcer desconectará

automaticamente os usuários.

Para fazer logon em um appliance Enforcer com acesso a todos os comandos

1 Na linha de comando, fazer logon em um appliance Enforcer com acesso a
todos os comandos digitando o comando a seguir:
root
2 Digite a senha que você criou durante a instalação inicial.

A senha padrão é symantec.
O prompt de comando do console para raiz é Enforcer#.
Para fazer logon em um appliance Enforcer com acesso limitado aos comandos
1 Se você quiser fazer logon em um appliance Enforcer com acesso limitado
aos comandos, digite o comando a seguir na linha de comando:
admin
2 Digite a senha na linha de comando.

A senha padrão é symantec.
O prompt de comando do console para admin é Enforcer$.

Após fazer logon no appliance Enforcer, você pode configurar o appliance na
interface de linha de comando do Enforcer.

1 Especifique o tipo de appliance Enforcer da seguinte forma, respondendo aos
prompts do Enforcer:
1. Select Enforcer mode

[G] Gateway [L] LAN
Onde:
G Appliance Gateway Enforcer
L appliance LAN Enforcer
2 Altere o nome do host do appliance Enforcer ou pressione Enter para deixar

o nome do host do appliance Enforcer inalterado.
O nome padrão do host do appliance Enforcer é Enforcer. O nome do appliance
Enforcer é registrado automaticamente no Symantec Endpoint Protection
Manager durante a próxima pulsação.
No prompt, digite o comando a seguir se desejar mudar o nome do host do
appliance Enforcer:
2. Set the host name

Note:
1) Input new hostname or press "Enter" for no change. [Enforcer]:
nome do host nome do host
onde nome do host é o novo nome de host do appliance Enforcer.

Certifique-se de registrar o nome do host do appliance Enforcer no servidor
de nomes de domínio.
3 Digite o comando a seguir para confirmar o novo nome de host do appliance
Enforcer:
show hostname
4 Digite o endereço IP do servidor DNS e pressione Enter.

5 Digite a nova senha raiz no prompt, digitando, primeiramente, o seguinte

comando:
password
Senha antiga: nova senha
É necessário alterar a senha raiz usada para fazer login no appliance Enforcer.
O acesso remoto será ativado somente após a alteração da senha. A nova
senha deve ter pelo menos nove caracteres e conter uma letra minúscula,
uma letra maiúscula, um dígito e um símbolo.
6 Digite a nova senha admin.
7 Defina o fuso horário seguindo estes prompts.
Set the time zone

Current time zone is [+0000]. Change it? [Y/n]
If you click 'Y', follow the steps below:
1) Select a continent or ocean
2) Select a country
3) Select one of the time zone regions
4) Set the date and time
Enable the NTP feature [Y/n]
Set the NTP server:
Note: We set up the NTP server as an IP address
8 Defina a data e a hora.

9 Defina as configurações de rede e conclua a instalação, seguindo os prompts
do Enforcer.
Enter network settings
Configure eth0:
Note: Input new settings.
IP address []:
Subnet mask []:
Set Gateway? [Y/n]
Gateway IP[]:
Apply all settings [Y/N]:

Consulte “Sobre a hierarquia de comandos da CLI do appliance Enforcer”
na página 928.
Capítulo 42
Para fazer upgrade e recriar
imagem de todos os tipos
de imagens do appliance
Enforcer
■ Sobre como fazer upgrade e gerar imagens do appliance Enforcer
■ Matriz de compatibilidade de hardware do Enforcer
■ Como determinar a versão atual de uma imagem do appliance Enforcer
■ Upgrade de imagens do appliance Enforcer
■ Geração de imagens do appliance Enforcer
Sobre como fazer upgrade e gerar imagens do

appliance Enforcer
Determine a versão do software appliance Enforcer antes de planejar o upgrade
ou a recriação de imagem de qualquer software do appliance Enforcer.
Consulte “Como determinar a versão atual de uma imagem do appliance Enforcer”
na página 877.
Você pode precisar fazer upgrade da imagem de um appliance Enforcer para a
versão atual se desejar conectar-se à versão mais atual do Symantec Endpoint
Protection Manager. O upgrade permite aproveitar-se dos novos recursos que o
876 Para fazer upgrade e recriar imagem de todos os tipos de imagens do appliance Enforcer
Matriz de compatibilidade de hardware do Enforcer
appliance Symantec Network Access Control Enforcer oferece. Os appliances

Enforcer funcionam com o Symantec Endpoint Protection Manager 11.0 e todas
as versões e atualizações subsequentes.
Você pode selecionar alguns dos seguintes métodos para fazer upgrade da imagem
do appliance Enforcer:
■ Fazer upgrade da imagem atual do appliance Enforcer.
Consulte “Upgrade de imagens do appliance Enforcer” na página 877.
■ Instalar uma imagem diferente do appliance Enforcer sobre uma imagem
anterior do appliance Enforcer.
Consulte “Geração de imagens do appliance Enforcer” na página 878.
Matriz de compatibilidade de hardware do Enforcer

A Matriz de compatibilidade de hardware do Enforcer relaciona as versões da
imagem do appliance do Symantec Network Access Control e seu nível de teste e
de suporte para os modelos de hardware do appliance Enforcer Dell.
Tabela 42-1 Matriz de compatibilidade de hardware do Enforcer
Versão da imagem Dell PE 850 Dell PE 860 Dell R200 Dell R210
Versão da imagem 12,1 Não suportada Testada Testada Testada

parcialmente e inteiramente e inteiramente e
suportada suportada suportada
inteiramente inteiramente inteiramente
Versão da imagem 11.0.6100 e Testada Testada Testada Testada

superior (RU6 MP1 e superior) parcialmente e parcialmente e inteiramente e inteiramente e
suportada suportada suportada suportada
inteiramente inteiramente inteiramente inteiramente
Versão da imagem 11.0.6 Testada Testada Testada Não suportada

inteiramente e inteiramente e inteiramente e
Versões da imagem 11.0.2, 11.0.3, Testada Testada Testada Não suportada

11.0.4 e 11.0.5 inteiramente e inteiramente e inteiramente e
Versão da imagem 11.0.0, 11.0.1 Testada Testada Não suportada Não suportada
inteiramente e inteiramente e
suportada suportada
inteiramente inteiramente
Para fazer upgrade e recriar imagem de todos os tipos de imagens do appliance Enforcer 877
Como determinar a versão atual de uma imagem do appliance Enforcer
Como determinar a versão atual de uma imagem do

appliance Enforcer
Você deve determinar a versão atual da imagem que é suportada no appliance
Enforcer. Você deverá tentar fazer upgrade se não tiver a versão mais recente.
Para verificar a versão atual de uma imagem do appliance Enforcer, digite o
comando a seguir na interface de linha de comando de um appliance Enforcer:
show version
na página 928.
Upgrade de imagens do appliance Enforcer

Você pode usar alguns dos seguintes métodos para atualizar uma imagem do
appliance Enforcer à imagem a mais recente:
■ Faça o upgrade da imagem do appliance Enforcer da versão 5.1.x para a atual
com um disco USB.
■ Faça upgrade da imagem do appliance Enforcer da versão 5.1.x para a atual
de um servidor TFTP.
Para fazer upgrade da imagem do appliance Enforcer da versão 5.1.x com um disco
USB
1 Copie os dois arquivos de atualização, initrd-Enforcer.img.gpg e lista
de pacotes, para um disco USB.
2 Digite o comando a seguir para atualizar automaticamente o appliance

Enforcer:
Enforcer# update
Para fazer upgrade da imagem do appliance Enforcer da versão 5.1.x com um
servidor TFTP
1 Faça o upload de dois arquivos de atualização, initrd-Enforcer.img.gpg e
lista de pacotes para um protocolo TFTP ao qual o appliance Enforcer
pode se conectar.
2 Execute o comando a seguir no console do appliance Enforcer:
Enforcer:# update tftp://endereço IP do servidor TFTP
3 Selecione Y quando você for solicitado a iniciar a nova imagem.
Geração de imagens do appliance Enforcer
4 Selecione 1 para reiniciar o appliance Enforcer após ter aplicado a nova

imagem.
Não inicie a imagem nova sem reiniciar o appliance Enforcer.
5 Faça o logon no appliance Enforcer.
6 Consulte “Logon em um appliance Enforcer” na página 870.
na página 928.

O appliance Enforcer é fornecido com o software de geração de imagens para todos
os appliances Enforcer: Gateway e LAN. O software de geração de imagens inclui
o sistema operacional Linux de alta segurança e o software appliance Enforcer
para a substituição de uma imagem do appliance Enforcer.
Ao iniciar a instalação pelo Disco 2, o processo de geração de imagens apagará a
configuração existente no appliance Enforcer. Os arquivos novos são instalados
sobre os arquivos existentes. Todas as configurações previamente definidas no
appliance Enforcer são perdidas.
É possível instalar um tipo diferente de appliance Enforcer se quiser mudar o tipo
que está atualmente em uso. Se você mudar o tipo de imagem do appliance
Enforcer, isso poderá envolver o remanejamento de um appliance Enforcer na
rede da empresa.
Quando você recriar uma imagem de um Enforcer, será necessário também
descartar todas as informações do grupo relacionadas ao Enforcer que estava
armazenado no Symantec Endpoint Protection Manager. Você está começando
do inicio com o novo tipo de Enforcer. O Enforcer descarta todas as informações
do grupo Symantec Endpoint Protection Manager anterior completamente. Você
deve criar uma nova chave de compartilhamento e as informações do grupo
Symantec Endpoint Protection Manager devem ser reconfiguradas manualmente
conforme a necessidade para garantir a coordenação apropriada.
Para recriar imagens de um appliance Enforcer
1 Insira o disco do produto 2 na unidade do disco do appliance Enforcer.
Enforcer:# reboot
Esse comando reinicia o appliance Enforcer.
Para fazer upgrade e recriar imagem de todos os tipos de imagens do appliance Enforcer 879
3 No menu Configurar, selecione Instalar o Symantec Enforcer do CD-ROM.

Se você não usar o menu Configurar, o appliance Enforcer será inicializado
através do disco rígido em vez de pelo disco do produto. Para recriar a imagem,
reinicie pelo disco.
4 Instale e configure o appliance Enforcer.
Capítulo 43
Para personalizar as
políticas de integridade do
host
■ O que você pode fazer com as Políticas de integridade do host
■ Para criar e testar uma Política de integridade do host
■ Sobre requisitos da integridade do host
■ Adição de requisitos da integridade do host
■ Integridade do host para Mac
■ Para ativar, desativar e excluir políticas de integridade do host
■ Alteração da sequência dos requisitos de integridade do host
■ Para adicionar um requisito da integridade do host através de um modelo
■ Sobre configurações para verificações da integridade do host
■ Como permitir que a verificação de integridade do host seja aprovada se um

requisito falhar
■ Configuração de notificações para verificações da integridade do host
■ Sobre a correção da Integridade do host
■ Para criar uma política de quarentena para uma verificação de integridade do

host com falha
■ Especificação do período de tempo que o cliente espera pela correção

882 Para personalizar as políticas de integridade do host
O que você pode fazer com as Políticas de integridade do host
■ Permissão para que os usuários adiem ou cancelem a correção da integridade

do host
O que você pode fazer com as Políticas de integridade

do host
Use as Políticas de integridade do host para certificar-se de que os
computadores-cliente que acessam sua rede atendam à política de segurança de
sua organização. Por exemplo, é possível usar as Políticas de integridade do host
para assegurar-se de que os computadores-cliente:
■ Estão executando aplicativos da proteção antivírus e contra spyware. Caso
negativo, permitem a correção através do download e da instalação dos
aplicativos de proteção contra vírus e spyware necessários.
■ Tenha verificações de proteção antivírus aprovadas feitas pelo Symantec
Endpoint Protection em plataformas Windows. Se o Symantec Endpoint
Protection não estiver instalado, essa verificação será relatada como falha da
integridade do host e aparecerá no registro de segurança.
■ Tenham as definições de vírus mais recentes. Caso negativo, fazem
automaticamente o download das atualizações das definições de vírus.
■ Tenham os patches e os service packs mais recentes. Caso negativo, permitem
a correção através do download e da instalação do patch ou do service pack
necessário.
■ Usem senhas complexas e que essas sejam modificadas com a frequência
necessária.
■ Fique mais protegido em geral. Por exemplo, desativando o acesso remoto à
área de trabalho se necessário, controlando a adição e remoção de programas,
controlando o uso de ferramentas de registro, etc.
■ Tenham o software de backup instalado. Caso negativo, permitem a correção
através do download e da instalação do software de backup necessário.
■ Tenham o software que permite que você execute instalações remotas. Caso
contrário, permita que isso seja corrigido através do download e instalação do
software necessário de instalação remota, possivelmente usando um script
personalizado criado pelo administrador.
Para personalizar as políticas de integridade do host 883
Para criar e testar uma Política de integridade do host

A Política de integridade do host é a base do Symantec Network Access Control.
A política criada para este teste serve apenas como demonstração. Ela detecta a
existência de um sistema operacional e, ao detectá-lo, gera um evento de falha.
Normalmente, os eventos de falha são gerados por outros motivos.
Nota: Se você adquiriu e instalou o Symantec Network Access Control e o Symantec

Endpoint Protection, pode criar uma política de firewall para os
computadores-cliente que falham na integridade do host. Se executar o Symantec
Enforcer com o Symantec Network Access Control, será possível isolar os clientes
que falharam na integridade do host em segmentos de rede específicos. Esse
isolamento impede a autenticação do cliente e o acesso ao domínio.
Execute as seguintes etapas para testar a Política de integridade do host:

■ Faça o download do conteúdo mais recente de integridade do host da Symantec.
■ Crie uma política de integridade do host para testar.
■ Teste a política de integridade do host que você criou.
Para fazer o download do conteúdo mais recente de integridade do host da Symantec
1 No console de gerenciamento, clique em Admin > Servidores e clique em
Site local.
2 Em Tarefas, clique em Editar propriedades do site.
3 Na caixa de diálogo Propriedades do site para Site local, na guia LiveUpdate,
clique em Editar servidores de origem.
4 Na caixa de diálogo Servidores do LiveUpdate, verifique se o servidor de
gerenciamento usa o servidor do LiveUpdate correto e clique em OK.
Você pode usar o servidor do Symantec LiveUpdate padrão ou usar um servidor
interno do LiveUpdate especificado. Se você usar um servidor interno do
LiveUpdate, assegure-se de que o conteúdo de integridade do host para os
sistemas operacionais Windows ou Mac esteja presente e disponível.
5 Em Tipos de conteúdo para download, clique em Alterar seleção.
6 Na caixa de diálogo Tipos de conteúdo para download, certifique-se de que
a caixa de seleção Conteúdo de integridade do host esteja marcada e, em
seguida, clique em OK.
7 Clique em OK.
8 Em Tarefas, clique em Download de conteúdo do LiveUpdate e clique em

Download.
9 Na caixa de diálogo Exibir status do LiveUpdate, depois que todo o conteúdo
novo for obtido por download no servidor de gerenciamento, clique em Fechar.
Você pode agora acessar os modelos na política de integridade do host.
Para criar uma Política de integridade do host
1 No console, clique em Políticas > Integridade do host.
2 Em Tarefas, clique em Adicionar uma política de integridade do host.
3 Na guia Nome da política, digite um nome de política e clique em Requisitos.
4 No painel Requisitos, certifique-se de que Sempre fazer a verificação de
integridade do host esteja selecionado e clique em Adicionar.
5 Na caixa de diálogo Adicionar requisito, em Selecione o requisito, clique em
Requisito personalizado e clique em OK.
6 Na caixa Nome, digite um nome para o Requisito personalizado.
7 Na caixa de diálogo Requisito personalizado, em Script de requisitos
personalizados, clique com o botão direito do mouse em Inserir instruções
abaixo e clique então em Adicionar > IF .. THEN.
8 No painel direito, no menu suspenso Selecionar uma condição, clique em
Utilitário: O sistema operacional é.
9 Em Sistema operacional, selecione um ou vários sistemas operacionais
executados pelos seus computadores-cliente e que você pode testar.
10 Em Script de requisitos personalizados, clique com o botão direito do mouse
em THEN //Inserir instruções aqui e, em seguida, clique em Adicionar >
Função > Utilitário: Exibir caixa de diálogo de mensagens.
11 Na Legenda da caixa de mensagem, digite um nome a ser exibido no título da
mensagem.
12 No Texto da caixa de mensagem, digite o texto a ser exibido na mensagem.
Para exibir informações sobre as configurações de personalização de
mensagem, clique em Ajuda.
13 No painel esquerdo, em Script de requisitos personalizados, clique em
Aprovado.
14 No painel direito, em Como resultado do requisito, retorne, marque Falha
e, em seguida, clique em OK.
Sobre requisitos da integridade do host
15 Clique em OK.
16 No prompt Atribuir política, clique em Sim e atribua a política a um grupo.
Nota: Uma política de integridade do host pode ser atribuída a vários grupos,
enquanto um grupo pode ter apenas uma única política de integridade do
host. Você pode substituir uma política existente por uma política diferente.
Para testar uma Política de integridade do host

1 No console, clique em Clientes > Clientes.
2 Em Clientes, clique e destaque o grupo que contém os computadores-cliente
aos quais você aplicou a Política de integridade do host.
3 Em Tarefas, clique em Executar comando no grupo > Atualizar conteúdo e
clique em OK.
4 Faça logon em um computador-cliente que execute o Symantec Network
Access Control e observe a caixa de mensagem que é exibida.
Como a regra acionou o teste de falha, a caixa de mensagem é exibida. Após
o teste, desative ou exclua a política de teste.
na página 882.

Ao planejar os requisitos de integridade do host, você deve considerar as seguintes
questões:
■ Qual software (aplicativos, arquivos, patches etc.) deseja exigir para a segurança
empresarial?
■ O que ocorre se um requisito não for atendido? Por exemplo:
■ O cliente pode se conectar a um servidor e restaurar o software para cumprir
o requisito.
■ A verificação da integridade do host pode ser aprovada mesmo que o
requisito falhe.
■ A verificação da integridade do host pode falhar e o acesso à rede pode ser
bloqueado.
■ Uma mensagem pode notificar o usuário sobre o que fazer a seguir.
Considere as seguintes áreas com mais detalhes:

■ Que aplicativos antivírus, antispyware, firewall, patches ou atualizações são
necessários no computador do usuário quando esse se conecta à rede?
Normalmente, você cria um requisito separado para cada tipo de software. Os
requisitos de integridade do host predefinidos permitem que você configure
facilmente esses requisitos normalmente usados.
■ Você pode conceder aos usuários o direito de escolher quais aplicativos de
firewall, antispyware ou antivírus eles desejam executar em seus computadores.
Os requisitos predefinidos permitem especificar como aceitável um aplicativo
específico ou uma lista de aplicativos suportados. Você pode criar um requisito
personalizado que inclua os aplicativos aceitáveis em sua empresa.
■ Como você controlará a restauração do computador de um usuário para uma
configuração que cumpra os requisitos? Normalmente, você precisa configurar
um servidor de correção com o software necessário. Quando você configurar
o requisito, deverá especificar o URL através do qual o cliente poderá fazer
download e instalar o software necessário.
■ Alguns patches exigem que o usuário reinicie o computador. As atualizações
são concluídas em uma ordem específica para que todas as atualizações sejam
aplicadas antes que o usuário precise reiniciar. Como parte da Política de
integridade do host, você pode definir a ordem em que os requisitos são
verificados e que a correção é tentada.
■ Você também deve considerar o que ocorre se um requisito falhar e não puder
ser restaurado. Para cada requisito, você tem a opção de permitir que a
verificação da integridade do host seja aprovada, mesmo que o requisito falhe.
Como parte da Política de integridade do host geral, você também pode
configurar mensagens. O cliente exibe essas mensagens ao usuário, caso haja
falha na verificação da integridade do host ou caso ela seja aprovada depois
de uma falha anterior. Convém planejar instruções adicionais para o usuário
nessas mensagens. Além disso, você pode configurar uma política de quarentena
para ser ativada se houver falha na integridade do host.
Consulte “Para criar uma política de quarentena para uma verificação de
integridade do host com falha” na página 897.
■ Você pode simplificar o gerenciamento dos aplicativos necessários, incluindo
aplicativos semelhantes em um requisito personalizado. Por exemplo, você
pode incluir navegadores da Internet, como o Internet Explorer e o Firefox,
em um único requisito.
■ Como parte de um requisito personalizado, você pode especificar se vai permitir
que a verificação da integridade do host seja aprovada, caso o requisito falhe.
Quando você planejar o número de condições que vai verificar em um único
script, lembre-se de que essa configuração se aplica ao script dos requisitos
Adição de requisitos da integridade do host
personalizados como um todo. Esse aspecto da configuração pode afetar o fato

de você querer criar vários requisitos personalizados pequenos ou apenas um
maior que inclua várias etapas.
Talvez você ache útil configurar uma planilha eletrônica que represente os
requisitos de aplicação da integridade do host de sua empresa.
A Política de integridade do host inclui os seguintes tipos de requisitos:
■ Os requisitos predefinidos cobrem os tipos mais comuns de verificações da
integridade do host e permitem que você escolha dentre os seguintes tipos:
■ Requisito de antivírus
■ Requisito de antispyware
■ Requisito de firewall
■ Requisito de patch
■ Requisito de Service Pack
■ Requisitos personalizados, que você define usando o Editor de requisitos
personalizado.
Consulte “Gravação de um script de requisitos personalizados” na página 912.
■ Modelos de requisito da integridade do host, que são atualizados como parte
do Symantec Enterprise Protection LiveUpdate.
Consulte “Para adicionar um requisito da integridade do host através de um
modelo” na página 891.
Quando você adiciona um novo requisito, pode selecionar um desses tipos de
requisitos predefinidos. É exibida uma caixa de diálogo com o conjunto de
configurações predefinidas que você pode definir. Se as configurações predefinidas
não atenderem às suas necessidades, você poderá criar um requisito personalizado.
Você pode mudar a posição dos requisitos. A posição de um requisito determina
a ordem em que é executado.
Consulte “Alteração da sequência dos requisitos de integridade do host”
na página 891.

Uma política de integridade do host define os requisitos dos firewalls, antivírus,
antispyware, patches, service packs ou outros aplicativos necessários nos
Cada política de integridade do host inclui requisitos e configurações gerais. Os

requisitos especificam os seguintes itens:
■ Que condições verificar
■ Quais ações (como downloads e instalações) o cliente executa em resposta à
condição
Quando você especificar requisitos da integridade do host, poderá escolher um
dos tipos a seguir: requisitos predefinidos, personalizados ou modelos. Os requisitos
de modelo estão disponíveis por meio do serviço LiveUpdate da política de
integridade do host. Você pode copiar e colar, bem como exportar e importar
requisitos entre políticas.
As configurações gerais permitem configurar quando e com que frequência o
cliente executa uma verificação da integridade do host, as opções da correção e
as notificações.
Você pode criar uma nova Política de integridade do host, compartilhada ou não
compartilhada. Depois de criar uma nova política, você poderá adicionar um
requisito predefinido, um requisito personalizado ou ambos.
Consulte “Sobre requisitos da integridade do host” na página 885.
Para adicionar um requisito da integridade do host
1 No console, abra uma Política de integridade do host. (opcional) Clique em
Visão geral e edite Nome da política e Descrição para a política. A integridade
do host vem com uma política padrão criada automaticamente durante a
instalação do produto.
2 Na página Política de integridade do host, clique em Requisitos.
Integridade do host para Mac
3 Na página Requisitos, selecione uma das seguintes opções para determinar

quando as verificações da integridade do host devem ser executadas no cliente:
Sempre fazer a verificação da Essa é a opção padrão. Uma verificação da

integridade do host integridade do host sempre será realizada
neste local com a frequência que você
especificar.
Faça somente a verificação da Uma verificação da integridade do host será

integridade do host por meio do realizada neste local somente quando o
Gateway ou DHCP Enforcer cliente for autenticado através de um
Gateway ou um DHCP Enforcer.
Somente fazer a verificação da Uma verificação da integridade do host será

integridade do host quando estiver realizada neste local somente quando o
conectado ao servidor de cliente estiver conectado a um servidor de
gerenciamento gerenciamento.
Nunca fazer a verificação da Nunca será realizada uma verificação da

integridade do host integridade do host nesse local.
5 Na seção Exigências de Integridade do host da caixa de diálogo, clique em
Adicionar.
6 Na caixa de diálogo Adicionar uma exigência de Integridade do host, selecione
um dos tipos de requisito e clique em OK.
7 Defina as configurações para o requisito.
8 Na página Configurações avançadas, defina as configurações para a
verificação, a correção e as notificações da integridade do host.
Para mais informações, clique em Ajuda.
Consulte “Sobre configurações para verificações da integridade do host”
na página 892.
9 Quando concluir a configuração da política, clique em OK.
10 Atribua a política aos grupos ou locais.
Integridade do host para Mac

A integridade do host para Mac é semelhante à versão que está disponível para
Windows. Todas as escolhas são claramente descritas na interface do usuário.
Para ativar, desativar e excluir políticas de integridade do host
Nota: Quando for feita a migração de versões do Enforcer anteriores à versão

atual, o processo de upgrade não transportará as políticas de integridade do host
para o Mac. Você deverá digitá-las novamente.
Para ativar, desativar e excluir políticas de

integridade do host
Ao criar requisitos para uma política de integridade do host, você cria requisitos
para uso futuro. Desative-os até que seja necessário usá-los. Você pode desativar
um requisito temporariamente, enquanto testa sua política de integridade do host.
Para ativar e desativar os requisitos de integridade do host
1 No console, abra uma política de integridade do host.
3 Na página Requisitos, selecione um requisito e execute uma das seguintes
tarefas:
■ Para ativar um requisito, marque a caixa de seleção Ativar para o requisito
selecionado.
■ Para desativar um requisito, desmarque a caixa de seleção Ativar para o
requisito selecionado.

Para excluir políticas de integridade do host
2 Em políticas, clique em Integridade do host.
3 Selecione a política de integridade do host que você deseja excluir no painel
direito. Quando você seleciona uma política, ela é destacada em amarelo.
4 Em Tarefas no painel esquerdo, clique em Excluir a política.
5 Na caixa de diálogo Excluir política, clique em Sim.
Nota: Você não pode excluir uma política que esteja em uso. Para excluir uma
política que esteja em uso, primeiro é necessário retirar a política dos locais
atribuídos.

na página 882.
Alteração da sequência dos requisitos de integridade do host
Alteração da sequência dos requisitos de integridade

do host
Você pode mudar a posição dos requisitos. Ao alterar a posição, você determina
em que ordem eles serão executados. A posição pode ser importante quando você
faz o download de software que exige uma reinicialização depois da instalação.
Você define a ordem para garantir que os requisitos que exigem uma reinicialização
para correção sejam executados por último.
Para mudar a sequência de requisitos de integridade do host
1 No console, abra uma Política de integridade do host.
3 Na página Requisitos, selecione o requisito que você deseja mover e clique
em Mover para cima ou Mover para baixo.
Para adicionar um requisito da integridade do host

através de um modelo
Você pode adicionar requisitos predefinidos de Integridade do host dos modelos
existentes. Você pode usar o LiveUpdate para importar conteúdo de Integridade
do host no servidor de gerenciamento e para adicionar então os modelos à Política
Se você importar um requisito pela segunda vez e já existir um requisito com o
mesmo nome, o requisito importado não sobrescreverá o existente. Ao contrário,
o requisito importado será exibido com o número 2 ao lado do nome, na tabela
Requisitos.
Para adicionar um requisito de integridade do host através de um modelo
2 Na página Integridade do host, clique em Requisitos.
3 Na página Requisitos, clique em Adicionar.
4 Na caixa de diálogo Adicionar requisito, selecione Plataforma do cliente e
Usar modelos existentes… e clique em seguida em OK.
Sobre configurações para verificações da integridade do host
5 Na caixa de diálogo Atualização online da integridade do host, expanda

Modelos e selecione uma categoria de modelo.
6 Ao lado de cada modelo que você quer adicionar, clique em Adicionar.
7 Clique em Importar.
8 Clique em OK.
Sobre configurações para verificações da integridade

do host
Ao configurar as políticas de integridade do host, você poderá selecionar dentre
várias configurações. As configurações referem-se ao modo de realizar a verificação
da integridade do host e de tratar os resultados.
Se você alterar uma Política de integridade do host, ela será transferida por
download para o cliente na próxima pulsação. Depois, o cliente executa uma
verificação da integridade do host.
Se o usuário alternar para um local com uma política de integridade do host
diferente enquanto uma verificação da integridade do host estiver em andamento,
o cliente interromperá a verificação. A interrupção incluirá tentativas de correção,
se for exigido pela política. O usuário poderá receber uma mensagem de tempo
limite se uma conexão com o servidor de correção não estiver disponível no novo
local. Quando a verificação estiver concluída, os resultados serão descartados pelo
cliente. Imediatamente o cliente executará uma nova verificação da integridade
do host baseada na nova política para o local.
Se a política for a mesma no novo local, o cliente manterá todas as configurações
de horário da integridade do host. O cliente executará uma nova verificação da
integridade do host quando for exigido pelas configurações da política.
A Tabela 43-1 exibe as configurações para verificações da integridade do host.
Tabela 43-1 Configurações de verificação da integridade do host
Verificar integridade do host Especifica a frequência das verificações da integridade do

a cada host.
Como permitir que a verificação de integridade do host seja aprovada se um requisito falhar
Manter os resultados das Define a duração da manutenção dos resultados da

verificações por integridade do host.
Você pode definir a quantidade de horas que um cliente
retém o resultado de uma verificação anterior da integridade
do host. O cliente manterá o resultado mesmo que o usuário
tome uma ação que normalmente resultaria em uma nova
verificação da integridade do host. Por exemplo, o usuário
pode fazer download de um software novo ou mudar um
local.
Continuar a verificação de Especifica que o cliente continua a verificar os requisitos

requisitos após a falha de um mesmo que um deles falhe. O cliente de fato interrompe a
deles verificação da integridade do host até que o requisito falho
seja restaurado.
O cliente verificará os requisitos de integridade do host na

ordem especificada na Política de integridade do host.
Se você ativar essa configuração, a verificação da integridade

do host falhará, mas poderá tentar outras ações de correção,
se for necessário.
Você pode permitir que a verificação da integridade do host

passe mesmo se um requisito falhar. Essa configuração é
encontrada na caixa de diálogo Requisitos para cada tipo
de requisito. A configuração é aplicada separadamente para
cada requisito.
Como permitir que a verificação de integridade do

host seja aprovada se um requisito falhar
Além de ativar ou desativar um requisito em sua Política de integridade do host
para determinar se o cliente executa ou não um script de requisitos, você pode
fazer com que o cliente execute o script de requisitos e registre mas ignore os
resultados. Você pode deixar a verificação de integridade do host ser aprovada se
o requisito falhar ou não. Um requisito pode ser aprovado mesmo se a condição
de requisitos não for cumprida.
Permitir que a verificação de integridade do host seja aprovada seja ativada
mesmo se o requisito falhar na caixa de diálogo de um requisito específico. Se
desejar aplicar esta configuração a todos os requisitos, você deverá ativá-la em
cada requisito separadamente. A configuração fica desativada por padrão.
Configuração de notificações para verificações da integridade do host
Se você ativar a configuração para permitir que a verificação de integridade do

host seja aprovada mesmo se o requisito falhar, será exibida a seguinte mensagem
na janela do cliente quando o evento ocorrer:
Host Integrity failed but reported as pass
Para permitir que a verificação de integridade do host seja aprovada se um requisito

falhar
2 Na página Integridade do host, clique em Requisitos.
3 Na página Requisitos, clique em Adicionar, adicione um requisito predefinido
ou um requisito personalizado e, em seguida, clique em OK.
4 Na caixa de diálogo do requisito, marque Permitir que a verificação de
integridade do host passe mesmo se este requisito falhar.
5 Clique em OK.
Configuração de notificações para verificações da

integridade do host
Quando o cliente executa uma verificação de integridade do host, você pode
configurar as notificações para que sejam exibidas quando ocorrerem as seguintes
condições:
■ Uma verificação da integridade do host falha.
■ Uma verificação da integridade do host é aprovada depois de falhar
anteriormente.
Os resultados da verificação da integridade do host aparecem no Log de segurança
do cliente. Eles são transferidos para o log de conformidade, na página Monitores
do servidor de gerenciamento.
O Log de segurança do cliente contém diversos painéis. Se você selecionar um tipo
de evento da verificação da integridade do host, o painel inferior esquerdo
informará se o requisito individual passou ou falhou. O painel inferior direito
relaciona as condições do requisito. Você pode configurar o cliente para omitir as
informações no painel inferior direito. Embora você possa precisar dessas
informações para solucionar problemas, talvez não deseje que os usuários vejam
as informações. Por exemplo, você pode gravar um requisito personalizado que
Sobre a correção da Integridade do host
especifique um valor do registro ou um nome de arquivo. Os detalhes ainda estão

gravados no Log de segurança.
Você também pode ativar uma notificação que dê ao usuário a opção de fazer o
download do software imediatamente ou de adiar a correção.
Consulte “Permissão para que os usuários adiem ou cancelem a correção da
integridade do host” na página 898.
Para configurar notificações para verificações da integridade do host
2 Na página Integridade do host, clique em Configurações avançadas.
3 Na página Configurações avançadas, em Notificações, para exibir as
informações detalhadas do requisito, marque Exibir log detalhado de
O painel inferior direito do Log de segurança do cliente exibe informações
completas sobre um requisito da integridade do host.
4 Marque qualquer uma destas opções:
■ Exibir uma mensagem de notificação quando houver falha na verificação
■ Exibir uma mensagem de notificação quando uma verificação da
integridade do host for aprovada após falhas anteriores.
5 Para adicionar uma mensagem personalizada, clique em Definir texto

adicional, digite até 512 caracteres de texto adicional, e clique em OK.

Se a verificação da Integridade do host do cliente mostrar que os requisitos da
Integridade do host não são cumpridos, o cliente poderá tentar restaurar os
arquivos necessários para cumprir os requisitos. O computador-cliente precisará
então passar na verificação da Integridade do host. O cliente faz o download,
instala arquivos ou executa os aplicativos necessários. Ao instalar as Políticas de
integridade do host, especifique o que acontece durante o processo de correção.
Você pode especificar não somente onde o cliente vai para fazer o download dos
arquivos de correção, mas também como o processo de correção é implementado.
Você pode permitir que o usuário cancele o download do software. Você também
pode definir o número de vezes que o usuário pode adiar um download e durante
quanto tempo. As configurações aplicam-se a todos os tipos de requisitos na
política, exceto àqueles em que você desativou o cancelamento da correção. Os

usuários podem cancelar apenas os requisitos predefinidos.
Consulte “Sobre os aplicativos de correção e arquivos de Integridade do host”
na página 896.
Sobre os aplicativos de correção e arquivos de Integridade do host

Ao configurar a correção para um requisito, especifique o local de um pacote de
instalação ou arquivos a serem obtidos por download e instalados.
Ao especificar o local do pacote de instalação ou arquivo a ser obtido por download,
use qualquer um seguintes formatos:
UNC \\servername\sharename\dirname\filename
A restauração UNC não funciona se Procura em ambiente de rede estiver

desativado no cliente-alvo. Certifique-se de que Procura em ambiente de
rede não foi desativado se usar caminhos UNC para a correção.
FTP FTP://ftp.ourftp.ourcompany.com/folder/filename
HTTP HTTP://www.ourwww.ourcompany.com/folder/filename
Os pacotes de instalação ou arquivos são sempre transferidos por download para

o diretório temporário. Qualquer caminho relativo refere-se a esse diretório. O
diretório temporário é definido na variável de ambiente TMP, ou na variável de
ambiente TEMP, se existentes. O diretório padrão está no diretório do Windows.
Para a execução do arquivo, o atual diretório de trabalho é sempre definido no
diretório temporário do Windows. As variáveis de ambiente são substituídas antes
da execução. O caminho do diretório do Windows substitui o comando %windir%.
Você pode usar %F% (o padrão) para executar o arquivo especificado no campo
URL de download. A variável %F% representa o último arquivo obtido por download.
Após o download, a instalação ou a execução de um comando para restaurar um
requisito, o cliente sempre testa novamente o requisito. O cliente também registra
o resultado como aprovação ou falha.
Configurações de correção de integridade do host e do Enforcer

Quando você definir requisitos de integridade do host, poderá especificar que, se
eles não forem cumpridos, o cliente deverá atualizar o computador-cliente com
o que for solicitado através da conexão a um servidor de correção. Se você aplicar
esses requisitos a clientes que se conectam à rede através de um Enforcer, você
Para criar uma política de quarentena para uma verificação de integridade do host com falha
deve assegurar que o cliente, apesar de estar bloqueado para acesso regular à rede,
possa acessar o servidor de correção. Caso contrário, o cliente não restaurará a
integridade do host e continuará a descumprir o requisito de integridade do host.
A forma de cumprir essa tarefa depende do tipo de Enforcer. A lista abaixo oferece
alguns exemplos:
■ Para o Gateway Enforcer, você pode configurá-lo para reconhecer o servidor
de correção como um endereço IP interno e confiável.
■ Para um LAN Enforcer, se você estiver usando um alternador com capacidade
de VLAN dinâmica, poderá configurar a VLAN com acesso ao servidor de
correção.
Para criar uma política de quarentena para uma

verificação de integridade do host com falha
A política de quarentena é uma política para o cliente do Symantec Network Access
Control que executa a verificação de integridade do host. Se os requisitos da política
de integridade do host não forem atendidos, o cliente tentará uma correção. Se a
correção falhar, o cliente alternará automaticamente para uma política de
quarentena. Uma política de quarentena pode ser qualquer uma das políticas
existentes, tais como Política de proteção contra vírus e spyware ou Política de
firewall.
Você pode configurar e atribuir uma política de quarentena a um local.
Para criar uma política de quarentena para uma verificação de integridade do host
com falha
2 Na página Clientes, em Clientes, selecione o grupo para o qual deseja criar
uma política.
3 Na guia Políticas, ao lado de Políticas de quarentena quando a integridade
do host falha, clique em Adicionar uma política.
4 Na caixa de diálogo Adicionar política de quarentena, escolha um tipo de
política e clique em Avançar.
5 Escolha se deseja adicionar uma política existente, criar uma política nova
ou importar um arquivo de políticas e clique em Avançar.
■ Na caixa de diálogo Adicionar política, escolha a política e clique em OK.
Especificação do período de tempo que o cliente espera pela correção
■ Na caixa de diálogo Tipo de política, configure a política e clique em OK.

■ Na caixa de diálogo Importar política, encontre o arquivo .dat e clique
em Importar.
Especificação do período de tempo que o cliente

espera pela correção
Você pode especificar o período de tempo que o cliente aguardará antes de tentar
instalar e iniciar o download da correção novamente. Independentemente do
tempo especificado, sempre que uma nova verificação de integridade do host for
iniciada, o cliente tentará corrigir novamente o computador-cliente.
Para especificar o período de tempo que o cliente espera pela correção
e clique em OK.
4 Na caixa de diálogo dos requisitos predefinidos, marque Instalar nome do
requisitose este não tiver sido instalado no cliente.
5 Marque Fazer o download do pacote de instalação.
Para o requisito de antivírus, marque Fazer o download do pacote de
instalação.
6 Marque Especifique o tempo de espera para tentar o download novamente
em caso de falhas.
7 Especifique o período de tempo de espera em minutos, horas ou dias.
Permissão para que os usuários adiem ou cancelem

a correção da integridade do host
Se um requisito especificar uma ação de correção, você poderá permitir que o
usuário cancele a correção. Ou poderá permitir que o usuário adie a correção para
uma hora mais conveniente. Os exemplos de ações de correção incluem a instalação
Permissão para que os usuários adiem ou cancelem a correção da integridade do host
de um aplicativo ou uma atualização de arquivo de assinatura. Você pode definir

um limite do número de vezes em que a correção poderá ser cancelada e por quanto
tempo o usuário poderá adiá-la. Os limites definidos por você determinarão as
seleções disponíveis ao usuário na janela de mensagem exibida pelo cliente quando
a correção for necessária. Você também pode adicionar texto à janela de mensagem.
As configurações de mínimo e máximo de vezes determinam o intervalo de escolhas
disponíveis na janela de mensagem. A janela de mensagem é exibida ao usuário
quando um requisito falhar. O intervalo será exibido na forma de lista ao lado do
ícone Lembre-me depois, na mensagem.
Se o usuário selecionar para o adiamento um período menor que a frequência da
verificação da integridade do host, a seleção do usuário é sobreposta. A janela de
mensagem não aparece novamente até que o cliente execute outra verificação da
integridade do host. Se o usuário tiver optado por ser lembrado em 5 minutos,
mas a verificação da integridade do host for executada a cada 30 minutos, a janela
de mensagem de correção apenas será exibida depois de transcorridos 30 minutos.
Para evitar confusão para o usuário, você poderá sincronizar a configuração de
tempo mínimo com a configuração de frequência de verificação da integridade do
host.
Se o usuário adiar a correção, o cliente registra o evento. A integridade do host
exibe falha, já que o requisito não foi cumprido. O usuário pode executar
manualmente uma nova verificação da integridade do host a qualquer momento,
através da interface de usuário do cliente.
Se o usuário tiver adiado uma ação de correção e, nesse ínterim, o cliente receber
uma política atualizada, o período de tempo disponível para correção é restaurado
para o máximo especificado.
Para permitir aos usuários adiar a correção da integridade do host
2 Na página Política de integridade do host, clique em Configurações
avançadas.
3 Na página Configurações avançadas, em Opções da caixa de diálogo de
correção, defina um limite de tempo mínimo e máximo que um usuário poderá
adiar a correção.
4 Digite o número máximo de vezes que o usuário pode cancelar a correção.
5 Para adicionar uma mensagem personalizada no computador-cliente, clique
em Definir texto adicional.
A mensagem digitada será exibida na janela de correção do cliente se o usuário
clicar na opção Detalhes. Se você não especificar um texto adicional, o texto
padrão da janela será repetido na área Detalhes se o usuário clicar na mesma.
Permissão para que os usuários adiem ou cancelem a correção da integridade do host
6 Na caixa de diálogo Inserir texto adicional, digite uma mensagem

personalizada de até 512 caracteres e clique em OK.
Para permitir que os usuários cancelem a correção da integridade do host
e clique em OK.
4 Na caixa de diálogo dos requisitos predefinidos, marque Instalar nome do
requisito se este não tiver sido instalado no cliente.
5 Marque Fazer o download do pacote de instalação.
Para o requisito de antivírus, marque Fazer o download do pacote de
instalação.
6 Marque Permitir que o usuário cancele o download para a correção de
Capítulo 44
Para adicionar requisitos
personalizados à política de
integridade do host
■ Sobre os requisitos personalizados
■ Sobre condições
■ Sobre funções
■ Sobre a lógica de requisito personalizado
■ Gravação de um script de requisitos personalizados
■ Exibição de uma caixa de diálogo de mensagens
■ Download de um arquivo
■ Definição de um valor do registro
■ Incremento de um valor DWORD do registro
■ Execução de um programa
■ Execução de um script
■ Definição do carimbo de hora de um arquivo
■ Especificação de um tempo de espera para o script de requisitos personalizado

902 Para adicionar requisitos personalizados à política de integridade do host
Sobre os requisitos personalizados
Sobre os requisitos personalizados

Os requisitos personalizados verificam um computador-cliente para quaisquer
critérios selecionados ou definidos pelo administrador. Você pode gravar requisitos
personalizados para corrigir quaisquer problemas de conformidade identificados.
Você pode criar um script de requisitos complexo ou simples usando seleções e
campos predefinidos.
Os campos e as listas disponíveis nas caixas de diálogo de requisitos predefinidos
ficam disponíveis quando você cria requisitos personalizados. Entretanto, os
requisitos personalizados oferecem mais flexibilidade. Nos requisitos
personalizados, você pode adicionar os aplicativos que não estão incluídos nas
listas de aplicativos predefinidas. Também é possível criar subconjuntos de listas
predefinidas adicionando cada aplicativo individualmente.
Consulte “Sobre condições” na página 902.
Consulte “Sobre funções” na página 909.
Consulte “Sobre a lógica de requisito personalizado” na página 910.
Sobre condições
As condições são as verificações que podem ser desempenhadas dentro de um
script de requisito personalizado para detectar problemas de conformidade.
Você pode escolher entre as seguintes categorias de condições:
■ Verificações de proteção antivírus
Consulte “Sobre condições do antivírus” na página 903.
■ Verificações de proteção contra spyware
Consulte “Sobre as condições do antispyware” na página 903.
■ Verificações de firewall
Consulte “Sobre as condições do firewall” na página 904.
■ Verificações e operação de arquivo
Consulte “Sobre as condições do arquivo” na página 905.
■ Verificações e operação de registro
Consulte “Sobre as condições do registro” na página 907.
■ Utilitários
Você pode especificar as condições como presentes ou ausentes (NÃO). Você pode
incluir várias instruções de condição usando as palavras-chave AND ou OR.
Para adicionar requisitos personalizados à política de integridade do host 903
Sobre condições
Sobre condições do antivírus

Em um requisito personalizado, você pode especificar aplicativos de proteção
antivírus e informações do arquivo de assinatura para verificação como parte da
instrução da condição IF-THEN.
Você pode verificar as seguintes condições:
■ A proteção antivírus está instalada
■ A proteção antivírus está em execução
■ O arquivo de assinatura da proteção antivírus está atualizado
■ A proteção antivírus não relatou uma infecção. Isto se aplica somente a
computadores Windows, e somente se o Symantec Endpoint Protection for o
programa antivírus. Se você selecionar esta circunstância, apenas o Symantec
Endpoint Protection poderá ser especificado como o programa antivírus.
Ao verificar aplicativos e arquivos de assinatura como parte de um requisito
personalizado, especifique as mesmas informações que ao criar um requisito
predefinido. Os nomes das opções podem variar um pouco.
Se você selecionar Qualquer produto antivírus, todos os aplicativos na lista
suspensa cumprirão o requisito. Você pode incluir um subconjunto de aplicativos,
selecionando-os com a palavra-chave OU.
Ao especificar as informações do arquivo de assinatura, selecione uma ou ambas
as opções para verificar se o arquivo de assinatura está atualizado. Se você
selecionar ambas, as seguintes condições devem ser cumpridas para atender ao
requisito:
■ Selecione Verificar se o arquivo de assinatura é menor e digite um número
de dias.
Um arquivo com data anterior ao número de dias que você especificou está
desatualizado.
■ Selecione Verificar se a data do arquivo de assinatura é e selecione antes,
depois, igual a ou diferente de e especifique uma data no formato
"mm/dd/yyyy". Opcionalmente, especifique hora e minuto; o padrão é 00:00.
A última data de modificação do arquivo determina o prazo do arquivo de
assinatura.
Sobre as condições do antispyware

Em um requisito personalizado de integridade do host, você pode especificar
aplicativos antispyware e informações do arquivo de assinatura para verificação
como parte da instrução da condição IF THEN.
Sobre condições

■ Um aplicativo antispyware foi instalado
■ O antispyware está em execução
■ O arquivo de assinatura do antispyware foi atualizado
Ao verificar aplicativos e arquivos de assinatura como parte de um requisito
personalizado, especifique as mesmas informações que ao criar um requisito
predefinido. Os nomes das opções podem variar um pouco.
Se você selecionar Qualquer produto antispyware, todos os aplicativos na lista
suspensa cumprirão o requisito.
Ao especificar as informações do arquivo de assinatura, selecione uma ou ambas
as opções para verificar se o arquivo de assinatura está atualizado. Se você
selecionar ambas as opções, as seguintes condições deverão ser satisfeitas para
cumprir o requisito:
■ Selecione Verificar arquivo de assinatura para especificar a idade do arquivo.
Digite o número de dias que é a idade máxima do arquivo.
Um arquivo com data anterior ao número de dias que você especificou está
desatualizado.
■ Selecione Verificar se a data do arquivo de assinatura é inferior a e selecione
antes, depois, igual a ou diferente de e especifique uma data no formato
"mm/dd/yyyy". Opcionalmente, especifique hora e minuto; o padrão é 00:00.
A última data de modificação do arquivo determina o prazo do arquivo de
assinatura.
Sobre as condições do firewall

aplicativos de firewall para verificação como parte da instrução da condição
IF-THEN.
■ O firewall está instalado
■ O firewall está em execução
Se você deseja selecionar qualquer aplicativo na lista suspensa, selecione Qualquer
produto de Firewall. Você pode incluir um subconjunto de aplicativos,
selecionando-os com a palavra-chave OU.
Sobre condições
Sobre as condições do arquivo

Em um requisito personalizado da integridade do host, você pode verificar um
aplicativo ou arquivo como parte da instrução da condição IF-THEN.
Você pode especificar as seguintes opções para verificar as informações de arquivo
em um requisito personalizado da integridade do host:
Arquivo: Comparar o tempo Especifique um número de dias ou semanas e selecione

de existência do arquivo com maior ou menor que.
Arquivo: Comparar a data do Especifique a data no formato mm/dd/aaaa. Opcionalmente,

arquivo com especifique uma hora e minuto. A hora padrão é 00:00.
Selecione igual a, diferente de, antes ou depois.
Arquivo: Comparar o Especifique o número de bytes. Selecione igual a, diferente

tamanho do arquivo com de, menor ou maior que.
Arquivo: Comparar a versão Especifique a versão do arquivo no formato x.x.x.x, onde x

do arquivo com representa um número decimal de 0 a 65535. Selecione igual
a, diferente de, menor ou maior que.
Arquivo: O arquivo existe Especifique o nome do arquivo a ser verificado.
Arquivo: A impressão digital Geralmente, essas informações são obtidas selecionando

do arquivo é igual a um aplicativo, usando Procurar aplicativos. Você deve
especificar a impressão digital do arquivo.
Nota: Você pode pesquisar a impressão digital do arquivo
em uma lista de computadores-cliente.
Especifique um número Ao selecionar uma opção, os campos adicionais são exibidos

hexadecimal (até 32 dígitos) na caixa de diálogo. Para cada opção, especifique o caminho
e o nome do arquivo e insira as informações adicionais
necessárias.
Arquivo: Download do É possível fazer o download de um arquivo de um local para

arquivo concluído um diretório especificados por você, fazendo o download
por FTP, UNC ou HTTP. Se for necessária a autenticação
para acessar o local do arquivo, especifique a senha e o nome
de usuário.
Nota: Se você quer que os usuários façam download do
arquivo de um compartilhamento de arquivo por FTP ou
UNC, será necessário configurar a pasta de
compartilhamento ou o servidor FTP para permitir o acesso
anônimo.
Sobre condições
Use variáveis do sistema, valores do registro ou uma combinação deles para

especificar o caminho e o nome do arquivo. Ao selecionar uma das opções do
arquivo, a caixa de diálogo mostra exemplos de formas de inserir o caminho e o
nome do arquivo.
Você pode localizar os aplicativos que foram gravados usando o recurso Procurar
aplicativos. Ao especificar as opções de arquivo no script de requisitos
personalizados, a opção Procurar aplicativos fornece acesso à mesma ferramenta
de pesquisa que a ferramenta Procurar aplicativos. Você pode navegar nos grupos
definidos no servidor de gerenciamento para filtrar os aplicativos, digitar uma
consulta de pesquisa e exportar os resultados para um arquivo.
Para pesquisar usando as variáveis de ambiente do sistema ou os valores do
registro:
Para usar a variável de Para especificar o arquivo denominado cmd.exe localizado no

ambiente do sistema diretório especificado na variável de ambiente WINDIR, digite
o seguinte comando:
%WINDIR%\cmd.exe
Para usar o valor do Para ler o valor HKEY_LOCAL_MACHINE\Software\

registro Symantec\\AppPath como o caminho do arquivo sem.exe,
digite o comando:
#HKEY_LOCAL_MACHINE\Software\Symantec\AppPath#\sem.exe
Para usar a variável Utilize o seguinte exemplo para usar a variável combinada do
combinada do registro e valor do registro e do ambiente do sistema:
do ambiente do sistema %SYSTEMDIR%\#HKEY_LOCAL_MACHINE\Software\Symantec\\AppPath#.
Sobre as condições do sistema operacional

informações do sistema operacional para verificação como parte da instrução da
condição IF-THEN. Ao selecionar uma opção, os campos adicionais são exibidos
na caixa de diálogo.
Utilitário: O sistema operacional é Especifique um sistema operacional. Ao atualizar

um patch, será necessário selecionar as versões
exatas que exigem aquele patch. Você pode usar
a palavra-chave OR para especificar mais de um
sistema operacional.
Sobre condições
Utilitário: O idioma do sistema A função detecta a versão do idioma do sistema

operacional é operacional do cliente. Se a versão do idioma não
está relacionada na caixa de diálogo Requisito
personalizado, você poderá adicionar idiomas
digitando os identificadores no campo
Identificadores de idioma. Para adicionar vários
identificadores, use uma vírgula para separar cada
ID, como 0405,0813. Consulte a tabela
Identificadores de idiomas para obter a Ajuda
contextual da lista de identificadores.
Patch: Compare o service pack atual Digite o número do service pack que você deseja
com uma versão especificada procurar, como 2. O número é para limitado a dois
caracteres. Você pode verificar as seguintes
condições: igual a, diferente de, menor do que ou
maior do que.
Um número seguido por uma letra é considerado

maior que um número sozinho. Por exemplo, o
service pack número 6a é considerado maior que
6. Certifique-se de aplicar um patch de cada vez.
Patch: O patch está instalado Digite o nome do patch que deseja verificar. Por
exemplo: KB12345. É possível digitar somente
números e letras nesse campo.
Certifique-se de corresponder o nome do patch e o número do service pack com

a versão correta do sistema operacional. Se você especificar um sistema operacional
que não corresponder ao patch ou service pack, o requisito falhará.
Sobre as condições do registro

Em um requisito personalizado da integridade do host, especifique as configurações
do registro do Windows que devem ser verificadas como parte da instrução da
condição IF-THEN. Também é possível especificar formas de alterar os valores
do registro. Apenas HKEY_CLASSES_ROOT, HKEY_CURRENT_USER,
HKEY_LOCAL_MACHINE, HKEY_USERS, e HKEY_CURRENT_CONFIG são
configurações de registro suportadas
As seguintes seleções estão disponíveis para verificar configurações do registro:
Registro: A chave de registro existe Especifique o nome da chave de registro para

verificar sua existência.
Sobre condições
Registro: O valor do registro é igual a Especifique o nome da chave de registro e o nome

do valor e especifique com que dados comparar o
valor.
Registro: O valor de registro existe Especifique o nome da chave de registro para

verificar se já tiver o nome do valor especificado.
Registro: Êxito na definição do valor de Especifique um valor para designar à chave

registro especificada. Se a chave não existir, ele criará a
chave. Esta seleção substitui um valor existente,
independentemente se é ou não do mesmo tipo.
Se o valor existente é um valor DWORD, mas você
especifica um valor de string, o DWORD será
substituído com o valor de string.
Registro: Êxito no aumento do valor Especifique um valor DWORD. Esta seleção

DWORD do registro permite executar contagens, como permitir que
um computador sem patches atenda aos requisitos
não mais que n vezes.
Quando você especificar chaves de registro, lembre-se das seguintes considerações:

■ O nome da chave está limitado a 255 caracteres.
■ Se a chave de registro tiver uma barra invertida (\) no final, ela será
interpretada como uma chave de registro. Por exemplo:
HKEY_LOCAL_MACHINE\SOFTWARE\
■ Se a chave de registro não tiver uma barra invertida no final, então ela será
interpretada como um nome de registro. Por exemplo:
HKEY_LOCAL_MACHINE\SOFTWARE\ActiveTouch
Quando você especificar os valores do registro, lembre-se das seguintes

considerações:
■ O nome do valor está limitado a 255 caracteres.
■ Verifique valores como DWORD (decimal), binário (hexadecimal) ou string.
■ Para valores DWORD, verifique se o valor é menor, igual, diferente ou maior
que o valor especificado.
■ Para valores de string, verifique se os dados de valor são iguais a ou contêm
uma determinada string. Se você desejar que a comparação de strings diferencie
maiúsculas de minúsculas, marque a caixa de seleção Diferenciar maiúsculas
de minúsculas.
■ Para valores binários, verifique se os dados de valor são iguais a ou contêm
uma determinada parte de dados binários. Os Bytes hexadecimais representam
os dados. Se você especificar o valor contido, também poderá especificar o
Sobre funções
deslocamento para esses dados. Se o deslocamento for deixado em branco, ele

buscará o valor para os dados binários. Os valores permitidos para a caixa de
edição são de 0 até 9 e de a até f.
Os seguintes exemplos são valores do registro:
DWORD 12345 (decimal)
Binário 31 AF BF 69 74 A3 69 (hexadecimal)
String ef4adf4a9d933b747361157b8ce7a22f
Sobre funções
Você usa funções para definir as ações que são executadas quando uma expressão
condicional é avaliada como verdadeira ou falsa.
Uma condição de requisito personalizado pode verificar a instalação de produtos
antivírus específicos, mas não pode ser configurada para instalar o produto como
ação de correção. Quando você grava requisitos personalizados, é necessário
explicitamente definir as ações de correção serem executadas usando instruções
da função.
As funções aparecem dentro das instruções THEN e ELSE ou podem aparecer ao
final na parte superior de um script de requisito personalizado. Para conseguir
um resultado desejado de correção, talvez seja necessário especificar um grande
número de funções. Cada função executa tarefas muito específicas, como fazer o
download de um arquivo ou executar um arquivo. Você não define funções
individuais para fornecer ações de correção específicas, como instalar produtos
antivírus específicos. Para fazer o download de produtos antivírus específicos, é
necessário usar a função geral de download.
A Tabela 44-1 exibe as seguintes funções em um script de requisito personalizado:
Tabela 44-1 Funções do requisito personalizado
Função Descrição
download de um arquivo Fazer o download de um arquivo que seja denominado por

um URL ou por uma UNC ao computador-cliente. Se um
URL for usado, HTTP e FTP serão suportados.
Sobre a lógica de requisito personalizado
Função Descrição
Definir o valor do registro Cria e define ou incrementa um valor do registro do

Windows dentro de uma chave do registro especificada.
Aumentar o valor DWORD do
registro
mensagem de log Especifica uma mensagem personalizada a ser adicionada

ao Log de segurança do cliente e ao registro.
execução de um programa Executa um programa que já reside no computador-cliente.

Você pode especificar que o programa seja executado
independentemente de o usuário fazer logon.
execução de um script Executa um script personalizado no computador-cliente.

Você pode usar o editor de texto integrado para criar
conteúdo do script. O script pode ser um arquivo de lote,
um arquivo INI ou qualquer formato executável reconhecido
pelo Windows. Além disso, o script pode conter parâmetros
apenas para serem fornecidos a um outro programa.
definição do carimbo de hora Carimba um arquivo especificado no computador-cliente

com a hora e a data atuais.
exibição da caixa de diálogo Exibe uma janela da caixa de diálogo da mensagem no

de mensagens computador-cliente com uma opção OK. O tempo limite
padrão pode ser especificado.
como aguardar Pausa a execução do script do requisito personalizado por

um período especificado.

Você grava os requisitos personalizados usando a lógica típica de scripts. As regras
usam a lógica IF..THEN..ELSE de uma lista de condições e ações predefinidas.
Consulte “Sobre a instrução RETURN” na página 911.
Consulte “Sobre as instruções IF, THEN e ENDIF” na página 911.
Consulte “Sobre a instrução ELSE” na página 911.
Consulte “Sobre a palavra-chave NOT” na página 912.
Consulte “Sobre as palavras-chave AND e OR” na página 912.
Sobre a instrução RETURN

Você pode adicionar uma instrução RETURN para especificar o resultado geral
da integridade do host do requisito. A instrução RETURN inclui a palavra-chave
PASS e a palavra-chave FAIL. Todos os requisitos personalizados devem incluir
uma instrução RETURN ao final.
Diferentemente de um requisito predefinido, um requisito personalizado deve
especificar explicitamente o resultado da verificação de integridade do host. Em
alguns casos, a avaliação de um conjunto de condições como sendo verdadeira
deve ser interpretada como o requisito personalizado aprovando a avaliação da
integridade do host. Em outros casos, convém a mesma avaliação ser interpretada
como falha pela avaliação da integridade do host.
Sobre as instruções IF, THEN e ENDIF

Você pode definir a estrutura lógica primária de um requisito personalizado por
uma ou mais instruções IF, THEN e ENDIF. Uma instrução IF, THEN e ENDIF:
■ Define uma estrutura em que as condições específicas são verificadas (IF).
■ As ações que são tomadas quando aquelas condições forem avaliadas como
sendo verdadeiras (THEN).
Você pode aninhar instruções IF, THEN e ENDIF para formar requisitos
personalizados mais complexos. Você deve aninhar as instruções IF, THEN e
ENDIF sempre que uma condição for verdadeira antes que uma outra condição
possa ser avaliada.
Consulte “Adição de uma instrução IF THEN” na página 914.
Sobre a instrução ELSE

Uma instrução IF, THEN e ENDIF é um conjunto de condições e de ações que são
executadas quando as condições são avaliadas como sendo verdadeiras. Em muitos
casos, talvez seja necessário especificar uma ou mais ações a serem tomadas para
executar a ação de correção desejada. Você pode adicionar uma instrução ELSE
para identificar as ações a serem tomadas sempre que as condições especificadas
forem avaliadas como sendo falsas.
Consulte “Adição de uma instrução ELSE” na página 915.
Gravação de um script de requisitos personalizados
Sobre a palavra-chave NOT

Você pode usar a palavra-chave NOT para rever uma avaliação lógica de uma
condição em particular. Depois que uma condição foi adicionada ao script de
requisito personalizado, clique com o botão direito do mouse na condição e
selecione Toggle NOT (NÃO alternar) para não reverter a lógica da condição. O
uso da palavra-chave NOT não altera a avaliação geral de verdadeiro e falso da
instrução IF. Ela reverte somente o estado verdadeiro e falso de uma condição em
particular.
Sobre as palavras-chave AND e OR

Você pode especificar várias condições dentro de uma instrução IF, THEN ou
ENDIF; porém, as palavras-chave adicionais devem ser adicionadas para a
instrução. Dentro de qualquer instrução IF, você pode adicionar as palavras-chave
AND e OR logicamente associadas às várias condições. A associação lógica das
condições afeta diretamente a avaliação geral de verdadeiro ou falso da instrução
IF. Se você usar a palavra-chave AND em uma instrução IF, todas as condições na
instrução IF devem ser avaliadas como verdadeiras para que a instrução IF seja
verdadeira. Se você usar a palavra-chave OR, somente uma das condições na
instrução IF deve ser avaliada para que a instrução IF seja verdadeira.
Quando você especifica um grande número de condições, é necessário interpretar
a associação lógica das condições para antecipar se a avaliação certa deve ser
verdadeira ou falsa. O script personalizado do requisito não exibe a expressão
com um formato de parêntese, mas com as palavras-chave e nós aninhados. A
primeira expressão inicia sempre com a primeira condição especificada e continua
enquanto a mesmo palavra-chave do operador lógico é usado. Por exemplo, você
pode usar a palavra-chave OR para associar três condições diferentes. Enquanto
você usa a palavra-chave OR, todas as condições estão contidas dentro da mesma
expressão lógica.

Para criar um requisito personalizado, adicione uma ou mais instruções IF..THEN..
ao script. Quando você executa o script, a verificação da integridade do host
procura a condição listada em nó IF. Dependendo da condição, a ação relacionada
em nó THEN é executada. O resultado (aprovação ou falha) é retornado.
O script exibe uma estrutura de árvore no painel esquerdo e uma lista suspensa
de condições ou funções no painel direito.
Como parte de um requisito personalizado, você pode especificar se vai permitir

que a verificação da integridade do host seja aprovada, caso o requisito falhe.
Quando você planejar quantas condições diferentes verificar em um script,
lembre-se que esta configuração se aplica a todo o script de requisitos
personalizados. Talvez isso afete a escolha de criar diversos pequenos requisitos
personalizados ou um requisito personalizado maior que contenha várias etapas.
Para gravar um script de requisito personalizado
1 Adicione um requisito personalizado.
2 Na caixa de diálogo Requisito personalizado, digite um nome para o requisito.
O nome do requisito pode ser exibido no computador-cliente. O nome notifica
o usuário se o requisito foi aprovado, falhou ou solicita o usuário a fazer
download do software.
3 Para adicionar uma condição, em Script de requisitos personalizados, clique
em Adicionar e em IF..THEN...
4 Com a condição vazia em realce em nó IF, no painel direito, selecione uma
condição.
A verificação da integridade do host procura a condição no
computador-cliente.
5 Na lista suspensa Selecione uma condição, especifique as informações
adicionais necessárias.
6 Em Script de requisitos personalizados, clique em THEN e em Adicionar.
A instrução THEN fornece a ação que deve ser tomada se a condição for
verdadeira.
7 Clique em qualquer uma destas opções:
■ IF.. THEN
Use uma instrução IF.. THEN.. aninhada para fornecer condições e ações
adicionais.
Consulte “Adição de uma instrução IF THEN” na página 914.
■ Função
Use uma função para definir a ação de correção.
Consulte “Sobre funções” na página 909.
■ Return
Use uma instrução return para especificar se os resultados da avaliação
da condição foram aprovados ou falharam. Os requisitos personalizados
devem terminar com uma instrução de aprovação ou falha.
■ Comentário
Use um comentário para explicar a funcionalidade das condições, funções
ou indicações que você está adicionando.
Consulte “Adição de um comentário” na página 915.
8 No painel direito, defina os critérios que você adicionou.

9 Para adicionar mais instruções, condições ou funções aninhadas, em Script
de requisitos personalizados, clique com o botão direito do mouse no nó e,
em seguida, clique em Adicionar.
10 Repita as etapas de 7 a 9 conforme necessário.
11 Para permitir que a verificação da integridade do host seja aprovada
independentemente do resultado, marque Permitir que a verificação de
integridade do host passe mesmo se este requisito falhar.
12 Quando concluir a configuração do requisito, clique em OK.
Adição de uma instrução IF THEN

Adicione uma instrução IF THEN a um script personalizado para definir condições
de verificação e ações para tomar se a condição for avaliada como verdadeira.
Para adicionar uma instrução IF THEN
1 Gravação de um script de requisito personalizado.
2 Em Script de requisitos personalizados, selecione um dos seguintes itens:
■ Para adicionar a primeira instrução IF THEN, selecione o nó superior.
■ Para adicionar uma instrução IF THEN no mesmo nível de uma existente,
selecione END IF.
■ Para adicionar uma instrução IF THEN aninhada, selecione a linha abaixo
daquela em que deseja adicionar.
4 Clique em IF..THEN.
Alternância entre as instruções IF e IF NOT

Talvez você precise alternar entre verificar a presença ou a ausência de uma
condição.
Para alternar entre a instrução IF e a instrução IF NOT

2 Clique com o botão direito do mouse na condição e clique em Toggle NOT.
Adição de uma instrução ELSE

Você pode adicionar uma instrução ELSE para identificar as ações a serem tomadas
sempre que as condições especificadas forem avaliadas como falsas.
Para adicionar uma instrução ELSE
2 Em Script de requisitos personalizados, clique em EM SEGUIDA.
3 Clique em Adicionar e em ELSE.
Adição de um comentário
Para fins informativos, é possível escolher adicionar um comentário a uma
instrução.
Para adicionar um comentário
1 Grave um script de requisito personalizado.
2 Em Script de requisitos personalizados, selecione qualquer instrução que
você já adicionou e clique em Adicionar.
3 Clique em Comentário.
4 Clique em //Inserir instruções aqui e no painel direito, no campo de texto
Comentário, insira seus comentários.
Como copiar e colar instruções IF, condições, funções e comentários

É possível copiar e colar instruções ou nós IF THEN inteiros em ou entre requisitos
personalizados. Convém copiar e colar estes elementos se desejar movê-los para
uma outra parte do script ou para repetir a funcionalidade.
Exibição de uma caixa de diálogo de mensagens
Para copiar e colar uma instrução IF

2 Em Script de requisitos personalizados, clique com o botão direito do mouse
no elemento do script e clique em Copiar.
3 Clique com o botão direito do mouse em uma linha de instrução vazia e clique
em Colar
Exclusão de uma instrução, condição ou função

Você pode excluir instruções, condições ou funções a qualquer momento. Se houver
somente uma instrução de condição em um nó IF, sua exclusão eliminará a
instrução IF THEN inteira.
Para excluir uma instrução, condição ou função
2 Em Script de requisitos personalizados, selecione o elemento do requisito
que você deseja excluir.
3 Clique em Excluir.
4 Quando você for solicitado para confirmar a exclusão, clique em Sim.
Exibição de uma caixa de diálogo de mensagens

Você pode especificar uma função ou uma condição no requisito personalizado
de integridade do host que cria uma mensagem que o cliente exibe ao usuário. A
função ou condição retorna verdadeira se o usuário clicar em OK ou Sim. Caso
contrário, ela retorna falsa.
Para exibir uma caixa de diálogo de mensagens
1 Grave um script de requisitos personalizados.
personalizados, selecione o nó onde você deseja adicionar a função.
3 Clique em Adicionar e em Função.
Download de um arquivo
4 Clique em Utilitário: Exibir caixa de diálogo de mensagens.

Para inserir uma condição, selecione IF...Then e a ramificação apropriada.
Em seguida, selecione Utilitário: A caixa de diálogo de mensagem retorna
um valor igual a .
5 Digite uma legenda de até 64 caracteres para a caixa de mensagens.
6 Digite um texto de até 480 caracteres para a caixa de mensagens.
7 Selecione um dos seguintes ícones a serem exibidos: Informações, Pergunta,
Aviso ou Erro.
O ícone e o texto aparecem.
8 Selecione o conjunto de opções que aparecem na caixa de diálogo:
■ OK
■ OK e Cancelar
■ Sim e Não
9 Selecione a opção padrão para cada conjunto de opções.

