Escolar Documentos
Profissional Documentos
Cultura Documentos
Administração do Symantec™
Endpoint Protection e do
Symantec Network Access
Control
Guia de Instalação e Administração do Symantec
Endpoint Protection e do Symantec Network Access
Control
O software descrito neste guia é fornecido sob um contrato de licença e deve ser usado
somente de acordo com os termos desse contrato.
Avisos legais
Copyright © 2012 Symantec Corporation. Todos os direitos reservados.
Este produto da Symantec pode conter software de terceiros para o qual são necessárias
atribuições fornecidas pela Symantec a esses terceiros ("Programas de terceiros"). Alguns
dos Programas de terceiros estão disponíveis sob licenças de software de código aberto ou
livre. O Contrato de licença que acompanha o software não altera nenhum direito ou obrigação
que você possa ter sob essas licenças de software de código aberto ou livre. Consulte o
Apêndice Avisos legais sobre terceiros para esta documentação ou o arquivo Leia-me TPIP
que acompanha este produto da Symantec para obter mais informações sobre os Programas
de terceiros.
O produto descrito neste documento é distribuído sob licenças que restringem o uso, a cópia,
a distribuição e a descompilação/engenharia reversa. Não está permitida de forma alguma
a reprodução de qualquer seção deste documento sem a autorização prévia escrita da
Symantec Corporation e dos concessores de licenças, se houver algum.
Symantec Corporation
350 Ellis Street
Mountain View, CA 94043
http://www.symantec.com/pt/br/
Suporte técnico
O suporte técnico da Symantec mantém centros globais de suporte. A principal
função do suporte técnico é de responder a consultas específicas sobre os recursos
e a funcionalidade dos produtos. A equipe de suporte técnico cria também o
conteúdo para nossa Base de conhecimento on-line. A equipe de suporte técnico
trabalha em colaboração com outras áreas funcionais dentro da Symantec para
responder prontamente suas perguntas. Por exemplo, a equipe de suporte técnico
trabalha com a Engenharia de produtos e o Symantec Security Response para
fornecer serviços de alerta e atualizações das definições de vírus.
As ofertas de suporte da Symantec incluem o seguinte:
■ Várias opções de suporte que lhe proporcionam flexibilidade para selecionar
a quantidade adequada de serviços para empresas de todos os portes.
■ Suporte telefônico e/ou com base na Web que fornece resposta rápida e
informações atualizadas
■ Garantia de upgrade que fornece upgrades de software
■ Suporte global adquirido em um horário comercial regional ou 24 horas por
dia, 7 dias por semana
■ Ofertas de serviços Premium que incluem Serviços de gerenciamento de conta
Para obter mais informações sobre as ofertas de suporte da Symantec, acesse
nosso site no seguinte URL:
www.symantec.com/pt/br/business/support/
Os serviços de suporte serão fornecidos de acordo com seu contrato de suporte e
com a política de suporte técnico corporativo atual.
Licenciamento e registro
Se seus produtos da Symantec exigem o registro ou um código de licença, acesse
nossa página da Web do suporte técnico no seguinte URL:
www.symantec.com/pt/br/business/support/
Atendimento ao cliente
As informações do atendimento ao cliente estão disponíveis no seguinte URL:
www.symantec.com/pt/br/business/support/
O atendimento ao cliente está disponível para ajudar com perguntas não técnicas,
como os seguintes tipos de problemas:
■ Perguntas a respeito do licenciamento ou da serialização do produto
■ Atualizações de registro do produto, como alterações de endereço ou de nome
■ Informações gerais sobre o produto (recursos, disponibilidade de idiomas,
revendedores locais)
■ Informações mais recentes sobre atualizações e upgrades do produto
■ Informações sobre a garantia de upgrade e os contratos de suporte
■ Informações sobre os programas de compra da Symantec
■ Recomendações sobre as opções de suporte técnico da Symantec
■ Perguntas não técnicas do pré-vendas
■ Problemas relacionados aos CD-ROMs, DVDs ou manuais
Recursos do contrato de suporte
Se desejar contatar a Symantec a respeito de um contrato de suporte existente,
entre em contato com a equipe de administração do contrato de suporte de sua
região da seguinte forma:
Recurso Descrição
Requisitos do O Symantec Endpoint Protection inclui as seguintes mudanças nos requisitos do sistema:
sistema
■ O Symantec Endpoint Protection Manager é suportado no Windows 8/Windows Server 2012.
■ O cliente Windows é suportado no Windows 8.
■ O cliente Mac suporta a instalação em volumes formatados diferenciando maiúsculas e
minúsculas no Mac OS X.
■ O cliente Mac agora é suportado no Mac OS X 10.8 (64 bits).
■ O Symantec Endpoint Protection Manager é suportado nos navegadores da Web Microsoft
Internet Explorer 10 e Google Chrome. Para obter a lista completa dos requisitos do sistema:
Consulte o artigo da Base de conhecimento: Release Notes and System Requirements for all versions
of Symantec Endpoint Protection and Symantec Network Access Control (em inglês)
Introdução ao Symantec Endpoint Protection 45
O que há de novo no Symantec Endpoint Protection 12.1.2
Recurso Descrição
Instalação O Symantec Endpoint Protection agora inclui os seguintes requisitos adicionais do sistema:
Você pode fazer o download e executar uma nova ferramenta diagnóstica no servidor de
gerenciamento e no cliente para ajudá-lo a diagnosticar problemas comuns antes e depois da
instalação. O Symantec Diagnostic e o Product Advisor permite que você mesmo resolva problemas
dos produtos em vez de chamar o suporte.
Recurso Descrição
Gerenciamento O Symantec Endpoint Protection fornece suporte público para gerenciar e monitorar remotamente
remoto o cliente e o servidor de gerenciamento. Os novos serviços da Web permitem gravar suas próprias
ferramentas para executar remotamente as tarefas a seguir:
Recurso Descrição
Recurso Descrição
Consulte “Para usar Provedores de atualizações de grupo para distribuir conteúdo aos clientes ”
na página 632.
Um link na página de Status do cliente agora permite aos usuários finais confirmar rápida e
facilmente se o cliente tem o conteúdo mais atual. O link exibe a caixa de diálogo da versão do
conteúdo, onde uma nova coluna lista a última vez em que o cliente verificou cada tipo de conteúdo
para atualizações. Os usuários podem ficar mais seguros de que seu cliente seja atualizado
corretamente e tenha a proteção mais recente.
Proteção contra Proteção contra vírus e spyware protege A proteção contra vírus e spyware detecta as
vírus e spyware computadores dos vírus e dos riscos à segurança ameaças novas mais cedo e com mais exatidão
e pode em muitos casos reparar seus efeitos usando soluções não apenas baseadas em
colaterais. A proteção inclui verificações em assinaturas e no comportamento, mas também
tempo real dos arquivos e e-mails, além de em outras tecnologias.
verificações agendadas e verificações sob
■ O Symantec Insight fornece detecção mais
demanda. As verificações de vírus e spyware
exata e mais rápida de malware para detectar
detectam vírus e os riscos à segurança que
as ameaças novas e desconhecidas que outras
podem tornar um computador, assim como uma
abordagens não detectam. O Insight
rede, vulnerável. Os riscos à segurança incluem
identifica ameaças novas e de dia zero
spyware, adware e outros arquivos maliciosos.
usando a sabedoria coletiva de milhões de
Consulte “Para gerenciar verificações em sistemas em centenas de países.
computadores-cliente” na página 346. ■ O Bloodhound usa a heurística para detectar
ameaças conhecidas e desconhecidas.
■ O Auto-Protect verifica arquivos de uma lista
de assinaturas enquanto são lidos ou
gravados no computador-cliente.
50 Introdução ao Symantec Endpoint Protection
Sobre os tipos de proteção contra ameaças que o Symantec Endpoint Protection fornece
Proteção contra A Proteção contra ameaças à rede oferece a O mecanismo de firewall com base em regras
■
ameaças à rede proteção de um firewall e um sistema de bloqueia ameaças maliciosas para impedir
prevenção contra intrusões, impedindo que que prejudiquem o computador.
ataques e conteúdo malicioso atinjam um ■ O IPS verifica o tráfego na rede e os arquivos
computador em que o software-cliente é em busca de indicativos de intrusão ou de
executado. tentativas de intrusão.
O firewall permite ou bloqueia o tráfego da rede ■ A prevenção contra intrusão no navegador
com base nos vários critérios que o verifica os ataques dirigidos às
administrador define. Se o administrador vulnerabilidades do navegador.
permitir, os usuários finais poderão configurar ■ A proteção universal do download monitora
também políticas de firewall. todos os downloads do navegador e garante
que os downloads não são malware.
O sistema de prevenção contra intrusões (IPS,
Intrusion Prevention System) analisa todas as
informações de entrada e de saída para os
padrões de dados que são típicos de um ataque.
Ele detecta e bloqueia tráfego e tentativas
maliciosas de ataque de usuários externos contra
o computador-cliente. A prevenção de intrusões
também monitora o tráfego de saída e impede a
propagação de worms.
Proteção A proteção proativa contra ameaças usa o O SONAR examina programas à medida que são
proativa contra SONAR para proteger contra vulnerabilidades executados e identifica e interrompe o
ameaças do ataque de dia zero em sua rede. As comportamento malicioso de ameaças novas e
vulnerabilidades a ataques de dia zero são as previamente desconhecidas. O SONAR usa a
novas vulnerabilidades, ainda não conhecidas heurística, assim como os dados de reputação,
publicamente. As ameaças que exploram estas para detectar ameaças emergentes e
vulnerabilidades podem iludir a detecção desconhecidas.
baseada em assinaturas, tais como definições de
O controle de aplicativos controla que
spyware. Os ataques de dia zero podem ser
aplicativos são permitidos para execução ou
usados em ataques direcionados e na propagação
acesso a recursos do sistema. Controle de
de código malicioso. O SONAR fornece a
dispositivos gerencia os dispositivos periféricos
proteção comportamental em tempo real
que os usuários podem anexar a computadores
monitorando processos e ameaças quando são
desktop.
executados.
Política
de firewall
Política de
prevenção
contra
Placa de interface de rede intrusões
Política de
controle de
dispositivos e
aplicativos
Política de proteção
contra vírus e
Memória/periféricos spyware(SONAR)
Política de
proteção contra
vírus e spyware
Sistema de arquivos
Endpoint
Tarefa Descrição
Ação Descrição
Instalar, fazer o upgrade ou Independentemente de você estar instalando o produto pela primeira vez, fazendo
migrar o servidor de upgrade de uma versão anterior ou migrando de outro produto, é necessário primeiro
gerenciamento instalar o Symantec Endpoint Protection Manager.
Consulte “Para fazer upgrade de uma nova versão do Symantec Endpoint Protection”
na página 168.
Ação Descrição
Criar grupos e locais Você pode adicionar grupos que contenham computadores com base no nível de
segurança ou na função que os computadores executam. Por exemplo, é necessário
colocar computadores com um nível mais alto de segurança em um grupo ou um
grupo de computadores Mac em outro grupo.
Você pode usar a seguinte estrutura do grupo como base:
■ Desktops
■ Laptops
■ Servidores
Você pode migrar grupos existentes do Active Directory quando instalar o Symantec
Endpoint Protection Manager. Se você estiver executando proteção legada da
Symantec, geralmente fará upgrade de configurações de política e de grupo de sua
versão anterior.
Você pode aplicar um nível diferente de segurança para computadores com base em
sua localização, dentro ou fora da rede da empresa. Para usar esse método, você criará
locais separados e aplicará políticas de segurança diferentes para cada local. Em
geral, os computadores que se conectam à sua rede de fora do firewall precisam ter
um nível de segurança mais forte do que aqueles que estão dentro do firewall.
Você pode configurar um local que permita que os computadores móveis que não
estão no escritório atualizem suas definições automaticamente dos servidores do
Symantec LiveUpdate.
Desativar a herança em Por padrão, os grupos herdam as configurações de segurança e de política do grupo
grupos especiais pai padrão, Minha empresa. Você deve desativar a herança antes de mudar as
configurações de política para todos os novos grupos que você criar.
Ação Descrição
Alterar as configurações de Você pode melhorar o desempenho de rede modificando as seguintes configurações
comunicação para aumentar de comunicação entre cliente e servidor em cada grupo:
o desempenho
■ Use o modo de instalação pull em vez do modo de envio para controlar quando
os clientes usarem recursos de rede para fazer o download de políticas e de
atualizações de conteúdo.
■ Aumente o intervalo de pulsação e o intervalo da escolha aleatória. Para menos
de 100 clientes por servidor, aumente a pulsação para 15 a 30 minutos. Para 100
a 1.000 clientes, aumente a pulsação para 30 a 60 minutos. Os ambientes maiores
podem precisar de um intervalo de pulsação mais longo.
■ Aumente o download aleatório entre uma e três vezes o intervalo de pulsação.
Para obter mais informações, consulte o Symantec Endpoint Protection Sizing and
Scalability Best Practices White Paper (em inglês).
Ativar a licença do produto Compre e ative uma licença no prazo de 60 dias após a instalação do produto.
Ação Descrição
Consulte “Para implementar clientes usando a opção Salvar pacote” na página 147.
■ Use o Modo de computador para a maioria dos ambientes e não o Modo de usuário.
Consulte “Para alternar um cliente entre o modo de usuário e o modo de
computador” na página 251.
■ Para pacotes de instalação do cliente para estações de trabalho, selecione a opção
de proteção do verificador de e-mails que se aplica ao servidor de e-mail em seu
ambiente. Por exemplo, se você usar um servidor de e-mail Microsoft Exchange,
selecione Verificador do Microsoft Outlook.
Consulte “Para configurar recursos do pacote de instalação do cliente”
na página 153.
58 Introdução ao Symantec Endpoint Protection
Para executar o Symantec Endpoint Protection pela primeira vez
Ação Descrição
A Tabela 1-5 exibe as tarefas a serem executadas depois que você instalar e
configurar o produto para avaliar se os computadores-cliente têm o nível correto
de proteção.
Introdução ao Symantec Endpoint Protection 59
Para executar o Symantec Endpoint Protection pela primeira vez
Ação Descrição
Ação Descrição
Excluir aplicativos e arquivos Você pode aumentar o desempenho configurando o cliente para que não verifique
de serem verificados determinadas pastas e arquivos. Por exemplo, o cliente verificará o servidor de e-mail
sempre que uma verificação agendada for executada. Você deve excluir arquivos de
programas e diretórios do servidor de e-mail da verificação.
Para obter mais informações, consulte o artigo da base de conhecimento: About the
automatic exclusion of files and folders for Microsoft Exchange server and Symantec
products (em inglês).
Você pode também excluir arquivos pela extensão para verificações do Auto-Protect
em computadores Windows.
Executar um relatório rápido Execute os relatórios rápidos e agendados para considerar se os computadores-cliente
e um agendado após a têm o nível de segurança correto.
verificação agendada
Consulte “Sobre os tipos dos relatórios” na página 670.
Selecionar para assegurar-se Reveja monitores, logs e o status dos computadores-cliente para certificar-se de que
de que as verificações você tenha o nível correto de proteção para cada grupo.
agendadas obtenham êxito e
Consulte “Monitoração da proteção de endpoints” na página 657.
os clientes operem como
esperado
Introdução ao Symantec Endpoint Protection 61
Para executar o Symantec Endpoint Protection pela primeira vez
Ação Descrição
■ Tipicamente, três atualizações de conteúdo são fornecidas por dia. Você configura
o número de atualizações retidas no servidor. Geralmente, convém armazenar
apenas as atualizações de conteúdo mais recentes. Um cliente que não tiver se
conectado durante o tempo em que o servidor acumula o número ajustado de
atualizações, terá que fazer o download de todo o pacote do conteúdo. Um pacote
inteiro é normalmente maior de 100 MB. Uma atualização incremental tem entre
1 MB e 2 MB. Você define o número de atualizações armazenadas para minimizar
a frequência com que um cliente deverá fazer o download de um pacote inteiro
de atualização.
■ Em regra geral, 1 revisão de conteúdo usa aproximadamente 1,4 GB de espaço em
disco no Symantec Endpoint Protection Manager. Quando o LiveUpdate do servidor
de gerenciamento for definido com o padrão de a cada quatro horas, 10 revisões
de conteúdo cobrirão no mínimo três dias.
Configurar notificações para Crie uma notificação para Evento com risco único e modificar a notificação para
uma única epidemia de risco Epidemia de risco.
e quando um risco novo for
Para estas notificações, a Symantec recomenda que você faça o seguinte:
detectado
1 Mude Gravidade do risco para Categoria 1 (muito baixo e superior) para evitar
receber e-mails sobre cookies de rastreamento.
Aumentar o tempo permitido O console o desconecta após uma hora. Você pode aumentar este período de tempo.
pelo console para manter seu
Consulte “Aumento do período de tempo para permanecer conectado ao console”
logon
na página 110.
Consulte “Proteção de sua rede com o Symantec Endpoint Protection” na página 52.
Consulte o artigo da Base de conhecimento Top "Best Practices" Articles for
Symantec Endpoint Protection (em inglês).
62 Introdução ao Symantec Endpoint Protection
Para gerenciar a proteção em computadores-cliente
Tarefa Descrição
Organização e gerenciamento Você aplica a proteção aos computadores-cliente com base no grupo em que você
de grupos coloca um computador. Os computadores em cada grupo têm o mesmo nível de
segurança.
Você pode importar a estrutura do grupo existente de sua empresa. Você também
pode criar grupos novos.
Tarefa Descrição
Modificação da proteção O Symantec Endpoint Protection Manager inclui as políticas padrão para cada tipo
de proteção. As políticas combinam a necessidade de proteção e de desempenho.
Prontas para uso, as políticas padrão fornecem configurações apropriadas para
grandes e pequenas empresas. Convém ajustar as configurações com o passar do
tempo com base nas necessidades de sua empresa.
Configuração da proteção em O Symantec Endpoint Protection fornece recursos que melhoram o desempenho em
ambientes virtuais ambientes virtuais.
Gerenciamento de políticas As políticas de segurança devem ser aplicadas a um grupo antes que os clientes
apliquem as políticas ao computador-cliente. Você pode criar políticas das quais todos
os grupos compartilham ou que se aplicam a apenas um grupo. O Symantec Endpoint
Protection Manager facilita a adição e modificação de políticas para todas as
necessidades de segurança de sua empresa.
Consulte “Os tipos de políticas de segurança” na página 313.
Controle do acesso de Você pode configurar o cliente para exibir diferentes recursos de clientes e recursos
usuários de proteção. Como você configura estes recursos depende de quanto controle você
deseja que os usuários do computador-cliente em cada grupo tenham.
Tarefa Descrição
Para gerenciar a A Symantec recomenda que você analise quais computadores precisam de cada tipo
implementação do cliente de segurança. Se você não implementou o pacote de instalação do cliente no momento
da instalação do Symantec Endpoint Protection Manager, poderá implementar o
software-cliente mais tarde.
Consulte “Para implementar clientes usando e-mail e link da Web” na página 142.
Monitoração e resposta para Você usa relatórios e logs para exibir o status de segurança dos computadores-cliente.
mudanças de status Os relatórios e os logs ajudam-no a controlar epidemias de vírus e a aumentar a
segurança e o desempenho da rede de sua empresa.
Otimização do Symantec Você pode configurar o Symantec Endpoint Protection para melhorar o desempenho
Endpoint Protection no servidor de gerenciamento e nos computadores-cliente.
Gerenciamento de domínios Os domínios separam deveres administrativos de um conjunto de grupos. Você usa
e administradores domínios para gerenciar os computadores-cliente que estão localizados em empresas
ou em unidades de negócios diferentes.
Gerenciamento de
administradores Você pode adicionar contas de administrador de modo que administradores diferentes
tenham níveis de controle diferentes sobre gerenciamento de grupos, políticas,
comandos e relatórios no Symantec Endpoint Protection Manager.
Gerenciamento de Você pode instalar e gerenciar o Symantec Network Access Control para assegurar-se
conformidade do endpoint de que um computador-cliente esteja compatível com a política de segurança da
empresa. Se o computador for compatível, ele terá permissão para se conectar à rede
da empresa. Se o computador-cliente não for compatível, o computador deverá
primeiramente obter e executar o software de que precisa para corrigir
automaticamente falhas de conformidade antes de poder se conectar à rede.
Consulte “Proteção de sua rede com o Symantec Endpoint Protection” na página 52.
Introdução ao Symantec Endpoint Protection 65
Para manter a segurança de seu ambiente
Tabela 1-7 Tarefas que você pode executar para manter a segurança de sua
rede
Tarefa Descrição
Verificação do status de Você deve verificar periodicamente a home page para exibir o status de segurança
segurança de sua rede geral de sua rede. Você pode usar as notificações, os relatórios e os logs para fornecer
os detalhes sobre o status de segurança.
Manutenção do banco de O Symantec Endpoint Protection Manager suporta o banco de dados interno e um
dados banco de dados Microsoft SQL. O banco de dados armazena informações sobre as
configurações que você define no servidor de gerenciamento, como as políticas, os
grupos, os pacotes de instalação do cliente e as entradas de log.
Manutenção de licenças Você pode verificar se sua licença está quase expirando ou se tem muitos clientes
implementados, além do que sua licença cobre.
Preparação para a Para ajudar a abrandar um exemplo de corrupção de dados ou de uma falha de
recuperação após desastres hardware, é necessário fazer backup do banco de dados regularmente e fazer uma
cópia de arquivos específicos do servidor de gerenciamento.
Tarefa Descrição
Reconfiguração de servidores À medida que você adiciona mais computadores-cliente, talvez seja preciso instalar
servidores de gerenciamento adicionais e configurá-los. Talvez seja preciso configurar
o failover e o balanceamento de carga. Você também pode precisar alternar de um
banco de dados interno para um banco de dados Microsoft SQL.
Configuração do failover e Em um site, você deverá configurar o failover para manter a comunicação quando
balanceamento de carga os clientes não puderem se comunicar com um servidor de gerenciamento. Você
configura o balanceamento de carga para distribuir o gerenciamento de clientes entre
servidores de gerenciamento.
Consulte “Proteção de sua rede com o Symantec Endpoint Protection” na página 52.
Tarefa Descrição
Correção de problemas de Você pode fazer o download e executar a ferramenta de suporte do Symantec Endpoint
instalação Protection para verificar se seus computadores estão prontos para instalação. A
ferramenta de suporte é fornecida com o servidor de gerenciamento e o cliente. Ela
está também disponível no site de Suporte da Symantec.
Tarefa Descrição
Controle de epidemias de Você pode impedir que ameaças ataquem os computadores em sua rede.
vírus
Consulte “Para impedir e controlar ataques de vírus e spyware nos
computadores-cliente” na página 340.
Solução de problemas da Se as definições de vírus mais recentes não forem atualizadas corretamente no
atualização de conteúdo Symantec Endpoint Protection Manager ou nos clientes, consulte o seguinte artigo
da Base de conhecimento:
Execução da recuperação Em caso de corrupção do banco de dados ou de falha no hardware, será possível
após desastres restaurar a captura de imagem mais recente do banco de dados se você tiver um
arquivo de backup do banco de dados.
Redução do espaço no banco Você pode tornar mais espaço disponível no banco de dados se seu tamanho estiver
de dados demasiado grande.
Solução de problemas com o Você pode resolver vários problemas do appliance Enforcer.
appliance Enforcer
Consulte “Solução de problemas de um appliance Enforcer” na página 1159.
68 Introdução ao Symantec Endpoint Protection
Solução de problemas do Symantec Endpoint Protection
Consulte “Proteção de sua rede com o Symantec Endpoint Protection” na página 52.
Seção 1
Instalação do Symantec
Endpoint Protection
Etapa 1 Planejar a arquitetura de Entenda os requisitos de dimensionamento de sua rede. Além de identificar os
rede endpoints que requerem proteção e agendar atualizações, outras variáveis
devem ser avaliadas para assegurar o bom desempenho da rede e do banco de
dados.
Etapa 2 Verificar e comprar uma Entenda os requisitos de licenciamento do produto. Compre uma licença no
licença prazo de 60 dias da instalação do produto.
Etapa 3 Verificar os requisitos do Certifique-se de que os computadores nos quais você instalar o cliente e o
sistema software do servidor de gerenciamento estejam em conformidade com os
requisitos mínimos do sistema.
Etapa 4 Preparar os Para instalar o servidor e os clientes de gerenciamento, você deverá estar
computadores para a conectado com uma conta que conceda acesso com direitos de administrador
instalação local. Desinstale outro software de segurança de seus computadores
configurando o pacote de instalação do cliente do Symantec Endpoint Protection
para desinstalá-lo automaticamente. Você pode também manualmente
desinstalar outros softwares de segurança. Alguns programas podem ter rotinas
especiais de desinstalação: Consulte a documentação para o software de
terceiros.
Etapa 5 Preparar para instalar o Decidir sobre os seguintes itens antes da instalação do servidor de
servidor de gerenciamento:
gerenciamento
■ Uma senha para fazer login no console de gerenciamento
■ Um endereço de e-mail no qual você pode receber relatórios e notificações
importantes
■ Uma senha de criptografia que possa ser exigida dependendo das opções
que você selecionar durante a instalação
Se sua rede for muito grande, será possível instalar sites adicionais com bancos
de dados adicionais e configurá-los para compartilhar dados com replicação.
Para fornecer redundância adicional, é possível instalar sites adicionais para
suporte ao failover ou ao balanceamento de carga. O failover e o balanceamento
de carga apenas podem ser usados com bancos de dados do Microsoft SQL
Server.
Etapa 7 Preparar e implementar Determine qual método funcionaria melhor em seu ambiente para implementar
o software-cliente o software-cliente em seus computadores.
Instale o cliente do Symantec Endpoint Protection em seus computadores
endpoint.
Nota: A Symantec recomenda instalar também o cliente no computador que
hospeda o Symantec Endpoint Protection Manager.
Componente Descrição
Componente Descrição
Banco de dados O banco de dados armazena eventos e políticas de segurança. Você instala o banco
de dados incorporado no computador que hospeda o Symantec Endpoint Protection
Manager.
Você pode também instalar separadamente o banco de dados do Microsoft SQL Server
para usá-lo em vez do banco de dados incorporado.
Cliente do Symantec O cliente protege os computadores com verificações de vírus e spyware, SONAR,
Endpoint Protection Download Insight, um firewall, um sistema de prevenção contra intrusões e outras
tecnologias de proteção. Ele é executado nos servidores, nos desktops e nos
computadores portáteis que você deseja proteger.
Para obter mais informações sobre como usar o cliente, consulte o Guia do Cliente do
Symantec Endpoint Protection e do Symantec Network Access Control.
Symantec Protection Center O Symantec Protection Center permite integrar consoles de gerenciamento de vários
(opcional) produtos do Symantec Security suportados em um único ambiente de gerenciamento.
O Symantec Endpoint Protection é integrado ao Protection Center por meio de uma
série de serviços Web.
Quarentena central A Quarentena central recebe arquivos suspeitos e itens infectados não reparados dos
(opcional) clientes do Symantec Endpoint Protection. A Quarentena central encaminha uma
amostra ao Symantec Security Response, que analisa a amostra. Se uma ameaça é
nova, o Symantec Security Response produz atualizações de segurança.
Componente Descrição
Banco de dados O banco de dados armazena eventos e políticas de segurança. Você instala o banco
de dados incorporado no computador que hospeda o Symantec Endpoint Protection
Manager.
Você pode também instalar separadamente o banco de dados do Microsoft SQL Server
para usá-lo em vez do banco de dados incorporado.
Cliente do Symantec Network O cliente do Symantec Network Access Control aplica a conformidade com as políticas
Access Control de segurança nos computadores-cliente usando as verificações de integridade do host
e os recursos de autoimposição. O cliente relata seu status de conformidade com a
integridade do host a um Symantec Enforcer.
Para obter mais informações sobre a utilização do cliente, consulte o Guia do cliente
do Symantec Endpoint Protection e do Symantec Network Access Control.
Componente Descrição
Symantec Protection Center O Symantec Protection Center permite integrar consoles de gerenciamento de vários
produtos do Symantec Security suportados em um único ambiente de gerenciamento.
O Symantec Endpoint Protection é integrado ao Protection Center por meio de uma
série de serviços Web.
Symantec Enforcer (opcional) O Enforcer certifica-se de que os clientes que tentarem se conectar à rede atendam
às políticas de segurança configuradas. Você pode restringir computadores não
compatíveis a segmentos específicos da rede para correção e pode proibir
completamente o acesso aos computadores que não estiverem em conformidade.
O Symantec Network Access Control inclui os seguintes tipos de Enforcers:
Consulte “Sobre o Symantec Network Access Control Integrated Enforcer for Microsoft
DHCP Servers” na página 1065.
Consulte “Sobre o Symantec Network Access Control Integrated Enforcer for Microsoft
Network Access Protection” na página 1065.
Clientes sob demanda do Os clientes sob demanda são os clientes temporários que você fornece aos usuários
Symantec Network Access quando eles não estão autorizados a acessar sua rede. Os computadores-cliente não
Control para Windows e autorizados não têm o software compatível com sua política de segurança. Assim que
Macintosh (opcional) o Enforcer tiver instalado um cliente sob demanda, ele se conectará temporariamente
a uma rede corporativa como convidado.
Componente Requisitos
Componente Requisitos
Sistema operacional ■ Windows XP (de 32 bits, SP2 ou superior; de 64 bits, todo o SPs;
todas as edições exceto Home)
■ Windows 7 (32 bits, 64 bits, RTM e SP1; todas as edições, exceto
Home)
■ Windows 8 (32 bits, 64 bits)
■ Windows Server 2003 (32 bits, 64 bits, R2, SP1 ou superior)
■ Windows Server 2008 (32 bits, 64 bits, R2, RTM, SP1 e SP2)
■ Windows Server 2012
■ Windows Small Business Server 2003 (32 bits)
■ Windows Small Business Server 2008 (64 bits)
■ Windows Small Business Server 2011 (de 64 bits)
■ Windows Essential Business Server 2008 (64 bits)
Componente Requisitos
Componente Requisito
Sistema operacional ■ Windows XP (32 bits, XP-2 ou superior; 64 bits, todos os SPs)
■ Windows XP Embedded
■ Windows Vista (32 bits, 64 bits)
■ Windows 7 (32 bits, 64 bits)
■ Windows 8 (32 bits, 64 bits)
■ Windows Server 2003 (32 bits, 64 bits, R2, SP1 ou superior)
■ Windows Server 2008 (de 32 bits, de 64 bits)
■ Windows Server 2012
■ Windows Small Business Server 2008 (64 bits)
■ Windows Essential Business Server 2008 (64 bits)
Componente Requisito
Componente Requisito
Navegador da Web ■ Para o Cliente Windows sob demanda: Microsoft Internet Explorer
6.0 ou superior; Mozilla Firefox 2.0, 3.0, 3.5, 3.6.3, 11.0
Nota: Clientes da versão 11.0 RU6 e inferiores não suportam o
Firefox 3.6.3.
■ Para Cliente Mac sob demanda: Apple Safari 4.0 e 5.0; Mozilla
Firefox 2.0, 3.0, 3.5, 3.6.3
Nota: Clientes da versão 11.0 RU6 e inferiores não suportam o
Firefox 3.6.3.
Para verificar os requisitos do sistema mais atuais, consulte: Release Notes and
System Requirements for all versions of Symantec Endpoint Protection and
Symantec Network Access Control (em inglês)
Consulte “Para planejar a instalação” na página 71.
Consulte “Produtos de virtualização e instalações virtuais suportados”
na página 87.
Consulte “Requisitos de internacionalização” na página 83.
Requisitos de internacionalização
Determinadas restrições serão aplicadas quando você instalar o Symantec Endpoint
Protection Manager em um ambiente que não seja Inglês ou tenha diversos idiomas.
84 Para planejar a instalação
Requisitos do sistema para o Symantec Endpoint Protection
Componente Requisitos
Nomes de computador, Os caracteres que não são do inglês são compatíveis com as seguintes limitações:
nomes do servidor e
■ A auditoria da rede pode não funcionar para um host ou usuário que use um conjunto
nomes de grupos de
de caracteres de byte duplo ou um conjunto de caracteres ASCII estendidos.
trabalho
■ Os nomes de conjuntos de caracteres de dois bytes ou nomes de conjuntos de caracteres
high-ASCII não podem ser exibidos corretamente no console do Symantec Endpoint
Protection Manager ou na interface do usuário do cliente.
■ Os nomes extensos de host dos conjuntos de caracteres de dois bytes ou ASCII estendidos
não podem ser mais extensos do que o NetBIOS permite. Se o nome do host for mais
extenso do que o NetBIOS permite, as páginas Início, Monitores e Relatórios não serão
exibidas no console do Symantec Endpoint Protection Manager.
Caixa de diálogo Não usar caracteres de dois bytes ou ASCII estendidos ao fornecer comentários na caixa de
Informações sobre o diálogo Informações sobre o usuário do computador-cliente depois de instalar o pacote
usuário do exportado.
computador-cliente
Consulte “Como coletar informações do usuário” na página 261.
Para planejar a instalação 85
Requisitos da licença do produto
Componente Requisitos
Assistente de Ativação Não use caracteres de dois bytes nos seguintes campos:
de licença
■ Nome
■ Sobrenome
■ Nome da empresa
■ Cidade
■ Estado/Província
Consulte “Para ativar ou importar sua licença de produto do Symantec Endpoint Protection
ou Symantec Network Access Control 12.1” na página 120.
Para verificar os requisitos do sistema mais atuais, consulte: Release Notes and
System Requirements for all versions of Symantec Endpoint Protection and
Symantec Network Access Control (em inglês)
Produto Requisito
Instalação de licença paga do Você deve comprar uma licença que ofereça cobertura
Symantec Endpoint Protection a todos os clientes implementados. Uma licença
oferece cobertura a todos os clientes
independentemente da plataforma e da versão.
Número de série Uma licença contém um número de série que identifica com
exclusividade sua licença e associa a licença com sua empresa. O
número de série pode ser usado para ativar sua licença do
Symantec Endpoint Protection.
Banco de dados Microsoft Se você tiver optado por usar esta opção, será necessário
SQL Server instalar o Microsoft SQL Server antes de instalar o Symantec
Endpoint Protection Manager. Além disso, as ferramentas
do cliente SQL Server devem ser instaladas no mesmo
computador em que você instala o Symantec Endpoint
Protection Manager.
Nome do servidor nome do host local O nome do computador que executa o Symantec Endpoint
Protection Manager.
Porta do console da 9090 As conexões remotas do console HTTP usam esta porta.
Web
Porta dos serviços 8444 A porta pela qual o Symantec Protection Center 2.x faz o
Web do Protection feed de dados e as solicitações do fluxo de trabalho ao
Center Symantec Endpoint Protection Manager.
Porta de geração de 8445 O serviço Web do Apache usa esta porta para gerar
relatórios relatórios.
C:\Arquivos de Programas
(x86)\Symantec\Symantec
Endpoint Protection
Manager\data (sistema
operacional de 64 bits)
Para planejar a instalação 93
Sobre as configurações do SQL Server
Nome do usuário admin O nome do usuário padrão usado para fazer logon pela
primeira vez no console do Symantec Endpoint Protection
Manager. Este valor não é configurável.
Números de porta TCP/IP para IP1, IP2 Deixe as portas dinâmicas TCP em branco e
e IPALL especifique um número para a porta TCP.
Geralmente, a porta padrão é 1433. Especifique
esse número de porta ao criar o banco de dados.
Nome do servidor Nome do host local Nome do computador que executa o Symantec Endpoint
Protection Manager.
Servidor de banco de Nome do host local Nome do Microsoft SQL Server e nome opcional da
dados instância. Se o servidor do banco de dados foi instalado
com a instância padrão, que não tem nome, digite o nome
do host ou o endereço IP do host. Se o servidor de banco de
dados foi instalado com uma instância nomeada, digite o
nome do host\nome da instância ou endereço IP\nome da
instância. Usar o nome do host somente funciona com um
DNS configurado adequadamente.
Porta do servidor SQL 1433 A porta usada para enviar e receber o tráfego do SQL
Server.
Nome de usuário do sem5 Nome da conta do usuário do banco de dados que é criado.
banco de dados A conta de usuário tem uma função padrão com acesso de
leitura e gravação. O nome pode ser uma combinação de
valores alfanuméricos e caracteres especiais ~#%_+=|:./.
Os caracteres especiais `!@'$^&*()-{}[]"\<;>,? não
são permitidos. Os seguintes nomes também não são
aceitos: sysadmin, server admin, setupadmin,
securityadmin, processadmin, dbcreator, diskadmin,
bulkadmin.
Pasta do cliente do SQL SQL Server 2005: C:\Arquivos Local do diretório local do utilitário SQL Client que contém
Server de Programas\Microsoft SQL o bcp.exe.
Server\ 90\Ferramentas\Binn
SQL Server 2008: C:\Arquivos
de Programas\Microsoft SQL
Server\100\ Ferramentas\Binn
Pasta dados do banco Detectada automaticamente Local da pasta de dados do SQL Server. Se você instalar um
de dados depois de clicar em Padrão. servidor remoto, o identificador de volume deverá
corresponder ao identificador do servidor remoto.
SQL Server 2005: C:\Arquivos
de Programas\Microsoft SQL ■ Se você instalar uma instância nomeada no SQL Server
Server\MSSQL.1\MSSQL\Data 2005, o nome da instância será anexado ao MSSQL com
um identificador numérico do ponto. Por exemplo,
SQL Server 2008: C:\Arquivos
\MSSQL.n\MSSQL\Data
de Programas\Microsoft SQL
■ Se você instalar em uma instância nomeada no SQL
Server\
Server 2008, o nome da instância será adicionado a
MSSQL10.MSSQLSERVER\
MSSQL10. Por exemplo, \MSSQL10.nome da
MSSQL\Data
instância\MSSQL\Data.
SQL Server 2008 R2: C:\ ■ Se você instalar em uma instância nomeada no SQL
Arquivos de Programas\ Server 2008 R2, o nome da instância será adicionado a
Microsoft SQL Server\ MSSQL10_50. Por exemplo, \MSSQL10_50.nome da
MSSQL10_50.MSSQLSERVER\ instância\MSSQL\Data.
MSSQL\Data ■ Se você instalar em uma instância nomeada no SQL
SQL Server 2012: C:\Arquivos Server 2012, o nome da instância será adicionado a
de Programas\Microsoft SQL MSSQL11. Por exemplo, \MSSQL11.nome da
Server\ instância\MSSQL\Data.
MSSQL11.MSSQLSERVER\ Nota: Clicar na opção Padrão exibe a pasta de instalação
MSSQL\Data correta, se você digitou o servidor de banco de dados e o
nome da instância corretamente. Se você clicar na opção
Padrão e a pasta de instalação correta não aparecer,
significa que ocorreu uma falha na criação do banco de
dados.
98 Para planejar a instalação
Sobre os modos de autenticação do banco de dados do SQL Server
Para verificar os requisitos do sistema mais atuais, consulte: Release Notes and
System Requirements for all versions of Symantec Endpoint Protection and
Symantec Network Access Control (em inglês)
Consulte “Preparação para a instalação do cliente” na página 134.
Consulte “Para executar o Symantec Endpoint Protection pela primeira vez”
na página 54.
Para instalar o Symantec Endpoint Protection Manager
1 Insira e exiba o disco do produto.
A instalação deve iniciar automaticamente. Se não iniciar, clique duas vezes
em Setup.exe.
Se você fizer o download do produto, extraia a imagem inteira do disco do
produto para um disco físico, como um disco rígido. Execute o arquivo
Setup.exe no disco físico.
2 Na caixa de diálogo Programa de instalação do Symantec Endpoint
Protection, clique em Instalar Symantec Endpoint Protection e em Instalar
o Symantec Endpoint Protection Manager.
3 Reveja a sequência de eventos da instalação e clique em Avançar para
começar.
4 No painel Contrato de licença, clique em Aceito os termos do contrato de
licença e clique em Avançar.
5 No painel Pasta de destino, aceite a pasta de destino padrão ou especifique
outra pasta de destino e clique em Avançar.
6 Clique em Instalar.
O processo de instalação começa para o Symantec Endpoint Protection
Manager e console. Quando a instalação for concluída, clique em Avançar.
Instalação do Symantec Endpoint Protection Manager 101
Para configurar o servidor de gerenciamento durante a instalação
Nota: Se você instalar o console Java remoto com uma versão anterior do produto,
será necessário reinstalá-lo quando fizer upgrade para uma versão mais recente.
O console o desconecta após uma hora. Você pode aumentar este período de tempo.
Para fazer logon no console localmente
1 Vá para Iniciar > Programas > Symantec Endpoint Protection Manager >
Symantec Endpoint Protection Manager.
2 Na caixa de diálogo de logon do Symantec Endpoint Protection Manager,
digite o nome de usuário (admin por padrão) e a senha que você configurou
durante a instalação.
Se o console tem mais de um domínio, clique em Opções> e digite o nome do
domínio.
3 Clique em Fazer logon.
Instalação do Symantec Endpoint Protection Manager 105
Logon no console do Symantec Endpoint Protection Manager
Para exibir uma mensagem aos administradores antes que façam logon
no Symantec Endpoint Protection Manager
Você pode criar e exibir uma mensagem personalizável que todos os
administradores verão antes de fazer logon no console. Você pode exibir qualquer
mensagem. A finalidade a mais comum é a de exibir um aviso legal para informar
aos administradores que eles estão a ponto de fazer logon em um computador
proprietário.
A mensagem é exibida no console após os administradores digitarem seu nome
de usuário e senha e clicarem em Logon. Depois de ler a mensagem, os
administradores podem reconhecer o aviso clicando em OK, que faz o logon dos
administradores. Se os administradores clicarem em Cancelar, o processo de logon
é cancelado e o administrador é levado de volta à janela de logon.
Instalação do Symantec Endpoint Protection Manager 107
Logon no console do Symantec Endpoint Protection Manager
7 Clique em OK.
Os computadores agora serão exibidos na lista de exceções. Para cada endereço
IP e máscara, será exibido o status de permissão.
Se você alterar o Acesso concedido para Acesso negado ou vice-versa, todas
as exceções serão alteradas. Se você tiver criado exceções para negar acesso,
agora elas terão acesso.
Instalação do Symantec Endpoint Protection Manager 109
Logon no console do Symantec Endpoint Protection Manager
6 Clique em OK.
Consulte “Para enviar uma senha temporária a um administrador”
na página 304.
Consulte “Para mudar a senha de uma conta de administrador” na página 303.
Página Descrição
Página Descrição
Página Descrição
A Tabela 4-1 relaciona as tarefas que são necessárias para comprar, ativar e
gerenciar a licença do produto da Symantec.
Tarefa Descrição
Tarefa Descrição
Comprar uma licença e salvá-la Você precisa comprar uma licença nas seguintes situações:
no servidor de gerenciamento
■ Você deseja comprar o Symantec Endpoint Protection.
■ Sua licença trialware expirou.
■ Sua licença paga expirou.
■ Sua licença foi implementada excessivamente.
■ Sua licença de upgrade do Symantec Endpoint
Protection 11.x expirou.
Fazer backup de seus arquivos Faça o backup de seus arquivos de licença para manter os
de licença arquivos de licença caso o banco de dados ou o disco rígido
do computador sejam danificados.
Tarefa Descrição
Manter um controle de quando Verifique o status de cada licença que você importou no
suas licenças expiram e console para ver se precisa renovar ou comprar mais
renová-las licenças.
Aviso: Para impedir que o arquivo de licença seja corrompido, não abra nem altere
o conteúdo do arquivo. No entanto, você pode copiar e armazenar a licença
conforme desejar.
Tarefa Descrição
Tarefa Descrição
Descobrir onde comprar licenças Você pode comprar uma licença de produto da Symantec
do produto nos seguintes locais:
■ A loja online da Symantec:
http://store.symantec.com/
■ Seu revendedor preferido da Symantec:
Para encontrar um revendedor, use o Localizador de
parceiros
Para saber mais sobre os parceiros da Symantec, vá
para http://www.symantec.com/partners/index.jsp
■ A equipe de vendas da Symantec:
Visite Symantec Ordering Web site (em inglês) para
obter informações de contato de vendas.
Obter mais informações sobre Consulte “Sobre a licença do trialware” na página 118.
como fazer o upgrade da licença
trialware que acompanha o
Symantec Endpoint Protection
É possível importar e ativar um arquivo de licença que você tenha recebido das
seguintes fontes:
■ Portal de licenciamento da Symantec
■ Parceiro da Symantec ou revendedor preferido
■ Equipe de vendas da Symantec
■ Symantec Business Store
Nota: Você pode importar sua licença do Symantec Network Access Control 12.1
somente em um servidor de gerenciamento ativado do Symantec Network Access
Control.
Opção Descrição
Nota: Você deve criar uma conta para usar o portal de licenciamento. Se você não
tiver uma conta do Portal de licenciamento da Symantec, um link será fornecido
na página principal para criar uma conta.
Ação Descrição
Para verificar os requisitos do sistema mais atuais, consulte: Release Notes and System
Requirements for all versions of Symantec Endpoint Protection and Symantec Network
Access Control (em inglês)
Nota: A Symantec recomenda instalar também o cliente no computador que hospeda
o Symantec Endpoint Protection Manager.
