Administration Guide

Guia de Administração do
Symantec™ Endpoint
Protection e do Symantec
Network Access Control
Symantec™ Endpoint Protection e Symantec Network
Access Control
O software descrito neste guia é fornecido sob um contrato de licença e deve ser usado
somente de acordo com os termos desse contrato.
Versão da documentação 11.00.02.01.00
Aviso legal
Copyright © 2008 Symantec Corporation. Todos os direitos reservados.
Symantec, o logotipo da Symantec, LiveUpdate, Sygate, Symantec AntiVirus, TruScan,

Bloodhound, Confidence Online, Digital Immune System e Norton são marcas comerciais
ou marcas registradas da Symantec Corporation ou de suas afiliadas nos EUA e em outros
países. Outros nomes podem ser marcas comerciais de seus respectivos proprietários.
Este produto da Symantec pode conter software de terceiros para o qual são necessárias
atribuições fornecidas pela Symantec a esses terceiros ("Programas de terceiros"). Alguns
dos Programas de terceiros estão disponíveis sob licenças de software de código aberto ou
livre. O contrato de licença que acompanha o software não altera nenhum direito ou obrigação
que você possa ter sob essas licenças de software de código aberto ou livre. Consulte o
Apêndice Aviso legal sobre terceiros para esta documentação ou o arquivo Leia-me TPIP
que acompanha este produto da Symantec para obter mais informações sobre os Programas
de terceiros.
O produto descrito neste documento é distribuído sob licenças que restringem o uso, a cópia,
a distribuição e a descompilação/engenharia reversa. Não está permitida de forma alguma
a reprodução de qualquer seção deste documento sem a autorização prévia escrita da
Symantec Corporation e dos concessores de licenças, se houver algum.
A DOCUMENTAÇÃO É FORNECIDA "NO ESTADO EM QUE SE ENCONTRA" E TODAS AS

CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPRESSAS OU IMPLÍCITAS, INCLUINDO
QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM
PROPÓSITO EM PARTICULAR OU SEM VIOLAÇÃO, SÃO ISENTAS, EXCETO SE AS ISENÇÕES
DE RESPONSABILIDADE FOREM CONSIDERADAS INVÁLIDAS JURIDICAMENTE. A
SYMANTEC CORPORATION SE ISENTA DE RESPONSABILIDADE POR DANOS INCIDENTAIS
OU CONSEQÜENTES RELATIVOS AO FORNECIMENTO, EXECUÇÃO OU USO DESTA
DOCUMENTAÇÃO. AS INFORMAÇÕES DESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A
ALTERAÇÃO SEM AVISO PRÉVIO.
O Software licenciado e a documentação são considerados software comercial para

computadores, conforme definido na FAR 12.212 e sujeito a direitos restritos, conforme
definido no artigo 52.227-19 da FAR "Software comercial para computadores - Direitos
restritos" e DFARS 227.7202, "Direitos em Software comercial para computadores ou
documentação de software comercial para computadores", conforme aplicável, e todas as
regulamentações posteriores. Qualquer uso, modificação, reprodução, apresentação, exibição
ou divulgação do Software licenciado e da documentação pelo governo dos EUA deve ser
feito exclusivamente de acordo com os termos deste Contrato.
Symantec Corporation
20330 Stevens Creek Blvd.
Cupertino, CA 95014
http://www.symantec.com.br
Soluções de serviço e suporte
A Symantec está comprometida em prestar um excelente serviço em todo o mundo.
A nossa meta é fornecer assistência profissional na utilização de nossos programas
e serviços onde quer que você esteja.
O Suporte técnico e o Serviço de Atendimento ao Cliente variam de um país para
outro.
Se tiver alguma pergunta sobre os nossos serviços descritos abaixo, consulte a
seção “Informações de contato para o serviço e suporte mundial” no final deste
capítulo.
Licenciamento e registro
Se o produto que estiver implementando necessitar de registro ou de um código
de licença, a maneira mais fácil e rápida de registrar seu serviço é através do nosso
site de registro e licenciamento: www.symantec.com/certificate Alternativamente,
você pode acessar o site http://www.symantec.com/techsupp/ent/enterprise.html,
selecionar o produto que deseja registrar e, na homepage do produto, selecionar
o link para registro e licenciamento.
Se você adquiriu uma assinatura de suporte, terá direito a receber assistência
técnica da Symantec por telefone e pela Internet. Quando entrar em contato com
o Suporte pela primeira vez, tenha disponível o número de licença do seu
certificado ou seu ID de contato gerado através do registro de suporte disponível,
para que o Suporte possa verificar seus direitos a ele. Se você não adquiriu uma
assinatura de suporte, entre em contato com o seu revendedor, ou com o Serviço
de Atendimento ao Cliente para obter detalhes sobre como obter suporte técnico
da Symantec.
Atualizações de segurança
Para obter as informações mais recentes sobre vírus e ameaças de segurança,
acesse o website do Symantec Security Response (previamente conhecido como
Antivirus Research Center):
http://www.symantec.com.br/region/br/avcenter/.
Esse site contém várias informações on-line sobre vírus e ameaças de segurança,
além das definições de vírus mais recentes. As definições de vírus podem também
ser obtidas através de download, usando o recurso LiveUpdate em seu produto.
Renovações de assinaturas de atualizações de vírus

Ao adquirir um contrato de manutenção juntamente com o produto, você terá
direito a fazer o download gratuito de definições de vírus durante o período de
duração desse contrato. Se o seu contrato de manutenção expirou, entre em contato
com o seu revendedor ou com o Serviço de Atendimento ao Cliente da Symantec,
para obter informações sobre a sua renovação.
Websites da Symantec:
Homepage da Symantec (por idioma):
■ Alemão:
http://www.symantec.de
■ Espanhol:
http://www.symantec.com/region/es
■ Francês:
http://www.symantec.fr
■ Inglês:
http://www.symantec.com
■ Italiano:
http://www.symantec.it
■ Holandês:
http://www.symantec.nl
■ Português:
http://www.symantec.com/br
Symantec Security Response:
■ http://www.symantec.com.br/region/br/avcenter/
Página de suporte e serviços corporativos:
■ http://www.symantec.com.br/region/br/techsupp/enterprise/index.html
Boletins de notícias específicos de produtos:
■ EUA, Pacífico Asiático/Inglês:
http://www.symantec.com/techsupp/bulletin/index.html
■ Europa, Oriente Médio e África/Inglês:
http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html
■ Alemão:
http://www.symantec.com/region/de/techsupp/bulletin/index.html
■ Francês:
http://www.symantec.com/region/fr/techsupp/bulletin/index.html
■ Italiano:
http://www.symantec.com/region/it/techsupp/bulletin/index.html
■ América Latina/Inglês:
Suporte Técnico
Como parte do Symantec Security Response, nosso grupo de suporte técnico global
mantém centros de suporte em todo o mundo. Nossa função principal é responder
a perguntas específicas sobre recursos e funções dos produtos, instalação,
configuração e conteúdo do nosso Knowledge Base, acessível na Web. Trabalhamos
em conjunto com outras áreas da Symantec, para responder às suas perguntas o
mais rápido possível. Trabalhamos, por exemplo, com a equipe de engenharia de
produtos ou com os Centro de Pesquisa de Segurança para fornecer serviços de
alertas, Atualizações de definições de vírus para epidemias e alertas de segurança.
Os principais recursos que oferecemos incluem:
■ Uma variedade de opções de suporte, oferecendo-o flexibilidade para selecionar
o serviço ideal para empresas de qualquer porte
■ Componentes de suporte por telefone ou pela Web, fornecendo resposta rápida
e informações atualizadas
■ Atualizações de produtos que fornecem proteção automática através da
atualização de programas
■ Atualizações de conteúdo para definições de vírus e assinaturas de segurança
garantem o mais alto nível de proteção
■ O Suporte global dos especialistas do Symantec Security Response está
disponível 24 horas por dia, 7 dias da semana em todo o mundo, em vários
idiomas
■ Recursos avançados como o serviços de alerta da Symantec e o Gerente técnico
de contas aprimoram a resposta e o suporte dinâmico de segurança
Consulte nosso website para obter informações atuais sobre os Programas de
Suporte.
Contatando o Suporte
Clientes com um contrato de suporte atual podem contatar a equipe de suporte
técnico por telefone ou através da Web, usando a seguinte URL ou os sites regionais
de suporte, relacionados neste documento.
http://www.symantec.com.br/region/br/techsupp/enterprise/index.html
Forneça as seguintes informações ao contatar o Suporte:
■ Versão do produto
■ Informações de hardware
■ Memória disponível, espaço em disco e informações sobre o NIC (Network
Interface Card)
■ Sistema operacional
■ Versão do produto e patch
■ Topologia da rede
■ Informações sobre o roteador, gateway e endereço IP
■ Descrição do problema
■ Mensagens de erro/Arquivos de registro
■ Soluções executadas para o problema, antes de contatar a Symantec
■ Alterações recentes na configuração do programa e/ou alterações na rede
Atendimento ao cliente
O Centro de serviços de atendimento ao cliente pode ajudá-lo com questões não
técnicas, como:
■ Informações gerais do produto (ex: recursos, disponibilidade de idiomas,
revendedores na sua área, etc.)
■ Soluções básicas de problemas, como verificação da versão do seu produto
■ Informações mais recentes sobre atualizações do produto
■ Como atualizar seu produto
■ Como registrar seu produto e/ou licenças
■ Informações sobre o Symantec Licence Program
■ Informações sobre a garantia de Upgrade e contratos de manutenção
■ Reposição de CDs e manuais
■ Atualização do registro do seu produto para refletir mudança de nome ou
endereço
■ Assistência em opções de suporte técnico
Informações mais abrangentes sobre o Serviço de Atendimento ao Cliente podem
ser encontradas no website de serviço e suporte da Symantec, e podem também
ser obtidas por telefone, ligando para o Centro de serviços de atendimento ao
cliente da Symantec. Consulte “Informações de contato para o serviço e suporte
mundial” no final desse capítulo, para obter o número do Serviço de Atendimento
ao Cliente e os endereços da Web.
Informações de contato para o serviço e suporte mundial
Europa, Oriente Médio, África e América Latina
Websites de serviços e suporte da Symantec
■ Alemão:
www.symantec.de/desupport/
■ Espanhol:
www.symantec.com/region/mx/techsupp/
■ Francês:
www.symantec.fr/frsupport/
■ Inglês:
www.symantec.com/eusupport/
■ Italiano:
www.symantec.it/itsupport/
■ Holandês:
www.symantec.nl/nlsupport/
■ Português:
www.symantec.com/region/br/techsupp/
■ FTP da Symantec:ftp.symantec.com (Faça o download de notas técnicas e dos
patches mais recentes)
Acesse o site de Serviços e suporte da Symantec para obter maiores informações
sobre seu produto.
Symantec Security Response :
■ http://www.symantec.com.br/region/br/avcenter/
Boletins de notícias específicos de produtos:
■ EUA/Inglês:
■ Europa, Oriente Médio e África/Inglês:
http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html
■ Alemão:
http://www.symantec.com/region/de/techsupp/bulletin/index.html
■ Francês:
http://www.symantec.com/region/fr/techsupp/bulletin/index.html
■ Italiano:
http://www.symantec.com/region/it/techsupp/bulletin/index.html
■ América Latina/Inglês:
Serviço de Atendimento ao Cliente
Fornece assistência e informações não técnicas por telefone nos seguintes idiomas:
Inglês, Alemão, Francês e Italiano.
■ África do Sul
+ (27) 11 797 6639
■ Alemanha
+ (49) 69 6641 0315
■ Áustria
+ (43) 1 50 137 5030
■ Bélgica
+ (32) 2 2750173
■ Dinamarca
+ (45) 35 44 57 04
■ Espanha
+ (34) 91 7456467
■ Finlândia
+ (358) 9 22 906003
■ França
+ (33) 1 70 20 00 00
■ Holanda
+ (31) 20 5040698
■ Irlanda
+ (353) 1 811 8093
■ Itália
+ (39) 02 48270040
■ Luxemburgo
+ (352) 29 84 79 50 30
■ Noruega
+ (47) 23 05 33 05
■ Suécia
+ (46) 8 579 29007
■ Suíça
+ (41) 2 23110001
■ Reino Unido
+ (44) 20 7744 0367
■ Outros países
+ (353) 1 811 8093 (Serviços somente em inglês)
Serviço de Atendimento ao Cliente da Symantec – Endereço para correspondência
■ Symantec Ltd
Customer Service Centre
Europa, Oriente Médio e África (EMEA)
PO Box 5689
Dublin 15
Irlanda
Para a América Latina

A Symantec fornece Serviço de Atendimento ao Cliente e Suporte Técnico em todo
o mundo. Os serviços podem variar de acordo com o país e inclui parceiros
internacionais que representam a Symantec em regiões onde não existem
escritórios regionais. Para obter informações gerais, contate o escritório de serviço
e suporte da Symantec na sua região.
Argentina
■ Pte. Roque Saenz Peña 832 - Piso 6
C1035AAQ,
Ciudad de Buenos Aires
Argentina
Telefone principal: +54 (11) 5811-3225
Website: http://www.service.symantec.com/mx
Suporte Gold: 0800-333-0306
Venezuela
■ Avenida Francisco de Miranda. Centro Lido
Torre D. Piso 4, Oficina 40
Urbanización el Rosal
1050, Caracas D.F.
Dong Cheng District
Venezuela
Suporte Gold: 0800-1-00-2543
Colombia
■ Carrera 18# 86A-14
Oficina 407,
Bogota D.C.
Colombia
Brasil
■ Symantec Brasil
Market Place Tower
Av. Dr. Chucri Zaidan, 920
12° andar
São Paulo - SP
CEP: 04583-904
Brasil, SA
Fax: +55 (11) 5189-6210
Website: http://www.service.symantec.com/br
Suporte Gold: 000814-550-4172
Chile
■ Alfredo Barros Errazuriz 1954
Oficina 1403
Providencia,
Santiago de Chile
Chile
México
■ Boulevard Adolfo Ruiz Cortines 3642 Piso 8,
Colonia Jardines del Pedregal,
01900, Mexico D.F.
México
Suporte Gold: 001880-232-4615
Resto da América Latina
■ 9155 South Dadeland Blvd.
Suite 1100,
Miami, FL 33156
U.S.A
Suporte Gold:
Costa Rica: 800-242-9445
Panama: 800-234-4856
Puerto Rico: 800-232-4615
Para o Pacífico Asiático

A Symantec fornece Serviço de Atendimento ao Cliente e Suporte Técnico em todo
o mundo. Os serviços podem variar de acordo com o país e inclui parceiros
internacionais que representam a Symantec em regiões onde não existem
escritórios regionais. Para obter informações gerais, contate o escritório de serviço
e suporte da Symantec na sua região.
Escritórios de serviços e suporte
AUSTRÁLIA
■ Symantec Australia
Level 2, 1 Julius Avenue
North Ryde, NSW 2113
Austrália
Telefone principal: +61 2 8879 1000
Fax: +61 2 8879 1001
Website: http://service.symantec.com
Suporte Gold: 1800 805 834 gold.au@symantec.com
Admin. dos contratos de suporte: 1800 808 089 contractsadmin@symantec.com
CHINA
■ Symantec China
Unit 1-4, Level 11,
Tower E3, The Towers, Oriental Plaza
No.1 East Chang An Ave.,
Dong Cheng District
Beijing 100738
China P.R.C.
Suporte técnico: +86 10 8518 6923
Fax: +86 10 8518 6928
Website: http://www.symantec.com.cn
HONG KONG
■ Symantec Hong Kong
Central Plaza
Suite #3006
30th Floor, 18 Harbour Road
Wanchai
Hong Kong
Telefone principal: +852 2528 6206
Suporte técnico: +852 2528 6206
Fax: +852 2526 2646
Website: http://www.symantec.com.hk
ÍNDIA
■ Symantec India
Suite #801
Senteck Centrako
MMTC Building
Bandra Kurla Complex
Bandra (East)
Mumbai 400051, Índia
Suporte técnico: +91 22 652 0671
Fax: +91 22 657 0669
Website: http://www.symantec.com/india
CORÉIA
■ Symantec Korea
15,16th Floor
Dukmyung B/D
170-9 Samsung-Dong
KangNam-Gu
Seoul 135-741
Coréia do Sul
Fax: +822 3420 8650
Website: http://www.symantec.co.kr
MALÁSIA
■ Symantec Corporation (Malaysia) Sdn Bhd
31-3A Jalan SS23/15
Taman S.E.A.
47400 Petaling Jaya
Selangor Darul Ehsan
Malásia
E-mail corporativo : gold.apac@symantec.com
Corporativo gratuito: +1800 805 104
Website: http://www.symantec.com.my
NOVA ZELÂNDIA
■ Symantec New Zealand
Level 5, University of Otago Building
385 Queen Street
Auckland Central 1001
Nova Zelândia
Fax: +64 9 375 4101
Website de suporte: http://service.symantec.co.nz
Suporte Gold: 0800 174 045 gold.nz@symantec.com
Admin. dos contratos de suporte: 0800 445 450 contractsadmin@symantec.com
CINGAPURA
■ Symantec Singapore
6 Battery Road
#22-01/02/03
Cingapura 049909
Telefone principal: 1800 470 0730
Fax: +65 6239 2001
Suporte técnico: 1800 720 7898
Website: http://www.symantec.com.sg
FORMOSA
■ Symantec Taiwan
2F-7, No.188 Sec.5
Nanjing E. Rd.,
105 Taipei
Formosa
Suporte corporativo: +886 2 8761 5800
Fax: +886 2 2742 2838
Suporte Gold: 0800 174 045 gold.nz@symantec.com
Website: http://www.symantec.com.tw
O máximo esforço foi feito para garantir que este documento esteja correto. Porém,
as informações aqui contidas estão sujeitas a alterações sem aviso prévio. A
Symantec Corporation se reserva o direito de tais alterações sem nenhum aviso
prévio.
Sumário
Soluções de serviço e suporte .......................................................................... 4
Seção 1 Tarefas administrativas básicas ......................... 37

Capítulo 1 Visão geral do Symantec Endpoint Protection
Manager .......................................................................... 39
Sobre Tarefas administrativas ........................................................ 39

Como fazer log on no Symantec Endpoint Protection Manager ............. 41
Como o console do Symantec Endpoint Protection Manager é
organizado ............................................................................ 43
A página Início ...................................................................... 46
A página Monitores ................................................................ 47
A página Relatórios ................................................................ 48
A página Políticas .................................................................. 49
A página Clientes ................................................................... 49
A página Admin ..................................................................... 52
Capítulo 2 Introdução à proteção básica ........................................... 55

Categorias de proteção .................................................................. 55
Sobre a proteção antivírus e anti-spyware ................................... 56
Sobre a proteção contra ameaças à rede ..................................... 57
Sobre a proteção proativa contra ameaças .................................. 58
Sobre integridade do host e conformidade com as políticas do
endpoint ......................................................................... 58
Capítulo 3 Configuração de domínios, grupos e clientes ............... 61

Sobre a topologia de segurança ....................................................... 62
Sobre a estrutura do grupo ............................................................. 62
Sobre domínios ...................................................................... 63
Sobre grupos ......................................................................... 63
Sobre clientes ........................................................................ 66
Sobre como importar a estrutura organizacional ................................ 67
Adição de um domínio ................................................................... 68
Administração de um domínio ........................................................ 68
18 Sumário
Adição de um grupo ...................................................................... 69

Exclusão de um grupo ................................................................... 69
Renomeação de um grupo .............................................................. 70
Mover um grupo .......................................................................... 70
Exibição das propriedades de um grupo ............................................ 71
Adição de clientes como usuários .................................................... 71
Adição de clientes como computador ............................................... 72
Alternância do cliente entre o modo baseado no usuário e o modo
baseado no computador ........................................................... 73
Bloqueio da adição de clientes aos grupos ......................................... 74
Como mover clientes entre grupos ................................................... 75
Exclusão de clientes ...................................................................... 75
Exibição das propriedades de um cliente ........................................... 76
Como procurar clientes ................................................................. 77
Filtragem da lista de clientes .......................................................... 78
Capítulo 4 Gerenciamento de administradores ................................ 79

Sobre os administradores .............................................................. 79
Sobre o gerenciamento de administradores ....................................... 80
Adição de um administrador .......................................................... 81
Alternância entre um administrador não limitado e um limitado e
configuração dos direitos de acesso ........................................... 83
Bloqueio de uma conta de administrador após várias tentativas de
logon ................................................................................... 84
Autenticação de administradores .................................................... 85
Como renomear um administrador .................................................. 86
Alteração da senha do administrador ............................................... 86
Remoção de um administrador ....................................................... 87
Capítulo 5 Como trabalhar com pacotes de instalação de

clientes ............................................................................ 89
Sobre os pacotes de instalação do cliente .......................................... 89
Configuração das opções de pacotes de instalação do cliente ................ 90
Configuração dos recursos de pacote de instalação ....................... 90
Definição das configurações do pacote de instalação do
cliente ............................................................................ 91
Coletar informações do usuário ................................................ 91
Exportação de pacotes de instalação do cliente .................................. 92
Como adicionar atualizações de pacotes de instalação e fazer upgrade
de clientes ............................................................................ 94
Adição de atualizações de pacotes de instalação do cliente ............. 94
Upgrade de clientes em um ou mais grupos ................................. 95
Sumário 19
Exclusão de pacotes de upgrade ...................................................... 96
Capítulo 6 Atualização de definições e conteúdo ............................ 99

Sobre o LiveUpdate e a atualização de definições e conteúdo ................ 99
Sobre arquiteturas de distribuição de rede de atualização ............ 100
Sobre tipos de atualizações ..................................................... 103
Configuração de um site para fazer o download de atualizações .......... 104
Configuração de políticas do LiveUpdate ......................................... 106
Configuração de uma política de configurações do
LiveUpdate .................................................................... 107
Configuração de uma política de conteúdos do LiveUpdate ........... 108
Exibição e alteração da política de conteúdos do LiveUpdate
aplicada a um grupo ........................................................ 110
Configuração de um provedor de atualizações do grupo em uma
política de configurações do LiveUpdate ............................. 110
Opções avançadas de distribuição de atualização .............................. 112
Fornecimento de atualizações de conteúdo antivírus com o
Intelligent Updater ......................................................... 112
Sobre o uso de ferramentas de distribuição de terceiros para
distribuir atualizações a clientes gerenciados ...................... 113
Ativação da distribuição de conteúdo de terceiros para clientes
gerenciados com uma política do LiveUpdate ....................... 114
Distribuição de conteúdo para clientes gerenciados usando
ferramentas de distribuição de terceiros ............................. 115
Sobre o uso de ferramentas de distribuição de terceiros para
distribuir atualizações para clientes não gerenciados ............ 116
Capítulo 7 Limite de acesso do usuário aos recursos do

cliente ............................................................................ 119
Sobre o acesso à interface do cliente .............................................. 119

Bloqueio e desbloqueio de configurações gerenciadas ........................ 120
Alteração do nível de controle do usuário ........................................ 121
Sobre o controle misto ........................................................... 124
Definição das configurações da interface do usuário ................... 125
Proteção do cliente por senha ....................................................... 127
Capítulo 8 Configuração de conexões entre servidores de

gerenciamento e clientes ........................................... 129
Sobre servidores de gerenciamento ................................................ 130
Especificação de uma lista do servidor de gerenciamento ................... 130
Como adicionar uma lista de servidores de gerenciamento ................. 131
20 Sumário
Atribuição de uma lista de servidores de gerenciamento a um grupo

ou local ............................................................................... 133
Exibição dos grupos e locais aos quais uma lista do servidor de
gerenciamento é atribuída ...................................................... 134
Edição do nome e descrição do servidor em uma lista de servidores
de gerenciamento ................................................................. 134
Edição do endereço IP, nome do host e número da porta de um servidor
de gerenciamento em uma lista do servidor de
gerenciamento ..................................................................... 135
Alteração da ordem em que os servidores de gerenciamento são
conectados .......................................................................... 135
Substituição de uma lista de servidores de gerenciamento .................. 136
Como copiar e colar uma lista de servidores de gerenciamento ............ 137
Exportação e importação de uma lista do servidor de
gerenciamento ..................................................................... 137
Exclusão de uma lista de servidores de gerenciamento ...................... 138
Sobre as configurações de comunicação do cliente e do servidor .......... 139
Capítulo 9 Relatório de princípios básicos ....................................... 141

Sobre o relatório ........................................................................ 142
Sobre os relatórios que você pode executar ...................................... 143
Sobre a exibição de registros e relatórios ......................................... 145
Como o relatório usa o banco de dados ............................................ 145
Sobre os eventos registrados da rede .............................................. 145
Sobre os registros que você pode monitorar ..................................... 146
Acesso às funções de relatório ...................................................... 146
Associação do host local ao endereço IP quando você tiver endereços
de loopback desativados ........................................................ 148
Sobre o uso de SSL com funções de relatório .................................... 149
Uso da página Início do Symantec Endpoint Protection ..................... 149
Configuração dos relatórios favoritos na página Início ................ 156
Sobre o uso dos links do Security Response ............................... 157
Uso da página Início do Symantec Network Access Control ................ 159
Configuração das preferências de relatório ...................................... 161
Sobre as opções de exibição da página inicial e monitores ............ 162
Configuração dos limites de status de segurança ........................ 163
Configuração das preferências de registros e relatórios ............... 163
Sobre os horários de verificação do cliente usados nos relatórios e
registros ............................................................................. 164
Sobre o uso do filtro Últimas 24 horas em relatórios e registros .......... 164
Como usar os filtros que pesquisam grupos nos relatórios e
registros ............................................................................. 165
Sumário 21
Capítulo 10 Exibição e configuração de relatórios ........................... 167

Visualização de relatórios ............................................................ 167
Sobre a exibição de gráficos em linha em relatórios ..................... 168
Sobre a visualização de gráficos de barra .................................. 169
Exibição dos relatórios em idiomas asiáticos .............................. 169
Sobre os relatórios ...................................................................... 170
Informações importantes sobre o relatório ...................................... 184
Como criar relatórios rápidos ....................................................... 185
Como salvar e excluir os filtros de relatórios salvos ........................... 190
Sobre nomes de filtros duplicados ........................................... 191
Como imprimir e salvar a cópia de um relatório ................................ 191
Criação e exclusão de relatórios agendados ..................................... 192
Capítulo 11 Exibição e configuração de registros e

notificações ................................................................... 197
Sobre os registros ....................................................................... 197
Sobre tipos de registro, conteúdos e comandos ........................... 198
Uso da guia Resumo de monitores ................................................. 204
Exibição de registros ................................................................... 207
Exibição de detalhes de eventos nos registros ............................ 208
Exibição de registros de outros sites ......................................... 209
Como salvar e excluir filtros ......................................................... 209
Sobre nomes de filtros duplicados ........................................... 211
Configurações básicas de filtros para registros ................................. 211
Configurações avançadas de filtros para registros ............................ 212
Execução de comandos e ações de registros ..................................... 213
Sobre a redução do volume de eventos enviados para os
registros ............................................................................. 217
Exportação de dados do registro .................................................... 217
Exportação de dados de registro para um arquivo de texto ........... 217
Exportação de dados para um servidor Syslog ............................ 220
Exportação de dados do registro para um arquivo de texto
separado por vírgulas ...................................................... 221
Uso de notificações ..................................................................... 221
Exibição e filtro das informações de notificação do
administrador ................................................................ 222
Orientações de limite para notificações do administrador ............ 222
Criação de notificações do administrador .................................. 223
Sobre a edição de notificações existentes .................................. 227
22 Sumário
Capítulo 12 Uso de monitores e relatórios para ajudar a

proteger a rede ............................................................ 229
Sobre o uso de monitores e relatórios para ajudar a proteger a
rede ................................................................................... 229
Sobre as informações dos relatórios e registros do controle de
aplicativos e do controle de dispositivos ............................. 230
Informações no registro e no relatório de auditoria ..................... 232
Sobre as informações nos relatórios e nos registros de
conformidade ................................................................ 232
Sobre as informações nos relatórios e no registro de status do
computador ................................................................... 234
Sobre as informações nos relatórios e nos registros da proteção
contra ameaças à rede ..................................................... 237
Sobre as informações em relatórios e nos registros da verificação
proativa de ameaças TruScan ........................................... 239
Sobre as informações nos relatórios e no registro de riscos ........... 240
Sobre as informações nos relatórios e no registro da
verificação .................................................................... 242
Sobre as informações nos relatórios e no registro do
sistema ......................................................................... 243
Sobre a eliminação de vírus e riscos à segurança .............................. 245
Identificação de computadores infectados e em risco .................. 246
Alteração de uma ação e repetição da verificação de computadores
identificados .................................................................. 246
Reinicialização dos computadores que precisam ser reiniciados
para concluir uma correção .............................................. 247
Atualização das definições e repetição de verificações ................. 248
Sobre a investigação e limpeza de riscos restantes ...................... 248
Eliminação de eventos suspeitos .............................................. 249
Localização dos clientes que estão off-line ....................................... 249
Seção 2 Tarefas administrativas avançadas ................ 251

Capítulo 13 Gerenciamento de um ou vários sites da
empresa ......................................................................... 253
Sobre o gerenciamento de sites ..................................................... 253
O que pode ser feito em um site ..................................................... 254
O que não pode ser feito em um site ............................................... 255
Sobre replicação do site em diferentes sites da empresa ..................... 255
Sobre os Enforcers opcionais em um site ......................................... 255
Sobre sites remotos ..................................................................... 256
Sumário 23
Edição das propriedades do site ..................................................... 256

Para fazer backup de um site ........................................................ 257
Exclusão de sites remotos ............................................................ 258
Capítulo 14 Gerenciamento de servidores ......................................... 261

Sobre o gerenciamento de servidores ............................................. 261
Sobre servidores e senhas de terceiros ............................................ 262
Início e interrupção do serviço Symantec Endpoint Protection
Manager ............................................................................. 262
Concessão ou negação de acesso aos consoles remotos do Symantec
Endpoint Protection Manager ................................................. 263
Exclusão de servidores selecionados .............................................. 264
Exportação e importação de configurações do servidor ...................... 265
Capítulo 15 Gerenciamento de servidores de diretórios ................. 267

Sobre o gerenciamento de servidores de diretório ............................. 267
Acréscimo de servidores de diretório .............................................. 268
Sincronização de contas de usuário entre servidores de diretório e
um Symantec Endpoint Protection Manager .............................. 269
Importação de informações sobre usuários de um servidor de
diretórios LDAP ................................................................... 270
Pesquisar usuários em um servidor de diretórios LDAP ..................... 270
Importação de usuários em uma lista de resultados de pesquisa de
servidores de diretórios LDAP ................................................. 273
Sobre unidades organizacionais e o servidor LDAP ........................... 274
Importação de unidades organizacionais de um servidor de
diretórios ativo ou LDAP .................................................. 274
Sincronização das unidades organizacionais .............................. 275
Capítulo 16 Gerenciamento de servidores de e-mails ..................... 277

Sobre o gerenciamento de servidores de e-mail ................................ 277
Como estabelecer comunicação entre o Symantec Endpoint Protection
Manager e os servidores de e-mail ........................................... 278
Capítulo 17 Gerenciamento de servidores proxy .............................. 279

Sobre servidores proxy ................................................................ 279
Configuração de uma conexão entre um servidor proxy HTTP e o
Symantec Endpoint Protection Manager ................................... 279
Como configurar uma conexão entre um servidor proxy FTP e o
Symantec Endpoint Protection Manager. .................................. 280
24 Sumário
Capítulo 18 Gerenciamento de servidores RSA ................................. 283

Sobre pré-requisitos para usar o RSA SecurID com o Symantec
Configuração do Symantec Endpoint Protection Manager para usar
a autenticação RSA SecurID ................................................... 284
Especificação de uma autenticação SecurID para um administrador
do Symantec Endpoint Protection Manager ............................... 285
Configuração do servidor de gerenciamento para compatibilidade
com a comunicação HTTPS .................................................... 286
Capítulo 19 Gerenciamento de certificados de servidores ............. 287

Sobre os tipos de certificado de servidor ......................................... 287
Atualização do certificado do servidor com um assistente .................. 288
Backup do certificado de servidor .................................................. 291
Localização da senha para armazenamento de chave ......................... 292
Capítulo 20 Gerenciamento de banco de dados ............................... 293

Sobre o gerenciamento de bancos de dados ...................................... 293
Sobre as convenções de nomeação de um banco de dados ............. 294
Assistente de Configuração do servidor de gerenciamento e
ferramentas do banco de dados Symantec ........................... 294
Sobre o backup e a restauração de um banco de dados ................. 295
Sobre a reconfiguração de um banco de dados ............................ 296
Sobre o agendamento de um backup de banco de dados ............... 297
Backup de um banco de dados do Microsoft SQL ............................... 298
Backup de um banco de dados do Microsoft SQL sob demanda no
console do Symantec Endpoint Protection Manager .............. 298
Backup de um banco de dados do Microsoft SQL com o Assistente
do Plano de manutenção de banco de dados ......................... 299
Backup de um banco de dados interno sob demanda do Symantec
Agendamento de backups de bancos de dados automáticos no
Restauração de um banco de dados ................................................ 305
Edição do nome e da descrição de um banco de dados no console do
Reconfiguração de um banco de dados ............................................ 307
Reconfiguração de um banco de dados do Microsoft SQL ............. 307
Reconfiguração de um banco de dados interno ........................... 309
Sobre o gerenciamento de dados de registro .................................... 311
Sobre dados de registro e armazenamento ................................ 311
Sumário 25
Remoção manual de dados de registro do banco de dados ............. 312

Dados de registro de clientes legados ....................................... 313
Configurações de registro para os servidores de um site ............... 313
Sobre a configuração da inclusão de eventos .............................. 314
Definição das configurações do registro de cliente ..................... 314
Sobre a configuração das opções de manuseio de registros do
cliente para as políticas antivírus e anti-spyware .................. 316
Fazer backup dos registros de um site ...................................... 316
Sobre o upload de grandes quantidades de dados dos registros
de clientes ..................................................................... 317
Sobre o gerenciamento de eventos de registros no banco de
dados ........................................................................... 318
Configuração das opções de manutenção do banco de dados para
os registros ................................................................... 319
Como usar o utilitário Interactive SQL com o banco de dados
interno ......................................................................... 320
Alteração de parâmetros do tempo limite .................................. 320
Sobre a recuperação de um registro de sistemas do cliente em
computadores de 64 bits .................................................. 321
Capítulo 21 Replicação de dados ......................................................... 323

Sobre a replicação de dados .......................................................... 323
Compreensão do impacto da replicação .......................................... 326
Quais configurações são replicadas .......................................... 326
Como as alterações são mescladas durante a replicação ............... 327
Configuração da replicação de dados .............................................. 328
Adição de parceiros de replicação e agendamentos ..................... 328
Agendamento de uma replicação automática ou sob demanda ............. 330
Replicação dos dados sob demanda .......................................... 330
Alteração das freqüências de replicação .................................... 331
Replicação de pacotes do cliente .................................................... 332
Replicação de logs ...................................................................... 333
Capítulo 22 Gerenciamento da proteção contra

adulteração ................................................................... 335
Sobre a proteção contra adulteração .............................................. 335
Configuração da proteção contra adulteração .................................. 336
26 Sumário
Seção 3 Tarefas gerais de gerenciamento de

políticas ..................................................................... 339
Capítulo 23 Sobre as políticas .............................................................. 341
Visão geral das políticas .............................................................. 341
Sobre políticas compartilhadas e não compartilhadas ........................ 343
Sobre tarefas relacionadas a políticas ............................................. 344
Grupos, herança, locais e políticas ................................................. 346
Exemplos de políticas .................................................................. 346
Capítulo 24 Gerenciamento da herança de um grupo para locais

e políticas ...................................................................... 349
Sobre grupos que herdam locais e políticas de outros grupos .............. 349
Como desativar e ativar a herança de um grupo ................................ 350
Capítulo 25 Gerenciamento de locais de um grupo ......................... 351

Sobre os locais de um grupo .......................................................... 351
Sobre locais e conscientização de local ..................................... 352
Sobre como planejar locais ..................................................... 353
Sobre os locais padrão de um grupo ......................................... 353
Ativação de atribuição automática de políticas do cliente ................... 354
Adição de um local com um assistente ............................................ 355
Adição de um local sem um assistente ............................................ 357
Atribuição de um local padrão ....................................................... 357
Edição do nome e da descrição do local de um grupo ......................... 358
Exclusão do local de um grupo ...................................................... 358
Capítulo 26 Como trabalhar com políticas ......................................... 361

Sobre o trabalho com políticas ...................................................... 362
Sobre a adição de políticas ............................................................ 362
Adicionar uma política compartilhada na página Políticas ............ 363
Como adicionar uma política não compartilhada na página
Clientes com um assistente .............................................. 365
Adição de uma política não compartilhada na página
Clientes ........................................................................ 366
Adição de uma nova política não compartilhada a partir de uma
política existente na página Clientes .................................. 367
Sumário 27
Adição de uma nova política não compartilhada a partir de um

arquivo de políticas exportado anteriormente na página
Clientes ........................................................................ 368
Sobre a edição de políticas ............................................................ 368
Como editar uma política compartilhada na página Políticas .............. 368
Como editar uma política compartilhada ou não compartilhada na
página Clientes. .................................................................... 369
Atribuição de uma política compartilhada ....................................... 370
Como retirar uma política ............................................................ 371
Exclusão de uma política .............................................................. 372
Exportação de uma política .......................................................... 374
Importação de uma política .......................................................... 375
Sobre a cópia de políticas ............................................................. 375
Cópia de uma política compartilhada na página Política ..................... 375
Cópia de uma política compartilhada ou não compartilhada na página
Clientes .............................................................................. 376
Como colar uma política .............................................................. 377
Substituição de uma política ......................................................... 378
Conversão de uma política compartilhada em uma política não
compartilhada ..................................................................... 379
Conversão de uma cópia de uma política compartilhada para uma
política não-compartilhada .................................................... 380
Capítulo 27 Envio e obtenção de políticas entre servidores de

gerenciamento, clientes e Enforcers
opcionais ....................................................................... 381
Sobre o modo pull e o modo push ................................................... 381
Sobre a pulsação .................................................................. 382
Especificação do modo push ou pull ............................................... 382
Capítulo 28 Configuração de aplicativos reconhecidos .................. 385

Sobre os aplicativos conhecidos .................................................... 385
Ativação de aplicativos reconhecidos ............................................. 386
Como procurar aplicativos ........................................................... 388
Como salvar os resultados de uma pesquisa de aplicativo ............. 389
28 Sumário
Seção 4 Configuração da proteção antivírus e

anti-spyware ........................................................... 391
Capítulo 29 Configurações básicas da política antivírus e
anti-spyware ................................................................. 393
Princípios básicos da proteção antivírus e anti-spyware ..................... 394
Sobre a criação de um plano para responder aos vírus e riscos à
segurança ..................................................................... 394
Sobre a exibição do status antivírus e anti-spyware de sua
rede ............................................................................. 397
Sobre a execução de comandos da proteção antivírus e
anti-spyware ................................................................. 397
Sobre as políticas antivírus e anti-spyware ................................ 398
Sobre como trabalhar com políticas antivírus e anti-spyware .............. 401
Sobre vírus e riscos à segurança .................................................... 402
Sobre a verificação ..................................................................... 405
Sobre as verificações do Auto-Protect ....................................... 406
Sobre as verificações definidas pelo administrador ..................... 411
Sobre as verificações proativas de ameaças TruScan ................... 412
Sobre a verificação após a atualização dos arquivos de
definições ..................................................................... 413
Sobre a verificação de extensões selecionadas ou pastas .............. 413
Sobre a exclusão de arquivos e pastas indicados ......................... 417
Sobre as ações para vírus e riscos à segurança detectados nas
verificações ......................................................................... 418
Configuração de parâmetros de manuseio de registros em uma política
antivírus e anti-spyware ........................................................ 419
Sobre a interação do cliente com as opções de antivírus e
anti-spyware ....................................................................... 419
Alteração da senha necessária para verificar unidades de rede
mapeadas ............................................................................ 420
Especificação de como a Central de Segurança do Windows interage
com o cliente Symantec Endpoint Protection ............................. 421
Configuração do cliente do Symantec Endpoint Protection para
desativar a Central de Segurança do Windows ..................... 421
Configuração de alertas do Symantec Endpoint Protection para
exibição no computador host ............................................ 422
Configuração do tempo de desatualização de definições .............. 423
Exibição de um aviso quando as definições estiverem desatualizadas
ou ausentes ......................................................................... 423
Sumário 29
Especificação de um URL para ser exibido nas notificações de erro

do antivírus e anti-spyware .................................................... 424
Especificação de um URL para uma página inicial do navegador .......... 425
Configuração de opções aplicáveis a verificações antivírus e
anti-spyware ....................................................................... 425
Configuração de verificações de extensões de arquivos
selecionadas .................................................................. 426
Configuração das verificações de pastas selecionadas .................. 427
Sobre exceções para riscos à segurança .................................... 428
Configuração de ações para detecções de vírus e riscos à
segurança conhecidos ..................................................... 428
Sobre as mensagens de notificação em computadores
infectados ..................................................................... 429
Personalização e exibição de notificações em computadores
infectados ..................................................................... 430
Envio de informações sobre verificações à Symantec ......................... 432
Sobre o controle de envios ...................................................... 433
Configuração das opções de envio ............................................ 434
Gerenciamento de arquivos em quarentena ..................................... 434
Sobre as configurações da quarentena ...................................... 435
Especificação de um diretório de quarentena local ...................... 435
Configuração de opções de limpeza automática .......................... 436
Envio de itens em quarentena a um servidor da quarentena
central ......................................................................... 437
Envio de itens em quarentena à Symantec ................................. 438
Configuração de ações a serem tomadas ao receber novas
definições ..................................................................... 438
Capítulo 30 Configuração do Auto-Protect ........................................ 441

Sobre a configuração do Auto-Protect ............................................ 441
Sobre tipos de Auto-Protect .......................................................... 442
Ativação do Auto-Protect do sistema de arquivos ............................. 442
Configuração do Auto-Protect do sistema de arquivos ....................... 443
Sobre verificação e bloqueio de risco à segurança no
Auto-Protect .................................................................. 445
Configuração de opções de verificação e monitoramento
avançados ..................................................................... 445
Sobre o Rastreador de riscos ................................................... 446
Configuração do Auto-Protect para e-mail da Internet ....................... 447
Configuração do Auto-Protect do Microsoft Outlook ......................... 449
Configuração do Auto-Protect do Lotus Notes ................................. 450
Configuração das opções de notificação para o Auto-Protect ............... 451
30 Sumário
Exibição de resultados do Auto-Protect em computadores

infectados ..................................................................... 453
Adição de avisos a mensagens de e-mail infectadas ..................... 453
Como notificar os remetentes de mensagens de e-mail
infectadas ..................................................................... 454
Como notificar outros sobre mensagens de e-mail
infectadas ..................................................................... 456
Configuração de notificações de progresso para verificações do
Auto-Protect de e-mail da Internet ..................................... 457
Capítulo 31 Uso das verificações definidas pelo

administrador ............................................................... 459
Sobre o uso de verificações definidas pelo administrador ................... 459
Adição de verificações agendadas a uma política antivírus e
anti-spyware ....................................................................... 460
Definição de opções para verificações agendadas perdidas ........... 462
Edição, exclusão ou desativação de verificações agendadas ........... 463
Configuração das opções de verificação sob demanda ........................ 464
Execução de verificações sob demanda ........................................... 465
Configuração de opções de andamento da verificação para verificações
definidas pelo administrador .................................................. 467
Configuração de opções avançadas para verificações definidas pelo
administrador ...................................................................... 468
Seção 5 Configuração da proteção contra ameaças

à rede .......................................................................... 471
Capítulo 32 Configurações básicas da proteção contra ameaças
à rede ............................................................................. 473
Sobre proteção contra ameaças à rede e ataques à rede ...................... 474
Como o Symantec Endpoint Protection protege os computadores
contra ataques pela rede .................................................. 474
Sobre o firewall .......................................................................... 475
Sobre o trabalho com políticas de firewall ....................................... 476
Sobre as regras de firewall ........................................................... 477
Sobre os elementos de uma regra de firewall .............................. 477
Sobre a ordem do processamento de regras ............................... 482
Sobre a inspeção inteligente ................................................... 485
Adição de regras em branco .......................................................... 487
Adição de regras com o Assistente de Adição de regra de firewall ........ 490
Sumário 31
Adição de regras herdadas de um grupo pai ..................................... 491

Importação e exportação de regras ................................................ 492
Edição e exclusão de regras .......................................................... 492
Como copiar e colar regras ........................................................... 493
Alteração da ordem das regras ...................................................... 494
Ativação e desativação de regras ................................................... 494
Ativação da filtragem inteligente de tráfego .................................... 495
Ativação das configurações de tráfego e dissimulação ....................... 496
Configuração da autenticação ponto-a-ponto ................................... 496
Capítulo 33 Configuração da prevenção de intrusões ..................... 499

Sobre o sistema de prevenção de intrusões ...................................... 499
Sobre as assinaturas IPS da Symantec ...................................... 500
Sobre as assinaturas IPS personalizadas ................................... 500
Configuração da prevenção de intrusões ......................................... 501
Sobre o trabalho com as políticas de prevenção de intrusões ......... 502
Ativação de configurações de prevenção de intrusões .................. 502
Alteração do comportamento das assinaturas IPS da
Symantec ...................................................................... 503
Bloqueio de um computador invasor ........................................ 505
Configuração de uma lista de computadores excluídos ................. 505
Criação de assinaturas personalizadas IPS ...................................... 507
Atribuição de múltiplas bibliotecas IPS personalizadas a um
grupo ........................................................................... 509
Alteração da ordem das assinaturas ......................................... 510
Cópia e cola de assinaturas ..................................................... 511
Definição de variáveis para assinaturas .................................... 511
Capítulo 34 Personalização da proteção contra ameaças à

rede ................................................................................. 513
Ativação e desativação da proteção contra ameaças à rede ................. 514
Configuração da proteção contra ameaças à rede para controle
misto ................................................................................. 515
Adição de hosts e grupos de hosts .................................................. 516
Edição e exclusão de grupos de hosts .............................................. 517
Adição de hosts e grupos de hosts a uma regra ................................. 518
Adição de serviços de rede ............................................................ 519
Edição e exclusão de serviços de rede personalizados ........................ 520
Adição de serviços de rede a uma regra ........................................... 521
Ativação do compartilhamento de arquivos e impressoras de
rede ................................................................................... 521
Adição de adaptadores de rede ...................................................... 523
32 Sumário
Adição de adaptadores de rede a uma regra ..................................... 524

Edição e exclusão de adaptadores de rede personalizados ................... 525
Adição de aplicativos a uma regra .................................................. 526
Adição de agendas a uma regra ..................................................... 527
Configuração de notificações para a proteção contra ameaças à
rede ................................................................................... 528
Configuração de mensagens de e-mail para eventos de
tráfego ......................................................................... 530
Configuração de monitoramento de aplicativo de rede ....................... 530
Seção 6 Configuração da proteção proativa contra

ameaças ..................................................................... 533
Capítulo 35 Configuração das verificações proativas de
ameaças TruScan ........................................................ 535
Sobre as verificações proativas de ameaças TruScan ......................... 535
Como usar as configurações padrão da Symantec ............................. 537
Sobre os processos que as verificações proativas de ameaças TruScan
detectam ............................................................................. 537
Sobre o gerenciamento de falsos positivos detectados pelas
verificações proativas de ameaças TruScan ............................... 539
Sobre os processos que as verificações proativas de ameaças TruScan
ignoram .............................................................................. 542
Como as verificações proativas de ameaças TruScan funcionam com
a quarentena ....................................................................... 542
Como as verificações proativas de ameaças TruScan funcionam com
exceções centralizadas .......................................................... 543
Como entender as detecções proativas de ameaças do TruScan ........... 544
Especificação dos tipos de processos detectados pelas verificações
proativas de ameaças TruScan .......................................... 546
Especificação de ações e níveis de sensibilidade para detecção de
Cavalos de Tróia, worms e keyloggers ................................. 546
Especificação de ações para detecções de aplicativos
comerciais ..................................................................... 548
Configuração da freqüência da verificação proativa de ameaças
TruScan .............................................................................. 548
Configuração de notificações para verificações proativas de ameaças
TruScan .............................................................................. 549
Sumário 33
Capítulo 36 Configuração do controle de dispositivos e

aplicativos ..................................................................... 551
Sobre o controle de dispositivos e aplicativos ................................... 551
Sobre a estrutura de uma política de controle de dispositivos e
aplicativos .......................................................................... 552
Sobre controle de aplicativos ........................................................ 553
Sobre o modo de teste ............................................................ 554
Sobre os conjuntos de regras de controle dos aplicativos e
regras .......................................................................... 555
Sobre o controle de dispositivos .................................................... 558
Sobre como trabalhar com políticas de controle de dispositivos e
aplicativos .......................................................................... 559
Ativação de um conjunto de regras de controle de aplicativos
padrão ................................................................................ 560
Criação de uma política de controle de dispositivos e aplicativos ......... 560
Configuração do controle de aplicativos em uma política de controle
de dispositivos e aplicativos ................................................... 561
Criação de um novo conjunto de regras de controle de aplicativos
e adição de uma nova regra ao conjunto .............................. 562
Adição de condições a uma regra ............................................. 563
Configuração das propriedades da condição para uma regra ......... 564
Configuração de ações a serem tomadas quando uma condição
for cumprida ................................................................. 566
Aplicação de uma regra a aplicativos específicos e exclusão de
aplicativos de uma regra .................................................. 567
Alteração da ordem na qual são aplicados os conjuntos de regras
de controle de aplicativos ................................................. 569
Desativação de conjunto de regras e regras individuais de controle
de aplicativos em uma política de controle de dispositivos e
aplicativos .................................................................... 570
Alteração do modo de um conjunto de regras do controle de
aplicativos .................................................................... 571
Configuração do controle de dispositivos para uma política de controle
de dispositivos e aplicativos ................................................... 571
Capítulo 37 Configuração de dispositivos de hardware .................. 573

Sobre dispositivos de hardware ..................................................... 573
Sobre os IDs da classe ............................................................ 574
Obtenção de um ID do dispositivo do Painel de controle ..................... 574
Adição de um dispositivo de hardware ............................................ 575
Edição de um dispositivo de hardware ............................................ 575
Exclusão de um dispositivo de hardware ......................................... 576
34 Sumário
Capítulo 38 Personalização de políticas de controle de

dispositivos e aplicativos ........................................... 577
Sobre a autorização para o uso de aplicativos, patches e
utilitários ............................................................................ 577
Criação e importação de uma lista de impressões digitais de
arquivos ............................................................................. 578
Criação de uma lista de impressão digital do arquivo ................... 579
Edição de uma lista de impressões digitais de arquivos ................ 580
Importação de uma lista de impressões digitais de arquivos para
uma política compartilhada .............................................. 581
Como mesclar listas de impressões digitais de arquivos em uma
política compartilhada .................................................... 582
Exclusão de uma lista de impressões digitais de arquivos ............. 583
Sobre o bloqueio do sistema .......................................................... 583
Pré-requisitos do bloqueio do sistema ...................................... 584
Configuração do bloqueio do sistema .............................................. 585
Seção 7 Configuração de exceções

centralizadas .......................................................... 589
Capítulo 39 Configuração de políticas de exceções
centralizadas ................................................................ 591
Sobre as políticas de exceções centralizadas .................................... 591
Sobre o trabalho com políticas de exceções centralizadas ............. 592
Sobre as exceções centralizadas para verificações antivírus e
anti-spyware ................................................................. 593
Sobre as exceções centralizadas para as verificações proativas
de ameaças TruScan ....................................................... 593
Sobre as exceções centralizadas para proteção contra
adulterações .................................................................. 594
Sobre a interação do cliente com as exceções centralizadas .......... 594
Configuração de políticas de exceções centralizadas .......................... 594
Configuração de uma exceção centralizada para verificações
antivírus e anti-spyware .................................................. 595
Configuração de uma exceção centralizada para verificações
proativas de ameaças TruScan .......................................... 598
Configuração de uma exceção centralizada para proteção contra
adulterações .................................................................. 600
Configuração de restrições de clientes para exceções
centralizadas ....................................................................... 601
Sumário 35
Criação de exceções centralizadas a partir de eventos do

registro .............................................................................. 602
Adição de uma exceção centralizada para eventos de riscos .......... 602
Adição de uma exceção centralizada para eventos de verificação
proativa de ameaças TruScan ........................................... 603
Adição de uma exceção centralizada para eventos de proteção
contra adulterações ........................................................ 604
Seção 8 Configuração da integridade do host para

a conformidade com as políticas do
endpoint .................................................................... 605
Capítulo 40 Configurações básicas da integridade do host ........... 607
Como funciona a aplicação da integridade do host ............................ 607
Sobre como trabalhar com políticas de integridade do host ................ 610
Sobre a política de quarentena ................................................ 610
Sobre o planejamento de requisitos de integridade do host ................. 611
Sobre requisitos de integridade do host .................................... 612
Adição de requisitos da integridade do host ..................................... 613
Edição e exclusão de um requisito da integridade do host ................... 615
Ativação e desativação dos requisitos de integridade do host .............. 615
Alteração da seqüência dos requisitos de integridade do host .............. 616
Adição de um requisito da integridade do host a partir de um
modelo ............................................................................... 616
Sobre configurações para verificações de integridade do host ............. 617
Configuração do registro e das notificações para uma verificação
de integridade do host ..................................................... 619
Como permitir que a verificação de integridade do host seja
aprovada se um requisito falhar ........................................ 620
Sobre a correção da integridade do host .......................................... 621
Sobre a restauração de aplicativos e arquivos em integridade do
host ............................................................................. 622
Configurações de correção de integridade do host e do
Enforcer ....................................................................... 622
Especificação do período de tempo que o cliente espera pela
correção ............................................................................. 623
Permissão para que os usuários adiem ou cancelem a correção da
integridade do host ............................................................... 623
36 Sumário
Capítulo 41 Adição de requisitos personalizados ............................. 627

Sobre os requisitos personalizados ................................................ 627
Sobre condições ......................................................................... 628
Sobre condições do antivírus .................................................. 628
Sobre as condições do anti-spyware ......................................... 629
Sobre as condições do firewall ................................................. 630
Sobre as condições do arquivo ................................................. 630
Sobre as condições do sistema operacional ................................ 632
Sobre as condições do registro ................................................ 633
Sobre funções ............................................................................ 634
Sobre a lógica de requisito personalizado ........................................ 635
Sobre a instrução RETURN ..................................................... 636
Sobre as instruções IF, THEN e ENDIF ...................................... 636
Sobre a instrução ELSE .......................................................... 636
Sobre a palavra-chave NOT .................................................... 636
Sobre as palavras-chave AND e OR .......................................... 637
Gravação de um script de requisitos personalizados .......................... 637
Adição de uma instrução IF THEN ........................................... 639
Alternância entre as instruções IF e IF NOT ............................... 639
Adição de uma instrução ELSE ................................................ 640
Adição de um comentário ....................................................... 640
Como copiar e colar instruções IF, condições, funções e
comentários .................................................................. 640
Exclusão de uma instrução, condição ou função ......................... 641
Exibição de uma caixa de diálogo de mensagens ............................... 641
Download de um arquivo ............................................................. 642
Geração de uma mensagem de registro ........................................... 643
Execução de um programa ........................................................... 643
Execução de um script ................................................................. 644
Definição do carimbo de hora de um arquivo ................................... 645
Especificação de tempo de espera para o script ................................. 646
Apêndice A Uso da interface da linha de comando ........................ 647
Serviço do cliente ....................................................................... 647

Códigos de erro .................................................................... 651
Digitação de um parâmetro caso o cliente esteja protegido por
senha ........................................................................... 651
Índice .................................................................................................................. 653

Seção 1
Tarefas administrativas
básicas
■ Visão geral do Symantec Endpoint Protection Manager
■ Introdução à proteção básica
■ Configuração de domínios, grupos e clientes
■ Gerenciamento de administradores
■ Como trabalhar com pacotes de instalação de clientes
■ Atualização de definições e conteúdo
■ Limite de acesso do usuário aos recursos do cliente
■ Configuração de conexões entre servidores de gerenciamento e clientes
■ Relatório de princípios básicos
■ Exibição e configuração de relatórios
■ Exibição e configuração de registros e notificações
■ Uso de monitores e relatórios para ajudar a proteger a rede

38
Capítulo 1
Visão geral do Symantec
Endpoint Protection
Manager
Este capítulo contém os tópicos a seguir:
■ Sobre Tarefas administrativas
■ Como fazer log on no Symantec Endpoint Protection Manager
■ Como o console do Symantec Endpoint Protection Manager é organizado
Sobre Tarefas administrativas

Antes de executar tarefas administrativas no Symantec Endpoint Protection
Manager, é necessário ter instalado o servidor de gerenciamento em um ambiente
de teste. O administrador do sistema que instala o servidor de gerenciamento
executa as tarefas administrativas para Symantec Endpoint Protection e Symantec
Network Access Control.
Para obter mais informações, consulte o Guia de Instalação do Symantec Endpoint
Protection e do Symantec Network Access Control.
As tarefas administrativas incluem tarefas administrativas básicas e avançadas.
A maioria das organizações precisam executar somente as tarefas administrativas
básicas. As organizações menores, menos complexas têm menos chances de
executar as tarefas administrativas avançadas. A maioria das configurações padrão
devem ser suficientes para os requisitos de tarefas administrativas básicas. Estas
configurações padrão são descritas primeiro. As organizações que personalizam
as configurações padrão executam tarefas administrativas avançadas.
40 Visão geral do Symantec Endpoint Protection Manager
Sobre Tarefas administrativas
A Tabela 1-1 descreve a organização das seções de documentos, quem deve ler
aquela seção e uma visão geral do conteúdo.
Tabela 1-1 Organização dos documentos e conteúdo
Seção Público
Seção 1: Para todos os administradores.
Tarefas administrativas básicas Inclui o gerenciamento de administradores e

clientes, a atualização de definições e conteúdo e
os conceitos básicos de relatórios e
monitoramento.
Seção 2: Para organizações maiores.
Tarefas administrativas avançadas Inclui o gerenciamento de vários sites, o

gerenciamento de servidores de vários tipos, a
replicação de dados de um site para outro e o
gerenciamento da proteção contra adulteração.
Tarefas gerais de gerenciamento de Inclui uma visão geral de políticas de todos os

políticas tipos, os conceitos de herança e locais e o uso de
aplicativos reconhecidos.
Configuração da proteção antivírus e Inclui a configuração da política antivírus e

anti-spyware anti-spyware, a configuração do Auto-Protect e a
configuração de verificações definidas pelo
administrador.
Seção 5: Para administradores que precisam configurar

firewalls.
Configuração da proteção contra
ameaças à rede Normalmente, as configurações padrão são
suficientes, mas administradores que têm uma
compreensão detalhada de redes poderão ajustar
suas configurações.
Seção 6: Para administradores que precisam mais do que

tecnologias de proteção antivírus, anti-spyware,
Configuração da proteção proativa
prevenção contra intrusões e firewall.
contra ameaças
Usa heurística para detectar ameaças
desconhecidas.
Visão geral do Symantec Endpoint Protection Manager 41
Como fazer log on no Symantec Endpoint Protection Manager
Seção Público
Seção 7: Para organizações maiores.
Configuração de exceções centralizadas Inclui informações de como configurar exceções

para verificações antivírus e anti-spyware,
verificações proativas de ameaças TruScan e
verificações de proteção contra adulteração.
Seção 8: Componente opcional.
Configuração de integridade do host Descreve como configurar as políticas de

para a conformidade com as políticas integridade do host para assegurar a
do Endpoint conformidade dos Endpoints com a política de
segurança.
Apêndice A: Para todos os administradores.
Uso da interface da linha de comando Lista os parâmetros de serviço do cliente que

podem ser usados com o comando smc.
Como fazer log on no Symantec Endpoint Protection

Manager
Você poderá fazer log on no console do Symantec Endpoint Protection Manager
depois de instalar o Symantec Endpoint Protection. Você pode efetuar log on no
console de duas maneiras. Pode efetuar log on remotamente, a partir de outro
computador que atenda aos requisitos do sistema para um console remoto. Pode
também efetuar log on no console localmente, usando o computador no qual o
Symantec Endpoint Protection Manager está instalado.
Muitos administradores efetuam log on remotamente e podem realizar as mesmas
tarefas dos administradores que o fazem localmente. Para efetuar o log on
remotamente, você precisa saber o endereço IP ou o nome do host do Symantec
Endpoint Protection Manager. Você também deve assegurar que as opções da
Internet em seu navegador da Web permitem exibir o conteúdo do servidor no
qual efetuará log on.
O que é possível exibir e fazer a partir do console depende do tipo de administrador.
Você pode efetuar log on como um administrador do sistema, como administrador
ou como administrador limitado. Um administrador do sistema possui privilégios
completos em todos os domínios. Um administrador possui os privilégios restritos
a um domínio específico. Um administrador limitado possui um subconjunto dos
privilégios do administrador, também restritos a um domínio específico. Se instalou
o Symantec Endpoint Protection Manager, você é um administrador do sistema.
Se outra pessoa instalou o Manager, seu status pode ser diferente. No entanto, na
Como fazer log on no Symantec Endpoint Protection Manager
maioria das empresas não é necessário se preocupar com domínios ou status de

administrador limitado.
A maioria dos administradores em empresas pequenas efetuam log on como
administrador do sistema.
Consulte “Sobre os administradores” na página 79.
Para efetuar log on no console do Symantec Endpoint Protection Manager
remotamente
1 Abra um navegador da Web e digite o seguinte endereço na caixa de endereço:
http://nome do host:9090
em que nome do host é o nome do host ou o endereço IP do Symantec Endpoint
Protection Manager. Por padrão, o console do Symantec Endpoint Protection
Manager usa o número de porta 9090, mas você pode alterá-lo se executar o
Assistente de Configuração do servidor de gerenciamento.
2 Quando for exibida a página da Web do console do Symantec Endpoint
Protection Manager, clique no link para exibir a tela de logon.
Você deve efetuar o logon de um computador que tenha o Java 2 Runtime
Environment (JRE) instalado. Se não estiver instalado, você será solicitado a
fazer o download e a instalação. Siga os prompts para instalar o JRE.
O computador também deve ter o Active X e os scripts ativados.
3 Quando você efetuar log on, poderá ver uma mensagem avisando sobre uma
divergência no nome do host. Se essa mensagem for exibida, clique em Sim
como resposta ao prompt.
Essa mensagem significa que o URL remoto do console do Symantec Endpoint
Protection Manager que foi especificado não corresponde ao nome do
certificado do Symantec Endpoint Protection. Esse problema ocorrerá se você
efetuar log on e especificar um endereço IP, em vez do nome do computador
do console do Symantec Endpoint Protection Manager.
4 Na janela de download do Symantec Endpoint Protection Manager que será
exibida, clique no link para fazer o download do Symantec Endpoint Protection
Manager.
5 Clique em Sim ou Não, conforme necessário, quando for solicitado a criar
atalhos na área de trabalho e no menu Iniciar.
Ambas as opções são aceitáveis.
Como o console do Symantec Endpoint Protection Manager é organizado
6 Na janela de logon do console do Symantec Endpoint Protection Manager que

é exibida, digite seu nome de usuário e senha. Se este for seu primeiro logon
no Symantec Endpoint Protection após a instalação, digite o seguinte nome
de conta: admin. Depois, digite a senha que você configurou quando instalou
o produto.
7 Se sua rede tiver apenas um domínio, pule esta etapa.
Se sua rede tem vários domínios, na caixa de texto Domínio, digite o nome
do domínio em qual deseja efetuar log on.
Se a caixa de texto Domínio não estiver visível, clique em Opções>>. O estado
da caixa de texto Domínio na última vez que você efetuou logon determinará
se ela está visível ou não.
8 Clique em Efetuar logon.
Você pode receber uma ou mais mensagens de aviso de segurança durante a
inicialização do console remoto do Symantec Endpoint Protection Manager.
Caso receba, clique em Sim, Executar, Iniciar, ou na opção equivalente, e
continue até que seja exibido o console do Symantec Endpoint Protection
Manager.
Para efetuar log on no console do Symantec Endpoint Protection Manager localmente
1 No menu Iniciar do Windows, clique em Programas > Symantec Endpoint
Protection Manager > Console do Symantec Endpoint Protection Manager.
2 No prompt de logon do Symantec Endpoint Protection Manager, digite o nome
de usuário (admin por padrão) e a senha que você configurou durante a
instalação
Se você é um administrador e não instalou o servidor de gerenciamento, use
o nome de usuário e a senha que seu administrador configurou para você.
3 Realize uma das seguintes tarefas:
■ Se o console tem apenas um domínio, pule para a etapa 4.
■ Se o console tem mais de um domínio, clique em Opções>> e digite o nome
do domínio.
Como o console do Symantec Endpoint Protection

Manager é organizado
O console do Symantec Endpoint Protection Manager fornece uma visão profunda
da segurança de sua rede. Ele fornece uma localização central a partir da qual se
pode gerenciar o Symantec Endpoint Protection e o Symantec Network Access

Control. No console são feitas as alterações da política de segurança do cliente.
Quando você fizer logon pela primeira vez no Symantec Endpoint Protection
Manager, verá a página Início do console do Symantec Endpoint Protection
Manager e uma barra de navegação que contém as guias da página. A barra de
navegação do console do Symantec Endpoint Protection Manager está no lado
esquerdo do painel. O Symantec Endpoint Protection Manager contém seis páginas.
Cada uma delas representa uma importante categoria funcional de gerenciamento.
Um ícone representa cada categoria funcional, junto com um texto descritivo
sobre a função da página. Você pode clicar em um ícone na barra de navegação
para exibir a página correspondente. Os ícones estão sempre disponíveis para
ajudá-lo a navegar de uma página para outra.
A Figura 1-1 mostra a barra de navegação do Symantec Endpoint Protection
Manager.
Figura 1-1 Barra de navegação
Nota: os administradores do sistema e os administradores limitados podem ver

menos opções, dependendo das permissões atribuídas às suas contas.
As páginas Início, Monitores e Relatórios fornecem as funções de relatório usadas

para monitorar a segurança de sua rede. As páginas Políticas, Clientes e Admin
são usadas para configurar e gerenciar a política de segurança da rede.
A Tabela 1-2 relaciona cada ícone da barra de navegação e descreve a
funcionalidade a que está vinculado.
Tabela 1-2 Ícones de navegação
Rótulo Descrição
Início Exibe o status da segurança de sua rede e as informações de resumo das

definições de vírus. Essa página é seu painel de controle e é a página padrão
na qual o console do Symantec Endpoint Protection Manager é aberto.
Monitores Exibe os registros de monitoramento. Você também pode usar essas páginas
para exibir e configurar notificações e para monitorar o status de comandos.
Relatórios Exibe os relatórios. Você tem a opção de relatórios rápidos predefinidos e

personalizáveis e relatórios agendados configuráveis.
Políticas Exibe as políticas para cada tipo de política. Use esta página para gerenciar
suas políticas.
Clientes Exibe as informações de política de clientes e grupos. Use esta página para
gerenciar as políticas que são colocadas nos clientes por meio de pacotes de
instalação.
Admin Exibe as informações de configuração específicas do administrador.
A página Início
A página Início exibe o status de segurança geral e as informações de resumo de
definição de vírus. Se tiver instalado o Symantec Endpoint Protection, a sua página
Início exibirá as informações sobre a segurança da sua rede. Se você tiver somente
o Symantec Network Access Control instalado, a página Início exibirá
automaticamente os relatórios gerados sobre o status de conformidade da sua
rede.
A página Início do Symantec Endpoint Protection contém as seguintes seções:
■ Status da segurança
■ Resumo da ação por contagem de detecção
■ Ataques, riscos ou infecções por hora: últimas 12 horas
■ Resumo do status, incluindo as notificações não confirmadas nas últimas 24
horas
■ Distribuição das definições de vírus ou assinaturas de prevenção de intrusões

■ Informações e links da Security Response
■ Resumo dos aplicativos observados
■ Relatórios favoritos
Consulte “Uso da página Início do Symantec Endpoint Protection” na página 149.
A página Início do Symantec Network Access Control contém as seguintes seções:
■ Status de falha de conformidade da rede
■ Distribuição do status de conformidade
■ Resumo de clientes por falha de conformidade
■ Detalhes de falha de conformidade
Consulte “Uso da página Início do Symantec Network Access Control” na página 159.
Status da segurança
O status de segurança pode ser Bom ou Atenção necessária. Se o status for Atenção
necessária, clique no ícone vermelho X ou no link Mais detalhes para exibir mais
informações. Você também pode clicar em Preferências para acessar a página
Preferências na qual você pode configurar as preferências de relatório.
Consulte “Configuração dos limites de status de segurança” na página 163.
Relatórios favoritos
Por padrão, a seção Relatórios favoritos da página Início contém os seguintes
relatórios:
■ Principais ocorrências de ataques
■ Correlação de principais detecções de riscos
■ TruScan Proactive Threat Distribution
Clique no ícone (+), à direita de Relatórios favoritos, para alterar os relatórios que
serão exibidos nesta seção da página Início.
Consulte “Configuração dos relatórios favoritos na página Início” na página 156.
A página Monitores
Você pode usar a página Monitores para exibir informações de registros, exibir e
configurar notificações e exibir o status do comando. Essa página contém os
registros e notificações que podem ser usados por administradores para monitorar
as redes.
A página Monitores contém as seguintes guias:
■ Resumo
Se o Symantec Endpoint Protection estiver instalado, haverá várias exibições
de resumo a escolher. Você pode selecionar para exibir Proteção antivírus e
anti-spyware, Proteção contra ameaças à rede, Conformidade ou Status do site.
Se apenas o Symantec Network Access Control estiver instalado, então a guia
Resumo exibirá as informações do Status do site. Se apenas o Symantec Network
Access Control estiver instalado, as informações de Conformidade serão
exibidas na página Início.
Consulte “Uso da guia Resumo de monitores” na página 204.
■ Registros
Os registros apresentam informações detalhadas que são coletadas dos seus
produtos de segurança. Os registros contém dados de eventos dos servidores
de gerenciamento e dos clientes. Também é possível realizar ações a partir de
alguns registros. Alguns administradores preferem monitorar a rede
basicamente pelo uso de registros.
Consulte “Sobre tipos de registro, conteúdos e comandos” na página 198.
■ Status do comando
A guia Status do comando exibe o status dos comandos executados do console
do Symantec Endpoint Protection Manager e seus detalhes.
Consulte “Execução de comandos e ações de registros” na página 213.
■ Notificações
Uma notificação é uma mensagem que alerta sobre potenciais problemas de
segurança na rede. É possível configurar vários tipos diferentes de eventos
para acionar uma notificação. As notificações na guia Notificações são
direcionadas aos administradores, não aos usuários.
Consulte “Uso de notificações” na página 221.
A página Relatórios
Você pode usar a página Relatórios para obter uma visão geral ampla do status
de segurança da rede. Os relatórios são gráficos instantâneos de eventos que
acontecem na rede e estatísticas sobre os eventos. Você pode usar os filtros na
página Relatórios para gerar relatórios predefinidos ou personalizados. Os
relatórios predefinidos estão localizados na guia Relatórios rápidos. Na guia
Relatórios agendados, você pode agendar relatórios para serem executados em
intervalos regulares e fazer com que sejam enviados a você ou para outros por
e-mail.
Consulte “Sobre os relatórios” na página 170.
A página Políticas
Você pode usar a página Políticas para criar políticas que são transferidas por
download para o cliente. Os clientes conectam-se ao servidor para obter as políticas
e configurações de segurança mais recentes e as atualizações do software são
implementadas a partir desse servidor. As políticas exibidas dependem dos
componentes do produto que foram instalados.
A página Políticas contém os seguintes painéis:
■ Visualizar políticas
O painel Visualizar políticas relaciona os tipos de políticas que podem ser
visualizados no painel superior direito: Antivírus e anti-spyware, Firewall,
Prevenção de intrusões, Controle de dispositivos e aplicativos, LiveUpdate e
Exceções centralizadas. Você também poderá exibir Políticas de integridade
do host se o Symantec Network Access Control estiver instalado. Clique na
seta ao lado de Componentes das políticas para expandir a lista de componentes,
se ela ainda não estiver sendo exibida.
■ Componentes das políticas
O painel Componentes das políticas relaciona os diversos tipos de componentes
das políticas disponíveis. Esses componentes incluem listas de servidores de
gerenciamento, listas de impressões digitais de arquivos, entre outras.
■ Tarefas
O painel Tarefas relaciona as tarefas apropriadas para a política selecionada
em Visualizar políticas.
■ Painel Política de tipo de política
O painel direito é alterado em resposta à política selecionada em Visualizar
políticas. Para algumas escolhas, o painel é dividido horizontalmente. Nesses
casos, a parte inferior do painel mostra as alterações recentes para a política
selecionada.
Para obter informações sobre os diferentes tipos de políticas e suas opções, consulte
os capítulos que descrevem as políticas.
A página Clientes
Você pode usar a página Clientes para gerenciar os computadores e usuários em
sua rede.
A página Clientes contém os seguintes painéis:
■ Exibir clientes
A página Exibir clientes mostra os grupos da estrutura de gerenciamento do

cliente,organizados de modo hierárquico em uma estrutura em árvore. Por
padrão, essa estrutura contém o grupo Global e nele, o grupo temporário.
■ Tarefas
O painel Tarefas relaciona as tarefas relacionadas ao cliente que você pode
executar.
■ Painel nome do grupo
O painel direito contém quatro guias: Clientes, Políticas, Detalhes e Pacotes
de instalação. Cada guia exibe o conteúdo que pertence ao grupo selecionado
no painel Exibir clientes.
Você pode realizar as seguintes tarefas na guia Clientes:
■ Adicionar grupos, contas de computador e contas de usuários.
■ Importar uma unidade organizacional ou um container.
■ Importar usuários diretamente do Active Directory ou de um servidor LDAP.
■ Executar comandos em grupos.
■ Procurar clientes.
■ Exibir grupos ou usuários.
■ Procurar computadores não gerenciados.
Na guia Políticas, você pode definir opções independentes do local para o conteúdo
do LiveUpdate, registros do cliente, comunicações e algumas configurações gerais.
Você também pode definir algumas opções específicas de local, como o modo de
controle e a comunicação de envio e recepção entre o servidor e o cliente. É possível
realizar as seguintes tarefas na guia Políticas:
■ Adicionar locais.
■ Gerenciar locais.
■ Copiar políticas de grupos.
■ Adicionar grupos.
É possível realizar as seguintes tarefas na guia Detalhes:
■ Adicionar grupos.
■ Importar uma unidade organizacional ou um container.
■ Excluir grupos.
■ Renomear grupos.
■ Mover grupos.
■ Editar propriedades do grupo.