10 Para fechar a caixa de mensagens e retornar a um valor padrão após um
determinado tempo sem interação do usuário, marque Ação a ser tomada
para eliminar a caixa de mensagem após o tempo de espera máximo e
especifique o tempo de espera.
O valor de tempo deve ser maior que 0.
Download de um arquivo
Para um requisito personalizado, você pode especificar que um arquivo seja obtido
por download no computador-cliente.
Para fazer o download de um arquivo
4 Clique em Arquivo: Fazer o download de um arquivo.
Definição de um valor do registro
5 Digite o local do URL de onde é feito o download do arquivo e a pasta no

computador-cliente na qual o arquivo será salvo.
Você pode especificar o local pelo URL ou UNC. Se você usar URL, HTTP e
FTP são aceitos.
Se você escolher HTTP, selecione Autenticação exigida somente para HTTP.
Digite o nome de usuário e a senha para a autenticação.
6 Marque Exibir a caixa de diálogo de processo de download para que os
usuários possam observar o download do arquivo enquanto o mesmo é salvo
7 Se você quiser que o usuário possa cancelar o download do arquivo, marque
Permitir ao usuário cancelar a Integridade do host para este requisito.
Os usuários poderão perder o trabalho se o download do arquivo for efetuado
no momento errado.
Definição de um valor do registro

Para um requisito personalizado, é possível definir um valor do registro do
Windows como um valor específico. A função de definição do valor do registro
criará um valor caso já não exista um definido.
Para definir um valor do registro
4 Clique em Registro: Definir o valor de registro. O valor do registro contém
o nome e o tipo do valor que serão verificados.
5 Digite a chave do registro no campo Chave do registro.
6 Digite um nome do valor a ser verificado no campo Nome do valor.
7 Em Especificar tipo e dados, escolha um do seguintes valores e tipos de
conteúdo:
■ Valor DWORD
■ Valor de string
■ Valor binário
Incremento de um valor DWORD do registro
Incremento de um valor DWORD do registro

Para um requisito personalizado, é possível incrementar o valor DWORD do
registro do Windows. A função do valor de incremento do registro DWORD cria
a chave, caso ela já não exista.
Para incrementar o valor DWORD do registro
Clique em Registro: Incrementar o valor DWORD do registro.
4 Digite a chave do registro a ser verificada no campo Chave do registro.
5 Digite um nome do valor a ser verificado no campo Nome do valor.
Execução de um programa
Para um requisito personalizado de integridade do host, especifique uma função
para que o cliente inicie um programa.
Para executar um programa
4 Clique em Utilitário: Executar um programa.
5 No campo de texto do comando, digite o comando para executar o script.
As variáveis de ambiente são substituídas antes da execução. Por exemplo,
%windir% substitui o caminho de diretório do Windows.
6 Em Executar o programa, selecione uma das seguintes opções:

■ no contexto do sistema
■ no contexto de usuário conectado
Execução de um script
O comando Executar deve incluir o caminho completo do arquivo,

mostrando quem é o usuário que efetuou login. Se nenhum usuário estiver
conectado, o resultado apresentará falha.
7 Para especificar o período de tempo para permitir que o comando executar

seja concluído, selecione uma das seguintes opções:
■ Não aguardar
A ação retorna verdadeira se a execução for bem-sucedida, mas não espera
até que a execução seja concluída.
■ Aguardar até que a execução esteja completa
■ Inserir tempo máximo
Inserir tempo em segundos. Se o comando Executar não for concluído no
tempo especificado, a execução do arquivo será interrompida.
8 Desmarque opcionalmente Exibir nova janela de processo, caso você não

queira ver uma janela que mostre o requisito executando o programa.
Execução de um script
No requisito personalizado da Integridade do host, especifique uma função para
que o cliente execute um script. Você pode usar uma linguagem de script, tal como
JScript ou VBScript, que possa ser executada com o host de scripts do Microsoft
Windows.
Para executar um script
4 Clique em Utilitário: Executar um script.
5 Digite um nome de arquivo para o script, como myscript.js.
6 Digite o conteúdo do script.
7 No campo de texto Executar o comando, digite o comando para executar o
script.
Use %F para especificar o nome do arquivo de script. O script é executado no
contexto do sistema.
Definição do carimbo de hora de um arquivo
8 Para especificar o período de tempo para permitir que o comando executar

seja concluído, selecione uma das seguintes opções:
■ Não aguardar
A ação retorna verdadeira se a execução for bem-sucedida, mas não espera
até que a execução seja concluída.
■ Aguardar até que a execução esteja completa
■ Inserir tempo máximo
Inserir tempo em segundos. Se o comando Executar não for concluído no
tempo especificado, a execução do arquivo será interrompida.
9 Desmarque opcionalmente Excluir o arquivo temporário após a conclusão

ou término da sua execução, caso ele não seja mais necessário.
Esta opção é desativada e não estará disponível se a opção Não aguardar
estiver selecionada.
10 Desmarque opcionalmente Exibir nova janela de processo, caso você não
queira ver uma janela que mostre o requisito executando o script.
Definição do carimbo de hora de um arquivo

No requisito personalizado de integridade do host, você pode especificar a função
Definir carimbo de hora para criar uma configuração de registro do Windows para
armazenar a data e a hora atuais. Use a condição Verificar carimbo de hora para
descobrir se um período de tempo específico foi aprovado desde que o carimbo de
hora foi criado.
Por exemplo, se a verificação de integridade do host for executada a cada 2 minutos,
você poderá especificar uma ação para ocorrer em um intervalo mais longo, como
um dia. Neste caso, o valor de hora armazenado é removido:
■ Quando o cliente tiver recebido um novo perfil.
■ Quando o usuário tiver executado manualmente uma verificação de integridade
do host.
Para definir o carimbo de hora de um arquivo
Especificação de um tempo de espera para o script de requisitos personalizado
4 Clique em Utilitário: Definir um carimbo de hora.

5 Digite um nome de até 256 caracteres de extensão para a configuração de
registro que armazena as informações sobre data e hora.
Para comparar a hora atual ao valor de tempo armazenado
personalizados, selecione o nó onde você deseja adicionar a condição.
3 Clique em Adicionar e em IF..THEN...
4 Clique em Utilitário: Verificar carimbo de hora.
5 Digite o nome digitado na configuração do registro da hora armazenada.
6 Especifique uma quantidade de tempo em minutos, horas, dias ou semanas.
Se a quantidade específica de tempo foi aprovada ou se o valor da configuração
do registro estiver vazio, a função Definir um carimbo de hora retornará um
valor verdadeiro.
Especificação de um tempo de espera para o script

de requisitos personalizado
No requisito personalizado da integridade do host, especifique uma função que
faça com que o script personalizado do requisito aguarde um determinado período
de tempo antes de ser executado.
Para especificar um tempo de espera para o script
4 Clique em Utilitário: Aguardar.
5 Digite o número de segundos para aguardar.
Capítulo 45
Para realizar tarefas
básicas no console de todos
os tipos de appliances
Enforcer
■ Sobre a execução de tarefas básicas no console de um appliance Enforcer
■ Configuração de uma conexão entre um appliance Enforcer e um Symantec

■ Verificação do status de comunicação de um appliance Enforcer no console do

Enforcer
■ Acesso remoto a um appliance Enforcer
■ Sobre a hierarquia de comandos da CLI do appliance Enforcer
Sobre a execução de tarefas básicas no console de

um appliance Enforcer
Você já deve ter configurado os seguintes parâmetros durante a instalação do
appliance Enforcer:
■ Nome do host do appliance Enforcer
■ Nome do grupo do appliance Enforcer do qual um appliance Enforcer específico
é membro
924 Para realizar tarefas básicas no console de todos os tipos de appliances Enforcer
Configuração de uma conexão entre um appliance Enforcer e um Symantec Endpoint Protection Manager
■ Endereços IP das placas de interface de rede internas e externas (NICs)

■ Endereço IP do servidor DNS, se aplicável
■ Endereço IP do servidor NTP, se aplicável
Porém, é necessário ainda configurar uma conexão entre um appliance Enforcer
e um Symantec Endpoint Protection Manager. Você executa o comando spm no
console do appliance Enforcer para configurar esta conexão. Não é possível
continuar a usar um appliance Enforcer a menos que você conclua esta tarefa.
Consulte “Configuração de uma conexão entre um appliance Enforcer e um
Após inicialmente instalar e configurar um appliance Enforcer, será possível
executar tarefas administrativas do console do Enforcer ou do Symantec Endpoint
Protection Manager. Se você administra vários appliances Enforcer, é conveniente
administrá-los de um local centralizado.
Todos os appliances Enforcer têm uma interface de linha de comando (CLI) com
a qual você pode executar comandos para alterar o número de parâmetros.
na página 928.
Configuração de uma conexão entre um appliance

Enforcer e um Symantec Endpoint Protection Manager
Você deve estabelecer comunicação entre o appliance Enforcer e o Symantec
Endpoint Protection Manager no console do Enforcer. Você deve também concluir
a instalação do appliance Enforcer e a configuração das NIC internas e externas
no appliance Enforcer.
Se desejar estabelecer comunicação entre um appliance Enforcer e o Symantec
Endpoint Protection Manager em um console do Enforcer, você precisa das
■ Endereço IP do Symantec Endpoint Protection Manager
Verifique com o administrador do servidor no qual o Symantec Endpoint
Protection Manager foi instalado para obter o endereço IP.
■ Nome de grupo do Enforcer ao qual você deseja atribuir o appliance Enforcer
Depois de terminar de configurar o nome do grupo Enforcer para o appliance
Enforcer, o nome do grupo é registrado automaticamente no Symantec Endpoint
Protection Manager.
Para realizar tarefas básicas no console de todos os tipos de appliances Enforcer 925
■ O número da porta no Symantec Endpoint Protection Manager que é usado

para se comunicar com o appliance Enforcer.
O número da porta padrão é 8014.
■ A senha criptografada que foi criada durante a instalação inicial do Symantec
Para configurar uma conexão entre um appliance Enforcer e um Symantec Endpoint
Protection Manager
1 Na linha de comando, no console de um appliance Enforcer, digite configure.
spm ip endereço_ip group nome do grupo do Enforcer http número
da porta key senha criptografada
Consulte “Sobre o comando configure spm ” na página 925.

Você pode usar o seguinte exemplo como uma diretriz:
spm ip 192.168.0.64 group CorpAppliance

http 8014 key symantec
Esse exemplo configura o appliance Enforcer para comunicar-se com o

Symantec Endpoint Protection Manager que tem um endereço IP 192.168.0.64
no grupo CorpAppliance. Ele usa o protocolo HTTP na porta 8014 com a senha
criptografada ou o segredo pré-compartilhado Symantec.
3 Verifique o status da comunicação do appliance Enforcer e do Symantec
Consulte “Verificação do status de comunicação de um appliance Enforcer
no console do Enforcer” na página 927.
4 Configure, implemente e instale ou faça download do software-cliente se você
ainda não o fez.
Para permitir que convidados (computadores-cliente não gerenciados) façam
download automaticamente de clientes sob demanda do Symantec Network
Access Control, configure um Gateway Enforcer para gerenciar
automaticamente o processo de download automático.
Consulte “Ativação de clientes sob demanda do Symantec Network Access
Control para se conectarem temporariamente a uma rede” na página 1139.
Sobre o comando configure spm

O comando configure do SPM define a conexão entre o appliance Enforcer e o
É necessário digitar todos os valores se algum deles for alterado. Para aqueles que
não estiverem especificados, serão usados valores padrão automaticamente.
O comando configure spm usa a seguinte sintaxe:
configure spm {[ip <ipaddress>] | [group

<group-name>] | [http <port-number>] | https
<port-number>] | [key <key-name>]} | [del key
<shared-key>]
onde:
ip <endereço_ip> Permite que você adicione o endereço IP do Symantec Endpoint

Protection Manager.
del key Exclui a chave secreta compartilhada.

<chave-compartilhada>
group Permite especificar um nome de grupo preferencial para o appliance

<nome-do-grupo> Enforcer. Portanto, recomenda-se que seja atribuído um nome de
grupo exclusivo para diferenciar os appliances Enforcer no console
http Permite que você especifique o protocolo HTTP e o número da porta

<número-da-porta> para comunicar-se com o Symantec Endpoint Protection Manager.
O protocolo padrão é HTTP. O número da porta padrão para o protocolo

HTTP é 80.
https Permite que você especifique o protocolo HTTPS e o número da porta

<número-da-porta> para comunicar-se com o Symantec Endpoint Protection Manager.
Você deverá usar este comando apenas se o Symantec Endpoint
Protection Manager tiver sido configurado para usar o protocolo
HTTPS.
O número da porta padrão para o protocolo HTTPS é 443.
key Permite que você especifique a senha criptografada exigida se o

<nome-da-chave> Symantec Endpoint Protection Manager tiver sido instalado com uma.
O seguinte exemplo descreve como configurar um appliance Enforcer para

comunicar-se com o Symantec Endpoint Protection Manager no endereço IP
192.168.0.64 em um grupo de Enforcer chamado CorpAppliance. Ele usa o protocolo
HTTP na porta 80 com uma senha criptografada de "segurança".
configure spm ip 192.168.0.64 group CorpAppliance http 80 key security

na página 928.
Para realizar tarefas básicas no console de todos os tipos de appliances Enforcer 927
Verificação do status de comunicação de um appliance Enforcer no console do Enforcer
Verificação do status de comunicação de um

appliance Enforcer no console do Enforcer
Você pode verificar o status de comunicação de um appliance Enforcer no console
do Enforcer.
Para verificar o status de comunicação de um appliance Enforcer no console do
Enforcer
1 Faça logon no console do Enforcer se você ainda não está conectado.
2 Digite este comando: show status
Você pode exibir as informações sobre o status atual da conexão.
O seguinte exemplo indica que o appliance Enforcer está online e conectado
ao Symantec Endpoint Protection Manager com o endereço IP 192.168.0.1 e
a porta de comunicação 8014:
Enforcer#: show status

Enforcer Status: ONLINE(ACTIVE)
Policy Manager Connected: YES
Policy Manager: 192.168.0.1 HTTP 8014
Packets Received: 3659
Packets Transmitted: 3615
Packet Receive Failed: 0
Packet Transfer Failed: 0
Enforcer Health: EXCELLENT
Enforcer Uptime: 10 days 01:10:55
Policy ID: 24/03/2010 21:31:55
Acesso remoto a um appliance Enforcer

Para comunicar-se de forma segura com o Enforcer e obter acesso à linha de
comando, use um dos métodos a seguir:
■ Alternador KVM em rede ou dispositivo similar
■ Cliente SSH que oferece suporte ao servidor de Console de terminal SSH v2
■ Cabo serial
Sobre a hierarquia de comandos da CLI do appliance Enforcer
Sobre a hierarquia de comandos da CLI do appliance

Enforcer
O appliance Enforcer usa uma interface de linha de comando (CLI) organizada nos
seguintes grupos:
■ capture
■ configure
■ console
■ debug
■ mab
■ monitor
■ on-demand
■ snmp
Para uma lista completa dos comandos e grupos de comandos da interface da linha
de comando, consulte o Guia de Referência da Linha de Comando do Symantec
Network Access Control Enforcer em:
http://www.symantec.com/business/support/
documentation.jsp?language=english&view=manuals&pid=52788
Capítulo 46
do appliance Gateway
Enforcer
■ Planejamento da instalação para um appliance Gateway Enforcer
■ Configurações de NIC do appliance Gateway Enforcer
■ Planejamento de failover para appliances Gateway Enforcer
■ Planejamento de fail-open e fail-closed para um appliance Gateway Enforcer
Planejamento da instalação para um appliance

Gateway Enforcer
O appliance Gateway Enforcer geralmente é usado em linha como uma ponte
segura de aplicação de políticas para proteger uma rede corporativa contra intrusos
externos. Antes de instalar um appliance Gateway Enforcer, é necessário analisar
seu posicionamento correto na rede. Os appliances Gateway Enforcer podem ser
colocados por toda a empresa para garantir que os limites de rede estejam em
conformidade com a política de segurança.
Outro uso do appliance Gateway Enforcer é hospedar clientes sob demanda para
usuários convidados. Esses clientes são fornecidos com acesso temporário ao
Enforcer, suas credenciais de segurança são verificadas e recebem a permissão
para entrar na rede.
Consulte “Sobre os clientes do Symantec Network Access Control On-Demand”
na página 1132.
930 Para planejar a instalação do appliance Gateway Enforcer
Planejamento da instalação para um appliance Gateway Enforcer
Neste caso, o Gateway Enforcer não está aprovando pacotes, mas está atuando
como um host. Este recurso não é usado frequentemente e é feito na linha de
comando do Enforcer.
configure > advanced > guest-enf enable

na página 928.
Nota: Se você estiver fazendo upgrade dos clientes do Symantec Sygate Endpoint
Protection 5.1, deverá fazer upgrade do Symantec Endpoint Protection Manager
primeiro, em seguida dos Enforcers e depois dos clientes, movendo-os para a
versão 12.1 primeiro. Depois que o Symantec Endpoint Protection Manager e os
Enforcers estiverem na versão 11.x, será necessário selecionar Permitir clientes
legados no menu Enforcer, se você tiver clientes anteriores à versão 11.x antes
de realizar a etapa final. Em seguida, conclua o upgrade para a versão atual.
Os appliances Gateway Enforcer são geralmente usados nestes locais de rede:

■ VPN
■ Ponto de acesso sem fio (WAP)
■ Dial-up (servidor de acesso remoto [RAS, Remote Access Server])
■ Segmentos de Ethernet (rede de área local [LAN, Local Area Network])
Há diversos tipos de informações de planejamento que podem ajudar a implementar
appliances Gateway Enforcer em uma rede.
Colocação geral:
■ Consulte “Onde colocar o appliance Gateway Enforcer” na página 931.
■ Consulte “Diretrizes para endereços IP em um appliance Gateway Enforcer”
na página 933.
■ Consulte “Sobre dois appliances Gateway Enforcer em série” na página 933.
Áreas específicas da rede:
■ Consulte “Proteção do acesso VPN através de um appliance Gateway Enforcer”
na página 934.
■ Consulte “Proteção de pontos de acesso sem fio através de um appliance
Gateway Enforcer” na página 934.
■ Consulte “Proteção dos servidores através de um appliance Gateway Enforcer”
na página 934.
Para planejar a instalação do appliance Gateway Enforcer 931
■ Consulte “Proteção de servidores e de clientes que não sejam Windows através

de um appliance Gateway Enforcer” na página 935.
■ Consulte “Requisitos para a permissão de clientes que não sejam Windows
sem autenticação” na página 936.
Onde colocar o appliance Gateway Enforcer

É possível posicionar os Gateway Enforcers em locais pelos quais todo o tráfego
deverá passar antes que um cliente possa realizar as seguintes ações:
■ Conectar-se à rede da empresa.
■ Acessar áreas seguras de uma rede.
Consulte “Diretrizes para endereços IP em um appliance Gateway Enforcer”
na página 933.
Você geralmente pode colocar appliances Gateway Enforcer nos seguintes locais:
VPN Entre concentradores de rede virtual privada (VPN, virtual private

network) e a rede da empresa
Ponto de acesso sem fio Entre um ponto de acesso sem fio (WAP, Wireless Access Point)
(WAP) e a rede da empresa
Servidores Em frente a servidores corporativos
Organizações maiores podem precisar de um appliance Gateway Enforcer para

proteger todos os pontos de entrada da rede. Os Gateway Enforcers estão
geralmente localizados em sub-redes diferentes. Na maioria dos casos, é possível
integrar appliances Gateway Enforcer a uma rede da empresa sem precisar realizar
alterações na configuração do hardware.
Os appliances Gateway Enforcer devem usar duas placas de interface de rede
(NICs).
A Figura 46-1 mostra como colocar appliances Gateway Enforcer na configuração
de rede geral.
Figura 46-1 Disposição de appliances Gateway Enforcer
Clientes remotos
VPN
Empresa externa
Internet
Conexão sem fio Empresa interna
Clientes internos
Clientes internos Firewall
sem fio corporativo
Ponto de
Servidor
acesso
VPN NIC externa
sem fio
Gateway
NIC externa Enforcer
NIC interna
NIC externa Gateway
Gateway Enforcer
Enforcer NIC interna
NIC interna
Backbone corporativo
Clientes internos
NIC externa
Gateway
Enforcer Servidores protegidos
NIC interna
Symantec Endpoint
Protection Manager
Outro local onde o appliance Gateway Enforcer protege uma rede é em um Servidor
de acesso remoto (RAS, Remote Access Server). Os clientes podem discar para se
conectar a uma rede da empresa. Clientes RAS dial-up são configurados de maneira
similar a clientes sem fio (wireless) e VPN. A NIC externa se conecta ao servidor
RAS e a NIC externa se conecta à rede.
Diretrizes para endereços IP em um appliance Gateway Enforcer

Siga estas diretrizes ao configurar o endereço do NIC interno de um appliance
Gateway Enforcer:
■ O NIC interno de um appliance Gateway Enforcer deve poder comunicar-se
com o Symantec Endpoint Protection Manager. Por padrão, o NIC interno deve
enfrentar um Symantec Endpoint Protection Manager.
■ Os clientes devem ser capazes de se comunicar com o endereço IP interno do
appliance Gateway Enforcer. O servidor VPN ou o AP sem fio podem estar em
uma sub-rede diferente. Isso funcionará se os clientes puderem ser roteados
à mesma sub-rede que o endereço IP interno do appliance Gateway Enforcer.
■ Em um appliance Gateway Enforcer que protege servidores internos, a NIC
interna conecta-se à VLAN, que, por sua vez, conecta-se aos servidores.
■ Se você usar um grande número de appliances Gateway Enforcer em uma
configuração de failover, o endereço IP da NIC interna em cada appliance
Gateway Enforcer deve ter seu próprio endereço IP.
O Gateway Enforcer gerará um endereço falso do NIC externo, com base no
endereço interno do NIC. Não é necessário configurar este endereço novamente
se você instalar outro Gateway Enforcer.
Sobre dois appliances Gateway Enforcer em série

Se a rede suportar dois appliances Gateway Enforcer em série, de maneira que
um cliente se conecte à rede por meio de mais de um appliance Gateway Enforcer,
será preciso definir o appliance Enforcer mais próximo do Symantec Endpoint
Protection Manager como um endereço IP interno e confiável do outro appliance
Gateway Enforcer. Caso contrário, um atraso de 5 minutos poderá ocorrer antes
que o cliente possa se conectar à rede.
Esse atraso pode ocorrer quando o cliente executar uma verificação de integridade
do host, e a mesma falhar. Como parte da correção da integridade do host, o cliente
faz o download das atualizações de software necessárias. Então, o cliente executa
novamente a verificação de integridade do host. Nesse momento, a verificação de
integridade do host é aprovada, mas o acesso sofre um atraso.
Consulte “Adição de um endereço IP interno e confiável para clientes em um
Proteção do acesso VPN através de um appliance Gateway Enforcer

A proteção do acesso VPN é a razão primeira e mais comum para se usar um
appliance Gateway Enforcer. Também podem ser colocados appliances Gateway
Enforcer em pontos de entrada de VPN para proteger o acesso a uma rede
corporativa. O appliance Gateway Enforcer é colocado entre o servidor VPN e a
rede corporativa. Ele somente permitirá acesso a usuários autorizados e bloqueará
o acesso a outros usuários.
Consulte “Onde colocar o appliance Gateway Enforcer” na página 931.
Proteção de pontos de acesso sem fio através de um appliance Gateway

Enforcer
Os appliances Enforcer protegem a rede da empresa nos pontos de acesso sem fio
(WAP). O appliance Gateway Enforcer garante que qualquer usuário que se conectar
à rede por meio de tecnologia sem fio estará executando o cliente e atenderá aos
requisitos de segurança.
Após atender a essas condições, o cliente tem o acesso à rede concedido. O
appliance Gateway Enforcer é colocado entre o WAP e a rede da empresa. A NIC
externa aponta em direção ao WAP e a NIC interna aponta em direção à rede da
empresa.
Proteção dos servidores através de um appliance Gateway Enforcer

Os appliances Gateway Enforcer podem proteger os servidores corporativos que
contêm informações confidenciais na rede da empresa. Uma organização pode
colocar dados importantes em servidores localizados em uma sala de computadores
trancada. Somente os administradores de sistemas podem ter o acesso a essa sala.
O appliance Gateway Enforcer atua como um cadeado adicional na porta,
permitindo que apenas os usuários que atendam a seus critérios tenham acesso
aos servidores protegidos. Nessa configuração, os servidores localizam a NIC
interna. Entretanto, os usuários que tentarem obter acesso deverão passar por
meio da NIC externa.
Para proteger estes servidores, é possível limitar o acesso somente aos clientes
com endereços IP designados e configurar regras estritas de integridade do host.
Por exemplo, um appliance Gateway Enforcer pode ser configurado para proteger
os servidores em uma rede. Um appliance Gateway Enforcer pode estar localizado
entre os clientes em uma LAN corporativa e os servidores que está protegendo. A

NIC externa aponta para a LAN corporativa, dentro da empresa, e a NIC interna
aponta na direção dos servidores protegidos. Essa configuração impede que
usuários ou clientes não autorizados tenham acesso aos servidores.
Proteção de servidores e de clientes que não sejam Windows através

de um appliance Gateway Enforcer
Você pode instalar os servidores e os clientes em um sistema operacional diferente
do Microsoft Windows. Porém, o appliance Gateway Enforcer não pode autenticar
servidores e clientes que não são executados em um computador que não suporte
Microsoft Windows.
Se a organização incluir servidores e clientes com sistemas operacionais nos quais
o software-cliente não está instalado, você deverá decidir qual dos seguintes
métodos será usado:
■ Implementar suporte por meio de um appliance Gateway Enforcer.
■ Consulte “Implementação de suporte para clientes que não sejam Windows
por meio de um appliance Gateway Enforcer” na página 935.
■ Implementar suporte sem um appliance Gateway Enforcer.
Consulte “Implementação do suporte para clientes não Windows sem um
Implementação de suporte para clientes que não sejam

Windows por meio de um appliance Gateway Enforcer
É possível implementar o suporte para clientes que não sejam Windows
configurando o appliance Gateway Enforcer para permitir que todos esses clientes
acessem a rede. Se configurar o appliance Gateway Enforcer desta maneira, ele
realizará a detecção do sistema operacional para identificar os clientes que
executam sistemas operacionais que não sejam Windows.
Implementação do suporte para clientes não Windows sem um

appliance Gateway Enforcer
Também é possível implementar o suporte para clientes que não sejam Windows
permitindo que eles acessem a rede por meio de um ponto de acesso separado.
Os clientes que aceitam sistemas operacionais que não sejam Windows podem ser
conectados por meio de um servidor VPN separado:
■ Um servidor VPN pode oferecer suporte a clientes que têm o software-cliente
instalado. Os computadores-cliente baseados em Windows podem conectar-se
à rede corporativa através de um appliance Gateway Enforcer.
■ Outro pode aceitar outros clientes que executem sistemas operacionais que
não sejam Windows. O computador-cliente que não seja baseado em Windows
pode então conectar-se à rede corporativa sem um appliance Gateway Enforcer.
Requisitos para a permissão de clientes que não sejam Windows sem

autenticação
É possível configurar o appliance Gateway Enforcer para permitir clientes que
não sejam Windows sem autenticação.
Consulte “Requisitos para clientes não Windows” na página 937.
Quando um cliente tenta acessar a rede corporativa por meio de um appliance
Gateway Enforcer, o appliance Enforcer verificará primeiro se o software-cliente
está instalado no computador-cliente. Se o software-cliente não for executado e
a opção de permissão para clientes não Windows estiver definida, o appliance
Gateway Enforcer verificará o sistema operacional.
Ele verifica o sistema operacional enviando pacotes de informação para examinar
o cliente e detectar o tipo de sistema operacional que ele está executando. Se o
cliente estiver executando um sistema operacional que não seja Windows, ele terá
acesso normal à rede.
Requisitos para clientes Windows

Quando um appliance Gateway Enforcer é configurado para permitir que clientes
que não sejam Windows conectem-se a uma rede, ele tenta primeiro determinar
o sistema. Se o sistema operacional é um sistema operacional baseado em Windows,
o appliance Gateway Enforcer autentica o cliente. Caso contrário, o appliance
Gateway Enforcer permite que o cliente se conecte à rede sem autenticação.
O appliance Gateway Enforcer detectará corretamente o sistema operacional
Windows se o cliente Windows cumprir os seguintes requisitos:
■ A opção Client for Microsoft Networks deve estar instalada e ativada no cliente.
Consulte a documentação do Windows.
Configurações de NIC do appliance Gateway Enforcer
■ A porta 137 UDP deve estar aberta no cliente. Ela deve ser acessível para o
Gateway Enforcer.
Se um cliente Windows não cumprir estes requisitos, o appliance Gateway Enforcer
poderá interpretar o cliente Windows como sendo um cliente que não seja
Windows. Consequentemente, o appliance Gateway Enforcer poderá permitir que
o cliente que não seja Windows se conecte à rede sem autenticação.
Consulte “Permissão para que clientes que não sejam Windows se conectem à
rede sem autenticação” na página 962.
Requisitos para clientes não Windows

O appliance Gateway Enforcer deve atender os seguintes requisitos antes de
permitir que um cliente Mac se conecte a uma rede:
■ O compartilhamento do Windows deve estar ligado.
Essa configuração fica ativada por padrão.
■ O firewall integrado do Mac deve estar desativado.
Essa é a configuração padrão
O Gateway Enforcer tem o seguinte requisito para permitir um cliente Linux:
■ O sistema Linux deve executar o serviço Samba.
Consulte “Permissão para que clientes que não sejam Windows se conectem à
Configurações de NIC do appliance Gateway Enforcer

As placas de interface de rede (NICs) em um appliance Gateway Enforcer são
configuradas por padrão de modo que eth0 seja usado para o NIC interno. O NIC
interno deve ser conectado ao Symantec Endpoint Protection Manager.
Use o comando configure interface-role se precisar alterar a NIC interna ou
externa.
Nota: Se você usar o Gateway Enforcer para fazer o download dos clientes sob
demanda e tiver ativado o trunking 801.Q no comutador, verifique a velocidade
de conexão da NIC. Para fazer o download com êxito do cliente sob demanda,
ambas as NICs devem se conectar ao comutador com a mesma velocidade de
conexão.

na página 928.
Planejamento de failover para appliances Gateway Enforcer
Planejamento de failover para appliances Gateway

Enforcer
Uma empresa poderá suportar dois appliances Gateway Enforcer que estão
configurados para continuar as operações quando um dos appliances Gateway
Enforcer falhar. Se um appliance Gateway Enforcer falhar em uma rede que não
esteja configurada para failover, o acesso à rede nesse local será bloqueado
automaticamente. Se um appliance Gateway Enforcer falhar em uma rede que
não proporciona capacidade de failover, os clientes poderão não mais conectar-se
à rede. Os clientes continuarão a ser bloqueados de conectar-se à rede até que o
problema com o appliance Gateway Enforcer seja corrigido.
Para um appliance Gateway Enforcer, o failover é implementado através do próprio
appliance Gateway Enforcer, em vez dos alternadores de terceiros. Se a
configuração estiver configurada corretamente, o Symantec Endpoint Protection
Manager sincronizará automaticamente as configurações para os appliances
Gateway Enforcer do failover.
Nota: Os recursos de failover não serão possíveis se o Enforcer estiver definido

no modo fail-open. Opte por ter recursos de failover ou fail-open. As escolhas são
mutuamente exclusivas.
Consulte “Configuração de appliances do Gateway Enforcer para failover”

na página 942.
Consulte “Planejamento de fail-open e fail-closed para um appliance Gateway
Enforcer” na página 942.
Como o failover funciona com os appliances Gateway Enforcer na rede

O appliance Gateway Enforcer que estiver operacional é chamado de appliance
Gateway Enforcer ativo. O appliance Gateway Enforcer do backup é chamado de
appliance Gateway Enforcer em modo de espera. O appliance Gateway Enforcer
ativo é conhecido também como o appliance Gateway Enforcer principal. Se o
appliance Gateway Enforcer ativo falhar, o appliance Gateway Enforcer em modo
de espera assumirá as tarefas da imposição.
A sequência em que os dois appliances Gateway Enforcer são iniciados é a seguinte:
■ Quando o primeiro appliance Gateway Enforcer é iniciado, ele é executado no
modo de espera. Enquanto estiver no modo de espera, ele consultará a rede
para determinar se um outro appliance Gateway Enforcer está em execução.
Ele envia três consultas para pesquisar um outro Gateway Enforcer.
Consequentemente, ele pode levar alguns minutos para mudar seu status para
on-line.
■ Se o primeiro appliance Gateway Enforcer não detectar um outro appliance
Gateway Enforcer, o primeiro appliance Gateway Enforcer será o appliance
Gateway Enforcer ativo.
■ Enquanto o appliance Gateway Enforcer ativo estiver em execução, ele
transmitirá pacotes de failover para as redes internas e externas. Ele continuará
transmitindo pacotes de failover.
■ Assim que o segundo appliance Gateway Enforcer for iniciado, ele será
executado no modo de espera. Ele consulta a rede para determinar se um outro
appliance Gateway Enforcer está em execução.
■ O segundo appliance Gateway Enforcer detecta então o appliance Gateway
Enforcer ativo que está em execução e permanece, consequentemente, no modo
de espera.
■ Se o appliance Gateway Enforcer ativo falhar, ele interromperá parar a
transmissão de pacotes de failover. O appliance Gateway Enforcer em espera
não detectará um appliance Gateway Enforcer ativo. Consequentemente,
transforma-se no appliance Gateway Enforcer ativo que controla as conexões
de rede e a segurança neste local.
■ Se você iniciar o outro appliance Gateway Enforcer, ele permanecerá sendo o
appliance Gateway Enforcer em modo de espera, pois detectará que um outro
appliance Gateway Enforcer está ativo.
na página 942.
Onde colocar um ou mais appliances Gateway Enforcer para failover

em uma rede com uma ou mais VLANs
Um appliance Gateway Enforcer é configurado para failover por seu local físico
e pela configuração que você determina no Symantec Endpoint Protection Manager.
Se você usar um hub que ofereça suporte a um grande número de VLANs, será
possível usar somente uma VLAN, a menos que você integre um alternador
compatível com 802.1q em vez de um hub.
O appliance Gateway Enforcer para failover deve ser configurado no mesmo
segmento de rede. Um roteador ou gateway não pode ser instalado entre os dois
appliances Gateway Enforcer. O roteador ou gateway não encaminha o pacote de
failover. As NICs internas devem conectar-se à rede interna com o mesmo
alternador ou hub. As NICs externas devem conectar-se ao servidor VPN externo
ou ao ponto de acesso com o mesmo alternador ou hub.
Você usa processos semelhantes para configurar appliances Gateway Enforcer

para failover em um AP sem fio, RAS dial-up ou outros pontos de acesso. As NICs
externas de ambos appliances Gateway Enforcer se conectam à rede externa
através de um servidor AP sem fio ou RAS. As NICs internas se conectam à rede
interna ou à área protegida.
A Figura 46-2 mostra como configurar dois appliances Gateway Enforcer para
failover, a fim de proteger o acesso à rede em um concentrador do VPN.
Figura 46-2 Disposição de dois appliances Gateway Enforcer
Clientes remotos
VPN
Fora da empresa
Internet
Dentro da empresa
Clientes
Firewall internos
corporativa
Servidor
VPN
NIC externa NIC externa

Gateway Hub/VLAN Gateway
Enforcer 1 Enforcer 2
NIC interna NIC interna
Hub/VLAN Backbone corporativo
Clientes internos
Servidores protegidos
Symantec Endpoint
Protection Manager

na página 942.
Planejamento de fail-open e fail-closed para um appliance Gateway Enforcer
Configuração de appliances do Gateway Enforcer para failover

Você deve familiarizar-se com os conceitos que estão envolvidos no failover do
appliance Gateway Enforcer antes de configurar Enforcers em modo de espera.
Consulte “Como o failover funciona com os appliances Gateway Enforcer na rede”
na página 938.
Para configurar appliances Gateway Enforcer para failover
1 Coloque os computadores na rede.
Consulte “Onde colocar um ou mais appliances Gateway Enforcer para failover
em uma rede com uma ou mais VLANs” na página 939.
2 Configure as NIC internas.
As NIC internas em um grande número de appliances Gateway Enforcer devem
cada uma ter um endereço IP diferente.
Consulte “Diretrizes para endereços IP em um appliance Gateway Enforcer”
na página 933.
Planejamento de fail-open e fail-closed para um

appliance Gateway Enforcer
O fail-open está disponível para modelos do appliance Gateway Enforcer com uma
NIC fail-open. O fail-open é uma alternativa ao failover que fornece a
disponibilidade da rede quando o serviço do Enforcer não está disponível.
Nota: A partir do Symantec Network Access Control versão 11.0 RU6 MP1, os
Enforcers serão fornecidos com uma placa NIC Silcom configurada em modo
fail-open. Para configurar o Enforcer no modo fail-close, emita o seguinte comando
CLI:
configure interface failopen disable
Nota: Os recursos de failover não serão possíveis se o Enforcer estiver definido

no modo fail-open. Opte por ter recursos de failover ou fail-open. As escolhas são
mutuamente exclusivas.

na página 938.
Capítulo 47
Para configurar o appliance
Symantec Gateway Enforcer
através do Symantec
Endpoint Protection
Manager
■ Sobre como configurar o appliance Symantec Gateway Enforcer no Console

do Symantec Endpoint Protection Manager
■ Alteração de configurações do appliance Gateway Enforcer no Symantec

■ Sobre configurações gerais em um appliance Gateway
■ Sobre configurações de autenticação em um appliance Gateway
■ Configurações de intervalo de autenticação
■ Sobre configurações avançadas do appliance Gateway Enforcer

944 Para configurar o appliance Symantec Gateway Enforcer através do Symantec Endpoint Protection Manager
Sobre como configurar o appliance Symantec Gateway Enforcer no Console do Symantec Endpoint Protection Manager
Sobre como configurar o appliance Symantec Gateway

Enforcer no Console do Symantec Endpoint Protection
Manager
Você pode adicionar ou editar as configurações do appliance Gateway Enforcer
no Console do Symantec Endpoint Protection Manager.
Para continuar, conclua as seguintes tarefas:
■ Instale o software do Symantec Endpoint Protection Manager em um
computador.
na página 99.
é instalado é chamado também como servidor de gerenciamento.
■ Conectar o appliance Symantec Gateway Enforcer à rede.
■ Configurar o appliance Symantec Gateway Enforcer no console local do Gateway
Enforcer durante a instalação.
Após concluir essas tarefas, é possível especificar todas as definições adicionais
de configuração do appliance Gateway Enforcer em um servidor de gerenciamento.
Ao instalar um appliance Gateway Enforcer, uma série de configurações e portas
padrão são definidas automaticamente. As configurações padrão para o appliance
Gateway Enforcer no Symantec Endpoint Protection Manager permitirão que
todos os clientes se conectem à rede se o cliente passar na verificação de
integridade do host. O appliance Gateway Enforcer age como uma ponte. Portanto,
é possível concluir o processo de configuração do appliance Gateway Enforcer e
implementar clientes sem bloquear o acesso à rede.
Porém, você precisa alterar as configurações padrão no Symantec Endpoint
Protection Manager para limitar quais clientes podem acessar sem autenticação.
Como alternativa, há outras configurações padrão do Enforcer para o appliance
Gateway Enforcer que você talvez queira personalizar antes de iniciar a imposição.
Alteração de configurações do appliance Gateway

Enforcer no Symantec Endpoint Protection Manager
É possível alterar as definições de configuração do appliance Gateway Enforcer
em um servidor de gerenciamento. O download das definições de configuração é
Para configurar o appliance Symantec Gateway Enforcer através do Symantec Endpoint Protection Manager 945
Alteração de configurações do appliance Gateway Enforcer no Symantec Endpoint Protection Manager
feito automaticamente do servidor de gerenciamento para o appliance Gateway

Enforcer durante a próxima pulsação.
Para mudar configurações do appliance Gateway Enforcer no Symantec Endpoint
Protection Manager
Administrador.
3 Em Servidores, selecione o grupo de Enforcers do qual o appliance Gateway
Enforcer é membro.
O grupo do Enforcer deve incluir o appliance Gateway Enforcer em que as
configurações devem ser alteradas.
4 Selecione o appliance Gateway Enforcer para o qual as configurações devem
ser alteradas.
5 Em Tarefas, clique em Editar propriedades do grupo.

6 Na caixa de diálogo Configurações, altere qualquer configuração.

A caixa de diálogo Configurações do Gateway Enforcer fornece as seguintes
categorias de definições de configuração:
Geral Configurações para a descrição e a lista de servidores de

gerenciamento do grupo do Enforcer.
Consulte “Sobre configurações gerais em um appliance

Gateway” na página 948.
Autenticação Configurações para uma variedade de parâmetros que

afetam o processo de autenticação do cliente.
Se um endereço correspondente não for localizado, o

appliance Gateway Enforcer iniciará a sessão de
autenticação e o envio do pacote de desafio.
Consulte “Sobre configurações de autenticação em um

appliance Gateway” na página 952.
Intervalo de Configurações que especificam um endereço IP individual

autenticação para um cliente ou intervalos de endereços IP para vários
clientes que precisam ser autenticados. Você pode também
especificar um endereço IP individual ou intervalos de
endereços IP para os clientes que têm permissão para se
conectar a uma rede sem autenticação.
Consulte “Configurações de intervalo de autenticação”

na página 967.
Avançado Configurações para os parâmetros do tempo limite de

autenticação e tempos limite de mensagem do appliance
Gateway Enforcer:
Configurações para os endereços MAC dos hosts confiáveis

que o appliance Gateway Enforcer permite conectar sem
autenticação (opcional).
Configurações do spoofing de DNS e da autenticação local.
Configurações de protocolos permitidos sem bloqueio de

clientes.
Consulte “Sobre configurações avançadas do appliance

Sobre configurações gerais em um appliance Gateway
Configurações de log Configurações para ativar os logs do servidor, os logs de

atividades do cliente e para especificar os parâmetros de
arquivos de log.
Consulte “Sobre relatórios e logs do Enforcer” na página 1057.
Consulte “Definição das configurações do log do Enforcer”

na página 1058.

Você pode adicionar ou editar a descrição de um appliance Gateway Enforcer ou
de um grupo do appliance Gateway Enforcer no Symantec Endpoint Protection
Manager.
Consulte “Adição ou edição da descrição de um grupo do appliance Gateway
Consulte “Adição ou edição da descrição de um appliance Gateway Enforcer”
na página 949.
Você não pode adicionar ou editar o nome de um grupo do appliance Gateway
Enforcer no Symantec Endpoint Protection Manager. Você não pode adicionar ou
editar o endereço IP ou o nome do host de um appliance Gateway Enforcer no
Symantec Endpoint Protection Manager. Em vez disso, execute essas tarefas no
console do Enforcer.
Entretanto, você pode adicionar ou editar o endereço IP ou nome do host de um
appliance Gateway Enforcer em uma lista de servidores de gerenciamento.
Consulte “Adição ou edição do endereço IP ou nome do host de um appliance
Você também pode adicionar ou editar o endereço IP ou o nome do host de um
Symantec Endpoint Protection Manager em uma lista de servidores de
gerenciamento.
Consulte “Estabelecimento de comunicação entre um appliance Gateway Enforcer
e um Symantec Endpoint Protection Manager através de uma lista de servidores
de gerenciamento e o arquivo conf.properties” na página 950.
Adição ou edição da descrição de um grupo do appliance Gateway

Enforcer
É possível adicionar ou editar a descrição de um grupo do Enforcer do qual um
appliance Symantec Gateway Enforcer é membro. Você pode executar esta tarefa
no console do Symantec Endpoint Protection Manager em vez do console do

Enforcer.
Consulte “Sobre como configurar o appliance Symantec Gateway Enforcer no
Console do Symantec Endpoint Protection Manager” na página 944.
Consulte “Sobre configurações gerais em um appliance Gateway” na página 948.
Para adicionar ou editar a descrição de um grupo do appliance Gateway Enforcer
Administrador.
3 Selecione e expanda o grupo do appliance Gateway Enforcer cuja descrição
você deseja adicionar ou editar.
5 Na caixa de diálogo Configurações, na guia Geral, adicione ou edite uma
descrição para o grupo do appliance Gateway Enforcer no campo Descrição.
6 Clique em OK.
Adição ou edição da descrição de um appliance Gateway Enforcer

É possível adicionar ou editar a descrição de um appliance Gateway Enforcer. Você
pode executar esta tarefa no console do Symantec Endpoint Protection Manager
em vez do console do Enforcer. Após concluir essa tarefa, a descrição será exibida
no campo Descrição do painel Servidor de gerenciamento.
Para adicionar ou editar a descrição de um appliance Gateway Enforcer
Administrador.
3 Selecione e expanda o grupo do appliance Gateway Enforcer cuja descrição
você deseja adicionar ou editar.
4 Selecione o appliance Gateway Enforcer cuja descrição você deseja adicionar
ou editar.
5 Em Tarefas, clique em Editar propriedades do Enforcer.
6 Na caixa de diálogo Propriedades do Enforcer, adicione ou edite uma descrição

para o appliance Gateway Enforcer no campo Descrição.
7 Clique em OK.
Adição ou edição do endereço IP ou nome do host de um appliance

Gateway Enforcer
Somente é possível alterar o endereço IP ou o nome do host de um appliance
Gateway Enforcer no console do Enforcer durante a instalação. Se você quiser
mudar posteriormente o endereço IP ou o nome de host de um appliance Gateway
Enforcer, poderá fazer isso no console do Gateway Enforcer.
na página 928.
Estabelecimento de comunicação entre um appliance Gateway Enforcer

e um Symantec Endpoint Protection Manager através de uma lista de
servidores de gerenciamento e o arquivo conf.properties
Os appliances Gateway Enforcer devem poder conectar-se aos servidores em que
o Symantec Endpoint Protection Manager está instalado. O Symantec Endpoint
Protection Manager inclui um arquivo que ajuda a gerenciar o tráfego entre
clientes, servidores de gerenciamento e Enforcers opcionais, como o appliance
Gateway Enforcer.
Esse arquivo é conhecido como uma lista de servidores de gerenciamento. A lista
de servidores de gerenciamento especifica a qual Symantec Endpoint Protection
Manager um Gateway Enforcer conecta-se. Especifica também a qual Symantec
Endpoint Protection um Gateway Enforcer conecta-se em caso de falha de um
Uma lista de servidores de gerenciamento padrão é criada automaticamente para
cada site durante a instalação inicial. Todos os servidores de gerenciamento
disponíveis nesse site são adicionados automaticamente à lista de servidores de
Uma lista de servidores de gerenciamento padrão inclui os endereços IP ou os
nomes do host do servidor de gerenciamento ao qual os appliances Gateway
Enforcer podem se conectar após a instalação inicial. Você deve criar uma lista
de servidores de gerenciamento personalizada antes de implementar quaisquer
appliances Gateway Enforcer. Se você criar uma lista de servidores de

gerenciamento personalizada, será possível especificar a prioridade com a qual
um appliance Gateway Enforcer pode se conectar a servidores de gerenciamento.
Se um administrador criou várias listas de servidores de gerenciamento, é possível
selecionar a lista específica que inclui os endereços IP ou nomes de host dos
servidores de gerenciamento aos quais deseja conectar o appliance Gateway
Enforcer. Se houver apenas um servidor de gerenciamento em um site, será possível
selecionar a lista de servidores de gerenciamento padrão. Você também pode
selecionar a lista de servidores de gerenciamento nos quais você quer que um
grupo do Enforcer transite, fazendo escolhas na mesma caixa de diálogo.
Para estabelecer comunicação entre um Gateway Enforcer e um Symantec Endpoint
Protection Manager
Administrador.
3 Selecione e expanda o grupo de Enforcers.
O grupo do Enforcer deve incluir o appliance Gateway Enforcer para o qual
deseja modificar o endereço IP ou nome do host na lista de servidores de
gerenciamento.
5 Na caixa de diálogo Configurações, na guia Geral, em Comunicação, selecione
a lista de servidores de gerenciamento que você deseja que este appliance
Gateway Enforcer use.
6 Clique em Selecionar.
É possível visualizar os endereços IP e os nomes de host de todos os servidores
de gerenciamento disponíveis, assim como as prioridades atribuídas.
7 Na caixa de diálogo Lista de servidores de gerenciamento, clique em Fechar.
8 Na caixa de diálogo Configurações, clique em OK.
Você pode ativar e desativar a opção de escuta do servidor de gerenciamento,
mudando uma linha no arquivo conf.properties.
Sobre configurações de autenticação em um appliance Gateway
Para configurar o servidor de gerenciamento para escutar o segmento do Enforcer

editando o arquivo conf.properties
1 Abra o arquivo conf.properties em um editor de texto simples, como o Bloco
de Notas.
O arquivo conf.properties está localizado na seguinte pasta: C:\Arquivos
de Programas\Symantec\Symantec Endpoint Protection
Manager\tomcat\etc.
2 Encontre a linha que inicia com scm.radius.port.enabled

3 Para desativar o segmento do Enforcer, adicione =0 à linha, tendo por resultado
scm.radius.port.enabled=0
4 Para ativar o segmento do Enforcer, adicione =1 à linha, tendo por resultado

scm.radius.port.enabled=1
Sobre configurações de autenticação em um appliance

Gateway
É possível especificar uma série de definições de autenticação para uma sessão
de autenticação do appliance Gateway Enforcer. Quando essas alterações forem
aplicadas, elas serão enviadas automaticamente para o appliance Gateway Enforcer
selecionado durante a próxima pulsação.
Consulte “Configurações de autenticação em um appliance Gateway” na página 952.
Configurações de autenticação em um appliance Gateway

Talvez você queira implementar algumas configurações de autenticação para
proteger ainda mais a rede.
A Tabela 47-1 fornece mais informações sobre as opções da guia Autenticação.
Tabela 47-1 Definições de configuração de autenticação para o appliance

Gateway Enforcer
Opção Descrição
Número máximo de pacotes A quantidade máxima de pacotes de desafio que o appliance

por sessão autenticada Gateway Enforcer envia em cada sessão de autenticação.
O número padrão é 10 pacotes. O intervalo é de 2 a 100

pacotes.
Consulte “Especificação do número máximo de pacotes de

desafio durante uma sessão de autenticação” na página 957.
Período de tempo entre O tempo em segundos entre cada pacote de desafio que o
pacotes em sessão de Enforcer envia.
autenticação (segundos)
O valor padrão é 3 segundos. O intervalo é de 3 a 10.
Consulte “Especificação da frequência de envio dos pacotes

de desafio aos clientes” na página 958.
Período de tempo durante o O período de tempo em segundos durante o qual um cliente

qual o cliente rejeitado será é bloqueado após a autenticação falhar.
bloqueado (segundos)
A configuração padrão é 30 segundos. O intervalo é de 10 a
300 segundos.
Consulte “Especificação do período de tempo durante o qual

um cliente é bloqueado depois de a autenticação falhar”
na página 959.
Período de tempo durante o O período de tempo em segundos durante o qual um cliente

qual o cliente autenticado tem permissão para reter sua conexão de rede sem se
será permitido (segundos) autenticar novamente.
A configuração padrão é 30 segundos. O intervalo é de 10 a

300 segundos.
Consulte “Especificação do período de tempo durante o qual

um cliente tem permissão para reter sua conexão de rede
sem nova autenticação” na página 960.
Opção Descrição
Permitir todos os clientes, Se essa opção estiver ativada, o appliance Gateway Enforcer
mas continuar a registrar autenticará todos os usuários, verificando se eles executam
quais clientes não são o cliente. O appliance Gateway Enforcer também verifica se
autenticados o cliente foi aprovado na verificação de integridade do host.
Se o cliente for aprovado na verificação de integridade do
host, o appliance Gateway Enforcer registrará os resultados.
Ele, então, encaminha a solicitação do gateway para receber
uma configuração de rede normal em vez de uma
configuração de rede de quarentena, caso as verificações
sejam aprovadas ou falhem.
A configuração padrão é não ativada.
Consulte “Permissão para todos os clientes com registro em

log contínuo de clientes não autenticados” na página 960.
Todos os clientes com Se essa opção estiver ativada, o Gateway Enforcer verificará
sistemas operacionais que o sistema operacional do cliente. O appliance Gateway
não sejam Windows Enforcer, então, permitirá que todos os clientes que não
executam sistemas operacionais Windows recebam uma
configuração de rede normal sem ser autenticados
novamente. Se essa opção não estiver ativada, os clientes
receberão uma configuração de rede de quarentena.
Consulte “Permissão para que clientes que não sejam

Windows se conectem à rede sem autenticação”
na página 962.
Verificar o número de série Se essa opção estiver ativada, o appliance Gateway Enforcer
da política do cliente antes verificará se o cliente recebeu as políticas de segurança mais
de permitir a entrada do recentes do servidor de gerenciamento. Se o número de série
cliente na rede da política não for o mais recente, o Gateway Enforcer
notificará o cliente para que ele atualize sua política de
segurança. O cliente encaminhará a solicitação do gateway
para receber uma configuração de rede de quarentena.
Se essa opção não estiver ativada e se as verificações de

integridade do host tiverem êxito, o appliance Gateway
Enforcer encaminhará a solicitação do gateway para receber
uma configuração de rede normal. O Gateway Enforcer
encaminhará a solicitação mesmo se o cliente não tiver a
política de segurança mais recente.
Consulte “Verificação do número de série da política em um

Opção Descrição
Ativar mensagem pop-up Se essa opção estiver ativada, uma mensagem será exibida
para o cliente se o cliente não aos usuários nos computadores com Windows sem que um
estiver sendo executado cliente que tente conectar-se a uma rede empresarial seja
executado. A mensagem padrão está configurada para ser
exibida apenas uma vez. Ela informa aos usuários que eles
estão impedidos de acessar a rede porque um cliente não
está em execução, avisando-os para instalá-lo. Para editar
a mensagem ou alterar a frequência com que é exibida, clique
em Mensagem. O tamanho máximo da mensagem é de 128
caracteres.
A configuração padrão é ativada.

Nota: As mensagens pop-up não aparecem em clientes Mac.
Consulte “Envio de uma mensagem de não-conformidade

de um appliance Gateway Enforcer a um cliente”
na página 964.
Ativar o redirecionamento Se essa opção estiver ativada, o Gateway Enforcer pode

HTTP para o cliente se o redirecionar os clientes para um site de correção.
cliente não estiver sendo
Se essa opção estiver ativada, o appliance Gateway Enforcer
executado
redirecionará as solicitações de HTTP para um servidor da
Web interno, caso o cliente não esteja em execução.
Esta opção não pode ser ativada sem especificar um URL.
A configuração padrão é ativada, com o valor

http://localhost.
Consulte “Redirecionamento de solicitações HTTP para uma

página da Web” na página 966.
URL de redirecionamento É possível especificar um URL de até 255 caracteres ao

HTTP redirecionar clientes para um site de correção.
A configuração padrão para o URL redirecionado é

http://localhost.

Porta de redirecionamento É possível especificar um número de porta que não seja 80

HTTP ao redirecionar clientes para um site de correção.
A configuração padrão do servidor da Web é a porta 80.

Sobre as sessões de autenticação em um Gateway Enforcer appliance

Quando um cliente tentar acessar a rede interna, o Gateway Enforcer estabelecerá
com ele uma sessão de autenticação. Uma sessão de autenticação é um conjunto
de pacotes de desafio enviado ao cliente por um appliance Gateway Enforcer.
Durante a sessão de autenticação, o appliance Gateway Enforcer envia um pacote
de desafio ao cliente em uma frequência especificada. A configuração padrão é a
cada 3 segundos. Ele continua enviando pacotes até receber uma resposta do
cliente ou até que tenha enviado a quantidade máxima especificada de pacotes.
O número padrão é de 10 pacotes.
Se o cliente responder e aprovar a autenticação, o appliance Gateway Enforcer
permitirá que a rede interna seja acessada por um número especificado de
segundos. O padrão é 30 segundos. O appliance Gateway Enforcer inicia uma nova
sessão de autenticação durante a qual o cliente deve responder para reter a conexão
com a rede interna. O appliance Gateway Enforcer desconecta os clientes que não
respondem ou que são rejeitados por falharem na autenticação.
Caso o cliente não responda ou a autenticação falhe, o appliance Gateway Enforcer
bloqueia o cliente por um número especificado de segundos. O padrão é 30
segundos. Se outro cliente tentar fazer logon usando o mesmo endereço IP, ele
deverá ser autenticado novamente.
É possível configurar a sessão de autenticação para cada appliance Gateway
Enforcer no servidor de gerenciamento.
Consulte “Alteração de configurações do appliance Gateway Enforcer no Symantec
Sobre a autenticação do cliente em um Gateway Enforcer appliance

O appliance Gateway Enforcer autentica clientes remotos antes de permitir o
acesso à rede. A autenticação do cliente no Gateway Enforcer executa as seguintes
funções:
■ Determina se autentica o cliente ou lhe dá permissão sem autenticação.
Você pode especificar clientes individuais ou intervalos de endereços IP para
confiar ou autenticar na guia Intervalo de autenticação.
■ Efetua a sessão de autenticação.
Defina as configurações para a sessão de autenticação na guia de Autenticação.
Cada Gateway Enforcer mantém as seguintes listas de endereços IP confiáveis
que são permitidas para conectar-se à rede por meio do Gateway Enforcer:
■ Uma lista estática.
Os endereços IP externos e confiáveis configurados para o Enforcer na guia

Intervalo de autenticação.
■ Uma lista dinâmica.
Os endereços IP confiáveis adicionais que podem ser adicionados e removidos
à medida que os clientes são autenticados, com permissão para conectar-se à
rede e, finalmente, desconectados.
Quando o tráfego chega de um novo cliente, o appliance Gateway Enforcer
determina se o cliente está na lista de endereços IP de clientes confiáveis. Se o
cliente tiver um endereço IP confiável, ele terá permissão para acessar a rede sem
autenticação adicional.
Se faltar um endereço IP confiável para o cliente, o appliance Gateway Enforcer
verificará se o endereço IP confiável está dentro do intervalo de endereços de IP
do cliente para os clientes que deverão ser autenticados. Se o endereço IP do cliente
estiver dentro do intervalo de endereços IP do cliente, o appliance Gateway
Enforcer iniciará uma sessão de autenticação.
Durante a sessão de autenticação, o cliente envia seu número de ID exclusivo, os
resultados da verificação de integridade do host e o número de série da política.
O número de série da política identifica se as políticas de segurança do cliente
estão atualizadas.
O appliance Gateway Enforcer verifica os resultados. Ele pode também verificar
o número de série da política. Se os resultados forem válidos, o appliance Gateway
Enforcer fornecerá ao cliente um status de autenticado, permitindo o acesso à
rede. Se os resultados não forem válidos, o appliance Gateway Enforcer impedirá
o cliente de se conectar à rede.
Quando um cliente é autenticado, o endereço IP desse cliente é adicionado à lista
dinâmica com um temporizador. O intervalo padrão do timer é de 30 segundos.
Depois de esgotado o intervalo do timer, o appliance Gateway Enforcer inicia uma
nova sessão de autenticação com o cliente. Se o cliente não responder ou falhar
na autenticação, o endereço IP do cliente será excluído da lista. O endereço IP é
bloqueado também por um intervalo especificado. A configuração padrão é 30
segundos. Quando outro cliente tentar fazer logon usando esse mesmo endereço
IP, ele deverá ser autenticado novamente.
Especificação do número máximo de pacotes de desafio durante uma

sessão de autenticação
de desafio para o cliente com uma frequência especificada.
O appliance Gateway Enforcer continua enviando pacotes até que sejam atendidas
as seguintes condições:
■ O appliance Gateway Enforcer receba uma resposta do cliente
■ O appliance Gateway Enforcer tenha enviado o número máximo especificado
de pacotes.
A configuração padrão do número máximo de pacotes de desafio durante uma
sessão de autenticação for 10. O intervalo é de 2 a 100 pacotes.
Consulte “Sobre configurações de autenticação em um appliance Gateway”
na página 952.
Para especificar o número máximo de pacotes de desafio durante uma sessão de
autenticação
1 Em Symantec Endpoint Protection Manager, clique em Administrador.
deseja especificar o número máximo de pacotes de desafio durante uma sessão
de autenticação.
5 Na caixa de diálogo Configurações do gateway, na guia Autenticação, em
Parâmetros de autenticação, digite a quantidade máxima de pacotes de
desafio que você deseja permitir durante uma sessão de autenticação no
campo Número máximo de pacotes por sessão autenticada.
A configuração padrão é 10 segundos. O intervalo é de 2 a 100 pacotes.
6 Clique em OK.

clientes
de desafio para o cliente com uma frequência especificada.
O appliance Gateway Enforcer continua enviando pacotes até que sejam atendidas
as seguintes condições:
■ O appliance Gateway Enforcer receba uma resposta do cliente
■ O appliance Gateway Enforcer tenha enviado o número máximo especificado
de pacotes.
A configuração padrão é a cada três segundos. O intervalo é de 3 a 10 segundos.

na página 952.
Para especificar a frequência de pacotes de desafio a serem enviados aos clientes
Administrador.
você quer especificar a frequência de pacotes de desafio que serão enviados
aos clientes.
4 Em Tarefas, clique em Editar parâmetros do grupo.
5 Na caixa de diálogo Configurações, na guia Autenticação, em Parâmetros
de autenticação, digite o número máximo de pacotes de desafio que você
deseja que o appliance Gateway Enforcer continue enviando a um cliente
durante uma sessão de autenticação no campo Período de tempo entre pacotes
em sessão de autenticação.
A configuração padrão é 3 segundos. O intervalo é de 3 a 10 segundos.
6 Na caixa de diálogo Configurações, na guia Autenticação, clique em OK.
Especificação do período de tempo durante o qual um cliente é

bloqueado depois de a autenticação falhar
Você pode especificar o período de tempo durante o qual um cliente é bloqueado
depois de a autenticação falhar.
na página 952.
Para especificar o período de tempo durante o qual um cliente é bloqueado depois
de a autenticação falhar
Administrador.
deseja especificar o tempo de bloqueio para um cliente cuja autenticação
falhe.

de autenticação, digite o número de segundos durante o qual um cliente
deverá ser bloqueado após sua autenticação falhar no campo Período de
tempo durante o qual o cliente rejeitado será bloqueado (segundos).
6 Clique em OK.
Especificação do período de tempo durante o qual um cliente tem

permissão para reter sua conexão de rede sem nova autenticação
É possível especificar o período de tempo, em segundos, durante o qual é permitido
a um cliente reter sua conexão de rede sem uma nova autenticação.
na página 952.
Para especificar o período de tempo durante o qual um cliente tem permissão para
reter sua conexão de rede sem nova autenticação
Administrador.
3 Em Servidores, selecione e expanda o grupo de Enforcers.
deseja especificar o tempo de bloqueio para um cliente cuja autenticação
falhe.
de autenticação, digite o número de segundos durante o qual é permitido a
um cliente reter sua conexão de rede sem nova autenticação no campo Período
de tempo durante o qual o cliente autenticado será permitido (segundos).
6 Clique em OK.
Permissão para todos os clientes com registro em log contínuo de

clientes não autenticados
Pode levar algum tempo para implementar todo o software-cliente. Talvez você
deseje configurar o appliance Gateway Enforcer para permitir a conexão de todos
os clientes à rede até que tenha terminado de distribuir o pacote de cliente a todos
os usuários. O appliance Gateway Enforcer bloqueia todos os clientes que não
executam o cliente. Como o cliente não é executado em sistemas operacionais que
não sejam Windows, como Linux ou Solaris, o appliance Gateway Enforcer bloqueia
esses clientes. Há a opção de permitir que todos os clientes que não sejam Windows
conectem-se à rede.
Se um cliente não é autenticado com essa configuração, o appliance Gateway
Enforcer detecta o tipo de sistema operacional. Consequentemente, os clientes
Windows são bloqueados e os clientes que não sejam Windows têm o acesso à rede
permitido.
Use as seguintes diretrizes quando aplicar as definições de configuração:
■ Essa configuração deve ser uma medida temporária, uma vez que torna a rede
menos segura.
■ Enquanto essa configuração estiver ativa, você poderá analisar os logs do
Enforcer. É possível descobrir os tipos de clientes que tentam se conectar à
rede naquele local.
Por exemplo, o Log de atividades do cliente pode ser analisado para verificar
se há algum cliente sem o software-cliente instalado. Depois, você pode
certificar-se de que o software-cliente esteja instalado nesses clientes antes
de desativar essa opção.
na página 952.
Para permitir todos os clientes com registro em log contínuo de clientes não
autenticados
Administrador.
deseja permitir todos os clientes enquanto continua com o registro em log de
clientes não autenticados.
5 Na caixa de diálogo Configurações, na guia Autenticação, selecione Permitir

todos os clientes, mas continuar a registrar quais clientes não são
autenticados.
Permissão para que clientes que não sejam Windows se conectem à

rede sem autenticação
O appliance Gateway Enforcer não pode autenticar um cliente que executa um
sistema operacional que não seja Windows. Portanto, os clientes que não sejam
Windows não podem se conectar à rede, a menos que seja permitido,
especificamente, que se conectem à rede sem autenticação.
É possível usar um dos seguintes métodos para ativar os clientes que oferecem
suporte a plataformas que não sejam Windows para conectar-se à rede:
■ Especificar cada cliente que não seja Windows como host confiável.
■ Todos os clientes com sistemas operacionais que não sejam Windows.
O appliance Gateway Enforcer detecta o sistema operacional do cliente e autentica
clientes Windows. Entretanto, ele não permite que clientes que não sejam Windows
conectem-se ao appliance Gateway Enforcer sem autenticação.
Se você precisar de clientes que não sejam Windows conectados à rede, será
necessário definir configurações adicionais no Console do Symantec Endpoint
Protection Manager.
Consulte “Requisitos para a permissão de clientes que não sejam Windows sem
autenticação” na página 936.
na página 952.
Para permitir que clientes que não sejam Windows conectem-se a uma rede sem
autenticação
Administrador.

deseja permitir que todos os clientes que não sejam Windows se conectem à
rede.
5 Na caixa de diálogo Configurações, na guia Autenticação, selecione Todos
os clientes com sistemas operacionais que não sejam Windows.
6 Clique em OK.
Verificação do número de série da política em um cliente

O Symantec Endpoint Protection Manager atualiza um número de série da política
sempre que a política de segurança do cliente é modificada. Quando um cliente
conecta-se ao Symantec Endpoint Protection Manager, ele recebe as políticas de
segurança e o número de série mais recentes da política.
Quando um cliente tentar conectar-se à rede através do appliance Gateway
Enforcer:
■ Recupera o número de série da política do Symantec Endpoint Protection
Manager.
■ O número de série da política será comparado àquele recebido do cliente.
■ Se os números de série da política forem idênticos, o appliance Gateway
Enforcer confirmará que o cliente está executando uma política de segurança
atualizada.
O valor padrão para essa configuração é não ativado.
As seguintes diretrizes se aplicam:
■ Se estiver selecionada a opção Verificar o número de série da política do
cliente antes de permitir a entrada do cliente na rede, o cliente deverá ter a
política de segurança mais recente antes de poder conectar-se à rede pelo
appliance Gateway Enforcer. Se o cliente não tiver a política de segurança mais
recente, ele será avisado para fazer o download dessa política. Depois, o
appliance Gateway Enforcer encaminhará sua solicitação de gateway para
receber uma configuração de rede de quarentena.
■ Se a opção Verificar o número de série da política do cliente antes de permitir
a entrada do cliente na rede não estiver selecionada e a verificação de
integridade do host tiver êxito, o cliente poderá se conectar à rede. Ele poderá
se conectar através do appliance Gateway Enforcer, mesmo que sua política
de segurança não esteja atualizada.

na página 952.
Para fazer com que o appliance Gateway Enforcer verifique o número de série da
política em um cliente
Administrador.
3 Selecione e expanda o grupo de appliances Gateway Enforcer.
O grupo do Enforcer deve incluir o appliance Gateway Enforcer que verifica
o número de série da política em um cliente.
4 Na caixa de diálogo Configurações, na guia Autenticação, selecione Verificar
o número de série da política do cliente antes de permitir a entrada do cliente
na rede.
5 Clique em OK.
Envio de uma mensagem de não-conformidade de um appliance

Gateway Enforcer a um cliente
Você pode enviar uma mensagem pop-up do Windows para informar a um usuário
que ele não pode se conectar à rede. A mensagem diz normalmente ao usuário
que um cliente não pode se conectar à rede porque ele não executa o Cliente
A maioria dos administradores digita uma instrução breve sobre a necessidade
de executar o cliente do Symantec Endpoint Protection ou o do Symantec Network
Access Control. A mensagem pode incluir informações sobre um site de download
de onde usuários podem fazer o download do software-cliente necessário. Também
podem ser fornecidos um número de telefone para contato e outras informações
relevantes.
Essa configuração fica ativada por padrão. Ela se aplica apenas a clientes que não
executam o cliente do Symantec Endpoint Protection ou o cliente do Symantec
Após concluir essa tarefa, a mensagem pop-up aparecerá no cliente, se o serviço
Windows Messenger estiver em execução no cliente.
Nota: As mensagens pop-up não aparecem em clientes Mac.

na página 952.
Como enviar uma mensagem sobre não-conformidade de um appliance Gateway

Enforcer a um cliente
Administrador.
5 Na caixa de diálogo Configurações, na guia Autenticação, selecione Ativar
mensagens pop-up em clientes Windows se o cliente não estiver em execução.
6 Clique em Mensagem.
7 Na caixa de diálogo Configurações de mensagem pop-up, selecione com que
frequência deseja que a mensagem apareça em um cliente da lista A seguinte
mensagem será exibida.
É possível selecionar qualquer um dos seguintes períodos de tempo:
■ Uma vez
O valor padrão é uma vez.
■ A cada 30 segundos
■ A cada minuto
■ A cada 2 minutos
8 Digite a mensagem que deseja exibir na caixa de texto.