Identificar grupos de Identifique os grupos de computadores a que você quer que os clientes pertençam.
computadores Você pode agrupar os clientes baseados no tipo de computador, para estar de acordo
com sua organização corporativa ou no nível de segurança necessário. Você pode
criar estes grupos se ainda não o tiver feito. Você também pode importar uma estrutura
de grupo existente, como uma estrutura do Active Directory.
Ação Descrição
Ação Descrição
Verificar o status da Você deve confirmar o status dos clientes no console. Os clientes gerenciados podem
instalação não aparecer no console até depois de serem reiniciados.
Consulte “Para reiniciar computadores-cliente” na página 156.
Você pode executar etapas adicionais para proteger computadores não gerenciados
e otimizar o desempenho da instalação do Symantec Endpoint Protection.
Preparar os servidores dos Os servidores dos computadores Windows XP e do Windows Server 2003 que são
computadores Windows XP instalados nos grupos de trabalho não aceitam a implementação remota por padrão.
ou do Windows Server 2003 Para permitir a implementação remota, desative o compartilhamento simples de
que são instalados nos arquivos.
grupos de trabalho Nota: Esta limitação não se aplica aos computadores que fazem parte de um domínio
do Windows.
Preparar computadores O controle de conta de usuário do Windows impede contas administrativas locais de
Windows Vista, Windows 7 acessar remotamente compartilhamentos administrativos remotos como C$ e Admin$.
ou Windows Server 2008 Não será necessário desativar inteiramente o Controle de conta de usuário nos
computadores-cliente durante a implementação remota se você desativar a chave do
registro LocalAccountTokenFilterPolicy. Para obter mais informações, visite o seguinte
URL:
http://support.microsoft.com/kb/951016
Provedor de atualizações de
grupo e clientes
Comunicação de De site para site entre os TCP 8443 entre servidores de bancos de dados
replicação servidores de bancos de dados
Serviços da Web Monitoramento remoto e TCP 8446 para serviços Web de RMM
Gerenciamento (RMM, Remote
TCP 8444 para serviços Web do Symantec Protection
Monitoring and Management)
Center 2.x
Symantec Protection Center 2.x
Comunicação externa Servidores remotos Microsoft TCP 1433 nos servidores Microsoft SQL remotos
do banco de dados SQL e servidor de gerenciamento
Portas TCP efêmeras em servidores de gerenciamento
Nota: A porta 1433 é o padrão.
Migração e Symantec Endpoint Protection Portas efêmeras TCP 139, TCP 445, TCP e UDP 137
implementação do Manager e servidor de
cliente gerenciamento Symantec legado
Opções Descrição
Link da Web e e-mail Os usuários recebem uma mensagem de e-mail que contém
um link para fazer o download e instalar o software-cliente.
Os usuários devem ter direitos de administrador locais de
seus computadores. A Instalação de link da Web e notificação
de e-mail é o método de implementação recomendado.
Instalação remota por envio A instalação remota por envio permite controlar a instalação
do cliente. A Instalação remota por envio instala
remotamente o software-cliente nos computadores
especificados. A instalação inicia automaticamente.
Nota: Use a opção Único arquivo .exe, a menos que você precise de arquivos
separados para um programa de implementação de terceiros.
Você deve decidir se um pacote de instalação será criado para clientes gerenciados
ou não gerenciados. Ambos os tipos de pacotes têm os recursos, as políticas e as
configurações que você atribui. Se você criar um pacote para clientes gerenciados,
será possível gerenciá-los com o console do Symantec Endpoint Protection
Manager. Se você criar um pacote para clientes não gerenciados, não poderá
gerenciá-los do console. Você pode converter um cliente não gerenciado a um
cliente gerenciado em qualquer momento com Implementação de pacote de
atualização de comunicação com Assistente de Implementação de cliente.
Nota: Diretórios com caracteres de dois bytes ou ASCII de alto valor não são
suportados e são bloqueados.
Nota: Você não pode remover softwares de segurança de terceiros com pacotes
de cliente Mac ou Symantec Network Access Control. Você também não pode
configurar os pacotes de instalação anteriores ao cliente do Symantec Endpoint
Protection versão 12.1.1101 e versões 11.x do cliente legado para remover
softwares de segurança de terceiros.
Somente os pacotes que você criar usando o seguinte procedimento poderão
remover softwares de segurança de terceiros.
Tipo Descrição
Tarefa Descrição
Tarefa Descrição
Excluir pacotes de instalação Você pode excluir pacotes de instalação mais antigos do
do cliente cliente para economizar espaço em disco. Contudo, esses
pacotes de instalação mais antigos do cliente são usados às
vezes para criar pacotes de upgrade quando a Atualização
automática é utilizada. Isso resultará em downloads menores
efetuados pelos clientes.
Esta seção é específica para fazer upgrade do software em ambientes nos quais
uma versão compatível do Symantec Endpoint Protection ou do Symantec Network
Access Control já está instalada.
Etapa 1 Fazer backup do banco de Faça o backup do banco de dados que o Symantec Endpoint Protection
dados Manager usa para assegurar a integridade das informações de seu cliente.
Etapa 2 Desativar a replicação Desative a replicação em todos os sites configurados como parceiros de
replicação para evitar quaisquer tentativas de atualizar o banco de dados
durante a instalação.
Etapa 3 Ativar a autenticação local, Os Enforcers não podem autenticar clientes durante um upgrade. Para evitar
caso o Symantec Network problemas com autenticação de clientes, a Symantec recomenda que você
Access Control tenha sido ative a autenticação local antes de fazer o upgrade. Depois que o upgrade
instalado estiver concluído, é possível retornar à sua configuração anterior de
autenticação.
Etapa 4 Interromper o serviço do Você deve interromper o serviço do servidor de gerenciamento para instalar
Symantec Endpoint uma versão mais nova.
Protection Manager
Consulte “Para interromper e iniciar o serviço do servidor de gerenciamento”
na página 183.
170 Para fazer o upgrade do Symantec Endpoint Protection
Recursos de upgrade para o Symantec Endpoint Protection 12.1
Etapa 5 Fazer o upgrade do Instale a versão nova do Symantec Endpoint Protection Manager em todos
software do Symantec os sites em sua rede. A versão existente é detectada automaticamente e todas
Endpoint Protection as configurações são salvas durante o upgrade.
Manager
Consulte “Para instalar o Symantec Endpoint Protection Manager”
na página 99.
Etapa 6 Ativar a replicação após o Ative a replicação quando a instalação for concluída para restaurar a
upgrade configuração.
Etapa 7 Fazer o upgrade do Faça o upgrade do software-cliente para a versão mais recente.
software-cliente da
Consulte “Sobre como fazer upgrade do software-cliente” na página 185.
Symantec
Consulte “Para fazer upgrade de provedores de atualizações de grupo”
na página 188.
Tarefa Recurso
Tarefa Recurso
Item Recurso
Tabela 6-4 Proteção padrão dos clientes da versão 11.x para a 12.1
Antivírus sem Proteção proativa contra Antivírus sem SONAR ou Download Insight
ameaças
Tabela 6-7 11.x para 12.1 antivírus + Proteção proativa contra ameaças
Tabela 6-9 Da versão Small Business Edition 12.0 para a 12.1 (versão
corporativa)
Recursos do Small Business Edition 12.0 Recursos da versão 12.1 instalados após
instalados a Atualização automática
A Tabela 6-10 relaciona as maneiras como você pode disponibilizar mais espaço
em disco para o upgrade.
178 Para fazer o upgrade do Symantec Endpoint Protection
Para aumentar o espaço em disco do Symantec Endpoint Protection Manager antes do upgrade para a versão 12.1
Tarefa Descrição
Tarefa Descrição
Para verificar os requisitos do sistema mais atuais, consulte: Release Notes and
System Requirements for all versions of Symantec Endpoint Protection and
Symantec Network Access Control (em inglês)
Aviso: Você deverá seguir o cenário que se aplica a seu tipo de instalação, ou seu
upgrade poderá falhar.
Tarefa Descrição
Nota: Não é necessário reiniciar o computador após o upgrade, mas você pode
observar melhorias no desempenho se reiniciar o computador e fizer o logon.
4 Clique em Sim.
5 Desconecte-se do console e repita esse procedimento em todos os sites que
replicam dados.
Método de Descrição
upgrade
Disco do produto Use o programa de instalação do disco do produto para instalar uma
nova versão do cliente.
Tarefa Descrição
Prepare para a migração Execute as tarefas a seguir para preparar sua instalação legada para a migração:
legada no Symantec System
■ Desative as verificações agendadas
Center
A migração pode falhar se uma verificação estiver em execução durante a migração.
Consulte “Para desativar verificações agendadas no Symantec System Center”
na página 194.
■ Desative o LiveUpdate.
Poderão ocorrer conflitos se o LiveUpdate for executado nos computadores-cliente
durante a migração.
Consulte “Para desativar o LiveUpdate no Symantec System Center” na página 195.
■ Desative o serviço de roaming.
A migração poderá travar e sua conclusão falhar se o serviço de roaming estiver
em execução nos computadores-cliente.
Consulte “Para desativar o serviço de roaming no Symantec System Center”
na página 196.
■ Desbloqueie os grupos de servidores.
Você poderá encontrar resultados imprevisíveis se migrar do Symantec AntiVirus
antes de desbloquear os grupos de servidores.
Consulte “Desbloqueio de grupos de servidores no Symantec System Center”
na página 197.
■ Desative a Proteção contra adulterações.
A Proteção contra adulterações pode causar resultados imprevisíveis durante a
migração.
Consulte “Para desativar a Proteção contra adulterações no Symantec System
Center” na página 197.
■ Desinstale e exclua os servidores de relatório.
Desinstale os servidores de relatório e, opcionalmente, exclua os arquivos do banco
de dados.
Consulte “Desinstalação e exclusão de servidores de relatório” na página 198.
Tarefa Descrição
Instalar o Symantec Use o Assistente de Migração para importar as configurações de grupo legado e das
Endpoint Protection Manager políticas do seu servidor do Symantec AntiVirus. O Assistente de Migração aparecerá
e migrar o grupo legado e as depois que você instalar e configurar o console de gerenciamento. Você pode também
configurações de política clicar em Menu Iniciar > Todos os Programas > Symantec Endpoint Protection
quando solicitado Manager > Ferramentas do Symantec Endpoint Protection Manager > Assistente
de Migração.
Você pode também ajustar as configurações dos grupos migrados e das políticas após
importá-los.
Para obter mais informações sobre como executar tarefas comuns entre o Symantec
System Center e o Symantec Endpoint Protection Manager, consulte: Guia de
Referência do Symantec Endpoint Protection Manager 12.1.x para Usuários do
Symantec System Center
Produto Descrição
Cliente Symantec AntiVirus for Cliente Symantec Endpoint Sim, mas as configurações
Mac gerenciado Protection for Mac não do cliente gerenciado são
gerenciado retidas.
Norton AntiVirus para Mac Cliente Symantec Endpoint Não. O cliente deve
Protection for Mac desinstalar os produtos
gerenciado ou não Norton antes de instalar o
gerenciado Symantec Endpoint
Protection.
■ Grupo de servidores
■ Cada servidor-pai
4 Clique em Avançar.
5 No painel Assistente de Migração, selecione uma das seguintes opções:
6 Clique em Avançar.
7 Siga os prompts na tela para concluir a migração.
Consulte “Para migrar do Symantec AntiVirus ou do Symantec Client Security”
na página 190.
Capítulo 8
Para gerenciar sites e
replicação
Este capítulo contém os tópicos a seguir:
Etapa 1 Determine se você precisa Antes de configurar vários sites e a replicação, certifique-se de que isto é
adicionar outro site. necessário. A Symantec recomenda a você configurar a replicação somente
em circunstâncias específicas. Se você adicionar um site, decida que design
de site funciona para sua organização.
Consulte “Sobre como determinar de quantos sites você precisa” na página 203.
Etapa 2 Instale o Symantec Endpoint Quando você instalar o Symantec Endpoint Protection pela primeira vez, por
Protection Manager no padrão terá instalado o primeiro site ou o site local.
primeiro site.
Consulte “Para instalar o Symantec Endpoint Protection Manager”
na página 99.
Etapa 3 Instale o Symantec Endpoint Você pode instalar o servidor de gerenciamento do segundo site usando o
Protection Manager no Assistente de Configuração do servidor de gerenciamento. No assistente,
segundo site. clique na opção Instalar um site adicional e siga as instruções no assistente.
Etapa 4 Replicar os dados entre os A primeira vez que os bancos de dados entre os dois sites forem replicados,
dois sites aguarde a replicação ser concluída completamente. A replicação pode levar
bastante tempo, pois o banco de dados inteiro é replicado.
Convém replicar os dados imediatamente, em vez de aguardar até que o banco
de dados esteja agendado para replicar. Você também pode mudar a agenda
de replicação para ocorrer mais cedo ou mais tarde.
Use este design quando você não precisar de acesso imediato aos dados
do site remoto.
Registro em log Todos os logs são encaminhados de outros sites para um site central.
centralizado
Use este design quando você exigir geração de relatórios centralizada.
Para gerenciar sites e replicação 205
Como a replicação funciona
Nota: Não adicione sites que controlam clientes adicionais. Em vez disso, é possível
instalar dois ou mais servidores de gerenciamento e usar a lista de servidores de
gerenciamento.
Para obter mais informações sobre se você deve ou não configurar a replicação,
veja o seguinte artigo da base de conhecimento: When to use replication with
Symantec Endpoint Protection Manager (em inglês)
Consulte “Como a replicação funciona” na página 205.
Consulte “Para configurar sites e replicação” na página 201.
Consulte “Para gerenciar atualizações de conteúdo” na página 592.
Cada site com o qual você replica dados é um parceiro de replicação ou um site
parceiro. Os parceiros de replicação e os sites parceiros usam vários servidores
de gerenciamento, mas o banco de dados que eles usam e a maneira de se
comunicarem são diferentes:
■ os parceiros de replicação podem usar um banco de dados interno ou um banco
de dados do Microsoft SQL Server. Os servidores de gerenciamento não
compartilham o banco de dados. Todos os parceiros de replicação compartilham
uma chave de licença comum.
Se você usar um banco de dados incorporado, será possível conectar apenas
um Symantec Endpoint Protection Manager. Se você usar um banco de dados
Microsoft SQL Server, será possível conectar vários servidores de
gerenciamento que compartilham um banco de dados. Somente um dos
servidores de gerenciamento precisa ser configurado como parceiro de
replicação.
■ Os sites parceiros compartilham um único banco de dados do Microsoft SQL.
As mudanças que você faz em qualquer parceiro são duplicadas a todos parceiros
restantes. Por exemplo, é recomendável configurar um site no seu escritório
principal (site 1) e um segundo site (site 2). O site 2 é um parceiro para o site 1. Os
bancos de dados do site 1 e do site 2 são reconciliados usando a agenda de
replicação. Se for feita uma alteração no site 1, ela será exibida automaticamente
no site 2 depois que a replicação ocorrer. Se for feita uma alteração no site 2, ela
será exibida automaticamente no site 1 depois que a replicação ocorrer. Você
também pode instalar um terceiro site (site 3) que possa replicar dados do site 1
ou do 2.
Depois que a replicação ocorre, o banco de dados no site 1 e o banco de dados no
site 2 são os mesmos. Somente as informações de identificação do computador
dos servidores diferem.
Os grupos e as políticas são replicados sempre. Você pode optar por replicar logs,
conteúdo atualizado e patches.
Para gerenciar sites e replicação 207
Como a replicação funciona
Figura 8-1 Como a replicação funciona entre o site principal e dois sites
remotos
Site 1 Site 2
Replicação
Replicação
Site 3
Symantec Endpoint
Protection Manager
Banco de
dados MS SQL
Consulte “Como resolver conflitos dos dados entre sites durante a replicação”
na página 207.
Consulte “Como especificar que dados replicar” na página 210.
Consulte “Sobre como determinar de quantos sites você precisa” na página 203.
Para obter mais informações sobre com que frequência replicar, consulte o seguinte
artigo da base de conhecimento: The Philosophy of SEPM Replication Setup (em
inglês)
Consulte “Para configurar sites e replicação” na página 201.
Duas diferenças não Os administradores para ambos O servidor de gerenciamento retém apenas a alteração
podem existir em os sites 1 e 2 definem uma recentemente feita.
conjunto. configuração idêntica da política
Por exemplo, se você primeiramente fizer uma mudança
de firewall. No site 1, a
no site 1 e depois no site 2, a alteração feita no site 2 será
configuração é ativada. No site 2,
mantida.
a configuração é desativada.
4 Clique em Sim.
5 Clique em OK.
5 Clique em OK.
8 Clique em Avançar.
9 No painel Replicação de arquivos de log e pacotes de clientes, marque ou
desmarque as opções, dependendo se você quer ou não replicar logs.
10 Na caixa de diálogo Adicionar parceiro de replicação execute um destes
procedimentos:
■ Se o banco de dados foi restaurado no site do parceiro de replicação, clique
em Sim.
Você deve restaurar o banco de dados em cada site do parceiro de
replicação antes de continuar, caso esteja fazendo um upgrade ou
restaurando um banco de dados.
■ Clique em Não se o banco de dados não foi restaurado.
Em seguida, restaure o banco de dados e reinicie esse procedimento.
11 Clique em Avançar.
12 Clique em Concluir.
O parceiro de replicação é adicionado em Parceiros de replicação na página
Administrador.
Consulte “Para desativar a replicação antes do upgrade” na página 181.
Consulte “Para ativar a replicação após o upgrade” na página 182.
Consulte “Para excluir parceiros de replicação” na página 211.
Consulte “Para configurar sites e replicação” na página 201.
Capítulo 9
Para gerenciar o Symantec
Endpoint Protection no
Protection Center
Este capítulo contém os tópicos a seguir:
3 Clique em OK.
Para informações mais detalhadas sobre estas configurações, consulte a ajuda
contextual do painel Serviços da Web.
Consulte “Para ativar ou desativar os serviços da Web do Symantec Endpoint
Protection Manager” na página 780.
218 Para gerenciar o Symantec Endpoint Protection no Protection Center
Configuração da comunicação entre o Symantec Endpoint Protection Manager e o Protection Center
■ Adição de um grupo
Tarefa Descrição
Adicionar grupos Consulte “Como você pode estruturar grupos” na página 223.
Importar grupos existentes Se sua organização já tem uma estrutura de grupo existente,
é possível importar os grupos como unidades
organizacionais.
Nota: Você não pode gerenciar unidades organizacionais
importadas da mesmas maneira que gerencia os grupos
criados no Symantec Endpoint Protection Manager.
Criar locais dentro de grupos Você pode configurar os clientes para alternar
automaticamente para uma política de segurança diferente
se o local físico do cliente mudar.
Tarefa Descrição
Executar manutenção de Você pode mover grupos para um gerenciamento mais fácil
grupo básica e mover clientes entre grupos. Também é possível bloquear
a adição de clientes a um grupo específico.
Critério Descrição
Função Você pode criar os grupos com base nos tipos de computadores a serem
gerenciados, como laptops, desktops e servidores. Como alternativa, é
possível criar vários grupos que são baseados no tipo de uso. Por exemplo,
você pode criar um grupo remoto para os computadores-cliente usados em
trânsito e um grupo local para os computadores-cliente que permanecem
no escritório.
Função Você pode criar grupos para funções de departamento, tais como vendas,
engenharia, finanças e marketing.
224 Para gerenciar grupos de computadores-cliente
Adição de um grupo
Critério Descrição
Geografia Você pode criar os grupos com base nos escritórios, nas cidades, nos estados,
nas regiões ou nos países onde os computadores estão localizados.
Combinação Você pode criar os grupos com base em uma combinação de critérios. Por
exemplo, é possível usar o papel e a função.
Você pode adicionar um grupo pai por atividade e adicionar subgrupos filhos
por função, como no seguinte cenário:
Adição de um grupo
É possível adicionar grupos após definir a estrutura de grupos da sua organização.
As descrições dos grupos podem ter até 1024 caracteres. Os nomes de grupo podem
conter qualquer caractere exceto os seguintes caracteres: [” / \ * ? < > | :] as
descrições do grupo não são restritas.
Para gerenciar grupos de computadores-cliente 225
Para importar grupos existentes e computadores de um servidor Active Directory ou LDAP
Etapa Conecte o Symantec Endpoint Você pode conectar o Symantec Endpoint Protection Manager a um servidor
1 Protection Manager ao Active Directory ou LDAP-compatível. Quando você adicionar o servidor,
servidor de diretório da sua deverá ativar a sincronização.
empresa
Consulte “Sobre a importação de unidades organizacionais do servidor de
diretório” na página 227.
Etapa Importe unidades Você pode importar a estrutura de grupo existente ou contas de computador
2 organizacionais inteiras, ou contas de usuário individuais para os grupos do Symantec Endpoint
contas de computador ou Protection Manager criados.
contas de usuário específicas
Consulte “Para importar unidades organizacionais de um servidor de
diretório” na página 230.
Etapa Mantenha o computador Após importar unidades organizacionais, você poderá fazer qualquer uma
3 importado ou as contas de das seguintes ações:
usuário em seu próprio grupo
■ Manter as unidades organizacionais ou as contas importadas em seus
ou copie as contas importadas
próprios grupos. Após importar unidades organizacionais ou contas
para grupos existentes
individuais, você atribuirá políticas à unidade organizacional ou ao grupo.
■ Copie as contas importadas para grupos do Symantec Endpoint Protection
Manager existentes. As contas copiadas seguem a política do grupo do
Symantec Endpoint Protection Manager, e não da unidade organizacional
importada.
Consulte “Adição de um grupo” na página 224.
Etapa Altere o método de Para as contas de administrador que você adicionou no Symantec Endpoint
4 autenticação para as contas Protection Manager, mude o método de autenticação para autenticação de
de administrador (opcional) servidor de diretório em vez da autenticação padrão do Symantec Endpoint
Protection Manager. É possível usar as contas de administrador para
autenticar as contas que você importou. Quando um administrador faz logon
no Symantec Endpoint Protection Manager, o servidor de gerenciamento
recupera o nome de usuário do banco de dados e a senha do servidor de
diretório.
■ Uma vírgula (,), o sinal de mais (+), aspas duplas ("), símbolos de menor que ou
maior que (< ou >), sinal de igual (=), ponto-e-vírgula (;), barra invertida (\).
Para permitir que um nome inclua estes caracteres a serem importados, será
necessário preceder cada caractere com um caractere da barra invertida (\).
Para importar unidades organizacionais de um servidor de diretório
1 Conecte o Symantec Endpoint Protection Manager a um servidor de diretório.
Consulte “Para conectar o Symantec Endpoint Protection Manager a um
servidor de diretório” na página 228.
2 No console, clique em Clientes e, em Clientes, selecione o grupo a que você
quer adicionar a unidade organizacional.
3 Em Tarefas, clique em Importar uma unidade organizacional ou um
container.
4 Na lista suspensa Domínio, escolha o nome do servidor de diretório criado
na etapa 1.
5 Selecione o domínio ou um subgrupo.
6 Clique em OK.
Consulte “Para importar grupos existentes e computadores de um servidor Active
Directory ou LDAP” na página 225.
Consulte “Sobre a importação de unidades organizacionais do servidor de diretório”
na página 227.
4 Clique em OK.
Tarefa Descrição
Verificar se o ■ Você pode exibir os computadores em cada grupo que não tenha o software-cliente
software-cliente está instalado ainda.
instalado nos computadores Consulte “Para exibir quais clientes não têm o software-cliente instalado”
na página 243.
■ Você pode configurar um computador-cliente para detectar que outros dispositivos
não têm o software-cliente instalado. Alguns desses dispositivos podem ser
computadores desprotegidos. Você pode instalar o software-cliente nesses
computadores.
Consulte “Para configurar um cliente para detectar dispositivos não gerenciados”
na página 253.
■ Você pode adicionar um cliente a um grupo e instalar o software-cliente mais tarde.
Verificar se o cliente está Você pode verificar os ícones de status do cliente no console de gerenciamento e no
conectado ao servidor de cliente. O ícone de status mostra se o cliente e o servidor se comunicam.
gerenciamento
Consulte “Para determinar se o cliente está conectado no console” na página 240.
Tarefa Descrição
Ajustar a proteção em Se decidir que os clientes não têm o nível correto de proteção, você poderá ajustar as
computadores-cliente configurações da proteção.
■ Você pode aumentar ou diminuir cada tipo de proteção com base nos resultados
nos relatórios e nos logs.
Consulte “Os tipos de políticas de segurança” na página 313.
Consulte “Sobre os tipos de proteção contra ameaças que o Symantec Endpoint
Protection fornece” na página 48.
■ Você poderá desativar temporariamente a proteção nos computadores-cliente se
precisar diagnosticar um problema ou melhorar o desempenho.
Consulte “Sobre como ativar e desativar a proteção quando você precisar solucionar
problemas” na página 245.
Consulte “Para executar comandos no computador-cliente através do console”
na página 250.
■ Você pode exigir uma senha no cliente.
Consulte “Proteção do cliente por senha” na página 262.
Mover endpoints de um Para mudar o nível de proteção de um computador-cliente, é possível movê-lo para
grupo a outro para modificar um grupo que forneça mais ou menos proteção.
a proteção (opcional)
Consulte “Para mover um computador-cliente para outro grupo” na página 235.
Tarefa Descrição
Deixar que os usuários Você pode especificar o tipo de controle que os usuários têm sobre a proteção em
controlem a proteção do computadores-cliente.
computador (opcional)
■ Para a Proteção contra vírus e spyware e a Proteção proativa contra ameaças, você
pode bloquear ou desbloquear uma caixa de seleção para especificar se os usuários
podem alterar configurações individuais.
Consulte “Para bloquear e desbloquear configurações de política do vírus e de
spyware” na página 320.
■ Para a política de firewall, a política do IPS e para algumas configurações da
interface do usuário do cliente, é possível mudar o nível de controle do usuário
mais geralmente.
Consulte “Alteração do nível de controle do usuário” na página 256.
■ Se usuários precisarem de mais controle do cliente, você poderá instalar um cliente
não gerenciado.
Consulte “Por que eu preciso substituir o arquivo de comunicação servidor-cliente
no computador-cliente?” na página 759.
Remover software-cliente Se um computador não for mais usado e você desejar usar a licença para um
dos computadores computador diferente, poderá excluir o cliente do banco de dados após um determinado
(opcionais) número de dias. Com a exclusão de um cliente, você também pode economizar espaço
no banco de dados.
Ícone Descrição
Ícone Descrição
Ícone Descrição
Você também pode configurar quantos clientes aparecerão em cada página para
facilitar o gerenciamento da lista.
A Tabela 11-3 descreve as razões pelas quais convém desativar cada tecnologia
de proteção.
Proteção contra vírus Se desativar esta proteção, você desativará o Auto-Protect apenas.
e spyware
As verificações agendadas ou de inicialização ainda serão executadas se você ou o usuário
as configuraram para fazer isso.
Você pode ativar ou desativar o Auto-Protect pelas seguintes razões:
Se o Auto-Protect causar um problema com um aplicativo, será melhor criar uma exceção
do que desativar permanentemente a proteção.
Proteção proativa Convém desativar a Proteção proativa contra ameaças pelas seguintes razões:
contra ameaças
■ Você recebe avisos demais sobre ameaças que você sabe que não são ameaças.
■ A Proteção proativa contra ameaças pode tornar mais lento o computador-cliente.
Proteção contra Convém desativar a Proteção contra ameaças à rede pelas seguintes razões:
ameaças à rede
■ Você instala um aplicativo que pode fazer com que o firewall o bloqueie.
■ O firewall ou o Sistema de prevenção contra intrusões causa problemas relacionados à
conectividade da rede.
■ O firewall pode tornar mais lento o computador-cliente.
■ Você não pode abrir um aplicativo.
Se não tiver certeza de que a Proteção contra ameaças à rede está causando o problema,
talvez seja preciso desativar todas as tecnologias de proteção.
Você pode configurar a Proteção contra ameaças à rede de modo que os usuários não possam
ativá-la ou desativá-la. Você pode definir também os seguintes limites para quando e quanto
tempo a proteção será desativada:
Proteção contra Geralmente você deve manter a Proteção contra adulterações ativada.
adulterações
Convém desativar temporariamente a Proteção contra adulterações se você obtiver muitas
detecções de falsos positivos. Por exemplo, alguns aplicativos de terceiros podem fazer as
mudanças que tentam inadvertidamente modificar configurações ou processos da Symantec.
Se você tiver certeza de que um aplicativo é seguro, poderá criar uma exceção da Proteção
contra adulterações para o aplicativo.
Comandos Descrição
Comandos Descrição
DisableRebootCommand REG_DWORD 1
Modo Descrição
Modo Descrição
7 Clique em OK.
8 Clique em OK.
Para exibir a lista de dispositivos não autorizados detectados pelo cliente
1 No console, clique em Início.
2 Na página Início, na seção Status de segurança, clique em Mais detalhes.
3 Na caixa de diálogo Detalhes do status de segurança, encontre a tabela Falhas
desconhecidas no dispositivo.
4 Feche a caixa de diálogo.
Controle do servidor Disponibiliza aos usuários o mínimo de controle sobre o cliente. O controle do servidor
bloqueia as configurações gerenciadas, de modo que os usuários não podem configurá-las.
O controle do servidor apresenta as seguintes características:
■ Os usuários não podem definir nem ativar regras de firewall, configurações específicas
de aplicativos, configurações de firewall e configurações de prevenção contra intrusões,
além dos logs da Proteção contra ameaças à rede e do Gerenciamento do cliente. Você
configura todas as regras de firewall e configurações de segurança para o cliente no
Symantec Endpoint Protection Manager.
■ Os usuários podem exibir logs, o histórico do tráfego do cliente e a lista de aplicativos
que o cliente executa.
■ Você pode definir certas configurações da interface do usuário e notificações do firewall
para que sejam exibidas ou não no cliente. Por exemplo, você pode ocultar a interface
de usuário do cliente.
Os parâmetros que você definir no controle do servidor poderão ser exibidos acinzentados
ou não ser visíveis na interface de usuário do cliente.
Quando você cria um novo local, ele é definido automaticamente ao controle do servidor.
Controle do cliente Disponibiliza aos usuários o máximo de controle sobre o cliente. O controle do cliente
desbloqueia as configurações gerenciadas, de modo que os usuários possam configurá-las.
O controle do cliente apresenta as seguintes características:
As opções que você definir para o controle do cliente estarão disponíveis para o usuário.
Os parâmetros que você definir no controle do servidor poderão ser exibidos acinzentados
ou não ser visíveis na interface de usuário do cliente.
7 Clique em OK.
Consulte “Definição das configurações da interface do usuário” na página 259.
Consulte “Para bloquear e desbloquear configurações de política do vírus e de
spyware” na página 320.
Consulte “Para criar uma política de quarentena para uma verificação de
integridade do host com falha” na página 897.
6 Clique em OK.
7 Clique em OK.
Para definir as configurações da interface do usuário no controle do servidor
1 Altere o nível de controle do usuário para controle misto.
Consulte “Alteração do nível de controle do usuário” na página 256.
2 Na caixa de diálogo Configurações de controle da interface do usuário do
cliente para nome do local, ao lado de Controle do servidor, clique em
Personalizar.
3 Na caixa de diálogo Configurações de interface de usuário do cliente, marque
a caixa de seleção da opção para que ela seja exibida no cliente e usada pelo
usuário.
4 Clique em OK.
5 Clique em OK.
Nota: Após ativar a mensagem para que seja exibida pela primeira vez no
computador-cliente, e o usuário responder com as informações solicitadas, a
mensagem não será exibida novamente. Mesmo se você editar alguns campos ou
desativar e reativar a mensagem, o cliente não mostrará uma nova mensagem.
Porém, o usuário poderá editar as informações em qualquer momento, e o servidor
de gerenciamento recuperará essas informações.
que sempre se conectam remotamente por uma VPN ou clientes que se conectam
pelos vários locais porque os funcionários viajam. Você também pode precisar
gerenciar a segurança de alguns computadores que estão fora de seu controle
administrativo. Por exemplo, pode ser permitido a clientes, prestadores de serviço,
fornecedores ou parceiros de negócios ter acesso limitado à rede. Alguns
funcionários podem conectar-se à sua rede usando seus próprios computadores
pessoais e você pode precisar gerenciar esses clientes diferentemente.
Em todos esses casos, é necessário lidar com alto risco à segurança. As conexões
podem ser menos seguras ou os computadores-cliente podem ser menos seguros
e você pode ter menos controle sobre alguns clientes. Para minimizar esses riscos
à segurança geral da rede, é necessário avaliar os tipos diferentes de acesso remoto
à sua rede que os clientes possuem. Você pode em seguida aplicar políticas de
segurança mais rigorosas com base em sua avaliação.
Para gerenciar os clientes que se conectam à rede de maneira diferente devido
aos riscos à segurança oferecidos, você poderá utilizar a Detecção de local do
Symantec Endpoint Protection&.
Você aplica diferentes políticas aos clientes que oferecem um risco maior à sua
rede com base em seu local. Um local no Symantec Endpoint Protection é definido
como o tipo de conexão que um computador-cliente usa para se conectar à sua
rede. Um local também pode incluir as informações sobre se a conexão está
localizada dentro ou fora da rede da empresa.
Você define locais para um grupo de clientes. Você atribui políticas diferentes a
cada local. Algumas configurações de segurança podem ser atribuídas a todo o
grupo independentemente do local. Algumas configurações são diferentes
dependendo do local.
Tarefa Descrição
Configurar grupos com base na avaliação do risco Consulte “Para gerenciar grupos de
à segurança clientes” na página 221.
Tarefa Descrição
Tarefas Descrição
Tarefas Descrição
Ativar detecção de local Para controlar as políticas que são atribuídas ao contingente de
clientes no local do qual os clientes se conectam, você pode
ativar a detecção de local.
Consulte “Ativação da detecção de local para um cliente”
na página 269.
Atribuir locais padrões Todos os grupos devem ter um local padrão. Quando você
instalar o console, haverá um local apenas, chamado Padrão.
Quando você cria um grupo novo, seu local padrão será sempre
o Padrão. É possível alterar o local padrão mais tarde, após
adicionar outros.
O local padrão é usado se um dos seguintes casos ocorre:
Nota: Você pode ter alguns clientes que usem conexões Ethernet no escritório
enquanto outros usam conexões sem fio. Por este motivo, você define a última
condição no procedimento para clientes sem fio no escritório. Esta condição
permite criar uma política de firewall do local de Ethernet para bloquear todo o
tráfego sem fio quando ambos os tipos das conexões forem usados
simultaneamente.
6 Clique em Concluir.
7 Clique em OK.
8 Em Tarefas, clique em Gerenciar locais e selecione o local que você criou.
9 Ao lado de Alternar para esse local quando, clique em Adicionar e selecione
Critérios E relação.
10 Na caixa de diálogo Especificar critério de local, na lista Tipo, clique em Tipo
de conexão de rede.
11 Clique em Se o computador-cliente não usa o tipo de conexão de rede
especificado abaixo.
12 Na caixa de listagem inferior, selecione o nome do cliente VPN que sua
organização usa e, em seguida, clique em OK.
13 Clique em Adicionar e, em seguida, clique em Critérios E relação.
14 Na caixa de diálogo Especificar critério de local, na lista Tipo, clique em Tipo
de conexão de rede.
15 Clique em Se o computador-cliente usar o tipo de conexão de rede
especificado abaixo.
16 Na caixa de listagem inferior, selecione Ethernet e clique em OK.
17 Clique em OK para sair da caixa de diálogo Gerenciar locais.
Para configurar o local do escritório para os clientes que estão em uma conexão
sem fio
1 Na página Clientes, selecione o grupo ao qual você deseja adicionar um local.
2 Em Tarefas, clique em Adicionar local.
3 No Assistente de Adição de local, clique em Avançar.
4 Digite um nome do local e, opcionalmente, adicione uma descrição e depois
clique em Avançar.
5 Na caixa de listagem, clique em O cliente pode se conectar ao servidor de
gerenciamento e depois clique em Avançar.
6 Clique em Concluir.
7 Clique em OK.
8 Em Tarefas, clique em Gerenciar locais e selecione o local que você criou.
9 Ao lado de Alternar para esse local quando, clique em Adicionar e depois em
Critérios E relação.
10 Na caixa de diálogo Especificar critério de local, na lista Tipo, clique em Tipo
de conexão de rede.
Para gerenciar clientes remotos 277
Configuração de definições de comunicação para um local
Nota: Apenas algumas destas configurações podem ser definidas para clientes
Mac.
Cenário Recomendação
Local remoto onde os ■ Deixe sem alteração todas as regras que bloqueiam o tráfego
usuários fazem logon em todos os adaptadores. Não mude essas regras.
através de uma VPN ■ Deixe sem alteração a regra que permite o tráfego VPN em
todos os adaptadores. Não mude essa regra.
■ Altere a coluna Adaptador de Todos os adaptadores para o
nome do adaptador VPN que você usa para todas as regras que
usam a ação Permitir.
■ Ative a regra que bloqueia todo o tráfego restante.
Cenário Recomendação
Locais de escritório Use sua política de firewall padrão. Para a conexão sem fio,
onde os usuários fazem assegure-se de que a regra para permitir o EAPOL sem fio esteja
logon com as conexões ativada. O 802.1x usa protocolo de autenticação extensível sobre
Ethernet ou sem fio rede local (EAPOL, Extensible Authentication Protocol over LAN)
para a autenticação da conexão.
Tela Descrição
Início > Status do endpoint Exibe se o conteúdo está atualizado ou para ver se alguma proteção está
desativada.
Você pode verificar as seguintes condições do status:
Você pode clicar em Detalhes para ver o status para cada cliente.
Início > Status de segurança Exibe a visão geral de segurança do sistema. Exibe o Resumo de atividades
de vírus e riscos para ver se sua rede está sob ataque.
Você pode clicar em Detalhes para ver o status para cada tecnologia de
proteção de segurança.
Início > Resumo de atividades de vírus Exibe a atividade de vírus e risco detectada e as ações tomadas, como limpo,
e riscos bloqueado, ou colocado em quarentena.
Monitores > Tipo de resumo > Exibe as informações sobre tipos e fontes de ataques.
Proteção contra ameaças à rede
■ Sobre domínios
■ Adição de um domínio
Sobre domínios
Quando você instalar um servidor de gerenciamento, o console do Symantec
Endpoint Protection Manager incluirá um domínio, que é chamado Padrão. Um
domínio é um container estrutural no console usado para organizar uma hierarquia
de grupos, clientes, computadores e políticas. Você configura domínios adicionais
para gerenciar seus recursos de rede.
Figura 13-1 Visão geral dos domínios do Symantec Endpoint Protection Manager
Cliente B
Cliente C
Banco de dados do
SEPM (separado por
https https https domínio e cliente)
Quando você adicionar um domínio, o domínio estará vazio. Você deve configurar
o domínio para que ele seja o domínio atual. Você adiciona então grupos, clientes,
computadores e políticas a esse domínio.
Você pode copiar políticas e clientes de um domínio para outro. Para copiar
políticas entre domínios, exporte a política do domínio de origem e a importe para
o domínio de destino. Para copiar clientes entre domínios, você usa a ferramenta
SylinkDrop. Esta ferramenta substitui o arquivo de comunicação em um cliente
para permitir que o cliente se comunique com um servidor de gerenciamento
diferente.
Você poderá desativar um domínio se não precisar mais dele. Assegure-se de que
não esteja definido como o domínio atual quando você tentar desativá-lo.
Consulte “Adição de um domínio” na página 285.
Consulte “Para recuperar configurações de comunicação do cliente usando a
ferramenta SylinkDrop” na página 828.
Consulte “Para alternar para o domínio atual” na página 285.
Para gerenciar domínios 285
Adição de um domínio
Adição de um domínio
Você cria um domínio para organizar uma hierarquia de grupos, usuários, clientes
e políticas em sua organização. Por exemplo, convém adicionar domínios para
organizar usuários por divisão.
Consulte “Sobre domínios” na página 283.
■ Para exibir as caixas de seleção Lembrar meu nome de usuário e Lembrar minha
senha na tela de logon
Tarefa Descrição
Adicionar contas de Adicionar contas aos administradores que precisam de acesso ao console do Symantec
administrador Endpoint Protection Manager.
Desbloquear ou Por padrão, o Symantec Endpoint Protection Manager bloqueia um administrador depois
bloquear uma conta de que um usuário tenta fazer logon em demasia no Symantec Endpoint Protection Manager
administrador usando a conta de administrador. Você pode especificar estas configurações para aumentar
o número de tentativas ou o tempo que o administrador é bloqueado.
Consulte “Para desbloquear uma conta de administrador após várias tentativas de logon”
na página 109.
Para gerenciar contas de administrador e senhas 289
Sobre funções e direitos de acesso da conta de administrador
Tarefa Descrição
Configurar opções de Você pode configurar as seguintes opções de logon para cada tipo de administrador:
logon para o Symantec
■ Indicar uma mensagem para que os administradores leiam antes que entrem.
Endpoint Protection
Consulte “Para exibir uma mensagem aos administradores antes que façam logon no
Manager
Symantec Endpoint Protection Manager” na página 106.
■ Permitir ou bloquear o acesso de logon ao console de gerenciamento, de modo que
determinados administradores possam ou não fazer logon remotamente.
Consulte “Para permitir ou bloquear o acesso aos consoles remotos do Symantec Endpoint
Protection Manager” na página 107.
■ Por padrão, se um administrador tentar fazer logon no Symantec Endpoint Protection
Manager muitas vezes, ele será bloqueado por 15 minutos. Você pode definir estas
configurações para cada administrador.
Consulte “Para desbloquear uma conta de administrador após várias tentativas de logon”
na página 109.
Função do Responsabilidades
administrador
Função do Responsabilidades
administrador
3 Clique em OK.
4 Na caixa de diálogo Confirmar alteração, digite a senha que você usa para
fazer logon no Symantec Endpoint Protection Manager e clique em OK.
Quando alternar entre métodos de autenticação, você deverá digitar a senha
da conta de administrador.
296 Para gerenciar contas de administrador e senhas
Para mudar o método de autenticação de contas de administrador
Tabela 14-4 Etapas para testar a autenticação de servidor de diretório para uma
conta de administrador
Etapa Adicionar várias conexões Para facilitar o teste para acesso anônimo, adicione pelo menos duas entradas do
1 do servidor de diretório servidor de diretório. Use uma entrada para testar a autenticação e a segunda
entrada para testar o acesso anônimo. Estas entradas usam o mesmo servidor de
diretório com configurações diferentes.
Por padrão, a maioria dos usuários reside em CN=Users a menos que movidos
para unidades organizacionais diferentes. Usuários no servidor de diretório LDAP
são criados em CN=Users, DC=< dominio_de_amostra >, DC=local. Para encontrar
onde um usuário reside no LDAP, use ADSIEdit.
■ CN=John Smith
■ OU=test
■ DC=< dominio_de_amostra >
■ DC=local
O exemplo usa Active Directory padrão LDAP (389) mas pode também usar LDAP
seguro (636).
Etapa Adicionar várias contas Adicione várias contas de administrador do sistema. A conta para acesso anônimo
2 de administrador não usa nome de usuário ou senha.
Nota: Você pode permitir este método de redefinição de senha apenas para as
contas de administrador que são autenticadas usando a autenticação do Symantec
Management Server. Este método não funciona para nenhuma conta de
administrador que seja autenticada usando a autenticação RSA SecurID ou a
autenticação de diretório.
■ Adição de política
Tarefa Descrição
Adicionar política Se você não quiser usar uma das políticas padrão, é possível
adicionar uma política nova.
Tarefa Descrição
Atribuir uma política Para colocar uma política em uso, você deve atribuí-la a um ou
mais grupos ou locais.
Testar uma política A Symantec recomenda que você sempre teste uma política nova
antes de usá-la em um ambiente de produção.
Substituir uma política Você pode substituir uma política compartilhada por outra
política compartilhada. É possível substituir a política
compartilhada em todos os locais ou em apenas um local.
Tarefa Descrição
Copiar e colar uma Em vez de adicionar uma política nova, talvez convenha copiar
política uma política existente para usar como a base da política nova.
Você pode copiar e colar políticas na página Políticas ou na guia
Políticas da página Clientes.
Nota: Você também pode copiar todas as políticas em um grupo
e colá-las em outro grupo, da guia Políticas na página Clientes.
Converter uma política Você pode copiar o conteúdo de uma política compartilhada e
compartilhada em uma criar uma política não compartilhada desse conteúdo.
política não
Consulte “Sobre políticas compartilhadas e não compartilhadas”
compartilhada
na página 316.
Exportar e importar uma Você poderá exportar uma política existente se quiser usá-la em
política outro site ou servidor de gerenciamento. Você pode, em seguida,
importar a política e aplicá-la a um grupo ou local específico.
Tarefa Descrição
Retirar uma política Se você excluir uma política, o Symantec Endpoint Protection
removerá a política do banco de dados. Se você não desejar
excluir uma política, mas não quiser mais usá-la, a política
poderá ser retirada.
Excluir uma política Se uma política for atribuída a um ou mais grupos e locais, você
não poderá excluí-la até que a desassocie de todos os grupos e
locais. Você também pode substituir a política por outra política
Verificar se o cliente tem Você pode verificar se o cliente tem a política mais recente. Se
a política mais recente não, você poderá manualmente atualizar a política no cliente.
Consulte “Para copiar e colar uma política na página Clientes ” na página 319.