Na guia Pacotes de instalação, você pode configurar e adicionar um novo pacote
de instalação do cliente. Use o servidor de gerenciamento para criar e então
exportar um ou mais pacotes de instalação do cliente para um servidor de
gerenciamento no site. Após exportar o pacote de instalação do cliente para o
servidor de gerenciamento, instale os arquivos do pacote nos computadores-cliente.
Sobre os ícones de status do cliente

Quando os clientes forem exibidos nos grupos, os ícones serão exibidos ao lado
dos clientes, indicando o status.
A Tabela 1-3 ilustra e descreve os ícones.
Tabela 1-3 Ícones de status do cliente
Ícone Descrição
Esse ícone indica o seguinte status:
■ O cliente está se comunicando com o Symantec Endpoint Protection

Manager.
■ O cliente está no modo de computador.
■ O cliente não está se comunicando com o Symantec Endpoint

Protection Manager.
■ O cliente pode ter sido adicionado a partir do console e pode não
ter nenhum software-cliente da Symantec instalado.

Manager.
■ O cliente é um detector não gerenciado.

Protection Manager.
■ O cliente está no modo computador.
Ícone Descrição

Manager.
■ O cliente está no modo de usuário.

Protection Manager.
■ O cliente está no modo de usuário.
■ O cliente pode ter sido adicionado a partir do console e pode não
ter nenhum software-cliente da Symantec instalado.

Manager em outro site.
■ O cliente está no modo computador.


Os usuários no cliente podem também exibir ícones de status semelhantes. Para

obter mais informações, consulte o Guia do Cliente do Symantec Endpoint Protection
e do Symantec Network Access Control.
A página Admin
Você pode usar a página Admin para gerenciar as contas do administrador, as
propriedades de domínio, as propriedades do servidor e propriedades do site e os
pacotes de instalação do cliente para a sua rede. Ao selecionar a guia
Administradores, o painel Exibir mostra todos os administradores que gerenciam
o domínio ao qual o administrador está conectado. Ele inclui todos os
administradores do sistema, administradores e administradores limitados.
A página Admin do Symantec Endpoint Protection Manager contém os seguintes

painéis:
■ Exibir administradores, Domínios, Servidores ou Instalar pacotes.
A exibição depende da seleção feita na parte inferior do painel de navegação.
■ Tarefas
O painel Tarefas relaciona as tarefas que você pode executar na página Admin.
Essas tarefas são alteradas com base na seleção feita na parte inferior do painel
de navegação.
■ O painel direito
O painel direito exibe o conteúdo que pertence à seleção feita na parte inferior
do painel de navegação.
Ao selecionar Administradores, você pode adicionar, excluir e editar as contas do
administrador.
Ao selecionar Domínios, você pode adicionar, renomear e editar as propriedades
dos domínios. Os domínios fornecem uma maneira lógica de agrupar computadores
em grandes redes. Se você tem uma rede pequena, provavelmente use apenas o
domínio padrão, que é denominado Padrão.
Ao selecionar Servidores, as tarefas disponíveis são alteradas com base no que foi
selecionado na árvore de navegação Exibir servidores. Selecione o site local, um
servidor específico ou o host local.
Ao selecionar Site local, é possível realizar as seguintes tarefas:
■ Editar as propriedades do site, como o período de tempo limite do console, as
configurações do LiveUpdate e as configurações do banco de dados.
■ Configurar registros externos para enviar dados de registro para um arquivo
de servidor ou um servidor Syslog.
■ Adicionar um parceiro para a replicação do site.
■ Fazer o download de conteúdos do LiveUpdate
■ Exibir o status do LiveUpdate.
■ Exibição dos downloads do LiveUpdate.
Ao selecionar um servidor específico, você pode realizar as seguintes tarefas:
■ Editar as propriedades do servidor, como servidor de correio, servidor de
diretório e as opções do servidor proxy.
■ Excluir servidores.
■ Gerenciar certificados de autenticação do servidor.
■ Configurar a autenticação RSA SecurID.
■ Importar e exportar as propriedades do servidor como um arquivo XML.

Ao selecionar Instalar pacotes, é possível adicionar, excluir, editar e exportar os
pacotes de instalação do cliente. Também é possível enviar um pacote a grupos e
definir as opções para coletar informações do usuário.
Capítulo 2
Introdução à proteção
básica
■ Categorias de proteção
Categorias de proteção
O Symantec Endpoint Protection fornece várias categorias de proteção para
computadores em sua rede de segurança.
Essas categorias incluem:
■ Proteção antivírus e anti-spyware
■ Proteção contra ameaças à rede
■ Proteção proativa contra ameaças
■ Integridade do host
Nota: As políticas de integridade do host estão disponíveis apenas no produto

Symantec Network Access Control. O Symantec Network Access Control pode ser
instalado sozinho ou com o Symantec Endpoint Protection. Todas as outras
categorias de proteção são fornecidas por padrão com o Symantec Endpoint
Protection e não são fornecidas com o Symantec Network Access Control.
A Figura 2-1 exibe as categorias de ameaças que estão bloqueadas de acordo com
cada tipo de proteção.
56 Introdução à proteção básica
Figura 2-1 Visão geral do nível de proteção
Internet Rede da
empresa
Portas dos fundos Vulnerabilidades Modificações em Adware

Ataques DoS do aplicativo arquivo/ Portas dos fundos
Verificações de Portas dos fundos processo/ Spyware
portas Vulnerabilidades Registro Cavalos de Tróia
Ataques em pilha de SO Ameaças Worms
Cavalos de Tróia Cavalos de Tróia internas Vírus
Worms Worms Keyloggers
Vírus retro
Spyware
Ataques
Proteção direcionados
Cavalos de Tróia
contra Worms
ameaças Ameaças de dia
à rede zero
Política
de firewall
Política de
prevenção
de intrusões
Placa de interface de red
Proteção proativa contra ameaças
Política de
controle de
dispositivos
Sistema de arquivos e aplicativos
Proteções antivírus e anti-spyware
Política
antivírus
e anti-spyware
Memória/periféricos
Ponto final
Sobre a proteção antivírus e anti-spyware

A proteção antivírus e anti-spyware do Symantec Endpoint Protection fornece
proteção contra vírus e riscos à segurança e em muitos casos pode reparar os
efeitos colaterais deles. A proteção inclui verificações em tempo real dos arquivos
e e-mails, além de verificações agendadas e verificações sob demanda. As
Introdução à proteção básica 57
verificações antivírus e anti-spyware detectam vírus e riscos à segurança, como

spyware, adware e outros arquivos capazes de colocar em risco o computador e a
rede.
As verificações também detectam rootkits em nível de kernel. Os rootkits são
programas que tentam se esconder do sistema operacional de um computador e
que podem ser usados com objetivos maliciosos.
Você pode aplicar a política antivírus e anti-spyware padrão para
computadores-cliente em sua rede. Pode criar políticas antivírus e anti-spyware
adicionais e aplicá-las conforme necessário e pode editar a política quando os
requisitos em sua rede de segurança forem alterados.
A política antivírus e anti-spyware definida como padrão foi elaborada para
adequar-se a empresas de todos os tamanhos. Ela oferece forte proteção e, ao
mesmo tempo, minimiza o impacto nos recursos do limite de rede.
Consulte “Princípios básicos da proteção antivírus e anti-spyware” na página 394.
Sobre a proteção contra ameaças à rede

A proteção contra ameaças à rede oferece a proteção de um firewall e da prevenção
de intrusões, impedindo que ataques e conteúdo malicioso atinjam um computador
que executa o cliente do Symantec Endpoint Protection. O firewall permite ou
bloqueia o tráfego da rede, com base em diversos critérios configurados pelo
administrador ou pelo usuário final.
As regras de firewall determinam se um endpoint permite ou bloqueia o acesso
de aplicativos ou serviços de entrada ou saída por meio de sua conexão de rede.
O cliente pode, por meio das regras de firewall, permitir ou bloquear
sistematicamente aplicativos e tráfego de entrada ou de saída a partir de (ou para)
endereços IP e portas específicas. As configurações de segurança detectam e
identificam ataques comuns, assim como enviam mensagens de e-mail após um
ataque, exibem mensagens personalizáveis e desempenham outras tarefas de
segurança relacionadas.
O cliente também analisa todas as informações recebidas e enviadas, verificando
a existência dos padrões de dados típicos de um ataque. Ele detecta e bloqueia
tráfego e tentativas maliciosas de ataque de usuários externos contra o
computador-cliente. A prevenção de intrusões também monitora o tráfego de
saída e impede a propagação de worms.
A política de proteção contra ameaças à rede padrão foi criada para ser apropriada
para empresas de todos os portes. Ela oferece forte proteção e, ao mesmo tempo,
minimiza o impacto nos recursos do endpoint. Você pode editar a política padrão
ou criar novas políticas e aplicá-las aos endpoints de sua rede.
Consulte “Sobre proteção contra ameaças à rede e ataques à rede” na página 474.
Sobre a proteção proativa contra ameaças

A proteção proativa contra ameaças oferece proteção contra vulnerabilidades a
ataques de dia zero em sua rede. As vulnerabilidades a ataques de dia zero são
novas vulnerabilidades, ainda não conhecidas publicamente. As ameaças que
exploram essas vulnerabilidades podem escapar da detecção com base em
assinaturas (como as definições de anti-spyware e antivírus). Os ataques de dia
zero podem ser usados em ataques direcionados e na propagação de código
malicioso.
A proteção proativa contra ameaças inclui o seguinte:
■ Verificações proativas de ameaças TruScan
■ Políticas de controle de dispositivos e aplicativos
As configurações padrão da proteção contra ameaças à rede foram criadas para
serem apropriadas para empresas de todos os tamanhos. Você pode editar essas
configurações e criar novas, caso seja necessário.
A verificação proativa de ameaças usa heurística para indicar processos e
aplicativos potencialmente perigosos. A heurística analisa o comportamento de
processos em um computador-cliente. Por exemplo, uma abertura de porta.
Consulte “Sobre as verificações proativas de ameaças TruScan” na página 535.
As políticas de controle de dispositivos e aplicativos oferecem um método para
bloquear ou limitar os processos ou dispositivos de hardware em
computadores-cliente.
Consulte “Sobre o controle de dispositivos e aplicativos” na página 551.
Sobre integridade do host e conformidade com as políticas do endpoint

A integridade do host oferece a capacidade de definir, aplicar e restaurar a
segurança de clientes para proteger redes e dados corporativos. As políticas de
integridade do host podem ser configuradas para verificar se os clientes que
tentam acessar a rede estão executando software antivírus, patches, hotfixes e
outros critérios de aplicativos. Você configura as políticas de integridade do host
para serem executadas em computadores-cliente na inicialização e também
periodicamente.
Consulte “Como funciona a aplicação da integridade do host” na página 607.
A integridade do host faz parte do Symantec Network Access Control. A política
de integridade do host assegura que os computadores atendam às diretrizes de
TI e corrijam os problemas de segurança encontrados. Você pode usar a integridade
do host sozinha, com uma política de quarentena para auto-aplicação ou com um
appliance Enforcer da rede. A política de integridade do host é mais eficaz quando
Introdução à proteção básica 59
usada com um Enforcer opcional, desde que o appliance possa garantir que os
computadores tenham um cliente e sejam configurados corretamente antes que
o cliente conecte-se à rede. O Enforcer pode ser um appliance do hardware que
usa um dos diversos tipos de software Enforcer ou vários Enforcers baseados
apenas em software. Quando combinada com o Enforcer, a integridade do host
permite ou bloqueia o acesso de computadores à rede. Cada Enforcer é criado para
diferentes necessidades de rede.
Para obter mais informações sobre os Enforcers, consulte o Guia de Implementação
do Symantec Network Access Control Enforcer.
Capítulo 3
Configuração de domínios,
grupos e clientes
■ Sobre a topologia de segurança
■ Sobre a estrutura do grupo
■ Sobre como importar a estrutura organizacional
■ Adição de um domínio
■ Administração de um domínio
■ Adição de um grupo
■ Exclusão de um grupo
■ Renomeação de um grupo
■ Mover um grupo
■ Exibição das propriedades de um grupo
■ Adição de clientes como usuários
■ Adição de clientes como computador
■ Alternância do cliente entre o modo baseado no usuário e o modo baseado no

computador
■ Bloqueio da adição de clientes aos grupos
■ Como mover clientes entre grupos
■ Exclusão de clientes
62 Configuração de domínios, grupos e clientes
Sobre a topologia de segurança
■ Exibição das propriedades de um cliente
■ Como procurar clientes
■ Filtragem da lista de clientes
Sobre a topologia de segurança

É possível referir-se à sua configuração de proteção de rede como sua topologia
de segurança. A topologia de segurança se refere à configuração de segurança da
sua empresa, incluindo os componentes de hardware e de software reais dos
servidores e clientes. Você precisa entender a topologia de segurança de sua rede
para proteger seus computadores com eficácia contra infecções por vírus e outras
ameaças. Diversas ferramentas auxiliam a entender sua topologia de segurança.
Uma ferramenta é a criação de um mapa ou o uso de um mapa já existente, para
visualizar o local lógico dos seus computadores-cliente. Desenhe esse mapa para
que você possa isolar e limpar os computadores sistematicamente em cada seção
antes de reconectá-los à sua rede local.
Sobre a estrutura do grupo

A estrutura organizacional do Symantec Endpoint Protection consiste em domínios,
grupos, usuários e computadores. A idéia dos grupos é central para a configuração
da sua estrutura. Ela é semelhante ao conceito de grupos de usuários no Windows.
O objetivo dos grupos é simplificar seu aplicativo de políticas de segurança. Ao
invés de atribuí-las a cada computador-cliente individual, é possível atribuí-las a
um grupo ou a diversos grupos.
Os grupos são conjuntos de computadores-cliente. O servidor do Symantec
Endpoint Protection Manager gerencia esses computadores-cliente. Esses conjuntos
podem ser baseados em diferentes parâmetros. Por exemplo, o grupo pode se
basear em geografia (todos os clientes de uma filial). Ele também pode ser baseado
em uma empresa (todos os clientes do departamento de vendas). Defina seus
grupos de forma que correspondam à sua estrutura organizacional. Um usuário
é um cliente definido por um nome de logon. Um computador é um cliente definido
pela peça física do hardware.
É possível criar e organizar os grupos em uma estrutura hierárquica de árvore
para representar a estrutura dos seus negócios. Você atribui as políticas de
segurança aos grupos e aos locais dentro deles. Portanto, a criação dos grupos
pode ser uma das primeiras coisas a serem feitas quando os administradores
configuram o Symantec Endpoint Protection Manager. Assim, é possível definir
as políticas de segurança que se baseiam nas necessidades de segurança de cada
grupo e aplicá-las usando o gerenciador.
Configuração de domínios, grupos e clientes 63
Os grupos, usuários e computadores podem ser adicionados manualmente,

importados de um servidor de diretórios ou adicionados automaticamente por
registro do cliente.
Além disso, também é possível importar a unidade organizacional (UO) de um
servidor de diretório (LDAP ou Active Directory). Configure sua estrutura
organizacional dessa forma. Essa estrutura sincroniza automaticamente os grupos
no Symantec Endpoint Protection Manager com os grupos no servidor de diretório.
Consulte “Sobre como importar a estrutura organizacional” na página 67.
Sobre domínios
Os domínios são uma maneira de conter grupos e de grupos conterem
computadores e usuários ou clientes. Um administrador gerencia os computadores
e usuários. Esse administrador tem uma visão limitada do console do Symantec
Endpoint Protection Manager.
Geralmente, os domínios são configurados como parte de uma grande empresa.
Por exemplo, um domínio pode representar uma divisão dentro da empresa,
departamento, empresa separada ou qualquer outro segmento isolado de usuários.
Um modelo de pequena ou média empresa geralmente não seria dividido em
domínios.
Os administradores do sistema têm acesso a todos os domínios, enquanto os
administradores de domínios podem acessar somente o domínio ao qual são
atribuídos para trabalhar. Todos os dados em cada domínio são completamente
separados. Esta separação impede que os administradores em um domínio vejam
os dados em outros domínios. Alem disso, os administradores não têm acesso ao
ícone Servidores na página Admin, e você pode restringir mais o acesso dentro
do console.
Sobre grupos
O objetivo dos grupos e domínios é fornecer aos administradores uma forma de
gerenciar conjuntos de computadores como uma unidade. Todos os clientes de
uma rede corporativa são organizados em grupos com configurações e necessidades
de segurança similares. Os grupos podem conter os clientes adicionados como
usuários ou computadores. Você pode criar um grupo baseado no local,
departamento ou em qualquer outra classificação que atenda às necessidades da
sua empresa.
A estrutura de grupo que você define geralmente corresponde à estrutura
organizacional de sua empresa. Você pode agrupar usuários e computadores com
necessidades de computação e requisitos de acesso à rede semelhantes. Você pode
gerenciar esses grupos usando a guia Clientes do Symantec Endpoint Protection

Manager. Quando você seleciona um grupo na árvore Exibir clientes, quatro guias
de páginas são exibidas na página à direita. Cada uma dessas guias está associada
ao gerenciamento do grupo selecionado. As quatro guias são Clientes, Políticas,
Detalhes e Pacotes de instalação. Cada uma dessas guias oferece diferentes opções
para o gerenciamento do grupo selecionado.
O grupo Global é a raiz da estrutura hierárquica em árvore. Abaixo dele, você pode
adicionar grupos e subgrupos para refletir a estrutura de sua empresa. A estrutura
hierárquica em árvore também inclui, por padrão, o grupo Temporário. Nem
sempre os usuários e computadores são designados a um grupo na primeira vez
que fazem seu registro no Symantec Endpoint Protection. Eles são atribuídos ao
grupo Temporário quando não pertencem a um grupo predefinido.
Nota: Você não pode criar subgrupos abaixo do grupo Temporário.
Figura 3-1 para ver um exemplo da hierarquia em árvore de grupos de uma

empresa. Você pode basear a estrutura de grupo de sua empresa no local,
departamento ou qualquer outra classificação que atenda aos seus requisitos de
negócios.
Figura 3-1 Amostra de hierarquia em árvore de grupo
Se você cria um pacote de instalação para implementação, pode incluir políticas

de segurança de um grupo específico. Nesse caso, esse grupo se tornará o grupo
de clientes preferencial. O software-cliente do Symantec Endpoint Protection é
conectado à rede depois de ser instalado. Ele é automaticamente adicionado ao
grupo de clientes preferencial, a menos que essa opção seja substituída por alguma
outra configuração do Symantec Endpoint Protection Manager. Por exemplo, na
guia Clientes você pode ter adicionado manualmente um usuário ou computador
em um grupo diferente. Depois que o cliente é conectado ao Symantec Endpoint
Protection Manager, o grupo especificado na página Clientes substitui aquele
especificado no pacote de instalação. Você pode adicionar o cliente como um
computador ou como um usuário em grupos diferentes. O cliente conecta-se ao
grupo ao qual foi adicionado no modo de computador. O grupo que foi especificado
no pacote do cliente pode ter sido excluído anteriormente. O cliente será colocado
nesse grupo padrão quando nenhum outro grupo for especificado para o usuário
ou o computador na página Clientes.
Se você importar usuários de um servidor Active Directory, a estrutura do grupo

também será importada.
Sobre clientes
Um cliente é qualquer dispositivo de rede que se conecta à rede corporativa e
executa aplicativos baseados em rede. Os dispositivos de rede podem incluir
laptops, computadores e servidores.
Um pacote de software-cliente é implementado em cada computador ou dispositivo
na rede. Há dois tipos de clientes: clientes do Symantec Endpoint Protection e
clientes do Symantec Network Access Control. Os clientes do Symantec Endpoint
Protection são instalados em computadores que dependem do Symantec Endpoint
Protection para todas suas necessidades de firewall. Os clientes do Symantec
Network Access Control são instalados em computadores que não precisam de
um firewall ou que já possuem um firewall de terceiros.
Você pode executar os dois tipos de clientes em sua rede. Você também pode alterar
o tipo de software-cliente em um computador se as necessidades de firewall do
computador forem alteradas. Use a guia Clientes no Symantec Endpoint Protection
Manager para gerenciar estas configurações.
Você pode aplicar políticas de segurança diferentes em locais diferentes. Por
exemplo, o cliente pode ser configurado para alternar automaticamente para uma
política de segurança diferente, se o local físico do cliente for alterado. Uma política
pode ser aplicada quando o cliente se conecta no escritório e outra quando o cliente
se conecta de forma remota.
Nota: A funcionalidade da verificação de integridade do host é um complemento

do conjunto de recursos padrão do produto.
Sobre o modo baseado no usuário e o modo baseado no

computador
É possível configurar clientes como usuários ou computadores, dependendo de
como você deseja que as políticas de segurança funcionem. Clientes que são
configurados como usuários são baseados no nome do usuário que faz logon na
rede. Clientes que são configurados como computadores são baseados no
computador que faz logon na rede. Configure os clientes como usuários ou
computadores adicionando usuários e computadores a um grupo. Depois que um
usuário ou computador for adicionado a um grupo, ele assume a política de
segurança atribuída ao grupo.
Pode ocorrer um conflito quando, por exemplo, um usuário de um grupo efetuar
logon em um computador de outro grupo. A política de segurança fornecida
Sobre como importar a estrutura organizacional
depende do modo de execução do software-cliente. O modo pode se basear no

computador ou no usuário. Se o modo se basear no usuário, o software do
computador-cliente obtém a política do grupo do qual o usuário for membro. Se
o modo se basear no computador, o cliente obtém a política de segurança do grupo
do computador do qual é membro.
Clientes que são configurados como usuários são considerados no modo baseado
no usuário. Clientes que são configurados como computadores são considerados
no modo baseado no computador. O modo baseado no computador sempre tem
prioridade sobre o modo baseado no usuário. A maioria dos administradores define
clientes como computadores quando um deles está localizado em uma área
desprotegida, como um saguão. Dessa forma, eles podem controlar a política de
segurança independente de quem fizer logon.
Após um computador ser adicionado, assume-se o modo baseado no computador.
Dessa maneira, os usuário que fizerem logon no computador ficarão restritos à
política aplicada ao grupo ao qual o computador pertence. A política que é aplicada
a um outro grupo não restringe estes usuários. Estes usuários não são restritos
mesmo que possam ser associados a outros grupos pelo nome de usuário.
Você pode adicionar, excluir e mover usuários e computadores. É possível também
definir computadores para serem detectores não gerenciados na rede.
Sobre como importar a estrutura organizacional

Você pode importar estruturas de grupo ou unidades organizacionais. Para
importar as unidades organizacionais, use um servidor de diretórios LDAP ou um
servidor Active Directory. O Symantec Endpoint Protection pode então
automaticamente sincronizar os grupos na guia Clientes com aqueles no servidor
de diretórios.
Consulte “Sobre unidades organizacionais e o servidor LDAP” na página 274.
Não é possível usar a guia Clientes para gerenciar esses grupos depois que os
importar. Você não pode adicionar, excluir ou mover grupos dentro de uma unidade
organizacional importada. Você pode atribuir políticas de segurança à unidade
organizacional importada. Também é possível copiar usuários de uma unidade
organizacional importada para outros grupos, listados no painel Exibir clientes.
A prioridade é da política que foi atribuída a um grupo antes de ele ser importado.
Uma conta de usuário pode existir tanto na unidade organizacional quanto em
um grupo externo. A política que foi aplicada ao grupo externo tem prioridade
nesse cenário.
Você pode importar e sincronizar as informações sobre contas de usuários e contas
de computador de um servidor Active Directory ou de um servidor LDAP.
Adição de um domínio
Consulte “Importação de informações sobre usuários de um servidor de diretórios

LDAP” na página 270.
Consulte “Importação de unidades organizacionais de um servidor de diretórios
ativo ou LDAP” na página 274.
Consulte “Acréscimo de servidores de diretório” na página 268.
Consulte “Sincronização de contas de usuário entre servidores de diretório e um
Symantec Endpoint Protection Manager” na página 269.
Consulte “Sincronização das unidades organizacionais” na página 275.
Adição de um domínio
Somente um administrador do sistema pode ver todos os domínios de uma rede
corporativa. Se você quer que um grupo esteja em mais de um domínio, adicione-o
várias vezes.
Nota: Você pode adicionar um ID do domínio para a recuperação de desastres. Se

todos os servidores de gerenciamento em sua organização falharem, você precisará
reconstruir o servidor de gerenciamento usando o mesmo ID que o servidor antigo.
Você pode obter o ID velho do domínio do arquivo sylink.xml em qualquer cliente.
Para adicionar um domínio

1 No console, clique em Admin.
2 Na página Admin, em Tarefas, clique em Adicionar domínio.
3 Na caixa de diálogo Adicionar domínio, digite um nome de domínio e um nome
de empresa opcional.
4 Na caixa de texto Lista de contatos, digite opcionalmente as informações
adicionais, como o nome da pessoa responsável pelo site.
5 Se você quer adicionar um ID do domínio, clique em Avançado >> e digite o
valor na caixa de texto ID do domínio.
6 Clique em OK.
Administração de um domínio
Se você for um administrador do sistema, poderá criar e administrar domínios.
Os administradores de domínio e os administradores limitados não podem criar
e administrar domínios.
Adição de um grupo
Para administrar um domínio

2 Na página Admin, no painel Tarefas, clique em Domínios.
3 Em Exibir domínios, clique no domínio que você quer administrar.
Não é possível administrar um domínio padrão.
4 Em Tarefas, clique em Administrar domínio.
5 Clique em Sim para confirmar que deseja administrar este domínio.
6 Na caixa de diálogo que identifica o domínio administrado, clique em OK.
Adição de um grupo
É possível adicionar grupos após definir a estrutura de grupos da sua organização.
A estrutura do grupo provavelmente corresponde à estrutura organizacional da
empresa. Os nomes dos grupos podem ter até 256 caracteres. As descrições dos
grupos podem ter até 1024 caracteres. Os nomes e as descrições de grupo podem
conter qualquer caractere, exceto os seguintes: [” / \ * ? < > | :].
Nota: Não é possível adicionar grupos ao Grupo temporário.
Para adicionar um grupo

1 No console, clique em Clientes.
2 Em Exibir clientes, selecione o grupo ao qual você quer adicionar um novo
subgrupo.
3 Na guia Clientes, em Tarefas, clique em Adicionar grupo.
4 Na caixa de diálogo Adicionar grupo para nome do grupo, digite o nome do
grupo e uma descrição.
5 Clique em OK.
Exclusão de um grupo
É possível excluir os grupos não mais usados ou que não mais refletem a estrutura
organizacional. Só será possível excluir um grupo se ele estiver vazio. Ele não
pode conter subgrupos, usuários ou computadores. Se um grupo não estiver vazio,
primeiro será necessário mover ou excluir os subgrupos, usuários ou computadores.
Além disso, não é possível excluir os grupos Global ou Temporário.
Renomeação de um grupo
Sob determinadas condições, o Symantec Endpoint Protection Manager recriará

o grupo excluído de um cliente. Essa condição pode incluir esta situação. Um
pacote de instalação (de atualização ou de nova instalação) será criado
especificando esse grupo antes que o mesmo seja excluído. Além disso, a
configuração de instalação Manter os recursos atuais do cliente ao atualizar será
ativada nesse pacote de instalação. Neste caso, quando o computador-cliente
conecta-se ao servidor de gerenciamento, o servidor recria o grupo que foi
especificado no pacote de instalação.
Para excluir um grupo
2 Na guia Clientes, em Exibir clientes, clique com o botão direito do mouse no
grupo que você quer excluir e clique em Excluir.
3 Na caixa de diálogo Excluir, clique em Sim.
Renomeação de um grupo
É possível renomear grupos e subgrupos para que reflitam as alterações na
estrutura organizacional. É possível renomear um grupo para atualizar
automaticamente o nome desse grupo em todos os usuários e computadores já
atribuídos. Os computadores-cliente de um grupo renomeado não são forçados a
alternar grupos ou a fazer download do novo perfil do grupo.
Para renomear um grupo
grupo que você quer renomear e clique em Renomear.
3 Na caixa de diálogo Renomear grupo para nome do grupo, digite o novo nome
do grupo.
4 Clique em OK.
Mover um grupo
Qualquer grupo, com seus subgrupos, computadores e usuários, pode ser movido
de um nó da árvore de grupos para outro. Entretanto, não é possível mover os
grupos Global e Temporário. Além disso, não é possível mover grupos no grupo
Temporário ou mover um grupo em um de seus subgrupos.
Se um grupo usar política herdada, assumirá a nova política do grupo para o qual
for movido. Se tiver uma política específica aplicada, manterá essa política após
ser movido.
Exibição das propriedades de um grupo
Se não houver política de grupo explicitamente aplicada ao grupo movido, ele

usará a política do grupo de destino. Os clientes do grupo movido usarão o novo
perfil.
Para mover um grupo
grupo que você quer mover e clique em Mover.
3 Na caixa de diálogo Mover grupo, selecione o grupo de destino para o qual
você quer mover o grupo.
4 Clique em OK.
Exibição das propriedades de um grupo

Cada grupo tem uma página de propriedades. Essa página relaciona informações
sobre o grupo.
Para exibir as propriedades de um grupo
2 No painel Exibir clientes, selecione o grupo cujas propriedades deseja exibir.
3 Clique na guia Detalhes.
Adição de clientes como usuários

É possível adicionar usuários a um domínio manualmente. Na maioria dos casos,
entretanto, esse procedimento não é prático a menos que você queira adicionar
uma quantidade limitada de usuários com objetivo de manutenção. A maioria dos
administradores importa listas de usuários de um servidor LDAP ou de um servidor
de domínio.
É possível primeiro adicionar manualmente um usuário a um grupo específico e
depois instalar o cliente com um grupo preferido atribuído ao mesmo. Faça essa
tarefa associando políticas de grupo durante a criação do pacote. O cliente será
adicionado ao grupo especificado no servidor em vez daquele especificado no
pacote.
Para adicionar clientes como usuários
2 Na página Clientes, em Exibir clientes, localize o grupo ao qual você quer
adicionar um cliente.
Adição de clientes como computador
3 Na guia Clientes, em Tarefas, clique em Adicionar conta de usuário.

4 Em Adicionar usuário para nome do grupo, na caixa de texto Nome do usuário,
digite o nome do novo usuário.
5 Em Nome de domínio, opte por efetuar o logon em um domínio específico ou
no computador local.
6 Na caixa de texto Descrição, digite uma descrição opcional do usuário.
7 Clique em OK.
Adição de clientes como computador

Computadores podem ser adicionados a qualquer grupo no Symantec Endpoint
Protection Manager. O motivo principal para adicionar um computador a um
grupo é o de protegê-lo. As políticas de segurança desse grupo protegem o
computador. Por exemplo, um computador pode estar em em um local vulnerável,
como um saguão público. Nesse cenário, o computador será adicionado a um grupo
de outros computadores públicos. As políticas de segurança aplicadas a esse grupo
serão aplicadas a todos os computadores do grupo.
Esteja ciente dos seguintes fatos quando você adicionar computadores aos grupos:
■ É possível adicionar um computador a mais de um grupo.
■ É necessário saber o nome real do computador e do domínio para poder
adicionar um computador.
■ O tamanho máximo do nome do computador é de 64 caracteres.
■ O tamanho máximo do campo Descrição é de 256 caracteres.
Você pode adicionar manualmente um computador a um grupo específico e instalar
o cliente com um grupo preferencial associado a ele. Faça essa tarefa associando
políticas de grupo durante a criação do pacote. Nesse caso, o cliente será adicionado
ao grupo especificado no servidor. O cliente não será adicionado ao grupo
especificado no pacote de instalação.
Verifique se a adição de clientes aos grupos está bloqueada.
Consulte “Bloqueio da adição de clientes aos grupos” na página 74.
Para adicionar clientes como computadores
2 Na página Clientes, em Exibir clientes, localize o grupo ao qual você quer
adicionar um cliente.
3 Na guia Clientes, em Tarefas, clique em Adicionar conta de computador.
Alternância do cliente entre o modo baseado no usuário e o modo baseado no computador
4 Na caixa de diálogo Adicionar computador, digite o nome do computador e

do domínio aos quais você quer adicionar o computador.
5 Na caixa de texto Descrição, digite opcionalmente uma breve descrição do
computador.
6 Clique em OK.
Alternância do cliente entre o modo baseado no

usuário e o modo baseado no computador
Clientes podem ser executados em dois modos diferentes: modo de computador
ou modo de usuário. O modo baseado no computador sempre tem prioridade sobre
o modo baseado no usuário. O cliente no computador ao qual os usuários fazem
logon usa a política do grupo ao qual o usuário pertence. Esse tipo de alternância
ocorre quando o computador é configurado para o modo de usuário.
Se você passar do modo baseado no usuário para o modo baseado no computador,
considere as seguintes situações:
■ O nome do computador pode ainda não estar em nenhum grupo. A mudança
para o modo de computador exclui o nome de usuário do cliente no grupo e
adiciona o nome do computador do cliente no grupo.
■ O nome do computador do cliente e o nome de usuário estão no mesmo grupo.
A mudança do modo de usuário para o modo de computador exclui o nome de
usuário do grupo e o cliente adota o nome do computador.
■ O nome do computador do cliente está em um grupo diferente daquele do nome
do usuário. A mudança para o modo baseado no computador altera o grupo do
cliente para o grupo do computador. Uma mensagem pop-up informará sobre
a alteração do nome do grupo.
Quando o cliente está no modo de computador, usa a política do grupo ao qual o
computador pertence. A política aplicada é independente de quem faz login no
computador.
Se você passar do modo baseado no computador para o modo baseado no usuário,
considere as seguintes situações:
■ O nome de usuário para logon ainda não está em nenhum grupo. A mudança
para o modo de usuário exclui o nome do computador do cliente no grupo.
Depois, ela adiciona o nome de usuário do cliente ao grupo.
■ O grupo pode conter o nome de usuário do logon do cliente e o nome de usuário
do logon do computador. A mudança do modo de computador para o modo de
usuário exclui o nome do computador no grupo. O cliente adotará o nome do
usuário.
Bloqueio da adição de clientes aos grupos
■ O nome do computador do cliente está em um grupo diferente do nome do

usuário. A mudança para o modo baseado no usuário altera o grupo do cliente
para o grupo do usuário. Uma mensagem pop-up informará sobre a alteração
do nome do grupo.
Como alternar o cliente entre o modo baseado no usuário e o modo baseado no
computador
2 Na página Clientes, em Exibir clientes, selecione o grupo que contém o usuário
ou o computador.
3 Na guia Clientes, clique com o botão direito do mouse na tabela e selecione
Alternar para o modo de computador ou Alternar para o modo de usuário.
Esse modo é uma configuração de alternância, dessa forma um deles sempre
será exibido. As informações na tabela serão alteradas para refletir a nova
configuração.
Bloqueio da adição de clientes aos grupos

É possível configurar pacotes de instalação do cliente com suas associações de
grupo já definidas. Se um grupo for definido no pacote, o cliente será
automaticamente adicionado ao grupo apropriado. O cliente é adicionado na
primeira vez em que se conectar ao servidor de gerenciamento.
É possível ativar o bloqueio se você não quiser que os clientes sejam adicionados
automaticamente a um grupo específico quando conectarem-se à rede.
Nota: A opção de bloqueio impede que usuários sejam automaticamente adicionados

a um grupo. É possível impedir que um novo cliente seja adicionado ao grupo ao
qual foi atribuído no pacote de instalação do cliente. Nesse caso, o cliente será
adicionado ao Grupo temporário. É possível mover manualmente um usuário ou
computador para um grupo bloqueado.
Para bloquear clientes da adição aos grupos

2 Em Exibir clientes, selecione o grupo em que você quer bloquear novos
clientes.
3 Clique na guia Detalhes.
4 Na página Detalhes, em Tarefas, clique em Editar propriedades do grupo.
Como mover clientes entre grupos
5 Na caixa de diálogo Propriedades do grupo para nome do grupo, clique em

Bloquear novos clientes.
6 Clique em OK.
Como mover clientes entre grupos

Você pode mover clientes entre grupos e subgrupos. Os cliente é alternado para
o novo grupo após você movê-lo.
Não é possível mover clientes dentro de uma unidade organizacional. Você pode
copiar clientes de uma unidade organizacional para grupos do Symantec Endpoint
Protection Manager.
Para mover clientes entre grupos
2 Na página Clientes, em Exibir clientes, localize o grupo que contém os clientes
que você quer mover.
3 Na guia Clientes, clique com o botão direito do mouse nos clientes que você
quer mover e clique emMover.
Use a tecla Shift ou Control para selecionar todos os clientes ou apenas clientes
específicos.
4 Na caixa de diálogo Mover grupo: nome do grupo, selecione o grupo para o
qual você quer mover os clientes selecionados.
5 Clique em OK.
Exclusão de clientes
É possível excluir usuários e computadores de qualquer grupo no Symantec
Endpoint Protection Manager. Tenha cuidado ao excluir usuários e computadores.
A exclusão de usuários e computadores pode afetar a política de segurança
executada no cliente.
Por padrão, o Symantec Endpoint Protection Manager exclui automaticamente
os clientes inativos após 30 dias. É possível desativar ou alterar essa opção como
uma configuração de propriedade do site na guia Servidores.
Consulte “Edição das propriedades do site” na página 256.
Um cliente pode estar em execução ao ser manualmente excluído de um grupo.
Na próxima conexão do cliente ao Symantec Endpoint Protection Manager, ele
será registrado novamente, e as regras de registro do cliente serão aplicadas.
Exibição das propriedades de um cliente
Se a estrutura do grupo inclui grupos e unidades organizacionais importadas, e

um cliente está no modo baseado no computador, as seguintes regras aplicam-se:
■ O cliente alterna para uma unidade organizacional se o nome do computador
existir na mesma.
■ O cliente se registra novamente no servidor.
Se o cliente estiver no modo Usuário, estas regras se aplicarão:
■ O cliente alternará para uma unidade organizacional se o nome de usuário
existir na mesma.
■ O cliente se registrará novamente no servidor.
Para excluir clientes
2 Na página Clientes, em Exibir clientes, localize o grupo que contém os clientes
que você quer remover.
3 Na guia Clientes, selecione os clientes que você quer remover.
Use a tecla Shift ou Control para selecionar todos os clientes ou apenas clientes
específicos.
4 Em Tarefas, clique em Excluir clientes.
5 Na caixa de diálogo Excluir, clique em Sim.
Exibição das propriedades de um cliente

Todos os usuários e computadores têm uma página de propriedades. O único
campo que você pode editar é o campo Descrição na guia Geral.
A página inclui estas guias:
■ Geral
Mostra as informações sobre o grupo, o domínio, o nome de logon e a
configuração de hardware do computador.
■ Rede
Mostra informações sobre os servidores DNS, DHCP e WINS e o endereço IP
do computador.
■ Clientes
Mostra as informações recolhidas do computador-cliente. Essas informações
incluem o tipo do cliente executado no computador. Além disso, relaciona
produtos de software específicos e informações sobre a política. Essas
informações incluem a versão de software-cliente, o número de série do perfil
atual, o número de série da assinatura atual e a última hora on-line.
Como procurar clientes
■ Informações do usuário
Mostra as informações sobre a pessoa atualmente conectada ao computador.
Essas informações são preenchidas quando o administrador ativa a coleta de
informações sobre os usuários.
Consulte “Coletar informações do usuário” na página 91.
Para exibir as propriedades de um cliente
2 No painel Exibir clientes, selecione o grupo que contém os clientes cujas
propriedades você deseja exibir.
3 Na guia Clientes, selecione o cliente.
4 Em Tarefas, clique em Editar propriedades.
5 Na caixa de diálogo nome do cliente, você pode exibir as informações sobre o
cliente.
6 Clique em OK.
Como procurar clientes

Talvez seja necessário buscar um cliente específico quando houver muitos grupos
e clientes em seu domínio. Você pode definir os critérios de busca pelos tipos de
dados que o servidor de gerenciamento coleta sobre o cliente e que você solicita
ao usuário.
Nota: Para pesquisar com êxito as informações sobre os clientes, você precisa
coletar as informações do usuário durante a instalação do software-cliente. Estas
informações são mostradas também na guia Geral e na guia Informações do usuário
na caixa de diálogo das propriedades do cliente.
Consulte “Exibição das propriedades de um grupo” na página 71.

Consulte “Coletar informações do usuário” na página 91.
Para procurar clientes
2 Na guia Clientes, em Exibir clientes, escolha o grupo que você quer pesquisar.
3 Em Tarefas, clique em Procurar clientes.
4 Na caixa de diálogo Procurar clientes, na lista suspensa Localizar, selecione
Computadores ou Usuários.
Filtragem da lista de clientes
5 Clique em Procurar para pesquisar um grupo diferente.

6 Na caixa de diálogo Selecionar grupo, selecione o grupo e clique em OK.
7 Em Critério de pesquisa, clique na lista suspensa Campo de pesquisa e
selecione os critérios pelos quais você quer pesquisar.
8 Clique na lista suspensa Comparação e selecione um operador de comparação.
É possível usar operadores booleanos padrão nos critérios da pesquisa.
9 Na célula Valor, digite a string de busca.
10 Clique em Pesquisar.
11 Após terminar a pesquisa de clientes, clique em Fechar.
Filtragem da lista de clientes

Você pode usar os recursos do filtro para controlar que usuários e computadores
aparecem na guia Clientes.
Também é possível selecionar quantos clientes aparecem em cada página. Quando
há várias páginas, é possível navegar pelas mesmas clicando nos ícones Avançar
ou Anterior. Também é possível ir direto para uma determinada página digitando
seu número no campo Número da página.
Para filtrar a lista de clientes
2 No painel Exibir clientes, selecione o grupo que você deseja pesquisar.
3 No painel Tarefas, clique em Definir filtro de exibição.
4 Na caixa de diálogo Definir filtro de exibição, selecione uma das seguintes
opções:
■ Exibir todos os usuários e computadores
■ Exibir todos os usuários
■ Exibir todos os computadores
■ Exibir o status on-line (indicado por uma luz verde ao lado do nome do
usuário)
5 Defina o número de clientes que aparecem a um número entre 1 e 5000.

6 Clique em OK.
Capítulo 4
Gerenciamento de
administradores
■ Sobre os administradores
■ Sobre o gerenciamento de administradores
■ Adição de um administrador
■ Alternância entre um administrador não limitado e um limitado e configuração

dos direitos de acesso
■ Bloqueio de uma conta de administrador após várias tentativas de logon
■ Autenticação de administradores
■ Como renomear um administrador
■ Alteração da senha do administrador
■ Remoção de um administrador
Sobre os administradores
O Symantec Endpoint Protection Manager usa administradores para implementar
a sua funcionalidade. São usados três tipos de funções de administradores:
administrador do sistema, administrador e administrador limitado. Cada função
de administrador tem diferentes conjuntos de privilégios e tarefas a realizar.
O administrador do sistema é o administrador super do sistema. Um administrador
designado como administrador do sistema pode fazer qualquer coisa no sistema.
Um administrador está um nível abaixo de um administrador do sistema. O
80 Gerenciamento de administradores
Sobre o gerenciamento de administradores
administrador é o administrador super dentro do domínio que gerencia. Ele não

pode criar nem excluir domínios. Ele também não pode acessar servidores de
gerenciamento nem servidores do Enforcer. Os administradores limitados executam
o trabalho que for designado a eles pelo administrador do sistema ou pelo
administrador. Além disso, podem configurar seus próprios atributos, inclusive
configurações de segurança e configurações de notificação.
O Tabela 4-1 relaciona as responsabilidades para cada função de administrador.
Tabela 4-1 Funções e responsabilidades dos tipos de administrador
Função do administrador Responsabilidades
Administrador do sistema ■ Gerencia domínios.

■ Cria e gerencia administradores do sistema,
administradores e administradores limitados.
■ Gerencia servidores.
Administrador ■ Gerencia um domínio único

■ Cria administradores e administradores limitados
dentro do domínio.
■ Exclui e modifica os administradores que são criados
dentro de um domínio único.
■ Muda os atributos para os administradores que são
criados no domínio. Esses atributos incluem
notificações, segurança e configurações de permissão.
Administrador limitado ■ Gerencia direitos de acesso, direitos de relatório e

configurações de notificação para grupos específicos
dentro de um domínio único.
■ Executa o trabalho que o administrador do sistema ou
o administrador atribui.
■ Não pode criar, excluir ou modificar domínios ou outros
administradores.
■ Não pode mudar os direitos de acesso do administrador
limitado.
■ Não pode configurar o servidor de gerenciamento ou
o servidor Enforcer.
Sobre o gerenciamento de administradores

Você pode criar três tipos de administradores que são usados: administradores
do sistema, administradores e administradores limitados. Os administradores e
os administradores limitados são ambos administradores de domínio.
Gerenciamento de administradores 81
Adição de um administrador
Os administradores do sistema podem visualizar e modificar todo o sistema,

enquanto que os administradores só podem visualizar e modificar seus próprios
domínios. Os administradores do sistema têm acesso integral a todas as páginas
e guias do Symantec Endpoint Protection Manager. Os administradores só têm
privilégios de relatórios. Eles não têm acesso a domínios ou servidores e você pode
limitar acesso a outras opções.
As tarefas que um administrador pode executar dependem do tipo de
administrador. Por exemplo:
■ Um administrador do sistema vê todos os outros administradores do sistema,
todos os administradores e todos os administradores limitados que estão
associados ao domínio atual.
■ Um administrador vê o domínio e os administradores limitados associados ao
domínio que o administrador administra atualmente.
■ Um administrador limitado vê somente a si mesmo.
Quando você instala o Symantec Endpoint Security Manager, é criado um
administrador padrão do sistema chamado admin.
Você pode visualizar todos os administradores que gerenciam o domínio no qual
estão conectados. Essa lista inclui todos os administradores do sistema, os
administradores e os administradores limitados.
À medida que sua rede expande ou se altera, você pode achar que o número de
administradores é insuficiente para atender às suas necessidades. Nesse ponto,
é possível adicionar um ou mais administradores. Quando você adiciona um
administrador, especifica os recursos e restrições deste. Como um administrador
do sistema, você pode adicionar um outro administrador do sistema, administrador
ou administrador limitado.
Consulte Tabela 4-1 na página 80.
A seguinte lista contém informações adicionais sobre como criar administradores
do sistema:
■ Os administradores do sistema têm direitos de acesso total. Você também pode
adicionar administradores e administradores limitados, ambos os quais têm
direitos de acesso muito limitados.
■ Quando não se atribui nenhum direito de acesso ao administrador, este é criado
em um estado desativado e não pode efetuar o login.
Para adicionar um administrador

1 No console do Symantec Endpoint Protection Manager, clique em Admin.
2 Na página Admin, em Tarefas, clique em Administradores e, em seguida, em
Adicionar administrador.
3 Na caixa de diálogo Adicionar administrador, digite o nome do administrador.
Esse nome é o nome com o qual o administrador faz o logon e pelo qual o
administrador é conhecido dentro do aplicativo.
4 Opcionalmente, digite o nome completo do administrador na segunda caixa
de texto.
Esse campo é usado apenas para fins de informação.
5 Digite duas vezes a senha.
A senha deve conter seis ou mais caracteres, todos os caracteres são
permitidos.
6 Especifique o tipo de autenticação.
O valor padrão é Autenticação do servidor de gerenciamento Symantec. Se
quiser utilizar o valor padrão, vá para a etapa 9.
7 Se quiser alterar para outro tipo de autenticação, clique Alterar.
8 Na caixa de diálogo Autenticação do administrador, escolha uma das seguintes
opções:
■ Autenticação do servidor de gerenciamento Symantec
■ Autenticação RSA SecurID
Consulte “Configuração do Symantec Endpoint Protection Manager para
usar a autenticação RSA SecurID” na página 284.
■ Autenticação de diretório
Depois digite o servidor de diretório e o nome da conta nas caixas de texto
apropriadas.
9 Selecione um dos seguintes tipos de administrador:

■ Administrador do sistema, depois vá para a etapa 12.
■ Administrador, depois vá para a etapa 10.
■ Administrador limitado, depois vá para a etapa 11.
Alternância entre um administrador não limitado e um limitado e configuração dos direitos de acesso
10 Se você selecionou Administrador, clique em Direitos de relatório para

especificar quais relatórios o administrador pode executar, com base em
computadores, endereços IP, grupos de servidores, grupos de clientes e em
servidor pai.
Vá para a etapa 12.
11 Se você selecionou Administrador limitado, você pode especificar direitos de
acesso realizando uma ou mais das seguintes ações:
■ Selecione Exibir relatórios e clique em Direitos de relatórios.
■ Selecione Gerenciar clientes e clique em Direitos do grupo.
Você pode especificar quais grupos o administrador não tem o acesso
completo, acesso somente leitura ou o nenhum acesso.
■ Clique em Gerenciar políticas.
Você pode autorizar o administrador a criar somente políticas não
compartilhadas para um local clicando em Permitir apenas edição de
política específica do local.
12 Clique em OK.
Alternância entre um administrador não limitado e

um limitado e configuração dos direitos de acesso
Você pode mudar um administrador não limitado para um administrador limitado,
bem como mudar um administrador limitado para um administrador não limitado.
Também é possível mudar os direitos de acesso e as restrições de relatório para
administradores e administradores limitados.
Para alternar entre um administrador não limitado e um limitado e configurar os
direitos de acesso
2 Na página Admin, clique em Administradores.
3 Em Exibir administradores, selecione o administrador.
4 Em Tarefas, clique em Editar propriedades do administrador e clique em
Direitos de acesso.
5 Na guia Direitos de acesso, realize uma das seguintes tarefas:
■ Selecione Administrador e vá para a etapa 7.
Se você migrou do Symantec AntiVirus 10.x ou de versões anteriores e
quer que o administrador execute relatórios para estes grupos de
servidores migrados, clique em Direitos de relatórios.
Bloqueio de uma conta de administrador após várias tentativas de logon
■ Selecione Administrador limitado.
6 Realize uma das seguintes ações:

■ Selecione Exibir relatórios e clique em Direitos de relatórios.
■ Selecione Gerenciar clientes e clique em Direitos do grupo.
Você pode especificar o nível de acesso que o administrador tem nos
grupos.
■ Selecione Gerenciar políticas.
Para limitar o administrador a criar somente políticas não compartilhadas
para um local, clique em Permitir apenas edição de política específica
do local.
7 Clique em OK.
Bloqueio de uma conta de administrador após várias

tentativas de logon
Você pode bloquear a conta do administrador se você pensar que um usuário fez
muitas tentativas de log on no servidor de gerenciamento. Você pode também
configurar o servidor de gerenciamento para enviar uma mensagem de e-mail ao
administrador, de modo a notificá-lo depois que o administrador for bloqueado.
Esta capacidade será útil se a pessoa que fizer o login não for o administrador.
Você pode definir as seguintes configurações para bloquear a conta de um
administrador:
■ Falha no login. O valor da tentativa é redefinido para 0 depois que o
administrador faz log on e, posteriormente, logoff com sucesso.
■ O administrador tem um número certo de tentativas para fazer log on outra
vez posteriormente. Depois que o administrador atinge o limite de tentativas
de logon malsucedidas, a conta é bloqueada. O administrador deve então esperar
o número especificado de minutos antes de fazer logon novamente.
Para bloquear a conta de um administrador após várias tentativas de logon
4 Em Tarefas, clique em Editar propriedades do administrador.
Autenticação de administradores
5 Na guia Geral, na caixa de texto E-mail, digite o endereço de e-mail do

administrador.
O servidor de gerenciamento enviará uma mensagem de e-mail para este
endereço quando o servidor de gerenciamento bloquear a conta do
administrador. Você deve marcar a caixa de seleção Enviar alerta de e-mail
quando a conta estiver bloqueada para enviar a mensagem de e-mail.
6 Em Limite de tentativas de login, mova o regulador para definir o número de
tentativas incorretas permitidas para logon.
7 Para bloquear a conta quando o administrador exceder o número de tentativas
do logon, clique em Bloquear esta conta quando tentativas de login
excederem o limite.
8 Para enviar uma mensagem de e-mail para o administrador após o servidor
de gerenciamento bloquear o administrador, marque Enviar alerta de e-mail
quando a conta estiver bloqueada e defina então o número de minutos.
9 Clique em OK.
Autenticação de administradores
Quando você adiciona um administrador, pode especificar qual software de
autenticação o servidor de gerenciamento deve usar para autenticar as contas do
administrador.
Você pode autenticar administradores usando o servidor de gerenciamento com
o RSA SecurID. Deve-se verificar se há um Servidor RSA e se o servidor do RSA
SecurID já foi instalado e configurado em um computador separado. Verifique
também se o RSA SecurID consegue se comunicar com o Agente do SecurID.
Você pode ativar a segurança RSA para contas do administrador no Symantec
Os seguintes mecanismos para efetuar logon no RSA a seguir têm suporte:
■ Token do RSA SecurID (não tokens do RSA do software)
■ Cartão do RSA SecurID
■ Cartão do teclado numérico do RSA (não cartões inteligentes do RSA)
Para autenticar administradores
Como renomear um administrador
4 Em Tarefas, clique em Editar propriedades do administrador e clique em

Autenticação.
5 Na guia Autenticação, selecione uma das seguintes opções da autenticação
que você quer usar para autenticar a conta do administrador:
■ Autenticação do servidor de gerenciamento Symantec
■ Autenticação RSA SecurID
Consulte “Configuração do Symantec Endpoint Protection Manager para
usar a autenticação RSA SecurID” na página 284.
■ Autenticação de diretório
Em seguida, digite o servidor do diretório e o nome da conta do
administrador.
6 Clique em OK.
Como renomear um administrador

Para alterar as atribuições e responsabilidades organizacionais, você pode alterar
o nome dado a um administrador.
Para renomear um administrador
3 Em Exibir administradores, selecione o administrador para renomear.
4 Em Tarefas, clique em Renomear administrador.
5 Na caixa de diálogo Renomear administrador de nome, altere o nome e clique
em OK.
Alteração da senha do administrador

Para fins de segurança, convém alterar a senha do administrador.
Quando você configurar pela primeira vez o servidor de gerenciamento no
Assistente de Configuração do servidor de gerenciamento, você poderá selecionar
uma instalação simples ou avançada. Se você selecionar a instalação simples, a
senha que você digitar será a mesma que a senha de criptografia. Se você alterar
agora a senha do administrador, a senha de criptografia não será alterada.
Remoção de um administrador
Para alterar a senha do administrador

4 Em Tarefas, clique em Alterar senha do administrador.
5 Digite e confirme a nova senha.
A senha deve conter pelo menos seis caracteres e todos os caracteres estão
permitidos.
6 Clique em OK.
É possível remover um administrador quando esse administrador não for mais
necessário.
Para remover um administrador
3 Em Exibir administradores, selecione o administrador a ser removido.
4 No painel Tarefas, clique em Excluir administrador.
5 Na caixa de diálogo Excluir administrador de nome, clique em Sim para
confirmar que deseja remover este administrador.
Capítulo 5
Como trabalhar com
pacotes de instalação de
clientes
■ Sobre os pacotes de instalação do cliente
■ Configuração das opções de pacotes de instalação do cliente
■ Exportação de pacotes de instalação do cliente
■ Como adicionar atualizações de pacotes de instalação e fazer upgrade de clientes
■ Exclusão de pacotes de upgrade
Sobre os pacotes de instalação do cliente

Para gerenciar computadores com o console do Symantec Endpoint Protection
Manager, exporte ao menos um pacote de instalação do cliente para um servidor
de gerenciamento no site. Depois de exportar o pacote de instalação do cliente,
instale os arquivos do pacote nos computadores-cliente. É possível exportar pacotes
para clientes gerenciados pela Symantec, por terceiros e para clientes não
gerenciados.
Você pode usar o console do Symantec Endpoint Protection Manager para exportar
estes pacotes como um único arquivo executável ou como uma série de arquivos
em um diretório. O método escolhido dependerá do método de implementação e
se você deseja fazer o upgrade do software-cliente em grupos a partir do console
de gerenciamento. O único executável está disponível para ferramentas de
instalação de terceiros ou para potencial conservação de largura de banda.
90 Como trabalhar com pacotes de instalação de clientes
Configuração das opções de pacotes de instalação do cliente
Normalmente, se você usar o objeto da política do grupo do Active Directory, você

não escolherá fazer a exportação para um único arquivo executável.
Durante o processo de exportação, selecione os pacotes de instalação de 32 ou 64
bits fornecidos por padrão. Em seguida, selecione, opcionalmente, as tecnologias
de proteção de cliente específicas para instalar, caso não deseje instalar todos os
componentes. Também é possível especificar como a instalação interage com os
usuários finais. Finalmente, instale os arquivos exportados (um pacote) nos
computadores, um de cada vez, ou implemente os arquivos exportados em vários
computadores simultaneamente.
Para opções de implementação de instalação em cliente, consulte o Guia de
Instalação do Symantec Endpoint Protection e do Symantec Network Access Control
no CD.
Ocasionalmente, a Symantec oferece pacotes atualizados de arquivos de instalação.
Quando um software-cliente é instalado em computadores-cliente, você pode
automaticamente atualizar o software-cliente em todos os clientes de um grupo
com o recurso de upgrade automático. Você não precisa implementar novamente
o software com ferramentas de implementação de instalação.
Configuração das opções de pacotes de instalação do

cliente
Ao exportar pacotes de instalação do cliente, é possível selecionar quais
componentes de cliente serão instalados e como isso será feito. Você pode,
opcionalmente, solicitar que os usuários enviem informações sobre eles, o que
será exibido como propriedades para os computadores no console.
Configuração dos recursos de pacote de instalação

Os recursos de instalação são os componentes do cliente que estão disponíveis
para instalação. Por exemplo, se pacotes do Symantec Endpoint Protection forem
criados, será possível selecionar a instalação de recursos antivírus e de firewall.
Também é possível selecionar apenas a instalação do recurso antivírus.
Você deve nomear cada conjunto de seleções. Depois, você seleciona um conjunto
de recursos denominado ao exportar pacotes de software-cliente de 32 ou 64 bits.
Para configurar recursos de pacote de instalação
1 No console, clique em Admin e, em seguida, clique em Instalar pacotes.
2 Em Exibir pacotes de instalação, clique em Conjunto de recursos de instalação
do cliente.
Como trabalhar com pacotes de instalação de clientes 91
Configuração das opções de pacotes de instalação do cliente
3 Em Tarefas, clique em Adicionar conjunto de recursos de instalação do

cliente.
4 Na caixa de diálogo Adicionar recursos de instalação de cliente, na caixa
Nome, digite um nome.
5 Na caixa Descrição, digite uma descrição do conjunto de recursos de instalação
de cliente.
6 Para obter detalhes sobre a definição de outras opções nessa caixa de diálogo,
clique em Ajuda.
7 Clique em OK.
Definição das configurações do pacote de instalação do cliente

As configurações de instalação afetam o modo como o software de instalação do
cliente é instalado em computadores-cliente. Você deve nomear cada conjunto de
seleções. Depois, você seleciona um conjunto denominado de configurações de
pacote ao exportar pacotes de software-cliente de 32 ou 64 bits.
Para definir as configurações do pacote de instalação do cliente
1 Na guia Admin, no painel esquerdo inferior, clique em Instalar pacotes.
2 Em Exibir pacotes de instalação, clique em Adicionar configurações de
instalação do cliente.
3 Em Tarefas, clique em Adicionar configurações de instalação do cliente .
4 Na caixa de diálogo Configurações de instalação do cliente, na caixa Nome,
digite um nome.
clique em Ajuda.
6 Clique em OK.
Coletar informações do usuário

Você pode solicitar que os usuários em computadores-cliente digitem informações
pessoais durante o processo de instalação do software-cliente ou durante
atualizações de políticas. É possível coletar informações como o número de telefone
móvel do funcionário, a posição e o endereço de e-mail. Após reunir essas
informações, você deve mantê-las e atualizá-las manualmente.
Exportação de pacotes de instalação do cliente
Nota: Após ativar a mensagem para que seja exibida pela primeira vez no
computador-cliente e o usuário responder com as informações solicitadas, a
mensagem não será exibida novamente. Mesmo se você editar alguns campos ou
desativar e reativar a mensagem, o cliente não mostrará uma nova mensagem.
Porém, o usuário poderá editar as informações em qualquer momento e o servidor
de gerenciamento vai recuperar essa informações.
Para coletar informações do usuário

2 Em Exibir pacotes de instalação, clique em Pacotes de instalação do cliente.
3 No painel Pacotes de instalação do cliente, clique no pacote que deseja coletar
informações do usuário.
4 Em Tarefas, clique em Definir a coleta de informações sobre o usuário.
5 Na caixa de diálogo Definir coleção de informações sobre o usuário, marque
Coletar informações do usuário.
6 No campo de entrada Mensagem pop-up, digite a mensagem que deseja que
os usuários leiam quando as informações forem solicitadas.
7 Se você deseja que o usuário tenha a capacidade de adiar a coleta de
informações, marque Ativar Lembrar-me mais tarde e defina o tempo em
minutos.
8 Em Selecionar campos, exibidos ao usuário para a entrada, escolha o tipo de
informações a coletar e depois clique em Adicionar.
Você pode marcar um ou mais campos simultaneamente, pressionando a tecla
Shift ou a tecla Control.
9 Na coluna Opcional, marque a caixa de seleção ao lado de todos os campos
que deseja definir como opcionais para o preenchimento pelo usuário.
10 Clique em OK.

Quando você exportar pacotes de software-cliente, serão criados arquivos de
instalação do cliente para a implementação. Ao exportar pacotes, é preciso procurar
um diretório que conterá os pacotes exportados. Caso especifique um diretório
inexistente, ele será automaticamente criado. O processo de exportação cria
subdiretórios com nomes descritivos no diretório e coloca os arquivos de instalação
nos subdiretórios.
Por exemplo, se você criar um pacote de instalação para um grupo chamado

MeuGrupo em Global, será criado um diretório chamado Global_MeuGrupo. Esse
diretório conterá o pacote de instalação exportado.
Nota: Essa convenção de denominação não faz a distinção entre pacotes de

instalação do cliente do Symantec Endpoint Protection e do Symantec Network
Access Control. O nome de um pacote exportado para um único executável é
setup.exe para o Symantec Endpoint Protection e o Symantec Network Access
Control. Portanto, certifique-se de criar uma estrutura de diretórios que permita
distinguir entre os arquivos de instalação do Symantec Endpoint Protection e do
Symantec Network Access Control.
Há uma decisão importante a fazer ao exportar pacotes. Você deve decidir se um

pacote de instalação será criado para clientes gerenciados ou não gerenciados. Se
criar um pacote para clientes gerenciados, será possível gerenciá-los com o console
do Symantec Endpoint Protection Manager. Se criar um pacote para clientes não
gerenciados, não será possível gerenciá-los com o console do Symantec Endpoint
Protection Manager.
Nota: Se você exportar pacotes de instalação do cliente a partir de um console

remoto do Symantec Endpoint Protection Manager, os pacotes serão criados no
computador no qual o console de gerenciamento remoto for executado. Além
disso, se vários domínios forem usados, exporte os pacotes para cada domínio ou
eles não aparecerão como disponíveis para os grupos de domínio.
Depois de exportar um ou mais pacotes de instalação de arquivos, implemente os

arquivos de instalação nos computadores-cliente.
Para obter mais detalhes sobre a instalação de software-cliente, consulte o Guia
de Instalação do Symantec Endpoint Protection e do Symantec Network Access
Control no CD.
Para exportar pacotes de instalação do cliente
2 Em Exibir pacotes de instalação, clique em Pacotes de instalação do cliente.
3 No painel Pacotes de instalação do cliente, em Nome do pacote, clique no
pacote a exportar.
4 No painel inferior esquerdo, em Tarefas, clique em Exportar pacote de
5 Na caixa de diálogo Exportar pacote, clique em Procurar.
Como adicionar atualizações de pacotes de instalação e fazer upgrade de clientes
6 Na caixa de diálogo Selecionar a pasta para exportação, procure e selecione

o diretório para conter o pacote exportado; em seguida, clique em OK.
Diretórios com caracteres de dois bytes ou high-ASCII não são aceitos e são
bloqueados.
7 Na caixa de diálogo Exportar pacote, defina as demais opções de acordo com
seus objetivos de instalação.
clique em Ajuda.
9 Clique em OK.
Como adicionar atualizações de pacotes de instalação

e fazer upgrade de clientes
Quando a Symantec oferece atualizações para pacotes de instalação do cliente,
adicione-os primeiro ao Symantec Endpoint Protection Manager e disponibilize-os
para exportação. Entretanto, não é necessário instalá-los com ferramentas de
implementação de cliente. A maneira mais fácil de atualizar clientes em grupos
com o software mais recente é usar o console para atualizar o grupo que contém
os clientes. Primeiro, é preciso atualizar um grupo com um pequeno número de
computadores de teste. Também é possível atualizar clientes com o LiveUpdate,
se você permitir que os clientes executem o LiveUpdate e se a política de
configurações do LiveUpdate permitir atualizações.
Adição de atualizações de pacotes de instalação do cliente

Receba atualizações de pacotes de instalação do cliente da Symantec e, então,
adicione-as ao banco de dados do site para disponibilizá-las para distribuição do
Symantec Endpoint Protection Manager. Você também pode exportar os pacotes
durante esse procedimento para disponibilizar o pacote para implantação em
computadores que não contenham software-cliente.
Nota: Um pacote de instalação importado consiste em dois arquivos. Um arquivo

denominado nome_do_produto.dat e o outro arquivo denominado
nome_do_produto.info.
Para adicionar uma atualização de pacote de instalação do cliente

1 Copie o pacote para um diretório no computador que executa o Symantec
Como adicionar atualizações de pacotes de instalação e fazer upgrade de clientes
3 Em Tarefas, clique em Instalar pacotes.

4 Em Tarefas, clique em Adicionar pacote de instalação do cliente.
5 Na caixa de diálogo Adicionar pacote de instalação do cliente, digite um nome
e uma descrição para o pacote.
6 Clique em Procurar.
7 Na caixa de diálogo Selecione a pasta, localize e selecione o arquivo
nome_do_produto.info para o novo pacote e, então, clique em Selecionar.
8 Quando o prompt Concluído com sucesso for exibido, proceda de uma das
seguintes maneiras:
■ Se não deseja exportar os arquivos de instalação e disponibilizá-los para
implantação, clique em Fechar.
Você concluiu esse procedimento.
■ Se não deseja exportar os arquivos de instalação e disponibilizá-los para
implantação, clique em Exportar este pacote e, então, conclua esse
procedimento.
9 Na caixa de diálogo Exportar pacote, clique em Procurar.

10 Na caixa de diálogo Selecionar a pasta para exportação, procure e selecione
o diretório para conter o pacote exportado; em seguida, clique em OK.
11 Na caixa de diálogo Exportar pacote, selecione um grupo e defina, então, as
outras opções de acordo com seus objetivos de instalação.
clique em Ajuda.
13 Clique em OK.
Upgrade de clientes em um ou mais grupos

É possível atualizar clientes em um ou mais grupos no painel Admin e no painel
Cliente.
Nota: Você tem muito mais controle sobre o modo como o pacote é distribuído se
atualizar os clientes no painel Clientes.
Para atualizar clientes em um ou mais grupos na página Admin

1 Se não fez isso, exiba o painel Pacotes de instalação do cliente, completando
as seguintes etapas:
■ No console, clique em Admin.
Exclusão de pacotes de upgrade
■ Em Tarefas, clique em Instalar pacotes e depois em Fazer upgrade de

grupo com pacotes.
2 No painel Fazer upgrade do Assistente de Grupos, clique em Avançar.

3 No painel Selecionar o pacote de instalação do cliente, em Selecione o novo
pacote de instalação do cliente, selecione o pacote que você adicionou e, em
seguida, clique em Avançar.
4 No painel Especificar os grupos, marque os grupos dos quais deseja fazer um
upgrade e, então, clique em Avançar.
5 No painel Configurações do upgrade do pacote, marque Fazer download do
servidor de gerenciamento e, então, clique em Avançar.
6 No painel Assistente de Upgrade dos grupos concluído, clique em Concluir.
Para atualizar clientes em um ou mais grupos na página Clientes
2 No painel Exibir clientes, selecione o grupo ao qual você atribuiu o pacote.
3 Na guia Instalar pacotes, em Tarefas, clique em Adicionar pacote de
4 Nas guias Geral e Notificação, selecione as opções que controlam como você
deseja distribuir a atualização.
Para obter detalhes sobre a definição de outras opções, clique em Ajuda.
5 Após concluir a configuração das opções de distribuição de atualizações,
clique em OK.

Os pacotes de upgrade são armazenados no banco de dados. Cada um desses
pacotes de upgrade exige até 180 MB do espaço do banco de dados; assim, você
deve excluir os pacotes de upgrade de software mais antigos que não são mais
necessários. Você não deve excluir pacotes do sistema de arquivos; eles são
excluídos somente do banco de dados. Portanto, é possível adicioná-los novamente
se forem necessários no futuro.
Nota: Não exclua os pacotes instalados em computadores-cliente.
Para excluir pacotes de upgrade

2 Em Tarefas, clique em Instalar pacotes.
3 No painel Pacotes de instalação do cliente, selecione o pacote a ser excluído.