O número máximo de caracteres, incluindo espaços e pontuação, é 125.
A mensagem padrão é:
You are blocked from accessing the network because you

do not have the Symantec Client running. You will need to
install it.
9 Clique em OK.
Redirecionamento de solicitações HTTP para uma página da Web

O appliance Gateway Enforcer oferece a opção de redirecionar solicitações HTTP
para um servidor da Web interno caso o cliente tente acessar um site interno por
meio de um navegador e não houver um cliente sendo executado no cliente. Se
um URL não for especificado, uma mensagem pop-up do appliance Gateway
Enforcer será exibida como um corpo HTML para a primeira página HTML. Talvez
você deseje conectar usuários a uma página da Web que você configurou. Os
clientes podem fazer download de um software de correção desse site. O appliance
Gateway Enforcer pode redirecionar a solicitação HTTP GET para um URL que
seja especificado.
Essa configuração fica ativada por padrão.
Por exemplo, é possível redirecionar uma solicitação a um servidor da Web do
qual o cliente possa fazer download do software-cliente, dos patches ou das versões
atualizadas dos aplicativos.
na página 952.
Para redirecionar solicitações HTTP para uma página da Web
Administrador.
5 Na caixa de diálogo Configurações do gateway, na guia Autenticação,
selecione Ativar redirecionamento HTTP para o cliente se o cliente não
estiver sendo executado.
Configurações de intervalo de autenticação
6 Digite o URL no campo URL de redirecionamento HTTP.

O host do URL de redirecionamento deve ser Symantec Endpoint Protection
Manager ou um endereço IP que seja listado como parte do intervalo de
endereço IP confiável interno.
O URL pode ter até 255 caracteres.
Se desejar especificar o nome de um servidor da Web, ative também Permitir
todos os pacotes de solicitações DNS na guia Avançado.
Se você deixar o campo URL vazio e clicar em OK, a seguinte mensagem será
exibida:
The HTTP redirect URL must be a valid URL.
Ele também usará a mensagem pop-up do Gateway Enforcer como o corpo

HTML da primeira página HTML enviada de volta ao cliente.
7 Na caixa de diálogo Configurações do gateway, na guia Autenticação, clique
em OK.

É possível fazer estas configurações:
■ Endereços IP do cliente que o appliance Gateway Enforcer autentica.
Consulte “Adição de intervalos de endereço IP do cliente à lista de endereços
que necessitam de autenticação” na página 971.
■ Endereços IP externos que o appliance Gateway Enforcer não autentica
Consulte “Especificação de endereços IP externos e confiáveis” na página 975.
■ Endereços IP internos aos quais o Gateway Enforcer permite acesso.
Após aplicar as configurações, as alterações serão enviadas ao appliance Gateway
Enforcer selecionado durante a próxima pulsação. Tenha em mente as seguintes
informações:
■ A opção Somente autentique clientes com esses endereços IP é selecionada
automaticamente por padrão. Se mantiver essa opção selecionada, mas não
especificar endereços IP para autenticar, o appliance Gateway Enforcer atuará
como uma ponte de rede e permitirá o acesso de todos os clientes.
■ Para Endereços do intervalo de endereços IP externos e confiáveis, deve ser
adicionado o endereço IP do servidor VPN corporativo, assim como quaisquer
outros endereços IP que têm permissão de acesso à rede da empresa sem
executar um cliente. Também é possível desejar incluir os dispositivos que

normalmente têm acesso à rede e executam um sistema operacional diferente
do Windows.
■ Para Endereços do intervalo de endereços IP internos e confiáveis, é preciso
especificar endereços tais como um servidor de atualizações, um servidor de
arquivos contendo arquivos de assinatura antivírus, um servidor usado para
correção ou um servidor DNS ou WINS necessário para resolver nomes de
domínio ou de host.
■ Se você especificar que o appliance Gateway Enforcer verifique se o perfil do
cliente está atualizado, os clientes poderão precisar se conectar ao Symantec
Endpoint Protection Manager para fazer o download das políticas de segurança
mais recentes. Se usar essa opção ao consultar o Symantec Endpoint Protection
Manager por DNS ou nome de host, adicione o endereço IP do servidor DNS
ou do servidor WINS à lista de IPs internos e confiáveis.
Intervalos de endereços IP do cliente comparados a endereços IP

externos e confiáveis
O Intervalo de endereços IP do cliente é semelhante ao que se chama blacklist.
Você pode especificar os endereços IP do cliente que dizem ao appliance Gateway
Enforcer para verificar somente endereços IP específicos para ver se estão sendo
executados no cliente e se cumprem as políticas de segurança necessárias. Se um
cliente não está na lista de IP do Cliente, é como se ele tivesse atribuído um
endereço IP confiável.
Ao contrário do intervalo de endereços IP do cliente, os endereços IP externos e
confiáveis são semelhantes ao que se chama de whitelist. Se você selecionar
Atribuição de endereços IP externos e confiáveis, o appliance Gateway Enforcer
validará o cliente que tentar se conectar do lado externo, exceto clientes com
endereços IP externos e confiáveis. Este processo é o oposto do intervalo de
endereços IP do cliente, que comunica ao appliance Gateway Enforcer para somente
validar os clientes no intervalo de endereços IP do cliente.
Consulte “Adição de intervalos de endereço IP do cliente à lista de endereços que
necessitam de autenticação” na página 971.
Quando usar os intervalos de endereços IP de cliente

O intervalo de endereços IP do cliente permite aos administradores especificar
um intervalo de endereços IP que represente os computadores que o appliance
Gateway Enforcer deverá autenticar. Os computadores com endereços fora do
intervalo de endereços IP do cliente têm permissão para passar pelo appliance
Gateway Enforcer sem requerer o software-cliente ou outra autenticação.
As razões para usar o intervalo de endereços IP do cliente incluem:

■ Permitir acesso à rede pelos sites externos
■ Autenticação de um subconjunto de clientes
Permitir acesso à rede pelos sites externos

Uma razão para usar os intervalos de endereços IP do cliente é permitir que sites
externos tenham acesso à rede de dentro de sua rede interna. Se uma organização
tem computadores na rede corporativa que acessam site na Internet através do
appliance Gateway Enforcer, como Symantec ou Yahoo, os clientes internos podem
consultar a Internet. Porém, o appliance Gateway Enforcer tenta autenticar os
sites que tentam responder à solicitação do cliente.
Portanto, clientes internos que se conectem à Internet por meio do appliance
Gateway Enforcer não serão capazes de acessar a Internet, a não ser que seja
configurado o intervalo de endereços IP do cliente.
O intervalo de endereços IP do cliente pode ser composto de todos os endereços
IP que um servidor VPN atribuiria a qualquer cliente.
Por exemplo, um cliente interno pode acessar a Internet se o intervalo de endereços
IP do cliente estiver configurado. Quando um usuário interno entrar em contato
com um site, o site poderá responder ao cliente porque endereço IP está fora do
intervalo de endereços do cliente IP. Conseqüentemente, o usuário interno não
precisa ser autenticado.
Autenticação de um subconjunto de clientes

Convém usar endereços IP do cliente para fazer com que o appliance Gateway
Enforcer autentique um subconjunto limitado de clientes em uma empresa.
É possível fazer o appliance Gateway Enforcer verificar apenas os clientes que se
conectam através de uma subrede onde já tenha sido instalado o cliente em todos
os computadores. Outros clientes que acessem a rede corporativa deste local têm
permissão para passar, sem requerer autenticação. Enquanto o cliente é instalado
em outros clientes, você pode adicionar seus endereços ao intervalo de endereços
IP do cliente ou usar uma estratégia de autenticação diferente.
Sobre os endereços IP confiáveis

Você trabalha com os seguintes tipos de endereços IP confiáveis em um Gateway
Enforcer:
■ Endereços IP externos e confiáveis
Um endereço IP externo e confiável é o endereço IP de um computador externo
que tem permissão para acessar a rede da empresa sem executar o cliente.
■ Endereços IP internos e confiáveis
Um endereço IP interno e confiável é o endereço IP de um computador dentro
da rede da empresa que qualquer cliente externo pode acessar de fora.
Você pode adicionar endereços IP confiáveis de ambos os tipos no console do
Symantec Endpoint Protection Manager. O tráfego para o console é sempre
permitido através do appliance Gateway Enforcer.
Endereços IP externos e confiáveis

Uma das principais responsabilidades de um appliance Gateway Enforcer é verificar
se todos os computadores que tentam acessar a rede estão executando o cliente.
Alguns computadores podem não executar o sistema operacional Windows ou
podem não executar o cliente.
Por exemplo, os servidores sem fio ou VPN geralmente não executam o cliente.
Além disso, uma configuração de rede pode incluir dispositivos que normalmente
acessam a rede e executam um sistema operacional diferente do Windows. Se
esses computadores precisarem ignorar um appliance Gateway Enforcer, é
necessário certificar-se de que o appliance Gateway Enforcer tenha informações
sobre eles. Você pode realizar esse objetivo criando um intervalo de endereços IP
externos e confiáveis. Além disso, é necessário também atribuir um endereço IP
do intervalo de endereço IP a um cliente.
Endereços IP internos e confiáveis

Um endereço IP interno e confiável representa o endereço IP de um computador
dentro da rede corporativa que clientes externos podem acessar de fora. É possível
transformar certos endereços IP internos em endereços IP internos e confiáveis.
Quando você especifica endereços IP internos confiáveis, os clientes podem obter
esse endereço IP fora da rede corporativa, independentemente das seguintes
situações:
■ O software-cliente foi instalado no computador-cliente

■ O cliente está em conformidade com uma política de segurança
Os endereços IP internos e confiáveis são endereços IP que você deseja que pessoas
que estão fora da empresa possam acessar.
Exemplos de endereços internos que convém especificar como endereços IP
confiáveis são:
■ Um servidor de atualização
■ Um servidor de arquivos contendo arquivos de assinatura antivírus
■ Um servidor usado para correção
■ Um servidor DNS ou um servidor WINS solicitado para resolver o domínio ou
os nomes do host
Quando um cliente tenta acessar a rede interna e não obtém autenticação do
appliance Gateway Enforcer, o cliente poderá ser colocado em quarentena nas
seguintes circunstâncias:
■ O cliente não está executando o software-cliente no computador-cliente
■ A verificação de integridade do host falhou
■ O cliente não tem uma política atualizada
O cliente ainda tem permissão para acessar certos endereços IP, que são os
endereços IP internos e confiáveis.
Por exemplo, o conceito de endereços IP internos e confiáveis pode incluir um
cliente externo que necessite acessar a rede corporativa para chegar ao cliente
ou ao software de que precisa. O appliance Gateway Enforcer permite que o cliente
externo chegue a um computador que está na lista de endereços IP internos e
confiáveis.
Adição de intervalos de endereço IP do cliente à lista de endereços

que necessitam de autenticação
Você pode especificar aqueles clientes com endereços IP para os quais o appliance
Gateway Enforcer faz a autenticação.
Você deve ficar informado a respeito dos seguintes assuntos:
■ Marque a opção Ativar, localizada próxima ao endereço ou intervalo de IP, se
você deseja que o endereço seja autenticado. Se você deseja desativar
temporariamente a autenticação de um endereço ou intervalo, desmarque

Ativar.
■ Se digitar um endereço IP inválido, receberá uma mensagem de erro quando
tentar adicioná-lo à lista de IP do cliente.
Consulte “Quando usar os intervalos de endereços IP de cliente” na página 968.
Para restringir o acesso de um cliente à rede apesar da autenticação
Administrador.
3 Selecione e expanda os grupos do appliance Gateway Enforcer.
5 Na caixa de diálogo Configurações de gateway, na guia Intervalo de
autenticação, na área Autenticar intervalo de endereços IP do cliente,
marque Somente autentique clientes com esses endereços IP.
Se você não marcar esta opção, os endereços IP listados serão ignorados.
Consequentemente, os clientes que tentam conectar-se à rede serão
autenticados. Se você marcar esta opção, o appliance Gateway Enforcer
autenticará somente os clientes com endereços IP que forem adicionados à
lista.
7 Na caixa de diálogo Adicionar endereço IP individual, selecione Endereço
IP individual, Intervalo de IP ou Sub-rede.
Os campos mudam para permitir que você insira as informações apropriadas.
8 Selecione se adicionar:
■ Um endereço IP individual
■ Um intervalo de endereço IP
■ Um endereço IP e uma máscara de sub-rede
9 Digite um endereço IP individual, um endereço inicial e endereço final de um

intervalo, ou um endereço IP e uma máscara de sub-rede.
10 Clique em OK.
As informações de endereço inseridas são adicionadas à tabela de intervalo
de endereços IP do cliente, com a opção Ativar selecionada.
11 Continue clicando em Adicionar e especifique qualquer endereço ou intervalo

de IP de endereços que deseja que o Gateway Enforcer autentique.
12 Clique em OK.
Edição de intervalos de endereço IP de cliente na lista de endereços

É possível que você tenha que editar os intervalos de endereço IP de cliente que
deseja autenticar.
Para editar intervalos de endereço IP de cliente na lista de endereços que necessitam
de autenticação
4 Selecione o grupo de Enforcers no qual deseja editar os intervalos de endereço
IP do cliente na lista de endereços que necessitam de autenticação.
autenticação, na área Intervalo de endereços IP do cliente, clique em
qualquer parte da coluna de endereços IP e clique em Editar tudo.
7 Clique em OK.
8 Na caixa de diálogo Configurações de gateway, clique em OK.
Remoção de intervalos de endereço IP do cliente da lista de endereços

Talvez seja necessário remover os intervalos de endereço IP do cliente.
Para remover intervalos de endereço IP do cliente da lista de endereços que
necessitam de autenticação
Administrador.
4 Selecione o grupo do appliance Gateway Enforcer no qual deseja editar os

intervalos de endereço IP do cliente na lista de endereços que necessitam de
autenticação.
autenticação, na área Intervalo de endereços IP do cliente, clique na linha
que contém o endereço IP que deseja remover.
7 Clique em Remover.
8 Clique em OK.
Adição de um endereço IP interno e confiável para clientes em um

A tabela de IP interno e confiável tem uma lista dos endereços IP internos com os
quais os clientes externos podem comunicar-se, independentemente de um cliente
estar em execução ou ter sido aprovado na verificação de integridade do host.
Se você executar dois appliances Gateway Enforcer em série para que um cliente
se conecte por meio de mais de um appliance Gateway Enforcer, o appliance
Gateway Enforcer mais próximo ao Symantec Endpoint Protection Manager
precisará ser especificado como um endereço de IP interno e confiável do outro
appliance Gateway Enforcer. Se um cliente falhar na verificação de integridade
do host e, em seguida, for aprovado, você poderá ter até 5 minutos de atraso antes
que o cliente possa se conectar à rede.
Consulte “Sobre os endereços IP confiáveis” na página 970.
Para adicionar um endereço IP interno e confiável para clientes em um servidor de
gerenciamento
Administrador.
4 Selecione o grupo do appliance Gateway Enforcer no qual deseja editar os
intervalos de endereço IP do cliente na lista de endereços que necessitam de
autenticação.
6 Na caixa de diálogo Configurações do gateway, na guia Intervalo de
autenticação, na área Intervalo de endereços IP confiável, selecione
Intervalo de endereços IP interno e confiável na lista suspensa.
8 Na caixa de diálogo Configurações de endereço IP, digite um endereço IP ou
um intervalo de endereços.
9 Clique em OK.
O endereço IP é adicionado à lista e uma marca de seleção é exibida na coluna
Ativar.
Especificação de endereços IP externos e confiáveis

Se endereços IP externos e confiáveis forem adicionados, o appliance Gateway
Enforcer permitirá que os clientes nesses endereços IP conectem-se à rede mesmo
sem executar um software-cliente.
Como o cliente não é instalado em servidores VPN, é preciso adicionar o IP do
servidor à lista de IPs confiáveis se você tiver um servidor VPN que requer acesso
à rede por meio de um Gateway Enforcer.
Se inserir um endereço IP válido, você receberá uma mensagem de erro.
Nota: Primeiro, é necessário adicionar o endereço IP interno do servidor VPN no

campo Endereços IP externos e confiáveis.

Para especificar endereços IP externos e confiáveis
Administrador.
4 Selecione o grupo de Enforcers para o qual deseja especificar os endereços
IP externos e confiáveis.
autenticação, na área Intervalo de endereços IP confiáveis, selecione
Intervalo de endereços IP externos e confiáveis na lista suspensa.
8 Na caixa de diálogo Configurações de endereço IP, digite um endereço IP ou
um intervalo de endereços.
9 Clique em OK.
O endereço IP é adicionado à lista e uma marca de seleção é exibida na coluna
Ativar.
Edição de endereço IP interno e confiável ou endereço IP interno e

confiável
Talvez seja necessário editar endereços IP internos e confiáveis, bem como
endereços IP externos e confiáveis.
Para editar um endereço IP interno e confiável ou um endereço IP externo e confiável
Administrador.
4 Selecione o grupo de Enforcers para o qual deseja editar um endereço IP
interno e confiável ou um endereço IP externo e confiável.
Intervalo de endereços IP internos e confiáveis ou Intervalo de endereços
IP externos e confiáveis na lista suspensa.
Os endereços para o tipo selecionado são exibidos na tabela.
7 Na tabela Intervalo de endereços IPs confiáveis, clique em qualquer parte
da coluna de endereços IP e depois em Editar tudo.
8 Na caixa de diálogo Editor de endereço IP, localize os endereços que deseja
modificar e edite-os.
9 Clique em OK.
Remoção de um endereço IP interno e confiável ou um endereço IP

externo e confiável
Se você não deseja mais permitir que usuários externos que não estejam totalmente
autenticados tenham acesso a um local interno determinado, remova o endereço
IP da tabela Endereço IP interno e confiável.
Para remover um endereço IP interno e confiável ou um endereço IP externo e
confiável
Administrador.
3 Selecione e expanda o grupo do appliance Gateway Enforcer.
4 Selecione o grupo de appliances Gateway Enforcer do qual deseja remover
um endereço IP interno e confiável ou um endereço IP externo e confiável.
Intervalo de endereços IP internos e confiáveis ou Intervalo de endereços
IP externos e confiáveis na lista suspensa.
Os endereços para o tipo selecionado são exibidos na tabela.
7 Na tabela, clique na linha que contém o endereço IP que deseja remover.
Ordem de verificação do intervalo de endereços IP

Se o intervalo de endereços IP do cliente e os endereços IP internos e confiáveis
estiverem em uso, o appliance Gateway Enforcer verificará os endereços dos
clientes na ordem a seguir, quando um pacote de um cliente for recebido:
■ Se o intervalo de endereços IP do cliente estiver ativado, o appliance Gateway
Enforcer verificará a tabela de intervalo de endereços IP do cliente para
encontrar um endereço que corresponda ao IP de origem do cliente.
■ Se o intervalo de endereços IP do cliente não incluir um endereço IP para esse
cliente, o appliance Gateway Enforcer permitirá o cliente sem autenticação.
Sobre configurações avançadas do appliance Gateway Enforcer
■ Se o intervalo de endereços IP do cliente incluir um endereço IP para esse

cliente, o appliance Gateway Enforcer verificará, em seguida, o intervalo de
endereços IP externos e confiáveis para um endereço correspondente.
■ Caso um endereço que corresponda ao cliente seja encontrado no intervalo de
endereços IP externos e confiáveis, o appliance Gateway Enforcer permitirá o
cliente.
■ Se nenhum endereço correspondente for encontrado no intervalo de endereços
IP externos e confiáveis, o appliance Gateway Enforcer verificará em seguida
o endereço de destino em relação à lista de intervalo de endereços IP internos
confiáveis e à lista de instâncias do Symantec Endpoint Protection Manager.
Se um endereço correspondente não for localizado, o appliance Gateway
Enforcer iniciará a sessão de autenticação e o envio do pacote de desafio.
Sobre configurações avançadas do appliance Gateway

Enforcer
É possível definir as seguintes configurações avançadas do appliance Gateway
Enforcer:
■ Permitir todos os pacotes de solicitações DHCP.
■ Permitir todos os pacotes de solicitações DNS.
■ Permitir todos os pacotes de solicitações ARP.
■ Permitir outros protocolos além de IP e ARP.
Você pode especificar os tipos de protocolos que deseja permitir no campo
Filtro.
Consulte “Especificação dos tipos de pacote e protocolos” na página 979.
■ Permitir clientes legados
Consulte “Permissão para um cliente legado se conectar à rede com um
■ Ativar a autenticação local
Consulte “Ativação da autenticação local em um appliance Gateway Enforcer”
na página 981.
■ Ativar atualizações de horário do sistema para clientes do appliance Gateway
Enforcer
Consulte “Ativação das atualizações de horário do sistema para o appliance

Gateway Enforcer usando o Network Time Protocol” na página 981.
■ Usar o Gateway Enforcer como um servidor da Web
Consulte “Uso do appliance Gateway Enforcer como um servidor da Web”
na página 982.
■ Usar o Gateway Enforcer como um servidor de spoofing de DNS
Consulte “Uso do Gateway Enforcer como um servidor de spoofing de DNS ”
na página 983.
Quando essas configurações forem aplicadas, as mudanças realizadas serão

enviadas ao appliance Gateway Enforcer selecionado durante a próxima pulsação.
Especificação dos tipos de pacote e protocolos

É possível especificar se o appliance Gateway Enforcer aceita que certos tipos de
pacotes passem sem solicitar execução ou autenticação do cliente.
Consulte “Sobre configurações avançadas do appliance Gateway Enforcer”
na página 978.
Para especificar os tipos de pacote e protocolos
1 No Symantec Endpoint Protection Manager, clique em Administrador.
3 Selecione e expanda o grupo do appliance Gateway Enforcer.
4 Selecione o grupo de appliances Gateway Enforcer para o qual você quer
especificar os tipos de pacote e protocolos.
6 Na caixa de diálogo Configurações de gateway, na guia Avançado, marque
ou desmarque os tipos de pacotes ou protocolos a seguir:
■ Permitir todos os pacotes de solicitações DHCP
Quando ativado, o appliance Gateway Enforcer encaminha todas as
solicitações DHCP da rede externa para a rede interna. Visto que a
desativação dessa opção impede que o cliente obtenha um endereço IP e
já que o cliente requer um endereço IP para se comunicar com um appliance
Gateway Enforcer, recomenda-se deixar essa opção ativada.
■ Permitir todos os pacotes de solicitações DNS
Quando ativado, o Enforcer encaminha todas as solicitações DNS da rede
externa para a rede interna. Esta opção deverá ser ativada se o cliente for
configurado para se comunicar com o Symantec Endpoint Protection
Manager pelo nome em vez de pelo endereço IP. Essa opção também deverá
ser ativada se desejar usar a opção Solicitações de redirecionamento
HTTP na guia Autenticação.
■ Permitir todos os pacotes de solicitações ARP
Quando essa opção é ativada, o appliance Gateway Enforcer permite todos
os pacotes ARP da rede interna. Do contrário, o appliance Gateway Enforcer
trata o pacote como um pacote IP normal e usa o IP do remetente como
IP de origem e o IP alvo como o IP de destino ao efetuar o processo de
autenticação.
■ Permitir outros protocolos além de IP e ARP
Quando essa opção é ativada, o appliance Gateway Enforcer encaminha
todos os pacotes com outros protocolos. Caso contrário, eles são
eliminados.
A configuração padrão é desativada.
Se você marcou Permitir outros protocolos além de IP e ARP, convém
preencher o campo Filtro. Você pode focalizar o campo para ver exemplos,
alguns dos quais estão a seguir.
Exemplos: permitir 800, 224.12.21, 900-90d,
224.21.20-224-12.21.100; bloquear 810, 224.12.21.200
7 Clique em OK.
Permissão para um cliente legado se conectar à rede com um appliance

Gateway Enforcer
Você pode ativar um appliance Gateway Enforcer para se conectar aos clientes
legados 5.1.x. Se sua rede oferecer suporte a um Symantec Endpoint Protection
Manager 11.0.2, um appliance Symantec Gateway Enforcer, e precisar oferecer
suporte aos clientes legados 5.1.x, você poderá ativar o suporte de clientes legados
5.1.x no console do servidor de gerenciamento para que o appliance Symantec
Gateway Enforcer não os bloqueie.
na página 978.
Para permitir que um cliente legado se conecte à rede com um appliance Gateway
Enforcer
Administrador.

5 Na caixa de diálogo Configurações, na guia Avançado, marque Permitir
cliente legado.
6 Clique em OK.
Ativação da autenticação local em um appliance Gateway Enforcer

Com a autenticação local ativada, o appliance Gateway Enforcer perde sua conexão
com o servidor em que o Symantec Endpoint Protection Manager está instalado.
Portanto, o appliance Gateway Enforcer autentica um cliente localmente.
na página 978.
Para ativar a autenticação local em um appliance Gateway Enforcer
5 Na caixa de diálogo Configurações, na guia Avançado, selecione Ativar a
autenticação local.
6 Clique em OK.
Ativação das atualizações de horário do sistema para o appliance

Gateway Enforcer usando o Network Time Protocol
Com o Network Time Protocol (NTP) ativado, os relógios do appliance Gateway
Enforcer podem ser atualizados para o horário correto. Esta configuração é
desativada por padrão, mas pode ser substituída se estiver especificada em uma
política de grupo.
na página 978.
Para ativar atualizações do horário para o appliance Gateway Enforcer do Symantec
3 Em Servidores, selecione e expanda o grupo de appliances Gateway Enforcer.

5 Na guia Avançado, selecione Ativar o Network Time Protocol.
6 Digite o endereço IP ou o nome de domínio totalmente qualificado do servidor
NTP.
7 Clique em OK.
No console do Enforcer, é possível temporariamente mudar esta configuração
para ajudar a solucionar problemas de sincronização de hora. Na linha de comando
do console do Enforcer, digite Enforcer (configure)# ntp.
Uso do appliance Gateway Enforcer como um servidor da Web

Você pode usar o appliance Gateway Enforcer como um servidor da Web que se
comunique com o Symantec Endpoint Protection Manager e que sirva os agentes
On-Demand. Como um servidor da Web, o Enforcer interrompe o encaminhamento
de tráfego que não seja do Enforcer da rede interna e externa, mas continua a
comunicar-se com o Symantec Endpoint Protection Manager. A capacidade de
atuar como um servidor da Web é particularmente útil em ambientes 802.1x
quando você quer implementar o Enforcer em uma VLAN e servir clientes
On-Demand aos usuários convidados
Para usar o appliance Gateway Enforcer como um servidor da Web, desative a
imposição de convidado. Você poderá ativar a imposição de convidado quando
desejar voltar a usar o appliance Gateway Enforcer para aplicar o acesso do
convidado.
na página 978.
Para usar o appliance Gateway Enforcer como um servidor da Web
1 Faça logon no appliance Gateway Enforcer como superusuário.
2 Digite este comando:
Enforcer#configure advanced
Enforcer (advanced)#guest-enf disable
Para ativar a imposição de convidado, digite o comando a seguir:
Enforcer(advanced)# guest_enf enable
Para verificar o status da imposição de convidado, digite o comando a seguir:
Enforcer(advanced)# show status
O status pode ser OFFLINE ou ONLINE com um status ACTIVE, STANDBY ou

GUEST ENFORCEMENT.
Uso do Gateway Enforcer como um servidor de spoofing de DNS

Quando uma imposição de convidado é ativada, o Gateway Enforcer fornece a
funcionalidade de spoofing de DNS. Você não pode usar este recurso a menos que
a aplicação do convidado esteja ativada.
O modo ativado faz o roteamento dos pedidos de URL para o Gateway Enforcer
em vez de roteá-los para um site de correção. Para ativar esta funcionalidade, é
necessário fornecer um endereço IP como resposta em um pacote de resposta do
DNS.
Consulte “Estabelecimento de comunicação entre um appliance Gateway Enforcer
e um Symantec Endpoint Protection Manager através de uma lista de servidores
de gerenciamento e o arquivo conf.properties” na página 950.
Para usar o Gateway Enforcer como um servidor de spoofing de DNS
1 Faça logon no appliance Gateway Enforcer como superusuário.
Enforcer#configure advanced
Enforcer (avançado)# ativar spoofing de dns |usar_ip_local |
ip_de_spoofing_de_dns
4 Você pode usar o endereço IP do Gateway Enforcer ou definir um endereço
IP personalizado.
Para usar o endereço IP do Gateway Enforcer (advanced)# dns-spoofing

Enforcer use-local-ip enable
Para definir um endereço IP Enforcer (advanced)#

personalizado dns-spoofing-ipENDEREÇO IP
Onde:
ENDEREÇO IP é seu endereço IP selecionado
Para desativar o spoofing de DNS, digite o comando a seguir:

Enforcer (advanced)# dns-spoofing disable
Para verificar o status do spoofing de DNS, digite o comando a seguir:
Enforcer (advanced)# show
O status mostra o recurso de spoofing de DNS como ENABLED ou DISABLED.

Capítulo 48
Planejamento da instalação
para o appliance LAN
Enforcer
■ Planejamento da instalação de um appliance LAN Enforcer
■ Planejamento de failover para appliances LAN Enforcer e servidores Radius
Planejamento da instalação de um appliance LAN

Enforcer
O appliance LAN Enforcer pode executar a autenticação do host e agir como um
pseudo-servidor RADIUS (mesmo sem um servidor RADIUS). O cliente do Enforcer
atua como suplicante 802.1x. Ele responde com o status de Integridade do host e
com as informações do número da política ao estímulo do Extensible
Authentication Protocol (EAP) do alternador. O endereço IP do servidor RADIUS
é definido para 0 nesse caso e nenhuma autenticação de usuário EAP tradicional
é executada. O appliance LAN Enforcer verifica a Integridade do host. Ele poderá
permitir, bloquear ou atribuir dinamicamente uma VLAN, de acordo com os
resultados da verificação de Integridade do host.
Uma outra configuração também está disponível. É possível usar um appliance
LAN Enforcer com um servidor RADIUS para aplicar a autenticação 802.1x EAP
internamente em uma rede corporativa. Se um appliance LAN Enforcer for usado
nesta configuração, será necessário posicioná-lo de modo que ele possa se
comunicar com o servidor RADIUS.
986 Planejamento da instalação para o appliance LAN Enforcer
Planejamento da instalação de um appliance LAN Enforcer
Se o alternador oferecer suporte para alternação dinâmica de VLAN, será possível

configurar VLANs adicionais e acessá-las no appliance LAN Enforcer. O alternador
pode colocar dinamicamente o cliente em uma VLAN, de acordo com a resposta
do appliance LAN Enforcer. É possível adicionar VLANs para quarentena e correção.
Há diversos tipos de informações de planejamento que podem ajudar a implementar
appliances LAN Enforcer em uma rede.
Nota: Nota: se estiver fazendo o upgrade de clientes Symantec Sygate Endpoint

Protection 5.1, você deverá primeiro fazer upgrade do Symantec Endpoint
Protection Manager, depois dos Enforcers e só então dos clientes, movendo-os
primeiro para a versão 11.x. Depois que o Symantec Endpoint Protection Manager
e os Enforcers estiverem na versão 11.x, será necessário selecionar a opção
Permitir clientes legados no menu Enforcer antes de realizar a etapa final. Em
seguida, conclua o upgrade para a versão atual.
Consulte “Onde colocar appliances LAN Enforcer” na página 986.
Onde colocar appliances LAN Enforcer

Um appliance LAN Enforcer atua como um proxy RADIUS. Os administradores
geralmente usam o appliance LAN Enforcer com um servidor RADIUS para aplicar
o protocolo de autenticação extensível (EAP, Extensible Authentication Protocol)
802.1x em uma rede da empresa. Se você usar um appliance LAN Enforcer nesta
configuração, ele deverá ser capaz de se comunicar com o servidor RADIUS.
Por exemplo, é possível conectar um appliance LAN Enforcer a um alternador de
LAN compatível com 802.1x em uma VLAN interna com um Symantec Endpoint
Protection Manager, um servidor RADIUS e clientes. O computador que não tiver
o software-cliente não poderá se conectar à rede. No entanto, o cliente é direcionado
ao servidor de correção do qual pode obter o software de que necessita para estar
em conformidade.
A Figura 48-1 mostra um exemplo de onde se pode colocar o appliance LAN
Enforcer na configuração geral da rede interna.
Planejamento da instalação para o appliance LAN Enforcer 987
Figura 48-1 Colocação de appliances LAN Enforcer
Clientes
Alternador
compatível com
802.1x com portas
com dot1x ativado
para clientes
VLAN de correção internos
Servidor
VLAN de correção RADIUS
Appliance LAN
Enforcer (proxy
RADIUS)
Se o alternador oferecer suporte para alternação dinâmica de VLAN, será possível

configurar VLANs adicionais no alternador compatível com 802.1x e acessá-las
no appliance LAN Enforcer. O alternador compatível com 802.1x pode colocar
dinamicamente o cliente em uma VLAN depois de receber uma resposta do servidor
RADIUS. Alguns alternadores compatíveis com 802.1x também incluem um recurso
VLAN padrão ou convidado (guest VLAN). Se um cliente não tiver suplicante

802.1x, o alternador compatível com 802.1x pode colocar o cliente na VLAN padrão.
É possível instalar o appliance LAN Enforcer para que possa ativar a autenticação
EAP em toda a rede com equipamentos que já foram implementados. Os appliances
LAN Enforcer podem operar com os servidores RADIUS, suplicantes 802.1x e
alternadores compatíveis com 802.1x existentes. Eles executam a autenticação
em nível de computador. Ele certifica a conformidade do cliente com relação às
Por exemplo, ele verifica se o software antivírus está atualizado com as atualizações
mais recentes do arquivo de assinatura e dos patches de software necessários. O
suplicante 802.1x e o servidor Radius executam a autenticação em nível de usuário.
Ele verifica se os clientes que tentam se conectar à rede são aqueles que dizem
ser.
Como alternativa, o appliance LAN Enforcer também pode operar em modo
transparente, eliminando a necessidade de um servidor RADIUS. Em modo
transparente, o cliente passa informações de integridade do host para o alternador
compatível com 802.1x em resposta ao estímulo EAP. O alternador encaminha as
informações para o LAN Enforcer. O appliance LAN Enforcer envia os resultados
da autenticação de volta ao alternador compatível com 802.1x. As informações
que o appliance LAN Enforcer envia são baseadas nos resultados da validação de
integridade do host. Portanto, o appliance LAN Enforcer não necessita
comunicar-se com o servidor RADIUS.
As seguintes configurações estão disponíveis para um appliance LAN Enforcer:
■ Modo 802.1x completo
Essa configuração exige um servidor RADIUS e um suplicante 802.1x de
terceiros. Tanto a autenticação de usuário EAP tradicional quanto a validação
de integridade do host Symantec são executadas.
■ Modo transparente
Essa configuração não exige um servidor RADIUS nem a utilização de
suplicantes 802.1x de terceiros. Apenas a validação de integridade do host é
realizada.
Você pode considerar os seguintes problemas:
■ Você tem clientes como impressoras e telefones IP que não têm suplicantes
802.1x sendo executados?
Considere usar a autenticação MAB.
■ Você tem clientes como impressoras e telefones IP que não têm suplicantes
802.1x personalizados sendo executados?
Considere configurar a opção para ignorar a verificação do Symantec NAC
Client.
Planejamento de failover para appliances LAN Enforcer e servidores Radius
■ Você pensa em instalar um suplicante 802.1x em cada computador?

Se você planejar ter um suplicante 802.1x instalado em cada computador,
poderá usar o modo 802.1x completo.
■ Você deseja executar uma autenticação em nível de usuário, além da verificação
da integridade do host?
Se você desejar executar uma autenticação em nível de usuário, além da
verificação da integridade do host, será necessário usar o modo 802.1x
completo.
■ Você pensa em utilizar um servidor RADIUS na configuração da rede?
Se você planejar usar o servidor RADIUS na configuração de rede, poderá usar
o modo 802.1x completo ou o modo transparente. Se não pensa em usar um
servidor RADIUS na configuração da rede, use o modo transparente.
Planejamento de failover para appliances LAN

Enforcer e servidores Radius
Se você instalou dois appliances LAN Enforcer em uma rede, o failover é controlado
através do alternador compatível com 802.1x. Um alternador compatível com
802.1x pode suportar um grande número de appliances LAN Enforcer. Você pode
facilmente sincronizar as configurações de appliances LAN Enforcer no Symantec
Endpoint Protection Manager com o uso de configurações de sincronização.
Se você quiser sincronizar as configurações de um appliance LAN Enforcer com
outro appliance LAN Enforcer, especifique o mesmo nome de grupo no console
do Enforcer.
Se você usar um servidor RADIUS em sua rede, faça com que o servidor RADIUS
forneça a capacidade de failover, configurando o appliance LAN Enforcer para se
conectar a diversos servidores RADIUS. Se todos os servidores RADIUS que estão
configurados para esse appliance LAN Enforcer forem desativados, o alternador
presumirá que o appliance LAN Enforcer está desativado. Consequentemente, o
alternador compatível com 802.1x se conectará a um appliance LAN Enforcer
diferente que forneça o suporte adicional de failover.
Onde colocar servidores Radius para fazer failover em uma rede

A Figura 48-2 descreve como fornecer failover para appliances LAN Enforcer.
Figura 48-2 Colocação de dois servidores Radius
Clientes
Alternador
compatível
com 802.1x
com portas
VLAN de correção com dot1x
ativado para
Servidor de clientes
correção internos
Servidor
Servidor RADIUS
RADIUS sobressalente
Appliance LAN
Enforcer (proxy
RADIUS)
Symantec Endpoint
Protection Manager
Consulte “Planejamento de failover para appliances LAN Enforcer e servidores

Radius” na página 989.
Capítulo 49
Para configurar o appliance
LAN Enforcer no Symantec
Endpoint Protection
Manager
■ Sobre como configurar o Symantec LAN Enforcer no console do Symantec

■ Sobre a configuração de servidores RADIUS em um appliance LAN Enforcer
■ Sobre a configuração de pontos de acesso sem fio 802.1x em um appliance LAN

Enforcer
■ Alteração das configurações do LAN Enforcer no Symantec Endpoint Protection

Manager
■ Uso das configurações gerais
■ Uso das configurações de grupo do servidor RADIUS
■ Uso das configurações do alternador
■ Uso das configurações avançadas do appliance LAN Enforcer
■ Configuração de endereços MAC e desvio da autenticação MAC (MAB) no LAN

Enforcer
■ Uso da autenticação 802.1x

994 Para configurar o appliance LAN Enforcer no Symantec Endpoint Protection Manager
Sobre como configurar o Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager
Sobre como configurar o Symantec LAN Enforcer no

console do Symantec Endpoint Protection Manager
Você pode adicionar ou editar as configurações do LAN Enforcer no console do
Symantec Endpoint Protection Manager. O Symantec Endpoint Protection Manager
é chamado também de servidor de gerenciamento.
Para continuar, conclua as seguintes tarefas:
■ Instale o software do Symantec Endpoint Protection Manager em um
computador.
na página 99.
é instalado é chamado também como servidor de gerenciamento.
■ Conectar o appliance Symantec LAN Enforcer à rede.
■ Configurar o appliance Symantec LAN Enforcer no console local do LAN
Enforcer durante a instalação.
Após concluir essas tarefas, será possível especificar todas as definições adicionais
de configuração do appliance LAN Enforcer em um servidor de gerenciamento.
Sobre a configuração de servidores RADIUS em um

appliance LAN Enforcer
É possível modificar as definições do LAN Enforcer no console do Symantec
Endpoint Protection. O Enforcer deve estar instalado e conectado ao Symantec
Endpoint Protection Manager antes que você possa configurá-lo para aplicar
políticas de integridade do host no cliente.
Poderão ser configuradas as seguintes opções para o LAN Enforcer:
■ Definir a descrição do grupo do Enforcer, a porta de escuta e a lista do servidor
de gerenciamento.
■ Configure o grupo de servidor RADIUS. Você configura o nome do host ou o
endereço IP, a porta de autenticação, o tempo limite, o segredo compartilhado
e o número de retransmissões. Se estiverem configurados vários servidores
no grupo e um deles falhar, o LAN Enforcer se conectará ao próximo servidor
da lista.
Para configurar o appliance LAN Enforcer no Symantec Endpoint Protection Manager 995
Sobre a configuração de pontos de acesso sem fio 802.1x em um appliance LAN Enforcer
■ Configurar um alternador ou grupo de alternadores.

■ Configurar para ativar logs e especificar parâmetros de arquivos de log.
■ Ativar e desativar a autenticação local e os clientes legados.
■ Configurar o LAN Enforcer que funcione como um cliente NTP.
Se uma configuração se referir a um alternador compatível com 802.1x, as mesmas
instruções se aplicarão à configuração dos pontos de acesso sem fio.
Consulte “Sobre a configuração de pontos de acesso sem fio 802.1x em um
appliance LAN Enforcer” na página 995.
Sobre a configuração de pontos de acesso sem fio

802.1x em um appliance LAN Enforcer
O appliance LAN Enforcer oferece suporte a vários protocolos sem fio, que incluem
WEP 56, WEP 128 e WPA/WPA2 com 802.1x.
Você poderá configurar um LAN Enforcer para que ele proteja o ponto de acesso
(AP) sem fio da mesma maneira que ele protege um comutador se as seguintes
condições forem atendidas:
■ A rede incluir um appliance LAN Enforcer sem fio com 802.1x.
■ Os clientes sem fio executam um suplicante que oferece suporte a um desses
protocolos.
■ O AP sem fio suporta um destes protocolos.
Para conexões sem fio, o autenticador é a porta LAN lógica no AP sem fio.
Configure um AP sem fio para 802.1x e para alternadores da mesma maneira.
Inclua os APs sem fio às configurações do LAN Enforcer como parte de um perfil
do alternador. Sempre que uma instrução ou parte da interface do usuário se
referir a um alternador, use a terminologia similar de AP sem fio. Por exemplo,
caso for orientada a seleção de um modelo de alternador, selecione o de um AP
sem fio. Se o fornecedor do AP sem fio estiver listado, selecione-o para o modelo.
Se o fornecedor não estiver relacionado, escolha Outros.
A configuração de AP sem fio para 802.1x e para alternadores inclui as seguintes
diferenças:
■ Apenas a configuração básica é suportada.
O modo transparente não é suportado.
■ Pode haver diferenças no suporte a VLANs, dependendo do AP sem fio.
Alteração das configurações do LAN Enforcer no Symantec Endpoint Protection Manager
Alguns alternadores dinâmicos da VLAN podem solicitar que se configure o

AP com vários SSIDs (Service Set Identifiers). Cada SSID é associado a uma
VLAN.
Consulte a documentação que acompanha o alternador dinâmico da VLAN.
Dependendo do modelo de AP sem fio usado, será possível usar uma das seguintes
opções de controle de acesso em vez de uma VLAN:
listas de controle de Alguns APs sem fio têm suporte para ACLs que permitem ao
acesso (ACLs, Access administrador de rede definir políticas para o gerenciamento do
Control Lists) tráfego na rede. É possível usar a opção genérica no LAN Enforcer
ao selecionar o nome do fornecedor do AP sem fio. Como alternativa,
é possível selecionar Outros para o modelo de alternador compatível
com 802.1x (se não estiver relacionado).
A opção genérica envia um identificador de atributo genérico com

o ID ou o nome de VLAN para o ponto de acesso. Assim, é possível
personalizar o ponto de acesso. Agora o ponto de acesso pode ler o
identificador de atributo genérico para o ID da VLAN e
correspondê-la com o ID da ACL do WAP sem fio. A tabela de ações
do alternador pode ser usada como uma tabela de ações da ACL.
Pode ser necessária uma configuração adicional no AP sem fio ou

no controlador de AP. Por exemplo, talvez seja preciso mapear o
identificador de RADIUS que é enviado ao AP sem fio no controlador
de AP.
Consulte a documentação do AP sem fio para obter mais detalhes.
MAC nível 802.1x É possível conectar o AP sem fio a um alternador que ofereça suporte
a MAC nível 802.1x. Para essa implementação, desative o 802.1x no
AP sem fio. É possível usá-lo apenas no alternador. O alternador
então autentica os clientes sem fio pelo reconhecimento dos novos
endereços MAC. Após autenticar um endereço MAC, ele coloca esse
endereço MAC na VLAN especificada, e não em toda a porta. Cada
novo endereço MAC deve ser autenticado. Essa opção não é tão
segura, mas permite que se use o recurso de alternação da VLAN.

Alteração das configurações do LAN Enforcer no

É possível alterar as definições de configuração do LAN Enforcer em um servidor
de gerenciamento. O download das definições de configuração é feito
Alteração das configurações do LAN Enforcer no Symantec Endpoint Protection Manager
automaticamente do servidor de gerenciamento para o appliance LAN Enforcer

durante a próxima pulsação.
Para alterar as configurações do LAN Enforcer no Symantec Endpoint Protection
Manager
Administrador.
3 Selecione o grupo de Enforcers do qual o appliance do LAN Enforcer é membro.
O grupo do Enforcer deve incluir o LAN Enforcer cujas definições de
configuração precisam ser alteradas.
4 Selecione o appliance LAN Enforcer cujas configurações precisam ser
alteradas.
A caixa de diálogo Configurações do LAN Enforcer fornece as seguintes
categorias de definições de configuração:
Geral Essa guia fornece as seguintes configurações do LAN Enforcer:
■ Nome do grupo para appliances LAN Enforcer

■ Porta de escuta
■ Descrição do grupo do appliance LAN Enforcer
■ Seleção da lista de servidores de gerenciamento usada pelo
LAN Enforcer
Consulte “Uso das configurações gerais” na página 998.
Grupo de servidor Essa guia fornece as seguintes configurações do LAN Enforcer:

RADIUS
■ Nome do grupo de servidor RADIUS
■ Nome do host ou endereço IP do servidor RADIUS
■ Número de porta do servidor RADIUS
■ Nome amigável do servidor RADIUS
Consulte “Uso das configurações de grupo do servidor RADIUS”

na página 1003.
Uso das configurações gerais
Alternador Essa guia fornece as seguintes configurações do LAN Enforcer:
■ Ativar a política de switch

■ O nome da política de switch
■ O modelo do alternador, selecionado de uma lista de
alternadores suportados
■ O segredo compartilhado
■ O grupo de servidor RADIUS
■ O período de tempo limite da reautenticação
■ Se o alternador encaminha outros protocolos além do EAP
(Extensible Authentication Protocol).
■ Endereço do alternador
■ A VLAN no alternador
■ Ação
Consulte “Uso das configurações do alternador” na página 1011.
Avançado Essa guia fornece as seguintes configurações avançadas do LAN

Enforcer:
■ Configurar desvio da autenticação MAC (MAB)

■ Especificar endereços MAC e VLANs
■ Permitir cliente legado
■ Ativar a autenticação local
■ Configurar o protocolo de tempo de rede
Consulte “Uso das configurações avançadas do appliance LAN

Configurações de Configurações para ativar os logs do servidor, os logs de

log atividades do cliente e para especificar os parâmetros de arquivos
de log.
Consulte “Definição das configurações do log do Enforcer”

na página 1058.

Você pode adicionar ou editar a descrição de um appliance LAN Enforcer ou de
um grupo do appliance LAN Enforcer no Console do Symantec Endpoint Protection
Manager.
Consulte “Adição ou edição da descrição de um grupo do Enforcer com um LAN
Consulte “Adição ou edição da descrição de um LAN Enforcer” na página 1001.

Estabeleça uma porta de escuta usada para a comunicação entre o alternador de
VLAN e o appliance LAN Enforcer.
Consulte “Especificação de uma porta de escuta para a comunicação entre um
alternador VLAN e um LAN Enforcer” na página 1000.
Porém, você não pode adicionar ou editar o nome de um grupo do appliance LAN
Enforcer no Console do Symantec Endpoint Protection Manager. Você não pode
adicionar ou editar o endereço IP ou o nome do host de um appliance LAN Enforcer
no Console do Symantec Endpoint Protection Manager. Em vez disso, execute
essas tarefas no console do Enforcer.
Consulte “Adição ou edição do nome de um grupo do appliance LAN Enforcer com
um LAN Enforcer” na página 999.
Entretanto, é possível modificar o endereço IP ou o nome do host de um LAN
Enforcer no console do Enforcer somente durante a instalação. Se em outro
momento desejar modificar o endereço IP ou nome do host de um LAN Enforcer,
será possível fazê-lo no console do LAN Enforcer.
Consulte “Adição ou edição do endereço IP ou nome do host de um LAN Enforcer”
na página 1001.
No entanto, você pode adicionar ou editar o endereço IP ou o nome do host de um
Symantec Endpoint Protection Manager em uma lista de servidores de
gerenciamento.
Consulte “Como conectar o LAN Enforcer a um Symantec Endpoint Protection
Adição ou edição do nome de um grupo do appliance LAN Enforcer

com um LAN Enforcer
Você não pode adicionar ou editar o nome de um grupo do appliance LAN Enforcer
do qual o appliance LAN Enforcer é membro. Essas tarefas são executadas no
console do Enforcer durante a instalação. Se em outro momento você desejar
modificar o nome de um grupo do appliance LAN Enforcer, será possível fazê-lo
no console do Enforcer.
Todos os Enforcers de um grupo compartilham as mesmas configurações.
Especificação de uma porta de escuta para a comunicação entre um

alternador VLAN e um LAN Enforcer
Ao definir as configurações para um LAN Enforcer, especificam-se as seguintes
portas de escuta:
■ A porta de escuta usada para a comunicação entre um alternador de VLAN e
um LAN Enforcer.
O alternador de VLAN envia um pacote RADIUS à porta UDP.
■ A porta de escuta usada para a comunicação entre o LAN Enforcer e um servidor
RADIUS.
Especifica-se essa porta ao determinar um servidor RADIUS.
Se o servidor RADIUS estiver instalado no servidor de gerenciamento, ele não
deve ser configurado para usar a porta 1812. Os servidores RADIUS são
configurados para usar a porta 1812 como a configuração padrão. Como o servidor
de gerenciamento também usa a porta 1812 para se comunicar com o LAN Enforcer,
haverá um conflito.
Para especificar uma porta de escuta usada para a comunicação entre um alternador
de VLAN e um LAN Enforcer
Administrador.
3 Em Servidores, selecione o grupo do Enforcer.
5 Na caixa de diálogo Configurações de LAN Enforcer, na guia Geral, digite o
número da porta UDP que você deseja atribuir no campo Porta de escuta.
A configuração padrão para a porta é 1812. O intervalo é de 1 a 65535.
6 Clique em OK.
Adição ou edição da descrição de um grupo do Enforcer com um LAN

Enforcer
appliance Symantec LAN Enforcer é membro. Você pode executar esta tarefa no
console do Symantec Endpoint Protection Manager em vez do console do LAN
Enforcer.
Para adicionar ou editar a descrição de um grupo do Enforcer com um LAN Enforcer

Administrador.
3 Selecione e expanda o grupo do Enforcer cuja descrição você deseja adicionar
ou editar.
descrição para o grupo do Enforcer no campo Descrição.
6 Clique em OK.
Adição ou edição do endereço IP ou nome do host de um LAN Enforcer

É possível modificar o endereço IP ou nome do host de um LAN Enforcer no console
do Enforcer somente durante a instalação. Se em outro momento desejar modificar
o endereço IP ou nome do host de um LAN Enforcer, será possível fazê-lo no
console do LAN Enforcer.
Adição ou edição da descrição de um LAN Enforcer

É possível adicionar ou editar a descrição de um LAN Enforcer. Você pode executar
esta tarefa no console do Symantec Endpoint Protection Manager em vez do
console do LAN Enforcer. Após concluir essa tarefa, a descrição será exibida no
campo Descrição do painel Servidor de gerenciamento.
Para adicionar ou editar a descrição de um LAN Enforcer
Administrador.
3 Selecione e expanda o grupo de Enforcer que inclui o LAN Enforcer cuja
descrição você deseja adicionar ou editar.
4 Selecione o LAN Enforcer cuja descrição você quer adicionar ou editar.

para o LAN Enforcer no campo Descrição.
7 Clique em OK.
Como conectar o LAN Enforcer a um Symantec Endpoint Protection

Manager
Os Enforcers devem poder conectar-se aos servidores em que o Symantec Endpoint
Protection Manager está instalado. O Symantec Endpoint Protection Manager usa
uma lista de servidores de gerenciamento para ajudar a gerenciar o tráfego entre
clientes, servidores de gerenciamento e Enforcers opcionais, como o LAN Enforcer.
A lista de servidores de gerenciamento especifica a qual Symantec Endpoint
Protection Manager um LAN Enforcer conecta-se. Especifica também a qual
Symantec Endpoint Protection Manager um LAN Enforcer conecta-se em caso de
falha de um servidor de gerenciamento.
Se um administrador tiver diversas listas de servidores de gerenciamento, é
possível selecionar a lista de servidores de gerenciamento específica que inclui
os endereços IP ou nomes do host desses servidores de gerenciamento aos quais
deseja que o LAN Enforcer se conecte. Se houver apenas um servidor de
gerenciamento em um site, será possível selecionar a lista de servidores de
gerenciamento padrão. Você também pode selecionar a lista de servidores de
gerenciamento nos quais você quer que um grupo do Enforcer transite, fazendo
escolhas na mesma caixa de diálogo.
Para conectar o LAN Enforcer a um Symantec Endpoint Protection Manager
Administrador.
O grupo de Enforcer deve incluir o LAN Enforcer para o qual você quer mudar
a lista de servidores de gerenciamento.
a lista de servidores de gerenciamento que você deseja que este LAN Enforcer
use.
Uso das configurações de grupo do servidor RADIUS
6 Na guia Geral, em Comunicação, clique em Selecionar.

8 Clique em OK.

É possível configurar o LAN Enforcer para que se conecte a um ou mais servidores
RADIUS.
É necessário especificar servidores RADIUS como parte de um grupo de servidor
RADIUS. Cada grupo pode conter um ou mais servidores RADIUS. O objetivo de
um grupo de servidor RADIUS é o de fazer com que servidores RADIUS
proporcionem capacidade de failover. Se um servidor RADIUS no grupo de servidor
RADIUS se torna indisponível, o LAN Enforcer tenta se conectar com outro que
faça parte do grupo de servidor RADIUS.
Você pode adicionar editar e excluir o nome de um grupo de servidor RADIUS no
Console do Symantec Endpoint Protection Manager.
Consulte “Adição de um nome do grupo de servidor RADIUS e de um servidor
RADIUS” na página 1004.
Consulte “Edição do nome de um grupo de servidor RADIUS” na página 1006.
Consulte “Exclusão do nome de um grupo de servidor RADIUS” na página 1010.
O nome, o nome do host, o endereço IP, o número da porta de autenticação e o
segredo compartilhado de um servidor RADIUS podem ser adicionados, editados
e excluídos no console do Symantec Endpoint Protection Manager.
Consulte “Adição de um nome do grupo de servidor RADIUS e de um servidor
RADIUS” na página 1004.
Consulte “Edição do nome amigável de um servidor RADIUS” na página 1006.
Consulte “Edição do nome do host ou endereço IP de um servidor RADIUS”
na página 1007.
Consulte “Edição do número da porta de autenticação de um servidor RADIUS”
na página 1007.
Consulte “Edição do segredo compartilhado de um servidor RADIUS” na página 1008.
Consulte “Exclusão de um servidor RADIUS” na página 1010.
Adição de um nome do grupo de servidor RADIUS e de um servidor

RADIUS
É possível adicionar um nome de grupo de servidor RADIUS e um servidor RADIUS
ao mesmo tempo.
Consulte “Uso das configurações de grupo do servidor RADIUS” na página 1003.
Para adicionar um nome de grupo de servidor RADIUS e um servidor RADIUS
1 No Symantec Endpoint Protection Manager, clique em Admin.
3 Selecione o grupo de Enforcer.
5 Na caixa de diálogo Configurações de LAN Enforcer, na guia Grupo de
servidor RADIUS, clique em Adicionar.
O nome do grupo de servidor RADIUS e o endereço IP de um servidor RADIUS
existente aparecem na tabela.
6 Na caixa de diálogo Adicionar grupo de servidor RADIUS, digite o nome do
grupo de servidor RADIUS na caixa de texto Grupo.
O nome do grupo de servidor RADIUS, o nome do host ou o endereço IP de
um servidor RADIUS existente e o número da porta do servidor RADIUS são
exibidos na tabela.
8 Na caixa de diálogo Adicionar servidor RADIUS, digite o seguinte:
No campo: Nome amigável do servidor Digite um nome que identifique facilmente

RADIUS o nome do servidor RADIUS quando ele
for exibido na lista de servidores desse
grupo.
No campo: Nome do host ou endereço IP Digite o nome do host ou o endereço IP do

servidor RADIUS.
No campo: Porta de autenticação Digite a porta de rede no servidor RADIUS

para onde o LAN Enforcer envia o pacote
de autenticação do cliente.
A configuração padrão é 1812.
No campo: Tempo limite do switch (em Digite o valor de tempo limite do switch.
segundos) O padrão é 3 segundos.
No campo: Retransmissões do switch Digite o valor de retransmissão do switch.

O padrão é um.
No campo: Segredo compartilhado Digite o segredo compartilhado usado para

comunicação criptografada entre o
servidor RADIUS e o LAN Enforcer. O
segredo compartilhado entre um servidor
RADIUS e um LAN Enforcer pode ser
diferente do segredo compartilhado entre
um alternador compatível com 802.1x e
um LAN Enforcer. O segredo
compartilhado diferencia maiúsculas de
minúsculas.
No campo: Confirmar segredo Digite o segredo compartilhado

compartilhado novamente.
9 Clique em OK.
O nome, o nome do host ou o endereço IP e a porta para o servidor RADIUS
que foram adicionados são exibidos na lista Grupo de servidor RADIUS na
caixa de diálogo Adicionar o grupo de servidor RADIUS.
10 Na caixa de diálogo Adicionar grupo de servidor RADIUS, clique em OK.
11 Na caixa de diálogo Configurações de LAN Enforcer, clique em OK.
Edição do nome de um grupo de servidor RADIUS

É possível alterar o nome do grupo de servidor RADIUS em qualquer momento,
se assim for necessário.
Para editar o nome de um grupo de servidor RADIUS
Administrador.
3 Selecione o grupo de Enforcer de que o LAN Enforcer é um membro.
servidor RADIUS, clique no grupo de servidor RADIUS cujo nome deseja
mudar.
6 Clique em Editar.
7 Na caixa de diálogo Adicionar servidor RADIUS, edite o nome do grupo de
servidor RADIUS no campo Nome do grupo.
8 Clique em OK.
servidor RADIUS, clique em OK.
Edição do nome amigável de um servidor RADIUS

É possível alterar o nome amigável do servidor RADIUS em qualquer momento,
Para editar o nome amigável de um servidor RADIUS
Administrador.
servidor RADIUS, clique no grupo de servidor RADIUS cujo nome amigável
você deseja mudar.
6 Clique em Editar.
7 Na caixa de diálogo Adicionar um servidor RADIUS, edite o nome amigável
do servidor RADIUS no campo Nome amigável do servidor RADIUS.
8 Clique em OK.
Edição do nome do host ou endereço IP de um servidor RADIUS

É possível alterar o nome do host ou endereço IP do servidor RADIUS em qualquer
momento, se assim for necessário.
Para editar o nome do host ou endereço IP de um servidor RADIUS
Administrador.
5 Na caixa de diálogo LAN Enforcer Settings, na guia Grupo de servidor
RADIUS, clique no grupo de servidor RADIUS que inclui o servidor RADIUS
cujo nome do host ou endereço IP você deseja mudar.
6 Clique em Editar.
7 Na caixa de diálogo Adicionar um servidor RADIUS, edite o nome do host
ou endereço IP do servidor RADIUS no campo Nome do host ou endereço IP.
8 Clique em OK.
Edição do número da porta de autenticação de um servidor RADIUS

É possível alterar o número da porta de autenticação do servidor RADIUS em
qualquer momento, se assim for necessário.
Para editar o número da porta de autenticação de um servidor RADIUS

Administrador.
5 Na caixa de diálogo LAN Enforcer Settings, na guia Grupo de servidor
RADIUS, clique no grupo de servidor RADIUS cujo número da porta de
autenticação você deseja mudar.
6 Clique em Editar.
7 Na caixa de diálogo Adicionar um servidor RADIUS, edite o número da porta
de autenticação do servidor RADIUS no campo Porta de autenticação.
8 Clique em OK.
Edição do segredo compartilhado de um servidor RADIUS

É possível alterar o segredo compartilhado do servidor RADIUS em qualquer
Para editar o segredo compartilhado de um servidor RADIUS
Administrador.
servidor RADIUS, clique no grupo de servidor RADIUS cujo segredo
compartilhado você deseja mudar.
servidor RADIUS, clique em Editar.
7 Na caixa de diálogo Adicionar servidor RADIUS, edite o segredo

compartilhado do servidor RADIUS no campo Segredo compartilhado.
O segredo compartilhado é usado para comunicação criptografada entre o
servidor RADIUS e o LAN Enforcer. O segredo compartilhado entre um
servidor RADIUS e um LAN Enforcer pode ser diferente do segredo
compartilhado entre um alternador compatível com 802.1x e um LAN Enforcer.
O segredo compartilhado diferencia maiúsculas de minúsculas.
8 Edite o segredo compartilhado do servidor RADIUS no campo Confirmar
segredo compartilhado.
9 Clique em OK.
Ativação do suporte para o Servidor de políticas da rede (NPS) do

Windows no LAN Enforcer
Quando você usar o Microsoft Windows Server como um servidor RADIUS, ele
terá usado, anteriormente, o servidor de autenticação da Internet (IAS). Com o
Windows Server 2008, o IAS foi substituído pelo Servidor de políticas da rede
(NPS). Se você estiver usando o Server 2008, será necessário especificar que você
está usando o NPS.
Nota: Ativar o suporte para o Windows NPS exige que os clientes e os LAN
Enforcers executem a versão 11.0 RU6 MP2 ou superior (incluindo 12.1) Symantec
Endpoint Protection . Se você ativar esta opção nos LAN Enforcers com clientes
legados, a funcionalidade do Symantec Network Access Control não será suportada.
Para ativar o suporte para o Servidor de políticas de rede do Windows

1 Na tela Servidores, selecione o LAN Enforcer.
3 Na caixa de diálogo Configurações do LAN Enforcer, clique na guia Grupo
do servidor RADIUS.
4 Na parte inferior da tela, clique em Ativar o suporte para o Servidor de
políticas de rede (NPS) do Windows.
Você verá uma nota de aviso semelhante à Nota acima. Esteja certo que seus
clientes e os LAN Enforcers estejam executando a versão 11.0 RU6 MP2 ou
superior.
5 Clique em OK para salvar as configurações.
Exclusão do nome de um grupo de servidor RADIUS

É possível excluir o nome do grupo de servidor RADIUS em qualquer momento,
Para excluir o nome de um grupo de servidor RADIUS
Administrador.
servidor RADIUS, clique no grupo de servidor RADIUS cujo nome deseja
excluir.
Exclusão de um servidor RADIUS

É possível excluir um servidor RADIUS em qualquer momento, se assim for
necessário.
Para excluir um servidor RADIUS
Administrador.
3 Em Servidores, selecione o grupo do Enforcer do qual o LAN Enforcer é
membro.
servidor RADIUS, clique no grupo de servidor RADIUS do qual o servidor
RADIUS que você deseja excluir é membro.
servidor RADIUS, clique em Editar.
Uso das configurações do alternador
7 Na caixa de diálogo Adicionar servidor RADIUS, clique no servidor RADIUS

que deseja excluir.
9 Clique em OK.

Configure uma política de switch quando especificar as configurações do LAN
Enforcer para alternadores. Uma política de switch é uma coleção de configurações
que se aplica a um grupo de alternadores do mesmo fabricante ou modelo. A única
informação que necessita ser inserida separadamente para os alternadores
individuais é o endereço IP do alternador.
Consulte “Adição de uma política de alternador compatível com 802.1x a um
appliance LAN Enforcer com assistente” na página 1015.
Consulte “Edição de informações básicas sobre a política de switch e o switch
compatível com 802.1x” na página 1024.
Configurações do alternador
É necessário especificar as seguintes informações básicas antes que os appliances
LAN Enforcer, os servidores de gerenciamento, os clientes e os alternadores
compatíveis com 802.1x funcionem juntos:
■ Um nome de sua escolha para a política de alternador.
■ O fabricante e o modelo do alternador.
Selecione o modelo do alternador na lista de alternadores compatíveis.
■ A senha criptografada ou o segredo compartilhado
■ O grupo de servidor RADIUS usado.
■ O período de tempo limite para nova autenticação do alternador compatível
com 802.1x.
A configuração padrão é 30 segundos.
■ Se o alternador encaminha outros protocolos além do EAP (Extensible
Authentication Protocol).
A configuração padrão é encaminhar outros protocolos.
Consulte “Edição de informações básicas sobre a política de switch e o switch

Você precisa especificar as seguintes informações para o conjunto de alternadores
compatível com 802.1x ao qual a política de alternadores se aplica:
■ Um nome de alternador amigável da sua escolha
■ Endereço IP, intervalo de endereços ou sub-rede
Consulte “Edição de informações sobre o alternador compatível com 802.1x”
na página 1029.
É necessário especificar as informações de VLAN a seguir:
■ ID da VLAN
■ Nome VLAN
■ Como opção, podem ser especificados os atributos RADIUS personalizados no
formato hexadecimal.
Consulte “Edição de informações VLAN para a política de alternador” na página 1031.
Se um alternador compatível com 802.1x aceitar a alternação dinâmica da VLAN,
será possível especificar que o cliente deve se conectar a uma VLAN específica.
É necessário especificar as ações que o alternador compatível com 802.1x necessita
executar quando certos critérios são satisfeitos:
■ Resultado da autenticação do host: Aprovado, Falha, Não disponível ou Ignorar
resultado
■ Resultado da autenticação do usuário: Aprovado, Falha, Não disponível ou
Ignorar resultado
■ Resultado da verificação da política: Aprovado, Falha, Não disponível ou Ignorar
resultado
Sobre o suporte a atributos dos modelos de alternador

Ao configurar o appliance LAN Enforcer, especifique o modelo do alternador
compatível com 802.1x. Alternadores compatíveis com 802.1x distintos procuram
diferentes atributos para determinar quais clientes podem acessar a VLAN. Alguns
alternadores identificam VLANs pelo ID da VLAN e outros pelo Nome VLAN.

Alguns dispositivos têm suporte limitado à VLAN ou nenhum suporte.
O appliance LAN Enforcer encaminha atributos do servidor RADIUS para o
alternador. No entanto, se necessário, ele modifica ou anexa o atributo de VLAN
com base no tipo de alternador ao usar valores compatíveis. Se existir um conflito
entre as informações de atributo específicas do fornecedor que o servidor RADIUS
envia e as informações de atributo da VLAN específicas do fornecedor que o LAN
Enforcer utiliza, o LAN Enforcer removerá as informações específicas do fornecedor
que o servidor RADIUS enviar.
O LAN Enforcer então substitui essas informações com as informações que aparece
em Tabela 49-1.
Se desejar manter os atributos do servidor RADIUS, selecione a ação denominada
Abrir porta. Com essa ação, o LAN Enforcer encaminha todos os atributos do
servidor RADIUS para o alternador compatível com 802.1x sem nenhuma
modificação.
O modelo do alternador compatível com 802.1x pode usar o ID da VLAN ou Nome
VLAN para executar atribuições dinâmicas da VLAN. Especifique o ID da VLAN e
o nome VLAN ao fornecer informações da VLAN ao LAN Enforcer, com exceção
do alternador Aruba.
A Tabela 49-1 descreve os modelos e os atributos do alternador compatível com
802.1x.
Tabela 49-1 Suporte a atributos dos modelos de alternador
Modelo do Atributos adicionados pelo LAN Enforcer Comentários

alternador
Controlador sem O código do fornecedor é 14179. O Nome VLAN é usado. Ele diferencia
fio Airespace maiúsculas de minúsculas.
O número do atributo conferido pelo fornecedor é 5.
O formato do atributo é "string".
Alcatel Vendor Specific (#26) O ID da VLAN é usado.
O ID do fornecedor de Alcatel é 800. Todos os atributos

do tipo "Vendor Specific" do RADIUS com um ID de
800 são removidos em caso de conflito.

alternador
Aruba Vendor Specific (#14823) Tanto o nome VLAN quanto o ID da

VLAN podem ser usados. De modo
O ID do fornecedor do Aruba é 14823. O atributo
alternativo, se pode usar apenas um
Aruba-User-Role permite que configure os IDs da VLAN
nome VLAN ou apenas um ID da VLAN.
ou os nomes VLAN.
Um ID da VLAN válido varia de 1 a
4094.
O nome VLAN não pode ter mais de 64

bytes.
Cisco Aironet Depende do uso do controle de acesso SSID (Service O ID da VLAN é usado.
Series Set IDentifier).
Atributos do usuário RADIUS usados para atribuição

de VLAN-ID:
IETF 64 (Tunnel Type): Defina esse atributo como

"VLAN"
IETF 65 (Tunnel Medium Type): Defina esse atributo

como "802"
IETF 81 (Tunnel Private Group ID): defina esse atributo

como VLAN-ID
Os atributos do usuário RADIUS usados para controle

de acesso SSID:
Atributo Cisco IOS/PIX RADIUS, 009\001 cisco-av-pair
Cisco Catalyst Tunnel Type (#64) O Nome VLAN é usado. Ele diferencia
Series maiúsculas de minúsculas.
Tunnel Medium Type (#65)
Tunnel Private Group ID (#81)
Tunnel Type é definido como 13 (VLAN)
Tunnel Medium Type é definido como 6 ( média 802)
Tunnel Private Group ID é definido como Nome VLAN.
Todos os atributos com esses três tipos do servidor

RADIUS são removidos em caso de conflito. Quaisquer
atributos com tipo "Vendor Specific" cujo ID do
fornecedor seja 9 (Cisco) também são removidos.

alternador
Foundry, HP, Tunnel Type (#64) O ID da VLAN é usado.