■ Importe uma política que foi exportada previamente de outro site.
Consulte “Para exportar e importar políticas individuais” na página 324.
Consulte “Para executar as tarefas comuns a todas as políticas de segurança”
na página 310.
Consulte “Conversão de uma política compartilhada em uma política não
compartilhada ” na página 326.
Adição de política
O Symantec Endpoint Protection Manager vem com uma política padrão para
cada tipo de proteção. Se você precisar personalizar uma política, adicione-a e
edite-a. Você pode criar várias versões de cada tipo de política.
A Symantec recomenda que você teste todas as novas política antes de usá-las em
um ambiente de produção.
Para adicionar uma nova política
1 No console, clique em Políticas.
2 Na página Políticas, selecione um tipo de política e clique no link para
adicionar uma política nova.
3 Modifique as configurações da política para aumentar ou diminuir a proteção.
4 Clique em OK para salvar a política.
5 Opcionalmente, atribua a política nova a um grupo.
Você pode atribuir uma política nova a um grupo durante ou após a criação
de políticas. A política nova substitui a política atualmente atribuída do mesmo
tipo de proteção.
Consulte “Atribuição de uma política a um grupo” na página 321.
Consulte “Para testar uma política” na página 322.
Consulte “Para executar as tarefas comuns a todas as políticas de segurança”
na página 310.
8 Você pode clicar em um link para obter o tipo de política que deseja editar.
■ Você exporta e importa uma política de cada vez. Ao exportar um arquivo, você
o importa e aplica a um grupo ou somente a um local. É possível exportar uma
política compartilhada ou não compartilhada para um local específico na página
Clientes.
■ Você exporta e importa todas as políticas usando o arquivo de propriedades
do servidor. O arquivo de propriedades do servidor inclui todas as políticas,
locais e configurações do servidor. A Symantec recomenda este método se você
fizer o upgrade de uma versão legada do servidor de gerenciamento para a
versão atual do servidor de gerenciamento.
Consulte “Exportação e importação de configurações do servidor” na página 779.
Consulte “Para executar as tarefas comuns a todas as políticas de segurança”
na página 310.
Para exportar uma única política da página Políticas
1 No console, clique em Políticas.
2 Na página Políticas, em Políticas, clique no tipo de política que você deseja
exportar.
3 No painel Políticas tipo de política, clique na política específica que deseja
exportar.
4 Na página Políticas, em Tarefas, clique em Exportar a política.
5 Na caixa de diálogo Exportar política, localize a pasta para onde deseja
exportar o arquivo de políticas e clique em Exportar.
Para exportar uma política compartilhada ou não compartilhada da página Clientes
1 No console, clique em Clientes.
2 Em Clientes, selecione o grupo para o qual você quer exportar uma política.
3 Na guia Políticas, desmarque Herdar políticas e configurações do grupo pai
"nome do grupo".
Você deve desativar a herança para este grupo. Se você não desmarcar herança,
não poderá exportar uma política.
4 Em Políticas e configurações específicas do local, role a barra de rolagem
para encontrar o nome do local cuja política deseja exportar.
5 Localize a política específica para o local que deseja exportar.
6 À direita da política, clique em Tarefas e clique em Exportar política.
7 Na caixa de diálogo Exportar política, procure a pasta para a qual deseja
exportar a política.
8 Na caixa de diálogo Exportar política, clique em Exportar.
326 Para usar políticas para gerenciar a segurança
Conversão de uma política compartilhada em uma política não compartilhada
Nota: Você deve retirar ou substituir uma política de todos os grupos e locais antes
que possa excluí-la.
Você pode retirar todas as políticas na página Políticas de um local ou grupo com
exceção das seguintes políticas:
■ Proteção contra vírus e spyware
■ Configurações do LiveUpdate
Você pode apenas substituí-las por outra Política de proteção contra vírus e
spyware ou Política do LiveUpdate.
Consulte “Substituição de uma política” na página 323.
Consulte “Atribuição de uma política a um grupo” na página 321.
Para retirar uma política compartilhada na página Políticas
1 No console, clique em Políticas.
2 Na página Políticas, em Políticas, clique no tipo de política que deseja retirar.
3 No painel Políticas tipo de política, clique na política específica que você
deseja retirar.
4 Na página Políticas, em Tarefas, clique em Retirar a política.
328 Para usar políticas para gerenciar a segurança
Como os computadores-cliente obtêm atualizações da política
8 Clique em OK.
Para especificar o Modo de envio ou o Modo de instalação pull para um local
1 No console, clique em Clientes.
2 Em Clientes, selecione o grupo para o qual você deseja especificar para enviar
ou receber políticas.
3 Clique em Políticas.
4 Desmarque o "nome de grupo" Herdar políticas e configuração do grupo
pai.
Para usar políticas para gerenciar a segurança 331
Para usar o número de série da política para verificar a comunicação cliente-servidor
9 Clique em OK.
Consulte “Para executar as tarefas comuns a todas as políticas de segurança”
na página 310.
Etapas Descrição
Como procurar Você pode usar uma ferramenta de consulta para pesquisar a
aplicativos lista de aplicativos executados pelos computadores-cliente. Você
pode pesquisar critérios com base no aplicativo ou no
computador. Por exemplo, você pode descobrir a versão do
Internet Explorer que cada computador-cliente usa.
Nota: Em alguns países, pode não ser permitido pelas leis locais usar a ferramenta
de aplicativos conhecidos em determinadas circunstâncias, como para obter
informações de uso do aplicativo através de um laptop quando o funcionário se
registrar na rede do seu escritório em sua residência usando um laptop. Antes de
usar essa ferramenta, confirme se o uso é permitido para os seus fins na sua
jurisdição. Se não for permitido, siga as instruções para desativar a ferramenta.
Para usar políticas para gerenciar a segurança 335
Para monitorar os aplicativos e serviços executados em computadores-cliente
Você também pode configurar uma notificação para ser enviada a seu endereço
de e-mail quando cada cliente em um grupo ou local executar um aplicativo.
Consulte “Configuração de notificações do administrador” na página 699.
Nota: É possível modificar essa configuração somente para os subgrupos que não
herdaram as políticas e configurações de um grupo pai.
Nota: As informações na caixa Pesquisar não são recolhidas até que você ative os
recursos que controlam todos os aplicativos executados pelos clientes. Você pode
acessar a página Clientes, na caixa de diálogo Configurações de comunicação,
para cada grupo ou local para ativar este recurso.
Tarefa Descrição
Certificar-se de que seus Todos os computadores em sua rede e todos os seus servidores devem ter o
computadores tenham o Symantec Endpoint Protection instalado. Certifique-se de que o Symantec
Symantec Endpoint Protection Endpoint Protection esteja funcionando corretamente.
instalado
Manter as definições atuais Certifique-se de que as definições mais recentes estejam instaladas nos
computadores-cliente.
Você pode verificar a data das definições na guia Clientes. Você pode executar
um comando para atualizar as definições desatualizadas.
Tarefa Descrição
Executar verificações regulares Por padrão, o Auto-Protect e o SONAR são executados nos computadores-cliente.
Uma verificação ativa padrão agendada também é executada em
computadores-cliente.
Você pode executar verificações sob demanda. Você pode personalizar as
configurações da verificação.
Você deve certificar-se de que esteja executando uma verificação ativa diariamente
nos computadores em sua rede. Recomenda-se agendar uma verificação completa
semanal ou mensal se você suspeitar que tenha uma ameaça inativa em sua rede.
As verificações completas consomem mais recursos do computador e podem
afetar seu desempenho.
Verificar ou modificar Por padrão, as verificações de vírus e spyware detectam, removem e reparam os
configurações para oferecer mais efeitos colaterais de vírus e riscos à segurança.
proteção
As configurações padrão da verificação otimizam o desempenho dos
computadores-cliente fornecendo um alto nível de proteção. Você pode aumentar
o nível de proteção, porém.
Permitir que os clientes enviem Os clientes podem enviar informações sobre as detecções à Symantec. As
informações sobre as detecções informações enviadas ajudam a Symantec a lidar com as ameaças.
à Symantec
Consulte “Ativação ou desativação de envios de clientes para o Symantec Security
Response” na página 387.
342 Para gerenciar a proteção contra vírus e spyware
Correção de riscos nos computadores de sua rede
Tarefa Descrição
Executar a prevenção contra A Symantec recomenda que você execute a prevenção contra intrusões em seus
intrusões computadores-cliente assim como a proteção contra vírus e spyware.
Consulte “Para gerenciar a prevenção contra intrusões em seu
computador-cliente” na página 501.
Corrigir infecções, caso Depois que as verificações são executadas, os computadores-cliente podem ainda
necessário ter infecções. Por exemplo, uma nova ameaça pode não ter uma assinatura, ou o
Symantec Endpoint Protection não foi capaz de remover completamente a ameaça.
Em alguns casos os computadores-cliente exigem uma reinicialização para que
o Symantec Endpoint Protection conclua o processo de limpeza.
Etapa Identificar Você pode obter informações sobre computadores infectados e em risco através
1 computadores do Symantec Endpoint Protection Manager. Na home page, verifique os totais de
infectados e em risco Infectado recentemente e Ainda infectado em Resumo de atividades de vírus e
riscos. O total de Infectado(s) recentemente é um subconjunto do total de Ainda
infectado(s). O total de Infectado(s) recentemente mostra o número de
computadores infectados e em risco durante o intervalo de tempo especificado no
resumo.
Nota: As detecções não corrigidas do SONAR não são incluídas no total de Ainda
infectado. Elas fazem parte do total de Suspeito no resumo.
Etapa Atualizar definições e Você deve certificar-se de que os clientes usam as definições mais recentes.
2 verificar novamente
Para os clientes executados em computadores Windows, é necessário também
certificar-se de que suas verificações agendadas e sob demanda usem o recurso
Pesquisa do Insight.
Etapa Verificar ações da As verificações podem ser configuradas para não fazer nada com o risco. Convém
3 verificação e verificar editar a Política de proteção contra vírus e spyware e alterar a ação para a categoria
novamente do risco. Na próxima vez em que a verificação for executada, o Symantec Endpoint
Protection aplicará a ação nova.
Você define a ação na guia Ações para o tipo específico de verificação (verificação
definida pelo administrador ou sob demanda ou Auto-Protect). Você também pode
mudar a ação de detecção do Download Insight e do SONAR.
Etapa Reiniciar computadores Alguns computadores podem ainda estar vulneráveis ou infectados porque precisam
4 caso necessário para ser reiniciados para concluir a correção de um vírus ou risco à segurança.
concluir a correção
Você pode exibir o Log de riscos para determinar se algum computador exige a
reinicialização.
Etapa Investigar e limpar Se algum risco permanecer, será necessário investigá-lo mais.
5 riscos restantes
Você pode consultar as páginas da Web do Symantec Security Response para obter
informações atualizadas sobre vírus e riscos à segurança.
http://www.symantec.com/pt/br/security_response/
Etapa Verificar o log de status Exiba o log de status do computador para verificar se os riscos são corrigidos ou
6 do computador removidos dos computadores-cliente.
Para obter mais informações sobre como controlar vírus e epidemias em uma rede,
consulte o artigo da base de conhecimento, Best practices for troubleshooting
viruses on a network (em inglês).
Consulte “Para impedir e controlar ataques de vírus e spyware nos
computadores-cliente” na página 340.
Consulte “Monitoração da proteção de endpoints” na página 657.
Tarefa Descrição
Examinar os tipos de verificações Verifique suas configurações de verificação. Você pode verificar os padrões e
e configurações padrão determinar se deseja fazer alterações.
Criar verificações agendadas e As verificações agendadas e verificações sob demanda são utilizadas para
executar verificações sob suplementar a proteção fornecida pelo Auto-Protect. O Auto-Protect oferece
demanda proteção ao ler e gravar arquivos. As verificações agendadas e verificações sob
demanda podem verificar qualquer arquivo existente nos computadores-cliente.
Elas também podem proteger a memória, pontos de carga e outros locais
importantes nos computadores-cliente.
Nota: No caso de clientes gerenciados, o Symantec Endpoint Protection oferece
uma verificação agendada padrão que verifica todos os arquivos, as pastas e os
locais em computadores-cliente.
Personalizar configurações da Você pode personalizar as configurações do Auto-Protect assim como as opções
verificação para seu ambiente em verificações definidas pelo administrador. Convém alterar as configurações
da verificação para controlar detecções de falsos positivos, otimizar o desempenho
da verificação ou do computador ou alterar ações ou notificações da verificação.
Para verificações agendadas, você também pode definir opções para verificações
perdidas, verificações escolhidas aleatoriamente e se as unidades de rede devem
ser verificadas ou não.
Tarefa Descrição
Ajustar verificações que para Por padrão, o Symantec Endpoint Protection fornece um alto nível de segurança
melhorar o desempenho do e minimiza o efeito no desempenho dos computadores-cliente. Você pode alterar
computador-cliente algumas configurações, porém, para otimizar ainda mais o desempenho do
computador. A otimização é importante em ambientes virtualizados.
Nota: Quando você ajustar as configurações para otimizar o desempenho do
computador-cliente, poderá diminuir a segurança em seus computadores-cliente.
Gerenciar detecções do Download O Download Insight verifica arquivos que os usuários tentam obter por download
Insight através de navegadores da Web, clientes de mensagem de texto e outros portais.
O Download Insight usa informações de reputação do Symantec Insight para
tomar decisões sobre arquivos.
Gerenciar o SONAR O SONAR faz parte da proteção proativa contra ameaças em seus
computadores-cliente. No entanto, as configurações do SONAR fazem parte de
uma política de proteção contra vírus e spyware.
Consulte “Para gerenciar o SONAR” na página 431.
Configurar exceções para Você pode criar exceções para os arquivos e aplicativos que você sabe que são
verificações seguros.
Gerenciar arquivos em Você pode monitorar e excluir os arquivos colocados em quarentena em seus
quarentena computadores-cliente.
Tarefa Descrição
Permitir que os clientes enviem Por padrão, os clientes enviam informações sobre as detecções à Symantec. Você
informações sobre as detecções pode desativar os envios ou escolher quais tipos de informações que os clientes
à Symantec enviam.
A Symantec recomenda que você sempre permita que os clientes realizem os
envios. As informações ajudam a Symantec a lidar com as ameaças.
Gerenciar as notificações de vírus Você pode decidir se as notificações aparecem nos computadores-cliente para
e spyware que aparecem nos eventos de vírus e spyware.
computadores-cliente
Consulte “Para gerenciar as notificações de vírus e spyware que aparecem nos
computadores-cliente” na página 396.
Você deve certificar-se de que esteja executando uma verificação ativa diariamente
nos computadores em sua rede. Recomenda-se agendar uma verificação completa
semanal ou mensal se você suspeitar que tenha uma ameaça inativa em sua rede.
As verificações completas consomem mais recursos do computador e podem afetar
seu desempenho.
Consulte “Para gerenciar verificações em computadores-cliente” na página 346.
350 Para gerenciar a proteção contra vírus e spyware
Para gerenciar verificações em computadores-cliente
Consulte “Como o Symantec Endpoint Protection usa os dados de reputação para tomar
decisões sobre arquivos” na página 382.
Para gerenciar a proteção contra vírus e spyware 351
Para gerenciar verificações em computadores-cliente
Verificações definidas As verificações definidas pelo administrador detectam vírus e riscos à segurança
pelo administrador examinando todos os arquivos e processos no computador-cliente. As verificações definidas
pelo administrador podem também verificar a memória e os pontos de carregamento.
Os seguintes tipos de verificações definidos pelo administrador estão disponíveis:
■ Verificações agendadas
Uma verificação agendada é executada nos computadores-cliente em horários
designados. Todas as verificações agendadas simultaneamente são executadas em
sequência. Se um computador estiver desativado ou no modo de hibernação ou de
suspensão durante uma verificação agendada, a verificação não será executada a
menos que esteja configurada para repetir verificações perdidas. Quando o computador
for inicializado ou ativado, o Symantec Endpoint Protection repetirá a verificação até
que a verificação inicie ou o intervalo de nova tentativa expirará. É possível agendar
uma verificação ativa, completa ou personalizada.
Nota: Apenas as verificações personalizadas estão disponíveis para clientes Mac.
Você pode salvar as configurações da verificação agendada como um modelo. Você
pode usar qualquer verificação salva como modelo como base para uma verificação
diferente. Os modelos de verificação poderão economizar tempo quando você
configurar várias políticas. Um modelo de verificação agendada é incluído na política
por padrão. A verificação agendada padrão verifica todos os arquivos e diretórios.
■ Verificações de inicialização e verificações acionadas
As verificações de inicialização serão executadas quando os usuários fizerem logon
nos computadores. As verificações acionadas serão executadas quando for feito o
download de novas definições de vírus nos computadores.
Nota: As verificações de inicialização e as verificações acionadas estão disponíveis
apenas para clientes Windows.
■ Verificações sob demanda
As verificações sob demanda são as verificações executadas imediatamente quando
você seleciona o comando de verificação no Symantec Endpoint Protection Manager.
Você pode selecionar o comando na guia Clientes ou através dos logs.
SONAR O SONAR oferece proteção em tempo real contra ataques de dia zero. O SONAR pode
interromper ataques mesmo antes que as definições tradicionais baseadas em assinaturas
detectem uma ameaça. O SONAR usa heurística assim como os dados de reputação de um
arquivo para tomar decisões sobre aplicativos ou arquivos.
Verificações proativas Suportado em computadores Windows que executam o Symantec Endpoint Protection
contra ameaças TruScan versão 11.x. O SONAR não é suportado em nenhum computador que execute a versão
11.x.
As verificações proativas contra ameaças TruScan fornecem proteção a clientes legados
contra ataques de dia zero. As verificações proativas contra ameaças TruScan determinam
se um aplicativo ou processo apresenta características de ameaças conhecidas. Estas
verificações detectam Cavalos de Troia, worms, keyloggers, adware e spyware e aplicativos
usados para finalidades maliciosas.
Início antecipado do Funciona com o driver do início antecipado do antimalware do Windows. Suportado
antimalware (ELAM, somente no Windows 8.
Early launch
O início antecipado do antimalware fornece proteção para os computadores em sua rede
anti-malware)
quando eles iniciam e antes que drivers de terceiros inicializem.
Auto-Protect Verifica continuamente os arquivos à medida que eles são lidos ou gravados
no computador-cliente.
Para os clientes Mac ou Windows que não executam o Auto Protect para
e-mail, seus computadores-cliente ainda serão protegidos quando o
Auto-Protect for ativado. A maioria dos aplicativos de e-mail salva anexos
em uma pasta temporária quando os usuários iniciam anexos de e-mail. O
Auto-Protect verifica o arquivo enquanto ele é gravado na pasta temporária
e detecta qualquer vírus ou risco à segurança. O Auto-Protect também
detectará o vírus se o usuário tentar salvar um anexo infectado em uma
unidade local ou unidade da rede.
Auto-Protect para e-mail da Internet Verifica e-mails (POP3 ou SMTP) e anexos da Internet em busca de vírus e
riscos à segurança; executa também a verificação da heurística de e-mails
de saída.
Auto-Protect do Microsoft Outlook Verifica e-mail (MAPI e Internet) e anexos do Microsoft Outlook em busca
de vírus e riscos à segurança.
Suportado para Microsoft Outlook 98/2000/2002/2003/2007/2010 (MAPI
e Internet).
Auto-Protect do Lotus Notes Verifica e-mail e anexos do Lotus Notes em busca de vírus e riscos à
segurança.
Risco Descrição
Risco Descrição
Ferramentas para Programas que hackers usam para ganhar o acesso não autorizado
hackers ao computador de um usuário. Um exemplo de ferramenta para
hackers é o keylogger, que rastreia e registra cada tecla
pressionada e envia essas informações para o hacker. Assim, o
hacker será capaz de verificar as portas ou as vulnerabilidades
dos computadores alheios. As ferramentas para hackers também
podem ser usadas para criar vírus.
Ferramenta de Programas que são usados para coletar informações para acesso
avaliação de segurança não autorizado a um computador.
Nota: O cliente não exclui as verificações das pastas temporárias do sistema porque
assim a segurança do computador pode ficar muito vulnerável.
Aviso: Os arquivos ou as pastas que você exclui das verificações não serão
protegidos contra vírus e riscos à segurança.
Arquivos Descrição
■ Exchange 5,5
■ Exchange 6.0
■ Exchange 2000
■ Exchange 2003
■ Exchange 2007
■ Exchange 2007 SP1.
■ Exchange 2010
Microsoft Forefront O cliente cria automaticamente exclusões de arquivo e pasta para os seguintes
produtos do Microsoft Forefront:
Controlador de domínio do O cliente cria automaticamente exclusões de arquivos e pastas para o banco de dados,
Active Directory os logs e os arquivos de trabalho do controlador de domínio do Active Directory. O
cliente monitora os aplicativos que são instalados no computador-cliente. Se o software
detecta o Active Directory no computador-cliente, ele cria automaticamente as
exclusões.
Para gerenciar a proteção contra vírus e spyware 359
Para gerenciar verificações em computadores-cliente
Arquivos Descrição
■ Symantec Mail Security 4.0, 4.5, 4.6, 5.0 e 6.0 para Microsoft Exchange
■ Symantec AntiVirus/Filtering 3.0 para Microsoft Exchange
■ Norton AntiVirus 2.x para Microsoft Exchange
■ Banco de dados e logs integrados do Symantec Endpoint Protection Manager
Extensões selecionadas e Para cada tipo de verificação definida pelo administrador ou Auto-Protect, é possível
pastas Microsoft selecionar arquivos a serem incluídos por extensão. Para verificações definidas pelo
administrador, também é possível selecionar arquivos para incluir por pasta. Por
exemplo, pode-se especificar que uma verificação agendada verifique apenas
determinadas extensões e que o Auto-Protect verifique todas as extensões.
A Symantec não recomenda que você exclua nenhuma extensão das verificações. Se
você decidir excluir arquivos por extensão e qualquer pasta Microsoft, porém, é
necessário considerar a quantidade de proteção que sua rede exige. Você também
deve considerar a quantidade de tempo e os recursos que seus computadores-cliente
exigem para concluir as verificações.
Nota: Todas as extensões de arquivo que você excluir das verificações do Auto-Protect
do sistema de arquivos também excluem as extensões do Download Insight. Se você
estiver executando o Download Insight, será necessário incluir extensões para
programas e documentos comuns na lista de extensões que deseja verificar. Você
também deve certificar-se de verificar arquivos .msi.
360 Para gerenciar a proteção contra vírus e spyware
Para gerenciar verificações em computadores-cliente
Arquivos Descrição
Exceções de arquivos e Você usa uma Política de exceções para criar exceções para os arquivos ou as pastas
pastas que deseja que o Symantec Endpoint Protection exclua de todas as verificações de
vírus e spyware.
Nota: Por padrão, os usuários em computadores-cliente também podem criar exceções
de arquivo e de pasta.
Por exemplo, é recomendável criar exclusões de arquivo para uma caixa de entrada
do aplicativo de e-mail.
Arquivos confiáveis As verificações de vírus e spyware incluem um recurso chamado Insight que permite
que arquivos confiáveis sejam ignorados pelas verificações. Você pode escolher o
nível de confiança para os arquivos que deseja ignorar ou pode desativar a opção. Se
você desativar a opção, será possível aumentar o tempo da verificação.
O Auto-Protect também pode ignorar os arquivos que são acessados por processos
confiáveis, como o Windows Search.
Configuração Descrição
Configuração Descrição
Configuração Descrição
Configuração Descrição
Auto-Protect do
Microsoft Outlook
Auto-Protect do Lotus
Notes
Configuração Descrição
Verificações definidas Igual à política de proteção contra vírus e spyware, exceto pela
pelo administrador seguinte configuração:
■ A Pesquisa do Insight está definida no nível 1.
Detecção Descrição
Detecção Descrição
Riscos à segurança Por padrão, o cliente move todos os arquivos que os riscos
à segurança infectam para a Quarentena no computador
infectado. O cliente também tenta remover ou reparar os
efeitos colaterais do risco.
As detecções feitas pelo SONAR são consideradas eventos suspeitos. Você configura
ações para essas detecções como parte da configuração do SONAR.
Consulte “Para gerenciar o SONAR” na página 431.
Para computadores-cliente Windows, é possível atribuir uma primeira e segunda
ação para o Symantec Endpoint Protection realizar quando encontra riscos. Você
pode configurar ações diferentes para vírus e riscos à segurança. Você pode usar
ações diferentes para verificações agendadas, sob demanda ou do Auto-Protect.
Nota: Nos computadores-cliente Windows, a lista dos tipos de detecção para riscos
à segurança é dinâmica e muda à medida que a Symantec descobre categorias
novas. É feito o download de novas categorias para o console ou para o
computador-cliente quando novas definições chegam.
Clique em Ajuda para obter mais informações sobre as opções usadas nesse
procedimento.
Para configurar as verificações agendadas executadas em computadores Windows
1 No console, abra uma política de proteção contra vírus e spyware.
2 Em Configurações Windows, clique em Verificações definidas pelo
administrador.
3 Na guia Verificações, em Verificações agendadas, clique em Adicionar.
4 Na caixa de diálogo Adicionar verificação agendada, clique em Criar uma
nova verificação agendada.
5 Clique em OK.
6 Na caixa de diálogo Adicionar verificação agendada, na guia Detalhes da
verificação, digite um nome e uma descrição para essa verificação agendada.
7 Clique em Verificação ativa, Verificação completa ou Verificação
personalizada.
8 Se tiver selecionado Personalizada, em Verificação, você poderá especificar
os diretórios que deseja verificar.
9 Em Tipos de arquivo, clique em Verificar todos os arquivos ou Verificar
apenas extensões selecionadas.
Você pode executar uma verificação sob demanda do log Status do computador
ou da guia Clientes no console.
É possível cancelar todas as verificações em andamento e em fila para clientes
selecionados no log Status do computador. Se você confirmar o comando, a tabela
Para gerenciar a proteção contra vírus e spyware 371
Para ajustar as verificações para melhorar o desempenho do computador
será atualizada e você poderá ver que o comando cancelar é adicionado à tabela
de status do comando.
Consulte “Para executar comandos através do log de status do computador”
na página 685.
Consulte “Sobre comandos que você pode executar em computadores-cliente”
na página 247.
Para executar uma verificação sob demanda em computadores-cliente
1 No console do Symantec Endpoint Protection Manager, clique em Clientes.
2 Em Clientes, clique com o botão direito do mouse nos clientes ou no grupo
que deseja verificar.
3 Realize uma das seguintes ações:
■ Clique em Executar comando no grupo > Verificar.
■ Clique em Executar comando nos clientes > Verificar.
Tarefa Descrição
Modificar opções de ajuste e de Você pode ajustar as seguintes opções para verificações agendadas e sob demanda:
arquivos compactados para
■ Alterar opções de ajuste
verificações agendadas e sob
Você pode alterar o ajuste de verificação para Melhor desempenho de
demanda
aplicativos. Quando você configurar uma verificação com esta configuração,
ela poderá ser iniciada, mas apenas serão executadas quando o
computador-cliente estiver ocioso. Se você configurar uma verificação ativa
para ser executada quando novas definições chegarem, ela poderá não ser
executada por até 15 minutos se o usuário estiver usando o computador.
■ Altere a quantidade de níveis para a verificação de arquivos compactados
O nível padrão é 3. Convém alterar o nível para 1 ou 2 para reduzir o tempo
de verificação.
Usar verificações de retorno Para os computadores em sua rede que têm grandes volumes, as verificações
agendadas podem ser configuradas como verificações de retorno.
Tarefa Descrição
Ajustar configurações do Você pode ajustar algumas configurações para verificações do Auto-Protect do
Auto-Protect sistema de arquivos que podem melhorar o desempenho de seus
computadores-cliente.
Você pode definir as seguintes opções:
■ Cache de arquivos
Certifique-se de que o cache de arquivo esteja ativado (o padrão é ativado).
Quando o cache de arquivo estiver ativado, o Auto-Protect memorizará os
arquivos limpos que verificou e não os verificará novamente.
■ Configurações de rede
Quando as verificações do Auto-Protect em computadores remotos forem
ativadas, certifique-se de que Apenas quando os arquivos forem executados
esteja ativado.
Permitir todas as verificações As verificações de vírus e spyware incluem uma opção chamada Insight que ignora
para ignorar arquivos confiáveis arquivos confiáveis. o Insight está ativado por padrão. Você pode alterar o nível
de confiança para os tipos de arquivos que as verificações ignoram:
Escolher verificações agendadas Em ambientes virtualizados, onde várias máquinas virtuais (VMs) são
aleatoriamente implementadas, verificações simultâneas criam problemas de recursos. Por
exemplo, um único servidor pode executar 100 ou mais VMs. As verificações
simultâneas nessas VMs drenam recursos no servidor.
Tarefa Descrição
Desativar a detecção do início O ELAM do Symantec Endpoint Protection funciona com o ELAM do Windows
antecipado do antimalware para fornecer proteção contra drivers maliciosos de inicialização.
(ELAM, Early launch
Consulte “Para gerenciar detecções do início antecipado do antimalware (ELAM,
anti-malware)
Early launch anti-malware)” na página 400.
Tarefa Descrição
Tarefa Descrição
Tarefa Descrição
Tarefa Descrição
Tarefa Descrição
Tarefa Descrição
O Download Insight determina que um arquivo obtido por download pode ser um
risco com base em evidências sobre a reputação do arquivo. O Download Insight
é suportado apenas para os clientes executados em computadores Windows.
Tarefa Descrição
Saber como o Download Insight O Download Insight usa as informações de reputação exclusivamente quando
usa dados de reputação para toma decisões sobre arquivos obtidos por download. Ele não usa assinaturas ou
tomar decisões sobre arquivos heurística para tomar decisões. Se o Download Insight permitir um arquivo, o
Auto-Protect ou o SONAR verificará o arquivo quando o usuário abrir ou executar
o arquivo.
Tarefa Descrição
Exibir o relatório da distribuição Você pode usar o relatório da distribuição de risco de download para exibir os
de risco de download para arquivos que o Download Insight detectar em seus computadores-cliente. Você
visualizar as detecções do pode classificar o relatório por URL, domínio da Web ou aplicativo. Você também
Download Insight poderá ver se um usuário optar por permitir um arquivo detectado.
Nota: Os detalhes do risco para uma detecção do Download Insight mostram
apenas o primeiro aplicativo do portal que tentou o download. Por exemplo, um
usuário pode usar o Internet Explorer para tentar fazer o download de um arquivo
que o Download Insight detecta. Se o usuário usar em seguida o Firefox para
tentar fazer o download do arquivo, os detalhes do risco mostrarão o Internet
Explorer como o portal.
Tarefa Descrição
Criar exceções para arquivos ou Você pode criar uma exceção para um aplicativo que seus usuários obtêm por
domínios da Web específicos download. Você também pode criar uma exceção para um domínio específico da
Web que você acredite ser confiável.
Consulte “Para especificar como o Symantec Endpoint Protection gerencia
aplicativos monitorados” na página 585.
■ How to test connectivity to Insight and Symantec licensing servers (em inglês)
■ Required exclusions for proxy servers to allow Symantec Endpoint Protection
to connect to Symantec reputation and licensing servers (em inglês)
Por padrão, o Download Insight não examina arquivos que os usuários obtêm por
download de um site confiável da Internet ou da intranet. Você configura sites
confiáveis e sites locais confiáveis da intranet na guia Painel de controle do
Windows > Opções da Internet > Segurança. Quando a opção Confiar
automaticamente em qualquer arquivo obtido por download em um site da
intranet estiver ativada, o Symantec Endpoint Protection permitirá qualquer
arquivo que um usuário transferir por download de qualquer sites nas listas.
Certificar-se de que as buscas do O Download Insight exige dados de reputação do Symantec Insight para tomar
Insight estejam ativadas decisões sobre arquivos. Se você desativar as buscas do Insight, o Download
Insight será executado, mas detectará apenas os arquivos com as piores
reputações. As buscas do Insight são ativadas por padrão.
Tarefa Descrição
Tarefa Descrição
Permitir que os clientes enviem Por padrão, os clientes enviam informações sobre detecções de reputação para a
informações sobre as detecções Symantec.
de reputação à Symantec
A Symantec recomenda que você ative os envios para detecções de reputação. As
informações ajudam a Symantec a lidar com as ameaças.
Prevenção contra intrusão no A proteção de download deve estar instalada. O Download Insight pode
navegador estar ativado ou desativado.
Exceção de domínio Web confiável A exceção será aplicada somente se a Proteção de download estiver
instalada.
Nota: Os clientes não gerenciados exigem uma licença paga para ativar o
envio de dados de reputação do arquivo.
Consulte “Para licenciar um cliente não gerenciado” na página 130.
■ Detecções antivírus
Informações sobre detecções de verificação de vírus e spyware.
■ Detecções heurísticas avançadas do antivírus
Informações sobre as possíveis ameaças que são detectadas pelo
Bloodhound e pela outra heurística de verificação de vírus e spyware.
Estas detecções são as detecções silenciosas que não aparecem no log de
riscos. As informações sobre essas detecções são usadas para fins de análise
estatística.
■ Detecções do SONAR
Informações sobre as ameaças que o SONAR detecta, que incluem detecções
de alto ou baixo risco, eventos de alteração de sistema e comportamento
suspeito dos aplicativos confiáveis.
■ Heurística do SONAR
As detecções heurísticas do SONAR são detecções silenciosas que não
aparecem no Log de riscos. Essas informações são usadas para fins de
análise estatística.
Tarefa Descrição
Monitorar arquivos na Você deve verificar periodicamente os arquivos em quarentena para impedir o acúmulo
quarentena de um grande número de arquivos. Verifique os arquivos em quarentena quando
aparecer uma nova epidemia de vírus na rede.
Excluir arquivos na Você poderá excluir um arquivo em quarentena se um backup existir ou se tiver uma
quarentena cópia do arquivo de uma origem confiável.
Consulte “Para usar o Log de riscos para excluir arquivos em quarentena em seu
computador-cliente” na página 395.
Configurar como o Symantec Por padrão, o Symantec Endpoint Protection verifica novamente os itens na
Endpoint Protection quarentena quando definições novas chegam. Ele automaticamente repara e restaura
verificará novamente os itens itens silenciosamente. Normalmente, você deve manter a configuração padrão, mas
na quarentena quando é possível mudar a ação da nova verificação com base em suas necessidades.
chegarem definições novas
Consulte “Configuração de como a quarentena controla a nova verificação dos arquivos
depois que as definições novas são recebidas” na página 395.
392 Para gerenciar a proteção contra vírus e spyware
Para gerenciar a quarentena
Tarefa Descrição
Especificar como os clientes O Symantec Endpoint Protection permite que usuários enviem arquivos infectados
enviam as informações sobre ou suspeitos e os efeitos colaterais relacionados para o Symantec Security Response
itens em quarentena para uma análise mais detalhada. Quando os usuários enviam as informações, a
Symantec pode fazer uma detecção e um reparo mais detalhados.
Gerenciar o armazenamento Por padrão, a quarentena armazena arquivos de backup, reparados e em quarentena
de arquivos em quarentena em uma pasta padrão. Ela exclui automaticamente os arquivos após 30 dias.
Você pode gerenciar o armazenamento dos itens em quarentena das seguintes
maneiras:
■ Especifique uma pasta local para armazenar arquivos em quarentena.
É possível usar a pasta padrão ou uma pasta que você escolher.
Consulte “Especificação de uma pasta de quarentena local” na página 392.
■ Especifique quando os arquivos forem excluídos automaticamente.
A quarentena exclui automaticamente arquivos após um número especificado de
dias. Você também pode configurar a quarentena para excluir arquivos quando a
pasta onde os arquivos estão armazenados atingir um tamanho especificado. Você
pode definir as configurações individualmente para arquivos de backup, reparados
e em quarentena.
Consulte “Especificar quando os arquivos em quarentena forem excluídos
automaticamente” na página 393.
Tarefa Descrição
Personalizar uma mensagem de Para computadores-cliente Windows, é possível configurar uma mensagem de
detecção da verificação detecção para os seguintes tipos de verificações:
Alterar configurações para Você pode alterar o que os usuários das notificações recebem sobre as detecções
notificações do usuário sobre do Download Insight.
detecções dos Download Insight
Consulte “Para gerenciar detecções do Download Insight” na página 377.
Alterar configurações para Você pode alterar o que os usuários das notificações recebem sobre as detecções
notificações do usuário sobre do SONAR.
detecções do SONAR
Consulte “Para gerenciar o SONAR” na página 431.
Tarefa Descrição
Para o Auto-Protect para e-mail da Internet, você também poderá especificar que
seja exibida uma notificação sobre o andamento da verificação quando o
Auto-Protect verificar um e-mail.
Tarefa Descrição
Exibir o status do ELAM em seus Você pode verificar se o ELAM do Symantec Endpoint Protection está
computadores-cliente ativado no log de status do computador.
Exibir detecções do ELAM Você pode exibir detecções do início antecipado do antimalware no log de
Risco.
Ativar ou desativar o ELAM Convém desativar o ELAM do Symantec Endpoint Protection para ajudar
a melhorar o desempenho do computador.
Tarefa Descrição
Executar a ferramenta do Power Eraser Em alguns casos, uma detecção do ELAM exige a ferramenta Symantec
nas detecções do ELAM que o Symantec Power Eraser, que faz parte do Symantec Diagnostic and Product Advisor.
Endpoint Protection não pode corrigir
Consulte “Para solucionar problemas do computador com a ferramenta de
suporte do Symantec Endpoint Protection” na página 819.
■ Para mudar a ação do Symantec Endpoint Protection quando fizer uma detecção
406 Para personalizar verificações
Para personalizar as verificações de vírus e spyware executadas em computadores Windows
Tarefa Descrição
Personalizar verificações definidas pelo Você pode personalizar os seguintes tipos de opções para verificações
administrador agendadas e sob demanda.
■ Arquivos compactados
■ Opções de ajuste
■ Pesquisa do Insight
■ Opções avançadas de agendamento
■ Notificações do usuário sobre detecções
Tarefa Descrição
Ajustar as configurações de ELAM Convém ativar ou desativar a detecção do início antecipado do antimalware
(ELAM, Early launch anti-malware) do Symantec Endpoint Protection se
você acreditar que o ELAM está afetando o desempenho de seu computador.
Convém também sobrepor a configuração padrão da detecção se você obtiver
muitas detecções de falsos positivos do ELAM.
Ajustar configurações do Download Convém ajustar a sensibilidade para arquivos maliciosos para aumentar
Insight ou diminuir o número de detecções. Você também pode modificar ações
para detecções e notificações do usuário para detecções.
Personalizar ações de verificação Você pode mudar a ação que o Symantec Endpoint Protection executa
quando faz uma detecção.
Personalizar opções diversas de Você pode especificar os tipos de eventos de risco que os clientes enviam
proteção contra vírus e spyware para o Symantec Endpoint Protection Manager. Você também pode ajustar
como o Symantec Endpoint Protection interage com a Central de Segurança
do Windows.
Tarefa Descrição
11 Clique em OK.
12 Na guia Ações, selecione qualquer uma das seguintes opções.
Consulte “Para mudar a ação do Symantec Endpoint Protection quando fizer
uma detecção” na página 421.
Você também pode definir opções de correção para o Auto-Protect.
13 Na guia Notificações, defina qualquer uma das opções de notificação.
Consulte “Para gerenciar as notificações de vírus e spyware que aparecem
nos computadores-cliente” na página 396.
14 Na guia Avançado, defina qualquer uma destas opções:
■ Inicialização e desligamento
410 Para personalizar verificações
Para personalizar o Auto-Protect para clientes Mac
■ Opções de recarga
4 Clique em OK.
Se você configurar a ação para fazer registro em log apenas, por padrão se os
usuários criarem ou salvarem arquivos infectados, o Symantec Endpoint Protection
os excluirá.
Em computadores Windows, você também pode configurar ações de correção para
verificações do administrador, sob demanda e do Auto-Protect do sistema de
arquivos.
Você pode bloquear ações para que usuários não possam alterar a ação em
computadores-cliente que usem essa política.
Aviso: Para os riscos à segurança, use a ação de exclusão com cuidado. Em alguns
casos, excluir riscos à segurança pode prejudicar a funcionalidade dos aplicativos.
Se você configurar o cliente para excluir os arquivos afetados pelo risco à
segurança, ele não poderá restaurá-los.
Para fazer backup dos arquivos afetados pelos riscos à segurança, use a ação
Colocar em quarentena.
Para alterar a ação que o Symantec Endpoint Protection executará quando fizer
uma detecção em computadores Windows
1 No console, abra uma política de Proteção contra vírus e spyware e selecione
a verificação (qualquer verificação do Auto-Protect, do administrador ou sob
demanda).
2 Na guia Ações, em Detecção, selecione um tipo de malware ou risco à
segurança.
Por padrão, cada subcategoria é configurada automaticamente para usar as
ações definidas para a categoria inteira.
3 Para configurar ações para uma subcategoria apenas, execute uma das
seguintes ações:
■ Marque Sobrepor ações configuradas para malware e defina em seguida
as ações para essa subcategoria apenas.
Nota: Pode haver uma única subcategoria sob uma categoria, dependendo
de como a Symantec classifica riscos atualmente. Por exemplo, em
Malware, pode haver uma única subcategoria chamada Vírus.
Para personalizar verificações 423
Para permitir que usuários exibam o andamento das verificações e interajam com elas
Para permitir que usuários exibam o andamento das verificações e interajam com
elas
1 No console, abra uma política de proteção contra vírus e spyware e clique em
Verificações definidas pelo administrador.
2 Na guia Avançado, em Opções de andamento da verificação, selecione
Mostrar andamento da verificação ou Mostrar andamento da verificação
se houver um risco detectado.
3 Para fechar automaticamente o indicador de andamento quando a verificação
for concluída, selecione Fechar a janela de andamento da verificação após
a conclusão.
4 Selecione Permitir que o usuário interrompa a verificação.
5 Clique em Opções de pausa.
6 Na caixa de diálogo Opções de pausa de verificação, proceda de uma das
seguintes maneiras:
■ Para limitar o tempo para a pausa de uma verificação, marque Limitar o
tempo de pausa da verificação e digite um número de minutos. A faixa é
de 3 a 180.
■ Para limitar o número de vezes que o usuário pode atrasar (ou pausar
intermitentemente) uma verificação, na caixa Número máximo de
suspensões, digite um número entre 1 e 8.
■ Por padrão, um usuário pode atrasar a verificação por uma hora. Para
alterar esse limite para 3 horas, marque Permitir que os usuários
suspendam a verificação por 3 horas.
7 Clique em OK.
Exibir alertas de antivírus Permite definir que os alertas de antivírus Ative esta configuração se desejar que
na Central de Segurança do do cliente do Symantec Endpoint seus usuários recebam alertas do
Windows Protection apareçam na área de Symantec Endpoint Protection com outros
notificação do Windows. alertas de segurança na área de
notificação do Windows de seus
computadores.
Para personalizar verificações 427
Como o Symantec Endpoint Protection interage com a Central de Segurança do Windows
Exibir uma mensagem da Permite definir o número de dias depois Defina esta opção se deseja que a Central
Central de Segurança do dos quais a Central de Segurança do de Segurança do Windows notifique seus
Windows quando as Windows considera as definições usuários de cliente sobre definições
definições estiverem desatualizadas. Por padrão, a Central de desatualizados mais frequentemente do
desatualizadas Segurança do Windows envia esta que o tempo padrão (30 dias).
mensagem após 30 dias. Nota: Em computadores-cliente, o
Symantec Endpoint Protection verifica, a
cada 15 minutos, para comparar o tempo
de desatualização, a data das definições e
a data atual. Em geral, nenhum status de
desatualização é relatado à Central de
Segurança, pois as definições costumam
ser atualizadas automaticamente. Se você
atualizar as definições manualmente,
talvez precise aguardar até 15 minutos
para exibir um status exato na Central de
Segurança do Windows.
428 Para personalizar verificações
Como o Symantec Endpoint Protection interage com a Central de Segurança do Windows
Capítulo 18
Para gerenciar o SONAR
Este capítulo contém os tópicos a seguir:
■ Sobre o SONAR
Sobre o SONAR
O SONAR é uma proteção em tempo real que detecta aplicativos potencialmente
maliciosos quando são executados em seus computadores. O SONAR fornece a
proteção do “dia zero” porque detecta ameaças antes que definições tradicionais
de detecção contra vírus e spyware sejam criadas para lidar com as ameaças.
O SONAR usa a heurística, assim como os dados de reputação, para detectar
ameaças emergentes e desconhecidas. O SONAR fornece um nível adicional de
proteção em seus computadores-cliente e complementa a proteção contra vírus
e spyware, a prevenção contra intrusões e a proteção de firewall existentes.
O SONAR usa um sistema de heurística que utiliza a rede online de inteligência
da Symantec com monitoração local proativa em seus computadores-cliente para
detectar ameaças emergentes. O SONAR detecta também mudanças ou
comportamento em seu computador-cliente que você deve monitorar.
430 Para gerenciar o SONAR
Sobre o SONAR
O SONAR pode introduzir um código nos aplicativos que são executados no modo
de usuário do Windows para monitorá-los em busca de atividade suspeita. Em
alguns casos, a introdução pode afetar o desempenho do aplicativo ou causar
problemas na execução do aplicativo. Você pode criar uma exceção para excluir
o arquivo, a pasta ou o aplicativo deste tipo de monitoração.