4 Em Tarefas, clique em Excluir pacote de instalação do cliente.
5 Na caixa de diálogo Excluir pacote de instalação do cliente, clique em Avançar.
Capítulo 6
Atualização de definições e
conteúdo
■ Sobre o LiveUpdate e a atualização de definições e conteúdo
■ Configuração de um site para fazer o download de atualizações
■ Configuração de políticas do LiveUpdate
■ Opções avançadas de distribuição de atualização
Sobre o LiveUpdate e a atualização de definições e

conteúdo
LiveUpdate é o nome da tecnologia que verifica e distribui atualizações de
definições e conteúdo para computadores-cliente. Essas atualizações incluem
definições de vírus e spyware, assinaturas IPS, atualizações de produto e
assemelhados para clientes Symantec Endpoint Protection. É possível permitir
que usuários finais executem o LiveUpdate em computadores-cliente e agendar
a execução do LiveUpdate em computadores-cliente em horários específicos.
Quando o LiveUpdate é executado e determina que são necessárias atualizações,
ele faz o download e instala as atualizações para as quais está configurado e tem
permissão para executar.
No Symantec Endpoint Protection, duas políticas controlam como e quando essas
atualizações são distribuídas aos clientes e controlam os tipos de atualização. Com
a primeira política, é definido o servidor de atualização usado pelos
computadores-cliente e com que freqüência os clientes verificarão atualizações
no servidor. Com a segunda política, é definido o tipo de atualizações que você
100 Atualização de definições e conteúdo
Sobre o LiveUpdate e a atualização de definições e conteúdo
deseja que os clientes obtenham por download a partir do servidor. Apenas o

primeiro tipo de política é compatível com o Symantec Network Access Control.
Sobre arquiteturas de distribuição de rede de atualização

Diversas arquiteturas de rede estão disponíveis para clientes de atualização. O
modo como você faz a arquitetura da rede depende da disponibilidade e da
conservação da largura de banda. Redes muito pequenas podem agendar clientes
para obter atualizações diretamente da Symantec. Redes pequenas e médias de
até dois mil clientes podem usar o padrão. O padrão é de que o Symantec Endpoint
Protection Manager obtenha as atualizações do servidor do Symantec LiveUpdate
e, então, forneça essas atualizações aos clientes gerenciados. Redes maiores podem
introduzir provedores de atualizações de grupos.
A Figura 6-1 ilustra essas opções de arquiteturas relativamente simples.
Figura 6-1 Opções simples de arquitetura de distribuição de atualizações
Symantec LiveUpdate
Servidor de Servidor de
Grupo de clientes gerenciamento gerenciamento
Provedor de
atualizações do
Grupos de grupo (cliente)
clientes
Clientes
Grupo de clientes
O provedor de atualizações de grupos é uma opção que pode ser usada em qualquer
grupo. Ao criar uma política do LiveUpdate para o grupo, é possível especificar
Atualização de definições e conteúdo 101
um cliente para fazer o download das atualizações. Você pode enviar as

atualizações aos outros clientes no grupo. O provedor de atualizações de grupos
não precisa estar no grupo e pode atualizar vários grupos.
Em redes grandes, com mais de 10.000 clientes, um servidor interno do LiveUpdate
é disponibilizado para conservar a largura de banda. Essa arquitetura mantém o
poder de processamento no servidor de gerenciamento. Nesse caso, você pode
configurar o servidor interno do LiveUpdate para fazer o download de atualizações
de um servidor Symantec LiveUpdate e, então, enviar atualizações a
computadores-cliente. Com essa arquitetura, o servidor de gerenciamento transfere
a funcionalidade de atualização, mas ainda processa registros e atualizações de
políticas. O servidor interno do LiveUpdate também é útil para redes que executam
vários produtos da Symantec que também executam o LiveUpdate para atualizar
clientes.
A Figura 6-1 ilustra essas opções de arquiteturas mais complexas.
Figura 6-2 Opções mais complexas de arquitetura de distribuição de

atualizações
Symantec LiveUpdate
Servidor do LiveUpdate Servidor do LiveUpdate
Servidor de
gerenciamento
Grupos de
clientes
Grupos de
clientes
Nota: Duas opções adicionais de arquitetura estão disponíveis. Uma opção fornece
ao gerenciamento de terceiros ferramentas como o Microsoft SMS e o IBM Tivoli.
A outra opção abastece o servidor proxy colocado entre o servidor interno do
LiveUpdate e os servidores e clientes de gerenciamento por ele atualizados. Para
obter mais detalhes sobre servidor proxy, consulte o Guia do Administrador do
LiveUpdate no CD de instalação.
A Tabela 6-1 descreve as opções de arquitetura mais comuns.
Tabela 6-1 Opções de arquitetura de distribuição de atualizações
Arquitetura Descrição Quando usá-lo
Symantec Endpoint Por padrão, os gerenciadores Symantec Inicialmente, use essa arquitetura, pois ela
Protection Managers Endpoint Protection Manager atualizam os é o método mais fácil de implementar, sendo
para clientes clientes por eles gerenciados e os servidores instalada e configurada por padrão depois
de gerenciamento extraem essas da instalação do servidor de gerenciamento.
(Padrão)
atualizações do banco de dados do site. Também é possível combinar esse método
Normalmente, os bancos de dados recebiam com um provedor de atualizações de grupos.
atualizações de um servidor do Symantec
LiveUpdate.
Provedor de atualizações Um provedor de atualizações de grupos é Use esse método para grupos no mesmo
de grupos para clientes um cliente que atua como um proxy entre o local em locais remotos com largura de
Symantec Endpoint Protection Manager e banda mínima. Esse método reduz também
os clientes no grupo. O provedor de a carga nos servidores de gerenciamento.
atualizações de grupos recebe atualizações
de um servidor de gerenciamento ou do
LiveUpdate e, então, encaminha as
atualizações para os outros clientes no
grupo. Um provedor de atualizações de
grupos pode atualizar vários grupos.
Servidor do LiveUpdate Os clientes podem obter atualizações Utilize o servidor externo do Symantec
para clientes diretamente de um servidor do LiveUpdate. LiveUpdate para os computadores-cliente
O servidor do LiveUpdate pode ser um não gerenciados que não estão sempre
servidor externo do Symantec LiveUpdate conectados à rede corporativa. Utilize o
ou um servidor interno do LiveUpdate, que servidor interno do LiveUpdate em grandes
recebe atualizações de um servidor externo redes para reduzir a carga no servidor do
da Symantec. Symantec Endpoint Protection Manager.
Nota: Não configure grandes números de
clientes gerenciados conectados à rede para
obter atualizações de um servidor externo
do Symantec LiveUpdate. Essa configuração
consome quantidades desnecessárias de
largura de banda de gateway da Internet.
Arquitetura Descrição Quando usá-lo
Distribuição de Ferramentas de terceiros, como Microsoft Use esse método quando desejar testar
ferramentas de terceiros SMS, permitem distribuir arquivos de arquivos de atualização antes de
atualização específicos para clientes. É distribuí-los. Use esse método se você tem
(Não ilustrado)
possível recuperar arquivos com extração uma infra-estrutura de distribuição de
automática do Intelligent Updater do ferramentas de terceiros e deseja
website da Symantec que contêm arquivos aproveitá-la.
de definições de vírus e risco à segurança
com extensões jdb e vdb. As extensões ldb
não são mais aceitas. Para receber outros
arquivos de atualização, é necessário definir
e configurar um servidor do Symantec
Endpoint Protection Manager para fazer o
download e implantar arquivos de
atualização.
Sobre tipos de atualizações

Por padrão, computadores-cliente recebem todos os últimos tipos de atualização,
a menos que seja aplicada uma política que restrinja ou proíba os tipos de
atualização. Se um grupo usa o Symantec Endpoint Protection Manager para
distribuir as atualizações (o padrão), então o servidor de gerenciamento também
deve ser configurado para fazer o download das mesmas atualizações. Caso
contrário, essas atualizações não estarão disponíveis para distribuição em grupo.
A Tabela 6-2 apresenta e descreve os tipos de atualizações.
Tabela 6-2 Tipos de atualização
Tipo de atualização Descrição
Definições de antivírus e Essas definições contêm dois tipos de atualizações:

anti-spyware atualização de versão completa e atualização delta direta.
O tipo de atualização é incluído no pacote de atualização.
Pacotes separados de definição de vírus estão disponíveis
para as plataformas x86 e x64.
Assinaturas do decompositor Essas assinaturas aceitam mecanismo de proteção antivírus

e anti-spyware e são usadas para decompor e ler os dados
armazenados em vários formatos.
Assinaturas heurísticas da Essas assinaturas protegem contra ameaças de ataque de

verificação proativa de dia zero.
ameaças TruScan
Configuração de um site para fazer o download de atualizações
Tipo de atualização Descrição
Lista de aplicativos Essas listas de aplicativos são aplicativos comerciais

comerciais da verificação legítimos que geraram falsos positivos anteriormente.
proativa de ameaças TruScan
Assinaturas de prevenção de Essas assinaturas protegem contra ameaças de rede e

intrusões aceitam mecanismos de prevenção e detecção de intrusões.
Assinaturas de controle de Essas assinaturas controlam o fluxo de envios ao Symantec

envio Security Response.
Configuração de um site para fazer o download de

atualizações
A configuração e o agendamento de downloads de atualizações é um processo de
duas etapas. Primeiro, você configura um site para fazer o download das
atualizações. O site deve conter as atualizações distribuídas para os clientes. As
atualizações são distribuídas para os clientes conforme especificado nas políticas
do LiveUpdate que são aplicadas aos locais em um grupo.
Ao configurar um site para o download de atualizações, você faz as seguintes
decisões:
■ Com que freqüência verificar as atualizações.
■ Que tipos de atualizações obter por download.
As políticas do LiveUpdate também especificam que tipos de atualizações serão
obtidas por download para os clientes. Certifique-se de que o site faça o
download de todas as atualizações especificadas nas políticas do LiveUpdate
do cliente.
■ Os idiomas para os tipos de atualizações a serem obtidas por download.
■ O servidor do LiveUpdate que fornece as atualizações ao site.
É possível especificar um servidor do Symantec LiveUpdate externo
(recomendado) ou um servidor do LiveUpdate interno que tenha sido instalado
e configurado anteriormente.
■ O número de revisões de conteúdo a ser mantido e se os pacotes de clientes
devem ser armazenados descompactados.
É possível definir um servidor interno do LiveUpdate em um computador
independentemente de o software do Symantec Endpoint Protection Manager
estar instalado. Seja qual for o caso, você deverá usar o utilitário de administração
do LiveUpdate para atualizar o servidor do LiveUpdate. O utilitário de
administração do LiveUpdate obtém as atualizações de definições do servidor do
Configuração de um site para fazer o download de atualizações
Symantec LiveUpdate. O utilitário coloca os pacotes em um servidor da Web, em

um site FTP ou em um local designado com um caminho UNC. Configure, então,
os Symantec Endpoint Protection Managers para obter as atualizações de definições
desse local.
Para obter mais informações, consulte o Guia do Administrador do LiveUpdate,
que está disponível no CD de instalação ou no website de suporte da Symantec.
Caso a replicação seja usada, apenas um site precisará ser configurado para fazer
o download dos arquivos de atualização. A replicação atualiza automaticamente
o outro banco de dados. Entretanto, como prática recomendada, você não deve
replicar atualizações de produto entre sites. Essas atualizações podem ser muito
grandes e existe uma para cada idioma selecionado. Se selecionar para download
atualizações de produtos com o LiveUpdate para o Symantec Endpoint Security
Manager, as atualizações aparecerão automaticamente no painel Pacotes de
instalação. Atualize, então, os clientes com o upgrade automático. Se usar essa
abordagem para controle de versão, você deverá selecionar upgrades automáticos
de produto na política de configurações do LiveUpdate.
Nota: Os sites fazem o download de arquivos MSP para atualizações de produtos

e, então, criam novos arquivos MSI. Os sites replicarão os arquivos MSI se você
optar por replicar as atualizações de produtos. Os arquivos MSP são uma fração
do tamanho dos arquivos MSI. O agendamento padrão para a execução do Symantec
Endpoint Protection Manager a cada 4 horas é uma prática recomendada.
Para configurar um site para fazer o download de atualizações

2 No painel Tarefas, clique em Servidores.
3 No painel Exibir, clique com o botão direito do mouse em Site local e, então,
clique em Propriedades.
4 Na caixa de diálogo Propriedades do site, na guia LiveUpdate, em Agendamento
de download, defina as opções de agendamento para a freqüência com que o
servidor deve fazer a verificação por atualizações.
5 Em Tipos de conteúdo para download, inspecione a lista de tipos de atualização
que são obtidas por download.
6 Para adicionar um tipo de atualização, clique em Alterar seleção, modifique
a lista e, então, clique em OK.
7 Em Idiomas para download, inspecione a lista de idiomas dos tipos de
atualização obtidos por download.
Configuração de políticas do LiveUpdate
8 Para adicionar um tipo de atualização, clique em Alterar seleção, modifique

a lista e, então, clique em OK.
9 Sob Servidores de origem do LiveUpdate, examine o servidor atual do
LiveUpdate que é usado para atualizar o servidor de gerenciamento. Este
servidor é o servidor Symantec LiveUpdate por padrão. Então, execute um
destes procedimentos:
■ Para usar o servidor de origem do LiveUpdate, clique em OK.
Não continue esse processo, ele está concluído.
■ Para usar um servidor interno do LiveUpdate, clique em Editar servidores
de origem, e continue o procedimento.
10 Na caixa de diálogo Servidores do LiveUpdate, marque Usar um servidor

interno especificado do LiveUpdate e, então, clique em Adicionar.
11 Na caixa de diálogo Adicionar servidor de atualização, complete as caixas
com as informações que identificam o servidor do LiveUpdate e, então, clique
em OK.
12 Na caixa de diálogo Propriedades do site, em Gerenciamento de espaço em
disco para downloads, digite o número de revisões de conteúdo do LiveUpdate
a ser mantido e decida se a caixa de seleção Armazenar pacotes de cliente
descompactados deve ser marcada.
Mais espaço em disco é necessário para o armazenamento de um grande
número de revisões de conteúdo. Os pacotes de clientes que são armazenados
no formato expandido também exigem mais espaço em disco.
13 Clique em OK.
A Ajuda relaciona e descreve os dados a serem inseridos nas caixas. Para
suporte a failover, é possível instalar, configurar e selecionar mais de um
servidor do LiveUpdate. Se um servidor ficar off-line, o outro servidor
fornecerá suporte.

Há dois tipos de políticas do LiveUpdate. Um tipo é chamado de política de
configurações do LiveUpdate e aplica-se aos clientes do Symantec Endpoint
Protection e do Symantec Network Access Control. O outro tipo é chamado de
política de conteúdos do LiveUpdate e aplica-se somente aos clientes do Symantec
Endpoint Protection. A política de configurações do LiveUpdate especifica os
computadores aos quais os clientes se conectam para verificar atualizações e
controla a freqüência da verificação de atualizações. Caso seja necessário, você
pode aplicar essa política a locais específicos em um grupo.
A política de conteúdos do LiveUpdate especifica os tipos de atualizações que os

clientes têm permissão para verificar e instalar. Para cada tipo, é possível
especificar que os clientes verifiquem e instalem a atualização mais recente.
Também é possível especificar uma versão de atualização que os clientes instalarão
se ainda não a estiverem executando. Não é possível aplicar essa política a locais
específicos em um grupo. Somente é possível aplicar essa política em nível de
grupo.
Configuração de uma política de configurações do LiveUpdate

Ao adicionar e aplicar uma política de configurações do LiveUpdate, é necessário
planejar com que freqüência você quer que os computadores-cliente verifiquem
atualizações. A configuração padrão é a cada 4 horas. Você também deve saber
de onde deseja que os computadores-cliente verifiquem e obtenham atualizações.
De modo geral, você quer que os computadores-cliente verifiquem e obtenham
atualizações do Symantec Endpoint Protection Manager. Após criar sua política,
atribua a política a um ou mais grupos e locais.
Nota: Uma configuração avançada está disponível para permitir que os usuários
iniciem o LiveUpdate manualmente de seus computadores-cliente e a configuração
é desativada por padrão. Se você ativar essa configuração, os usuários podem
iniciar o LiveUpdate e fazer o download das definições de vírus, atualizações de
componentes e atualizações potenciais de produtos mais recentes. Se a
configuração avançada de políticas em Fazer o download das atualizações do
produto usando o LiveUpdate for ativada, as atualizações do produto obtidas por
download serão versões de manutenção e patches para o software-cliente da
Symantec. Dependendo do tamanho da população de usuários, talvez você não
queira deixar que os usuários façam o download de todo o conteúdo sem antes
conduzir testes. Além disso, podem ocorrer conflitos se duas sessões do LiveUpdate
forem executadas simultaneamente em computadores-cliente. A prática
recomendada é deixar essa configuração desativada.
Para configurar uma política de configurações do LiveUpdate

1 No console, clique em Políticas.
2 No painel Visualizar políticas, clique em LiveUpdate.
3 Na guia Configurações do LiveUpdate, no painel Tarefas, clique em Adicionar
uma política de configurações do LiveUpdate.
4 No painel Visão geral, na caixa Nome da política, digite um nome para a
política.
5 Em Política do LiveUpdate, clique em Configurações do servidor.
6 No painel Configurações do servidor, em Servidor interno ou externo do

LiveUpdate, marque e ative pelo menos uma fonte da qual recuperar
atualizações.
A maioria das organizações deveria usar o servidor de gerenciamento padrão.
7 Se você selecionou Usar um servidor do LiveUpdate, em Política do
LiveUpdate, clique em Agendamento.
8 No painel Agendamento, aceite ou altere as opções.
9 Se você selecionou Usar um servidor do LiveUpdate, em Política do
LiveUpdate, clique em Configurações avançadas.
10 Decida-se quanto a manter ou alterar as configurações padrão.
Geralmente, não se deseja que os usuários modifiquem as configurações de
atualização. Entretanto, você pode permitir que eles iniciem sessões do
LiveUpdate manualmente se não houver suporte a centenas ou milhares de
clientes.
11 Após configurar a política, clique em OK.
12 Na caixa de diálogo Atribuir política, proceda de uma das seguintes maneiras:
■ Clique em Sim para salvar e atribuir a política a um grupo ou local no
grupo.
■ Clique em Não para apenas salvar a política.
13 Se você clicar em Sim, na caixa de diálogo Atribuir política do LiveUpdate,

marque os grupos e locais aos quais deseja atribuir a política e clique em
Atribuir.
Se você não puder selecionar um grupo incluído em outro grupo, esse grupo
herdará as políticas de seu grupo pai, de acordo com o definido na guia
Políticas de computadores e usuários.
Configuração de uma política de conteúdos do LiveUpdate

Por padrão, todos os clientes do Symantec Endpoint Protection em um grupo
recebem as versões mais recentes de todas as atualizações de conteúdo e de
produtos. Se um grupo de clientes obtiver atualizações de um servidor de
gerenciamento, os clientes receberão somente as atualizações das quais o servidor
está configurado a fazer download. Se a política de conteúdos do LiveUpdate
permitir todas as atualizações, mas o servidor de gerenciamento não estiver
configurado para fazer o download delas, os clientes receberão somente as
atualizações que o servidor obtiver por download.
Consulte “Configuração de um site para fazer o download de atualizações”

na página 104.
Se um grupo for configurado para obter atualizações de um servidor do LiveUpdate,
os clientes do grupo receberão todas as atualizações permitidas na política de
conteúdos do LiveUpdate. Se a política de conteúdos do LiveUpdate especificar
uma determinada versão para atualização, os clientes nunca receberão atualizações
para essa atualização específica até que a configuração seja alterada de uma versão
específica para a versão disponível mais recente. Os servidores do LiveUpdate não
compreendem a funcionalidade de versão nomeada.
As versões nomeadas permitem exercitar um controle mais rígido em relação às
atualizações que são distribuídas aos clientes. Geralmente, os ambientes que
testam as atualizações mais recentes antes de distribuí-las a clientes usam a
funcionalidade de versão nomeada.
Nota: A utilização de versões específicas fornece a funcionalidade de reversão.
Para configurar uma política de conteúdos do LiveUpdate

3 Na guia Conteúdo do LiveUpdate, clique em Adicionar uma política de
conteúdo do LiveUpdate.
4 No painel Visão geral, na caixa Nome da política, digite um nome para a
política.
5 No painel Conteúdo do LiveUpdate, clique em Definições de segurança.
6 No painel Definições de segurança, marque as atualizações para download e
instalação e desmarque as atualizações que não deseja aprovar.
7 Em cada atualização, proceda de uma das seguintes maneiras:
■ Marque Usar disponível mais recente
■ Marque Selecionar uma versão
8 Para continuar, proceda de uma das seguintes maneiras:

■ Se você não marcou Selecionar uma versão para um tipo de atualização,
clique em OK e, então, continue com a etapa 11.
■ Se você marcou Selecionar uma versão para um tipo de atualização, clique
em Editar e, então, continue com a próxima etapa.
9 Na caixa de diálogo Selecionar uma versão, na coluna Versão, clique e selecione

a versão a ser usada e, então, clique em OK.
10 Na janela Conteúdos do LiveUpdate, clique em OK.

11 Na caixa de diálogo Atribuir política, clique em Sim.
Você também pode cancelar este procedimento e atribuir a política
posteriormente.
12 Na caixa de diálogo Atribuir política de conteúdos do LiveUpdate, marque
um ou mais grupos para os quais deseja atribuir esta política e clique em
Atribuir.
Exibição e alteração da política de conteúdos do LiveUpdate aplicada

a um grupo
As políticas de conteúdos do LiveUpdate são aplicadas a grupos e a todos os locais
em grupos. Portanto, a política não é exibida com outras políticas sujeitas a locais
no console.
Para exibir e alterar a política de conteúdos do LiveUpdate aplicada a um grupo
1 No console, clique em Políticas e crie pelo menos duas políticas de conteúdos
do LiveUpdate.
2 Aplique uma das políticas a um grupo.
3 Clique em Clientes.
4 Na guia Políticas, no painel direito Configurações, clique em Política de
conteúdos do LiveUpdate.
5 Na caixa de diálogo Política de conteúdos do LiveUpdate, anote o nome da
política usada atualmente em Especifique as políticas de conteúdo do
LiveUpdate para usar nesse grupo.
6 Para alterar a política aplicada ao grupo, clique na política de conteúdo a ser
usada e clique em OK.
Configuração de um provedor de atualizações do grupo em uma política

de configurações do LiveUpdate
Ao criar uma política de configurações do LiveUpdate, você tem a opção de
especificar um provedor de atualizações do grupo. O provedor de atualizações do
grupo fornece atualizações para clientes no grupo e quaisquer subgrupos que
herdem políticas como as configuradas na guia Clientes. Se você tem clientes de
um grupo em local remoto que têm problemas na largura de banda sobre a WAN,
faça um cliente do grupo ser o provedor de atualizações do grupo e, então, configure
o grupo para usar esse provedor de atualizações do grupo. O provedor de
atualizações do grupo também permite transferir o poder de processamento do

Symantec Endpoint Protection Manager, se essa opção for necessária.
Nota: É possível configurar um provedor de atualizações do grupo ao criar uma

política ou configurá-lo ao modificar uma política existente. Você deve primeiro
criar uma política sem um provedor de atualizações do grupo e verificar se os
computadores-cliente recebem atualizações. Na verificação, é possível adicionar
um provedor de atualizações do grupo. Essa abordagem ajuda a solucionar
problemas de comunicação. Contudo, se o provedor de atualizações do grupo
estiver off-line, os clientes do grupo receberão atualizações diretamente do servidor
de gerenciamento.
Ao configurar um provedor de atualizações do grupo, especifique um nome de

host ou endereço IP e um número de porta TCP. O número de porta TCP padrão é
2967, a porta usada para as comunicações de rede do Symantec AntiVirus 10.x e
do Symantec Client Security 3.x. Se o computador do provedor de atualizações do
grupo receber endereços IP com DHCP, você deverá atribuir um endereço IP
estático ao computador ou digitar o nome do host. Se o computador do provedor
de atualizações do grupo estiver em um local remoto e se esse local remoto usar
uma Network Address Translation (NAT), digite o nome do host.
Nota: Se o provedor de atualizações do grupo executar um firewall do Windows

ou o Symantec Client Firewall, você deverá modificar a política de firewall para
permitir que a porta TCP 2967 receba comunicações do Symantec Endpoint
Protection Manager.
Para configurar um provedor de atualizações do grupo em uma política de

configurações do LiveUpdate
3 No painel Políticas do LiveUpdate, na guia Configurações do LiveUpdate, em
Nome, selecione a política a ser editada.
4 No painel Tarefas, clique em Editar a política.
5 Na janela Política do LiveUpdate, clique em Configurações do servidor.
6 Na guia Servidor do LiveUpdate, em Opção de servidor de rede local, marque
Usar o provedor de atualizações do grupo como o servidor padrão do
LiveUpdate.
7 Clique em Provedor de atualizações do grupo.
Opções avançadas de distribuição de atualização
8 Na caixa de diálogo Provedor de atualizações do grupo, na caixa Host, digite

um endereço IP ou um nome de host.
9 N caixa Porta, aceite ou altere o padrão e, então, clique em OK.

Você pode usar o Intelligent Updater para distribuir atualizações de vírus e riscos
à segurança. Também é possível usar ferramentas de distribuição de terceiros
para distribuir atualizações. Obtenha essas atualizações após instalar e configurar
o Symantec Endpoint Protection Manager para fazer o download de atualizações
que você deseja distribuir.
Nota: As definições de antivírus e anti-spyware estão contidas nos arquivos vdb

e jdb que você pode distribuir. Os arquivos vdb são compatíveis somente com
clientes de 32 bits. Os arquivos jdb são compatíveis com clientes de 32 e 64 bits.
Esses arquivos são colocados nas caixas de entrada do computador-cliente. Você
pode fazer o download de atualizações no seguinte site:
ftp://ftp.symantec.com/AVDEFS/symantec_antivirus_corp/
Fornecimento de atualizações de conteúdo antivírus com o Intelligent

Updater
Para distribuir apenas atualizações de riscos à segurança e de vírus atualizados,
faça o download de um novo Intelligent Updater. A seguir, use seu método de
distribuição preferido para fornecer atualizações aos clientes e servidores
gerenciados. O Intelligent Updater está disponível como um único arquivo ou
como um pacote dividido, distribuído em vários arquivos menores. O arquivo
único é para computadores com conexões de rede. O pacote dividido é para
computadores que não têm conexões de rede, acesso à Internet ou unidade de
CD-ROM. Copie o pacote dividido para uma mídia removível para distribuição.
Nota: Atualmente, o Intelligent Updater atualiza apenas vírus e riscos à segurança.

Certifique-se de usar arquivos do Intelligent Updater corporativo em vez de utilizar
a versão ao consumidor do produto.
Para fazer o download do Intelligent Updater

1 Com o navegador da Web, vá para o seguinte URL:
http://www.symantec.com/pt/br/security_response/
2 Em Definições de vírus, clique em Download manual de definições de vírus.
3 Clique em Download de definições de vírus (somente Intelligent Updater).

4 Selecione o idioma e o produto apropriados.
5 Clique em Download de atualizações.
6 Clique no arquivo com a extensão .exe.
7 Quando você for solicitado a fornecer o local onde deseja salvar os arquivos,
selecione uma pasta em seu disco rígido.
Para instalar os arquivos de definições de vírus e risco à segurança
1 Localize o arquivo do Intelligent Updater obtido por download da Symantec.
2 Clique duas vezes no arquivo e siga as instruções na tela.
Sobre o uso de ferramentas de distribuição de terceiros para distribuir

atualizações a clientes gerenciados
Grandes redes podem depender de ferramentas de distribuição de terceiros, como
IBM Tivoli, Microsoft SMS e outras, para distribuir atualizações para
computadores-cliente. O software-cliente da Symantec é compatível com a
distribuição de atualizações com essas ferramentas. Para usar ferramentas de
distribuição de terceiros, é necessário obter os arquivos atualizados e distribuí-los
com uma ferramenta de distribuição.
Para clientes gerenciados, é possível obter os arquivos de atualização após instalar
e configurar o servidor do Symantec Endpoint Protection Manager como o primeiro
e único servidor no site. Em seguida, agende e selecione as atualizações do
LiveUpdate para fazer download.
Consulte “Configuração de um site para fazer o download de atualizações”
na página 104.
Os arquivos de atualização são obtidos por download em subdiretórios no seguinte
diretório (padrão):
\Arquivos de programas\Symantec Endpoint Protection Manager\data\outbox\
Em seguida, distribua os arquivos para os diretórios da caixa de entrada nos
computadores-cliente:
O seguinte diretório é exibido nos computadores-cliente que não executam o
Windows Vista:
\\Documents and Settings\All Users\Dados de aplicativos\Symantec\ Symantec
Endpoint Protection\inbox\
O seguinte diretório é exibido nos computadores-cliente que executam o Windows
Vista:
\\Program Data\Symantec\Symantec Endpoint Protection\inbox\

Por padrão, esse diretório não existe, e o software-cliente não marca e processa
o conteúdo neste diretório. Para os clientes gerenciados, configure uma política
do LiveUpdate para o grupo, ative a distribuição de terceiros para os clientes do
grupo e aplique a política. Para clientes não gerenciados, ative uma chave de
registro manualmente.
Nota: A prática recomendada é ativar esse suporte com uma política do LiveUpdate.
Ativação da distribuição de conteúdo de terceiros para clientes

gerenciados com uma política do LiveUpdate
Ao criar uma política do LiveUpdate que seja compatível com a distribuição de
conteúdo de terceiros para clientes gerenciados, você tem alguns objetivos
adicionais. Um objetivo é reduzir a freqüência com que os clientes verificam as
atualizações. O outro objetivo é, geralmente, desativar a capacidade de os usuários
do cliente executarem o LiveUpdate manualmente. O termo clientes gerenciados
significa que os clientes são gerenciados com as políticas do Symantec Endpoint
Protection Manager.
Ao concluir esse procedimento, o seguinte diretório é exibido nos
computadores-cliente do grupo que não executam o Windows Vista:
O seguinte diretório é exibido nos computadores-cliente do grupo que executam
o Windows Vista:
Para ativar a distribuição de conteúdo de terceiros para clientes gerenciados com
uma política do LiveUpdate
3 No painel Políticas do LiveUpdate, na guia Configurações do LiveUpdate, em
Tarefas, clique em Adicionar uma política de configurações do LiveUpdate.
4 Na janela Política do LiveUpdate, nas caixas de diálogo Nome da política e
Descrição, digite um nome e uma descrição.
5 Em Gerenciamento de terceiros, marque Ativar gerenciamento de conteúdos
de terceiros.
6 Desmarque todas as outras opções de origem do LiveUpdate.
7 Clique em OK.
8 Na caixa de diálogo Atribuir política, clique em Sim.
Você também pode cancelar este procedimento e atribuir a política
posteriormente.
9 Na caixa de diálogo Atribuir política do LiveUpdate, marque um ou mais
grupos para os quais deseja atribuir esta política e clique em Atribuir.
Distribuição de conteúdo para clientes gerenciados usando ferramentas

de distribuição de terceiros
Após configurar a Política LiveUpdate para ativar o gerenciamento de conteúdo
de terceiros, localize e copie o conteúdo no Symantec Endpoint Protection Manager.
Após localizar e copiar o conteúdo, distribua-o aos clientes. Decida também qual
conteúdo será copiado e distribuído.
Nota: Se os arquivos de atualização forem postos nos computadores-cliente antes

de serem colocados no diretório /caixa de entrada, será necessário copiá-los. Mover
os arquivos não funciona. Também é possível copiar os arquivos .vdb e .jdb para
processamento na caixa de entrada.
Para distribuir conteúdo para clientes gerenciados usando ferramentas de

distribuição de terceiros
1 No computador que executa o Symantec Endpoint Protection Manager, crie
um diretório de trabalho, como \Work_Dir.
2 No console, na guia Clientes, clique com o botão direito do mouse no grupo a
ser atualizado e clique em Propriedades.
3 Anote os quatro primeiros valores hexadecimais do número de série da
política, como 7B86.
4 Vá até o seguinte diretório:
\\Arquivos de programas\Symantec\Symantec Endpoint Protection
Manager\data\outbox\agent
5 Localize o diretório que contém os primeiros quatro valores hexadecimais
que correspondam ao número de série da política do grupo de clientes.
6 Abra esse diretório e copie index2.dax para o diretório de trabalho, como
\Work_Dir\index2.dax.
7 Vá até o seguinte diretório:

\\Arquivos de Programas\Symantec\Symantec Endpoint Protection
Manager\Inetpub\content
8 Abra e leia ContentInfo.txt para descobrir o conteúdo que cada diretório
<<identificador de destino>> contém.
O conteúdo de cada diretório é <<identificador de destino>>\<número de
seqüência>\full.zip|full.
O arquivo desejado é <<identificador de destino>>\<número de seqüência
mais recente>\index.dax.
9 Copie o conteúdo de cada \<<identificador de destino>> para o diretório de
trabalho, como \Work_Dir.
10 Exclua todos os arquivos e diretórios de cada \<<identificador de destino>>
para que somente esta estrutura de diretórios e arquivos permaneça no
diretório de trabalho:
\\Work_Dir\<<identificador de destino>>\<número de seqüência mais
recente>\full.zip
O diretório de trabalho agora contém a estrutura de diretório e os arquivos
a serem distribuídos aos seus clientes.
11 Use suas ferramentas de distribuição de terceiros para distribuir o conteúdo
do diretório \Work_Dir para o diretório \\Symantec Endpoint
Protection\inbox\ aos clientes do grupo.
O resultado final deve ter esta aparência:
\\Symantec Endpoint Protection\inbox\index2.dax
\\Symantec Endpoint Protection\inbox\<<identificador de destino>>\<número
de seqüência mais recente>\full.zip
Se os arquivos desaparecerem de modo que o diretório \caixa de entrada\
fique vazio, você teve êxito. Se o diretório \inbox\invalid\ surgir, você não
teve êxito e deve tentar novamente.
Sobre o uso de ferramentas de distribuição de terceiros para distribuir

atualizações para clientes não gerenciados
Se você instalou clientes não gerenciados a partir do CD de instalação, eles não
são confiáveis e não processam atualizações de conteúdo ou política por medida
de segurança. Para permitir que esses clientes processem atualizações, você precisa
criar a seguinte chave de registro:
HKLM\Software\Symantec\Symantec Endpoint Protection\SMC\TPMState
Configure o valor para 80 hexadecimal, para que a chave seja como 0x00000080
(128)
Depois de configurar essa chave, você precisa reiniciar o computador ou executar
os comandos a seguir, a partir do diretório \Symantec\Symantec Endpoint
Protection\:
smc.exe -stop
smc.exe -start
O diretório a seguir é exibido nos computadores-cliente que não executam Windows

Vista:
O diretório a seguir é exibido nos computadores-cliente que executam Windows
Vista:
Agora você pode usar ferramentas de distribuição de terceiros para copiar
atualizações de conteúdo ou política nesse diretório. A seguir, o software-cliente
do Symantec confia e processa o conteúdo.
O conteúdo a ser distribuído a partir de um Symantec Endpoint Protection Manager
é obtido quase da mesma maneira como você obtém para clientes gerenciados.
Porém, copiar index2.xml do grupo global, em vez de copiar index2.dax de seu
diretório de grupos de clientes gerenciados, como descrito na etapa 2 de “Para
distribuir conteúdo para clientes gerenciados usando ferramentas de distribuição
de terceiros” na página 115. Copie o arquivo full.dax conforme descrito para o
cliente gerenciado. A seguir, você pode distribuir esses arquivos. Você também
pode deixar arquivos .vdb e .jdb na caixa de entrada do cliente para processamento.
Nota: Se você organizar os arquivos de atualização nos computadores, deverá

copiá-los na caixa de entrada. Os arquivos de atualização não serão processados
se você movê-los para a caixa de entrada.
Consulte “Distribuição de conteúdo para clientes gerenciados usando ferramentas

de distribuição de terceiros” na página 115.
Nota: Depois de uma instalação de cliente gerenciado, a chave de registro TPMState

existe com o valor 0, o qual você pode alterar. (Essa chave não existe depois da
instalação de um cliente não gerenciado.) Além disso, não é exigido o reinício do
computador ou a execução do comando smc.exe para uma instalação de cliente
gerenciado. O diretório é exibido assim que a chave de registro for alterada.
Capítulo 7
Limite de acesso do usuário
aos recursos do cliente
■ Sobre o acesso à interface do cliente
■ Bloqueio e desbloqueio de configurações gerenciadas
■ Alteração do nível de controle do usuário
■ Proteção do cliente por senha
Sobre o acesso à interface do cliente

Você pode determinar o nível de interação que deseja que os usuários tenham no
Symantec Endpoint Protection cliente. Escolha que recursos estão disponíveis
para serem configurados pelos usuários. Por exemplo, você pode controlar o
número de notificações exibidas e limitar a capacidade dos usuários para criar
regras de firewall e verificações antivírus. Também pode conceder acesso total à
interface do usuário aos usuários.
Os recursos que os usuários podem personalizar são chamados de configurações
gerenciadas. O usuário não tem acesso a todos os recursos do cliente, como a
proteção por senha.
Para determinar o nível de interação do usuário, você pode personalizar a interface
do usuário das seguintes maneiras:
■ Para configurações de antivírus e anti-spyware, você pode bloquear ou
desbloquear as opções.
120 Limite de acesso do usuário aos recursos do cliente
Bloqueio e desbloqueio de configurações gerenciadas
■ Para configurações de firewall, de prevenção de intrusões e para algumas

configurações da interface de usuário do cliente, você pode definir o nível de
controle do usuário e também as configurações associadas.
■ Você pode proteger o computador-cliente com senha.
Consulte “Proteção do cliente por senha” na página 127.
Bloqueio e desbloqueio de configurações gerenciadas

Para determinar qual proteção antivírus e anti-spyware e quais recursos da
proteção contra adulterações estão disponíveis para a configuração feita pelo
usuário no cliente, bloqueie-os e depois desbloqueie-os. Os usuários podem fazer
configurações desbloqueadas, mas não as bloqueadas. Somente os administradores
podem definir configurações no console do Symantec Endpoint Protection
Manager.
A Tabela 7-1 descreve os ícones de cadeado.
Tabela 7-1 ícones de cadeado bloqueados e desbloqueados
Ícone O que os ícones significam
A configuração está desbloqueada e os usuários podem alterá-la na

interface do usuário do cliente.
No cliente, o ícone de cadeado não é exibido e a opção está disponível.
A configuração está bloqueada e os usuários não podem alterá-la na

interface do usuário do cliente.
No cliente, o cadeado bloqueado é exibido e a opção é exibida

acinzentada.
Você bloqueia e desbloqueia as configurações nas páginas ou caixas de diálogo

onde elas são exibidas.
Para bloquear e desbloquear as configurações gerenciadas
1 Abra uma política antivírus e anti-spyware.
Consulte “Sobre a edição de políticas” na página 368.
2 Na página Antivírus e anti-spyware, clique em uma das páginas a seguir:
■ Auto-Protect do sistema de arquivos
■ Auto-Protect para e-mail da Internet
■ Microsoft Outlook Auto-Protect
■ Lotus Notes Auto-Protect
Limite de acesso do usuário aos recursos do cliente 121
Alteração do nível de controle do usuário

■ Envios
■ Miscelânea
3 Clique no ícone de cadeado para bloquear ou desbloquear a configuração.

4 Se você tiver concluído a configuração desta política, clique em OK.
Também é possível bloquear e desbloquear as configurações de proteção
contra adulterações.
Consulte “Configuração da proteção contra adulteração” na página 336.

Você pode determinar quais os recursos da proteção contra ameaças à rede e
configurações da interface de usuário do cliente estarão disponíveis para
configuração dos usuários no cliente Symantec Endpoint Protection. Para
determinar quais configurações estarão disponíveis, você deve especificar o nível
de controle do usuário. O nível de controle do usuário determina se o cliente pode
ser completamente invisível, exibir um conjunto parcial de recursos ou exibir uma
interface do usuário completa.
Nota: O cliente do Symantec Network Access Control é executado somente no

controle do servidor. Usuários não podem configurar configurações da interface
do usuário.
A Tabela 7-2 exibe os níveis de controle de usuário do cliente do Symantec Endpoint

Protection.
Tabela 7-2 Níveis de controle do usuário
Nível de controle do Descrição

usuário
Controle do servidor Disponibiliza aos usuários o mínimo de controle sobre o cliente.

O controle do servidor bloqueia as configurações gerenciadas,
de modo que os usuários não poderão configurá-las.
O controle do servidor apresenta as seguintes características:
■ Os usuários não podem definir nem ativar regras de firewall,

configurações específicas de aplicativos, configurações de
firewall e configurações de prevenção de intrusões ou
registros de proteção contra ameaças à rede e de
gerenciamento do cliente. Configure todas as regras de
firewall e configurações de segurança no console do
Symantec Endpoint Protection Manager para o cliente.
■ Os usuários podem exibir registros, o histórico do tráfego
do cliente e a lista de aplicativos que o cliente executa.
■ Você pode definir certas configurações da interface do
usuário e notificações do firewall para que sejam exibidas
ou não no cliente. Por exemplo, você pode ocultar a interface
de usuário do cliente.
Os parâmetros que você definir no controle do servidor serão

exibidos acinzentados ou não serão visíveis na interface de
usuário do cliente.
Quando você cria um novo local, ele é definido automaticamente

ao controle do servidor.
Controle do cliente Disponibiliza aos usuários o máximo de controle sobre o cliente.

O controle do cliente desbloqueia as configurações gerenciadas,
de modo que os usuários possam configurá-las.
O controle do cliente apresenta as seguintes características:
■ Os usuários podem definir ou ativar regras de firewall,

configurações específicas de aplicativos, notificações de
firewall, configurações de firewall, configurações e prevenção
de intrusões e configurações da interface de usuário do
cliente.
■ O cliente ignorará as regras de firewall que você configurar
para o cliente.
Você pode conceder controle de cliente aos computadores-cliente

que os funcionários usam em um local remoto ou em casa.
Nível de controle do Descrição

usuário
Controle misto Disponibiliza ao usuário um controle misto sobre o cliente.

O controle misto apresenta as seguintes características:
■ Os usuários podem definir as regras de firewall e as

configurações específicas de aplicativos.
■ Você pode configurar as regras de firewall, as quais poderão
ou não sobrescrever as regras que os usuários configurarem.
A posição das regras do servidor na Lista de regras da política
de firewall determina se as regras do servidor sobrescreverão
as regras do cliente.
■ Você pode especificar certas opções para que estejam
disponíveis ou não no cliente e os usuários possam ativá-las
e configurá-las. Essas opções incluem os registros da proteção
contra ameaças à rede, os registros de gerenciamento de
clientes, as configurações de firewall, as configurações da
prevenção de intrusões e algumas configurações da interface
do usuário.
■ Você pode definir as configurações da proteção antivírus e
anti-spyware para substituir a configuração do cliente,
mesmo que essa configuração esteja desbloqueada. Por
exemplo, se você desbloquear o recurso Auto-Protect e o
usuário desativá-lo, você poderá reativar o Auto-Protect.
As opções que você definir para o controle do cliente estarão

disponíveis para o usuário. Os parâmetros que você definir no
controle do servidor serão exibidos acinzentados ou não serão
visíveis na interface de usuário do cliente.
Consulte “Sobre o controle misto” na página 124.
Algumas configurações gerenciadas têm dependências. Por exemplo, os usuários

podem ter permissão para configurar regras de firewall, mas não ter acesso à
interface do usuário do cliente. Como os usuários não têm acesso à caixa de diálogo
Configurar regras de firewall, eles não podem criar regras.
Você pode definir um nível de controle de usuário diferente para cada local.
Nota: Os clientes executados em controle do cliente ou controle misto alternam

para controle do servidor quando o servidor aplica uma política de quarentena.
Para alterar o nível de controle do usuário

2 Em Exibir clientes, selecione o grupo cujo local você deseja modificar.
3 Clique na guia Políticas.
4 Em Políticas e configurações específicas do local, no local que você deseja
modificar, expanda Configurações específicas de local.
5 À direita de Configurações de controle de interface de usuário cliente, clique
em Tarefas > Editar configurações.
6 Na caixa de diálogo Configurações de controle de interface de usuário cliente,
proceda de uma das seguintes maneiras:
■ Clique em Controle do servidor e clique em Personalizar.
Configure algumas das configurações e clique em OK.
■ Clique em Controle do cliente.
■ Clique em Controle misto e clique em Personalizar.
Configure algumas das configurações e clique em OK.
■ No cliente do Symantec Network Access Control, você pode clicar em
Exibir cliente e Exibir o ícone da área de notificação.
7 Clique em OK.
Sobre o controle misto

Para os clientes que estão no controle misto, você pode determinar quais opções
gerenciadas deseja que os usuários configurem ou não. As opções gerenciadas
incluem configurações em uma política de firewall, uma política de prevenção de
intrusões e as configurações da interface de usuário do cliente.
Para cada opção, você pode atribuí-la ao controle do servidor ou ao controle do
cliente. No controle do cliente, somente o usuário pode ativar ou desativar a
configuração. No controle do servidor, somente você pode ativar ou desativar a
configuração. O controle do cliente é o nível de controle do usuário padrão. Se
você atribuir uma opção ao controle do servidor, configure-a na página ou caixa
de diálogo correspondente no console do Symantec Endpoint Protection Manager.
Por exemplo, você pode ativar as configurações do firewall na política de firewall.
Você pode configurar os registros na caixa de diálogo Configurações do registro
de cliente, na guia Políticas da página Clientes.
Você pode fazer as seguintes configurações:
■ Configurações da interface do usuário
■ Configurações gerais de proteção contra ameaças à rede

■ Configurações da política de firewall
■ Configurações da política de prevenção de intrusões
Definição das configurações da interface do usuário

Você pode configurar opções da interface do usuário no cliente se executar
qualquer uma das seguintes tarefas:
■ Definir o nível de controle de usuário do cliente para controle do servidor.
■ Definir o nível de controle de usuário do cliente para controle misto e definir
o recurso pai, na guia Configurações de controle do cliente/servidor como
Servidor.
Por exemplo, você pode definir a opção Exibir/ocultar ícone da área de
notificação como Cliente. O ícone da área de notificação é exibido no cliente e
o usuário pode optar por exibir ou ocultar o ícone. Se você definir a opção
Exibir/ocultar ícone da área de notificação como Servidor, poderá optar se
exibe ou oculta o ícone da área de notificação no cliente.
Para definir as configurações da interface do usuário no controle misto
1 Altere o nível de controle do usuário para controle misto.
Consulte “Alteração do nível de controle do usuário” na página 121.
2 Na caixa de diálogo Configurações de controle da interface do cliente para
nome do local, ao lado de Controle misto, clique em Personalizar.
3 Na caixa de diálogo Configurações de controle misto da interface de usuário
do cliente, na guia Configurações de controle de cliente/servidor, tome uma
das seguintes ações:
■ Bloqueie uma opção de forma que você só possa configurá-la do servidor.
Para as opções que deseja bloquear, clique em Servidor.
As configurações da proteção antivírus e anti-spyware definidas em
Servidor substituirão as configurações no cliente.
■ Desbloqueie uma opção de forma que o usuário possa configurá-la no
cliente. Para a opção que deseja bloquear, clique em Cliente. A seleção
padrão para todas as configurações, exceto as configurações de antivírus
e anti-spyware, é Cliente.
4 Para as seguintes opções definidas em Servidor, clique na guia Configurações

de interface de usuário do cliente para configurá-las:
Exibir/ocultar ícone da área de Exibir o ícone da área de notificação

notificação
Ativar/desativar Proteção contra Permitir que os usuários ativem e desativem

ameaças à rede a proteção contra ameaças à rede
Testar os comandos do menu de Permitir que os usuários executem um teste

segurança da rede de segurança
Exibir/ocultar notificações de Exibir notificações de prevenção de intrusões

prevenção de intrusões
Para obter informações sobre onde configurar no console as demais opções

que você definiu como Servidor, clique em Ajuda. Para ativar as configurações
de firewall e as configurações da prevenção de intrusões, configure-as na
Política de firewall e na Política de prevenção de intrusões.
Consulte “Ativação da filtragem inteligente de tráfego” na página 495.
Consulte “Ativação das configurações de tráfego e dissimulação” na página 496.
Consulte “Configuração da prevenção de intrusões” na página 501.
5 Na guia Configurações de interface de usuário do cliente, marque a caixa de
seleção da opção para que ela esteja disponível no cliente.
6 Clique em OK.
7 Clique em OK.
Para definir as configurações da interface do usuário no controle do servidor
1 Altere o nível de controle do usuário para controle misto.
Consulte “Alteração do nível de controle do usuário” na página 121.
nome do local, ao lado de Servidor, clique em Personalizar.
3 Na guia Configurações de interface de usuário do cliente, marque a caixa de
seleção da opção para que ela seja exibida no cliente e usada pelo usuário.
4 Clique em OK.
5 Clique em OK.
Proteção do cliente por senha

Você pode aumentar a segurança corporativa exigindo proteção por senha no
computador-cliente sempre que os usuários executarem certas tarefas.
Você pode exigir que os usuários digitem uma senha quando tentarem tomar uma
■ Abrir a interface de usuário do cliente.
■ Interromper o cliente.
■ Importar e exportar a política de segurança.
■ Desinstalar o cliente.
Você pode modificar as configurações de proteção por senha somente para os
subgrupos que não herdam de um grupo pai.
Para proteger o cliente por senha
1 No console do Symantec Endpoint Protection Manager, clique em Clientes.
2 Em Exibir clientes, selecione o grupo para o qual você deseja configurar a
proteção por senha.
3 Na guia Políticas, em Políticas e configurações independentes do local, clique
em Configurações gerais.
4 Clique em Configurações de segurança.
5 Na guia Configurações de segurança, escolha uma das caixas de seleção a
seguir:
■ Exigir uma senha para abrir a interface de usuário do cliente
■ Exigir uma senha para interromper o serviço do cliente
■ Exigir uma senha para importar ou exportar uma política
■ Exigir uma senha para instalar o cliente
6 Na caixa de texto Senha, digite a senha.

A senha é limitada a no máximo 15 caracteres.
7 Na caixa de texto Confirmar senha, digite a senha novamente.
8 Clique em OK.
Capítulo 8
Configuração de conexões
entre servidores de
gerenciamento e clientes
■ Sobre servidores de gerenciamento
■ Especificação de uma lista do servidor de gerenciamento
■ Como adicionar uma lista de servidores de gerenciamento
■ Atribuição de uma lista de servidores de gerenciamento a um grupo ou local
■ Exibição dos grupos e locais aos quais uma lista do servidor de gerenciamento
é atribuída
■ Edição do nome e descrição do servidor em uma lista de servidores de

gerenciamento
■ Edição do endereço IP, nome do host e número da porta de um servidor de

gerenciamento em uma lista do servidor de gerenciamento
■ Alteração da ordem em que os servidores de gerenciamento são conectados
■ Substituição de uma lista de servidores de gerenciamento
■ Como copiar e colar uma lista de servidores de gerenciamento
■ Exportação e importação de uma lista do servidor de gerenciamento
■ Exclusão de uma lista de servidores de gerenciamento
■ Sobre as configurações de comunicação do cliente e do servidor

130 Configuração de conexões entre servidores de gerenciamento e clientes
Sobre servidores de gerenciamento
Sobre servidores de gerenciamento

Os clientes e os Enforcers devem poder conectar-se a servidores de gerenciamento
para fazer download das políticas e configurações de segurança. O Symantec
Endpoint Protection Manager inclui um arquivo que ajuda a gerenciar o tráfego
entre clientes, servidores de gerenciamento e Enforcers opcionais. O arquivo
especifica a qual servidor de gerenciamento o cliente ou Enforcer se conecta. Ele
também pode especificar a qual servidor de gerenciamento um cliente ou Enforcer
se conectam em caso de falha de um servidor de gerenciamento.
Este arquivo é conhecido como uma lista de servidores de gerenciamento. Uma
lista de servidores de gerenciamento inclui os endereços IP ou nomes do host dos
servidores de gerenciamento aos quais os clientes e Enforcers opcionais podem
se conectar após a instalação inicial. Você pode personalizar a lista de servidores
de gerenciamento antes de implantar clientes ou Enforcers opcionais.
Quando o Symantec Endpoint Protection Manager for instalado, uma lista padrão
do servidor de gerenciamento será criada para permitir a comunicação HTTP
entre clientes, Enforcers e servidores de gerenciamento. A lista padrão do servidor
de gerenciamento inclui os endereços IP de todas as placas de interface de rede
(NICs, Network Interface Cards) em todos os servidores de gerenciamento no site.
É possível incluir somente as NICs externas na lista. Embora não seja possível
editar a lista de servidores de gerenciamento padrão, é possível criar uma lista de
servidores de gerenciamento personalizada. Uma lista de servidores de
gerenciamento personalizada inclui os servidores de gerenciamento exatos e as
NICs corretas nas quais quer conectar os clientes. Em uma lista personalizada,
também é possível usar o protocolo HTTPS, verificar o certificado do servidor e
personalizar os números das portas HTTP ou HTTPS.
Especificação de uma lista do servidor de

gerenciamento
Você pode especificar uma lista de servidores de gerenciamento para conectar-se
a um grupo de clientes e de Enforcers opcionais a qualquer momento. Entretanto,
essa tarefa geralmente é executada após a criação de uma lista de servidores de
gerenciamento personalizada e antes da implementação de pacotes do cliente.
Para especificar uma lista de servidores de gerenciamento
2 Na página Clientes, em Exibir clientes, selecione o grupo ao qual deseja
especificar uma lista de servidores de gerenciamento.
Configuração de conexões entre servidores de gerenciamento e clientes 131
Como adicionar uma lista de servidores de gerenciamento
3 Na guia Políticas, desmarque Herdar políticas e configurações do grupo pai.

Não será possível configurar a comunicação de um grupo a menos que o
mesmo não mais herde políticas e configurações de um grupo pai.
4 Em Políticas e configurações independentes do local, em Configurações, clique
em Configurações de comunicações.
5 Em Configurações de comunicações do nome do grupo, em Lista de servidores
de gerenciamento, selecione a respectiva lista.
O grupo previamente selecionado usará essa lista de servidores de
gerenciamento ao comunicar-se com o servidor de gerenciamento.
6 Clique em OK.
Como adicionar uma lista de servidores de

gerenciamento
Se a sua empresa tiver vários Symantec Endpoint Protection Manager, será possível
criar uma lista personalizada de servidores de gerenciamento. A lista de servidores
de gerenciamento especifica a ordem na qual os clientes de um grupo determinado
se conectam. Os clientes e Enforcers opcionais primeiro tentam se conectar aos
servidores de gerenciamento que foram adicionados com a prioridade mais alta.
Se os servidores de gerenciamento com a prioridade mais alta não estiverem
disponíveis, os clientes e os Enforcers opcionais tentarão se conectar aos servidores
de gerenciamento com a próxima prioridade mais alta. Uma lista padrão de
servidores de gerenciamento é criada automaticamente em cada site. Todos os
servidores de gerenciamento disponíveis no site são adicionados à lista padrão
de servidores de gerenciamento com a mesma prioridade.
Se você adicionar vários servidores de gerenciamento com a mesma prioridade,
os clientes e os Enforcers opcionais podem se conectar a qualquer servidor de
gerenciamento. Os clientes equilibra automaticamente a carga entre servidores
de gerenciamento disponíveis nessa prioridade.
É possível usar o protocolo HTTPS em vez do protocolo HTTP padrão para
comunicações. Se você quiser tornar a comunicação ainda mais segura, será
possível personalizar os números das portas HTTP e HTTPS criando uma lista de
servidores de gerenciamento personalizada. Entretanto, você deve personalizar
as portas antes de instalar os clientes; caso contrário, a comunicação do cliente
com o servidor de gerenciamento será perdida. Se você atualizar a versão do
Symantec Endpoint Protection Manager, deverá lembrar-se de personalizar
novamente as portas de modo que os clientes possam reiniciar a comunicação.
Como adicionar uma lista de servidores de gerenciamento
Após adicionar uma nova lista de servidores de gerenciamento, você deve atribuí-la
a um grupo ou local específico, ou ambos.
Consulte “Atribuição de uma lista de servidores de gerenciamento a um grupo ou
local” na página 133.
Para adicionar uma lista de servidores de gerenciamento
1 No console do Symantec Endpoint Protection Manager, clique em Políticas.
2 Na página Políticas, em Visualizar políticas, clique em Componentes das
políticas > Listas de servidores de gerenciamento.
3 Em Tarefas, clique em Adicionar uma lista de servidores de gerenciamento.
4 Na caixa de diálogo Listas de servidores de gerenciamento, no campo de texto
Nome, digite um nome para a lista do servidor de gerenciamento e uma
descrição opcional.
5 Para especificar que protocolo de comunicação deve ser usado entre os
servidores de gerenciamento e os clientes e Enforcers, selecione uma das
seguintes opções:
■ Usar protocolo HTTP
■ Usar protocolo HTTPS
Use essa opção se desejar que os servidores de gerenciamento se
comuniquem usando HTTPS e se o servidor estiver executando o Secure
Sockets Layer (SSL).
6 Se desejar verificar a certificação de uma autoridade certificadora externa

confiável, marque Verificar o certificado quando usar o protocolo HTTPS.
7 Para adicionar um servidor, clique em Adicionar > Novo servidor.
8 Na caixa de diálogo Adicionar servidor de gerenciamento, no campo de texto
Endereço do servidor, digite o endereço IP ou o nome do host do servidor de
gerenciamento.
9 Se você quer alterar o número da porta para o protocolo HTTP ou HTTPS
nesse servidor, realize umas das seguintes tarefas:
■ Marque Personalizar número da porta HTTP e digite um novo número
da porta.
O número da porta padrão para o protocolo HTTP é 80.
■ Marque Personalizar número da porta HTTPS e digite um novo número
da porta.
O número da porta padrão para o protocolo HTTPS é 443.
Atribuição de uma lista de servidores de gerenciamento a um grupo ou local
Se você personalizar os números da porta HTTP ou HTTPS após a

implementação do cliente, os clientes perderão a comunicação com o
servidor de gerenciamento.
10 Clique em OK.
11 Se você precisar adicionar um servidor de gerenciamento com uma prioridade
diferente do servidor de gerenciamento adicionado, clique em Adicionar >
Nova prioridade.
12 Repita as etapas de 7 a 10 para adicionar mais servidores de gerenciamento.
13 Na caixa de diálogo Listas de servidores de gerenciamento, clique em OK.
Atribuição de uma lista de servidores de

gerenciamento a um grupo ou local
Após adicionar uma política, é necessário atribuí-la a um grupo, local ou ambos.
Caso contrário, a lista de servidores de gerenciamento não será efetiva. É necessário
concluir a adição ou edição de uma lista de servidores de gerenciamento para que
ela possa ser atribuída.
Consulte “Como adicionar uma lista de servidores de gerenciamento” na página 131.
Consulte “Edição do nome e descrição do servidor em uma lista de servidores de
gerenciamento” na página 134.
Consulte “Edição do endereço IP, nome do host e número da porta de um servidor
de gerenciamento em uma lista do servidor de gerenciamento” na página 135.
Para atribuir uma lista de servidores de gerenciamento a um grupo e local
3 No painel Listas de servidores de gerenciamento, selecione a lista do servidor
de gerenciamento que você quer atribuir.
4 Em Tarefas, selecione Atribuir a lista.
5 Na caixa de diálogo Aplicar lista de servidores de gerenciamento, marque os
grupos e locais aos quais você quer aplicar a lista do servidor de
gerenciamento.
6 Clique em Atribuir.
7 Quando solicitado, clique em Sim.
Exibição dos grupos e locais aos quais uma lista do servidor de gerenciamento é atribuída
Exibição dos grupos e locais aos quais uma lista do

servidor de gerenciamento é atribuída
É possível exibir os grupos e locais aos quais uma lista de servidores de
gerenciamento tenha sido atribuída.
Para exibir os grupos e locais aos quais uma lista do servidor de gerenciamento é
atribuída
3 No painel Listas de servidores de gerenciamento, selecione a lista de servidores
de gerenciamento cujos grupos e locais deseja exibir.
4 Em Tarefas, clique em Exibir os grupos ou locais atribuídos.
Os grupos ou locais atribuídos à lista do servidor de gerenciamento selecionado
exibem um pequeno círculo verde com uma marca de seleção branca.
5 Em nome da lista do servidor de gerenciamento: grupos e locais atribuídos,
clique em OK.
Edição do nome e descrição do servidor em uma lista

de servidores de gerenciamento
É possível alterar nome e descrição de uma lista de servidores de gerenciamento.
Para editar o nome e descrição do servidor em uma lista de servidores de
gerenciamento
de gerenciamento cujos nome e descrição você quer modificar.
4 Em Tarefas, selecione Editar a lista.
5 Na caixa de diálogo Listas de servidores de gerenciamento, edite o nome e a
descrição opcional da lista do servidor de gerenciamento.
6 Clique em OK.
Edição do endereço IP, nome do host e número da porta de um servidor de gerenciamento em uma lista do servidor
de gerenciamento
Edição do endereço IP, nome do host e número da

porta de um servidor de gerenciamento em uma lista
do servidor de gerenciamento
Se o endereço IP ou o nome do host de um servidor de gerenciamento for alterado,
será necessário mudá-lo na lista do servidor de gerenciamento. Você pode também
mudar o número da porta para o protocolo de comunicação HTTP ou HTTPS.
Para editar o endereço IP, nome do host e número da porta de um servidor de
gerenciamento em uma lista do servidor de gerenciamento
de gerenciamento que você quer modificar.
5 Na caixa de diálogo Listas de servidores de gerenciamento, selecione a lista
do servidor de gerenciamento que você quer modificar.
6 Clique em Editar.
7 Na caixa de diálogo Adicionar servidor de gerenciamento, digite o novo
endereço IP ou nome de host do servidor de gerenciamento na caixa Endereço
do servidor.
Você pode também mudar o número da porta para o protocolo HTTP ou
HTTPS.
8 Clique em OK.
Alteração da ordem em que os servidores de

gerenciamento são conectados
Se as circunstâncias mudarem em uma rede, pode ser necessário atribuir
novamente endereços IP ou nomes de host, bem como prioridades em uma lista
de servidores de gerenciamento. Por exemplo, houve uma falha de disco em um
dos servidores em que você instalou o Symantec Endpoint Protection Manager.
Substituição de uma lista de servidores de gerenciamento
Esse servidor de gerenciamento havia atuado como servidor de equilíbrio de carga

e teve atribuição de Prioridade 1. Entretanto, há outro servidor de gerenciamento
com atribuição de Prioridade 2. Se você quiser resolver esse problema, poderá
atribuir novamente a prioridade desse servidor de gerenciamento. É possível
atribuir a prioridade do servidor de gerenciamento de 2 para 1 para substituir o
servidor de gerenciamento com defeito.
Para alterar a ordem em que os servidores de gerenciamento são conectados
de gerenciamento na qual você quer mudar a ordem dos servidores de
gerenciamento.
5 Na caixa de diálogo Listas de servidores de gerenciamento, em Servidores de
gerenciamento, selecione o endereço IP, o nome do host ou a prioridade do
servidor de gerenciamento.
É possível mover novamente um endereço IP ou nome de host para uma
prioridade diferente. Se a prioridade for alterada, a prioridade de todos os
endereços IP e nomes de host associados será automaticamente alterada.
6 Clique em Mover para cima ou em Mover para baixo.
Substituição de uma lista de servidores de

gerenciamento
É possível substituir uma lista de servidores de gerenciamento previamente
aplicada a um grupo ou local específico por outra lista.
Para substituir uma lista de servidores de gerenciamento
de gerenciamento que você quer substituir.
4 Em Tarefas, selecione Substituir a lista.
Como copiar e colar uma lista de servidores de gerenciamento
5 Na caixa de diálogo Substituir lista de servidores de gerenciamento, selecione

a lista de servidores de gerenciamento substitutiva em Nova lista de servidores
de gerenciamento.
6 Marque os grupos ou locais aos quais deseja aplicar a lista substitutiva de
servidores de gerenciamento.
7 Clique em Substituir.
8 Quando solicitado, clique em Sim.
Como copiar e colar uma lista de servidores de

gerenciamento
Talvez você queira várias listas de gerenciamento quase idênticas, exceto por
algumas mudanças. Você pode fazer uma cópia de uma lista do servidor de
gerenciamento. Após copiar e colar uma lista de servidores de gerenciamento, a
cópia da lista do servidor de gerenciamento será exibida no painel Listas de
servidores de gerenciamento.
Para copiar e colar uma lista de servidores de gerenciamento
de gerenciamento que você quer copiar.
4 Em Tarefas, selecione Copiar a lista.
5 Em Tarefas, clique em Colar lista.
Exportação e importação de uma lista do servidor de

gerenciamento
É possível exportar ou importar uma lista de servidores de gerenciamento. O
formato do arquivo da lista de servidores de gerenciamento é: .dat
Para exportar uma lista de servidores de gerenciamento
Exclusão de uma lista de servidores de gerenciamento

de gerenciamento que você quer exportar.
4 Na página Políticas, em Tarefas, clique em Exportar a lista.
5 Na caixa de diálogo Exportar política, procure a pasta na qual você quer
exportar o arquivo da lista do servidor de gerenciamento.
6 Clique em Exportar.
7 Caso seja solicitado a alterar o nome do arquivo na caixa de diálogo Exportar
política, modifique o nome do arquivo e, então, clique em OK.
Para importar uma lista de servidores de gerenciamento
3 Em Tarefas, clique em Importar uma lista de servidores de gerenciamento.
4 Na caixa de diálogo Importar política, procure o arquivo da lista de servidores
de gerenciamento que deseja importar e clique em Importar.
5 Caso seja solicitado a alterar o nome do arquivo na caixa de diálogo Entrada,
modifique o nome do arquivo e, então, clique em OK.
Exclusão de uma lista de servidores de gerenciamento

Pode ser necessário excluir uma lista de servidores de gerenciamento porque os
servidores não mais estão operacionais ou porque a rede foi reconfigurada.
Para excluir uma lista de servidores de gerenciamento
de gerenciamento que você quer excluir.
4 Na página Políticas, em Tarefas, clique em Excluir a lista.
5 Na caixa de diálogo Excluir lista de servidores de gerenciamento, clique em
Sim.
Sobre as configurações de comunicação do cliente e do servidor
Sobre as configurações de comunicação do cliente e

do servidor
As configurações de comunicação entre o cliente e o servidor e outras configurações
do cliente são armazenadas em arquivos no computador-cliente.
A Tabela 8-1 descreve os arquivos usados para armazenar o estado da interface
de usuário do cliente.
Tabela 8-1 Arquivos do cliente
Nome do arquivo Descrição
SerDef.dat Um arquivo criptografado que armazena configurações de

comunicação por local. Cada vez que o usuário altera os locais, o
arquivo de SerDef.dat é lido e as configurações apropriadas de
comunicação para o local novo são aplicadas ao cliente.
sylink.xml Armazena as configurações de comunicação globais. Esse arquivo é

somente para uso interno e não deve ser editado. Ele contém
configurações do Symantec Endpoint Protection Manager. Se você
editar esse arquivo, a maioria das configurações será sobrescrita pelas
configurações do Symantec Endpoint Protection Manager na próxima
vez que o cliente se conectar ao Symantec Endpoint Protection
Manager.
SerState.dat Um arquivo criptografado que armazena as informações sobre a GUI,

como o tamanho da tela , se o console de mensagens e os serviços do
Windows são exibidos. Quando o cliente é iniciado, ele lê esse arquivo
e retorna ao mesmo estado da GUI antes de ser interrompido.
Sobre as configurações de comunicação do cliente e do servidor
Capítulo 9
Relatório de princípios
básicos
■ Sobre o relatório
■ Sobre os relatórios que você pode executar
■ Sobre a exibição de registros e relatórios
■ Como o relatório usa o banco de dados
■ Sobre os eventos registrados da rede
■ Sobre os registros que você pode monitorar
■ Acesso às funções de relatório
■ Associação do host local ao endereço IP quando você tiver endereços de

loopback desativados
■ Sobre o uso de SSL com funções de relatório
■ Uso da página Início do Symantec Endpoint Protection
■ Uso da página Início do Symantec Network Access Control
■ Configuração das preferências de relatório
■ Sobre os horários de verificação do cliente usados nos relatórios e registros
■ Sobre o uso do filtro Últimas 24 horas em relatórios e registros
■ Como usar os filtros que pesquisam grupos nos relatórios e registros

142 Relatório de princípios básicos
Sobre o relatório
Sobre o relatório
As funções do relatório fornecem as informações atualizadas de que você precisa
para monitorar e tomar decisões sobre a segurança da rede. A página Início do
console de gerenciamento exibe gráficos gerados automaticamente que contêm
informações sobre eventos importantes que ocorreram recentemente na rede.
Você pode usar os filtros na página Relatórios para gerar relatórios predefinidos
ou personalizados. Além disso, é possível usar a página Relatórios para exibir
apresentações e estatísticas gráficas sobre os eventos que ocorrem na rede. Use
os filtros na página Monitores para exibir informações mais detalhadas e em
tempo real sobre a rede a partir dos registros.
Se você tiver o Symantec Endpoint Protection instalado, o relatório incluirá os
seguintes recursos:
■ A página Início personalizável com os relatórios mais importantes, status geral
da segurança e links para o Symantec Security Response
■ Exibições de resumos dos relatórios sobre status de antivírus, status da proteção
contra ameaças à rede, status de conformidade e status de sites
■ Relatórios rápidos predefinidos e relatórios gráficos personalizáveis com várias
opções de filtro que você pode configurar
■ A possibilidade de agendar relatórios para serem enviados por e-mail a
destinatários em intervalos regulares
■ Suporte para o banco de dados Microsoft SQL ou um banco de dados interno
para armazenamento de registros de eventos
■ A possibilidade de executar verificações em clientes, ativar a proteção contra
ameaças à rede e o Auto-Protect do cliente e reiniciar computadores
diretamente dos registros
■ A possibilidade de adicionar exclusões de aplicativos diretamente dos registros
■ Notificações configuráveis baseadas nos eventos de segurança
Se você tiver o Symantec Network Access Control instalado, o relatório incluirá
os seguintes recursos:
■ Página Início com uma exibição geral de resumo do status de conformidade
■ Relatórios gráficos predefinidos e personalizáveis com várias opções de filtro
■ Suporte para o banco de dados Microsoft SQL ou um banco de dados interno
para armazenamento de registros de eventos
■ A possibilidade de agendar relatórios para serem enviados por e-mail a
destinatários em intervalos regulares
■ Notificações configuráveis baseadas em eventos de segurança
Relatório de princípios básicos 143
Sobre os relatórios que você pode executar
Os relatórios são executados como um aplicativo da Web no console de

gerenciamento. O aplicativo usa um servidor da Web para fornecer essas
informações. Você também pode acessar as funções do relatório de um navegador
da Web independente conectado ao servidor de gerenciamento.
As tarefas básicas do relatório incluem o seguinte:
■ Fazer logon no relatório com um navegador da Web
■ Usar a página Início e a exibição de resumo para obter informações rápidas
sobre os eventos na rede de segurança
■ Configurar as preferências do relatório
■ Usar links para o Symantec Security Response

O Symantec Endpoint Protection e o Symantec Network Access Control coletam
informações sobre os eventos de segurança na rede. Você pode exibir relatórios
rápidos predefinidos e gerar relatórios personalizados com base nas configurações
de filtro selecionadas. Você também pode salvar configurações de filtro para gerar
os mesmos relatórios personalizados no futuro e excluí-los quando não forem
mais necessários.
A Tabela 9-1 descreve os tipos de relatórios disponíveis.
Tabela 9-1 Tipos de relatórios
Tipo de relatório Descrição
Controle de dispositivos e Exibe informações sobre eventos onde algum tipo de

aplicativos comportamento foi bloqueado. Estes relatórios contêm
informações sobre alertas de segurança de aplicativos,
destinos e dispositivos bloqueados. Os destinos bloqueados
podem ser chaves do registro, dlls, arquivos e processos.
Auditoria Exibe informações sobre as políticas que os clientes e locais

usam atualmente.
Conformidade Exibe informações sobre o status de conformidade da rede.

Estes relatórios contêm informações sobre servidores do
Enforcer, clientes do Enforcer, tráfego do Enforcer e
conformidade do host.
Status do computador Exibe informações sobre o status operacional dos

computadores na rede, por exemplo, quais computadores
têm os recursos de segurança desativados. Estes relatórios
contêm informações sobre versões, clientes que não foram
registrados no servidor, inventário do cliente e status
on-line.
Proteção contra ameaças à Exibe informações sobre prevenção de intrusões, ataques

rede no firewall, tráfego do firewall e pacotes.
Risco Exibe informações sobre eventos de riscos nos servidores

de gerenciamento e seus clientes. Ele contém informações
sobre as verificações proativas de ameaças TruScan.
Verificação Exibe informações sobre a atividade de verificação antivírus

e anti-spyware.
Sistema Exibe informações sobre horas de eventos, tipos de evento,

sites, domínios, servidores e níveis de gravidade.
Consulte “Sobre os relatórios” na página 170.
Nota: Alguns relatórios predefinidos contêm informações obtidas do Symantec

Network Access Control. Se você não tiver adquirido esse produto, mas executar
um dos relatórios do produto, o relatório estará vazio.
Você pode modificar os relatórios predefinidos e salvar a configuração. Também

pode criar novas configurações de filtro com base em uma configuração predefinida
ou em uma configuração existente que você criou. Além disso, você pode excluir
as configurações personalizadas se você precisar mais delas. As configurações
ativas de filtro serão relacionadas no relatório se você tiver definido a configuração
de preferência de registros e relatórios para incluir os filtros nos relatórios.
Consulte “Configuração das preferências de registros e relatórios” na página 163.
Quando você cria um relatório, ele aparece em uma janela separada. É possível
salvar uma cópia do relatório em formato de arquivo da Web ou pode imprimir
uma cópia do relatório. O arquivo salvo ou o relatório impresso fornece um
instantâneo dos atuais dados no banco de dados de relatórios para que você possa
manter um registro do histórico.
Também é possível criar relatórios agendados gerados automaticamente com base
em um agendamento configurado. Você define os filtros do relatório e a hora de
execução do relatório. Quando o relatório for concluído, ele será enviado por e-mail
a um ou mais destinatários.
Sobre a exibição de registros e relatórios
Um relatório agendado sempre é executado por padrão. Você pode alterar as

configurações de qualquer relatório que ainda não foi executado. Você também
pode excluir um ou todos ou relatórios agendados.
Consulte “Criação e exclusão de relatórios agendados” na página 192.
Sobre a exibição de registros e relatórios

A resolução de exibição ideal para as funções de relatórios é de 1024 x 768 ou
superior. Entretanto, você pode visualizar as funções de relatório com uma
resolução de tela de até 800 x 600 usando as barras de rolagem.
Como o relatório usa o banco de dados

O Symantec Endpoint Protection coleta e lê os eventos que ocorrem na rede dos
registros do servidor de gerenciamento armazenados no banco de dados. Esse
banco de dados pode ser um banco de dados Microsoft SQL existente na rede ou
um banco de dados interno instalado com o software do relatório.
O banco de dados tem alguns requisitos de manutenção relacionados com os
relatórios.
Consulte “Sobre o gerenciamento de eventos de registros no banco de dados”
na página 318.
Você poderá obter o esquema do banco de dados que o Symantec Endpoint
Protection usa se quiser gerar os seus próprios relatórios usando o software de
terceiros. Para obter informações sobre o esquema do banco de dados, consulte a
base de conhecimento da Symantec.
Sobre os eventos registrados da rede

O Symantec Endpoint Protection obtém os eventos que são exibidos nos relatórios
dos registros de eventos nos servidores de gerenciamento. Os registros de eventos
contêm carimbos de hora com os fusos horários dos clientes. Quando o servidor
de gerenciamento recebe os eventos, ele converte os carimbos de hora do evento
no horário do Meridiano Greenwich (GMT) para a inserção no banco de dados.
Quando você cria relatórios, o software do relatório exibe informações sobre os
eventos na hora local do computador no qual você exibe os relatórios.
Alguns tipos de eventos como as epidemias de vírus podem resultar em um número
excessivo de eventos de segurança gerados. Esses tipos de eventos são adicionados
antes de serem encaminhados ao servidor de gerenciamento.
Sobre os registros que você pode monitorar
Para obter mais informações sobre os eventos que são exibidos na página Início,
consulte a página Assinaturas de ataques no website do Symantec Security
Response. Na Internet, vá para o URL a seguir:
http://securityresponse.symantec.com/avcenter/attack_sigs/
Sobre os registros que você pode monitorar

Você poderá visualizar os dados de eventos diretamente se desejar focalizar em
eventos específicos. Os registros incluem dados dos servidores de gerenciamento,
bem como de todos os clientes que geram relatórios a esses servidores.
Você pode filtrar os dados de registros, assim como filtra os dados de relatórios.
Você pode exportar os dados de registros para um arquivo delimitado por vírgulas
e exportar alguns dados para um arquivo de texto ou servidor Syslog. Isso é util
para fazer backup dos dados de eventos ou quando desejar usar os dados em uma
planilha ou outro aplicativo.
Consulte “Exportação de dados do registro” na página 217.
Acesso às funções de relatório

O relatório é executado como um aplicativo da Web dentro do console de
gerenciamento. O aplicativo usa um servidor da Web para entregar essas
informações. Você pode acessar as funções de relatório, que estão localizadas na
página Início, na página Monitores e na página Relatórios, a partir do console.
Você também pode acessar as funções das páginas Início, Monitores e Relatórios
a partir de um navegador da Web independente conectado a seu servidor de
gerenciamento. É possível realizar todas as funções de relatório do console ou de
um navegador da Web independente. Entretanto, todas as outras funções do
console não estarão disponíveis ao usar um navegador independente.
Para acessar o relatório a partir de um navegador da Web, você deve ter as
seguintes informações:
■ O endereço IP ou nome do host do servidor de gerenciamento.
■ O nome da conta e a senha para o gerenciador.
Ao usar um navegador da Web para acessar as funções de relatório, não são
exibidas páginas ou ícones de páginas. Todas as guias localizadas nas páginas
Início, Monitores e Relatórios, do console, estão localizadas ao longo da parte
superior da janela do navegador.
As páginas de relatórios e registros são sempre exibidas no idioma do servidor de
gerenciamento instalado. Para exibir essas páginas quando você usa um console
Acesso às funções de relatório
remoto ou navegador, você deve ter a fonte apropriada instalada no computador

usado.
Nota: Para acessar as funções de relatório por qualquer método, você deve ter o
Internet Explorer 6.0 ou superior instalado. Outros navegadores da Web são
incompatíveis.
As informações fornecidas aqui pressupõem que você usa o console de

gerenciamento para acessar as funções de relatório em lugar de um navegador da
Web. Os procedimentos para usar o relatório são semelhantes independente da
forma como você acessar o relatório. Porém, os procedimentos específicos para
usar o relatório em um navegador independente não estão documentados, exceto
como efetuar log on usando um navegador da Web independente.
Nota: Você também pode usar o console ou um navegador da Web para exibir
relatórios quando efetuar log in através de uma sessão de terminal remoto.
Consulte “Como fazer log on no Symantec Endpoint Protection Manager”

na página 41.
A ajuda contextual está disponível clicando-se no link Mais informações, localizado
nas páginas do console usadas para as funções de relatório.
Nota: Se não for utilizada a porta padrão ao instalar as páginas de ajuda para
relatórios, não será possível acessar a ajuda contextual on-line. Para acessar a
ajuda contextual ao usar uma porta não padrão, você deve adicionar uma variável
ao arquivo Reporter.php.
Para efetuar log on no relatório a partir de um navegador da Web independente

1 Abra um navegador da Web.
2 Digite o URL do relatório na caixa de texto do endereço no formato a seguir:
http://nome do servidor /relatórios/index.php?
3 Quando for exibida a caixa de diálogo do logon, digite o nome de usuário e a
senha e clique em Fazer logon.
Se houver mais de um domínio, na caixa de texto Domínio, você precisará
digitar o nome do domínio.
Associação do host local ao endereço IP quando você tiver endereços de loopback desativados
Para alterar a porta usada para acessar a ajuda contextual do relatório

1 Altere o diretório para unidade:\Arquivos de programas\ Symantec\Symantec
Endpoint Protection Manager\Inetpub\Reporting\Resources.
2 Abra o arquivo de configuração Reporter.php com um editor.
3 Adicione a seguinte linha ao arquivo e substitua número da porta pelo número
da porta que você usou ao instalar a Ajuda do relatório.
$scm_http_port=número da porta
4 Salve e feche o arquivo.
Associação do host local ao endereço IP quando você

tiver endereços de loopback desativados
Se você desativou endereços de loopback no computador, as páginas de relatórios
não serão exibidas. Se você tentar fazer log on no console de gerenciamento ou
acessar as funções de relatórios, você verá a seguinte mensagem de erro:
Não é possível comunicar-se com o componente de relatórios
As páginas Início, Monitores e Relatórios estão em branco; as páginas Políticas,
Clientes e Admin verificam e funcionam normalmente.
Para obter os componentes de relatórios a serem exibidos quando você desativar
endereços de loopback, é necessário associar a palavra localhost com o endereço
IP do seu computador. Você pode editar o arquivo hosts do Windows para associar
o localhost a um endereço IP.
Para associar o host local ao endereço IP em computadores que executam Windows
1 Altere o diretório para o local do arquivo hosts.
Por padrão, o arquivo hosts está localizado em
%SystemRoot%\system32\drivers\etc
2 Abra o arquivo hosts com um editor.
3 Adicione a seguinte linha ao arquivo hosts:
xxx.xxx.xxx.xxx localhost #para fazer logon nas funções de relatórios
em que você substitui xxx.xxx.xxx.xxx com o endereço IP do seu computador.
Você pode adicionar qualquer comentário que desejar após o símbolo de
cerquilha (#). Por exemplo, é possível digitar a seguinte linha:
192.168.1.100 localhost # esta entrada é para meu computador do console de
gerenciamento
4 Salve e feche o arquivo.
Sobre o uso de SSL com funções de relatório
Sobre o uso de SSL com funções de relatório

Você pode usar SSL com funções de relatório para aumentar a segurança. O SSL
oferece confidencialidade, integridade de seus dados e autenticação entre o cliente
e o servidor.
Para obter informações sobre o uso de SSL com as funções de relatório, consulte
"Configuração do SSL para trabalhar com as funções de relatório do Symantec
Endpoint Protection" na base de conhecimento da Symantec, no seguinte URL:
http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2007072512593748
Uso da página Início do Symantec Endpoint Protection

Se o Symantec Endpoint Protection estiver instalado e os direitos da conta do
administrador incluírem a permissão para exibição de relatórios, a página Início
exibirá automaticamente os relatórios gerados. Os relatórios contêm informações
importantes sobre a segurança da rede. Se você não tiver permissão para exibir
relatórios, a página Início não conterá esses relatórios gerados automaticamente.
A Figura 9-1 mostra um modelo de página Início que os administradores que
possuem permissão para exibir relatórios podem visualizar.
Figura 9-1 Modelo de página Início do Symantec Endpoint Protection no console
A página Início inclui relatórios gerados automaticamente e vários itens de status.