Nortel, 3com,
Tunnel Medium Type (#65)
Huawei
Tunnel Private Group ID (#81)
Tunnel Type é definido como 13 (VLAN)
Tunnel Medium Type é definido como 6 ( média 802)
Tunnel Private Group ID é definido como ID da VLAN.
Todos os atributos com esses três tipos do servidor

RADIUS são removidos em caso de conflito.
Enterasys ID do filtro (#11) O Nome VLAN é usado e representa

"Nome de função" no alternador
O ID do filtro é definido como
Enterasys. O nome diferencia
Enterasys : maiúsculas de minúsculas.
version=1:
mgmt=su:
policy=NAME
Todos os atributos "Filter ID" do servidor RADIUS são

removidos em caso de conflito.
Extreme Vendor Specific (#26) O Nome VLAN é usado. O nome

diferencia maiúsculas de minúsculas.
O ID do fornecedor do Extreme é 1916. O VLAN Name
é adicionado depois do ID do fornecedor. Todos os
atributos específicos do fornecedor do servidor RADIUS
com um ID de 1916 são removidos em caso de conflito.
Adição de uma política de alternador compatível com 802.1x a um

appliance LAN Enforcer com assistente
É possível adicionar vários alternadores compatíveis com 802.1x para usar com
um appliance LAN Enforcer como parte de uma política de alternador. Insira as
informações necessárias para configurar a interação do appliance LAN Enforcer
com o alternador.
Consulte “Uso das configurações do alternador” na página 1011.
Para adicionar uma política de alternador compatível com 802.1x a um appliance

LAN Enforcer com assistente
5 Na caixa de diálogo Configurações de LAN Enforcer, na guia Alternar, clique
em Adicionar.
6 No painel Bem-vindo ao Assistente de Configuração de política de alternador
do Assistente de Configuração de política de alternador, clique em Avançar.
7 No painel Informações básicas do Assistente de Configuração de política
de alternador, conclua as seguintes tarefas:
Nome da política de Digite um nome de sua escolha que identifique a política de

switch alternador.
Por exemplo, é possível usar o nome do fabricante e o modelo

como o nome da política de alternador.
Modelo de alternador O LAN Enforcer usa o modelo de alternador para determinar

o atributo do servidor RADIUS específico do fornecedor.
Selecione um dos seguintes modelos compatíveis com 802.1x
na lista de alternadores suportados:
■ Outro
Se o modelo não estiver relacionado, selecione Outro
para usar um atributo genérico do servidor RADIUS.
■ 3Com
■ Alternador Alcatel
■ Cisco Catalyst Series
■ Enterasys Matix Series
■ Extreme Summit Series
■ Foundry Networks
■ HP Procurve Series
■ Nortel BayStack Series
■ Cisco Aironet Series
■ Alternadores Aruba
■ Controlador sem fio Airespace
■ Nortel Wireless
■ Controlador sem fio Enterasys
■ Alternadores Allied Telesis
■ Alternadores HuaWei a partir de fevereiro de 2009
Nota: Para os alternadores HuaWei, se o administrador
escolher o modo transparente no alternador, ele deverá
configurar a política para usar o modo transparente no
cliente, em vez de deixar o usuário selecioná-lo.
Segredo compartilhado O segredo compartilhado usado para comunicação entre o

alternador compatível com 802.1x e o appliance LAN
Enforcer. O segredo compartilhado diferencia maiúsculas
de minúsculas.
Confirmar segredo Você deve digitar o segredo compartilhado novamente.

compartilhado
Grupo de servidor Se você usar o appliance LAN Enforcer com um servidor

RADIUS RADIUS, selecione o grupo de servidor RADIUS na lista de
grupo de servidor RADIUS disponível.
Período de nova Digite o período de tempo em segundos durante o qual o

autenticação (segundos) cliente deve ser autenticado novamente. Caso contrário, o
cliente é removido da lista de clientes conectados no LAN
Enforcer.
Deve ser definido o período de nova autenticação pelo menos

para o dobro do período de tempo do intervalo da nova
autenticação no alternador.
Por exemplo, se o intervalo de nova autenticação no

alternador for de 30 segundos, o período de nova
autenticação no appliance LAN Enforcer deve ser de, pelo
menos, 60 segundos. Do contrário, o appliance LAN Enforcer
supõe que o cliente alcançou o tempo limite. Portanto, o
cliente não libera nem renova seu endereço IP.
Encaminhar protocolos É possível selecionar esta opção para permitir que o

além de EAP appliance LAN Enforcer encaminhe os pacotes RADIUS que
contenham outros protocolos de autenticação além de EAP.
Outros protocolos incluem Challenge Handshake
Authentication Protocol (CHAP) e PAP.
8 No painel Informações básicas do Assistente de Configuração de política

de alternador, clique em Avançar.
9 No painel Lista de alternadores do Assistente de Configuração de política
de alternador, clique em Adicionar.
10 Conclua as tarefas a seguir:
Nome Na caixa de diálogo Adicionar endereço IP interno

individual, digite um nome amigável para a política de
alternador para identificar o alternador compatível com
802.1x no campo Nome.
Endereço IP individual Na caixa de diálogo Adicionar endereço IP interno

individual, clique em Endereço IP individual. Em seguida,
digite o endereço IP do alternador compatível com 802.1x
no campo Endereço IP.
Intervalo de endereços Na caixa de diálogo Adicionar o intervalo de endereço IP

IP interno, clique em Intervalo de endereços IP. Digite o
endereço IP inicial do alternador compatível com 802.1x no
campo Endereço IP inicial. Digite o endereço IP final do
intervalo de endereços IP do alternador compatível com
802.1x no campo IP final.
Sub-rede Na caixa de diálogo Adicionar a sub-rede do endereço IP

interno, clique em Sub-rede. Digite o endereço IP da
sub-rede no campo endereço IP e a sub-rede no campo
Máscara de sub-rede.
Ao especificar uma política de alternador para um appliance LAN Enforcer,

é possível associar a política de alternador a um ou mais alternadores
compatíveis com 802.1x.
11 Na caixa de diálogo Adicionar endereço IP interno, clique em OK..
12 No painel Lista de alternadores do Assistente de Configuração de política
de alternador, clique em Avançar.
13 No painel Alternar configuração de VLAN do Assistente de Configuração
de política de alternador, clique em Adicionar.
14 Na caixa de diálogo Adicionar VLAN, conclua as seguintes tarefas:
ID da VLAN Digite um número inteiro que pode ir de 1 a 4094 no campo

ID da VLAN.
O ID da VLAN deve ser igual ao configurado no alternador

compatível com 802.1x, exceto para o alternador Aruba.
Se planeja adicionar informações VLAN sobre um alternador

Aruba, talvez queira configurar a VLAN e as informações
de função de maneira diferente da configurada para os
outros alternadores 802.1x.
Consulte “Configuração de VLAN e informações de função

no alternador Aruba compatível com 802.1x” na página 1033.
Nome VLAN Digite um nome para a VLAN.
Esse nome pode ter até 64 caracteres e diferencia maiúsculas

de minúsculas.
O nome VLAN deve ser igual ao configurado no alternador

compatível com 802.1x, exceto para o alternador Aruba.
Se planeja adicionar informações VLAN sobre o alternador

Aruba, talvez queira configurar a VLAN e as informações
de função de maneira diferente da configurada para os
outros alternadores 802.1x.
Consulte “Configuração de VLAN e informações de função

no alternador Aruba compatível com 802.1x” na página 1033.
Enviar atributos Marque Enviar atributos RADIUS personalizados para o

RADIUS personalizados alternador se deseja que o LAN Enforcer envie um atributo
para o alternador RADIUS personalizado para o alternador compatível com
802.1x. Uma lista de controle de acesso (ACL, Access Control
List) pode ser um atributo.
Consulte “Sobre o suporte a atributos dos modelos de

alternador” na página 1012.
Atributos Digite o atributo RADIUS em formato hexadecimal.

personalizados em
O tamanho deve ser par.
formato hexadecimal
Ao especificar uma política de alternador para um LAN Enforcer, use a guia

VLAN para adicionar as informações para cada VLAN configurada no
alternador. Você deseja que a política de alternador esteja disponível para
ser usada pelo LAN Enforcer como uma ação. As melhores práticas são
especificar, pelo menos, uma correção de VLAN.
15 Clique em OK.
16 No painel Alternar configuração de VLAN do Assistente de Configuração

de política de alternador, clique em Avançar.
17 No painel Alternar configuração de ação do Assistente de Configuração de
política de alternador, clique em Adicionar.
18 Na caixa de diálogo Adicionar ação do alternador, conclua as seguintes
tarefas:
Autenticação do host Clique em qualquer uma destas condições:
■ Passou
■ Falhou
■ Não disponível
■ Ignorar resultado
A situação mais comum em que uma verificação de

integridade do host se torna indisponível é quando o cliente
não está em execução. Se definir Autenticação do host como
Não disponível, defina também Verificação de política como
Não disponível.
Autenticação do usuário Clique em qualquer uma destas condições:
■ Passou
O cliente foi aprovado na autenticação do usuário.
■ Falhou
O cliente não foi aprovado na autenticação do usuário.
O resultado da autenticação do usuário será sempre "não
disponível" se a autenticação do usuário não for realizada
no modo transparente. Se o LAN Enforcer for usado no
modo transparente, crie uma ação para a condição Não
disponível.
Se a configuração básica for usada, também pode desejar
configurar-se uma ação para a autenticação do usuário
como uma condição de erro. Por exemplo, caso um
suplicante 802.1x usar um método incorreto de
autenticação do usuário ou se o servidor RADIUS falhar
no meio da transação de autenticação.
A condição "Não disponível" para a autenticação do
usuário também pode ocorrer em alguns servidores
RADIUS se o nome de usuário não existir no banco de
dados RADIUS. Por exemplo, esse problema pode ocorrer
com o Microsoft IAS. Portanto, pode ser que você queira
testar a condição de um nome de usuário ausente com o
servidor RADIUS. Convém verificar se isso coincide com
as condições Falhou ou Não disponível da autenticação
do usuário.
A situação mais comum em que uma verificação de

integridade do host se torna indisponível é quando o cliente
não está em execução. Se você definir Verificação de política
como Não disponível, defina também Autenticação do host
como Não disponível.
Verificação de política Clique em qualquer uma destas condições:
■ Passou
O cliente foi aprovado na verificação de política.
■ Falhou
O cliente não foi aprovado na verificação de política.
O resultado "Não disponível" da política pode ocorrer
nas seguintes condições:
■ Se o cliente tiver um identificador inválido, o LAN
Enforcer não poderá obter informações de política
do servidor de gerenciamento. Esse problema pode
ocorrer se o servidor de gerenciamento que
implementou a política do cliente não estiver mais
disponível.
■ Se o cliente é exportado e instalado pela primeira vez
antes de se conectar ao servidor de gerenciamento e
receber sua política.
Ação É possível selecionar abaixo as ações que o alternador

compatível com 802.1x executa quando as condições são
satisfeitas:
■ Abrir porta
O alternador compatível com 802.1x permite acesso à
rede na VLAN padrão ao qual a porta normalmente é
atribuída. Também permite acesso à rede na VLAN que
é especificada em um atributo enviado do servidor
RADIUS. Portanto, o suporte a usuários que têm acesso
à VLAN se baseia no ID do usuário e na função do usuário.
A ação padrão é Abrir porta.
■ Alternar para teste de VLAN.
Permite acesso à VLAN especificada. As VLANs
disponíveis para seleção são aquelas configuradas
anteriormente.
■ Fechar porta
Nega acesso à rede na VLAN padrão ou na VLAN
específica do RADIUS. Em alguns modelos de alternador,
conforme a configuração, a porta é atribuída a uma VLAN
convidada.
Para o alternador Aruba, é possível restringir o acesso de

acordo com uma função especificada, assim como uma VLAN
especificada. As restrições dependem de como as
informações VLAN foram configuradas para a política de
alternador.
19 Na caixa de diálogo Adicionar ação do alternador, clique em OK.

20 No painel Alternar configuração de ação do Assistente de Configuração de
política de alternador, na tabela Ação do alternador, clique na política de
ação do alternador cuja prioridade você deseja mudar.
O LAN Enforcer verifica os resultados da autenticação com as entradas na
tabela de ação do alternador na ordem de cima para baixo da tabela. Após
encontrar um conjunto de condições correspondentes, o LAN Enforcer orienta
o alternador compatível com 802.1x a aplicar a ação. É possível modificar a
sequência na qual as ações são aplicadas ao modificar a ordem em que estão
listadas na tabela.
21 Clique em Mover para cima ou em Mover para baixo.
23 No painel Concluir a configuração de política de alternador do Assistente
de Configuração de política de alternador, clique em Concluir.
Edição de informações básicas sobre a política de switch e o switch

compatível com 802.1x
É possível alterar os seguintes parâmetros da política de switch e do switch
compatível com 802.1x:
■ Nome da política de switch
Consulte “Edição do nome de uma política de switch” na página 1025.
■ Modelo de alternador
Consulte “Seleção de um modelo de switch diferente para a política de switch”
na página 1025.
■ Segredo compartilhado
Consulte “Edição de uma senha criptografada ou de um segredo compartilhado”
na página 1026.
■ Grupo de servidor RADIUS
Consulte “Seleção de um grupo de servidor RADIUS diferente” na página 1027.
■ Período de tempo para nova autenticação
Consulte “Edição do período de nova autenticação” na página 1028.
■ Encaminhamento de protocolos além de EAP
Consulte “Ativação de protocolos diferentes de EAP” na página 1029.
Edição do nome de uma política de switch

É possível editar o nome da política de switch em qualquer momento, se assim for
necessário.
Consulte “Configurações do alternador” na página 1011.
Para editar o nome de uma política de switch
5 Na caixa de diálogo Configurações de LAN Enforcer, na guia Alternador, na
tabela Política de switch, clique na política de alternador que deseja modificar.
6 Clique em Editar.
7 Na caixa de diálogo Editar política de switch para nome da política de
alternador, na guia Informações básicas, edite o nome da política de
alternador no campo Nome da política de switch.
8 Clique em OK.
9 Na caixa de diálogo Configurações de LAN Enforcer, na guia Alternador,
clique em OK.
Seleção de um modelo de switch diferente para a política de

switch
É possível selecionar um modelo de switch diferente para a política de switch em
Para selecionar um modelo de switch diferente para a política de switch
5 Na caixa de diálogo Configurações de LAN Enforcer, na guia Switch, na tabela
Política de switch, clique na política de alternador cujo modo de alternador
6 Clique em Editar.
7 Na caixa de diálogo Editar política de switch para nome da política de switch,

na guia Informações básicas, selecione um modelo de switch diferente na
lista de modelos de switches a seguir:
■ Outro
Se o modelo não estiver relacionado, selecione Outro para usar um atributo
genérico do servidor RADIUS.
■ 3Com
■ Alternador Alcatel
■ Cisco Catalyst Series
■ Enterasys Matix Series
■ Extreme Summit Series
■ Foundry Networks
■ HP Procurve Series
■ Nortel BayStack Series
■ Cisco Aironet Series
■ Alternadores Aruba
■ Controlador sem fio Airespace
■ Nortel Wireless
■ Controlador sem fio Enterasys
■ Alternador HuaWei
Se o administrador escolher o modo transparente no alternador HuaWei,
a política deverá ser configurada para usar o modo transparente no cliente,
em vez de deixar o usuário selecioná-lo.
8 Clique em OK.
clique em OK.
Edição de uma senha criptografada ou de um segredo

compartilhado
É possível editar o segredo compartilhado em qualquer momento, se assim for
necessário.
Para editar uma senha criptografada ou um segredo compartilhado

5 Na caixa de diálogo Configurações do LAN Enforcer, na guia Alternador, na
tabela Política de alternador, clique na política de alternador cujo segredo
compartilhado você deseja modificar.
6 Clique em Editar.
na guia Informações básicas, edite o nome do segredo compartilhado no
campo Segredo compartilhado.
8 Edite o nome do segredo compartilhado no campo Confirmar segredo
compartilhado.
9 Clique em OK.
clique em OK.
Seleção de um grupo de servidor RADIUS diferente

É possível selecionar um grupo de servidor RADIUS diferente em qualquer
Para selecionar um grupo de servidor RADIUS diferente
Administrador.
tabela Política de alternador, clique na política de alternador cujo segredo
compartilhado você deseja modificar.
Política de switch, clique em Editar.

na guia Informações básicas, selecione um grupo de servidor RADIUS
diferente na lista do grupo de servidor RADIUS.
É necessário adicionar mais de um grupo de servidores RADIUS para
selecionar outro grupo de servidores RADIUS.
8 Clique em OK.
clique em OK.
Edição do período de nova autenticação

É possível editar o período de nova autenticação em qualquer momento, se assim
for necessário.
Especifique o período de tempo em segundos durante o qual o cliente deve ser
autenticado novamente. Caso contrário, o cliente será removido da lista de clientes
conectados e será desconectado da rede.
Deve ser definido o período de nova autenticação pelo menos para o dobro do
período de tempo do intervalo da nova autenticação no alternador.
Por exemplo, se o intervalo da nova autenticação no alternador for de 30 segundos,
o período de nova autenticação no LAN Enforcer deve ser de, pelo menos, 60
segundos. Do contrário, o LAN Enforcer supõe que o cliente alcançou o tempo
limite. Portanto, o cliente não libera nem renova seu endereço IP.
Para editar o período de nova autenticação
Administrador.
4 Clique em Editar propriedades do grupo.
6 Clique em Editar.
na guia Informações básicas, edite o período da nova autenticação no campo
Período de nova autenticação em segundos.
8 Clique em OK.
clique em OK.
Ativação de protocolos diferentes de EAP

É possível permitir que o LAN Enforcer encaminhe os pacotes RADIUS que
contenham outros protocolos de autenticação além de EAP.
Outros protocolos incluem:
■ Challenge Handshake Authentication Protocol (CHAP)
■ PAP
Para ativar protocolos diferentes de EAP
Administrador.
4 Clique em Editar propriedades do grupo.
Política de switch, clique em Editar.
na guia Informações básicas, marque Ativar protocolos além de EAP.
É possível encaminhar os seguintes protocolos:
■ Challenge Handshake Authentication Protocol (CHAP)
■ PAP
8 Clique em OK.
clique em OK.
Edição de informações sobre o alternador compatível com 802.1x

É possível alterar os seguintes parâmetros do alternador compatível com 802.1x:
■ Modificação do endereço IP, do nome do host ou da sub-rede para um alternador

Consulte “Edição do endereço IP, nome do host ou sub-rede de um alternador
■ Remoção de um alternador compatível com 802.1x da lista do alternador
Consulte “Exclusão de um alternador compatível com 802.1x da lista do
alternador” na página 1031.
Edição do endereço IP, nome do host ou sub-rede de um

alternador compatível com 802.1x
É possível modificar o endereço IP, o nome do host ou a sub-rede de um alternador
compatível com 802.1x em qualquer momento, se assim for necessário.
Consulte “Sobre o suporte a atributos dos modelos de alternador” na página 1012.
Para editar o endereço IP, o nome do host ou a sub-rede de um alternador compatível
com 802.1x
Administrador.
6 Clique em Editar.
na guia Endereço do switch, selecione Editar tudo.
8 Na caixa de diálogo Editar endereços IP, adicione ou edite endereços IP,
nomes de host ou sub-redes para o alternador compatível com 802.1x.
O formato do texto é:
Endereço IP individual nome: endereço
Intervalo de endereço IP nome: endereço inicial-endereço final
Sub-rede nome: endereço inicial-máscara de

sub-rede
9 Clique em OK.
clique em OK.
Exclusão de um alternador compatível com 802.1x da lista do

alternador
É possível excluir um alternador compatível com 802.1x da lista do alternador em
Consulte “Sobre o suporte a atributos dos modelos de alternador” na página 1012.
Para excluir um alternador compatível com 802.1x
Administrador.
Política de switch, clique no switch compatível com 802.1x que deseja excluir
da lista de switches.
clique em Remover.
7 Clique em OK.
Edição de informações VLAN para a política de alternador

É possível alterar os seguintes parâmetros de VLANs no alternador compatível
com 802.1x:
■ Modificar o ID da VLAN e o nome VLAN de um alternador compatível com
802.1x
Consulte “Edição do ID da VLAN e do nome VLAN de um alternador compatível
com 802.1x” na página 1032.
■ Configurar VLAN e informações de função no alternador Aruba compatível
com 802.1x
Consulte “Configuração de VLAN e informações de função no alternador Aruba
■ Remoção de VLANs em um alternador compatível com 802.1x
Consulte “Exclusão de VLANs em um alternador compatível com 802.1x”
na página 1033.
Edição do ID da VLAN e do nome VLAN de um alternador

É possível modificar o ID da VLAN e o nome VLAN de um alternador compatível
com 802.1x em qualquer momento, se assim for necessário.
Alguns alternadores, como o alternador Cisco, têm o recurso de VLAN convidado.
Normalmente, a VLAN convidada é usada em caso de falha na autenticação EAP
do usuário. Se a autenticação EAP falhar, o alternador conecta o cliente à VLAN
convidada automaticamente.
Se você utiliza o LAN Enforcer para alternação de VLAN, recomenda-se não usar
a VLAN convidada reservada ao configurar VLANs e ações no LAN Enforcer. Do
contrário, o suplicante 802.1x pode responder como se a autenticação EAP tivesse
falhado.
Ao configurar VLANs, certifique-se de que todas as VLANs possam se comunicar
com o servidor de gerenciamento.
Para editar o ID da VLAN e o nome VLAN de um alternador compatível com 802.1x
Administrador.
tabela Política de alternador, clique na política de alternador cujas
informações VLAN deseja modificar.
6 Clique em Editar.
na guia Endereço do switch, selecione a VLAN que deseja editar.
8 Na guia VLAN, selecione Editar.
9 Na caixa de diálogo Editar VLAN, edite o ID da VLAN no campo ID VLAN.
10 Editar o nome VLAN no campo Nome da VLAN.
Se planeja editar informações VLAN de um alternador Aruba, talvez queira
configurar a VLAN e as informações de função de maneira diferente da feita
para os outros alternadores 802.1x.
Consulte “Configuração de VLAN e informações de função no alternador
Aruba compatível com 802.1x” na página 1033.

na guia VLAN, clique em OK.
clique em OK.
Exclusão de VLANs em um alternador compatível com 802.1x

É possível excluir as VLANs em um alternador compatível com 802.1x em qualquer
Para excluir VLANs em um alternador compatível com 802.1x
Administrador.
2 clique em Servidores.
Política de switch, clique na política de switch cujas informações de VLAN
você deseja excluir.
6 Clique em Editar.
na guia Endereço do switch, selecione a VLAN que você deseja excluir.
8 Na guia VLAN, selecione Remover.
9 Clique em OK.
clique em OK.
Configuração de VLAN e informações de função no alternador

Aruba compatível com 802.1x
Se você utiliza um alternador Aruba, é possível deixar os campos ID VLAN e Nome
VLAN em branco. No entanto, para outros alternadores, insira informações em
ambos os campos. Para o alternador Aruba, é possível usar esses campos para
especificar um VLAN ou uma função, ou ambos, como segue:
■ Para especificar um VLAN, digite o ID da VLAN no campo ID da VLAN.
■ Para especificar uma função, digite o nome da função no campo Nome VLAN.
Para o alternador Aruba, também é possível usar essa caixa de diálogo para
configurar separadamente ações de alternador para diversas funções em uma
VLAN ou diversas VLANs para uma função.
Para configurar VLAN e informações de função no alternador Aruba compatível
com 802.1x
1 Se você tem um ID da VLAN 1 com função A e função B, preencha o ID da
VLAN como 1 e o nome VLAN como A. Clique em OK.
2 Clique em Adicionar novamente. Na caixa de diálogo Adicionar VLAN,
preencha o ID da VLAN como 1 e o nome VLAN como B e clique em OK.
Tornam-se disponíveis duas opções distintas para a configuração na tabela
de ação do alternador.
Edição de informações de ação para a política de alternador

É possível alterar os seguintes parâmetros de VLANs no alternador compatível
com 802.1x:
■ Definir a ordem de verificação da condição
Consulte “Configuração da ordem de verificação da condição” na página 1035.
■ Selecionar uma condição diferente de Autenticação do host, Autenticação do
usuário ou Verificação de política
Consulte “Seleção de uma condição diferente de Autenticação do host,
Autenticação do usuário ou Verificação de política” na página 1036.
■ Selecionar diferentes ações
Consulte “Seleção de diferentes ações” na página 1037.
Sobre temas relacionados com a política de alternador,

condições associadas e ações
Ao configurar políticas de switch, observe o seguinte:
■ A tabela Ação do alternador deve conter pelo menos uma entrada.
■ Se não for selecionada uma ação para uma determinada combinação de
resultados, a ação padrão Abrir porta será executada.
■ Para especificar uma ação padrão para qualquer combinação de resultados
possível, selecione Ignorar resultado para todos os três resultados.
■ Ao adicionar ações à tabela, é possível editar qualquer célula ao clicar no canto
direito de uma coluna e linha para exibir uma lista suspensa.
■ Alguns alternadores, como o alternador Cisco, têm o recurso de VLAN

convidado. Normalmente, a VLAN convidada é para ser usada em caso de falha
na autenticação do usuário. Ou seja, se a autenticação do usuário falhar, o
alternador conecta o cliente à VLAN convidada automaticamente.
Se você utiliza o LAN Enforcer para alternação de VLAN, recomenda-se não
usar o VLAN convidado reservado ao configurar VLANs e ações no LAN
Enforcer. Do contrário, o suplicante 802.1x pode responder como se a
autenticação tivesse falhado.
■ Se implementar clientes e não estiver pronto para implementar os recursos
completos do LAN Enforcer, é possível especificar uma ação para permitir o
acesso à rede interna que se baseia na condição Ignorar resultado para a
verificação de integridade do host e para a verificação de política. Caso deseje
desconsiderar os resultados da autenticação do usuário e permitir acesso à
rede independentemente dos resultados, é possível fazê-lo com a condição
Ignorar resultados da autenticação do usuário.
Consulte “Configuração da ordem de verificação da condição” na página 1035.
Consulte “Seleção de uma condição diferente de Autenticação do host, Autenticação
do usuário ou Verificação de política” na página 1036.
Consulte “Seleção de diferentes ações” na página 1037.
Configuração da ordem de verificação da condição

É possível modificar uma condição diferente de Autenticação do host, Autenticação
do usuário ou Verificação de política para uma política de switch em qualquer
Pode ser adicionada uma entrada na tabela Ação do alternador para cada uma das
combinações possíveis dos resultados de autenticação.
Ao configurar as condições a serem verificadas, lembre-se de que a única
circunstância na qual todos os três resultados podem ser Passar ou Falha é na
configuração básica. Na configuração básica, o cliente executa um suplicante
802.1x que fornece informações sobre a autenticação do usuário e um cliente que
fornece informações sobre a integridade do host e o número de série da política.
Se você executar somente o suplicante 802.1x sem um cliente, os resultados da
verificação de integridade do host e da verificação de política serão sempre "Não
disponíveis". Se você executar em modo transparente sem uma verificação de
autenticação do usuário, o resultado da autenticação do usuário será sempre "Não
disponível".
O LAN Enforcer verifica os resultados da autenticação com as entradas na tabela
na ordem de cima para baixo. Após encontrar um conjunto de condições
correspondentes, o LAN Enforcer orienta o alternador compatível com 802.1x
para aplicar a ação. É possível modificar a sequência na qual as ações são aplicadas
ao modificar a ordem em que estão listadas na tabela.
Se um LAN Enforcer não puder localizar entradas que correspondam à condição
atual, a ação FECHAR PORTA será executada.
Consulte “Sobre temas relacionados com a política de alternador, condições
associadas e ações” na página 1034.
Para definir a ordem de verificação da condição
Administrador.
Política de switch, clique na política de switch cuja ordem de verificação das
condições você deseja modificar.
6 Clique em Editar.
na guia Ação, selecione a política de switch cuja ordem de verificação das
condições você deseja modificar.
8 Clique em Mover para cima ou em Mover para baixo.
9 Clique em OK.
clique em OK.
Seleção de uma condição diferente de Autenticação do host,

Autenticação do usuário ou Verificação de política
É possível selecionar uma condição diferente de Autenticação do host, Autenticação
do usuário ou Verificação de política para uma política de switch em qualquer
Para selecionar uma condição de Autenticação do host, Autenticação do usuário

ou Verificação de política
Administrador.
Política de switch, clique na política de switch cujas condições de autenticação
6 Clique em Editar.
7 Na caixa de diálogo Editar a política de switch para nome da política de
switch, na guia Ação, clique em qualquer uma das condições de autenticação
que deseja modificar em qualquer uma das colunas a seguir:
■ Autenticação do host
■ Autenticação do usuário
■ Verificação de política
8 Selecione algumas das seguintes ações que o alternador compatível com

802.1x precisa tomar quando determinados critérios forem cumpridos:
■ Resultado da autenticação do host: Aprovado, Falha, Não disponível ou
Ignorar resultado
■ Resultado da autenticação do usuário: Aprovado, Falha, Não disponível
ou Ignorar resultado
■ Resultado da verificação da política: Aprovado, Falha, Não disponível ou
Ignorar resultado
9 Clique em OK.
clique em OK.
Seleção de diferentes ações

Você pode selecionar as diferentes ações que o alternador compatível com 802.1x
poderá tomar quando determinados critérios forem cumpridos:
Para selecionar uma condição de Autenticação do host, Autenticação do usuário

ou Verificação de política
Administrador.
Política de switch, clique na política de switch cujas ações você deseja
modificar.
6 Clique em Editar.
7 Na guia Ação, clique em qualquer uma das ações que você deseja mudar na
coluna Ação.
8 Selecione algumas das seguintes ações que o alternador compatível com
802.1x precisa tomar quando determinados critérios forem cumpridos:
■ Abrir porta
O alternador compatível com 802.1x permite acesso à rede na VLAN padrão
ao qual a porta normalmente é atribuída. Também permite acesso à rede
na VLAN que é especificada em um atributo enviado do servidor RADIUS.
Portanto, o suporte a usuários que têm acesso à VLAN se baseia no ID do
usuário e na função do usuário.
A ação padrão é Abrir porta.
■ Alternar para teste de VLAN.
Permite acesso à VLAN especificada. As VLANs disponíveis para seleção
são aquelas configuradas anteriormente.
■ Fechar porta
Nega acesso à rede na VLAN padrão ou na VLAN específica do RADIUS.
Em alguns modelos de alternador, conforme a configuração, a porta é
atribuída a uma VLAN convidada.
9 Clique em OK.
clique em OK.
Uso das configurações avançadas do appliance LAN Enforcer
Uso das configurações avançadas do appliance LAN

Enforcer
É possível definir as seguintes configurações avançadas do appliance LAN Enforcer:
■ Permitir um cliente legado.
Consulte “Permissão para um cliente legado se conectar à rede com um
appliance LAN Enforcer” na página 1039.
■ Ativar a autenticação local.
Consulte “Ativação da autenticação local no appliance LAN Enforcer”
na página 1040.
■ Adicione/Edite/Remova/Importe/Exporte endereços MAC VLAN associadas
para o MAC Authentication Bypass.
Consulte “Configuração de endereços MAC e desvio da autenticação MAC (MAB)
no LAN Enforcer” na página 1041.
■ Ativando o protocolo SNTP e o servidor que fornece o serviço.
■ Ativando o período de intervalo e a verificação de integridade do servidor de
gerenciamento.
Detalhes sobre a implementação de cada uma dessas configurações são exibidos
na página de ajuda contextual das configurações avançadas do appliance LAN
Enforcer.
Permissão para um cliente legado se conectar à rede com um appliance

LAN Enforcer
Você pode permitir que um appliance LAN Enforcer se conecte aos clientes legados
5.1.x. Se sua rede oferecer suporte a um Symantec Endpoint Protection Manager
11.0.2, um appliance Symantec LAN Enforcer, e precisar oferecer suporte aos
clientes legados 5.1.x, você poderá ativar o suporte de clientes legados 5.1.x no
console do servidor de gerenciamento para que o appliance Symantec LAN Enforcer
não os bloqueie.
Consulte “Uso das configurações avançadas do appliance LAN Enforcer”
na página 1039.
Para permitir que um cliente legado se conecte à rede com um appliance LAN
Enforcer
3 Selecione e expanda o grupo de appliances LAN Enforcer.
Uso das configurações avançadas do appliance LAN Enforcer

5 Na caixa de diálogo Configurações, na guia Avançado, selecione Permitir
clientes legados.
6 Clique em OK.
Ativação da autenticação local no appliance LAN Enforcer

Se um appliance LAN Enforcer perder sua conexão com o computador no qual o
Symantec Endpoint Protection Manager está instalado, o appliance LAN Enforcer
poderá autenticar o cliente localmente.
na página 1039.
Para ativar a autenticação local no appliance LAN Enforcer
Administrador.
3 Selecione e expanda o grupo de appliances LAN Enforcer.
4 Selecione o grupo do appliance LAN Enforcer para o qual você quer ativar a
6 Na caixa de diálogo Configurações de LAN, na guia Avançado, selecione
Ativar a autenticação local.
7 Clique em OK.
Ativação das atualizações do horário do sistema para o appliance

Enforcer usando o Network Time Protocol
Com o Network Time Protocol (NTP) ativado, os relógios do appliance Enforcer
podem ser atualizados para o horário correto. Esta configuração é desativada por
padrão, mas pode ser substituída se estiver especificada em uma política de grupo.
na página 1039.
Para ativar atualizações do horário para o appliance LAN Enforcer do Symantec
Configuração de endereços MAC e desvio da autenticação MAC (MAB) no LAN Enforcer
3 Em Servidores, selecione e expanda o grupo de appliances LAN Enforcer.

5 Na guia Avançado, selecione Ativar o Network Time Protocol.
6 Digite o endereço IP ou o nome de domínio totalmente qualificado do servidor
NTP.
7 Clique em OK.
No console do Enforcer, é possível temporariamente mudar esta configuração
para ajudar a solucionar problemas de sincronização de hora. Na linha de comando
do console do Enforcer, digite
Enforcer (configure)# ntp.
Nota: Se você havia ativado o NTP em uma versão anterior do Symantec Endpoint
Protection, essa configuração será perdida quando você fizer upgrade. Você deve
ativar o NTP novamente.
Configuração de endereços MAC e desvio da

autenticação MAC (MAB) no LAN Enforcer
Você pode alterar as configurações de autenticação do MAC em um servidor de
gerenciamento. O download das configurações é feito automaticamente do servidor
de gerenciamento para o appliance LAN Enforcer durante a próxima pulsação.
Para configurar endereços MAC e o desvio da autenticação do MAC no LAN Enforcer
4 Selecione o LAN Enforcer.
6 Abra a guia Avançado.
7 Na lista suspensa à esquerda, selecione Desvio da autenticação MAC e clique
em Ativar.
8 Na caixa de diálogo Configurações, na guia Avançado, em Endereço MAC,
Uso da autenticação 802.1x
9 Na caixa de diálogo Adicionar host confiável, digite o endereço MAC do

cliente ou do host confiável no campo Endereço MAC do host.
Ao especificar um endereço MAC, é possível usar um caractere curinga, mas
somente se digitá-lo em todos os três campos à direita.
Por exemplo, 11-22-23-*-*-* representa o uso correto do caractere curinga.
No entanto, 11-22-33-44-*-66 não representa o uso correto do caractere
curinga.
Um conjunto de endereços MAC pode ser copiado de um arquivo de texto.
Nota: A Symantec suporta o seguinte formato para importações: endereço

MAC único e endereço MAC com máscara.
Para importar endereços MAC, clique em Importar. Especifique o arquivo na

caixa de diálogo Importar endereço MAC do arquivo.
Para exportar endereços MAC, destaque diversos endereços MAC e clique em
Exportar. Especifique o arquivo na caixa de diálogo Exportar endereço MAC
para o arquivo.
10 Clique em OK.

Se a rede da empresa usar um LAN Enforcer para autenticação, você deverá
configurar o computador-cliente para executar a autenticação IEEE 802.1x.
O processo de autenticação 802.1x abrange as seguintes etapas:
■ Um cliente não autenticado ou suplicante de terceiros envia as informações
do usuário e de conformidade a um alternador de rede 802.11 gerenciado.
■ O alternador de rede retransmite as informações para o appliance LAN Enforcer.
O appliance LAN Enforcer envia as informações do usuário para o servidor de
autenticação para que esta ocorra. O servidor RADIUS é o servidor de
autenticação.
■ Se o cliente falhar na autenticação em nível de usuário ou não estiver em
conformidade com a Política de integridade do host, o Enforcer poderá bloquear
o acesso à rede. O appliance LAN Enforcer coloca o computador-cliente que
não está em conformidade na rede, de acordo com a tabela Ação do alternador
onde o computador pode ser reparado.
■ Após o cliente corrigir o computador e deixá-lo em conformidade, o protocolo
802.1x autentica novamente o computador e concede ao mesmo acesso à rede.
Para trabalhar com o appliance LAN Enforcer, o cliente pode usar um suplicante
de terceiros ou integrado.
A Tabela 49-2 descreve os tipos de opções que você pode configurar para a
autenticação 802.1x.
Tabela 49-2 Opções da autenticação 802.1x
Opção Descrição
Suplicante de Usa um suplicante 802.1x de terceiros.

terceiros
O appliance LAN Enforcer funciona com um servidor RADIUS e
suplicantes 802.1x de terceiros para fazer a autenticação dos usuários.
O suplicante 802.1x solicita as informações do usuário, que o LAN
Enforcer transmite para o servidor RADIUS para autenticação em
nível do usuário. O cliente envia o perfil do cliente e o status de
integridade do host ao appliance LAN Enforcer de modo que
computador seja autenticado.
Nota: Se você deseja usar um cliente do Symantec Network Access
Control com um suplicante de terceiros, é necessário instalar o módulo
de Proteção contra ameaças à rede do cliente Symantec Network Access
Control.
Para usar um suplicante 802.1x de terceiros você deve:
■ Configurar o alternador 802.1x para usar o appliance LAN Enforcer

como o servidor RADIUS para que o alternador encaminhe os
pacotes de autenticação para o appliance LAN Enforcer.
■ Adicionar o appliance LAN Enforcer como um cliente do servidor
RADIUS para que ele aceite solicitações do appliance LAN Enforcer.
■ No console, você deve especificar as informações do servidor
RADIUS e ativar a autenticação 802.1x para os clientes.
Opção Descrição
Modo transparente Usa o cliente para ser executado como suplicante 802.1x.
Use esse método se não quiser usar um servidor RADIUS para fazer
a autenticação do usuário. O appliance LAN Enforcer é executado no
modo transparente e atua como pseudo-servidor RADIUS.
O modo transparente significa que o suplicante não solicitará

informações do usuário. No modo transparente, o cliente atua como
suplicante 802.1x. O cliente responderá ao estímulo EAP do alternador
com o perfil do cliente e o status da integridade do host. O alternador,
por sua vez, encaminhará as informações ao appliance LAN Enforcer,
que atuará como pseudo-servidor RADIUS. O appliance LAN Enforcer
valida a integridade do host e as informações do perfil do cliente
provenientes do alternador e pode permitir, bloquear ou atribuir
dinamicamente um VLAN, conforme adequado.
Nota: Para usar um cliente como suplicante 802.1x, você deverá
desinstalar ou desativar suplicantes 802.1x de terceiros no
computador-cliente.
No modo transparente, você pode deixar em branco as informações

sobre o servidor RADIUS na caixa de diálogo de configurações do LAN
Enforcer. O endereço IP do servidor RADIUS é definido como 0 e
nenhuma autenticação de usuário EAP tradicional é executada.
Suplicante Usa o suplicante 802.1x integrado do computador-cliente.

integrado
Os protocolos de autenticação integrados incluem Smart Card, PEAP
ou TLS. Após ativar a autenticação 802.1x, você ou os usuários deverão
especificar qual protocolo de autenticação será usado.
Aviso: Você deve saber se a rede da empresa utiliza o servidor RADIUS como
servidor de autenticação. Se você configurar a autenticação 802.1x incorretamente,
a conexão à rede pode ser interrompida.
Nota: Para permitir que o usuário configure a autenticação de 802.1x no cliente,

é necessário definir cliente para controle do cliente.

Para configurar o cliente para usar o modo transparente ou um suplicante integrado
2 Em Exibir clientes, selecione o grupo de clientes que você deseja que execute
a autenticação 802.1x.

4 Na guia Configurações de segurança, marque Ativar autenticação 802.1x.
5 Selecione Usar o cliente como suplicante 802.1x.
■ Para selecionar o modo transparente, selecione Usar modo transparente
Symantec.
■ Para permitir que o usuário configure um suplicante integrado, selecione
Permitir que o usuário selecione o protocolo de autenticação.
Os usuários escolhem o protocolo de autenticação para a conexão com a
rede.
7 Clique em OK.
Para configurar o cliente para usar um suplicante de terceiros
2 Em Exibir clientes, selecione o grupo de clientes que você deseja que execute
a autenticação 802.1x.
4 Na guia Configurações de segurança, marque Ativar autenticação 802.1x.
5 Clique em OK.
É possível configurar o cliente para usar o suplicante integrado. Ative o cliente
para autenticação 802.1x e como suplicante 802.1x.
Sobre a reautenticação no computador-cliente

Se o computador-cliente aprovou a verificação de integridade do host mas o
Enforcer bloqueia o computador, os usuários poderão precisar reautenticar seus
computadores. Em circunstâncias normais, os usuários nunca deveriam precisar
reautenticar o computador.
O Enforcer poderá bloquear o computador quando ocorrer um dos seguintes
eventos:
■ O computador-cliente falhou na autenticação do usuário porque os usuários
digitaram o nome do usuário ou a senha incorretamente.
■ O computador-cliente está na VLAN incorreta.
■ O computador-cliente não obtém uma conexão de rede. A conexão de rede
quebrada geralmente ocorre porque a alternância entre o computador-cliente
e o LAN Enforcer não autenticou o nome de usuário e a senha.
■ Os usuários precisam conectar-se a um computador-cliente que tenha

autenticado um usuário anterior.
■ O computador-cliente falhou na verificação de conformidade.
Os usuários podem reautenticar o computador somente se você configurou o
computador com um suplicante integrado. O menu de atalho no ícone da área de
notificação do computador-cliente exibe um comando de reautenticação.
Consulte “Uso da autenticação 802.1x” na página 1042.
Capítulo 50
Para configurar Enforcers
no Symantec Endpoint
Protection Manager
■ Sobre o gerenciamento de Enforcers no console do servidor de gerenciamento
■ Sobre o gerenciamento de Enforcers na página Servidores
■ Sobre os grupos do Enforcer
■ Sobre as informações do Enforcer que são exibidas no console do Enforcer
■ Exibição das informações sobre o Enforcer no console de gerenciamento
■ Alteração do nome e da descrição de um Enforcer
■ Exclusão de um Enforcer ou de um grupo do Enforcer
■ Exportação e importação das configurações do grupo do Enforcer
■ Mensagens pop-up para clientes bloqueados
■ Sobre as configurações do cliente e o Enforcer
■ Configuração de clientes para usar uma senha a fim de interromper o serviço

do cliente
■ Sobre relatórios e logs do Enforcer
■ Definição das configurações do log do Enforcer

1048 Para configurar Enforcers no Symantec Endpoint Protection Manager
Sobre o gerenciamento de Enforcers no console do servidor de gerenciamento
Sobre o gerenciamento de Enforcers no console do

As configurações do Symantec Enforcer no console do servidor de gerenciamento
ajudam a configurar o Enforcer, suas interações de autenticação e interações de
aplicação com os clientes. Antes de definir as configurações do Enforcer no console,
conclua a instalação e a configuração do Enforcer no computador ou appliance
Enforcer.
As configurações do Enforcer no console do Symantec Endpoint Protection
Manager dependem do tipo de appliance Enforcer que você configura: Gateway
ou LAN. Portanto, as configurações de cada um serão tratadas separadamente.
A maior parte da configuração e administração do Enforcer é feita no console.
Muitas configurações do Enforcer podem ser alteradas somente no console.
Entretanto, algumas configurações do Enforcer exigem a edição de um arquivo
do Enforcer no computador e não no console. Quase todas as configurações dos
Enforcers são feitas na página Servidores no console. O LAN Enforcer tem algumas
configurações adicionais necessárias na página Políticas.
Se você administrar vários Enforcers e for responsável por outras tarefas, será
mais conveniente administrá-los em um local centralizado. O console oferece esse
recurso. É possível fazer login em um console para exibir informações sobre todos
os Enforcers.
É necessário executar algumas tarefas no computador no qual o Enforcer está
instalado. As tarefas incluem o uso do console local do Enforcer em vez das tarefas
do console de gerenciamento e das tarefas de manutenção. Por exemplo, os
problemas de conexão entre o Enforcer e um console são solucionados no próprio
Enforcer. Para definir o problema, poderá ser necessário verificar fisicamente o
status do hardware do computador com o Enforcer ou alterar a conexão de rede.
Esse capítulo não inclui informações sobre como configurar o cliente do Symantec
Enforcer, que é um componente isolado do Enforcer.
Sobre o gerenciamento de Enforcers na página

Servidores
A página Servidores no console de gerenciamento relaciona os Enforcers
instalados, além de servidores e consoles conectados, no painel Exibir servidores.
Todos os Enforcers são relacionados sob um nome de grupo. Edite as propriedades
do Enforcer no nível do grupo.
Para configurar Enforcers no Symantec Endpoint Protection Manager 1049
Sobre os grupos do Enforcer
Consulte “Alteração do nome e da descrição de um Enforcer” na página 1052.

São necessários privilégios totais de administrador do sistema para exibir a página
Servidores.

A configuração do Enforcer no console é feita em nível de grupo e não em nível
individual. Os Enforcers são relacionados sob um nome de grupo na página
Servidores do console.
Os grupos do Enforcer são uma maneira de sincronizar configurações do Enforcer.
Todos os Enforcers de um grupo compartilham as mesmas configurações
(propriedades). Para atualizar as propriedades do Enforcer, será necessário
selecionar o nome do grupo no painel Servidores e editar as propriedades do
grupo.
Consulte “Configuração de um nome de grupo do Enforcer no console do Symantec
Integrated Enforcer for Microsoft Network Access Protection” na página 1122.
Como o console determina o nome do grupo do Enforcer

Durante a configuração da conexão do console no console local do Enforcer, é
possível especificar um nome de grupo. O Enforcer se registrará no console após
estabelecer a conexão. O console atribuirá automaticamente o Enforcer ao grupo
especificado e o relacionará sob o nome do grupo no painel Servidores) do console.
Se um nome não for especificado durante a configuração, o console atribuirá o
Enforcer a um grupo de Enforcers padrão. O console usará o nome de grupo do
computador com o Enforcer.
Consulte “Configuração de um nome de grupo do Enforcer no console do Symantec
Integrated Enforcer for Microsoft Network Access Protection” na página 1122.
Sobre os grupos de failover do Enforcer

O novo Enforcer identifica-se no console como Enforcer de failover em espera.
Esta identificação acontece se você adicionar um Gateway Enforcer do failover
que se conecte por um hub ou por um alternador à mesma sub-rede. Em seguida,
o console atribui o novo Enforcer de failover em modo de espera ao mesmo grupo
do Enforcer ativo. A atribuição ocorrerá independentemente de você ter
especificado um nome para o grupo durante a instalação no console local. Essa
ação assegura que o Gateway Enforcer do failover tenha exatamente as mesmas
configurações que o Enforcer principal.

na página 938.
Nos LAN Enforcers, o failover é tratado por meio do alternador, e não por meio
do Enforcer. Dessa maneira a atribuição automática no mesmo grupo não ocorre.
É possível garantir que vários LAN Enforcers compartilhem configurações.
Especifique o mesmo nome do grupo no console local do Enforcer, na caixa de
diálogo Configurações do console.
Consulte “Planejamento da instalação de um appliance LAN Enforcer”
na página 985.
Sobre a alteração de um nome de grupo

Não é possível alterar o nome do grupo do Enforcer no console. Entretanto, é
possível especificar um novo nome para o grupo no console local do Enforcer. O
Enforcer será movido para o novo grupo. Poderá ser necessário atualizar a tela
do console para ver a alteração.
Consulte “Como o console determina o nome do grupo do Enforcer” na página 1049.
Sobre a criação de um grupo do Enforcer

Geralmente, é necessário criar um novo grupo do Enforcer somente se você
adiciona um Enforcer que exija configurações diferentes que as dos Enforcers
existentes.
É possível criar um grupo do Enforcer no console local do Enforcer especificando
o novo nome na caixa de diálogo Configurações do console. O novo grupo terá as
configurações padrão do Enforcer
É possível deixar o campo com o nome do grupo em branco ao conectar o novo
Enforcer no console local. Nesse caso, o console atribuirá o Enforcer a um novo
grupo. Esse grupo adotará o nome do computador com o Enforcer e suas
É possível usar o mesmo método para mover um Enforcer para outro grupo.
Especifique o nome desejado para o grupo no console local do Enforcer. O Enforcer
adotará as configurações do grupo para o qual foi movido.
Consulte “Adição ou edição do nome de um grupo do appliance LAN Enforcer com
um LAN Enforcer” na página 999.
Consulte “Adição ou edição do nome de um grupo do Enforcer para o Symantec
Network Access Control Integrated Enforcer” na página 1093.
Sobre as informações do Enforcer que são exibidas no console do Enforcer
Sobre as informações do Enforcer que são exibidas

no console do Enforcer
É possível exibir informações sobre o Enforcer no console do Enforcer.
É possível alterar as configurações das placas de interface de rede somente no
appliance Enforcer, não no console de gerenciamento. Se forem feitas alterações
na configuração da NIC no appliance Enforcer, as novas configurações serão
transferidas ao console de gerenciamento durante a próxima pulsação.
Consulte “Exibição das informações sobre o Enforcer no console de gerenciamento”
na página 1052.
A Tabela 50-1 descreve o tipo de informação que pode ser exibida.
Tabela 50-1 Informações sobre o appliance Enforcer no console de

gerenciamento
Campo Descrição
Nome Igual ao campo Nome do host.
Descrição Breve descrição do Enforcer. A descrição é a única informação que

pode ser editada no console de gerenciamento.
Versão Versão do software do Enforcer executada no computador Enforcer

selecionado.
Hostname Nome do computador em que o Enforcer está instalado.
Sistema Sistema operacional em execução no computador em que o Enforcer

operacional selecionado está instalado.
Status on-line On-line: o serviço está em execução e é o Enforcer ativo principal.
Off-line: o serviço foi interrompido.
Status de failover (Somente Gateway Enforcer) Se o Enforcer estiver ativo ou em modo

de espera.
IP interno Endereço IP da placa de rede interna.
IP externo (Somente Gateway Enforcer) Endereço IP da placa de interface de rede

externa.
MAC interno O endereço MAC da placa de interface de rede interna.
MAC externo (Somente Gateway Enforcer) O endereço MAC da placa de interface

de rede externa.
Exibição das informações sobre o Enforcer no console de gerenciamento
Campo Descrição
NIC interna Fabricante e modelo da placa de rede interna
NIC externa (Somente Gateway Enforcer) Fabricante e modelo da placa de interface

de rede externa.
Exibição das informações sobre o Enforcer no console

de gerenciamento
Você pode exibir informações sobre o Enforcer por meio de um console de
gerenciamento.
Consulte “Sobre as informações do Enforcer que são exibidas no console do
Para exibir as informações sobre o Enforcer no console de gerenciamento
1 No Console do Symantec Endpoint Protection Manager, na página
Administrador, clique em Servidores.
2 Em Servidores, clique no nome do Enforcer do qual você deseja exibir
informações.
As informações sobre o appliance LAN Enforcer não são exibidas nos campos
referentes ao NIC externo porque o appliance LAN Enforcer somente exige
um NIC interno. O status de failover não é exibido porque um alternador
gerencia o failover do LAN Enforcer.
Alteração do nome e da descrição de um Enforcer

O nome do Enforcer é sempre o nome do host do appliance ou do computador em
que está instalado. O nome do Enforcer pode ser alterado somente por meio da
alteração do nome de host do computador.
É possível alterar a descrição do Enforcer no console. Por exemplo, convém inserir
uma descrição para identificar o local do Enforcer.
Para alterar a descrição de um Enforcer
2 Em Servidores, clique no nome do Enforcer e, em seguida, em Tarefas, clique
em Editar propriedades do Enforcer. A caixa de diálogo Propriedades será
exibida. O campo Nome não é editável.
Exclusão de um Enforcer ou de um grupo do Enforcer
3 Insira o texto desejado na caixa de texto Descrição.

4 Clique em OK.
Também é possível editar a descrição do Enforcer clicando com o botão direito
do mouse no nome do Enforcer e selecionando Propriedades.
Exclusão de um Enforcer ou de um grupo do Enforcer

Você pode excluir Enforcer no console de gerenciamento. Quando um Enforcer é
excluído, ele libera uma licença porque o computador não está mais executando
um Enforcer. Não será possível excluir um Enforcer no console enquanto ele
estiver online. É possível desligar o Enforcer e excluí-lo. Quando o computador
com o Enforcer é reiniciado, o Enforcer reconecta-se ao console. O Enforcer
registra-se e é exibido novamente na página Servidores. Para excluir um Enforcer
definitivamente do console, primeiro desinstale-o do computador.
Para excluir um grupo do Enforcer depois de desinstalá-lo de um computador do
Enforcer
1 Desligue ou desinstale o Enforcer do computador.
3 Em Servidores, clique no nome do Enforcer e, em seguida, em Tarefas, clique
em Excluir Enforcer. Uma caixa de mensagem solicitará a confirmação da
exclusão.
4 Para confirmar a exclusão, clique em Sim.
Se não houver Enforcers relacionados no grupo do Enforcer e você não quiser
mais usar esse grupo, poderá excluí-lo. O grupo não deve mais conter nomes
de Enforcers para que seja possível excluir. Ao excluir um grupo do Enforcer,
você exclui todas as configurações personalizadas do grupo.
Para excluir um grupo do Enforcer
1 No console do Symantec Endpoint Protection, clique em Admin.
Na página Administrador, clique em Servidores.
2 Em Servidores, clique no nome do grupo do Enforcer.
3 Clique em Excluir grupo.
Uma caixa de mensagem solicitará a confirmação da exclusão.
4 Para confirmar a exclusão, clique em Sim.
Exportação e importação das configurações do grupo do Enforcer
Exportação e importação das configurações do grupo

do Enforcer
É possível exportar ou importar configurações em um grupo do Enforcer. As
configurações são exportadas para um arquivo no formato .xml. Ao importar
configurações, é preciso importá-las para um grupo existente do Enforcer,
sobrescrevendo as configurações do grupo selecionado.
Para exportar configurações do grupo do Enforcer
2 Em Servidores, clique no nome do grupo do Enforcer e, em seguida, em
Exportar propriedades do grupo.
3 Selecione um local onde salvar o arquivo e especifique um nome para o mesmo.
4 Clique em Salvar.
Para importar configurações do grupo do Enforcer
2 Em Servidores, clique no nome do grupo do Enforcer cujas configurações
você deseja sobrescrever e clique em Importar propriedades do grupo.
3 Selecione o arquivo que você quer importar e clique em Abrir.
Você será solicitado a confirmar a substituição das propriedades atuais do
grupo do Enforcer.
4 Clique em Sim.
Mensagens pop-up para clientes bloqueados

Quando um Enforcer bloquear um cliente que tentar conectar-se à rede, estes dois
tipos de mensagens pop-up podem ser configurados:
■ Mensagem dos computadores que executam um cliente
■ Mensagem dos computadores com Windows que não estão executando um
cliente (somente Gateway Enforcer)
Mensagens dos computadores que executam o cliente

Pode haver várias razões para que o Enforcer bloqueie computadores, mesmo que
eles estejam executando um cliente. O bloqueio pode ocorrer porque uma
Mensagens pop-up para clientes bloqueados
verificação de integridade do host falhou ou porque a política do cliente não está

atualizada. Quando esses eventos ocorrem, é possível especificar que uma
mensagem pop-up seja exibida no cliente. Essa mensagem notifica o usuário de
que o Enforcer bloqueou todo o tráfego do cliente e porque ele foi bloqueado. Por
exemplo, a mensagem a seguir será exibida se o cliente não passar na verificação
de integridade do host:
Symantec Enforcer has blocked all traffic from the client because
the client failed Host Integrity. (O Symantec Enforcer bloqueou todo o tráf
É possível adicionar texto à mensagem padrão. Por exemplo, você pode informar
ao usuário do computador o que fazer para corrigir a situação. Configure essa
mensagem como parte das configurações da política de grupo de clientes em vez
das configurações do Enforcer.
Mensagens dos computadores com Windows que não estão executando

o cliente (somente Gateway Enforcer)
Em alguns casos, os clientes tentam conectar-se à rede empresarial sem executar
o cliente. O Gateway Enforcer fornece uma mensagem pop-up para informar aos
usuários de computadores com Windows sobre a necessidade de instalação do
software-cliente. A mensagem informará aos clientes que eles estão impedidos
de acessar a rede porque o cliente da Symantec não está em execução. É possível
configurar o conteúdo da mensagem na guia Autenticação da caixa de diálogo
Enforcer Settings (Configurações do Enforcer). Use a opção Ativar mensagem
pop-up no cliente se ele não estiver sendo executado.
Nota: Uma alternativa à mensagem pop-up é a opção redirecionamento HTTP. A

opção HTTP Redirect (Redirecionamento do HTTP) conectará o cliente a um site
com instruções ou recursos para correção.
Para que o Enforcer faça com que o cliente exiba uma mensagem, as portas UDP
137 e 138 deverão estar abertas para a transmissão da mesma.
O Windows Messaging, também denominado Messenger, deve estar em execução
nos sistemas baseados em Windows NT (Windows NT 4.0, 2000, XP e Windows
Server 2003) para que o computador exiba mensagens pop-up. Se o cliente estiver
em execução, o Windows Messaging não será necessário para exibição de
mensagens pop-up do cliente.
Sobre as configurações do cliente e o Enforcer
Configuração das mensagens do Enforcer

Você pode configurar as mensagens do Enforcer que são exibidas nos clientes
quando o Enforcer bloqueia os clientes.
Nota: É possível modificar as configurações somente dos grupos não herdados de

um grupo-pai.
Para configurar as mensagens do Enforcer

1 No Console do Symantec Endpoint Protection Manager, na página Clientes,
selecione a guia Políticas.
2 No painel Exibir políticas, selecione o grupo para o qual deseja especificar
uma mensagem pop-up.
3 Em Configurações, selecione Configurações gerais. A caixa de diálogo
Configurações de grupo será exibida com a guia Configurações gerais
selecionada.
4 Na guia Configuraçõesdesegurança, selecione Exibirumamensagemquando
um cliente estiver bloqueado por um Symantec Enforcer.
5 Se você quiser adicionar texto na mensagem padrão, clique em Definir texto
adicional, digite o texto e clique em OK.
6 Clique em OK.
Sobre as configurações do cliente e o Enforcer

Os clientes da Symantec trabalham com o Enforcer sem configurações especiais.
A exceção está em algumas configurações da autenticação 802.1x requerida para
o LAN Enforcer.
Configuração de clientes para usar uma senha a fim

de interromper o serviço do cliente
O cliente pode passar inicialmente na autenticação do Enforcer, enquanto o cliente
está em execução e receber uma configuração normal de rede e endereço IP. Se o
cliente não falhar na autenticação mais tarde, o Enforcer enviará uma mensagem
ao cliente. Esta falha faz com que o cliente libere e renove o endereço IP. No
entanto, se o usuário final interromper o cliente no computador-cliente, o Enforcer
será desativado para aplicar a versão e renovação. Para garantir que o Enforcer
possa continuar a colocar em quarentena ou bloquear clientes, talvez você queira
Sobre relatórios e logs do Enforcer
restringir os usuários que podem interromper um cliente. Você pode restringir

os usuários ao exigir uma senha para o usuário final interromper o cliente.
Para configurar clientes para usar uma senha a fim de interromper o serviço do
cliente
1 No Console do Symantec Endpoint Protection Manager, na página Cliente,
selecione o grupo do cliente.
3 Na guia Configurações de segurança, em Proteção por senha do cliente,
selecione Exigir uma senha para interromper o serviço do cliente e
especifique a senha.
4 Clique em OK.
Sobre relatórios e logs do Enforcer

Os relatórios e logs do Enforcer permitem exibir atividades do cliente do Enforcer
e a forma como os Enforcers circulam em seu sistema. Para obter informaçőes
detalhadas acerca dos relatórios e logs de tipos e como exibi-los, consulte a Ajuda
A página Relatórios no console do Symantec Endpoint Protection Manager fornece
relatórios predefinidos e personalizados. Você pode exibir Relatórios rápidos
predefinidos que contêm informações sobre Enforcers na página Relatórios.
Estes relatórios do Enforcer estão disponíveis:
■ O relatório do sistema denominado Enforcers principais que geram erros
contém informações sobre os Enforcers que geraram erros e avisos.
■ O relatório do sistema denominado Status do site contém informações sobre
a taxa de transferência do sistema Enforcer, tráfego e log de pacotes.
■ Os relatórios de conformidade contêm informações sobre o status de
conformidade dos clientes.
Os logs do Enforcer incluem os dados que você pode usar para monitorar e
solucionar problemas de atividade do sistema:
Os seguintes tipos de log do Enforcer estão disponíveis:
■ Log do servidor do Enforcer Este log contém as informações relacionadas ao
funcionamento de um Enforcer.
■ Log do cliente do Enforcer. Este log contém as informações sobre as interações
entre um Enforcer e os clientes que tentam se conectar à rede.
Definição das configurações do log do Enforcer
■ Log de tráfego do Enforcer (somente Gateway Enforcer) Este log registra todo
o tráfego que entra pelo adaptador externo e sai pelo adaptador interno do
appliance Gateway Enforcer.
■ Log de atividade do Enforcer Este log contém as informações sobre eventos,
como quando Enforcers são iniciados e quando se conectam ao Symantec
Os logs do Enforcer são armazenados por padrão no mesmo computador em que
o software Enforcer é instalado ou no próprio appliance Enforcer. Você pode fazer
com que os logs sejam enviados automaticamente do appliance Enforcer ou do
computador em que você instalou o Integrated Enforcer ao console do Symantec
Endpoint Protection Manager. Porém, é necessário ativar o envio dos logs no
Os dados de log são enviados do Enforcer para o Symantec Endpoint Protection
Manager e armazenados no banco de dados. Você pode modificar as configurações
de log do Enforcer, exibir logs do Enforcer e gerar relatórios sobre os Enforcers
no console do Symantec Endpoint Protection Manager. As atividades são
registradas no mesmo log do servidor do Enforcer para todos os Enforcers em um
site.
Para obter informaçőes detalhadas acerca dos tipos de relatórios e logs e sobre
como exibi-los, consulte a Ajuda do Symantec Endpoint Protection Manager.
Consulte “Definição das configurações do log do Enforcer” na página 1058.

Você pode configurar definições para os logs do Enforcer na caixa de diálogo Nome
do EnforcerConfigurações, na guia Registrar em log. As alterações serão enviadas
para o Enforcer selecionado durante a próxima pulsação.
Para configurar os logs do Enforcer
Administrador.
3 Em Servidores, selecione o grupo do Enforcer no qual você deseja mudar as
configurações de log.
5 Na caixa de diálogo Nome do EnforcerConfigurações, na guia Registro em
log, mude qualquer um dos seguintes itens:
Desativar o registro em log do Enforcer Desmarque Ativar registro de log para cada
no console do Symantec Endpoint log que você deseja desativar.
Protection Manager
Ativar o envio dos logs do Enforcer de Selecione Enviar o log ao servidor de

um Enforcer para o Symantec Endpoint gerenciamento.
Protection Manager
Configurar o tamanho e a idade dos logs Em cada um dos campos Tamanho máximo
do arquivo de log, especifique o número de
kilobytes de dados que serão mantidos em
cada log.
No campo A entrada de log vai expirar após,

especifique o número de dias que a entrada
permanecerá no banco de dados antes de ser
removida. A faixa é de 1 a 365 dias.
Filtrar o log de tráfego do Enforcer Selecione uma das opções de filtro a seguir:
■ Todo o tráfego para registrar em log todo

o tráfego, incluindo o tráfego permitido
e o descartado.
■ Somente tráfego bloqueado para
registrar em log apenas os clientes
bloqueados pelo Enforcer.
■ Somente tráfego permitido para
registrar em log apenas o tráfego
permitido pelo Enforcer.
6 Clique em OK.
Como desativar o registro em log do Enforcer no console do Symantec

O registro em log do Enforcer é ativado por padrão. Você pode desativá-lo no
console do Symantec Endpoint Protection Manager. Se os logs estiverem
desativados, é possível ativá-los nesse mesmo local.
Para desativar o registro em log do Enforcer no console do Symantec Endpoint
Protection Manager
Administrador.
3 Em Servidores, selecione o grupo do Enforcer no qual deseja desativar o

registro em log do Enforcer.
5 Na caixa de diálogo Configurações do nome do Enforcer, na guia Registro em
log, desmarque Ativar log em todos os logs que queira desativar.
6 Clique em OK.
Como ativar o envio dos logs do Enforcer de um Enforcer para o

Por padrão, todos os logs são enviados automaticamente do appliance Enforcer
ou do computador em que você instalou qualquer software baseado no Integrated
Enforcer para o Symantec Endpoint Protection Manager. Assim que você ativar
o envio dos logs, será possível exibir todos os logs da Symantec em um local central
no console do Symantec Endpoint Protection Manager.
Para ativar o envio dos logs do Enforcer de um Enforcer ao Symantec Endpoint
Protection Manager
Administrador.
3 Em Servidores, selecione o grupo do Enforcer para o qual você deseja ativar
o envio de logs do Enforcer de um Enforcer a um Symantec Endpoint
Protection Manager.
log, marque Enviar o log ao servidor de gerenciamento.
Você pode ativar o envio de cada tipo de log de um appliance Enforcer ou de
um computador em que você instalou qualquer software baseado no Integrated
Enforcer para o Symantec Endpoint Protection Manager.
6 Clique em OK.
Configuração do tamanho e do prazo dos logs do Enforcer

É possível especificar o tamanho máximo dos arquivos de log do Enforcer e por
quantos dias as entradas serão armazenadas.
Para configurar o tamanho e a idade de logs do Enforcer

Administrador.
3 Em Servidores, selecione o grupo do Enforcer no qual deseja definir o tamanho
e a idade dos log do Enforcer.
log, em cada um dos campos Tamanho máximo do arquivo de log, especifique
o número de KB de dados a serem mantidos em cada log.
Você pode digitar um tamanho entre 64 KB e 2 GB. A configuração padrão é
512 KB.
6 No campo A entrada de log vai expirar após, especifique o número de dias
que a entrada permanecerá no banco de dados antes de ser removida.
O intervalo é de 1 dia a 365 dias, com o padrão de 30 dias.
7 Clique em OK.
Filtragem dos logs de tráfego de um Enforcer

Se houver muitos clientes conectando-se por um Enforcer, ele poderá gerar um
extenso log de tráfego. É possível filtrar o tipo de dados registrados pelo Enforcer
no log de tráfego e assim reduzir o tamanho médio do mesmo. A lista de filtros
permite filtrar o tráfego que logs do Enforcer fazem antes que os dados sejam
retidos.
Para filtrar os logs de tráfego de um Enforcer
Administrador.
3 Em Servidores, selecione o grupo do Enforcer no qual você deseja filtrar logs
de tráfego.

log, na lista Filtros do log de tráfego, selecione uma das seguintes opções de
filtro:
Todo o tráfego Registra todo o tráfego, incluindo o que é permitido e

o que é removido
Somente tráfego bloqueado Registra somente os clientes bloqueados pelo Enforcer
Somente tráfego permitido Registra somente o tráfego permitido pelo Enforcer
6 Clique em OK.
Para usar o servidor do syslog para monitorar o Enforcer

Você pode usar o recurso do syslog para registrar em log as mensagens do Enforcer.
Você pode especificar os seguintes aspectos:
■ Endereço IP do servidor do syslog
■ Nível da entrada do syslog
■ Limite de falha na autenticação
■ Intervalo de mensagens ativas
Para ativar mensagens de registro em log no syslog para um Enforcer
3 Em Servidores, selecione o grupo do Enforcer para o qual você quer ativar o
registro em log ao syslog.
5 Na guia Registro em log, na seção Syslog, selecione entre as seguintes opções:
Servidor Syslog Especifique o endereço IP do servidor

Syslog.
Nível O nível padrão de entrada do Syslog é

Informações. Os níveis incluem: Aviso e
Informações. Todos os logs mais sérios do
que o nível especificado são transferidos
por upload ao servidor de logs.
Limite de falha na autenticação Este parâmetro é definido em termos do

número de vezes multiplicado pelo
número de segundos. Quando a
autenticação falhar mais frequentemente
do que especificado, as seguintes
mensagens serão registradas em log.
Intervalo de mensagens ativas O Enforcer envia uma mensagem "viva"

ao servidor do Syslog em um intervalo
especificado em segundos. O valor padrão
é 1.800 segundos.
6 Clique em OK.
Capítulo 51
Introdução do Symantec
Integrated Enforcer
■ Sobre o Symantec Network Access Control Integrated Enforcer for Microsoft

DHCP Servers
■ Sobre o Symantec Network Access Control Integrated Enforcer for Microsoft

Sobre o Symantec Network Access Control Integrated

O Integrated Enforcer para servidores DHCP da Microsoft do Symantec Network
Access Control funciona em conjunto com o servidor do Protocolo de configuração
dinâmica de hosts (DHCP) da Microsoft. Ele verifica se os clientes que tentam se
conectar à rede estão em conformidade com as políticas de segurança configuradas.
O Integrated Enforcer for Microsoft DHCP Servers obtém segurança por meio da
interceptação e verificação de mensagens DHCP de cada cliente que recebe um
endereço IP dinâmico por meio do servidor DHCP. Ele, então, agrupa computadores
não protegidos em uma classe de quarentena e fornece recursos limitados
disponíveis, de acordo com as configurações de política estabelecidas.
Sobre o Symantec Network Access Control Integrated

Enforcer for Microsoft Network Access Protection
O Integrated Enforcer for Microsoft Network Access Protection (NAP) funciona
de acordo com o Microsoft Windows Network Policy Server (NPS) em um Microsoft
1066 Introdução do Symantec Integrated Enforcer
Sobre o Symantec Network Access Control Integrated Enforcer for Microsoft Network Access Protection
Windows Server 2008 e Windows Server 2008 R2. O Symantec Integrated NAP
Enforcer garante que os clientes que tentam se conectar à rede cumpram as
políticas de segurança configuradas.
O NAP restringe o acesso às redes criando um ambiente controlado. Ele verifica
a postura da segurança de um cliente antes que o cliente possa conectar-se à rede
corporativa. Se um cliente não estiver em conformidade, o NAP corrigirá a postura
de segurança ou limitará o acesso aos endpoints que não cumprirem a política de
segurança de uma empresa.
O Network Access Protection é uma tecnologia de criação, imposição e correção
de "política de integridade de segurança" do cliente que está incluída no sistema
operacional Windows Server 2008. Os administradores de sistemas podem criar
e automaticamente aplicar políticas de segurança. Estas políticas de integridade
de segurança podem incluir requisitos do software, requisitos da atualização de
segurança, configurações de computador necessárias e outras configurações. Aos
computadores-cliente que não estão em conformidade com uma política de
integridade de segurança pode ser fornecido acesso restrito à rede. Quando sua
configuração estiver atualizada e em conformidade com uma política, os clientes
terão acesso total à rede. Dependendo de como você implementar o NAP, os clientes
que não estiverem em conformidade podem automaticamente ser atualizados de
modo que os usuários recuperem o acesso total à rede, sem atualizar ou
reconfigurar seus computadores manualmente.
Nota: A Microsoft usa a “política de integridade de segurança” em sua

documentação para o Network Access Protection. A Symantec usa a “política de
segurança” e a “política de integridade do host” significando a mesma coisa.