Aplicativos confiáveis que Alguns arquivos válidos confiáveis podem ser associados
apresentam mau ao comportamento suspeito. O SONAR detecta esses
comportamento arquivos como eventos de comportamento suspeito. Por
exemplo, um aplicativo conhecido de compartilhamento de
documentos pode criar arquivos executáveis.
Tarefa Descrição
Tarefa Descrição
Verificar se o SONAR está ativado Para fornecer a mais completa proteção para seu
computador-cliente, você deve ativar o SONAR.
O SONAR interopera com alguns outros recursos
do Symantec Endpoint Protection. O SONAR exige
o Auto-Protect.
Tarefa Descrição
Monitorar eventos do SONAR para Você pode usar o log do SONAR para monitorar
procurar detecções de falsos positivos eventos.
Você também pode exibir o relatório de resultados
de Detecção do SONAR (em Relatórios de risco)
para exibir informações sobre detecções.
Ajustar configurações do SONAR Você pode alterar a ação de detecção para alguns
tipos de ameaças que o SONAR detecta. Convém
mudar a ação de detecção para reduzir detecções
de falsos positivos.
Tarefa Descrição
Impeça que o SONAR examine alguns Em alguns casos, um aplicativo poderá tornar-se
aplicativos instável ou não poder ser executado quando o
SONAR introduzir um código no aplicativo para
examiná-lo. Você pode criar uma exceção de
arquivo, pasta ou aplicativo para o aplicativo.
Tarefa Descrição
Gerenciar a maneira com que o SONAR Você pode usar as configurações de política do
detecta os aplicativos que fazem SONAR para ajustar globalmente a forma como
alterações no DNS ou no arquivo do o SONAR gerencia detecções de alterações de DNS
host ou de arquivo do host. Você pode usar a Política
de exceções para configurar exceções para
aplicativos específicos.
Permitir que os clientes enviem A Symantec recomenda que você ative os envios
informações sobre as detecções do em seus computadores-cliente. As informações
SONAR à Symantec que os clientes enviam sobre as detecções ajudam
a Symantec a lidar com as ameaças. Essas
informações ajudam a Symantec a criar a melhor
heurística, o que resulta em menos detecções de
falsos positivos.
Aviso: Se você definir a ação para detecções de alto risco como apenas registrar
em log, poderá permitir possíveis ameaças em seu computador-cliente.
Para gerenciar o SONAR 437
Como controlar e impedir as detecções de falsos positivos do SONAR
Tarefa Descrição
Tarefa Descrição
Criar exceções para que o SONAR Você pode criar exceções para o SONAR das
permita aplicativos seguros seguintes maneiras:
■ Usar o log do SONAR para criar uma exceção
para um aplicativo que foi detectado e
colocado em quarentena
Você pode criar uma exceção de log do SONAR
para detecções de falsos positivos. Se o item
for colocado em quarentena, ele será
restaurado pelo Symantec Endpoint Protection
depois de verificar novamente o item em
quarentena. Os itens em quarentena são
verificados novamente depois que o cliente
recebe as definições atualizadas.
Consulte “Para criar exceções de eventos de
log no Symantec Endpoint Protection
Manager” na página 589.
Consulte “Configuração de como a quarentena
controla a nova verificação dos arquivos
depois que as definições novas são recebidas”
na página 395.
■ Use a Política de exceções para especificar uma
exceção para um nome de arquivo, um nome
de pasta ou um aplicativo específico.
Você pode excluir uma pasta inteira da
detecção do SONAR. Convém excluir as pastas
onde seus aplicativos personalizados residem.
Consulte “Criação de exceções para o
Symantec Endpoint Protection” na página 576.
Consulte “Para criar uma exceção para um aplicativo que faz mudanças no
DNS ou em arquivo do host” na página 587.
6 Em Detecção de comportamento suspeito, altere a ação para detecções de
alto ou baixo risco.
7 Clique em OK.
Consulte “Para gerenciar o SONAR” na página 431.
Consulte “Criação de exceções para o Symantec Endpoint Protection” na página 576.
440 Para gerenciar o SONAR
Monitoramento de resultados de detecção do SONAR para procurar falsos positivos
Evento O tipo de evento e a ação que o cliente tomou no processo, tal como
a limpeza ou o registro em log dele. Procure pelos seguintes tipos
de evento:
Tipo de aplicativo O tipo de malware detectado pelo SONAR ou por uma verificação
proativa de ameaças TruScan.
Tarefa Descrição
Configuração Descrição
Configuração Descrição
Sensibilidade
Para gerenciar o SONAR 445
Gerenciamento das verificações proativas de ameaças TruScan de clientes legados
Configuração Descrição
Configuração Descrição
11 Clique em OK.
Consulte “Gerenciamento das verificações proativas de ameaças TruScan de
clientes legados” na página 441.
448 Para gerenciar o SONAR
Gerenciamento das verificações proativas de ameaças TruScan de clientes legados
Tarefa Descrição
Tarefa Descrição
Criar uma O Symantec Endpoint Protection é instalado com uma política de firewall
política de padrão. Você pode modificar a política padrão ou criar novas.
firewall
Você deve criar uma política antes de definir regras de firewall e
configurações de proteção de firewall para essa política.
Tarefa Descrição
Adicionar uma política Quando você criar uma política nova, dará a ela um nome e uma
de firewall descrição. Você especifica também os grupos aos quais a política
é aplicada.
Ativar e personalizar as Você pode enviar aos usuários uma notificação de que um
notificações aos usuários aplicativo que eles querem acessar está bloqueado.
que acessam um
Estas configurações são desativadas por padrão.
aplicativo bloqueado
Consulte “Notificação de usuários sobre o bloqueio do acesso a
um aplicativo” na página 479.
Para gerenciar a proteção de firewall 457
Para criar uma política de firewall
Tarefa Descrição
Definir configurações de Você pode ativar configurações para detectar e registrar em log
proteção e dissimulação ataques potenciais nas tentativas de spoofing do cliente e de
bloqueio.
Consulte “Detecção de ataques potenciais e tentativas de
spoofing” na página 462.
Tarefa Descrição
Configurar a Você pode usar a autenticação ponto a ponto para permitir que
autenticação ponto a um computador-cliente remoto (par) conecte-se a outro
ponto computador-cliente (autenticador) dentro da mesma rede da
empresa. O autenticador bloqueia temporariamente o tráfego
de entrada TCP e UDP do computador remoto até que este seja
aprovado na verificação da integridade do host.
Nota: Você poderá apenas exibir e ativar esta opção se instalar
e licenciar o Symantec Network Access Control.
Se o cliente enviar uma O cliente aguardará cinco segundos para permitir uma
solicitação ao servidor resposta de entrada.
Nota: Para fazer as configurações no controle misto, você também deve ativar
essas configurações na caixa de diálogo Configurações de controle misto da
interface de usuário do cliente.
Controle do servidor O usuário não pode criar nenhuma regra de firewall ou ativar
configurações de firewall.
Controle misto O usuário pode criar regras de firewall. Você decide quais
configurações de firewall o usuário pode ativar.
7 Clique em OK.
8 Clique em OK.
9 Para cada configuração de firewall que você define para Servidor, ative ou
desative a configuração na política de firewall.
Consulte “Para gerenciar a proteção de firewall” na página 451.
Consulte “Automaticamente permitir comunicações para serviços de rede
essenciais” na página 459.
Consulte “Detecção de ataques potenciais e tentativas de spoofing” na página 462.
Consulte “Para executar comandos no computador-cliente através do console”
na página 250.
Nota: Para fazer as configurações no controle misto, você também deve ativar
essas configurações na caixa de diálogo Configurações de controle misto da
interface de usuário do cliente.
Nota: Para fazer as configurações no controle misto, você também deve ativar
essas configurações na caixa de diálogo Configurações de controle misto da
interface de usuário do cliente.
Ativar navegação na Web Impede que os sites saibam qual sistema operacional e
no modo dissimulado navegador seus clientes usam.
4 Clique em OK.
5 Caso seja solicitado, atribua um local para a política.
Consulte “Para criar uma política de firewall” na página 455.
Consulte “Alteração do nível de controle do usuário” na página 256.
Consulte “Edição de uma política” na página 317.
Nota: Você deve ter o Symantec Network Access Control instalado e licenciado
para exibir esta opção.
Aviso: Não ative a autenticação ponto a ponto para os clientes instalados no mesmo
computador do servidor de gerenciamento. Caso contrário, o servidor de
gerenciamento não poderá fazer o download de políticas para o computador remoto
se este falhar na verificação de integridade do host.
Assunto Descrição
Aprender como as Antes de modificar as regras de firewall, você deverá entender as seguintes informações
regras de firewall sobre como as regras de firewall funcionam.
funcionam e o que
■ A relação entre o nível de controle do usuário e sua interação com as regras de firewall.
compõe uma regra de
A relação entre regras do servidor e regras do cliente.
firewall
Consulte “Sobre regras do servidor de firewall e do cliente” na página 469.
■ Como ordenar as regras para garantir que as mais restritas sejam avaliadas primeiro
e que as mais gerais sejam avaliadas por último.
Consulte “Sobre a regra de firewall, a configuração de firewall e a ordem de
processamento da prevenção contra intrusões” na página 470.
■ As implicações de herdar regras de um grupo pai e como as regras herdadas são
processadas.
Consulte “Sobre regras herdadas de firewall” na página 471.
■ O cliente usa a inspeção com monitoração de estado, que elimina a necessidade de você
criar regras adicionais.
Consulte “Como o firewall usa a inspeção com monitoração de estado” na página 474.
■ Os componentes do firewall que compõem a regra de firewall.
Quando entender estes acionadores e como pode usá-los melhor, você poderá
personalizar suas regras de firewall para proteger seus clientes e servidores.
Consulte “Sobre acionadores do aplicativo de regras de firewall” na página 474.
Consulte “Sobre acionadores de host da regra de firewall” na página 479.
Consulte “Sobre os acionadores dos serviços de rede da regra de firewall” na página 483.
Consulte “Sobre acionadores do adaptador de rede da regra de firewall” na página 485.
Adicionar uma nova Você pode executar as tarefas a seguir para gerenciar regras de firewall:
regra de firewall
■ Você pode adicionar novas regras de firewall através do console usando vários métodos.
Um método permite adicionar uma regra em branco que tenha configurações padrão.
O outro método oferece um assistente que guia você na criação de uma nova regra.
Consulte “Para adicionar uma regra de firewall nova” na página 487.
■ Você pode personalizar uma regra padrão ou uma regra que tenha criado mudando
alguns dos critérios da regra de firewall.
■ Exportar e importar regras de firewall
Outra maneira de adicionar uma regra de firewall é exportar regras de firewall existentes
de outra política de firewall. Você pode em seguida importar as regras de firewall e as
configurações para não precisar criá-las novamente.
Consulte “Importação e exportação de regras de firewall” na página 489.
■ Copiar e colar regras de firewall
Você pode economizar tempo ao criar uma regra de firewall nova copiando uma regra
existente que seja semelhante à regra que você deseja criar. Em seguida, você pode
modificar a regra copiada para atender às suas necessidades.
Consulte “Para copiar e colar regras de firewall” na página 490.
Para gerenciar a proteção de firewall 469
Para gerenciar regras de firewall
Assunto Descrição
Ativar ou desativar uma As regras de firewall são ativadas automaticamente. Contudo, você poderá precisar desativar
regra de firewall temporariamente uma regra de firewall para testá-la. O firewall não verifica regras
desativadas.
Personalizar uma regra Após criar uma nova regra ou se desejar personalizar uma regra padrão, é possível modificar
de firewall alguns dos critérios da regra de firewall.
Controle do servidor O cliente recebe regras do servidor, mas o usuário não pode
visualizá-las. O usuário não pode criar regras do cliente.
Controle misto O cliente recebe regras do servidor. O usuário pode criar regras
do cliente, que são mescladas com as regras do servidor e com
as configurações de segurança do cliente.
Controle do cliente O cliente não recebe as regras do servidor. O usuário pode criar
regras do cliente. Não é possível visualizar as regras do cliente.
Aviso: Se o cliente estiver no controle misto, os usuários podem criar uma regra
do cliente que permita todo o tráfego. Essa regra sobrepõe todas as regras do
servidor abaixo da linha azul.
Prioridade Configuração
Acima da linha divisora azul As regras que a política herda têm precedência sobre as
regras que você cria.
Abaixo da linha divisória azul As regras que você cria têm precedência sobre as regras que
a política herda.
A Figura 20-1 exibe como a lista Regras ordena as regras quando um subgrupo
as herda de um grupo pai. Nesse exemplo, o grupo Vendas é o grupo pai. O grupo
Vendas Europa herda as regras do grupo Vendas.
Regra 1 Regra 3
Regra 3
Regra 2
Nota: Se o grupo herda todas as políticas de um grupo pai, esta opção está
indisponível.
Para gerenciar a proteção de firewall 473
Para gerenciar regras de firewall
Nota: Para obter melhor proteção, coloque as regras mais restritivas primeiro e
as menos restritivas depois.
4 Clique em OK.
Consulte “Sobre a regra de firewall, a configuração de firewall e a ordem de
processamento da prevenção contra intrusões” na página 470.
Consulte “Edição de uma política” na página 317.
Consulte “Para gerenciar regras de firewall” na página 467.
474 Para gerenciar a proteção de firewall
Para gerenciar regras de firewall
6 Clique em OK.
7 Clique em OK.
Para procurar aplicativos na lista de aplicativos reconhecidos
1 Na página Políticas de firewall, clique em Regras.
2 Na guia Regras, selecione uma regra, clique com o botão direito no campo
Aplicativo e clique em Editar.
3 Na caixa de diálogo Lista de aplicativos, clique em Adicionar de.
4 Na caixa de diálogo Procurar aplicativos, procure um aplicativo.
5 Na tabela Resultados da consulta, para adicionar o aplicativo à lista
Aplicativos, selecione o aplicativo, clique em Adicionar e clique em seguida
em OK.
6 Clique em Fechar.
7 Clique em OK.
Consulte “Para gerenciar regras de firewall” na página 467.
Consulte “Edição de uma política” na página 317.
Consulte “Sobre acionadores do aplicativo de regras de firewall” na página 474.
Para gerenciar a proteção de firewall 477
Para gerenciar regras de firewall
4 Clique em OK.
Consulte “Para gerenciar a proteção de firewall” na página 451.
Consulte “Como ativar ou desativar uma política de firewall” na página 458.
Consulte “Para gerenciar regras de firewall” na página 467.
Consulte “Sobre acionadores do aplicativo de regras de firewall” na página 474.
Consulte “Bloqueio dos aplicativos em rede que podem estar sob ataque”
na página 477.
Origem Destino
` HTTP
Symantec.com
Cliente SEP
Origem Destino
` RDP
`
Cliente SEP
Outro cliente
A Figura 20-3 ilustra a relação entre o host local e o host remoto com relação à
direção de tráfego.
Para gerenciar a proteção de firewall 481
Para gerenciar regras de firewall
Local Remota
` HTTP
Symantec.com
Cliente SEP
Local Remota
` RDP
`
Cliente SEP
Outro cliente
Por exemplo, considere uma regra que define um único host local e vários hosts
remotos. Enquanto o firewall examina os pacotes, o host local deve corresponder
ao endereço IP de relevância. Entretanto, os lados do endereço que se opõem devem
corresponder a qualquer host remoto. Por exemplo, você pode definir uma regra
que permita comunicação HTTP entre o host local e Symantec.com, Yahoo.com
ou Google.com. Essa única regra equivale a três regras.
Consulte “Como adicionar grupos de hosts” na página 481.
Consulte “Bloqueio do tráfego em um servidor específico” na página 493.
Consulte “Para gerenciar regras de firewall” na página 467.
À medida que incorpora grupos de host, você deve descrever onde os grupos são
usados. Se posteriormente você decidir excluir um grupo de host, será necessário
primeiro remover o grupo de todas as regras de firewall que fazem referência a
ele.
Quando um grupo de host for adicionado, ele será exibido na parte inferior da
Lista Hosts. Você pode acessar a Lista Hosts no campo Host em uma regra de
firewall.
Para adicionar grupos de hosts
1 No console, clique em Políticas.
2 Expanda Componentes das políticas e clique em Grupos de host.
3 Em Tarefas, clique em Adicionar um grupo de host.
4 Na caixa de diálogo Grupo de host, digite um nome e, em seguida, clique em
Adicionar.
5 Na caixa de diálogo Host, na lista suspensa Tipo, selecione um host.
6 Digite as informações apropriadas para cada tipo de host.
7 Clique em OK.
8 Se necessário, adicione mais hosts.
9 Clique em OK.
Consulte “Sobre acionadores de host da regra de firewall” na página 479.
Cuidado: Tome cuidado quando você definir esta configuração para um valor muito
baixo. É possível que seu servidor DNS seja encerrado se todos os seus sistemas
acessarem o servidor a cada 5 segundos, por exemplo.
Para gerenciar a proteção de firewall 483
Para gerenciar regras de firewall
Nota: IPv4 e IPv6 são os dois protocolos de camada de rede usados na Internet. O
firewall bloqueia os ataques que passam pelo IPv4, mas não pelo IPv6. Se você
instalar o cliente nos computadores que executam o Microsoft Vista, a lista Regras
conterá várias regras padrão que bloqueiam o tipo IPv6 de protocolo Ethernet. Se
você remover as regras padrão, será necessário criar uma regra que bloqueie o
IPv6.
Nota: Você pode adicionar um serviço de rede personalizado através de uma regra
de firewall. Entretanto, esse serviço de rede não será adicionado à lista padrão.
Não é possível acessar o serviço personalizado de rede de nenhuma outra regra.
Nota: Você pode adicionar um adaptador de rede personalizado usando uma regra
de firewall. Entretanto, esse adaptador de rede não será adicionado à lista padrão.
Não é possível acessar o adaptador de rede personalizado de nenhuma outra regra.
lista padrão, na lista Componentes das políticas. Use a lista padrão para que não
seja preciso digitar novamente cada adaptador de rede para cada regra criada.
A lista de adaptadores de rede elimina a necessidade de digitar novamente os
adaptadores para regras de firewall. Quando você criar uma regra de firewall, será
possível selecionar um adaptador de rede de uma lista padrão de adaptadores de
rede de uso geral. Você pode adicionar adaptadores de rede à lista padrão.
Nota: Você pode adicionar um adaptador de rede personalizado usando uma regra
de firewall. Entretanto, esse adaptador de rede não será adicionado à lista padrão.
Não é possível acessar o adaptador de rede personalizado de nenhuma outra regra.
6 Clique em OK.
Consulte “Para gerenciar regras de firewall” na página 467.
Consulte “Sobre acionadores do adaptador de rede da regra de firewall”
na página 485.
Consulte “Controle do tráfego que passar por um adaptador de rede” na página 499.
Etapa 1 Adicionar uma Você pode adicionar novas regras de firewall através do console usando vários métodos.
nova regra de Um método permite adicionar uma regra em branco que tenha configurações padrão. O
firewall outro método oferece um assistente que guia você na criação de uma nova regra.
Outra maneira de adicionar uma regra de firewall é exportar regras de firewall existentes
de outra política de firewall. Você pode em seguida importar as regras de firewall e as
configurações para não precisar criá-las novamente.
Você pode economizar tempo ao criar uma regra de firewall nova copiando uma regra
existente que seja semelhante à regra que você deseja criar. Em seguida, você pode
modificar a regra copiada para atender às suas necessidades.
Etapa 2 (Opcional) Após criar uma nova regra ou se desejar personalizar uma regra padrão, é possível
Personalizar modificar alguns dos critérios da regra de firewall.
os critérios da
Consulte “Personalização das regras de firewall” na página 490.
regra de
firewall
Você deve especificar o tráfego de entrada e de saída na regra sempre que possível.
Não é necessário criar regras de entrada de tráfego, como HTTP. O cliente do
Symantec Endpoint Protection usa a inspeção com monitoração de estado para o
488 Para gerenciar a proteção de firewall
Para configurar regras de firewall
tráfego TCP. Portanto, não é necessária uma regra para filtrar o tráfego de retorno
que os clientes iniciam.
Quando você criar uma regra de firewall nova, ela será ativada automaticamente.
É possível desativar uma regra de firewall se for necessário permitir o acesso
específico a um computador ou programa. A regra é desativada para todas as
políticas herdadas.
No caso de uma política compartilhada, a regra também é desativada para todos
os locais e, no caso de uma política específica de local, é desativada apenas para
um local.
■ Aplicativo
Quando o aplicativo for o único acionador definido em uma regra de
tráfego permitido, o firewall permitirá que o aplicativo execute qualquer
operação de rede. O aplicativo é o valor significativo, não as operações
de rede realizadas por ele. É possível definir acionadores adicionais
para descrever protocolos e hosts de rede específicos com os quais a
comunicação é permitida.
Consulte “Sobre acionadores do aplicativo de regras de firewall”
na página 474.
■ Host
Ao definir acionadores de host, você especifica o host nos dois lados
da conexão da rede descrita.
Normalmente, o que expressa a relação entre os hosts é a origem ou o
destino de uma conexão de rede.
Consulte “Sobre acionadores de host da regra de firewall” na página 479.
■ Serviços de rede
Um acionador de serviço de rede identifica um ou mais protocolos de
rede significativos em relação ao tráfego da rede descrito.
O computador-host local sempre possui a porta local e o computador
remoto sempre possui a porta remota. Esta expressão do
relacionamento da porta independe da direção do tráfego.
Consulte “Sobre os acionadores dos serviços de rede da regra de
firewall” na página 483.
■ Adaptador de rede
Se um acionador de adaptador de rede for definido, a regra será
relevante somente para o tráfego transmitido ou recebido usando o
tipo de adaptador especificado. É possível especificar qualquer
adaptador ou aquele que está atualmente associado ao
computador-cliente.
Consulte “Sobre acionadores do adaptador de rede da regra de firewall”
na página 485.
492 Para gerenciar a proteção de firewall
Para configurar regras de firewall
3 Na guia Regras, na lista Regras, selecione a regra que você deseja editar,
clique com o botão direito do mouse no campo Host e clique em Editar.
4 Na caixa de diálogo Lista de hosts, tome uma das seguintes ações:
■ Clique em Origem/Destino.
■ Clique em Local/Remoto.
Para selecionar um Na caixa de diálogo Lista de hosts, tome uma das seguintes
grupo de hosts ações:
■ Clique em Origem/Destino.
■ Clique em Local/Remoto.
Por exemplo, é possível criar esta regra pra permitir tráfego para a porta 80 apenas
na sub-rede local, independentemente do endereço IP local da sub-rede.
Para permitir tráfego específico apenas para a sub-rede local
1 No console, abra uma política de firewall.
2 Na página Política de firewall, clique em Regras.
3 Na guia Regras, na lista Regras, selecione a regra que deseja editar.
4 Na tabela Regras de firewall, na coluna Host, clique duas vezes na regra para
a qual você deseja criar uma condição de tráfego para a sub-rede local.
5 No tipo de hosts para os quais esta regra se aplica (Local ou Remoto), clique
em Adicionar.
6 Clique na lista suspensa Tipo de endereço e selecione Sub-rede local.
7 Clique em OK e clique em seguida em OK novamente para fechar a caixa de
diálogo Lista de hosts.
Consulte “Os tipos de políticas de segurança” na página 313.
Consulte “Edição de uma política” na página 317.
Consulte “Personalização das regras de firewall” na página 490.
Controle misto Uma regra de firewall do servidor que especifica este tipo de
tráfego pode sobrepor estas configurações.
Para permitir que Na lista suspensa Porta remota, digite 88, 135, 139, 445.
clientes procurem
arquivos e
impressoras na rede
Para ativar outros Na lista suspensa Porta local, digite 88, 135, 139, 445
computadores para
procurar arquivos no
cliente
7 Clique em OK.
8 Na caixa de diálogo Lista de serviços, clique em Adicionar.
9 Na caixa de diálogo Protocolo, na lista suspensa Protocolo, clique em UDP.
10 Realize uma destas tarefas:
Para permitir que Na lista suspensa Porta local, digite 137, 138.
clientes procurem
Na lista suspensa Porta remota, digite 88
arquivos e
impressoras na rede
Para ativar outros Na lista suspensa Porta local, digite 88, 137, 138.
computadores para
procurar arquivos no
cliente
11 Clique em OK.
12 Na caixa de diálogo Lista de serviços, certifique-se de que os dois serviços
estejam ativados e clique em OK.
498 Para gerenciar a proteção de firewall
Para configurar regras de firewall
Para gerar um evento de log Marque Gravar em log de tráfego e Gravar em log de
quando uma regra de firewall pacote.
for acionada
Para acionar a regra a qualquer adaptador Clique em Aplicar esta regra a todos os
(mesmo se não estiver listado) adaptadores e, em seguida, vá para a
etapa 7.
Para acionar a regra para adaptadores Clique em Aplicar esta regra aos
selecionados seguintes adaptadores.
6 Clique em OK.
7 Clique em OK.
8 Clique em OK.
Consulte “Para configurar regras de firewall” na página 486.
Consulte “Personalização das regras de firewall” na página 490.
Consulte “Edição de uma política” na página 317.
500 Para gerenciar a proteção de firewall
Para configurar regras de firewall
Para manter a regra ativa Desmarque a caixa na coluna Qualquer hora exceto.
neste período
Para fazer com que a regra Marque a caixa na coluna Qualquer hora exceto.
fique inativa neste período
10 Clique em OK.
Consulte “Para configurar regras de firewall” na página 486.
Consulte “Personalização das regras de firewall” na página 490.
Consulte “Edição de uma política” na página 317.
Capítulo 21
Para gerenciar a prevenção
contra intrusões
Este capítulo contém os tópicos a seguir:
Tarefa Descrição
Saber mais sobre a prevenção contra Saiba como a prevenção contra intrusões detecta e bloqueia ataques à rede
intrusões e ao navegador.
Ativar ou desativar a prevenção contra Convém desativar a prevenção contra intrusões para fins de solução de
intrusões problemas ou se os computadores-cliente detectarem falsos positivos
excessivos. Porém, para manter seus computadores-cliente seguros,
normalmente você não deve desativar a prevenção contra intrusões.
Você pode ativar ou desativar os seguintes tipos de prevenção contra
intrusões na Política de prevenção contra intrusões:
Tarefa Descrição
Criar exceções o comportamento para Convém criar exceções para alterar o comportamento padrão das
alterar o padrão de assinaturas da assinaturas padrão da prevenção contra intrusões à rede da Symantec.
Prevenção contra intrusões na rede da Algumas assinaturas bloqueiam o tráfego por padrão e outras assinaturas
Symantec permitem o tráfego por padrão.
Nota: Você não pode mudar o comportamento de assinaturas da prevenção
contra intrusões no navegador.
Criar exceções para ignorar assinaturas Você pode criar exceções para excluir assinaturas do navegador da
do navegador em computadores-cliente prevenção contra intrusão no navegador.
Tarefa Descrição
Excluir computadores específicos das Talvez você queira excluir determinados computadores da prevenção contra
verificações da prevenção contra intrusões. Por exemplo, alguns computadores na sua rede interna podem
intrusões estar configurados para testes. É possível que você queira que o Symantec
Endpoint Protection ignore o tráfego que entra e sai desses computadores.
Configurar as notificações da prevenção Por padrão, as mensagens aparecem nos computadores-cliente para
contra intrusões tentativas de intrusão. Você pode personalizar a mensagem.
Criar assinaturas de Prevenção contra Você pode gravar sua própria assinatura de prevenção contra intrusões
intrusões personalizada para identificar uma ameaça específica. Quando você gravar sua própria
assinatura, será possível reduzir a possibilidade de a assinatura causar um
falso positivo.
Monitorar a prevenção contra intrusões Verifique regularmente que a prevenção contra intrusões esteja ativada
nos computadores-cliente em sua rede.
Tipo Descrição
Prevenção contra A prevenção contra intrusão na rede usa assinaturas para identificar ataques em
intrusões na rede computadores-cliente. Para ataques conhecidos, a prevenção contra intrusões descartará
automaticamente os pacotes que corresponderem às assinaturas.
Você também pode criar suas próprias assinaturas de rede personalizadas como parte de
uma Política de prevenção contra intrusões. Você não pode criar assinaturas personalizadas
no cliente diretamente; porém, é possível importar assinaturas personalizadas para o
cliente.
Prevenção contra A prevenção contra intrusão no navegador monitora ataques no Internet Explorer e no
intrusão no navegador Firefox. A prevenção contra intrusão no navegador não é suportada em nenhum outro
navegador.
O Firefox pode desativar o plug-in do Symantec Endpoint Protection, mas você poderá
reativá-lo.
Este tipo de prevenção contra intrusões usa assinaturas de ataque, assim como heurística,
para identificar ataques a navegadores.
Para alguns ataques ao navegador, a prevenção contra intrusões exige que o cliente encerre
o navegador. Uma notificação aparecerá no computador-cliente.
Veja o seguinte artigo da Base de conhecimento para obter as últimas informações sobre
os navegadores que a prevenção contra intrusão no navegador protege: Supported browser
versions for browser intrusion prevention (em inglês).
Nota: Para fazer as configurações no controle misto, você também deve ativar
essas configurações na caixa de diálogo Configurações de controle misto da
interface de usuário do cliente.
Nota: Também é possível configurar uma lista de computadores que permita todo
tráfego de entrada e saída, exceto se uma assinatura IPS detectar um ataque. Nesse
caso, crie uma regra de firewall que permita todos os hosts.
Aviso: Você deve estar familiarizado com os protocolos TCP, UDP ou ICMP antes
de desenvolver as assinaturas de prevenção contra intrusões. Uma assinatura
formada incorretamente pode corromper a biblioteca de assinaturas personalizada
e danificar a integridade dos clientes.
Tarefa Descrição
Criar uma biblioteca personalizada com Você deve criar uma biblioteca personalizada para conter suas assinaturas
um grupo de assinaturas personalizadas. Quando criar uma biblioteca personalizada, você usará
grupos de assinatura para gerenciar as assinaturas mais facilmente. Você
deve adicionar pelo menos um grupo de assinaturas a uma biblioteca de
assinaturas personalizadas antes de adicionar as assinaturas.
Adicionar assinaturas IPS Você adiciona assinaturas IPS personalizadas a um grupo de assinaturas
personalizadas a uma biblioteca em uma biblioteca personalizada.
personalizada
Consulte “Para adicionar assinaturas a uma biblioteca IPS personalizada”
na página 514.
Atribuir bibliotecas a grupos de clientes Você atribui bibliotecas personalizadas a grupos de clientes em vez de a
um local.
Tarefa Descrição
Alterar a ordem das assinaturas A prevenção contra intrusões usa a primeira correspondência de regra. O
Symantec Endpoint Protection verifica as assinaturas na ordem em que
estão listadas na lista de assinaturas.
Por exemplo, se você adicionar um grupo de assinaturas para bloquear
tráfego TCP nas duas direções na porta de destino 80, poderá adicionar as
seguintes assinaturas:
Copiar e colar assinaturas Você pode copiar e colar as assinaturas entre os grupos e entre as
bibliotecas.
Definir variáveis para assinaturas Ao adicionar uma assinatura personalizada, é possível usar variáveis para
representar dados sujeitos a alterações em assinaturas. Se os dados forem
alterados, você poderá editar a variável em vez de editar as assinaturas da
biblioteca.
Testar assinaturas personalizadas Você deve testar as assinaturas de Prevenção contra intrusões personalizada
para se certificar de que funcionem.
Etapa 1 Certificar-se de que os A próxima vez que o cliente receber a política, deverá aplicar as
clientes usam a política atual novas assinaturas personalizadas.
de prevenção contra
Consulte “Como os computadores-cliente obtêm atualizações da
intrusões
política” na página 328.
Etapa 2 Testar o conteúdo da Você deve testar o tráfego que deseja bloquear nos
assinatura no cliente computadores-cliente.
Etapa 3 Exibir eventos bloqueados no Você pode exibir eventos nos logs do ataque à proteção contra
Symantec Endpoint ameaças à rede. A mensagem que você especifica na assinatura
Protection Manager IPS personalizada aparece no log.
Consulte “Monitoração da proteção de endpoints” na página 657.
Tarefa Descrição
Ativar conjuntos padrão de regras do As políticas de controle de dispositivos e aplicativos contêm conjuntos
controle de aplicativos padrão de regras do controle de aplicativos. Os conjuntos de regras padrão
são desativados. Você pode ativar quaisquer conjuntos que precisar.
Nota: Se os conjuntos de regras padrão não atenderem a seus requisitos,
crie conjuntos de regras personalizados.
Criar e testar conjuntos personalizados Você pode criar conjuntos personalizados de regras do controle de
de regras do controle de aplicativos aplicativos. Normalmente, somente administradores avançados devem
executar esta tarefa.
Criar exceções para o controle de O controle de aplicativos poderá causar problemas para alguns aplicativos
aplicativos executados em sua rede. Você pode excluir arquivos ou pastas do controle
de aplicativos. Você usa uma Política de exceções para especificar a exceção.
Nota: O Symantec Endpoint Protection 12.1 incluiu uma exceção separada
de controle de aplicativo. Na versão atual, uma exceção do controle de
aplicativo é criada como parte da configuração das exceções de arquivo ou
pasta.
Tarefa Descrição
Configurar o controle de dispositivos O controle de dispositivos especifica quais dispositivos de hardware são
para permitir ou bloquear dispositivos permitidos ou bloqueados em seus computadores-cliente.
de hardware
O Symantec Endpoint Protection Manager fornece uma lista de dispositivos
que você pode usar na configuração de controle de dispositivos. Você pode
adicionar dispositivos à lista.
Exibir os logs de controle de aplicativos Você pode exibir os eventos do controle de aplicativos e de dispositivos no
e de dispositivos log de Controle de aplicativos e de Controle de dispositivos no Symantec
Endpoint Protection Manager.
Impedir ou permitir usuários de ativar Você pode impedir ou permitir os usuários de ativar ou desativar o controle
ou de desativar o controle de de dispositivos e aplicativos no cliente. Use a configuração na caixa de
dispositivos e aplicativos diálogo Configurações de interface de usuário do cliente.
Etapa 1 Planejar o conjunto de regras Um novo conjunto de regras de aplicativos contém uma ou mais
regras definidas pelo administrador. Cada conjunto de regras e
cada regra tem propriedades. Cada regra pode conter uma ou mais
condições para monitorar os aplicativos e o seu acesso a arquivos,
pastas, chaves de registro e processos específicos.
Etapa 2 Criar o conjunto de regras e Você pode criar várias regras e adicioná-las a um único conjunto
adicionar regras de regras de controle de aplicativos. Você pode excluir as regras
da lista e mudar sua posição na hierarquia do conjunto de regras
conforme necessário. Você pode também ativar e desativar
conjuntos de regras ou regras individuais dentro de um conjunto.
Etapa 3 Aplicar uma regra a aplicativos Toda regra deve ser aplicada a pelo menos um aplicativo. Você
específicos e excluir determinados também pode excluir determinados aplicativos da regra. Especifique
aplicativos da regra os aplicativos na guia Propriedades da regra.
Etapa 4 Adicionar condições e ações a A condição especifica o que o aplicativo tenta fazer quando você
regras deseja controlá-lo.
É possível definir qualquer uma das condições abaixo:
Etapa 5 Testar as regras Você deve testar suas regras antes de aplicá-las à sua rede da
produção.
Use um conjunto de regras Uma melhor prática é criar um conjunto Você deseja bloquear tentativas de
por objetivo de regras que inclua todas as ações que gravação em todas as unidades removíveis
permitem, bloqueiam e monitoram uma e deseja impedir que aplicativos interfiram
dada tarefa. em um aplicativo específico.
Considere a ordem da regra As regras do controle de aplicativos Você deseja impedir que todos os usuários
funcionam de maneira semelhante à movam, copiem e criem arquivos em
maioria das regras de firewall baseadas unidades USB.
em rede, pois ambas usam a primeira
Você tem uma regra existente com uma
regra correspondente. Quando várias
condição que permite o acesso de gravação
condições forem verdadeiras, a primeira
a um arquivo chamado Test.doc. Você
regra será a única a ser aplicada, a menos
adiciona uma segunda condição a este
que a ação configurada para a regra seja
conjunto de regras existente para bloquear
Continuar processando outras regras.
todas as unidades USB. Neste cenário, os
usuários podem ainda criar e modificar o
arquivo Teste.doc em unidades USB. A
condição Permitir acesso para Test.doc
vem antes da condição Bloquear acesso
para unidades USB no conjunto de regras.
A condição Bloquearacesso para unidades
USB não será processada quando a
condição que a preceder na lista for
verdadeira.
Para gerenciar o controle de dispositivos e aplicativos 531
Criação de regras personalizadas do controle de aplicativos
Use a ação Encerrar processo A ação Encerrar processo encerra um Você deseja encerrar o Winword.exe
com cuidado processo quando este atender à condição sempre que um processo iniciá-lo.
configurada.
Você cria e configura uma regra com a
Apenas administradores avançados devem condição Iniciar tentativas de processo
usar a ação Encerrar processo. e a ação Encerrar processo. Você aplica
Tipicamente, é necessário usar a ação a condição ao Winword.exe e aplica a
Bloquear acesso. regra a todos os processos.
Use a condição Encerrar A condição Encerrar tentativas de O Process Explorer é uma ferramenta que
tentativas de processo para processo permite ou bloqueia a exibe os processos de DLL que foram
proteger processos capacidade de um aplicativo de encerrar abertos ou carregados e quais recursos
um processo em um computador-cliente. são usados pelos processos.
A condição não permite nem impede que Convém encerrar o Process Explorer
os usuários interrompam um aplicativo quando ele tentar encerrar um aplicativo
pelos métodos usuais, como clicar em Sair específico.
no menu Arquivo.
Use a condição Encerrar tentativas de
processo e a ação Encerrar processo para
criar este tipo de regra. Você aplica a
condição ao aplicativo Process Explorer.
Você aplica a regra ao aplicativo ou aos
aplicativos que não quer que o Process
Explorer encerre.
Regra Descrição
Impedir que os usuários abram um Você poderá bloquear um aplicativo quando ele cumprir qualquer uma
aplicativo destas condições:
Impedir que os usuários gravem em um É possível que você queira deixar que usuários abram um arquivo, mas não
arquivo específico o modifiquem. Por exemplo, um arquivo pode incluir dados financeiros que
os funcionários devem ver, mas não editar.
Você pode criar uma regra para dar aos usuários o acesso somente leitura
para um arquivo. Por exemplo, é possível adicionar uma regra que permita
abrir um arquivo de texto no Bloco de Notas, mas não permite editá-lo.
Regra Descrição
Bloquear compartilhamentos de Você pode criar uma regra personalizada que se aplique a todos os
arquivo em computadores Windows aplicativos para desativar o compartilhamento de arquivos locais e de
impressão em computadores Windows.
Inclua as seguintes condições:
Você também pode usar regras de firewall para impedir ou permitir que os
computadores-cliente compartilhem arquivos.
Impedir que os usuários executem Você pode usar o controle de aplicativos para impedir que os usuários
aplicativos ponto a ponto executem aplicativos ponto a ponto em seus computadores.
Você pode criar uma regra personalizada com uma condição Iniciar
tentativas de processo. Na condição, será necessário especificar todos os
aplicativos ponto a ponto que você deseja bloquear, como LimeWire.exe ou
*.torrent. Você pode definir a ação para a condição Bloquear acesso ou
Encerrar processo.
Regra Descrição
Bloquear tentativas de gravação em de Atualmente, o Symantec Endpoint Protection Manager não suporta um
DVD conjunto de regras que especifique o bloqueio de tentativas de gravação
em unidades de DVD. Você pode selecionar a opção na Política de controle
de dispositivos e aplicativos, porém, a opção não é aplicada. Em vez disso,
você pode criar uma Política de controle de dispositivos e aplicativos que
bloqueie os aplicativos específicos que gravam em unidades de DVD.
Você também deve criar uma Política de integridade do host que defina a
chave do registro do Windows para bloquear tentativas de gravação em
unidades de DVD.
Nota: Se você criar uma regra personalizada que bloqueie o acesso a uma pasta
específica de 32 bits (tal como o Windows\system32), as regras não funcionarão
em clientes de 64 bits. Você também deve criar uma regra para bloquear o acesso
à pasta Windows\syswow64.
6 Desmarque Ativar essa regra se você não quiser ativar a regra neste momento.
7 Na guia Propriedades, você especifica os aplicativos aos quais esta regra se
aplica e que aplicativos devem ser excluídos da regra.
Cada regra deve ter um aplicativo ao qual se aplique.
Consulte “Aplicação de uma regra a aplicativos específicos e exclusão de
aplicativos de uma regra” na página 536.
Cada regra também deve ter condições e ações.
Consulte “Adição de condições e ações a uma regra personalizada do controle
de aplicativos” na página 538.
8 Para adicionar regras ao conjunto de regras, clique em Adicionar e clique em
seguida em Adicionar regra.
9 Clique em OK.
O novo conjunto de regras é exibido e configurado para o modo de teste. Você
deve testar novos conjuntos de regras antes de aplicá-los nos
computadores-cliente.
Consulte “Conjuntos de regras de controle de aplicativos de teste”
na página 539.
Nota: Cada regra deve ter pelo menos um aplicativo listado na caixa de texto
Aplicar essa regra aos seguintes processos.
4 Clique em OK.
Você pode repetir etapas de 2 a 4 para adicionar tantos aplicativos quanto
desejar.
5 Se você quiser configurar um ou mais aplicativos a serem excluídos da regra,
à direita do campo de texto Não aplicar essa regra aos seguintes processos,
clique em Adicionar.
Repita a configuração dos aplicativos a excluir, conforme o desejado. Você
tem as mesmas opções quando define um aplicativo a excluir e quando aplica
a regra a um aplicativo.
6 Quando você tiver concluído a definição dos aplicativos, clique em OK.
Nota: Quando você aplica uma condição a todas as entidade em uma pasta
em particular, a melhor prática é usar nome_da_pasta\* ou nome_da_pasta\*\*.
Um asterisco inclui todos os arquivos e pastas na pasta nomeada. Use
nome_da_pasta\*\* para incluir cada arquivo e pasta na pasta nomeada, além
de cada arquivo e pasta em cada subpasta.
6 Clique em OK.
7 À direita de Não aplicar aos seguintes processos, clique em Adicionar e
especifique as chaves de registro, os arquivos e as pastas, os processos ou as
DLLs.
8 Clique em OK.
9 Na guia Ações para a condição, selecione uma das seguintes ações:
■ Continuar processando outras regras
■ Permitir acesso
■ Bloquear acesso
■ Encerrar processo
Nas condições Tentativas de acesso a registros e Tentativas de acesso a
arquivos e pastas, você pode configurar dois conjuntos de ações, um para
Tentativa de leitura e outro para Tentativa de criar, excluir ou gravar.
10 Marque Ativar registro de log e selecione um nível de gravidade para atribuir
às entradas que estão registradas.
11 Selecione Notificar usuário e digite o texto que deseja que o usuário veja.
12 Clique em OK.
Etapa Descrição
Configure o conjunto de regras para o Você testa conjuntos de regras definindo o modo
Modo de teste e ative ou desative regras para Modo de teste (log apenas). O Modo de teste
cria uma entrada de log para indicar quando as
regras no conjunto de regras seriam aplicadas
sem realmente aplicar a regra.
Etapa Descrição
Nota: Qualquer aplicativo que o bloqueio do sistema permite está sujeito a outros
recursos de proteção no Symantec Endpoint Protection.
Uma whitelist ou uma blacklist podem incluir listas de impressão digital do arquivo
e nomes de aplicativo específicos. Uma lista de impressões digitais de arquivos é
uma lista de somas de verificação do arquivo e de locais do caminho do computador.
Você pode usar a Política de controle de dispositivos e aplicativos para controlar
aplicativos específicos em vez do ou em adição ao bloqueio do sistema.
Você configura o bloqueio do sistema para cada grupo ou local em sua rede.
542 Para gerenciar o controle de dispositivos e aplicativos
Configuração do bloqueio do sistema
Etapa 1 Criar listas de impressão digital Você pode criar uma lista de impressões digitais de arquivos que inclua
de arquivos os aplicativos que são permitidos ou não permitidos para execução
em seus computadores-cliente. Você usa a lista de impressões digitais
de arquivos como parte de uma whitelist ou de uma blacklist no
bloqueio do sistema.
Você pode usar o utilitário para criar uma soma de verificação para
um aplicativo específico ou todos os aplicativos em um caminho
especificado.
Nota: Quando você executar o bloqueio do sistema no modo padrão
ou de whitelist, precisará de uma lista de impressões digitais de
arquivos que inclua todos os aplicativos que você quer que os usuários
possam executar em seus computadores. Por exemplo, sua rede pode
incluir clientes do Windows Vista de 32 bits, Windows Vista de 64 bits
e Windows XP SP2. É possível criar uma lista de impressões digitais
de arquivos para cada imagem do cliente que você quer adicionar à
whitelist.
Etapa 2 Importar as listas de impressão Após criar as listas de impressões digitais de arquivos, você deverá
digital de arquivos para o importá-las para o Symantec Endpoint Protection Manager. Após
Symantec Endpoint Protection importar as listas, elas estarão disponíveis para adicionar à
Manager configuração do bloqueio do sistema.