Alguns relatórios da página Início possuem um hiperlink para relatórios mais
detalhados. Você pode clicar nos números e em alguns gráficos nos relatórios de
página Início para ver os detalhes.
Nota: Os relatórios são filtrados automaticamente com base nas permissão do

usuário que estiver conectado. Se você for um administrador de sistema, você
verá informações entre domínios. Se você for um administrador com direitos de
acesso limitados a um único domínio, você apenas verá informações do domínio
em questão.
A Tabela 9-2 descreve em detalhes cada um dos itens da página Início do Symantec
Endpoint Protection.
Tabela 9-2 Itens e relatórios da página Início
Informações sobre o relatório ou Descrição

status
Status de segurança O status de segurança pode ser Bom ou Atenção necessária. Os limites que
você definir na guia Status de segurança determinarão as definições de Bom
e Atenção necessária. Você pode acessar a guia Status de segurança a partir
do link Preferências na página Início.
Consulte “Configuração dos limites de status de segurança” na página 163.
Você pode clicar no ícone Status de segurança na página Início para obter
detalhes.

status
Resumo das ações por contagem de A página Início, por padrão, exibe um resumo de ações das últimas 24 horas
detecções | Resumo das ações por e por contagem de infecções de vírus e riscos à segurança. Você pode clicar
número de computadores no link Preferências para alterar o intervalo de tempo usado para a última
semana, em vez de as últimas 24 horas. É possível usar o mesmo link para
alterar da exibição por total de detecções para a exibição por número de
computadores.
Consulte “Sobre as opções de exibição da página inicial e monitores”

na página 162.
O Resumo de ações por total de detecções contém as seguintes informações:
■ Uma contagem das ações tomadas em vírus e riscos à segurança.

■ A incidência de detecções de novos vírus e riscos à segurança.
■ O número de computadores que permanecem infectados por vírus e riscos
à segurança.
O Resumo de ações por número de computadores contém as seguintes
informações:
■ O número de diferentes computadores em que as várias ações foram

tomadas sobre vírus e riscos à segurança.
■ O número total de detecções de novos vírus e riscos à segurança.
■ O número total de computadores que ainda permanecem infectados por
vírus e riscos à segurança.
Por exemplo, suponhamos que haja cinco ações Limpo na exibição do total
de detecções. Se todas as detecções ocorrem no mesmo computador, então a
exibição por número de computadores exibe a contagem de um, e não de
cinco.
Em qualquer uma das ações, clique no número de vírus ou riscos à segurança

para exibir um relatório detalhado.
Um risco suspeito à segurança indica que uma verificação proativa de ameaças

TruScan detectou algo que você deve investigar. Pode tratar-se de algo
inofensivo ou não. Se você determinar que esse risco é inofensivo, poderá
utilizar a política de exceções centralizadas para excluí-lo de futuras
detecções. Se você configurou as verificações proativas de ameaças TruScan
para fazer um registro e determinar que esse risco é prejudicial, você poderá
usar a política de exceções centralizadas para encerrar o risco ou colocá-lo
em quarentena. Se você usou as configurações padrão da verificação proativa
de ameaças TruScan, então o Symantec Endpoint Protection não poderá
corrigir esse risco. Se você determinar que esse risco é prejudicial, deverá
removê-lo manualmente.

status
Resumo das ações por contagem de O total de Infectado recentemente mostra o número de riscos que infectaram
detecções| Resumo das ações por computadores somente durante o intervalo de tempo selecionado. Infectado
número de computadores recentemente é um subconjunto de Ainda infectado. O total de Infectado
recentemente mostra o número total de riscos que uma verificação continuaria
(Continuação)
a classificar como infectados, também durante o intervalo de tempo
selecionado. Por exemplo, o computador pode estar ainda infectado porque
o Symantec Endpoint Protection somente pode remover o risco parcialmente.
Após investigar o risco, você poderá limpar o total de Ainda infectado do
registro do Status do computador.
Tanto o total de Infectado recentemente como o total de Ainda infectado

mostram os riscos que exigem que você tome outras ações para limpá-los.
Na maioria dos casos, você poderá tomar essa ação a partir do console e não
necessitará ir até o computador.
Nota: Um computador será contado como parte do total de Infectado
recentemente se o evento de detecção ocorrer durante o intervalo de tempo
da página Início. Por exemplo, se um risco não corrigido afetar um computador
nas últimas 24 horas, o total de Infectado recentemente aumentará na página
Início. O risco pode não ter sido corrigido devido a uma correção parcial ou
porque a política de segurança para esse risco está definida como Somente
registro.
Você pode configurar uma varredura de banco de dados para remover ou

reter os eventos de detecção que resultaram em riscos não corrigidos. Se a
varredura está configurada para remover os eventos de riscos não corrigidos,
o total da página Início para Ainda infectado não conterá mais esses eventos.
Tais eventos expiram e são removidos do banco de dados. O desaparecimento
não significa que os computadores foram corrigidos.
Não há limite de tempo aplicável para as entradas em Ainda infectado. Após

limpar os riscos, é possível alterar o status de infecção do computador. Para
alterar o status no registro do Status do computador, clique no ícone
correspondente ao computador na coluna Infectado.
Nota: A contagem de Infectado recentemente não diminui quando o status
de infecção de um computador é eliminado do registro do Status do
computador; a contagem de Ainda infectado diminui.
Você pode determinar o número total de eventos que ocorreram no último

período configurado para mostrar na página Início. Para determinar o número
total, adicione os totais de todas as linhas do Resumo de ações, exceto o de
Ainda infectado.
Consulte “Exibição de registros” na página 207.


status
Ataques | Riscos | Infecções Por hora: Este relatório consiste em um gráfico de linha. O gráfico de linha mostra a
Últimas 12 horas | Por dia: Últimas 24 incidência de ataques, detecções ou infecções na rede de segurança nas últimas
horas 12 ou 24 horas. Você pode selecionar uma das opções a seguir para exibição:
■ Ataques representam os incidentes prevenidos pela proteção contra

ameaças à rede.
■ Os riscos representam todas as detecções de antivírus, anti-spyware e
verificação proativa de ameaças TruScan que foram realizadas.
■ Infecções representam os vírus e riscos à segurança detectados, mas que
não puderam ser devidamente corrigidos.
Para alterar a exibição, clique em uma nova exibição na caixa de listagem.

Nota: Você pode clicar no link Preferências para alterar o intervalo de tempo
padrão usado.
Consulte “Sobre as opções de exibição da página inicial e monitores”

na página 162.
Resumo do status das notificações O Resumo do status das notificações mostra, em uma linha, o status das
notificações que você configurou. Por exemplo, 100 notificações não
confirmadas nas últimas 24 horas.
Consulte “Criação de notificações do administrador” na página 223.
Resumo do status O Resumo do status mostra o estado operacional dos computadores na rede.
Ele contém o número de computadores na rede que apresentam os seguintes
problemas:
■ O mecanismo do antivírus está desativado.

■ O Auto-Protect está desativado.
■ A proteção contra adulterações está desativada.
■ Os computadores necessitam ser reiniciados para concluir algumas formas
de correção de riscos ou para concluir a instalação de um download do
software LiveUpdate.
■ Os computadores não passaram em uma verificação de integridade do
host.
Esse número será sempre zero se você não tiver o Symantec Network
Access Control instalado.
Você pode clicar em cada número no Resumo do status para obter detalhes.
Também é exibido o número de notificações não confirmadas nas últimas 24

horas.

status
Distribuição das definições de vírus As seções Distribuição das definições de vírus e Assinaturas de prevenção de
|Assinaturas de prevenção de intrusões da página Início mostram como as definições de vírus e assinaturas
intrusões de IPS atuais estão distribuídas.
Para alternar entre elas, clique em uma nova exibição na caixa de listagem.
Security Response A seção Security Response exibe as Maiores ameaças e as Últimas ameaças,
conforme determinado pelo Symantec Security Response. Também exibe o
número de computadores desprotegidos dessas ameaças à rede. O medidor
ThreatCon indica o nível atual de gravidade de ameaças a computadores em
uma rede. Os níveis de gravidade baseiam-se nas avaliações de ameaças
realizadas pelo Symantec Security Response. O nível de gravidade do
ThreatCon oferece uma visão geral da segurança global da Internet.
Você pode clicar em qualquer um dos links para obter mais informações.
Consulte “Sobre o uso dos links do Security Response” na página 157.

Nota: A Symantec não recomenda a instalação do Symantec Client Firewall
no mesmo computador do Symantec Endpoint Protection Manager. Se ambos
forem instalados no mesmo computador, essa situação poderá causar erros
CGI ao clicar nos links da Security Response na página Início.
Resumo dos aplicativos observados O Resumo dos aplicativos observados mostra as ocorrências de aplicativos
na rede que se encontram nas seguintes listas:
■ Lista de aplicativos comerciais Symantec

■ Lista de Detecções proativas de ameaça TruScan forçada, que é sua lista
personalizada de aplicativos observados
Você pode clicar em um número para exibir um relatório mais detalhado.
Relatórios favoritos A seção Relatórios favoritos contém três relatórios padrão. Você pode
personalizar essa seção substituindo um ou mais desses relatórios por
qualquer outro relatório padrão ou personalizar o relatório que desejar. Os
relatórios favoritos serão executados sempre que você visualizá-los, para que
esses dados permaneçam atuais. Eles são exibidos em uma nova janela.
Para selecionar esses relatórios que você deseja acessar a partir da página
Início, você pode clicar no ícone (+), ao lado de Relatórios favoritos.
Você pode usar o link Preferências para alterar o intervalo de tempo dos relatórios
e dos resumos exibidos nessas páginas. O valor padrão é o de últimas 24 horas; a
outra opção é a de última semana. Você também pode alterar os relatórios padrão
exibidos na seção Relatórios Favoritos da página Início.
Configuração dos relatórios favoritos na página Início

Você pode configurar a seção Relatórios favoritos na página Início para fornecer
links para até três relatórios que você deseja visualizar regularmente. É possível
usar esse recurso para exibir os relatórios que você deseja visualizar com maior
freqüência, toda vez que efetuar login no console de gerenciamento. Os relatórios
favoritos são executados toda vez que forem visualizados. Portanto, eles exibem
informações atuais sobre o estado da rede.
Os seguintes relatórios aparecem em Relatórios favoritos por padrão:
■ Correlação de principais detecções de riscos
■ Distribuição proativa de ameaças TruScan
Nota: Quando você personaliza a exibição, somente a exibição da conta do usuário

conectado atualmente é personalizada.
As configurações que você definir nesta página serão salvas em todas as sessões.
Na próxima vez em que você efetuar logon no console de gerenciamento com as
mesmas credenciais do usuário, essas configurações serão usadas para a exibição
da página Início.
A Tabela 9-3 descreve as opções de exibição da página Início.
Tabela 9-3 Opções de exibição dos relatórios favoritos da página Início
Opção Definição
Tipo de relatório Especifica os tipos de relatórios disponíveis.

O Symantec Endpoint Protection oferece os seguintes tipos de
relatórios:
■ Controle de dispositivos e aplicativos

■ Auditar
■ Conformidade
■ Status do computador
■ Risco
■ Verificação
■ Sistema
Nome do relatório Relaciona os nomes dos relatórios disponíveis para o tipo de

relatório selecionado.
Opção Definição
Filtro Se você tiver salvo filtros associados com o relatório selecionado,

eles aparecerão nessa caixa de listagem. O filtro padrão é sempre
relacionado.
Para configurar os relatórios favoritos na página Início

1 Clique em Local.
2 Clique no ícone (+) ao lado de Relatórios favoritos.
3 Na caixa de listagem do relatório que você deseja alterar, clique em um tipo
de relatório. Por exemplo, clique em Risco.
4 Na caixa de listagem, clique no nome do relatório que você deseja usar. Por
exemplo, clique em Distribuição de riscos ao longo do tempo.
5 Se você tiver salvo filtros associados com o relatório selecionado, selecione
o que você deseja usar ou o filtro padrão.
6 Repita o mesmo procedimento para os outros dois links, se desejar.
7 Clique em OK.
Os links para os relatórios que você selecionou aparecem na página Início.
Sobre o uso dos links do Security Response

A página Início contém um resumo baseado nas informações do website do
Symantec Security Response. O gráfico com o nível de gravidade do ThreatCon
será exibido, bem como os links do website do Symantec Security Response e de
outros websites de segurança. O nível do ThreatCon mostra a condição da Internet
durante as últimas 24 horas. O nível é reavaliado a cada 24 horas a menos que a
atividade de Internet precise ser reavaliada mais cedo.
Os níveis do ThreatCon são os seguintes:
■ 1 - Normal
Nenhuma atividade de incidente da rede detectada e nenhuma atividade com
código malicioso com classificação moderada ou de risco severo. Em condições
normais, somente uma postura de segurança rotineira, projetada para derrotar
ameaças normais da rede, é necessária. Os sistemas automatizados e
mecanismos de notificação deveriam ser usados.
■ 2 - Elevado
O conhecimento ou a expectativa da atividade do ataque está presente, sem
ocorrência de eventos específicos. Esta classificação é usada quando o código
malicioso é categorizado como risco moderado. Sob essa condição, é adequado
realizar um exame detalhado dos sistemas vulneráveis e expostos. Os

aplicativos de segurança devem ser atualizados com as novas assinaturas e
regras assim que ficarem disponíveis. O monitoramento cuidadoso dos registros
é recomendado, mas nenhuma alteração na infra-estrutura de segurança real
é necessária.
■ 3 - Alto
Este nível aplica-se quando uma ameaça isolada da infra-estrutura de
computação está em execução atualmente ou quando um código malicioso é
classificado como risco grave. Sob essa condição, é necessário aumentar o
monitoramento. Os aplicativos de segurança devem ser atualizados com as
novas assinaturas e regras assim que ficarem disponíveis. Recomenda-se
implementar e configurar novamente os sistemas de segurança.
■ 4 - Extremo
Este nível aplica-se quando a atividade de incidente da rede global extrema
está em andamento. Se você implementar medidas nessa condição de ameaça
por um período de tempo longo, poderá prejudicar e afetar as operações normais
da infra-estrutura da rede.
Para obter mais informações sobre os níveis de ameaça, clique no link da Symantec
para exibir o website.
Nota: Os riscos à segurança específicos são classificados de 1 a 5.
Cada link exibe uma página em uma nova janela.

A Tabela 9-4 descreve os links do Security Response.
Tabela 9-4 Links do Security Response na página inicial do relatório
Link Que tipo de informação ele exibe
Alertas de segurança Exibe um resumo de ameaças em potencial à rede de segurança

baseado nas informações do Symantec Security Response. O
resumo inclui as ameaças mais recentes, as principais ameaças e
os links para ferramentas de remoção.
Também é possível pesquisar no banco de dados de ameaças do

Symantec Security Response.
Symantec Exibe o website da Symantec. Você pode obter informações sobre

os vírus e riscos à segurança, fazer o download das definições de
vírus e obter as notícias mais recentes sobre os produtos de
segurança da Symantec.
Uso da página Início do Symantec Network Access Control
Link Que tipo de informação ele exibe
Definições Exibe a página de download das definições de vírus do website da

Symantec.
Últimas ameaças Exibe o website do Symantec Security Response, que mostra as

ameaças e os avisos de segurança mais recentes.
Security Focus Abre o website do Security Focus, que mostra as informações sobre
os vírus mais recentes.
Uso da página Início do Symantec Network Access

Control
Se o Symantec Network Access Control estiver instalado em seu computador e se
você tiver permissão para visualizar os relatórios, sua página Início exibirá resumos
gerados automaticamente. Esses relatórios contêm informações importantes sobre
o status de conformidade da rede. Alguns resumos têm um hiperlink que permite
visualizar relatórios mais detalhados. Você pode clicar no gráfico e nos números
e nos resumos, para ver os detalhes.
Nota: Os relatórios são filtrados automaticamente, com base nas permissões do

usuário registrado. Se você for um administrador do sistema, terá acesso a
informações em diferentes domínios. Se você for um administrador limitado com
direitos de acesso para apenas um domínio, terá acesso somente às informações
daquele domínio.
A Figura 9-2 mostra como a página Início do Symantec Network Access Control
é exibida.
Uso da página Início do Symantec Network Access Control
Figura 9-2 Página Início do Symantec Network Access Control
A Tabela 9-5 descreve os relatórios da página Início para o Symantec Network

Access Control.
Tabela 9-5 Resumos da página Início do Symantec Network Access Control
Resumo Descrição
Status de falha de conformidade da A seção Status de falha de conformidade da rede

rede fornece um instantâneo da conformidade geral em
sua rede para o período de tempo configurado. Ela
exibe os clientes que tentaram conectar-se à rede,
mas não puderam porque estavam em não
conformidade.
Distribuição do status de Exibe os clientes que não passaram na verificação

conformidade de integridade do host executada em seus
computadores.
Resumo de clientes por falha de Esse resumo exibe a taxa de falha do requisito geral
conformidade de conformidade. Ele exibe um gráfico de barras que
mostra uma contagem de estações de trabalho
exclusivas pelo tipo de evento de controle de falha.
Exemplos de tipos de evento de controle de falha são
um antivírus, um firewall ou um problema de VPN.
Configuração das preferências de relatório
Resumo Descrição
Detalhes de falha de conformidade Fornece um gráfico de barras mais detalhado que o

Resumo de clientes por falha de conformidade. Por
exemplo, se o Resumo de clientes por falha de
conformidade exibe dez clientes com uma falha de
conformidade de antivírus.
Por outro lado, esse relatório exibe os detalhes a
seguir:
■ No momento, quatro clientes não têm um

software de antivírus em execução.
■ Dois clientes não têm um software de antivírus
instalado.
■ Quatro clientes têm arquivos de definições de
antivírus desatualizados.
Se somente o Symantec Network Access Control estiver instalado, os relatórios

da página Início não poderão ser personalizados, exceto nos períodos cobertos
pelos relatórios e resumos. É possível alterar o período de tempo usando o link
Preferências. As opções são a última semana e as últimas 24 horas.
Nota: Se você for um administrador do sistema, terá acesso a informações em

diferentes domínios. Se você for um administrador limitado com direitos de acesso
para apenas um domínio, terá acesso somente às informações de um domínio.

É possível configurar as preferências de relatório:
■ As opções de exibição da Página inicial e monitores
■ Os limites do status de segurança
■ As opções de exibição utilizadas para os logs e relatórios, bem como o
carregamento do arquivo de log herdado
Para obter informações sobre as opções de preferência definidas, você pode clicar
em Ajuda em cada guia na caixa de diálogo Preferências.
Para configurar as preferências de relatório
1 No console, na página Início, clique em Preferências.
2 Clique nas seguintes guias, dependendo do tipo de preferências que deseja
definir:
■ Página inicial e monitores

■ Status da segurança
■ Registros e relatórios
3 Defina os valores para as opções que deseja alterar.

4 Clique em OK.
Sobre as opções de exibição da página inicial e monitores

Você pode definir as seguintes preferências para a página Início e a guia Exibir
resumo da página Monitores:
■ A unidade de tempo usada para os relatórios na página Início e na guia Exibir
resumo na página Monitores
■ A taxa na qual a página Início e a guia Exibir resumo da página Monitores são
atualizadas automaticamente
■ A extensão das notificações incluídas no total de notificações não confirmadas
na página Início
■ O conteúdo do Resumo da ação na página Início
Por padrão, você vê as informações das últimas 24 horas, mas você pode alterá-las
na semana passada se desejar.
Você também pode configurar a taxa na qual a página Início e a guia Exibir resumo
da página Monitores são atualizadas automaticamente. Os valores válidos variam
de nunca para a cada 5 minutos.
Nota: Para configurar a taxa na qual os logs individuais são atualizados, você pode
exibir o log que deseja visualizar. Então, você pode selecionar a taxa na qual deseja
que a caixa da lista de atualização automática na qual visualizar o log.
Se você for o administrador do sistema, poderá configurar a contagem da página

Início para incluir somente as notificações criadas mas não confirmadas. Por
padrão, os administradores do sistema visualizam o número total de notificações
não confirmadas, independentemente de quem criou as notificações. Se você for
um administrador limitado, a contagem de notificações não confirmadas sempre
consistirá exclusivamente em notificações que foram criadas por você mesmo,
mas não foram confirmadas.
Você pode configurar o Resumo da ação na página Início para exibir a contagem
de detecção nos computadores ou pelo número de computadores.
Para obter descrições dessas opções de exibição, consulte a ajuda contextual para
a guia Página inicial e monitores. Você pode acessar a ajuda contextual no link
Preferências, em Início.
Configuração dos limites de status de segurança

Os limites do status de segurança que você definir determinarão quando a
mensagem Status de segurança na página Início do console de gerenciamento
será considerada insatisfatória. Os limites são expressos como um percentual e
refletem quando a sua rede é considerada como não estando em conformidade
com as suas políticas de segurança. Por exemplo, você pode definir o percentual
de computadores com definições de vírus desatualizados que aciona um status de
segurança insatisfatório. Você também pode definir quantos dias as definições
precisam ser qualificadas como desatualizadas. O Symantec Endpoint Protection
determina que é atual quando calcula se as assinaturas ou definições estão
desatualizadas da seguinte forma. Seu padrão são as definições de vírus mais
atuais e as datas de assinatura IPS disponíveis no servidor de gerenciamento no
qual o console de gerenciamento é executado.
Nota: Se você tiver somente o Symantec Network Access Control instalado, não
será necessário ter uma guia Status de segurança para configurar os limites de
segurança.
a guia Status de segurança. Você pode acessar a ajuda contextual no link
Para configurar os limites de status de segurança
1 No console, na página Início, clique em Preferências.
2 Na guia Status de segurança, marque os itens que deseja incluir nos critérios
que definem o status de segurança geral da página Início.
3 Para cada item, digite o número desejado para acionar um status de segurança
Atenção necessária.
4 Clique em OK.
Configuração das preferências de registros e relatórios

É possível definir as preferências nas seguintes áreas para registros e relatórios:
■ O formato e o separador usados para exibir a data.
Sobre os horários de verificação do cliente usados nos relatórios e registros
■ O número de linhas, o fuso horário e o formato de endereço IP usados para

exibição de tabelas
■ A exibição de filtros em relatórios e notificações
■ A disponibilidade de dados do registro dos computadores na rede que executam
o software Symantec Antivirus 10.x.
a guia Registros e relatórios. Você pode acessar a ajuda contextual no link
Nota: O formato de exibição da data definido aqui não se aplica a datas de definições
de vírus e a versões exibidas em colunas de tabelas. Esses itens sempre usam o
formato A-M-D.
Sobre os horários de verificação do cliente usados

nos relatórios e registros
Os relatórios e os registros exibem os horários de verificação do cliente usando o
fuso horário do console. Por exemplo, suponhamos que o cliente esteja no horário
padrão do Pacífico nos Estados Unidos e é verificado às 20:00h PST. Se o console
estiver no horário padrão do leste dos Estados Unidos, o horário exibido para esta
verificação será 23:00h EST.
Se os clientes estiverem em uma zona de horário diferente do servidor de
gerenciamento e você usar a opção de filtro Definir datas específicas, poderá haver
resultados inesperados.
As condições a seguir afetam o filtro de horário Definir datas específicas:
■ A precisão dos dados e do horário no cliente
■ A precisão dos dados e do horário no servidor de gerenciamento
Nota: Se você alterar o fuso horário no servidor, faça logoff do console e faça o
logon novamente para ver os horários exatos nos registros e relatórios.
Sobre o uso do filtro Últimas 24 horas em relatórios

e registros
Se você selecionar Últimas 24 como o intervalo de tempo da exibição de um
relatório ou registro, o intervalo começará quando você selecionar o filtro. Se você
Como usar os filtros que pesquisam grupos nos relatórios e registros
atualizar a página, o início do intervalo de 24 horas não será redefinido. Se você

selecionar o filtro e aguardar para criar um relatório, o intervalo de tempo
começará quando você selecionar o filtro. Essa condição também aplica-se ao
visualizar um registro de evento ou alerta. O intervalo de tempo não começa
quando você cria o relatório ou visualiza o registro.
Se você deseja verificar se o intervalo de últimas 24 horas começa agora, selecione
um intervalo de tempo diferente e selecione novamente Últimas 24 horas.
Nota: O início do filtro de intervalo das últimas 24 horas na página inicial é

determinado no momento em que essa página é acessada.
Como usar os filtros que pesquisam grupos nos

relatórios e registros
Como todos os grupos são subgrupos do grupo pai Global, quando esse filtro
pesquisa grupos, ele o faz hierarquicamente, começando pela string Global. Se o
nome do grupo não iniciar com a letra g, você deverá colocar um asterisco antes
da string que está pesquisando. Ou poderá iniciar a string com g* quando usar
caracteres curingas.
Por exemplo, se você tiver um grupo denominado Serviços e digitar s* nessa caixa,
nenhum grupo será encontrado e usado na exibição. Para encontrar um grupo
denominado Serviços, será necessário usar a string *s*. Se houver mais de um
grupo com a letra s, você poderá usar uma string como, por exemplo, *ser*.
Como usar os filtros que pesquisam grupos nos relatórios e registros
Capítulo 10
Exibição e configuração de
relatórios
■ Visualização de relatórios
■ Sobre os relatórios
■ Informações importantes sobre o relatório
■ Como criar relatórios rápidos
■ Como salvar e excluir os filtros de relatórios salvos
■ Como imprimir e salvar a cópia de um relatório
■ Criação e exclusão de relatórios agendados
Visualização de relatórios
Use a página Relatórios para executar, visualizar, imprimir e agendar relatórios
a serem executados regularmente.
A Figura 10-1 mostra um exemplo de um relatório de risco.
168 Exibição e configuração de relatórios
Figura 10-1 Relatório de amostra
Sobre a exibição de gráficos em linha em relatórios

Os gráficos de linha mostram a progressão ao longo do tempo. As unidades são
exibidas no eixo x dependem do intervalo de tempo selecionado.
A Tabela 10-1 mostra a unidade do eixo x usada para cada intervalo de tempo
selecionada para gráficos em linha.
Tabela 10-1 As unidades do eixo x para o intervalo de tempo selecionado
Intervalo de tempo Unidade do eixo x
Últimas 24 horas hora

Exibição e configuração de relatórios 169
Intervalo de tempo Unidade do eixo x
Última semana dia
Mês anterior
Mês atual
Últimos 3 meses
Último ano mês
Intervalo de tempo um dia (quaisquer 24 horas) é por hora
superior a 1 dia mas inferior ou igual a 7 dias é por hora
superior a 7 dias mas inferior ou igual a 31 dias é por dia
superior a 31 dias mas inferior ou igual a 2 anos é por mês
superior a 2 anos é por ano
Sobre a visualização de gráficos de barra

Nos relatórios que contêm histogramas ou gráficos de barras envolvendo ameaças,
use o mouse para mover os gráficos de barras e ver os nomes das ameaças.
Exibição dos relatórios em idiomas asiáticos

Os histogramas e gráficos de barra 3D são criados no servidor como imagens antes
que os gráficos sejam enviados para o navegador. Por padrão, o servidor que você
usa para criar esses gráficos procura a fonte MS Arial Unicode. MS Arial Unicode
está disponível no Microsoft Office e exibe corretamente todos os idiomas
compatíveis. Se a fonte MS Arial Unicode não for encontrada, o servidor usará a
fonte Lucida Sans Unicode.
Alguns relatórios dos servidores que exibem um idioma asiático não exibem
corretamente o texto do gráfico a menos que a fonte MS Arial Unicode esteja
instalada no servidor. Esse problema ocorre se o relatório incluir um histograma
ou um gráfico de barra 3D. Se você não tiver a fonte MS Arial Unicode instalada
no servidor, poderá configurar seu servidor para evitar esse requisito. É possível
configurar o Symantec Endpoint Protection para usar qualquer fonte ativada por
Unicode existente que suporte os idiomas em seu ambiente.
Para alterar a fonte usada para exibir relatórios
1 Altere o diretório para unidade:\Arquivos de programas\ Symantec\Symantec
Endpoint Protection Manager\Inetpub\Reporting\Common.
2 Abra o arquivo de configuração i18nCommon.bundle com um editor.
Sobre os relatórios
3 Digite o nome do arquivo de fonte que você deseja usar depois do sinal de
igual (=) seguindo à variável SPECIAL_FONT. Por exemplo, se você quiser
usar Arial, deverá digitar o seguinte:
SPECIAL_FONT=arial.ttf
4 Salve o arquivo no formato UTF-8 e feche-o.
5 Certifique-se de que o arquivo de fonte digitado esteja localizado no diretório
%WINDIR%\fonts.
Os relatórios rápidos são relatórios que podem ser imprimidos sob demanda, na
guia Relatórios rápidos na página Relatórios.
A Tabela 10-2 descreve os tipos de relatórios rápidos.
Tabela 10-2 Tipos de relatórios rápidos
Controle de dispositivos e Os relatórios do controle de dispositivos e aplicativos contêm as informações sobre

aplicativos os eventos onde o acesso a um computador foi bloqueado ou um dispositivo foi mantido
fora da rede.
Auditoria O relatório de auditoria contém informações sobre atividades de modificações na

política, como tipos e horas dos eventos, modificações na política, domínios, sites,
administradores e descrições.
Conformidade Os relatórios de conformidade contêm informações sobre servidores do Enforcer,

clientes do Enforcer, tráfego do Enforcer e conformidade do host.
Status do computador Os relatórios de status do computador contêm informações em tempo real sobre o
status operacional dos computadores na rede.
Proteção contra ameaças à Os relatórios da proteção contra ameaças à rede permitem rastrear as atividades de
rede um computador e sua interação com outros computadores e redes. Eles registram
informações sobre o tráfego que tenta entrar ou sair dos computadores por meio das
conexões com a rede.
Risco Os relatórios de risco contêm informações sobre eventos de riscos nos servidores de
gerenciamento e seus clientes.
Verificação Os relatórios de verificação fornecem informações sobre atividades de verificação

antivírus e anti-spyware.
Sistema Os relatórios de sistema contêm informações úteis para solucionar problemas no

cliente.
Esta seção descreve os relatórios por seus nomes e conteúdo geral. Você pode
definir as configurações avançadas e as básicas de todos os relatórios para
selecionar os dados que deseja exibir. Você também pode salvar seu filtro
personalizado com um nome distinto, para que seja possível executar o mesmo
relatório personalizado posteriormente.
Se você tem vários domínios na rede, muitos relatórios permitem exibir os dados
de todos os domínios ou de um ou alguns sites. O padrão de todos os relatórios
rápidos é a exibição de todos os domínios, grupos, servidores e assim por diante,
conforme apropriado para o relatório que você selecionar.
Nota: Se você tiver somente o Symantec Network Access Control instalado, haverá
um grande número de relatórios vazios. Os relatórios do controle de dispositivos
e aplicativos, da proteção contra ameaças à rede, de risco e de verificação não
terão nenhum dado. Os relatórios de conformidade e auditoria conterão dados,
assim como alguns dos relatórios de sistema e status do computador.
Para obter uma descrição de cada opção configurável, clique em Mais informações
para esse tipo de relatório no console. A opção Mais informações exibe a ajuda
contextual.
Consulte “Como criar relatórios rápidos” na página 185.
A Tabela 10-3 descreve os relatórios do controle de dispositivos e aplicativos que
estão disponíveis.
Tabela 10-3 Relatórios do Controle de dispositivos e aplicativos
Nome do relatório Descrição
Principais grupos com Este relatório consiste em um gráfico com barras relacionadas. Ele mostra os grupos
registros de controle de com registros de controle de aplicativos que geraram o maior número de alertas de
aplicativos com maior segurança.
número de alertas
Principais alvos bloqueados Este relatório consiste em um gráfico com barras relacionadas para cada um dos
seguintes alvos, se aplicável:
■ Principais arquivos
■ Principais chaves de registro
■ Principais processos
■ Principais módulos (dlls)
Principais dispositivos Este relatório consiste em um gráfico com uma barra relacionada que mostra os
bloqueados dispositivos com acesso à rede mais freqüentemente bloqueado.
A Tabela 10-4 descreve o relatório de auditoria disponível.

Tabela 10-4 Relatório de auditoria
Políticas usadas Este relatório exibe as políticas que clientes e locais usam atualmente. Suas
informações incluem nome do domínio, nome do grupo e o número de série da política
aplicada a cada grupo.
A Tabela 10-5 descreve os relatórios de conformidade disponíveis.
Tabela 10-5 Relatórios de conformidade
Status de conformidade da Este relatório consiste em um gráfico de linhas e uma tabela. Ele exibe a hora do
rede evento, o número de ataques e o percentual de ataques em cada um deles.
Você pode exibir o número total de clientes para os quais estas ações de conformidade
foram aplicadas no intervalo de tempo selecionado:
■ Autenticado
■ Desconectado
■ Falhou
■ Passou
■ Rejeitado
Status de conformidade Você pode selecionar uma ação para exibir um gráfico de linhas que mostra um dos
itens a seguir:
■ O número total de clientes que passaram em uma verificação de integridade do

host na rede no intervalo de tempo selecionado
■ O número total de clientes que falharam em uma verificação de integridade do
host na rede no intervalo de tempo selecionado
Este relatório também inclui uma tabela que exibe a hora do evento, o número de
clientes e o percentual de ataques em cada um deles.
Resumo de clientes por falha Estes relatórios consistem em um gráfico de barras que exibe as seguintes informações:
de conformidade
■ Contagem das estações de trabalho exclusivas pelo tipo de evento de falha de
controle, como antivírus, firewall ou VPN.
■ Número total de clientes no grupo.
Detalhes de falha de Este relatório consiste em uma tabela que exibe o número de computadores exclusivos,
conformidade listados por falha de controle. Ele exibe a regra e os critérios envolvidos em cada
falha. Ele inclui o percentual de clientes que foram implementados e o percentual de
falhas.
Clientes sem conformidade Este relatório consiste em uma tabela que mostra os eventos de falha de conformidade.
por local Estes eventos são exibidos em grupos com base no local. As informações incluem os
computadores exclusivos que falharam e o percentual de falhas em relação ao total
e ao local.
A Tabela 10-6 descreve os relatórios de status do computador disponíveis.
Tabela 10-6 Relatórios de status do computador
Distribuição das definições Este relatório exibe as versões exclusivas de arquivos de definições de vírus usadas
de vírus em toda a rede e o número e o percentual de computadores que usa cada uma das
versões. Ele consiste em um gráfico, uma tabela e barras relacionadas.
Computadores não Este relatório exibe uma lista de todos os computadores que não se conectaram ao
conectados ao servidor seu servidor. Ele também exibe o endereço IP do computador, a hora da última conexão
e o usuário que estava conectado naquele momento.
Versões do produto Este relatório exibe a lista dos números de todas as versões dos produtos Symantec
Symantec Endpoint Endpoint Protection na rede. Ele também inclui o domínio e o servidor de cada um
Protection deles, assim como o número de computadores e o percentual de cada um. Ele consiste
em um gráfico e barras relacionadas.
Distribuição de assinatura de Este relatório exibe as versões de arquivos de assinatura IPS usados em toda a rede.
prevenção de intrusões Ele também inclui o domínio e o servidor de cada um deles, assim como o número de
computadores e o percentual de cada um. Ele consiste em um gráfico e barras
relacionadas.
Inventário do cliente Este relatório tem os seguintes gráficos com barras relacionadas que exibem o número
total de computadores e o percentual em relação a:
■ Memória total
■ Memória livre
■ Espaço total em disco
■ Espaço livre em disco
■ Tipo de processador
Distribuição do status de Este relatório consiste em um gráfico com barras relativas que mostram aprovações
conformidade e falhas de conformidade por grupos ou sub-redes. Ele mostra o número de
computadores e a porcentagem de computadores que estão em conformidade.
Status on-line do cliente Este relatório consiste em gráficos com barras relativas divididas em grupos ou
sub-redes. Ele exibe o percentual de computadores on-line.
"On-line" pode significar:
■ Para clientes que estão no modo push, on-line significa que, no momento, os
clientes estão conectados ao servidor.
■ Para clientes que estão no modo pull, on-line significa que os clientes entraram
em contato com o servidor com as últimas duas pulsações do cliente.
■ Para clientes em sites remotos, on-line significa que os clientes estavam on-line
no momento da última replicação.
Clientes com a política mais Este relatório consiste em gráficos com barras relativas divididas em grupos ou
recente sub-redes. Ele exibe o número de computadores e o percentual que têm a política
mais recente aplicada.
Contagem de clientes, por Este relatório consiste em uma tabela que relaciona as estatísticas de informações
grupo do host por grupo. Ela relaciona o número de clientes e usuários. Se você usa vários
domínios, as informações aparecem por domínio.
Resumo do status de Este relatório reflete o status geral de segurança da rede.

segurança Este relatório exibe o número e o percentual de computadores que têm o seguinte
status:
■ O mecanismo do antivírus está desativado.

■ O Auto-Protect está desativado.
■ A proteção contra adulterações está desativada.
■ Reinicialização necessária.
■ Falha na verificação de integridade do host.
■ A proteção contra ameaças à rede está desativada.
Versões do conteúdo de Este relatório exibe todas as versões de conteúdo de proteção proativa usadas na rede
proteção em um único relatório. Um gráfico é exibido para cada tipo de proteção.
Os seguintes tipos de conteúdo estão disponíveis:
■ Versões do decompositor
■ Versões do mecanismo de exclusão
■ Versões do conteúdo de verificação proativa de ameaças TruScan
■ Versões do mecanismo de verificação proativa de ameaças TruScan
■ Versões da lista de aplicativos comerciais
■ Versões do mecanismo proativo para tratamento de conteúdo
■ Versões da lista de aplicativos permitidos
■ Novos tipos de conteúdo adicionados pelo Symantec Security Response
Migração do cliente Este relatório consiste em tabelas que descrevem o status de migração dos clientes,
divididos por domínio, grupo e servidor. Ele exibe o endereço IP do cliente e se a
migração foi bem-sucedida, falhou ou ainda não começou.
Instalação do Ele consiste em tabelas que rastreiam o andamento da implementação de pacotes do

software-cliente (snapshots) cliente. As informações do instantâneo permitem acompanhar a rapidez do processo
de instalação e também saber quantos clientes ainda não foram implementados
Este relatório está disponível
completamente.
somente como relatório
agendado.
Clientes on-line/off-line ao Este relatório consiste em gráficos de linhas e tabelas que mostram o número de
longo do tempo (snapshots) clientes on-line ou off-line. Cada um dos alvos principais está associado a um gráfico.
O alvo é um grupo ou sistema operacional.
agendado.
Clientes com a política mais Este relatório consiste em um gráfico de linhas que exibe os clientes que têm a política
recente ao longo do tempo mais recente aplicada. Cada um dos clientes principais está associado um gráfico.
(snapshots)

agendado.
Clientes sem conformidade Ele consiste em um gráfico de linhas que mostra o percentual de clientes que falharam
ao longo do tempo na verificação de integridade do host ao longo do tempo. Cada um dos clientes
(snapshots) principais está associado um gráfico.

agendado.
Implantação da definição de Este relatório relaciona as versões de pacotes de definições de vírus que foram
vírus (snapshots) instaladas nos clientes. Esta informação é útil para o rastreamento do andamento da
implementação de novas definições de vírus a partir do console.
agendado.
A Tabela 10-7 descreve os relatórios de proteção contra ameaças à rede disponíveis.

Tabela 10-7 Relatórios de proteção contra ameaças à rede
Principais alvos atacados Este relatório consiste em um gráfico com uma barra relacionada. Você pode exibir
as informações usando grupos, sub-redes, clientes ou portas como alvo. Ele inclui
informações como o número e percentual de ataques, tipo e gravidade e a distribuição
dos ataques.
Principais ocorrências de Este relatório consiste em um gráfico com barras relacionadas que mostra os principais
ataques hosts que iniciaram ataques contra a rede. Ele inclui informações como o número e
percentual de ataques, tipo e gravidade e a distribuição dos ataques.
Principais tipos de ataques Este relatório consiste em um gráfico com barras relacionadas. Ele inclui informações
como o número e o percentual de eventos. Ele também inclui o grupo e a gravidade,
assim como o tipo de evento e o número por grupo.
Principais aplicativos Este relatório consiste em um gráfico com barras relacionadas que mostra os principais
bloqueados aplicativos que foram impedidos de acessar a rede. Ele inclui informações como o
número e percentual de ataques, o grupo, a gravidade e a distribuição dos ataques
por grupo.
Ataques ao longo do tempo Este relatório consiste em um ou mais gráficos de linhas que exibem os ataques
durante o período de tempo selecionado. Por exemplo, se o intervalo de tempo é o
mês passado, o relatório exibe o número total de ataques por dia no último mês. Ele
inclui o número e o percentual de ataques. Você pode exibir os ataques de todos os
computadores, ou divididos pelos principais tipos de sistemas operacionais, usuários,
endereços IP, grupos ou ataques.
Eventos de segurança, por Este relatório consiste em um gráfico que exibe o número total e o percentual de
gravidade eventos de segurança na rede, classificados em relação a sua gravidade.
Aplicativos bloqueados ao Este relatório consiste em um gráfico de linhas e uma tabela. Ele exibe o total de
longo do tempo aplicativos que foram impedidos de acessar a rede no período de tempo selecionado.
Ele inclui a hora do evento, o número de ataques e o percentual. Você pode exibir
informações de todos os computadores ou divididas por grupo, endereço IP, sistema
operacional ou usuário.
Notificações de tráfego ao Este relatório consiste em um gráfico de linhas. Ele mostra o número de notificações
longo do tempo baseadas em violações de regras de firewall ao longo do tempo. As regras que são
levadas em conta são aquelas que você selecionou na opção Enviar alerta de e-mail
na coluna Registro na lista Regras de política de firewall. Você pode exibir as
informações neste relatório de todos os computadores ou divididas por grupo, endereço
IP, sistema operacional ou usuário.
Principais notificações de Este relatório consiste em um gráfico com barras relativas que relacionam o grupo
tráfego ou a sub-rede e o número e o percentual de notificações. Ele mostra o número de
notificações baseadas em violações de regras de firewall que você configurou como
importantes. As regras que são levadas em conta são aquelas que você selecionou na
opção Enviar alerta de e-mail na coluna Registro na lista Regras de política de firewall.
Você pode exibir as informações de tudo, do registro de tráfego ou do registro de
pacotes, agrupadas por grupos principais ou sub-redes.
Relatório completo Este relatório fornece as seguintes informações de proteção contra ameaças à rede
em um único relatório:
■ Principais tipos de ataques

■ Principais alvos atacados, por grupo
■ Principais alvos atacados, por sub-rede
■ Principais alvos atacados, por cliente
■ Principais notificações de tráfego, por grupo (tráfego)
■ Principais notificações de tráfego, por grupo (pacotes)
■ Principais notificações de tráfego, por sub-rede (tráfego)
■ Principais notificações de tráfego, por sub-rede (pacotes)
Este relatório inclui as informações de todos os domínios.
A Tabela 10-8 descreve os relatórios de risco disponíveis.
Tabela 10-8 Relatórios de risco
Computadores infectados e Este relatório possui duas tabelas. Uma tabela relaciona os computadores infectados
em risco por vírus. A outra relaciona os computadores que têm algum risco à segurança que
ainda não foi corrigido.
Resumo da ação de detecção Este relatório consiste em uma tabela que mostra uma contagem de todas as ações
possíveis que foram tomadas quando os riscos foram detectados. As ações possíveis
são Limpo, Suspeito, Bloqueado, Em quarentena, Excluído, Infectado recentemente
e Ainda infectado. Essas informações também aparecem na página Início do Symantec
Endpoint Protection.
Contagem de detecções de Este relatório consiste em um gráfico, uma tabela de risco e uma barra relacionada.
risco Ele mostra o número total de detecções de risco por domínio, servidor ou computador.
Se você tiver clientes do Symantec AntiVirus legados, o relatório usará o grupo do
servidor no lugar do domínio.
Novos riscos detectados na Este relatório inclui uma tabela e um gráfico de distribuição.
rede Para cada novo risco, a tabela fornece as seguintes informações:
■ Nome do risco
■ Categoria ou tipo do risco
■ Data da primeira descoberta
■ Primeira ocorrência na organização
■ Tipo de verificação da primeira detecção
■ Domínio onde foi descoberto (grupo do servidor em computadores legados)
■ Servidor onde foi descoberto (servidor pai em computadores legados)
■ Grupo onde foi descoberto (servidor pai em computadores legados)
■ O computador onde foi descoberto e o nome do usuário que estava conectado no
momento
O gráfico mostra uma nova distribuição de riscos em relação ao tipo de seleção do

alvo: domínio (grupo do servidor em computadores legados), grupo, servidor (servidor
pai em computadores legados), computador ou nome de usuário.
Correlação de principais Este relatório consiste em um gráfico tridimensional de barras que faz a correlação
detecções de riscos entre detecções de vírus e riscos à segurança usando duas variáveis. Você pode
selecionar entre computador, nome de usuário, domínio, grupo, servidor ou nome do
risco para as variáveis dos eixos x e y. Este relatório mostra as cinco principais
instâncias para cada variável dos eixos. Se você selecionou o computador com uma
das variáveis e há menos que cinco computadores infectados, os computadores não
infectados podem ser exibidos no gráfico.
Nota: Para os computadores que executam versões legadas do Symantec AntiVirus,
o grupo do servidor e o servidor pai são usados em vez do domínio e servidor.
Resumo da distribuição de Este relatório inclui um gráfico e um gráfico de barras associado que exibe os
riscos percentuais relacionados para cada item exclusivo do tipo de alvo escolhido. Por
exemplo, se o alvo escolhido for o nome do risco, o gráfico terá divisões para cada
risco exclusivo. Uma barra é exibida para cada nome de risco e os detalhes incluem
o número de detecções e o percentual em relação ao total de detecções. Os alvos
incluem o nome do risco, domínio, grupo, servidor, computador, nome de usuário,
origem, tipo de risco e gravidade do risco. Para os computadores que executam versões
legadas do Symantec AntiVirus, o grupo do servidor e o servidor pai são usados em
vez do domínio e servidor.
Distribuição de riscos ao Este relatório consiste em uma tabela que exibe o número de detecções de vírus e
longo do tempo riscos à segurança por unidade tempo e uma barra relacionada.
Resultados da detecção da Este relatório consiste em um gráfico e gráficos de barras que exibem as seguintes
verificação proativa de informações:
ameaças TruScan
■ Lista de aplicativos classificados como riscos que você adicionou às exceções como
aceitáveis para a rede.
■ Lista de aplicativos detectados que apresentam riscos confirmados.
■ Lista de aplicativos detectados, mas cujo status de risco ainda não está confirmado.
Para cada lista, este relatório exibe o nome da empresa, o hash e a versão do aplicativo,
e também o computador envolvido. Para os aplicativos permitidos, ele também exibe
a origem da permissão.
Distribuição proativa de Este relatório consiste em um gráfico que exibe os principais nomes dos aplicativos
ameaças TruScan que foram detectados, com barras relacionadas e uma tabela de resumo. As detecções
incluem aplicativos da lista de aplicativos comerciais e da lista de detecções forçadas.
A primeira tabela de resumo contém o nome da aplicação e o número e o percentual
de detecções.
A tabela de resumo exibe as seguintes informações, para cada detecção:
■ Nome e hash do aplicativo

■ Tipo de aplicativo, keylogger, Cavalo de Tróia, worm, controle remoto ou keylogger
comercial
■ Nome da empresa
■ Versão do aplicativo
■ Número de computadores exclusivos que relataram a detecção
■ Três principais nomes de caminho nas detecções
■ Data da última detecção
Detecção proativa de Este relatório consiste em um gráfico de linhas que exibe o número de detecções
ameaças TruScan ao longo proativas de ameaças para o período de tempo selecionado. Ele também consiste em
do tempo uma tabela com barras relacionadas que relacionam os números das ameaças
detectadas ao longo do tempo.
Resumo de ação para Este relatório relaciona os principais riscos encontrados na rede. Para cada um, ele
principais riscos exibe barras de resumo de ação que mostram o percentual de cada ação tomada quando
um risco foi detectado. As ações incluem Em quarentena, Limpo, Excluído e assim
por diante. Este relatório também mostra o percentual de tempo em que cada ação
particular foi a primeira ação configurada, a segunda ação configurada ou
desconhecida.
Número de notificações Este relatório consiste em um gráfico com uma barra relacionada. O gráfico mostra
o número de notificações acionadas por violações de regras de firewall que você
configurou como importantes. Ele inclui os tipos de notificações e o número de cada
uma delas.
Consulte “Configuração de mensagens de e-mail para eventos de tráfego” na página 530.

Número de notificações ao Este relatório consiste em um gráfico de linhas que exibe o número de notificações
longo do tempo na rede para o período de tempo selecionado. Ele também consiste em uma tabela
que relaciona o número e o percentual de notificações ao longo do tempo. Você pode
filtrar os dados para exibir o tipo de notificação, status de confirmação, criador e
nome da notificação.
Epidemias semanais Este relatório exibe o número de detecções de vírus e ameaças à segurança e uma
barra relacionada por semana para cada um deles, ao longo do intervalo de tempo
especificado. Um intervalo de um dia exibe a última semana.
Relatórios de risco Este relatório inclui, por padrão, todos os relatórios de distribuição e o relatório de
abrangente novos riscos. No entanto, você pode configurá-lo para incluir apenas alguns relatórios.
Este relatório inclui as informações de todos os domínios.
A Tabela 10-9 descreve os relatórios de verificação disponíveis.
Tabela 10-9 Relatórios de verificação
Histograma de estatísticas de Este relatório é apresentado como um histograma. Você pode selecionar como a
verificação informação no relatório de verificação será distribuída. Você pode selecionar um dos
seguintes métodos:
■ Por tempo de verificação (em segundos)

■ Por número de riscos detectados
■ Por número de arquivos com detecções
■ Por número total de arquivos verificados
■ Por número total de arquivos sem verificação
Também é possível configurar a largura do compartimento e o número de

compartimentos usados no histograma. A largura do compartimento é o intervalo de
dados usado para o grupo pela seleção. O número de compartimentos especifica
quantas vezes o intervalo de dados é repetido no histograma.
A informação exibida inclui o número de entradas, os valores máximo e mínimo, bem

como a média e o desvio padrão.
Convém alterar os valores do relatório a fim de maximizar a quantidade de

informações geradas pelo histograma do relatório. Por exemplo, convém levar em
consideração o tamanho da rede e a quantidade de informações que você exibe.
Computadores filtrados Este relatório mostra uma lista de computadores na rede de segurança considerando
considerando a hora da a hora da última verificação. Também inclui o endereço IP e o nome do usuário que
última verificação estava conectado no momento da verificação.
Computadores não Este relatório exibe uma lista de computadores na rede de segurança que não foram
verificados verificados.
Ele fornece estas informações adicionais:
■ O endereço IP
■ A hora da última verificação
■ O nome do usuário atual ou do usuário que estava conectado no momento da
última verificação
A Tabela 10-10 descreve os relatórios de sistema disponíveis.
Tabela 10-10 Relatórios de sistema
Principais clientes que geram Este relatório consiste em um gráfico para cada condição de aviso e erro. Os gráficos
erros e avisos mostram as contagens e os percentuais de erros e avisos, por cliente.
Principais servidores que Este relatório consiste em um gráfico para cada condição de aviso e erro. Os gráficos
geram erros e avisos mostram as contagens e os percentuais de erros e avisos, por servidor.
Principais Enforcers que Este relatório consiste em um gráfico para cada condição de aviso e erro. Os gráficos
geram erros e avisos mostram as contagens e os percentuais de erros e avisos, por Enforcer.
Falhas de replicação do Este relatório consiste em um gráfico de linhas com uma tabela associada que relaciona
banco de dados ao longo do as falhas de replicação para o período de tempo selecionado.
tempo
Status do site
Este relatório exibe o status e a taxa atuais de todos os servidores do site local. Ele
também exibe informações sobre a instalação do cliente, status on-line do cliente e
o volume do registro do site local. Os dados nos quais este relatório se baseia são
atualizados a cada 10 segundos, mas você precisa executar novamente o relatório
para ver os dados atualizados.
Nota: Se você tiver vários sites, este relatório exibirá o total de clientes instalados e
on-line do site local, e não de todos os sites.
Se você tiver restrições de site ou domínio como administrador, você verá apenas as
informações que tiver permissão para ver.
O status de integridade de um servidor é classificado desta forma:
■ Bom: o servidor está em operação e funciona normalmente

■ Baixo: o servidor tem pouca memória ou espaço em disco ou tem um grande número
de falhas de solicitação de cliente
■ Séria: o servidor está inativo
Para cada servidor, este relatório exibe o status, status de integridade e motivo, uso
da CPU e memória e o espaço livre em disco. Ele também contém informações sobre
a taxa do servidor, como as políticas obtidas por download e a taxa amostrada na
última pulsação.
Ele inclui as seguintes informações de taxa:
■ Total de clientes instalados e on-line

■ Políticas transferidas por download por segundo
■ Downloads de assinaturas de prevenção de intrusões por segundo
■ Aplicativos reconhecidos por segundo
■ Registros do cliente recebidos por segundo
■ Políticas transferidas por download por segundo
■ Downloads de assinaturas do sistema de prevenção de intrusões por segundo
■ Aplicativos reconhecidos por segundo
■ Registros do sistema do Enforcer, registros de tráfego e registros de pacotes por
segundo
■ Atualizações de informação dos clientes por segundo
■ Registros de segurança do cliente, registros do sistema, registros do tráfego e
registros de pacotes recebidos por segundo
■ Registros de controle de dispositivos e aplicativos recebidos por segundo
"On-line" pode significar neste relatório:
■ Para clientes que estão no modo push, on-line significa que, no momento, os
clientes estão conectados ao servidor.
■ Para clientes que estão no modo pull, on-line significa que os clientes entraram
em contato com o servidor com as últimas duas pulsações do cliente.
■ Para clientes em sites remotos, on-line significa que os clientes estavam on-line
Informações importantes sobre o relatório
no momento da última replicação.
Informações importantes sobre o relatório

Você deve conhecer as seguintes informações ao usar os relatórios:
■ Os carimbos de hora nos relatórios são estabelecidos no horário local do usuário.
O banco de dados de relatórios contém eventos no horário do Meridiano de
Greenwich (GMT). Quando você cria um relatório, os valores do GMT são
convertidos na hora local do computador no qual você exibe os relatórios.
■ Em alguns casos, os dados do relatório não têm uma correspondência direta
com a informação exibida nos produtos de segurança. Essa falta de
correspondência ocorre porque o software do relatório adiciona eventos de
segurança.
■ As informações sobre a categoria de riscos são obtidas do website do Symantec
Security Response. Até que o console esteja habilitado para recuperar essas
informações, os relatórios gerados são classificados como Desconhecido nos
campos de categoria de riscos.
■ Os relatórios gerados fornecem uma visão precisa dos computadores
comprometidos na rede. Eles estão baseados nos dados de registros, em vez
de usar os dados do registro do Windows.
■ As páginas de relatórios e registros são sempre exibidas no idioma do servidor
de gerenciamento instalado. Para exibir essas páginas quando você usa um
console remoto ou navegador, você deve ter a fonte apropriada instalada no
computador usado.
■ Se forem gerados erros no banco de dados ao executar um relatório que inclui
uma grande quantidade de dados, convém alterar os parâmetros do tempo
limite do banco de dados.
Consulte “Alteração de parâmetros do tempo limite” na página 320.
■ Se surgirem erros CGI ou de processos concluídos, convém alterar outros
parâmetros do tempo limite.
Consulte o artigo da base de conhecimento da Symantec "Reporting server
does not report or shows a timeout error message when you query large
amounts of data" (O servidor de relatórios não relata ou mostra uma mensagem
de erro do tempo limite quando consulta grandes quantidades de dados).
As seguintes informações são importantes se você tem computadores na rede que
executam versões legadas do Symantec AntiVirus:
Como criar relatórios rápidos
■ Ao usar filtros de relatórios e registros, os grupos de servidores são

categorizados como domínios. Os grupos de clientes são categorizados como
grupos e os servidores pai como servidores.
■ Se você gerar um relatório que inclui computadores legados, os campos de
endereço IP e endereço MAC exibirão Nenhum.

Gere um relatório rápido selecionando nas opções de configurações gerais exibidas
em "Quais configurações de filtro você gostaria de usar". Se você deseja definir
opções adicionais para gerar o relatório, clique em Configurações avançadas. As
Configurações básicas e as Configurações avançadas variam de relatório para
relatório.
Para uma descrição de cada configuração avançada que pode ser definida, clique
em Mais informações para aquele tipo de relatório no console. Ao clicar em Mais
informações, é exibida a ajuda contextual para esse tipo de relatório.
Você pode salvar as configurações do relatório para executar o mesmo relatório
em outro momento, além de poder imprimir e salvar relatórios.
Nota: As caixas de texto das opções de filtro que aceitam caracteres curinga e que
pesquisam correspondências não diferenciam maiúsculas de minúsculas. O
asterisco ASCII é o único que pode ser usado como um caractere curinga.
Consulte “Como imprimir e salvar a cópia de um relatório” na página 191.

A Tabela 10-11 descreve todas as configurações básicas disponíveis para todos os
tipos de relatórios rápidos.
Tabela 10-11 Configurações básicas de filtro para relatórios rápidos
Configuração Descrição
Intervalo de tempo Especifica o intervalo de tempo de eventos que você deseja exibir no relatório.
Selecione dentre estes períodos:
■ Últimas 24 horas
■ Última semana
■ Último mês
■ Mês atual
■ Últimos três meses
■ Último ano
■ Definir datas específicas
Se você selecionar Definir datas específicas, alguns relatórios irão exigir a definição de uma
data de início e uma data de conclusão. Outros relatórios exigem que você configure a hora
de último acesso, que é a última vez que o computador efetuou acesso com o servidor.
O valor padrão é Últimas 24 horas.
Data de início Especifica a data de início do intervalo de tempo.
Esta opção está disponível somente se você selecionar Definir datas específicas para o
intervalo de tempo.
Data de conclusão Especifica a data de conclusão do intervalo de tempo.
Esta opção está disponível somente se você selecionar Definir datas específicas para o
intervalo de tempo.
Nota: Não é possível definir uma data de conclusão igual ou anterior à data de início.
Último acesso após Especifica o que você deseja ver para todas as entradas que envolvam um computador não
verificado com seu servidor deste esse horário.
Esta opção somente está disponível para relatórios de Status do computador se você
selecionar Definir datas específicas para o intervalo de tempo.
Status Disponível para o relatório de conformidade do Status de conformidade da rede. Selecione

dentre as seguintes opções:
■ Autenticado
■ Desconectado
■ Falhou
■ Passou
■ Rejeitado
Disponível para o relatório de conformidade do Status de conformidade. Selecione dentre
estas ações:
■ Passou
■ Falhou
Agrupar por Muitos dos relatórios podem ser agrupados de modos apropriados. Por exemplo, a escolha
mais comum é exibir informações para apenas um grupo ou sub-rede, mas alguns relatórios
oferecem outras escolhas apropriadas.
Destino Disponível para o relatório Principais alvos atacados da proteção contra ameaças à rede.
Selecione dentre as seguintes opções:
■ Grupo
■ Sub-rede
■ Cliente
■ Portas
Disponível para o relatório Ataques ao longo do tempo da proteção contra ameaças à rede.
Selecione dentre as seguintes opções:
■ Tudo
■ Grupo
■ Endereço IP
■ Nome de usuário
■ Tipo de ataque
Disponível para os relatórios Notificações de tráfego ao longo do tempo e Aplicativos
bloqueados ao longo do tempo da proteção contra ameaças à rede. Selecione dentre as
seguintes opções:
■ Todos
■ Grupo
■ Endereço IP
Disponível para o relatório Principais notificações de tráfego da proteção contra ameaças
à rede. Selecione dentre as seguintes opções:
■ Todos
■ Tráfego
■ Pacote
Eixo x Disponível para o relatório Correlação de principais detecções de riscos. Selecione dentre
as seguintes opções:
Eixo y
■ Computador
■ Domínio
■ Grupo
■ Servidor
■ Nome do risco
Largura do Especifica a largura de um depósito para formar um histograma. Disponível para o relatório
compartimento de Histograma de estatísticas de verificação.
Número de Especifica o número de compartimentos que você quer que seja usado para formar as barras
compartimentos de um histograma. Disponível para o relatório de Histograma de estatísticas de verificação.
As configurações avançadas fornecem controle adicional sobre os dados que você

deseja exibir. Eles são específicos para o conteúdo e o tipo de relatório.
Para uma descrição de cada configuração avançada que pode ser definida, clique
em Mais informações para esse tipo de relatório no console. Ao clicar em Mais
informações, a ajuda contextual para esse tipo de relatório é exibida.
Para criar um relatório rápido
1 No console, clique em Relatórios.
2 Na guia Relatórios rápidos, na caixa de listagem Tipo de relatório, selecione
o tipo de relatório que deseja criar. Por exemplo, selecione Risco.
3 Na opção Que tipo de relatório de verificação você deseja ver, na caixa de
listagem Selecione um relatório, selecione o nome do relatório que você deseja
exibir. Por exemplo, selecione Contagem de detecções de risco.
4 Na caixa de listagem Usar filtro salvo, selecione uma configuração de filtro
salva ou mantenha o filtro padrão.
5 Na caixa de listagem Intervalo de tempo, em Quais configurações de filtro
você gostaria de usar, selecione o intervalo de tempo do relatório.
6 Se selecionar Definir datas específicas, use as caixas de listagem Data de início
e Data de conclusão. Essas opções definem o intervalo de tempo sobre o qual
você deseja exibir informações.
7 Se você desejar definir configurações adicionais para a configuração do
relatório, clique em Configurações avançadas e defina as opções desejadas.
Você pode clicar em Mais informações, na guia Relatórios rápidos, para ver
descrições das opções de filtro na ajuda contextual.
Quando o botão de três pontos estiver disponível, será fornecida uma lista de
opções conhecidas para a escolha. Por exemplo, essa opção pode levá-lo a
uma lista de servidores ou de domínios conhecidos.
É possível salvar as definições de configuração do relatório se você acreditar
que desejará executar esse relatório novamente no futuro.
Consulte “Como salvar e excluir os filtros de relatórios salvos” na página 190.
8 Clique em Criar relatório.
Como salvar e excluir os filtros de relatórios salvos
Como salvar e excluir os filtros de relatórios salvos

Você pode salvar as configurações de relatórios personalizados para gerar
novamente o mesmo relatório em outro momento. Quando você salva as
configurações, elas são salvas no banco de dados. O nome do filtro aparece na
caixa de listagem Utilizar um filtro salvo para esse tipo de registro e relatório.
Nota: As definições de configuração de filtros que você salvar ficam disponíveis

somente na sua conta de usuário. Outros usuários com privilégios de relatório
não podem acessar as configurações que você salvar.
Você pode excluir qualquer configuração de relatório que criar. Quando excluir
uma configuração, o relatório não estará mais disponível. O nome da configuração
padrão do relatório aparecerá na caixa de listagem Usar relatório salvo e a tela
será preenchida novamente com as configurações padrão.
Para salvar um filtro
2 Selecione um tipo de relatório na caixa de listagem.
3 Altere quaisquer configurações básicas ou avançadas no relatório.
4 Clique em Salvar filtro.
5 Na caixa de texto Nome do filtro, digite um nome descritivo para o filtro de
relatório. Apenas os 32 primeiros caracteres do nome que você der serão
exibidos quando o filtro for adicionada à lista Utilizar um filtro salvo.
6 Clique em OK.
7 Quando a caixa de diálogo de confirmação aparecer, clique em OK.
Depois que um filtro é salvo, ele é exibido na caixa de listagem Utilizar um
filtro salvo dos relatórios e registros associados.
Para excluir um filtro salvo
1 Na guia Relatórios, selecione um tipo de relatório.
2 Na caixa de listagem Utilizar um filtro salvo, selecione o nome do filtro que
deseja excluir.
3 Clique no ícone Excluir ao lado da caixa de listagem Utilizar um filtro salvo.
4 Quando a caixa de diálogo de confirmação for exibida, clique em Sim.
Como imprimir e salvar a cópia de um relatório
Sobre nomes de filtros duplicados

O armazenamento do filtro baseia-se, em parte, no criador, para que não ocorram
problemas quando dois usuários diferentes criam um filtro com o mesmo nome.
Entretanto, um único usuário ou dois usuários que efetuarem logon na conta
padrão do administrador não deverão criar filtros com o mesmo nome.
Se os usuários criarem filtros com o mesmo nome, poderá ocorrer um conflito em
duas situações:
■ Dois usuários efetuam logon na conta padrão do administrador em sites
diferentes e os dois criam um filtro com o mesmo nome.
■ Um usuário cria um filtro, efetua logon em um site diferente e cria
imediatamente um filtro com o mesmo nome.
Se uma das condições ocorrer antes da replicação do site, o usuário verá em seguida
dois filtros com o mesmo nome na lista de filtros. Somente um dos filtros poderá
ser utilizado. Se esse problema ocorrer, a prática recomendada será excluir o filtro
utilizável e recriá-lo com um nome diferente. Ao excluir o filtro utilizável, você
também excluirá o filtro inutilizável.
Como imprimir e salvar a cópia de um relatório

Ao gerar um relatório, ele é exibido em uma nova janela. Você pode imprimi-lo ou
salvar uma cópia dele.
Nota: O Internet Explorer não imprime as cores e imagens do segundo plano por
padrão. Se a opção de impressão estiver desativada, o relatório impresso poderá
parecer diferente do relatório criado por você. Você pode alterar as configurações
no navegador para imprimir as cores e imagens do segundo plano.
Para imprimir a cópia de um relatório

1 Na janela do relatório, clique em Imprimir.
2 Na caixa de diálogo Impressão, selecione a impressora desejada e, se
necessário, clique em Imprimir.
Ao salvar um relatório, você salva um instantâneo do ambiente de segurança com
base nos dados atuais no banco de dados de relatórios. Se executar o mesmo
relatório em outro momento, com base na mesma configuração de filtro, o novo
relatório mostrará outros dados.
Criação e exclusão de relatórios agendados
Para salvar a cópia de um relatório

1 Na janela do relatório, clique em Salvar.
2 Na caixa de diálogo Download do arquivo, clique em Salvar.
3 Na caixa de diálogo Salvar como, na caixa de seleção Salvar em, procure o
local no qual deseja salvar o arquivo.
4 Na caixa de listagem Nome do arquivo, altere o nome padrão do arquivo, se
desejar.
5 Clique em Salvar.
O relatório será salvo no formato Microsoft Web Archive, em um arquivo
único (*.mht), no local selecionado.
6 Na caixa de diálogo Download concluído, clique em Fechar.

Os relatórios agendados são os relatórios executados automaticamente com base
no agendamento que você configurar. Os relatórios agendados são enviados por
e-mail aos destinatários, portanto, você deve incluir o endereço de e-mail de pelo
menos um destinatário. Após a execução de um relatório, o mesmo é enviado aos
destinatários definidos, como um arquivo .mht anexo.
Os dados exibidos nos relatórios instantâneos são atualizados no banco de dados
a cada hora. Os relatórios agendados são enviados por e-mail aos destinatários,
na hora e no período de tempo configurados pelo administrador com a opção
Executar cada. No momento em que o Symantec Endpoint Protection enviar um
relatório instantâneo por e-mail, os dados do relatório serão os que foram
atualizados na última hora. Os outros relatórios que contêm dados em função do
tempo são atualizados no banco de dados com base no intervalo de upload
configurado para os registros do cliente.
Consulte “Definição das configurações do registro de cliente ” na página 314.
Nota: Se você tiver vários servidores em um site que compartilha um banco de

dados, apenas o servidor instalado primeiramente executará os relatórios
agendados para o site. Esse padrão assegura que nenhum dos servidores no site
executará as mesmas verificações agendadas simultaneamente. Se você deseja
designar um servidor diferente para execução dos relatórios agendados, pode
configurar essa opção nas propriedades do site local.
Os seguintes relatórios rápidos estão disponíveis somente como relatórios

agendados:
■ Instalação do software-cliente (snapshots)
■ Clientes on-line/off-line ao longo do tempo (snapshots)
■ Clientes com a política mais recente ao longo do tempo (snapshots)
■ Clientes sem conformidade ao longo do tempo (snapshots)
■ Implantação da definição de vírus (snapshots)
Você pode alterar as configurações de qualquer relatório que já esteja agendado.
Na próxima vez que o relatório for executado, ele usará as novas configurações
de filtro. Você também pode criar relatórios agendados adicionais, que podem ser
associados a um filtro de relatório salvo anteriormente. Você pode excluir um ou
todos ou relatórios agendados.
Nota: Quando você associar um filtro salvo a um relatório agendado, certifique-se

de que o filtro não contenha datas personalizadas. Se o filtro especificar uma data
personalizada, você obterá o mesmo relatório cada vez que ele for executado.
Você pode imprimir e salvar relatórios agendados, da mesma forma que faz com
os relatórios sob demanda.
Nota: Quando você cria um relatório agendado pela primeira vez, você deve usar
o filtro padrão ou um filtro que você já salvou. Após agendar o relatório, é possível
voltar e editar o filtro.
Para obter informações sobre as opções que podem ser definidas por esses
procedimentos, clique em Mais informações na guia Relatórios agendados.
Para criar um relatório agendado
2 Na guia Relatórios agendados, clique em Adicionar.
3 Na caixa de texto Nome de relatório, digite um nome descritivo e, se desejar,
uma descrição mais detalhada.
Embora seja possível colar mais do que 255 caracteres na caixa de texto da
descrição, apenas 255 serão salvos.
4 Desmarque a caixa de seleção Ativar este relatório agendado se, no momento,
você não deseja que este relatório seja executado.
5 Selecione o tipo de relatório que deseja agendar na caixa de listagem.
6 Selecione o nome do relatório específico que deseja agendar na caixa de

listagem.
7 Selecione o nome do filtro salvo que deseja usar na caixa de listagem.
8 Na caixa de texto Executar cada, selecione o intervalo de tempo em que você
deseja enviar por e-mail o relatório (horas, dias, semanas, meses). Então,
digite o valor do intervalo de tempo selecionado. Por exemplo, se você deseja
que o relatório seja enviado a você um dia sim, um dia não, selecione dias e
digite 2.
9 Em Agendamento de relatório, na caixa de texto Executar cada, digite a
freqüência com a qual o relatório deverá ser enviado aos destinatários.
10 Na caixa de texto Iniciar após, digite a data ou, então, clique no ícone do
calendário e selecione a data na qual deseja iniciar a execução dos relatórios.
Então, selecione a hora e os minutos nas caixas de listagem.
11 Em Destinatários do relatório, digite um ou mais endereços de e-mail,
separados por vírgulas.
Você já deverá ter configurado as propriedades do servidor de e-mail para
que as notificações por e-mail funcionem.
12 Clique em OK para salvar a configuração do relatório agendado.
Para editar o filtro usado para um relatório agendado
2 Clique em Relatórios agendados.
3 Na lista de relatórios, clique no relatório agendado que deseja editar.
4 Clique em Editar filtro.
5 Faça as alterações que desejar no filtro.
Se desejar manter o filtro original do relatório, dê um novo nome a esse filtro
editado.
7 Clique em OK.
8 Quando a caixa de diálogo de confirmação for exibida, clique em OK.
Para excluir um relatório agendado
2 Na guia Relatórios agendados, na lista de relatórios, clique no nome do
relatório que deseja excluir.
3 Clique em Excluir.
4 Quando a caixa de diálogo de confirmação for exibida, clique em Sim.
Capítulo 11
Exibição e configuração de
registros e notificações
■ Sobre os registros
■ Uso da guia Resumo de monitores
■ Exibição de registros
■ Como salvar e excluir filtros
■ Configurações básicas de filtros para registros
■ Configurações avançadas de filtros para registros
■ Execução de comandos e ações de registros
■ Sobre a redução do volume de eventos enviados para os registros
■ Exportação de dados do registro
■ Uso de notificações
Sobre os registros
Ao usar os registros, você poderá visualizar eventos mais detalhados dos produtos
de segurança. Os registros incluem dados de eventos dos servidores de
gerenciamento, bem como de todos os clientes que se comunicam com esses
servidores. Como os relatórios são estáticos, e eles não contêm tantos detalhes
como os registros, alguns administradores preferem monitorar a rede
principalmente com os registros.
198 Exibição e configuração de registros e notificações
Sobre os registros
Talvez convenha visualizar essas informações para solucionar problemas de

segurança e conectividade na rede. Essas informações também podem ser úteis
para investigar ameaças ou verificar o histórico de eventos.
Nota: As páginas de relatórios e registros são sempre exibidas no idioma do servidor

de gerenciamento instalado. Para exibir essas páginas quando você usa um console
remoto ou navegador, você deve ter a fonte apropriada instalada no computador
usado.
Você pode exportar alguns dados de eventos de registro para um arquivo separado
por vírgula para importação em uma planilha. É possível exportar outros dados
de registros para um arquivo de despejo ou um servidor Syslog.
Consulte “Exportação de dados do registro” na página 217.
Sobre tipos de registro, conteúdos e comandos

É possível exibir os seguintes tipos de registro na página Monitores:
■ Auditoria
■ Conformidade
■ Verificação proativa de ameaças TruScan
■ Risco
■ Verificação
■ Sistema
Nota: Todos esses registros são acessados na página Monitores usando-se a guia
Registros. As informações sobre as notificações criadas podem ser exibidas na
guia Notificações e as informações sobre o status de comandos, na guia Status do
comando.
Alguns tipos de registros são divididos em diferentes tipos de conteúdo para

facilitar a visualização. Por exemplo, os registros de controle de aplicativos e de
controle de dispositivos incluem o registro Controle de aplicativos e o registro
Controle de dispositivos. Também é possível executar comandos a partir de alguns
registros.
Exibição e configuração de registros e notificações 199
Sobre os registros
Consulte “Exibição e filtro das informações de notificação do administrador”

na página 222.
Nota: Caso você tenha apenas o Symantec Network Access Control instalado,
somente alguns registros conterão dados; outros registros estarão vazios. O registro
de auditoria, o registro de conformidade, o registro de status do computador e
registro do sistema contêm dados. Se tiver apenas o Symantec Endpoint Protection
instalado, os registros de conformidade e do Enforcer estarão vazios, mas todos
os outros registros conterão dados.
A Tabela 11-1 descreve os diferentes tipos de conteúdo que podem ser exibidos e
as ações que podem ser realizadas a partir de cada registro.
Sobre os registros
Tabela 11-1 Registro e listas
Tipo de registro Conteúdos e ações
Controle de dispositivos e Os registros do controle de dispositivos e aplicativos contêm informações sobre

aplicativos eventos em que algum tipo de comportamento foi bloqueado.
Os seguintes registros de controle de dispositivos e aplicativos estão disponíveis:
■ Controle de aplicativos, que inclui informações sobre a proteção contra

adulterações.
■ Controle de dispositivos
As informações disponíveis no registro do Controle de aplicativos inclui itens como

os seguintes:
■ A hora em que o evento ocorreu

■ A ação tomada
■ O domínio e o computador envolvido
■ A severidade
■ A regra envolvida
■ O processo do usuário remoto
■ O destino
As informações disponíveis no registro do Controle de dispositivos inclui itens como
os seguintes:
■ A hora em que o evento ocorreu

■ O tipo de evento
■ O domínio e o grupo envolvidos
■ O computador envolvido
■ O usuário envolvido
■ O nome do sistema operacional
■ A discrição
■ O local
■ O nome do aplicativo envolvido
É possível adicionar um arquivo a uma Política de exceções centralizadas a partir do

registro de controle de aplicativos.
Auditoria O registro de auditoria contém informações sobre atividade de modificação de política.