Capítulo 52
Integrated Enforcer for
Microsoft DHCP Servers
■ Processo de instalação de um Symantec Network Access Control Integrated

■ Requisitos do sistema para o Integrated Enforcer para Microsoft DHCP Servers
■ Componentes para um Integrated Enforcer for Microsoft DHCP Servers
■ Requisitos de colocação para o Integrated Enforcer for Microsoft DHCP Servers
■ Noções básicas sobre a instalação de um Integrated Enforcer for Microsoft

DHCP Servers
■ Instalação do Integrated Enforcer for Microsoft DHCP Servers
Processo de instalação de um Symantec Network

Access Control Integrated Enforcer for Microsoft
DHCP Servers
A Tabela 52-1 relaciona as etapas para instalar o Symantec Network Access Control
Integrated Enforcer for Microsoft DHCP Servers.
1068 Para instalar o Symantec Network Access Control Integrated Enforcer for Microsoft DHCP Servers
Requisitos do sistema para o Integrated Enforcer para Microsoft DHCP Servers
Tabela 52-1 Resumo da instalação do Symantec Network Access Control

Integrated Enforcer for Microsoft DHCP Servers
Etapa 1 Leia os requisitos do sistema e de Identifica os componentes de hardware,

instalação. software e do Symantec Network Access
Control que você precisa obter para
executar o Enforcer e ajuda a planejar
sua colocação na rede.
Consulte “Requisitos do sistema para o

Integrated Enforcer para Microsoft
Consulte “Componentes para um

Servers” na página 1069.
Etapa 2 Instale o Symantec Endpoint Protection Instala o aplicativo que você usa para
Manager. suportar o Enforcer em sua rede.
Etapa 3 Instala e configura o Symantec Network Instala os componentes do Symantec

Access Control Integrated Enforcer for Network Access Control Integrated
Microsoft DHCP Servers. Enforcer for Microsoft DHCP Servers.
Consulte “Instalação do Integrated

Enforcer for Microsoft DHCP Servers”
na página 1073.
Requisitos do sistema para o Integrated Enforcer para

A Tabela 52-2 resume os requisitos mínimos para os computadores em que você
instala o Integrated Enforcer para servidores DHCP da Microsoft.
Para instalar o Symantec Network Access Control Integrated Enforcer for Microsoft DHCP Servers 1069
Componentes para um Integrated Enforcer for Microsoft DHCP Servers
Tabela 52-2 Requisitos do sistema do Integrated Enforcer para Microsoft DHCP

Servers
Hardware Para instalações de até 10.000 usuários, use os seguintes

requisitos recomendados:
■ Pentium III 750 MHz

■ 256 MB de memória
■ 120 MB de espaço em disco
■ Adaptadores de rede Fast Ethernet
■ Uma placa de interface de rede (NIC, Network Interface
Card) com TCP/IP instalado
Para instalações de 10.000 ou mais usuários, use os seguintes
■ Pentium 4 2,4 GHz

■ Adaptadores de rede de 1 GB
■ Monitor de resolução 800 x 600 com 256 cores (mínimo)
Sistema operacional O Integrated Enforcer exige que o servidor DHCP da Microsoft

e os seguintes sistemas operacionais de 32 e 64 bits estejam
instalados:
■ Windows Server 2003 Service Pack

■ Windows Server 2003 Service Pack 1
■ Windows Server 2003 x64
■ Windows Server 2008 x64
■ Windows Server 2008 R2
Componentes para um Integrated Enforcer for

O Integrated Enforcer for Microsoft DHCP Servers funciona com o servidor DHCP
da Microsoft, o Symantec Endpoint Protection Manager e o cliente Symantec
Network Access Control. Ele verifica se os clientes que tentam se conectar à rede
estão em conformidade com as políticas de segurança configuradas.
Requisitos de colocação para o Integrated Enforcer for Microsoft DHCP Servers
A Tabela 52-3 mostra os componentes que são necessários para usar o Integrated
Enforcer for Microsoft DHCP Servers:
Tabela 52-3 Componentes para o Symantec Network Access Control Integrated

Symantec Endpoint Protection Manager Cria políticas de segurança em um local

centralizado e as atribui para os clientes.
Cliente do Symantec Network Access Protege usuários finais aplicando as políticas de

Control segurança fornecidas pelo Integrated Enforcer
para servidores DHCP da Microsoft.
Servidor DHCP da Microsoft Fornece endereços DHCP aos clientes.
Integrated Enforcer for Microsoft DHCP Autentica clientes e aplica políticas de segurança.
Servers (instalado no mesmo
computador que o serviço DHCP)
Requisitos de colocação para o Integrated Enforcer

for Microsoft DHCP Servers
A Figura 52-1 ilustra como colocar o Integrated Enforcer for Microsoft DHCP
Servers, o servidor DHCP da Microsoft e o Symantec Endpoint Protection Manager,
bem como clientes internos ou remotos, em uma rede.
Requisitos de colocação para o Integrated Enforcer for Microsoft DHCP Servers
Figura 52-1 Colocação do Symantec Network Access Control Integrated Enforcer

Symantec Endpoint
Protection Manager
Clientes
Agente de
retransmissão
Backbone da
Servidores empresa
protegidos
Hub/Switch
Servidor DHCP com

o Integrated Enforcer
Noções básicas sobre a instalação de um Integrated Enforcer for Microsoft DHCP Servers
Noções básicas sobre a instalação de um Integrated

A documentação descreve como instalar, configurar e usar o Integrated Enforcer
for Microsoft DHCP Servers. Para começar, realize as seguintes tarefas:
Tabela 52-4 Processo de instalação de um Integrated Enforcer for Microsoft

DHCP Servers
Etapa 1 Localize os componentes da instalação Descreve os componentes necessários

do Symantec Network Access Control. para a instalação de um Integrated
Enforcer for Microsoft DHCP Servers.
Consulte “Componentes para um

Servers” na página 1069.
Etapa 2 Obtenha o hardware necessário. Relaciona os requisitos de hardware

para um Integrated Enforcer for
Microsoft DHCP Servers.
Consulte “Requisitos do sistema para o

Integrated Enforcer para Microsoft
Etapa 3 Obtenha o sistema operacional Relaciona os requisitos do sistema

necessário. operacional para um Integrated
Enforcer for Microsoft DHCP Servers.
Etapa 4 Coloque o Integrated Enforcer for Explica onde colocar um Integrated

Microsoft DHCP Servers em sua rede. Enforcer for Microsoft DHCP Servers
em uma rede.
Consulte “Requisitos de colocação para

o Integrated Enforcer for Microsoft
Etapa 5 Instale um Integrated Enforcer para Explica como instalar um Integrated

servidores DHCP da Microsoft. Enforcer for Microsoft DHCP Servers.

na página 1073.
Instalação do Integrated Enforcer for Microsoft DHCP Servers
Etapa 6 Configure o Integrated Enforcer for Explica como definir as conexões e

Microsoft DHCP Servers. configurações de um Integrated
em um console do Enforcer.
Consulte “Sobre a configuração do

Integrated Enforcers em um console do
Instalação do Integrated Enforcer for Microsoft DHCP

Servers
Você deve instalar o Integrated Enforcer for Microsoft DHCP Servers no mesmo
computador em que você instalou o sistema operacional Microsoft Windows Server
e o serviço DHCP. Faça login como administrador ou como um usuário do grupo
de administradores.
Nota: Após instalar o servidor DHCP da Microsoft, é necessário configurar o

Integrated Enforcer for Microsoft DHCP Servers. O Integrated Enforcer para
servidores DHCP da Microsoft pode, então, conectar-se ao Symantec Endpoint
Protection Manager.
Para instalar o Integrated Enforcer for Microsoft DHCP Servers com um assistente
1 Insira o disco do produto.
Se a instalação não iniciar automaticamente, clique duas vezes em:
■ IntegratedEnforcerInstaller86.exe(para sistemas operacionais x86).
Você deverá sair da instalação e instalar o servidor DHCP se visualizar a
seguinte mensagem:
You must have the DHCP server on this machine

to install this product. To install the DHCP server,
in the Control Panel, use the Add/Remove Windows
Components Wizard.
Se o servidor DHCP já estiver instalado, será exibida a mensagem Bem-vindo

ao Assistente de Instalação do Symantec Integrated Enforcer.
2 No painel Bem-vindo, clique em Avançar.
3 No painel Contrato de licença, clique em Aceito este contrato de licença.

■ Se quiser aceitar a pasta de destino padrão, clique em Avançar.
■ Clique em Procurar, localize e selecione uma pasta de destino, clique em
OK e em Avançar.
6 Se o painel Seleção de funções for exibido, selecione Aplicação do DHCP

para servidor DHCP da Microsoft e clique em Avançar.
O painel Seleção de funções apenas será exibido se mais de um tipo de
Symantec Network Access Control Integrated Enforcer puder ser instalado
com base nos serviços que estão em execução no servidor.
7 No painel Pronto para instalar o aplicativo, clique em Avançar.
8 Quando solicitada a reinicialização do servidor DHCP, realize uma das
seguintes tarefas:
■ Para reiniciar o servidor DHCP imediatamente, clique em Sim.
■ Para reiniciar manualmente o servidor DHCP mais tarde, clique em Não.
Se for reiniciar o servidor DHCP mais tarde, ele deverá ser interrompido
e, então, reiniciado.
Você deve reiniciar o servidor DHCP para que o Symantec Integrated Enforcer
funcione.
Consulte “Interrupção e inicialização manual do servidor DHCP da Microsoft”
na página 1076.
Se precisar reinstalar o Integrated Enforcer, será necessário, primeiro,
desinstalá-lo.
Consulte “Desinstalação do Symantec Network Access Control Integrated
Enforcer for Microsoft DHCP Servers” na página 1075.
Para instalar o Integrated Enforcer for Microsoft DHCP Servers pela linha de
comando
1 Abra um prompt de comando do DOS para iniciar a instalação pela linha de
comando.
O processo de instalação pela linha de comando usa somente configurações
padrão.
2 Na linha de comando, especifique o diretório no qual o instalador do Integrated
Enforcer está localizado.
O local de instalação padrão é um dos seguintes:

■ C:\Arquivos de Programa\Symantec\Symantec Endpoint
Protection\Integrated Enforcer para sistemas operacionais x86.
■ C:\Arquivos de Programa (x86)\Symantec\Symantec Endpoint

3 Digite IntegratedEnforcerInstaller86.exe /qr (para sistemas operacionais

x86) ou IntegratedEnforcerInstaller64.exe /qr (para sistemas
operacionais x64) na linha de comando e digite: Enter.
Desinstalação do Symantec Network Access Control Integrated Enforcer

Você pode desinstalar o Symantec Network Access Control Integrated Enforcer
for Microsoft DHCP Servers usando a barra de tarefas do Windows ou a linha de
comando.
Para desinstalar o Integrated Enforcer for Microsoft DHCP Servers
1 Na barra de tarefas do Windows, clique em Iniciar > Painel de controle >
Adicionar ou remover programas.
2 Clique em Symantec NAC Integrated Enforcer e em Remover.
3 Quando solicitado a confirmar se deseja excluir o software, clique em Sim.
4 Quando solicitada a reinicialização do servidor DHCP, realize uma das
seguintes tarefas:
■ Para reiniciar o servidor DHCP imediatamente, clique em Sim.
■ Para reiniciar manualmente o servidor DHCP mais tarde (padrão), clique
em Não.
Se você reiniciar o servidor DHPC
mais tarde, será necessário encerrá-lo e, em seguida, iniciá-lo.
O servidor DHCP deverá ser reiniciado para desinstalar o Symantec
Integrated Enforcer completamente.
Para desinstalar o Integrated Enforcer for Microsoft DHCP Servers usando a linha
de comando
1 Abra um prompt de comando do DOS.
2 No prompt de comando, digite:
misexec.exe /qn /X <nome do arquivo > O nome do arquivo deve ficar
em Arquivos de Programas\Common Files\Wise Installation Wizard.
Upgrade do Integrated Enforcer for Microsoft DHCP Servers

As seguintes etapas detalham como fazer upgrade do Symantec Network Access
Control Integrated Enforcer for Microsoft DHCP Servers:
Tabela 52-5 Etapas para o upgrade do Integrated Enforcer for Microsoft DHCP
Servers
Etapa 1 Desinstale a versão antiga. Desinstale a versão atual do Integrated

Enforcer.
Consulte “Desinstalação do Symantec

Network Access Control Integrated
na página 1075.
Etapa 2 Instale a nova versão. Instale a nova versão do Integrated

Enforcer.

na página 1073.
Nota: A migração não é suportada. Você deve desinstalar a versão antiga e instalar
uma nova.
Interrupção e inicialização manual do servidor DHCP da

Microsoft
Interrompa o servidor DHCP da Microsoft manualmente para fazer o upgrade
para uma nova versão do Integrated Enforcer for Microsoft DHCP Servers. Você
deverá reiniciá-lo após concluir o upgrade.
Para interromper e reiniciar o servidor DHCP da Microsoft manualmente
1 Na barra de tarefas do Windows, clique em Iniciar > Painel de Controle >
Ferramentas Administrativas > Serviços.
2 Clique com o botão direito do mouse em Servidor DHCP e clique em
Interromper.
Capítulo 53
Para configurar os
Symantec Integrated
Enforcers no console do
Enforcer
■ Sobre a configuração do Integrated Enforcers em um console do appliance

Enforcer
■ Para estabelecer ou alterar uma comunicação entre o Integrated Enforcer para

servidores DHCP da Microsoft e o Symantec Endpoint Protection Manager
■ Configuração da quarentena automática
■ Como editar uma conexão do Symantec Endpoint Protection Manager
■ Definição de configurações de comunicação do Integrated Enforcer no Symantec

■ Configuração de uma lista de fornecedor confiável
■ Exibição de logs do Enforcer no console
■ Como interromper e iniciar os serviços de comunicação entre o Integrated

Enforcer e um servidor de gerenciamento
■ Configuração de uma máscara de sub-rede segura
■ Criação de exceções do escopo do DHCP

1078 Para configurar os Symantec Integrated Enforcers no console do Enforcer
Sobre a configuração do Integrated Enforcers em um console do appliance Enforcer
Sobre a configuração do Integrated Enforcers em um

console do appliance Enforcer
Depois de concluir a instalação do Symantec Network Access Control Integrated
Enforcer, há duas etapas de configuração. Primeiro, defina as configurações no
console do appliance Integrated Enforcer. Em seguida, vá para o Symantec
Endpoint Protection Manager para fazer as mudanças desejadas nas configurações
do grupo ao qual pertence o Integrated Enforcer.
A Tabela 53-1 descreve estas tarefas.
Tabela 53-1 Resumo da configuração do console do Enforcer
Etapa 1 Estabeleça uma conexão entre o Use o console do Integrated Enforcer

Integrated Enforcer for Microsoft DHCP para configurar a conexão entre o
Servers e um servidor de Integrated Enforcer para servidores
gerenciamento. DHCP da Microsoft e o Symantec
Consulte “Para estabelecer ou alterar

uma comunicação entre o Integrated
Enforcer para servidores DHCP da
Microsoft e o Symantec Endpoint
Etapa 2 Defina o servidor DHCP com uma Use um de dois métodos para
configuração de quarentena. configurar uma classe de usuário de
quarentena para correção.
Consulte “Configuração da quarentena

automática” na página 1082.
Etapa 3 Reinicie o serviço DHCP. Interrompa e inicie manualmente o

serviço DHCP no servidor DHCP.
Consulte “Interrupção e inicialização

manual do servidor DHCP da Microsoft”
na página 1076.
Para configurar os Symantec Integrated Enforcers no console do Enforcer 1079
Sobre a configuração do Integrated Enforcers em um console do appliance Enforcer
Etapa 4 Opcionalmente, mude as configurações Adicione ou edite descrições para o

básicas do Integrated Enforcer. Integrated Enforcer ou grupo de
Integrated Enforcers, ou para o
endereço IP ou nomes de host do
Integrated Enforcer.
Consulte “Configurações básicas do

Integrated Enforcer” na página 1092.
Etapa 5 Conectar o Integrated Enforcer a Conectar o Integrated Enforcer a um

Symantec Endpoint Protection servidor no qual Symantec Endpoint
Manager. Protection Manager está instalado.
Consulte “Para conectar o Integrated

Enforcer do Symantec Network Access
Control a um Symantec Endpoint
Etapa 6 Conforme necessário, atualize a Atualizar a conexão para o endereço do

conexão para o Symantec Endpoint servidor Symantec Endpoint Protection
Protection Manager. e a informação de porta, caso
necessário.
Consulte “Como editar uma conexão do

Etapa 7 Se necessário, configure uma lista de Configure uma lista de fornecedores

fornecedores confiáveis. confiáveis para dispositivos em sua
rede, como impressoras ou telefones IP.
Esses são os dispositivos que o
Integrated Enforcer não precisa
autenticar.
Consulte “Configuração de uma lista de

fornecedor confiável” na página 1086.
Etapa 8 Opcionalmente, defina onde você deseja Configure os logs para exibir no console
exibir os logs. do Enforcer ou no Symantec Endpoint
Protection Manager.
Consulte “Exibição de logs do Enforcer

no console” na página 1087.
Consulte “Configuração de logs para o

Para estabelecer ou alterar uma comunicação entre o Integrated Enforcer para servidores DHCP da Microsoft e o
Etapa 9 Opcionalmente, defina as configurações Configure como você deseja autenticar

de autenticação para sua rede. clientes, servidores e dispositivos.
Consulte “Especificação do número
máximo de pacotes de desafio durante
uma sessão de autenticação”
na página 1101.
Consulte “Especificação da frequência

de envio dos pacotes de desafio aos
clientes” na página 1102.
Consulte “Permissão para todos os

clientes com registro em log contínuo
de clientes não autenticados”
na página 1103.
Consulte “Permissão para que clientes

que não sejam Windows se conectem à
Consulte “Ativação de servidores,

clientes e dispositivos para que se
conectem à rede como hosts confiáveis
sem autenticação” na página 1096.
Etapa Opcionalmente, confirme se os clientes Confirme se os clientes têm as políticas

10 estão executando políticas atualizadas. mais recentes, comparando o número
de série da política que você recebeu do
cliente com o número de série da
política no Symantec Endpoint
Protection Manager.
Para estabelecer ou alterar uma comunicação entre

o Integrated Enforcer para servidores DHCP da
Microsoft e o Symantec Endpoint Protection Manager
Você deve especificar o Symantec Endpoint Protection Manager para o qual o
Integrated Enforcer pode se conectar. Após configurar a lista de servidores de
gerenciamento, configure a conexão com a senha criptografada, o nome do grupo
e o protocolo de comunicação. A senha criptografada era previamente conhecida
como uma chave pré-compartilhada.
Depois que o Integrated Enforcer conecta-se a um servidor de gerenciamento, ele
se registra automaticamente.
Para estabelecer ou alterar uma comunicação entre o Integrated Enforcer para servidores DHCP da Microsoft e o

Para estabelecer comunicação entre o console do Integrated Enforcer e o Symantec
1 Na barra de tarefas do Windows, no computador do Integrated Enforcer,
clique em Iniciar > Programas > Symantec Endpoint Protection > Symantec
Integrated NAP Enforcer.
O console de configuração do Symantec Network Access Control Integrated
Enforcer aparece. Esta página principal mostra o status da conexão entre o
Integrated Enforcer e o Symantec Endpoint Protection Manager. A luz verde
indica que o Integrated Enforcer está ativamente conectado ao servidor de
gerenciamento. A luz vermelha indica que não há conexão.
2 No painel esquerdo, clique em Symantec Integrated Enforcer > Configurar
> Servidor de gerenciamento.
3 Na caixa de diálogo Servidor de gerenciamento, digite o endereço IP ou o
nome do Symantec Endpoint Protection Manager no campo de texto Endereço
do servidor.
É possível digitar um endereço IP, um nome de host ou um nome de domínio.
Se desejar usar um nome de host ou um nome de domínio, assegure-se de que
o nome é corretamente solucionado pelo Servidor de nomes de domínio
(servidor DNS).
4 Na caixa de diálogo Servidor de gerenciamento, edite o número da porta que
o Integrated Enforcer usa para se comunicar com o Symantec Endpoint
Protection Manager.
O número da porta padrão é 8014 para o protocolo HTTP e 443 para o
protocolo HTTPS. O protocolo HTTPS deve ser configurado de forma idêntica
no Symantec Endpoint Protection Manager e no Integrated Enforcer.
5 Na caixa de texto Senha de criptografia, digite a senha do Symantec Endpoint
Protection Manager para sua conexão.
O Symantec Endpoint Protection Manager e o Integrated Enforcer devem
usar a mesma senha criptografada para comunicação.
Para exibir as letras e os números da chave pré-compartilhada em vez de
asteriscos, selecione Usar valor de hash. Se a opção Usar valor de hash estiver
ativada, a senha de criptografia deverá ter 32 caracteres e usar somente
números hexadecimais.
Configuração da quarentena automática
6 Na caixa de texto de grupo Preferencial, digite um nome para o grupo do

Se você não especificar um nome de grupo, o Symantec Endpoint Protection
Manager atribuirá o Integrated Enforcer do Symantec Network Access Control
a um grupo padrão do Enforcer com configurações padrão. O nome padrão
do grupo é I-DHCP. Porém, o Symantec Network Access Control Integrated
Enforcer para servidores NAP da Microsoft e os enforcers baseados em
appliances devem estar em um grupo separado.
Você pode exibir as configurações do grupo do console do Symantec Endpoint
Protection Manager na página Servidores.
7 Para especificar o protocolo que o Symantec Network Access Control
Integrated Enforcer usa para se comunicar com o Symantec Endpoint
Protection Manager, selecione HTTP ou HTTPS.
Você poderá usar apenas o protocolo HTTPS se o Symantec Endpoint
Protection Manager estiver executando o protocolo SSL.
Se você selecionar o HTTPS e quiser exigir a verificação do certificado do
servidor de gerenciamento com uma autoridade de certificação externa
confiável, selecione Verificar o certificado quando usar o protocolo HTTPS.
8 Clique em Salvar.
Depois que o Integrated Enforcer se conectar ao Symantec Endpoint Protection
Manager, será possível mudar a maioria das configurações no console do
Symantec Endpoint Protection Manager. Porém, o segredo pré-compartilhado
ou a senha criptografada devem ser idênticos no Integrated Enforcer e no
Symantec Endpoint Protection Manager para que eles se comuniquem.

Os clientes que tentam conectar-se à rede enviam uma solicitação DHCP a um
servidor DHCP.
O Symantec Network Access Control Integrated Enforcer pode executar a
configuração da quarentena baseada em endereços IP permitidos ou você pode
configurar uma classe de usuário de quarentena e adicionar recursos para cada
sub-rede no interior do servidor DHCP. O Integrated Enforcer insere a classe de
usuário de quarentena em todas as mensagens do DHCP provenientes de clientes
que não sejam conhecidos ou que não estejam em conformidade. Ele renova
também as solicitações do cliente para o servidor DHCP. Clientes confiáveis
recebem imediatamente um endereço IP normal, não sendo colocados em
quarentena. Se a autenticação for efetuada com êxito, clientes não conhecidos ou
não confiáveis são colocados em quarentena, autenticados e renovados, e, em

seguida, recebem um endereço IP normal.
O acesso é com base nas configurações da política de integridade do host e do
grupo que são definidas no Symantec Endpoint Protection Manager.
Digite uma lista de endereços IP que computadores em quarentena poderão acessar,
mesmo em caso de falha na autenticação.
Para configurar a quarentena automática para um Symantec Network Access Control
Integrated Enforcer
> Configuração da quarentena automática.
3 Na página Configuração da quarentena automática do Integrated Enforcer,
clique em Adicionar para iniciar a criação de uma lista de endereços IP.
4 Digite um endereço IP permitido e clique em OK para adicioná-lo à lista.
5 Clique novamente em Adicionar para continuar adicionando endereços IP à
lista.
6 Modifique a lista de Endereços IP clicando em Editar, Remover, Remover
tudo, Mover para cima ou Mover para baixo.
7 Quando todos os endereços IP tiverem sido listados ou modificados, clique
em OK na parte inferior da página para salvar suas configurações.
Para definir uma configuração de quarentena em um servidor DHCP (tarefa opcional
avançada)
1 No servidor DHCP, clique em Iniciar > Ferramentas administrativas > DCHP.
Para renovar a solicitação com uma configuração de quarentena, o Integrated
Enforcer insere dinamicamente uma classe de usuário de quarentena DHCP
às mensagens provenientes de clientes que não estão em conformidade. A
classe de usuário de quarentena será definida quando for adicionado um ID
chamado. Em seguida, serão atribuídos vários recursos da classe de usuário,
incluindo o endereço IP do gateway, período de concessão, um servidor DNS
e rotas estáticas suficientes para correção.
2 Na árvore da caixa de diálogo DHCP, clique com o botão direito do mouse no
servidor DHCP, e clique em Definir classes de usuário.
3 Na caixa de diálogo Classes de usuário DHCP, clique em Adicionar.
Como editar uma conexão do Symantec Endpoint Protection Manager
4 Na caixa de diálogo Nova classe, digite um nome de exibição que identifique

essa classe de usuário de quarentena como a configuração de quarentena e
uma descrição opcional.
Por exemplo, é possível identificar uma classe de usuário de quarentena, como
QUARENTENA.
5 Para definir uma nova classe de usuário, clique na coluna ASCII e digite
SYGATE_ENF em letras maiúsculas.
6 Clique em OK.
7 Clique em Fechar.
Para configurar opções de escopo em um servidor DHCP (tarefa opcional avançada)
1 Na árvore, clique com o botão direito do mouse em Opções de servidor.
2 Clique em Configurar opções...
3 Na guia Geral, selecione 003 Roteador e configure o endereço IP do roteador
que está associado ao cliente de retransmissão DHCP.
4 Na guia Avançado, na lista suspensa Classe de fornecedor, clique em Opções
padrão DHCP.
5 Na guia Avançado, na lista suspensa Classe de usuário, clique em
SNAC_QUARANTINE.
6 Marque 003 Roteador.
7 No campo endereço IP, digite 127.0.0.1 (recomendado). Entretanto, cabe ao
administrador decidir qual IP de roteador deve ser atribuído aos clientes em
quarentena.
8 Marque 051 Concessão.
9 Digite o valor hexadecimal do período de concessão em segundos.
Por exemplo, para 2 minutos, digite 0x78.
10 Clique em OK.
11 Clique em Arquivo > Sair.
Como editar uma conexão do Symantec Endpoint

Protection Manager
Você pode atualizar o endereço IP do Symantec Endpoint Protection Manager e
mover as informações em caso de necessiddade.
Definição de configurações de comunicação do Integrated Enforcer no Symantec Endpoint Protection Manager
Para editar uma conexão do Symantec Endpoint Protection Manager

1 Na barra de tarefas do Windows do computador do Enforcer, clique em Iniciar
> Programas > Symantec Endpoint Protection > Symantec Integrated
Enforcer.
2 No painel esquerdo, expanda Symantec Integrated Enforcer.
3 Expanda Configurar.
4 Clique em Servidores de gerenciamento.
5 No painel Servidores de gerenciamento, clique em Editar na coluna de ícones
que está à direita da lista de servidores de gerenciamento.
6 Na caixa de diálogo Adicionar/editar servidor de gerenciamento, digite o
endereço IP ou o nome do Symantec Endpoint Protection Manager no campo
de texto Endereço do servidor.
Se quiser usar um nome de host ou de domínio, o Symantec Network Access
Control Integrated Enforcer deverá conectar-se a um servidor de nomes de
domínio (DNS).
7 Clique em OK.
Definição de configurações de comunicação do

Integrated Enforcer no Symantec Endpoint Protection
Manager
A configuração do Symantec Network Access Control Integrated Enforcer é um
processo de duas etapas. Primeiro, configure o Integrated Enforcer no console
Integrated Enforcer. Em segundo lugar, conclua as tarefas de configuração do
Symantec Endpoint Protection Manager para configurar totalmente as
comunicações entre o Enforcer e o servidor de gerenciamento. As configurações
serão obtidas por download automaticamente do servidor de gerenciamento para
o Integrated Enforcer durante a próxima pulsação.
Consulte “Sobre a configuração do Integrated Enforcers em um console do
Para configurar as definições de comunicação do Integrated Enforcer no Symantec
Configuração de uma lista de fornecedor confiável
3 Em Servidores, selecione o grupo de Enforcers do qual o Integrated Enforcer

é membro.
4 Selecione o Integrated Enforcer cujas configurações precisam ser alteradas.
A caixa de diálogo Configurações fornece as seguintes categorias com guias
de configurações:
Geral Configurações do nome de grupo Enforcer, descrição do

grupo Enforcer e lista de servidores de gerenciamento.
Consulte “Configurações básicas do Symantec Network

Access Control Integrated Enforcer” na página 1092.
Autenticação Configurações para uma variedade de parâmetros que

afetam o processo de autenticação do cliente.
Consulte “Configuração de autenticação do Symantec

Avançado Configurações dos parâmetros do tempo limite de

autenticação e do tempo limite de mensagem do DHCP: essas
opções são exibidas, mas no momento não estão disponíveis
para a configuração do Symantec Network Access Control
Configurações para endereços MAC de hosts confiáveis que

o appliance Integrated Enforcer permite conectar sem
autenticação (opcional).
Configurações da autenticação local.
Consulte “Configurações avançadas do Symantec Network

Configurações de log Configurações de logs do servidor, logs de atividade do

cliente e especificação de parâmetros do arquivo de log.
Consulte “Configuração de logs para o Symantec Network

Configuração de uma lista de fornecedor confiável

Os agentes não podem ser instalados em alguns dispositivos de rede, como
impressoras ou telefones IP. Para que isso seja possível, você pode configurar uma
lista de fornecedores confiáveis. Se o nome do fornecedor for considerado confiável,
Exibição de logs do Enforcer no console
o Symantec Network Access Control Integrated Enforcer não autenticará o

dispositivo. Os dispositivos obterão endereços IP normais do servidor DHCP.
Para configurar uma lista de fornecedores confiáveis
2 No painel esquerdo, clique em Symantec Integrated Enforcer > Configure
(Configurar) > DHCP Trusted Vendors Configuration (Configuração de
fornecedores de DHCP confiáveis).
3 Para ativar a lista de fornecedores confiáveis, marque Turn on Trusted
Vendors (Ativar fornecedores confiáveis).
Quando a caixa Turn on Trusted Vendors (Ativar fornecedores confiáveis)
estiver marcada, a integridade do host não será aplicada para o tráfego DHCP
dos fornecedores confiáveis selecionados.
4 Selecione os fornecedores que você quer definir como fornecedores confiáveis.
5 Clique em Save (Salvar).
Exibição de logs do Enforcer no console

O Symantec Network Access Control Integrated Enforcer registra automaticamente
as mensagens no log do Cliente do Enforcer e no log do Sistema do Enforcer. Estes
logs do Enforcer foram transferidos por upload para o Symantec Endpoint
Protection Manager. O log do cliente fornece informações sobre conexões de
clientes e comunicações com o Integrated Enforcer. O log do sistema grava
informações relacionadas ao próprio Integrated Enforcer, como ocorrências de
início e interrupção do serviço do Enforcer.
No Symantec Endpoint Protection Manager, é possível ativar e desativar o registro
em log e definir parâmetros do arquivo de log do Integrated Enforcer. Todos os
logs são ativados e enviados para o Symantec Endpoint Protection Manager por
padrão.
Para exibir os logs do Enforcer no console
1 No painel à esquerda, expanda Symantec NAC Integrated Enforcer.
2 Expanda Exibir logs e clique em Log do sistema ou clique em Log do cliente.
3 Para visualizar quaisquer alterações realizadas no log desde a última vez em
que foi aberto, clique em Atualizar.
4 Clique em OK.
Como interromper e iniciar os serviços de comunicação entre o Integrated Enforcer e um servidor de gerenciamento
Como interromper e iniciar os serviços de

comunicação entre o Integrated Enforcer e um
Para fins de solução de problemas, é possível interromper e iniciar o serviço do
Enforcer ou o serviço (SNACLink.exe) que se comunica com o Symantec Endpoint
Protection Manager. Se você interromper o serviço do Enforcer, o Integrated
Enforcer removerá as informações de conformidade para clientes existentes. Ele
também interromperá a coleta de informações para clientes novos. Entretanto,
ele continuará a se comunicar com o Symantec Endpoint Protection Manager.
Se o Symantec Endpoint Protection Manager estiver indisponível, o Integrated
Enforcer ainda aplicará a versão da política e o GUID para todos os clientes
autenticados. O mesmo processo será seguido se você interromper a conexão ao
Symantec Endpoint Protection Manager. Estas informações são armazenadas no
cache local (somente se o cache estiver ativado). Ele autentica novos clientes
automaticamente (baseado no status da integridade do host), mas ignora a
verificação da GUID e das políticas.
Assim que a comunicação ao Symantec Endpoint Protection Manager for
restabelecida, o Integrated Enforcer atualizará a versão da política. Ele também
autentica os clientes que foram adicionados desde a perda da conexão.
Nota: É possível configurar o Symantec Network Access Control Integrated

Enforcer para colocar novos clientes em quarentena, em vez de autenticá-los
enquanto a conexão do Symantec Endpoint Protection Manager estiver
indisponível. Esse objetivo pode ser alcançado alterando o valor padrão da chave
DetectEnableUidCache no registro do Windows.
A interrupção do Integrated Enforcer não interrompe o servidor DHCP. Se o

Integrated Enforcer for interrompido, o servidor DHCP funcionará como se não
houvesse nenhum Enforcer instalado. Se o servidor DHCP ficar indisponível, o
Integrated Enforcer interromperá a coleta de status de conformidade de novos
clientes. Porém, ele continuará a comunicar-se com os clientes existentes e a
registrar as mudanças do status. O servidor DHCP pode ficar indisponível por
motivos de manutenção e por outros problemas.
Para interromper e iniciar os serviços de comunicação entre o Integrated Enforcer
e um servidor de gerenciamento:
1 Inicie o Symantec Network Access Control Integrated Enforcer.
2 Clique em Symantec NAC Integrated Enforcer.
Configuração de uma máscara de sub-rede segura
3 Você pode interromper ou iniciar o serviço do Enforcer (IntegratedEnf.exe)

ou o serviço (SNACLink.exe) que se comunica com o Symantec Endpoint
Protection Manager.
Realize uma ou ambas as tarefas a seguir:
■ Na caixa de diálogo Grupo de serviço do Enforcer, clique em Interromper.
Esta opção interrompe o serviço do Enforcer.
■ Na caixa de diálogo Grupo de serviço de comunicação do servidor de
gerenciamento, clique em Interromper.
Esta opção interrompe o serviço do Enforcer que se conecta para o
Se o status estiver definido como Interrompido, o serviço não será executado.
4 Para reiniciar qualquer serviço, clique em Iniciar.
Se você desligar ou reiniciar o computador ao qual um Symantec Network
Access Control Integrated Enforcer estiver conectado, o serviço do Enforcer
reiniciará automaticamente, juntamente com o computador.
Se o serviço de comunicação do servidor for interrompido e, em seguida,
reiniciado, o Symantec Network Access Control Integrated Enforcer tentará
conectar-se ao Symantec Endpoint Protection Manager ao qual se conectou
por último. Se esse Symantec Endpoint Protection Manager estiver
indisponível, o Integrated Enforcer vai conectar-se ao primeiro servidor de
gerenciamento relacionado na lista de servidores de gerenciamento.
Configuração de uma máscara de sub-rede segura

A página de configuração Configurações avançadas do Integrated Enforcer permite
que os usuários configurem uma máscara de sub-rede segura para clientes em
quarentena.
Para configurar uma máscara de sub-rede segura
1 A página de configuração Configurações avançadas, marque a opção Usar
máscara de sub-rede segura (255.255.255.255) para o endereço IP em
quarentena ou clique para limpar a configuração. Se você limpar a
configuração, usará a máscara de sub-rede do DHCP normal.
2 Clique em OK para salvar as configurações.
Criação de exceções do escopo do DHCP
Nota: A opção de máscara de sub-rede segura (255.255.255.255) está disponível

somente com o Symantec Network Access Control Integrated Enforcer para
servidores DHCP Microsoft. Se essa opção estiver ativada, 255.255.255.255 será
usado para clientes em quarentena. Se estiver desativada, a máscara de sub-rede
padrão do escopo atual será usada.
Criação de exceções do escopo do DHCP

A página de configuração Configurações avançadas do Integrated Enforcer permite
aos usuários manipular a máscara de sub-rede para ignorar a quarentena. A
configuração padrão na instalação é que todos os escopos do DHCP serão impostos
para a quarentena.
Para selecionar sub-redes para a dispensa da quarentena
1 Na página de configuração Configurações avançadas, marque a opção Use
a máscara de sub-rede segura (255.255.255.255) para o endereço IP em
quarentena
2 Em Selecionar escopos a serem impostos, clique para limpar os intervalos
de endereço IP que você deseja dispensar. Os endereços IP pertencentes aos
escopos do DHCP que forem marcados serão impostos.
Quando um escopo do DHCP for alterado para dispensar um escopo (clicando
para limpar o intervalo de endereço IP), os endereços IP que já tiverem sido
atribuídos aos clientes ainda serão impostos. Para limpar a imposição, libere
e renove os endereços IP.
Nota: Se o escopo novo for criado ou adicionado depois que Enforcer tiver
sido instalado, o escopo novo não será imposto até que esteja selecionado na
interface do usuário na página de configuração Configurações avançadas.
3 Quando você estiver satisfeito com suas configurações, clique em OK para

salvar a configuração.
Capítulo 54
Para configurar o Symantec
Integrated Enforcer para o
servidor DHCP da Microsoft
no Symantec Endpoint
Protection Manager
■ Sobre a configuração do Symantec Network Access Control Integrated Enforcer

para o servidor DHCP da Microsoft no Symantec Endpoint Protection Manager
■ Configurações básicas do Symantec Network Access Control Integrated Enforcer
■ Configurações avançadas do Symantec Network Access Control Integrated

Enforcer
■ Configuração de autenticação do Symantec Network Access Control Integrated

Enforcer
■ Configuração de logs para o Symantec Network Access Control Integrated

Enforcer
1092 Para configurar o Symantec Network Access Control Integrated Enforcer para o servidor DHCP da Microsoft no Symantec
Sobre a configuração do Symantec Network Access Control Integrated Enforcer para o servidor DHCP da Microsoft no
Sobre a configuração do Symantec Network Access

Control Integrated Enforcer para o servidor DHCP da
Microsoft no Symantec Endpoint Protection Manager
Se desejar suportar o Symantec Integrated Enforcer para o servidor DHCP da
Microsoft em um ambiente de rede, será necessário ter o servidor DHCP
configurado e em execução. A maioria das configurações ocorre no console do
Enforcer. Uma vez instalado, será possível configurar as seguintes áreas do
■ Configuração básica e avançada
Consulte “Configurações básicas do Symantec Network Access Control
Consulte “Configurações avançadas do Symantec Network Access Control
■ Autenticação
Consulte “Configuração de autenticação do Symantec Network Access Control
■ Logs
Consulte “Configuração de logs para o Symantec Network Access Control
Configurações básicas do Symantec Network Access

Control Integrated Enforcer
Você pode adicionar ou editar a descrição de um Symantec Network Access Control
Integrated Enforcer ou de um grupo do Integrated Enforcer no Symantec Endpoint
Protection Manager. Também é possível adicionar ou editar no console do
Consulte “Adição ou edição da descrição de um grupo do Enforcer com um
Symantec Network Access Control Integrated Enforcer” na página 1093.
Consulte “Adição ou edição da descrição de um Symantec Network Access Control
Porém, você não pode adicionar ou editar o nome de um grupo do Integrated
Enforcer no Console do Symantec Endpoint Protection Manager. Você não pode
adicionar ou editar o endereço IP ou o nome do host de um Integrated Enforcer
no Console do Symantec Endpoint Protection Manager. Em vez disso, execute
essas tarefas no console do Enforcer.
Para configurar o Symantec Network Access Control Integrated Enforcer para o servidor DHCP da Microsoft no Symantec 1093
Configurações básicas do Symantec Network Access Control Integrated Enforcer
Consulte “Adição ou edição do nome de um grupo do Enforcer para o Symantec

Você deve conectar o Integrated Enforcer a um Symantec Endpoint Protection
Manager.
Consulte “Para conectar o Integrated Enforcer do Symantec Network Access
Control a um Symantec Endpoint Protection Manager” na página 1094.
Adição ou edição do nome de um grupo do Enforcer para o Symantec

Network Access Control Integrated Enforcer
É possível adicionar ou editar o nome de um grupo do Enforcer do qual um
Integrated Enforcer é membro. Essas tarefas são executadas no console do Enforcer
durante a instalação. Se, mais tarde, desejar modificar o nome de um grupo do
Enforcer, será possível fazê-lo no console do Enforcer.
Consulte “Para estabelecer ou alterar uma comunicação entre o Integrated Enforcer
para servidores DHCP da Microsoft e o Symantec Endpoint Protection Manager”
na página 1080.
Todos os Enforcers de um grupo compartilham as mesmas configurações.

Symantec Network Access Control Integrated Enforcer
Symantec Network Access Control Integrated Enforcer é membro. Você pode
executar esta tarefa no console do Symantec Endpoint Protection Manager em
vez do console do Integrated Enforcer.
Para adicionar ou editar a descrição de um grupo do Enforcer com um Symantec
Network Access Control Integrated Enforcer
Administrador.
3 Em Servidores, selecione e expanda o grupo do Enforcer cujo nome você
deseja adicionar ou editar.
descrição para o grupo do Enforcer no campo Descrição.
6 Clique em OK.
Configurações básicas do Symantec Network Access Control Integrated Enforcer
Adição ou edição da descrição de um Symantec Network Access Control

Integrated Enforcer
É possível adicionar ou editar a descrição de um Symantec Network Access Control
Integrated Enforcer. Você pode executar esta tarefa no console do Symantec
Endpoint Protection Manager em vez do console do Integrated Enforcer. Após
concluir essa tarefa, a descrição será exibida no campo Descrição do painel
Servidor de gerenciamento.
Para adicionar ou editar a descrição de um Symantec Network Access Control
Integrated Enforcer
Administrador.
3 Selecione e expanda o grupo de Enforcer que inclui o Integrated Enforcer
cuja descrição você deseja adicionar ou editar.
4 Selecione o Integrated Enforcer cuja descrição você quer adicionar ou editar.
para o Integrated Enforcer no campo Descrição.
7 Clique em OK.
Para conectar o Integrated Enforcer do Symantec Network Access

Control a um Symantec Endpoint Protection Manager
Os Enforcers devem poder conectar-se aos servidores em que o Symantec Endpoint
Protection Manager está instalado. O servidor de gerenciamento inclui um arquivo
que ajuda a gerenciar o tráfego entre clientes, servidores de gerenciamento e
Enforcers opcionais como o Integrated Enforcer. Esse arquivo é conhecido como
uma lista de servidores de gerenciamento.
A lista de servidores de gerenciamento especifica a qual Symantec Endpoint
Protection Manager um Integrated Enforcer conecta-se. Especifica também a qual
Symantec Endpoint Protection um Integrated Enforcer conecta-se em caso de
falha de um servidor de gerenciamento.
Uma lista de servidores de gerenciamento padrão é criada automaticamente para
cada site durante a instalação inicial. Todos os servidores de gerenciamento
disponíveis nesse site são adicionados automaticamente à lista de servidores de
Configurações avançadas do Symantec Network Access Control Integrated Enforcer
Uma lista de servidores de gerenciamento padrão inclui os endereços IP ou nomes

do host do servidor de gerenciamento aos quais os Integrated Enforcers podem
se conectar após a instalação inicial. Você deve criar uma lista de servidores de
gerenciamento personalizada antes de implementar quaisquer Enforcers. Se criar
uma lista de servidores de gerenciamento personalizada, será possível especificar
a prioridade com a qual um Integrated Enforcer pode se conectar a servidores de
gerenciamento.
É possível selecionar a lista de servidores de gerenciamento específica que inclui
os endereços IP ou nomes do host desses servidores de gerenciamento aos quais
você deseja que o Integrated Enforcer se conecte. Se houver apenas um servidor
de gerenciamento em um site, será possível selecionar a lista de servidores de
Para selecionar a lista de servidores de gerenciamento para o Symantec Network
Access Control Integrated Enforcer
Administrador.
O grupo do Enforcer deve incluir o Integrated Enforcer para o qual deseja
modificar o endereço IP ou nome do host na lista de servidores de
gerenciamento.
a lista de servidores de gerenciamento que você deseja que este Integrated
Enforcer use.
6 Na guia Geral, em Comunicação, clique em Selecionar.
8 Na caixa de diálogo Geral, clique em OK.
Configurações avançadas do Symantec Network

É possível definir as seguintes configurações avançadas do Integrated Enforcer:
■ Parâmetros do tempo limite, tempo limite de autenticação e tempo limite de

mensagem do DHCP
Embora essas opções sejam exibidas, elas não estão disponíveis atualmente
na configuração do Symantec Network Access Control Integrated Enforcer.
■ Endereços MAC ds hosts confiáveis que o Integrated Enforcer permite se
conectar ao servidor DHCP normal sem autenticação
■ Ativação da autenticação local
■ Verificação de integridade do Symantec Endpoint Protection Manager
Quando essas configurações forem aplicadas, as alterações serão enviadas para
o Symantec Network Access Control Integrated Enforcer selecionado durante a
próxima pulsação.
Consulte “Ativação de servidores, clientes e dispositivos para que se conectem à
rede como hosts confiáveis sem autenticação” na página 1096.
Consulte “Ativação da autenticação local no Integrated Enforcer” na página 1097.
Ativação de servidores, clientes e dispositivos para que se conectem

à rede como hosts confiáveis sem autenticação
Um host confiável é geralmente um servidor que não pode instalar o
software-cliente, como um servidor que não seja Windows, ou um dispositivo,
como uma impressora. Talvez queira também identificar os clientes que não sejam
Windows como hosts confiáveis porque o Integrated Enforcer não pode autenticar
clientes que não executem o cliente do Symantec Endpoint Protection ou o cliente
do Symantec Network Access Control.
É possível usar endereços MAC para designar certos servidores, clientes e
dispositivos como hosts confiáveis.
Quando você designar servidores, clientes e dispositivos como hosts confiáveis,
o Integrated Enforcer aprova todas as mensagens do DHCP vindas do host confiável
sem autenticá-lo.
Para ativar servidores, clientes e dispositivos para que se conectem à rede como
hosts confiáveis sem autenticação
Administrador.
4 Selecione o Integrated Enforcer que permite que servidores, clientes e

dispositivos que foram designados como hosts confiáveis se conectem à rede
sem autenticação.
6 Na caixa de diálogo Configurações, na guia Avançado, em Endereço MAC,
7 Na caixa de diálogo Adicionar host confiável, digite o endereço MAC do
cliente ou do host confiável no campo Endereço MAC do host.
Ao especificar um endereço MAC, é possível usar um caractere curinga, mas
somente se digitá-lo em todos os três campos à direita.
Por exemplo, 11-22-23-*-*-* representa o uso correto do caractere curinga.
No entanto, 11-22-33-44-*-66 não representa o uso correto do caractere
curinga.
Um conjunto de endereços MAC pode ser copiado de um arquivo de texto.
Nota: A Symantec suporta o seguinte formato para importações: endereço

MAC único e endereço MAC com máscara.
Para importar endereços MAC, clique em Importar. Especifique o arquivo na

caixa de diálogo Importar endereço MAC do arquivo.
Para exportar endereços MAC, destaque diversos endereços MAC e clique em
Exportar. Especifique o arquivo na caixa de diálogo Exportar endereço MAC
para o arquivo.
8 Clique em OK.
Ativação da autenticação local no Integrated Enforcer

Com a autenticação local ativada, se o Integrated Enforcer perder sua conexão
com o cliente no qual o Symantec Endpoint Protection Manager está instalado, o
Integrated Enforcer autenticará os clientes localmente. Nesse caso, o Integrated
Enforcer considera o cliente como válido e verifica somente o seu status de
Nota: Se o Integrated Enforcer não perder sua conexão com Symantec Endpoint
Protection Manager, ele sempre pedirá que o servidor de gerenciamento verifique
o GUID do cliente independentemente de a autenticação local estar ativada ou
desativada.
Configuração de autenticação do Symantec Network Access Control Integrated Enforcer
Para ativar a autenticação local no Integrated Enforcer

Administrador.
3 Em Servidores, selecione e expanda o grupo de Integrated Enforcers.
5 Na caixa de diálogo Configurações, na guia Avançado, selecione Ativar a
6 Clique em OK.
Configuração de autenticação do Symantec Network

É possível especificar várias configurações de autenticação para uma sessão de
autenticação de um Integrated Enforcer. Quando essas alterações forem aplicadas,
serão enviadas automaticamente para o Integrated Enforcer selecionado durante
a próxima pulsação.
Sobre o uso das configurações de autenticação

Talvez você queira implementar algumas configurações de autenticação para
proteger ainda mais a rede.
A Tabela 54-1 fornece mais informações sobre as opções da guia Autenticação.
Tabela 54-1 Configurações de autenticação para um Symantec Network Access

Control Integrated Enforcer
Opção Descrição
Número máximo de pacotes A quantidade máxima de pacotes de desafio que o Integrated

por sessão autenticada Enforcer envia em cada sessão de autenticação.
O número padrão é 15.
Consulte “Especificação do número máximo de pacotes de

desafio durante uma sessão de autenticação” na página 1101.
Opção Descrição
Período de tempo entre O período de tempo (em segundos) entre cada pacote de
pacotes em sessão de desafio que o Enforcer envia.
autenticação
O valor padrão é 4 segundos.
Consulte “Especificação da frequência de envio dos pacotes

de desafio aos clientes” na página 1102.
Permitir todos os clientes, Se essa opção estiver ativada, o Enforcer autenticará todos
mas continuar a registrar os usuários, verificando se eles estão executando um cliente.
quais clientes não são Ele encaminhará a solicitação para receber uma
autenticados configuração de rede normal em vez de uma configuração
de rede de quarentena, caso as verificações forem aprovadas
ou não.
Consulte “Permissão para todos os clientes com registro em

log contínuo de clientes não autenticados” na página 1103.
Todos os clientes com Se essa opção estiver ativada, o Integrated Enforcer

sistemas operacionais que verificará o sistema operacional do cliente. O Integrated
não sejam Windows Enforcer permite que todos os clientes que não executam
os sistemas operacionais Windows recebam uma
configuração de rede normal sem ser autenticados. Se essa
opção não estiver ativada, os clientes receberão uma
configuração de rede de quarentena.

Consulte “Permissão para que clientes que não sejam
Windows se conectem à rede sem autenticação”
na página 1104.
Opção Descrição
Verificar o número de série Se essa opção estiver ativada, o Integrated Enforcer

da política do cliente antes verificará se o cliente recebeu as políticas de segurança mais
de permitir a entrada do recentes do servidor de gerenciamento. Se o número de série
cliente na rede da política não for o mais recente, o Integrated Enforcer
notificará o cliente para que ele atualize a política de
segurança. O cliente encaminhará a solicitação para receber
uma configuração de rede de quarentena.
Se essa opção não estiver ativada e se a verificação da

integridade do host tiver êxito, o Integrated Enforcer
encaminhará a solicitação do Integrated para receber uma
configuração de rede normal. O Integrated Enforcer
encaminhará o pedido do Integrated mesmo se o cliente não
tiver a política de segurança mais recente.
Consulte “Como fazer com que o Symantec Network Access

Control Integrated Enforcer verifique o número de série da
política em um cliente” na página 1104.
Sobre as sessões de autenticação

Quando um cliente tentar acessar a rede interna, o Symantec Network Access
Control Integrated Enforcer verificará primeiramente se o cliente está executando
um cliente Symantec Endpoint Protection. Caso esteja, o Enforcer encaminha a
mensagem do DHCP do cliente para o servidor DHCP, a fim de obter um endereço
IP de quarentena com um tempo de concessão curto. Esse processo é usado
internamente pelo Integrated Enforcer para o processo de autenticação.
O Integrated Enforcer inicia, então, uma sessão de autenticação com o cliente. A
sessão de autenticação é um conjunto de pacotes de desafio que o Integrated
Enforcer envia para cada cliente.
Durante uma sessão de autenticação, o Enforcer envia um pacote de desafio para
o cliente a uma frequência especificada. A configuração padrão é a cada três
segundos.
O Integrated Enforcer continua a enviar pacotes até que uma das seguintes
condições tenham sido satisfeitas:
■ O Integrated Enforcer receba uma resposta do cliente
■ O Integrated Enforcer envie o número máximo de pacotes especificados.
A configuração padrão é 15.
Os tempos de frequência (4 segundos) vezes o número de pacotes (15) é o valor

que é usado para a pulsação do Enforcer. A pulsação é o intervalo que o Integrated
Enforcer permite que o cliente continue conectado antes de iniciar uma nova
sessão de autenticação. A configuração padrão é quatro segundos.
O cliente envia informações que contêm os seguintes itens para o Integrated
Enforcer:
■ identificador global exclusivo (GUID)
■ O número de série do perfil atual
■ Os resultados da verificação de integridade do host
O Integrated Enforcer verifica o GUID do cliente e o Número de série da política
com o Symantec Endpoint Protection Manager. Se o cliente foi atualizado com as
últimas políticas de segurança, o número de série da política corresponderá ao
que o Integrated Enforcer recebeu do servidor de gerenciamento. Os resultados
da verificação de integridade do host mostram se o cliente está ou não em
conformidade com as políticas atuais de segurança.
Após o intervalo de pulsação, ou sempre que o cliente tentar renovar seu endereço
IP, o Integrated Enforcer começa uma nova sessão de autenticação. O cliente deve
responder para manter a conexão à rede interna.
O Integrated Enforcer desconecta os clientes que não responderem.
Para os clientes que foram autenticados previamente mas que agora não passam
na autenticação, o Integrated Enforcer atualiza o status interno para o cliente.
Em seguida, ele envia um pacote de desafio ao cliente solicitando que o cliente
renove seu endereço IP. Quando o cliente envia a solicitação de "renovação" DHCP,
o Integrated Enforcer atribui um endereço IP de quarentena ao cliente.
Especificação do número máximo de pacotes de desafio durante uma

sessão de autenticação
Durante uma sessão de autenticação, o Integrated Enforcer envia um pacote de
desafio para o cliente a uma frequência especificada.
O Integrated Enforcer continua a enviar pacotes até que as seguintes condições
tenham sido satisfeitas:
A configuração padrão do número máximo de pacotes de desafio durante uma
sessão de autenticação é 15.
Para especificar o número máximo de pacotes de desafio durante uma sessão de

autenticação
Administrador.
especificar o número máximo de pacotes de desafio durante uma sessão de
autenticação.
5 Na guia Autenticação, digite o número máximo de pacotes de desafio que
deseja permitir durante uma sessão de autenticação no campo Número
máximo de pacotes por sessão autenticada.

clientes
Durante uma sessão de autenticação, o Integrated Enforcer envia um pacote de
desafio para o cliente a uma frequência especificada.
O Integrated Enforcer continua a enviar pacotes até que as seguintes condições
tenham sido satisfeitas:
A configuração padrão é a cada quatro segundos.
Para especificar a frequência de pacotes de desafio a serem enviados aos clientes
Administrador.
especificar a frequência de pacotes de desafio a serem enviados aos clientes.
5 Na guia Autenticação, em Parâmetros de autenticação, digite o número

máximo de pacotes de desafio que deseja que o Integrated Enforcer continue
a enviar a um cliente durante uma sessão de autenticação no campo Período
de tempo entre pacotes em sessão de autenticação.
Permissão para todos os clientes com registro em log contínuo de

clientes não autenticados
Pode levar algum tempo para implementar todo o software-cliente. Você pode
configurar o Integrated Enforcer para permitir que todos os clientes se conectem
à rede até que você tenha concluído a distribuição do pacote de cliente para todos
os usuários. Todos os usuários se conectam a um servidor DHCP no local do
O Integrated Enforcer ainda autentica todos os usuários, verificando se estão
executando um cliente, efetuando a verificação de integridade do host e registrando
em log os resultados. Esse processo ocorre independentemente da aprovação ou
falha das verificações de integridade do host.
Use as seguintes diretrizes quando aplicar as definições de configuração:
■ Essa configuração deve ser uma medida temporária, uma vez que torna a rede
menos segura.
■ Enquanto essa configuração estiver ativa, você poderá analisar os logs do
Enforcer. É possível descobrir os tipos de clientes que tentam se conectar à
rede naquele local.
Por exemplo, o log de atividades do cliente pode ser analisado para verificar
se algum dos clientes não tem o software-cliente instalado. Depois, você pode
certificar-se de que o software-cliente esteja instalado nesses clientes antes
de desativar essa opção.
Para permitir todos os clientes com registro em log contínuo de clientes não
autenticados
Administrador.
O grupo do Enforcer deve incluir o Integrated Enforcer para o qual você deseja
permitir todos os clientes enquanto continua a registrar os clientes não
autenticados.

5 Na caixa de diálogo Configurações, na guia Autenticação, selecione Permitir
todos os clientes, mas continuar a registrar quais clientes não são
autenticados.
Permissão para que clientes que não sejam Windows se conectem à

rede sem autenticação
O Integrated Enforcer não pode autenticar um cliente que ofereça suporte para
um sistema operacional que não seja Windows. Portanto, os clientes que não sejam
Windows não podem se conectar à rede, a menos que seja permitido,
especificamente, que se conectem à rede sem autenticação.
É possível usar um dos seguintes métodos para ativar os clientes que oferecem
suporte a plataformas que não sejam Windows para conectar-se à rede:
■ Especificar cada cliente que não seja Windows como host confiável.
■ Todos os clientes com sistemas operacionais que não sejam Windows.
Para permitir que clientes que não sejam Windows conectem-se a uma rede sem
autenticação
Administrador.
O grupo do Enforcer deve incluir o Integrated Enforcer para o qual você deseja
permitir que todos os clientes que não sejam Windows se conectem a uma
rede.
5 Na caixa de diálogo Configurações, na guia Autenticação, selecione Todos
os clientes com sistemas operacionais que não sejam Windows.
6 Clique em OK.
Como fazer com que o Symantec Network Access Control Integrated

Enforcer verifique o número de série da política em um cliente
O Symantec Endpoint Protection Manager atualiza um número de série da política
sempre que a política de segurança do cliente é modificada. Quando um cliente
conecta-se ao Symantec Endpoint Protection Manager, ele recebe as políticas de

segurança e o número de série mais recentes da política.
Quando um cliente tenta conectar-se à rede com o Integrated Enforcer, este
recupera o número de série da política através do Symantec Endpoint Protection
Manager. O Integrated Enforcer compara o número de série da política com o
número que recebeu do cliente. Se o número de série da política coincidir, o
Integrated Enforcer validou que o cliente está executando uma política de
segurança atualizada.
O valor padrão para essa configuração é não ativado.
As seguintes diretrizes se aplicam:
a entrada do cliente na rede estiver selecionada, o cliente deverá ter a política
de segurança mais recente antes de poder se conectar à rede por meio do
servidor DHCP normal. Se o cliente não tiver a política de segurança mais
recente, ele será avisado para fazer o download dessa política. Em seguida, o
Integrated Enforcer encaminhará a solicitação DHCP para receber uma
configuração de rede de quarentena.
a entrada do cliente na rede não estiver selecionada e a verificação de
integridade do host tiver êxito, o cliente poderá se conectar à rede. O cliente
poderá se conectar por meio do servidor DHCP normal, mesmo se a política de
segurança não estiver atualizada.
Para fazer com que o Symantec Network Access Control Integrated Enforcer
verifique o número de série da política em um cliente
Administrador.
O grupo do Enforcer deve incluir o Integrated Enforcer que verifica o número
de série da política em um cliente.
5 Na caixa de diálogo Configurações, na guia Autenticação, selecione Verificar
o número de série da política do cliente antes de permitir a entrada do cliente
na rede.
6 Clique em OK.
Configuração de logs para o Symantec Network Access Control Integrated Enforcer
Configuração de logs para o Symantec Network

Os logs do Symantec Network Access Control Integrated Enforcer estão
armazenados no mesmo computador no qual você instalou o Symantec Network
Access Control Integrated Enforcer. Os logs do Enforcer são gerados por padrão.
Se desejar exibir logs do Enforcer no console do Symantec Endpoint Protection
Manager, será necessário ativar o evnio de logs no console do Symantec Endpoint
Protection Manager. Se esta opção estiver ativada, os dados de log serão enviados
do Integrated Enforcer ao Symantec Endpoint Protection Manager e armazenados
em um banco de dados.
Você pode modificar as configurações de log para o Integrated Enforcer no Console
do Symantec Endpoint Protection Manager. As atividades são registradas no
mesmo log do servidor do Enforcer para todos os Enforcers em um site.
Você pode definir as configurações para os seguintes logs que o Integrated Enforcer
gera:
■ Log do servidor do Enforcer
O log do servidor do Enforcer fornece as informações que estão relacionadas
ao funcionamento de um Enforcer.
■ Log do cliente do Enforcer
O log do cliente fornece as informações sobre as interações entre o Integrated
Enforcer e os clientes que tentaram se conectar à rede. Ele fornece informações
sobre autenticação, falha de autenticação e desconexão.
Capítulo 55
Microsoft Network Access
Protection
■ Antes de instalar o Symantec Integrated Enforcer for Microsoft Network Access

Protection
■ Processo para instalar o Symantec Network Access Control Integrated Enforcer

for Microsoft Network Access Protection
■ Requisitos do sistema para um Integrated Enforcer for Microsoft Network

Access Protection
■ Componentes de um Symantec Integrated Enforcer for Microsoft Network

Access Protection
■ Instalação do Integrated Enforcer for Microsoft Network Access Protection
Antes de instalar o Symantec Integrated Enforcer for

Microsoft Network Access Protection
Antes de instalar o Symantec Integrated Enforcer for Microsoft Network Access
Protection, é necessário ter concluído as seguintes tarefas de instalação e
configuração:
■ Instalação do Symantec Endpoint Protection Manager
1108 Para instalar o Symantec Integrated Enforcer for Microsoft Network Access Protection
Processo para instalar o Symantec Network Access Control Integrated Enforcer for Microsoft Network Access Protection
Nota: Recomenda-se que você instale o Symantec Endpoint Protection Manager

antes de instalar o Symantec Integrated Enforcer for Network Access
Protection. O Symantec Endpoint Protection Manager deve estar instalado
antes que o Symantec Integrated Enforcer for Microsoft Network Access
Protection possa funcionar corretamente.

na página 99.
■ Verificação de requisitos do hardware e do software para o computador em
que você planeja instalar os seguintes componentes:
■ Serviço do servidor DHCP
■ Serviço do Network Access Protection Server
■ Controlador de domínio
■ Symantec Integrated Enforcer for Microsoft Network Access Protection
Consulte “Componentes de um Symantec Integrated Enforcer for Microsoft
Network Access Protection” na página 1111.
Processo para instalar o Symantec Network Access

Control Integrated Enforcer for Microsoft Network
Access Protection
A Tabela 55-1 relaciona as etapas para instalar o Symantec Network Access Control
Integrated Enforcer for Microsoft Network Access Protection.
Para instalar o Symantec Integrated Enforcer for Microsoft Network Access Protection 1109
Requisitos do sistema para um Integrated Enforcer for Microsoft Network Access Protection
Tabela 55-1 Resumo da instalação do Symantec Network Access Control

Integrated Enforcer for Microsoft Network Protection
Etapa 1 Leia os requisitos do sistema e de Identifica os componentes de hardware,

instalação. software e do Symantec Network Access
Control que você precisa obter para
executar o Enforcer e planejar sua
colocação na rede.
Consulte “Requisitos do sistema para

um Integrated Enforcer for Microsoft
Network Access Protection”
na página 1109.
Consulte “Componentes de um
Symantec Integrated Enforcer for
Microsoft Network Access Protection”
na página 1111.
Etapa 2 Instale o Symantec Endpoint Protection Instala o aplicativo que você usa para
Manager. suportar o Enforcer em sua rede.
Consulte “Para instalar o Symantec

Endpoint Protection Manager”
na página 99.
Etapa 3 Instale o Symantec Network Access Instala os componentes do Symantec

Control Integrated Enforcer for Network Access Control Integrated
Microsoft Network Access Protection. Enforcer for Microsoft Network Access
Protection.