Etapa 3 Criar listas de nome de aplicativos É possível usar qualquer editor de texto para criar um arquivo de texto
para aplicativos aprovados ou não que inclua os nomes do arquivo dos aplicativos que você quer adicionar
aprovados à whitelist ou à blacklist. Ao contrário das listas de impressões digitais
de arquivos, você importa estes arquivos diretamente na configuração
do bloqueio do sistema. Após você importar os arquivos, os aplicativos
aparecem como entradas individuais na configuração do bloqueio do
sistema.
Etapa 4 Configurar e testar a configuração No modo de teste, o bloqueio do sistema é desativado e não bloqueia
do bloqueio do sistema nenhum aplicativo. Todos os aplicativos não aprovados são registrados
em log, mas não são bloqueados. Você usa a opção Registrar em log
apenas aplicativos não aprovados na caixa de diálogo Bloqueio do
sistema para testar a configuração inteira do bloqueio do sistema.
Para configurar e executar o teste, conclua as seguintes etapas:
Etapa 5 Exibir os aplicativos não Após executar o teste por um período de tempo, você poderá verificar
aprovados e modificar a a lista de aplicativos não aprovados. Você pode exibir a lista de
configuração do bloqueio do aplicativos não aprovados verificando o status na caixa de diálogo
sistema caso necessário Bloqueio do sistema.
Etapa 6 Ativar o bloqueio do sistema Por padrão, o bloqueio do sistema fornece somente um modo whitelist.
Você pode configurar o Symantec Endpoint Protection Manager de
modo que o bloqueio do sistema possa ser configurado no modo
whitelist ou blacklist.
Etapa 7 Atualizar as listas de impressão Com o passar do tempo, você poderá mudar os aplicativos executados
digital de arquivos para o bloqueio em sua rede. Você pode atualizar suas listas de impressões digitais de
do sistema arquivos ou remover as listas conforme a necessidade.
Você pode atualizar listas de impressões digitais de arquivos de duas
maneiras:
Etapa 8 Testar itens selecionados antes de Depois que o bloqueio do sistema estiver ativado, você poderá testar
adicioná-los ou removê-los, impressões digitais individuais de arquivos, listas de nomes de
quando o bloqueio do sistema aplicativos ou aplicativos específicos antes de adicioná-los ou
estiver ativado removê-los para a configuração do bloqueio do sistema.
scm.systemlockdown.blacklist.enabled=1
5 Salve o arquivo.
6 Reinicie o serviço do Symantec Endpoint Protection Manager.
Consulte “Configuração do bloqueio do sistema” na página 541.
Consulte “Para criar uma lista de nomes de aplicativos para importação na
configuração de bloqueio do sistema” na página 553.
Consulte “Para interromper e iniciar o serviço do servidor de gerenciamento”
na página 183.
Para gerenciar o controle de dispositivos e aplicativos 549
Configuração do bloqueio do sistema
0bb018fad1b244b6020a40d7c4eb58b7 c:\dell\openmanage\remind.exe
35162d98c2b445199fef95e838feae4b c:\dell\pnp\m\co\HSFCI008.dll
4f3ef8d2183f927300ac864d63dd1532 c:\dell\pnp\m\co\HXFSetup.exe
dcd15d648779f59808b50f1a9cc3698d c:\dell\pnp\m\co\MdmXSdk.dll
2f276c59243d3c051547888727d8cc78 c:\Nokia Video Manager\QtCore4.dll
e6b635b6f204b9f2a43ba7df8780a7a6 c:\Nokia Video Manager\QtNetwork4.dll
0901d37ec3339ef06dba0a9afb0ac97c c:\Nokia Video Manager\QtXml4.dll
a09eaad7f8c7c4df058bbaffd938cd4c c:\Nokia Video Manager\VideoManager.exe
550 Para gerenciar o controle de dispositivos e aplicativos
Configuração do bloqueio do sistema
8 Clique em Avançar.
9 Realize uma das seguintes ações:
■ Especificar o caminho para a impressão digital do arquivo que você criou.
Você pode navegar para encontrar o arquivo.
■ Selecione as impressões digitais que deseja mesclar.
10 Clique em Avançar.
11 Clique em Fechar.
12 Clique em Concluir.
A lista importada ou mesclada da impressão digital aparece em Listas de
impressões digitais de arquivos.
552 Para gerenciar o controle de dispositivos e aplicativos
Configuração do bloqueio do sistema
Nota: Você pode também exportar uma lista existente de impressões digitais de
arquivos.
Se desejar mesclar listas de impressão digital em uma nova lista com um nome
diferente, use o Assistente de Adição de impressão digital de arquivo.
Consulte “Importação ou mesclagem de listas de impressões digitais de arquivos
no Symantec Endpoint Protection Manager” na página 550.
Consulte “Configuração do bloqueio do sistema” na página 541.
Para atualizar manualmente uma lista de impressões digitais de arquivos no
Symantec Endpoint Protection Manager
1 No console, clique em Políticas.
2 Em Políticas, expanda Componentes das políticas e clique em Listas de
impressão digital de arquivos.
3 No painel Listas de impressões digitais de arquivos, selecione a lista de
impressões digitais que deseja editar.
4 Clique em Editar.
5 No Assistente de Edição de impressão digital de arquivo, clique em Avançar
6 Proceda de uma das seguintes maneiras:
■ Clique em Acrescentar um arquivo de impressão digital a esta impressão
digital de arquivo para adicionar um novo arquivo a um existente.
■ Clique em Anexar outro arquivo de impressão digital à impressão digital
do arquivo para mesclar as lista de impressões digitais do arquivo que
você já importou.
■ Clique em Substituir uma lista existente por nova lista de impressões
digitais de arquivo.
■ Clique em Remover impressões digitais de uma lista existente que
corresponda a impressões digitais em uma nova lista.
8 Clique em Avançar.
9 Clique em Fechar.
10 Clique em Concluir.
Nota: O campo de modo de teste ativa ou desativa a opção Testar antes de adicionar
ou Testar antes de remover para cada aplicativo na lista. O campo de modo de
teste será ignorado quando você usar a opção Apenas registrar aplicativos para
testar a configuração completa de bloqueio do sistema.
Por exemplo:
aa.exe
bb.exe 0 1
cc.exe 1
dd.exe 1 0
"c:\program files\ee.exe" 0 0
Etapa 1 Criar listas de impressões digitais de Você pode usar o utilitário checksum.exe ou qualquer utilitário
arquivos ou listas de nome de de terceiros para criar as listas atualizadas de impressões digitais
aplicativos atualizadas e compactar os de arquivos. Você pode usar qualquer editor de texto para
arquivos atualizar listas de nomes de aplicativos. As listas devem ter os
mesmos nomes que já existem no Symantec Endpoint Protection
Manager.
Etapa 2 Criar um arquivo index.ini O arquivo index.ini especifica quais listas de impressões digitais
de arquivos e de nomes de aplicativo o Symantec Endpoint
Protection Manager deve atualizar.
Etapa 3 Tornar o arquivo compactado e o O Symantec Endpoint Protection Manager usa UNC, FTP ou
index.ini disponíveis ao Symantec HTTP/HTTPS para recuperar o arquivo index.ini e o arquivo zip
Endpoint Protection Manager no URL especificado. O Symantec Endpoint Protection Manager
usa as instruções no arquivo index.ini para atualizar os arquivos
especificados. Quando você ativar atualizações automáticas, o
Symantec Endpoint Protection Manager verificará
periodicamente o URL para obter arquivos atualizados com base
no agendamento que você definiu.
Nota: Se não puder usar UNC, FTP ou HTTP/HTTPS, você poderá
copiar o index.ini e os arquivos atualizados das listas de
impressões digitais de arquivos e de nomes de aplicativos
diretamente na pasta: ..\Symantec Endpoint Protection
Manager\data\inbox\WhitelistBlacklist\content. Os arquivos
devem ser descompactados. O Symantec Endpoint Protection
Manager verificará esta pasta se não puder usar UNC, FTP ou
HTTP/HTTPS para atualizar os arquivos.
556 Para gerenciar o controle de dispositivos e aplicativos
Configuração do bloqueio do sistema
Etapa 4 Ativar as atualizações automáticas de Você deve ativar a atualização automática de whitelists ou
whitelists e blacklists no console de blacklists existentes no console do Symantec Endpoint Protection
gerenciamento Manager.
Use a caixa de diálogo Atualização da impressão digital de
arquivos no Symantec Endpoint Protection Manager para ativar
o recurso de atualização e especificar o agendamento e as
informações do URL. O modo blacklist deve estar disponível no
Symantec Endpoint Protection Manager.
Etapa 5 Verificar o status de atualizações Você pode se certificar de que o Symantec Endpoint Protection
automáticas para whitelist ou blacklist Manager concluiu as atualizações verificando o status no console.
Nota: Se você usar caracteres que não sejam do inglês no arquivo de texto, deverá
usar UTF-8 sem um caractere de marca de ordem de byte (BOM, Byte Order Mark)
para editar e salvar o arquivo.
[Revision]
Revision=YYYYMMDD RXXX
SourceFile=zip file name
Description=optional description
[Revision]
Revision=20111014 R001
SourceFile=20110901 R001.zip
Description=NewUpdates
[FingerprintList - Default]
FingerprintListName 1="FingerprintList1.txt" REPLACE
FingerprintListName 2="FingerprintList2.txt" REPLACE
[ApplicationNameList - Default]
My Company\Group AA\Group AA 1="ApplicationNameList1.txt" REPLACE
My Company\Group AA\Group AA 2="ApplicationNameList2.txt" REPLACE
[FingerprintList - DomainABC]
FingerprintListName 1="FingerprintList1.txt" REPLACE
FingerprintListName 2="FingerprintList2.txt" REPLACE
[ApplicationNameList - DomainABC]
My Company\Group AA\Group AA 1="ApplicationNameList1.txt" REPLACE
My Company\Group AA\Group AA 2="ApplicationNameList2.txt" REPLACE
Nota: Você pode também criar regras de firewall para permitir aplicativos
aprovados no cliente.
Nota: Por padrão, o bloqueio do sistema será executado no modo whitelist quando
você o ativar. Você poderá escolher um modo whitelist ou blacklist se configurar
o Symantec Endpoint Protection Manager para mostrar ambas as opções.
Nota: Quando você testar itens individuais, o bloqueio do sistema será ativado. O
bloqueio do sistema continua a bloquear os aplicativos que não são parte do teste.
Ação Descrição
{00000000-0000-0000-0000-000000000000}
USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER_MICRO&REV_2033
\0002071406&0
USBSTOR\DISK&VEN_SANDISK*
USBSTOR\DISK*
USBSTOR*
5 Clique em OK.
6 Em Dispositivos excluídos do bloqueio, clique em Adicionar.
7 Na janela Seleção do dispositivo, selecione um ou mais dispositivos.
Para gerenciar o controle de dispositivos e aplicativos 571
Gerenciamento do controle de dispositivos
Nota: Você não pode criar exceções para verificações de um vírus individual e de
spyware. Por exemplo, se você criar uma exceção de arquivo, o Symantec Endpoint
Protection aplicará a exceção a todas as verificações de vírus e spyware
(Auto-Protect, Download Insight e qualquer verificação definida pelo administrador
ou usuário).
■ Arquivo
■ Pasta
■ Risco conhecido
■ Extensão
■ Domínio Web confiável
■ Aplicativo para monitoração
■ Aplicativo
■ Proteção contra adulterações
Tarefa Descrição
Restrição dos tipos de exceções que os Por padrão, nos computadores-cliente, os usuários
usuários podem configurar em têm direitos de configuração limitados para
computadores-cliente exceções. Você pode restringir os usuários ainda
mais, de modo que não possam criar exceções para
verificações de vírus e spyware ou para o SONAR.
Tarefa Descrição
Verificar os logs em busca de detecções Depois que o Symantec Endpoint Protection fizer
para as quais criar exceções uma detecção, você poderá criar uma exceção para
a detecção do evento de log.
Por exemplo, é possível criar uma exceção para
um arquivo que as verificações detectam, mas do
qual seus usuários solicitam o download.
Tarefa Descrição
Tarefa Descrição
Tarefa Descrição
Tarefa Descrição
O Download Insight deve estar ativado para que a exceção entre em vigor.
Nota: Se seus computadores-cliente usarem um proxy com autenticação,
será necessário especificar exceções do domínio da Web confiável para os
URLs da Symantec. As exceções permitem que seus computadores-cliente
comuniquem-se com o Symantec Insight e com outros sites importantes
da Symantec.
Tarefa Descrição
Consulte “Para criar uma exceção para um aplicativo que faz mudanças no
DNS ou em arquivo do host” na página 587.
5 Clique em OK.
Consulte “Criação de exceções para o Symantec Endpoint Protection” na página 576.
Para criar uma exceção para um aplicativo que faz mudanças no DNS
ou em arquivo do host
Você pode criar uma exceção para um aplicativo específico que faça mudanças no
DNS ou no arquivo do host. O SONAR pode impedir mudanças de sistema como
mudanças no DNS ou arquivo do host. Talvez seja preciso fazer uma exceção para
um aplicativo VPN, por exemplo.
Você pode monitorar um aplicativo específico de modo que possa criar uma exceção
de mudança no DNS ou no arquivo do host. Quando o Symantec Endpoint
Protection detectar o aplicativo, e o console de gerenciamento receber o evento,
o aplicativo aparecerá na lista do aplicativo. A lista de aplicativos aparecerá vazia
se os computadores-cliente de sua rede ainda não tiverem reconhecido nenhum
aplicativo.
588 Para gerenciar exceções
Restrição dos tipos de exceções que os usuários podem configurar em computadores-cliente
Nota: Você não pode criar exceções dos eventos de log para detecções de início
antecipado do antimalware.
Log do SONAR
Log do SONAR
O Symantec Endpoint Protection já deve ter detectado o item para o qual você
deseja criar uma exceção. Quando você usar um evento de log para criar uma
exceção, especifique a Política de exceções que deve incluir a exceção.
Consulte “Para gerenciar exceções para o Symantec Endpoint Protection”
na página 574.
Consulte “Criação de exceções para o Symantec Endpoint Protection” na página 576.
Para criar exceções de eventos de log no Symantec Endpoint Protection Manager
1 Na guia Monitores, clique na guia Logs.
2 Na lista suspensa Tipo de log, selecione o log de riscos, o log do SONAR ou o
log de controle de dispositivos e aplicativos.
3 Se você selecionou Controle de dispositivos e aplicativos, selecione Controle
de aplicativos na caixa de listagem Conteúdo do log.
4 Clique em Exibir log.
5 Ao lado de Intervalo de tempo, selecione o intervalo de tempo para filtrar o
log.
6 Selecione a entrada ou as entradas para as quais deseja criar uma exceção.
7 Ao lado de Ação, selecione o tipo de exceção que deseja criar.
O tipo de exceção que você selecionar deverá ser válido para o item ou os itens
selecionados.
8 Clicar em Aplicar ou Iniciar.
9 Na caixa de diálogo, remova todos os itens que você não quer incluir na
exceção.
10 Para riscos à segurança, marque Registrar quando o risco à segurança for
detectado, se quiser que o Symantec Endpoint Protection registre a detecção.
11 Selecione todas as Políticas de exceções que devem usar a exceção.
12 Clique em OK.
Capítulo 24
Para configurar
atualizações e atualizar a
proteção do
computador-cliente
Este capítulo contém os tópicos a seguir:
Tarefa Descrição
Executar o LiveUpdate Após instalar o Symantec Endpoint Protection Manager, ele é configurado para
após a instalação periodicamente atualizar o conteúdo de maneira automática. Porém, é possível executar o
LiveUpdate imediatamente ou em qualquer momento para fazer o download das mais
recentes atualizações do produto e de segurança.
Tarefa Descrição
Configurar uma Estabeleça comunicação entre um servidor proxy e o Symantec Endpoint Protection Manager
conexão para permitir para que ele possa se conectar a serviços de assinatura da Symantec. Um servidor proxy
que um servidor proxy pode fornecer um nível adicional de proteção entre seu site e um servidor externo do
se conecte ao servidor Symantec LiveUpdate.
do Symantec
Consulte “Para configurar o Symantec Endpoint Protection Manager para se conectar a um
LiveUpdate
servidor proxy a fim de acessar a Internet e fazer download de conteúdo do Symantec
LiveUpdate” na página 615.
Especificar Você pode especificar configurações de proxy para clientes que se conectam a um servidor
configurações de proxy interno do LiveUpdate para obter atualizações. As configurações de proxy são somente
para comunicação do para atualizações. Elas não se aplicam a outros tipos de comunicação externa que os clientes
cliente a um servidor usam. Configure o proxy para outros tipos de comunicação externa de clientes
interno do LiveUpdate separadamente.
Consulte “Especificação de um servidor proxy que os clientes usem para se comunicar com
o Symantec LiveUpdate ou um servidor interno do LiveUpdate” na página 615.
596 Para configurar atualizações e atualizar a proteção do computador-cliente
Para gerenciar atualizações de conteúdo
Tarefa Descrição
Algumas instalações que têm um grande número de clientes podem configurar um ou vários
Provedores de atualizações de grupo para reduzir a carga no servidor de gerenciamento.
Você também pode configurar uma lista explícita de Provedores de atualizações de grupo
que os clientes podem usar para se conectar aos Provedores de atualizações de grupo que
estão em sub-redes diferentes da própria sub-rede do cliente.
Nota: Os clientes Mac obtêm atualizações apenas de um servidor interno ou externo do
LiveUpdate.
Consulte “Sobre os tipos do conteúdo que o LiveUpdate pode fornecer” na página 597.
Configurar a Você pode decidir quanto controle para dar a seus usuários sobre suas atualizações de
quantidade de controle conteúdo.
que será dada a
Consulte “Configuração da quantidade de controle que os usuários têm sobre o LiveUpdate”
usuários sobre pelo
na página 620.
LiveUpdate
Ajustar parâmetros de Para diminuir o efeito dos downloads na largura de banda da rede, é possível fazer o
download do cliente download do conteúdo aleatoriamente de modo que nem todos os clientes obtenham
atualizações ao mesmo tempo.
Tabela 24-2 Os tipos de conteúdo que você pode configurar para o download
aos clientes
Você pode usar o Assistente de Implementação de Cliente para atualizar seus clientes
Mac. Link da Web e e-mail cria um pacote e envia o URL do download aos destinatários
pretendidos do e-mail. Salvar pacote cria e exporta um pacote de instalação. Este
pacote pode então ser implementado com uma ferramenta de terceiros ou colocado
em um local de rede para download e instalação manual.
Definições de vírus e spyware Pacotes separados da definição de vírus estão disponíveis para as plataformas x86 e
x64. Este tipo de conteúdo igualmente inclui a lista do portal do Auto-Protect.
Lista de aplicativos Inclui os aplicativos comerciais legítimos que geraram falsos positivos no passado.
comerciais da Verificação Estes serão usados para a compatibilidade com versões anteriores quando você
proativa de ameaças TruScan gerenciar clientes legados.
Assinaturas de prevenção Protege contra ameaças à rede e suporta a prevenção contra intrusões e os mecanismos
contra intrusões de detecção.
Conteúdo de integridade do Inclui os modelos de requisitos predefinidos que aplicam patches atualizados e medidas
host de segurança no computador-cliente. O LiveUpdate faz o download dos modelos para
os computadores que executam sistemas operacionais Windows e Mac.
Consulte “Para adicionar um requisito da integridade do host através de um modelo”
na página 891.
Nota: Essa opção somente aparecerá na caixa de diálogo Propriedades do site quando
você instalar o Symantec Network Access Control.
Nota: Você não pode excluir todos os tipos de conteúdo. Por exemplo, Assinaturas
e atributos de arquivo estendido, usados para controlar certificados-raiz e
informações do signatário, são sempre obtidos por download.
Quando você instalar um Quando você fizer a atualização, precisará fazer download desses tipos de
cliente não gerenciado conteúdo
Quando você instalar um Quando você fizer a atualização, precisará fazer download desses tipos de
cliente não gerenciado conteúdo
Quando você instalar um Quando você fizer a atualização, precisará fazer download desses tipos de
cliente não gerenciado conteúdo
Servidor interno do Os computadores-cliente podem fazer o Você pode usar um servidor interno do
LiveUpdate para download de atualizações diretamente de LiveUpdate em redes muito grandes para
computadores-cliente um servidor interno do LiveUpdate que reduzir a carga no Symantec Endpoint
recebe suas atualizações de um servidor do Protection Manager. Você deve primeiro
Symantec LiveUpdate. considerar se os provedores de atualizações
de grupo cumprem as necessidades de sua
Você usa o utilitário de administração do
organização. Os provedores de atualizações
LiveUpdate para fazer o download das
de grupo são mais fáceis de configurar e
atualizações de definição do servidor do
também reduzem a carga nos servidores de
Symantec LiveUpdate. O utilitário coloca os
gerenciamento.
pacotes em um servidor da Web, em um site
FTP ou em um local designado com um Use um servidor interno do LiveUpdate se
caminho UNC. Você configura seus você tiver clientes Mac e não quiser que se
servidores de gerenciamento e conectem ao Servidor do Symantec
computadores-cliente para fazer o download LiveUpdate pela Internet.
de suas atualizações de definições por este
Um servidor interno do LiveUpdate também
local.
será útil se sua organização executar vários
Caso necessário, é possível configurar vários produtos da Symantec que também usam o
servidores internos do LiveUpdate e LiveUpdate para atualizar os
distribuir a lista a computadores-cliente. computadores-cliente.
Para obter mais informações sobre a Normalmente, você usa um servidor interno
configuração do servidor do LiveUpdate, do LiveUpdate em grandes redes de mais de
consulte o Guia de Usuário Administrador 10.000 clientes.
do LiveUpdate. Nota: Você não deve instalar o Symantec
O guia está disponível no disco do produto Endpoint Protection Manager e um servidor
Ferramentas e no site do Suporte da interno do LiveUpdate no mesmo hardware
Symantec. ou máquina virtual física. A instalação no
mesmo computador pode causar problemas
significativos de desempenho no servidor.
Distribuição de Ferramentas de terceiros, como Microsoft Use esse método quando quiser testar
ferramentas de terceiros SMS, permitem distribuir arquivos de arquivos de atualização antes de
atualização específicos para clientes. distribuí-los. Use esse método se você tem
uma infraestrutura de distribuição de
ferramentas de terceiros e deseja
aproveitá-la.
Intelligent Updater Os arquivos do Intelligent Updater contêm Você pode usar arquivos do Intelligent
o conteúdo de risco à segurança e vírus que Updater se não quiser usar o Symantec
você pode usar para atualizar clientes LiveUpdate ou se o LiveUpdate não estiver
manualmente. Você pode fazer o download disponível.
dos arquivos com extração automática do
Consulte “Para usar arquivos do Intelligent
Intelligent Updater no site da Symantec.
Updater para atualizar definições de vírus
e de riscos à segurança do cliente”
na página 647.
Symantec LiveUpdate
Servidor de Servidor de
Grupo de clientes gerenciamento gerenciamento
Provedor de
atualizaes de
Grupos de grupo Cliente
clientes
Clientes
Grupo de clientes
Symantec LiveUpdate
Servidor Servidor
interno do LiveUpdate interno do LiveUpdate
Servidor de gerenciamento
Grupos de clientes
Grupos de clientes
Decisão Descrição
Com que frequência meu site O agendamento padrão de que o Symantec Endpoint Protection Manager execute o
deve procurar atualizações LiveUpdate a cada quatro horas é uma melhor prática.
de conteúdo do LiveUpdate?
610 Para configurar atualizações e atualizar a proteção do computador-cliente
Configuração de um site para fazer o download de atualizações de conteúdo
Decisão Descrição
De que tipo de conteúdo devo Certifique-se de que o site faça o download de todas as atualizações de conteúdo
fazer download? especificadas nas Políticas de conteúdo do LiveUpdate do cliente.
Consulte “Sobre os tipos do conteúdo que o LiveUpdate pode fornecer” na página 597.
Quais idiomas devem ser Esta configuração na caixa de diálogo Propriedades do site se aplica apenas às
transferidos por download atualizações do produto; as atualizações de conteúdo são apropriadas para todos os
para as atualizações do idiomas.
produto?
Qual servidor do LiveUpdate Você pode especificar um servidor do Symantec LiveUpdate (recomendado) externo
deve servir o conteúdo ao ou um ou mais servidores internos do LiveUpdate que foram previamente instalados
site? e configurados.
Decisão Descrição
Quantas revisões de Uma boa razão para armazenar várias revisões de um único tipo de conteúdo é fornecer
conteúdo o site deve a capacidade de criar e distribuir deltas aos clientes. Quando o Symantec Endpoint
armazenar e os pacotes do Protection Manager e o cliente tiverem uma revisão de conteúdo em comum, o
cliente devem ser Symantec Endpoint Protection Manager poderá usá-la como uma base para um delta
armazenados a ser enviado para clientes. Os clientes podem aplicar o delta para a mesma base
descompactados? localmente a fim de obter o conteúdo mais recente. Os deltas são, tipicamente, muito
menores do que os pacotes completos, o que resulta em grande economia de largura
de banda.
Consulte “Para configurar as revisões de conteúdo usadas pelos clientes” na página 621.
Nota: Se você usar um servidor UNC, o LiveUpdate exigirá que você use o
domínio ou o grupo de trabalho como parte do nome de usuário.
Se o computador estiver em um domínio, use o formato
domain_name\user_name.
Se o computador estiver em um grupo de trabalho, use o formato
computer_name\user_name.
15 Clique em OK.
Consulte “Para gerenciar atualizações de conteúdo” na página 592.
Nota: Use este recurso com muito cuidado. Desmarcar um tipo de conteúdo significa
que o recurso não é mantido atualizado no cliente. Isto pode colocar seus clientes
em risco.
618 Para configurar atualizações e atualizar a proteção do computador-cliente
Configuração do agendamento de download do LiveUpdate para computadores-cliente
Nota: Se você tiver clientes Mac, eles poderão instalar apenas atualizações
para as definições de spyware e de vírus. Esta opção, em Configurações do
Mac, Definições de segurança, é ativada por padrão.
6 Clique em OK.
Consulte “Configuração de um site para fazer o download de atualizações de
conteúdo” na página 609.
Consulte “Para gerenciar atualizações de conteúdo” na página 592.
Em um cenário com poucos clientes em que você queira uma rápida distribuição
de conteúdo, é possível definir a janela de escolha aleatória em um valor mais
baixo. O valor mais baixo de escolha aleatória aumenta a carga máxima no servidor,
mas fornece uma distribuição mais rápida de conteúdo aos clientes.
Para downloads do servidor de gerenciamento padrão ou de um Provedor de
atualizações de grupo, defina as configurações da escolha aleatória na caixa de
diálogo Configurações de comunicação para o grupo selecionado. As configurações
não são parte da política de configurações do LiveUpdate.
Para downloads de um servidor do LiveUpdate para clientes, defina a configuração
da escolha aleatória como parte da política de configurações do LiveUpdate.
Consulte “Como escolher aleatoriamente downloads do conteúdo do servidor de
gerenciamento padrão ou de um Provedor de atualizações de grupo” na página 624.
Consulte “Como escolher aleatoriamente o download de conteúdo de um servidor
do LiveUpdate” na página 625.
Consulte “Configuração de um servidor interno do LiveUpdate” na página 629.
Nota: Se você usar um servidor UNC o LiveUpdate exigirá que você use o
domínio ou o grupo de trabalho além do nome de usuário. Se o computador
fizer parte de um domínio, use o formato domain_name\user_name
Se o computador fizer parte de um grupo de trabalho, use o formato
computer_name\user_name
Para configurar atualizações e atualizar a proteção do computador-cliente 631
Configuração de um servidor interno do LiveUpdate
Etapa 2 Verificar a comunicação do Antes que você configure Provedores de atualizações de grupo, verifique
cliente se os clientes podem receber atualizações de conteúdo do servidor. Resolva
quaisquer problemas de comunicação cliente-servidor.
Etapa 4 Atribuir a Política de A Política de configurações do LiveUpdate é atribuída aos grupos que usam
configurações do LiveUpdate os Provedores de atualizações de grupo. Também é possível atribuir a
aos grupos política ao grupo em que o Provedor de atualizações de grupo reside.
Para um único Provedor de atualizações de grupo, é atribuída uma Política
de configurações do LiveUpdate por grupo por site.
Etapa 5 Verificar se os clientes estão Você pode exibir os computadores-cliente que são designados como
designados como Provedores Provedores de atualizações de grupo. Você pode procurar
de atualizações de grupo computadores-cliente para exibir uma lista de Provedores de atualizações
de grupo. Você também pode clicar em um computador-cliente na página
Clientes e exibir suas propriedades para ver se é um Provedor de
atualizações de grupo.
Nota: Você não pode usar vários Provedores de atualizações de grupo com os
clientes legados que executam versões do Symantec Endpoint Protection
anteriores à versão 11.0.5 (RU5).
Nota: Como o Symantec Endpoint Protection Manager cria uma lista global, todos
os Provedores de atualizações de grupo configurados em qualquer uma das políticas
em um Symantec Endpoint Protection Manager estão potencialmente disponíveis
para o uso dos clientes. Os clientes em uma sub-rede diferente poderão usar um
Provedor de atualizações de grupo que você configurou como único provedor
estático se o mapeamento da sub-rede configurado em uma lista explícita de outra
política corresponder a ele.
12.1.2 ou posterior 12.1.2 ou 11.0.5 ou Você pode configurar Provedores de atualizações de grupo
posterior posterior explícitos estáticos e dinâmicos.
12.1.2 ou posterior 12.1.2 ou 11.0.0 a 11.0.4 Você pode configurar um computador-cliente 11.0.4 como
posterior um único Provedor de atualizações de grupo. Você pode então
usá-lo em uma lista de Provedores de atualização do grupo
explícito como um Provedor de atualizações de grupo estático.
12.1.2 ou posterior 12.1.1 e Qualquer Você pode configurar um único ou vários Provedores de
anterior atualizações de grupo, mas não Provedores de atualizações
de grupo explícitos, pois os clientes não os suportam.
12.1.1 e anterior Qualquer Qualquer Você pode configurar um único ou vários Provedores de
atualizações de grupo, mas nenhum tipo de Provedor de
atualizações de grupo explícito, pois não estão disponíveis
no Symantec Endpoint Protection Manager.
Único Use um único Provedor de atualizações de grupo quando sua rede incluir alguns dos
seguintes cenários:
Lista explícita Use uma lista explícita de Provedores de atualizações de grupo quando você quiser que os
clientes possam se conectar aos Provedores de atualizações de grupo que estão nas
sub-redes diferentes da sub-rede do cliente. Os clientes que mudarem de local poderão
mover-se para o Provedor de atualizações de grupo mais próximo na lista.
Nota: Clientes de divulgações anteriores a esta versão não suportam o uso de listas de
Provedores de atualizações de grupo explícitos. Clientes que se comunicam com o Symantec
Endpoint Protection Manager versões 12.1 e anterior não receberão nenhuma informação
sobre listas de Provedores de atualização de grupo explícitos.
Para configurar atualizações e atualizar a proteção do computador-cliente 639
Para usar Provedores de atualizações de grupo para distribuir conteúdo aos clientes
Vários Use vários Provedores de atualizações de grupo quando sua rede incluir alguns dos
seguintes cenários:
modo que o cliente possa determinar qual provedor de atualizações de grupo deve
usar. Devido a este processo, clientes que tenham políticas com somente provedores
de atualizações de grupo explícitos ou múltiplos configurados poderão também
usar provedores únicos de atualizações de grupo, se o provedor único atender ao
critério explícito de mapeamento. Este fenômeno pode ocorrer porque os
provedores únicos são uma parte da lista global de provedores que os clientes
obtêm do Symantec Endpoint Protection Manager.
Assim, todos os provedores de atualizações de grupo que são configurados em
algumas das políticas em um Symantec Endpoint Protection Manager estão
potencialmente disponíveis para uso pelos clientes. Se você aplicar uma política
que contenha somente uma lista de provedores de atualização do grupo explícita
aos clientes em um grupo, todos os clientes do grupo tentarão usar os provedores
de atualizações de grupo que estão na lista global do provedor de atualizações de
grupo do Symantec Endpoint Protection Manager que atender aos critérios
explícitos de mapeamento.
Nota: Um cliente do Symantec Endpoint Protection pode ter vários endereços IP.
O Symantec Endpoint Protection vai considerar todos os endereços IP quando
corresponderem a um provedor de atualizações de grupo. Assim, o endereço IP
ao qual a política corresponde não é sempre vinculado à interface que o cliente
usa para se comunicar com o Symantec Endpoint Protection Manager e o provedor
de atualizações de grupo.
Por exemplo, suponha que um cliente tenha o endereço IP A, que ele usa para se
comunicar com o Symantec Endpoint Protection Manager e com o Provedor de
atualizações de grupo. Este mesmo cliente também tem o endereço IP B, que é
aquele que corresponde ao Provedor de atualizações de grupo explícito que você
configurou na política de configurações do LiveUpdate para este cliente. O cliente
pode escolher usar um Provedor de atualizações de grupo baseado no endereço
B, mesmo que aquele não seja o endereço que usado para se comunicar com o
Provedor de atualizações de grupo.
Para configurar uma lista explícita de Provedores de atualizações de grupo
1 No console, clique em Políticas.
2 Em Políticas, clique em LiveUpdate.
3 Na guia Configurações do LiveUpdate, clique em Adicionar uma política de
configurações do LiveUpdate ou clique com o botão direito do mouse na
política que deseja e clique em Editar.
4 Na janela Política de configurações do LiveUpdate, clique em Configurações
do servidor.
5 Em Servidor interno ou externo do LiveUpdate, selecione Use o servidor de
gerenciamento padrão.
6 Em Provedor de atualizações de grupo, marque Usar o Provedor de
atualizações de grupo.
7 Clique em Provedor de atualizações de grupo.
8 Na caixa de diálogo Provedor de atualizações de grupo, em Seleção de
Provedor de atualização de grupo para o cliente, clique em Provedores de
atualizações de grupo explícitos para clientes em roaming e clique em
Configurar a lista de Provedores de atualizações de grupo explícitos.
9 Clique em Adicionar.
10 Na caixa de diálogo Adicionar Provedor de atualizações de grupo explícito,
digite a sub-rede do cliente para a qual você quer mapear estes Provedores
de atualizações de grupo.
11 Em Configurações do provedor de grupo explícito, selecione o Tipo de
mapeamento que você quer configurar: baseado no endereço IP, no nome do
host ou no endereço de rede do Provedor de atualizações de grupo.
12 Digite as configurações necessárias para o tipo de mapeamento selecionado
e clique em OK.
Para configurar atualizações e atualizar a proteção do computador-cliente 647
Para usar arquivos do Intelligent Updater para atualizar definições de vírus e de riscos à segurança do cliente
Para pesquisar pelos clientes que atuam como Provedores de atualizações de grupo
1 No console, clique em Clientes.
2 Na guia Clientes, na caixa Exibir, selecione Status do cliente.
3 No painel Tarefas, clique em Procurar clientes.
4 Na lista suspensa Localizar, selecione Computadores.
5 Na caixa No grupo especificar o nome do grupo.
6 Em Critérios de pesquisa, clique na coluna Campo de pesquisa e selecione
Provedor de atualizações de grupo.
7 Em Critérios de pesquisa, clique na coluna Operador de comparação e
selecione =.
8 Em Critérios de pesquisa, clique na coluna Valor e selecione Verdadeiro.
Clique em Ajuda para as informações nos critérios de pesquisa.
9 Clique em Pesquisar.
Consulte “Para usar Provedores de atualizações de grupo para distribuir conteúdo
aos clientes ” na página 632.
Tarefa Descrição
Tarefa Descrição
0x00000080 (128)
Cada grupo de clientes do Symantec Endpoint Protection Manager tem seu próprio
arquivo index2. O arquivo index2 para cada grupo de clientes é encontrado em
uma pasta para esse grupo. As pastas para grupos de clientes podem sejam
encontradas em unidade:\Arquivos de programas\Symantec\Symantec Endpoint
Protection Manager\data\outbox\agent. O nome de pasta para um grupo de clientes
corresponde ao número de série da política de grupo. Você pode encontrar o
número de série na caixa de diálogo Propriedades do grupo ou na página Clientes
guia Detalhes. Os primeiros quatro valores hexadecimais de cada número de série
da política de grupo correspondem aos primeiros quatro valores hexadecimais da
pasta desse grupo.
O arquivo index2.dax usado pelos clientes gerenciados é criptografado. Para
verificar o conteúdo do arquivo, abra o arquivo index2.xml que está disponível
na mesma pasta. O arquivo index2.xml fornece uma lista dos identificadores de
conteúdo e de seus números de sequência (revisão). Por exemplo, é possível ver a
seguinte entrada:
Nota: Você deve usar o comando Copiar para colocar arquivos na pasta \inbox do
cliente. Usar o comando Mover não aciona a o processamento de atualização e a
atualização falha. Se você compactar o conteúdo em um único arquivo morto para
distribuição, você não deverá descompactá-lo diretamente na pasta \inbox.
Se você distribuir o conteúdo de vírus e spyware aos clientes legados que usam o
Symantec Endpoint Protection 11.x, o esquema do identificador será alterado.
Você pode usar as definições da versão 12.x para atualizar clientes legados, mas
deve renomear o identificador de destino antes de distribuí-lo.
Para configurar atualizações e atualizar a proteção do computador-cliente 655
Como usar ferramentas de distribuição de terceiros para atualizar computadores-cliente
■ Exibição de logs
Você pode usar os relatórios e os logs para determinar as respostas aos seguintes
tipos de perguntas:
■ Que computadores estão infectados?
■ Que computadores precisam de verificação?
■ Que riscos foram detectados na rede?
Tarefa Descrição
Rever o status de A seguinte lista descreve algumas das tarefas que você pode executar para monitorar o
segurança de sua rede status de segurança de seu computador-cliente.
■ Obter uma contagem de vírus detectados e de outros riscos à segurança e exibir detalhes
para cada vírus e risco à segurança.
Consulte “Exibição de riscos” na página 664.
■ Obter uma contagem de computadores desprotegidos em sua rede e exibir detalhes
para cada um.
Consulte “Exibição da proteção do sistema” na página 663.
■ Exibir o número de computadores com definições atualizadas de vírus e spyware.
Consulte “Exibição da proteção do sistema” na página 663.
■ Exibir o status operacional em tempo real de seus computadores-cliente.
Consulte “Exibição do status de proteção de clientes e computadores-cliente”
na página 242.
■ Exibir o número de computadores que estão off-line.
Consulte “Para encontrar computadores off-line” na página 663.
■ Rever os processos que são executados em sua rede.
Consulte “Monitoramento de resultados de detecção do SONAR para procurar falsos
positivos” na página 440.
■ Localizar quais computadores estão atribuídos a cada grupo.
■ Exibir uma lista de versões do software Symantec Endpoint Protection que estão
instaladas nos clientes e nos servidores do Symantec Endpoint Protection Manager em
sua rede.
Consulte “Para gerar uma lista de versões do Symantec Endpoint Protection instaladas
nos clientes e servidores em sua rede” na página 667.
■ Exibir as informações de licenciamento nos computadores-cliente, o que inclui o número
de estações válidas, de estações implementadas excessivamente, de estações expiradas
e a data de vencimento.
Consulte “Verificação do status da licença” na página 125.
Tarefa Descrição
Localizar quais Você pode executar as tarefas a seguir para exibir ou encontrar quais computadores
computadores-cliente precisam de proteção adicional:
precisam de proteção
■ Exibir o número de computadores com o Symantec Endpoint Protection desativado.
Consulte “Exibição da proteção do sistema” na página 663.
■ Exibir o número de computadores com definições desatualizadas de vírus e spyware.
Consulte “Exibição da proteção do sistema” na página 663.
■ Encontrar os computadores que não foram verificados recentemente.
Consulte “Como encontrar computadores não verificados” na página 664.
■ Exibir destinos e origens do ataque.
Consulte “Exibição de destinos e origens do ataque” na página 666.
■ Exibir logs de eventos.
Consulte “Exibição de logs” na página 679.
Proteger seu Você pode executar comandos do console para proteger os computadores-cliente.
computadores-cliente
Consulte “Para executar comandos através do log de status do computador” na página 685.
Configurar notificações Você pode criar e configurar notificações a serem acionadas quando certos eventos
para alertá-lo quando relacionados à segurança ocorrerem. Por exemplo, é possível definir uma notificação para
eventos de segurança ocorrer quando uma tentativa de intrusão ocorre em um computador-cliente.
ocorrerem
Consulte “Configuração de notificações do administrador” na página 699.
Criar relatórios rápidos Você pode criar e gerar relatórios rápidos personalizados e pode agendar relatórios
personalizados e personalizados para que sejam executados regularmente com as informações que deseja
agendados para ver.
monitoramento
Consulte “Execução e personalização de relatórios rápidos” na página 672.
contínuo
Consulte “Criação de relatórios agendados” na página 676.
Tarefa Descrição
Minimizar a quantidade Para finalidades de segurança, convém reter registros de log por mais tempo. No entanto,
de espaço que os logs do se você tiver um grande número de clientes, poderá ter um grande volume de dados de log
cliente ocupam dos clientes.
Se seu servidor de gerenciamento ficar pouco espaço, convém diminuir o tamanho do log
e a quantidade de tempo durante o qual o banco de dados mantém os logs.
Você pode reduzir o volume de dados do log executando as tarefas a seguir:
■ Fazer upload somente de alguns logs do cliente para o servidor e altere a frequência
com a qual o upload dos logs do cliente é feito.
Consulte “Especificação do tamanho do log do cliente e de quais fazer upload para o
servidor de gerenciamento” na página 792.
■ Especificar quantas entradas de log o computador-cliente pode manter no banco de
dados e por quanto tempo pode mantê-las.
Consulte “Como especificar por quanto tempo as entradas de log devem ser mantidas
no banco de dados” na página 793.
■ Filtrar os eventos de risco e de sistema menos importantes para que menos dados sejam
encaminhados ao servidor.
Consulte “Modificação de configurações variadas para Proteção contra vírus e spyware
em computadores Windows” na página 417.
■ Reduzir o número de clientes que cada servidor de gerenciamento gerencia.
■ Reduzir a frequência da pulsação, que controla a frequência com que é feito o upload
dos logs dos clientes para o servidor.
Consulte “Configuração do modo de envio ou de instalação pull para atualizar políticas
e conteúdo do cliente” na página 329.
■ Reduzir a quantidade de espaço no diretório onde os dados de log são armazenados
antes de serem inseridos no banco de dados.
Consulte “Sobre aumentar o espaço em disco no servidor para dados de log de clientes”
na página 794.
662 Para monitorar a proteção com relatórios e logs
Monitoração da proteção de endpoints
Tarefa Descrição
Exportar dados de log A exportação de dados do log é útil se você deseja reunir todos os logs da rede em um local
para um local centralizado. A exportação de dados de log também é útil quando você deseja usar um
centralizado programa de terceiros, como uma planilha eletrônica para organizar ou manipular os
dados. Convém também exportar os dados dos seus logs antes de excluir os dados gravados
no log.
É possível exportar os dados em alguns logs para um arquivo de texto delimitado por
vírgulas. Você pode exportar dados de outros logs para um arquivo de texto delimitado
por tabulação, chamado arquivo de despejo, ou para um servidor Syslog.
Consulte “Exportação de dados do log para um arquivo de texto delimitado por vírgulas”
na página 791.
Solucionar problemas Você pode solucionar alguns problemas com a geração de relatórios.
com relatórios e logs
Consulte “Solução de problemas de geração de relatórios” na página 835.
Exibição de riscos
Você pode obter informações sobre os riscos em sua rede.
Consulte “Monitoração da proteção de endpoints” na página 657.
Para monitorar a proteção com relatórios e logs 665
Monitoração da proteção de endpoints
Você pode salvar o relatório usando o formato de arquivo morto da página da Web
MHTML.
Consulte “Como imprimir e salvar a cópia de um relatório” na página 678.
Se você usar o Symantec Network Access Control, aquelas versões de software
serão também incluídas no relatório.
Para gerar um relatório que relacione as versões do software Symantec Endpoint
Protection
1 No console, clique em Relatórios.
2 Em Tipo de relatório, selecione Status do computador.
3 Em Selecione um relatório, selecione Versões do produto Symantec Endpoint
Protection.
4 Clique em Criar relatório.
Nota: Se você tiver apenas o Symantec Network Access Control instalado, você
não terá a guia Status de segurança para configurar os limites de segurança.
Para monitorar a proteção com relatórios e logs 669
Logon no relatório através de um navegador da Web autônomo
Para obter informações sobre as opções de preferência definidas, você pode clicar
em Ajuda em cada guia na caixa de diálogo Preferências.
Para configurar as preferências de relatório
1 No console, na página Início, clique em Preferências.
2 Clique nas seguintes guias, dependendo do tipo de preferências que deseja
definir:
■ Página inicial e monitores
■ Status de segurança
■ Logs e relatórios
Nota: Você deve ter o Internet Explorer 6.0 ou superior instalado. Outros
navegadores da Web não são suportados.
Se você tiver vários domínios na rede, muitos relatórios permitirão exibir os dados
de todos os domínios ou de um ou alguns sites. O padrão de todos os relatórios
rápidos é a exibição de todos os domínios, grupos, servidores e assim por diante,
conforme apropriado para o relatório que você selecionar.