As informações disponíveis incluem a hora e o tipo de evento; a política modificada;
o domínio, local e administrador envolvido, e uma descrição.
Nenhuma ação está associada a esse registro.

Sobre os registros
Conformidade Os registros de conformidade contêm informações sobre o servidor Enforcer, seus

clientes e seu tráfego, e sobre a conformidade do host.
Os registros de conformidade a seguir estarão disponíveis se o Symantec Network
Access Control estiver instalado.
■ Servidor do Enforcer
Esse registro rastreia a comunicação entre Enforcers e o servidor de gerenciamento.
As informações registradas incluem o nome do Enforcer, quando ele se conecta
ao servidor de gerenciamento, o tipo de evento, o local e o nome do servidor.
■ Cliente do Enforcer
Fornece informações sobre todas as conexões do cliente do Enforcer, incluindo
as informações de autenticação ponto-a-ponto. Os dados disponíveis incluem o
nome, tipo, local, host remoto e endereço de MAC remoto de cada Enforcer, e se
o cliente passou, foi rejeitado ou autenticado.
■ Tráfego do Enforcer (somente Gateway Enforcer)
Fornece informações sobre o tráfego que se movimenta no dispositivo Enforcer.
Essas informações incluem a direção e a hora do tráfego, o protocolo usado, o
nome e o local do Enforcer. As informações incluem também a porta local usada,
a direção e uma contagem. É possível filtrar as tentativas de conexão que foram
permitidas ou bloqueadas.
■ Conformidade do host
Esse registro rastreia os detalhes da verificação de integridade do host dos clientes.
As informações disponíveis incluem a hora, o local, o sistema operacional, o motivo
das falhas e uma descrição.
Nenhuma ação está associada a esses registros.

Sobre os registros
Status do computador O registro de status do computador contém informações sobre o status operacional
em tempo real dos computadores-cliente na rede. As informações disponíveis incluem
nome e endereço IP do computador, hora do último acesso, data de definições, status
de infecção, status do Auto-Protect, servidor, grupo, domínio e nome de usuário.
É possível efetuar as seguintes ações a partir do registro de status do computador:
■ Verificar
Esse comando inicia uma verificação ativa, completa ou personalizada. As opções
de verificação personalizada são aquelas que você definiu para as verificações de
comando na página Verificações definidas pelo administrador. O comando usa as
configurações na Política antivírus e anti-spyware que se aplicam aos clientes
selecionados para a verificação.
■ Atualizar conteúdo
Esse comando aciona uma atualização das políticas, definições e do software a
partir do console para os clientes no grupo selecionado.
■ Atualizar conteúdo e verificação
Esse comando aciona uma atualização das políticas, definições e do software para
os clientes no grupo selecionado. Esse comando então inicia uma verificação ativa,
completa ou personalizada. As opções de verificação personalizada são aquelas
que você definiu para as verificações de comando na página Verificações definidas
pelo administrador. O comando usa as configurações na Política antivírus e
anti-spyware que se aplicam aos clientes selecionados para a verificação.
■ Cancelar todas as verificações
Esse comando cancela todas as verificações em execução e quaisquer verificações
em fila nos destinatários selecionados.
■ Reiniciar computadores
Esse comando reinicia os computadores selecionados. Se os usuários estiverem
conectados, eles serão avisados sobre o reinício com base nas opções que o
administrador tiver configurado para esse computador. É possível configurar as
opções de reinício do cliente na guia Configurações gerais das configurações da
caixa de diálogo Configurações gerais, na página Clientes.
■ Ativar Auto-Protect
Esse comando ativa o Auto-Protect em todos os computadores-cliente selecionados.
■ Ativar proteção contra ameaças à rede
Esse comando ativa a proteção contra ameaças à rede em todos os
computadores-cliente selecionados.
■ Desativar proteção contra ameaças à rede
Esse comando desativa a proteção contra ameaças à rede em todos os
computadores-cliente selecionados.
Nesse registro, também é possível limpar o status infectado dos computadores.

Sobre os registros
Proteção contra ameaças à Os registros de proteção contra ameaças à rede contêm informações sobre ataques
rede ao firewall e prevenção de intrusões. São disponibilizadas informações sobre ataques
de negação de serviço, verificação de portas e mudanças efetuadas em arquivos
executáveis. Os registros também contêm informações sobre conexões efetuadas por
meio do firewall (tráfego) e os pacotes de dados que passam por ele. Esse registros
contêm ainda algumas das mudanças operacionais que são efetuadas nos
computadores, como aplicativos de rede e configuração de software. As informações
disponíveis incluem itens como a hora, o tipo de evento e a ação tomada. As
informações adicionais abrangem a severidade, a direção, o nome do host, as ações
tomadas, o endereço IP e o protocolo envolvido.
Estão disponíveis os seguintes registros da proteção contra ameaças à rede:
■ Ataques
■ Tráfego
■ Pacote
Verificação proativa de O registro da verificação proativa de ameaças TruScan contém informações sobre as
ameaças TruScan ameaças detectadas durante uma verificação proativa de ameaças. As verificações
proativas de ameaças TruScan usam heurísticas para verificar o comportamento
similar a um comportamento de vírus e riscos à segurança. Esse método pode detectar
vírus e riscos à segurança desconhecidos. As informações disponíveis incluem itens
como a hora da ocorrência, o nome do evento, o computador e o usuário envolvidos,
o nome e o tipo do aplicativo e o nome do arquivo.
Nesse registro, é possível adicionar um processo detectado a uma Política de exceções

centralizadas já existente.
Risco O registro de riscos contém informações sobre eventos de risco. Algumas das
informações disponíveis contêm o nome e a hora do evento, o nome do usuário, o
computador, o nome do risco, a contagem, a fonte e o nome do caminho.
Nesse registro, é possível tomar as seguintes ações:
■ Adicionar risco à política de exceções centralizadas

■ Adicionar arquivo à Política de exceções centralizadas
■ Adicionar pasta à Política de exceções centralizadas
■ Adicionar extensão à Política de exceções centralizadas
■ Excluir da quarentena
Verificação O registro de verificações contém informações sobre atividades de verificação antivírus

e anti-spyware. As informações disponíveis incluem itens como o nome do computador,
o endereço IP, o status, a hora da verificação, a duração e os resultados da verificação.

Uso da guia Resumo de monitores
Sistema Os registros do sistema contêm informações sobre eventos, como quando um serviço
é iniciado ou interrompido. As informações disponíveis incluem itens como a hora e
o tipo de evento; o local, o domínio, o servidor envolvido e a severidade.
Os seguintes registros do sistema estão disponíveis:
■ Administrativo
■ Atividade do cliente servidor
■ Atividade do servidor
■ Atividade do cliente
■ Atividade do Enforcer
Lista de status do comando A lista de status do comando contém informações sobre o status dos comandos
executados no console. Ela inclui informações como a data em que o comando foi
executado, quem o emitiu e uma descrição. Inclui também o status de conclusão do
comando e os clientes afetados.
Lista de notificações A lista de notificações contém informações sobre eventos de notificação. Esses eventos
incluem informações como a data e a hora da notificação. Informa também se a
notificação foi confirmada, quem a criou, o assunto e a mensagem.

Nota: O registro de notificações é acessado na guia Notificações, na página Monitores,
não na guia Registros.
Consulte “Exibição e filtro das informações de notificação do administrador”

na página 222.

A guia Resumo na guia Monitores exibe resumos concisos e de alto nível de
importantes dados de registro para que você obtenha uma imagem imediata do
status de segurança.
Você pode exibir os seguintes resumos na guia Resumos:
■ Proteção antivírus e anti-spyware
■ Conformidade
■ Status do site
Tabela 11-2 relaciona o conteúdo das exibições de resumos.
Tabela 11-2 As exibições de resumos e seu conteúdo
Exibição de resumo Conteúdo
Antivírus A exibição do antivírus contém as seguintes informações:
■ Proteções proativas contra ameaças TruScan

■ Distribuição de riscos
■ Novos riscos
■ Distribuição de riscos, por origem
■ Distribuição de riscos, por invasor
■ Distribuição de riscos, por grupo
Nota: Os novos riscos são calculados a partir da última

varredura do banco de dados e pelo período de tempo
configurado na guia Página inicial e monitores de
Preferências.
Consulte “Sobre as opções de exibição da página inicial e

monitores” na página 162.
Por exemplo, digamos que o intervalo de tempo de suas

preferências está definido para o valor padrão, isto é, as
últimas 24 horas. E digamos que seu banco de dados está
definido para efetuar uma varredura a cada semana aos
domingos à noite e excluir os riscos que tiverem mais de
três dias de antigüidade. Se um determinado vírus infectar
um computador da sua rede na segunda-feira, esse evento
será relatado como um novo risco. Se outro computador for
infectado com o mesmo vírus na quarta-feira, esse evento
não será refletido no total. Se esse mesmo vírus infectar um
computador da sua rede na próxima segunda-feira, será
relatado aqui como infectado recentemente. É relatado como
novo porque ocorreu durante as últimas 24 horas e no
domingo no banco de dados foram varridas todas as entradas
de mais de três dias de antigüidade. As detecções de riscos
anteriores ocorreram há mais de três dias, portanto foram
excluídas do banco de dados.
Proteção contra ameaças à A exibição da proteção contra ameaças à rede contém as

rede seguintes informações:
■ Principais alvos atacados, por grupo

■ Tipos de eventos de ataque
■ Eventos de segurança, por gravidade
Exibição de resumo Conteúdo
Conformidade A exibição Conformidade contém as seguintes informações:
■ Status de falha de conformidade da rede

■ Distribuição do status de conformidade
■ Resumo de clientes por falha de conformidade
■ Detalhes de falha de conformidade
Nota: Se você não tiver o Symantec Network Access Control

instalado, a exibição Conformidade não conterá dados.
Status do site A exibição Status do site contém as seguintes informações:
■ Status do site
■ Principais geradores de erro, por servidor
■ Principais geradores de erro, por cliente
■ Falhas de replicação ao longo do tempo
■ Principais geradores de erro, por Enforcer
Nota: Se você não tiver o Symantec Network Access Control

instalado, a exibição Principais geradores de erro, por
Enforcer não conterá dados.
Se tiver instalado somente o Symantec Network Access Control, poderá perceber

as seguintes informações.
■ A exibição Conformidade é descrita na Tabela 11-2 e compreende a página
Início.
■ O Status do site é a única exibição disponível na guia Resumos.
Você pode clicar em qualquer um dos gráficos de pizza na exibição da guia Resumos
para ver mais detalhes. Para ver o resumo dos principais alvos atacados, em
Proteção contra ameaças à rede, use a caixa de listagem para exibir o resumo por
grupos, sub-redes, clientes ou portas.
Nota: Se você tiver somente o Symantec Endpoint Protection instalado, os gráficos

da exibição do resumo de Conformidade estarão em branco. Se você tiver instalado
somente o Symantec Network Access Control, a guia Resumos conterá somente
a exibição Status do site. Você pode exibir as informações do resumo de
Conformidade na página Início.
Exibição de registros
Para alterar o tipo de resumo

1 Na janela principal, clique em Monitores.
2 Na parte superior da guia Resumos, na caixa de listagem Tipo de resumo,
selecione o tipo de exibição que deseja ver.
Você pode gerar uma lista de eventos para exibir dos registros baseados em uma
coleção de configurações de filtro selecionadas por você. Cada tipo de registro e
conteúdo tem uma configuração padrão de filtro que pode ser usada como está
ou ser modificada. Você pode também criar e salvar novas configurações de filtro.
Esses novos filtros podem basear-se no filtro padrão ou em um filtro existente
criado previamente. Se você salvar a configuração do filtro, poderá gerar a mesma
exibição do registro mais tarde, sem precisar definir as configurações cada vez.
É possível excluir configurações personalizadas de filtro se você não precisar mais
delas.
Consulte “Como salvar e excluir filtros” na página 209.
Nota: Se forem gerados erros no banco de dados ao exibir os registros que incluem
uma grande quantidade de dados, você poderá alterar os parâmetros do tempo
limite do banco de dados.
Consulte “Alteração de parâmetros do tempo limite” na página 320.
Se surgirem erros CGI ou de processos concluídos, convém alterar outros
parâmetros do tempo limite.
Para obter informações sobre os parâmetros adicionais do tempo limite, consulte
o artigo da base de conhecimento da Symantec "Reporting server does not report
or shows a timeout error message when querying large amounts of data" (O
servidor de relatórios não relata ou mostra uma mensagem de erro do tempo limite
quando consulta grandes quantidades de dados).
Como os registros contêm algumas informações coletadas em intervalos, você

pode atualizar as exibições dos registros. Para configurar a taxa de atualização
do registro, exiba o registro e selecione na caixa de listagem Atualizar
automaticamente na parte superior direita dessa exibição de registro.
Nota: Se você exibir dados do registro usando dados específicos, a opção Atualizar
automaticamente não será executada. Os dados sempre permanecem iguais.
para esse tipo de relatório no console. A opção Mais informações exibe a ajuda
contextual.
Nota: Os campos de opções de filtro que aceitam caracteres curinga e que

pesquisam correspondências não diferenciam maiúsculas de minúsculas. O
asterisco ASCII é o único que pode ser usado como um caractere curinga.
Para exibir um registro

2 Na guia Registros, da caixa de listagem Tipo de registro, selecione o tipo de
registro que você deseja exibir.
3 Para alguns tipos de registros, a caixa de listagem Conteúdo do registro é
exibida. Se for exibida, selecione o conteúdo do registro que você deseja exibir.
4 Na caixa de listagem Usar filtro salvo, selecione um filtro salvo ou use o valor
padrão.
5 Selecione uma hora da caixa de listagem Intervalo de tempo ou use o valor
padrão. Se você selecionar Definir datas específicas, então defina a data ou
datas e a hora das entradas que você deseja exibir.
6 Clique em Configurações avançadas para limitar o número de entradas que
você deseja exibir. Você também pode definir quaisquer outras Configurações
avançadas disponíveis para o tipo de registro selecionado.
7 Após definir a configuração de exibição que você deseja, clique em Exibir
registro.
A exibição do registro aparece na mesma janela.
Exibição de detalhes de eventos nos registros

Você pode exibir detalhes sobre eventos armazenados nos registros.
Para exibir detalhes de eventos
2 Na guia Registros, da caixa de listagem Tipo de registro, selecione o tipo de
registro que você deseja exibir.
exibida. Se for exibida, selecione o conteúdo do registro que você deseja exibir.
4 Clique em Exibir registro.
5 Clique no evento do qual você deseja exibir os detalhes e depois em Detalhes.
Como salvar e excluir filtros
Exibição de registros de outros sites

Se você deseja exibir os registros de outro site, deve efetuar login em um servidor
no site remoto a partir do console. Se você tiver uma conta em um servidor no site
remoto, poderá efetuar logon remotamente e exibir os registros desse site.
Se você tiver configurado parceiros de replicação, poderá escolher que todos os
registros dos parceiros de replicação sejam copiados para o parceiro local e
vice-versa.
Consulte “Replicação de logs” na página 333.
Se escolher replicar registros, por padrão você verá as informações tanto do seu
site como dos sites replicados, ao exibir um registro. Se você quiser ver um único
site, será preciso filtrar os dados para limitá-los ao local que deseja exibir.
Nota: Se escolher replicar registros, certifique-se de ter suficiente espaço em disco

para os registros adicionais em todos os parceiros de replicação.
Para exibir os registros de outro site

1 Abra um navegador da Web.
2 Digite o nome ou o endereço IP do servidor e o número da porta, 9090, na
caixa de texto do endereço como segue:
http://192.168.1.100:9090
O console faz o download. Você deve efetuar logon de um computador que
tenha o Java 2 Runtime Environment (JRE) instalado. Se não estiver instalado,
você será avisado para fazer o download e a instalação. Siga os avisos para
instalar o JRE.
na página 41.
3 Na caixa de diálogo de logon do console, digite o nome de usuário e a senha.
4 Na caixa de texto Servidor, se não for preenchida automaticamente, digite o
nome ou o endereço IP do servidor e o número da porta, 8443, como segue:
http://192.168.1.100:8443

Você pode gerar filtros personalizados com a opção Configurações básicas e
Configurações avançadas para alterar as informações que você deseja visualizar.
É possível salvar as configurações de filtro para o banco de dados a fim de gerar

novamente a mesma exibição no futuro. Quando você salva as configurações, elas
são salvas no banco de dados. O nome do filtro aparece na caixa de listagem Utilizar
um filtro salvo para esse tipo de registro e relatório.
Nota: Se selecionar Últimas 24 como o intervalo de tempo de um filtro de registro,

o intervalo de tempo de 24 horas começará quando você selecionar o filtro. Se
você atualizar a página, o início do intervalo de 24 horas não será redefinido. Se
você selecionar o filtro e aguardar para exibir um registro, o intervalo de tempo
começará quando você selecionar o filtro. Ele não começa quando você exibe o
registro.
Se você deseja verificar se o intervalo de últimas 24 horas começa agora, selecione
um intervalo de tempo diferente e selecione novamente Últimas 24 horas.
Para salvar um filtro

2 Na guia Registros, selecione o tipo de exibição de registro para o qual deseja
configurar o filtro na caixa de listagem Tipo de registro.
exibida. Se ela for exibida, selecione o conteúdo do registro para o qual deseja
configurar o filtro.
4 Na caixa de listagem Utilizar um filtro salvo, selecione o filtro do qual você
deseja começar. Por exemplo, selecione o filtro padrão.
5 Em "Quais configurações de filtro você gostaria de usar?", clique em
Configurações avançadas.
6 Altere quaisquer configurações.
8 Na caixa de diálogo exibida, na caixa Nome do filtro, digite o nome que você
deseja usar para essa configuração de filtro de registro. Somente os primeiros
32 caracteres do nome são exibidos quando o filtro salvo é adicionado à lista
de filtros.
9 Clique em OK e o novo nome do filtro será adicionado à caixa de listagem
Utilizar um filtro salvo.
10 Quando a caixa de diálogo de confirmação aparecer, clique em OK.
Configurações básicas de filtros para registros
Para excluir um filtro salvo

1 Na caixa de listagem Utilizar um filtro salvo, selecione o nome do filtro de
registro que você deseja excluir.
2 Ao lado do caixa de listagem Utilizar um filtro salvo, clique no ícone Excluir.
3 Quando solicitado a confirmar se deseja excluir o filtro, clique em Sim.
Sobre nomes de filtros duplicados

O armazenamento do filtro baseia-se, em parte, no criador, para que não ocorram
problemas quando dois usuários diferentes criam um filtro com o mesmo nome.
Entretanto, um único usuário ou dois usuários que efetuarem login na conta padrão
do administrador não devem criar filtros com o mesmo nome.
Se os usuários criarem filtros com o mesmo nome, poderá ocorrer um conflito sob
duas condições:
■ Dois usuários efetuam login na conta padrão do administrador em sites
diferentes e os dois criam um filtro com o mesmo nome.
■ Um usuário cria um filtro, efetua login em um site diferente e cria
imediatamente um filtro com o mesmo nome.
Se uma das condições ocorrer antes da replicação do site, o usuário verá em seguida
dois filtros com o mesmo nome na lista de filtros. Somente um dos filtros poderá
ser utilizado. Se esse problema ocorrer, a prática recomendada será excluir o filtro
utilizável e recriá-lo com um nome diferente. Ao excluir o filtro utilizável, você
também excluirá o filtro inutilizável.
Configurações básicas de filtros para registros

A maioria dos registros têm as mesmas configurações básicas.
A Tabela 11-3 descreve as configurações básicas comuns à maioria dos registros.
Configurações avançadas de filtros para registros
Tabela 11-3 Configurações básicas para registros
Tipo de registro Especifica o tipo de evento que você deseja exibir.

Selecione dentre os seguintes tipos:

■ Auditoria
■ Conformidade
■ Risco
■ Verificação
■ Sistema
Conteúdo do registro Se houver mais de um registro desse tipo, selecione o tipo

de registro que deseja exibir.
Utilizar um filtro salvo Especifica o filtro que você deseja usar para criar a exibição
de registro.
Use o filtro padrão ou um filtro personalizado, nomeado e

salvo, para exibir as informações sobre o registro.
Intervalo de tempo Especifica o intervalo de tempo de eventos que você deseja

exibir no registro.
Selecione dentre estes períodos:
■ Últimas 24 horas
■ Última semana
■ Último mês
■ Mês atual
■ Últimos três meses
■ Último ano
■ Definir datas específicas
Configurações avançadas Cada registro tem configurações avançadas específicas.

Clique em Configurações avançadas e Configurações básicas
para alternar entre elas.
Configurações avançadas de filtros para registros

As configurações avançadas fornecem controle adicional sobre os dados que você
deseja exibir. Eles são definidos em relação ao conteúdo e o tipo de registro.
Execução de comandos e ações de registros
Se houver computadores na rede executando versões legadas do Symantec

AntiVirus, quando você usar os filtros de registro, a seguinte terminologia poderá
ser aplicada:
■ Grupos de servidores legados são categorizados como domínios
■ Grupos de clientes legados são categorizados como grupos
■ Servidores pai legados são categorizados como servidores
Nota: Não é possível filtrar os dados legados do Symantec Client Firewall para
assinaturas de prevenção de intrusões. Para ver as versões de assinatura
executadas em um computador, vá para o registro de status do computador.
Selecione um computador que tenha o Symantec Client Firewall instalado e, então,
clique em Detalhes. O campo Versão de IDS contém essas informações.
para esse tipo de registro no console. A opção Mais informações exibe a ajuda
contextual.

No registro do Status do computador, você pode executar diversos comandos em
clientes selecionados.
Você também pode clicar com o botão direito do mouse em um grupo diretamente
da página Cliente do console para executar comandos. A ordem em que as ações
e os comandos são processados no cliente varia dependendo do comando.
Independentemente de onde o comando for iniciado, os comandos e as ações são
processados da mesma forma.
Para obter informações sobre as opções que você pode definir ao executar
comandos, clique no console em Mais informações na guia Registros. Clicar em
Mais informações exibe a ajuda contextual.
Na guia Status do comando, é possível exibir o status dos comandos executados
do console e seus detalhes. Você poderá também cancelar uma verificação
específica nesta guia se a verificação estiver em andamento.
É possível cancelar todas as verificações em andamento e em fila para clientes
selecionados no registro do Status do computador. Se você confirmar o comando,
a tabela será atualizada e você poderá ver que o comando cancelar é adicionado
à tabela de status do comando.
Nota: Se você executar o comando de verificação e selecionar uma verificação

personalizada, a verificação usará as configurações de verificação do comando
definidas na página Verificação definida pelo administrador. O comando usa as
configurações na política antivírus e anti-spyware que se aplicam aos clientes
selecionados.
Se você executar o comando Reiniciar computador de um registro, o comando
será enviado imediatamente. Se os usuários estiverem conectados ao cliente, eles
serão avisados sobre a reinicialização com base nas opções de reinicialização que
o administrador configurou para esse cliente. É possível configurar as opções de
reinicialização do cliente na guia Configurações gerais da caixa de diálogo
Configurações gerais, em Configurações, na página Clientes.
Os seguintes registros permitem adicionar exceções a uma política de exceções

centralizadas:
■ Registro de Controle de aplicativos
■ Registro da verificação proativa de ameaças TruScan
■ Registro de riscos
Consulte “Criação de exceções centralizadas a partir de eventos do registro”
na página 602.
Para adicionar qualquer tipo de exceção de um registro, você deverá já ter criado
uma política de exceções centralizadas.
Consulte “Configuração de políticas de exceções centralizadas” na página 594.
No registro de riscos, você também pode excluir arquivos da quarentena.
Se o Symantec Endpoint Protection detectar riscos em um arquivo compactado,
ele será colocado inteiramente em quarentena. Contudo, o registro de riscos contém
uma entrada separada para cada arquivo em um arquivo compactado. Você não
pode usar o comando Excluir da quarentena no registro de riscos para excluir
somente os arquivos infectados da quarentena. Para excluir o risco ou os riscos
com êxito, você deve selecionar todos os arquivos no arquivo compactado antes
de usar o comando Excluir da quarentena.
Nota: Para selecionar os arquivos no arquivo compactado, você deve exibir todos
na exibição do registro. Use a opção Limite em Configurações avançadas do filtro
do registro de riscos para aumentar o número de entradas na exibição.
Para excluir arquivos da quarentena do registro de riscos

1 Clique em Monitores.
2 Na guia Registros, na caixa de listagem Tipo de registro, selecione Registro
de riscos e então clique em Exibir registro.
3 Selecione uma entrada no registro que tenha um arquivo em quarentena.
4 Na caixa de listagem Ação, selecione Excluir da quarentena.
5 Clique em Iniciar.
6 Na caixa de diálogo exibida, clique em Excluir.
7 Na caixa de diálogo de confirmação exibida, clique em OK.
Para excluir um arquivo compactado da quarentena do registro de riscos
2 Na guia Registros, na caixa de listagem Tipo de registro, selecione o registro
de riscos e então clique em Exibir registro.
3 Selecione todas as entradas dos arquivos no arquivo compactado.
É necessário ter todas as entradas no arquivo compactado na exibição do
registro. Use a opção Limite em Configurações avançadas para aumentar o
número de entradas na exibição.
4 Na caixa de listagem Ação, selecione Excluir da quarentena.
6 Na caixa de diálogo exibida, clique em Excluir.
7 Na caixa de diálogo de confirmação exibida, clique em OK.
Para executar um comando do registro de status do computador
2 Na guia Registros, na caixa de listagem Tipo de registro, selecione Status do
computador.
4 Selecione um comando na caixa de listagem Ação.
Se houver opções de configuração para o comando selecionado, uma nova
página será exibida onde você poderá configurar as configurações adequadas.
6 Após concluir a configuração, clique em Sim ou em OK.
7 Na caixa de mensagem de confirmação do comando exibida, clique em Sim.

8 Na caixa de diálogo Mensagem, clique em OK.
Se o comando não for colocado em fila com êxito, poderá ser necessário repetir
esse procedimento. Você pode verificar se o servidor está inativo. Se o console
perdeu conectividade com o servidor, efetue o logoff do console e então efetue
login novamente para ver se isso ajuda.
Para exibir detalhes sobre o status do comando
2 Na guia Status do comando, selecione um comando na lista e então clique em
Detalhes.
Para cancelar uma verificação específica em andamento
2 Na guia Status do comando, clique no ícone Cancelar verificação na coluna
Comando do comando de verificação que deseja cancelar.
3 Quando a confirmação de que o comando foi colocado em fila com êxito for
exibida, clique em OK.
Para cancelar todas as verificações em andamento ou em fila
2 Na guia Registros, na caixa de listagem Tipo de registro, selecione Status do
computador.
4 Selecione um ou mais computadores na lista e selecione Cancelar todas as
verificações na lista de comandos.
6 Quando a caixa de diálogo de confirmação for exibida, clique em Sim para
cancelar todas as verificações em andamento e em fila para os computadores
selecionados.
7 Quando a confirmação de que o comando foi colocado em fila com êxito for
exibida, clique em OK.
Sobre a redução do volume de eventos enviados para os registros
Sobre a redução do volume de eventos enviados para

os registros
Você pode reduzir o número de eventos enviados para os registros de antivírus e
anti-spyware configurando parâmetros de manuseio de registros. Essas opções
são configuradas em cada política de sua Política antivírus e anti-spyware.
Consulte “Configuração de parâmetros de manuseio de registros em uma política
antivírus e anti-spyware” na página 419.
Exportação de dados do registro

Há várias opções para exportar os dados dos seus registros. É possível exportar
os dados em alguns registros para um arquivo de texto separado por vírgulas.
Você pode exportar dados de outros registros para um arquivo de texto delimitado
por tabulações, chamado arquivo de despejo, ou para um servidor Syslog. A
exportação de dados do registro é útil se você deseja reunir todos os registros da
rede em um local centralizado. A exportação de dados de registro também é útil
quando você deseja usar um programa de terceiros, como uma planilha eletrônica
para organizar ou manipular os dados. Você pode querer também exportar os
dados dos seus registros antes de excluir os dados gravados no registro.
Quando os dados do registro são exportados para um servidor Syslog, é necessário
configurar o servidor Syslog para receber esses registros. Para encaminhar os
registros para programas de terceiros, será necessário ter o programa de terceiros
instalado na rede. Por exemplo, você pode usar o Microsoft Excel para abrir os
arquivos de registro exportados. Os campos são exibidos em colunas separadas,
com um registro separado em cada linha.
Nota: Não é possível restaurar o banco de dados usando os dados do registro

exportados.
Exportação de dados de registro para um arquivo de texto

Quando dados são exportados dos registros para um arquivo de texto, os arquivos
são colocados, por padrão, na unidade:\Arquivos de
programas\Symantec\Symantec Endpoint Protection Manager\data\dump \dump.
As entradas são colocadas em um arquivo .tmp até que os registros sejam
transferidos para o arquivo de texto.
Caso o Symantec Network Access Control não esteja instalado, alguns desses
registros não existirão.
A Tabela 11-4 mostra a correspondência entre os tipos de dados do registro e os

nomes dos arquivos de dados do registro exportados.
Tabela 11-4 Nomes de arquivos de texto do registro para o Symantec Endpoint

Protection
Dados do registro Nome do arquivo de texto
Administração do servidor scm_admin.log
Controle de aplicativos do servidor agt_behavior.log
Cliente do servidor scm_agent_act.log
Política do servidor scm_policy.log
Sistema do servidor scm_system.log
Pacote do cliente agt_packet.log
Ameaça proativa do cliente agt_proactive.log
Risco do cliente agt_risk.log
Verificação do cliente agt_scan.log
Segurança do cliente agt_security.log
Sistema do cliente agt_system.log
Tráfego do cliente agt_traffic.log
Nota: Os nomes dos registros na Tabela 11-4 não correspondem diretamente de

um para outro aos nomes dos registros usados na guia Registros da página
Monitores.
A Tabela 11-5 mostra a correspondência entre os tipos de dados do registro e os

nomes dos arquivos de dados do registro exportados para registros do Enforcer.
Tabela 11-5 Nomes adicionais de arquivos de texto do registro para o Symantec

Network Access Control
Atividade do Enforcer do servidor scm_enforcer_act.log
Atividade do cliente do Enforcer enf_client_act.log
Sistema do Enforcer enf_system.log

Tráfego do Enforcer enf_traffic.log
Nota: Ao exportar para um arquivo de texto, o número de registros exportados

pode ser diferente do número estabelecido na caixa de diálogo Registro externo.
Essa situação ocorre quando o servidor de gerenciamento é reiniciado. Após
reiniciar o servidor de gerenciamento, a contagem de entrada de registro retorna
a zero, mas podem já existir entradas nos arquivos de registro temporários. Nessa
situação, o primeiro arquivo *.log de cada tipo que é gerado após a reinicialização
contém mais entradas que o valor especificado. Qualquer arquivo
subseqüentemente exportado contém o número correto de entradas.
Para obter mais informações sobre as opções que podem ser definidas nesse
procedimento, clique em Ajuda, no console da guia Geral.
Para exportar dados do registro para um arquivo de despejo
2 Clique em Servidores.
3 Clique no site local ou remoto para o qual você deseja configurar o registro
externo.
4 Clique em Configurar registro externo.
5 Na guia Geral, selecione com que freqüência deseja que os dados de registro
sejam enviados ao arquivo.
6 Selecione o servidor mestre de registro no qual você deseja lidar com o registro
externo.
Caso você use o Microsoft SQL com mais de um servidor de gerenciamento
conectado ao banco de dados, apenas um deles precisará ser um servidor
mestre de registro.
7 Selecione Exportar registros para um arquivo de despejo.
8 Se necessário, selecione Limitar os registros de arquivo de despejo e digite
um número de entradas que deseja enviar por vez ao arquivo de texto.
9 Na guia Filtro de registro, selecione todos os registros que deseja enviar para
os arquivos de texto.
Se o tipo de registro selecionado permitir selecionar o nível de gravidade,
selecione os níveis de gravidade que você deseja salvar. Todos os níveis
selecionados serão salvos.
10 Clique em OK.
Exportação de dados para um servidor Syslog

É possível configurar o Symantec Endpoint Protection para enviar dados de registro
de alguns registros para um servidor Syslog.
Nota: Lembre-se de configurar o servidor Syslog para receber os dados de registro.
Para obter mais informações sobre as opções que podem ser definidas nesse
procedimento, clique em Ajuda, no console da guia Geral.
Para exportar dados de registro para um servidor Syslog
3 Clique no site local ou remoto do qual você deseja exportar o registro.
4 Clique em Configurar registro externo.
5 Na guia Geral, selecione com que freqüência deseja que os dados de registro
sejam enviados ao arquivo.
6 Selecione o servidor que você deseja que lide com o registro externo.
Caso você use o Microsoft SQL e tenha mais de um servidor de gerenciamento
conectado ao banco de dados, será necessário que apenas um deles seja o
servidor mestre de registro.
7 Marque Ativar a transmissão de registros para um servidor Syslog.
8 Configure os seguintes campos conforme o desejado:
■ Servidor Syslog:
Digite o endereço IP ou nome do domínio do servidor Syslog que você
deseja que receba dados de registro.
■ Porta de destino UDP:
Digite a porta de destino que o servidor Syslog usará para escutar
mensagens de Syslog ou use a padrão.
■ Recurso de registro:
Digite o número do recurso de registro que você deseja que seja usado no
arquivo de configuração do Syslog ou use o padrão. Os valores válidos
variam de 0 a 23.
9 Na guia Filtro de registro, selecione todos os registros que deseja enviar para
os arquivos de texto. Se o tipo de registro selecionado permitir selecionar o
nível de gravidade, selecione os níveis de gravidade que você deseja salvar.
10 Clique em OK.
Uso de notificações
Exportação de dados do registro para um arquivo de texto separado

por vírgulas
Você pode exportar os dados nos registros para um arquivo de texto separado por
vírgulas.
Para exportar registros para um arquivo de texto separado por vírgulas
1 No console, clique em Monitores.
2 Na guia Registros, selecione o registro que você deseja exportar.
3 Altere quaisquer Configurações básicas ou Configurações avançadas.
6 Na nova janela exibida, clique no menu Arquivo e, em seguida, em Salvar
como.
7 Quando for solicitado a continuar, clique em Sim.
8 Na janela Salvar página da Web que é exibida, use a caixa de listagem Salvar
para acessar o diretório no qual você deseja salvar o arquivo.
9 Na caixa de listagem Nome do arquivo, digite um nome para o arquivo.
10 Para salvar os dados não processados, na caixa de listagem Salvar como tipo,
altere o tipo para Arquivo de texto (*.txt).
11 Clique em Salvar para exportar os dados para o arquivo.
Notificações são mensagens sobre os eventos de segurança que ocorreram em sua
rede. Você pode configurar vários tipos diferentes de notificações para ocorrer.
Algumas notificações são dirigidas aos usuários e outras são dirigidas aos
administradores.
Você pode configurar as seguintes ações de notificação para alertar os
administradores ou outras pessoas designadas, quando diversas condições
diferentes relacionadas à segurança forem satisfeitas:
■ Enviar um e-mail.
■ Executar um arquivo de lote ou outro arquivo executável.
■ Registrar uma entrada no registro de notificações do banco de dados.
Exibição e filtro das informações de notificação do administrador

Você pode exibir as informações do registro de notificações da mesma maneira
que exibe as informações contidas em outros registros. Você pode filtrar o registro
de notificações para exibir informações sobre um único tipo de evento de
notificação por vez. Você pode filtrar sua exibição de notificações e salvar os filtros
para uso futuro.
Você pode filtrar as notificações no registro com base nos seguintes critérios:
■ Intervalo de tempo
■ Status de confirmação
■ Tipo
■ Criador
■ Nome
Para exibir todas as notificações
2 Na guia Notificações, clique em Visualizar notificações.
A lista de todos os tipos de notificações é exibida.
Para filtrar sua exibição de notificações
2 Na guia Notificações, em Quais configurações de filtro você deseja usar?,
clique em Configurações avançadas.
3 Configure a opção que você deseja filtrar.
Você pode filtrar qualquer combinação do intervalo de tempo, do status de
confirmação, do tipo de notificação, do criador ou um nome de notificação
específico.
4 Clique em Visualizar notificações.
É exibida uma lista dos tipos de notificações selecionados.
Orientações de limite para notificações do administrador

Alguns tipos de notificação contêm os valores padrão quando você as configura.
Essas orientações oferecem razoáveis pontos de partida, dependendo do tamanho
do seu ambiente, mas podem precisar de ajustes. Pode ser necessário o método de
tentativa e erro para encontrar o correto equilíbrio entre muitas ou poucas
notificações para seu ambiente. Configure o limite em um nível inicial e espere
alguns dias. Verifique se recebe notificações com muita freqüência ou se elas

sobrecarregam sua máquina ou sua rede.
Para detecção de eventos de firewall, riscos à segurança e vírus, digamos que você
tenha menos de 100 computadores em uma rede. Um ponto de partida razoável
nessa rede é configurar uma notificação quando dois eventos de risco forem
detectados dentro de um minuto. Se você tiver de 100 a 1.000 computadores, a
detecção de cinco eventos de risco dentro de um minuto pode ser um ponto de
partida mais útil.
Você também pode ser alertado quando os clientes tiverem definições
desatualizadas. Talvez você queira receber notificações de cada cliente que tiver
um arquivo de definições desatualizado em mais de dois dias.
Criação de notificações do administrador

Você pode criar e configurar notificações a serem acionadas quando certos eventos
relacionados à segurança ocorrerem.
Configure o software e tome as ações de notificação a seguir:
■ Registrar a notificação no banco de dados.
■ Enviar um e-mail a indivíduos.
Nota: Para enviar notificações via e-mail, também é necessário configurar um

servidor de correio. Configure um servidor de correio utilizando a guia Servidor
de correio na página Servidores Admin.
■ Execute um arquivo de lote ou outro tipo de arquivo executável.

O período padrão do amortecedor para notificações é Auto (automático). Se a
notificação for acionada e a condição de acionamento continuar a existir, a ação
de notificação configurada não será executada novamente por 60 minutos. Por
exemplo, suponha que você configure uma notificação para receber um e-mail
quando um vírus infectar cinco computadores em uma hora. Se um vírus continuar
a infectar os computadores a uma taxa igual ou superior a essa, o Symantec
Endpoint Protection enviará um e-mail a cada hora. Os e-mails continuarão a ser
enviados até que a taxa diminua para cinco computadores por hora.
Você pode configurar o software para enviar uma notificação quando os seguintes
tipos de eventos ocorrerem:
■ Falha de autenticação
Falhas ao efetuar o logon acionam esse tipo de notificação. Defina o número
de falhas de logon e o período de tempo no qual deseja acionar uma notificação.
O Symantec Endpoint Protection notifica se o número de falhas de logon
durante o período de tempo exceder a configuração. Ele relata o número de

falhas de logon ocorridas.
■ Alteração da lista de clientes
Alterações em clientes acionam esse tipo de notificação. Os tipos de alterações
que podem acionar essa notificação incluem a adição, movimentação, alteração
de nome ou exclusão de um cliente. As possibilidades adicionais incluem a
alteração de hardware, do modo cliente ou do status do detector não gerenciado
de um cliente.
■ Alerta de segurança do cliente
Selecione entre eventos de segurança de conformidade, proteção contra
ameaças à rede, tráfego, pacotes, controle de dispositivos e controle de
aplicativos. Você também pode selecionar o tipo e a extensão da epidemia que
deveria acionar essa notificação e o período de tempo. Os tipos incluem
ocorrências em qualquer computador, ocorrências em um único computador
ou ocorrências em computadores distintos. Alguns desses tipos também
requerem a ativação do registro na política associada.
■ O Enforcer está desligado
Um dispositivo Enforcer off-line aciona esse tipo de notificação. A notificação
informa o nome, o grupo e a hora do último status de cada Enforcer.
■ Aplicativo forçado ou comercial detectado
A detecção de um aplicativo na Lista de aplicativos comerciais ou na lista de
aplicativos sob observação do administrador aciona essa notificação.
■ Novo aplicativo reconhecido
Os novos aplicativos reconhecidos acionam esse tipo de notificação.
■ Novo risco detectado
Os novos riscos acionam esse tipo de notificação.
■ Novo pacote de software
O download de novos pacotes de software aciona esse tipo de notificação.
■ Epidemia de risco
Defina o número e o tipo de ocorrências de novos riscos e o período de tempo
que devem acionar esse tipo de notificação. Os tipos incluem ocorrências em
qualquer computador, ocorrências em um único computador ou ocorrências
em computadores distintos.
■ Integridade do servidor
Os status de integridade off-line, baixa ou séria do servidor acionam essa
notificação. A notificação relaciona o nome do servidor, o status de integridade,
o motivo e o último status.
■ Evento com risco único
A detecção de um evento com risco único aciona essa notificação. A notificação

relaciona diversos detalhes sobre o risco, que incluem o usuário e o computador
envolvidos e a ação tomada pelo Symantec Endpoint Protection.
■ Evento do sistema
Os eventos do sistema, como atividades do Enforcer e do servidor, falhas na
replicação, problemas em backup e restauração e erros no sistema, acionam
essa notificação. A notificação relaciona o número desses tipos de eventos
detectados.
■ Computador não gerenciado
Os computadores não gerenciados acionam essa notificação. A notificação
relaciona detalhes como o endereço IP, o endereço MAC e o sistema operacional
de cada computador.
■ Definições de vírus desatualizadas
Defina a desatualização ao configurar a notificação. Defina o número de
computadores e o número de dias que as definições do computador devem
exceder para acionar essa notificação.
Usando as configurações de condições de notificação, configure um alerta de
segurança do cliente com ocorrências em qualquer computador, em um único
computador e em computadores distintos. Você também pode configurar essas
opções em uma epidemia de risco.
Consulte “Configuração de notificações para a proteção contra ameaças à rede”
na página 528.
Para obter uma descrição de cada opção configurável, você pode clicar em Mais
informações no console. A opção Mais informações exibe a ajuda contextual.
Nota: Você pode filtrar a exibição de Condições de notificação criada, usando a

caixa de listagem Mostrar tipos de notificações. Para assegurar-se de que as novas
notificações criadas por você sejam exibidas, certifique-se de que Tudo esteja
selecionado na caixa de listagem.
Para criar uma notificação

2 Na guia Notificações, clique em Condições de notificação.
3 Clique em Adicionar e então selecione o tipo de notificação que deseja
adicionar na lista exibida.
4 Na nova janela exibida, na caixa de texto Nome da notificação, digite um nome
descritivo.
5 Especifique as opções de filtro desejadas. Por exemplo, em alguns tipos de

notificações, é possível limitar a notificação a domínios, grupos, servidores,
computadores, riscos ou aplicativos específicos.
6 Especifique as configurações de notificação e as ações que deseja que ocorram
quando a notificação for acionada. Clique em Ajuda para ver as descrições
das opções possíveis para todos os tipos de notificações.
Se você seleciona Enviar e-mail para como a ação a ser tomada, a notificação
de e-mail depende da opção de nome do usuário do correio de e-mail. O nome
do usuário configurado para o servidor de correio na caixa de diálogo
Propriedades do servidor deve estar na forma de usuário@domínio. Se esse
campo for deixado em branco, as notificações serão enviadas de
SISTEMA@nome do computador. Se o servidor de relatórios tem um nome
que usar caracteres do conjunto de caracteres de byte duplo (DBCS, Double
Byte Character Set), você deve especificar o campo de nome do usuário com
um nome de conta de e-mail na forma de usuário@domínio.
Se você seleciona Executar o arquivo de lote ou executável como a ação a
ser tomada, digite o nome do arquivo. Os nomes dos caminhos não são
permitidos. O arquivo de lote ou arquivo executável a ser executado deve
estar localizado no diretório a seguir:
unidade:\Arquivos de programas\Symantec\Symantec Endpoint Protection
Manager\bin
7 Clique em OK.
Convém criar uma notificação de proteção contra ameaças à rede que seja acionada
quando um evento de tráfego corresponder aos critérios estabelecidos para uma
regra de firewall.
Para criar esse tipo de notificação, você deve executar as seguintes tarefas:
■ Na lista Regras da política de firewall, marque a opção Enviar alerta de e-mail
na coluna Registro das regras sobre as quais deseja receber notificação.
■ Na guia Notificações, configure um alerta de segurança do cliente para eventos
de proteção contra ameaças à rede, pacotes ou tráfego.
Para criar uma notificação de proteção contra ameaças à rede
2 Na guia Notificações, clique em Condições de notificação.
3 Clique em Adicionar e selecione Alerta de segurança do cliente.
4 Digite um nome para essa notificação.
5 Se você desejar limitar essa notificação a domínios, grupos, servidores ou
computadores específicos, determine as opções de filtro desejadas.
6 Selecione um dos seguintes tipos de epidemia:

■ Ocorrências em diferentes computadores
■ Ocorrências em qualquer computador
■ Ocorrências em um único computador
7 Para especificar o tipo de atividade de proteção contra ameaças à rede, marque

uma das seguintes caixas de seleção:
■ Para os ataques e eventos detectados pelo firewall ou pelas assinaturas
de prevenção de intrusões, marque Eventos de proteção contra ameaças
à rede.
■ Para as regras de firewall acionadas e registradas no registro de pacotes,
marque Eventos do pacote.
■ Para as regras de firewall acionadas e registradas no registro de tráfego,
marque Eventos do tráfego.
8 Se desejado, altere as condições de notificação padrão para definir o número

de ocorrências dentro do número de minutos que deseja acionar essa
notificação.
9 Marque Enviar e-mail para e então digite os endereços de e-mail das pessoas
que deseja notificar quando esses critérios forem preenchidos.
10 Clique em OK.
A opção Enviar e-mail para, na coluna Registro da lista Regras da política de
firewall, é agora operacional. Quando essa notificação for acionada, o e-mail
será enviado.
Consulte “Configuração de mensagens de e-mail para eventos de tráfego”
na página 530.
Sobre a edição de notificações existentes

Se você editar as configurações de uma notificação existente, as entradas anteriores
que ela gerou exibirão mensagens no registro de notificações com base em suas
novas configurações. Se você deseja manter suas mensagens de notificação
anteriores na exibição do registro de notificações, não edite as configurações de
uma notificação existente. Em vez disso, crie uma nova notificação com um novo
nome. Em seguida, desative a notificação existente, desmarcando as ações que
você configurou na opção O que deve ocorrer quando esta notificação for acionada.
Capítulo 12
Uso de monitores e
relatórios para ajudar a
proteger a rede
■ Sobre o uso de monitores e relatórios para ajudar a proteger a rede
■ Sobre a eliminação de vírus e riscos à segurança
■ Localização dos clientes que estão off-line
Sobre o uso de monitores e relatórios para ajudar a

proteger a rede
Os relatórios exibem um instantâneo estático de informações sobre os clientes e
servidores, mas eles podem ser agendados para serem executados em intervalos
a fim de oferecer informações atualizadas. Os registros que você acessa da página
Monitores são dinâmicos e exibem informações mais específicas e detalhadas,
como nomes de computadores e usuários. Talvez você precise deste nível de detalhe
para localizar alguns problemas com precisão. É possível executar comandos para
todos os clientes em um grupo a partir de alguns registros para corrigir
imediatamente os problemas. Você pode monitorar o status de comandos da guia
Status do comando.
As notificações que você pode definir na página Monitores podem alertá-lo de
problemas. Você pode usar uma notificação para acionar a correção de um
problema ao fazer com que ela execute um arquivo de lote ou outro executável. É
possível definir uma notificação para que seja exibida quando determinados
eventos ocorrerem ou atingirem um número de limite de ocorrências.
230 Uso de monitores e relatórios para ajudar a proteger a rede
Sobre o uso de monitores e relatórios para ajudar a proteger a rede
Você pode obter informações de interesse de registros e relatórios de diferentes

maneiras. Por exemplo, suponha que você deseje saber quais computadores estão
infectados na rede. A página Início mostra o total de computadores
recém-infectados e ainda infectados. Esse total o informará imediatamente se
forem encontrados problemas na rede quando você efetuar log on no console.
É possível obter mais detalhes sobre esses computadores de diferentes maneiras.
Por exemplo, você pode fazer o seguinte:
■ Programar o relatório rápido de computadores em risco e infectados para que
seja executado todos os dias de manhã e configurá-lo para que seja enviado
por e-mail a você ou a outra pessoa.
■ Gerar e salvar um filtro de relatório de risco que contenha detalhes específicos
sobre os computadores infectados. Execute um relatório rápido com esse filtro
sempre que você visualizar na página Início a ocorrência de um problema de
segurança. Ou você pode criar um relatório agendado para que seja executado
usando esse filtro salvo e enviá-lo por e-mail a você ou a outra pessoa.
■ Ir diretamente para o registro de risco e exibir os eventos de infecções. Você
pode usar o filtro padrão ou um filtro salvo somente com os detalhes que deseja.
■ Personalizar a página Início para alterar os relatórios padrão na seção
Relatórios favoritos, se desejado. Você pode usar um relatório rápido
predefinido ou um relatório que usa um filtro personalizado. Esses relatórios
são executados quando você os visualiza, para que as informações contidas
neles sejam atuais.
Independentemente do método de preferência, talvez convenha criar alguns filtros
personalizados de relatórios e registros. Você pode usar filtros personalizados
regularmente para monitorar e eliminar problemas de segurança na rede. Para
personalizar filtros, deve-se primeiro identificar as informações que deseja
visualizar no relatório ou registro. Por exemplo, você pode executar um relatório
para exibir riscos à segurança importantes que infectaram a rede durante um
intervalo específico. Digamos que o risco à segurança importante descoberto na
rede na semana passada era o RPC.Attack. O relatório identifica a quantidade de
computadores que foram infectados. Você pode então usar o registro de risco para
exibir os nomes dos computadores que foram infectados com o RPC.Attack. O
registro de risco também mostra os nomes dos usuários que estavam conectados
nesses computadores no momento da infecção.
Sobre as informações dos relatórios e registros do controle de

aplicativos e do controle de dispositivos
Os registros e relatórios do controle de aplicativos e do controle de dispositivos
contêm informações sobre os seguintes tipos de eventos:
Uso de monitores e relatórios para ajudar a proteger a rede 231
■ O acesso a uma entidade de computador foi bloqueado

■ Um dispositivo foi mantido fora da rede
Arquivos, chaves do registro e processos são exemplos de entidades de computador.
As informações disponíveis incluem itens como a hora e o tipo de evento; a ação
tomada; o host e a regra envolvida. Elas também contêm o processo do usuário
remoto envolvido. Esses registros e relatórios incluem informações sobre as
políticas de controle de dispositivos e aplicativos e a proteção contra adulterações.
A Tabela 12-1 descreve alguns usos típicos para o tipo de informações que você
pode obter de relatórios e registros de controle de aplicativos e controle de
dispositivos.
Tabela 12-1 Resumo dos registros e relatórios rápidos de controle de aplicativos

e de controle de dispositivos
Relatório ou registro Usos típicos
Principais grupos com registros Use este relatório para verificar os grupos com maior
de controle de aplicativos com risco em sua rede.
maior número de alertas
Principais alvos bloqueados Use este relatório para verificar quais arquivos,
processos e outras entidades são usados com maior
freqüência em ataques contra sua rede.
Principais dispositivos bloqueados Use este relatório para descobrir quais dispositivos são
mais problemáticos do ponto de vista de
comprometimento da segurança de sua rede.
Registro de controle de aplicativos Use este registro para ver informações sobre as
seguintes entidades:
■ As ações tomadas em resposta aos eventos

■ Os processos envolvidos nos eventos
■ Os nomes da regra que foram aplicados a partir da
política quando o acesso a um aplicativo é
bloqueado
Registro de controle de Use este registro quando você necessitar ver os

dispositivos detalhes do controle de dispositivos, como a hora exata
em que o controle de dispositivos ativou ou desativou
os dispositivos. Este registro também exibe
informações como o nome do computador, seu local, o
usuário que fez o log on e o sistema operacional
envolvido.
Informações no registro e no relatório de auditoria

O registro de auditoria contém informações sobre atividades de modificação de
políticas, como os tipos e as horas dos eventos, modificações de políticas, domínios,
sites, administradores e descrições.
O relatório rápido de auditoria padrão é chamado de Políticas usadas. Verifique
o relatório Políticas usadas para monitorar as políticas em uso na sua rede, por
grupo. É possível verificar no registro de auditoria qual administrador modificou
uma política em particular e quando ele o fez.
Sobre as informações nos relatórios e nos registros de conformidade

Os registros de conformidade contêm informações sobre o servidor Enforcer,
clientes e tráfego e sobre a conformidade do host. As informações disponíveis
incluem itens como a hora e o tipo de evento, o nome do Enforcer envolvido, o site
e o servidor.
Nota: Se você não tiver o Symantec Network Access Control instalado, os registros
e relatórios de conformidade não conterão dados.
pode obter de relatórios e registros de conformidade.
Tabela 12-2 Resumo dos registros e relatórios rápidos de conformidade
Status de conformidade da rede Use este relatório para ver a conformidade geral, se os
clientes falharam nas verificações de integridade do
host ou na autenticação ou se foram desconectados.
Status de conformidade Use este relatório para verificar o número total de

clientes que passaram ou falharam na verificação de
integridade do host em sua rede.
Resumo de clientes por falha de Use este relatório para verificar os motivos gerais de
conformidade eventos de falha de controle, como antivírus, firewall
ou VPN.
Detalhes de falha de conformidade Use este relatório para verificar um nível maior de
detalhes sobre as falhas de conformidade. Ele exibe os
critérios e a regra envolvida em cada falha. Ele inclui
a porcentagem de clientes implantados e a
porcentagem que falhou.
Por exemplo, o resumo de falha de conformidade pode
exibir dez falhas de clientes devido ao software
antivírus. Por outro lado, os detalhes de falha de
conformidade exibem as seguintes informações:
■ No momento, quatro clientes não têm um software

de antivírus em execução.
■ Dois clientes não têm um software de antivírus
instalado.
■ Quatro clientes têm arquivos de definições de
antivírus desatualizados.
Clientes sem conformidade por Use este relatório para verificar se alguns locais têm
local mais problemas de conformidade que outros.
Registro do servidor do Enforcer Use este registro para ver informações sobre os eventos
de conformidade do Enforcer, o nome do Enforcer
envolvido, seu site e seu servidor.
Entre outras coisas, este registro contém as seguintes
informações:
■ Que Enforcers não puderam registrar-se em seus
servidores
■ Que Enforcers receberam downloads de políticas
bem-sucedidos e o arquivo de comunicação
sylink.xml
■ Se o servidor dos Enforcers recebeu ou não os
registros com sucesso.
Registro do cliente do Enforcer Use este registro para verificar quais clientes passaram
ou falharam nas verificações de integridade do host,
foram autenticados ou rejeitados ou foram
desconectados da rede.
Registro de tráfego do Enforcer Use este registro para ver informações sobre o tráfego
que passa por um Enforcer.
As informações disponíveis são:
■ A direção do tráfego
■ A hora em que o tráfego iniciou e a hora em que foi
concluído
■ O protocolo usado
■ O endereço IP de origem e destino que foi usado
■ A porta que foi usada
■ O tamanho do pacote (em bytes)
■ As tentativas de conexão que foram permitidas ou
bloqueadas
Este registro se aplica somente ao Gateway Enforcer.
Registro de conformidade do host Use este registro para ver informações específicas
sobre eventos de conformidade específicos. Esses
eventos incluem o motivo, o usuário envolvido e o nome
do sistema operacional envolvido.
Sobre as informações nos relatórios e no registro de status do

computador
O registro de status do computador contém as informações sobre o status
operacional dos computadores na rede em tempo real. As informações disponíveis
incluem o nome e o endereço IP do computador, hora do último acesso, data das
definições, status de infecção, status do Auto-Protect, servidor, grupo, domínio e
nome do usuário. Os filtros para os relatórios de status do computador possuem
tanto as opções de configuração padrão quanto as opções específicas de
conformidade.
pode obter de relatórios e registros de status do computador.
Tabela 12-3 Resumo dos relatórios rápidos de status e registro do computador
Distribuição da definição de vírus Use esse relatório para garantir que todos os grupos,
domínios ou servidores da sua rede usem versões de
arquivos de definição de vírus atualizadas.
Computadores não conectados ao Use esse relatório para localizar os computadores que
servidor não tenham sido conectados a um servidor e que,
portanto, podem ter sido perdidos ou estão faltando.
Versões do produto Symantec Use esse relatório para verificar as versões de software
Endpoint Protection do produto, das definições de vírus, das assinaturas
IPS e do conteúdo de proteção proativa que estão sendo
usados em sua rede. Com essas informações é possível
localizar com precisão os computadores que precisam
de atualização.
Distribuição de assinatura de Use esse relatório para garantir que todos os grupos
prevenção de intrusões na sua rede usem assinaturas de prevenção de intrusões
atualizadas. Também é possível verificar quais
domínios ou servidores estão desatualizados.
Inventário do cliente Use esse relatório para verificar o número e a

porcentagem de computadores que recaem em
determinadas categorias de hardware e software. As
informações disponíveis incluem o sistema operacional
dos computadores, memória total, memória livre,
espaço total em disco, espaço livre em disco e tipo de
processador. Por exemplo, no relatório do inventário
do cliente você verá que 22% dos seus computadores
têm menos que 1 GB de espaço livre em disco.
Distribuição do status de Use esse relatório para verificar quais grupos ou

conformidade sub-redes têm a maior porcentagem de computadores
fora da conformidade. Talvez você queira investigar
se determinados grupos aparentam mais problemas
de conformidade que outros.
Status on-line do cliente Use esse relatório para verificar quais grupos ou
sub-redes têm a maior porcentagem de clientes on-line.
Talvez você precise investigar porque motivo alguns
grupos ou sub-redes enfrentam mais problemas que
outros.
Clientes com a política mais Use esse relatório para verificar quais grupos ou
recente sub-redes têm a maior porcentagem de computadores
sem a política mais recente.
Contagem de clientes, por grupo Use esse relatório para verificar o número total de
clientes e usuários, por grupo.
Resumo do status de segurança Use esse relatório para verificar rapidamente o número
total de computadores que têm os seguintes problemas:
■ O Auto-Protect está desativado
■ O mecanismo do antivírus está desativado
■ A proteção contra adulterações está desativada
■ É necessário reiniciar o computador
■ O computador interrompeu uma verificação de
integridade do host
■ A proteção contra ameaças à rede está desativada
Esses computadores podem estar em risco até que você

intervenha.
Versões do conteúdo de proteção Use esse relatório para verificar as versões do conteúdo
de proteção proativa em uso na rede, com o objetivo
de localizar com precisão algum computador que
precisa de atualização.
Migração do cliente Use esse relatório para verificar o status da migração

dos clientes por domínio, grupo e servidor. É possível
identificar rapidamente onde a migração falhou ou se
ela ainda não foi iniciada.
Clientes on-line/off-line ao longo Use esse relatório para localizar com precisão os
do tempo (snapshots) clientes que não se conectam à rede com a freqüência
necessária. Esse relatório está disponível somente como
relatório agendado.
Clientes com a política mais Use esse relatório para localizar com precisão os
recente ao longo do tempo clientes que não obtêm as atualização das políticas com
(snapshots) a freqüência necessária. Esse relatório está disponível
somente como relatório agendado.
Instalação do software-cliente Use esse relatório para localizar com precisão os

(snapshots) clientes que não têm a versão mais recente do software
implantada. Esse relatório está disponível somente
como relatório agendado.
Clientes sem conformidade ao Use esse relatório para localizar com precisão os
longo do tempo (snapshots) clientes que não passam nas verificações de integridade
do host com freqüência. Esse relatório está disponível
somente como relatório agendado.
Implantação das definições de Use esse relatório para verificar as versões das
vírus (snapshots) definições que os clientes possuem. Esse relatório está
disponível somente como relatório agendado.
Registros de status do computador Marque o registro do status do computador se precisar

de mais detalhes sobre algumas das áreas cobertas
pelos relatórios.
Sobre as informações nos relatórios e nos registros da proteção contra

ameaças à rede
A proteção contra ameaças à rede permite rastrear uma atividade em um
computador, assim como sua interação com outros computadores e redes. Elas
gravam informações sobre o tráfego que tenta entrar ou sair dos computadores
por meio das suas conexões de rede.
A proteção contra ameaças à rede contém detalhes sobre os ataques ao firewall,
como as informações a seguir:
■ Ataques de negação de serviço
■ Verificações de porta
■ Alterações feitas em arquivos executáveis
Os registros de proteção contra ameaças à rede coletam informações sobre a
prevenção de intrusões. Eles também contêm informações sobre as conexões feitas
por meio do firewall (tráfego), das chaves do registro, arquivos e dos DDLs
acessados. Eles contêm informações sobre os pacotes de dados que passam pelos
computadores. Esses registros também contêm as alterações operacionais feitas
nos computadores . Essas informações podem incluir o momento em que os serviços
são iniciados e interrompidos ou o momento em que alguém configura um software.
Dentre os outros tipos de informações que podem estar disponíveis, há itens como
a hora, o tipo de evento e a ação tomada. Eles também podem incluir a direção, o
nome do host, endereço IP e o protocolo usado para o tráfego envolvido. Se
aplicáveis ao evento, as informações também podem incluir o nível da gravidade.
pode obter de relatórios e registros de proteção contra ameaças à rede.
Tabela 12-4 Resumos dos relatórios rápidos e registros da proteção contra

ameaças à rede
Principais alvos atacados Use esse relatório para identificar os grupos, as

sub-redes, os computadores ou as portas atacados com
mais freqüência. Talvez você deseje tomar alguma ação
após esse relatório. Por exemplo, talvez você perceba
que os clientes conectados por meio de um VPN são
atacados com muito mais freqüência. Você poderá
decidir agrupar esses computadores de modo que seja
possível aplicar uma política de segurança mais
rigorosa.
Principais ocorrências de ataques, Use esse relatório para identificar os hosts que atacam
por origem sua rede com mais freqüência.
Principais tipos de ataques Use esse relatório para identificar os tipos de ataque
direcionados à sua rede mais freqüentemente. Os tipos
possíveis de ataque que você poderá monitorar incluem
verificações de portas, ataques de negação de serviço
e spoofing de MAC.
Principais aplicativos bloqueados Use esses relatórios em conjunto para identificar os

aplicativos mais freqüentemente usados para atacar
Aplicativos bloqueados ao longo
sua rede. Também é possível verificar se os aplicativos
do tempo
usados para ataques foram alterados ao longo do
tempo.
Ataques ao longo do tempo Use esse relatório para identificar os grupos, endereços
IP, sistemas operacionais e usuários mais
freqüentemente atacados na sua rede. Esse relatório
também pode ser usado para identificar o tipo de
ataque que ocorre mais freqüentemente.
Eventos de segurança, por Use esse relatório para verificar um resumo da

gravidade gravidade dos eventos de segurança na sua rede.
Principais notificações de tráfego Esses relatórios exibem o número de ataques que

violaram as regras de firewall configuradas para
Notificações de tráfego ao longo
notificá-lo de violações. Para configurar esses dados
do tempo
de modo que eles sejam relatados, marque a opção
Enviar alerta de e-mail, na coluna Registro em Regras
de política de firewall. Use as notificações de tráfego
ao longo do tempo para verificar se os ataques
aumentam, diminuem ou se, com o tempo, eles afetam
outros grupos. Use-os para verificar quais grupos
correm mais risco de ataque por meio do firewall.
Relatório completo Use esse relatório para verificar as informações

exibidas em todos os relatórios rápidos da proteção
contra ameaças à rede em um lugar.
Registro de tráfego Use esse registro se precisar de mais informações sobre

um evento ou tipo de tráfego específico que passe por
meio do seu firewall.
Registro de pacotes Use esse registro se precisar de mais informações sobre

um pacote específico. Talvez você queira observar os
pacotes para investigar mais a fundo um evento de
segurança relacionado em um relatório.
Registro de ataques Use esse registro se precisar de informações mais

detalhadas sobre um ataque específico que tenha
ocorrido.
Sobre as informações em relatórios e nos registros da verificação

pode obter de relatórios e registros da verificação proativa de ameaças TruScan.
Tabela 12-5 Resumo dos relatórios rápidos e registros da verificação proativa

de ameaças TruScan
Resultados de detecção da Use esse relatório para verificar as informações a

verificação proativa de ameaças seguir:
TruScan (localizados abaixo de
■ Uma lista de aplicativos definidos como riscos que
relatórios de riscos)
você adicionou às suas exceções como aceitos em
Detecção proativa de ameaças sua rede
TruScan ao longo do tempo ■ Uma lista de aplicativos detectados que foram
(localizada abaixo dos relatórios confirmados como riscos
de riscos) ■ Uma lista de aplicativos detectados, mas cujo status
de risco ainda não foi confirmado
Use a detecção proativa de ameaças TruScan ao longo

do tempo para verificar se as ameaças detectadas pelas
verificações proativas de ameaças TruScan foram
alteradas ao longo do tempo.
Distribuição proativa de ameaças Use esse relatório pelos seguintes motivos:

TruScan (localizada nos relatórios
■ Para verificar quais aplicativos das listas
de risco)
Aplicativos comerciais e detecções forçadas são
detectados com mais freqüência
■ Para verificar qual ação foi tomada em resposta a
essa detecção
■ Para determinar se alguns computadores em
particular na sua rede são atacados com mais
freqüência por esse vetor
■ Para verificar detalhes sobre o aplicativo de ataque
Registro da verificação proativa Use esse registro se precisar de mais informações sobre
de ameaças TruScan eventos específicos de detecção de ameaças proativas.
Essas informações podem ser o nome do usuário
registrado quando a detecção ocorreu. Também é
possível usar os comandos desse registro para adicionar
entidades legítimas, como arquivos, pastas, extensões
e processos para a política de exceções centralizadas.
Após adicioná-los à lista, se uma atividade legítima for
detectada como um risco, ela não sofrerá nenhuma
ação.
Sobre as informações nos relatórios e no registro de riscos

Os relatórios e registros de riscos contêm informações sobre eventos de riscos
nos servidores de gerenciamento e clientes.
pode obter de relatórios rápidos e registros de riscos.
Tabela 12-6 Resumo dos relatórios rápidos e do registro de riscos
Tipos de relatório e de registro Usos típicos
Computadores infectados e em Use esse relatório para identificar rapidamente os

risco computadores que precisam de atenção devido a uma
infecção por vírus ou por risco à segurança.
Resumo da ação de detecção Use esse relatório para identificar ações que foram
tomadas quando os riscos foram detectados. Essas
informações também são exibidas na página Início do
Symantec Endpoint Protection.
Contagem de detecções de risco Use esse relatório para identificar os domínios, grupos
ou computadores em particular que tenham o maior
número de detecções de risco. Assim, é possível
investigar por que algumas entidades na sua rede
parecem estar mais em risco que outras.
Novos riscos detectados na rede Use esse relatório para identificar e rastrear o impacto
de novos riscos na sua rede.
Correlação de principais detecções Use esse relatório para ver correlações entre os riscos
de riscos e os computadores, usuários, domínios e servidores.
Resumo da distribuição de riscos Use esse relatório para rastrear a distribuição de riscos.
Também é possível usá-lo para localizar com precisão
Distribuição de riscos através do
riscos, domínios, grupos, servidores, computadores e
tempo
usuários em particular que parecem ter mais problemas
que outros. É possível usar a Distribuição de riscos ao
longo do tempo para verificar como esses riscos se
alteram ao longo do tempo.
Resumo de ação para principais Use esse relatório para consultar as ações tomadas
riscos para os riscos que o Symantec Endpoint Protection
detectou na sua rede.
Número de notificações Use esses relatórios para refinar o modo com que você
cria e configura as notificações em sua rede.
Número de notificações ao longo
do tempo
Epidemias semanais Use esse relatório para rastrear as epidemias por risco
a cada semana.
Tipos de relatório e de registro Usos típicos
Relatório de risco abrangente Use esse relatório para verificar todos os relatórios de
distribuição e as informações sobre o relatório dos
novos riscos de uma só vez.
Registro de riscos Use esse registro se precisar de mais informações

específicas sobre todas as áreas nos relatórios de risco.
Por exemplo, é possível usar o registro Risco para ver
detalhes sobre os riscos detectados nos computadores
onde os riscos foram encontrados com freqüência.
Também é possível usar o registro Risco para verificar
detalhes sobre os riscos à segurança de uma gravidade
em particular que tenha afetado a sua rede.
Sobre as informações nos relatórios e no registro da verificação

Os relatórios e registros de verificação contêm informações sobre atividades de
verificação antivírus e anti-spyware.
pode obter de relatórios rápidos e registros de verificação.
Tabela 12-7 Resumo dos relatórios rápidos e do registros de verificação
Histograma de estatísticas de Agrupe por hora de verificação ao usar esse relatório

verificação para verificar um histograma de quanto tempo é
necessário para a conclusão das verificações agendadas
nos clientes. Com base nessas informações, talvez você
queira alterar a hora programada para a verificação.
É possível filtrar esse relatório com base no número
de arquivos verificados. Esses resultados podem
ajudá-lo a confirmar se algum usuário restringiu as
verificações a um número pequeno de arquivos em seu
computador.
Computadores filtrados Use esse relatório para identificar os computadores

considerando a hora da última que não tenham executado nenhuma verificação
verificação recentemente. É possível configurá-lo para procurar o
último dia, semana ou período de tempo personalizado
que você deseja verificar.
Computadores não verificados Use esse relatório para obter uma lista dos
computadores que não tenham sido verificados por um
período de tempo específico. Esse relatório também
fornece os endereços IP dos computadores por
domínios ou grupos específicos. Esses computadores
podem estar em risco.
Registro de verificações É possível classificar esse registro pela duração da

verificação para identificar os computadores da rede
que levam mais tempo para serem verificados. Com
base nessas informações, é possível personalizar as
verificações agendadas para esses computadores, caso
necessário.
Sobre as informações nos relatórios e no registro do sistema

Os registros do sistema contêm informações úteis para solucionar os problemas
dos clientes.
pode obter de relatórios rápidos e registros de sistema.
Tabela 12-8 Resumo do registro e dos relatórios rápidos do sistema
Principais clientes geradores de Use esse relatório para verificar os clientes que geram
erros o maior número dos erros e avisos. Talvez você queira
observar o local e o tipo de usuários nesses clientes
para verificar porque eles enfrentam mais problemas
que outros. Consulte o registro do sistema para obter
detalhes.
Principais servidores geradores de Use esse relatório para verificar os servidores que
erros geram o maior número dos erros e avisos. Talvez você
queira observar esses servidores para verificar porque
eles enfrentam mais problemas do que o normal na sua
rede.
Principais Enforcers geradores de Use esse relatório para verificar os Enforcers que
erros geram o maior número dos erros e avisos. Talvez você
queira observar esses Enforcers para verificar porque
eles enfrentam mais problemas do que o normal na sua
rede.
Falhas de replicação do banco de Use esse relatório para identificar os servidores e sites
dados ao longo do tempo que enfrentam mais problemas com a replicação do
banco de dados Esse relatório também explica porque
as replicações podem falhar, para que seja possível
corrigir os problemas.
Status do site Use esse relatório para verificar como o seu servidor
lida com a carga do cliente. Com base nas informações
desse relatório, talvez você queira ajustar a carga.
Registro administrativo Use esse registro para observar os itens relacionados

à administração, como as atividades a seguir:
■ Logons e logoffs
■ Alterações de políticas
■ Alterações de senha
■ Quando os certificados correspondem
■ Eventos da replicação
■ Eventos relacionados ao registro
Esse registro pode ser útil para solução de problemas

do cliente, como certificados, políticas ou importações
perdidas. É possível observar os eventos
separadamente, já que eles se relacionam a domínios,
grupos, usuários, computadores, importações, pacotes,
replicações e outros eventos.
Registro de atividade do cliente Use esse registro para observar todas as atividades do
servidor cliente que ocorrem em um servidor específico.
Por exemplo, é possível usar esse registro para observar
os itens a seguir:
■ Downloads bem-sucedidos e malsucedidos

■ Conexões do cliente ao servidor
■ Registros do servidor
Registro de atividade do servidor Dentre outras coisas, use esse registro pelos seguintes
motivos:
■ Para localizar e solucionar problemas de replicação

■ Para localizar e solucionar problemas de backup
■ Para localizar e solucionar problemas do servidor
RADIUS
■ Para observar todos os eventos do servidor de um
nível de gravidade em particular
Sobre a eliminação de vírus e riscos à segurança
Registro de atividade do cliente Entre outras coisas, é possível usar esse registro para
monitorar as seguintes atividades relacionadas ao
cliente:
■ Quais clientes foram bloqueados do acesso à rede
■ Quais clientes precisam ser reiniciados
■ Quais clientes tiveram instalações bem-sucedidas
ou malsucedidas
■ Quais clientes tiveram problemas de inicialização
e encerramento de serviços
■ Quais clientes tiveram problemas de importação de
regras
■ Quais clientes tiveram problemas para fazer
download de políticas
■ Quais clientes tiveram falhas na conexão com o
servidor
Registro de atividade do Enforcer Use esse registro para monitorar os problemas com os
Enforcers. Nesse registro, é possível visualizar os
eventos de gerenciamento, eventos do Enforcer, ativar
eventos e eventos de políticas. É possível filtrá-los pelo
nível de gravidade.
Por exemplo, é possível usar esse registro para
solucionar os seguintes tipos de problemas:
■ Conectividade do Enforcer
■ Importação e aplicação de políticas e de
configurações
■ Inicializações, interrupções e pausas do Enforcer
Nota: Se você não tem o Symantec Network Access Control instalado, o registro
de atividade do Enforcer e as entradas em outros registros que se aplicam aos
Enforcers estão vazios.