Enforcer for Microsoft Network Access
Requisitos do sistema para um Integrated Enforcer

A Tabela 55-2 resume os requisitos mínimos para os computadores nos quais você
instala o Integrated Enforcer for Microsoft Network Access Protection.
Requisitos do sistema para um Integrated Enforcer for Microsoft Network Access Protection
Tabela 55-2 Requisitos do sistema do Integrated Enforcer for Microsoft Network

Access Protection
Hardware Nota: As escolhas de hardware são afetadas pelo tipo de

aplicação NAP que você planeja. Veja as diretrizes a seguir.
Para instalações de até 10.000 usuários, use os seguintes

■ Pentium III 750 MHz

■ Adaptadores de rede Fast Ethernet
Para instalações de 10.000 ou mais usuários, use os seguintes
■ Pentium 4 2,4 GHz

■ Adaptadores de rede de 1 GB
■ Monitor de resolução 800 x 600 com 256 cores (mínimo)
Componentes de um Symantec Integrated Enforcer for Microsoft Network Access Protection
Sistema operacional Assegure-se de que os seguintes sistema operacional e serviços

sejam instalados:
■ Windows Server 2008 Standard Edition
■ Windows Server 2008 Enterprise Edition, versões x86 e
x64
■ Windows 2008 R2
■ Selecione uma das seguintes configurações:
■ Serviço DHCP do Windows Server 2008, se você planeja
usar aplicação de DHCP.
O serviço DHCP do Windows Server 2008 deve estar no
mesmo computador que o Network Policy Server do
Windows Server 2008.
■ Serviço DHCP do Windows, se você planeja usar a
aplicação de 802.1x.
O serviço DHCP do Windows deve estar no mesmo
computador que o Network Policy Server do Windows
Server 2008. Você também pode configurar o serviço
DHCP em um computador separado que tenha sido
configurado como um servidor DHCP do Windows 2008
ou do Windows 2003.
■ Serviço do servidor Network Policy Server (NPS) do
Windows Server 2008
Componentes de um Symantec Integrated Enforcer

O Symantec Integrated Enforcer for Microsoft Network Access Protection funciona
com o servidor DHCP da Microsoft, o Symantec Endpoint Protection Manager e
o cliente do Symantec Network Access Control com a proteção de acesso à rede
ativada. O Symantec Integrated Enforcer for Microsoft Network Access Protection
verifica se os clientes cumprem as políticas de segurança configuradas para que
os clientes possam se conectar a uma rede.
Os seguintes componentes devem estar instalados para que seja possível usar o
Symantec Integrated Enforcer for Network Access Protection:
Symantec Endpoint Protection Manager Necessário para criar políticas de segurança em

versão 12.1 um local centralizado e atribuí-las aos clientes.
Instalação do Integrated Enforcer for Microsoft Network Access Protection
Servidor Windows 2008 Instalação necessária do Microsoft Windows

Server com o serviço do servidor DHCP e o serviço
O serviço do servidor DHCP, bem como
do Network Policy Server. Esses dois serviços
o serviço do Network Policy Server
devem ser instalados e configurados para que seja
(NPS), deve também ser instalado no
possível instalar o Symantec Network Access
mesmo computador
Protection Integrated Enforcer.
Controlador de domínio Instalação necessária do Controlador de domínio

no mesmo computador que o Symantec Endpoint
Protection Manager ou em um computador
diferente que suporte o Microsoft Windows Server
2003.
Symantec Integrated Enforcer for Necessário para a autenticação de clientes e para

Microsoft Network Access Protection a aplicação de políticas de segurança.
Cliente do Symantec Network Access Instalação necessária do cliente do Symantec

Control Network Access Control.
Instalação do Integrated Enforcer for Microsoft

Você deve instalar o Integrated Enforcer for Microsoft Network Access Protection
no mesmo computador no qual já instalou o Microsoft Network Policy Server.
Faça login como administrador ou como um usuário do grupo de administradores.
Nota: Após concluir a instalação do Symantec Integrated NAP Enforcer, é

necessário conectar-se ao Symantec Endpoint Protection Manager.
Para instalar Integrated Enforcer for Microsoft Network Access Protection com o
Assistente de Instalação
1 Insira o disco do produto para Symantec Network Access Control na unidade
de DVD para iniciar automaticamente a instalação.
Se a instalação não iniciar automaticamente, clique duas vezes em:
Você deve sair da instalação e instalar o servidor NPS caso ele ainda não esteja
instalado.
Se o serviço do servidor NAP já estiver instalado, será exibida a mensagem

Bem-vindo ao Assistente de Instalação do Symantec Integrated NAP
Enforcer.
3 No painel Contrato de licença, clique em Aceito este contrato de licença.
■ Se quiser aceitar a pasta de destino padrão, clique em Avançar.
O local de instalação padrão é um dos seguintes:
■ C:\Arquivos de Programa\Symantec\Symantec Endpoint
■ C:\Arquivos de Programa (x86)\Symantec\Symantec Endpoint

■ Clique em Procurar, localize e selecione uma pasta de destino, clique em

OK e em Avançar.
6 Se o painel Role Selection (Seleção de funções) for exibido, selecione NAP

Enforcement (Aplicação do NAP) e clique em Next (Avançar).
O painel Seleção de funções apenas será exibido se mais de um tipo de
Symantec NAC Integrated Enforcer puder ser instalado com base nos serviços
que estão em execução no servidor.
7 No painel Pronto para instalar o aplicativo, clique em Avançar.
Se você precisar modificar algumas das configurações anteriores, clique em
Voltar.
Se você precisar reinstalar o Symantec Integrated NAP Enforcer, deverá,
primeiro, desinstalá-lo.
9 Clique em Iniciar > Programas > Symantec Endpoint Protection Manager
> Symantec NAC Integrated Enforcer.
Desinstalação do Integrated Enforcer for Microsoft Network Access

Protection
Você pode desinstalar o Integrated Enforcer for Microsoft Network Access
Protection usando a barra de tarefas do Windows ou a linha de comando.
Para desinstalar o Integrated Enforcer for Microsoft Network Access Protection

Adicionar ou remover programas.
2 Clique em Symantec NAC Integrated Enforcer e em Remover.
3 Para responder ao prompt que pergunta se você deseja remover o software,
clique em Sim.
4 Para responder ao prompt que pergunta se você desejar reiniciar o servidor
NPS, execute um destes procedimentos:
■ Para reiniciar o servidor NPS imediatamente, clique em Sim.
■ Para reiniciar manualmente o serviço NPS mais tarde (padrão), clique em
Não.
Se o serviço NPS for reiniciado mais tarde, ele deverá ser interrompido e,
então, reiniciado.
O serviço NPS deverá ser reiniciado para desinstalar o Symantec Integrated
Enforcer completamente.
Para desinstalar o Integrated Enforcer for Microsoft Network Access Protection
pela linha de comando
1 Abra uma janela de comando do DOS.
2 No prompt de comando, digite uma das seguintes alternativas:
■ MsiExec.exe /qn/X{A145EB45-0852-4E18-A9DC-9983A6AF2329} para
x86
■ MsiExec.exe /qn/X{977BF644-A8FF-484f-8AF7-C1AF40F38DEA} para
x64
3 Reinicie o servidor NPS.
Interrupção e inicialização manual do Network Access Protection

Interrompa o servidor NAP (Network Access Protection) manualmente para fazer
o upgrade para uma nova versão do Integrated Enforcer for Microsoft Network
Access Control. Você deverá reiniciá-lo após concluir o upgrade.
Para interromper e reiniciar o servidor NAP manualmente
Ferramentas administrativas > Serviços.
2 Clique em Servidor NAP.
3 Clique com o botão direito do mouse e, em seguida, clique em Interromper.

Capítulo 56
Protection em um console
do Enforcer
■ Sobre como configurar o Symantec Integrated Enforcer for Microsoft Network

Access Protection em um console do Enforcer
■ Como conectar um Symantec Integrated Enforcer for Microsoft Network Access

Protection a um servidor de gerenciamento em um console do Enforcer
■ Criptografia de comunicação entre o Symantec Integrated Enforcer for

Microsoft Network Access Protection e um servidor de gerenciamento
■ Configuração de um nome de grupo do Enforcer no console do Symantec

Integrated Enforcer for Microsoft Network Access Protection
■ Configuração de um protocolo de comunicação HTTP no console do Symantec

Integrated Enforcer for Microsoft Network Access Protection
1118 Para configurar o Symantec Network Access Control Integrated Enforcer for Microsoft Network Access Protection em um
console do Enforcer
Sobre como configurar o Symantec Integrated Enforcer for Microsoft Network Access Protection em um console do
Enforcer
Sobre como configurar o Symantec Integrated

Enforcer for Microsoft Network Access Protection em
um console do Enforcer
Depois de concluir a instalação do Symantec Integrated NAP Enforcer, é necessário
executar as tarefas a seguir antes que o Symantec Integrated Enforcer for Microsoft
Network Access Protection possa se tornar operacional.
Tabela 56-1 Resumo da configuração do console do Enforcer
Etapa 1 Conecte o Integrated Enforcer a um Symantec Especifique o Symantec Endpoint Protection

Endpoint Protection Manager. Manager ao qual o Symantec Integrated Enforcer
for Microsoft Network Access Protection pode se
conectar.
Inclua o nome de host ou o endereço IP do Symantec

Endpoint Protection Manager em um arquivo que é
chamado de lista de servidores de gerenciamento.
O Symantec NAC Integrated Enforcer deve
conectar-se a um endereço IP ou nome de host de
um Symantec Endpoint Protection Manager. Caso
contrário, a configuração falhará.
Consulte “Como conectar um Symantec Integrated

a um servidor de gerenciamento em um console do
Etapa 2 Criptografar a comunicação entre Integrated Adicione uma senha criptografada ou um segredo
Enforcer e o servidor de gerenciamento. pré-compartilhado que você configurou durante a
instalação do Symantec Endpoint Protection
Manager.
A senha criptografada era previamente conhecida

como uma chave pré-compartilhada.
Consulte “Criptografia de comunicação entre o

Symantec Integrated Enforcer for Microsoft Network
Access Protection e um servidor de gerenciamento”
na página 1121.
Para configurar o Symantec Network Access Control Integrated Enforcer for Microsoft Network Access Protection em um 1119
console do Enforcer
Como conectar um Symantec Integrated Enforcer for Microsoft Network Access Protection a um servidor de
gerenciamento em um console do Enforcer
Etapa 3 Nomear o grupo do Enforcer. Configure um nome de grupo do Enforcer
Consulte “Configuração de um nome de grupo do

Enforcer no console do Symantec Integrated
Enforcer for Microsoft Network Access Protection”
na página 1122.
Etapa 4 Configure um protocolo de comunicação HTTP ou Estabeleça comunicação HTTP ou HTTPS entre o
HTTPS. Symantec Integrated Enforcer for Microsoft Network
Access Protection e o Symantec Endpoint Protection
Manager.
Consulte “Configuração de um protocolo de

comunicação HTTP no console do Symantec
Integrated Enforcer for Microsoft Network Access
Como conectar um Symantec Integrated Enforcer for

Microsoft Network Access Protection a um servidor
de gerenciamento em um console do Enforcer
É preciso conectar um Symantec Integrated Enforcer for Microsoft Network Access
Protection (NAP Enforcer) a um servidor de gerenciamento no console do Network
Access Protection Enforcer.
Para estabelecer comunicação entre o console do Integrated Enforcer e o Symantec
O console de configuração do Symantec Network Access Control Integrated
Enforcer aparece. Esta página principal mostra o status da conexão entre o
Integrated Enforcer e o Symantec Endpoint Protection Manager. A luz verde
indica que o Integrated Enforcer está ativamente conectado ao servidor de
gerenciamento. A luz vermelha indica que não há conexão.
> Servidor de gerenciamento.
console do Enforcer
Como conectar um Symantec Integrated Enforcer for Microsoft Network Access Protection a um servidor de
gerenciamento em um console do Enforcer
3 Na caixa de diálogo Servidor de gerenciamento, digite o endereço IP ou o

nome do Symantec Endpoint Protection Manager no campo de texto Endereço
do servidor.
Se desejar usar um nome de host ou um nome de domínio, assegure-se de que
o nome é corretamente solucionado pelo Servidor de nomes de domínio
(servidor DNS).
4 Na caixa de diálogo Servidor de gerenciamento, edite o número da porta que
o Integrated Enforcer usa para se comunicar com o Symantec Endpoint
Protection Manager.
O número da porta padrão é 8014 para o protocolo HTTP e 443 para o
protocolo HTTPS. Você poderá usar apenas o protocolo HTTPS se tiver sido
configurado da mesma maneira no Symantec Endpoint Protection Manager.
5 Na caixa de texto Senha de criptografia, digite a senha do Symantec Endpoint
Protection Manager para sua conexão.
O Symantec Endpoint Protection Manager e o Integrated Enforcer devem
usar a mesma senha criptografada para comunicação.
Para exibir as letras e os números da chave pré-compartilhada em vez de
asteriscos, selecione Usar valor de hash. Se a opção Usar valor de hash estiver
ativada, a senha de criptografia deverá ter 32 caracteres e usar somente
6 Na caixa de texto de grupo Preferred (Preferencial), digite um nome para o
grupo do Integrated Enforcer.
Se você não especificar um nome de grupo, o Symantec Endpoint Protection
Manager atribuirá o Symantec Network Access Control Integrated Enforcer
a um grupo padrão do Enforcer com configurações padrão. O nome padrão
do grupo é I-DHCP. Porém, o Symantec Network Access Control Integrated
Enforcer para servidores NAP da Microsoft e os enforcers baseados em
appliances devem estar em um grupo separado.
Você pode exibir as configurações do grupo do console do Symantec Endpoint
Protection Manager na página Servidores.
console do Enforcer
Criptografia de comunicação entre o Symantec Integrated Enforcer for Microsoft Network Access Protection e um
7 Para especificar o protocolo que o Symantec Network Access Control

Integrated Enforcer usa para se comunicar com o Symantec Endpoint
Protection Manager, selecione HTTP ou HTTPS.
Você poderá usar apenas o protocolo HTTPS se o Symantec Endpoint
Protection Manager executar o protocolo SSL.
Se você selecionar o HTTPS e quiser exigir a verificação do certificado do
servidor de gerenciamento com uma autoridade de certificação externa
confiável, selecione Verificar o certificado quando usar o protocolo HTTPS.
8 Clique em Salvar.
Depois que o Integrated Enforcer conectar ao Symantec Endpoint Protection
Manager, você poderá alterar a maior parte das configurações no console do
Symantec Endpoint Protection Manager. Porém, o segredo pré-compartilhado
ou a senha criptografada devem ser idênticos no Integrated Enforcer e no
Symantec Endpoint Protection Manager para que eles se comuniquem.
Para remover o Symantec Endpoint Protection Manager de uma lista de servidores
de gerenciamento em um console do Symantec Integrated NAP Enforcer
1 Na barra de tarefas do Windows, no computador do Enforcer, clique em Iniciar
> Programas > Symantec Endpoint Protection > Symantec Integrated NAP
Enforcer.
2 No painel esquerdo, expanda Symantec NAP Enforcer.
5 Para remover um Symantec Endpoint Protection Manager, clique em Remover
ou Remover tudo na coluna de ícones.
Criptografia de comunicação entre o Symantec

Protection e um servidor de gerenciamento
Se você quiser adicionar outra camada de segurança, poderá proteger a
comunicação entre o Symantec NAC Integrated Enforcer e o Symantec Endpoint
Protection Manager por meio de criptografia. Uma comunicação criptografada
exige o uso do protocolo HTTPS em vez do protocolo HTTP. Você precisa também
comprar de um fornecedor um certificado de terceiros.
Você normalmente configura uma senha criptografada durante a instalação do
Symantec Endpoint Protection Manager pela primeira vez. A mesma senha deve
ser configurada no Symantec Integrated NAP Enforcer. Se as senhas criptografadas
console do Enforcer
Configuração de um nome de grupo do Enforcer no console do Symantec Integrated Enforcer for Microsoft Network
Access Protection
não corresponderem, a comunicação entre o Symantec Integrated NAP Enforcer

e o Symantec Endpoint Protection Manager falhará.
Para criptografar a comunicação entre o Symantec NAC Integrated Enforcer e um
Enforcer.
5 Digite a senha criptografada na caixa de texto Senha criptografada no console
do Symantec Integrated NAP Enforcer.
O Symantec Integrated NAP Enforcer deve usar a mesma senha criptografada
para comunicação com o Symantec Endpoint Protection Manager. A senha
criptografada é sempre configurada durante a instalação do Symantec
6 Selecione Usar valor de hash. Se a opção Usar valor de hash estiver
selecionada, a senha de criptografia deverá ter 32 caracteres e usar somente
As letras e os números da senha criptografada agora são exibidos em lugar
dos asteriscos.
7 Clique em OK.
Configuração de um nome de grupo do Enforcer no

console do Symantec Integrated Enforcer for
Você deve adicionar um nome para o grupo do Enforcer. Depois que o Symantec
NAC Integrated Enforcer se conecta ao Symantec Endpoint Protection Manager,
ele registra o nome do grupo do Enforcer automaticamente no servidor de
gerenciamento.
console do Enforcer
Configuração de um protocolo de comunicação HTTP no console do Symantec Integrated Enforcer for Microsoft Network
Access Protection
Para configurar um nome de grupo do Enforcer no console do Symantec NAC

Integrated Enforcer
Enforcer.
5 No painel direito, digite o nome de grupo do Enforcer na caixa de texto Grupo
preferido no console do Symantec Integrated NAP Enforcer.
Se você não adicionar um nome para o grupo do Integrated Enforcer no console
Enforcer, todos os Integrated Enforcers se tornarão automaticamente parte
do grupo temporário do servidor de gerenciamento. Se você adicionar o nome
do grupo de Integrated Enforcer no console Enforcer, o nome do grupo de
Enforcer será registrado automaticamente no servidor de gerenciamento.
6 Clique em OK.
Configuração de um protocolo de comunicação HTTP

no console do Symantec Integrated Enforcer for
Você precisa estabelecer um protocolo de comunicação entre o Symantec Integrated
Enforcer for Microsoft Network Access Protection e o Symantec Endpoint
Protection Manager. Caso contrário, a comunicação entre Symantec Integrated
Enforcer for Microsoft Network Access Protection e o Symantec Endpoint
Protection Manager falha.
Você pode configurar um protocolo HTTP ou HTTPS. Se você selecionar o protocolo
HTTPS, você precisará comprar um certificado de outro fornecedor.
Para configurar um protocolo de comunicação HTTP no Symantec Integrated
> Programas > Symantec Endpoint Protection > Symantec NAC Integrated
Enforcer.
3 Expanda Configure (Configurar).
4 Clique em Management Servers (Servidores de gerenciamento).
console do Enforcer
Configuração de um protocolo de comunicação HTTP no console do Symantec Integrated Enforcer for Microsoft Network
Access Protection
5 No painel direito do console do Symantec Integrated NAP Enforcer, clique

em HTTP.
Se desejar configurar comunicação criptografada entre o Symantec Integrated
NAP Enforcer e o Symantec Endpoint Protection Manager, você deverá usar
o protocolo HTTPS.
6 Se você precisar verificar o certificado por usar o protocolo HTTPS, marque
VerifycertificatewhenusingHTTPSprotocol(Verificarocertificadoquando
usar o protocolo HTTPS).
7 Clique em OK.
Capítulo 57
Protection no Symantec
Endpoint Protection
Manager
■ Sobre como configurar o Symantec Integrated Enforcer for Microsoft Network

Access Protection no Symantec Endpoint Protection Manager
■ Ativação da imposição do NAP para clientes
■ Como verificar se o servidor de gerenciamento gerencia o cliente
■ Verificação das políticas do Validador da integridade de segurança
■ Verificação de clientes que passaram na verificação de integridade do host
■ Configuração de logs para o Symantec Integrated Enforcer for Network Access

Protection
1126 Para configurar o Symantec Network Access Control Integrated Enforcer for Microsoft Network Access Protection no
Sobre como configurar o Symantec Integrated Enforcer for Microsoft Network Access Protection no Symantec Endpoint
Protection Manager
Sobre como configurar o Symantec Integrated

Enforcer for Microsoft Network Access Protection no
Se desejar suportar o Symantec Integrated Enforcer for Microsoft Network Access
Protection em um ambiente de rede, será necessário ativar a imposição de NAP
no Symantec Endpoint Protection Manager. Caso contrário, o Enforcer funciona
incorretamente.
Você precisa também definir um ou mais critérios para os requisitos da política
do Validador da integridade de segurança. Por exemplo, você pode verificar se a
política do Validador da integridade de segurança do cliente é a mais recente que
foi instalada em um cliente. Se não for a política mais recente do Validador da
integridade de segurança, o cliente será bloqueado e, consequentemente, incapaz
de conectar-se à rede.
Tabela 57-1 Resumo da configuração do Symantec Endpoint Protection Manager
Etapa 1 Ative a imposição de Network Access Ative a imposição de Network Access

Protection para clientes. Protection para clientes de modo que o
Integrated Enforcer possa executar
políticas do Validador da integridade
da segurança.
Consulte “Ativação da imposição do

NAP para clientes” na página 1127.
Etapa 2 Opcionalmente, verifique se o Symantec Configure uma verificação para

Endpoint Protection Manager está assegurar-se de que o servidor de
gerenciando o cliente do Symantec gerenciamento gerencie o cliente do
Network Access Control ou o cliente do Symantec Network Access Control ou
Symantec Endpoint Protection. o cliente do Symantec Endpoint
Protection.
Consulte “Como verificar se o servidor

de gerenciamento gerencia o cliente”
na página 1128.
Para configurar o Symantec Network Access Control Integrated Enforcer for Microsoft Network Access Protection no 1127
Ativação da imposição do NAP para clientes
Etapa 3 Opcionalmente, verifique se as políticas Verifique se o cliente do Symantec

do Validador da integridade de Network Access Control e o cliente do
segurança mais recentes estão Symantec Endpoint Protection têm as
instaladas. políticas mais recentes do Validador da
integridade de segurança instaladas
Consulte “Verificação das políticas do

Validador da integridade de segurança”
na página 1128.
Etapa 4 Opcionalmente, verifique se os clientes Verifique se os clientes estão em

passaram na verificação de integridade conformidade com a Política de
do host integridade do host.
Consulte “Verificação de clientes que

passaram na verificação de integridade
do host” na página 1129.
Etapa 5 Opcionalmente, configure logs para Ative o envio de dados de log para o
exibição no Symantec Endpoint Symantec Endpoint Protection
Protection Manager. Manager.
Consulte “Configuração de logs para o

Symantec Integrated Enforcer for
Network Access Protection”
na página 1130.
Ativação da imposição do NAP para clientes

Você deve ativar a imposição de NAP (Network Access Protection) para os clientes
do Symantec Endpoint Protection e do Symantec Network Access Control. Se você
não ativar a imposição do NAP para clientes, o Symantec Integrated Enforcer for
Microsoft Network Access Protection não poderá implementar nenhuma política
do Validador da integridade de segurança.
Para ativar a imposição NAP para clientes
1 No console do Symantec Endpoint Protection Manager, clique em Clientes.
2 Na página Clientes, em Exibir grupos, selecione o grupo para o qual você
quer ativar a imposição de NAP.
3 Na guia Políticas, clique em Configurações gerais.
4 Na caixa de diálogo Configurações, clique em Configurações de segurança.
Como verificar se o servidor de gerenciamento gerencia o cliente
5 Na guia Configuração de segurança, na área Aplicar cliente, selecione Ativar

imposição de NAP.
A configuração Ativar imposição de NAP está desativada por padrão.
6 Clique em OK.
Como verificar se o servidor de gerenciamento

gerencia o cliente
Você pode configurar uma verificação para assegurar-se de que o Symantec
Endpoint Protection Manager gerencie o cliente do Symantec Endpoint Protection
ou o cliente do Symantec Network Access Control.
Para verificar se o servidor de gerenciamento gerencia o cliente
Administrador.
3 Em Exibir, selecione o grupo de Enforcer para o qual deseja verificar se o
servidor de gerenciamento gerencia o cliente.
4 Clique com o botão direito do mouse no grupo do Enforcer e selecione Editar
propriedades.
5 Na área Informações do cliente, na guia Configurações NAP da caixa de
diálogo Configurações do I-DHCP, marque Verificar se o servidor de
gerenciamento gerencia o cliente.
A configuração Verificar se o servidor de gerenciamento gerencia o cliente
é desativada por padrão.
6 Clique em OK.
Verificação das políticas do Validador da integridade

de segurança
Você pode certificar-se de que o Symantec Endpoint Protection e os clientes do
Symantec Network Access Control têm as políticas mais recentes do Validador da
integridade de segurança instaladas.
Para configurar o Symantec Network Access Control Integrated Enforcer for Microsoft Network Access Protection no 1129
Verificação de clientes que passaram na verificação de integridade do host
Para verificar políticas do Validador da integridade de segurança

Administrador.
3 Em Exibir , selecione o grupo no qual você deseja configurar políticas do
Validador da integridade de segurança.
propriedades.
5 Na área Informações do cliente na guia Configurações NAP da caixa de diálogo
Configurações do I-DHCP, marque Verificar se a política do Validador da
integridade está atualizada.
A configuração Verificar se a política do Validador da integridade está
atualizada é desativada por padrão.
6 Clique em OK.
Verificação de clientes que passaram na verificação

de integridade do host
Você pode configurar uma verificação de conformidade para clientes no Symantec
Para verificar clientes que passaram na verificação de integridade do host
Administrador.
3 Em Exibir, selecione o grupo Enforcer no qual deseja verificar se o cliente
passou na verificação de integridade do host.
propriedades.
5 Na área Status de integridade do host na guia Configuração do NAP da caixa
de diálogo Configurações do I-DHCP, selecione Verificar se o cliente passou
na verificação de integridade do host.
A configuração Verificar se o cliente passou na verificação de integridade
do host é desativada por padrão.
6 Clique em OK.
Configuração de logs para o Symantec Integrated Enforcer for Network Access Protection
Configuração de logs para o Symantec Integrated

Enforcer for Network Access Protection
Os logs do Symantec Integrated Network Access Protection (NAP) Enforcer são
armazenados no mesmo computador em que você instalou o Symantec Integrated
NAP Enforcer. Os logs do Enforcer são gerados por padrão.
Se desejar exibir logs do Enforcer no console do Symantec Endpoint Protection
Manager, será necessário ativar o evnio de logs no console do Symantec Endpoint
Protection Manager. Se esta opção estiver ativada, os dados de log serão enviados
do Symantec Integrated NAP Enforcer ao Symantec Endpoint Protection Manager
e armazenados em um banco de dados.
Você pode modificar as configurações de log para o Symantec Integrated NAP
Enforcer no console do Symantec Endpoint Protection Manager. As atividades
são registradas no mesmo log do servidor do Enforcer para todos os Enforcers em
um site.
Você pode definir configurações dos seguintes logs gerados pelo Symantec
Integrated NAP Enforcer:
■ Log do servidor do Enforcer
O log do servidor do Enforcer fornece as informações que estão relacionadas
ao funcionamento de um Enforcer.
■ Log do cliente do Enforcer
O log do cliente fornece as informações sobre as interações entre o Integrated
Enforcer e os clientes que tentaram se conectar à rede. Ele fornece informações
sobre autenticação, falha de autenticação e desconexão.
Capítulo 58
Para configurar conexões
temporárias para clientes
do Symantec Network
Access Control sob
demanda
■ Sobre os clientes do Symantec Network Access Control On-Demand
■ Para configurar clientes sob demanda do Symantec Network Access Control

em um console de um Gateway Enforcer
■ Configuração do desafio de acesso do convidado usando o Integrated Enforcer

DHCP do Symantec Network Access Control
■ Ativação de clientes sob demanda do Symantec Network Access Control para

se conectarem temporariamente a uma rede
■ Como desativar o cliente do Symantec Network Access Control On-Demand
■ Configuração da autenticação no console do Gateway Enforcer para clientes

do Symantec Network Access Control sob demanda
■ Edição do banner na página Bem-vindo

1132 Para configurar conexões temporárias para clientes do Symantec Network Access Control sob demanda
Sobre os clientes do Symantec Network Access Control On-Demand
Sobre os clientes do Symantec Network Access

Control On-Demand
Os usuários finais precisam freqüentemente conectar-se temporariamente a uma
rede corporativa, mesmo que seus computadores não tenham o software aprovado.
Se uma rede corporativa incluir um appliance Gateway Enforcer, o Enforcer poderá
instalar clientes sob demanda em computadores de modo que eles sejam
compatíveis. Assim que o Enforcer tiver instalado um cliente On-Demand, se
conectará temporariamente a uma rede de empresa como convidado.
O administrador pode configurar o appliance Gateway Enforcer para que faça
download automaticamente dos clientes do Symantec Network Access Control
sob demanda em plataformas Windows e Mac. Assim que o cliente do Symantec
Network Access Control On-Demand for transferido por download para um
computador-cliente, o cliente tentará se conectar à rede da empresa.
Consulte “O que você pode fazer com clientes On-Demand” na página 860.
Para configurar clientes sob demanda do Symantec

Network Access Control em um console de um
Gateway Enforcer
Para que você possa definir o download automático dos clientes sob demanda do
Symantec Network Access Control para Windows e Macintosh, é necessário já ter
concluído as tarefas a seguir:
■ Ter instalado o software do Symantec Network Access Control que está
localizado no disco do produto. Este software inclui o software do Symantec
Endpoint Protection Manager que você deve instalar.
■ Ter anotado o nome da senha criptografada que você implementou durante a
instalação do software Network Access Control.
■ Ter instalado e configurado um appliance Gateway Enforcer.
Quando você instala e configura um appliance Enforcer pela primeira vez, ele
atribui um nome ao grupo do Enforcer durante o processo de instalação. Você
deve planejar a atribuição dos endereços IP, nomes de host e também a
configuração das placas de interface de rede (NICs). Se as NICs forem
configuradas incorretamente, a instalação falhará ou se comportará de maneira
inesperada.
Para configurar conexões temporárias para clientes do Symantec Network Access Control sob demanda 1133
Para configurar clientes sob demanda do Symantec Network Access Control em um console de um Gateway Enforcer
O nome do grupo do Enforcer aparece automaticamente no console do Symantec

Endpoint Protection Manager, no painel Servidor associado a cada appliance
Enforcer.
Você também pode configurar o acesso convidado com o DHCP Integrated
Enforcer.
Consulte “Configuração do desafio de acesso do convidado usando o Integrated
Enforcer DHCP do Symantec Network Access Control” na página 1135.
■ Verificação do status da conexão entre o appliance Enforcer e o servidor de
gerenciamento no console do appliance Enforcer.
Consulte “Verificação do status de comunicação de um appliance Enforcer no
console do Enforcer” na página 927.
na página 928.
■ Ativado um redirecionamento HTTP ou spoofing de DNS no console do
O redirecionamento HTTP ou spoofing de DNS é o endereço IP da NIC interna
(eth0) que está localizado no appliance Gateway ou DHCP Enforcer.
Consulte “Redirecionamento de solicitações HTTP para uma página da Web”
na página 966.
Para o redirecionamento HTTP, você adiciona o URL na página Administrador
no Symantec Endpoint Protection Manager. Após exibir a página
Administrador, será necessário exibir o painel Servidores e selecionar o grupo
do Enforcer em Exibir servidores. Se você selecionar o grupo do Enforcer do
qual o Gateway Enforcer é membro, clique em Editar propriedades do grupo
em Tarefas. Na caixa de diálogo Configurações do Enforcer, selecione a guia
Autenticação e digite o URL no campo URL de redirecionamento HTTP.
■ Você deve criar o grupo de clientes como um subgrupo do grupo Minha empresa
com direitos de acesso total.
Adicione o grupo de clientes na página Clientes como um subgrupo do grupo
Minha empresa no Symantec Endpoint Protection Manager.
Certifique-se de que você escreveu o nome do grupo de clientes do Enforcer
que gerencia clientes sob demanda do Symantec Network Access Control. Se
você não criar um grupo separado, o grupo padrão no Symantec Endpoint
Protection Manager assumirá o gerenciamento dos clientes sob demanda do
■ Criado um local opcional separado para um grupo de cliente do Enforcer no
Se você não criar um local separado para o grupo que gerencia os clientes
convidados ou clientes do Symantec Network Access Control On-Demand, o
local padrão será atribuído automaticamente aos clientes convidados. As
melhores práticas são criar um local separado para o grupo de cliente do
Para configurar clientes sob demanda do Symantec Network Access Control em um console de um Gateway Enforcer
Enforcer no Symantec Endpoint Protection Manager. Outra prática

recomendada é usar grupos diferentes para clientes Windows e Mac. Os
recursos são diferentes. Por exemplo, os clientes sob demanda do Windows
podem ser configurados para ter mensagens pop-up. Os clientes Mac não
podem.
Os critérios de localização ajudam a definir os critérios que podem identificar
os clientes convidados ou clientes do Symantec Network Access Control
On-Demand por seu endereço IP, endereço MAC, nome de host ou outros
critérios. A melhor prática é criar um local separado ao qual todos os clientes
convidados ou clientes do Symantec Network Access Control On-Demand serão
atribuídos automaticamente caso queiram conectar-se a uma rede temporária
sem as credenciais corretas.
Você pode adicionar e atribuir um local ao grupo de clientes do Enforcer na
página Clientes, em Tarefas, no Symantec Endpoint Protection Manager.
■ Adicionado e atribuído uma política opcional de integridade do host para o
grupo e o local de cliente do Enforcer no console do Symantec Endpoint
Protection Manager.
É opcional adicionar e atribuir uma política de integridade do host ao grupo e
ao local do cliente do Enforcer no console do Symantec Endpoint Protection
Manager, mas são as melhores práticas para especificar os seguintes critérios:
■ A frequência com que a verificação de integridade do host é executada
■ Tipo da Política de integridade do host que você quer implementar
Você pode adicionar e atribuir uma política de integridade do host opcional a
um grupo de clientes e um local do Enforcer na página Políticas, em Tarefas,
■ Ativou uma mensagem pop-up opcional para clientes Windows. Configure essa
opção no console do Symantec Endpoint Protection Manager.
■ Obtido o número de ID do domínio localizado no console do Symantec Endpoint
Protection Manager.
Você deve ter o ID do domínio por perto porque precisará configurar o ID do
domínio no Gateway ou no DHCP Enforcer com o comando sob demanda
spm-domain.
Consulte “Ativação de clientes sob demanda do Symantec Network Access
Control para se conectarem temporariamente a uma rede” na página 1139.
Configuração do desafio de acesso do convidado usando o Integrated Enforcer DHCP do Symantec Network Access
Control
Configuração do desafio de acesso do convidado

usando o Integrated Enforcer DHCP do Symantec
O acesso do convidado e o Integrated Enforcer DHCP exigem um Gateway Enforcer
e um servidor DNS, porque o Integrated DHCP Enforcer não suporta o spoofing
de DNS.
A primeira etapa para ativar esta solução é configurar um servidor DNS separado
e um Gateway Enforcer na rede de quarentena. O endpoint convidado recebe um
endereço IP restrito e em quarentena com este servidor DNS. Este servidor DNS
de quarentena resolve todas as solicitações do DNS no Gateway Enforcer. O
endpoint do convidado que recebe a resolução do DNS envia todas as solicitações
do HTTP para o Gateway Enforcer. O Gateway Enforcer redireciona em seguida
a solicitação ao servidor da Web sob demanda para o download do cliente sob
demanda. Após concluir o download para o endpoint, a verificação de integridade
do host será executada, e o resultado (da política configurável) determinará o
acesso para o endpoint. Se as etapas de verificação da integridade do host forem
aprovadas, o endpoint terá concedido um endereço IP normal com o servidor DNS
normal. Se a integridade do host falhar, o endpoint permanecerá com um endereço
IP em quarentena com o servidor DNS em quarentena.
Control
Figura 58-1 Diagrama de rede do Integrated Enforcer DHCP configurado para

impedir o spoofing de DNS
Endereço IP Convida Endereço IP

normal da rede: do da rede de quarentena:
192.168.100.22 192.168.100.22
Máscara de sub-rede: Máscara de sub-rede:
255.255.255.0 255.255.255.255
DNS/WINS: 192.168.100.1 DNS/WINS: 192.168.100.3
DHCP/DNS/WINS normal SEPM (Win2k3) DNS/WINS de quarentena Gateway Enforcer

(Win2k3) 192.168.100.2 (Win2k3) Eth0: 192.168.100.4
DHCP Integrated Enforcer instalado 102.168.100.3
192.168.100.1
Para configurar o Integrated Enforcer DHCP

1 Configure o Integrated Enforcer DHCP para se conectar ao seu Symantec
2 Configure o DHCP Integrated Enforcer para usar uma máscara de sub-rede
segura para endereços IP em quarentena.
Consulte “Configuração de uma máscara de sub-rede segura” na página 1089.
3 Configure o Integrated Enforcer DHCP para adicionar rotas estáticas aos
endereços IP em quarentena no Servidor DHCP. As rotas estáticos incluem
os servidores DHCP (192.168.100.1), DNS (192.168.100.3), SEPM
(192.168.100.2) e o endereço IP interno do Gateway Enforcer (192.168.100.4)
4 Verifique se as rotas estáticas foram adicionadas ao servidor DHCP. A
configuração é feita no console do Enforcer: clique em Opções de escopo e
assegure-se de que Opção de rota estática 033 esteja selecionada para cada
rota.
5 Adicione um servidor DNS. Clique com o botão direito do mouse em Opções
de escopo e clique em seguida em Configurar opções….
6 Na guia Avançado, selecione Opções padrão DHCP como Classe do
fornecedor e Classe do usuário Padrão como Classe do usuário.
Control
7 Na caixa de rolagem Opções disponíveis, clique para selecionar Servidores

DNS 006.
8 Na caixa de preenchimento Endereço IP, adicione o endereço IP normal do
servidor DNS (192.168.100.1).
9 Clique em Aplicar.
10 Adicione um servidor WINS usando seus procedimentos usuais.
11 Defina as configurações do escopo do endereço IP em quarentena.
12 Clique com o botão direito do mouse em Opções de escopo e clique em seguida
em Configurar opções….
13 Na guia Avançado, selecione Opções padrão DHCP como Classe do
fornecedor e SNAC_QUARANTINE como Classe do usuário.
14 Na caixa de rolagem Opções disponíveis, clique para selecionar Servidores
DNS 006.
15 Na caixa de preenchimento Endereço IP, adicione o endereço IP em
quarentena do servidor DNS (192.168.100.3).
17 Adicione um servidor WINS da quarentena, com o endereço de quarentena
de 192.168.100.3.
A seguir, você configura o Gateway Enforcer.
Para configurar o Gateway Enforcer como um appliance convidado
1 Conecte eth0 à rede e defina o endereço IP para 192.168.100.4.
2 Desconecte eth1.
3 Defina configurações para o Symantec Endpoint Protection Manager usando
a interface de linha de comando no Gateway Enforcer:
configure
spm ip 192.168.100.2 key sygate group Gateway
Control
4 Assegure-se de que o Enforcer esteja conectado ao Symantec Endpoint

Protection Manager emitindo o comando show status.
5 Ative sob demanda, usando a interface de linha de comando:
On-demand
Spm-domain name <domain name>
Client-group <client group full path>
Enable
Show
A seguir, você define uma configuração do Windows DNS em quarentena para

redirecionamento HTTP.
Para configurar um redirecionamento HTTP do Windows DNS em quarentena
1 Abra o console de gerenciamento do DNS no servidor DNS em quarentena
(192.168.100.3).
2 Clique com o botão direito do mouse em Zonas de pesquisa direta e selecione
Nova zona. O Assistente da Nova zona aparece.
3 No Assistente da Nova zona, clique em Avançar.
4 Selecione Zona primária e clique em Avançar.
5 Digite um ponto (.) como Nome da zona e clique em Avançar.
6 Selecione Criar um novo arquivo com este nome, digite root.dns e clique em
Avançar.
7 Selecione Não permitir atualizações dinâmicas e clique Avançar.
8 Clique em Concluir).
Crie um host novo na zona .(root) que você criou recentemente.
Para criar um host novo na zona .(root)
1 Clique com o botão direito do mouse na zona . (root) e selecione em seguida
Novo host.
2 Digite um asterisco (*) como Nome e o endereço IP do Gateway Enforcer
(192.168.100.4) como o endereço IP para o host novo.
3 Clique em Adicionar host.
Mude o próprio endereço IP do servidor DNS de pesquisa.
Ativação de clientes sob demanda do Symantec Network Access Control para se conectarem temporariamente a uma
rede
Para mudar o endereço IP do servidor DNS

1 Clique duas vezes no nome de servidor DNS no painel direito.
2 Mude o endereço IP para o endereço IP do Enforcer (192.168.100.4) e clique
em OK.
Opcional: Convém configurar o servidor WINS para resolução da mesma forma
que o servidor DNS. Os nomes do computador são resolvidos pelo servidor WINS.
Se o endpoint não estiver registrado em um domínio, ele resolverá seu nome de
computador através do servidor WINS. Você pode optar por configurar um servidor
WINS separado em quarentena para resolver todos os nomes de computador na
rede interna para o Gateway Enforcer eth0 (192.168.100.4).
Você deve testar sua configuração.
Para testar sua configuração
1 No prompt de comando no computador-cliente, digite
ipconfig /release
ipconfig /renew
O cliente deve obter um endereço IP em quarentena com 255.255.255.255

como máscara de sub-rede e 192.168.100.3 como servidor DNS
2 Limpe o cache do DNS. Digite ipconfig /flushdns
3 Abra um navegador da Web e digite www.yahoo.com.
Você deve ser redirecionado ao site sob demanda do Gateway Enforcer.
4 Faça o download do cliente sob demanda e faça a verificação da integridade
do host.
5 É emitido um endereço IP normal para seu cliente e 192.168.100.1 como o
servidor DNS.
Ativação de clientes sob demanda do Symantec

Network Access Control para se conectarem
temporariamente a uma rede
Se você quer ativar o download automático de um cliente sob demanda do Symantec
Network Access Control em um computador-cliente nas plataformas Windows e
Macintosh, é necessário já ter concluído várias tarefas de configuração.
Consulte “Para configurar clientes sob demanda do Symantec Network Access
Control em um console de um Gateway Enforcer” na página 1132.
rede
É necessário configurar os comandos a seguir para ativar clientes sob demanda

do Symantec Network Access Control para se conectarem a uma rede:
■ Execute o comando spm-domain.
■ Execute o comando client-group.
■ Execute o comando enable.
■ Execute o comando authentication enable. Esse comando é opcional.
Para ativar os clientes sob demanda do Symantec Network Access Control para se
conectar temporariamente a uma rede
1 Faça logon no console do appliance Gateway Enforcer como superusuário.
2 No console de um appliance Gateway Enforcer, digite o comando a seguir:
Enforcer #on-demand
Enforcer (on-demand)# spm-domain
onde:
spm-domínio representa uma string que é exibida no Enforcer
automaticamente.
Consulte “Para configurar clientes sob demanda do Symantec Network Access
Control em um console de um Gateway Enforcer” na página 1132.
rede

Enforcer (on-demand)# client-group "My Company/nome do grupo de
clientes do Enforcer"
onde:
nome do grupo de clientes do Enforcer representa o nome do grupo de clientes
do Enforcer que você já configurou na página Clientes, em Exibir clientes, no
console do Symantec Endpoint Protection Manager. Você já deve ter
configurado este grupo de clientes do Enforcer como um subgrupo do grupo
Minha empresa com direitos de acesso total. Se você não definiu o grupo de
clientes do Enforcer no console de um Symantec Endpoint Protection Manager,
o Enforcer se registrará no grupo padrão. As informações sobre o grupo de
clientes do Enforcer é enviada automaticamente durante a próxima pulsação.
Você pode agora configurar a autenticação para os clientes no Symantec
Network Access Control On-Demand.
Consulte “Configuração da autenticação no console do Gateway Enforcer para
clientes do Symantec Network Access Control sob demanda” na página 1142.
Enforcer (on-demand)#enable
Você também pode definir o período durante o qual o cliente sob demanda estará
“ativo” usando o comando persistence.
Para tornar os clientes sob demanda do Symantec Network Access Control
“persistentes”
2 No console de um appliance Gateway Enforcer, digite o comando a seguir:
Enforcer #on-demand
3 Digite este comando
Enforcer (on-demand)# persistence duration days 10
onde:
duration days 10 indica que você deseja que o cliente persista por 10 dias.
Como desativar o cliente do Symantec Network Access Control On-Demand
Como desativar o cliente do Symantec Network

Access Control On-Demand
Se desejar interromper a permissão do acesso do convidado, é possível desativá-la.
Para ativar clientes do Symantec Network Access Control On-Demand para
2 No console de um appliance Gateway Enforcer, digite on-demand.
3 Digite disable.
4 Digite exit.
5 Digite exit para fazer logoff.
Configuração da autenticação no console do Gateway

Enforcer para clientes do Symantec Network Access
Control sob demanda
Você pode autenticar os usuários finais com os clientes sob demanda ativando
um dos seguintes métodos de autenticação.
■ O banco de dados local do appliance Gateway Enforcer.
Consulte “Configuração da autenticação do usuário com um banco de dados
local” na página 1143.
■ Um Active Directory do Microsoft Windows Server 2003 configurado para

gerenciar a autenticação dos usuários finais com o appliance Gateway Enforcer.
Consulte “Configuração da autenticação de usuário com o Microsoft Windows
2003 Server Active Directory” na página 1143.
■ Um servidor Radius configurado para gerenciar a autenticação dos usuários

finais com o appliance Gateway Enforcer.
Consulte “Configuração da autenticação de usuário com um servidor Radius”
na página 1144.
Assim que a autenticação for ativada, adicione nomes de usuário e uma senha
para cada usuário final autenticado.
Configuração da autenticação no console do Gateway Enforcer para clientes do Symantec Network Access Control
sob demanda
Configuração da autenticação do usuário com um banco de dados local

Você pode configurar até 1.000 usuários no banco de dados integrado local do
Consulte “Comandos on-Demand authentication local-db” na página 1152.
Para configurar a autenticação com um banco de dados local
2 Em um console do appliance Gateway Enforcer, digite o comando a seguir:
Enforcer# on-demand

Enforcer (on-demand)# authentication

Enforcer (authentication)# local-db add user name nome de usuário
password senha

Enforcer (authentication)# local-db enable

Enforcer (authentication)# enable
Configuração da autenticação de usuário com o Microsoft Windows

2003 Server Active Directory
O appliance Gateway Enforcer estabelecem uma conexão com o Microsoft Windows
2003 Server através do nome de domínio, em vez do endereço IP. Portanto, você
deve ter configurado na rede um DNS que possa determinar o nome do domínio.
Consulte “Comandos on-demand authentication ad” na página 1149.
Para configurar a autenticação com um servidor Active Directory
Enforcer #on-demand
sob demanda

Enforcer (autenticação) # ad domain domínio name nome de alias
Enforcer (authentication)# ad enable
Enforcer (authentication)# enable
Configuração da autenticação de usuário com um servidor Radius

Você pode instalar e configurar um ou mais servidores Radius para a autenticação.
Por exemplo, convém ter vários servidores Radius para o balanceamento de carga.
Consulte “Comandos on-demand authentication RADIUS server” na página 1151.
Nota: Observe que os certificados precisam ser importados para o Enforcer em

clientes PEAP e TLS.
Para configurar o cliente On-Demand para a autenticação com um servidor Radius

Enforcer# on-demand


Enforcer (authentication)# radius add name nome de alias server
endereço do servidor RADIUSsecret segredo compartilhadoauth_method
método de autenticação
onde:
■ O nome de alias representa o nome exibido para o método de autenticação
do RADIUS listado em Servidor de autenticação, na caixa de diálogo do
logon.
sob demanda
■ O endereço do servidor Radius representa o servidor Radius e a porta. A

porta é um número opcional entre 1 e 65535. Se você não especificar um
número de porta, o Enforcer usará a porta 1812 como padrão.
■ O segredo compartilhado é o segredo compartilhado no servidor Radius.
■ O método de autenticação é PAP, CHAP, MS-CHAP-V1 ou MS-CHAP-V2.

Enforcer (authentication)# radius enable
6 Enforcer (authentication#enable
Além de adicionar o nome e dos comandos de ativação do RADIUS, é possível

executar outros comandos RADIUS para gerenciar o servidor RADIUS.
na página 1144.
Configuração do cliente sob demanda no Windows para autenticação

com o protocolo dot1x-tls
O appliance Gateway Enforcer pode se conectar às portas com dot1.x- ativado
usando o protocolo tls.
Para configurar o cliente sob demanda no Windows para autenticação com o
protocolo dot1x-tls
1 No console do Enforcer, digite: Enforcer#on-demand
2 Digite o seguinte comando: Enforcer(on-demand)# dot1x
3 Digite o seguinte comando: Enforcer(dot1x)# protocol tls
4 Digite o seguinte comando: Enforcer (tls)# show protocol
O protocolo deve ser definido como tls. Por exemplo, Protocolo ativo: TLS
5 Digite o seguinte comando: Enforcer (tls)# validate-svr enable
6 Digite o seguinte comando: Enforcer (cert-svr)# exit
sob demanda
7 Digite o seguinte comando: Enforcer (tls)# show tls

Certifique-se de que o certificado de servidor de tls esteja ativado. Por exemplo:
TLS Validate Server Certificate: ENABLED

TLS Certificate Server: ENABLED
TLS Certificate Server: 127.0.0.1
8 Digite o seguinte comando: Enforcer (dot1x)# certificate import tftp

10.34.68.69 password symantec username janedoe user-cert qa.pfx
root-cert qa.ce
onde:
10.34.68.69 é o servidor tftp do qual o appliance Enforcer pode importar o
certificado por tftp.
symantec é a senha do certificado do usuário
janedoe é o nome de usuário com o qual você faz logon no cliente.
qa.pfx é o nome do certificado do usuário.
qa.cer é o nome do certificado-raiz
Configuração do cliente sob demanda no Windows para autenticação

com o protocolo dot1x-peap
O appliance Gateway Enforcer pode estabelecer uma conexão com o protocolo
peap.
Para configurar o cliente On-Demand no Windows para autenticação com o protocolo
peap
1 No console do Enforcer, digite: Enforcer#on-demand
2 Digite este comando: Enforcer(on-demand)# dot1x
3 Digite este comando: Enforcer(dot1x)# protocol peap
4 Digite este comando: Enforcer (peap)# show protocol
Certifique-se de que o certificado de servidor peap esteja ativado; por exemplo:
PEAP Validate Server Certificate: ENABLED

PEAP Certificate Server: DISABLED
PEAP Certificate Server: 127.0.0.1
PEAP Fast Reconnected: DISABLED
sob demanda
5 Se a validação do servidor for necessária, digite:
Enforcer (peap) cert-svr host snac
onde snac é o computador que é o servidor CA no nome do certificado peap.

Em seguida, digite:
Enforcer (peap) exit

Enforcer (dot1x certificate import tftp 10.34.68.69 root-cert qa.cer
6 Se a validação do servidor não for necessária, digite:
Enforcer (peap) validate_svr disable
Comandos on-demand authentication

Configure a autenticação do usuário para clientes do Symantec Network Access
Control sob demanda no console do appliance Gateway Enforcer.
Se você quer autenticar clientes do Symantec Network Access Control On-Demand
nas plataformas Windows e Macintosh, é possível usar qualquer um dos seguintes:
■ O banco de dados local que é residente em um appliance Gateway Enforcer.
Você pode optar por usar o banco de dados integrado local para adicionar
nomes de usuário e senhas para usuários individuais.
■ O servidor Active Directory configurado para funcionar com o appliance
Gateway Enforcer.
Você deve poder se conectar ao Active Directory do Microsoft Windows Server
2003 configurado para funcionar com um appliance Gateway.
■ Servidor RADIUS
Você deve poder se conectar a um ou mais servidores RADIUS.
A Tabela 58-1 fornece informações sobre o comando on-demand authentication.
Tabela 58-1 Argumentos on-demand authentication
Comando Descrição
ad Ativa a autenticação com o uso de um servidor Active Directory, em vez

do banco de dados local integrado no appliance Gateway Enforcer.
Consulte “Comandos on-demand authentication ad” na página 1149.

sob demanda
Comando Descrição
disable Desativa a autenticação dos clientes do Symantec Network Access

Control sob demanda no Gateway Enforcer. Os usuários finais podem
acionar o download automático dos clientes do Symantec Network Access
Control On-Demand em um computador-cliente sem autenticação.
Consulte “Comando on-demand authentication disable” na página 1151.
default Define os métodos de autenticação (Active Directory, banco de dados

local integrado ou servidor RADIUS) que os usuários podem selecionar
quando fazem logon.
Consulte “Comando on-demand authentication default” na página 1148.
enable Desativa a autenticação dos clientes do Symantec Network Access

Control sob demanda nos appliances Gateway Enforcer. Depois de
ativá-la, um usuário final deve passar na autenticação (inserir nome de
usuário e senha corretos) antes de fazer o download dos clientes
Symantec Network Access Control On-Demand.
Consulte “Comando on-demand authentication enable” na página 1150.
local-db Ativa a autenticação com o uso do banco de dados local integrado no

Consulte “Comandos on-Demand authentication local-db” na página 1152.
radius Ativa a autenticação através de um servidor RADIUS.
Consulte “Comandos on-demand authentication RADIUS server”

na página 1151.
show Lista as informações de status sobre as opções e argumentos diferentes

do comando de autenticação.
upload Faz upload dos arquivos relacionados à autenticação para um servidor.
Comando on-demand authentication default

O comando on-demand authentication default fornece aos usuários um ou mais
métodos de autenticação para fazer logon como convidados. Configure o Active
Directory, o banco de dados local ou um ou mais métodos do servidor Radius
usando o comando on-demand default. Quando mais de um método estiver
configurado, os usuários selecionarão um método da lista suspensa Auth Server
(Servidor de autenticação), na tela Welcome (Bem-vindo) do download do cliente
On-Demand.
O comando on-demand authentication default usa a seguinte sintaxe:
on-demand authentication default ad | radius | local-db index

sob demanda
Onde:
ad, radius e local-db representam o método de autenticação e índice representa o
índice do servidor Radius.
O seguinte exemplo descreve como especificar os métodos do Active Directory e
do servidor Radius:
Enforcer# on-demand
Enforcer (authentication)# default ad | radius radiusAuthServerIndex
Comandos on-demand authentication ad

Se uma rede corporativa tiver suporte para o Active Directory do Microsoft
Windows Server 2003, você poderá autenticar usuários com um servidor Active
Directory. Caso contrário, você deve configurar o banco de dados integrado ou
um servidor RADIUS para autenticar usuários.
Comando on-demand authentication ad disable

O comando on-demand authentication ad disable usa a seguinte sintaxe para
desativar a autenticação dos clientes no Active Directory do Microsoft Windows
Server 2003:
Você deverá fazer logon no console do appliance Gateway Enforcer como um
superusuário para executar este comando.
O seguinte exemplo descreve como desativar a autenticação para um cliente
On-Demand com um Active Directory do Microsoft Windows Server 2003:
on-demand authentication ad disable
Comando on-demand authentication ad domain

O comando on-demand authentication ad domain usa a seguinte sintaxe para
especificar o ID do domínio ou o endereço do ID do domínio do Active Directory
do Microsoft Windows Server 2003:
on-demand authentication ad domain

Nome do Domínio do Active Directory |
nome nome de alias
onde:
sob demanda
Nome do Domínio do Active Directory Representa o nome de domínio do Active

Directory do Microsoft Windows Server
2003.
nome de alias Representa o nome que é exibido para o

método de autenticação do Active Directory
listado em Servidordeautenticação na caixa
de diálogo Logon.
O seguinte exemplo descreve como especificar o ID de domínio do Active Directory

do Microsoft Windows Server 2003:
Enforcer# on-demand
Enforcer (authentication)# ad domain symantec.com name symantec
onde:
symantec.com representa o nome de alias exibido para o Servidor de autenticação
na caixa de diálogo Logon.
Comando on-demand authentication ad enable

O comando on-demand authentication ad enable usa a seguinte sintaxe para ativar
a autenticação de usuários finais no Active Directory do Microsoft Windows Server
2003:
on-demand authentication ad enable
O seguinte exemplo descreve como ativar a autenticação para um cliente

On-Demand no Active Directory do Microsoft Windows Server 2003:
Enforcer# on-demand
Enforcer (authentication)# ad enable
Comando on-demand authentication enable

É possível iniciar o processo de autenticação (auth-daemon) em um console do
appliance Gateway para um cliente sob demanda do Symantec Network Access
Control.
O comando on-demand authentication enable usa a seguinte sintaxe:
on-demand authentication enable
Você deve fazer logon no console do appliance Gateway Enforcer como um

superusuário para que possa executar este comando.
sob demanda

O seguinte exemplo descreve como ativar a autenticação para um cliente sob
demanda do Symantec Network Access Control no console de um appliance
Gateway Enforcer:
Enforcer# on-demand
Enforcer (on-demand)# authentication enable
Comando on-demand authentication disable

É possível interromper o processo de autenticação (auth-daemon) em um console
do appliance Gateway ou DHCP para um cliente sob demanda do Symantec Network
Access Control.
O comando on-demand authentication disable usa a seguinte sintaxe:
on-demand authentication disable
Você deve fazer logon no console do appliance Gateway Enforcer como um

superusuário para que possa executar este comando.
O seguinte exemplo descreve como desativar a autenticação para um cliente sob
demanda do Symantec Network Access Control no console de um appliance
Gateway Enforcer:
Enforcer# on-demand
Enforcer (on-demand)# authentication disable
Comandos on-demand authentication RADIUS server

Para autenticar usuários convidados com os servidores RADIUS, é necessário
adicionar uma configuração de servidor RADIUS em um appliance Gateway
Enforcer. Após adicionar servidores Radius, será possível personalizar os atributos
do RADIUS ou excluí-los.
na página 1144.
sob demanda
Comando on-demand authentication radius server add

A sintaxe do comando on-demand radius authentication adiciona uma configuração
de servidor RADIUS a um appliance Gateway Enforcer. Este comando usa a seguinte
sintaxe:
on-demand authentication radius add name alias_name server

RADIUS server address secret shared secret
auth method
onde:
nome de alias O nome que é exibido para o método de

autenticação do RADIUS listado em Servidor de
autenticação, na caixa de diálogo do logon
Endereço do servidor Radius O endereço e a porta do servidor Radius no

formato IP: porta ou host: porta. Você pode aceitar
a porta 1812 padrão ou especificar um número de
porta entre 1 e 65535.
O nome de alias do servidor Radius.
segredo compartilhado O segredo compartilhado no servidor Radius.
método de autenticação Um dos seguintes métodos de autenticação:
■ PAP (Password Authentication Protocol)

■ CHAP (Challenge Handshake Authentication)
■ MS-CHAP-1 (Microsoft CHAP, versão 1)
■ MS-CHAP-V2 (Microsoft CHAP, versão 2)
Os seguintes exemplos descrevem como adicionar um servidor Radius:
Enforcer# on-demand
Enforcer (authentication)# radius add name guests server
IP:1812 shared secret8d#>9fq4bV)H7%a3-zE13sW CHAP
Comandos on-Demand authentication local-db

Sua empresa pode optar por autenticar usuários com o banco de dados integrado
que você pode configurar em um appliance Gateway Enforcer.
sob demanda
Comando on-demand authentication local-db add

Se você optar por autenticar usuários com o banco de dados integrado, será
necessário adicionar contas de usuário para cada cliente em um appliance Gateway
Enforcer.
Consulte “Configuração da autenticação do usuário com um banco de dados local”
na página 1143.
O comando on-demand local-db authentication add usa a seguinte sintaxe para
adicionar uma conta do usuário ao banco de dados integrado que você configura
em um appliance Gateway Enforcer.
on-demand authentication local-db add user username
onde:
nome_de_usuário representa uma conta de usuário que você pode adicionar ao
banco de dados integrado.
O seguinte descreve como adicionar ao local-db:
Enforcer# on-demand
Enforcer (authentication)# local-db add user jim
Comando on-demand authentication local-db enable

O comando on-demand local-db authentication enable usa a seguinte sintaxe para
ativar o banco de dados integrado que você pode configurar em um appliance
Gateway Enforcer:
on-demand authentication local-db enable
O seguinte exemplo descreve como ativar o local-db:
Enforcer# on-demand
Enforcer (authentication)# local-db enable
Comando on-demand authentication local-db disable

O comando on-demand local-db authentication disable usa a seguinte sintaxe para
desativar o banco de dados integrado que você pode configurar em um appliance
Gateway Enforcer:
sob demanda
on-demand authentication local-db disable
O seguinte exemplo descreve como desativar o local-db:
Enforcer# on-demand
Enforcer (authentication)# local-db disable
Comandos on-demand authentication local-db username

Os comandos on-demand local-db authentication username permitem adicionar,
excluir e editar os nomes de usuário:
local-db add username string password string

local-db delete username string
local-db edit username string password string
local-db enable |disable | clear
onde:
add Cria uma nova conta de usuário no banco de dados local
clear Limpa todas as contas de usuário do banco de dados local
delete Remove um usuário existente do banco de dados local
disable Desativa a autenticação do banco de dados local
edit Modifica uma conta de usuário existente
enable Ativa a autenticação do banco de dados local
O seguinte exemplo descreve como configurar a autenticação do banco de dados

local para um cliente do Symantec Network Access Control sob demanda no console
de um appliance Gateway Enforcer:
Enforcer# on-demand
Enforcer(on-demand)#authentication
Enforcer(authentication)# local-db disable
Local database authentication is disabled.
Enforcer(authentication)# local-db enable

Local database authentication is enabled.
Enforcer(authentication)# local add username test password test
Enforcer(authentication)# local-db delete username test

Edição do banner na página Bem-vindo
Your action will delete the user account "test" permanently.

Please confirm. [Y/N]y
Enforcer(authentication)# local-db edit username test password b
Enforcer(authentication)# local-db clear

Notice that your action will remove ALL user account permanently!
Please confirm. [Y/N]y

Você pode editar o texto padrão do banner na página Bem-vindo do cliente do
Symantec Network Access Control On-Demand.
Para editar o banner na página Bem-vindo
2 Digite o comando a seguir no console de um appliance Gateway Enforcer:
Enforcer# on-demand
Enforcer(on-demand)# banner
Pressione Enter.
4 Na janela pop-up, digite a mensagem que deseja exibir aos usuários na página
Bem-vindo no cliente do Symantec Network Access Control On-Demand.
Você pode digitar até 1.024 caracteres.
Capítulo 59
Solução de problemas do
appliance Enforcer
■ Solução de problemas de comunicação entre um appliance Enforcer e o

■ Solução de problemas de um appliance Enforcer
■ Perguntas frequentes sobre os appliances Enforcer
■ Solução de problemas de conexão entre o Enforcer e clientes On-Demand
Solução de problemas de comunicação entre um

appliance Enforcer e o Symantec Endpoint Protection
Manager
Se os Enforcers e o servidor de gerenciamento não se comunicarem, verifique as
seguintes razões e soluções possíveis.
1158 Solução de problemas do appliance Enforcer
Solução de problemas de comunicação entre um appliance Enforcer e o Symantec Endpoint Protection Manager
Tabela 59-1 Solução de problemas de comunicação entre Enforcers e o servidor

de gerenciamento
Problema Solução
O Enforcer não pode ■ Verificar a configuração do servidor de gerenciamento no

registrar-se com o Enforcer usando o comando configure show spm.
Symantec Endpoint Certifique-se de que você configurou o endereço IP do
Protection Manager servidor de gerenciamento, o número da porta e o segredo
pré-compartilhado corretamente. O número da porta
padrão é 8014.
■ Se o tipo do Enforcer for reconfigurado ou alterado, exclua
o grupo de Enforcer no servidor de gerenciamento ou
mova-o para um grupo diferente. Por exemplo, o tipo do
Enforcer pode ter sido alterado de Gateway Enforcer a LAN
Enforcer.
■ A lista de servidores de gerenciamento para o Enforcer
pode ter um servidor de gerenciamento que o Enforcer não
pode alcançar ou ter várias interfaces de um servidor de
gerenciamento. Talvez seja preciso adicionar uma lista de
servidores de gerenciamento com apenas um servidor de
gerenciamento que pode se conectar ao Enforcer. O
servidor de gerenciamento deve ter um endereço IP.
Atrase a conexão à rede Se você usar um Enforcer Fail-Open, verifique a configuração

através de um Enforcer ou do alternador. Certifique-se de que PortFast esteja ativado em
dos clientes de bloqueios ambas as portas a que o Enforcer se conectar.
do appliance Gateway
Enforcer
Os eventos desconectados Se os clientes frequentemente suspenderem e não

do cliente no log de cliente responderem aos pedidos da reautenticação (EAP de 802.1x)
do appliance LAN Enforcer do alternador, poderá ser necessário diminuir o tempo limite
de reautenticação do alternador.
O appliance LAN Enforcer ■ Verifique se o modelo selecionado do comutador na

não alterna clientes para a configuração corresponde ao alternador em uso.
VLAN correta ■ Verifique se os nomes VLAN correspondem exatamente
ao que foi configurado no alternador.
■ Verifique se as atribuições de VLAN da tabela de ação estão
corretas para o alternador no console do servidor de
gerenciamento.
Consulte “Perguntas frequentes sobre os appliances Enforcer” na página 1159.

Consulte “Solução de problemas de um appliance Enforcer” na página 1159.
Solução de problemas do appliance Enforcer 1159
Solução de problemas de um appliance Enforcer
Solução de problemas de um appliance Enforcer

A Tabela 59-2 exibe os possíveis problemas e soluções que você pode ter com um
appliance Enforcer.
Tabela 59-2 Problemas e soluções de um appliance Enforcer
Sintoma Solução
A senha raiz do Enforcer é Limite as senhas a 128 caracteres. Use uma senha com
exibida como inválida menos caracteres.
quando definida usando a
Consulte “Sobre a hierarquia de comandos da CLI do
interface de linha de
comando
A mudança de memória no Os erros são devido à codificação dos IRQs. Remova a

R200 causa erros de memória adicional ou reinstale o Enforcer após a mudança
hardware de hardware. Nossos testes mostraram que a memória
adicional não faz uma diferença significativa.
Consulte “Instalação de um appliance Enforcer”

na página 867.
Algumas configurações Um retorno aos padrões pode aparecer no upgrade, mas não
(Nível de depuração, Captura) aparecerá depois disso.
retornam ao padrão quando
Consulte “Upgrade de imagens do appliance Enforcer”
se faz upgrade do Enforcer
na página 877.
Aparecem problemas ao Resolva este problema configurando o HP OpenView:

executar o SNMP com o
■ Carregue o arquivo Symantec MIB, selecionando Opção
Enforcer e o HP OpenView
> Carregar/descarregar o MIB
■ Usando Opção > Configuração de eventos, escolha
OnDemandTraps (.1.3.6.1.4.1.393.588) e modifique cada
trap, conforme necessário. Por exemplo, em Mensagem
de eventos, escolha Registrar e exibir na categoria. Em
seguida, selecione uma categoria na lista suspensa.
Defina Mensagem do log de eventos como $1.
Consulte “Solução de problemas de comunicação entre um appliance Enforcer e

o Symantec Endpoint Protection Manager” na página 1157.
Perguntas frequentes sobre os appliances Enforcer

Os seguintes problemas fornecem respostas sobre problemas de imposição no
appliance Gateway Enforcer ou no appliance LAN Enforcer:
■ Consulte “Que proteção antivírus e software antivírus são gerenciados pela

integridade do host?” na página 1160.
■ Consulte “As políticas de integridade do host podem ser definidas em nível de
grupo ou em nível global?” na página 1160.
■ Consulte “Você pode criar uma mensagem personalizada de integridade do
host?” na página 1160.
■ Consulte “O que acontece se os appliances Enforcer não puderem se comunicar
com o Symantec Endpoint Protection Manager?” na página 1161.
■ Consulte “É necessário ter um servidor RADIUS quando um appliance LAN
Enforcer é executado no modo transparente?” na página 1162.
■ Consulte “Como a aplicação gerencia computadores sem clientes?”
na página 1163.
Que proteção antivírus e software antivírus são gerenciados pela

integridade do host?
A integridade do host permite que você adicione requisitos personalizados para
detectar e gerenciar o software de proteção antivírus. Em um requisito
personalizado, você pode especificar aplicativos de proteção antivírus e
informações do arquivo de assinatura para verificação como parte da instrução
da condição IF-THEN. Os produtos que são suportados aparecem em uma lista
suspensa na caixa de diálogo do requisito personalizado.
Consulte “Sobre condições do antivírus” na página 903.
na página 882.
As políticas de integridade do host podem ser definidas em nível de

grupo ou em nível global?
Você pode atribuir políticas de integridade do host por grupo e por local no console
Você pode criar uma mensagem personalizada de integridade do host?

O Symantec Network Access Control pode criar mensagens personalizadas de
integridade do host para cada regra de integridade do host. Você pode personalizar
a mensagem, incluindo o ícone e o título. Essa personalização pode ser feita por
meio de uma regra personalizada de integridade do host.
Consulte “Exibição de uma caixa de diálogo de mensagens” na página 916.
O que acontece se os appliances Enforcer não puderem se comunicar

com o Symantec Endpoint Protection Manager?
Se você planeja usar Enforcers com o Symantec Endpoint Protection,
recomendamos que você tenha servidores de gerenciamento redundantes. Se o
Symantec Endpoint Protection Manager estiver indisponível, o Enforcer bloqueará
o tráfego dos clientes.
Os servidores redundantes de gerenciamento têm maior preferência. O Enforcer
envia um pacote UDP na porta 1812, usando o protocolo RADIUS, ao Symantec
Endpoint Protection Manager para verificar o GUID dos clientes. Se um firewall
bloquear esta porta ou se o Symantec Endpoint Protection Manager estiver
indisponível, os clientes serão bloqueados em seguida.
Uma opção no Enforcer permitirá ao cliente acesso à rede quando o Symantec
Endpoint Protection Manager estiver indisponível. Se esta opção estiver ativada
e o Symantec Endpoint Protection Manager estiver indisponível, a verificação do
GUID e as verificações de perfil não serão executadas. Apenas a verificação de
integridade do host poderá ser executada no cliente quando o Symantec Endpoint
Protection Manager estiver indisponível.
É possível usar o comando advanced local-auth para ativar ou desativar a
autenticação do Enforcer de um cliente.
Consulte “Advanced local-auth” na página 1161.
Advanced local-auth
O comando advanced local-auth ativa ou desativa a autenticação do Enforcer do
cliente. Use este comando para a solução de problemas.
Por padrão, a autenticação do cliente está ativada.
O comando advanced local-auth usa a seguinte sintaxe:
advanced local-auth {disable | enable}
onde:
Desativar Verifica o agente com o servidor de gerenciamento. Isso bloqueia o

agente caso ele não possa se conectar a um servidor de gerenciamento.
A configuração padrão da autenticação do cliente está desativada.
Ativar Desativa a verificação do agente e executa a validação somente da

Por padrão, o appliance Gateway Enforcer verifica o identificador global exclusivo

(GUID, Globally Unique Identifier) do cliente com o Symantec Endpoint Protection
Manager. Se o Gateway Enforcer não puder se conectar com um Symantec Endpoint
Protection Manager para verificar o GUID, ele bloqueará o cliente. Apesar de não
ser recomendado como uma etapa de solução de problemas, você pode fazer com
que o appliance Gateway Enforcer interrompa a verificação do GUID.
Por padrão, o appliance Gateway Enforcer verifica o GUID. Ao invés disso, o
appliance Gateway Enforcer realiza somente a verificação de integridade do host.
Certifique-se de reativar esta configuração se deseja que o appliance Gateway
Enforcer verifique o GUID.
Consulte “Comunicação entre um appliance Enforcer e um Symantec Endpoint
É necessário ter um servidor RADIUS quando um appliance LAN

Enforcer é executado no modo transparente?
Os requisitos de servidor Radius dependem de como o alternador é configurado
e de como você usa o alternador para autenticar.
Estes são alguns itens que devem ser observados:
■ Alternadores que utilizam servidores RADIUS não somente para a autenticação
dos usuários de 802.1x.
Por exemplo, quando se faz login no alternador, devem ser digitados nome de
usuário e senha. O servidor RADIUS geralmente faz a autenticação desse login.
Quando o appliance LAN Enforcer está instalado, essa autenticação é enviada
para o appliance LAN Enforcer. Se a autenticação for enviada para o appliance
LAN Enforcer, será necessário configurar o endereço IP do servidor RADIUS
no appliance LAN Enforcer. É necessário configurar o appliance LAN Enforcer
para encaminhar todas as solicitações que não sejam EAP diretamente para o
servidor RADIUS.
■ Instalação de um suplicante 802.1x em um sistema do cliente. Se houver um
suplicante 802.1x em um sistema do cliente, o appliance LAN Enforcer tentará
autenticá-lo com o servidor RADIUS. A autenticação de 802.1x é ativada por
padrão no Windows XP. Se ativar o cliente para funcionar no modo
transparente, ele não desativará automaticamente o suplicante 802.1x interno.
É necessário certificar-se de que nenhum suplicante 802.1x é executado em
nenhum dos computadores-cliente.
■ Configuração do Enforcer para ignorar a solicitação RADIUS de qualquer
computador-cliente que inclua um suplicante 802.1x de terceiros. É possível
fazer essa configuração usando um endereço IP de 0.0.0.0 para o servidor
RADIUS. É possível usar essa configuração se quiser executar um LAN Enforcer
em modo transparente. Pode ser que alguns clientes tenham um suplicante

802.1.x. Nesse caso, é possível especificar que o appliance LAN Enforcer não
envie tráfego para um servidor RADIUS.
Como a aplicação gerencia computadores sem clientes?