Consulte “Execução e personalização de relatórios rápidos” na página 672.
Nota: As caixas de texto das opções de filtro que aceitam caracteres curinga
e que pesquisam correspondências não diferenciam maiúsculas de minúsculas.
O asterisco ASCII é o único que pode ser usado como um caractere curinga.
Nota: O Internet Explorer não imprime as cores e imagens do segundo plano por
padrão. Se a opção de impressão estiver desativada, o relatório impresso poderá
parecer diferente do relatório criado por você. Você pode alterar as configurações
no navegador para imprimir as cores e imagens do segundo plano.
Exibição de logs
Você pode gerar uma lista de eventos para exibir dos logs baseados em uma coleção
de configurações de filtro selecionadas por você. Cada tipo de log e de conteúdo
tem uma configuração padrão de filtro que pode ser usada como está ou ser
modificada. Você pode também criar e salvar novas configurações de filtro. Esses
novos filtros podem basear-se no filtro padrão ou em um filtro existente criado
previamente. Se você salvar a configuração do filtro, poderá gerar a mesma exibição
do log mais tarde, sem precisar definir as configurações cada vez. É possível excluir
configurações personalizadas de filtro se você não precisar mais delas.
Nota: Se forem gerados erros no banco de dados ao exibir os logs que incluem uma
grande quantidade de dados, você poderá alterar os parâmetros do tempo limite
do banco de dados.
Se surgirem erros CGI ou de processos concluídos, convém alterar outros
parâmetros do tempo limite.
Nota: Se você exibir dados de log usando datas específicas, os dados permanecerão
os mesmos quando você clicar em Atualizar automaticamente.
7 Após definir a configuração de exibição que você deseja, clique em Exibir log.
A exibição do log aparece na mesma janela.
Para monitorar a proteção com relatórios e logs 681
Exibição de logs
Nota: Caso você tenha apenas o Symantec Network Access Control instalado,
somente alguns logs conterão dados; outros logs estarão vazios. Os logs de
auditoria, de conformidade, de status do computador e do sistema contêm dados.
Se tiver apenas o Symantec Endpoint Protection instalado, os logs de conformidade
e do Enforcer estarão vazios, mas todos os outros logs conterão dados.
Além de usar os logs para monitorar sua rede, você poderá tomar as seguintes
ações dos vários logs:
■ Executar comandos nos computadores-cliente.
Consulte “Para executar comandos através do log de status do computador”
na página 685.
■ Adicionar diversos tipos de exceções.
Consulte “Para criar exceções de eventos de log no Symantec Endpoint
Protection Manager” na página 589.
■ Excluir arquivos da Quarentena.
Consulte “Para usar o Log de riscos para excluir arquivos em quarentena em
seu computador-cliente” na página 395.
A Tabela 25-3 descreve os diferentes tipos de conteúdo que podem ser exibidos e
as ações que podem ser realizadas através de cada log.
682 Para monitorar a proteção com relatórios e logs
Exibição de logs
Conformidade Os logs de conformidade contêm informações sobre o servidor Enforcer, seus clientes
e seu tráfego, e sobre a conformidade do host.
Nenhuma ação está associada a esses logs.
Status do computador O Log de status do computador contém informações sobre o status operacional em
tempo real dos computadores-cliente na rede.
Proteção contra ameaças à Os logs da Proteção contra ameaças à rede contêm informações sobre ataques ao
rede firewall e prevenção contra intrusões. São disponibilizadas informações sobre ataques
de negação de serviço, verificação de portas e mudanças efetuadas em arquivos
executáveis. Os logs também contêm informações sobre conexões efetuadas por meio
do firewall (tráfego) e os pacotes de dados que passam por ele. Esses logs contêm
ainda algumas das mudanças operacionais que são efetuadas nos computadores,
como aplicativos de rede e configuração de software.
SONAR O log do SONAR contém informações sobre as ameaças que foram detectadas durante
a verificação de ameaças do SONAR. Estas são verificações em tempo real que detectam
aplicativos potencialmente maliciosos quando são executados em seu
computador-cliente.
Se você tiver clientes legados em sua rede, o log do SONAR poderá também conter as
informações das Verificações proativas de ameaças TruScan legadas.
Risco O Log de riscos contém informações sobre eventos de risco. As informações disponíveis
incluem a hora do evento, a ação real do evento, o nome de usuário, o computador e
domínio, a fonte e o nome do risco, a contagem, o arquivo e o caminho.
Sistema Os logs do sistema contêm informações sobre eventos, como quando um serviço é
iniciado ou interrompido.
são salvas no banco de dados. O nome do filtro aparece na caixa de listagem Utilizar
um filtro salvo para esse tipo de log e relatório.
■ Gerenciamento de notificações
Gerenciamento de notificações
As notificações alertam os administradores e os usuários de computadores sobre
problemas de segurança em potencial.
Alguns tipos de notificação contêm os valores padrão quando você as configura.
Essas orientações oferecem razoáveis pontos de partida, dependendo do tamanho
do seu ambiente, mas podem precisar de ajustes. Pode ser necessário o método de
tentativa e erro para encontrar o correto equilíbrio entre muitas ou poucas
notificações para seu ambiente. Configure o limite em um nível inicial e espere
alguns dias. Após alguns dias, é possível ajustar as configurações das notificações.
Para detecção de eventos de firewall, riscos à segurança e vírus, digamos que você
tenha menos de 100 computadores em uma rede. Um ponto de partida razoável
nessa rede é configurar uma notificação quando dois eventos de risco forem
detectados dentro de um minuto. Se você tiver de 100 a 1.000 computadores, a
detecção de cinco eventos de risco dentro de um minuto pode ser um ponto de
partida mais útil.
690 Para gerenciar notificações
Gerenciamento de notificações
Gerencie notificações na página Monitores. Você pode usar a página Início para
determinar o número de notificações desconhecidas que precisam de sua atenção.
A Tabela 26-1 lista as tarefas que você pode executar para gerenciar notificações.
Tarefa Descrição
Confirme que o servidor de As notificações enviadas por e-mail exigem que o Symantec
e-mail está para Endpoint Protection Manager e servidor de e-mail estejam
configurado para ativar configurados corretamente.
notificações de e-mail
Consulte “Estabelecimento de comunicação entre o servidor
de gerenciamento e os servidores de e-mail” na página 696.
Crie filtros de notificação Opcionalmente, crie filtros que para expandir ou limitar a
exibição de todas as notificações que foram acionadas.
quando uma notificação for acionada. Uma ação pode gravar a notificação em um
log, executar um arquivo de lote ou um arquivo executável ou enviar um e-mail.
Notificação Descrição
Lista de clientes alterada Esta notificação será acionada quando houver uma
mudança na lista existente de clientes. Esta condição
de notificação é ativada por padrão.
■ A adição de um cliente
■ Uma mudança no grupo de um cliente
■ Uma mudança no nome de um cliente
■ A exclusão de um cliente
■ Uma mudança no hardware de um cliente
■ Uma mudança no status Detector não gerenciado
de um cliente
■ Uma alteração no modo do cliente
Alerta de segurança do cliente Esta notificação será acionada com qualquer um dos
seguintes eventos de segurança:
■ Eventos de conformidade
■ Eventos da Proteção contra ameaças à rede
■ Eventos de tráfego
■ Eventos do pacote
■ Eventos de controle de dispositivos
■ Eventos do controle de aplicativos
Notificação Descrição
Notificação Descrição
Novo pacote de software Esta notificação será acionada quando for feito o
download de um novo pacote de software ou o seguinte
ocorrer:
■ O LiveUpdate faz o download de um pacote de
cliente.
■ É realizado o upgrade do servidor de gerenciamento.
■ O console importa manualmente pacotes de cliente.
Notificação Descrição
■ Atividades do servidor
■ Atividades do Enforcer
■ Falhas na replicação
■ Erros do sistema
5 Clique em OK.
Consulte “Gerenciamento de notificações” na página 689.
Consulte “Exibição e reconhecimento de notificações” na página 697.
Diversas condições de notificação pode ter uma configuração nova que não aparecia
nas versões anteriores: Enviar e-mail aos administradores do sistema. Se essa
configuração for nova para uma condição de notificação, ela estará inativa por
padrão para todas as condições existentes desse tipo que sucedam o upgrade.
Quando um tipo padrão de condição de notificação não tiver sido adicionado em
uma instalação anterior, essa condição de notificação será adicionada na instalação
com upgrade. Porém, o processo de upgrade não poderá determinar que condições
padrão de notificação teriam sido excluídas deliberadamente pelo administrador
na instalação anterior. Com uma exceção, portanto, todas as configurações
seguintes de ação estarão inativas em cada condição padrão de notificação em
702 Para gerenciar notificações
Como os upgrades de outra versão afetam as condições de notificação
Use a ferramenta Exceção de imagem A ferramenta Exceção de imagem virtual permite marcar arquivos de
virtual de modo que os clientes possam imagem base como seguros para que as verificações ignorem esses arquivos
ignorar a verificação de arquivos de e reduzam as cargas da verificação.
imagem base. Nota: A Symantec não suporta o uso da ferramenta Exceção de imagem
virtual em um ambiente físico.
Configure o recurso de infraestruturas Os clientes do Symantec Endpoint Protection têm uma configuração para
de área de trabalho virtual não indicar que são clientes virtuais não persistentes. Você pode configurar
persistente. um período de duração separado para as GVMs off-line em infraestruturas
de área de trabalho virtual não persistente. O Symantec Endpoint Protection
Manager remove clientes GVM não persistentes que estiverem off-line por
mais tempo do que o período especificado.
Etapa Tarefa
Requisito Descrição
Memória Mínimo de 2 GB
Nota:
Nota: Ou você pode digitar o comando a seguir, para iniciar o mesmo programa
de instalação:
msiexec /i SharedInsightCacheInstallation.msi
712 Para instalar e usar um Cache de inteligência compartilhado baseado em rede
Para instalar e desinstalar um Cache de inteligência compartilhado baseado em rede
7 Clique em Instalar.
8 Quando a instalação estiver concluída, clique em Concluir.
Consulte “Para personalizar as configurações baseadas em rede do Cache de
inteligência compartilhado” na página 715.
Desinstalar o Cache de inteligência compartilhado tem o mesmo efeito que
interromper o serviço do Cache de inteligência compartilhado. Se não tiver certeza
de que deseja desinstalar permanentemente o Cache de inteligência compartilhado,
será possível interromper o serviço.
Consulte “Para interromper e iniciar o serviço do Cache de inteligência
compartilhado” na página 719.
Para instalar e usar um Cache de inteligência compartilhado baseado em rede 713
Para ativar ou desativar o uso do Cache de inteligência compartilhado baseado na rede
5 Se você tiver ativado o SSL como parte das configurações do servidor do Cache
de inteligência compartilhado no arquivo de configuração, clique em Exigir
SSL.
Se ativar o SSL, você deverá também configurar seus clientes para se
comunicarem com o Cache de inteligência compartilhado adicionando o
certificado de servidor do Cache de inteligência compartilhado ao
armazenamento confiável de autoridades de certificado confiável para o
computador local. Caso contrário, a comunicação entre os clientes e o Cache
de inteligência compartilhado falhará.
Para obter informações sobre como adicionar um certificado de servidor,
consulte a documentação do Active Directory.
6 Na caixa Nome do host, digite o nome do host no qual você instalou o Cache
de inteligência compartilhado.
7 Na caixa Porta, digite o número da porta do Cache de inteligência
compartilhado.
8 Opcionalmente, se você configurou a autenticação para o Cache de inteligência
compartilhado, na caixa Nome de usuário, digite o nome de usuário.
9 Opcionalmente, se você configurou a autenticação para o Cache de inteligência
compartilhado, clique em Alterar senha para alterar a senha padrão (nula)
pela senha criada para a autenticação.
10 Nas caixas de diálogo Nova senha e Confirmar senha, digite a nova senha.
Deixe esses campos vazios se não quiser usar uma senha.
11 Clique em OK.
Consulte “O que preciso fazer para usar o Cache de inteligência compartilhado
baseado na rede?” na página 710.
Para desativar a utilização do Cache de inteligência compartilhado baseado na rede
1 No console do Symantec Endpoint Protection Manager, abra a Política de
proteção contra vírus e spyware apropriada e clique em Miscelânea.
2 Clique na guia Cache de inteligência compartilhado.
3 Desmarque Ativar Cache de inteligência compartilhado.
4 Clique em OK.
Para instalar e usar um Cache de inteligência compartilhado baseado em rede 715
Para personalizar as configurações baseadas em rede do Cache de inteligência compartilhado
<endpoint address="http://localhost:9005/1"
Contagem de votos Número dos clientes que devem verificar se o arquivo está limpo antes que o Cache de
inteligência compartilhado use os resultados.
O valor padrão é 1.
O valor deve ser inferior ou igual a 15. Se o valor for superior a 15, o servidor usará o valor
padrão.
<cache.configuration vote.count="1"
Tamanho do corte Porcentagem do uso da memória a ser removida do cache quando este atingir o limite de
uso da memória.
O valor padrão é 10.
O valor deve estar entre 10 e 100. Se o valor não estiver entre 10 e 100, o servidor usará o
valor padrão.
Nota: A Symantec recomenda que você mantenha o tamanho de remoção padrão.
prune.size="10"
Uso da memória A porcentagem do tamanho do cache antes que o Cache de inteligência compartilhado
comece a remover o cache.
O valor padrão é 50.
Deve ser superior ou igual a 10.
mem.usage="50"
WARN
ERROR
FATAL
OFF
Um valor OFF indica que o Cache de inteligência compartilhado não registrou em log
nenhuma mensagem.
Tamanho do log O tamanho do log (em bytes) até que o Cache de inteligência compartilhado sobreponha
o log.
O valor padrão é 10000.
<maximumFileSizevalue="10000" />
Backups do log Número de logs sobrepostos a serem mantidos antes que o log mais antigo seja excluído.
O valor padrão é 1. Um valor de 0 indica que o Cache compartilhado do Insight não retém nenhum backup.
Um valor negativo indica que o Cache de inteligência compartilhado retém um número
ilimitado de backups.
<maxSizeRollBackupsvalue="1" />
718 Para instalar e usar um Cache de inteligência compartilhado baseado em rede
Para personalizar as configurações baseadas em rede do Cache de inteligência compartilhado
Ativar SSL Por padrão, o Cache de inteligência compartilhado é configurado sem autenticação e sem
SSL. Ele pode ser alterado para autenticação básica com SSL, sem autenticação com SSL
Ativar autenticação
ou autenticação básica sem SSL.
<webHttpBinding>
<bindingname="CacheServerBinding">
<!--
Uncomment the appropriate section to get
the desired security.
Por exemplo:
720 Para instalar e usar um Cache de inteligência compartilhado baseado em rede
Para exibir eventos de log do Cache de inteligência compartilhado baseado na rede
Modifique o arquivo de configuração para especificar o nível do log que você deseja
usar para o Cache de inteligência compartilhado.
A Tabela 28-4 descreve os níveis que você pode definir.
FATAL As mensagens FATAL exigem executar uma ação. Essas mensagens são
os erros que causam a interrupção do Cache de inteligência compartilhado.
ERROR As mensagens ERROR exigem executar uma ação, mas o processo continua
a ser executado. São erros no sistema que fazem o Cache de inteligência
compartilhado falhar ou perder funcionalidade.
Você recebe também todas as entradas de log para todos os outros níveis
de log.
Para instalar e usar um Cache de inteligência compartilhado baseado em rede 721
Para monitorar contadores de desempenho do Cache de inteligência compartilhado baseado na rede
Estatística Descrição
O número de itens no cache que foram Este número representa o número atual de itens
votados como limpos no cache, que receberam votos de limpos.
Problema Explicação/solução
Problema Explicação/solução
%Windir%\System32\Logfiles\HTTPERR
Tabela 29-1 Tarefas que você precisa executar para usar um Cache de
inteligência compartilhado ativado para vShield
Etapa Tarefa
Etapa 2 Instalar o driver de VMware EPSEC em cada GVM de modo que possam se
comunicar com o Appliance de segurança virtual.
Etapa Tarefa
Tabela 29-2 Tarefas que você precisa executar para instalar o Appliance de
segurança virtual do Symantec Endpoint Protection
Etapa Tarefa
Etapa Tarefa
Nota: Você deverá instalar o Appliance de segurança virtual em cada host ESX/ESXi
se quiser que as GVMs acessem o Cache de inteligência compartilhado.
Para instalar o Appliance de segurança virtual e usar um Cache de inteligência compartilhado ativado para vShield 729
Requisitos do software VMware para instalar o Appliance de segurança virtual da Symantec
VMware vShield
O appliance estará concluído e pronto para uso assim que você o instalar. O
appliance inclui o Cache de inteligência compartilhado.
Consulte “Sobre o Cache de inteligência compartilhado ” na página 707.
Consulte “Requisitos do software VMware para instalar o Appliance de segurança
virtual da Symantec” na página 729.
Consulte “O que preciso fazer para instalar um Appliance de segurança virtual?”
na página 727.
Requisito Descrição
Using vShield Endpoint 5.0 and vShield Data Security 5.0 with vSphere
4.1 (em inglês)
Requisito Descrição
Máquinas virtuais O driver EPSEC 2.0 deve ser instalado em todas as GVMs.
convidadas (GVMs,
Em GVMs hospedadas pelo ESX 4.1 com patch ESX410-201107001
Guest Virtual
aplicado, faça o download do driver EPSEC localmente e execute o
Machines)
instalador na máquina virtual
Configuração Descrição
Informações do VMware Defina o endereço IP, o nome de usuário e a senha do VMware vCenter para a
vCenter instalação do Appliance de segurança virtual.
■ Endereço IP <vCenter>
■ Nome do usuário <ip_address>192.168.x.x</ip_address>
■ Senha <username>username</username>
<!--
<password>password</password>
-->
</vCenter>
Informações do Gerenciador Defina o endereço IP, o nome de usuário e a senha do VMware vShield Manager para
do VMware vShield a instalação do Appliance de segurança virtual.
<vShield>
<ip_address>192.168.x.y</ip_address>
<username>admin</username>
<!--
<password>default</password>
-->
</vShield>
Para instalar o Appliance de segurança virtual e usar um Cache de inteligência compartilhado ativado para vShield 733
Para configurar o arquivo de configurações de instalação do Appliance de segurança virtual do Symantec Endpoint
Protection
Configuração Descrição
Configurações da instalação Forneça informações que guiem a instalação do Appliance de segurança virtual.
■ O local do arquivo OVA do O pacote de instalação é o arquivo OVA do Appliance de segurança virtual do Symantec
Appliance de segurança Endpoint Protection que você obtém por download no File Connect, em
virtual do Symantec https://fileconnect.symantec.com. Para acessar o File Connect, você precisa do número
Endpoint Protection de série de ativação que faz parte de seu certificado de licença disponível.
■ Endereço IP do host ESXi
O arquivo sylink.xml contém as configurações de comunicação do grupo de clientes
■ Local do arquivo que você exportou do Symantec Endpoint Protection Manager.
sylink_xml
Consulte “Para exportar manualmente o arquivo de comunicação cliente-servidor”
■ Prompt do
na página 762.
armazenamento de dados
Você poderá mudar o prompt do armazenamento de dados para zero se quiser instalar
automaticamente no primeiro armazenamento de dados do host ESXi.
<Installation>
<location_of_package>caminho do arquivo OVA</location_of_package>
<esx_ip_address>192.168.x.z</esx_ip_address>
<sylink_xml>./sylink.xml</sylink_xml>
<datastore_prompt>1</datastore_prompt>
</Installation>
734 Para instalar o Appliance de segurança virtual e usar um Cache de inteligência compartilhado ativado para vShield
Para instalar o Appliance de segurança virtual do Symantec Endpoint Protection
Configuração Descrição
Informações do Appliance de Defina o nome do host do Appliance de segurança virtual. O nome do host deve ser
segurança virtual exclusivo no vCenter. O nome do host é limitado a caracteres alfanuméricos e ao
caractere hífen.
■ Nome do host SVA
■ Senha do administrador O nome de uma conta de login do Appliance de segurança virtual é admin.
do SVA Nota: Se você não configurar a senha da conta de administrador nesse arquivo de
■ Configurações de rede do configurações, a instalação solicitará a senha.
SVA
(Opcional) Opcionalmente, você pode definir as configurações de rede do Appliance de segurança
■ Endereço IP virtual. Por padrão, as configurações de rede são comentadas e a instalação tem como
padrão o uso de DHCP. Você não precisa usar as configurações de rede para instalar
■ Gateway
o Appliance de segurança virtual.
■ Sub-rede
■ DNS Nota: Se quiser especificar uma das configurações de rede do Appliance de segurança
virtual, você deverá desfazer os comentários e especificar todos os quatro. Se você
especificar somente de uma a três das configurações de rede, a instalação falhará.
<sva>
<hostname>Symantec-SVA</hostname>
<admin_password>symantec</admin_password>
<!--
<ip_address>192.168.x.w</ip_address>
<gateway>192.168.x.v</gateway>
<subnet>255.255.255.0</subnet>
<dns>192.168.x.u</dns>
-->
</sva>
cada host ESXi se quiser que as GVMs no host usem o Cache de inteligência
compartilhado ativado para vShield.
Para instalar ou desinstalar o Appliance de segurança virtual, a conta de
administrador do vCenter que você usar deverá ter permissões nas seguintes
categorias de privilégios:
■ Armazenamento de dados (todos os privilégios)
■ Rede (todos os privilégios)
■ vApp (todos os privilégios)
■ Máquina virtual (todos os privilégios)
■ Global > Cancelar tarefa
Quando tiver instalado o Appliance de segurança virtual, você poderá fazer login
com a conta do administrador.
Comando Descrição
sudo start vsic Inicia o serviço Cache de inteligência compartilhado ativado para
vShield.
Tamanho de corte do Cache Porcentagem de uso da memória a ser removida do cache quando este atingir o
limite de uso da memória.
prune.size="10"
O valor deve estar entre 10 e 100. Se o valor não estiver entre 10 e 100, o servidor
usará o valor padrão de 10.
Nota: Evite modificar esta configuração.
Uso da memória do Cache A porcentagem máxima de memória física permitida ao uso do serviço. Após
este valor ser atingido, o serviço cortará o cache.
mem.usage="50"
Este valor deve ser 10 ou superior.
Intervalo de remoção do cache O intervalo em segundos em que o serviço verifica para ver se o cache deve ser
cortado.
clean.interval="10"
740 Para instalar o Appliance de segurança virtual e usar um Cache de inteligência compartilhado ativado para vShield
Configurações do arquivo de configuração para um Cache de inteligência compartilhado ativado para vShield
Arquivo de log das estatísticas de O local do arquivo que coleta dados de desempenho.
desempenho
file="/data/Symantec/vSIC/
vSIC_Perf.csv"
Intervalo das estatísticas de O intervalo, em segundos, em que as estatísticas são registradas. Se definido
desempenho para 0, este atributo desativará a gravação e substituirá o atributo enabled=true.
interval="10"
Tamanho máximo do arquivo de O tamanho máximo em bytes que é permitido ao arquivo de saída alcançar antes
estatísticas de desempenho de ser enviado a um arquivo de backup. Você também pode especificar o tamanho
máximo em kilobytes, megabytes ou gigabytes. O valor 10 KB é interpretado
maxSize="1MB"
como 10.240 bytes.
Número de backups do arquivo das Se definido como zero, não haverá arquivos de backup e o arquivo de log será
estatísticas de desempenho truncado quando alcançar o tamanho máximo (atributo maxSize). Se este
atributo for definido como um número negativo, nenhuma exclusão será feita.
maxBackups="1"
Nota: Quando você reiniciar o serviço depois de fazer uma mudança no atributo
maxBackups, os arquivos de backup existentes serão sobrescritos. A Symantec
recomenda que você mova os arquivos de backup existentes para um novo local
antes de reiniciar o serviço.
Número de arquivos de backup que devem ser mantidos Se este atributo for definido como zero, não haverá
arquivos de backup e o arquivo de log será truncado
maxSizeRollBackups value="1"
quando atingir o valor do atributo maxSize.
Nota: Quando você reiniciar o serviço depois de fazer
uma mudança no atributo maxBackups, os arquivos
de backup existentes serão sobrescritos. A Symantec
recomenda que você mova os arquivos de backup
existentes para um novo local antes de reiniciar o
serviço.
Tamanho do log Tamanho do log (em bytes) antes do log mais antigo
ser excluído.
maximumFileSize value="10MB"
Ativar a opção local ou remota de registro em log Você pode ativar o registro em log do Syslog local ou
remoto desfazendo os comentários de uma das opções.
appender-ref ref="LocalSyslogAppender"
O Syslog não está ativado por padrão.
appender-ref ref="RemoteSyslogAppender"
Se você quiser registrar em log remotamente, tenha
certeza de definir o endereço IP do
RemoteSyslogAppender.
Endereço IP para o registro em log remoto Você precisará definir este endereço se ativar o
registro em log remoto.
remoteAddress value="192.168.x.y"
INFO
WARN
ERROR
FATAL
OFF
Nota: Você não pode usar a ferramenta Exceção de imagem virtual em um ambiente
não virtual.
746 Para usar a Exceção de imagem virtual
Requisitos do sistema para a ferramenta Exceção de imagem virtual
Etapa Ação
Etapa 1 Na imagem base, execute uma verificação completa em todos os arquivos para
verificar se os arquivos estão limpos.
Etapa 4 Ative o recurso no Symantec Endpoint Protection Manager de modo que seus
clientes saibam que devem procurar e ignorar os arquivos marcados quando
uma verificação for executada.
A ferramenta Exceção de imagem virtual suporta unidades locais fixas. Ela funciona
com arquivos que estão em conformidade com o Padrão do sistema de arquivos
de nova tecnologia (NTFS, New Technology File System).
Consulte “Requisitos do sistema para a ferramenta Exceção de imagem virtual”
na página 746.
■ Para criar uma chave de registro para marcar as máquinas virtuais convidadas
(GVMs) de imagem base como clientes não persistentes
estiveram off-line por um tempo maior que o período especificado. Este recurso
torna mais simples gerenciar as GVMs no Symantec Endpoint Protection Manager.
Etapa Descrição
Tabela 31-2 Para configurar a imagem base para máquinas virtuais convidadas
não persistentes em infraestruturas da área de trabalho virtual
Etapa Descrição
Etapa Descrição
Etapa 3 Crie uma chave de registro na imagem base para marcar as GVMs como
clientes não persistentes.
Consulte “ Para criar uma chave de registro para marcar as máquinas
virtuais convidadas (GVMs) de imagem base como clientes não persistentes”
na página 751.
Consulte “Para configurar a imagem base para máquinas virtuais convidadas não
persistentes em infraestruturas da área de trabalho virtual” na página 750.
Ação Descrição
Verificar se o cliente está Você pode verificar o ícone de status no cliente e no console de gerenciamento.
conectado ao servidor de O ícone de status mostra se o cliente e o servidor se comunicam.
gerenciamento
Consulte “Para determinar se o cliente está conectado no console” na página 240.
Ação Descrição
Alterar qual método usar para Você pode configurar o servidor de gerenciamento para impor as políticas ao
fazer o download de políticas e cliente ou para que os clientes extraiam automaticamente as políticas do servidor
de conteúdo para os clientes de gerenciamento.
Consulte “Configuração do modo de envio ou de instalação pull para atualizar
políticas e conteúdo do cliente” na página 329.
Decidir se a lista de servidores de Você pode trabalhar com uma lista alternativa de servidores de gerenciamento
gerenciamento padrão deve ser para fazer failover e balanceamento de carga. A lista de servidores de
usada gerenciamento fornece uma lista de vários servidores de gerenciamento a que os
clientes podem conectar.
Definir configurações de Você pode definir configurações separadas de comunicação para locais e grupos.
comunicação para um local
Consulte “Configuração de definições de comunicação para um local” na página 277.
Ícone Descrição
O cliente não é executado, tem um problema importante ou tem pelo menos uma
tecnologia de proteção desativada. Por exemplo, a Proteção contra ameaças à rede
pode estar desativada. O ícone é um escudo amarelo com um ponto branco
contornado de vermelho e uma linha vermelha cruzando o ponto.
Ícone Descrição
Etapa Exporte um arquivo que inclua O nome padrão do arquivo é nome do grupo _sylink.xml.
1 todas as configurações de
Consulte “Para exportar manualmente o arquivo de comunicação
comunicação para o grupo em que
cliente-servidor” na página 762.
deseja que o cliente esteja.
Etapa Implemente o arquivo no Você pode salvar o arquivo em um local da rede ou enviá-lo a um usuário
2 computador-cliente. individual no computador-cliente.
Os clientes não gerenciados não são protegidos por senha, assim, você
não precisa de uma senha no cliente. Contudo, se você tentar importar
um arquivo em um cliente gerenciado protegido por senha, deverá digitar
uma senha. A senha é a mesma que é usada para importar ou exportar
uma política.
7 Clique em Exportar.
Se o nome do arquivo já existir, clique em OK para sobrescrevê-lo ou em
Cancelar para salvar o arquivo com um novo nome de arquivo.
Para terminar a conversão, você ou um usuário devem importar a configuração
de comunicação no computador-cliente.
764 Para gerenciar a conexão entre o servidor de gerenciamento e os computadores-cliente
Para importar configurações de comunicação cliente-servidor no cliente
1 Verificar se a Em algumas redes, a porta 433 já pode estar vinculada a outro aplicativo ou serviço. Para
porta SSL padrão ativar a comunicação SSL, é necessário verificar se a porta padrão (433) está disponível.
está disponível
Consulte “Verificação da disponibilidade de portas” na página 765.
2 Altere a porta Se a porta 433 não estiver disponível, escolha uma porta não utilizada no intervalo de
SSL padrão portas superiores (49152 a 65535). Ajuste a configuração de servidor para usar a nova
conforme a porta.
necessidade
Consulte “Para alterar a atribuição da porta SSL” na página 766.
3 Ativar a Edite o arquivo httpd.config do Apache para permitir a comunicação SSL com o cliente.
comunicação Por padrão, o tráfego SSL usa a porta 433. Poderá ser necessário mudar a porta padrão
SSL com o se ela já estiver sendo usada.
cliente
Consulte “Ativação da comunicação SSL entre o servidor de gerenciamento e o cliente”
na página 767.
2 Na coluna Endereço local, procure uma entrada que termine com o número
da porta que você deseja verificar.
Por exemplo, verifique se a porta 443 está disponível, procure na coluna
Endereço local uma entrada que termine em 443. Se nenhuma entrada
terminar em 443, a porta estará disponível.
Consulte “Para configurar o SSL entre o Symantec Endpoint Protection Manager
e os clientes” na página 764.
766 Para gerenciar a conexão entre o servidor de gerenciamento e os computadores-cliente
Para configurar o SSL entre o Symantec Endpoint Protection Manager e os clientes
2 Edite a string, Listen 443 com o número da nova porta. Por exemplo, se o
novo número da porta for 53300, a string editada se tornará Listen 53300.
3 Salve o arquivo e feche o editor de texto.
4 Reinicie o Symantec Endpoint Protection Manager.
5 Para verificar se a porta nova funciona corretamente, em um navegador da
Web, entre no seguinte URL:
https://ServerHostName:<new port
number>/secars/secars.dll?hello.secars.
Tarefa Descrição
Alterar configurações de Use o modo de instalação pull em vez do modo de envio para controlar com que
comunicação de frequência o servidor de gerenciamento faz o download de políticas e atualizações
servidor-cliente de conteúdo nos computadores-cliente. No modo de instalação pull, o servidor de
gerenciamento pode suportar mais clientes.
Para obter mais informações sobre como definir intervalos de pulsação, consulte o
informe oficial Symantec Endpoint Sizing and Scalability Best Practices (em inglês).
Tarefa Descrição
Ajustar verificações para Você pode alterar algumas configurações da verificação para melhorar o desempenho
melhorar o desempenho do dos computadores sem reduzir a proteção.
computador
Por exemplo, é possível configurar as verificações para ignorar arquivos confiáveis
ou para serem executadas quando o computador estiver ocioso.
Reduzir o volume do log do Você pode configurar as opções do registro em log para otimizar requisitos de
cliente do banco de dados armazenamento e atender as políticas da empresa que controlam a retenção de dados
em log.
■ Fazer upload somente de alguns logs do cliente para o servidor e altere a frequência
com a qual o upload dos logs do cliente é feito.
Consulte “Especificação do tamanho do log do cliente e de quais fazer upload para
o servidor de gerenciamento” na página 792.
■ Especificar quantas entradas de log o computador-cliente pode manter no banco
de dados e por quanto tempo pode mantê-las.
Consulte “Como especificar por quanto tempo as entradas de log devem ser
mantidas no banco de dados” na página 793.
■ Filtrar os eventos de risco e de sistema menos importantes para que menos dados
sejam encaminhados ao servidor.
Consulte “Modificação de configurações variadas para Proteção contra vírus e
spyware em computadores Windows” na página 417.
■ Reduzir o número de clientes que cada servidor de gerenciamento gerencia.
Consulte “Configuração de uma lista de servidores de gerenciamento” na página 801.
Consulte “Para instalar o Symantec Endpoint Protection Manager” na página 99.
■ Reduzir a frequência da pulsação, que controla a frequência com que é feito o
upload dos logs dos clientes para o servidor.
Consulte “Configuração do modo de envio ou de instalação pull para atualizar
políticas e conteúdo do cliente” na página 329.
■ Aumente a quantidade do espaço em disco rígido no diretório em que os dados de
log são armazenados antes de serem gravados no banco de dados.
Consulte “Sobre aumentar o espaço em disco no servidor para dados de log de
clientes” na página 794.
770 Para gerenciar a conexão entre o servidor de gerenciamento e os computadores-cliente
Sobre certificados de servidor
Tarefa Descrição
Executar tarefas de Para aumentar a velocidade da comunicação entre o cliente e o servidor, é necessário
manutenção do banco de agendar tarefas regulares de manutenção do banco de dados.
dados
Consulte “Agendamento de tarefas automáticas de manutenção do banco de dados”
na página 786.
A Tabela 32-7 relaciona as etapas para fazer o upgrade do certificado sem deixar
os clientes que o servidor gerencia órfãos.
1 Desativar a verificação Desative as comunicações seguras entre o servidor e os clientes. Quando você desativar
do certificado de a verificação, os clientes ficarão conectados enquanto o servidor atualizar o certificado
servidor de servidor.
2 Aguardar para que O processo de implementação da política atualizada pode levar uma semana ou mais,
todos os clientes dependendo dos seguintes fatores:
recebam a política
■ O número de clientes que se conectam ao servidor de gerenciamento. Instalações
atualizada
grandes podem demorar vários dias para concluir o processo porque os
computadores gerenciados devem estar online para receber a nova política.
■ Alguns usuários podem estar em férias com seus computadores off-line.
3 Atualizar o certificado Atualizar o certificado de servidor. Se você migrar ou fizer upgrade do servidor de
de servidor gerenciamento, faça o upgrade do certificado primeiramente.
5 Aguardar para que Os computadores-cliente devem receber as alterações de política da etapa anterior.
todos os clientes
recebam a política
atualizada
6 Restaurar a relação de Se o servidor que você atualizou for replicado em outros servidores de gerenciamento,
replicação (opcional) restaure a relação de replicação.
Consulte “Para ativar a replicação após o upgrade” na página 182.
Tarefa Descrição
Saber mais sobre Decida quais os tipos de servidores que você precisa configurar.
servidores
Consulte “Sobre os tipos de servidores do Symantec Endpoint
Protection” na página 778.
776 Para configurar o servidor de gerenciamento
Para gerenciar os servidores do Symantec Endpoint Protection Manager e de terceiros
Tarefa Descrição
Definir permissões de Você pode permitir ou negar o acesso ao console remoto. Gerencie
comunicação do o acesso adicionando exceções baseadas no endereço IP de um
servidor único computador ou de um grupo de computadores.
Consulte “Para permitir ou bloquear o acesso aos consoles remotos
do Symantec Endpoint Protection Manager” na página 107.
Configurar o servidor Para trabalhar com um servidor de e-mail específico em sua rede,
de e-mail você precisa configurar o servidor de e-mail.
Gerenciar servidores Você pode integrar o Symantec Endpoint Protection aos servidores
de diretórios de diretório para ajudar a gerenciar as contas de administrador
ou criar unidades organizacionais.
Tarefa Descrição
Mover o servidor para Você pode precisar mover o software do servidor de gerenciamento
um computador de um computador para outro pelas seguintes razões:
diferente
■ Você deve mover o servidor de gerenciamento de um ambiente
de teste para um ambiente de produto.
■ O computador no qual o servidor de gerenciamento é executado
tem uma falha de hardware.
Tarefa Descrição
■ Como especificar por quanto tempo as entradas de log devem ser mantidas no
banco de dados
Tarefa Descrição
Agendar backups Você deve agendar os backups regulares do banco de dados caso o banco de dados seja
regulares do banco corrompido.
de dados
Consulte “Backup de logs e banco de dados” na página 807.
Opcionalmente, para impedir uma varredura automática do banco de dados após a ocorrência
de um backup,você poderá varrer manualmente os dados do banco de dados.
Consulte “Como remover dados de log do banco de dados manualmente” na página 795.
Agendar tarefas de Você pode acelerar o tempo de interação entre o servidor de gerenciamento e o banco de
manutenção do dados agendando tarefas de manutenção do banco de dados. Você pode agendar o servidor
banco de dados de gerenciamento para executar as seguintes tarefas de manutenção imediatamente ou
quando os usuários não estiverem nos computadores-cliente.
Verificar Se você usar o banco de dados do Microsoft SQL Server em vez do banco de dados interno,
periodicamente o certifique-se de que o banco de dados não atinja o tamanho máximo do arquivo.
tamanho de arquivos
Consulte “Aumento do tamanho do arquivo do banco de dados do Microsoft SQL Server”
do banco de dados
na página 788.
Para gerenciar banco de dados 783
Manutenção do banco de dados
Tarefa Descrição
Calcular o espaço de Para decidir como reduzir a quantidade do espaço de armazenamento, calcule a quantidade
armazenamento do total de espaço em disco necessária.
banco de dados O armazenamento do banco de dados é baseados nos seguintes fatores:
necessário
■ Tamanho do log e período de tempo do vencimento.
■ O número de computadores-cliente.
■ O número médio de vírus por mês.
■ O número de eventos que você precisa reter para cada log.
■ O número de atualizações de conteúdo.
As atualizações de conteúdo exigem aproximadamente 300 MB cada uma.
Consulte “Configuração do espaço em disco usado para downloads do LiveUpdate”
na página 622.
Consulte “Para configurar as revisões de conteúdo usadas pelos clientes” na página 621.
■ O número de versões do cliente que você precisa reter para cada idioma.
Por exemplo, se você tiver clientes de 32 e 64 bits, precisará de duas vezes o número de
versões de idiomas.
■ O número de backups que você precisa manter.
O tamanho do backup é de aproximadamente 75% do tamanho do banco de dados,
multiplicados pelo número de cópias de backup que você mantém.
Para obter mais informações sobre como calcular o espaço que você precisa no disco rígido,
consulte o informe oficial da Symantec, Sizing and Scalability Recommendations for Symantec
Endpoint Protection (em inglês).
784 Para gerenciar banco de dados
Manutenção do banco de dados
Tarefa Descrição
Reduzir o volume de O banco de dados recebe e armazena um fluxo constante de entradas nos arquivos de log.
dados do log Você deve gerenciar os dados armazenados no banco de dados para que eles não consumam
todo o espaço livre em disco. O excesso de dados pode causar falha no computador no qual o
banco de dados é executado.
Você pode reduzir o volume de dados do log executando as tarefas a seguir:
■ Fazer upload somente de alguns logs do cliente para o servidor e altere a frequência com
a qual o upload dos logs do cliente é feito.
Consulte “Especificação do tamanho do log do cliente e de quais fazer upload para o
servidor de gerenciamento” na página 792.
■ Especificar quantas entradas de log o computador-cliente pode manter no banco de dados
e por quanto tempo pode mantê-las.
Consulte “Como especificar por quanto tempo as entradas de log devem ser mantidas no
banco de dados” na página 793.
■ Filtrar os eventos de risco e de sistema menos importantes para que menos dados sejam
encaminhados ao servidor.
Consulte “Modificação de configurações variadas para Proteção contra vírus e spyware
em computadores Windows” na página 417.
■ Reduzir a quantidade de espaço no diretório onde os dados de log são armazenados antes
de serem inseridos no banco de dados.
Consulte “Sobre aumentar o espaço em disco no servidor para dados de log de clientes”
na página 794.
■ Reduzir o número de clientes que cada servidor de gerenciamento gerencia.
Consulte “Configuração de uma lista de servidores de gerenciamento” na página 801.
■ Reduzir a frequência da pulsação, que controla a frequência com que é feito o upload dos
logs dos clientes para o servidor.
Consulte “Configuração do modo de envio ou de instalação pull para atualizar políticas e
conteúdo do cliente” na página 329.
Exportar dados de Por motivos de segurança, talvez seja necessário reter o número de registros de log por um
log para outro período de tempo mais longo. Para manter o volume de dados de log do cliente baixo, você
servidor pode exportar os dados de log para outro servidor.
Criar pacotes de Quanto mais recursos de proteção você instalar com o cliente, mais espaço será ocupado no
instalação do cliente banco de dados pela informações do cliente. Crie o pacote de instalação do cliente com apenas
com apenas a o nível apropriado de proteção de que o computador-cliente precisa. Quanto mais grupos
proteção de que você você adicionar, mais espaço será ocupado no banco de dados pelas informações do cliente.
precisa
Consulte “Para configurar recursos do pacote de instalação do cliente” na página 153.
Para gerenciar banco de dados 785
Agendamento de backups automáticos do banco de dados
Tarefa Descrição
Usar o provedor de Se você tiver pouca largura de banda ou mais de 100 computadores-cliente, use os Provedores
atualizações de de atualizações de grupo para fazer download do conteúdo. Por exemplo, 2.000 clientes que
grupo para fazer usam um Provedor de atualizações de grupo equivalem a usar de quatro a cinco servidores
download do de gerenciamento para fazer download do conteúdo.
conteúdo
Consulte “Para usar Provedores de atualizações de grupo para distribuir conteúdo aos clientes
” na página 632.
Para reduzir o espaço em disco e o tamanho do banco de dados, você pode reduzir o número
de revisões de conteúdo que são mantidas no servidor.
Restaurar o banco de Você pode recuperar um banco de dados corrompido restaurando o banco de dados no mesmo
dados computador em que foi instalado originalmente. Ou você pode instalar o banco de dados em
um computador diferente.
4 Clique em Executar.
5 Após a conclusão da tarefa, clique em Fechar.
Para agendar as tarefas de manutenção do banco de dados para que sejam
executadas automaticamente
1 No console, clique em Administrador e, em seguida, em Servidores.
2 Em Servidores, clique no ícone que representa o banco de dados.
3 Em Tarefas, clique em Editar propriedades do banco de dados.
4 Na guia Geral, selecione uma ou ambas as seguintes opções e clique em
Agendar tarefa e especifique o agendamento de cada tarefa.
■ Truncar os logs de transações do banco de dados. O agendamento padrão
para essa tarefa é a cada quatro horas.
■ Reconstruir índices. O agendamento padrão para essa tarefa é todo
domingo às 14:00.
Nota: Não é possível restaurar o banco de dados usando os dados do log exportados.
790 Para gerenciar banco de dados
Exportação de dados de log para um arquivo de texto
Consulte “Como especificar por quanto tempo as entradas de log devem ser
mantidas no banco de dados” na página 793.
Para gerenciar banco de dados 793
Como especificar por quanto tempo as entradas de log devem ser mantidas no banco de dados
Para especificar o tamanho do log do cliente e de quais fazer upload para o servidor
de gerenciamento
1 No console, clique em Clientes e selecione um grupo.
2 Na guia Políticas, em Políticas e configurações independentes do local,
clique em Configurações do log de cliente.
3 Na caixa de diálogo Configurações do log de cliente para nome do grupo,
configure o tamanho máximo do arquivo e o número de dias para manter as
entradas de log.
4 Marque Fazer upload para o servidor de gerenciamento para todos os logs
que você queira que os clientes encaminhem para o servidor.
5 Para os logs de Segurança e de Tráfego, defina o período do amortecedor e
o período ocioso do amortecedor.
Essas configurações determinam com que frequência os eventos da Proteção
contra ameaças à rede são incluídos.
6 Clique em OK.
Para ajustar os valores que controlam o espaço disponível no servidor, você deve
alterá-los no registro do Windows. As chaves de registro do Windows de que você
necessita para a alteração estão localizadas no servidor, em
HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint
Protection\SEPM.
A Tabela 34-4 relaciona as chaves de registro e seus valores padrão e descreve o
que elas fazem.
A Tabela 35-1 lista as tarefas que você deve executar para configurar o failover e
o balanceamento de carga.
Tarefas Descrição
Ler sobre o failover e o Você deve entender se e quando é necessário definir um failover
balanceamento de e configurações do balanceamento de carga.
carga.
Consulte “Sobre o failover e o balanceamento de carga”
na página 798.
Atribuir a lista de Depois que você criar uma lista de servidores de gerenciamento
servidores de personalizado, será necessário atribuir a lista de servidores de
gerenciamento gerenciamento a um grupo.
personalizado a um
Consulte “Atribuição de uma lista de servidores de gerenciamento
grupo.
a um grupo ou local” na página 802.