A eliminação de infecções de vírus e riscos à segurança é uma tarefa que você
pode executar todos os dias ou quando necessário, dependendo do status de
segurança da rede. Primeiro, identifique e localize os riscos e, em seguida, decida
como lidar com eles. Depois que você corrigir os problemas, é possível atualizar
o registro de status do computador para mostrar que você respondeu a esses riscos.
Identificação de computadores infectados e em risco

A primeira tarefa é identificar os computadores que estão infectados e em risco.
Para identificar computadores infectados
1 No console, clique em Início e verifique o Resumo de ação.
Se você for um administrador do sistema, verá o total de número de
computadores com status Infectado recentemente e Ainda infectado em seu
local. Se você for um administrador de domínio, verá o total de número de
computadores com status Infectado recentemente e Ainda infectado em seu
domínio. O valor de Ainda infectado é um subconjunto de Infectado
recentemente e o total de Ainda infectado é reduzido à medida que você
elimina os riscos de sua rede. Os computadores são considerados ainda
infectados se uma verificação subseqüente os registrar como infectados. Por
exemplo, o Symantec Endpoint Protection pode ter limpado um risco apenas
parcialmente em um computador e, portanto, o Auto-Protect ainda detecta
o risco.
3 Na caixa de listagem Tipo de relatório, clique em Risco.
4 Na caixa de listagem Selecione um relatório, clique em Computadores
infectados e em risco.
5 Clique em Criar relatório e observe as listas de computadores infectados e
em risco que são exibidas.
Alteração de uma ação e repetição da verificação de computadores

identificados
A próxima etapa para corrigir os riscos de sua rede é identificar porque os
computadores ainda estão infectados ou em risco. Verifique a ação que foi realizada
para cada risco nos computadores infectados ou em risco. Uma das possibilidades
é que a ação configurada e realizada foi Ignorado. Se a ação foi Ignorado, você
deve limpar o risco do computador, remover o computador da rede ou aceitar o
risco. Você pode editar as política antivírus e anti-spyware aplicadas ao grupo ao
qual esse computador pertence ou, ainda, pode configurar uma ação diferente
para essa categoria de riscos ou para esse risco específico.
Para identificar as ações que precisam ser alteradas e verificar novamente os

computadores identificados
2 Na guia Registros, selecione o registro de riscos e clique em Visualizar
registro.
Na coluna de eventos do registro de riscos, você pode verificar o que aconteceu
e a ação que foi realizada. A partir da coluna Nome do risco, pode-se ver os
nomes dos riscos que ainda estão ativos. A partir da coluna Usuário do grupo
de domínio você pode verificar de qual grupo o computador é membro.
Se um cliente estiver em risco porque uma verificação executou a ação
Ignorado, pode ser necessário alterar a política antivírus e anti-spyware do
grupo. Na coluna Computador, você pode ver os nomes dos computadores
que ainda possuem riscos ativos.
Consulte “Configuração de ações para detecções de vírus e riscos à segurança
conhecidos” na página 428.
Se sua política estiver configurada para usar o Modo push, ela será enviada
para os clientes do grupo na próxima pulsação.
Consulte “Especificação do modo push ou pull” na página 382.
3 Clique em Voltar.
4 Na guia Registros, selecione o registro de status do computador e clique em
Visualizar registro.
5 Se você alterou uma ação e enviou uma nova política, selecione os
computadores que precisam ser verificados novamente com as novas
configurações.
6 A partir da caixa de listagem Comando, selecione Verificar e clique em Iniciar
para repetir a verificação dos computadores.
Você pode monitorar o status do comando Verificar a partir da guia Status
do comando.
Reinicialização dos computadores que precisam ser reiniciados para

concluir uma correção
Alguns computadores podem ainda estar em risco ou infectados porque precisam
ser reiniciados para concluir a correção de um vírus ou risco à segurança.
Para reiniciar computadores e concluir a correção

1 No Registro de riscos, selecione a coluna Reinicialização necessária.
É possível que um risco tenha sido parcialmente removido de alguns
computadores, mas ainda seja necessário reiniciar os computadores para
concluir a correção.
2 Selecione na lista os computadores que exigem reinicialização.
3 Na caixa de listagem Comando, selecione Reiniciar computadores e clique em
Iniciar.
Você pode monitorar o status do comando Reiniciar computadores a partir
da guia Status do comando.
Atualização das definições e repetição de verificações

Alguns computadores podem ainda estar em risco porque suas definições estão
desatualizadas.
Para atualizar definições e repetir a verificação
1 Para os computadores restantes nessa exibição, verifique a coluna Data das
definições. Se as definições de vírus de alguns computadores estiverem
desatualizadas, selecione esses computadores.
2 Na caixa de listagem Comando, selecione Atualizar conteúdo e verificação e
clique em Iniciar.
Você pode monitorar o status do comando Atualizar conteúdo e verificação
a partir da guia Status do comando.
3 Clique em Início e verifique os números das linhas Ainda infectado e Infectado
recentemente no resumo de ação.
Se os totais forem zero, você eliminou os riscos. Se os totais não forem zero,
você deve investigar os riscos restantes.
Sobre a investigação e limpeza de riscos restantes

Se restar algum risco, pode ser necessário realizar investigações adicionais. A
partir da caixa de diálogo Resultado da verificação, você pode clicar no link do
Symantec Security Response referente ao risco detectado. Os resultados da
verificação também informam os processos, arquivos ou chaves de registros
envolvidos na detecção de riscos. Você pode criar uma política de controle de
aplicativos personalizada para bloquear um aplicativo prejudicial. Ou pode ter
que desconectar o computador da rede e excluir os arquivos e as chaves de registros
e parar os processos manualmente.
Localização dos clientes que estão off-line
Eliminação de eventos suspeitos

Um risco suspeito à segurança indica que uma verificação proativa de ameaças
TruScan detectou algo que você deve investigar. Pode tratar-se de algo inofensivo
ou não. Se você determinar que esse risco é inofensivo, poderá utilizar a política
de exceções centralizadas para excluí-lo de futuras detecções. Se a verificação
proativa de ameaças não puder remediar um risco ou se você configurou para
ignorar um risco, pode ser necessário eliminar esses riscos.
Se você configurou a verificação proativa de ameaças TruScan para registrar e
você investigou e determinou que um risco é prejudicial, é possível remediá-lo
com a política de exceções centralizadas. Configure a política de exceções
centralizadas para encerrar ou colocar em quarentena o risco, em vez de registrá-lo.
Se o Symantec Endpoint Protection detectou este risco usando as configurações
padrão da verificação proativa de ameaças TruScan, então, o Symantec Endpoint
Protection não poderá remediar este risco. Se você determinar que esse risco é
prejudicial, deverá removê-lo manualmente. Após remover o risco, você pode
excluir essa entrada do registro de riscos.

Você poderá verificar quais computadores estão off-line na rede de várias formas.
Por exemplo, você pode fazer as seguintes verificações:
■ Executar o relatório rápido de status do computador "Computadores não
conectados ao servidor" para ver o status on-line.
■ Configurar e executar uma versão personalizada desse relatório para ver os
computadores em um grupo ou site específico.
■ Exibir o registro de status do computador, que contém o endereço IP do
computador e a hora do último acesso.
Um cliente pode estar off-line por vários motivos. Você pode identificar os
computadores que estão off-line e corrigir esses problemas de várias formas.
Se o Symantec Network Access Control estiver instalado, é possível usar as opções
de filtro de conformidade para personalizar o relatório rápido Computadores não
conectados ao servidor. Você pode usar esse relatório para ver os motivos
específicos pelos quais os computadores não estão na rede. Depois você poderá
eliminar os problemas que observar.
Entre os motivos de conformidade pelos quais você pode filtrar estão os seguintes:
■ A versão do antivírus do computador está desatualizada.
■ O software antivírus do computador não está em execução.
■ Um script falhou.
■ O local do computador mudou.
Para localizar os clientes que estão off-line
2 Na guia Registros, a partir da caixa de listagem Tipo de registro, clique em
Status do computador.
3 Clique em Configurações avançadas.
4 Na caixa de diálogo Status on-line, clique em Off-line.
Por padrão, será exibida uma lista dos computadores que ficaram off-line
durante as últimas 24 horas. A lista inclui o nome de cada computador, o
endereço IP e a última vez que ele acessou o servidor. Você pode ajustar o
intervalo de tempo para exibir computadores off-line para qualquer intervalo
de tempo que deseja verificar.
Seção 2
Tarefas administrativas
avançadas
■ Gerenciamento de um ou vários sites da empresa
■ Gerenciamento de servidores
■ Gerenciamento de servidores de diretórios
■ Gerenciamento de servidores de e-mails
■ Gerenciamento de servidores proxy
■ Gerenciamento de servidores RSA
■ Gerenciamento de certificados de servidores
■ Gerenciamento de banco de dados
■ Replicação de dados
■ Gerenciamento da proteção contra adulteração

252
Capítulo 13
Gerenciamento de um ou
vários sites da empresa
■ Sobre o gerenciamento de sites
■ O que pode ser feito em um site
■ O que não pode ser feito em um site
■ Sobre replicação do site em diferentes sites da empresa
■ Sobre os Enforcers opcionais em um site
■ Sobre sites remotos
■ Edição das propriedades do site
■ Para fazer backup de um site
■ Exclusão de sites remotos
Sobre o gerenciamento de sites

A Symantec organiza as instalações dos componentes nos sites. Um site abrange
um ou vários Symantec Endpoint Protection Managers e um banco de dados (MS
SQL ou incorporado). Ele contém de maneira opcional um ou mais Enforcers que
se situam geralmente no mesmo local comercial. Geralmente, as corporações
empresariais de grande porte instalam diversos sites. O número de sites está
relacionado ao fato de a empresa ter diversos locais físicos, divisões e áreas
separadas em diferentes sub-redes. A gerência corporativa e os departamentos
de TI geralmente são os responsáveis pela determinação do número e local desses
sites.
254 Gerenciamento de um ou vários sites da empresa
O que pode ser feito em um site
O site local é o console do Symantec Endpoint Protection Manager ao qual você

está conectado. Esse site pode ser situado em outra cidade. No entanto, isso não
significa necessariamente que o site está fisicamente no local. Os sites remotos
são sites vinculados ao site local como um parceiro de replicação.
O gerenciamento centralizado da segurança é possível em qualquer console do
Symantec Endpoint Protection Manager, no qual você pode gerenciar sites locais
e remotos.
O que pode ser feito em um site

De um site específico, você pode executar estas tarefas em todos os sites (locais e
remotos):
■ Alterar a descrição de um site.
■ Configurar o console do Symantec Endpoint Protection Manager para fazer
logoff após algum período de tempo.
■ Limpar os clientes não conectados durante um período determinado.
■ Configurar limites do registro.
■ Agendar relatórios diários e semanais.
■ Configurar registros externos para filtrar e enviar registros para um arquivo
ou servidor Syslog.
■ Alterar o nome e a descrição de um banco de dados.
Consulte “Edição do nome e da descrição de um banco de dados no console do
De um site específico, você pode executar estas tarefas somente para um site local:
■ Fazer o backup do site local imediatamente.
Consulte “Backup de um banco de dados do Microsoft SQL” na página 298.
Consulte “Backup de um banco de dados interno sob demanda do Symantec
Endpoint Protection Manager” na página 303.
■ Alterar o agendamento do backup.
Consulte “Agendamento de backups de bancos de dados automáticos no
■ Excluir um servidor selecionado (somente se você tiver vários Symantec
Endpoint Protection Managers conectados a um único banco de dados do
Microsoft SQL).
Gerenciamento de um ou vários sites da empresa 255
O que não pode ser feito em um site
■ Adicionar uma conexão a um parceiro de replicação no mesmo site.

Consulte “Adição de parceiros de replicação e agendamentos” na página 328.
■ Atualizar a certificação do servidor.
Consulte “Sobre os tipos de certificado de servidor” na página 287.
■ Consultar informações no banco de dados.
Essas listas não estão completas. O objetivo delas é oferecer uma visão geral dos
tipos de tarefas que você pode executar de maneira local ou remota.
O que não pode ser feito em um site

Algumas tarefas não podem ser realizadas em um site remoto.
Se você deseja instalar um novo site, é necessário acessar um computador
específico no qual instalou um Symantec Endpoint Protection Manager ou um
Enforcer. Porém, você pode fazer logon em um site remotamente para executar
outras tarefas que somente podem ser executadas no console do Symantec
Endpoint Protection Manager a partir de um site local.
na página 41.
Sobre replicação do site em diferentes sites da

empresa
Depois da instalação do primeiro site em uma empresa, você pode instalar sites
adicionais como parceiros de replicação. Você pode adicionar parceiros de
replicação ao instalar os sites subseqüentes.
Consulte o Guia de Instalação do Symantec Endpoint Protection e do Symantec
Network Access Control para obter mais informações sobre como configurar o
primeiro site durante a instalação inicial.
Sobre os Enforcers opcionais em um site

Se você deseja aplicação adicional no site, pode instalar os Gateway, LAN e DHCP
Enforcers.
Se você deseja adicionar Enforcers a um site existente, consulte o Guia de
Implementação do Appliance do Symantec Network Access Control Enforcer.
Sobre sites remotos
Sobre sites remotos

Você pode exibir outros sites da guia Servidores. Se você estiver conectado a outros
consoles do Symantec Endpoint Protection Manager, você também poderá editar
as propriedades do servidor do site remoto. É possível realizar as seguintes tarefas
nos sites remotos:
■ Excluir um site remoto e seus parceiros de replicação.
■ Alterar a descrição do servidor remoto.
■ Alterar o acesso ao console do Symantec Endpoint Protection Manager do site
remoto.
■ Configurar o servidor de e-mail de um site remoto.
■ Agendar a sincronização do servidor de diretórios de um site remoto.
■ Configurar uma conexão do servidor do site remoto para um servidor proxy.
■ Configurar registros externos para enviar registros a um arquivo ou servidor
Syslog.
Edição das propriedades do site

As propriedades do site são as seguintes:
■ Nome e descrição do site
■ Especificação do período de tempo para quando o console atingir o tempo
limite
■ Determinação se os clientes não conectados devem ser excluídos após um
determinado período de tempo
■ Determinação se o reconhecimento de aplicativos deve ser ativado para o site
■ Tamanho máximo do registro no site
■ Agendamento de relatórios
Você pode editar propriedades do site local ou remoto do console.
Para editar as propriedades do site
2 Na página Admin, em Tarefas, clique em Servidores.
3 Na página Admin, em Exibir, expanda Site local (nome do site) ou expanda
Sites remotos.
4 Selecione o site para editar as propriedades correspondentes.
Para fazer backup de um site
5 Na página Admin, em Tarefas, clique em Editar propriedades do site.

6 Na caixa de diálogo Propriedades do site na guia Geral, edite a descrição para
o site na caixa Descrição.
Você pode usar até 1.024 caracteres.
7 Na caixa de diálogo Propriedades do site na guia Geral, selecione um valor de
"5 minutos" a "Nunca" da lista Tempo limite do console.
O padrão é uma (1) hora. O administrador é desconectado automaticamente
do console quando o período Tempo limite do console é atingido.
8 Na caixa de diálogo Propriedades do site na guia Geral, marque Excluir
clientes que não se conectaram por x dias.
Você pode excluir os usuários que não se conectaram por um número
especificado de dias (de 1 a 99999). A configuração padrão é ativada por um
período de trinta (30) dias.
9 Na caixa de diálogo Propriedades do site na guia Geral, selecione Realizar
rastreamento de cada aplicativo que o cliente executar.
Os aplicativos reconhecidos ajudam os administradores a rastrear o acesso
à rede de um cliente e o uso de aplicativos ao gravar todos os aplicativos
iniciados em cada cliente. Você pode ativar ou desativar o reconhecimento
de aplicativos para um site específico. Se essa opção não for ativada, então o
rastreamento de aplicativos não será executado para esse site. O rastreamento
de aplicativos também não será executado mesmo se for ativado para os
clientes conectados ao site atribuído. Essa opção funciona como um alternador
mestre.
10 Na caixa de diálogo Propriedades do site na guia Geral, selecione um servidor
de relatórios da lista Selecione um servidor para enviar notificações e executar
relatórios agendados.
Essa opção é relevante somente se você usar um banco de dados do Microsoft
SQL conectado a vários bancos de dados.
11 Clique em OK.

Quando faz backup de informações sobre um site, você executa a mesma tarefa
executada quando faz backup do banco de dados de um site.
Exclusão de sites remotos

3 Na página Admin, em Exibir, clique em Host local.
4 Na página Admin, em Tarefas, clique em Editar configurações de backup.
5 Em Fazer backup do site para o site local: na caixa de diálogo Nome do site
local, selecione o nome do servidor de backup na lista Servidores de backup.
Por padrão, o nome do caminho é Program Files\Symantec\Symantec Endpoint
Protection Manager\data\backup.
Contudo, você pode alterar o nome do caminho do backup usando um dos
utilitários de backup disponíveis
6 Selecione o número de backups que você quer reter na lista Número de backups
a manter.
Você pode selecionar até dez backups a serem mantidos antes de uma cópia
de backup ser excluída automaticamente
7 Clique em OK.

Quando você remover um servidor no site remoto de uma empresa, você precisará
excluí-lo manualmente de todos os consoles do Symantec Endpoint Protection
Manager. Os servidores estão listados em Sites remotos. A desinstalação do
software de um console do Symantec Endpoint Protection Manager não faz o ícone
desaparecer do painel Servidores nos outros consoles do Symantec Endpoint
Protection Manager.
Para excluir sites remotos
3 Na página Admin, em Exibir, clique em Sites remotos.
4 Na página Admin, em Exibir, expanda Sites remotos e selecione o site que
você planeja excluir.
5 Clique em Excluir site remoto.

Na caixa de diálogo Excluir site remoto, você é solicitado a confirmar a
exclusão do site remoto:
A exclusão do site remoto também remove todas as
parcerias de replicação em que o site participa.
Tem certeza de que deseja excluir o site?
6 Clique em Sim para excluir o site remoto.

Você pode adicionar novamente um site remoto excluído ao adicionar um
parceiro de replicação.
Capítulo 14
Gerenciamento de
servidores
■ Sobre o gerenciamento de servidores
■ Sobre servidores e senhas de terceiros
■ Início e interrupção do serviço Symantec Endpoint Protection Manager
■ Concessão ou negação de acesso aos consoles remotos do Symantec Endpoint

Protection Manager
■ Exclusão de servidores selecionados
■ Exportação e importação de configurações do servidor
Sobre o gerenciamento de servidores

Você pode centralmente gerenciar todos os tipos de servidores na página Admin
do console do Symantec Endpoint Protection Manager.
A página Admin, em Exibir servidores, relaciona os seguintes agrupamentos:
■ Site local
O console do Symantec Endpoint Protection Manager no site local, bancos de
dados, parceiros de replicação, como outros consoles do Symantec Endpoint
Protection Manager cujos bancos de dados se replicam e Enforcers opcionais
■ Sites remotos
O console do Symantec Endpoint Protection Manager em qualquer site remoto,
bancos de dados, parceiros de replicação, como outros Symantec Endpoint
Protection Managers cujos bancos de dados se replicam e Enforcers opcionais
262 Gerenciamento de servidores
Sobre servidores e senhas de terceiros
Sobre servidores e senhas de terceiros

Todos os servidores com os quais você pode estabelecer uma conexão exigem que
você configure as senhas de terceiros no Symantec Endpoint Protection Manager.
As senhas de terceiros são salvas automaticamente no banco de dados que você
criou quando instalou inicialmente o Symantec Endpoint Protection Manager.
Você será solicitado a fornecer a senha de terceiros durante a configuração dos
seguintes tipos de servidores:
■ Servidores de e-mail
■ Servidores de diretórios
■ Servidores RSA
■ Servidores proxy
Início e interrupção do serviço Symantec Endpoint

Protection Manager
Quando você instalar o Symantec Endpoint Protection Manager, a última etapa
do Assistente de Configuração do servidor incluirá a caixa de seleção do console
do Symantec Endpoint Protection Manager (selecionada por padrão). Se você
deixar a caixa de seleção selecionada, o console do Symantec Endpoint Protection
Manager será iniciado automaticamente.
O Symantec Endpoint Protection Manager será executado como um serviço
automático. Se ele não for iniciado automaticamente, você pode iniciá-lo (e
posteriormente interrompê-lo) usando os Serviços a partir das Ferramentas
administrativas do menu Iniciar.
A partir de um prompt de comando, você pode iniciar e interromper o serviço
Symantec Endpoint Protection Manager da seguinte forma:
net start Symantec Endpoint Protection Manager consolesemsrv
net stop semsrv
Você pode também reiniciar o console do Symantec Endpoint Protection Manager

para iniciar automaticamente o serviço.
Gerenciamento de servidores 263
Concessão ou negação de acesso aos consoles remotos do Symantec Endpoint Protection Manager
Nota: Se você interromper o serviço Symantec Endpoint Protection Manager, os

clientes não poderão mais se conectar a ele. Se os clientes precisarem se comunicar
com o Symantec Endpoint Protection Manager para se conectar à rede, eles terão
o acesso negado até que o serviço do Symantec Endpoint Protection Manager seja
reiniciado.
Por exemplo, um cliente deve se comunicar com o Symantec Endpoint Protection
Manager para aprovar uma verificação de integridade do host.
Concessão ou negação de acesso aos consoles

remotos do Symantec Endpoint Protection Manager
Você pode proteger o principal console do Symantec Endpoint Protection Manager
concedendo ou negando o acesso aos computadores nos quais um console remoto
do Symantec Endpoint Protection Manager esteja instalado. Por padrão, todos os
consoles têm acesso permitido. Os administradores podem fazer log on no console
principal do Symantec Endpoint Protection Manager localmente ou remotamente,
a partir de qualquer computador na rede.
Além de conceder ou negar acesso globalmente, é possível especificar as exceções
por endereço IP. A lista de exceções negará automaticamente acesso se você tiver
escolhido conceder acesso a todos os consoles remotos. Ao contrário, se você negar
acesso a todos os consoles remotos, concederá automaticamente acesso a todas
as exceções.
Quando criar uma exceção, o computador especificado deverá ter um endereço IP
estático. Você também pode criar uma exceção para um grupo de computadores
especificando uma máscara de sub-rede. Por exemplo, talvez você queira permitir
acesso em todas as áreas que administrar. Porém, talvez você queira negar o acesso
a um console do Symantec Endpoint Protection Manager que esteja localizado em
uma área pública.
Para conceder ou negar o acesso a um console remoto do Symantec Endpoint
Protection Manager
3 Na página Admin, sob Exibir servidores, selecione o servidor cuja a permissão
de acesso do console você quer mudar.
4 Em Tarefas, clique em Editar propriedades do servidor.
5 Na guia Geral, clique em Acesso concedido ou Acesso negado
Exclusão de servidores selecionados
6 Se quiser especificar endereços IP de computadores que são isentos dessa

permissão de acesso do console, clique em Adicionar.
Os computadores adicionados se tornam exceções para aqueles que têm acesso
concedido. O acesso será negado a esses computadores. Se você seleciona
Acesso negado, os computadores especificados se tornam somente os únicos
com acesso permitido. Crie uma exceção para um único computador ou grupo
de computadores.
7 Na caixa de diálogo Negar acesso ao console, clique em uma das seguintes
opções:
■ Único computador
Para um computador, digite o endereço IP.
■ Grupo de computadores
Para vários computadores, digite o endereço IP e a máscara de sub-rede
para o grupo.
8 Clique em OK.
Os computadores agora serão exibidos na lista de exceções. Para cada endereço
IP e máscara, será exibido o status de permissão.
Se você alterar o Acesso concedido ou Acesso negado ou vice-versa, todas as
exceções serão alteradas. Se você tiver criado exceções para negar acesso,
agora elas terão acesso.
9 Clique em Editar tudo para alterar os endereços IP ou nomes do host desses
computadores exibidos na lista de exceções.
O Editor de endereço IP será exibido. O Editor de endereço IP é um editor de
texto que permite que você edite endereços IP e máscaras de sub-rede.
10 Clique em OK.
11 Quando você concluir o acréscimo de exceções à lista ou a edição da lista,
clique em OK.
Exclusão de servidores selecionados

Você pode ter desinstalado um grande número de instalações do Symantec
Endpoint Protection Manager. Porém, eles ainda podem ser exibidos no console
do Symantec Endpoint Protection Manager. Nesta situação, é necessário excluir
as conexões.
A ocorrência mais comum dessa tarefa é quando você usa um banco de dados do
Microsoft SQL com vários Symantec Endpoint Protection Managers conectados
a ele. Se um Symantec Endpoint Protection Manager estiver desinstalado, ele
Gerenciamento de servidores 265
Exportação e importação de configurações do servidor
ainda aparecerá nos outros consoles do Symantec Endpoint Protection Manager.

Você precisa excluir manualmente os servidores que não estão mais conectados.
Para excluir servidores selecionados
3 Na página Admin, em Exibir servidores, expanda Site local (Site <nome do
site>) para selecionar o Symantec Endpoint Protection Manager que deseja
excluir.
Observe que é necessário interromper o serviço Symantec Endpoint Protection
Manager antes de excluí-lo.
Consulte “Início e interrupção do serviço Symantec Endpoint Protection
Manager” na página 262.
4 Clique em Excluir servidor selecionado.
5 Clique em Sim para confirmar que você deseja excluir o servidor selecionado.

É possível exportar ou importar configurações para um Symantec Endpoint
Protection Manager. As configurações são exportadas para um arquivo no formato
.xml.
Para exportar as configurações do servidor
1 Clique na guia Servidores.
2 Na árvore, expanda Site local (Site nome_do_site) e selecione o servidor de
gerenciamento que você quer exportar.
3 Clique em Exportar propriedades do servidor.
4 Selecione um local onde salvar o arquivo e especifique um nome para o mesmo.
Para importar as configurações do servidor
1 Clique na guia Servidores.
2 Na árvore, expanda Site local (Site nome_do_site) e selecione o servidor de
gerenciamento para o qual você quer importar configurações.
3 Clique em Importar propriedades do servidor.
4 Selecione o arquivo que você quer importar e clique em Importar.
5 Clique em Sim para confirmar a importação.
Capítulo 15
Gerenciamento de
servidores de diretórios
■ Sobre o gerenciamento de servidores de diretório
■ Acréscimo de servidores de diretório
■ Sincronização de contas de usuário entre servidores de diretório e um Symantec

Endpoint Protection Manager
■ Importação de informações sobre usuários de um servidor de diretórios LDAP
■ Pesquisar usuários em um servidor de diretórios LDAP
■ Importação de usuários em uma lista de resultados de pesquisa de servidores

de diretórios LDAP
■ Sobre unidades organizacionais e o servidor LDAP
Sobre o gerenciamento de servidores de diretório

É necessário configurar o Symantec Endpoint Protection Manager para se
comunicar com qualquer servidor de diretório. Você precisa estabelecer uma
conexão entre os servidores de diretório e o Symantec Endpoint Protection
Manager. Se uma conexão não for estabelecida, você não poderá importar os
usuários de servidores de Active Directory ou LDAP, nem fazer a sincronização
com eles.
268 Gerenciamento de servidores de diretórios
Acréscimo de servidores de diretório
Acréscimo de servidores de diretório

Com servidores Active Directory, não é possível filtrar os usuários. Com servidores
LDAP, você pode filtrar os usuários antes de importar dados. Portanto, você poderá
adicionar um servidor Active Directory compatível com LDAP como servidor LDAP
se precisar filtrar os dados.
Depois de concluir o acréscimo de um servidor de diretório, é recomendável
configurar a sincronização.
Consulte “Sincronização de contas de usuário entre servidores de diretório e um
Para adicionar servidores de diretório
3 Na página Admin, em Exibir servidores, selecione o Symantec Endpoint
Protection Manager ao qual deseja adicionar um servidor de diretório.
4 Na página Admin, em Tarefas, clique em Editar propriedades do servidor.
5 Em Propriedades do servidor da caixa de diálogo nome do site, na guia
Servidores de diretórios, clique em Adicionar.
6 Na caixa de diálogo Adicionar servidor do diretório, digite o nome do servidor
do diretório que deseja adicionar no campo Nome.
7 Na caixa de diálogo Adicionar servidor do diretório, marque Active Directory
ou LDAP como o Tipo de servidor.
8 Na caixa de diálogo Adicionar servidor do diretório, digite o endereço IP, nome
do host ou nome de domínio na caixa Endereço IP do servidor ou nome.
Você deve digitar o endereço IP, nome de host ou o nome do domínio do
servidor de diretórios que deseja adicionar.
9 Ao adicionar um servidor LDAP, digite o número da porta do servidor LDAP
na caixa Porta LDAP.
Não será possível alterar os valores se você adicionar o servidor Active
Directory.
A configuração da porta padrão é 389.
10 Se você adicionar um servidor LDAP, digite o LDAP BaseDN na caixa LDAP
BaseDN.
11 Digite o nome de usuário da conta do servidor de diretório autorizado na caixa
nome de usuário.
Gerenciamento de servidores de diretórios 269
Sincronização de contas de usuário entre servidores de diretório e um Symantec Endpoint Protection Manager
12 Digite a senha para a conta do servidor de diretório na caixa de diálogo Senha.

13 Se deseja conectar-se ao servidor de diretórios usando SSL (Secure Sockets
Layer), marque Usar conexão segura.
Se você não marcar essa opção, uma conexão não criptografada normal será
usada.
14 Clique em OK.
Sincronização de contas de usuário entre servidores

de diretório e um Symantec Endpoint Protection
Manager
Você pode configurar os servidores de diretório para importar e sincronizar
usuários com o Symantec Endpoint Protection Manager. Você já deve ter adicionado
os servidores de diretório antes de sincronizar as informações sobre os usuários.
Para sincronizar contas de usuário entre servidores de diretório e um Symantec
3 Na página Admin, em Exibir, selecione o Symantec Endpoint Protection
Manager ao qual deseja adicionar um servidor de diretório.
5 Na caixa de diálogo Propriedades do servidor, clique na guia Servidores de
diretórios.
6 Marque Sincronizar com servidores de diretórios se ainda não tiver marcado.
Essa opção é a configuração padrão.
7 Para configurar o agendamento de acordo com a freqüência com a qual você
deseja sincronizar o servidor de gerenciamento e o servidor do diretório,
execute uma destas ações:
■ Para sincronizar automaticamente a cada 24 horas, clique em
Agendamento automático.
A configuração padrão é agendada para sincronizar a cada 86.400
segundos. Também é possível personalizar o intervalo editando o arquivo
tomcat\etc\conf.properties.
Importação de informações sobre usuários de um servidor de diretórios LDAP
■ Para especificar com que freqüência quer sincronizar (em horas), clique
em Sincronizar a cada e especifique o número de horas.
8 Clique em OK.
Importação de informações sobre usuários de um

servidor de diretórios LDAP
Os administradores podem importar informações sobre as contas do usuário e do
computador de um servidor de diretórios LDAP usando o protocolo LDAP.
Se você planeja importar informações sobre usuário e contas, estabeleça
primeiramente uma conexão entre o Symantec Endpoint Protection Manager e
um servidor de diretórios.
Em seguida, você pode procurar e importar as informações sobre usuários e contas
concluindo as tarefas a seguir:
■ Pesquisar os usuários no servidor LDAP.
Consulte “Pesquisar usuários em um servidor de diretórios LDAP” na página 270.
■ Importar as informações sobre as contas do usuário.
Consulte “Importação de usuários em uma lista de resultados de pesquisa de
servidores de diretórios LDAP” na página 273.
Pesquisar usuários em um servidor de diretórios LDAP

É necessário pesquisar usuários em um servidor LDAP ao importar informações
sobre usuários do servidor de gerenciamento.
Para pesquisar usuários em um servidor de diretórios LDAP
2 Na página Clientes, em Exibir, selecione o grupo ao qual deseja importar
usuários.
3 Na página Clientes, em Tarefas, clique em Importar usuários LDAP ou Active
Directory.
4 Na caixa de diálogo Importar usuários LDAP ou Active Directory, digite o
endereço IP ou nome de host na caixa Servidor.
5 Na caixa de diálogo Importar usuários LDAP ou Active Directory, digite o

número da porta do servidor LDAP ou do Active Directory na caixa Porta do
servidor.
O número da porta padrão é 389.
6 Se você quiser conectar-se ao servidor de diretórios usando SSL (Secure
Sockets Layer), clique em Usar conexão segura.
Se você não marcar essa opção, uma conexão não criptografada será usada.
7 Para relacionar os usuários, clique em Relacionar usuários.

Também é possível digitar uma consulta de LDAP para localizar os nomes
dos usuários que você deseja importar na caixa Base de pesquisa LDAP.
É possível especificar opções de pesquisa, como pares de atributo=valor. Os
atributos devem ser separados por vírgulas.
CN CommonName
DC DomainComponent
L LocalityName
ST StateOrProvinceName
O OrganizationName
OU OrganizationalUnitName
C CountryName
RUA StreetAddress
Nem todos os servidores LDAP são compatíveis com todas as opções. Por
exemplo o Microsoft Active Directory não aceita O.
A ordem na qual os pares atributo=valor são especificados é importante
porque indica o local da entrada na hierarquia de diretórios LDAP.
Se durante a instalação de um servidor do diretório, foi especificado um nome
de domínio do tipo DNS como itsupport.sygate.com, você pode consultar um
servidor de diretórios, já que itsupport é um nome de domínio típico do NT
NetBIOS.
Para consultar esse servidor do Active Directory, especifique a base da
pesquisa de LDAP nesta ordem:
CN=Usuários, DC=itsupport, DC=sygate, DC=com
É possível usar caracteres curinga ou expressões regulares na base de pesquisa.

Por exemplo:
CN=a*, CN=Usuários, DC=itsupport, DC=sygate, DC=com
Essa consulta retorna todos os nomes de usuários iniciados com a letra a.

Outro exemplo representa organizações nas quais é possível fazer uma
pesquisa de diretórios estruturais, como:
mycorp.com -> engineering.mycorp.com ou sales.mycorp.com

Importação de usuários em uma lista de resultados de pesquisa de servidores de diretórios LDAP
É possível especificar ambas as opções dependendo de onde você quiser iniciar

a pesquisa no diretório LDAP.
o=mycorp.com ou o=engineering.mycorp.com
É possível especificar a comparação lógica usando > ou < na string de pesquisa

LDAP.
Uma consulta de LDAP que forneça mais de 1.000 resultados poderá falhar.
Configure a base de pesquisa para que menos de 1.000 usuários sejam
relatados.
8 Digite o nome da conta de usuário LDAP na caixa Contas autorizadas.
9 Digite a senha da conta de usuário LDAP na caixa Senha.
10 Clique em Relacionar usuários para exibir uma lista de usuários do servidor
LDAP.
Se a opção Exibir apenas os usuários que não estejam incluídos em nenhum
grupo estiver marcada, somente os usuários ainda não adicionados serão
exibidos.
Importação de usuários em uma lista de resultados

de pesquisa de servidores de diretórios LDAP
Também é possível importar usuários em uma lista de resultados de pesquisa de
servidores de diretórios LDAP.
Para importar usuários em uma lista de resultados de pesquisa de servidores de
diretórios LDAP
2 Ná árvore Lista de grupos, selecione o grupo ao qual deseja adicionar usuários
do servidor LDAP.
Clique em Adicionar todos se deseja adicionar todos os usuários ou selecione
usuários específicos na lista e clique em Adicionar.
3 Clique no nome do campo a ser classificado usando essa coluna.
É possível classificar os resultados da pesquisa por campo em ordem crescente
ou decrescente.
4 Selecione um ou mais usuários na área Lista de usuários LDAP.
É possível usar as teclas de seleção padrão do Windows, como Ctrl, para
selecionar usuários não contíguos.
Sobre unidades organizacionais e o servidor LDAP
5 Clique em Adicionar para que os nomes dos novos usuários sejam exibidos
na árvore do grupo.
6 Repita esse processo para adicionar usuários aos outros grupos, se necessário,
até ter adicionado todos os novos usuários.
7 Clique em Fechar.

O Symantec Endpoint Protection Manager pode sincronizar automaticamente
usuários, computadores e toda a estrutura de grupos em uma unidade
organizacional (OU, Organizational Unit) de um Active Directory ou servidor
LDAP. Quando importadas, você pode atribuir políticas aos grupos criados. As
unidades organizacionais importadas não podem ser modificadas no console do
Symantec Endpoint Protection Manager. Se precisar adicioná-las, excluí-las ou
modificá-las, você deverá realizar essas tarefas no servidor LDAP. O Symantec
Endpoint Protection Manager permanecerá sincronizado automaticamente com
a estrutura implementada no servidor de diretórios se você ativar a sincronização.
Você também pode criar grupos no Symantec Endpoint Protection Manager e
copiar os usuários para eles a partir das OUs. O mesmo usuário pode existir tanto
no grupo do servidor de gerenciamento quanto em uma OU. Nessa situação, a
prioridade do grupo é maior que a da OU. Portanto, a política do grupo é aplicada
ao usuário ou ao computador.
Importação de unidades organizacionais de um servidor de diretórios

ativo ou LDAP
Se você desejar importar uma unidade organizacional ou um recipiente, deverá
ter conectado anteriormente um Symantec Endpoint Protection Manager a um
servidor LDAP.
Não é possível filtrar os resultados da caixa de diálogo Importar unidades
organizacionais. Se você precisar filtrar os usuários, deverá fazê-lo quando
adicionar o servidor LDAP ao Symantec Endpoint Protection Manager. Os
servidores Active Directory não podem ser filtrados em nenhum local.
Esse processo pode levar tempo, dependendo do número de usuários. Uma unidade
organizacional não pode ser colocada em mais de uma árvore do grupo.
Para importar uma unidade organizacional de um servidor LDAP

2 Na página Clientes, em Exibir, selecione o grupo ao qual você deseja adicionar
uma unidade organizacional ou um Recipiente.
3 Na página Clientes, em Tarefas, clique em Importar unidade organizacional
ou recipiente.
4 Selecione o domínio.
5 Selecione a unidade organizacional.
6 Clique em OK.
Sincronização das unidades organizacionais

A integração e a sincronização com os servidores LDAP e de Active Directory são
um recurso opcional do Symantec Endpoint Protection Manager. Você pode
importar unidades organizacionais de outros servidores e configurar a
sincronização automática das OUs importadas com outros servidores.
Todas as alterações que você realizou no servidor LDAP não serão exibidas
imediatamente na unidade organizacional importada para o Symantec Endpoint
Protection Manager. O período de latência depende da freqüência de sincronização.
Você pode definir a freqüência de sincronização editando as propriedades do
servidor no Symantec Endpoint Protection Manager.
O nome do usuário é exibido no grupo do Symantec Endpoint Protection Manager
mesmo que você tenha realizado as seguintes tarefas:
■ Copiado um usuário de uma unidade organizacional para um grupo
■ Excluído esse usuário do servidor LDAP em seguida
A sincronização ocorre somente entre o servidor LDAP e a unidade organizacional.
Capítulo 16
Gerenciamento de
servidores de e-mails
■ Sobre o gerenciamento de servidores de e-mail
■ Como estabelecer comunicação entre o Symantec Endpoint Protection Manager

e os servidores de e-mail
Sobre o gerenciamento de servidores de e-mail

Se a sua rede aceita servidores de e-mail, você pode realizar as tarefas a seguir
depois de estabelecer comunicação entre o Symantec Endpoint Protection Manager
e o servidor de e-mails:
■ Configurar as notificações por e-mail automáticas para os eventos de segurança
que serão enviados aos administradores
■ Configurar as notificações por e-mail automáticas para os eventos de segurança
que serão enviados aos clientes
As notificações por e-mail automáticas somente ocorrerão se você estabelecer
uma conexão entre o Symantec Endpoint Protection Manager e pelo menos um
dos servidores de e-mail na rede.
na página 530.
278 Gerenciamento de servidores de e-mails
Como estabelecer comunicação entre o Symantec Endpoint Protection Manager e os servidores de e-mail
Como estabelecer comunicação entre o Symantec

Endpoint Protection Manager e os servidores de
e-mail
Se quiser usar a notificação de e-mail, será necessário configurar o servidor de
e-mail no Symantec Endpoint Protection Manager.
Para estabelecer comunicação entre o Symantec Endpoint Protection Manager e
os servidores de e-mail
2 Na página Admin, em Tarefas, clique em Servidor.
Protection Manager para o qual deseja estabelecer uma conexão com o servidor
de e-mail.
5 Na caixa de diálogo Propriedades do servidor, clique na guia Servidor de
e-mail.
6 Digite o endereço IP, o nome do host ou o nome de domínio do servidor de
e-mail na caixa de texto de Endereço do servidor.
7 Digite o nome de usuário da conta no servidor de e-mail na caixa de texto
Nome de usuário.
É necessário adicionar um nome de usuário somente se o servidor de e-mail
exigir autenticação.
8 Na caixa de diálogo Propriedades do servidor, digite a senha de uma conta no
servidor de e-mail na caixa de texto Senha.
É necessário adicionar uma senha somente se o servidor de e-mail exigir
autenticação
9 Clique em OK.
Capítulo 17
Gerenciamento de
servidores proxy
■ Sobre servidores proxy
■ Configuração de uma conexão entre um servidor proxy HTTP e o Symantec

■ Como configurar uma conexão entre um servidor proxy FTP e o Symantec

Sobre servidores proxy

Você pode usar servidores proxy HTTP ou proxy FTP para ajudar a gerenciar o
LiveUpdate.
Você pode estabelecer conexões entre o Symantec Endpoint Protection Manager
e os tipos de servidores a seguir:
■ servidor proxy HTTP
■ servidor proxy FTP
Configuração de uma conexão entre um servidor proxy

HTTP e o Symantec Endpoint Protection Manager
Se você oferecer suporte a um servidor proxy HTTP na rede corporativa, será
necessário conectar o servidor proxy HTTP ao Symantec Endpoint Protection
Manager. Você pode usar o servidor proxy HTTP para fazer download
automaticamente do conteúdo do LiveUpdate.
280 Gerenciamento de servidores proxy
Como configurar uma conexão entre um servidor proxy FTP e o Symantec Endpoint Protection Manager.
Para configurar um servidor proxy HTTP

3 Em Exibir servidores, selecione o Symantec Endpoint Protection Manager
para o qual você quer conectar um servidor proxy HTTP.
5 Na caixa de diálogo Propriedades do servidor, clique na guia Servidor proxy.
6 Em Configurações de proxy HTTP, selecione Usar configurações
personalizadas de proxy da lista Uso de proxy.
7 Digite o endereço IP do servidor proxy HTTP no campo Endereço do servidor.
Um endereço IP válido ou nome de servidor com até 256 caracteres.
8 Digite o número da porta do servidor proxy no campo Porta.
Um número de porta válido varia de 0 a 65535.
9 Marque Autenticação necessária para conexão através do servidor proxy.
10 Digite o nome de usuário do servidor proxy no campo Nome de usuário.
11 Digite a senha do servidor proxy ao qual você quer se conectar no campo
Senha.
12 Clique em OK.
Como configurar uma conexão entre um servidor

proxy FTP e o Symantec Endpoint Protection Manager.
Se você oferecer suporte a um servidor proxy FTP na rede corporativa, precisará
conectar o servidor proxy FTP ao Symantec Endpoint Protection Manager. Você
pode usar o servidor proxy HTTP para fazer download automático dos conteúdos
do LiveUpdate.
Para configurar uma conexão entre um servidor proxy FTP e o Symantec Endpoint
Protection Manager
3 Em Exibir servidores, selecione o Symantec Endpoint Protection Manager
para o qual você quer conectar um servidor proxy FTP.
Gerenciamento de servidores proxy 281
5 Na caixa de diálogo Propriedades do servidor, clique na guia Servidor proxy.

6 Em Configurações de proxy FTP, selecione Usar configurações personalizadas
de proxy da lista Uso de proxy.
7 Digite o endereço IP do servidor proxy FTP no campo Endereço do servidor.
O endereço IP ou o nome do servidor pode conter até 256 caracteres.
8 Digite o número da porta do servidor proxy no campo Porta.
O intervalo válido do número da porta é 0 - 65535.
9 Clique em OK.
282 Gerenciamento de servidores proxy
Capítulo 18
Gerenciamento de
servidores RSA
■ Sobre pré-requisitos para usar o RSA SecurID com o Symantec Endpoint

Protection Manager
■ Configuração do Symantec Endpoint Protection Manager para usar a

autenticação RSA SecurID
■ Especificação de uma autenticação SecurID para um administrador do Symantec

■ Configuração do servidor de gerenciamento para compatibilidade com a

comunicação HTTPS
Sobre pré-requisitos para usar o RSA SecurID com o

Symantec Endpoint Protection Manager
Se desejar autenticar os administradores que usam o Symantec Endpoint Protection
Manager com RSA SecurID, precisará ativar a autenticação criptografada,
executando o Assistente de Instalação do RSA.
Antes de executar o assistente, certifique-se do seguinte:
■ O servidor RSA ACE está instalado
■ O computador em que você instalou o Symantec Endpoint Protection Manager
é registrado como um host válido no servidor RSA ACE
■ Crie um arquivo Node Secret para o mesmo host
■ O arquivo sdconf.rec do servidor RSA ACE está acessível na rede
284 Gerenciamento de servidores RSA
Configuração do Symantec Endpoint Protection Manager para usar a autenticação RSA SecurID
■ Um cartão ou token ("key fob") SecurID sincronizado foi atribuído a uma conta
do Symantec Endpoint Protection Manager. O nome de logon deve estar ativado
no servidor RSA ACE
■ O PIN ou a senha RSA do administrador está disponível
A Symantec aceita os seguintes tipos de logon RSA:
■ Token do RSA SecurID (não tokens do RSA do software)
■ Cartão do RSA SecurID
■ Cartão do teclado numérico do RSA (não cartões inteligentes do RSA)
Para efetuar logon no Symantec Endpoint Protection Manager com o SecurID
RSA, o administrador precisa de um nome de logon, do token (hardware) e de um
código de identificação.
Configuração do Symantec Endpoint Protection

Manager para usar a autenticação RSA SecurID
Se sua rede corporativa inclui um servidor RSA, você precisa instalar o software
para um agente RSA ACE no computador em que instalou o Symantec Endpoint
Protection Manager e configurá-lo como um cliente de autenticação SecurID. O
Symantec Endpoint Protection Manager é conhecido também como servidor de
gerenciamento.
Para configurar a autenticação RSA SecurID no Symantec Endpoint Protection
Manager
1 Instale o software do agente do RSA ACE no mesmo computador em que você
instalou o Symantec Endpoint Protection Manager. Você pode instalar o
software executando o arquivo.msi do Windows a partir do CD do agente de
autenticação RSA.
2 Copie os arquivos nodesecret.rec, sdconf.rec e agent_nsload.exe do servidor
RSA ACE para o computador em que você instalou o Symantec Endpoint
Protection Manager.
3 No prompt, digite o seguinte comando:
agent_nsload -f nodesecret.rec -p senha para o arquivo nodesecret
4 No console de gerenciamento, clique em Admin.

Protection Manager ao qual deseja conectar um servidor RSA.
Gerenciamento de servidores RSA 285
Especificação de uma autenticação SecurID para um administrador do Symantec Endpoint Protection Manager
7 Na página Admin, em Tarefas, clique em Configurar autenticação SecurID.

8 No painel Bem-vindo ao Assistente de Configuração da autenticação SecurID,
clique em Avançar.
9 No painel Qualificação do painel do Assistente de Configuração da autenticação
SecurID, leia os pré-requisitos de forma que possa atender a todos os
requisitos.
10 Clique em Avançar.
11 No painel Carregar arquivo RSA do painel Assistente de Configuração da
autenticação SecurID, navegue até a pasta na qual o arquivo sdconf.rec reside.
Você também pode digitar o nome do caminho.
13 Clique em Teste para testar a sua configuração.
14 Na caixa de diálogo Testar configuração, digite o nome de usuário e a senha
para a sua SecurID e, em seguida, clique em Teste.
Autentica agora com sucesso.
Especificação de uma autenticação SecurID para um

administrador do Symantec Endpoint Protection
Manager
Você pode especificar que os administradores devam primeiro ser autenticados
pelo SecurID antes que possam fazer login no console de gerenciamento.
Você pode criar um novo administrador ou modificar as configurações para um
administrador existente. O procedimento aqui descreve como especificar a
autenticação para um novo administrador.
Consulte “Adição de um administrador” na página 81.
Para criar uma autenticação SecurID para um administrador do Symantec Endpoint
Protection Manager
1 No console de gerenciamento, clique em Admin.
2 Na página Admin, sob Tarefas, selecione Administradores.
3 Na página Administradores, sob Tarefas, selecione Adicionar administrador.
4 Na caixa de diálogo Adicionar administrador, digite o nome de um usuário
que você configurou previamente para o cliente RSA ACE.
5 Ao lado de Tipo de autenticação, clique em Alterar.
286 Gerenciamento de servidores RSA
Configuração do servidor de gerenciamento para compatibilidade com a comunicação HTTPS
6 Na caixa de diálogo Autenticação do administrador, selecione Autenticação

RSA SecurID e clique em OK.
7 Na caixa de diálogo Adicionar administrador, clique em OK.
Configuração do servidor de gerenciamento para

compatibilidade com a comunicação HTTPS
Se você pretende usar a comunicação HTTPS e a autenticação SSL entre clientes,
os Symantec Endpoint Protection Managers e Enforcers opcionais, é necessário
adicionar um certificado SSL. É necessário adicionar o certificado SSL para o
Internet Information Server (IIS) da Microsoft.
Você precisa concluir as tarefas a seguir, nesta ordem:
■ Gere ou compre um certificado SSL.
■ Adicione o certificado ao servidor IIS instalado no mesmo computador que o
Symantec Endpoint Protection Manager.
■ Configure as lista do servidor de gerenciamento para compatibilidade com a
comunicação HTTPS.
Para adicionar a certificado ao servidor IIS
1 Clique em Iniciar > Programas > Ferramentas administrativas > Gerenciador
do Internet Information Services (IIS).
2 No computador local, selecione Servidor da web da Symantec e em Sites.
3 Clique com o botão direito do mouse em Servidor da web da Symantec e
escolha Propriedades.
4 Na guia Segurança do diretório, clique em Certificado do servidor para iniciar
o Assistente do Certificado do servidor da web.
5 Crie ou importe um certificado do servidor, seguindo as etapas no assistente.
Para obter mais informações, consulte a ajuda on-line do IIS.
6 Na guia Site, especifique o número da porta para a porta SSL, que é 443 por
padrão.
Capítulo 19
Gerenciamento de
certificados de servidores
■ Sobre os tipos de certificado de servidor
■ Atualização do certificado do servidor com um assistente
■ Backup do certificado de servidor
■ Localização da senha para armazenamento de chave
Sobre os tipos de certificado de servidor

Os certificados digitais são o padrão do setor para autenticar e criptografar dados
confidenciais. Se você quiser impedir a leitura das informações à medida que elas
passam pelos roteadores na rede, será necessário criptografar os dados. Portanto,
um certificado digital que utilize o protocolo HTTPS deverá ser utilizado.
Como parte desse procedimento seguro, o servidor identifica e autentica a si
próprio com um certificado de servidor. A Symantec usa o protocolo HTTPS para
a comunicação entre todos os servidores, clientes e Enforcers opcionais em uma
rede.
Também é necessário habilitar a criptografia no servidor de gerenciamento, de
forma que o servidor identifica e autentica a si próprio com um certificado de
servidor. Se você não ativar essa opção, a instalação de um certificado digital não
será eficiente.
O Symantec Endpoint Protection Manager é compatível com os seguintes tipos
de certificado:
■ arquivo de armazenamento de chave JKS (.jks)
288 Gerenciamento de certificados de servidores
Atualização do certificado do servidor com um assistente
Uma ferramenta Java denominada keytool.exe gera o arquivo de

armazenamento de chave. A Symantec é compatível somente com o formato
Java Key Standard (JKS). O formato Java Cryptography Extension (JCEKS)
requer uma versão específica do Java Runtime Environment (JRE). O Symantec
Endpoint Protection Manager é compatível somente com um arquivo de
armazenamento de chave JCEKS gerado com a mesma versão que o Java
Development Kit (JDK) no Symantec Endpoint Protection Manager.
■ Arquivo de armazenamento de chave PKCS12 (.pfx e .p12)
O armazenamento da chave deve conter um certificado e uma chave privada.
A senha do armazenamento de chave deve ser a mesma senha da chave. Ela é
geralmente exportada a partir do Internet Information Services (IIS).
■ Certificado e arquivo de chave privada (formato DER e PEM)
A Symantec é compatível com certificados não criptografados e chaves privadas
no formato DER e PEM. Os arquivos de chave privada criptografada PKCS8
não são compatíveis.
Você pode fazer backup das informações sobre o certificado como precaução de
segurança. Se o servidor de gerenciamento for danificado ou você esquecer a senha
do armazenamento de chave, poderá recuperá-la facilmente.
Atualização do certificado do servidor com um

assistente
Você pode usar o Assistente de Atualização do certificado do servidor para guiá-lo
no processo de atualização de certificados.
Para atualizar um certificado do servidor com um assistente
3 Em Exibir servidores, clique no servidor de gerenciamento para o qual você
quer atualizar o certificado de servidor.
4 Em Tarefas, clique em Gerenciar certificado de servidor.
5 No painel Bem-vindo ao assistente de gerenciamento de certificado de servidor,
clique em Avançar.
6 No painel Gerenciar certificado de servidor, clique em Atualizar o certificado
de servidor.
Gerenciamento de certificados de servidores 289
7 No painel Gerenciar certificado de servidor, clique em Avançar.

8 Selecione qualquer uma das seguintes opções para instalar ou atualizar um
certificado de servidor:
arquivo de armazenamento de chave JKS Consulte “Atualização do certificado JKS

(.jks) com um assistente” na página 289.
Arquivo de armazenamento de chave Consulte “Atualização do certificado

PKCS12 (.pfx e .p12) PKCS12 com um assistente” na página 290.
Certificado e arquivo de chave privada Consulte “Atualização de certificados e

(formato DER e PEM) chaves privadas não criptografadas (DER
ou PEM) com um assistente” na página 290.
Atualização do certificado JKS com um assistente

1 Conclua as etapas de 1 a 8, a menos que já tenha feito isso.
2 No painel Atualização do certificado do servidor, clique em Arquivo de
armazenamento de chave JKS (.jks).
4 No painel de armazenamento de chave JKS, clique em Procurar para localizar
o arquivo de armazenamento de chave JKS (.jks) no servidor de gerenciamento
ou digite o nome do caminho para esse arquivo no campo de texto.
5 Na caixa de diálogo Selecionar arquivo de armazenamento de chave Java,
clique em Abrir depois de ter localizado o arquivo.
6 No painel de armazenamento de chave JKS, digite a senha do armazenamento
de chave na caixa de texto Senha do armazenamento de chave.
7 No painel de armazenamento de chave JKS, digite a senha do armazenamento
de chave no campo de texto Senha de chave pela segunda vez.
8 No painel de armazenamento de chave JKS, clique em Avançar.
9 No painel Assistente de Gerenciamento de certificado de servidor concluído,
clique em Concluir.
No painel Assistente de Gerenciamento de certificado de servidor concluído,
será exibida uma mensagem que define se o certificado do servidor foi ou não
adicionado com êxito. Você precisará fazer logoff e reiniciar o servidor de
gerenciamento antes que o certificado se torne vigente.
Atualização do certificado PKCS12 com um assistente

2 No painel Atualização do certificado do servidor, clique em arquivo de
armazenamento de chave PKCS12 (.pfx e p12).
4 No painel de armazenamento de chave PKCS12, clique em Procurar para
localizar o arquivo de armazenamento de chave PKCS12 (.pfx e .p12) no
servidor de gerenciamento ou digite o nome do caminho para esse arquivo
no campo de texto.
5 Na caixa de diálogo Selecionar arquivo de armazenamento de chave PKCS12,
clique em Abrir depois de ter localizado o arquivo.
6 No painel de armazenamento de chave PKCS12, digite a senha do
armazenamento de chave na caixa de texto Senha do armazenamento de
chave.
7 No painel de armazenamento de chave PKCS12, clique em Avançar.
clique em Concluir.
Atualização de certificados e chaves privadas não criptografadas (DER ou PEM)
com um assistente
2 No painel Atualizar certificado de servidor, clique em Certificado e arquivo
de chave privada (formato DER e PEM).
4 No painel Arquivo de certificado, localize o certificado (formato DER e PEM)
no servidor de gerenciamento clicando em Procurar.
Como alternativa, digite o nome do caminho para esse arquivo na caixa de
texto Caminho do certificado.
5 No painel Arquivo de certificado, clique em Procurar para localizar o arquivo
de chave privada (formato DER e PEM) no servidor de gerenciamento. Como
alternativa, digite o nome do caminho para esse arquivo na caixa de texto
Arquivo da chave privada.
Gerenciamento de certificados de servidores 291
Backup do certificado de servidor
6 No painel Arquivo de certificado, clique em Avançar depois de ter localizado

os arquivos.
clique em Concluir.
Backup do certificado de servidor

Caso o servidor de gerenciamento esteja danificado, você deve fazer o backup da
chave privada, assim como dos arquivos que representam o certificado.
Para fazer backup do certificado de servidor
3 Em Exibir servidores, clique no servidor de gerenciamento cujo certificado
de servidor você quer fazer backup.
4 Em Tarefas, clique em Gerenciar certificado de servidor.
5 No painel Bem-vindo ao assistente de gerenciamento de certificado de servidor,
clique em Avançar.
6 No painel Gerenciar certificado de servidor, clique em Fazer o backup do
certificado de servidor.
7 No painel Fazer o backup do certificado de servidor, digite o nome do caminho
ou procure a pasta na qual deseja fazer backup da chave privada. Observe
que você fará o backup do certificado do servidor de gerenciamento na mesma
pasta.
Será feito o backup do arquivo de armazenamento de chave JKS durante a
instalação inicial. Também será feito o backup de um arquivo chamado
carimbo de hora.xml do servidor. O arquivo JKS Keystore inclui o par de chaves
privada e pública do servidor e o certificado auto-assinado.
8 No painel Fazer o backup do certificado de servidor, clique em Avançar.
9 No painel Gerenciar certificado de servidor, clique em Concluir.
Localização da senha para armazenamento de chave
Localização da senha para armazenamento de chave

Talvez seja necessário localizar a senha em caso de perda.
Para localizar a senha para armazenamento de chave
1 Clique com o botão direito do mouse em Meu computador.
2 Localize a pasta na qual quer fazer backup dos arquivos do certificado,
selecionando Explorer.
3 Abra o arquivo servidorcarimbo de hora.xml do servidor e localize a senha
para armazenamento de chave.
4 Cole a senha para armazenamento de chave nos campos Armazenamento de
chave e Senha para chave.
Capítulo 20
Gerenciamento de banco de
dados
■ Sobre o gerenciamento de bancos de dados
■ Backup de um banco de dados do Microsoft SQL
■ Backup de um banco de dados interno sob demanda do Symantec Endpoint

Protection Manager
■ Agendamento de backups de bancos de dados automáticos no Symantec

■ Restauração de um banco de dados
■ Edição do nome e da descrição de um banco de dados no console do Symantec

■ Reconfiguração de um banco de dados
■ Sobre o gerenciamento de dados de registro
Sobre o gerenciamento de bancos de dados

O Symantec Endpoint Protection e o Symantec Network Access Control são
compatíveis com um Microsoft SQL ou banco de dados interno. O banco de dados
interno é usado tipicamente em organizações com 1000 ou menos clientes, que
se conectam ao console do Symantec Endpoint Protection Manager. Organizações
maiores geralmente usam o Microsoft SQL Server para o banco de dados.
Se você instalar um banco de dados interno, o Symantec Endpoint Protection
Manager poderá instalar automaticamente o banco de dados. Se o ambiente de
294 Gerenciamento de banco de dados
sua empresa já tiver suporte para um servidor MS SQL, você poderá aproveitar
as vantagens do hardware e software existentes. Os servidores MS SQL geralmente
permitem suporte a um número maior de clientes.
Um banco de dados contém informações sobre as políticas de segurança e aplicação.
Além disso, todas as configurações, dados sobre ataques, logs e relatórios também
estão incluídos no banco de dados. Portanto, você pode monitorar brechas de
segurança na rede.
As informações no banco de dados são armazenadas em tabelas, os tão conhecidos
esquemas de bancos de dados. Os esquemas são fornecidos para administradores
que podem precisar deles para relatórios especializados.
Sobre as convenções de nomeação de um banco de dados

Um banco de dados Microsoft SQL usa convenções de nomeação diferentes daquelas
de um banco de dados interno.
Convenção de nomeação para um banco de dados Microsoft

SQL
É possível instalar um banco de dados Microsoft SQL no mesmo computador que
o Symantec Endpoint Protection Manager ou em um computador separado. Nos
dois casos, o banco de dados Microsoft SQL mantém o mesmo nome do computador
em que o servidor de banco de dados Microsoft SQL está instalado.
Você pode instalar o servidor de gerenciamento e o banco de dados Microsoft SQL
no mesmo computador chamado PolicyMgrCorp. O banco de dados mantém o
mesmo nome do computador em que está instalado. O nome do banco de dados
será exibido na árvore da página Admin, em Exibir. Ele também será exibido como
o endereço do banco de dados do Microsoft SQL no painel Gerenciamento do banco
de dados.
Convenção de nomeação para um banco de dados interno

Se você usar um banco de dados interno, o nome dele será sempre localhost.
O nome, localhost, será exibido na página Admin em Exibir. Ele também será
relacionado como o endereço do banco de dados interno no painel Gerenciamento
do banco de dados.
Assistente de Configuração do servidor de gerenciamento e

ferramentas do banco de dados Symantec
Você pode fazer backup, agendar e editar determinadas configurações do banco
de dados, como o nome de um banco de dados, no console do Symantec Endpoint
Gerenciamento de banco de dados 295
Protection Manager. Porém, você pode restaurar e reconfigurar bancos de dados

somente usando o Assistente de Configuração do servidor de gerenciamento e o
utilitário Symantec Database Backup and Restore.
O Assistente de Configuração do servidor de gerenciamento pode ser usado para
reconfigurar todas as opções do banco de dados interno e do MS SQL.
Consulte “Sobre a reconfiguração de um banco de dados” na página 296.
O utilitário Ferramentas do banco de dados Symantec pode ser usado para fazer
backup, restaurar e reconfigurar todas as opções do banco de dados interno e do
MS SQL.
Consulte “Sobre o backup e a restauração de um banco de dados” na página 295.
Sobre o backup e a restauração de um banco de dados

Como o tamanho de um banco de dados aumenta com o passar do tempo, você
precisa fazer o backup dele regularmente. Se ocorrer um desastre, você precisará
restaurar o instantâneo mais recente do banco de dados. Fazer backup e remover
o espaço não utilizado é uma etapa necessária na manutenção de um banco de
dados de produção.
Backups do banco de dados

Ao fazer o backup de um banco de dados, uma cópia separada do banco de dados
é criada. Em caso de dados danificados ou falha de hardware, é possível reverter
para um backup anterior. Se desejar obter uma cópia limpa do banco de dados,
você deverá voltar a um ponto antes da ocorrência do problema. Talvez alguns
dados precisem ser inseridos novamente no banco de dados durante o processo
de recuperação. Porém, a estrutura principal e a maioria dos dados são mantidos
usando um backup recente. Você pode fazer backup do banco de dados do console
do Symantec Endpoint Protection Manager ou usando o utilitário do Symantec
Database Backup and Restore. O utilitário Symantec Database Backup and Restore
é instalado automaticamente durante a instalação.
Você pode fazer backup das seguintes maneiras:
■ Somente banco de dados do Microsoft SQL
Você pode usar o Microsoft SQL Servidor Enterprise Manager para configurar
um planejamento de manutenção que inclua backup automáticos.
■ Banco de dados interno ou banco de dados do Microsoft SQL
Você pode executar um backup sob demanda e também agendar backup
automáticos para acontecer no console do Symantec Endpoint Protection
Manager.
Backups devem ser armazenados, de preferência, em uma unidade de disco

separada. É necessário fazer backup da unidade de disco periodicamente.
Restauração do banco de dados

Talvez você tenha que restaurar um banco de dados por vários motivos.
A restauração de um banco de dados deve ocorrer nos seguintes casos:
■ Os dados do banco de dados forem danificados.
■ O hardware falhar.
Talvez você queira converter um banco de dados interno em um banco de dados
do Microsoft SQL ou vice-versa.
Se os dados já existirem no banco de dados antigo, você precisará executar as
tarefas a seguir:
■ Fazer backup do site.
■ Reconfigurar o banco de dados.
■ Criar um novo banco de dados vazio.
■ Restaurar o banco de dados.
Se você tiver uma cópia de backup de um banco de dados, poderá restaurar esse
banco de dados no computador no qual o Symantec Endpoint Protection Manager
foi instalado. Também é possível restaurar o banco de dados em outros
computadores.
Use o utilitário Symantec Database Backup and Restore para restaurar um banco
de dados. Essa ferramenta é instalada automaticamente quando você instala o
Symantec Endpoint Protection Manager.
Consulte “Restauração de um banco de dados” na página 305.
Sobre a reconfiguração de um banco de dados

Será necessário reconfigurar o banco de dados sob várias circunstâncias diferentes:
■ O endereço IP ou o nome do host do servidor de banco de dados tiver sido
alterado.
■ A porta do servidor de banco de dados pelo qual ele se conecta ao Symantec
Endpoint Protection Manager tiver sido alterada.
■ O nome do banco de dados tiver sido alterado.
Nota: Você também pode alterar o nome do banco de dados no Symantec

Consulte “Edição do nome e da descrição de um banco de dados no console do

■ MS SQL apenas: o nome do usuário responsável pelo banco de dados tiver sido
alterado. Se você modificar o nome do usuário do servidor de banco de dados
em um servidor de banco de dados, o console do Symantec Endpoint Protection
Manager não poderá mais se conectar ao servidor do banco de dados.
■ A senha do usuário responsável pelo banco de dados tiver sido alterada. Você
pode alterar a senha do usuário responsável pelo servidor do banco de dados.
Se você alterar a senha, o servidor de gerenciamento não poderá mais se
conectar ao servidor de banco de dados.
■ MS SQL apenas: o caminho do cliente SQL tiver sido alterado. A pasta da lixeira
do cliente SQL que por padrão está localizada em C:\Arquivos de
programas\Microsoft SQL Server\80\Tools\Binn tiver sido alterada.
Se você alterar o caminho do cliente SQL no servidor de banco de dados do
Microsoft SQL, o console do Symantec Endpoint Protection Manager não poderá
mais se conectar ao servidor do banco de dados.
■ Faça o upgrade de um banco de dados interno em um banco de dados do
Microsoft SQL.
Consulte “Reconfiguração de um banco de dados” na página 307.
Network Access Control. Ele contém informações sobre como fazer upgrade de um
banco de dados interno em um banco de dados do Microsoft SQL.
Sobre o agendamento de um backup de banco de dados

Você pode executar backups do bancos de dados sob demanda ou definir um
agendamento de backups automáticos dos bancos de dados MS SQL e interno no
Symantec Endpoint Protection Manager. No entanto, também é possível usar o
Assistente de Manutenção do banco de dados MS SQL Server para agendar backups
automáticos de um banco de dados do Microsoft SQL. Além disso, você também
pode usar o utilitário Symantec Database Backup and Restore para fazer backup
de um banco de dados interno ou de um banco de dados do Microsoft SQL.
Consulte “Agendamento de backups de bancos de dados automáticos no Symantec
Backup de um banco de dados do Microsoft SQL
Consulte “Backup de um banco de dados do Microsoft SQL sob demanda no console

do Symantec Endpoint Protection Manager” na página 298.
Consulte “Backup de um banco de dados do Microsoft SQL com o Assistente do
Plano de manutenção de banco de dados” na página 299.
Network Access Control. Eles contém informações sobre como fazer backup de um
banco de dados do Microsoft SQL com o utilitário Symantec Database Backup and
Restore.

Você pode executar um backup sob demanda de um banco de dados do Microsoft
SQL a partir do console do Symantec Endpoint Protection Manager ou do utilitário
Symantec Database Backup and Restore. O utilitário Symantec Database Backup
and Restore é automaticamente instalado durante a instalação do Symantec
Endpoint Protection Manager. Também é possível usar o Assistente do Plano de
manutenção do banco de dados incluído no software do MS SQL Server para fazer
backup do banco de dados do Microsoft SQL. O Assistente do Plano de manutenção
do banco de dados do MS SQL também pode ajudá-lo a configurar um agendamento
de backup e outras tarefas de manutenção.
Consulte “Backups do banco de dados” na página 295.
Consulte “Backup de um banco de dados do Microsoft SQL sob demanda no console
do Symantec Endpoint Protection Manager” na página 298.
Consulte “Backup de um banco de dados do Microsoft SQL com o Assistente do
Plano de manutenção de banco de dados” na página 299.
Network Access Control. Eles contêm informações sobre como fazer backup de um
banco de dados do Microsoft SQL com o utilitário Symantec Database Backup and
Restore.
Backup de um banco de dados do Microsoft SQL sob demanda no

console do Symantec Endpoint Protection Manager
O console do Symantec Endpoint Protection Manager inclui um backup do site
que pode ser usado para fazer o backup e a restauração posterior do banco de
dados. Além disso, você pode configurar um plano de manutenção no Microsoft
SQL Server Agent.
O seguinte procedimento inclui as configurações recomendadas.

Talvez seja necessário usar configurações diferentes dependendo dos seguintes
critérios:
■ O tamanho de sua organização.
■ A quantidade de espaço em disco reservado para backups
■ Algumas diretrizes necessárias em sua companhia.
Para fazer backup do banco de dados do Microsoft SQL sob demanda no console
do Symantec Endpoint Protection Manager
2 Na página Admin, clique em Servidores.
3 Na página Admin, em Exibir servidores, clique no ícone que representa o
banco de dados do Microsoft SQL.
4 Na página Admin, em Tarefas, clique em Fazer backup do site agora.
Este método faz backup de todos os dados do site, incluindo o banco de dados.
Você pode verificar o status do registro do sistema assim como da pasta de
backup durante e depois do backup.
5 Clique em Fechar.
Backup de um banco de dados do Microsoft SQL com o Assistente do

Plano de manutenção de banco de dados
O Microsoft SQL Server Enterprise Manager oferece um assistente para auxiliar
a configuração de um plano de manutenção de banco de dados. É possível usar o
Assistente do Plano de manutenção do banco de dados e agendar backups
automáticos do banco de dados do Microsoft SQL.
Nota: Certifique-se de que o SQL Server Agent foi iniciado.