O Symantec Network Access Control pode aplicar políticas de segurança somente
para os sistemas que têm clientes Symantec instalados. A segurança de outros
fornecedores não pode ser aplicada. Quaisquer aplicações de outros fornecedores
podem causar interrupções na rede.
Os seguintes métodos de aplicação estão disponíveis:
Autoaplicação A autoaplicação pelo firewall do cliente não tem efeito

em sistemas sem clientes na rede.
Consulte “Como funciona a autoimposição”

na página 847.
Aplicação do gateway Nas redes que utilizam aplicação no gateway, os

sistemas sem clientes não podem passar pelo gateway.
O local onde o Gateway Enforcer é colocado na rede é
crítico; ele pode bloquear o acesso a recursos vitais da
rede aos quais outros sistemas requerem acesso.
É possível criar exceções para endereços IP confiáveis

para que possam trafegar interna ou externamente pelo
gateway sem um cliente. Do mesmo modo, o gateway
também pode isentar da aplicação os sistemas
operacionais que não sejam Microsoft. Um projeto de
rede pode ser o de colocar os servidores não críticos no
mesmo lado do gateway. Essa configuração simplifica
o projeto da rede sem comprometer seriamente a
segurança.
Consulte “Como funciona o appliance Gateway Enforcer”

na página 852.
Aplicação de DHCP A aplicação de DHCP restringe os computadores que

não estão em conformidade ou os sistemas sem clientes.
Ela restringe esses sistemas a um espaço de endereço
separado ou fornece aos mesmos um subconjunto de
rotas na rede. Essa restrição reduz os serviços de rede
desses dispositivos. De modo semelhante, à aplicação
de gateway, é possível criar exceções para endereços
MAC confiáveis e sistemas operacionais que não sejam
Microsoft.
Consulte “Como funciona o Integrated Enforcer for

Microsoft DHCP Servers” na página 855.
Aplicação de LAN A aplicação de LAN usa o protocolo 802.1x para

autenticação entre o comutador e os sistemas dos
clientes que se conectam à rede. Para usar esse método
de aplicação, o software comutador deve ser suportado
pelo protocolo 802.1x e sua configuração deve estar
correta. O software suplicante de 802.1x também será
necessário se o administrador quiser verificar a
identidade dos usuários, bem como o status NAC do
host. A configuração do comutador, em vez das
configurações da Symantec, deve lidar com as exceções
dos sistemas sem clientes.
Existem diversas maneiras de definir essa configuração

do comutador. Os métodos variam de acordo com o tipo
de comutador e com a versão do software que ele
executa. Um método comum implementa o conceito de
uma VLAN convidada. Os sistemas sem clientes são
atribuídos a uma rede que tem nível menor de
conectividade. Outro método envolve basear as exceções
em endereços MAC.
É possível desativar o protocolo 802.1x nas portas

selecionadas. Entretanto, desativá-lo nas portas
selecionadas permite que qualquer pessoa conecte-se
usando a porta, portanto isso não é recomendado.
Muitos fornecedores têm provisões especiais para
telefones de VoIP, que podem mudar automaticamente
esses dispositivos para VLANs de voz especiais.
Consulte “Como funciona o appliance LAN Enforcer”

na página 853.
API de aplicação universal Quando se usa a API de aplicação universal, a

implementação da API do fornecedor terceirizado
controla as exceções.
Solução de problemas de conexão entre o Enforcer e clientes On-Demand
Aplicação usando o Cisco NAC Quando se usa a solução Symantec para fazer interface
com o Cisco NAC, a arquitetura do Cisco NAC controla
todas as exclusões.
Sobre a transferência de informações de depuração na rede

Quando houver problemas no appliance Enforcer, um log de depuração será criado
no Enforcer (kernel.log). Se for preciso transferir informações de depuração na
rede, use um destes comandos debug para transferir os logs:
debug upload Para transferir um arquivo para um servidor tftp
A transferência de arquivos na rede exige uma conexão serial entre um computador

e o appliance Enforcer.
O exemplo a seguir representa uma saída de transferência de arquivos executada
pelo HyperTerminal:
<date> <Time> <File Name>

2008-08-01 16:32:26 user.log
2008-08-01 16:32:24 kernel.log
2008-08-01 14:30:03 ServerSylink[04-05-2010-14-30-03].xml
2008-08-01 14:29:59 ServerProfile[04-05-2010-14-29-59].xml
Enforcer(debug)# upload tftp 10.1.1.1 filename kernel.log

na página 928.
Solução de problemas de conexão entre o Enforcer e

clientes On-Demand
Há diversas áreas e problemas conhecidos que você pode verificar para solucionar
problemas de conexão entre clientes do Enforcer e do On-Demand.
Tabela 59-3 Solução de problemas de conexão
Sintoma Solução
O firewall está bloqueando o Há diversas soluções possíveis:

funcionamento do cliente
■ Altere as configurações do firewall para desbloquear a porta 39999 de UDP.
quando o usuário faz download
■ Adicione uma rota estática à rota do Enforcer à tabela de rotas do Enforcer. Por
do agente com PPTP VPN,
exemplo:
CheckPoint VPN ou Juniper
VPN. route add IP netmask NM device eth0
onde IP e NM são o endereço IP e a máscara de rede do pool do endereço IP do

cliente. Este pool é configurado na VPN pelo administrador.
A duração de download é, às Algumas vezes, o cliente envia tráfego ao VeriSign, o que reduz a velocidade de
vezes, longa. download. Uma solução alternativa é permitir que o admin adicione o VeriSign à
lista de IPs confiáveis.
A primeira verificação de Uma verificação de integridade do host demorada significa um problema na

integridade do host é, às vezes, resolução do DNS e não deve aparecer após a primeira verificação de integridade
longa. do host.
O firewall no cliente está Os usuários devem mudar as configurações de firewall para desbloquear a porta
bloqueando o funcionamento UDP 39999. Como alternativa, configure o firewall com o seguinte: cclientctl.exe
do cliente On-Demand quando
o usuário não tem direitos de
Admin
O upgrade do Enforcer não Isto é devido ao tamanho dos pacotes tomados em conjunto. A solução alternativa
contém inicialmente o pacote é fazer o upgrade do Enforcer e importar primeiro o Pacote de instalação manual
de instalação manual. do cliente no Symantec Endpoint Protection Manager e depois ativar a
funcionalidade sob demanda no Enforcer. Isso adiciona os arquivos de instalação
manual.
O URL de redirecionamento no O problema de sobrescrever o URL apenas acontece quando o recurso On-Demand
Enforcer sobrescreverá um é ativado no Enforcer. Este comportamento é esperado.
URL de redirecionamento
anterior no Symantec Endpoint
Protection Manager.
Os clientes do Vista às vezes Este é um problema de sincronismo. Altere a configuração de tempo limite do DHCP
não recebem um endereço IP para 12 segundos ou mais.
do servidor DHCP.
Um usuário normal não poderá A solução alternativa é assegurar-se de que o JRE esteja instalado. Caso contrário,
instalar o agente se o JRE não somente os usuários Admin poderão instalar o JRE.
estiver instalado.
Sintoma Solução
O serviço sem fio será O usuário deve reiniciar a conexão sem fio.
desconectado quando o cliente
On-Demand for instalado e
encerrado quando a
autenticação 802.1x for usada
Os sistemas que executam o Para resolver este problema, siga o link de download manual para fazer o download
Norton 360 v. 2.x têm e instalar o cliente.
problemas para receber o
cliente
Com o Firefox, não é possível A instalação do plug-in do NP exige direitos de Admin.

fazer download do cliente e do
plug-in do NP somente com
direitos de usuário
Algumas vezes, ocorre falha na Para resolver este problema, pode ser necessário instalar o patch KB893803 da
instalação manual. Microsoft. Esse patch está incluído na instalação manual e deverá ser instalado
antes da instalação do cliente. São necessários privilégios de administrador.
A autenticação 802.1x falha O agente precisa instalar um driver para funcionar. Se o usuário precisar de
autenticação 802.1x no Windows Vista, necessitará abrir o navegador com o método
"Executar como administrador" ou desativar o UAC para garantir que o agente
funcione com privilégios de administrador.
A mensagem "Versão antiga do Você deve excluir o ActiveX existente clicando em Ferramentas -> Gerenciar
ActiveX detectada" aparece complementos -> Ativar ou desativar complementos -> Controles ActiveX obtidos
por download e excluir Classe HodaAgt.
O navegador notifica o usuário É possível que o cliente já esteja em execução. Como um recurso de segurança, você
de que não pode exibir a página não pode fazer download de um novo cliente dentro de uma sessão do cliente em
da Web e o cliente não pode execução.
fazer download com êxito
O navegador Firefox às vezes Este problema acontecerá quando o Firefox for executado primeiro. As primeiras
não consegue fazer o download reinicializações do Firefox são necessárias para que sua configuração seja concluída.
do cliente. Em seguida, o cliente On-Demand deve fazer download.
Os computadores que Esse parece ser um problema dessa versão do Mac OS. As versões 10.5 e superior
executam Mac OS 10.4 às vezes não têm o problema. A solução alternativa para a versão 10.4 é definir o nome do
não autenticam corretamente host em /etc/hostconfig/.
devido a uma mudança no
nome do host.
Sintoma Solução
As verificações de integridade Isso é por causa da natureza transitória de %temp%. A solução alternativa é apontar
do host personalizadas que para locais diferentes.
dependem da variável do
sistema %temp% não
funcionam.
As regras personalizadas de Isto é por causa da natureza transitória das sessões de usuário.
integridade do host que
apontam para valores de
registro do Windows não
funcionam corretamente.
A instalação do software Panda O Panda exclui um arquivo importante do Symantec Network Access Control. Esse
Titanium 2007 ou Panda arquivo é reinstalado automaticamente e você não precisa executar nenhuma ação.
Internet Security 2007 ou 2008
faz com que a mensagem
"Aguarde enquanto o Windows
configura o Symantec Network
Access Control" apareça.
A autenticação dot1x de modo O cliente sob demanda Mac não é compatível com a autenticação de PEAP. Se o Mac
transparente do cliente Mac estiver configurado para a autenticação de PEAP, será necessário desativá-la mas
falha às vezes propriedades de conexão de rede do Mac. A autenticação dot1x de modo transparente
funcionará.
No Windows Vista, o cliente Esse problema é específico do uso de uma autenticação PEAP e VSA personalizada
sob demanda não realiza a no Windows Vista. A solução é usar uma forma de autenticação diferente.
autenticação corretamente ao
usar PEAP e um VSA
personalizado
Apêndice A
Diferenças entre recursos
do Mac e do Windows
Este Apêndice contém os tópicos a seguir:
■ Recursos de proteção do cliente por plataforma
■ Recursos de gerenciamento por plataforma
■ Configurações da Política de proteção contra vírus e spyware disponíveis para

Windows e Mac
■ Configurações de política do LiveUpdate disponíveis para Windows e Mac
Recursos de proteção do cliente por plataforma

A Tabela A-1 explica as diferenças nos recursos de proteção disponíveis nas
diferentes plataformas dos computadores-cliente.
Tabela A-1 Proteção do cliente do Symantec Endpoint Protection
Recurso do cliente Windows XP Windows XP Windows Windows Mac Linux

(SP2), (SP2), Server 2003, Server 2003,
Windows Windows Windows Windows
Vista, Vista, Server 2008, Server 2008,
Windows 7, Windows 7, 32 bits Windows
Windows 8, Windows 8, Server 2012,
32 bits 64-bit 64 bits
Verificações agendadas Sim Sim Sim Sim Sim Sim
Verificações sob demanda Sim Sim Sim Sim Sim Sim

1170 Diferenças entre recursos do Mac e do Windows
Recursos de gerenciamento por plataforma
Recurso do cliente Windows XP Windows XP Windows Windows Mac Linux

(SP2), (SP2), Server 2003, Server 2003,
Windows Windows Windows Windows
Vista, Vista, Server 2008, Server 2008,
Windows 7, Windows 7, 32 bits Windows
Windows 8, Windows 8, Server 2012,
32 bits 64-bit 64 bits
Auto-Protect para o sistema Sim Sim Sim Sim Sim Sim

de arquivos
Auto-Protect para e-mail da Sim Sim Não Não Não Não

Internet
Auto-Protect do Microsoft Sim Sim Sim Sim Não Não

Outlook
Auto-Protect do Lotus Notes Sim Sim Sim Sim Não Não
SONAR Sim Sim Sim Sim Não Não
Firewall Sim Sim Sim Sim Não Não
Prevenção contra intrusões Sim Sim Sim Sim Não Não
Controle de dispositivos e Sim Sim Sim Sim Não Não

aplicativos
Integridade do host Sim Sim Sim Sim Não Não
proteção contra adulterações Sim Sim, mas com Sim Sim, mas com Não Não
limitações limitações
Consulte “Recursos de gerenciamento por plataforma” na página 1170.

Consulte “Configurações da Política de proteção contra vírus e spyware disponíveis
para Windows e Mac” na página 1172.
Consulte “Configurações de política do LiveUpdate disponíveis para Windows e

A Tabela A-2 explica os recursos de gerenciamento que estão disponíveis para as
plataformas de clientes Windows e Mac.
Diferenças entre recursos do Mac e do Windows 1171
Tabela A-2 Comparação dos recursos do Symantec Endpoint Protection Manager

para Windows e Mac
Recurso Windows Mac
Implementar o cliente Sim Não

remotamente por meio do
Manager
Gerenciar cliente por meio do Sim Sim

Manager
Atualizar definições de vírus e Sim Não

produto pelo servidor de
gerenciamento
Executar comandos do servidor ■ Verificação ■ Verificação

de gerenciamento ■ Atualizar conteúdo ■ Atualizar conteúdo
■ Atualizar conteúdo e verificação ■ Atualizar conteúdo e verificação
■ Reiniciar computadores-cliente ■ Reiniciar computadores-cliente
■ Ativar o Auto-Protect ■ Ativar o Auto-Protect
■ Reiniciar computadores-cliente ■ Reiniciar computadores-cliente
■ Ativar o Auto-Protect ■ Ativar o Auto-Protect
■ Ativar a Proteção contra ameaças
à rede
■ Desativar a Proteção contra
ameaças à rede
Fornecer atualizações usando Sim Não

Provedores de atualizações de
grupo
Executar o Intelligent Updater Sim Sim
Atualizações de pacotes para Sim Não*

ferramentas de terceiros no
Definir verificações aleatórias Sim Não
Definir atualizações aleatórias Sim Sim
*Você pode executar o Intelligent Updater para obter atualizações de conteúdo

Mac. Você pode, então, enviar as atualizações aos clientes Mac usando uma
ferramenta de terceiros como o Apple Remote Desktop.
Configurações da Política de proteção contra vírus e spyware disponíveis para Windows e Mac
Consulte “Para usar arquivos do Intelligent Updater para atualizar definições de

vírus e de riscos à segurança do cliente” na página 647.
Consulte “Recursos de proteção do cliente por plataforma” na página 1169.
Configurações da Política de proteção contra vírus e

spyware disponíveis para Windows e Mac
A Tabela A-3 exibe as diferenças nas configurações de política disponíveis para
clientes Windows e Mac.
Tabela A-3 Configurações de políticas de Proteção contra vírus e spyware

(apenas Windows e Mac)
Configuração de política Windows Mac
Definir ações para Você poderá especificar a primeira e a Você pode especificar uma das seguintes
verificações segunda ações quando diferentes tipos de ações:
vírus ou riscos forem encontrados. Você
■ Reparar automaticamente arquivos
pode especificar as seguinte ações:
infectados
■ Limpar ■ Colocar em quarentena os arquivos
■ Quarentena que não podem ser reparados
■ Excluir
■ Ignorar
Especificar a correção se um Você pode especificar as seguintes ações A correção é associada automaticamente
vírus ou um risco for de correção: às ações.
encontrado
■ Fazer backup dos arquivos antes do
reparo
■ Encerrar processos
■ Interromper serviços
Definir o tipo de verificação Ativa, Completa, Personalizada Personalizada apenas
Repetir verificações Sim Não

agendadas
Diferenças entre recursos do Mac e do Windows 1173
Configurações de política do LiveUpdate disponíveis para Windows e Mac
Definir verificações para Sim Não

verificar locais adicionais
(aperfeiçoamento da
verificação)
Configurar as verificações de Sim Não

migração do armazenamento
Configurar exceções de Sim Sim

verificação
Verificar na montagem Não Não

Configurações de política do LiveUpdate disponíveis

para Windows e Mac
A Tabela A-4 exibe as opções da Política de configurações do LiveUpdate suportadas
por clientes Windows e Mac.
Tabela A-4 Configurações da política do LiveUpdate (Windows e Mac apenas)
Usar o servidor de gerenciamento Sim Não

padrão
Usar um servidor do LiveUpdate Sim Sim

(interno ou externo)
Usar um Provedor de atualizações de Sim Não

grupo
Configurações de política do LiveUpdate disponíveis para Windows e Mac
Ativar gerenciamento de conteúdo de Sim Não

terceiros
Porém, você pode executar o
Intelligent Updater para obter
atualizações de conteúdo Mac. Você
pode, então, enviar as atualizações
aos clientes Mac usando uma
ferramenta de terceiros como o
Apple Remote Desktop.
Configurações de proxy do LiveUpdate Sim Sim, mas não é definida na política

do LiveUpdate. Para definir esta
configuração, clique em Clientes >
Políticas e em seguida clique em
Configurações de comunicações
externas.
Agendamento do LiveUpdate Sim Sim, para as opções de Frequência e

Download aleatório ; mas não para
todas as outras opções de
agendamento
Configurações do usuário Sim Não
Configurações de atualização do Sim Sim

produto
Cabeçalhos de HTTP Sim Não
Consulte “Para usar arquivos do Intelligent Updater para atualizar definições de

vírus e de riscos à segurança do cliente” na página 647.
Apêndice B
Para personalizar e
implementar a instalação
do cliente usando-se
ferramentas de terceiros
■ Para instalar o software-cliente usando ferramentas de terceiros
■ Sobre os recursos e as propriedades de instalação do cliente
■ Propriedades de instalação do cliente do Symantec Endpoint Protection
■ Recursos do cliente do Symantec Endpoint Protection
■ Parâmetros do Windows Installer
■ Propriedades da Central de Segurança do Windows
■ Exemplos de linha de comando para instalar o cliente
■ Sobre como instalar e implementar o software-cliente com o Symantec

Management Agent
■ Para instalar clientes com o Microsoft SMS 2003
■ Para instalar clientes com o objeto de política de grupo do Active Directory
■ Para desinstalar o software-cliente com o objeto de política de grupo do Active

Directory
1176 Para personalizar e implementar a instalação do cliente usando-se ferramentas de terceiros
Para instalar o software-cliente usando ferramentas de terceiros
Para instalar o software-cliente usando ferramentas

de terceiros
Você pode instalar o cliente que usa ferramentas de terceiros em vez de
ferramentas que são instaladas com o servidor de gerenciamento. Se você tiver
uma grande rede, provavelmente se beneficiará mais usando essas opções para
instalar software-cliente da Symantec.
Você pode instalar o cliente usando vários produtos de terceiros. Estes produtos
incluem o Microsoft Active Directory, Tivoli, Microsoft Systems Management
Server (SMS) e Novell ZENworks. O Symantec Endpoint Protection suporta Novell
ZENworks, Microsoft Active Directory e Microsoft SMS.
A Tabela B-1 exibe ferramentas e software de terceiros que você pode usar para
instalar o cliente
Para personalizar e implementar a instalação do cliente usando-se ferramentas de terceiros 1177
Para instalar o software-cliente usando ferramentas de terceiros
Tabela B-1 Ferramentas de terceiros para instalar o cliente
Ferramenta Descrição
Ferramentas da linha de comando Os pacotes de instalação de software-cliente da

.msi do Windows Symantec são arquivos do Windows Installer (.msi)
que você pode configurar usando as opções padrão do
Windows Installer. Você pode usar as ferramentas de
gerenciamento de ambiente que oferecem suporte à
implementação de .msi, como o Active Directory ou o
Tivoli, para instalar clientes na rede. Você pode
configurar como a Central de Segurança do Windows
interage com o cliente não gerenciado.
Consulte “Sobre os recursos e as propriedades de

Consulte “Sobre a configuração das strings de comando

MSI” na página 1179.
Consulte “Sobre a configuração do Setaid.ini”

na página 1179.
Consulte “Recursos do cliente do Symantec Endpoint

Consulte “Propriedades de instalação do cliente do

Consulte “Parâmetros do Windows Installer”

na página 1183.
Consulte “Exemplos de linha de comando para instalar

o cliente” na página 1186.
Consulte “Propriedades da Central de Segurança do

Agente Altiris ou Symantec Você pode instalar o cliente usando o Symantec

Management Agent Integration Component.
Consulte “Sobre como instalar e implementar o

software-cliente com o Symantec Management Agent”
na página 1186.
Microsoft SMS 2003 Você pode instalar o cliente usando o Microsoft

Systems Management Server.
Consulte “Para instalar clientes com o Microsoft SMS

2003” na página 1187.
Sobre os recursos e as propriedades de instalação do cliente
Ferramenta Descrição
Windows Active Directory Você pode usar o objeto de política de grupo do Active
Directory do Windows 2000/2003/2008 se os
computadores-cliente forem membros de um domínio
do Active Directory do Windows 2000/2003/2008. Os
computadores-cliente devem também usar um sistema
operacional Windows suportado.
Consulte “Para instalar clientes com o objeto de política

de grupo do Active Directory” na página 1189.
Consulte “Para desinstalar o software-cliente com o

objeto de política de grupo do Active Directory”
na página 1196.
Software de virtualização Você pode instalar o cliente em ambientes virtuais.
Consulte “Produtos de virtualização e instalações

virtuais suportados” na página 87.
Sobre os recursos e as propriedades de instalação do

cliente
Os recursos e as propriedades de instalação aparecem como strings nos arquivos
de texto e nas linhas de comando. Os arquivos de texto e as linhas de comando
são processados durante todas as instalações do software-cliente. Os recursos de
instalação controlam quais componentes são instalados. As propriedades de
instalação controlam quais subcomponentes são ativados ou desativados após a
instalação. Os recursos e as propriedades de instalação estão disponíveis apenas
no software-cliente do Symantec Endpoint Protection, e também estão disponíveis
no sistema operacional Windows. Os recursos e as propriedades da instalação não
estão disponíveis para o software-cliente Symantec Network Access Control ou
para instalações do Symantec Endpoint Protection Manager.
Os recursos e as propriedades de instalação são especificados de duas maneiras:
como linhas no arquivo Setaid.ini e como valores nos comandos Windows Installer
(MSI). Os comandos MSI podem ser especificados em strings do Windows Installer
e no vpremote.dat para implementação personalizada do Assistente de
Implementação por envio. Os comandos do Windows Installer e o Setaid.ini são
sempre processados em todas as instalações gerenciadas do software-cliente. Se
valores diferentes forem especificados, os valores no Setaid.ini sempre terão
prioridade.
Sobre os recursos e as propriedades de instalação do cliente
Sobre a configuração das strings de comando MSI

O software de instalação Symantec Endpoint Protection usa os pacotes do Windows
Installer (MSI) 3.1 ou posterior para a instalação e a implementação. Se você usar
linha de comando para implementar um pacote, poderá personalizar a instalação.
Você pode usar parâmetros padrão do Windows Installer e as propriedades e os
recursos específicos da Symantec.
Para usar o Windows Installer, é preciso ter privilégios elevados. A instalação
pode falhar sem notificações se você tentar a instalação sem esses privilégios.
Para obter a lista mais atualizada da instalação dos comandos e parâmetros da
Symantec, consulte o artigo da Base de conhecimento do Suporte da Symantec,
MSI command line reference for Symantec Endpoint Protection (em inglês).
Nota: A função de anúncio do Windows Installer não é suportada. Os recursos e

as propriedades especificados de Setaid.ini prevalecem em relação aos recursos
e propriedades especificados de MSI. Os nomes de recursos e propriedades nos
comandos MSI diferenciam maiúsculas de minúsculas.
Consulte “Sobre a configuração do Setaid.ini” na página 1179.
Sobre a configuração do Setaid.ini

Setaid.ini aparece em todos os pacotes de instalação e controla muitos dos aspectos
da instalação, como quais os recursos que serão instalados. O Setaid.ini sempre
tem prioridade sobre qualquer configuração que possa ser exibida em uma string
de comando MSI, usada para dar início à instalação. O Setaid.ini aparece no mesmo
diretório do setup.exe. Se você exportar para um único arquivo .exe, não poderá
configurar o Setaid.ini. No entanto, o arquivo será automaticamente configurado
quando exportar os arquivos de instalação do cliente do Symantec Endpoint
Protection através do console.
As seguintes linhas mostram algumas das opções que você pode configurar no
Setaid.ini.
[CUSTOM_SMC_CONFIG]
InstallationLogDir=
DestinationDirectory=
[FEATURE_SELECTION]
Core=1
SAVMain=1
Download=1
OutlookSnapin=1
Propriedades de instalação do cliente do Symantec Endpoint Protection
Pop3Smtp=0
NotesSnapin=0
PTPMain=1
DCMain=1
TruScan=1
Nota: Os recursos estão recuados para mostrar hierarquia. Os recursos não estão
recuados dentro do arquivo Setaid.ini. Os nomes de recursos no Setaid.ini
diferenciam maiúsculas de minúsculas.
Os valores de recursos definidos para 1 instalam os recursos. Os valores de recursos

definidos para 0 não instalam os recursos. Você deve especificar e instalar os
recurso pai para instalar com êxito os recursos do cliente.
Consulte “Recursos do cliente do Symantec Endpoint Protection” na página 1181.
Você também deve estar ciente das seguintes configurações adicionais do setaid.ini
que são mapeadas para as propriedades MSI da instalação do cliente do Symantec
Endpoint Protection:
■ DestinationDirectory é mapeado para PRODUCTINSTALLDIR
■ KeepPreviousSetting é mapeado para MIGRATESETTINGS
■ AddProgramIntoStartMenu é mapeado para ADDSTARTMENUICON
Propriedades de instalação do cliente do Symantec

Endpoint Protection
Estas propriedades da instalação são para uso com instalações da linha de comando
de MSI.
Recursos do cliente do Symantec Endpoint Protection
Tabela B-2 Propriedades de instalação do cliente do Symantec Endpoint

Protection
Propriedade Descrição
RUNLIVEUPDATE =val Determina se o LiveUpdate é executado como parte da instalação, na qual val é um dos
seguintes valores:
■ 1: executa o LiveUpdate durante a instalação (padrão).

■ 0: não executa o LiveUpdate durante a instalação.
Por padrão, todos os clientes Symantec Endpoint Protection em um grupo recebem as

versões mais recentes de todas as atualizações de conteúdo e de produtos. Se estiverem
configurados para obter atualizações de um servidor de gerenciamento, os clientes
receberão somente as atualizações que o servidor obtiver por download. Se a Política de
conteúdo do LiveUpdate permitir todas as atualizações, mas o servidor de gerenciamento
não fizer o download delas, os clientes receberão somente as atualizações que o servidor
obtiver por download.
ENABLEAUTOPROTECT=val Determina se o Auto-Protect do sistema de arquivos é ativado após a conclusão da

instalação, na qual val é um dos seguintes valores:
■ 1: ativa o Auto-Protect após a instalação (padrão).

■ 0: desativa o Auto-Protect após a instalação.
SYMPROTECTDISABLED=val Determina se a Proteção contra adulterações é ativada como parte da instalação, na qual
val é um dos seguintes valores:
■ 1: desativa a Proteção contra adulterações após a instalação.

■ 0: ativa a Proteção contra adulterações após a instalação (padrão)

A Tabela B-3 relaciona os recursos do Symantec Endpoint Protection que podem
ser instalados especificando-os em arquivos Setaid.ini e em comandos MSI. A
maioria dos recursos tem uma relação pai e filho. Se você quiser instalar um
recurso filho que tem um recurso pai, é necessário instalar também o recurso pai.
Para o setaid.ini e o MSI, se você especificar um recurso filho, mas não especificar
seu recurso pai, o recurso filho será instalado. No entanto, o recurso não funciona
porque o recurso pai não está instalado. Por exemplo, se você especificar para
instalar o recurso Firewall, mas não especificar para instalar o NTPMain, o Firewall
não será instalado.
Tabela B-3 Recursos do cliente do Symantec Endpoint Protection
Recurso Descrição Recursos pai necessários
Core Instala os arquivos que são usados nenhum

na comunicação entre clientes e o
Manager. Este recurso é obrigatório.
SAVMain Instala a proteção de download Core

básica e contra vírus e spyware. Os
sub-recursos instalam proteção
extra.
Download Instala a proteção completa para SAVMain

arquivos obtidos por download.
Inclui verificação inteiramente
funcional da reputação pelo
Download Insight.
NotesSnapin Instala o recurso de e-mail do SAVMain

Auto-Protect do Lotus Notes.
OutlookSnapin Instala o recurso de e-mail do SAVMain

Auto-Protect do Microsoft
Exchange.
Pop3Smtp Instala a proteção para e-mail de SAVMain

POP3 e de SMTP. Disponível apenas
em sistemas de 32 bits.
PTPMain Instala os componentes da Proteção Core

proativa contra ameaças.
TruScan Instala o recurso de verificação do PTPMain

SONAR.
DCMain Instala o recurso de controle de PTPMain

dispositivos e aplicativos.
NTPMain Instala os componentes da Proteção Core

contra ameaças à rede.
ITPMain Instala o recurso de prevenção NTPMain

contra intrusão na rede e de
prevenção contra intrusão no
navegador.
Firewall Instala o recurso de firewall. NTPMain

Parâmetros do Windows Installer
Recurso Descrição Recursos pai necessários
LANG1033 Instala recursos em português. Core

Os pacotes de instalação do cliente do Symantec Endpoint Protection usam os
parâmetros padrão do Windows Installer, bem como um conjunto de extensões
para a instalação e implementação na linha de comando.
Consulte a documentação do Windows Installer para obter mais informações sobre
o uso de parâmetros padrão do Windows Installer. Você também pode executar o
msiexec.exe usando uma linha de comando para ver a lista completa de parâmetros.
Tabela B-4 Parâmetros do Windows Installer
Parâmetro Descrição
Sep.msi (32 bits) O arquivo de instalação .msi para o cliente do Symantec Endpoint Protection. Se
algum arquivo .msi contiver espaços, coloque o nome do arquivo entre aspas ao usá-lo
Sep64.msi (64 bits)
com /I e /x.
Obrigatório
Msiexec Executável do Windows Installer.
Obrigatório
/I "nome do arquivo .msi" Instala o arquivo .msi especificado. Se o nome do arquivo contiver espaços, coloque-o
entre aspas. Se o arquivo .msi não estiver no mesmo diretório em que você executa
o Msiexec, especifique o nome do caminho. Se o nome do caminho contiver espaços,
coloque-o entre aspas. Por exemplo, msiexec.exe /I "C: caminho para Sep.msi"
Obrigatório
/qn Instala no modo silencioso.

Nota: Quando uma implementação silenciosa for usada, os aplicativos ligados ao
Symantec Endpoint Protection, tal como o Microsoft Outlook e o Lotus Notes, deverão
ser reiniciados após a instalação.
/x "nome do arquivo .msi" Desinstala os componentes especificados.
Opcional
/qb Instala com uma interface do usuário básica que mostra o andamento da instalação.
Opcional
/l*v nome_do_arquivo_de_log Cria um arquivo de log detalhado, no qual nome_de_arquivo_de_log é o nome do

arquivo de log a ser criado.
Opcional
PRODUCTINSTALLDIR= Designa um caminho personalizado no computador de destino, no qual caminho é o

caminho diretório de destino especificado. Se o caminho incluir espaços, coloque-o entre aspas.
Nota: O diretório padrão é C:\Arquivos de Programas\Symantec\Symantec Endpoint
Protection
Opcional
REBOOT=valor Controla o reinício do computador após a instalação, no qual valor é um argumento

válido.
Os argumentos válidos incluem:
■ Force: exige a reinicialização do computador. necessário para a desinstalação.

■ Suppress: evita a maioria das reinicializações.
■ ReallySuppress: evita todas as reinicializações como parte do processo de
instalação, mesmo uma instalação silenciosa.
Opcional
Nota: Use a função ReallySuppress para suprimir a inicialização ao executar a
desinstalação silenciosa do cliente do Symantec Endpoint Protection.
ADDLOCAL= recurso Seleciona recursos personalizados a serem instalados, nos quais recurso é um
componente ou uma lista de componentes especificados. Se esta propriedade não for
usada, todos os recursos aplicáveis serão instalados por padrão e os clientes de e-mail
do Auto-Protect serão instalados somente para programas de e-mail detectados.
Para adicionar todos os recursos adequados para instalações de clientes, use o comando
ALL como em ADDLOCAL=ALL.
Consulte “Recursos do cliente do Symantec Endpoint Protection” na página 1181.

Nota: Quando especificar um novo recurso para ser instalado, será necessário incluir
os nomes dos recursos que já estão instalados e que você deseja manter. Se você não
especificar os recursos a serem mantidos, o Windows Installer os removerá.
Especificando recursos existentes, você não sobrescreve os recursos instalados. Para
desinstalar um recurso existente, use o comando REMOVE.
Opcional
Propriedades da Central de Segurança do Windows
REMOVE=recurso Desinstala o programa previamente instalado ou um recurso específico do programa

instalado, no qual recurso é um destes itens:
■ Recurso: desinstala o recurso ou a lista de recursos do computador de destino.
■ ALL: desinstala o programa e todos os recursos instalados. All será o padrão se
um recurso não for especificado.
Opcional
Propriedades da Central de Segurança do Windows

Você pode personalizar as propriedades da Central de Segurança do Windows
(WSC, Windows Security Center) durante a instalação do cliente do Symantec
Endpoint Protection. Estas propriedades se aplicam a clientes não gerenciados
apenas. O Symantec Endpoint Protection Manager controla estas propriedades
para os clientes gerenciados.
Nota: Estas propriedades aplicam-se ao Windows XP com Service Pack 2 ou Service

Pack 3. Não se aplicam aos clientes que executam Windows Vista e não se aplicam
à Central de Ações do Windows no Windows 7 e Windows 8.
Tabela B-5 Propriedades da Central de Segurança do Windows
WSCCONTROL=val Controla a Central de Segurança do Windows, na qual val é um dos seguintes valores:
■ 0: não controlar (padrão).

■ 1: desativar uma vez na primeira detecção.
■ 2: desativar sempre.
■ 3: restaurar se desativado.
WSCAVALERT=val Configura alertas de antivírus para a Central de Segurança do Windows, na qual val é um
dos seguintes valores:
■ 0: ativar.
■ 1: desativar (padrão).
■ 2: não controlar.
Exemplos de linha de comando para instalar o cliente
WSCFWALERT=val Configura alertas de firewall para a Central de Segurança do Windows, na qual val é um
dos seguintes valores:
■ 0: ativar.
■ 1: desativar (padrão).
■ 2: não controlar.
WSCAVUPTODATE=val Configura o tempo de desatualização da Central de Segurança do Windows para definições

de antivírus, na qual val é um dos seguintes valores:
1 - 90: número de dias (o padrão é 30).
DISABLEDEFENDER=val Define se o Windows Defender será desativado durante a instalação, se val for um dos
seguintes valores:
■ 1: desativa o Windows Defender (padrão).

■ 0: não desativa o Windows Defender.
Exemplos de linha de comando para instalar o cliente

Tabela B-6 Exemplos de linha de comando
Tarefa Linha de comando
Instala de modo silencioso todos os componentes do msiexec /I "SEP.msi" PRODUCTINSTALLDIR=C:\SFN

cliente do Symantec Endpoint Protection com REBOOT=ReallySuppress /qn /l*v c:\temp\msi.log
configurações padrão ao diretório C:\SFN.
Suprime o reinício do computador e cria um arquivo de

log detalhado.
Instala de modo silencioso o cliente do Symantec Endpoint msiexec /I "SEP.msi"

Protection com a Proteção contra vírus e spyware e a ADDLOCAL=Core,SAVMain,EMailTools,OutlookSnapin,
Proteção contra ameaças à rede. Pop3Smtp,ITPMain,Firewall /qn /l*v c:\temp\msi.log
Cria um arquivo de log detalhado.
O computador deve ser reiniciado para implementar a

Proteção contra ameaças à rede.
Sobre como instalar e implementar o software-cliente

com o Symantec Management Agent
Você pode instalar e implementar o software-cliente da Symantec em computadores
Windows usando o software Altiris, agora chamado Symantec Management Agent.
Para instalar clientes com o Microsoft SMS 2003
O Symantec Endpoint Protection fornece um componente integrado gratuito do

Symantec Endpoint Protection que inclui capacidades de instalação padrão,
gerenciamento do cliente integrado e relatórios de alto nível.
O Symantec Management Agent permite que as organizações de tecnologia da
informação gerenciem, protejam e prestem serviço de manutenção a ativos
heterogêneos de TI. Também oferece suporte para entrega de software,
gerenciamento de patches e muitos outros recursos de gerenciamento. O software
da Altiris ajuda a TI a alinhar serviços para atingir objetivos de negócios, entregar
segurança pronta para auditoria, automatizar tarefas e reduzir os custos e a
complexidade do gerenciamento.
Para a documentação e o arquivo de instalação do Symantec Endpoint Protection
Integration Component, veja o diretório Tools/SEPIntegrationComponent no
disco do produto.
Para obter informações sobre a família de produtos Altiris, vá para o seguinte
URL:
http://www.symantec.com/configuration-management

Você pode utilizar o Microsoft Systems Management Server (SMS) para instalar
o software-cliente da Symantec. Presumimos que os administradores de sistemas
que usam o SMS já tenham instalado anteriormente o software com o SMS.
Consequentemente, presumimos que você não precise de informações detalhadas
sobre a instalação do software-cliente da Symantec usando o SMS.
Nota: Este tópico aplica-se também ao Microsoft System Center Configuration

Manager (SCCM).
O software de instalação do cliente da Symantec exige que o Microsoft Installer

3.1 ou superior esteja presente nos computadores-cliente antes da instalação. Este
software será instalado automaticamente se não estiver presente em
computadores-cliente, mas somente quando você implementar com um único
setup.exe executável. Este software não será instalado automaticamente se você
implementar com o arquivo.msi. Os computadores que executam o Windows
Server 2003 com o Service Pack 2 e o Windows Vista incluem o Windows Installer
3.1 ou superior. Caso necessário, implemente primeiramente o
WindowsInstaller-x86.exe contido no disco do produto do Symantec Network
Access Control e Symantec Endpoint Protection. Fazer upgrade para a versão do
Windows Installer também exige uma reinicialização do computador.
Nota: Esta nota se aplica ao SMS versão 2.0 e anteriores: Se você usar SMS, desative
o recurso Mostrar o status do ícone na barra de ferramentas de todas as
atividades do sistema nos clientes no Monitor de programas anunciados. Em
alguns casos, o Setup.exe talvez precise atualizar um arquivo compartilhado que
se encontra em uso no monitor de programas anunciados. Se o arquivo estiver
sendo usado, a instalação não terá êxito.
A Symantec recomenda que os pacotes de SMS/SCCM iniciem o Setup.exe em vez

do MSI diretamente. Este método garante que o mecanismo de MSI possa ser
atualizado para a versão mínima recomendada e permite também o registro em
log do instalador. Use o recurso de criação de pacotes personalizados no SMS/SCCM
para criar pacotes personalizados em vez do recurso do Assistente de Pacotes.
Aviso: Você deve incluir um arquivo de Sylink.xml nos pacotes de instalação do

cliente que criou usando os arquivos no disco do produto. Você deverá incluir um
arquivo Sylink.xml criado depois de instalar e usar o Symantec Endpoint Protection
Manager. O arquivo Sylink.xml identifica o servidor de gerenciamento para o qual
clientes relatam. Se você não incluir esse arquivo, o cliente será instalado como
um cliente não gerenciado. Como resultado, todos os clientes serão instalados
com configurações padrão e não se comunicarão com o servidor de gerenciamento.
A Tabela B-7 relaciona as tarefas para criar e distribuir o software-cliente da

Symantec com SMS 2003.
Tabela B-7 Processo para instalar o cliente que usa o Microsoft Systems
Management Server
Etapa Descrição
Etapa 1 Crie um pacote de instalação do software com o Symantec Endpoint Protection

Manager que contém o software e as políticas para instalar em seu
computador-cliente. Além disso, esse pacote de instalação do software deve
conter um arquivo nomeado como Sylink.xml, que identifica o servidor que
gerencia os clientes.
Etapa 2 Crie um diretório de origem e copie os arquivos de instalação do cliente da

Symantec para esse diretório de origem. Por exemplo, você cria um diretório
de origem que contém os arquivos de instalação para o software-cliente da
Symantec.
Etapa 3 Crie um pacote, nomeie-o e identifique o diretório de origem como parte do

pacote.
Para instalar clientes com o objeto de política de grupo do Active Directory
Etapa Descrição
Etapa 4 Configure a caixa de diálogo Programa para o pacote a fim de especificar o

executável que inicia o processo de instalação e especifique o MSI com os
parâmetros.
Etapa 5 Distribua o software em coleções específicas com anúncios.
Para obter mais informações sobre como usar o SMS/SCCM, consulte a

documentação da Microsoft que é apropriada para sua versão.
Para instalar clientes com o objeto de política de

grupo do Active Directory
Você pode instalar o cliente usando um objeto de política de grupo do Active
Directory do Windows 2000/2003/2008. Os procedimentos supõem que você
instalou este software e que usou o Windows Active Directory para instalar o
software-cliente com o objeto de política de grupo do Active Directory.
O software de instalação exige que os computadores-cliente contenham e possam
executar o Windows Installer 3.1 ou posterior. Os computadores já satisfazem a
esse requisito quando executam o Windows XP com Service Pack 2 ou superior,
o Windows Server 2003 com Service Pack 1 ou superior e Windows
Vista/7/8/Server 2008/Server 2012. Se os computadores-cliente não satisfazem
essa exigência, todos os outros métodos instalam automaticamente o Windows
Installer 3.1 inicializando os arquivos de instalação.
Por razões de segurança, o objeto de política de grupo do Windows não permite a
inicialização para o arquivo executável WindowsInstaller*.exe dos arquivos de
instalação. Consequentemente, para instalar o software do cliente da Symantec,
você deve executar este arquivo nos computadores sem Windows Installer 3.1 ou
superior. Você pode executar esse arquivo com um script de inicialização do
computador. Se você usar um GPO como um método de instalação, será necessário
decidir como atualizar os computadores-cliente com Windows Installer 3.1 ou
superior.
A instalação do cliente da Symantec usa arquivos .msi padrão do Windows Installer.
Como resultado, você pode personalizar a instalação do cliente com as propriedades
do .msi.
Consulte “Sobre a configuração das strings de comando MSI” na página 1179.
Confirme se seu servidor DNS está configurado corretamente antes da
implementação. A configuração correta é necessária, pois o Active Directory
depende do servidor DNS para realizar a comunicação entre computadores. Para
testar a configuração, envie o comando ping para o computador com Windows

Active Directory e, em seguida, envie o comando ping na direção oposta. Use o
nome de domínio totalmente qualificado. O uso do nome de computador sozinho
não requer uma nova pesquisa de DNS. Use o seguinte formato:
ping nome_do_computador.nome_completo_do_domínio.com
Tabela B-8 Etapas para instalar o software-cliente usando o Objeto de política

de grupo do Active Directory
Etapa Ação
Etapa 1 Crie a imagem de instalação administrativa.
Consulte “Para criar a imagem de instalação administrativa” na página 1190.
Etapa 2 Copie o arquivo Sylink.xml para os arquivos de instalação.
Consulte “Para copiar um arquivo Sylink.xml aos arquivos de instalação

para fazer clientes gerenciados” na página 1195.
Etapa 3 Organize a imagem de instalação administrativa.
Etapa 4 Crie uma distribuição de software de GPO.
Você também deve testar a instalação de GPO com um número pequeno

de computadores antes da implementação de produção. Se o DNS não
estiver configurado adequadamente, as instalações de GPO poderão levar
uma hora ou mais.
Consulte “Criação de uma distribuição de software de GPO” na página 1191.
Etapa 5 Crie um script de inicialização para instalar o Windows Installer 3.1 (ou
superior). Se seus computadores já cumprirem este requisito, você pode
ignorar esta etapa.
Consulte “Para criar um script de inicialização para instalar Windows

Installer 3.1 ou superior” na página 1193.
Etapa 6 Adicione computadores à unidade organizacional.
Consulte “Adição de computadores à unidade organizacional e ao software

de instalação” na página 1194.
Consulte “Para desinstalar o software-cliente com o objeto de política de grupo

do Active Directory” na página 1196.
Para criar a imagem de instalação administrativa

As instalações do objeto de política de grupo que usam o Windows Installer 3.0 e
anterior exigem as imagens administrativas dos arquivos de instalação do cliente.
Essa imagem não é uma exigência para as instalações do 3.1 e superior e é opcional.
Se você não criar a imagem administrativa, deverá mesmo assim copiar o conteúdo
do disco do produto para seu computador antes da instalação usando o objeto de
política de grupo.
Consulte “Para instalar clientes com o objeto de política de grupo do Active
Directory” na página 1189.
Para criar a imagem de instalação administrativa
1 Copie o conteúdo do disco do produto para seu computador.
2 De um prompt de comando, navegue para a pasta SEP e digite
msiexec /a "Sep.msi"

4 No painel Localização de rede, digite o local onde deseja criar a imagem de
instalação administrativa e clique em Instalar.
Criação de uma distribuição de software de GPO

O procedimento pressupõe que você já tenha instalado o Group Policy Management
Console da Microsoft com o Service Pack 1 ou posterior. O procedimento também
pressupõe que você tenha computadores no grupo de computadores ou em algum
outro grupo no qual você quer instalar o software-cliente. Você pode arrastar
esses computadores para um novo grupo que você criar.
Nota: Se o Controle da conta do usuário (UAC) estiver ativado, será necessário

ativar Sempre instalar com alto privilégio para Configuração do computador e
Configuração do usuário para instalar o software-cliente da Symantec com um
GPO. Você define essas opções para permitir que todos os usuários do Windows
instalem o software-cliente da Symantec.

Para criar um pacote GPO
1 Na barra de tarefas do Windows, clique em Iniciar> Programas > Ferramentas
administrativas > Gerenciamento de política de grupo.
2 Na janela Usuários e Computadores do Active Directory, na árvore do console,
clique com o botão direito do mouse no domínio e, em seguida, clique em
Usuários e Computadores do Active Directory.
3 Na janela Usuários e computadores do Active Directory, clique com o botão

direito do mouse em Domínio e, em seguida, clique em Novo > Unidade
organizacional.
4 Na caixa de diálogo Novo objeto, na caixa Nome, digite um nome para a
unidade organizacional e clique em OK.
5 Na janela Usuários e Computadores do Active Directory, clique em Arquivo
>Sair.
6 Na janela Gerenciamento de política de grupo, na árvore do console, clique
com o botão direito do mouse na unidade organizacional que você criou e, em
seguida, clique em Criar e vincular um GPO aqui.
Você pode precisar atualizar o domínio para ver sua nova unidade
organizacional.
7 Na caixa de diálogo GPO, na caixa Nome, digite um nome para o seu GPO e
clique em OK.
8 No painel direito, clique com o botão direito do mouse no GPO que você criou
e clique em Editar.
9 Na janela Editor do objeto de política de grupo, no painel esquerdo, em
Configuração do computador, expanda Configurações do software.
10 Clique com o botão direito do mouse em Instalação de software e clique em
Novo > Pacote.
11 Na caixa de diálogo Abrir, digite o caminho da Convenção de nomenclatura
universal (UNC) que aponta para e contém o pacote MSI.
Use o formato de acordo com o exemplo a seguir:
\\nome do servidor\SharedDir\Sep.msi
12 Clique em Abrir.
13 Na caixa de diálogo Implementar software, clique em Atribuído e em OK.
O pacote é exibido no painel direito da janela Editor do objeto de política de
grupo se você selecionar Instalação de software.
Para configurar modelos para o pacote
1 Na janela Editor do objeto de política de grupo, na árvore do console, exiba e
ative as seguintes configurações:
■ Configuração do computador > Modelos administrativos > Sistema > Logon
> Sempre esperar pela rede ao iniciar o computador e fazer logon
■ Configuração do computador > Modelos administrativos > Sistema >
Política de grupo > Processamento de política de instalação de software
■ Configuração do usuário > Modelos administrativos > Componentes do

Windows > Windows Installer > Sempre instalar com alto privilégio
2 Feche a janela Editor do objeto de política de grupo.

3 Na janela Gerenciamento de política de grupo, no painel esquerdo, clique com
o botão direito do mouse no GPO que você editou e depois clique em Aplicado.
4 No painel direito, em Filtragem de segurança, clique em Adicionar.
5 Na caixa de diálogo, em Digite o nome do objeto a ser selecionado, digite
Computadores do domínio e clique em OK.
Para criar um script de inicialização para instalar Windows Installer

3.1 ou superior
Você deve instalar o Windows Installer 3.1 nos computadores que contêm e
executam versões anteriores do Windows Installer. Você pode exibir versões do
Windows Installer executando msiexec /? em um prompt de comando. O Windows
Installer 3.1 ou superior é necessário para o pacote de instalação de GPO. Nos
computadores que exigem a instalação do Windows Installer 3.1 ou superior, como
você instala é sua escolha.
Nota: Os usuários restritos não podem executar o Windows Installer 3.1, e os

usuários restritos com privilégios elevados não podem executar o Windows
Installer 3.1. Os usuários restritos são definidos com a política de segurança local.
Uma maneira de instalar o Windows Installer é usando um script de inicialização

do computador de GPO. Os scripts de inicialização são executados antes dos
arquivos de instalação .msi do GPO quando os computadores reiniciam. Se utilizar
essa abordagem, saiba que o script de inicialização executa e reinstala o Windows
Installer a cada vez que o computador é reiniciado. Se você instalá-lo em modo
silencioso, contudo, os usuários experimentarão um leve atraso antes de ver a tela
de logon. O software-cliente da Symantec somente é instalado uma vez usando o
GPO.
Para instalar o Windows Installer 3.1 ou superior com um script de inicialização

1 Na janela Gerenciamento de política de grupo, na árvore do console, expanda
a unidade organizacional, clique com o botão direito do mouse no pacote e,
em seguida, clique em Editar.
2 Na janela Editor de objeto de política de grupo, na árvore do console, expanda
Configuração do computador > Configurações Windows e clique em Scripts
(Iniciar/Desligar).
3 No painel direito, clique duas vezes em Iniciar.
4 Na caixa de diálogo Propriedades de inicialização, clique em Mostrar
arquivos.
5 Em uma janela nova, copie o arquivo WindowsInstaller-.exe da pasta do
arquivo de instalação do GPO na janela e pasta Iniciar.
6 Exiba novamente a caixa de diálogo Propriedades de inicialização e clique
em Adicionar.
7 Na caixa de diálogo Adicionar um script, clique em Procurar.
8 Na caixa de diálogo Procurar, selecione o arquivo executável do Windows
Installer e clique em Abrir.
9 Na caixa de diálogo Adicionar um script, na caixa Parâmetros de script, digite
/quiet /norestart e clique em OK.
10 Na caixa de diálogo Propriedades de inicialização, clique em OK.

11 Feche a janela Gerenciador do objeto de política de grupo.
Adição de computadores à unidade organizacional e ao software de

instalação
Você pode adicionar computadores a uma unidade organizacional. Quando os
computadores são reiniciados, o processo de instalação do software-cliente tem
início. Quando os usuários fazem logon nos computadores, o processo de instalação
do software-cliente é concluído. A atualização da política de grupo, no entanto,
não é instantânea; portanto, pode levar um tempo para que essa política se
propague. O procedimento, contudo, contém os comandos que você pode executar
nos computadores-cliente para atualizar a política por solicitação.
Para adicionar computadores à unidade organizacional e ao software de instalação

1 Na barra de tarefas do Windows, clique em Iniciar > Programas > Ferramentas
administrativas > Usuários e computadores do Active Directory.
2 Na janela Usuários e computadores do Active Directory da árvore de console,
localize um ou mais computadores para adicionar à unidade organizacional
que você criou para a instalação de GPO.
Os computadores aparecem primeiro na unidade organizacional
Computadores.
3 Arraste e solte os computadores na unidade organizacional que você criou
para a instalação.
4 Feche a janela Usuários e computadores do Active Directory.
5 Para aplicar as alterações rapidamente aos computadores-cliente (para teste),
abra um prompt de comando nos computadores-cliente.
6 Digite um dos comandos a seguir e, então, pressione Enter.
■ Em computadores que executam o Windows 2000, digite secedit
/refreshpolicy machine_policy.
■ Em computadores que executam o Windows XP e posteriores, digite
gpupdate.
7 Clique em OK.
Para copiar um arquivo Sylink.xml aos arquivos de instalação para

fazer clientes gerenciados
Quando você instalar o Symantec Endpoint Protection Manager, ele criará um
arquivo nomeado Sylink.xml para cada grupo de clientes. Os clientes do Symantec
Endpoint Protection leem o conteúdo deste arquivo para saber qual servidor de
gerenciamento gerencia o cliente. Se você não copiar esse arquivo nos arquivos
de instalação antes de instalar o software-cliente, os clientes serão instalados
como não gerenciados. Você deve criar pelo menos um grupo novo com o console
de gerenciamento antes de copiar o arquivo. Caso contrário, o arquivo Sylink.xml
fará com que os clientes sejam exibidos no grupo padrão.
Nota: Os pacotes que são exportados com o console do Symantec Endpoint

Protection Manager incluem um arquivo Sylink.xml.

Para desinstalar o software-cliente com o objeto de política de grupo do Active Directory
Para copiar o arquivo Sylink.xml nos arquivos de instalação

1 Se você ainda não fez isso, instale o Symantec Endpoint Protection Manager.
na página 99.
2 Exporte um arquivo Sylink.xml do grupo de clientes correto.
3 Copie o Sylink.xml em um dos seguintes locais:
■ Se você criar uma imagem do arquivo de instalação administrativo,
sobrescreva o arquivo Sylink.xml na pasta
install_directory\CommonAppData\Symc\Name\Version\Data\Config\.
A pasta install_directory representa o local que você escolheu durante a
criação da imagem do arquivo.
Consulte “Para criar a imagem de instalação administrativa” na página 1190.
■ Se você não criar uma imagem administrativa do arquivo de instalação,
copie a pasta SEP ou SEPx64 do disco do produto em uma pasta de seu
computador. Então, para criar um cliente gerenciado, copie o arquivo
Sylink.xml nessa pasta de destino.
Para desinstalar o software-cliente com o objeto de

política de grupo do Active Directory
Você pode desinstalar o software-cliente que instalou com o Active Directory.
Consulte “Para desinstalar o cliente Windows” na página 160.
Para desinstalar o software-cliente com o Objeto de política de grupo do Active
Directory
1 Na barra de tarefas do Windows, clique em Iniciar> Programas > Ferramentas
administrativas > Gerenciamento de política de grupo.
A versão do Windows que você usa pode exibir Todos os programas, em vez
de Programas, no menu Iniciar.
2 Na janela Gerenciamento de políticas de grupo na árvore do console, expanda
o domínio e Configuração do computador, expanda Configurações do
software, clique com o botão direito do mouse em Instalação do software e
clique em Propriedades.
3 Na guia Avançado, marque Desinstalar este aplicativo quando ele ficar fora
do escopo do gerenciamento e, em seguida, clique em OK.
4 No painel direito, clique com o botão direito do mouse no pacote de software

e clique em Remover.
5 Na caixa de diálogo Remover software, marque Desinstalar imediatamente
o software dos usuários e computadores e, em seguida, clique em OK.
6 Feche a janela Editor de objeto de política de grupo e, em seguida, a janela
Gerenciamento de política de grupo.
O software é desinstalado quando os computadores-cliente são reiniciados.
Apêndice C
Opções da linha de
comando para o cliente
■ Para executar comandos do Windows para o serviço do cliente
■ Códigos de erro
■ Digitação de um parâmetro caso o cliente esteja protegido por senha
Para executar comandos do Windows para o serviço

do cliente
É possível manipular o cliente diretamente na linha de comando no
computador-cliente Windows usando o comando smc do serviço do cliente. É
possível usar esse comando em um script que execute os parâmetros de maneira
remota. Por exemplo, se for necessário interromper o cliente para instalar um
aplicativo em vários clientes, é possível interromper e reiniciar todos os serviços
do cliente.
O serviço do cliente deve ser executado para que você use os parâmetros da linha
de comando, exceto o parâmetro smc -start. Os parâmetros da linha de comando
não diferenciam maiúsculas e minúsculas.
A Tabela C-1 descreve os parâmetros que poderão ser executados se os usuários
forem membros de qualquer grupo de usuários do Windows.
1200 Opções da linha de comando para o cliente
Para executar comandos do Windows para o serviço do cliente
Tabela C-1 Parâmetros que todos os membros do Windows podem usar
smc -checkinstallation Verifica se o serviço smc do cliente está instalado.
Retorna 0, -3
smc -checkrunning Verifica se o serviço smc do cliente está em execução.
Retorna 0, -4
smc -disable -ntp Desativa o firewall do Symantec Endpoint Protection e o Sistema de prevenção contra
intrusões
Se o agente for protegido por senha, digite: smc -disable -ntp -p senha
Consulte “Digitação de um parâmetro caso o cliente esteja protegido por senha”

na página 1205.
smc -dismissgui Fecha a interface de usuário do cliente do Symantec Endpoint Protection ou Symantec
Network Access Control, incluindo o ícone da área de notificação.
O cliente ainda será executado e protegerá o computador-cliente.
Retorna 0
smc -enable -ntp Ativa o firewall do Symantec Endpoint Protection e o Sistema de prevenção contra
intrusões.
Se o agente for protegido por senha, digite: smc -enable -ntp -p senha
Consulte “Digitação de um parâmetro caso o cliente esteja protegido por senha”

na página 1205.
Opções da linha de comando para o cliente 1201
smc -exportlog Exporta todo o conteúdo de um log para um arquivo .txt.
Para exportar um log, use a seguinte sintaxe:
smc -exportlog tipo_de_log0 -1 arquivo_de_saída
onde:
log_type é:
■ 0 = Log do sistema
■ 1 = Log de segurança
■ 2 = Log de tráfego
■ 3 = Log de pacotes
■ 4 = Log de controle
Por exemplo, você pode digitar a seguinte sintaxe:
smc -exportlog 2 0 -1 c:\temp\TrafficLog
Onde:
0 é o começo do arquivo
-1 é o final do arquivo
Só é possível exportar os logs de controle, de pacotes, de segurança, de sistema e de
tráfego.
output_file é o nome do caminho e do arquivo que você atribuiu ao arquivo exportado.
Retorna 0, -2, -5
smc -runhi Se o Symantec Network Access Control estiver instalado, executará uma verificação da
Retorna 0
smc -showgui Exibe a interface de usuário do cliente do Symantec Endpoint Protection ou do Symantec
Retorna 0
smc -updateconfig Inicia uma comunicação de cliente e servidor para assegurar-se de que o arquivo de
configuração do cliente esteja atualizado.
Se o arquivo de configuração do cliente estiver desatualizado, o updateconfig fará o

download do arquivo mais recente e substituirá o existente, que é serdef.dat.
Retorna 0
A Tabela C-2 exibe os parâmetros que você poderá executar somente se as seguintes
circunstâncias forem atendidas:
■ O cliente executar Windows 2003/XP/Vista ou Windows Server 2008 e os
usuários forem membros do grupo de administradores do Windows.
■ O cliente executar Windows 2003/XP e os usuários forem membros do grupo

de usuários avançados.
Se o cliente executar o Windows Vista e o controle de conta de usuário estiver
ativado, o usuário automaticamente se tornará membro dos grupos de
Administradores e Usuários. Para usar estes parâmetros, o usuário deve ser
membro somente do grupo Administradores.
Tabela C-2 Parâmetros que os membros do grupo de administradores podem

usar
smc -exportconfig Exporta o arquivo de configuração do cliente para um arquivo .xml. O arquivo de
configuração inclui todas as configurações do servidor de gerenciamento, comas políticas,
grupos, configurações do log, configurações de segurança e configurações da interface
de usuário.
É necessário especificar o nome do caminho e do arquivo. Por exemplo, é possível digitar

o seguinte comando:
smc -exportconfig C:\Meus documentos\MyCompanyprofile.xml
Retorna 0, -1, -5, -6
smc -importconfig Substitui o conteúdo do arquivo de configuração atual do cliente por um arquivo de
configuração importado e atualiza a política do cliente. O cliente deve estar em execução
para importar o conteúdo do arquivo de configuração.

o seguinte comando:
smc -importconfig C:\Meus documentos\MyCompanyprofile.xml.
Retorna 0, -1, -5, -6

smc -exportadvrule Exporta regras de firewall do cliente para um arquivo .sar. As regras exportadas podem
somente ser importadas para um cliente não gerenciado ou um cliente gerenciado no
modo de controle de cliente ou no modo misto. O cliente gerenciado ignora estas regras
no modo de controle de servidor.

o seguinte comando:
smc -exportadvrule C:\myrules.sar
Retorna 0, -1, -5, -6

Ao importar arquivos de configuração e regras de firewall, observe se estas regras se
aplicam:
■ Não é possível importar arquivos de configuração ou de regras de firewall diretamente

de uma unidade de rede mapeada.
■ O cliente não suporta caminhos UNC (Universal Naming Convention).
smc -importadvrule Adiciona as regras de firewall importadas à lista de regras de firewall do cliente. Essas
regras não sobrescrevem as existentes. O cliente relaciona as regras existentes e
importadas, mesmo que todas tenham o mesmo nome e parâmetros.
Você pode importar somente regras de firewall para um cliente não gerenciado ou para
um cliente gerenciado no modo de controle de cliente ou no modo misto. O cliente
gerenciado ignora estas regras no modo de controle de servidor.
Para importar regras de firewall, importe um arquivo .sar. Por exemplo, é possível digitar
o seguinte comando:
smc -importadvrule C:\myrules.sar
Uma entrada será adicionada ao log do sistema após a importação das regras.
Retorna 0, -1, -5, -6
smc -start Inicia o serviço do cliente do Symantec Endpoint Protection ou Symantec Network Access
Control.
Retorna 0, -1
smc -stop Interrompe o serviço do cliente do Symantec Endpoint Protection ou Symantec Network
Access Control e o descarrega da memória.
Retorna 0, -1
Para executar comandos do Windows para o serviço do cliente:

◆ Realize uma destas tarefas:
■ Clique em Iniciar > Executar e digite o comando.
Códigos de erro
■ Em uma janela de prompt do DOS, digite o caminho de instalação do serviço

smc antes do comando.
Por exemplo, em um sistema Windows de 64 bits, digite:
C:\Program Files (x86)\Symantec\Symantec Endpoint
Protection\smc.exe
Códigos de erro
A Tabela C-3 exibe os códigos de erro retornados pelo comando smc quando os
parâmetros necessários são inválidos ou estão ausentes.
Tabela C-3 Códigos de erro de smc
Código do erro Descrição
0 O comando foi bem-sucedido.
-1 O usuário não está no grupo Administradores nem no grupo Usuários

avançados do Windows. Se o cliente executa o Windows Vista, o usuário
não é membro do grupo Administradores do Windows.
-2 Parâmetro inválido.
Talvez você tenha digitado o parâmetro incorretamente ou adicionado

uma chave incorreta depois do parâmetro.
-3 smc o serviço do cliente não está instalado.
-4 smc o serviço do cliente não está em execução.
-5 Arquivo de entrada inválido.
Por exemplo, os parâmetros importconfig, exportconfig,

updateconfig, importadv, exportadvrule e exportlog exigem
o nome do caminho e o nome do arquivo corretos.
-6 O arquivo de entrada não existe.
Por exemplo, os parâmetros importconfig, updateconfig e

importadvrule exigem o nome do caminho, o nome do arquivo de
configuração (.xml) ou o nome do arquivo das regras de firewall (.sar)
corretos.
Digitação de um parâmetro caso o cliente esteja protegido por senha
Digitação de um parâmetro caso o cliente esteja

protegido por senha
Você poderá configurar a proteção por senha no cliente se você ou outro usuário
interromper o serviço do cliente ou importar ou exportar o arquivo de configuração.
Digite a senha se o cliente for protegido por senha para os seguintes parâmetros:
-stop O cliente pede uma senha antes de você ou o usuário interrompê-lo.
-importconfig O cliente pede uma senha antes que você possa importar o arquivo de
configuração.
-exportconfig O cliente pede uma senha antes que você possa exportar o arquivo de
configuração.
Nota: A senha é limitada a no máximo 15 caracteres.
Para digitar um parâmetro caso o cliente seja protegido por senha

1 No computador-cliente, na barra de tarefas, clique em Iniciar >Executar.
2 Na caixa de diálogo Executar, digite cmd
3 No prompt MS-DOS do Windows, digite um dos seguintes parâmetros:
smc -parameter -p password
smc -p password -parameter
Onde:
parâmetro é -stop, -importconfig ou -exportconfig.
senha é a senha especificada no console.
Por exemplo, você pode digitar qualquer uma das seguintes sintaxes:
smc -exportconfig c:\profile.xml -p senha ou
smc -p senha -exportconfig c:\profile.xml
4 Feche o prompt de comando.

Digitação de um parâmetro caso o cliente esteja protegido por senha
Apêndice D
Opções da linha de
comando para a ferramenta
Exceção de imagem virtual
■ vietool
1208 Opções da linha de comando para a ferramenta Exceção de imagem virtual
vietool
vietool
vietool – Executa a ferramenta de exceção da imagem virtual
Sinopse
vietool.exe volume: --generate|clear|verify|hash [options ...]
DESCRIÇÃO
O comando vietool marca os arquivos de imagem base no volume que você
especificar adicionando um atributo.
OPÇÕES
--generate
Executa a ferramenta de exceção da imagem virtual em todos os arquivos no
volume especificado. Você não pode usar essa opção com --clear.
Por exemplo: vietool c: --generate
--verify
Verifica se a exceção da imagem virtual está definida em todos os arquivos
no volume especificado. Você não pode usar essa opção com --clear.
Por exemplo: vietool c: --verify
--clear
Remove a exceção da imagem virtual em todos os arquivos no volume
especificado.
Por exemplo: vietool.exe c: --clear
Para excluir um arquivo específico: vietool.exe
c:\Users\Administrator\target.file --clear
Você pode usar um caminho totalmente qualificado no lugar do identificador

de volume para limpar a exceção da imagem virtual em um único arquivo ou
no conteúdo de uma pasta. Apenas um nome de arquivo, nome de pasta ou
identificador de volume são permitidos por linha de comando. Você não pode
usar esse comando com --generate, --verify ou --hash.
É necessário reiniciar o cliente depois que você executar o comando --clear.
--hash
Gera o valor de hash em todos os arquivos no volume especificado.
Opções da linha de comando para a ferramenta Exceção de imagem virtual 1209
vietool
O cliente compartilha o valor de hash com o Cache compartilhado do Insight.