Clientes
1 2
10 Clique em OK.
Você deve então aplicar a lista de servidores de gerenciamento a um grupo.
Consulte “Atribuição de uma lista de servidores de gerenciamento a um grupo
ou local” na página 802.
Tabela 36-1 Etapas de nível elevado para preparar-se para recuperação após
desastres
Etapa 1 Fazer backup do banco de dados Faça backup do banco de dados regularmente, de preferência
semanalmente.
Etapa 3 Salvar o endereço IP e o nome do host Se você tiver uma falha de hardware catastrófica, será necessário
do servidor de gerenciamento em um reinstalar o servidor de gerenciamento que usa o endereço IP e o
arquivo de texto (opcional) nome do host do servidor de gerenciamento original.
Etapa 4 Copiar os arquivos dos quais fez Copie os arquivos armazenados em backup em um computador em
backup nas etapas anteriores em um local seguro.
outro computador
Os dados de logs não são armazenados em backup a menos que você configure o
Symantec Endpoint Protection Manager para fazê-lo. Se você não fizer backup
dos logs, apenas as suas opções de configuração de log serão salvas durante um
backup. Você pode usar o backup para restaurar o banco de dados, mas os logs do
banco de dados estão vazios de dados quando eles são restaurados.
Você pode manter até 10 versões de backup do site. Você deve verificar se tem
espaço em disco suficiente para manter todos os dados se optar por manter várias
versões.
O backup do banco de dados pode levar alguns minutos para ser concluído. Você
pode verificar o log do sistema, assim como a pasta de backup para verificar o
status durante e após o backup.
Você pode fazer backup do banco de dados imediatamente ou agendar o backup
para que ocorra automaticamente. Você pode fazer backup de um banco de dados
interno ou de um banco de dados do Microsoft SQL Server configurado como o
banco de dados do Symantec Endpoint Protection Manager.
Consulte “Agendamento de backups automáticos do banco de dados” na página 785.
Consulte “Para preparar a recuperação após desastres” na página 805.
Para fazer backup do banco de dados e dos logs
1 No computador que executa o Symantec Endpoint Protection Manager, no
menu Iniciar, clique em Todososprogramas>SymantecEndpointProtection
Manager > Symantec Endpoint Protection Manager Tools > Database Back
Up and Restore.
2 Na caixa de diálogo Database Backup and Restore, clique em Fazer backup.
3 Na caixa de diálogo Fazer backup do banco de dados, selecione Logs de backup
e clique em Sim.
808 Para preparar a recuperação após desastres
Backup do certificado de servidor
4 Clique em OK.
5 Quando o backup do banco de dados for concluído, clique em Sair.
6 Copie o arquivo do banco de dados de backup em outro computador.
Para fazer backup do banco de dados e dos logs dentro do console
1 No console, clique em Administrador e, em seguida, em Servidores.
2 Em Servidores, clique no ícone que representa o banco de dados.
3 Em Tarefas, clique em Fazer backup do banco de dados agora.
4 Na caixa de diálogo Fazer backup do banco de dados, selecione Logs de backup
e clique em Sim.
5 Clique em OK.
6 Clique em Fechar.
Nota: Este tópico supõe que você se preparou para a recuperação após desastres
e criou arquivos de backup e de recuperação.
814 Para executar a recuperação após desastres
Reinstalação ou reconfiguração do Symantec Endpoint Protection Manager
Etapa Ação
Nota: Sempre que o pacote de instalação for executado, o arquivo de log será
sobrescrito.
Consulte o cliente para ver se Você pode fazer o download e exibir o arquivo de solução
ele se conecta ao servidor de de problemas no cliente para verificar as configurações de
gerenciamento comunicação.
Teste a conectividade entre Você pode executar diversas tarefas para verificar a
o cliente e o servidor de conectividade entre o cliente e o servidor de gerenciamento.
gerenciamento
■ Consulte “Ativação e exibição do log de acesso para
verificar se o cliente se conectará ao servidor de
gerenciamento” na página 824.
■ Fazer ping no servidor de gerenciamento no
computador-cliente.
Consulte “Uso do comando ping para testar a
conectividade com o servidor de gerenciamento”
na página 826.
■ Usar um navegador da Web no computador-cliente para
se conectar ao servidor de gerenciamento.
Consulte “Para usar um navegador para testar a
conectividade ao Symantec Endpoint Protection Manager
no cliente do Symantec Endpoint Protection”
na página 826.
822 Solução de problemas de instalação e de comunicação
Solução de problemas de comunicação entre o servidor de gerenciamento e o cliente
Procure quaisquer problemas Deve ser analisado se não há algum problema de rede,
de rede verificando os seguintes itens:
Nota: Desative o log depois que você o exibir porque ele usa recursos da CPU e
espaço no disco rígido desnecessários.
Nota: Você deve desativar a Proteção contra adulterações para usar a ferramenta
SylinkDrop.exe. Você pode também criar uma exceção de Proteção contra
adulterações para a ferramenta SylinkDrop.exe.
Verifique se o tamanho da Você pode precisar ajustar o tamanho da pilha de forma que
memória do servidor de seja apropriado para o sistema operacional do servidor de
gerenciamento está correto. gerenciamento. Se você não conseguir fazer login no console
remoto do servidor de gerenciamento ou se visualizar uma
mensagem avisando que está sem memória no log do
scm-server, poderá ser necessário aumentar a memória. O
tamanho padrão da memória para o Symantec Endpoint
Protection Manager é 256 MB.
6 Clique em Login.
7 Na guia Login, na caixa de texto ID do usuário, digite dba.
8 Na caixa de texto Senha, digite a senha para o banco de dados.
Esta senha é a que você digitou para o banco de dados quando o servidor de
gerenciamento foi instalado.
9 Clique em Banco de dados.
10 Na guia Banco de dados, na caixa de texto Nome do servidor, digite
<\\servername\instancename>.
Se você usar a versão em inglês do Symantec Endpoint Protection Manager,
digite o padrão, sem5. Caso contrário, deixe a caixa de texto Nome do servidor
em branco.
11 Na guia ODBC, clique em Testar conexão e verifique se obteve êxito.
12 Clique em OK.
13 Clique em OK.
Solução de problemas de instalação e de comunicação 833
Arquivos de comunicação de cliente e servidor
■ Capítulo 42. Para fazer upgrade e recriar imagem de todos os tipos de imagens
do appliance Enforcer
Tabela 40-2 Processo que o Symantec Network Access Control usa para verificar
e corrigir a conformidade em computadores-cliente
Nota: Para obter detalhes sobre o EAP, consulte o RFC 2284 do IETF em PPP
Extensible Authentication Protocol (EAP). Para obter mais detalhes sobre o padrão
IEEE 802.1x, consulte o texto do padrão no seguinte URL: IEEE8021-PAE-MIB
Definitions.
Fase 1 Instale clientes do Symantec Endpoint Você pode controlar o acesso a laptop, desktops e servidores
Protection Manager e do Symantec que sua organização gerencia com autoimposição. Com a
Network Access Control. Use o Symantec autoimposição, os computadores podem obter o software de
Endpoint Protection Manager para que precisam para cumprir sua política de segurança.
configurar as políticas de integridade do
Consulte “Para executar o Symantec Endpoint Protection pela
host.
primeira vez” na página 54.
Fase 2 Instale e configure um appliance Gateway Para a proteção parcial da rede, controle o acesso com e sem
Enforcer. fio à rede para clientes gerenciados e não gerenciados e para
computadores convidados.
Fase 3 Instale e configure um appliance LAN Para proteção completa da rede, é possível controlar o acesso
Enforcer. à LAN para computadores-cliente e computadores convidados.
■ Para clientes gerenciados, use um appliance do LAN
Enforcer.
■ Para clientes não gerenciados, use appliances LAN ou
Gateway Enforcer.
Etapa 1 Aprenda onde colocar Os Enforcers devem ser colocados em locais específicos
Enforcers em sua rede. em sua rede para garantir que todos os endpoints
cumpram sua política de segurança.
1 Unidade de DVD-ROM
2 Botão Liga/desliga
3 Ícone de redefinição
4 Portas USB
6 Monitor
2 Conector do mouse
3 Conector do teclado
4 Portas USB
5 Porta serial
6 Monitor
Use a porta e o cabo seriais fornecidos para conectar outro sistema conectado a
um monitor e teclado. Como alternativa, é possível conectar o monitor ou teclado
diretamente. Se você se conectar usando a porta serial, a taxa de transmissão
padrão que é definida no Enforcer será de 9.600 bps. Você deve configurar a
conexão no outro sistema para correspondência. A conexão pela porta serial é o
método preferencial. Para solucionar problemas, ela permite transferir arquivos,
como as informações de depuração, ao computador conectado.
Consulte “Instalação de um appliance Enforcer” na página 867.
Consulte “Configuração de um appliance Enforcer” na página 869.
6 Ligue a alimentação.
O appliance Enforcer é iniciado.
Consulte “Logon em um appliance Enforcer” na página 870.
Consulte “Para configurar um appliance Enforcer” na página 871.
Normal Acesso apenas aos comandos clear, exit, help e show para cada nível
de hierarquia do comando
Onde:
É necessário alterar a senha raiz usada para fazer login no appliance Enforcer.
O acesso remoto será ativado somente após a alteração da senha. A nova
senha deve ter pelo menos nove caracteres e conter uma letra minúscula,
uma letra maiúscula, um dígito e um símbolo.
6 Digite a nova senha admin.
7 Defina o fuso horário seguindo estes prompts.
Configure eth0:
Note: Input new settings.
IP address []:
Subnet mask []:
Set Gateway? [Y/n]
Gateway IP[]:
Versão da imagem Dell PE 850 Dell PE 860 Dell R200 Dell R210
Versão da imagem 11.0.0, 11.0.1 Testada Testada Não suportada Não suportada
inteiramente e inteiramente e
suportada suportada
inteiramente inteiramente
Para fazer upgrade e recriar imagem de todos os tipos de imagens do appliance Enforcer 877
Como determinar a versão atual de uma imagem do appliance Enforcer
15 Clique em OK.
16 No prompt Atribuir política, clique em Sim e atribua a política a um grupo.
Nota: Uma política de integridade do host pode ser atribuída a vários grupos,
enquanto um grupo pode ter apenas uma única política de integridade do
host. Você pode substituir uma política existente por uma política diferente.
4 Clique em Adicionar.
5 Na seção Exigências de Integridade do host da caixa de diálogo, clique em
Adicionar.
6 Na caixa de diálogo Adicionar uma exigência de Integridade do host, selecione
um dos tipos de requisito e clique em OK.
7 Defina as configurações para o requisito.
Consulte “Sobre requisitos da integridade do host” na página 885.
8 Na página Configurações avançadas, defina as configurações para a
verificação, a correção e as notificações da integridade do host.
Para mais informações, clique em Ajuda.
Consulte “Sobre configurações para verificações da integridade do host”
na página 892.
9 Quando concluir a configuração da política, clique em OK.
10 Atribua a política aos grupos ou locais.
Nota: Você não pode excluir uma política que esteja em uso. Para excluir uma
política que esteja em uso, primeiro é necessário retirar a política dos locais
atribuídos.
Configuração Descrição
Configuração Descrição
UNC \\servername\sharename\dirname\filename
FTP FTP://ftp.ourftp.ourcompany.com/folder/filename
HTTP HTTP://www.ourwww.ourcompany.com/folder/filename
deve assegurar que o cliente, apesar de estar bloqueado para acesso regular à rede,
possa acessar o servidor de correção. Caso contrário, o cliente não restaurará a
integridade do host e continuará a descumprir o requisito de integridade do host.
A forma de cumprir essa tarefa depende do tipo de Enforcer. A lista abaixo oferece
alguns exemplos:
■ Para o Gateway Enforcer, você pode configurá-lo para reconhecer o servidor
de correção como um endereço IP interno e confiável.
■ Para um LAN Enforcer, se você estiver usando um alternador com capacidade
de VLAN dinâmica, poderá configurar a VLAN com acesso ao servidor de
correção.
Consulte “Sobre a correção da Integridade do host” na página 895.
■ Sobre condições
■ Sobre funções
■ Download de um arquivo
■ Execução de um programa
■ Execução de um script
Sobre condições
As condições são as verificações que podem ser desempenhadas dentro de um
script de requisito personalizado para detectar problemas de conformidade.
Você pode escolher entre as seguintes categorias de condições:
■ Verificações de proteção antivírus
Consulte “Sobre condições do antivírus” na página 903.
■ Verificações de proteção contra spyware
Consulte “Sobre as condições do antispyware” na página 903.
■ Verificações de firewall
Consulte “Sobre as condições do firewall” na página 904.
■ Verificações e operação de arquivo
Consulte “Sobre as condições do arquivo” na página 905.
■ Verificações e operação de registro
Consulte “Sobre as condições do registro” na página 907.
■ Utilitários
Você pode especificar as condições como presentes ou ausentes (NÃO). Você pode
incluir várias instruções de condição usando as palavras-chave AND ou OR.
Para adicionar requisitos personalizados à política de integridade do host 903
Sobre condições
%WINDIR%\cmd.exe
#HKEY_LOCAL_MACHINE\Software\Symantec\AppPath#\sem.exe
Para usar a variável Utilize o seguinte exemplo para usar a variável combinada do
combinada do registro e valor do registro e do ambiente do sistema:
do ambiente do sistema %SYSTEMDIR%\#HKEY_LOCAL_MACHINE\Software\Symantec\\AppPath#.
Patch: Compare o service pack atual Digite o número do service pack que você deseja
com uma versão especificada procurar, como 2. O número é para limitado a dois
caracteres. Você pode verificar as seguintes
condições: igual a, diferente de, menor do que ou
maior do que.
Patch: O patch está instalado Digite o nome do patch que deseja verificar. Por
exemplo: KB12345. É possível digitar somente
números e letras nesse campo.
■ Se a chave de registro não tiver uma barra invertida no final, então ela será
interpretada como um nome de registro. Por exemplo:
HKEY_LOCAL_MACHINE\SOFTWARE\ActiveTouch
Binário 31 AF BF 69 74 A3 69 (hexadecimal)
String ef4adf4a9d933b747361157b8ce7a22f
Sobre funções
Você usa funções para definir as ações que são executadas quando uma expressão
condicional é avaliada como verdadeira ou falsa.
Uma condição de requisito personalizado pode verificar a instalação de produtos
antivírus específicos, mas não pode ser configurada para instalar o produto como
ação de correção. Quando você grava requisitos personalizados, é necessário
explicitamente definir as ações de correção serem executadas usando instruções
da função.
As funções aparecem dentro das instruções THEN e ELSE ou podem aparecer ao
final na parte superior de um script de requisito personalizado. Para conseguir
um resultado desejado de correção, talvez seja necessário especificar um grande
número de funções. Cada função executa tarefas muito específicas, como fazer o
download de um arquivo ou executar um arquivo. Você não define funções
individuais para fornecer ações de correção específicas, como instalar produtos
antivírus específicos. Para fazer o download de produtos antivírus específicos, é
necessário usar a função geral de download.
A Tabela 44-1 exibe as seguintes funções em um script de requisito personalizado:
Função Descrição
Função Descrição
■ Comentário
Use um comentário para explicar a funcionalidade das condições, funções
ou indicações que você está adicionando.
Consulte “Adição de um comentário” na página 915.
3 Clique em Adicionar.
4 Clique em IF..THEN.
Adição de um comentário
Para fins informativos, é possível escolher adicionar um comentário a uma
instrução.
Para adicionar um comentário
1 Grave um script de requisito personalizado.
Consulte “Gravação de um script de requisitos personalizados” na página 912.
2 Em Script de requisitos personalizados, selecione qualquer instrução que
você já adicionou e clique em Adicionar.
3 Clique em Comentário.
4 Clique em //Inserir instruções aqui e no painel direito, no campo de texto
Comentário, insira seus comentários.
Download de um arquivo
Para um requisito personalizado, você pode especificar que um arquivo seja obtido
por download no computador-cliente.
Para fazer o download de um arquivo
1 Grave um script de requisitos personalizados.
Consulte “Gravação de um script de requisitos personalizados” na página 912.
2 Na caixa de diálogo Requisito personalizado, em Script de requisitos
personalizados, selecione o nó onde você deseja adicionar a função.
3 Clique em Adicionar e em Função.
4 Clique em Arquivo: Fazer o download de um arquivo.
918 Para adicionar requisitos personalizados à política de integridade do host
Definição de um valor do registro
Execução de um programa
Para um requisito personalizado de integridade do host, especifique uma função
para que o cliente inicie um programa.
Para executar um programa
1 Grave um script de requisitos personalizados.
Consulte “Gravação de um script de requisitos personalizados” na página 912.
2 Na caixa de diálogo Requisito personalizado, em Script de requisitos
personalizados, selecione o nó onde você deseja adicionar a função.
3 Clique em Adicionar e em Função.
4 Clique em Utilitário: Executar um programa.
5 No campo de texto do comando, digite o comando para executar o script.
As variáveis de ambiente são substituídas antes da execução. Por exemplo,
%windir% substitui o caminho de diretório do Windows.
Execução de um script
No requisito personalizado da Integridade do host, especifique uma função para
que o cliente execute um script. Você pode usar uma linguagem de script, tal como
JScript ou VBScript, que possa ser executada com o host de scripts do Microsoft
Windows.
Para executar um script
1 Grave um script de requisitos personalizados.
Consulte “Gravação de um script de requisitos personalizados” na página 912.
2 Na caixa de diálogo Requisito personalizado, em Script de requisitos
personalizados, selecione o nó onde você deseja adicionar a função.
3 Clique em Adicionar e em Função.
4 Clique em Utilitário: Executar um script.
5 Digite um nome de arquivo para o script, como myscript.js.
6 Digite o conteúdo do script.
7 No campo de texto Executar o comando, digite o comando para executar o
script.
Use %F para especificar o nome do arquivo de script. O script é executado no
contexto do sistema.
Para adicionar requisitos personalizados à política de integridade do host 921
Definição do carimbo de hora de um arquivo
É necessário digitar todos os valores se algum deles for alterado. Para aqueles que
não estiverem especificados, serão usados valores padrão automaticamente.
O comando configure spm usa a seguinte sintaxe:
onde:
■ configure
■ console
■ debug
■ mab
■ monitor
■ on-demand
■ snmp
Para uma lista completa dos comandos e grupos de comandos da interface da linha
de comando, consulte o Guia de Referência da Linha de Comando do Symantec
Network Access Control Enforcer em:
http://www.symantec.com/business/support/
documentation.jsp?language=english&view=manuals&pid=52788
Capítulo 46
Para planejar a instalação
do appliance Gateway
Enforcer
Este capítulo contém os tópicos a seguir:
Neste caso, o Gateway Enforcer não está aprovando pacotes, mas está atuando
como um host. Este recurso não é usado frequentemente e é feito na linha de
comando do Enforcer.
Nota: Se você estiver fazendo upgrade dos clientes do Symantec Sygate Endpoint
Protection 5.1, deverá fazer upgrade do Symantec Endpoint Protection Manager
primeiro, em seguida dos Enforcers e depois dos clientes, movendo-os para a
versão 12.1 primeiro. Depois que o Symantec Endpoint Protection Manager e os
Enforcers estiverem na versão 11.x, será necessário selecionar Permitir clientes
legados no menu Enforcer, se você tiver clientes anteriores à versão 11.x antes
de realizar a etapa final. Em seguida, conclua o upgrade para a versão atual.
Ponto de acesso sem fio Entre um ponto de acesso sem fio (WAP, Wireless Access Point)
(WAP) e a rede da empresa
Clientes remotos
VPN
Empresa externa
Internet
Conexão sem fio Empresa interna
Clientes internos
Clientes internos Firewall
sem fio corporativo
Ponto de
Servidor
acesso
VPN NIC externa
sem fio
Gateway
NIC externa Enforcer
NIC interna
NIC externa Gateway
Gateway Enforcer
Enforcer NIC interna
NIC interna
Backbone corporativo
Clientes internos
NIC externa
Gateway
Enforcer Servidores protegidos
NIC interna
Symantec Endpoint
Protection Manager
Outro local onde o appliance Gateway Enforcer protege uma rede é em um Servidor
de acesso remoto (RAS, Remote Access Server). Os clientes podem discar para se
conectar a uma rede da empresa. Clientes RAS dial-up são configurados de maneira
Para planejar a instalação do appliance Gateway Enforcer 933
Planejamento da instalação para um appliance Gateway Enforcer
similar a clientes sem fio (wireless) e VPN. A NIC externa se conecta ao servidor
RAS e a NIC externa se conecta à rede.
Os clientes que aceitam sistemas operacionais que não sejam Windows podem ser
conectados por meio de um servidor VPN separado:
■ Um servidor VPN pode oferecer suporte a clientes que têm o software-cliente
instalado. Os computadores-cliente baseados em Windows podem conectar-se
à rede corporativa através de um appliance Gateway Enforcer.
■ Outro pode aceitar outros clientes que executem sistemas operacionais que
não sejam Windows. O computador-cliente que não seja baseado em Windows
pode então conectar-se à rede corporativa sem um appliance Gateway Enforcer.
Consulte “Onde colocar o appliance Gateway Enforcer” na página 931.
Consulte “Configuração de um appliance Enforcer” na página 869.
■ A porta 137 UDP deve estar aberta no cliente. Ela deve ser acessível para o
Gateway Enforcer.
Se um cliente Windows não cumprir estes requisitos, o appliance Gateway Enforcer
poderá interpretar o cliente Windows como sendo um cliente que não seja
Windows. Consequentemente, o appliance Gateway Enforcer poderá permitir que
o cliente que não seja Windows se conecte à rede sem autenticação.
Consulte “Permissão para que clientes que não sejam Windows se conectem à
rede sem autenticação” na página 962.
Nota: Se você usar o Gateway Enforcer para fazer o download dos clientes sob
demanda e tiver ativado o trunking 801.Q no comutador, verifique a velocidade
de conexão da NIC. Para fazer o download com êxito do cliente sob demanda,
ambas as NICs devem se conectar ao comutador com a mesma velocidade de
conexão.
Consequentemente, ele pode levar alguns minutos para mudar seu status para
on-line.
■ Se o primeiro appliance Gateway Enforcer não detectar um outro appliance
Gateway Enforcer, o primeiro appliance Gateway Enforcer será o appliance
Gateway Enforcer ativo.
■ Enquanto o appliance Gateway Enforcer ativo estiver em execução, ele
transmitirá pacotes de failover para as redes internas e externas. Ele continuará
transmitindo pacotes de failover.
■ Assim que o segundo appliance Gateway Enforcer for iniciado, ele será
executado no modo de espera. Ele consulta a rede para determinar se um outro
appliance Gateway Enforcer está em execução.
■ O segundo appliance Gateway Enforcer detecta então o appliance Gateway
Enforcer ativo que está em execução e permanece, consequentemente, no modo
de espera.
■ Se o appliance Gateway Enforcer ativo falhar, ele interromperá parar a
transmissão de pacotes de failover. O appliance Gateway Enforcer em espera
não detectará um appliance Gateway Enforcer ativo. Consequentemente,
transforma-se no appliance Gateway Enforcer ativo que controla as conexões
de rede e a segurança neste local.
■ Se você iniciar o outro appliance Gateway Enforcer, ele permanecerá sendo o
appliance Gateway Enforcer em modo de espera, pois detectará que um outro
appliance Gateway Enforcer está ativo.
Consulte “Configuração de appliances do Gateway Enforcer para failover”
na página 942.
Clientes remotos
VPN
Fora da empresa
Internet
Dentro da empresa
Clientes
Firewall internos
corporativa
Servidor
VPN
Clientes internos
Servidores protegidos
Symantec Endpoint
Protection Manager
Nota: A partir do Symantec Network Access Control versão 11.0 RU6 MP1, os
Enforcers serão fornecidos com uma placa NIC Silcom configurada em modo
fail-open. Para configurar o Enforcer no modo fail-close, emita o seguinte comando
CLI:
configure interface failopen disable
Opção Descrição
Período de tempo entre O tempo em segundos entre cada pacote de desafio que o
pacotes em sessão de Enforcer envia.
autenticação (segundos)
O valor padrão é 3 segundos. O intervalo é de 3 a 10.
Opção Descrição
Permitir todos os clientes, Se essa opção estiver ativada, o appliance Gateway Enforcer
mas continuar a registrar autenticará todos os usuários, verificando se eles executam
quais clientes não são o cliente. O appliance Gateway Enforcer também verifica se
autenticados o cliente foi aprovado na verificação de integridade do host.
Se o cliente for aprovado na verificação de integridade do
host, o appliance Gateway Enforcer registrará os resultados.
Ele, então, encaminha a solicitação do gateway para receber
uma configuração de rede normal em vez de uma
configuração de rede de quarentena, caso as verificações
sejam aprovadas ou falhem.
Todos os clientes com Se essa opção estiver ativada, o Gateway Enforcer verificará
sistemas operacionais que o sistema operacional do cliente. O appliance Gateway
não sejam Windows Enforcer, então, permitirá que todos os clientes que não
executam sistemas operacionais Windows recebam uma
configuração de rede normal sem ser autenticados
novamente. Se essa opção não estiver ativada, os clientes
receberão uma configuração de rede de quarentena.
Verificar o número de série Se essa opção estiver ativada, o appliance Gateway Enforcer
da política do cliente antes verificará se o cliente recebeu as políticas de segurança mais
de permitir a entrada do recentes do servidor de gerenciamento. Se o número de série
cliente na rede da política não for o mais recente, o Gateway Enforcer
notificará o cliente para que ele atualize sua política de
segurança. O cliente encaminhará a solicitação do gateway
para receber uma configuração de rede de quarentena.
Opção Descrição
Ativar mensagem pop-up Se essa opção estiver ativada, uma mensagem será exibida
para o cliente se o cliente não aos usuários nos computadores com Windows sem que um
estiver sendo executado cliente que tente conectar-se a uma rede empresarial seja
executado. A mensagem padrão está configurada para ser
exibida apenas uma vez. Ela informa aos usuários que eles
estão impedidos de acessar a rede porque um cliente não
está em execução, avisando-os para instalá-lo. Para editar
a mensagem ou alterar a frequência com que é exibida, clique
em Mensagem. O tamanho máximo da mensagem é de 128
caracteres.
O appliance Gateway Enforcer continua enviando pacotes até que sejam atendidas
as seguintes condições:
■ O appliance Gateway Enforcer receba uma resposta do cliente
■ O appliance Gateway Enforcer tenha enviado o número máximo especificado
de pacotes.
A configuração padrão do número máximo de pacotes de desafio durante uma
sessão de autenticação for 10. O intervalo é de 2 a 100 pacotes.
Consulte “Sobre configurações de autenticação em um appliance Gateway”
na página 952.
Para especificar o número máximo de pacotes de desafio durante uma sessão de
autenticação
1 Em Symantec Endpoint Protection Manager, clique em Administrador.
2 Clique em Servidores.
3 Selecione e expanda o grupo de Enforcers.
O grupo do Enforcer deve incluir o appliance Gateway Enforcer para o qual
deseja especificar o número máximo de pacotes de desafio durante uma sessão
de autenticação.
4 Em Tarefas, clique em Editar propriedades do grupo.
5 Na caixa de diálogo Configurações do gateway, na guia Autenticação, em
Parâmetros de autenticação, digite a quantidade máxima de pacotes de
desafio que você deseja permitir durante uma sessão de autenticação no
campo Número máximo de pacotes por sessão autenticada.
A configuração padrão é 10 segundos. O intervalo é de 2 a 100 pacotes.
6 Clique em OK.
os clientes à rede até que tenha terminado de distribuir o pacote de cliente a todos
os usuários. O appliance Gateway Enforcer bloqueia todos os clientes que não
executam o cliente. Como o cliente não é executado em sistemas operacionais que
não sejam Windows, como Linux ou Solaris, o appliance Gateway Enforcer bloqueia
esses clientes. Há a opção de permitir que todos os clientes que não sejam Windows
conectem-se à rede.
Se um cliente não é autenticado com essa configuração, o appliance Gateway
Enforcer detecta o tipo de sistema operacional. Consequentemente, os clientes
Windows são bloqueados e os clientes que não sejam Windows têm o acesso à rede
permitido.
A configuração padrão é não ativada.
Use as seguintes diretrizes quando aplicar as definições de configuração:
■ Essa configuração deve ser uma medida temporária, uma vez que torna a rede
menos segura.
■ Enquanto essa configuração estiver ativa, você poderá analisar os logs do
Enforcer. É possível descobrir os tipos de clientes que tentam se conectar à
rede naquele local.
Por exemplo, o Log de atividades do cliente pode ser analisado para verificar
se há algum cliente sem o software-cliente instalado. Depois, você pode
certificar-se de que o software-cliente esteja instalado nesses clientes antes
de desativar essa opção.
Consulte “Sobre configurações de autenticação em um appliance Gateway”
na página 952.
Para permitir todos os clientes com registro em log contínuo de clientes não
autenticados
1 No console do Symantec Endpoint Protection Manager, clique em
Administrador.
2 Clique em Servidores.
3 Selecione e expanda o grupo de Enforcers.
O grupo do Enforcer deve incluir o appliance Gateway Enforcer para o qual
deseja permitir todos os clientes enquanto continua com o registro em log de
clientes não autenticados.
4 Em Tarefas, clique em Editar propriedades do grupo.
962 Para configurar o appliance Symantec Gateway Enforcer através do Symantec Endpoint Protection Manager
Sobre configurações de autenticação em um appliance Gateway
9 Clique em OK.
10 Na caixa de diálogo Configurações, na guia Autenticação, clique em OK.
966 Para configurar o appliance Symantec Gateway Enforcer através do Symantec Endpoint Protection Manager
Sobre configurações de autenticação em um appliance Gateway
7 Clique em Adicionar.
8 Na caixa de diálogo Configurações de endereço IP, digite um endereço IP ou
um intervalo de endereços.
9 Clique em OK.
O endereço IP é adicionado à lista e uma marca de seleção é exibida na coluna
Ativar.
10 Na caixa de diálogo Configurações, clique em OK.
9 Clique em OK.
O endereço IP é adicionado à lista e uma marca de seleção é exibida na coluna
Ativar.
10 Na caixa de diálogo Configurações, clique em OK.
Manager pelo nome em vez de pelo endereço IP. Essa opção também deverá
ser ativada se desejar usar a opção Solicitações de redirecionamento
HTTP na guia Autenticação.
A configuração padrão é ativada.
■ Permitir todos os pacotes de solicitações ARP
Quando essa opção é ativada, o appliance Gateway Enforcer permite todos
os pacotes ARP da rede interna. Do contrário, o appliance Gateway Enforcer
trata o pacote como um pacote IP normal e usa o IP do remetente como
IP de origem e o IP alvo como o IP de destino ao efetuar o processo de
autenticação.
A configuração padrão é ativada.
■ Permitir outros protocolos além de IP e ARP
Quando essa opção é ativada, o appliance Gateway Enforcer encaminha
todos os pacotes com outros protocolos. Caso contrário, eles são
eliminados.
A configuração padrão é desativada.
Se você marcou Permitir outros protocolos além de IP e ARP, convém
preencher o campo Filtro. Você pode focalizar o campo para ver exemplos,
alguns dos quais estão a seguir.
Exemplos: permitir 800, 224.12.21, 900-90d,
224.21.20-224-12.21.100; bloquear 810, 224.12.21.200
7 Clique em OK.
Onde:
Clientes
Alternador
compatível com
802.1x com portas
com dot1x ativado
para clientes
VLAN de correção internos
Servidor
VLAN de correção RADIUS
Appliance LAN
Enforcer (proxy
RADIUS)
Backbone corporativo
Servidores protegidos
Clientes
Alternador
compatível
com 802.1x
com portas
VLAN de correção com dot1x
ativado para
Servidor de clientes
correção internos
Servidor
Servidor RADIUS
RADIUS sobressalente
Appliance LAN
Enforcer (proxy
RADIUS)
Backbone corporativo
Servidores protegidos
Symantec Endpoint
Protection Manager
Planejamento da instalação para o appliance LAN Enforcer 991
Planejamento de failover para appliances LAN Enforcer e servidores Radius
listas de controle de Alguns APs sem fio têm suporte para ACLs que permitem ao
acesso (ACLs, Access administrador de rede definir políticas para o gerenciamento do
Control Lists) tráfego na rede. É possível usar a opção genérica no LAN Enforcer
ao selecionar o nome do fornecedor do AP sem fio. Como alternativa,
é possível selecionar Outros para o modelo de alternador compatível
com 802.1x (se não estiver relacionado).
MAC nível 802.1x É possível conectar o AP sem fio a um alternador que ofereça suporte
a MAC nível 802.1x. Para essa implementação, desative o 802.1x no
AP sem fio. É possível usá-lo apenas no alternador. O alternador
então autentica os clientes sem fio pelo reconhecimento dos novos
endereços MAC. Após autenticar um endereço MAC, ele coloca esse
endereço MAC na VLAN especificada, e não em toda a porta. Cada
novo endereço MAC deve ser autenticado. Essa opção não é tão
segura, mas permite que se use o recurso de alternação da VLAN.
No campo: Tempo limite do switch (em Digite o valor de tempo limite do switch.
segundos) O padrão é 3 segundos.
9 Clique em OK.
O nome, o nome do host ou o endereço IP e a porta para o servidor RADIUS
que foram adicionados são exibidos na lista Grupo de servidor RADIUS na
caixa de diálogo Adicionar o grupo de servidor RADIUS.
10 Na caixa de diálogo Adicionar grupo de servidor RADIUS, clique em OK.
11 Na caixa de diálogo Configurações de LAN Enforcer, clique em OK.
1006 Para configurar o appliance LAN Enforcer no Symantec Endpoint Protection Manager
Uso das configurações de grupo do servidor RADIUS
6 Clique em Editar.
7 Na caixa de diálogo Adicionar um servidor RADIUS, edite o nome amigável
do servidor RADIUS no campo Nome amigável do servidor RADIUS.
8 Clique em OK.
9 Na caixa de diálogo Configurações de LAN Enforcer, na guia Grupo de
servidor RADIUS, clique em OK.
Nota: Ativar o suporte para o Windows NPS exige que os clientes e os LAN
Enforcers executem a versão 11.0 RU6 MP2 ou superior (incluindo 12.1) Symantec
Endpoint Protection . Se você ativar esta opção nos LAN Enforcers com clientes
legados, a funcionalidade do Symantec Network Access Control não será suportada.
Configurações do alternador
É necessário especificar as seguintes informações básicas antes que os appliances
LAN Enforcer, os servidores de gerenciamento, os clientes e os alternadores
compatíveis com 802.1x funcionem juntos:
■ Um nome de sua escolha para a política de alternador.
■ O fabricante e o modelo do alternador.
Selecione o modelo do alternador na lista de alternadores compatíveis.
■ A senha criptografada ou o segredo compartilhado
■ O grupo de servidor RADIUS usado.
■ O período de tempo limite para nova autenticação do alternador compatível
com 802.1x.
A configuração padrão é 30 segundos.
■ Se o alternador encaminha outros protocolos além do EAP (Extensible
Authentication Protocol).
A configuração padrão é encaminhar outros protocolos.
Consulte “Adição de uma política de alternador compatível com 802.1x a um
appliance LAN Enforcer com assistente” na página 1015.
1012 Para configurar o appliance LAN Enforcer no Symantec Endpoint Protection Manager
Uso das configurações do alternador
Controlador sem O código do fornecedor é 14179. O Nome VLAN é usado. Ele diferencia
fio Airespace maiúsculas de minúsculas.
O número do atributo conferido pelo fornecedor é 5.
Cisco Aironet Depende do uso do controle de acesso SSID (Service O ID da VLAN é usado.
Series Set IDentifier).
Cisco Catalyst Tunnel Type (#64) O Nome VLAN é usado. Ele diferencia
Series maiúsculas de minúsculas.
Tunnel Medium Type (#65)
version=1:
mgmt=su:
policy=NAME
■ Outro
Se o modelo não estiver relacionado, selecione Outro
para usar um atributo genérico do servidor RADIUS.
■ 3Com
■ Alternador Alcatel
■ Cisco Catalyst Series
■ Enterasys Matix Series
■ Extreme Summit Series
■ Foundry Networks
■ HP Procurve Series
■ Nortel BayStack Series
■ Cisco Aironet Series
■ Alternadores Aruba
■ Controlador sem fio Airespace
■ Nortel Wireless
■ Controlador sem fio Enterasys
■ Alternadores Allied Telesis
■ Alternadores HuaWei a partir de fevereiro de 2009
Nota: Para os alternadores HuaWei, se o administrador
escolher o modo transparente no alternador, ele deverá
configurar a política para usar o modo transparente no
cliente, em vez de deixar o usuário selecioná-lo.
■ Passou
■ Falhou
■ Não disponível
■ Ignorar resultado
■ Passou
O cliente foi aprovado na autenticação do usuário.
■ Falhou
O cliente não foi aprovado na autenticação do usuário.
■ Não disponível
O resultado da autenticação do usuário será sempre "não
disponível" se a autenticação do usuário não for realizada
no modo transparente. Se o LAN Enforcer for usado no
modo transparente, crie uma ação para a condição Não
disponível.
Se a configuração básica for usada, também pode desejar
configurar-se uma ação para a autenticação do usuário
como uma condição de erro. Por exemplo, caso um
suplicante 802.1x usar um método incorreto de
autenticação do usuário ou se o servidor RADIUS falhar
no meio da transação de autenticação.
A condição "Não disponível" para a autenticação do
usuário também pode ocorrer em alguns servidores
RADIUS se o nome de usuário não existir no banco de
dados RADIUS. Por exemplo, esse problema pode ocorrer
com o Microsoft IAS. Portanto, pode ser que você queira
testar a condição de um nome de usuário ausente com o
servidor RADIUS. Convém verificar se isso coincide com
as condições Falhou ou Não disponível da autenticação
do usuário.
■ Ignorar resultado
■ Passou
O cliente foi aprovado na verificação de política.
■ Falhou
O cliente não foi aprovado na verificação de política.
■ Não disponível
O resultado "Não disponível" da política pode ocorrer
nas seguintes condições:
■ Se o cliente tiver um identificador inválido, o LAN
Enforcer não poderá obter informações de política
do servidor de gerenciamento. Esse problema pode
ocorrer se o servidor de gerenciamento que
implementou a política do cliente não estiver mais
disponível.
■ Se o cliente é exportado e instalado pela primeira vez
antes de se conectar ao servidor de gerenciamento e
receber sua política.
■ Ignorar resultado
■ Abrir porta
O alternador compatível com 802.1x permite acesso à
rede na VLAN padrão ao qual a porta normalmente é
atribuída. Também permite acesso à rede na VLAN que
é especificada em um atributo enviado do servidor
RADIUS. Portanto, o suporte a usuários que têm acesso
à VLAN se baseia no ID do usuário e na função do usuário.
A ação padrão é Abrir porta.
■ Alternar para teste de VLAN.
Permite acesso à VLAN especificada. As VLANs
disponíveis para seleção são aquelas configuradas
anteriormente.
■ Fechar porta
Nega acesso à rede na VLAN padrão ou na VLAN
específica do RADIUS. Em alguns modelos de alternador,
conforme a configuração, a porta é atribuída a uma VLAN
convidada.
8 Clique em OK.
9 Na caixa de diálogo Configurações de LAN Enforcer, na guia Alternador,
clique em OK.
8 Clique em OK.
9 Na caixa de diálogo Configurações de LAN Enforcer, na guia Alternador,
clique em OK.
8 Clique em OK.
9 Na caixa de diálogo Configurações de LAN Enforcer, na guia Alternador,
clique em OK.
9 Clique em OK.
10 Na caixa de diálogo Configurações de LAN Enforcer, na guia Alternador,
clique em OK.
Para o alternador Aruba, também é possível usar essa caixa de diálogo para
configurar separadamente ações de alternador para diversas funções em uma
VLAN ou diversas VLANs para uma função.
Consulte “Configurações do alternador” na página 1011.
Para configurar VLAN e informações de função no alternador Aruba compatível
com 802.1x
1 Se você tem um ID da VLAN 1 com função A e função B, preencha o ID da
VLAN como 1 e o nome VLAN como A. Clique em OK.
2 Clique em Adicionar novamente. Na caixa de diálogo Adicionar VLAN,
preencha o ID da VLAN como 1 e o nome VLAN como B e clique em OK.
Tornam-se disponíveis duas opções distintas para a configuração na tabela
de ação do alternador.
para aplicar a ação. É possível modificar a sequência na qual as ações são aplicadas
ao modificar a ordem em que estão listadas na tabela.
Se um LAN Enforcer não puder localizar entradas que correspondam à condição
atual, a ação FECHAR PORTA será executada.
Consulte “Sobre temas relacionados com a política de alternador, condições
associadas e ações” na página 1034.
Para definir a ordem de verificação da condição
1 No console do Symantec Endpoint Protection Manager, clique em
Administrador.
2 Na página Administrador, clique em Servidores.
3 Selecione o grupo de Enforcer.
4 Em Tarefas, clique em Editar propriedades do grupo.
5 Na caixa de diálogo Configurações de LAN Enforcer, na guia Switch, na tabela
Política de switch, clique na política de switch cuja ordem de verificação das
condições você deseja modificar.
6 Clique em Editar.
7 Na caixa de diálogo Editar política de switch para nome da política de switch,
na guia Ação, selecione a política de switch cuja ordem de verificação das
condições você deseja modificar.
8 Clique em Mover para cima ou em Mover para baixo.
9 Clique em OK.
10 Na caixa de diálogo Configurações de LAN Enforcer, na guia Alternador,
clique em OK.
9 Clique em OK.
10 Na caixa de diálogo Configurações de LAN Enforcer, na guia Alternador,
clique em OK.
9 Clique em OK.
10 Na caixa de diálogo Configurações de LAN Enforcer, na guia Alternador,
clique em OK.
Para configurar o appliance LAN Enforcer no Symantec Endpoint Protection Manager 1039
Uso das configurações avançadas do appliance LAN Enforcer
Nota: Se você havia ativado o NTP em uma versão anterior do Symantec Endpoint
Protection, essa configuração será perdida quando você fizer upgrade. Você deve
ativar o NTP novamente.
Para trabalhar com o appliance LAN Enforcer, o cliente pode usar um suplicante
de terceiros ou integrado.
A Tabela 49-2 descreve os tipos de opções que você pode configurar para a
autenticação 802.1x.
Opção Descrição
Opção Descrição
Modo transparente Usa o cliente para ser executado como suplicante 802.1x.
Use esse método se não quiser usar um servidor RADIUS para fazer
a autenticação do usuário. O appliance LAN Enforcer é executado no
modo transparente e atua como pseudo-servidor RADIUS.
Aviso: Você deve saber se a rede da empresa utiliza o servidor RADIUS como
servidor de autenticação. Se você configurar a autenticação 802.1x incorretamente,
a conexão à rede pode ser interrompida.
7 Clique em OK.
Para configurar o cliente para usar um suplicante de terceiros
1 No console, clique em Clientes.
2 Em Exibir clientes, selecione o grupo de clientes que você deseja que execute
a autenticação 802.1x.
3 Na guia Políticas, em Configurações, clique em Configurações gerais.
4 Na guia Configurações de segurança, marque Ativar autenticação 802.1x.
5 Clique em OK.
É possível configurar o cliente para usar o suplicante integrado. Ative o cliente
para autenticação 802.1x e como suplicante 802.1x.
Campo Descrição
Campo Descrição
Symantec Enforcer has blocked all traffic from the client because
the client failed Host Integrity. (O Symantec Enforcer bloqueou todo o tráf
É possível adicionar texto à mensagem padrão. Por exemplo, você pode informar
ao usuário do computador o que fazer para corrigir a situação. Configure essa
mensagem como parte das configurações da política de grupo de clientes em vez
das configurações do Enforcer.
Para que o Enforcer faça com que o cliente exiba uma mensagem, as portas UDP
137 e 138 deverão estar abertas para a transmissão da mesma.
O Windows Messaging, também denominado Messenger, deve estar em execução
nos sistemas baseados em Windows NT (Windows NT 4.0, 2000, XP e Windows
Server 2003) para que o computador exiba mensagens pop-up. Se o cliente estiver
em execução, o Windows Messaging não será necessário para exibição de
mensagens pop-up do cliente.
1056 Para configurar Enforcers no Symantec Endpoint Protection Manager
Sobre as configurações do cliente e o Enforcer
■ Log de tráfego do Enforcer (somente Gateway Enforcer) Este log registra todo
o tráfego que entra pelo adaptador externo e sai pelo adaptador interno do
appliance Gateway Enforcer.
■ Log de atividade do Enforcer Este log contém as informações sobre eventos,
como quando Enforcers são iniciados e quando se conectam ao Symantec
Endpoint Protection Manager.
Os logs do Enforcer são armazenados por padrão no mesmo computador em que
o software Enforcer é instalado ou no próprio appliance Enforcer. Você pode fazer
com que os logs sejam enviados automaticamente do appliance Enforcer ou do
computador em que você instalou o Integrated Enforcer ao console do Symantec
Endpoint Protection Manager. Porém, é necessário ativar o envio dos logs no
console do Symantec Endpoint Protection Manager.