Os direitos de acesso sysadmin são obrigatórios para a execução do Assistente do
Plano de manutenção do banco de dados.
Consulte a documentação do Microsoft SQL Server para obter mais detalhes sobre
como fazer a manutenção do banco de dados.
Para fazer o backup de um banco de dados do Microsoft SQL usando o Assistente

do Plano de manutenção de banco de dados no Microsoft SQL Sever 2000 Enterprise
Manager
1 No SQL Server Enterprise Manager, clique em Programas > Microsoft SQL
Server > Enterprise Manager.
2 Expanda o nome do servidor onde o nome do servidor for o nome do servidor
onde o banco de dados está instalado.
3 Clique duas vezes na pasta Gerenciamento.
O SQL Server Agent exibe uma seta verde no ícone se ele já estiver iniciado.
Caso ele não tenha sido iniciado, selecione o SQL Server Agent clicando com
o botão direito do mouse e escolha Iniciar.
4 Expanda banco de dados.
5 Clique com o botão direito do mouse em sem5 e selecione Todas as tarefas >
Plano de manutenção.
6 Na tela Bem-vindo ao Assistente do Plano de manutenção do banco de dados,
clique em Avançar.
7 Na tela Selecionar banco de dados, selecione Estes bancos de dados: e depois
clique em sem5 para fazer o backup do banco de dados. Depois, clique em
Avançar.
8 Na tela Atualizar informações sobre otimização de dados, selecione Remover
o espaço não utilizado dos arquivos do banco de dados.
9 Na caixa de texto Quando aumentar além de: digite 1024 ou um tamanho
máximo adequado, dependendo do porte de sua empresa.
Quando o banco de dados exceder o tamanho especificado, o espaço não
utilizado será removido.
10 Na caixa de texto Quantidade de espaço livre a ser mantida após a redução,
escolha 20% do espaço de dados ou um valor adequado às necessidades de
sua empresa.
11 Os dados são otimizados semanalmente e um padrão aceitável é especificado.
Caso você queira alterar o agendamento, clique em Alterar.
Na caixa de diálogo 'Editar o agendamento repetido do trabalho', especifique
a freqüência e a hora para a remoção do espaço não utilizado do banco de
dados e clique em OK
12 Ao concluir a configuração da otimização, clique em Avançar.
13 Na tela Verificar integridade do banco de dados, clique em Avançar sem

configurar essa opção, pois o Symantec Endpoint Protection Manager mantém
a integridade do banco de dados.
14 Na tela Especificar o plano de backup do banco de dados, marque Fazer backup
do banco de dados como parte do plano de manutenção e Verificar
integridade do backup ao concluir.
15 Selecione a mídia para armazenamento do backup.
16 Clique em Alterar para modificar o agendamento do backup.
17 Na caixa de diálogo Editar o agendamento repetido do trabalho, após Ocorrer,
clique em Diariamente.
Defina a freqüência necessária para o backup do banco de dados. É
recomendado que ele ocorra todos os dias.
18 Selecione Ativar agendamento.
19 Defina a hora em que você quer que os backups ocorram. Você pode também
escolher uma data de início e final ou Sem data de fim, se aplicável, e clique
em OK.
21 Na tela Especificar o diretório de disco para backup, selecione um diretório
de backup clicando em Usar o diretório de backup padrão (o caminho padrão
é \MSSQL\BACKUP) ou Usar este diretório.
22 Selecione o diretório para onde deseja copiar arquivos.
O diretório deve estar localizado no mesmo computador do banco de dados.
É necessário direcionar o backup para uma unidade de disco separada.
23 Marque Criar um subdiretório para cada banco de dados.
24 Clique em Remover os arquivos anteriores a e especifique um período de
tempo após o qual os backups antigos serão removidos ou excluídos
automaticamente.
Certifique-se de que há suficiente espaço no disco para armazenar os backups
durante o período de tempo especificado e clique em Avançar.
25 Proceda da seguinte forma:
Se você selecionou 'Executar manutenção Prossiga com a etapa 41.

do banco de dados Sem5 automaticamente
durante a configuração do servidor do
banco de dados'
Se a caixa de diálogo Modelo de Prossiga com a etapa 41.

recuperação exibir Simples
Se a caixa de diálogo Modelo de Prossiga com a etapa 26.

recuperação exibir Completo
26 Na tela Especificar o plano de backup do registro de transação, marque

Executar o backup do registro de transação como parte do plano de
manutenção.
27 Selecione a mídia para armazenar o backup.
28 Clique em Alterar para modificar o agendamento do backup do registro de
transação.
A caixa de diálogo 'Editar o agendamento repetido de trabalho' será exibida.
Por padrão, o tamanho máximo do registro de transação é definido como 8
GB. Se o registro de transação alcançar o tamanho máximo, ele não funcionará
mais e o banco de dados poderá ser corrompido. (É possível alterar o tamanho
máximo do registro de transação no SQL Server Enterprise Manager.)
29 Após Ocorrer, clique em Diariamente.
Defina a freqüência necessária para o backup do registro de transação. É
recomendado que ele ocorra todos os dias. Certifique-se de marcar Ativar
agendamento.
30 Selecione a freqüência desejada para ocorrência dos backups.
É recomendada a opção padrão, Ocorrer a cada 4 horas.
31 Defina uma data de início e fim ou, se for adequado, Sem data de fim e clique
em OK.
33 Na tela Especificar o diretório de disco para backup, selecione um diretório
de backup clicando em Usar o diretório de backup padrão ou Usar este
diretório.
O caminho padrão é \MSSQL\BACKUP.
34 Selecione o diretório para onde deseja copiar arquivos.
Backup de um banco de dados interno sob demanda do Symantec Endpoint Protection Manager
35 Marque Criar um subdiretório para cada banco de dados.

36 Clique em Remover arquivos anteriores a:
37 Especifique um período de tempo após o qual os backups antigos serão
removidos ou excluídos automaticamente.
Certifique-se de que há suficiente espaço no disco para armazenar os backups
durante o período de tempo especificado e clique em Avançar.
38 Na tela Relatórios a serem gerados, marque Gravar relatório em um arquivo
de texto no diretório.
Especifique o caminho e o nome completo do arquivo de texto onde você
deseja que o relatório seja gerado.
39 Marque Excluir arquivos de relatório de texto anteriores a e mantenha essa
definição por 4 semanas.
40 Marque Enviar relatório de e-mail ao operador e especifique o administrador
do sistema a quem o relatório gerado será enviado por meio do correio SQL.
Se o operador de e-mail não estiver disponível, selecione Novo operador e
depois clique em Avançar.
41 Na tela Histórico do plano de manutenção, clique em Avançar.
Deve-se utilizar as configurações padrão para o Histórico do plano de
manutenção, exceto se houver a necessidade de alterá-las.
42 Na tela Histórico de conclusão do plano de manutenção do banco de dados,
digite um nome para o plano de manutenção, por exemplo Manutenção do
banco de dados SQL e depois clique em Concluir.
43 Quando o plano estiver concluído, exiba a mensagem de que ele foi criado
com sucesso e clique em OK.
Backup de um banco de dados interno sob demanda

do Symantec Endpoint Protection Manager
Você pode executar um backup sob demanda de um banco de dados interno a
partir do console do Symantec Endpoint Protection Manager.
Consulte “Backups do banco de dados” na página 295.
Network Access Control. Ele fornece informações sobre como fazer backup de um
banco de dados interno com o utilitário Symantec Database Backup and Restore.
Agendamento de backups de bancos de dados automáticos no Symantec Endpoint Protection Manager
Para fazer backup um banco de dados interno de um console do Symantec Endpoint

Protection Manager
3 Em Exibir servidores, clique no ícone que representa o banco de dados interno.
4 Em Tarefas, clique em Fazer backup do site agora.
Este método faz backup de todos os dados do site, incluindo o banco de dados.
Você pode verificar o log do sistema e a pasta Backup do status durante e
depois do backup.
5 Clique em Sim quando a mensagem Fazer backup for exibida.
6 Clique em Fechar.
Agendamento de backups de bancos de dados

automáticos no Symantec Endpoint Protection
Manager
Você pode estabelecer agendamentos de backups automáticos de bancos de dados
internos e do MS SQL no Symantec Endpoint Protection Manager.
Consulte “Sobre o agendamento de um backup de banco de dados” na página 297.
Para fazer backup um banco de dados interno de um console do Symantec Endpoint
Protection Manager
3 Em Exibir servidores, clique no ícone que representa o banco de dados do MS
SQL ou o banco de dados interno e cujas configurações de backup você deseja
alterar.
4 Na página Admin, em Tarefas, clique em Editar configurações de backup.
5 Na caixa de diálogo Fazer backup do site para o site local, clique em Agendar
backups.
6 Especifique a freqüência de backup selecionando Hora em hora, Diariamente
ou Semanalmente e, então, especifique umas das opções a seguir:
■ Se você selecionar Hora em hora, na caixa de texto Hora de início,
especifique o número de minutos após a hora que os backups devem
ocorrer.
Restauração de um banco de dados
■ Se você selecionar Diariamente, na caixa de texto Hora de início,

especifique a hora e os minutos para indicar quando os backups de cada
dia devem ocorrer.
■ Se você selecionar Semanalmente, na caixa Hora de início, especifique a
hora e os minutos para indicar a hora em que os backups devem ocorrer.
■ Se selecionar Semanalmente, especifique Dia da semana para indicar o
dia em que os backups deverão ocorrer.
7 Clique em OK.
Na hora agendada, os backups ocorrerão automaticamente e serão colocados
em um arquivo .zip rotulado com a data na qual o backup ocorrerá. O arquivo
de backup é armazenado em uma pasta de backup criada no caminho
especificado para a raiz dos dados do servidor.
Por exemplo, um arquivo de backup criado em 1 de agosto de 2007 às 9h46 é
chamado de 2007-Aug-01_09-46-13-AM.zip.
Restauração de um banco de dados

Se o banco de dados não estiver mais funcionando corretamente, você poderá
restaurá-lo desde que tenha feito backup dele anteriormente.
Para restaurar um banco de dados
1 Localize o arquivo de backup mais recente que você tiver. Esse arquivo está
em formato .zip e rotulado com a data. O arquivo fica armazenado em uma
pasta de backup criada no caminho especificado para a raiz dos dados do
servidor.
2 Configure o computador no qual quer restaurar o banco de dados usando uma
das seguintes estratégias
■ Utilização de outro computador
Se o hardware no computador anterior falhou, será necessário instalar o
sistema operacional e o Symantec Endpoint Protection Manager em um
novo computador. Mesmo que substitua o banco de dados por dados novos,
você ainda terá de configurar um banco de dados após concluir a instalação.
■ Utilização do mesmo computador
Se o hardware e o Symantec Endpoint Protection Manager funcionarem
corretamente, você poderá restaurar o banco de dados no mesmo
computador. Se você tiver problemas, é recomendável desinstalar o
Symantec Endpoint Protection Manager, reinstalá-lo, configurar o banco
de dados e restaurar os dados.
3 Faça o logoff do console.

Edição do nome e da descrição de um banco de dados no console do Symantec Endpoint Protection Manager
4 Interrompa o serviço do Symantec Endpoint Protection Manager selecionando

Iniciar > Todos os programas > Ferramentas administrativas > Serviços.
5 Localize o serviço Symantec Endpoint Protection Manager e clique com o
botão direito do mouse para selecionar Parar.
6 Selecione Iniciar > Programas > Symantec Endpoint Protection Manager >
Database Backup and Restore.
7 Clique em Restaurar e clique em Sim na mensagem que é exibida.
8 Na caixa de diálogo Restaurando banco de dados, selecione na lista o backup
que deseja usar.
9 Clique em OK.
O processo de restauração do banco de dados leva alguns minutos. O período
de tempo necessário para concluir a tarefa depende do tamanho do banco de
dados, do número de usuários, de parceiros de replicação e de outros critérios.
10 Assim que a restauração do banco de dados for concluída, a seguinte
mensagem será exibida:
Banco de dados restaurado com êxito.
11 Clique em Sair.
12 Clique em Iniciar > Programas >Symantec Endpoint Protection Manager
se você tiver restaurado o banco de dados em outro computador porque precisa
excluir o servidor de banco de dados antigo. Caso contrário, a restauração do
banco de dados estará concluída.
13 Efetue login no console do Symantec Endpoint Protection Manager.
14 Clique em Admin.
16 Na página Admin, em Tarefas, clique com o botão direito do mouse no servidor
de banco de dados antigo e selecione Excluir.
17 Reconfigure critérios adicionais, como nomes de usuário e senhas, se
necessário.
Consulte “Reconfiguração de um banco de dados do Microsoft SQL ”
na página 307.
Edição do nome e da descrição de um banco de dados

no console do Symantec Endpoint Protection Manager
É possível editar o nome e a descrição de um banco de dados local ou remoto.
Reconfiguração de um banco de dados
Também é possível editar o nome do banco de dados usando o Assistente de

Configuração do servidor de gerenciamento.
Consulte “Reconfiguração de um banco de dados do Microsoft SQL ” na página 307.
Para editar o nome e a descrição de um banco de dados
3 Em Exibir servidores, expanda Site local.
4 Selecione o banco de dados local ou expanda Sites remotos para selecionar
o banco de dados de um site remoto cujas propriedades deseja editar.
5 Em Tarefas, clique em Editar propriedades do banco de dados.
6 Na caixa de diálogo Propriedades do banco de dados, edite o nome do banco
de dados no campo Nome.
7 Na caixa de diálogo Propriedades do banco de dados, edite a descrição do
banco de dados no campo Descrição.
8 Clique em OK.

Você pode reconfigurar um bancos de dados interno e do MS SQL pelos seguintes
motivos:
■ Alteração do endereço IP do servidor de banco de dados
■ Alteração do endereço do host do servidor de banco de dados
Reconfiguração de um banco de dados do Microsoft SQL

É necessário usar o Assistente de Configuração do servidor de gerenciamento para
reconfigurar o banco de dados do Microsoft SQL.
Para reconfigurar um banco de dados do Microsoft SQL
1 Pare o serviço Symantec Endpoint Protection Manager selecionando Iniciar
> Todos os programas > Ferramentas administrativas > Serviços.
2 Localize o Symantec Endpoint Protection Manager e, em seguida, clique com
o botão direito para selecionar Interromper.
3 Clique em Iniciar > Todos os programas > Symantec Endpoint Protection
Manager > Assistente de Configuração do servidor de gerenciamento.
4 Na tela Bem-vindo ao Assistente de Configuração do servidor de

gerenciamento, clique em Reconfigurar o servidor de gerenciamento.
5 Clique em Avançar para iniciar a reconfiguração.
6 Edite o nome do computador no qual o Symantec Endpoint Protection Manager
está instalado na caixa Nome do servidor.
7 Edite o número de porta HTTPS que o Symantec Endpoint Protection Manager
escuta na caixa Porta do servidor.
8 Edite o local da pasta de dados do servidor ou procure na pasta raiz onde os
arquivos de dados estão localizados.
A pasta raiz inclui backups, replicação e outros arquivos Symantec Endpoint
Protection Manager.
O nome do caminho padrão é C:\Arquivos de programas\Symantec\Symantec
Endpoint Protection Manager\data)
10 Clique em Microsoft SQL Server.
12 Digite o nome do servidor do banco de dados na caixa Servidor do banco de
dados, se aplicável.
Digite o endereço IP ou o nome do host do servidor do banco de dados onde
o servidor SQL Server Enterprise Manager (SEM) salva os dados de aplicativos.
13 Digite o número da porta do servidor SQL na caixa Porta do servidor SQL.
14 Digite o nome do banco de dados na caixa Nome do banco de dados.
O nome do banco de dados do Microsoft SQL no qual os dados de aplicativos
são armazenados.
15 Digite o nome do usuário na caixa Usuário
Este nome representa o usuário responsável pelo banco de dados.
16 Digite a senha no campo Senha.
Esta senha é do usuário do banco de dados. Esse campo não pode estar em
branco.
17 Digite o nome do caminho do cliente SQL no Caminho do cliente SQL.

Por padrão, a pasta do compartimento cliente do SQL contém o arquivo
bcp.exe. Por exemplo, C:\Arquivos de programas\Microsoft SQL
Server\80\Tools\Binn.
O arquivo bcp.exe deve residir no mesmo computador no qual foi instalado
o Symantec Endpoint Protection Manager. Este arquivo faz parte do pacote
do cliente do SQL Server. Você deve também corretamente especificar o nome
de caminho do cliente do MS SQL no Assistente de Configuração do servidor
de gerenciamento. Se o nome do caminho não estiver corretamente
especificado ou o pacote cliente do MS SQL nunca tiver sido instalado, não
será possível reconfigurar o banco de dados.
Então, o banco de dados será criado. Esse processo leva somente alguns
minutos. Uma mensagem do banco de dados será exibida durante esse período
de tempo se o serviço do Symantec Endpoint Protection Manager ainda estiver
em execução.
19 É possível selecionar o Start Symantec Endpoint Protection Manager e o Start
Management Console.
Essas opções estão selecionadas por padrão.
20 Clique em Concluir.
Você concluiu a reconfiguração do banco de dados. Se você manteve as opções
de início selecionadas, o logon do console do Symantec Endpoint Protection
Manager será exibido.
Reconfiguração de um banco de dados interno

É necessário usar o Assistente de Configuração do servidor de gerenciamento para
reconfigurar o banco de dados.
Para reconfigurar um banco de dados interno
1 Interrompa o serviço do Symantec Endpoint Protection Manager selecionando
Iniciar > Todos os programas > Ferramentas administrativas > Serviços.
2 Localize o Symantec Endpoint Protection Manager e clique com o botão direito
do mouse para selecionar Interromper.
3 Clique em Iniciar > Todos os programas > Symantec Endpoint Protection
Manager > Assistente de Configuração do servidor de gerenciamento.
4 Na tela Bem-vindo ao Assistente de Configuração do servidor de

gerenciamento, clique em Reconfigurar o servidor do gerenciamento.
5 Clique em Avançar para iniciar a reconfiguração.
6 Edite o nome do computador em que o Symantec Endpoint Protection Manager
está instalado na caixa Nome do servidor.
7 Edite o número da porta HTTPS que o Symantec Endpoint Protection Manager
escuta na caixa Porta do servidor.
O número padrão da porta é 8443.
8 Edite o local da pasta de dados do servidor ou procure na pasta raiz onde os
arquivos de dados estão localizados.
A pasta raiz inclui backups, replicação e outros arquivos do Symantec
O nome do caminho padrão é C:\Arquivos de programas\Symantec\Symantec
Endpoint Protection Manager\data)
10 Clique em Banco de dados interno.
12 Digite o número da porta do servidor na caixa de texto Porta do servidor do
banco de dados.
O número padrão da porta é 2638.
13 Digite a senha na caixa Senha.
Este campo não pode ficar vazio.
14 Digite a senha novamente na caixa Confirmar senha.
A criação do banco de dados leva alguns minutos. Uma mensagem do banco
de dados será exibida durante esse período se o serviço do Symantec Endpoint
Protection Manager ainda estiver sendo executado.
16 Você pode optar por iniciar o Symantec Endpoint Protection Manager e iniciar
o console de gerenciamento.
Essas opções são selecionadas por padrão.
Você concluiu a reconfiguração do banco de dados. Se você manteve as opções
de início selecionadas, o logon do console do Symantec Endpoint Protection
Manager será exibido.
Sobre o gerenciamento de dados de registro

Você pode configurar diversas opções para gerenciar os registros que são
armazenados no banco de dados.
Sobre dados de registro e armazenamento

Os dados de todos os registros cujo upload é feito no console são armazenados no
banco de dados do console.
Os dados são armazenados em duas tabelas no banco de dados a partir dos
seguintes tipos de registros:
■ Registros de controle de dispositivos e aplicativos
■ Registro de auditoria
■ Registros do Enforcer
■ Registros de proteção contra ameaças à rede
■ Registros do sistema
Os dados dos outros registros são armazenados em uma única tabela.
Você pode definir as opções do registro para gerenciar os registros do banco de
dados que estão armazenados em duas tabelas.
Consulte “Configurações de registro para os servidores de um site” na página 313.
A tabela única que contém os dados dos outros registros é gerenciada usando-se
as opções de manutenção do banco de dados nas propriedades do site. Você pode
definir as opções da manutenção do banco de dados que afetam os dados que estão
armazenados em uma única tabela.
Consulte “Configuração das opções de manutenção do banco de dados para os
registros” na página 319.
Para os registros armazenados em duas tabelas, uma delas (a tabela A) é a tabela
de registro atual. As novas entradas de registro são gravadas nessa tabela. Quando
o limite ou a expiração do registro é atingido, as novas entradas de registro são
armazenadas na segunda tabela (tabela B). Os dados permanecem na tabela A até
que a tabela B atinja seu limite ou o número de dias especificado no campo 'Expirar
depois de'. Nesse momento, a tabela A é limpa completamente e novas entradas
são armazenadas nela. As informações que estão na tabela B permanecem até que
a alternância ocorra. A alternância de uma tabela para outra, também chamada
de remoção de registros do banco de dados, ocorre automaticamente. O momento
da alternância depende das configurações de registro que você definiu nas
propriedades do site. O processo é o mesmo, independente de a remoção ser
automática ou manual.
Você pode realizar uma remoção de registro manual após fazer backup do banco
de dados, caso prefira usar esse método como parte da manutenção de rotina do
banco de dados.
Se você permitir que uma remoção automática ocorra, poderá perder alguns dados
de registro, caso seus backups do banco de dados não ocorram com freqüência
suficiente. Se você realizar uma remoção de registro manual regularmente, depois
de ter feito um backup do banco de dados, ela garantirá a manutenção de todos
os seus dados de registro. Esse procedimento é muito útil, se você mantiver seus
registros por um período de tempo relativamente longo, como um ano, por exemplo.
Nota: O procedimento manual descrito em Remoção manual de dados de registro

do banco de dados não afeta os dados dos registros que são armazenados em uma
única tabela no banco de dados.
Remoção manual de dados de registro do banco de dados

Você pode limpar os registros manualmente, mas esse procedimento é opcional
e desnecessário.
Para remover manualmente os dados de registro do banco de dados
1 Para impedir uma limpeza automática do banco de dados até que ocorra um
backup, aumente as configurações de registro de propriedades do site para
os valores máximos.
Consulte “Configurações de registro para os servidores de um site”
na página 313.
2 Faça o backup, conforme for apropriado.
3 No computador onde está instalado o gerenciador, abra um navegador da
Web e digite o seguinte URL:
https://localhost:8443/servlet/ConsoleServlet?ActionType=
ConfigServer&action=SweepLogs
Depois de você ter executado essa tarefa, as entradas de registro de todos os
tipos de registros são salvas na tabela de banco de dados alternativa. A tabela
original é mantida até que a próxima remoção seja iniciada.
4 Para esvaziar tudo, menos as entradas mais atuais, realize uma segunda
remoção. A tabela original é limpa e, a seguir, as entradas começam a ser
novamente armazenadas nela.
5 Lembre-se de retornar às configurações de registro de propriedades do site
aos seus valores preferidos.
Dados de registro de clientes legados

As funções de relatórios do Symantec Endpoint Protection usam uma pasta
temporária, unidade:\Symantec\Symantec Endpoint Protection Manager\Inetpub\
Reporting\Temp, para diversos propósitos. Alguns administradores podem agendar
tarefas automatizadas para limpar periodicamente essa pasta temporária. Se você
fizer isso, não exclua o arquivo LegacyOptions.inc, se ele existir. Se esse arquivo
for excluído, você perderá os dados de entrada dos registros do cliente do Symantec
AntiVirus legado.
Configurações de registro para os servidores de um site

Para ajudar a controlar a utilização do espaço em disco, você pode configurar o
número de entradas que são mantidas no servidor nos registros de um site.
Também é possível configurar o número de dias durante os quais as entradas são
mantidas. Você pode fazer diferentes configurações para os diferentes sites.
Nota: As informações de registro na guia Registros do console, na página Monitores,

é apresentada em grupos lógicos para você exibir. Os nomes de registro na guia
'Configurações de registro de propriedades do site' correspondem ao conteúdo do
registro, e não aos tipos de registro da guia Registros, da página Monitores.
Para obter uma descrição de cada opção configurável, você pode clicar em Mais
informações para esse tipo de relatório no console. A opção Mais informações
exibe a ajuda contextual.
Para fazer as configurações de registro para os servidores de um site
2 No canto inferior esquerdo, clique em Servidores.
3 Selecione o site que deseja configurar.
4 Em Tarefas, clique em Editar propriedades do site.
5 Na guia Configurações de registro, configure o número de entradas e o número
de dias para manter as entradas de registro para cada tipo de registro.
Você pode configurar os tamanhos dos registros de servidor de gerenciamento,
dos registros do cliente e dos registros do Enforcer.
6 Clique em OK.
Sobre a configuração da inclusão de eventos

Você pode configurar a inclusão de eventos para registros de clientes em dois
locais do console.
A Tabela 20-1 descreve onde configurar a inclusão de eventos do cliente e o
significado das configurações.
Tabela 20-1 Inclusão de eventos do cliente
Local Descrição
Na página Políticas, Política Use este local para configurar a inclusão de eventos de
antivírus e anti-spyware, riscos. O padrão de tempo de inclusão é 5 minutos. A
Miscelânea, guia Manuseio de primeira ocorrência de um evento é registrada
registros imediatamente. As ocorrências subseqüentes dos
mesmos eventos são incluídas e o número de
ocorrências é registrado no cliente a cada 5 minutos.
Na página Cliente, página Use este local para configurar a inclusão de eventos de
Políticas, Configurações do Proteção contra ameaças à rede. Eventos são realizados
registro de cliente nos clientes para o período de amortecedor, antes que
sejam agregados em um único evento e seu upload
então feito para o console. O período de amortecedor
ajuda a reduzir os eventos para um número gerenciável.
A configuração do período padrão de amortecedor é
Auto (automático). O período de amortecedor ocioso
determina o período de tempo que deverá transcorrer
entre as entradas no registro antes que a próxima
ocorrência seja considerada uma nova entrada. O
padrão de amortecedor ocioso é 10 segundos.

Definição das configurações do registro de cliente

Se você instalou o Symantec Endpoint Protection, pode configurar algumas opções
do registro de cliente. Você pode configurar o número de entradas mantidas nos
registros e o número de dias que cada entrada é mantida no cliente.
Você pode definir configurações para os seguintes registros do cliente:
■ Controle
■ Pacote
■ Risco
■ Segurança
■ Sistema
■ Tráfego
Se você tem o Symantec Network Access Control instalado, pode ativar e desativar
o registro e enviar registros do Enforcer para o servidor de gerenciamento. Você
também pode configurar o número de entradas de registro e o número de dias que
as entradas são mantidas no cliente.
Para obter mais informações sobre os registros do Enforcer, consulte o Guia de
Implementação do Symantec Network Access Control Enforcer.
Para os registros de segurança, risco e tráfego, você também pode configurar o
período do amortecedor e o período de amortecedor ocioso a serem usados para
inclusão de eventos.
Você pode configurar se vai ou não fazer upload de cada tipo de registro do cliente
no servidor e o tamanho máximo dos uploads.
Se você optar por não fazer upload dos registros do cliente, isso terá as seguintes
conseqüências:
■ Você não poderá exibir os dados do registros do cliente a partir do console,
usando a guia Registros no painel Monitoramento.
■ Você não poderá fazer backup dos registros do cliente quando fizer o backup
do banco de dados.
■ Você não poderá exportar os dados do registro do cliente para um arquivo ou
para um servidor de registro centralizado.
Para definir as configurações do registro de cliente
2 Na guia Políticas, em Políticas e configurações independentes do local, em
Configurações, clique em Configurações do registro de cliente.
3 Na caixa de diálogo Configurações do registro de cliente para nome do grupo,
configure o tamanho máximo de arquivo e o número de dias a manter as
entradas de registro.
4 Marque Fazer upload para o servidor de gerenciamento para todos os
registros que você queira que os clientes encaminhem para o servidor.
5 Para o registro de segurança e o registro de tráfego, configure o período do

amortecedor e o período do amortecedor ocioso.
Essas configurações determinam com que freqüência os eventos da Proteção
contra ameaças à rede são incluídos.
6 Configure o número máximo de entradas das quais você deseja que um cliente
faça upload para o gerenciador por vez.
7 Clique em OK.
Sobre a configuração das opções de manuseio de registros do cliente

para as políticas antivírus e anti-spyware
É possível configurar as seguintes opções de manuseio de registros do cliente para
as políticas antivírus e anti-spyware:
■ Que eventos de antivírus e anti-spyware são enviados dos clientes aos registros
da proteção antivírus e anti-spyware no servidor
■ Por quanto tempo os eventos nos registros da proteção antivírus e anti-spyware
serão mantidos no servidor
■ Com que freqüência é feito o upload dos eventos agregados, dos clientes para
o servidor
Fazer backup dos registros de um site

Os backups de dados de registro não são criados a menos que você configure o
Symantec Endpoint Protection para isso. Se você não fizer backup dos registros,
apenas as suas opções de configuração de registro serão salvas durante um backup.
Você pode usar o backup para restaurar o banco de dados, mas os registros do
banco de dados estão vazios de dados quando eles são restaurados.
Essa opção de configuração fica situada com as outras opções de backup de sites
locais na página Servidores da página Admin. Você pode optar por manter até dez
versões de backups de sites. Você deve verificar se tem espaço em disco suficiente
para manter todos os dados se optar por manter várias versões.
Para fazer backup dos registros de um site
2 Selecione um servidor de banco de dados.
3 Em Tarefas, clique em Editar configurações de backup.
4 Na caixa de grupo Configurações de backup, selecione Fazer o backup dos

registros.
5 Clique em OK.
Sobre o upload de grandes quantidades de dados dos registros de

clientes
Se você tem um grande número de clientes, pode ter um grande volume de dados
de registro dos clientes.
Você deve analisar se deseja ou não reduzir o volume de dados usando as
configurações a seguir:
■ Fazer upload somente de alguns registros do cliente para o servidor.
■ Filtrar os eventos de risco e de sistema menos importantes para que menos
dados sejam encaminhados ao servidor.
Consulte “Configuração de parâmetros de manuseio de registros em uma
política antivírus e anti-spyware” na página 419.
Se você ainda planeja fazer upload de grandes quantidades de dados de registro
do cliente, você precisa considerar os fatores a seguir:
■ O número de clientes na sua rede
■ A freqüência da pulsação, que controla a freqüência com que é feito o upload
dos registros dos clientes para o servidor
■ A quantidade de espaço no diretório onde os dados de registro são armazenados
antes de serem inseridos no banco de dados
Uma configuração que faz upload de um grande volume de dados de registro do
cliente para o servidor em intervalos freqüentes pode causar problemas de espaço.
Se você precisar fazer upload de um grande volume de dados de registro do cliente,
talvez tenha que ajustar alguns valores padrão para evitar esses problemas de
espaço. À medida que você implementar para os clientes, deverá monitorar o
espaço do diretório de inserção de registro no servidor e ajustar esses valores
conforme necessário. O diretório padrão no qual os registros são convertidos em
arquivos .dat e em seguida gravados no banco de dados é unidade:\Arquivos de
programas\Symantec\Symantec Endpoint Protection Manager\data\inbox\log.
O local do diretório de dados do servidor é definido durante a instalação, quando
você é solicitado a selecionar a pasta de dados do servidor. Você pode executar o
Assistente de Configuração do servidor de gerenciamento no menu Iniciar para
alterar esse diretório, se desejado. O diretório \inbox\log será adicionado
automaticamente ao diretório que você definir.
A freqüência com a qual é feito o upload dos registros do cliente é configurada na

página Políticas da página Clientes, em Configurações de comunicações. O padrão
de freqüência é fazer o upload dos registros a cada cinco minutos.
Para ajustar os valores que controlam o espaço disponível no servidor, você deve
alterá-los no registro. As chaves do registro de que você necessita para a alteração
estão localizadas no servidor, em HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\
Symantec Endpoint Protection\SEPM.
A Tabela 20-2 relaciona as chaves do registro e seus valores padrão e descreve o
que elas fazem.
Tabela 20-2 As chaves do registro que contêm as configurações de upload do

registro
Nome do valor Padrão e descrição
MaxInboxSpace O MaxInboxSpace especifica o espaço que é destinado

ao diretório onde os arquivos do registro são convertidos
em arquivos .dat antes de serem armazenados no banco
de dados.
O valor padrão é 200 MB.
MinDataFreeSpace O MinDataFreeSpace especifica a quantidade mínima

de espaço que se deve manter livre nesse diretório. Essa
chave é útil para assegurar que outros aplicativos que
usam o mesmo diretório tenham espaço suficiente para
que sejam executados sem prejudicar o desempenho.
O valor padrão é 0.
IntervalOfInboxSpaceChecking O IntervalOfInboxSpaceChecking especifica quanto

tempo o Symantec Endpoint Protection aguarda entre
as verificações da quantidade de espaço na caixa de
entrada disponível para os dados do registro.
O valor padrão é 30 segundos.
Sobre o gerenciamento de eventos de registros no banco de dados

O banco de dados recebe e armazena um fluxo constante de entradas nos arquivos
de registro. Você deve gerenciar os dados armazenados no banco de dados para
que eles não consumam todo o espaço disponível em disco. O excesso de dados
pode causar falha no computador no qual o banco de dados é executado.
Você deve entender as configurações padrão de manutenção do banco de dados e
alterá-las se o espaço em disco que o banco de dados usa parece crescer
constantemente. Se a atividade dos riscos for muito intensa, convém excluir alguns
dados para proteger o espaço em disco disponível no servidor.
Configuração das opções de manutenção do banco de dados para os

registros
Os administradores podem configurar as opções de manutenção do banco de dados
para os dados armazenados nos registros. Essas opções ajudam a gerenciar o
tamanho do banco de dados ao especificar as configurações de compactação e
quanto tempo você deseja manter os dados.
Para obter informações sobre as opções específicas de manutenção do banco de
dados, consulte a ajuda contextual na guia Banco de dados, na caixa de diálogo
Propriedades do site para nome do site.
Para configurar as opções de manutenção do banco de dados para os registros
2 Selecione um site.
4 Na guia Banco de dados, defina o número de dias para manter eventos de
riscos.
Para reter o subconjunto de eventos de infecções de riscos após o limite
definido para os eventos de riscos, marque a caixa de seleção Não excluir
eventos de infecções.
5 Defina a freqüência com que você deseja compactar em um único evento os
eventos de riscos idênticos encontrados.
6 Defina o número de dias para manter os eventos compactados.
Esse valor inclui a hora anterior em que os eventos foram compactados. Por
exemplo, suponha que você especifique para excluir eventos compactados
após 10 dias e compactar eventos após sete dias. Nesse caso, os eventos são
excluídos três dias depois de serem compactados.
7 Defina o número de dias para manter as notificações confirmadas e não
confirmadas.
8 Defina o número de dias para manter os eventos de verificação.
9 Defina o número de dias para manter os comandos executados do console e
suas informações associadas sobre o status do comando. Depois dessa hora,
o Symantec Endpoint Protection não poderá distribuir os comandos aos
destinatários desejados.
10 Marque as caixas de seleção se você quer excluir definições de vírus não

utilizadas e eventos de vírus que contêm EICAR como o nome do vírus.
O vírus de teste EICAR é um arquivo de texto que a EICAR (European Institute
for Computer Anti-Virus Research ) desenvolveu. Ele oferece uma forma fácil
e segura de testar a maioria dos produtos de software antivírus. Você pode
fazer o download dele do website da EICAR. É possível usá-lo para verificar
se a porção antivírus do Symantec Endpoint Protection funciona.
11 Clique em OK.
Como usar o utilitário Interactive SQL com o banco de dados interno

Se optar por usar o banco de dados interno com o Symantec Endpoint Protection
ou o Symantec Network Access Control, você poderá perceber as seguintes
informações. Quando você executa o aplicativo de banco de dados chamado
Interactive SQL (dbisqlc.exe), ele bloqueia a inserção de dados no banco de dados
interno. Se você usar o aplicativo durante um período determinado, os arquivos
.dat se acumularão nos diretórios da unidade:\Arquivos de programa\Symantec\
Symantec Endpoint Protection Manager\data\inbox\log. Para aliviar o acúmulo
de arquivos .dat e reiniciar a inserção de dados no banco de dados, feche o
aplicativo.
Alteração de parâmetros do tempo limite

Se forem gerados erros no banco de dados ao exibir relatórios ou registros que
contenham uma grande quantidade de dados, você poderá fazer as seguintes
alterações:
■ Alterar o tempo limite da conexão do servidor Microsoft SQL
■ Alterar o tempo limite dos comandos do servidor Microsoft SQL
Os padrões de relatórios para esses valores são:
■ O tempo limite da conexão é de 300 segundos (5 minutos).
■ O tempo limite dos comandos é de 300 segundos (5 minutos).
Se surgirem erros CGI ou de processos concluídos, convém alterar outros
parâmetros do tempo limite. Consulte o artigo da base de conhecimento da
Symantec denominado "Reporting server does not report or shows a timeout error
message when querying large amounts of data" (O servidor de relatórios não relata
ou mostra uma mensagem de erro do tempo limite quando consulta grandes
quantidades de dados).
Para alterar parâmetros do tempo limite

1 Abra o arquivo Reporter.php, que está localizado no diretório \Arquivos de
programas\Symantec\Symantec Endpoint Protection Manager\Inetpub\
Reporting\Resources
2 Use qualquer editor de texto para adicionar as seguintes configurações ao
arquivo:
■ $CommandTimeout =xxxx
■ $ConnectionTimeout =xxxx
Os valores do tempo limite estão em segundos. Se o valor especificado for
zero, ou os campos forem deixados em branco, as configurações padrão
serão usadas.
Sobre a recuperação de um registro de sistemas do cliente em

computadores de 64 bits
Se o registro do sistema for corrompido em um cliente de 64 bits, poderá ser
exibida uma mensagem de erro não especificada nos registros do sistema do
console. Se estiver corrompido, você não poderá visualizar os dados do registro
no cliente e não será feito o upload dos dados para o console. Essa condição pode
afetar os dados nos registros e relatórios de status do computador, de risco e de
verificação do console.
Para corrigir essa condição, você pode excluir o arquivo de registro corrompido
e o arquivo serialize.dat no cliente. Esses arquivos estão localizados no cliente em
Unidade:\Documents and Settings\All Users\Dados de aplicativos\Symantec\
Symantec AntiVirus Corporate Edition\7.5\Logs\data.Log. Depois que esses
arquivos são excluídos, o arquivo de registro é recriado e inicia o registro de
entradas corretamente.
Capítulo 21
Replicação de dados
■ Sobre a replicação de dados
■ Compreensão do impacto da replicação
■ Configuração da replicação de dados
■ Agendamento de uma replicação automática ou sob demanda
■ Replicação de pacotes do cliente
■ Replicação de logs
Sobre a replicação de dados

A replicação é o processo de compartilhamento de informações entre os bancos
de dados, a fim de garantir que o conteúdo seja consistente. É possível usar a
replicação para ampliar o número de servidores de bancos de dados disponíveis
para clientes e dessa forma reduzir a carga em cada um deles. A replicação é
geralmente configurada durante a instalação inicial.
Network Access Control para obter mais informações sobre como configurar a
replicação de dados durante a instalação inicial.
Um parceiro de replicação é outro site com um servidor de banco de dados. Ele
também tem uma conexão com o site que você atribui como um site principal ou
site local. Um site poderá ter muitos parceiros de replicação, conforme necessário.
Todos os parceiros de replicação compartilham uma chave de licença comum. As
alterações feitas em qualquer parceiro de replicação são duplicadas em todos os
outros parceiros de replicação sempre que o Symantec Endpoint Protection
Manager é agendado para replicar dados.
324 Replicação de dados
Por exemplo, é recomendável configurar um site no seu escritório principal (site

1) e um segundo site (site 2). O site 2 é um parceiro de replicação do primeiro site.
Os bancos de dados no site 1 e no site 2 são reconciliados usando um agendamento
de sincronização que você deve configurar. Se for feita uma alteração no site 1,
ela será exibida automaticamente no site 2 depois que a replicação ocorrer. Se for
feita uma alteração no site 2, ela será exibida automaticamente no site 1 depois
que a replicação ocorrer. Você também pode instalar um terceiro site (site 3) que
pode replicar dados do site 1 ou 2. O terceiro site é um parceiro de replicação para
os outros dois sites.
A Figura 21-1 ilustra como ocorre a replicação dos dados a partir de um site local
para outros dois sites.
Replicação de dados 325
Figura 21-1 Parceiros de replicação de site
Site 1 Site 2
Symantec Endpoint Symantec

Protection Manager Endpoint
Protection
Manager
Banco de dados Banco de dados

MS SQL MS SQL
Replicação
Replicação
Site 3
Symantec Endpoint
Protection Manager
Banco de
dados MS SQL
Os parceiros de replicação são relacionados na página Admin. Você pode exibir

informações sobre os parceiros de replicação selecionando o parceiro na árvore.
Todos os sites geralmente têm o mesmo tipo de banco de dados. No entanto, você
pode configurar a replicação entre sites usando diferentes tipos de bancos de
dados. Além disso, você também pode configurar a replicação entre um banco de
dados integrado e um banco de dados do MS SQL.
Compreensão do impacto da replicação
Se você usar um banco de dados integrado, poderá conectar somente um Symantec

Endpoint Protection Manager a ele devido aos requisitos de configuração. Se você
usar um banco de dados do MS SQL, poderá conectar vários Symantec Endpoint
Protection Managers ou compartilhar um banco de dados. Somente o primeiro
Symantec Endpoint Protection Manager precisa ser configurado como um parceiro
de replicação.
Todos os sites configurados como parceiros de replicação são considerados como
estando no mesmo farm do site. Inicialmente, instale o primeiro site e, em seguida,
instale um segundo site como um parceiro de replicação. Um terceiro site pode
ser instalado e configurado para conectar-se a um dos dois primeiros sites. Você
pode adicionar quantos sites forem necessários ao farm de site.
Você pode excluir os parceiros de replicação para interromper a replicação.
Posteriormente, é possível adicionar esse parceiro de replicação de volta para
tornar os bancos de dados consistentes. No entanto, algumas alterações podem
ter conflito.
Consulte “Quais configurações são replicadas” na página 326.

Se os administradores fizerem alterações em cada site de replicação
simultaneamente, algumas alterações poderão ser perdidas. Se você alterar a
mesma configuração em ambos os sites e surgir um conflito, a última alteração
terá efeito quando a replicação ocorrer.
Por exemplo, o site 1 (Nova York) é replicado com o site 2 (Tóquio) e o site 2 é
replicado com o site 3 (Londres). Você pode querer que os clientes que se conectam
à rede em Nova York também se conectem com o Symantec Endpoint Protection
Manager em Nova York. No entanto, talvez você não queira que eles se conectem
ao Symantec Endpoint Protection Manager em Tóquio ou Londres.
Quais configurações são replicadas

Ao configurar a replicação, as configurações de comunicação do cliente também
são replicadas. Portanto, é necessário certificar-se de que as configurações de
comunicação estejam corretas para todos os sites no farm de site da seguinte
maneira:
■ Crie configurações de comunicação genéricas de forma que uma conexão com
cliente seja baseada no tipo de conexão. Por exemplo, você pode usar um nome
DNS genérico, como symantec.com.br para todos os sites em um farm de sites.
Sempre que os clientes se conectarem, o servidor DNS resolverá o nome e
conectará o cliente ao Symantec Endpoint Protection Manager local.
■ Crie configurações de comunicação específicas atribuindo grupos a sites, de

forma que todos os clientes em um grupo se conectem ao Symantec Endpoint
Protection Manager designado.
Por exemplo, você pode criar dois grupos para clientes no site 1, dois grupos
diferentes para o site 2 e depois outros grupos para o site 3. Também é possível
aplicar as configurações de comunicação ao nível de grupo, de forma que os
clientes se conectem ao Symantec Endpoint Protection Manager designado.
Talvez você queira configurar diretrizes para gerenciamento das configurações
de localização para grupos. As diretrizes podem ajudar a impedir conflitos que
ocorrem nos mesmos locais. Você também pode impedir que ocorram conflitos
em grupos localizados em diferentes sites.
Como as alterações são mescladas durante a replicação

Depois que a replicação ocorre, o banco de dados no site 1 e o banco de dados no
site 2 são os mesmos. Somente as informações de identificação do computador
dos servidores diferem.
Se os administradores alterarem as configurações em todos os sites em um farm
de sites, poderão ocorrer conflitos. Por exemplo, os administradores no site 1 e
no site 2 podem adicionar um grupo com o mesmo nome. Se você quiser resolver
esse conflito, os grupos existirão depois da replicação. No entanto, um deles será
renomeado com um til e o numeral 1 (~1).
Se ambos os sites forem adicionados a um grupo denominado Vendas, depois da
replicação você poderá ver dois grupos em ambos os sites. Um grupo é denominado
Vendas e o outro é Vendas 1. Essa duplicação ocorre sempre que uma política com
o mesmo nome é adicionada ao mesmo local em dois sites.
Se os adaptadores de rede duplicados forem criados em diferentes sites com o
mesmo nome, um til e o numeral 1 (~1) serão adicionados. Os dois símbolos são
adicionados a um dos nomes.
Se diferentes configurações forem alteradas em ambos os sites, as alterações são
mescladas depois da replicação. Por exemplo, se você alterar as configurações de
segurança do cliente no site 1 e a proteção de senha no site 2, ambos os conjuntos
de alterações aparecem depois da replicação. Sempre que possível, as alterações
são mescladas entre os dois sites.
Se forem adicionadas políticas em ambos os sites, novas políticas serão exibidas
nesses sites depois da replicação. Podem ocorrer conflitos quando uma política
for alterada em dois sites diferentes. Se uma política for alterada em vários sites,
a última atualização de qualquer alteração será mantida depois da replicação.
Se você realizar as seguintes tarefas com a replicação agendada para ocorrer a
cada hora no horário:
Configuração da replicação de dados
■ Edite a AvAsPolicy1 no site 1 às 14:00.

■ Edite a mesma política no site 2 às 14:30.
Então, somente as alterações concluídas no site 2 serão exibidas depois que a
replicação for concluída quando a replicação ocorrer às 15:00.
Se um dos parceiros de replicação ficar off-line, o site remoto ainda poderá indicar
o status como on-line.

É possível configurar a replicação de dados durante a instalação inicial ou
posteriormente. Quando configura a replicação durante a instalação inicial, você
também pode definir um agendamento para a sincronização dos parceiros de
replicação.
Adição de parceiros de replicação e agendamentos

Se desejar replicar dados com outro site, você poderá configurar a opção durante
a instalação inicial. Caso não tenha configurado a replicação durante a instalação
inicial, você pode fazê-lo agora adicionando um parceiro de replicação. Sempre
que vários sites são definidos como parceiros de replicação eles são chamados de
grupo de sites. Você pode adicionar qualquer site do grupo como um parceiro de
replicação.
Network Access Control para obter mais informações.
Você também pode adicionar um parceiro de replicação que tenha sido excluído
anteriormente como um parceiro.
Antes de iniciar o assistente, você precisa das seguintes informações:
■ Um endereço IP ou nome do host do Symantec Endpoint Protection Manager
para o qual você deseja criar um parceiro de replicação.
■ O Symantec Endpoint Protection Manager ao qual você deseja se conectar
precisa ter sido um parceiro de replicação anteriormente. O Symantec Endpoint
Protection Manager também pode ter sido um parceiro de outro site no mesmo
grupo de sites.
Para adicionar um parceiro de replicação
2 Em Exibir servidores, selecione um site.
3 Na página Admin, em Tarefas, clique em Adicionar parceiro de replicação.
4 No Assistente de Adição de parceiro de replicação, clique em Avançar.

5 Digite o endereço IP ou o nome do host do Symantec Endpoint Protection
Manager do qual você quer fazer um parceiro de replicação.
6 Digite o número da porta do servidor remoto em que você instalou o Symantec
A configuração padrão é 8443 para a porta do servidor.
7 Digite o nome do usuário e a senha do administrador.
9 No painel Agendar replicação, especifique o agendamento da replicação entre
os dois parceiros seguindo estas etapas:
■ Selecione Replicação automática.
Com isso, uma replicação automática e freqüente ocorre entre dois sites.
Essa opção é a configuração padrão. Portanto você não pode definir um
agendamento personalizado para uma replicação.
■ Desmarque Replicação automática.
Agora você pode definir um agendamento personalizado para uma
replicação:
■ Selecione a Freqüência de replicação de hora em hora, diariamente
ou semanalmente.
■ Selecione o dia específico durante o qual você deseja que a replicação
ocorra na lista Dia da semana para configurar um agendamento
semanal.
11 No painel Replicação de arquivos de registro e pacotes de clientes, marque
ou desmarque as opções, dependendo se você quer ou não replicar registros.
A configuração padrão é desmarcada.
O site parceiro de replicação é adicionado em Parceiros de replicação na página
Admin.
Desconexão de parceiros de replicação

A exclusão de um parceiro de replicação simplesmente desconecta-o do Symantec
Endpoint Protection Manager. O site não é excluído. Você pode adicionar o site
novamente, caso seja necessário, adicionando um parceiro de replicação.
Agendamento de uma replicação automática ou sob demanda
Para remover bancos de dados do processo de replicação

2 Na página Admin, em Exibir, clique em Parceiros de replicação.
3 Expanda Parceiros de replicação e selecione o parceiro do qual você deseja
se desconectar.
4 Na página Admin, em Tarefas, clique em Excluir parceiro de replicação.
5 Digite Sim quando perguntado se deseja excluir o parceiro de replicação.
Agendamento de uma replicação automática ou sob

demanda
Você pode agendar uma replicação automaticamente ou sob demanda. É possível
especificar a freqüência com a qual você deseja agendar a replicação.
Replicação dos dados sob demanda

A replicação geralmente ocorre de acordo com o agendamento definido quando
você adicionou um parceiro de replicação durante a instalação. O site com o menor
número de ID inicia a replicação agendada. É possível que você queira que a
replicação ocorra imediatamente.
Agendamento da replicação sob demanda
3 Na página Admin, sob Exibir, expanda Parceiros de replicação e selecione o
parceiro cujo banco de dados você quer replicar imediatamente.
4 Na página Admin, em Tarefas, clique em Replicar agora.
Agendamento de uma replicação automática ou sob demanda
5 Clique em Sim quando solicitado para verificar se deseja iniciar uma replicação
agora.
A seguinte mensagem será exibida:
A replicação foi agendada.

Para obter detalhes a respeito do resultado do evento
agendado, verifique os registros do sistema do servidor depois
de alguns minutos de atraso. O atraso depende da carga
do servidor, da quantidade de mudanças a ser replicadas
e da largura de banda do canal de comunicação.
6 Clique em OK. O banco de dados é replicado imediatamente.

Se você usar um banco de dados de Microsoft SQL com mais de um servidor,
poderá somente iniciar a replicação a partir do primeiro servidor nesse site.
Se você tentar replicar a partir do segundo servidor, a seguinte mensagem
aparecerá:
Somente o primeiro servidor do site pode executar a replicação.

Faça logon no servidor: <nome do primeiro servidor> a iniciar
replicação.
Alteração das freqüências de replicação

A replicação geralmente ocorre de acordo com o agendamento que você definiu
quando adicionou um parceiro de replicação durante a instalação inicial. O site
com o menor número de ID inicia a replicação agendada. Quando um parceiro de
replicação tiver sido estabelecido, você poderá alterar o agendamento de replicação.
Quando você altera o agendamento em um parceiro de replicação, o agendamento
em ambos os lados é o mesmo após a próxima replicação.
Para alterar freqüências de replicação
3 Na página Admin, em Tarefas, clique em Editar parceiro de replicação.
4 Na caixa de diálogo Editar parceiro de replicação, especifique o agendamento
da replicação entre os dois parceiros seguindo uma destas etapas:
■ Selecione Replicação automática.
Com isso, uma replicação automática e freqüente ocorre entre dois sites.
Essa opção é a configuração padrão. Portanto você não pode definir um
agendamento personalizado para uma replicação.
Replicação de pacotes do cliente
■ Desmarque Replicação automática.

Agora você pode definir um agendamento personalizado para uma
replicação.
■ Selecione a Freqüência de replicação de hora em hora, diariamente
ou semanalmente.
■ Selecione o dia específico durante o qual você deseja que a replicação
ocorra na lista Dia da semana para configurar um agendamento
semanal.
5 Clique em OK.
Replicação de pacotes do cliente

Você pode optar por replicar ou duplicar pacotes do cliente entre o site local e um
parceiro de replicação em um site remoto. Recomenda-se copiar a versão mais
recente de um pacote do cliente de um site local para um site remoto. O
administrador do site remoto pode então implementar o pacote do cliente.
Network Access Control para obter mais informações sobre como criar e implantar
os pacotes de instalação do cliente em um site.
Se decidir replicar pacotes do cliente, você poderá duplicar um volume grande de
dados. Se você replicar muitos pacotes, os dados poderão ter até 5 GB. Os pacotes
de instalação de 32 e 64 bits do Symantec Endpoint Protection e do Symantec
Network Access Control podem exigir até 500 MB de espaço em disco.
Network Access Control para obter mais informações sobre requisitos de
armazenamento em disco.
Para replicar pacotes de clientes entre parceiros de replicação
3 Expanda Parceiros de replicação e selecione o parceiro de replicação com o
qual você deseja replicar pacotes de clientes.
4 Na página Admin, em Tarefas, clique em Editar propriedades do parceiro
de replicação.
5 Na caixa de diálogo Propriedades do parceiro de replicação, em Parceiro,
clique em Replicar pacotes de clientes entre o site local e o site de parceiro.
6 Clique em OK.
Replicação de logs
Você pode especificar se deseja replicar ou duplicar logs, bem como o banco de
dados de um parceiro de replicação. Você pode especificar a replicação dos logs
ao adicionar parceiros de replicação ou editar as propriedades do parceiro de
replicação. Se pretender replicar registros, certifique-se de ter suficiente espaço
em disco para os registros adicionais em todos os computadores parceiros de
replicação.
Consulte “Exibição de registros de outros sites” na página 209.
Para replicar logs entre os parceiros de replicação
3 Expanda Parceiros de replicação e selecione o parceiro de replicação para o
qual você deseja iniciar a geração dos logs de replicação.
4 Na página Admin, em Tarefas, clique em Editar propriedades do parceiro
de replicação.
5 Na caixa de diálogo Propriedades do parceiro de replicação, sob Parceiro,
clique em Replicar registros deste site de parceiro para o site local ou em
Replicar registros deste site de parceiro para o site local.
6 Clique em OK.
Capítulo 22
Gerenciamento da proteção
contra adulteração
■ Sobre a proteção contra adulteração
■ Configuração da proteção contra adulteração
Sobre a proteção contra adulteração

A proteção contra adulteração garante proteção em tempo real aos aplicativos da
Symantec executados em servidores e clientes. Ela evita que os processos que não
sejam Symantec, como worms, Cavalos de Tróia, vírus e riscos à segurança, afetem
os processos da Symantec. Você pode configurar o software para bloquear ou
registrar tentativas de modificar os processos da Symantec.
Nota: Se você usar verificadores de riscos à segurança de terceiros que detectam

e defendem contra adware e spyware indesejados, esses verificadores geralmente
afetarão os processos da Symantec. Se a proteção contra adulteração estiver
ativada ao executar um verificador, ela gerará um grande número de notificações
e entradas de registros. A prática recomendada para a proteção contra adulteração
é sempre deixá-la ativada. Use o filtro de registro se o número de eventos gerados
for muito grande.
Quando um cliente é instalado como cliente não gerenciado, a proteção contra

adulteração tem estes valores padrão:
■ A proteção contra adulteração está ativada.
■ A ação que a proteção contra adulteração realiza quando ela detecta um
tentativa de adulteração é bloquear a tentativa e registrar o evento.
336 Gerenciamento da proteção contra adulteração
Configuração da proteção contra adulteração
■ Ela envia uma mensagem padrão ao usuário quando ela detecta uma tentativa
de adulteração.
Quando um cliente é instalado como cliente gerenciado, a proteção contra
adulteração tem estes valores padrão:
■ A proteção contra adulteração está ativada.
■ A ação que a proteção contra adulteração realiza quando ela detecta um
tentativa de adulteração é somente registrar o evento.
■ Ela não envia uma mensagem ao usuário quando ela detecta uma tentativa de
adulteração.
Nota: Se você ativar as notificações quando o Symantec Endpoint Protection

detectar tentativas de adulteração, serão enviadas notificações sobre os processos
do Windows e da Symantec.

Você pode ativar e desativar a Proteção contra adulteração e configurar a ação
que ela deve executar quando detectar uma tentativa de adulteração. Você também
pode configurá-la para notificar os usuários quando detectar uma tentativa de
adulteração.
Quando você usa o Symantec Endpoint Protection inicialmente, a prática
recomendada é usar a ação Apenas registrar o evento somente enquanto você
monitora os registros uma vez por semana. Quando você tiver certeza de que não
há falsos positivos, configure a proteção contra adulteração para bloquear e
registrar o evento.
Você também pode configurar uma mensagem para ser exibida nos clientes quando
o Symantec Endpoint Protection detectar uma tentativa de adulteração. Por padrão,
as mensagens de notificação são exibidas quando o software detecta uma tentativa
de adulteração.
A mensagem que você criar pode conter uma combinação de texto e variáveis. As
variáveis são preenchidas com os valores que identificam as características do
ataque. Se você usar uma variável, deverá digitá-la exatamente como ela será
exibida.
A Tabela 22-1 descreve as variáveis que você pode usar para configurar uma
mensagem.
Gerenciamento da proteção contra adulteração 337
Tabela 22-1 Variáveis e descrições da mensagem de Proteção contra adulteração
Campo Descrição
[AçãoTomada] Ação executada pela proteção contra adulteração para reagir

ao ataque.
[IDdeProcessadorAtivo] Número de ID do processo que atacou um aplicativo da

Symantec.
[NomedeProcessoAtivo] Nome do processo que atacou um aplicativo da Symantec.
[Computador] Nome do computador que foi atacado.
[DataEncontrado] A data em que o ataque ocorreu.
[TipodeEntidade] Tipo de alvo atacado pelo processo.
[Nomedearquivo] Nome do arquivo que atacou os processos protegidos.
[Local] A área do hardware ou do software de computador que foi

protegida contra adulteração. No caso das mensagens da
Proteção contra adulteração, esse campo refere-se aos
aplicativos da Symantec.
[CaminhoeNomedeArquivo] O nome e o caminho completos do arquivo que atacou os

processos protegidos.
[EventodoSistema] Tipo da tentativa de adulteração ocorrida.
[NomedoCaminhodeDestino] Local do alvo atacado pelo processo.
[IDdoProcessodeDestino] ID do processo do alvo atacado pelo processo.
[TargetTerminalSession ID] ID da sessão de terminal durante a qual o evento ocorreu.
[Usuário] Nome do usuário conectado quando o ataque ocorreu.
Para ativar ou desativar a proteção contra adulteração

2 Na guia Políticas, em Configurações, clique em Configurações gerais.
3 Na guia Proteção contra adulteração, marque ou desmarque Proteger o
software de segurança da Symantec contra adulteração ou desligamento.
4 Clique no ícone de cadeado para impedir que os usuários alterem essa
configuração.
5 Clique em OK.
338 Gerenciamento da proteção contra adulteração
Configurações básicas da Proteção contra adulteração

3 Na guia Proteção contra adulteração, na caixa de listagem, selecione uma das
seguintes ações:
■ Para bloquear e registrar uma atividade não autorizada, clique em
Bloquear e registrar o evento.
■ Para registrar uma atividade não autorizada, mas permitir que ela ocorra,
clique em Apenas registrar o evento.

configuração.
5 Clique em OK.
Para ativar e personalizar as mensagens de notificação da Proteção contra
adulteração
3 Na guia Proteção contra adulteração, clique em Exibir uma mensagem de
notificação quando uma adulteração for detectada.
4 Na caixa de texto, se você desejar modificar a mensagem padrão, você pode
digitar texto adicional e excluir texto.
Se você usar uma variável, você deverá digitá-la exatamente como ela será
exibida.
configuração.
6 Clique em OK.
Seção 3
Tarefas gerais de
gerenciamento de políticas
■ Sobre as políticas
■ Gerenciamento da herança de um grupo para locais e políticas
■ Gerenciamento de locais de um grupo
■ Como trabalhar com políticas
■ Envio e obtenção de políticas entre servidores de gerenciamento, clientes e

Enforcers opcionais
■ Configuração de aplicativos reconhecidos

340
Capítulo 23
Sobre as políticas
■ Visão geral das políticas
■ Sobre políticas compartilhadas e não compartilhadas
■ Sobre tarefas relacionadas a políticas
■ Grupos, herança, locais e políticas
■ Exemplos de políticas
Visão geral das políticas

A página Políticas, no console do Symantec Endpoint Protection Manager, fornece
uma solução de gerenciamento centralizado. Ela trata da aplicação da política, da
verificação da integridade do host (somente no Symantec Network Access Control)
e da correção automatizada de todos os clientes. A funcionalidade das políticas é
o coração do software Symantec. Os clientes se conectam ao servidor para obter
as políticas mais recentes, as configurações de segurança e as atualizações de
software.
Você também pode realizar muitas das tarefas relacionadas às políticas na página
Clientes. Você geralmente realiza a maioria das tarefas relacionadas às políticas
compartilhadas na página Políticas. Entretanto, a maioria das tarefas não
compartilhadas relacionadas às políticas são realizadas na página Clientes.
O Symantec Endpoint Protection Manager aprende o comportamento das
comunicações, cria e implementa políticas de segurança e de aplicação, gerencia
as estruturas do grupo de usuários e do computador, e comunica-se com outros
servidores de gerenciamento. Com o protocolo de comunicação de pulsação da
Symantec, o servidor de gerenciamento aprende sobre o comportamento do
342 Sobre as políticas
Visão geral das políticas
usuário, do aplicativo e da rede com os clientes. O servidor de gerenciamento

fornece às empresas uma visão atualizada do status da segurança.
Você pode usar vários tipos de políticas para gerenciar o ambiente corporativo.
Algumas dessas políticas são criadas automaticamente durante a instalação. Você
pode usar uma política predefinida ou personalizá-la para atender a um ambiente
corporativo específico.
A Tabela 23-1 relaciona cada política, informa se uma política padrão foi criada
ou não durante a instalação inicial e fornece uma descrição para cada política.
Tabela 23-1 Políticas do Symantec Endpoint Protection Manager
Nome da política Política padrão Descrição
Antivírus e anti-spyware Sim Define as configurações de

verificação das ameaças ao
antivírus e anti-spyware,
incluindo como os processos
detectados são tratados.
Firewall Sim Define as regras de firewall que

permitem e bloqueiam o tráfego e
especifica as configurações da
filtragem de tráfego inteligente,
do tráfego e da autenticação
ponto-a-ponto.
Prevenção de intrusões Sim Define as exceções para as

assinaturas de prevenção contra
intrusões e especifica as
configurações da prevenção contra
intrusões, tais como a resposta
ativa.
Integridade do host Sim Ajuda a definir, restaurar e aplicar

a segurança dos clientes para
manter as redes e os dados da
empresa protegidos.
Controle de dispositivos e Sim Protege os recursos do sistema dos

aplicativos aplicativos e gerencia os
dispositivos periféricos que podem
ser conectados aos computadores.
Sobre as políticas 343
Sobre políticas compartilhadas e não compartilhadas
Nome da política Política padrão Descrição
LiveUpdate Sim Especifica os computadores que

os clientes devem acessar para
verificar as atualizações e o
agendamento que define a
freqüência com que os clientes
devem verificar as atualizações.
Exceções centralizadas Não Especifica as exceções que você

deseja aplicar a recursos
específicos da política.
As empresas usam as informações que o servidor de gerenciamento coleta para

criar as políticas de segurança. Essas políticas de segurança vinculam os usuários,
a tecnologia de conectividade, os aplicativos e a comunicação em rede às políticas
de segurança. As políticas de segurança da Symantec são gerenciadas e herdadas
por meio das estruturas de grupo dos usuários, dos computadores e dos servidores.
Você pode importar informações sobre usuários e computadores. Você pode
também sincronizar dados com os servidores de diretório, tais como Active
Directory e LDAP. O servidor de gerenciamento pode ser centralizado ou distribuído
em uma empresa global para fornecer a escalabilidade, a tolerância a falhas, o
balanceamento de carga e a replicação da política.
Você pode realizar as seguintes tarefas:
■ Configurar a estrutura administrativa e organizacional, que inclui
computadores, usuários e grupos.
■ Configurar políticas de segurança.
Cada grupo que você definir como parte de uma estrutura organizacional pode
ter uma política separada. Você também pode configurar políticas individuais
para os locais, como casa ou escritório, dentro de um grupo.
■ Configurar e implementar pacotes de cliente.
■ Personalizar as configurações do cliente.
■ Gerenciar locais e a replicação do Symantec Endpoint Protection Manager.
■ Configurar os Symantec Enforcers se você os usa como parte de sua solução
de aplicação.
■ Monitorar registros e exibir relatórios.
Sobre políticas compartilhadas e não compartilhadas

Você pode criar os seguintes tipos de políticas:
Sobre tarefas relacionadas a políticas
Política compartilhada Aplica-se a qualquer grupo e local. É possível ter várias

políticas compartilhadas.
Política não compartilhada Aplica-se a um local específico em um grupo. Entretanto,

você pode ter somente uma política por local.
Você deve criar políticas compartilhadas porque pode facilmente editar e substituir
uma política em todos os grupos e locais que a utilizem. Porém pode precisar de
uma política especializada para um local específico já existente. Nesse caso, pode
criar uma política exclusiva para um local.
Quando uma nova política é criada, normalmente você edita uma política padrão.
Uma política padrão sempre inclui regras e configurações de segurança padrão.
Você aplica uma política separada a cada grupo de usuários ou computadores.
Entretanto, também pode aplicar políticas de segurança separadas a cada local
de grupo. Por exemplo, um grupo que tenha diversos locais atribuídos. Cada usuário
pode conectar-se à rede corporativa a partir de diferentes locais, no escritório ou
em casa. Pode ser necessário aplicar uma política diferente com seu próprio
conjunto de regras e configurações para cada local.

Depois que você concluir a instalação do console do Symantec Endpoint Protection
Manager, você poderá personalizar qualquer uma das políticas padrão.
A Tabela 23-2 relaciona as tarefas rotineiras que você deve executar quando
mantiver políticas compartilhadas e não compartilhadas.
Tabela 23-2 Tarefas de gerenciamento de política
Nome da tarefa Tipo de política
Adicionar ■ Antivírus e anti-spyware

■ Firewall
■ Prevenção de intrusões
■ LiveUpdate
■ Exceções centralizadas
Editar ■ Antivírus e anti-spyware

■ Firewall
■ LiveUpdate
Excluir ■ Antivírus e anti-spyware

■ Firewall
■ LiveUpdate
Exportar ■ Antivírus e anti-spyware

■ Firewall
■ LiveUpdate
Atribuir ■ Antivírus e anti-spyware

■ Firewall
■ LiveUpdate
Nota: Você não atribui uma política não compartilhada,

porque ela é atribuída automaticamente ao local em que
você a criou.
Retirar ■ Antivírus e anti-spyware

■ Firewall
Grupos, herança, locais e políticas
Substituir ■ Antivírus e anti-spyware

■ Firewall
■ LiveUpdate
Copiar ■ Antivírus e anti-spyware

■ Firewall
■ LiveUpdate
Importar ■ Antivírus e anti-spyware

■ Firewall
■ LiveUpdate
Grupos, herança, locais e políticas

Você pode desenvolver políticas compartilhadas e aplicá-las a grupos e locais
específicos. As políticas podem ser aplicadas em nível de grupo global, em um
grupo raiz ou principal. Os subgrupos podem herdar políticas no console do
Symantec Endpoint Protection Manager. Você pode aplicar uma política com
diversas regras em um grupo ou local.
Exemplos de políticas
Por exemplo, os usuários remotos geralmente usam DSL e ISDN para os quais é
necessário uma conexão VPN. Outros usuários remotos podem precisar discar
quando se conectam à rede corporativa. Os funcionários que trabalham no
escritório geralmente usam uma conexão Ethernet. No entanto, os grupos de
marketing e vendas também podem usar conexões sem fio. Cada um desses grupos
precisa de sua própria política de firewall para os locais de onde se conecta à rede
corporativa.
Você pode implementar uma política restritiva em relação à instalação de
aplicativos não aprovados na maioria das workstations dos funcionários para
proteger a rede corporativa contra ataques. O grupo de TI pode exigir o acesso
aos aplicativos adicionais. Portanto, o grupo de TI precisará de uma política de
segurança menos restritiva do que os funcionários típicos. Nesse caso, você pode
criar uma política de firewall diferente para o grupo de TI.
Capítulo 24
Gerenciamento da herança
de um grupo para locais e
políticas
■ Sobre grupos que herdam locais e políticas de outros grupos
■ Como desativar e ativar a herança de um grupo
Sobre grupos que herdam locais e políticas de outros

grupos
Na estrutura do grupo, os subgrupos inicialmente e automaticamente herdam
informações sobre locais, políticas e configurações do grupo pai. Por padrão, a
herança é ativada para cada grupo. Entretanto, é possível desativar a herança a
qualquer momento e para qualquer grupo.
Por exemplo, você pode desejar criar um grupo chamado Engenharia, com um
subgrupo chamado Controle de qualidade. O subgrupo Controle de qualidade inclui
automaticamente os mesmos locais, políticas e configurações que o grupo
Engenharia.
Se deseja alterar as políticas e as configurações no subgrupo Controle de qualidade,
é necessário primeiro desativar a herança para o subgrupo Controle de qualidade.
Se você não desativar a herança, uma mensagem será exibida na parte superior
da caixa de diálogo do item que você quer alterar. Esta mensagem indics que você
não pode modificar locais, políticas ou configurações porque eles são herdados
do grupo Engenharia.
350 Gerenciamento da herança de um grupo para locais e políticas
Como desativar e ativar a herança de um grupo
Se você criar um subgrupo e na seqüência desativar a herança para este grupo,

nada será alterado inicialmente nesse grupo. Ele mantém todos os locais e políticas
do grupo do qual ele inicialmente herdou as informações sobre seus locais e
políticas.
No entanto, você pode fazer alterações ao subgrupo independente do grupo do
qual ele inicialmente herdou as informações sobre seus locais e políticas. Se você
fizer alterações e depois ativar a herança, as alterações feitas ao subgrupo serão
sobrescritas. Elas serão sobrescritas pelos locais e políticas atualmente presentes
no grupo do qual ele agora herda suas políticas.
Talvez você queira atribuir as políticas e configurações a cada grupo. Para isso,
você precisa adicioná-las ao grupo no nível superior antes de desativar a herança
para um subgrupo. A seguir todos os subgrupos compartilharão as mesmas
informações sobre locais e políticas mesmo que depois você ative a herança
novamente.
Consulte “Adição de regras herdadas de um grupo pai” na página 491.
Como desativar e ativar a herança de um grupo

Você pode desativar e ativar a herança de um grupo a qualquer hora. Por padrão,
a herança é ativada ao criar um novo local para um grupo.
Para desativar e ativar a herança de um grupo
2 Na página Clientes, em Exibir clientes, selecione o grupo para o qual você
quer desativar ou ativar a herança.
É possível selecionar qualquer grupo diferente do associado ao grupo
Temporário.
3 No painel nome do grupo, na guia Políticas, realize uma das seguintes tarefas:
■ Para desativar a herança, desmarque Herdar políticas e configurações
do grupo pai "nome do grupo".
■ Para ativar a herança, marque Herdar políticas e configurações do grupo
pai "nome grupo" e clique em Sim quando for solicitado para continuar.
Capítulo 25
Gerenciamento de locais de
um grupo
■ Sobre os locais de um grupo
■ Ativação de atribuição automática de políticas do cliente
■ Adição de um local com um assistente
■ Adição de um local sem um assistente
■ Atribuição de um local padrão
■ Edição do nome e da descrição do local de um grupo
■ Exclusão do local de um grupo
Sobre os locais de um grupo

As políticas e configurações precisam, muitas vezes, ser diferentes com base no
local de onde um usuário tenta conectar-se à rede corporativa. Portanto, você
pode criar locais ou perfis diferentes para cada grupo do qual um usuário é membro.
Você pode ter muitos locais, como os seguintes exemplos:
■ Padrão (trabalho em um escritório corporativo)
■ Escritório remoto (trabalho em uma instalação corporativa remota)
■ VPN (VPN a partir de um local externo)
■ Residência (trabalho a partir de um local residencial por meio de um provedor
de serviços da Internet)
352 Gerenciamento de locais de um grupo
É possível personalizar a política e as configurações para cada local de acordo

com condições específicas que sejam apropriadas àquele local.
Por exemplo, as políticas para o local padrão podem não ser tão rígidas quanto as
políticas para os locais VPN ou de residência. A política associada ao local padrão
é usada quando o usuário já estiver protegido por um firewall corporativo.
Os locais são adicionados após a configuração de todos os grupos que precisam
ser gerenciados. Caso sua estratégia de segurança exija, cada grupo poderá ter
locais diferentes.
Se adicionar um local, ele será aplicado ao grupo para o qual foi criado e para
quaisquer subgrupos que o herdem do grupo pai. Portanto, os locais que deseja
aplicar a todos os usuários finais devem, provavelmente, ser criados no nível de
grupo Global. Os locais específicos a um grupo em particular podem ser criados
no nível de subgrupo.
Por exemplo, na maioria das empresas, todos os usuários finais exigem um local
padrão adicionado automaticamente ao grupo Global. Entretanto, nem todos os
usuários necessitam de uma conexão VPN. Os usuários finais que necessitam de
uma conexão VPN podem ser organizados em um grupo chamado Usuário móvel.
Você adiciona o local do VPN ao grupo do Usuário móvel assim como ao local do
escritório herdado. Os membros daquele grupo podem, então, usar as políticas
associadas aos locais do escritório ou ao VPN.
Sobre locais e conscientização de local

Se você quer proteger sua rede, você precisa definir as condições para acionar a
alternação automática ou conscientização de local. Você deve automaticamente
aplicar a melhor política de segurança a um cliente ou servidor. A melhor política
de segurança geralmente depende do local de onde um usuário conecta-se.
É possível adicionar um conjunto de condições para o local de cada grupo que
selecione automaticamente a política de segurança correta para o ambiente de
um usuário. Essas condições são baseadas em informações, como as configurações
da rede do computador do qual partiu a solicitação de acesso à rede. Um endereço
IP, endereço MAC ou o endereço de um servidor de diretório também pode
funcionar como condição.
Se você alterar uma política de segurança no console, o servidor de gerenciamento
atualizará a política no cliente ou o cliente fará o download da política. Se o local
atual for inválido após a atualização, o cliente alternará para outro local que seja
válido ou usará o local padrão.
Gerenciamento de locais de um grupo 353
Sobre como planejar locais

Antes que você adicione locais a um grupo, é necessário considerar os tipos de
políticas de segurança necessárias em seu ambiente. Você também deve determinar
os critérios que definem cada local.
Você deve considerar as seguintes perguntas:
■ De que locais os usuários conectam-se?
Considere os locais que precisam ser criados e como cada um deve ser rotulado.
Por exemplo, os usuários podem se conectar no escritório, em casa, de um site
comercial ou em outro site remoto, como em um hotel durante uma viagem.
Locais qualificados adicionais podem ser necessários em um grande site.
■ A conscientização de local deve ser definida para cada local?
■ Como deseja identificar o local caso a conscientização de local seja usada?
Você pode identificar o local com base em endereços IP, WINS, DHCP ou
endereços do servidor DNS, conexões de rede e outros critérios.
■ Se o local for identificado pela conexão de rede, qual será o tipo de conexão?
Por exemplo, a conexão de rede pode ser a conexão ao Symantec Endpoint
Protection Manager, a uma conexão discada ou a uma marca específica de
servidor VPN.
■ Deseja que os clientes que se conectem a esse local usem um tipo específico
de controle, como controle de servidor, controle misto ou controle de cliente?
■ Deseja efetuar a verificação de integridade do host em cada local? Ou deseja
ignorá-la a qualquer momento, como quando não estiver conectado ao
Symantec Endpoint Protection Manager?
■ Que aplicativos e serviços devem ser permitidos em cada local?
■ Deseja que o local use as mesmas configurações de comunicação que os outros
locais no grupo ou deseja usar configurações diferentes? É possível definir
configurações de comunicação exclusivas para cada local.
Sobre os locais padrão de um grupo

O local padrão é usado se um dos seguintes casos ocorre:
■ Um dos vários locais atender a critérios de local e o último local não atender
a esses critérios.
■ Ao usar a conscientização de local, nenhum local atenderá aos critérios.
■ O local é renomeado ou alterado na política. O cliente retorna ao local padrão
quando recebe a política nova.
Ativação de atribuição automática de políticas do cliente
Quando o Symantec Endpoint Protection Manager é inicialmente instalado, apenas

o local padrão, chamado Padrão, é definido. Nesse momento, o local padrão de
todos os grupos será Padrão. É possível alterar o local padrão mais tarde, após
adicionar outros locais. Cada grupo deve ter um local padrão.
Você pode preferir designar um local, como Residência ou Trânsito, como o local
padrão.
Ativação de atribuição automática de políticas do

cliente
É possível controlar as políticas atribuídas a clientes dependendo do local de onde
um cliente conecta-se. Você deve, portanto, ativar a Conscientização de local.
Para ativar a atribuição automática de políticas do cliente
quer implementar a alternação automática dos locais.
3 Na guia Políticas, desmarque Herdar políticas e configurações do grupo pai
"nome do grupo".
Somente é possível modificar as configurações independentes do local para
grupos que não tenham herdado as políticas e configurações de um grupo
pai.
4 Em Políticas e configurações independentes do local, clique em Configurações
gerais.
5 Na caixa de diálogo Configurações gerais, na guia Configurações gerais, em
Configurações do local, marque Lembrar o último local.
Por padrão, essa opção fica ativada. O cliente é inicialmente atribuído à política
associada ao local de onde o usuário conectou-se pela última vez à rede.
■ Se a opção Lembrar o último local estiver selecionada quando um
computador-cliente conectar-se à rede, o cliente será inicialmente atribuído
à política. Essa política está associada ao último local usado. Se a
conscientização de local estiver ativada, o cliente alterna automaticamente
para a política apropriada depois de alguns segundos. A política associada
a esse local específico determina a conexão de rede do cliente. Se a
conscientização de local estiver desativada, o cliente pode alternar
manualmente entre os locais, mesmo quando ele estiver no controle do
servidor. Se um local de quarentena estiver ativado, o cliente poderá
alternar para a política de quarentena depois de alguns segundos.
Adição de um local com um assistente
■ Se a opção Lembrar o último local não estiver marcada quando o cliente

conectar-se à rede, então o ele será atribuído inicialmente à política
associada ao local padrão. Não é possível ao cliente conectar-se ao último
local usado. Se a conscientização de local estiver ativada, o cliente alterna
automaticamente para a política apropriada depois de alguns segundos.
A política associada a esse local específico determina a conexão de rede
do cliente. Se a conscientização de local estiver desativada, o usuário pode
alternar manualmente entre os locais, mesmo quando o cliente estiver no
controle do servidor. Se um local de quarentena estiver ativado, o cliente
poderá alternar para a política de quarentena depois de alguns segundos.
6 Marque Ativar conscientização de local.