A ferramenta de exceção da imagem virtual não gera o valor de hash a menos
que seja necessário. Você não pode usar essa opção com --clear.
Por exemplo: vietool.exe c: --generate --hash
--volume arg
Especifica o volume no qual ferramenta fará a verificação.
Essa opção pode ser um arquivo quando você usa a opção --clear. Você deve
especificar o volume; ele pode ser especificado com o indicador do volume ou
sozinho. Por exemplo, com o indicador vietool.exe --volume c:
--generate ou sozinho vietool.exe c: --generate.
--verbose
Envia para o console a quantidade máxima de informações de execução de
programas.
--stop
Interrompe o processo no primeiro erro que a ferramenta encontrar. Caso
contrário, a ferramenta grava as informações do erro no console e continua.
--help
Exibe esta mensagem de ajuda.
1210 Opções da linha de comando para a ferramenta Exceção de imagem virtual
vietool
Apêndice E
Sintaxe para assinaturas de
Prevenção contra intrusões
personalizada e regras de
controle de aplicativo
■ Expressões regulares no Symantec Endpoint Protection Manager
■ Sobre sintaxe e convenções das assinaturas
■ Argumentos do tipo de protocolo
■ Argumentos do protocolo TCP
■ Argumentos do protocolo UDP
■ Argumentos do protocolo ICMP
■ Argumentos do protocolo IP
■ Argumentos de Msg
■ Argumentos de conteúdo
■ Argumentos de conteúdo opcionais
■ Diferenciação entre maiúsculas e minúsculas
■ Decodificação HTTP
■ Deslocamento e profundidade
1212 Sintaxe para assinaturas de Prevenção contra intrusões personalizada e regras de controle de aplicativo
Expressões regulares no Symantec Endpoint Protection Manager
■ Argumentos Streamdepth
■ Operadores suportadas
■ Exemplo de sintaxe personalizada da assinatura IPS
Expressões regulares no Symantec Endpoint

Protection Manager
Você pode usar expressões regulares nas regras de conteúdo de assinatura IPS e
de controle de aplicativos. Por padrão, as expressões regulares diferenciam
maiúsculas de minúsculas.
Para o IPS, expressões regulares usam o seguinte formato:
regexpcontent="string value" (offset , depth)opt
deslocamento Especifica o início dos bytes nos dados do pacote, dos quais o
mecanismo IPS faz a correspondência do padrão da assinatura.
profundidade Especifica o tamanho dos dados do pacote, nos quais o mecanismo

IPS faz a correspondência do padrão da assinatura.
opt Inclui as opções C e H.
■ A opção C faz com que a expressão não diferencie maiúsculas

de minúsculas.
■ A opção H especifica a decodificação de HTTP.
■ Se não houver opção, todo o pacote de dados será comparado.
Para o IPS e o controle de aplicativo, as expressões regulares suportam as seguintes

caraterísticas:
■ Regexpcontent múltiplo
■ Formato binário. O formato é \x ou \X com dois dígitos hexadecimais, como
\xA9.
Tabela E-1 Sintaxe das expressões regulares
Símbolo Descrição
Caractere Corresponde a si mesmo, a menos que seja um dos seguintes caracteres

especiais (metacaracteres):
.\[]*+^$
Sintaxe para assinaturas de Prevenção contra intrusões personalizada e regras de controle de aplicativo 1213
Expressões regulares no Symantec Endpoint Protection Manager
. Corresponde a qualquer caractere e significa um ou mais.
\ Corresponde ao caractere posterior, exceto se seguido de:

■ Abertura ou fechamento de parênteses.
■ Um sinal de maior ou menor.
■ Um dígito de 1 a 9.
O caractere \ é usado como caractere de escape para todos os demais

metacaracteres, bem como para si mesmo. Quando for usada em um
conjunto ([4]), \ será tratado como um caractere comum.
[set] [^set] Corresponde a um dos caracteres no conjunto.
Se o primeiro caractere no conjunto for "^", corresponderá a um

caractere que NÃO está no conjunto, isto é, complementará o conjunto.
A forma abreviada S-E é usada para especificar um conjunto de
caracteres de S a E, inclusive. Os caracteres especiais "]" e "-" não terão
significado especial se aparecerem como os primeiros caracteres do
conjunto.
Por exemplo:
■ [a-z]: Corresponde a qualquer caractere alfabético

■ [^]-]: Corresponde a qualquer caractere, exceto ] e -
■ [^A-Z]: Corresponde a qualquer caractere, exceto alfabéticos
■ [a-z A-Z]: Corresponde a qualquer caractere alfabético. É o mesmo
que [a-z] ou [A-Z]
* Qualquer expressão regular de [1] a [4] seguida por um caractere de

encerramento (*) que corresponda a zero ou mais correspondências
dessa forma.
+ O mesmo que *, exceto que + corresponde a um ou mais
$form$ Uma expressão regular na sintaxe suportada, delimitada por $form$,

corresponde ao que form corresponder. A delimitação marca a forma
a ser usada com \<dígito de 1 a 9.> para a substituição padrão. As
formas marcadas são numeradas em ordem começando no início da
sintaxe.
Por exemplo:
■ $xxx$[1-3] corresponde a xxx1 ou xxx2 ou xxx3

Sobre sintaxe e convenções das assinaturas
\<dígito de 1 a 9.> Corresponde ao que uma expressão regular previamente marcada

$form$ corresponder. O dígito indica qual forma marcada deve ser
correspondida.
No primeiro exemplo aqui $xxx $ é marcado como 1. No segundo
exemplo $yy$ é marcado como 1, (zz\) é marcado como 2.
■ $xxx$[1-3]\1 corresponde a xxx1xxx ou xxx2xxx ou xxx3xxx

■ $yy$X$zz$[1-3]\2\1 corresponde a yyXzz1zzyy ou yyXzz2zzyy
ou yyXzz3zzyy
\< Uma expressão regular que começa com \< e/ou termina com \>
restringe o padrão que corresponde ao começo de uma palavra e/ou
\>
ao fim de uma palavra. Uma palavra é definida como uma string de
caracteres que se inicia e/ou termina com os caracteres A-Z a-z 0-9 e
_. Ela também deve ser precedida ou seguida por qualquer caractere
além desses mencionados.
Por exemplo, a sintaxe: *\<Symantec.\>.* corresponde a ...ABC

Symantec 123....
N/D Uma expressão regular composta de xy, onde x e y estão na forma de

[1] a [10] corresponde à correspondência mais longa de x seguida de
uma correspondência para y.
N/D Uma expressão regular que inicia com o caractere ^ e/ou terminando
com o caractere $, restringe o padrão de correspondência ao início ou
^
fim da linha [âncoras]. Fora do padrão, ^ e $ são tratados como
$ caracteres comuns.
Sobre sintaxe e convenções das assinaturas

Ao criar o conteúdo de cada assinatura IPS, você deve usar esta sintaxe:
rule protocol-type, [protocol-options,] [ip-protocol options,] "msg",
"content"...
É necessário iniciar cada assinatura com a palavra-chave regra, seguida do

argumento do tipo de protocolo, opções do protocolo, opções do protocolo IP,
argumentos msg e argumentos de conteúdo. Os argumentos opcionais são
colocados entre colchetes. Digite somente as informações dentro de colchetes,
não insira os colchetes. Os argumentos seguidos por reticências podem ser
repetidos. Forneça as informações dos argumentos usando operadores suportados
e expressões regulares.
Consulte “Argumentos do tipo de protocolo” na página 1215.
Argumentos do tipo de protocolo
Consulte “Argumentos do protocolo IP” na página 1219.

Consulte “Argumentos de Msg” na página 1222.
Consulte “Argumentos de conteúdo” na página 1223.
Consulte “Operadores suportadas” na página 1226.
Consulte “Expressões regulares no Symantec Endpoint Protection Manager”
na página 1212.
Argumentos do tipo de protocolo

Essa parte da assinatura define o tipo de protocolo usando esta sintaxe:
tipo de protocolo
onde tipo de protocolo é um destes parâmetros:

■ tcp
■ udp
■ icmp
O tipo do protocolo deve vir imediatamente após a palavra regra.

Por exemplo:
regra udp
Cada tipo de protocolo, tcp, udp e icmp oferece suporte a seu próprio conjunto de
argumentos opcionais.
Consulte “Argumentos do protocolo TCP” na página 1215.
Consulte “Argumentos do protocolo UDP” na página 1217.
Consulte “Argumentos do protocolo ICMP” na página 1218.
Argumentos do protocolo TCP

Para obter detalhes adicionais sobre o protocolo TCP, consulte RFC 793.
Argumentos do protocolo TCP
Tabela E-2 Argumentos do protocolo TCP
Atributo Descrição Sintaxe
origem Porta TCP de origem operador de origem (valor)
onde valor é um número de 16 bits não

assinado de 0 a 65535.
Exemplo:
origem=(180,2100)
O valor deve estar entre parênteses. O

valor 0 (zero) indica todas as portas.
Você pode especificar um intervalo de

portas usando um hífen entre dois
valores de portas (por exemplo 3-5
inclui as portas 3, 4 e 5). Várias portas
podem ser especificadas, separadas por
vírgulas.
dest Porta TCP de destino operador dest (valor)
onde valor é um número de 16 bits não

assinado de 0 a 65535.
Por exemplo:
dest=(120.125)
valor deve estar entre parênteses. O

valor 0 (zero) indica todas as portas.
Um intervalo de portas pode ser

especificado usando um hífen entre dois
valores de portas (por exemplo 3-5
inclui as portas 3, 4 e 5). Várias portas
podem ser especificadas, separadas por
vírgulas.
Argumentos do protocolo UDP
tcp_flag Indicadores de TCP presentes tcp_flag operator

no pacote flag|[flag]...
onde indicador é um destes

parâmetros:
■ fin: fim dos dados

■ syn: sincronizar números da
sequência
■ rst: redefinir conexão
■ psh: função enviar
■ ack: significativo do campo de
confirmação
■ urg: significativo do campo de
ponteiro urgente
■ 0: corresponder todos os indicadores
Por exemplo:
tcp_flag&ack|ps
A maioria dos testes de tcp_flag usa o

operador & (lógica binária e) como
máscara (que significa que um pacote
deve ter os indicadores especificados,
mas que também podem ter outros
indicadores definidos).
É possível especificar vários indicadores

em um teste inserindo uma barra
vertical (|) entre os indicadores.
Editar local Tamanho da janela TCP tamanho do operador janela
onde tamanho do operador é um

número de 16 bits não assinado de 0 a
65535.
Por exemplo:
janela=16384
Argumentos do protocolo UDP

Para obter detalhes adicionais sobre o protocolo UDP, consulte RFC 768.
Argumentos do protocolo ICMP
Tabela E-3 Argumentos do protocolo UDP
origem Porta UDP de origem operador de origem (valor)
onde valor é um número de 16

bits não assinado de 0 a 65535.
Por exemplo:
origem=(180,2100)
O valor deve estar entre

parênteses. O valor 0 (zero) indica
todas as portas.

especificado usando um hífen
entre dois valores de portas (por
exemplo 3-5 inclui as portas 3, 4 e
5). Várias portas podem ser
especificadas, separadas por
vírgulas.
dest Porta UDP de destino operador dest (valor)
em que valor é um número de 16

bits não assinado de 0 a 65535.
Por exemplo:
dest=(120)
O valor deve estar entre

parênteses. O valor 0 (zero) indica
todas as portas.

especificado usando um hífen
entre dois valores de portas (por
exemplo 3-5 inclui as portas 3, 4 e
5). Várias portas podem ser
especificadas, separadas por
vírgulas.
Argumentos do protocolo ICMP

Consulte os RFCs 792 e 1256 para obter descrições detalhadas de tipos de
protocolos ICMP válidos e combinações de códigos.
Argumentos do protocolo IP
Tabela E-4 Argumentos do protocolo ICMP
tipo Tipo do protocolo ICMP valor do operador tipo
onde valor é um número de 8 bits

não assinado de 0 a 255.
Por exemplo: type=0
código Tipo do protocolo ICMP valor do operador código
onde valor é um número de 8 bits

não assinado de 0 a 255.
Por exemplo:
código<=10
Os argumentos do protocolo IP são independentes dos argumentos do tipo do
protocolo e são válidos para os protocolos TCP, UDP e ICMP.
Para obter detalhes adicionais sobre o protocolo IP, consulte RFC 791.
Tabela E-5 Argumentos do protocolo IP
saddr Endereço IP de origem saddr=(value/CIDR)
onde:
■ valor é um endereço IP de 32
bits padrão ou a variável
$LOCALHOST, que especifica
o endereço IP do
computador-cliente.
■ CIDR é uma representação de
roteamento entre domínios
sem classe que indica quantos
bits serão usados para o
prefixo da rede.
Por exemplo:
saddr=(127.0.0.0/25)
Aqui, 25 bits são usados para

identificar a rede exclusiva e os
bits restantes que identificam o
host.
daddr Endereço IP de destino daddr=(value/CIDR)
onde:
■ valor é um endereço IP ou a
variável $LOCALHOST, que
especifica o endereço IP do
computador que executa o
cliente.
■ CIDR é uma representação de
roteamento entre domínios
sem classe que indica quantos
bits serão usados para o
prefixo da rede.
Por exemplo:
daddr=(128.0.0.0/4)
Aqui, quatro bits são usados para

identificar a rede exclusiva e os
bits restantes que identificam o
host.
tos Tipo de indicador de serviço valor do operador tos

presente no pacote
onde valor é uma constante
numérica no formato decimal,
hexadecimal ou octal.
Por exemplo:
tos=0x4
Para exibir valores tos de IPs

válidos, consulte Tabela E-6.
Para testar vários valores tos de

IP em um pacote, o argumento tos
deve ser a soma dos valores a
serem testados. Geralmente, o
operador é = ou &. Esses
indicadores não podem ser
combinados com uma barra
vertical (|), como em tcp_flags.
tot_len Tamanho total do pacote valor do operador tot_len
onde valor é um número de 16

bits de 0 a 65535 que especifica o
tamanho total do pacote.
Por exemplo:
tot_len>1445
Ao especificar o valor, o tipo de

protocolo da regra deve ser
considerado para calcular
corretamente o tamanho a ser
testado. Para auxiliar no cálculo
de tot_len de cada tipo de
protocolo suportado, o tamanho
dos cabeçalhos são assim:
TCP: De 20 a 60 bytes
UDP: 8 bytes
ICMP: De 8 a 20 bytes
ttl Tempo de vida (TTL) do pacote valor do operador ttl
onde valor é um valor de 8 bits

de 0 a 255 que especifica o tempo
de vida característico do pacote.
Argumentos de Msg
ip_flag Valor de deslocamento da valor do operador ip_flag

fragmentação do pacote
onde valor é um valor de 13 bits
que especifica o valor de
deslocamento fragmentado no
pacote.
Os deslocamentos de
fragmentação de IP ocorrem em
limites de 8 bytes; portanto, cada
valor de bit no deslocamento de
fragmentação representa três bits.
Tabela E-6 Valores tos do IP
Dez. Hex Opção
2 0x2 Minimizar custos
4 0x4 Maximizar confiabilidade
8 0x8 Maximizar taxa de transferência
24 0x18 Minimizar atrasos
Argumentos de Msg
Quando uma assinatura IPS corresponde com êxito o conteúdo do pacote às
condições de teste da regra, a mensagem é especificada no argumento msg. O
argumento msg aparece no log de segurança no cliente e no servidor. Somente
um argumento msg pode ser incluído em cada assinatura IPS.
Sintaxe:
msg="mensagem de alerta"
A mensagem de alerta deve estar entre aspas duplas e não pode conter pontuação.
Aspas únicas não são permitidas. O objetivo da mensagem de alerta é permitir a
identificação fácil de um evento na rede por meio da verificação do registro de
segurança. Portanto, todas as assinaturas IPS devem conter mensagens de alerta
concisas, mas descritivas no argumento msg.
Exemplo:
msg="Vulnerabilidade transversal unicode do IIS"
Argumentos de conteúdo
Argumentos de conteúdo
O argumento do conteúdo especifica um padrão a ser procurado em um pacote.
O argumento de conteúdo pode aparecer várias vezes em uma assinatura IPS. O
valor do conteúdo deve ser colocado entre aspas duplas (” "). Aspas únicas (' ') não
são permitidas.
Sintaxe:
content="value"
onde value é um padrão especificado como literal de string ou literal binário que
deve estar entre aspas.
Um literal de string é um grupo de caracteres consecutivos, incluindo espaços.
Uma string pode conter quaisquer caracteres, exceto aspas ("), barra invertida (\)
ou sequência de escape de caractere de linha nova (\n). Exemplo:
content="system32"
Um literal binário é um grupo de bytes consecutivos expressos no formato

hexadecimal onde a sequência de escape \x precede cada byte. Exemplo:
content="\x04\x20\x20\x20\xBF"
Este exemplo especifica o conteúdo como o literal binário "\x04\x20\x20\x20\xBF".

Os literais de sequência podem ser combinados com os literais binários para criar
padrões complexos. Exemplo:
content="\x0DLocation\x3A"
Argumentos de conteúdo opcionais

É possível usar argumentos de conteúdo adicionais e opcionais para melhor
qualificar o conteúdo destas maneiras:
■ Decodificação HTTP
■ Profundidade e deslocamento
Diferenciação entre maiúsculas e minúsculas

É possível especificar um indicador opcional de diferenciação entre maiúsculas e
minúsculas da letra C em cada argumento de conteúdo. Quando o indicador segue
um argumento de conteúdo, o padrão contido no argumento de conteúdo
Decodificação HTTP
corresponderá somente se as maiúsculas/minúsculas dos caracteres na sequência

corresponderem àquelas dos dados do pacote.
Por exemplo, é possível usar esta sintaxe:
content="value"C
content="\x0DLocation\x3A"C
Decodificação HTTP
É possível usar o indicador de decodificação opcional HTTP H em cada argumento
de conteúdo. Se você usar o indicador de decodificação HTTP H, os caracteres
codificados serão convertidos em literais binários antes de tentarem uma
correspondência de padrões. Também é possível usar o indicador HTTP H após o
indicador de diferenciação entre maiúsculas e minúsculas. As URIs de HTTP usam
caracteres codificados. Quando a correspondência de padrões é tentada e
normalizada, os dados normalizados são comparados aos literais binários ou de
string no argumento de conteúdo. Na maioria das circunstâncias, o indicador H
é usado somente para as regras de TCP relacionadas a aplicativos que usem o
protocolo HTTP.
content="value"H
content="\x6f\x6e\x4c\x6f\x61\x64\x3d\x22\x61\x6c\x65\x72\x74\x28"H
Deslocamento e profundidade
É possível usar os valores de deslocamento e profundidade como argumentos
opcionais no conteúdo. O valor de deslocamento é especificado primeiro, seguido
pelo valor de profundidade.
content="value"(deslocamento,profundidade)
Sintaxe Descrição
valor Um padrão que é especificado como literal da string ou literal binário

que deve estar entre aspas.
Argumentos Streamdepth
Sintaxe Descrição
deslocamento Um número inteiro positivo em representação decimal.
O deslocamento especifica um local alternativo para iniciar uma

correspondência de padrão. O deslocamento também especifica
quantos bytes serão ignorados antes que a assinatura tente padronizar
a correspondência.
Quando um argumento de deslocamento não está presente ou tem

valor 0, o padrão do argumento de conteúdo tenta encontrar uma
correspondência. O padrão tenta corresponder o conteúdo no início
da atividade do pacote ou no trecho do pacote após o cabeçalho do
protocolo no primeiro argumento de conteúdo. Cada argumento de
conteúdo sucessivo automaticamente inicia o teste de correspondências
de padrão que segue o fim da correspondência do padrão com êxito
anterior.
profundidade Um número inteiro positivo em representação decimal. A profundidade

especifica o número máximo de bytes a ser pesquisado durante a
tentativa de correspondência de um padrão em um argumento de
conteúdo.
Quando um argumento de profundidade tem valor 0, o padrão contido

no argumento de conteúdo tenta encontrar uma correspondência do
deslocamento até o fim do pacote. O valor especificado para o
argumento de profundidade não pode ser inferior ao número de bytes
especificado como padrão para corresponder ao argumento de
conteúdo.
content="\x04\x20\x20\x20\xBF"(4,5)
Esse exemplo ignora quatro bytes além da correspondência do padrão anterior

ou do início da atividade do pacote e compara os próximos cinco bytes com o literal
binário contido no argumento de conteúdo.
Argumentos Streamdepth
Você pode usar o argumento Streamdepth para limitar o comprimento do fluxo
no qual a regra da prevenção contra intrusões procura uma assinatura. Convém
usar o Streamdepth para melhorar o desempenho de suas regras da prevenção
contra intrusões personalizada. O argumento Streamdepth é opcional.
Sintaxe:
streamdepth=valor
Por exemplo, você pode suspeitar que uma assinatura existe nos primeiros 10 KB
de um fluxo de 1 MB. Você pode usar a seguinte sintaxe:
Operadores suportadas
streamdepth=10240
No arquivo de download, a regra da prevenção contra intrusões com este valor de

Streamdepth interromperá a busca pela assinatura após 10 KB. Limitando a
verificação, o desempenho do download é melhorado.
Se você definir o Streamdepth como 0, a prevenção contra intrusões aplicará a
regra ao fluxo inteiro.
Operadores suportadas
Muitos argumentos na sintaxe da assinatura requerem um operador que indique
o tipo de teste a ser executado para verificar esse tipo de tentativa.
A Tabela E-7 descreve os operadores suportados.
Tabela E-7 Operadores suportados usados nas assinaturas IPS
Operador Descrição
< menor que
> maior que
= igual a
& lógica binária e
Na biblioteca de assinaturas, o caractere de união & algumas vezes é

representado por meio do uso do seu equivalente de HTML &
<= menor ou igual a
>= maior ou igual a
Exemplo de sintaxe personalizada da assinatura IPS

Você pode criar exemplos de assinaturas IPS personalizados para detectar uma
tentativa de acessar e fazer o download de arquivos MP3 com um navegador da
Web ou FTP.
O formato de um arquivo MP3 dificulta a detecção de um arquivo MP3 no tráfego
na rede. Porém, é possível exibir os pacotes TCP para encontrar os comandos e
protocolos usado para recuperar os arquivos MP3. Você pode em seguida usar
estas informações para criar a sintaxe de uma assinatura IPS personalizada.
Para detectar um arquivo MP3 e bloquear o acesso a ele, você grava duas
assinaturas. Uma assinatura detecta um arquivo MP3 através do serviço HTTP.
A segunda assinatura detecta arquivos MP3 através do serviço FTP.
Quando você criar uma assinatura IPS personalizada, será necessário digitar o
conteúdo da assinatura usando o seguinte formato:
rule protocol-type, [protocol-options,] [ip-protocol

option,] msg, content...
Durante uma sessão de HTTP ou FTP, o servidor e o cliente trocam informações.

As informações são contida nos pacotes TCP destinados para o serviço apropriado
no servidor. O serviço HTTP usa a porte 80 e o serviço FTP, porta 21. Os pacotes
TCP contêm as informações necessárias em um componente de atividade.
Os navegadores da Web usam o comando HTTP GET para fazer o download de
arquivos MP3. O cliente FTP usa o comando FTP RETR para fazer o download de
arquivos. O comando FTP será usado também quando vários arquivos forem
recuperados usando o comando MGET. O nome de arquivo e a respectiva extensão
mp3 estão presentes em ambos os pedidos. Ambos os protocolos inserem caracteres
[CR] [LF] para marcar o final da solicitação
A sintaxe da assinatura também deve conter vários parâmetros, incluindo uma
expressão regular que identifique os comandos específicos que devem ser
bloqueados. As expressões regulares são padrões dos caracteres comparados ao
conteúdo do pacote. Os comandos que deseja bloquear são contidos nestes pacotes.
Se você não souber o nome de um arquivo específico, poderá usar o caractere
curinga (*) para corresponder ao número desconhecido de caracteres entre o
comando e o nome de arquivo. O comando deve estar em minúsculas, mas a
extensão do arquivo pode estar em maiúsculas ou minúsculas.
Consulte “Expressões regulares no Symantec Endpoint Protection Manager”
na página 1212.
O conteúdo da assinatura de HTTP contém a seguinte sintaxe:
rule tcp, dest=(80,443), saddr=$LOCALHOST,

msg="MP3 GET in HTTP detected",
regexpcontent="[Gg][Ee][Tt] .*[Mm][Pp]3 .*"
O conteúdo da assinatura de FTP contém a seguinte sintaxe:
rule tcp, dest=(21), tcp_flag&ack, saddr=$LOCALHOST,

msg="MP3 GET in FTP detected",
regexpcontent="[Rr][Ee][Tt][Rr] .*[Mm][Pp]3\x0d\x0a"
A Tabela E-8 explica a sintaxe da assinatura do HTTP e a assinatura do FTP.

Tabela E-8 Sintaxe da assinatura de HTTP e de FTP
Use a seguinte sintaxe: Para executar a seguinte tarefa
Para a assinatura de HTTP: Diz ao mecanismo com base no pacote qual

tráfego pesquisar. Dessa maneira, o mecanismo
rule tcp dest=(80,443) não procura tráfego desnecessário e não esgota
os recursos do sistema. Quanto mais
Para a assinatura de FTP:
informações detalhadas você fornecer, melhor
rule tcp dest=(21) o desempenho do mecanismo com base no
pacote.
Este argumento limita as portas de destino para

80 e 443 para o serviço de HTTP e 21 para o
serviço de FTP.
Para a assinatura de FTP: Reduz os falsos positivos.
tcp_flag&ack
saddr=$LOCALHOST Garante que a solicitação origine-se no host.
Para a assinatura de HTTP: O nome da assinatura será exibido quando a

assinatura for acionada. O nome aparece no log
msg="MP3 GET in HTTP" de segurança. Use uma string descritiva de
modo que possa facilmente identificar a
Para a assinatura de FTP:
assinatura acionada no log.
msg="MP3 GET in FTP"
Para a assinatura de HTTP: Corresponde a esta string no tráfego de HTTP

ou no tráfego de FTP à atividade nos pacotes de
regexpcontent="[Gg][Ee][Tt] TCP. Para reduzir falsos positivos, use este
.*[Mm][Pp]3 .*" argumento com cuidado.
Para a assinatura de FTP: A string corresponde ao texto ASCII do pacote

de TCP, que é “GET [.*].mp3[CR][LF]” para a
regexpcontent="[Rr][Ee][Tt][Rr] assinatura de HTTP e “RETR [. *] .mp3 [CR] [LF]”
.*[Mm][Pp]3\x0d\x0a" para a assinatura de FTP.
A string é gravada de modo que o texto não

diferencie maiúsculas e minúsculas.
Índice
Símbolos administrador do sistema

802.1x sobre 289
autenticação 1042 administrador limitado
configuração da autenticação 1044 configuração de direitos de acesso 293
configuração do alternador 1032 sobre 289
pontos de acesso sem fio 995 adware 355
suplicante 1162 agendamento
backup automático de bancos de dados 785
agendamentos
A adição a uma regra 500
Acesso remoto 927 ajuste 852
acionadores alteração da senha
adaptador de rede 485 administrador 303
aplicativo 474 alternador de VLAN
host 479 appliance LAN Enforcer 1011
serviço de rede 483 e LAN Enforcer 1000
acionadores de aplicativos ameaças
regras de firewall 474 combinadas 355
acionadores de host ameaças combinadas 355
regras de firewall 479 anel de tráfego em token 459
ações antispyware. Consulte proteção contra spyware
detecções da verificação 421 antivírus. Consulte proteção antivírus
Active Directory software 1160
para importar 230 Apache
adaptadores. Consulte adaptadores de rede log 824
adaptadores de rede aplicação de políticas 1163
acionadores 485 aplicativo
adição à lista padrão 485 para monitorar 584
adição a uma regra 499 para usar uma exceção para detectar 584
adição para usar uma exceção para permitir ou
um administrador 292 bloquear 585
um grupo 224 aplicativos 475
administração de ver também aplicativos reconhecidos
domínios 285 adição a uma regra 475
administrador definição 475
adição 292 fazendo a correção para a Integridade do
alteração da senha 303 host 896
como configurar a autenticação 294 monitoramento de aplicativos de rede 477
como renomear 292 opções em requisitos da integridade do host 905
sobre 289 pesquisar 336, 475
tipos de 289 aplicativos enganosos 356
1230 Índice
aplicativos reconhecidos 475 ponto de acesso sem fio (WAP) 931

ver também aplicativos pontos de acesso sem fio (WAP) 934
ativação 335 proteção de servidores 934
lista 475 servidor que não seja Windows 935
pesquisar 336 VPN 934
sobre 333 Appliance LAN Enforcer
appliance de segurança virtual 705, 728–729 modo transparente 1162
arquivo de configurações de instalação 731 planejamento da instalação 985
desinstalar 742 appliance LAN Enforcer
instalar 727, 734 802.1x 1042
serviço do cache de inteligência alternação dinâmica de VLAN 995
compartilhado 737 como funciona 853
usar arquivo de script para instalar 734 configurações 996
Appliance Enforcer configurações do alternador 1011
exibição do status 927 failover 989
fazer login 870 instalação 866
finalidade 858 modelo do alternador compatível 1012
geração de imagens 878 pontos de acesso sem fio de 802.1x 995
políticas de integridade do host 850 arquitetura de rede 89
solução de problemas 1157 arquivo de armazenamento de chave JKS 770
uso 858 arquivo de comunicação
verificação do status de comunicação 927 para substituir 760
appliance Enforcer arquivo index.ini 556
comunicação com Symantec Endpoint Protection arquivos
Manager 851 compartilhamento 496
conectores 867 fazendo a correção para a Integridade do
configuração 871 host 896
controles 867 logs do Enforcer 1060
indicadores 867 opções em requisitos da integridade do host 905
painel frontal 867 arquivos de definições
painel traseiro 868 configuração de ações para novas definições 395
Appliance Gateway Enforcer Assinaturas IPS
autenticação 852 personalizadas
como funciona 852 como alterar a ordem 516
NIC 937 assinaturas IPS
appliance Gateway Enforcer biblioteca personalizada 513
appliance ativo 938 exceções para 508
appliance de backup 938 personalizadas
appliance em espera 938 atribuição de bibliotecas a um grupo 516
appliance primário 938 bibliotecas 516
cliente que não seja Windows 935 copiar e colar 517
endereço IP 933 expressões regulares 1212
failover 933, 938 variáveis 518
instalação 866 assinaturas IPS personalizadas
outros protocolos 979 teste 519
pacote de solicitações ARP 979 ataques
pacote de solicitações DHCP 979 bloqueio 461
pacote de solicitações DNS 979 atualização
planejamento da instalação 929 cliente 187
Índice 1231
definições 592 B
atualização automática balanceamento de carga
cliente 186 definido 798
auditoria banco de dados
log 682 alteração de parâmetros do tempo limite 837
autenticação 857, 969 backup 785, 807
Appliance Gateway Enforcer 852 erros 837
appliance Gateway Enforcer 952, 981 erros CGI 838
appliance LAN Enforcer 1040 erros de processos concluídos 838
comandos 1161 manutenção 781
como configurar para administradores 294 restauração 816
configurações de intervalo 967 banco de dados interno
contas de administrador 298 configurações da instalação 91
e clientes não autenticados 960, 1103 bancos de dados
e clientes que não sejam Windows 962, 1104 disponibilidade 798
e hosts confiáveis 1095 banner de logon
e Integrated Enforcer 1078 adição 106
e nova autenticação 960 blacklist
falha 959 atualizar automaticamente 554, 558
Integrated Enforcer 1097–1098, 1100 atualizar para bloqueio do sistema 558
Integrated Enforcer for Microsoft DHCP Bloodhound
Servers 1065 modificação de configurações 416
intervalo confiável 967 bloqueio
local 1095 clientes dos grupos 234
nova autenticação 1045 computadores invasores 461
política de switch 1036 bloqueio de tráfego
ponto a ponto 465 regras de firewall 490
processo 852 bloqueio do sistema 541
Gateway Enforcer 956 execução no modo de teste 559
para o cliente 852 executar no modo blacklist 563
reautenticação 1028 lista de nomes de aplicativos 553
tipos de 850 para ativar o modo whitelist 562
autenticação local 1095 para testar itens selecionados 564
autenticação ponto a ponto 465 sobre 521
Autenticação SecurID verificar o status de atualizações
configurar no servidor de gerenciamento 296 automáticas 558
Auto-Protect bots 355
ativação ou desativação 246 bots da Internet 355
Download Insight 246
para o sistema de arquivos
ativação 249
C
personalização para clientes Windows 408 Cache de inteligência compartilhado
personalização para computadores Mac 410 ativado para vShield 729
personalização para verificações de e-mail 411 baseado na rede
Auto-Protect do sistema de arquivos. Consulte contadores de desempenho 721
Auto-Protect exibir eventos 719
interromper e iniciar o serviço 719
log 719
nenhuma resposta de resultado 722
personalizar configurações 715
1232 Índice
requisitos do sistema 710 cliente que não seja Windows

resultados do cache, problemas 722 appliance Gateway Enforcer 935
cache de inteligência compartilhado 705, 707 clientes
ativado para vShield 726 como desativar proteção em 245
arquivo de configuração 739 para apagar em infraestruturas da área de
ativar 737 trabalho virtual não persistentes 752
baseado na rede 710 clientes do Symantec Endpoint Protection
configurar clientes da rede 713 propriedades do MSI 1180
desinstalação 711 recursos de MSI 1181
instalação 711 clientes legados 634
caixa de entrada do aplicativo de e-mail clientes não gerenciados
exclusão para 360 distribuição de atualizações com ferramentas
Cavalos de Troia 355, 477 de terceiros 651
Central de Segurança do Windows 425 clientes remotos
central de segurança do Windows 417 monitoração 282
certificado coleta de informações do usuário 261
arquivo de armazenamento de chave 771 comando configure
arquivo de armazenamento de chave JKS 770 advanced local authentication 1161
atualização 773 spm 925
gerar novo 815 comando on-demand authentication 1147
cliente 210, 851 disable 1151
ver também replicação enable 1150
atualizações comando on-demand authentication ad 1149
ferramentas de distribuição de ad domain 1149
terceiros 648 disable 1149
Intelligent Updater 647 enable 1150
autenticação 956, 1065, 1078, 1103 comando on-demand authentication local-db
comandos 1199 add 1153
conformidade 1065, 1078 disable 1153
em quarentena 852, 1065, 1078 enable 1153
implementação 142, 144, 147 comando smc 1199
interface do usuário comando spm 925
acesso à 254 comandos 1208
configuração 256, 259 cliente 1199
mensagens em caso de bloqueio 1054 execução de logs 250
proteção por senha 262 execução em clientes através do console 250
regras 469 comandos on-Demand authentication local-db 1152
replicação de pacotes 210 como procurar aplicativos
sem fio 995 requisitos personalizados 906
Symantec Network Access Control 1065 como retirar uma política 327
cliente do Symantec Enforcer 1048 compartilhamento de impressoras 496
cliente legado compartilhar arquivos e impressoras 496
conexão ao appliance Gateway Enforcer 980 componentes
conexão ao appliance LAN Enforcer 1039 produto 75
cliente Mac computador-cliente
migrações suportadas 194 Assistente de Implementação de cliente 140
cliente On-Demand 860 Assistente de Migração 199
autenticação 857 atribuição de grupos 235
atualizações da política 328
Índice 1233
configurações da instalação 152 configuração

desativado 663 appliance Enforcer 871
fazer upgrade para uma nova versão 168 appliance Gateway Enforcer no console 944
gerenciado 158 appliance LAN Enforcer no console do
implementação 140 appliance 994
implementação remota 136 clientes sob demanda 1139
instalação personalizada 140 conexão entre o appliance Enforcer e o Symantec
instalação remota por envio 140 Endpoint Protection Manager 924
migração 190, 192, 199 configurações de autenticação do Integrated
modos 251 Enforcer 1098
mover para agrupar 235 grupos do Enforcer 1093
não gerenciado 158 Integrated Enforcer for Microsoft Access
não gerenciado no Mac 160 Protection 1118
não gerenciado no Windows 159 Integrated Enforcer for Microsoft Network
não verificados 664 Access Protection 1126
notificação de e-mail 140 Integrated Enforcer para servidores DHCP da
off-line 663 Microsoft 1092
online 663 lista de fornecedores confiáveis 1086
para desinstalar no Mac 161 logs do Enforcer 1058
para desinstalar no Windows 160 pontos de acesso sem fio de 802.1x em um
preparação para a instalação 134 appliance LAN Enforcer 995
proteção de sistema 663 proteção da máscara de sub-rede no Integrated
riscos 664 Enforcer for Microsoft DHCP Servers 1089
solução de problemas 823 proteção da máscara de sub-rede no Integrated
status 662 Enforcer para servidores DHCP da
computadores Microsoft 1090
atualização da proteção em 592 quarentena automática 1082
exibir 244 Servidor Radius em um appliance LAN
pesquisa por 244 Enforcer 994
computadores infectados 344 configurações
comunicação firewall 454, 463
problemas com o servidor e o console ou o banco Proteção contra ameaças à rede 460
de dados 830 configurações de comunicação
problemas entre o cliente e o servidor 821 cliente e servidor 833
comunicação cliente-servidor configurações de comunicação cliente-servidor
para corrigir 760 exportar 762
comunicação e portas requeridas 137 importar 764
condições do sistema operacional configurações de dissimulação 463
requisitos da integridade do host 906 mascaramento de impressão digital de SO 463
conectividade novo sequenciamento de TCP 463
comunicação entre o cliente e o servidor 821 configurações de verificação global 416
uso de um navegador para testar 826 configurações gerenciadas
uso do ping para teste 826 configuração no cliente 255
verificação da comunicação com o banco de conformidade
dados 831 logs 682
conectores relatório 1057
appliance Enforcer 867 console
conexão do cliente. Consulte estado de integridade exibição de informações sobre o Enforcer 1052
ícone de status 240 sobre 110
1234 Índice
tempo limite 110 sobre 255

console de gerenciamento. Consulte console controles
logs do Enforcer 1060 appliance Enforcer 867
console do Enforcer correção
gerenciamento do Enforcer 1048 integridade do host 895
informações sobre 1051 adiamento 898
página Servidores 1048 aplicativos 896
consoles remotos arquivos 896
conceder o acesso 107 tempo de espera 898
consultas do DNS correção de integridade do host
baseada no local 482 cancelar 898
conta credenciais
para bloquear ou desbloquear 109 clientes On-Demand 857
conta de administrador para autenticação do LAN Enforcer 853
para bloquear ou desbloquear 109 criptografia
sobre 287 senha 1026, 1078
contagem de votos 707 Symantec Integrated NAP Enforcer 1121
contas de administrador
teste de autenticação 298 D
conteúdo
dados de reputação 382
como os clientes recebem atualizações 602
dados do cliente
escolha aleatória 623
pesquisa por 244
para gerenciar atualizações 592
definições
revisões que não são a versão mais recente 621
atualização 592
sobre armazenamento de revisões 611
definições de vírus 882
controle de aplicativos
atualização 592
adição de regras 534
delta
configuração 524
sobre 187
conjuntos de regras padrão 526
dependências dos recursos 383
criação de regras personalizadas 527
depuração
criação de um conjunto de regras
comandos 1165
personalizadas 534
log 1165
melhores práticas 529
desativar
regras para aplicativos específicos 536
Auto-Protect 246
regras personalizadas 538
Proteção contra ameaças à rede 247
regras típicas 531
Proteção proativa contra ameaças 246
sobre 521
desinstalação
teste 539
do software-cliente com o GPO do Active
controle de dispositivos
Directory 1196
configuração 524, 570
desinstalar
lista de dispositivos de hardware 567
remoção de software de segurança 154
sobre 521
detecções do início antecipado do antimalware
controle de dispositivos e aplicativos
detecções 400
logs 682
direitos de acesso 289
controle do cliente 257
discadores 356
controle do servidor 257
disco do produto 878
controle misto 258
disponibilidade
configurações da Proteção contra ameaças à
para bancos de dados e servidores de
rede 460
gerenciamento 798
Índice 1235
distribuição de conteúdo de terceiros relatório 1057

ativação com uma Política do LiveUpdate 650 uso de grupos de Enforcers 1049
como usar com clientes não gerenciados 651 Enforcers
para clientes gerenciados 650 autenticação do cliente com o GUID 851
Requisito de chave do registro do Windows para correção da Integridade do host 896
não gerenciado 651 Gateway 944
sobre 648 envios 385, 387
domínio bloqueio e desbloqueio das configurações 320
banner de logon 106 itens em quarentena 394
domínio atual 285 erros CGI
domínio Web confiável banco de dados 838
criação de uma exceção para 586 erros de processos concluídos
domínios banco de dados 838
adição 285 escolha aleatória
atual 285 download de conteúdo 623–625
como copiar clientes e políticas 284 Escopo do DHCP
desativação 284 criação de exceções 1090
para gerenciar 287 estado de integridade
sobre 283 exibição 240
Download Insight estrutura do grupo
ações 420 sobre 223
dados de reputação 382 exceção de domínio Web confiável
dependências dos recursos 383 dependências dos recursos 383
gerenciar detecções 377 exceções 573
interação com o Auto-Protect 246 criação 576
notificações 420 dos eventos de log 590
personalização de configurações 420 exclusão de um arquivo ou pasta 581
extensões de arquivos 584
E mudança no DNS ou no arquivo do host 587
para gerenciar 574
ELAM. Consulte início antecipado do antimalware
proteção contra adulterações 586
desativar para melhorar o desempenho do
restrições de clientes 588
computador 371
riscos conhecidos 583
endereço de sub-rede 871
exclusões
Integrated Enforcer 1078
criado automaticamente 357
segurança 1065
exclusões automáticas
endereço IP
de produtos Symantec 359
appliance Gateway Enforcer 933
para servidor Microsoft Exchange 358
confiável 968, 970
sobre 357
Gateway Enforcer 956
exportação
Endereço MAC
configurações do grupo do Enforcer 1054
hosts confiáveis 1095
pacotes de instalação do cliente 149
Enforcer
políticas 324
configurações 1048
regras de firewall 489
console
expressões regulares 1212
gerenciamento 1048
argumentos de conteúdo 1223
edição da descrição 1052
argumentos de mensagem 1222
edição do nome 1052
argumentos do protocolo ICMP 1218
failover de LAN 1050
argumentos do protocolo IP 1219
1236 Índice
argumentos do protocolo TCP 1215 locais de rede 931

argumentos do protocolo UDP 1217 várias instalações 974
argumentos Streamdepth 1225 geração de imagens
assinaturas IPS personalizadas 1214 Appliance Enforcer 878
exemplo de sintaxe da assinatura IPS 1226 Gerenciadores redundantes 1161
gerenciamento de verificações proativas de ameaças
F TruScan 441
gerenciamento do Enforcer
fail-open
alteração do nome de grupo 1050
configurações do cliente 1056
failover
console 1051
appliance Gateway Enforcer 933, 938
criação de um grupo 1050
appliance LAN Enforcer 989
exclusão de um Enforcer 1053
definido 798
exibição das informações 1052
failover e balanceamento de carga
exportação das configurações do grupo 1054
configuração 801
failover 1049
ferramenta de avaliação de segurança 356
failover de Gateway 1049
ferramenta Exceção de imagem virtual 705, 747
importação das configurações do grupo 1054
executar 747
nome de grupo 1049
requisitos do sistema 746
restrição da interrupção do cliente 1056
usar em uma imagem base 745
grupo
ferramentas para hacker 356
filtros
appliance LAN Enforcer 998
como salvar nos logs 683
atribuição do computador 235
firewall
bloqueio 234
ativação 458
como adicionar 224
configurações de tráfego 462–463
desativação 458
servidor RADIUS 1003, 1027
desativação do firewall do Windows 464
grupo Minha empresa 221
inspeção com monitoração de estado 474
grupo padrão 221
notificação 479
grupo pai. Consulte herança
regras 490
grupos
requisitos da integridade do host 904
atribuição de uma lista de servidores de
sobre 451, 453–454, 490
gerenciamento 802
fornecedores confiáveis 1086
definição 223
funções
herança 233
como aguardar 922
padrão 223
definição de um valor do registro do
para importar de um servidor de diretório 227,
Windows 918
230
definição do carimbo de hora 921
pesquisa por 244
download de um arquivo 917
grupos de host
execução de um programa 919
adição a uma regra 493
execução de um script 920
criação 481
exibição da caixa de diálogo de mensagens 916
G H
herança 273
Gateway Enforcer
ativação 233
e configuração do Symantec Endpoint Protection
regras de firewall 471–472
Manager 944
Índice 1237
hosts appliance LAN Enforcer 866

adição a uma regra 493 banco de dados incorporado 91
exclusão da prevenção contra intrusões 510 cliente por meio do Active Directory 1189
local e remoto 479 configurações do Microsoft SQL Server 93
origem e destino 479 exemplos da linha de comando MSI 1186
hosts confiáveis firewalls do cliente 137
configuração 1095 internacionalização 83
hosts excluídos 510 planejamento 71, 89
por meio do Objeto de política de grupo do Active
I Directory 1189
portas de comunicação 137
ícone da área de notificação
propriedades da Central de Segurança do
sobre 757
Windows do MSI 1185
ícone da bandeja do sistema 757
remota 882
ícone de escudo 757
software de terceiros 1176
ícone de status. Consulte conexão do cliente
Symantec Integrated NAP Enforcer 1107
ícones
uso de comandos msi 1179
escudo 757
instalação remota e porta TCP 139 137
ID do dispositivo
instalar
obtenção 568
clientes 142, 144, 147
identificador global exclusivo (GUID) 852
instrução de condição IF 916
autenticação do cliente 1100
Instruções ELSE 915
autenticação do Enforcer para o cliente 851
instruções IF THEN 914
imagem base
Integrated Enforcer for Microsoft DHCP Servers 860
para configurar para infraestruturas da área de
Cliente do Symantec Network Access
trabalho virtual 750
Control 1065
imagens do arquivo de base 747
componente necessário 1069
imagens virtuais
planejamento 1070
exceções 417
requisitos do sistema 1068
importação
configurações do grupo do Enforcer 1054
Protection 860
políticas 324
componente necessário 1111
regras de firewall 489
requisitos do sistema operacional 1111
requisitos da política de integridade do host
Integrated Enforcers 860, 1078
modelos e 891
conexão ao servidor de gerenciamento 1094
unidades organizacionais 230
configurações de comunicação 1080
index.ini
e comunicação do servidor de
atualização automática das whitelists e
gerenciamento 1080
blacklists 554
e verificação do número de série da política 1104
indicadores
fornecedores confiáveis 1086
appliance Enforcer 867
informações de usuário
Servers 855
coleta 261
início antecipado do antimalware
Access Protection 857, 1066
ajustar opções 402
quarentena 1082
Insight 360, 382
integridade do host
modificação de configurações 416
Appliance Enforcer 850
inspeção com monitoração de estado 474
mensagem 1160
instalação
perguntas frequentes 1160
1238 Índice
servidor RADIUS 994 ativação para clientes 616

software suportado 1160 atualização de definições e conteúdo 597
status 852 atualizações de conteúdo 592
verificação 850 atualizar whitelists e blacklists 558
Intelligent Updater 647 como configurar o conteúdo de atualização para
interface do usuário clientes 617
configuração 256, 259 como configurar um servidor externo do
sobre 254 LiveUpdate 617, 628
interoperabilidade configuração da frequência de download do
de recursos da política 383 servidor 613
IPv4 483 configuração de um servidor interno do
IPv6 483 LiveUpdate 629
configuração de um site para fazer o download
L de atualizações 609
configurações de proxy do cliente para o servidor
leitor de tela
interno do LiveUpdate 615
aplicativo bloqueado pela Proteção contra
desativação para clientes 616
adulterações 580
download para o servidor 614
licença
Intelligent Updater 647
adicional 120
Mac 602
ativação 120
políticas
backup 127
configuração 617, 628–629
compra 118
Provedor de atualizações de grupo 643
expirado 125
provedor de atualizações de grupo 632
implementado 125
revisões de conteúdo 611
implementado excessivamente 125
sobre 602
Portal de licenciamento da Symantec 124
tipos de atualizações 597
renovação 125
uso de ferramentas de distribuição de terceiros
renovada 120
em vez de 648
requisitos 85
verificação da atividade do servidor 614
sobre 116
visão geral 592
trialware 120
whitelists e blacklists para bloqueio do
verificação do status 125
sistema 554
linha de comando 1208
locais
lista de dispositivos de hardware 567
associada às consultas do DNS 482
lista de impressões digitais de arquivos
local authentication
atualizar manualmente 552
ativação no appliance Gateway Enforcer 981
exportar 552
ativação no appliance LAN Enforcer 1040
importação ou mesclagem 550
ativação no Integrated Enforcer 1097
lista de nomes de aplicativos 553
comando 1161
lista de servidores de gerenciamento 950
log externo 789
atribuição para grupo e local 802
log files
lista Dispositivos de hardware
depuração 1165
adição de um dispositivo 569
logon
uso com o controle de dispositivos 570
normal 870
listas de controle de acesso (ACLs, Access Control
superusuário 870
Lists) 996
logs 681
LiveUpdate
acesso remoto 685
administrador do LiveUpdate 605
Apache 824
assinaturas e definições 597
Índice 1239
atualização 680 M
auditoria 682 máquina virtual
como excluir definições de configuração 684 ajuste de verificações para 371
como salvar as configurações de filtro 683 escolha aleatória de downloads simultâneos de
conformidade 682 conteúdo 623
controle de dispositivos e aplicativos 682 mascaramento de impressão digital de SO 463
envio do Enforcer para o Symantec Endpoint mensagem de não-conformidade 964
Protection Manager 1058 mensagens
erros no banco de dados 679 Enforcer 1054
execução de comandos de 250 exibição 1056
exibição 679 modificação 1056
exibição remota 685 mensagens de e-mail
exportação de dados 662 para regras de firewall 498
filtragem 683 Microsoft Active Directory
filtragem de dados do log de tráfego do configuração de modelos 1192
Enforcer 1061 criação da imagem de instalação
filtro de últimas 24 horas 684 administrativa 1190
limpeza do banco de dados 795 instalação do software-cliente usando o objeto
local de 1058 de política de grupo 1189
Proteção contra ameaças à rede 683 Microsoft Network Access Protection 857
redução do espaço no banco de dados 769, 784 Microsoft Network Policy Server 857
replicação 685 Microsoft SMS
Risco 683 instalação de arquivos de definição de
risco pacote 1187
excluir arquivos da Quarentena 395 Microsoft SQL Server
servidor configurações do banco de dados 93
configuração do tamanho 793 migração. Consulte computador-cliente
Sistema 683 cliente Mac 194
SONAR 440 Symantec AntiVirus e Client Security 190
status do computador 682 modelo do alternador 1012
tipos 681 modelos para verificações agendadas 366, 369
verificação de logs de depuração no cliente 827 modo blacklist
verificação dos logs da caixa de entrada 828 ativar para bloqueio do sistema 563
Verificações proativas de ameaças TruScan 440 opção no bloqueio do sistema 547
Verificar 683 modo de computador 251
logs de depuração. Consulte logs modo de usuário 251
logs de eventos 679 modo transparente 995
filtro de últimas 24 horas 684 modo whitelist
logs do Enforcer bloqueio do sistema em execução em 562
configuração 1058 modos
desativação 1059 computador-cliente 251
envio ao console de gerenciamento 1060 monitoramento de aplicativo de rede 477
filtragem do log de tráfego 1061 MSI
retenção 1060 Exemplos de linha de comando 1186
retenção de 1060 instalação usando parâmetros de linha de
tamanho 1060 comando 1179
processamento de prioridade no setaid.ini 1179
recursos e propriedades 1178
1240 Índice
MSP P
quando usado para atualizar o pacotes de desafio 956, 1100
software-cliente 187 especificação 957
especificação da frequência de 958, 1102
N especificação do número máximo 1101
NetBIOS 459 pacotes de instalação do cliente
Network Access Control Scanner adicionar atualizações 164
Integrated Enforcer for Microsoft DHCP coleta de informações do usuário 261
Servers 1065 configuração 153
NIC. Consulte placa de interface de rede exportação 149
níveis de controle 256 sobre 162
níveis de controle do usuário 256 pacotes de solicitações
notificação ARP 979
como salvar filtros 698 DHCP 979
criação de filtros 698 DNS 979
exclusão de filtros 698 para bloquear
exibição 697 conta de administrador 109
padrão 691 para converter um cliente não gerenciado em um
período do amortecedor 690 cliente gerenciado 759
pré-configuradas 691 para desbloquear
reconhecimento 697 conta de administrador 109
sobre 690 para evitar uma reinicialização 250
tipos 690 para implementar
notificações clientes 142, 144, 147
clientes remotos 280 para importar
criação 699 grupos 230
eventos de vírus e spyware nos parâmetros do tempo limite
computadores-cliente 396 banco de dados 837
licenciamento 695 console 110
parceiro 695 Pesquisa do DNS 459
Proteção contra ameaças à rede 511 Pesquisa do Insight
sobre 689 dependências dos recursos 383
upgrades de outra versão 700 pesquisa por
verificações da integridade do host 894 grupos, usuários e computadores 244
nova autenticação 1045 placa de interface de rede
novo sequenciamento de TCP 463 Appliance Gateway Enforcer 937
número de série. Consulte número de série da política planejamento
número de série da política Integrated Enforcer for Microsoft DHCP
exibição no cliente 331 Servers 1070
planejamento da instalação
O Appliance LAN Enforcer 985
opções da proteção antivírus política
requisitos da integridade do host 903 atribuição a um grupo 321
opções de aguardar bloqueios de usuário 320
correção de integridade do host 898 compartilhado 316
opções de registro do Windows Controle de dispositivos e aplicativos 313
requisitos da integridade do host 907 criação 317
edição 317
Índice 1241
Exceções 313 definição de um valor do registro do

exportar compartilhada Windows 918
página Políticas 324 nível de grupo 1160
Firewall 313 nível global 1160
herança 233 requisitos
importação 324 aprovação mesmo quando a condição não
integridade do host 313 for cumprida 893
LiveUpdate 313, 616 ativação e desativação 890
não compartilhada 316 definição 885
Prevenção contra intrusões 313 exclusão 890
proteção contra vírus e spyware 313 exemplo 848
retirada 327 modelos 891
sobre 313 tipos 888
teste 322 requisitos personalizados
Política de proteção contra vírus e spyware caixa de mensagens 916
verificações agendadas 366 condições da proteção antivírus 903
política de proteção contra vírus e spyware condições da proteção contra spyware 903
bloqueio e desbloqueio das configurações 320 condições do firewall 904
política de segurança condições do sistema operacional 906
API de aplicação universal 1163 definição do carimbo de hora 921
atualizações de número de série 1104 execução de um programa 919
autoaplicação 1163 execução de um script 920
Cisco NAC 1163 gravação 912
conformidade 1065, 1078 opção aguardar 922
LAN 1163 opções de registro 907
não Symantec 1163 opções do arquivo 905
política de switch 1025 sobre 902
condições e ações 1034 restauração da Integridade do host 895, 898
políticas sobre 887
atualização de clientes remotos 279–280 teste 883
Políticas de controle de dispositivos e aplicativos 51 pontos de acesso sem fio (WAP)
estrutura 523 appliance Gateway Enforcer 934
Políticas de firewall porta de escuta
sobre 454 LAN Enforcer 1000
Políticas de integridade do host Portal de licenciamento da Symantec. Consulte
requisitos licença
sequenciamento 891 portas
políticas de Integridade do host requisitos de comunicação 137
requisitos personalizados requisitos de instalação 137
download de um arquivo 917 prevenção contra intrusão na rede
políticas de integridade do host 882 sobre 504
autoimposição 847 prevenção contra intrusão no navegador
correção da Integridade do host 896 dependências dos recursos 383
Configurações do Enforcer 896 sobre 504
correção da integridade do host prevenção contra intrusões 501
adiamento 898 assinaturas 505
criação 887 ativação ou desativação na política de prevenção
compartilhado 888 contra intrusões 507
bloquear e desbloquear configurações 320
1242 Índice
bloqueio de um computador invasor 461 protocolos

como funciona 504 adição 483
desativar em computadores especificados 510 adição a uma regra 495
notificações 511 protocolos sem fio 995, 1029
para gerenciar assinaturas personalizadas 512 Provedor de atualizações de grupo
teste de assinaturas personalizadas 519 pesquisar 647
problemas com a licença único 643
notificações de 691 várias 643
problemas conhecidos 1165 provedor de atualizações de grupo
produto clientes legados 634
componentes 75 controle de downloads do conteúdo 643
Produtos Symantec gerenciar 632
exclusões automáticas 359 lista explícita 634, 643
programas de acesso remoto 356 tipos 634
programas de brincadeiras 356 único 634
programas de controle para pais 356 várias 634, 641
proteção proxy
ativação ou desativação 245 comunicação externa do cliente 389
atualização 592 conexão do Symantec Endpoint Protection
Proteção contra adulterações Manager com o Symantec LiveUpdate 615
desativação 247 envios do cliente 389
proteção contra adulterações exceções necessárias ao usar a autenticação 380
alteração de configurações 450 pulsação
bloqueio e desbloqueio das configurações 320 entre Symantec Endpoint Protection Manager
sobre 449 e Enforcer 851
Proteção contra ameaças à rede
ativação ou desativação 247 Q
configuração para controle misto 460
Quarentena
criação de notificações 511
opções de limpeza 393
logs 683
pasta local 393
proteção contra spyware
quarentena
opções 903
e Integrated Enforcer 1078, 1082, 1100
proteção contra vírus e spyware 882
excluir arquivos 395
impedir ataques 340
gerenciar 391
proteção de download
dependências dos recursos 383
Servers 1065
proteção de endpoints
quarentena automática
monitoração 662, 664
configuração 1082
status 663–664
proteção de servidores
appliance Gateway Enforcer 934 R
proteção do navegador da Internet 417 recuperação após desastres
proteção por senha preparar para 805
cliente 262 reinstalação do servidor 814
parâmetros 1205 sobre o processo 813
Proteção proativa contra ameaças rede confiável 1065, 1078
ativação ou desativação 246 redirecionamento
sobre 51 de solicitações HTTP 966
Índice 1243
regras de controle de aplicativos Novos riscos detectados na rede 664

expressões regulares 1212 Principais alvos atacados 666
regras de firewall 473 Principais Enforcers geradores de erros 1057
acionadores de adaptador de rede 485 principais notificações de tráfego 666
acionadores de serviço de rede 483 Principais ocorrências de ataques, por
adaptadores de rede origem 666
adição 485, 499 risco abrangente 664
adição Sistema 1057
utilização de regras em branco 487 solução de problemas 835
agendamentos SSL 835
adição 500 Status diário 662
aplicativos 474 Status do site 1057
adição 475 status semanal 662
cliente 469 Symantec AntiVirus legado 835
como colar 490 relatórios
como copiar 490 como excluir definições de configuração 674
como herdar 471–472 como imprimir 678
como permitir tráfego para a sub-rede local 494 como salvar 678
configuração 486 como salvar definições de configuração 674
exportação 489 tipos 670
grupos de host visão geral 670
adição 493 relatórios agendados
criação 481 criação 676
hosts 479 modificação 676
importação 489 relatórios rápidos
mensagens de e-mail 498 criação 673
ordem de processamento replicação
alteração 473 adicionar parceiro de replicação 211
sobre 470 agendamento sob demanda 208
serviços de rede definido 203
adição 483, 495 frequência 209
servidor 469 pacote do cliente 210
sobre 467, 469 visão geral 201
regras do controle de aplicativos requisitos do sistema
como copiar entre políticas 535 cache de inteligência compartilhado baseado na
regras em branco 487 rede 710
regras integradas 459 Integrated Enforcer for Microsoft DHCP
reinicialização Servers 1068
comando 250 requisitos personalizados
para evitar 250 comentários 915
relatório condições 902
carimbos de hora 835 cópia de instruções 915
Computadores infectados e vulneráveis 664 exclusão de instruções 916
Computadores não verificados 664 funções 909
conformidade 1057 gravação 912
Enforcer 1057 Instrução ELSE 915
favorito 662 instrução ELSE 911
idioma 835 instrução RETURN 911
logs 681 instruções IF, THEN, ENDIF 911
1244 Índice
palavra-chave NOT 912 servidor DHCP

palavras-chave AND e OR 912 como servidor de quarentena 1100
sobre 902 e clientes não autenticados 1103
resposta ativa Integrated Enforcer for Microsoft DHCP
configuração 461 Servers 1065
risco servidor do Active Directory
logs 683 conectar a 228
excluir arquivos da Quarentena 395 importação das informações de usuário 225
riscos servidor Microsoft Exchange
correção 342 exclusões automáticas 358
riscos à segurança servidor que não seja Windows
detecções de 364 appliance Gateway Enforcer 935
rootkits 355 Servidor RADIUS 1162
servidor RADIUS
S appliance LAN Enforcer 994
e LAN Enforcer 1003
segredo compartilhado 1008
nome amigável 1006
edição 1026
política de integridade do host 994
senha 882
segredo compartilhado 1008
arquivo de armazenamento de chave .jks 771
Servidor RSA
criptografia 1026
configuração da autenticação SecurID 296
padrão 871
uso com o Symantec Endpoint Protection
proteção
Manager 297
cliente 1056
Servidor Web Apache
Enforcers 1056
interrupção e inicialização 825
redefinir 304
servidores
substituição 871
servidor de diretório 228
service pack 882
servidores de diretório
serviços
conectar a 228
adição 483
servidores de diretório LDAP
conectar a 228
serviços de rede
servidores de diretórios LDAP
acionadores 483
importação de unidades organizacionais 230
adição à lista padrão 483
servidores de gerenciamento
sites 203
servidor
setaid.ini
conexão com 757
configuração 1179
configuração 101
processamento de prioridade com recursos e
desinstalação 102
propriedades msi 1179
gerenciamento 775
Sistema
logs 793
logs 683
pulsação 328
Sistema operacional Linux 878
regras 469
sites
servidor de e-mail
definido 203
link para o servidor de gerenciamento 696
visão geral 201
servidor de gerenciamento 851, 1065, 1078. Consulte
sobre
unidades organizacionais 227
legado 1078
software de backup 882
para desinstalar 102
Índice 1245
software de terceiros e Gateway Enforcer 950

instalação de software-cliente 1176 e Integrated Enforcer 1078
software-cliente instalado endereço IP confiável 974
exibir 244 Integrated Enforcer for Microsoft DHCP
solicitação de cache 707 Servers 1065
solução de problemas 1165 integridade do host 850
Appliance Enforcer 1157 Symantec Integrated NAC Enforcer
appliance Enforcer 1159 configuração no console do NAP Enforcer 1118
controle de conta de usuário no Vista e requisitos do sistema 1109
GPO 1191 Symantec Integrated NAP Enforcer
ferramenta de suporte 819 conexão ao servidor de gerenciamento 1119
problemas do cliente 823 instalação 1107
solucionar problemas nome de grupo 1122
cache de inteligência compartilhado baseado na protocolo de comunicação HTTP 1123
rede 722 protocolo HTTP 1121
SONAR protocolo HTTPS 1121
ajuste de configurações 438 remoção da lista de servidores de
dependências dos recursos 383 gerenciamento 1121
falsos positivos 436 senha criptografada 1121
monitoração de eventos de verificação 440 Symantec Network Access Control
para a introdução de código 430, 577 configuração e teste 883
para gerenciar 431 implementações 863
sobre 429 Symantec Security Response 344
sobre detecções 430 envios 387
spyware 356
status T
clientes e computadores 242
tamanho do log
status do cliente
Enforcer 1060
exibição 242
tecnologia de auxílio
status do computador
criação de exceções para 580
exibição 242
tela de logon
logs 682
tempo limite 110
superusuário
testar conta
logon 870
autenticar administradores 298
Sylink.xml
trackware 356
conversão de um cliente em um cliente
tráfego
gerenciado 1195
configurações 462–463
sylink.xml
tráfego da sub-rede local 494
para converter um cliente não gerenciado em
tráfego DHCP 459
um cliente gerenciado 759
tráfego DNS 459
Symantec AntiVirus
tráfego WINS 459
migração 190
trialware
Symantec Client Security
licença 85, 125
migração 190
sobre 43 U
Symantec Endpoint Protection Manager unidades organizacionais
comando configure SPM 925 importação 225, 230
comunicação com o Enforcer 851, 1161 sobre 227
1246 Índice
usuários verificações sob demanda

pesquisa por 244 execução 370
opções de andamento da verificação 424
V Verificar
logs 683
variáveis em assinaturas 518
virtualização 705, 707
verificação definida pelo administrador
appliance de segurança virtual 728–729
personalização 412
cache de inteligência compartilhado ativado para
verificação do número de série da política 1104
vShield 737
e Gateway Enforcer 963
cache de inteligência compartilhado baseado na
verificações 416, 441. Consulte TruScan
rede 713
adiadas 424
como escolher verificações aleatoriamente 415
configurações variadas 417
ferramenta Exceção de imagem virtual 745, 747
eventos de log de riscos 417
para ajustar verificações para 371
execução sob demanda 370
suportados 87
interrompidas 424
vírus 355
detecções de 364
para gerenciar 346
visão geral
pausadas 424
replicação 203
personalização de definições pelo
sites 203
administrador 412
sites e replicação 201
sobre 349
VLAN
verificações agendadas
pontos de acesso sem fio 995
adição a uma política 366, 369
VPN
Clientes Mac 369
conexão do cliente On-Demand ao Enforcer 1165
sobre salvar como modelo 366, 369
várias 367
verificações perdidas 367 W
verificações ativas whitelist
quando executar 349 atualizar automaticamente 554, 558
verificações completas atualizar para bloqueio do sistema 558
quando executar 349 Windows 8
verificações da integridade do host detecções no 366
alteração de política 892 notificações 399
como forçar aprovação 893 notificações pop-up 400
configurações 892 Windows Installer
detalhes do registro em log 894 comandos 1179
e Integrated Enforcer 1100 criação de um script de inicialização 1193
notificações 894 parâmetros 1183
verificações definidas pelo administrador 406–407 recursos e propriedades 1178
ver também verificações agendadas worms 355
ver também verificações sob demanda
em computadores Mac 407
em computadores Windows 406
Verificações proativas contra ameaças TruScan
comparado ao SONAR 430
verificações proativas de ameaças. Consulte
Verificações proativas de ameaças TruScan

Installation and Administration Guide SEP12.1.2 PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Installation and Administration Guide SEP12.1.2 PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Guia de Instalação e

Versão do produto: 12.1.2

Versão da documentação: 12.1.2, versão 1

Symantec, o logotipo da Symantec, Bloodhound, Confidence Online, Digital Immune System,

A DOCUMENTAÇÃO É FORNECIDA "NO ESTADO EM QUE SE ENCONTRA" E TODAS AS

O Software Licenciado e a documentação são considerados software comercial para

Contato com o suporte técnico

Pacífico-Asiático e Japão customercare_apac@symantec.com

Europa, Oriente Médio e África semea@symantec.com

America do Norte e América Latina supportsolutions@symantec.com

Suporte técnico ................................................................................................... 4

Seção 1 Instalação do Symantec Endpoint

Capítulo 3 Instalação do Symantec Endpoint Protection

Para instalar o Symantec Endpoint Protection Manager ...................... 99

Capítulo 4 Para gerenciar licenças do produto ............................... 115

Capítulo 5 Para instalar o cliente do Symantec Endpoint

Capítulo 6 Para fazer o upgrade do Symantec Endpoint

Para interromper e iniciar o serviço do servidor de

Capítulo 7 Para migrar para o Symantec Endpoint

Capítulo 8 Para gerenciar sites e replicação ................................... 201

Como especificar que dados replicar .............................................. 210

Capítulo 9 Para gerenciar o Symantec Endpoint Protection no

Seção 2 Para gerenciar grupos, clientes e

Para impedir que computadores-cliente sejam adicionados a

Capítulo 11 Para gerenciar clientes ..................................................... 237

Capítulo 12 Para gerenciar clientes remotos ..................................... 265

Sobre as melhores práticas para configurações de política do

Capítulo 13 Para gerenciar domínios .................................................. 283

Capítulo 14 Para gerenciar contas de administrador e

Seção 3 Para gerenciar a proteção e personalizar

Capítulo 16 Para gerenciar a proteção contra vírus e

Para verificar a ação de verificação e para verificar novamente

Configuração de como a quarentena controla a nova verificação

Capítulo 17 Para personalizar verificações ........................................ 405

Como o Symantec Endpoint Protection interage com a Central de

Capítulo 18 Para gerenciar o SONAR .................................................. 429

Capítulo 19 Para gerenciar a Proteção contra adulterações .......... 449

Capítulo 20 Para gerenciar a proteção de firewall ........................... 451

Sobre regras herdadas de firewall ............................................ 471

Capítulo 21 Para gerenciar a prevenção contra intrusões .............. 501

Capítulo 22 Para gerenciar o controle de dispositivos e

Para testar itens selecionados antes de adicioná-los ou removê-los

Capítulo 23 Para gerenciar exceções .................................................. 573

Capítulo 24 Para configurar atualizações e atualizar a proteção

Verificação da atividade do servidor do LiveUpdate .......................... 614

Para usar arquivos do Intelligent Updater para atualizar definições

Capítulo 25 Para monitorar a proteção com relatórios e

Monitoração da proteção de endpoints ........................................... 657

Capítulo 26 Para gerenciar notificações ............................................. 689

Seção 4 Para gerenciar a proteção em ambientes

Capítulo 28 Para instalar e usar um Cache de inteligência

Para monitorar contadores de desempenho do Cache de inteligência

Capítulo 29 Para instalar o Appliance de segurança virtual e

Capítulo 30 Para usar a Exceção de imagem virtual ........................ 745

Capítulo 31 Infraestruturas da área de trabalho virtual não

Seção 5 Para configurar e gerenciar o Symantec

Para desativar ou ativar comunicações seguras entre o servidor

Capítulo 33 Para configurar o servidor de gerenciamento ............. 775

Capítulo 34 Para gerenciar banco de dados ...................................... 781

Capítulo 35 Para gerenciar failover e balanceamento de

Capítulo 36 Para preparar a recuperação após desastres .............. 805

Seção 6 Solução de problemas do Symantec

Capítulo 38 Solução de problemas de instalação e de