Os dados de log são enviados do Enforcer para o Symantec Endpoint Protection
Manager e armazenados no banco de dados. Você pode modificar as configurações
de log do Enforcer, exibir logs do Enforcer e gerar relatórios sobre os Enforcers
no console do Symantec Endpoint Protection Manager. As atividades são
registradas no mesmo log do servidor do Enforcer para todos os Enforcers em um
site.
Para obter informaçőes detalhadas acerca dos tipos de relatórios e logs e sobre
como exibi-los, consulte a Ajuda do Symantec Endpoint Protection Manager.
Consulte “Definição das configurações do log do Enforcer” na página 1058.
Desativar o registro em log do Enforcer Desmarque Ativar registro de log para cada
no console do Symantec Endpoint log que você deseja desativar.
Protection Manager
Configurar o tamanho e a idade dos logs Em cada um dos campos Tamanho máximo
do arquivo de log, especifique o número de
kilobytes de dados que serão mantidos em
cada log.
Filtrar o log de tráfego do Enforcer Selecione uma das opções de filtro a seguir:
6 Clique em OK.
Consulte “Sobre relatórios e logs do Enforcer” na página 1057.
6 Clique em OK.
Consulte “Sobre relatórios e logs do Enforcer” na página 1057.
6 Clique em OK.
1064 Para configurar Enforcers no Symantec Endpoint Protection Manager
Definição das configurações do log do Enforcer
Capítulo 51
Introdução do Symantec
Integrated Enforcer
Este capítulo contém os tópicos a seguir:
Windows Server 2008 e Windows Server 2008 R2. O Symantec Integrated NAP
Enforcer garante que os clientes que tentam se conectar à rede cumpram as
políticas de segurança configuradas.
O NAP restringe o acesso às redes criando um ambiente controlado. Ele verifica
a postura da segurança de um cliente antes que o cliente possa conectar-se à rede
corporativa. Se um cliente não estiver em conformidade, o NAP corrigirá a postura
de segurança ou limitará o acesso aos endpoints que não cumprirem a política de
segurança de uma empresa.
O Network Access Protection é uma tecnologia de criação, imposição e correção
de "política de integridade de segurança" do cliente que está incluída no sistema
operacional Windows Server 2008. Os administradores de sistemas podem criar
e automaticamente aplicar políticas de segurança. Estas políticas de integridade
de segurança podem incluir requisitos do software, requisitos da atualização de
segurança, configurações de computador necessárias e outras configurações. Aos
computadores-cliente que não estão em conformidade com uma política de
integridade de segurança pode ser fornecido acesso restrito à rede. Quando sua
configuração estiver atualizada e em conformidade com uma política, os clientes
terão acesso total à rede. Dependendo de como você implementar o NAP, os clientes
que não estiverem em conformidade podem automaticamente ser atualizados de
modo que os usuários recuperem o acesso total à rede, sem atualizar ou
reconfigurar seus computadores manualmente.
Etapa 2 Instale o Symantec Endpoint Protection Instala o aplicativo que você usa para
Manager. suportar o Enforcer em sua rede.
Componente Requisito
A Tabela 52-3 mostra os componentes que são necessários para usar o Integrated
Enforcer for Microsoft DHCP Servers:
Componente Descrição
Integrated Enforcer for Microsoft DHCP Autentica clientes e aplica políticas de segurança.
Servers (instalado no mesmo
computador que o serviço DHCP)
Symantec Endpoint
Protection Manager
Clientes
Agente de
retransmissão
Backbone da
Servidores empresa
protegidos
Hub/Switch
Para instalar o Integrated Enforcer for Microsoft DHCP Servers com um assistente
1 Insira o disco do produto.
Se a instalação não iniciar automaticamente, clique duas vezes em:
■ IntegratedEnforcerInstaller86.exe(para sistemas operacionais x86).
■ IntegratedEnforcerInstaller64.exe(para sistemas operacionais x64).
Você deverá sair da instalação e instalar o servidor DHCP se visualizar a
seguinte mensagem:
Tabela 52-5 Etapas para o upgrade do Integrated Enforcer for Microsoft DHCP
Servers
Nota: A migração não é suportada. Você deve desinstalar a versão antiga e instalar
uma nova.
Etapa 2 Defina o servidor DHCP com uma Use um de dois métodos para
configuração de quarentena. configurar uma classe de usuário de
quarentena para correção.
Etapa 8 Opcionalmente, defina onde você deseja Configure os logs para exibir no console
exibir os logs. do Enforcer ou no Symantec Endpoint
Protection Manager.
Nota: Se o escopo novo for criado ou adicionado depois que Enforcer tiver
sido instalado, o escopo novo não será imposto até que esteja selecionado na
interface do usuário na página de configuração Configurações avançadas.
Nota: Se o Integrated Enforcer não perder sua conexão com Symantec Endpoint
Protection Manager, ele sempre pedirá que o servidor de gerenciamento verifique
o GUID do cliente independentemente de a autenticação local estar ativada ou
desativada.
1098 Para configurar o Symantec Network Access Control Integrated Enforcer para o servidor DHCP da Microsoft no Symantec
Endpoint Protection Manager
Configuração de autenticação do Symantec Network Access Control Integrated Enforcer
Opção Descrição
Opção Descrição
Período de tempo entre O período de tempo (em segundos) entre cada pacote de
pacotes em sessão de desafio que o Enforcer envia.
autenticação
O valor padrão é 4 segundos.
Permitir todos os clientes, Se essa opção estiver ativada, o Enforcer autenticará todos
mas continuar a registrar os usuários, verificando se eles estão executando um cliente.
quais clientes não são Ele encaminhará a solicitação para receber uma
autenticados configuração de rede normal em vez de uma configuração
de rede de quarentena, caso as verificações forem aprovadas
ou não.
Opção Descrição
Consulte “Componentes de um
Symantec Integrated Enforcer for
Microsoft Network Access Protection”
na página 1111.
Etapa 2 Instale o Symantec Endpoint Protection Instala o aplicativo que você usa para
Manager. suportar o Enforcer em sua rede.
Componente Requisito
Componente Requisito
Para instalar Integrated Enforcer for Microsoft Network Access Protection com o
Assistente de Instalação
1 Insira o disco do produto para Symantec Network Access Control na unidade
de DVD para iniciar automaticamente a instalação.
Se a instalação não iniciar automaticamente, clique duas vezes em:
■ IntegratedEnforcerInstaller86.exe(para sistemas operacionais x86).
■ IntegratedEnforcerInstaller64.exe(para sistemas operacionais x64).
Você deve sair da instalação e instalar o servidor NPS caso ele ainda não esteja
instalado.
Para instalar o Symantec Integrated Enforcer for Microsoft Network Access Protection 1113
Instalação do Integrated Enforcer for Microsoft Network Access Protection
Etapa 2 Criptografar a comunicação entre Integrated Adicione uma senha criptografada ou um segredo
Enforcer e o servidor de gerenciamento. pré-compartilhado que você configurou durante a
instalação do Symantec Endpoint Protection
Manager.
Etapa 4 Configure um protocolo de comunicação HTTP ou Estabeleça comunicação HTTP ou HTTPS entre o
HTTPS. Symantec Integrated Enforcer for Microsoft Network
Access Protection e o Symantec Endpoint Protection
Manager.
Etapa 5 Opcionalmente, configure logs para Ative o envio de dados de log para o
exibição no Symantec Endpoint Symantec Endpoint Protection
Protection Manager. Manager.
configure
spm ip 192.168.100.2 key sygate group Gateway
1138 Para configurar conexões temporárias para clientes do Symantec Network Access Control sob demanda
Configuração do desafio de acesso do convidado usando o Integrated Enforcer DHCP do Symantec Network Access
Control
On-demand
Spm-domain name <domain name>
Client-group <client group full path>
Enable
Show
ipconfig /release
ipconfig /renew
onde:
nome do grupo de clientes do Enforcer representa o nome do grupo de clientes
do Enforcer que você já configurou na página Clientes, em Exibir clientes, no
console do Symantec Endpoint Protection Manager. Você já deve ter
configurado este grupo de clientes do Enforcer como um subgrupo do grupo
Minha empresa com direitos de acesso total. Se você não definiu o grupo de
clientes do Enforcer no console de um Symantec Endpoint Protection Manager,
o Enforcer se registrará no grupo padrão. As informações sobre o grupo de
clientes do Enforcer é enviada automaticamente durante a próxima pulsação.
Você pode agora configurar a autenticação para os clientes no Symantec
Network Access Control On-Demand.
Consulte “Configuração da autenticação no console do Gateway Enforcer para
clientes do Symantec Network Access Control sob demanda” na página 1142.
5 Digite este comando:
Enforcer (on-demand)#enable
Você também pode definir o período durante o qual o cliente sob demanda estará
“ativo” usando o comando persistence.
Para tornar os clientes sob demanda do Symantec Network Access Control
“persistentes”
1 Faça logon no console do appliance Gateway Enforcer como superusuário.
Consulte “Logon em um appliance Enforcer” na página 870.
2 No console de um appliance Gateway Enforcer, digite o comando a seguir:
Enforcer #on-demand
3 Digite este comando
Enforcer (on-demand)# persistence duration days 10
onde:
duration days 10 indica que você deseja que o cliente persista por 10 dias.
1142 Para configurar conexões temporárias para clientes do Symantec Network Access Control sob demanda
Como desativar o cliente do Symantec Network Access Control On-Demand
onde:
■ O nome de alias representa o nome exibido para o método de autenticação
do RADIUS listado em Servidor de autenticação, na caixa de diálogo do
logon.
Para configurar conexões temporárias para clientes do Symantec Network Access Control sob demanda 1145
Configuração da autenticação no console do Gateway Enforcer para clientes do Symantec Network Access Control
sob demanda
6 Enforcer (authentication#enable
onde:
10.34.68.69 é o servidor tftp do qual o appliance Enforcer pode importar o
certificado por tftp.
symantec é a senha do certificado do usuário
Comando Descrição
Comando Descrição
Onde:
ad, radius e local-db representam o método de autenticação e índice representa o
índice do servidor Radius.
O seguinte exemplo descreve como especificar os métodos do Active Directory e
do servidor Radius:
Enforcer# on-demand
Enforcer (on-demand)# authentication
Enforcer (authentication)# default ad | radius radiusAuthServerIndex
onde:
1150 Para configurar conexões temporárias para clientes do Symantec Network Access Control sob demanda
Configuração da autenticação no console do Gateway Enforcer para clientes do Symantec Network Access Control
sob demanda
Enforcer# on-demand
Enforcer (on-demand)# authentication
Enforcer (authentication)# ad domain symantec.com name symantec
onde:
symantec.com representa o nome de alias exibido para o Servidor de autenticação
na caixa de diálogo Logon.
Enforcer# on-demand
Enforcer (on-demand)# authentication
Enforcer (authentication)# ad enable
Enforcer# on-demand
Enforcer (on-demand)# authentication enable
Enforcer# on-demand
Enforcer (on-demand)# authentication disable
onde:
Enforcer# on-demand
Enforcer (on-demand)# authentication
Enforcer (authentication)# radius add name guests server
IP:1812 shared secret8d#>9fq4bV)H7%a3-zE13sW CHAP
onde:
nome_de_usuário representa uma conta de usuário que você pode adicionar ao
banco de dados integrado.
O seguinte descreve como adicionar ao local-db:
Enforcer# on-demand
Enforcer (on-demand)# authentication
Enforcer (authentication)# local-db add user jim
Enforcer# on-demand
Enforcer (on-demand)# authentication
Enforcer (authentication)# local-db enable
Enforcer# on-demand
Enforcer (on-demand)# authentication
Enforcer (authentication)# local-db disable
onde:
Enforcer# on-demand
Enforcer(on-demand)#authentication
Enforcer(authentication)# local-db disable
Local database authentication is disabled.
Pressione Enter.
4 Na janela pop-up, digite a mensagem que deseja exibir aos usuários na página
Bem-vindo no cliente do Symantec Network Access Control On-Demand.
Você pode digitar até 1.024 caracteres.
1156 Para configurar conexões temporárias para clientes do Symantec Network Access Control sob demanda
Edição do banner na página Bem-vindo
Capítulo 59
Solução de problemas do
appliance Enforcer
Este capítulo contém os tópicos a seguir:
Problema Solução
Sintoma Solução
A senha raiz do Enforcer é Limite as senhas a 128 caracteres. Use uma senha com
exibida como inválida menos caracteres.
quando definida usando a
Consulte “Sobre a hierarquia de comandos da CLI do
interface de linha de
appliance Enforcer” na página 928.
comando
Algumas configurações Um retorno aos padrões pode aparecer no upgrade, mas não
(Nível de depuração, Captura) aparecerá depois disso.
retornam ao padrão quando
Consulte “Upgrade de imagens do appliance Enforcer”
se faz upgrade do Enforcer
na página 877.
Advanced local-auth
O comando advanced local-auth ativa ou desativa a autenticação do Enforcer do
cliente. Use este comando para a solução de problemas.
Por padrão, a autenticação do cliente está ativada.
O comando advanced local-auth usa a seguinte sintaxe:
onde:
Aplicação usando o Cisco NAC Quando se usa a solução Symantec para fazer interface
com o Cisco NAC, a arquitetura do Cisco NAC controla
todas as exclusões.
Sintoma Solução
A duração de download é, às Algumas vezes, o cliente envia tráfego ao VeriSign, o que reduz a velocidade de
vezes, longa. download. Uma solução alternativa é permitir que o admin adicione o VeriSign à
lista de IPs confiáveis.
O firewall no cliente está Os usuários devem mudar as configurações de firewall para desbloquear a porta
bloqueando o funcionamento UDP 39999. Como alternativa, configure o firewall com o seguinte: cclientctl.exe
do cliente On-Demand quando
o usuário não tem direitos de
Admin
O upgrade do Enforcer não Isto é devido ao tamanho dos pacotes tomados em conjunto. A solução alternativa
contém inicialmente o pacote é fazer o upgrade do Enforcer e importar primeiro o Pacote de instalação manual
de instalação manual. do cliente no Symantec Endpoint Protection Manager e depois ativar a
funcionalidade sob demanda no Enforcer. Isso adiciona os arquivos de instalação
manual.
O URL de redirecionamento no O problema de sobrescrever o URL apenas acontece quando o recurso On-Demand
Enforcer sobrescreverá um é ativado no Enforcer. Este comportamento é esperado.
URL de redirecionamento
anterior no Symantec Endpoint
Protection Manager.
Os clientes do Vista às vezes Este é um problema de sincronismo. Altere a configuração de tempo limite do DHCP
não recebem um endereço IP para 12 segundos ou mais.
do servidor DHCP.
Um usuário normal não poderá A solução alternativa é assegurar-se de que o JRE esteja instalado. Caso contrário,
instalar o agente se o JRE não somente os usuários Admin poderão instalar o JRE.
estiver instalado.
Solução de problemas do appliance Enforcer 1167
Solução de problemas de conexão entre o Enforcer e clientes On-Demand
Sintoma Solução
O serviço sem fio será O usuário deve reiniciar a conexão sem fio.
desconectado quando o cliente
On-Demand for instalado e
encerrado quando a
autenticação 802.1x for usada
Os sistemas que executam o Para resolver este problema, siga o link de download manual para fazer o download
Norton 360 v. 2.x têm e instalar o cliente.
problemas para receber o
cliente
Algumas vezes, ocorre falha na Para resolver este problema, pode ser necessário instalar o patch KB893803 da
instalação manual. Microsoft. Esse patch está incluído na instalação manual e deverá ser instalado
antes da instalação do cliente. São necessários privilégios de administrador.
A autenticação 802.1x falha O agente precisa instalar um driver para funcionar. Se o usuário precisar de
autenticação 802.1x no Windows Vista, necessitará abrir o navegador com o método
"Executar como administrador" ou desativar o UAC para garantir que o agente
funcione com privilégios de administrador.
A mensagem "Versão antiga do Você deve excluir o ActiveX existente clicando em Ferramentas -> Gerenciar
ActiveX detectada" aparece complementos -> Ativar ou desativar complementos -> Controles ActiveX obtidos
por download e excluir Classe HodaAgt.
O navegador notifica o usuário É possível que o cliente já esteja em execução. Como um recurso de segurança, você
de que não pode exibir a página não pode fazer download de um novo cliente dentro de uma sessão do cliente em
da Web e o cliente não pode execução.
fazer download com êxito
O navegador Firefox às vezes Este problema acontecerá quando o Firefox for executado primeiro. As primeiras
não consegue fazer o download reinicializações do Firefox são necessárias para que sua configuração seja concluída.
do cliente. Em seguida, o cliente On-Demand deve fazer download.
Os computadores que Esse parece ser um problema dessa versão do Mac OS. As versões 10.5 e superior
executam Mac OS 10.4 às vezes não têm o problema. A solução alternativa para a versão 10.4 é definir o nome do
não autenticam corretamente host em /etc/hostconfig/.
devido a uma mudança no
nome do host.
1168 Solução de problemas do appliance Enforcer
Solução de problemas de conexão entre o Enforcer e clientes On-Demand
Sintoma Solução
As verificações de integridade Isso é por causa da natureza transitória de %temp%. A solução alternativa é apontar
do host personalizadas que para locais diferentes.
dependem da variável do
sistema %temp% não
funcionam.
As regras personalizadas de Isto é por causa da natureza transitória das sessões de usuário.
integridade do host que
apontam para valores de
registro do Windows não
funcionam corretamente.
A instalação do software Panda O Panda exclui um arquivo importante do Symantec Network Access Control. Esse
Titanium 2007 ou Panda arquivo é reinstalado automaticamente e você não precisa executar nenhuma ação.
Internet Security 2007 ou 2008
faz com que a mensagem
"Aguarde enquanto o Windows
configura o Symantec Network
Access Control" apareça.
A autenticação dot1x de modo O cliente sob demanda Mac não é compatível com a autenticação de PEAP. Se o Mac
transparente do cliente Mac estiver configurado para a autenticação de PEAP, será necessário desativá-la mas
falha às vezes propriedades de conexão de rede do Mac. A autenticação dot1x de modo transparente
funcionará.
No Windows Vista, o cliente Esse problema é específico do uso de uma autenticação PEAP e VSA personalizada
sob demanda não realiza a no Windows Vista. A solução é usar uma forma de autenticação diferente.
autenticação corretamente ao
usar PEAP e um VSA
personalizado
Apêndice A
Diferenças entre recursos
do Mac e do Windows
Este Apêndice contém os tópicos a seguir:
proteção contra adulterações Sim Sim, mas com Sim Sim, mas com Não Não
limitações limitações
Definir ações para Você poderá especificar a primeira e a Você pode especificar uma das seguintes
verificações segunda ações quando diferentes tipos de ações:
vírus ou riscos forem encontrados. Você
■ Reparar automaticamente arquivos
pode especificar as seguinte ações:
infectados
■ Limpar ■ Colocar em quarentena os arquivos
■ Quarentena que não podem ser reparados
■ Excluir
■ Ignorar
Especificar a correção se um Você pode especificar as seguintes ações A correção é associada automaticamente
vírus ou um risco for de correção: às ações.
encontrado
■ Fazer backup dos arquivos antes do
reparo
■ Encerrar processos
■ Interromper serviços
Ferramenta Descrição
Ferramenta Descrição
Windows Active Directory Você pode usar o objeto de política de grupo do Active
Directory do Windows 2000/2003/2008 se os
computadores-cliente forem membros de um domínio
do Active Directory do Windows 2000/2003/2008. Os
computadores-cliente devem também usar um sistema
operacional Windows suportado.
Consulte “Para implementar clientes usando a opção Salvar pacote” na página 147.
[CUSTOM_SMC_CONFIG]
InstallationLogDir=
DestinationDirectory=
[FEATURE_SELECTION]
Core=1
SAVMain=1
Download=1
OutlookSnapin=1
1180 Para personalizar e implementar a instalação do cliente usando-se ferramentas de terceiros
Propriedades de instalação do cliente do Symantec Endpoint Protection
Pop3Smtp=0
NotesSnapin=0
PTPMain=1
DCMain=1
TruScan=1
Nota: Os recursos estão recuados para mostrar hierarquia. Os recursos não estão
recuados dentro do arquivo Setaid.ini. Os nomes de recursos no Setaid.ini
diferenciam maiúsculas de minúsculas.
Propriedade Descrição
RUNLIVEUPDATE =val Determina se o LiveUpdate é executado como parte da instalação, na qual val é um dos
seguintes valores:
SYMPROTECTDISABLED=val Determina se a Proteção contra adulterações é ativada como parte da instalação, na qual
val é um dos seguintes valores:
Parâmetro Descrição
Sep.msi (32 bits) O arquivo de instalação .msi para o cliente do Symantec Endpoint Protection. Se
algum arquivo .msi contiver espaços, coloque o nome do arquivo entre aspas ao usá-lo
Sep64.msi (64 bits)
com /I e /x.
Obrigatório
Obrigatório
/I "nome do arquivo .msi" Instala o arquivo .msi especificado. Se o nome do arquivo contiver espaços, coloque-o
entre aspas. Se o arquivo .msi não estiver no mesmo diretório em que você executa
o Msiexec, especifique o nome do caminho. Se o nome do caminho contiver espaços,
coloque-o entre aspas. Por exemplo, msiexec.exe /I "C: caminho para Sep.msi"
Obrigatório
Opcional
/qb Instala com uma interface do usuário básica que mostra o andamento da instalação.
Opcional
1184 Para personalizar e implementar a instalação do cliente usando-se ferramentas de terceiros
Parâmetros do Windows Installer
Parâmetro Descrição
Opcional
Opcional
Nota: Use a função ReallySuppress para suprimir a inicialização ao executar a
desinstalação silenciosa do cliente do Symantec Endpoint Protection.
ADDLOCAL= recurso Seleciona recursos personalizados a serem instalados, nos quais recurso é um
componente ou uma lista de componentes especificados. Se esta propriedade não for
usada, todos os recursos aplicáveis serão instalados por padrão e os clientes de e-mail
do Auto-Protect serão instalados somente para programas de e-mail detectados.
Para adicionar todos os recursos adequados para instalações de clientes, use o comando
ALL como em ADDLOCAL=ALL.
Opcional
Para personalizar e implementar a instalação do cliente usando-se ferramentas de terceiros 1185
Propriedades da Central de Segurança do Windows
Parâmetro Descrição
Opcional
Propriedade Descrição
WSCCONTROL=val Controla a Central de Segurança do Windows, na qual val é um dos seguintes valores:
WSCAVALERT=val Configura alertas de antivírus para a Central de Segurança do Windows, na qual val é um
dos seguintes valores:
■ 0: ativar.
■ 1: desativar (padrão).
■ 2: não controlar.
1186 Para personalizar e implementar a instalação do cliente usando-se ferramentas de terceiros
Exemplos de linha de comando para instalar o cliente
Propriedade Descrição
WSCFWALERT=val Configura alertas de firewall para a Central de Segurança do Windows, na qual val é um
dos seguintes valores:
■ 0: ativar.
■ 1: desativar (padrão).
■ 2: não controlar.
DISABLEDEFENDER=val Define se o Windows Defender será desativado durante a instalação, se val for um dos
seguintes valores:
Nota: Esta nota se aplica ao SMS versão 2.0 e anteriores: Se você usar SMS, desative
o recurso Mostrar o status do ícone na barra de ferramentas de todas as
atividades do sistema nos clientes no Monitor de programas anunciados. Em
alguns casos, o Setup.exe talvez precise atualizar um arquivo compartilhado que
se encontra em uso no monitor de programas anunciados. Se o arquivo estiver
sendo usado, a instalação não terá êxito.
Tabela B-7 Processo para instalar o cliente que usa o Microsoft Systems
Management Server
Etapa Descrição
Etapa Descrição
Etapa Ação
Etapa 5 Crie um script de inicialização para instalar o Windows Installer 3.1 (ou
superior). Se seus computadores já cumprirem este requisito, você pode
ignorar esta etapa.
Essa imagem não é uma exigência para as instalações do 3.1 e superior e é opcional.
Se você não criar a imagem administrativa, deverá mesmo assim copiar o conteúdo
do disco do produto para seu computador antes da instalação usando o objeto de
política de grupo.
Consulte “Para instalar clientes com o objeto de política de grupo do Active
Directory” na página 1189.
Para criar a imagem de instalação administrativa
1 Copie o conteúdo do disco do produto para seu computador.
2 De um prompt de comando, navegue para a pasta SEP e digite
msiexec /a "Sep.msi"
12 Clique em Abrir.
13 Na caixa de diálogo Implementar software, clique em Atribuído e em OK.
O pacote é exibido no painel direito da janela Editor do objeto de política de
grupo se você selecionar Instalação de software.
Para configurar modelos para o pacote
1 Na janela Editor do objeto de política de grupo, na árvore do console, exiba e
ative as seguintes configurações:
■ Configuração do computador > Modelos administrativos > Sistema > Logon
> Sempre esperar pela rede ao iniciar o computador e fazer logon
■ Configuração do computador > Modelos administrativos > Sistema >
Política de grupo > Processamento de política de instalação de software
Para personalizar e implementar a instalação do cliente usando-se ferramentas de terceiros 1193
Para instalar clientes com o objeto de política de grupo do Active Directory
7 Clique em OK.
■ Códigos de erro
Parâmetro Descrição
Retorna 0, -3
Retorna 0, -4
smc -disable -ntp Desativa o firewall do Symantec Endpoint Protection e o Sistema de prevenção contra
intrusões
Se o agente for protegido por senha, digite: smc -disable -ntp -p senha
smc -dismissgui Fecha a interface de usuário do cliente do Symantec Endpoint Protection ou Symantec
Network Access Control, incluindo o ícone da área de notificação.
Retorna 0
smc -enable -ntp Ativa o firewall do Symantec Endpoint Protection e o Sistema de prevenção contra
intrusões.
Se o agente for protegido por senha, digite: smc -enable -ntp -p senha
Parâmetro Descrição
onde:
log_type é:
■ 0 = Log do sistema
■ 1 = Log de segurança
■ 2 = Log de tráfego
■ 3 = Log de pacotes
■ 4 = Log de controle
Por exemplo, você pode digitar a seguinte sintaxe:
smc -exportlog 2 0 -1 c:\temp\TrafficLog
Onde:
0 é o começo do arquivo
-1 é o final do arquivo
Só é possível exportar os logs de controle, de pacotes, de segurança, de sistema e de
tráfego.
Retorna 0, -2, -5
smc -runhi Se o Symantec Network Access Control estiver instalado, executará uma verificação da
integridade do host.
Retorna 0
smc -showgui Exibe a interface de usuário do cliente do Symantec Endpoint Protection ou do Symantec
Network Access Control.
Retorna 0
smc -updateconfig Inicia uma comunicação de cliente e servidor para assegurar-se de que o arquivo de
configuração do cliente esteja atualizado.
Retorna 0
A Tabela C-2 exibe os parâmetros que você poderá executar somente se as seguintes
circunstâncias forem atendidas:
■ O cliente executar Windows 2003/XP/Vista ou Windows Server 2008 e os
usuários forem membros do grupo de administradores do Windows.
1202 Opções da linha de comando para o cliente
Para executar comandos do Windows para o serviço do cliente
Parâmetro Descrição
smc -exportconfig Exporta o arquivo de configuração do cliente para um arquivo .xml. O arquivo de
configuração inclui todas as configurações do servidor de gerenciamento, comas políticas,
grupos, configurações do log, configurações de segurança e configurações da interface
de usuário.
smc -importconfig Substitui o conteúdo do arquivo de configuração atual do cliente por um arquivo de
configuração importado e atualiza a política do cliente. O cliente deve estar em execução
para importar o conteúdo do arquivo de configuração.
Parâmetro Descrição
smc -exportadvrule Exporta regras de firewall do cliente para um arquivo .sar. As regras exportadas podem
somente ser importadas para um cliente não gerenciado ou um cliente gerenciado no
modo de controle de cliente ou no modo misto. O cliente gerenciado ignora estas regras
no modo de controle de servidor.
smc -importadvrule Adiciona as regras de firewall importadas à lista de regras de firewall do cliente. Essas
regras não sobrescrevem as existentes. O cliente relaciona as regras existentes e
importadas, mesmo que todas tenham o mesmo nome e parâmetros.
Você pode importar somente regras de firewall para um cliente não gerenciado ou para
um cliente gerenciado no modo de controle de cliente ou no modo misto. O cliente
gerenciado ignora estas regras no modo de controle de servidor.
Para importar regras de firewall, importe um arquivo .sar. Por exemplo, é possível digitar
o seguinte comando:
Uma entrada será adicionada ao log do sistema após a importação das regras.
smc -start Inicia o serviço do cliente do Symantec Endpoint Protection ou Symantec Network Access
Control.
Retorna 0, -1
smc -stop Interrompe o serviço do cliente do Symantec Endpoint Protection ou Symantec Network
Access Control e o descarrega da memória.
Retorna 0, -1
Códigos de erro
A Tabela C-3 exibe os códigos de erro retornados pelo comando smc quando os
parâmetros necessários são inválidos ou estão ausentes.
-2 Parâmetro inválido.
-importconfig O cliente pede uma senha antes que você possa importar o arquivo de
configuração.
-exportconfig O cliente pede uma senha antes que você possa exportar o arquivo de
configuração.
Onde:
parâmetro é -stop, -importconfig ou -exportconfig.
senha é a senha especificada no console.
Por exemplo, você pode digitar qualquer uma das seguintes sintaxes:
smc -exportconfig c:\profile.xml -p senha ou
■ vietool
1208 Opções da linha de comando para a ferramenta Exceção de imagem virtual
vietool
vietool
vietool – Executa a ferramenta de exceção da imagem virtual
Sinopse
vietool.exe volume: --generate|clear|verify|hash [options ...]
DESCRIÇÃO
O comando vietool marca os arquivos de imagem base no volume que você
especificar adicionando um atributo.
OPÇÕES
--generate
Executa a ferramenta de exceção da imagem virtual em todos os arquivos no
volume especificado. Você não pode usar essa opção com --clear.
Por exemplo: vietool c: --generate
--verify
Verifica se a exceção da imagem virtual está definida em todos os arquivos
no volume especificado. Você não pode usar essa opção com --clear.
Por exemplo: vietool c: --verify
--clear
Remove a exceção da imagem virtual em todos os arquivos no volume
especificado.
Por exemplo: vietool.exe c: --clear
Para excluir um arquivo específico: vietool.exe
c:\Users\Administrator\target.file --clear
--verbose
Envia para o console a quantidade máxima de informações de execução de
programas.
--stop
Interrompe o processo no primeiro erro que a ferramenta encontrar. Caso
contrário, a ferramenta grava as informações do erro no console e continua.
--help
Exibe esta mensagem de ajuda.
1210 Opções da linha de comando para a ferramenta Exceção de imagem virtual
vietool
Apêndice E
Sintaxe para assinaturas de
Prevenção contra intrusões
personalizada e regras de
controle de aplicativo
Este Apêndice contém os tópicos a seguir:
■ Argumentos do protocolo IP
■ Argumentos de Msg
■ Argumentos de conteúdo
■ Decodificação HTTP
■ Deslocamento e profundidade
1212 Sintaxe para assinaturas de Prevenção contra intrusões personalizada e regras de controle de aplicativo
Expressões regulares no Symantec Endpoint Protection Manager
■ Argumentos Streamdepth
■ Operadores suportadas
deslocamento Especifica o início dos bytes nos dados do pacote, dos quais o
mecanismo IPS faz a correspondência do padrão da assinatura.
Símbolo Descrição
.\[]*+^$
Sintaxe para assinaturas de Prevenção contra intrusões personalizada e regras de controle de aplicativo 1213
Expressões regulares no Symantec Endpoint Protection Manager
Símbolo Descrição
Por exemplo:
Por exemplo:
Símbolo Descrição
\< Uma expressão regular que começa com \< e/ou termina com \>
restringe o padrão que corresponde ao começo de uma palavra e/ou
\>
ao fim de uma palavra. Uma palavra é definida como uma string de
caracteres que se inicia e/ou termina com os caracteres A-Z a-z 0-9 e
_. Ela também deve ser precedida ou seguida por qualquer caractere
além desses mencionados.
N/D Uma expressão regular que inicia com o caractere ^ e/ou terminando
com o caractere $, restringe o padrão de correspondência ao início ou
^
fim da linha [âncoras]. Fora do padrão, ^ e $ são tratados como
$ caracteres comuns.
■ udp
■ icmp
Cada tipo de protocolo, tcp, udp e icmp oferece suporte a seu próprio conjunto de
argumentos opcionais.
Consulte “Argumentos do protocolo TCP” na página 1215.
Consulte “Argumentos do protocolo UDP” na página 1217.
Consulte “Argumentos do protocolo ICMP” na página 1218.
Exemplo:
origem=(180,2100)
Por exemplo:
dest=(120.125)
Por exemplo:
tcp_flag&ack|ps
Por exemplo:
janela=16384
Por exemplo:
origem=(180,2100)
Por exemplo:
dest=(120)
Por exemplo:
código<=10
Argumentos do protocolo IP
Os argumentos do protocolo IP são independentes dos argumentos do tipo do
protocolo e são válidos para os protocolos TCP, UDP e ICMP.
Para obter detalhes adicionais sobre o protocolo IP, consulte RFC 791.
1220 Sintaxe para assinaturas de Prevenção contra intrusões personalizada e regras de controle de aplicativo
Argumentos do protocolo IP
onde:
■ valor é um endereço IP de 32
bits padrão ou a variável
$LOCALHOST, que especifica
o endereço IP do
computador-cliente.
■ CIDR é uma representação de
roteamento entre domínios
sem classe que indica quantos
bits serão usados para o
prefixo da rede.
Por exemplo:
saddr=(127.0.0.0/25)
onde:
■ valor é um endereço IP ou a
variável $LOCALHOST, que
especifica o endereço IP do
computador que executa o
cliente.
■ CIDR é uma representação de
roteamento entre domínios
sem classe que indica quantos
bits serão usados para o
prefixo da rede.
Por exemplo:
daddr=(128.0.0.0/4)
Por exemplo:
tos=0x4
Por exemplo:
tot_len>1445
TCP: De 20 a 60 bytes
UDP: 8 bytes
ICMP: De 8 a 20 bytes
Os deslocamentos de
fragmentação de IP ocorrem em
limites de 8 bytes; portanto, cada
valor de bit no deslocamento de
fragmentação representa três bits.
Argumentos de Msg
Quando uma assinatura IPS corresponde com êxito o conteúdo do pacote às
condições de teste da regra, a mensagem é especificada no argumento msg. O
argumento msg aparece no log de segurança no cliente e no servidor. Somente
um argumento msg pode ser incluído em cada assinatura IPS.
Sintaxe:
msg="mensagem de alerta"
A mensagem de alerta deve estar entre aspas duplas e não pode conter pontuação.
Aspas únicas não são permitidas. O objetivo da mensagem de alerta é permitir a
identificação fácil de um evento na rede por meio da verificação do registro de
segurança. Portanto, todas as assinaturas IPS devem conter mensagens de alerta
concisas, mas descritivas no argumento msg.
Exemplo:
msg="Vulnerabilidade transversal unicode do IIS"
Sintaxe para assinaturas de Prevenção contra intrusões personalizada e regras de controle de aplicativo 1223
Argumentos de conteúdo
Argumentos de conteúdo
O argumento do conteúdo especifica um padrão a ser procurado em um pacote.
O argumento de conteúdo pode aparecer várias vezes em uma assinatura IPS. O
valor do conteúdo deve ser colocado entre aspas duplas (” "). Aspas únicas (' ') não
são permitidas.
Sintaxe:
content="value"
onde value é um padrão especificado como literal de string ou literal binário que
deve estar entre aspas.
Um literal de string é um grupo de caracteres consecutivos, incluindo espaços.
Uma string pode conter quaisquer caracteres, exceto aspas ("), barra invertida (\)
ou sequência de escape de caractere de linha nova (\n). Exemplo:
content="system32"
content="\x0DLocation\x3A"C
Decodificação HTTP
É possível usar o indicador de decodificação opcional HTTP H em cada argumento
de conteúdo. Se você usar o indicador de decodificação HTTP H, os caracteres
codificados serão convertidos em literais binários antes de tentarem uma
correspondência de padrões. Também é possível usar o indicador HTTP H após o
indicador de diferenciação entre maiúsculas e minúsculas. As URIs de HTTP usam
caracteres codificados. Quando a correspondência de padrões é tentada e
normalizada, os dados normalizados são comparados aos literais binários ou de
string no argumento de conteúdo. Na maioria das circunstâncias, o indicador H
é usado somente para as regras de TCP relacionadas a aplicativos que usem o
protocolo HTTP.
Por exemplo, é possível usar esta sintaxe:
content="value"H
content="\x6f\x6e\x4c\x6f\x61\x64\x3d\x22\x61\x6c\x65\x72\x74\x28"H
Deslocamento e profundidade
É possível usar os valores de deslocamento e profundidade como argumentos
opcionais no conteúdo. O valor de deslocamento é especificado primeiro, seguido
pelo valor de profundidade.
Por exemplo, é possível usar esta sintaxe:
content="value"(deslocamento,profundidade)
Sintaxe Descrição
Sintaxe Descrição
content="\x04\x20\x20\x20\xBF"(4,5)
Argumentos Streamdepth
Você pode usar o argumento Streamdepth para limitar o comprimento do fluxo
no qual a regra da prevenção contra intrusões procura uma assinatura. Convém
usar o Streamdepth para melhorar o desempenho de suas regras da prevenção
contra intrusões personalizada. O argumento Streamdepth é opcional.
Sintaxe:
streamdepth=valor
Por exemplo, você pode suspeitar que uma assinatura existe nos primeiros 10 KB
de um fluxo de 1 MB. Você pode usar a seguinte sintaxe:
1226 Sintaxe para assinaturas de Prevenção contra intrusões personalizada e regras de controle de aplicativo
Operadores suportadas
streamdepth=10240
Operadores suportadas
Muitos argumentos na sintaxe da assinatura requerem um operador que indique
o tipo de teste a ser executado para verificar esse tipo de tentativa.
A Tabela E-7 descreve os operadores suportados.
Operador Descrição
= igual a
Para detectar um arquivo MP3 e bloquear o acesso a ele, você grava duas
assinaturas. Uma assinatura detecta um arquivo MP3 através do serviço HTTP.
A segunda assinatura detecta arquivos MP3 através do serviço FTP.
Quando você criar uma assinatura IPS personalizada, será necessário digitar o
conteúdo da assinatura usando o seguinte formato:
tcp_flag&ack
definições 592 B
atualização automática balanceamento de carga
cliente 186 definido 798
auditoria banco de dados
log 682 alteração de parâmetros do tempo limite 837
autenticação 857, 969 backup 785, 807
Appliance Gateway Enforcer 852 erros 837
appliance Gateway Enforcer 952, 981 erros CGI 838
appliance LAN Enforcer 1040 erros de processos concluídos 838
comandos 1161 manutenção 781
como configurar para administradores 294 restauração 816
configurações de intervalo 967 banco de dados interno
contas de administrador 298 configurações da instalação 91
e clientes não autenticados 960, 1103 bancos de dados
e clientes que não sejam Windows 962, 1104 disponibilidade 798
e hosts confiáveis 1095 banner de logon
e Integrated Enforcer 1078 adição 106
e nova autenticação 960 blacklist
falha 959 atualizar automaticamente 554, 558
Integrated Enforcer 1097–1098, 1100 atualizar para bloqueio do sistema 558
Integrated Enforcer for Microsoft DHCP Bloodhound
Servers 1065 modificação de configurações 416
intervalo confiável 967 bloqueio
local 1095 clientes dos grupos 234
nova autenticação 1045 computadores invasores 461
política de switch 1036 bloqueio de tráfego
ponto a ponto 465 regras de firewall 490
processo 852 bloqueio do sistema 541
Gateway Enforcer 956 execução no modo de teste 559
para o cliente 852 executar no modo blacklist 563
reautenticação 1028 lista de nomes de aplicativos 553
tipos de 850 para ativar o modo whitelist 562
autenticação local 1095 para testar itens selecionados 564
autenticação ponto a ponto 465 sobre 521
Autenticação SecurID verificar o status de atualizações
configurar no servidor de gerenciamento 296 automáticas 558
Auto-Protect bots 355
ativação ou desativação 246 bots da Internet 355
Download Insight 246
para o sistema de arquivos
ativação 249
C
personalização para clientes Windows 408 Cache de inteligência compartilhado
personalização para computadores Mac 410 ativado para vShield 729
personalização para verificações de e-mail 411 baseado na rede
Auto-Protect do sistema de arquivos. Consulte contadores de desempenho 721
Auto-Protect exibir eventos 719
interromper e iniciar o serviço 719
log 719
nenhuma resposta de resultado 722
personalizar configurações 715
1232 Índice
G H
herança 273
Gateway Enforcer
ativação 233
e configuração do Symantec Endpoint Protection
regras de firewall 471–472
Manager 944
Índice 1237
atualização 680 M
auditoria 682 máquina virtual
como excluir definições de configuração 684 ajuste de verificações para 371
como salvar as configurações de filtro 683 escolha aleatória de downloads simultâneos de
conformidade 682 conteúdo 623
controle de dispositivos e aplicativos 682 mascaramento de impressão digital de SO 463
envio do Enforcer para o Symantec Endpoint mensagem de não-conformidade 964
Protection Manager 1058 mensagens
erros no banco de dados 679 Enforcer 1054
execução de comandos de 250 exibição 1056
exibição 679 modificação 1056
exibição remota 685 mensagens de e-mail
exportação de dados 662 para regras de firewall 498
filtragem 683 Microsoft Active Directory
filtragem de dados do log de tráfego do configuração de modelos 1192
Enforcer 1061 criação da imagem de instalação
filtro de últimas 24 horas 684 administrativa 1190
limpeza do banco de dados 795 instalação do software-cliente usando o objeto
local de 1058 de política de grupo 1189
Proteção contra ameaças à rede 683 Microsoft Network Access Protection 857
redução do espaço no banco de dados 769, 784 Microsoft Network Policy Server 857
replicação 685 Microsoft SMS
Risco 683 instalação de arquivos de definição de
risco pacote 1187
excluir arquivos da Quarentena 395 Microsoft SQL Server
servidor configurações do banco de dados 93
configuração do tamanho 793 migração. Consulte computador-cliente
Sistema 683 cliente Mac 194
SONAR 440 Symantec AntiVirus e Client Security 190
status do computador 682 modelo do alternador 1012
tipos 681 modelos para verificações agendadas 366, 369
verificação de logs de depuração no cliente 827 modo blacklist
verificação dos logs da caixa de entrada 828 ativar para bloqueio do sistema 563
Verificações proativas de ameaças TruScan 440 opção no bloqueio do sistema 547
Verificar 683 modo de computador 251
logs de depuração. Consulte logs modo de usuário 251
logs de eventos 679 modo transparente 995
filtro de últimas 24 horas 684 modo whitelist
logs do Enforcer bloqueio do sistema em execução em 562
configuração 1058 modos
desativação 1059 computador-cliente 251
envio ao console de gerenciamento 1060 monitoramento de aplicativo de rede 477
filtragem do log de tráfego 1061 MSI
retenção 1060 Exemplos de linha de comando 1186
retenção de 1060 instalação usando parâmetros de linha de
tamanho 1060 comando 1179
processamento de prioridade no setaid.ini 1179
recursos e propriedades 1178
1240 Índice
MSP P
quando usado para atualizar o pacotes de desafio 956, 1100
software-cliente 187 especificação 957
especificação da frequência de 958, 1102
N especificação do número máximo 1101
NetBIOS 459 pacotes de instalação do cliente
Network Access Control Scanner adicionar atualizações 164
Integrated Enforcer for Microsoft DHCP coleta de informações do usuário 261
Servers 1065 configuração 153
NIC. Consulte placa de interface de rede exportação 149
níveis de controle 256 sobre 162
níveis de controle do usuário 256 pacotes de solicitações
notificação ARP 979
como salvar filtros 698 DHCP 979
criação de filtros 698 DNS 979
exclusão de filtros 698 para bloquear
exibição 697 conta de administrador 109
padrão 691 para converter um cliente não gerenciado em um
período do amortecedor 690 cliente gerenciado 759
pré-configuradas 691 para desbloquear
reconhecimento 697 conta de administrador 109
sobre 690 para evitar uma reinicialização 250
tipos 690 para implementar
notificações clientes 142, 144, 147
clientes remotos 280 para importar
criação 699 grupos 230
eventos de vírus e spyware nos parâmetros do tempo limite
computadores-cliente 396 banco de dados 837
licenciamento 695 console 110
parceiro 695 Pesquisa do DNS 459
Proteção contra ameaças à rede 511 Pesquisa do Insight
sobre 689 dependências dos recursos 383
upgrades de outra versão 700 pesquisa por
verificações da integridade do host 894 grupos, usuários e computadores 244
nova autenticação 1045 placa de interface de rede
novo sequenciamento de TCP 463 Appliance Gateway Enforcer 937
número de série. Consulte número de série da política planejamento
número de série da política Integrated Enforcer for Microsoft DHCP
exibição no cliente 331 Servers 1070
planejamento da instalação
appliance Gateway Enforcer 929
O Appliance LAN Enforcer 985
opções da proteção antivírus política
requisitos da integridade do host 903 atribuição a um grupo 321
opções de aguardar bloqueios de usuário 320
correção de integridade do host 898 compartilhado 316
opções de registro do Windows Controle de dispositivos e aplicativos 313
requisitos da integridade do host 907 criação 317
edição 317
Índice 1241