Por padrão, a conscientização de local fica ativada. O cliente é
automaticamente atribuído à política associada ao local de onde o usuário
tenta conectar-se à rede.
7 Clique em OK.

Você pode adicionar um local de grupo usando um assistente ou quando editar
informações sobre o local do grupo. Normalmente, cada local tem seu próprio
conjunto de políticas e configurações.
Se você adicionar um local com o Assistente de Adição de local, você também
determinará o local para um grupo específico. Também é possível especificar as
condições sob as quais as políticas e configurações de grupo são alternadas para
um novo local que tenha suas próximas políticas e configurações.
Para adicionar um local com um assistente
2 Na página Clientes, em Exibir clientes, selecione o grupo para o qual deseja
adicionar um ou mais locais.
"nome do grupo".
Somente é possível adicionar locais a grupos que não herdam políticas do
grupo pai.
4 Na página Clientes, em Tarefas, clique em Adicionar local.
5 No painel Bem-vindo ao Assistente de Adição de local, clique em Avançar.
6 No painel Especificar o nome do local, digite o nome e uma descrição para o
novo local e clique emAvançar.
7 No painel Especificar uma condição, selecione uma das seguintes condições

sob as quais um cliente alternará de um local para outro:
Nenhuma condição específica Selecione essa opção para que o cliente possa escolher
esse local caso vários locais estejam disponíveis.
Intervalo de endereço IP Selecione essa opção para que o cliente possa escolher
esse local se o seu endereço IP estiver incluído em um
intervalo específico. Você deve especificar o endereço
IP inicial e o endereço IP final.
Endereço e máscara de Selecione essa opção para que o cliente possa escolher
sub-rede esse local se sua máscara e seu endereço de sub-rede
estiverem especificados.
Servidor DNS Selecione essa opção para que o cliente possa escolher
esse local caso conecte-se ao servidor DNS especificado.
O cliente pode determinar o Selecione essa opção para que o cliente possa escolher
nome do host esse local caso ele conecte-se ao nome de domínio e ao
endereço determinado pelo DNS.
O cliente pode conectar-se ao Selecione essa opção para que o cliente possa escolher
servidor de gerenciamento esse local caso conecte-se ao servidor de gerenciamento
especificado.
Tipo de conexão de rede Selecione essa opção para que o cliente possa escolher
esse local caso ele conecte-se ao tipo de conexão de
rede especificada. O cliente alternará para esse local
quando usar uma das seguintes conexões:
■ Qualquer rede
■ Rede discada
■ Ethernet
■ Conexão sem fio
■ Check Point VPN-1
■ Cisco VPN
■ Microsoft PPTP VPN
■ Juniper NetScreen VPN
■ Nortel Contivity VPN
■ SafeNet SoftRemote VPN
■ Aventail SSL VPN
■ Juniper SSL VPN
9 No painel Assistente de Adição de local completo, clique em Concluir.
Adição de um local sem um assistente
Adição de um local sem um assistente

Você pode adicionar um local com suas políticas e configurações associadas a um
grupo sem usar um assistente.
Consulte “Adição de um local com um assistente” na página 355.
Para adicionar um local sem um assistente
adicionar um ou mais locais.
"nome do grupo".
Você só pode adicionar locais em grupos que não herdam políticas de um
grupo superior.
4 Na página Cliente, em Tarefas, clique em Gerenciar locais.
5 Na caixa de diálogo Gerenciar locais, em Locais, clique em Adicionar.
6 Na caixa de diálogo Adicionar local, digite o nome e a descrição do novo local
e clique em OK.
7 Na caixa de diálogo Gerenciar locais, ao lado de Alternar para este local
quando, clique em Adicionar.
8 Na caixa de diálogo Especificar critério de local, na lista suspensa Tipo,
selecione e defina uma condição.
Um computador-cliente é alternado para o local se o computador tem a
condição especificada.
9 Clique em OK.
10 Para adicionar mais condições, ao lado de Alternar para este local quando,
clique em Adicionar e selecione Critérios E relação ou Critérios OU relação.
11 Repita as etapas de 8 a 9.
12 Clique em OK.
Atribuição de um local padrão

Sempre que um grupo novo é criado, o console do Symantec Endpoint Protection
Manager cria automaticamente um local padrão denominado Padrão. Você pode
especificar outro local para ser o local padrão.
Edição do nome e da descrição do local de um grupo
Para atribuir um local padrão

2 Na página Clientes, em Exibir clientes, clique no grupo ao qual você deseja
atribuir um local padrão diferente.
"nome do grupo".
4 Em Tarefas, clique em Gerenciar locais.
5 Na caixa de diálogo Gerenciar locais, em Locais, selecione o local desejado
como local padrão.
6 Em Descrição, marque Definir este local como local padrão em caso de
conflito.
O local Padrão é sempre o local padrão, até que você atribua outro ao grupo.
7 Clique em OK.
Edição do nome e da descrição do local de um grupo

É possível editar o nome e a descrição de um local no nível de grupo.
Para editar o nome e a descrição do local de um grupo
2 Na página Clientes, em Exibir clientes, clique no grupo cujo nome e descrição
deseja editar.
3 Na guia Políticas, no painel Tarefas, clique em Gerenciar locais.
4 Na caixa de texto Nome do local, edite o nome do local.
5 Na caixa de texto Descrição, edite a descrição do local.
6 Clique em OK.
Exclusão do local de um grupo

Talvez seja necessário excluir o local de algum grupo porque ele não se aplica
mais.
Para excluir um local
2 Na página Clientes, em Exibir clientes, selecione o grupo que contém o local
que você quer excluir.

“nome do grupo".
Somente é possível excluir locais de grupos que não herdam políticas de seus
grupos pai.
4 Na página Clientes, em Tarefas, clique em Gerenciar locais.
5 Na caixa de diálogo Gerenciar locais, em Locais, selecione o local que você
quer excluir e clique em Excluir.
Você não pode excluir o local que está definido como o local padrão.
6 Na caixa de diálogo Excluir condição, clique em Sim.
Capítulo 26
Como trabalhar com
políticas
■ Sobre o trabalho com políticas
■ Sobre a adição de políticas
■ Sobre a edição de políticas
■ Como editar uma política compartilhada na página Políticas
■ Como editar uma política compartilhada ou não compartilhada na página

Clientes.
■ Atribuição de uma política compartilhada
■ Como retirar uma política
■ Exclusão de uma política
■ Exportação de uma política
■ Importação de uma política
■ Sobre a cópia de políticas
■ Cópia de uma política compartilhada na página Política
■ Cópia de uma política compartilhada ou não compartilhada na página Clientes
■ Como colar uma política
■ Substituição de uma política
■ Conversão de uma política compartilhada em uma política não compartilhada

362 Como trabalhar com políticas
Sobre o trabalho com políticas
■ Conversão de uma cópia de uma política compartilhada para uma política

não-compartilhada
Sobre o trabalho com políticas

Você pode executar as tarefas a seguir em todas as políticas:
■ Adicionar
Se você adicionar ou editar políticas compartilhadas na página Políticas, é
necessário também atribuir as políticas a um grupo ou local. Caso contrário,
essas políticas não entrarão em vigor.
■ Editar
■ Atribuir
■ Excluir
■ Importar e exportar
■ Copiar e colar
■ Converter
■ Substituir
Quando for aplicável, cada tarefa possui referências cruzadas para as tarefas que
descrevem os componentes específicos de cada tipo de política.
Estas políticas podem ser uma política compartilhada ou uma política não
compartilhada.
Sobre a adição de políticas

Você pode adicionar políticas como compartilhadas ou não compartilhadas.
Normalmente, você pode adicionar qualquer política que os grupos e os locais
compartilham na página Políticas, na guia Políticas. Entretanto, adicione qualquer
política que não seja compartilhada entre grupos e somente se aplica a um local
específico, na página Clientes.
Se decidir adicionar uma política na página Clientes, você pode adicionar uma
política usando qualquer um dos métodos abaixo:
■ Basear uma nova política em uma política existente.
■ Criar uma nova política.
■ Importar uma política de uma política exportada anteriormente.
Consulte “Adicionar uma política compartilhada na página Políticas” na página 363.
Como trabalhar com políticas 363
Consulte “Como adicionar uma política não compartilhada na página Clientes com
um assistente” na página 365.
Adicionar uma política compartilhada na página Políticas

Geralmente é adicionada uma política compartilhada na página Políticas em lugar
da página Clientes. Os locais assim como os grupos podem compartilhar a mesma
política. Você deve atribuir a política compartilhada depois de adicioná-la.
Você pode adicionar uma política não compartilhada da página Clientes.
Para adicionar uma política compartilhada na página Políticas
2 Na página Políticas, em Exibir Políticas, selecione alguns tipos de políticas.
3 Na página Políticas, em Tarefas, clique em Adicionar uma política tipo de
política.
4 Na página Política tipo de política, no painel Visão geral, digite o nome e a
descrição da política.
5 Se não estiver marcada, marque Ativar esta política.
6 No painel Visão geral, selecione uma das seguintes exibições:
Visualização da Qualquer política atribuída aos grupos e locais será representada

árvore na forma de ícones.
Visualização da Qualquer política atribuída aos grupos e locais será representada

lista em uma lista.
7 Para configurar a política, em Exibir Políticas, clique em alguns dos seguintes

tipos de políticas:
Antivírus e anti-spyware Consulte “Sobre como trabalhar com

políticas de controle de dispositivos e
aplicativos” na página 559.
Firewall Consulte “Sobre o trabalho com políticas

de firewall” na página 476.
Prevenção de intrusões Consulte “Sobre o trabalho com as

políticas de prevenção de intrusões”
na página 502.
Controle de dispositivos e aplicativos Consulte “Sobre como trabalhar com

políticas de controle de dispositivos e
aplicativos” na página 559.
Integridade do host Consulte “Sobre como trabalhar com

políticas de integridade do host”
na página 610.
LiveUpdate Consulte “Sobre o LiveUpdate e a

atualização de definições e conteúdo”
na página 99.
Exceções centralizadas Consulte “Sobre o trabalho com políticas

de exceções centralizadas” na página 592.
8 Quando concluir a configuração da política, clique em OK.

9 Na caixa de diálogo Atribuir política, realize uma das seguintes tarefas:
■ Para atribuir a política a um grupo ou local agora, clique em Sim e vá para
a etapa 10.
■ Para atribuir a política a um grupo ou local mais tarde, clique em Não.
Consulte “Atribuição de uma política compartilhada” na página 370.
Você deve atribuir a política ou os computadores-cliente nesse grupo ou local
não receberão a política.
10 Na caixa de diálogo Atribuir política tipo de política, marque os grupos e os
locais em que você quer aplicar a política.
12 Para confirmar, clique em Sim.
Como adicionar uma política não compartilhada na página Clientes

com um assistente
Você pode adicionar políticas compartilhadas e não compartilhadas na página
Clientes.
É possível adicionar uma política compartilhada na página Política
Consulte “Adicionar uma política compartilhada na página Políticas” na página 363.
Para adicionar uma política não compartilhada na página Clientes com um assistente
2 Na página Políticas, em Visualizar políticas, localize o grupo no qual deseja
adicionar a política.
"nome do grupo".
Você deve desativar a herança para este grupo. Se você não desmarcar herança,
não poderá adicionar uma política.
4 Em Políticas e configurações específicas do local, role até encontrar o local.
5 À direita de Políticas específicas do local, clique em Adicionar política.
Se já existir uma política compartilhada ou específica do local, ela não será
mais exibida no Assistente de Adição de políticas para nome do local.
6 No Assistente de Adição de políticas para nome do local, selecione o tipo de

política que você quer adicionar e clique em Avançar.
Você pode adicionar políticas específicas do local somente se não existir
nenhuma. Adicionar política aparece somente se não existir nenhuma política
para um tipo específico de política.
7 Selecione uma destas opções:
Use uma política compartilhada Cria uma política não compartilhada a partir
existente de uma política compartilhada do mesmo
tipo. Se você editar essa política, ela será
alterada em todos os locais que a utilizam.
Consulte “Adição de uma nova política não

compartilhada a partir de uma política
existente na página Clientes” na página 367.
Criar uma nova política Cria uma política não compartilhada.
Consulte “Adição de uma política não

compartilhada na página Clientes”
na página 366.
Importar uma política de um arquivo Cria uma política não compartilhada a partir
de políticas de um arquivo formatado como .dat que foi
exportado previamente.
Consulte “Adição de uma nova política não

compartilhada a partir de um arquivo de
políticas exportado anteriormente na página
Clientes” na página 368.
Adição de uma política não compartilhada na página Clientes

Se você criar uma política não compartilhada na página Clientes, ela se aplicará
somente a um local específico.
Para criar uma política não compartilhada na página Clientes
2 Clique em Criar uma nova política e clique em Avançar.
3 No painel Visão geral da política tipo de política, digite o nome e a descrição

da política.
4 Para configurar a política, em Exibir Políticas, clique em alguns dos seguintes
tipos de políticas:
Antivírus e anti-spyware Consulte “Sobre como trabalhar com políticas antivírus

e anti-spyware” na página 401.
Firewall Consulte “Sobre o trabalho com políticas de firewall”

na página 476.
Prevenção de intrusões Consulte “Sobre o trabalho com as políticas de

prevenção de intrusões” na página 502.
Controle de dispositivos e Consulte “Sobre como trabalhar com políticas de

aplicativos controle de dispositivos e aplicativos” na página 559.
Integridade do host Consulte “Sobre como trabalhar com políticas de

integridade do host” na página 610.
LiveUpdate Consulte “Sobre o LiveUpdate e a atualização de

definições e conteúdo” na página 99.
Exceções centralizadas Consulte “Sobre o trabalho com políticas de exceções

centralizadas” na página 592.
Adição de uma nova política não compartilhada a partir de uma política

existente na página Clientes
É possível adicionar uma nova política não compartilhada a partir de uma política
existente na página Clientes.
Para criar uma política não compartilhada a partir de uma política existente na
página Clientes
2 Clique em Usar uma política compartilhada existente e clique em Avançar.
3 Na caixa de diálogo Adicionar política, selecione uma política existente na
lista suspensa Política.
4 Clique em OK.
Sobre a edição de políticas
Adição de uma nova política não compartilhada a partir de um arquivo

de políticas exportado anteriormente na página Clientes
É possível adicionar uma nova política não compartilhada a partir de um arquivo
de políticas exportado anteriormente na página Clientes.
Para criar uma nova política não compartilhada a partir de um arquivo de políticas
exportado anteriormente na página Clientes
2 Clique em Importar uma política de um arquivo de políticas e clique em
Avançar.
3 Na caixa de diálogo Importar política, procure até localizar o arquivo .dat
exportado anteriormente.
4 Clique em Importar.
Sobre a edição de políticas

Você pode editar políticas compartilhadas tanto na guia Políticas quanto na página
Políticas, bem como na página Clientes. Entretanto, você pode editar somente
políticas não compartilhadas na página Clientes.
Como editar uma política compartilhada na página

Políticas
Os locais e os grupos podem compartilhar a mesma política. Você deve atribuir
uma política compartilhada depois de editá-la.
Para editar uma política compartilhada na página Políticas
2 Na página Políticas, em Visualizar políticas, clique no tipo de política.
3 No painel Políticas tipo de política, clique na política específica que deseja
editar
4 Em Tarefas, selecione Editar a política.
Como editar uma política compartilhada ou não compartilhada na página Clientes.
5 No painel Visão geral da política tipo de política, edite o nome e a descrição

da política, se for necessário.
6 Para editar a política, clique em qualquer uma das páginas Política tipo de
política para as seguintes políticas:


na página 476.





Como editar uma política compartilhada ou não

compartilhada na página Clientes.
Você pode editar tanto políticas compartilhadas quanto não compartilhadas na
página Clientes.
Para editar uma política compartilhada ou não compartilhada na página Clientes
2 Na página Clientes, em Exibir clientes, selecione o grupo em qual deseja editar
uma política.

"nome do grupo".
não poderá editar uma política.
Atribuição de uma política compartilhada
4 Em Políticas e configurações específicas do local, encontre o nome do local

cuja política deseja editar.
5 Localize a política específica para o local que deseja editar.
6 À direita da política selecionada, clique em Tarefas e clique em Editar política.
■ Para editar uma política não compartilhada, vá para a etapa 8.
■ Para editar uma política compartilhada, na caixa de diálogo Editar política,
clique em Editar compartilhadas para editar a política em todos os locais.
8 Você pode clicar em um link para obter o tipo de política que deseja editar:


na página 476.





Atribuição de uma política compartilhada

Depois de criar uma política compartilhada na página Políticas, você deve atribui-la
a um ou mais grupos e locais. As políticas não atribuídas não são transferidas por
download aos computadores-cliente nos grupos e nos locais. Se você não atribuir
a política ao adicioná-la, poderá atribuir a política aos grupos e aos locais mais
tarde. Você também pode atribuir novamente uma política a um grupo ou local
diferente.
Como retirar uma política
Para atribuir uma política compartilhada

1 Adicione uma política compartilhada.
Consulte “Adicionar uma política compartilhada na página Políticas”
na página 363.
2 Na página Políticas, em Exibir Políticas, selecione o tipo de política que deseja
atribuir.
3 No painel Políticas tipo de política, selecione a política específica que deseja
atribuir
4 Na página Políticas, em Tarefas, clique em Atribuir a política.
5 Na caixa de diálogo Atribuir política tipo de política, marque os grupos e locais
aos quais deseja atribuir a política.
7 Clique em Sim para confirmar que deseja atribuir a política.
Como retirar uma política

Você pode desejar retirar uma política de um grupo ou local sob certas
circunstâncias. Por exemplo, um grupo específico pode ter enfrentado problemas
depois de você ter introduzido uma nova política. Se você remover uma política,
ela será automaticamente retirada dos grupos e locais aos quais você a atribuiu.
Entretanto, a política permanecerá no banco de dados.
É possível retirar todas as políticas na página Políticas, exceto as seguintes:
■ Antivírus e anti-spyware
■ LiveUpdate
Nota: Você deve retirar uma política de todos os grupos e locais para que seja
possível excluí-la. Não é possível retirar uma política antivírus e anti-spyware ou
uma política do LiveUpdate de um local ou de um grupo. Somente é possível
substituí-las por outra política antivírus e anti-spyware ou política do LiveUpdate.
Para retirar uma política compartilhada na página Políticas

2 Na página Políticas, em Visualizar políticas, clique no tipo de política que
deseja retirar.
3 No painel Políticas tipo de política, clique na política específica que você quer
retirar.
Exclusão de uma política
4 Na página Políticas, em Tarefas, clique em Retirar a política.

5 Na caixa de diálogo Retirar política, marque os grupos e locais dos quais deseja
retirar a política.
6 Clique em Retirar.
7 Quando solicitado a confirmar a retirada da política dos grupos e locais, clique
em Sim.
Para retirar uma política compartilhada ou não compartilhada na página Clientes
2 Na página Clientes, em Exibir clientes, selecione o grupo do qual você deseja
retirar uma política.
3 Na guia Políticas, desmarque Herdar políticas e configurações do grupo pai"
nome do grupo".
Você deve desativar a herança para este grupo. Se você não desmarcar a
herança, não será possível retirar uma política.
do qual você quer retirar uma política.
5 Localize a política para o local que você deseja retirar.
6 Clique em Tarefas e em Retirar política.
7 Na caixa de diálogo Retirar política, clique em Sim.

Talvez você precise excluir uma política aplicada aos grupos e locais. Por exemplo,
as diretrizes corporativas podem ter alterações que exijam a implementação de
políticas diferentes. Quando novos grupos corporativos forem adicionados, pode
ser necessário excluir grupos antigos e suas políticas associadas.
Você pode desejar excluir uma política compartilhada ou uma política não
compartilhada. À medida que novos grupos e locais forem adicionados, poderá
ser necessário excluir políticas antigas.
Para excluir uma política não compartilhada, você a retira e a exclui usando o
mesmo comando.
Nota: Você deve primeiro retirar uma política atribuída a um grupo ou a um local
para que seja possível excluir a política. Não é possível retirar uma política
antivírus e anti-spyware ou um política do LiveUpdate. Em vez disso, é necessário
primeiro substituí-la com outra política anti-spyware ou política do LiveUpdate.
Então, você pode excluir a política anti-spyware ou política do LiveUpdate original.
É necessário ter, pelo menos, uma política anti-spyware e uma política do
LiveUpdate para cada grupo e local.
Para excluir uma política compartilhada na página Políticas

deseja excluir.
Talvez a política tenha sido atribuída ou não a um ou mais grupos e a um ou
mais locais.
excluir.
4 Na página Políticas, em Tarefas, clique em Excluir a política.
5 Quando você é solicitado a confirmar que deseja excluir a política selecionada,
clique em Sim.
Para excluir uma política não compartilhada na página Clientes
2 Na página Clientes, em Exibir clientes, selecione o grupo do qual deseja excluir
uma política.
"nome do grupo".
Você deve desativar a herança para este grupo. Se não desmarcar herança,
você não poderá excluir uma política.
cuja a política deseja excluir.
5 Localize a política específica para o local que deseja excluir.
6 À direita da política selecionada, clique em Tarefas e clique em Retirar
política.
Ao retirar a política, você também a exclui. Não é possível excluir uma política
antivírus e anti-spyware ou um política do LiveUpdate de um local. Somente
é possível substituí-la com uma outra política.
7 Clique em Sim.
Exportação de uma política
Exportação de uma política

Você pode exportar políticas existentes para um arquivo .dat. Por exemplo, talvez
você queira exportar uma política para seu uso em um site diferente. No outro
site, você deve importar a política usando o arquivo .dat do site original. Todas as
configurações associadas à política são exportadas automaticamente.
Você pode exportar uma política compartilhada ou não compartilhada.
Para exportar uma política compartilhada na página Políticas
deseja exportar.
exportar.
4 Na página Políticas, em Tarefas, clique em Exportar a política.
5 Na caixa de diálogo Exportar política, localize a pasta para onde deseja
exportar o arquivo de políticas e clique em Exportar.
Para exportar uma política compartilhada ou não compartilhada na página Clientes.
exportar uma política.
"nome do grupo".
não poderá exportar uma política.
cuja política deseja exportar.
5 Localize a política específica para o local que deseja exportar.
6 À direita da política, clique em Tarefas e clique em Exportar política.
7 Na caixa de diálogo Exportar política, procure a pasta para a qual deseja
exportar a política.
8 Na caixa de diálogo Exportar política, clique em Exportar.
Importação de uma política
Importação de uma política

É possível importar um arquivo de políticas e aplicá-lo a um grupo ou somente a
um local. O formato do arquivo de importação é .dat.
É possível importar uma política compartilhada ou não compartilhada para um
local específico na página Clientes.
Consulte “Adição de uma nova política não compartilhada a partir de um arquivo
de políticas exportado anteriormente na página Clientes” na página 368.
Para importar uma política compartilhada na página Políticas
2 Na página Políticas, em Visualizar políticas, clique no tipo da política que
deseja importar.
importar.
4 Na página Políticas, em Tarefas, clique em Importar uma política tipo da
política.
5 Na caixa de diálogo Importar política, procure o arquivo da política que você
deseja importar e clique em Importar.
Sobre a cópia de políticas

Você pode copiar qualquer política antes de começar a personalizá-la. Depois de
copiar uma política, você deve colá-la.
Consulte “Como colar uma política” na página 377.
Cópia de uma política compartilhada na página

Política
É possível copiar uma política compartilhada na página Política.
Você pode também copiar uma política compartilhada na página Clientes.
Consulte “Cópia de uma política compartilhada ou não compartilhada na página
Clientes” na página 376.
Cópia de uma política compartilhada ou não compartilhada na página Clientes
Para copiar uma política compartilhada na página Política

2 Na página Políticas, em Visualizar políticas, clique no tipo da política que
deseja copiar.
copiar.
4 Na página Políticas, em Tarefas, clique em Copiar a política.
5 Na caixa de mensagem Copiar política, clique em Não mostrar esta mensagem
novamente.
Marque essa opção apenas se não desejar mais ser notificado sobre esse
processo. A mensagem informa que a política foi copiada para a área de
transferência e está pronta para ser colada.
6 Clique em OK.
Cópia de uma política compartilhada ou não

compartilhada na página Clientes
É possível copiar uma política compartilhada ou não compartilhada na página
Clientes. Entretanto, é necessário colar imediatamente a política na página Clientes.
É possível copiar políticas compartilhadas na página Política.
Consulte “Cópia de uma política compartilhada na página Política” na página 375.
Para copiar uma política compartilhada ou não compartilhada na página Clientes
2 Na página Clientes, em Exibir clientes, selecione o grupo no qual deseja copiar
uma política.
3 Na guia Políticas, em Políticas e configurações específicas do local, procure

o nome do local de onde você quer copiar uma política.
4 Localize a política específica do local que deseja copiar.
5 À direita da política, clique em Tarefas e clique em Copiar.
Como colar uma política
6 Na caixa de diálogo Copiar política, clique em Não mostrar esta mensagem

novamente.
Marque essa opção apenas se não desejar mais ser notificado sobre esse
processo. A mensagem informa que a política foi copiada para a área de
transferência e está pronta para ser colada.
7 Clique em OK.
Como colar uma política

Você deve copiar uma política para poder colá-la.
Para políticas compartilhadas, ao colar uma política, ela será exibida no painel
direito. As palavras “Copiar de” são adicionadas ao início do nome da política para
distingui-la como uma cópia. Você pode então editar o nome da política copiada.
Consulte “Sobre a cópia de políticas” na página 375.
Para colar uma política compartilhada na página Política
deseja colar.
3 No painel Políticas tipo de política, clique especificamente na política que
deseja colar.
4 Na página Políticas, em Tarefas, clique em Colar política.
Para colar uma política compartilhada ou não compartilhada na página Clientes
2 Na página Clientes, em Exibir clientes, selecione o grupo no qual deseja colar
uma política.
"nome do grupo".
não poderá colar uma política.
cuja a política deseja colar.
5 Localize a política específica para o local que deseja colar.
6 À direita da política, clique em Tarefas e clique em Colar.
7 Quando for solicitado a sobrescrever a política atual, clique em Sim.
Substituição de uma política
Substituição de uma política

Talvez você queira substituir uma política compartilhada por outra. É possível
substituir a política compartilhada em todos os locais ou em apenas um local.
Quando você substitui uma política para todos os locais, o servidor de
gerenciamento substitui somente a política para os locais que a têm. Por exemplo,
suponha que o grupo Vendas use a política de vendas para três de seus quatro
locais. Se você substitui a política de vendas pela política de mercado, simplesmente
aqueles três locais recebem a política de mercado.
Você pode querer que um grupo de clientes use as mesmas configurações,
independentemente do local. Neste caso, é possível substituir uma política não
compartilhada por uma política compartilhada. Você substitui uma política não
compartilhada por uma política compartilhada para cada local separadamente.
Para substituir uma política compartilhada para todos os locais
deseja substituir.
3 No painel Políticas tipo de política, clique na política.
4 Na página Políticas, em Tarefas, clique em Substituir a política.
5 Na caixa de diálogo Substituir política tipo de política, na lista suspensa Nova
política tipo de política, selecione a política compartilhada que substitui a
antiga.
6 Selecione os grupos e os locais onde você quer substituir a política existente.
7 Clique em Substituir.
8 Quando solicitado a confirmar a substituição da política para os grupos e
locais, clique em Sim.
Para substituir uma política compartilhada ou uma política não-compartilhada para
um local
2 Na página Clientes, em Exibir clientes, selecione o grupo no qual deseja
substituir a política.
"nome do grupo".
Você deve desativar a herança para este grupo. Se a opção Herança não for
desmarcada, não será possível substituir a política.
Conversão de uma política compartilhada em uma política não compartilhada
4 Sob Políticas e configurações específicas do local, role para encontrar o local

que contém a política.
5 Ao lado da política que você quer substituir, clique em Tarefas e em Substituir
a política.
6 Na caixa de diálogo Substituir a política, na lista suspensa Nova política,
selecione a política de substituição.
7 Clique em OK.
Conversão de uma política compartilhada em uma

política não compartilhada
Talvez você queira converter uma política compartilhada existente em uma política
não compartilhada porque ela não se aplica mais a todos os grupos ou locais.
Quando você terminar a conversão, a política convertida com seu novo nome
aparecerá em Políticas e configurações específicas do local.
Para converter uma política compartilhada em uma política não compartilhada
converter uma política.
3 No painel associado ao grupo selecionado na etapa anterior, clique em
Políticas.
"nome do grupo".
Se você não desmarcar herança, não poderá exportar nenhuma política.
cuja a política você quer converter.
6 Localize a política específica para o local que deseja converter.
7 Clique em Tarefas e depois em Converter para política não-compartilhada.
8 Na caixa de diálogo Visão geral, edite o nome e a descrição da política.
9 Clique em OK.
Conversão de uma cópia de uma política compartilhada para uma política não-compartilhada
Conversão de uma cópia de uma política

compartilhada para uma política não-compartilhada
Você pode copiar o conteúdo de uma política compartilhada e criar uma política
não-compartilhada desse conteúdo. Uma cópia permite mudar o conteúdo de uma
política compartilhada em um local e não em todos os outros locais. A cópia
substitui a política não-compartilhada existente.
Para converter uma cópia de uma política compartilhada para uma política
não-compartilhada
2 Na página Clientes, em Exibir clientes, selecione o grupo no qual deseja
substituir a política.
"nome do grupo".
Você deve desativar a herança para este grupo. Se a opção Herança não for
desmarcada, não será possível substituir a política.
4 Sob Políticas e configurações específicas do local, role para encontrar o local
que contém a política.
5 Ao lado da política que você quer substituir, clique em Tarefas e em Editar
política.
6 Na caixa de diálogo Editar a política, clique em Criar política
não-compartilhada da cópia.
7 Edite a política.
Capítulo 27
Envio e obtenção de
políticas entre servidores
de gerenciamento, clientes
e Enforcers opcionais
■ Sobre o modo pull e o modo push
■ Especificação do modo push ou pull
Sobre o modo pull e o modo push

Você pode configurar o cliente no modo push ou no modo pull. Em ambos os modos,
o cliente executa a ação correspondente baseada na alteração feita no status do
servidor de gerenciamento. Devido à conexão constante, o modo push requer uma
ampla largura de banda da rede. A maior parte do tempo você deve configurar os
clientes no modo pull.
modo pull O cliente se conecta ao gerenciador periodicamente, dependendo do

parâmetro de freqüência da pulsação. O cliente verifica o status do
servidor de gerenciamento quando o cliente se conecta.
modo push O cliente estabelece uma conexão HTTP permanente com o servidor
de gerenciamento. Sempre que ocorrer uma alteração no status do
servidor de gerenciamento, o cliente será notificado imediatamente.
382 Envio e obtenção de políticas entre servidores de gerenciamento, clientes e Enforcers opcionais
Especificação do modo push ou pull
Sobre a pulsação
Uma pulsação é a freqüência na qual os computadores-cliente fazem o upload dos
dados e o download das políticas. Uma pulsação é um protocolo que cada cliente
usa para se comunicar com o Symantec Endpoint Protection Manager. A freqüência
de pulsação é um fator essencial para o número de clientes que cada Symantec
Endpoint Protection Manager pode suportar. A Symantec Corporation recomenda
o seguinte para grandes implementações. Em implementações de 1.000 locais ou
mais, deve-se definir a freqüência de pulsação para a duração máxima que atenda
aos requisitos de segurança da empresa.
Por exemplo, se você quiser atualizar as políticas de segurança e reunir os registros
diariamente, defina a freqüência de pulsação para 24 horas. Essa configuração
permite que cada cliente se comunique com o Symantec Endpoint Protection
Manager logo depois que você reiniciar o Symantec Endpoint Protection Manager.
A primeira vez que a pulsação ocorre depende da freqüência de pulsação definida.
A primeira ocorrência da pulsação é calculada da seguinte forma:
freqüência de pulsação x 0,05 (5%)
Quando você define uma freqüência de pulsação para 30 minutos, a primeira
pulsação ocorre em 90 segundos. Esse intervalo é calculado como 5% da
configuração de pulsação. Se você definir uma freqüência de pulsação de 30
minutos ou menos, limitará o número total de clientes que o Symantec Endpoint
Protection Manager pode suportar. Em implementações maiores (mil locais ou
mais) pode ser necessário definir uma freqüência de pulsação alta em cada
Symantec Endpoint Protection Manager. Nesse caso, consulte os serviços
profissionais da Symantec ou o suporte corporativo Symantec para avaliar a
configuração, os componentes de hardware e a arquitetura de rede apropriados,
necessários para seu ambiente de rede.

Você pode especificar se o servidor de gerenciamento deve enviar a política aos
clientes ou se os clientes devem receber a política do servidor de gerenciamento.
O modo push remota é o padrão. Se você selecionar o modo pull, será necessário
também definir a freqüência com que cada cliente se conecta ao servidor de
gerenciamento. Você pode definir o modo push ou pull para grupos ou locais.
Para especificar o modo push ou pull para um grupo
deseja especificar se vai enviar ou receber políticas.
3 Na página Clientes, clique na guia Políticas.
Envio e obtenção de políticas entre servidores de gerenciamento, clientes e Enforcers opcionais 383

"nome do grupo".
5 No painel Políticas e configurações independentes do local, em Configurações,
clique em Configurações de comunicações.
6 Na caixa de diálogo Configurações de comunicações para nome do grupo, em
Download, verifique se Fazer o download de políticas e de conteúdo do
servidor de gerenciamento está marcado.
■ Clique em Modo push.
■ Clique em Modo pull e, em Intervalo de pulsação, defina o número de
minutos ou horas.
8 Clique em OK.
Para especificar o modo push ou pull em um local
deseja especificar se vai enviar ou receber políticas.
3 Na página Clientes, clique na guia Políticas.
4 Na guia Políticas, desmarque Herdar políticas e configuração do grupo pai
“Global”.
5 Em Políticas e configurações específicas do local, em Políticas específicas de
local do local que você quer modificar, expanda Configurações específicas
de local.
6 Em Configurações específicas de local, à direita de Configurações de
comunicações, clique em Tarefas > Editar configurações, desmarque Usar
as configurações de comunicações do grupo.
7 À direita de Configurações de comunicações, clique em Local - Push ou (Local
- Pull).
■ Clique em Modo push.
■ Clique em Modo pull e, em Intervalo de pulsação, defina o número de
minutos ou horas.
9 Clique em OK.
384 Envio e obtenção de políticas entre servidores de gerenciamento, clientes e Enforcers opcionais
Capítulo 28
Configuração de aplicativos
reconhecidos
■ Sobre os aplicativos conhecidos
■ Ativação de aplicativos reconhecidos
■ Como procurar aplicativos
Sobre os aplicativos conhecidos

O cliente monitora e coleta informações sobre os aplicativos e serviços executados
em cada computador. Você pode configurar o cliente para coletar as informações
em uma lista e enviar a lista para o servidor de gerenciamento. A lista de aplicativos
e de suas características é chamada de aplicativos conhecidos.
Você pode usar essas informações para descobrir quais aplicativos seus usuários
estão executando. Você também poderá usá-las quando quiser informações sobre
aplicativos nas seguintes áreas:
■ Políticas de firewall
■ Políticas de controle de dispositivos e aplicativos
■ Políticas de integridade do host
■ Monitoramento de aplicativos de rede
■ Listas de impressão digital de arquivos
O console inclui uma ferramenta de consulta para que você pesquise uma lista de
aplicativos. Você pode pesquisar critérios com base no aplicativo ou no computador.
386 Configuração de aplicativos reconhecidos
Ativação de aplicativos reconhecidos
Por exemplo, você pode descobrir a versão do Internet Explorer que cada
computador-cliente usa.
Nota: Em alguns países, pode não ser permitido pelas leis locais usar a ferramenta
de aplicativos conhecidos em determinadas circunstâncias, como para obter
informações de uso do aplicativo a partir de um laptop quando o funcionário se
registrar na rede do seu escritório a partir de sua residência usando um laptop.
Antes de usar essa ferramenta, confirme se o uso é permitido para os seus fins na
sua jurisdição. Se não for permitido, siga as instruções para desativar a ferramenta.
Nota: O cliente não grava informações sobre os aplicativos que os clientes do

Symantec Network Access Control executam. O recurso de aplicativos conhecidos
não está disponível no console se você instalar somente o Symantec Network
Access Control. Se você integrar o Symantec Network Access Control com o
Symantec Endpoint Protection, poderá usar a ferramenta de aplicativos conhecidos
com as políticas de integridade do host. É necessário instalar o módulo de proteção
contra ameaças à rede e o módulo de controle de dispositivos e aplicativos no
cliente para que esse recurso funcione.

Você pode ativar aplicativos reconhecidos para sites inteiros, grupos em um site
ou locais em um grupo. O recurso de aplicativos reconhecidos é ativado por padrão
para o site, grupo e local. Você ativa primeiro os aplicativos reconhecidos para
cada site e, em seguida, você ativa opcionalmente os aplicativos reconhecidos para
grupos e locais específicos.
Para ativar aplicativos reconhecidos, você deve realizar as seguintes tarefas:
■ Ativar aplicativos reconhecidos para o site.
Você deve ativar a ferramenta dos aplicativos reconhecidos para que um site
use essa ferramenta para um grupo ou local específico.
■ Ativar os clientes para enviar aplicativos reconhecidos ao servidor de
gerenciamento por grupo ou local.
Você também pode configurar uma notificação para ser enviada a seu endereço
de e-mail quando cada cliente em um grupo ou local executar um aplicativo.
Você pode definir aplicativos reconhecidos para os servidores de gerenciamento
em um site local ou remoto.
Configuração de aplicativos reconhecidos 387
Para ativar aplicativos reconhecidos para um site

1 No console, clique em Admin e, em seguida, em Servidores.
2 Em Exibir servidores, execute uma das seguintes ações:
■ Clique em Site local (site nome do site).
■ Expanda Sites remotos, e clique em (site nome do site).

4 Na caixa de diálogo Propriedades do site para nome do site, na guia Geral,
marque Realizar rastreamento de cada aplicativo que o cliente executar.
5 Clique em OK.
Após ativar um site para coletar as listas de aplicativos reconhecidos de clientes,
ative os clientes para enviar as listas ao servidor por grupo ou local.
Nota: É possível modificar essa configuração somente para os subgrupos que não
herdaram as políticas e configurações de um grupo pai.
Para enviar a lista de aplicativos reconhecidos ao servidor de gerenciamento

2 Em Exibir clientes, selecione um grupo.
3 Na guia Políticas, clique em Configurações de comunicações.
4 Na caixa de diálogo Configurações de comunicações de nome do grupo,
certifique-se de que Reconhecer aplicativos executados nos
computadores-cliente está marcado.
5 Clique em OK.
Para enviar aplicativos reconhecidos ao servidor de gerenciamento para um local
2 Em Exibir clientes, selecione um grupo.
3 Em Políticas e configurações específicas do local, selecione o local e expanda
Configurações específicas de local.
4 À direita de Configurações de comunicações, clique em Tarefas e, então,
desmarque Usar as configurações de comunicações do grupo.
A seleção dessa configuração permite criar uma configuração do local em vez
de uma configuração do grupo.
5 Clique em Tarefas e, em seguida, em Editar configurações.
Como procurar aplicativos
6 Na caixa de diálogo Configurações de comunicações de nome do local, marque

Reconhecer aplicativos executados nos computadores-cliente.
7 Clique em OK.

Depois que o servidor de gerenciamento receber a lista de aplicativos dos clientes,
é possível consultar os detalhes sobre os aplicativos. Por exemplo, você pode
encontrar todos os computadores-cliente que usam um aplicativo não autorizado.
Em seguida, você pode criar uma regra de firewall para bloquear o aplicativo no
computador-cliente. Ou você pode fazer o upgrade de todos os
computadores-cliente para usar a versão mais recente do Microsoft Word.
É possível procurar um aplicativo das seguintes maneiras:
■ Por aplicativo.
Você pode limitar a pesquisa para aplicativos específicos ou detalhes do
aplicativo como nome, impressão digital do arquivo, caminho, tamanho, versão
ou última hora modificada.
■ Por cliente ou computador-cliente.
Você pode procurar aplicativos que um usuário específico ou um
computador-cliente específico executa. Por exemplo, você pode procurar no
endereço IP do computador.
Você pode também procurar nomes de aplicativos para adicionar a uma regra de
firewall, diretamente na política de firewall.
Consulte “Adição de aplicativos a uma regra” na página 526.
As informações sobre os clientes que você pode escolher no Campo de pesquisa
serão coletadas dos clientes quando você adicionar o cliente.
Consulte “Exibição das propriedades de um cliente” na página 76.
Para procurar aplicativos
2 Na página Políticas, em Tarefas, clique em Procurar aplicativos.
3 Na caixa de diálogo Procurar aplicativos, à direita de Procurar aplicativos,
clique em Procurar.
4 Na caixa de diálogo Selecionar grupo ou local, selecione um grupo de clientes
para exibir os aplicativos correspondentes e, em seguida, clique em OK.
Você só pode especificar um grupo de cada vez.
5 Verifique se a opção Pesquisar subgrupos está selecionada.
Configuração de aplicativos reconhecidos 389
6 Execute uma das ações a seguir:

■ Para procurar informações por usuário ou computador, clique em Com
base em informações do cliente/computador.
■ Para procurar por aplicativo, clique em Com base em aplicativos.
7 Clique na célula vazia em Campo de pesquisa e selecione o critério de busca

da lista.
A célula de Campo de pesquisa exibe os critérios para a opção que você
selecionou. Para obter detalhes sobre esses critérios, clique em Ajuda.
8 Clique na célula vazia em Operador de comparação e depois selecione um dos
operadores.
9 Clique na célula vazia em Valor e selecione ou digite um valor.
A célula Valor pode fornecer um formato ou um valor da lista suspensa,
dependendo do critério selecionado na célula Campo de pesquisa.
10 Para acrescentar critérios adicionais de pesquisa, clique na segunda linha e,
em seguida, insira as informações nas células Campo de pesquisa, Operador
de comparação e Valor.
Se você inserir mais de uma linha de critério de pesquisa, a consulta tentará
corresponder todas as condições.
11 Clique em Pesquisar.
12 Na tabela Resultados da consulta, execute uma das seguintes tarefas:
■ Clique nas setas de rolagem para exibir linhas e colunas adicionais.
■ Clique em Voltar e Avançar para visualizar as telas adicionais de
informação.
■ Selecione uma linha e, em seguida, clique em Exibir detalhes para
visualizar as informações adicionais sobre o aplicativo.
Os resultados não são salvos a menos que você os exporte para um arquivo.
13 Para remover os resultados da consulta, clique em Limpar tudo.
14 Clique em Fechar.
Como salvar os resultados de uma pesquisa de aplicativo

Depois de realizar a consulta, você pode salvar os resultados em um arquivo de
texto ou em um arquivo delimitado por vírgulas. A ferramenta de consulta exporta
todos os resultados da consulta, em vez de uma linha selecionada.
Para salvar os resultados de pesquisa de um aplicativo

1 Procure os detalhes de um aplicativo ou computador-cliente.
Consulte “Como procurar aplicativos” na página 388.
2 Na caixa de diálogo Procurar aplicativos, em Resultados da consulta, clique
em Exportar.
3 Na caixa de diálogo Exportar resultados, digite o número para a página que
contém os detalhes do aplicativo e os detalhes do computador-cliente que
você quer exportar.
4 Selecione ou digite o nome do caminho e do arquivo em que você deseja
exportar o arquivo e clique em Exportar.
5 Para confirmar, clique em OK.
6 Quando concluir a pesquisa de aplicativos, clique em Fechar.
Seção 4
Configuração da proteção
antivírus e anti-spyware
■ Configurações básicas da política antivírus e anti-spyware
■ Configuração do Auto-Protect
■ Uso das verificações definidas pelo administrador

392
Capítulo 29
Configurações básicas da
política antivírus e
anti-spyware
■ Princípios básicos da proteção antivírus e anti-spyware
■ Sobre como trabalhar com políticas antivírus e anti-spyware
■ Sobre vírus e riscos à segurança
■ Sobre a verificação
■ Sobre as ações para vírus e riscos à segurança detectados nas verificações
■ Configuração de parâmetros de manuseio de registros em uma política antivírus

e anti-spyware
■ Sobre a interação do cliente com as opções de antivírus e anti-spyware
■ Alteração da senha necessária para verificar unidades de rede mapeadas
■ Especificação de como a Central de Segurança do Windows interage com o

cliente Symantec Endpoint Protection
■ Exibição de um aviso quando as definições estiverem desatualizadas ou ausentes
■ Especificação de um URL para ser exibido nas notificações de erro do antivírus

e anti-spyware
■ Especificação de um URL para uma página inicial do navegador
■ Configuração de opções aplicáveis a verificações antivírus e anti-spyware

394 Configurações básicas da política antivírus e anti-spyware
Princípios básicos da proteção antivírus e anti-spyware
■ Envio de informações sobre verificações à Symantec
■ Gerenciamento de arquivos em quarentena
Princípios básicos da proteção antivírus e

anti-spyware
É possível fornecer proteção antivírus e anti-spyware para computadores em sua
rede de segurança por meio das seguintes ações:
■ Criar um plano para responder a vírus e riscos à segurança.
■ Visualizar o status de sua rede na página Início do console.
■ Executar os comandos a partir do console para ativar o Auto-Protect, iniciar
uma verificação sob demanda ou atualizar as definições.
■ Usar as políticas antivírus e anti-spyware para modificar as configurações de
verificação e do Auto-Protect nos computadores-cliente.
Sobre a criação de um plano para responder aos vírus e riscos à

segurança
Uma resposta eficiente a uma epidemia de vírus e riscos à segurança exige um
plano que permita responder de modo rápido e eficiente. Você deve criar um plano
de ação contra epidemias e definir ações para tratar arquivos suspeitos.
A Tabela 29-1 descreve as tarefas de criação de um plano de ação contra epidemias
de vírus e riscos à segurança.
Configurações básicas da política antivírus e anti-spyware 395
Tabela 29-1 Uma amostra de plano
Tarefa Descrição
Verificar se os arquivos de Verifique se os computadores infectados têm os arquivos

definições de vírus estão de definições mais recentes. Você pode executar
atualizados. relatórios para verificar se os computadores-cliente
possuem as definições mais recentes.
Para atualizar as definições, execute qualquer uma das
seguintes ações:
■ Aplique uma política do LiveUpdate.

Consulte “Configuração de políticas do LiveUpdate”
na página 106.
■ Execute o comando Atualizar conteúdo para um
grupo ou para os computadores selecionados que
estão relacionados na guia Clientes.
■ Execute o comando Atualizar conteúdo nos
computadores selecionados que estão relacionados
em um registro de riscos ou de status do computador.
Mapear a topologia da sua rede. Prepare um mapa da topologia da rede para isolar e
limpar os computadores sistematicamente, por
segmentos, antes de reconectá-los à rede local.
Seu mapa deve conter as seguintes informações:
■ Nomes e endereços do computador-cliente

■ Protocolos de rede
■ Recursos compartilhados
Entender as soluções de Você deve entender a topologia da sua rede e a

segurança. implementação do cliente em sua rede. Você também
deve entender a implementação de todos os outros
produtos de segurança usados em sua rede.
Considere as perguntas a seguir:
■ Quais programas de segurança protegem servidores

da rede e estações de trabalho?
■ Qual é a agenda de atualização das definições?
■ Quais são os métodos alternativos para a obtenção
de atualizações se os canais normais forem atacados?
■ Quais arquivos de registro estão disponíveis para
rastrear vírus em sua rede?
Tarefa Descrição
Ter um plano de backup. No caso de uma infecção catastrófica, talvez seja preciso
restaurar os computadores-cliente. Certifique-se de que
você tenha um plano de backup em vigor para restaurar
computadores essenciais.
Isolar os computadores afetados. Ameaças combinadas, como worms, podem ser

transmitidas por recursos compartilhados sem interação
com o usuário. Quando você responde a uma infecção
de worm de computador, pode ser fundamental isolar
os computadores infectados, desconectando-os da rede.
Identificar o risco. Os relatórios e registros do console de gerenciamento

são boas fontes de informações sobre riscos em sua rede.
Você pode usar a enciclopédia de vírus do Symantec
Security Response para saber mais sobre um risco
específico identificado em relatórios ou registros. Em
alguns casos, pode-se encontrar instruções adicionais
para tratar do risco.
Responda a riscos desconhecidos. Você deve procurar informações atualizadas no website

do Symantec Security Response quando as seguintes
situações ocorrerem:
■ Você não consegue identificar um arquivo suspeito

examinando os registros e relatórios.
■ Os arquivos de definições de vírus mais recentes não
limpam o arquivo suspeito.
No website podem ser encontradas informações recentes

sobre o arquivo suspeito. Verifique as últimas ameaças
de vírus e informes sobre segurança.
Onde obter mais informações

Você pode pesquisar a Base de Conhecimento da Symantec on-line para obter mais
informações. A Base de Conhecimento contém as informações detalhadas que não
estavam disponíveis na época da publicação deste guia.
Você também pode consultar a página da Web do Symantec Security Response
para obter informações atualizadas sobre vírus e riscos à segurança.
http://www.symantec.com/pt/br/enterprise/security_response/
Sobre a exibição do status antivírus e anti-spyware de sua rede

É possível ver rapidamente o status de sua rede de segurança na página inícial do
console. Um resumo do status mostra quantos computadores em sua rede de
segurança desativaram a proteção antivírus e anti-spyware. Um resumo de ações
mostra as ações executadas pelo cliente nos riscos à segurança e vírus detectados.
A página Início também inclui a distribuição das definições de vírus na rede.
Também é possível executar relatórios e exibir registros.
Consulte “Sobre o uso de monitores e relatórios para ajudar a proteger a rede”
na página 229.
Sobre a execução de comandos da proteção antivírus e anti-spyware

Você pode executar comandos rapidamente a partir da página Clientes no console
ou usando os registros de status do computador da página Monitores.
Sobre a ativação manual do Auto-Protect

Por padrão, a política antivírus e anti-spyware ativa o Auto-Protect. Se os usuários
em computadores-cliente desativarem o Auto-Protect, você pode rapidamente
reativá-lo no console.
É possível selecionar os computadores para os quais deseja ativar o Auto-Protect
no console na página Clientes. Você também pode ativar o Auto-Protect a partir
de um registro gerado na página Monitores.
Consulte “Ativação do Auto-Protect do sistema de arquivos” na página 442.
Sobre a execução das verificações sob demanda

Você pode incluir as verificações agendadas como parte das políticas antivírus e
anti-spyware. Entretanto, pode ser necessário executar verificações manuais nos
É possível selecionar computadores nos quais você deseja executar verificações
sob demanda do console na página Clientes. Você também pode executar uma
verificação sob demanda a partir de um registro gerado na página Monitores.
É possível executar uma verificação ativa, completa ou personalizada. Caso escolha
executar uma verificação personalizada, o cliente usará as configurações para
verificações sob demanda configuradas na política antivírus e anti-spyware.
Consulte “Execução de verificações sob demanda” na página 465.
Sobre as políticas antivírus e anti-spyware

Uma política antivírus e anti-spyware inclui os seguintes tipos de opções:
■ Verificações do Auto-Protect
■ Verificações definidas pelo administrador (verificações sob demanda e
agendadas)
■ Opções de quarentena
■ Opções de envios
■ Parâmetros diversos
Ao instalar o Symantec Endpoint Protection, uma política antivírus e anti-spyware
padrão será exibida na lista de políticas do console. Você pode modificar uma das
políticas pré-configuradas ou você pode criar políticas novas.
Nota: As políticas antivírus e anti-spyware incluem a configuração para verificações

proativas de ameaças TruScan.
Consulte “Sobre a verificação” na página 405.
Sobre as políticas antivírus e anti-spyware pré-configuradas

As seguintes políticas antivírus e anti-spyware pré-configuradas estão disponíveis:
■ Política antivírus e anti-spyware
■ Política antivírus e anti-spyware - alto desempenho
■ Política antivírus e anti-spyware - alta segurança
A política de alta segurança é a mais estrita de todas as políticas antivírus e
anti-spyware pré-configuradas. Você deve estar ciente de que ela pode afetar o
desempenho de outros aplicativos.
A política de alto desempenho fornece melhor desempenho do que a política de
alta segurança, mas não fornece as mesmas proteções. Ela depende basicamente
do Auto-Protect do sistema de arquivos para verificar arquivos com extensões de
arquivo selecionadas para detectar ameaças.
A política antivírus e anti-spyware padrão contém as seguintes configurações
importantes:
■ O Auto-Protect do sistema de arquivos é carregado na inicialização do
computador e é ativado para todos os arquivos.
■ Auto-Protect para e-mail da Internet, Microsoft Outlook e Lotus Notes estão

ativados para todos os arquivos.
■ A verificação da rede do Auto-Protect do sistema de arquivos está ativada.
■ As verificações proativa de ameaças TruScan estão ativadas e são executadas
uma vez a cada hora.
■ O ActiveScan não é executado automaticamente quando as definições novas
chegam.
■ Uma verificação agendada é executada uma vez por semana, com ajuste da
verificação configurado como Melhor desempenho de aplicativos.
A política de alto desempenho contém as seguintes configurações importantes:
■ O Auto-Protect do sistema de arquivos é carregado quando o Symantec
Endpoint Protection inicia e é ativado para arquivos com extensões
selecionadas.
■ A verificação da rede do Auto-Protect do sistema de arquivos está desativada.
desativados.
■ As verificações proativas de ameaças estão ativadas e executam uma vez a
cada 6 horas.
■ O ActiveScan não é executado automaticamente quando as definições novas
chegam.
■ Uma verificação agendada é executada uma vez por mês, com ajuste da
verificação configurado como Melhor desempenho de aplicativos.
A política de alta segurança contém as seguintes configurações importantes:
■ O Auto-Protect do sistema de arquivos é carregado na inicialização do
computador e é ativado para todos os arquivos.
ativados para todos os arquivos.
■ A verificação da rede do Auto-Protect do sistema de arquivos está ativada.
■ As verificações proativas de ameaças estão ativadas e são executadas uma vez
a cada hora, assim como sempre que um processo novo é iniciado.
■ O ActiveScan é executado automaticamente quando as definições novas
chegam.
■ Uma verificação agendada é executada uma vez por semana, com ajuste da
verificação configurado como Equilibrado.
Sobre o bloqueio das configurações nas políticas antivírus e

anti-spyware
Você pode bloquear algumas configurações em uma política antivírus e
anti-spyware. Quando você bloqueia as configurações, os usuários não podem
alterá-las nos computadores-cliente que usam a política.
Sobre as políticas antivírus e anti-spyware para clientes

legados
Se o ambiente contém várias versões de sistemas legados, a política antivírus e
anti-spyware talvez contenha configurações que não podem ser aplicadas. Você
talvez precise configurar e gerenciar Políticas antivírus e anti-spyware separadas
em clientes legados.
Sobre as configurações padrão para controlar arquivos

suspeitos
Ao usar a política antivírus e anti-spyware padrão, o cliente do Symantec Endpoint
Protection executará as seguintes ações quando ele identifica um arquivo que ele
suspeita de ter um vírus infectado:
■ O cliente tenta reparar o arquivo.
■ Se o arquivo não for reparado pelo conjunto atual de definições, o cliente
moverá o arquivo infectado para a quarentena local. Além disso, o cliente
registra o evento do risco. O cliente encaminha os dados ao servidor de
gerenciamento. É possível exibir os dados do registro a partir do console.
É possível realizar as ações adicionais relacionadas abaixo para complementar a
sua estratégia de controle de vírus:
■ Configure o recurso de relatórios para que você seja notificado quando um
vírus for encontrado.
Consulte “Uso de notificações” na página 221.
■ Defina diferentes ações de reparo com base no tipo de vírus. Por exemplo,
configure o cliente para corrigir vírus de macro automaticamente. Então
configure uma ação diferente para que o cliente realize quando ele detectar
um arquivo de programa.
■ Atribua uma ação de backup para os arquivos que o cliente não reparar.
■ Configure a quarentena local para encaminhar os arquivos infectados para o
servidor da quarentena central. Você pode configurar a quarentena central
para que tente reparar. Quando a quarentena central tenta reparar, ela usa
Sobre como trabalhar com políticas antivírus e anti-spyware
seu conjunto de definições de vírus. As definições da quarentena central podem

estar mais atualizadas que as definições no computador local. Você também
pode encaminhar automaticamente amostras de arquivos infectados para o
Symantec Security Response analisar.
Para obter mais informações, consulte o Guia do Administrador do Symantec
Central Quarantine.
Sobre o uso de políticas para gerenciar itens em quarentena

Quando o cliente detecta um vírus conhecido, ele coloca o arquivo na quarentena
local do computador-cliente. O cliente também pode colocar em quarentena os
itens que as verificações proativas de ameaças detectarem. Configure as definições
de quarentena como parte de uma política antivírus e anti-spyware que aplica aos
clientes.
Você pode especificar o seguinte:
■ Um caminho no diretório de quarentena local
■ Se os clientes submetem manualmente itens em quarentena ao Symantec
Security Response
■ Se os clientes submetem automaticamente itens em quarentena a um servidor
da quarentena central
■ Como a quarentena local lida com a correção ao receber novas definições de
vírus
Consulte “Gerenciamento de arquivos em quarentena” na página 434.
Também é possível excluir itens em quarentena nos computadores-cliente a partir
do registro de riscos no console.
Consulte “Sobre o uso de monitores e relatórios para ajudar a proteger a rede”
na página 229.
Sobre como trabalhar com políticas antivírus e

anti-spyware
Você cria e edita políticas antivírus e anti-spyware de modo semelhante ao usado
para criar e modificar outros tipos de políticas. Você pode atribuir, retirar,
substituir, copiar, exportar, importar ou excluir uma política antivírus e
anti-spyware.
Você geralmente atribui uma política a vários grupos em sua rede de segurança.
Você poderá criar uma política não compartilhada e específica para um local se
tiver requisitos específicos para um local em particular.
Sobre vírus e riscos à segurança
Os procedimentos neste capítulo pressupõem que você esteja familiarizado com

os aspectos básicos da configuração da política.
Consulte “Sobre o trabalho com políticas” na página 362.

Uma política antivírus e anti-spyware verifica vírus e riscos à segurança; são
exemplos de riscos à segurança: spyware, adware e outros arquivos que podem
colocar um computador ou uma rede em risco. As verificações antivírus e
anti-spyware detectam rootkits em nível de kernel. Os rootkits são programas que
tentam se esconder do sistema operacional de um computador e que podem ser
usados com objetivos maliciosos.
A política antivírus e anti-spyware padrão executa as seguintes ações:
■ Detecta, remove e repara os efeitos colaterais de vírus, worms, Cavalos de Tróia
e ameaças combinadas.
■ Detecta, remove e repara os efeitos colaterais de riscos à segurança como
adware, discadores, ferramentas para hacker, programas de brincadeiras,
programas de acesso remoto, spyware, trackware e outros.
A Tabela 29-2 descreve os tipos de riscos que são verificados pelo software-cliente.
Tabela 29-2 Vírus e riscos à segurança
Risco Descrição
Vírus Programas ou códigos que anexam cópias de

si mesmos a outros programas ou
documentos ao serem executados. Quando
o programa infectado é executado, o
programa de vírus anexado é ativado e
anexa-se a outros programas e documentos.
Quando o usuário abre um documento
contendo um vírus de macro, o programa de
vírus anexado é ativado e anexa-se a outros
programas e documentos.
Em geral, os vírus realizam determinadas

atividades, como a exibição de uma
mensagem em uma data específica. Alguns
vírus danificam especificamente dados. Esses
vírus podem corromper programas, excluir
arquivos ou reformartar discos.
Risco Descrição
Bots da Internet maliciosos Programas que executam tarefas

automatizadas pela Internet com objetivos
maliciosos.
Os bots podem ser usados para automatizar
ataques em computadores ou para coletar
informações em websites.
Worms Programas que se duplicam sem infectar

outros programas. Alguns worms se
espalham copiando a si mesmos de um disco
para outro, enquanto outros se duplicam
apenas na memória a fim de desacelerar o
computador.
Cavalos de Tróia Programas maliciosos que se ocultam em

algo benigno, como um jogo ou um utilitário.
Ameaças combinadas Ameaças que combinam as características

de vírus, worms, Cavalos de Tróia e códigos
a vulnerabilidades do servidor e da Internet
para iniciar, transmitir e disseminar ataques.
As ameaças combinadas usam diversos
métodos e técnicas para se disseminar
rapidamente, causando danos generalizados
em toda a rede.
Adware Programas independentes ou anexados que

coletam secretamente informações pessoais
através da Internet e as enviam a outro
computador. O adware pode acompanhar os
hábitos do usuário ao navegar na Internet
para fins de publicidade. O adware também
pode exibir conteúdo publicitário.
O download do adware pode ser feito

inadvertidamente a partir de websites
(geralmente de shareware ou freeware) ou
recebido em mensagens de e-mail ou
programas de mensagens instantâneas.
Muitas vezes, o usuário faz download de
adware inadvertidamente ao aceitar
contratos de licença de usuário final de
programas de software.
Risco Descrição
Discadores Programas que usam um computador, sem

a permissão ou o conhecimento do usuário,
para discar para um número 900 ou site FTP
pela Internet. Em geral, esses números são
discados para incorrer em custos.
Ferramentas para hackers Programas usados por um hacker para obter

acesso não autorizado ao computador de um
usuário. Um exemplo de ferramenta para
hackers é o keylogger, que rastreia e registra
cada tecla pressionada e envia essas
informações para o hacker. Assim, o hacker
será capaz de verificar as portas ou as
vulnerabilidades dos computadores alheios.
As ferramentas para hackers também podem
ser usadas para criar vírus.
Programas de brincadeiras Programas que alteram ou interrompem a

operação de um computador a fim de
perturbar ou assustar o usuário. Por
exemplo, o download desse tipo de programa
pode ser feito de um website, uma mensagem
de e-mail ou um programa de mensagens
instantâneas. Ele pode afastar a Lixeira do
mouse quando o usuário tenta excluí-lo ou
provocar efeito inverso no clique do mouse.
Outros Outros riscos à segurança que não se

enquadram exatamente nas definições de
vírus, Cavalos de Tróia, worms ou outras
categorias de risco à segurança.
Programas de acesso remoto Programas que permitem o acesso à Internet

através de outro computador, visando obter
informações, atacar ou alterar o computador
de um usuário. Por exemplo, um usuário
pode instalar um programa ou outro
processo pode instalar um programa sem o
conhecimento do usuário. O programa pode
ser usado com objetivos maliciosos, com ou
sem a modificação do programa de acesso
remoto original.
Sobre a verificação
Risco Descrição
Spyware Programas independentes que podem

monitorar secretamente a atividade do
sistema, detectar senhas e outras
informações confidenciais e enviá-las a outro
computador.
O download do spyware pode ser feito

inadvertidamente de websites (geralmente
de shareware ou freeware) ou recebido em
mensagens de e-mail ou programas de
mensagens instantâneas. Muitas vezes, o
usuário faz download de spyware
inadvertidamente ao aceitar contratos de
licença de usuário final de programas de
software.
Trackware Aplicativos independentes ou

complementares capazes de rastrear as
atividades de um usuário na Internet e enviar
informações ao sistema de destino. Por
exemplo, o download de um aplicativo pode
ser feito de um website, uma mensagem de
e-mail ou um programa de mensagens
instantâneas. Em seguida, ele coleta
informações confidenciais relacionadas ao
comportamento do usuário.
O Auto-Protect verifica vírus, Cavalos de Tróia, worms e riscos à segurança por

padrão.
Alguns riscos, como o Back Orifice, foram detectados como vírus em versões
iniciais do software-cliente. Eles ainda são detectados como vírus, de forma que
o software-cliente continue a oferecer proteção aos computadores legados.
Você pode incluir os seguintes tipos de verificação na política antivírus e
anti-spyware:
■ Verificações antivírus e anti-spyware
■ Verificações do Auto-Protect
■ Verificações definidas pelo administrador

Todas as verificações antivírus e anti-spyware, por padrão, detectam vírus e riscos

à segurança, como adware e spyware; as verificações colocam os vírus e riscos à
segurança em quarentena e, em seguida, removem ou reparam seus efeitos
colaterais. As verificações do Auto-Protect e as verificações definidas pelo
administrador detectam vírus e riscos à segurança conhecidos. As verificações
proativas de ameaças detectam vírus e riscos à segurança conhecidos por meio
da verificação de comportamento potencialmente malicioso.
Nota: Em algumas situações, é possível que você instale inadvertidamente um

aplicativo que inclua um risco à segurança como adware ou spyware. Se a Symantec
determinar que o bloqueio do risco não é nocivo para o computador, o
software-cliente bloqueará o risco. Se houver possibilidade de o bloqueio deixar
o computador em um estado instável, o cliente aguardará até que a instalação do
aplicativo seja concluída antes de movê-lo para a quarentena. Em seguida, ele
repara os efeitos colaterais do risco.
Sobre as verificações do Auto-Protect

As verificações do Auto-Protect incluem os seguintes tipos de verificação:
■ Verificações do Auto-Protect do sistema de arquivos
■ Verificações do Auto-Protect em anexos de e-mail do Lotus Notes e Outlook
(MAPI e Internet)
■ Verificações do Auto-Protect em mensagens e anexos de e-mail da Internet
que utilizam protocolos de comunicação POP3 ou SMTP. A verificação do
Auto-Protect em e-mail da Internet pode incluir também a verificação heurística
de e-mail enviado.
Nota: Por motivo de desempenho, não há suporte para o Auto-Protect para e-mail
de Internet para POP3 em sistemas operacionais de servidor. Em um servidor do
Microsoft Exchange, você não deve instalar o Auto-Protect do Microsoft Outlook.
O Auto-Protect verifica continuamente a existência de vírus e riscos à segurança

(como spyware e adware) em dados de e-mails e arquivos à medida que são lidos
ou gravados em um computador.
Você pode configurar o Auto-Protect para que ele verifique somente as extensões
de arquivo selecionadas. Quando ele verificar as extensões selecionadas, o
Auto-Protect poderá determinar um tipo de arquivo mesmo se um vírus alterar
sua extensão.
Ao configurar o Auto-Protect, você poderá bloquear opções do Auto-Protect em

clientes para aplicar uma política de segurança da empresa referente a vírus e
riscos à segurança. Os usuários não podem alterar as opções bloqueadas.
O Auto-Protect está ativado por padrão. Você pode exibir o status do Auto-Protect
no console, na guia Clientes, ou gerando os relatórios e os registros que mostram
o status do computador. Você também pode exibir o status Auto-Protect
diretamente no cliente.
A verificação do Auto-Protect verifica os anexos de e-mail dos seguintes aplicativos:
■ Lotus Notes 4.5x, 4.6, 5.0 e 6.x
■ Microsoft Outlook 98/2000/2002/2003/2007 (MAPI e Internet)
Se você usar o Microsoft Outlook com MAPI ou o cliente Microsoft Exchange e o
Auto-Protect estiver ativado para e-mail, os anexos serão imediatamente
descarregados no computador que estiver executando o cliente de e-mail. Além
disso, os anexos serão verificados quando o usuário abrir a mensagem. Se você
descarregar um anexo grande através de uma conexão lenta, o desempenho do
e-mail poderá ser afetado. Recomenda-se desativar este recurso para os usuários
que recebem anexos grandes regularmente.
Nota: Se o Lotus Notes ou o Microsoft Outlook já estiver instalado no computador

quando você realizar uma instalação de software-cliente, o software-cliente irá
detectar o aplicativo de e-mail. O cliente então instalará o plug-in correto do
Auto-Protect. Os dois plug-ins serão instalados se você optar por uma instalação
completa ao instalar manualmente.
Mesmo que o seu sistema de e-mail não esteja entre os formatos de dados
suportados, você pode proteger a sua rede ativando o Auto-Protect para o sistema
de arquivos. Se um usuário receber uma mensagem com um anexo infectado em
um sistema de e-mail Novell GroupWise, o Auto-Protect poderá detectar o vírus
quando abrir o anexo. Isso acontece porque a maioria dos programas de e-mail
salvam os anexos em um diretório temporário quando os usuários abrem os anexos
do programa de e-mail. Se você ativar o Auto-Protect no seu sistema de arquivos,
ele detectará o vírus quando ele for gravado no diretório temporário. O
Auto-Protect também detectará o vírus se o usuário tentar salvar o anexo infectado
em uma unidade local ou unidade da rede.
Sobre a detecção do Auto-Protect dos processos que

continuamente fazem download do mesmo risco à segurança
O Auto-Protect poderá exibir uma notificação e registrar a detecção se detectar
um processo que continuamente faz downloads de riscos à segurança para o
computador-cliente. (O Auto-Protect deve estar configurado para enviar

notificações.) Se o processo continuar a fazer download do mesmo risco à
segurança, várias notificações serão exibidas no computador do usuário e o
Auto-Protect registrará vários eventos. Para evitar várias notificações e eventos
registrados, o Auto-Protect pára automaticamente de enviar notificações sobre o
risco à segurança após três detecções. O Auto-Protect também pára de registrar
o evento após três detecções.
Em algumas situações, o Auto-Protect não pára de enviar notificações e de registrar
eventos em relação ao risco à segurança.
O Auto-Protect continuará a enviar notificações e a registrar eventos quando
quaisquer destas situações for verdadeira:
■ Você ou os usuários dos computadores-cliente desativarem o bloqueio da
instalação de riscos à segurança (a configuração padrão é ativada).
■ A ação para o tipo de risco à segurança para o download feito pelo processo é
Ignorar.
Sobre a exclusão automática dos arquivos e das pastas

O software-cliente detecta automaticamente a presença de determinados
aplicativos de terceiros e produtos Symantec. Depois de detectá-los, ele cria
exclusões para arquivos e pastas. O cliente exclui estes arquivos e pastas de todas
as verificações de antivírus e anti-spyware.
O software-cliente cria automaticamente exclusões para os seguintes itens:
■ Microsoft Exchange
■ Controlador de domínios do Active Directory
■ Determinados produtos Symantec
Nota: Para visualizar as exclusões criadas pelo cliente em computadores de 32

bits, você pode examinar os conteúdos de
HKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint
Protection\AV\Exclusions registry. Não edite esse registro diretamente. Em
computadores de 64 bits, procure em
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Symantec\Symantec Endpoint
Protection\AV\Exclusions.
O cliente não exclui as verificações das pastas temporárias do sistema porque

assim a segurança do computador pode ficar muito vulnerável.
É possível configurar todas as exclusões adicionais usando exceções centralizadas.
Para obter informações sobre como usar exceções centralizadas, consulte

“Configuração de políticas de exceções centralizadas” na página 594.
Sobre a exclusão automática dos arquivos e das pastas para servidor

Microsoft Exchange
Se os servidores Microsoft Exchange estiverem instalados no computador em que
você instalou o cliente do Symantec Endpoint Protection, o software-cliente
detectará automaticamente a presença do Exchange. Quando o software-cliente
detecta um servidor Microsoft Exchange, ele cria as exclusões de arquivos e pastas
apropriadas para o Auto-Protect do sistema de arquivos e todas as outras
verificações. Os servidores Microsoft Exchange podem conter servidores em
cluster. O software-cliente verifica alterações no local dos arquivos e pastas
apropriados do Microsoft Exchange em intervalos regulares. Se o Microsoft
Exchange for instalado em um computador onde o software-cliente já está
instalado, as exclusões serão criadas quando o cliente verificar alterações. O cliente
exclui tanto os arquivos quanto as pastas; se um único arquivo for movido de uma
pasta excluída, o arquivo permanecerá excluído.
O software-cliente cria exclusões de verificação de arquivos e pastas para as
seguintes versões do servidor Microsoft Exchange:
■ Exchange 5.5
■ Exchange 6.0
■ Exchange 2000
■ Exchange 2003
■ Exchange 2007
■ Exchange 2007 SP1.
Para o Exchange 2007, consulte a documentação do usuário para obter informações
sobre compatibilidade com o software antivírus. Em algumas circunstâncias,
talvez seja preciso criar exclusões da verificação para algumas pastas do Exchange
2007 manualmente. Por exemplo, em um ambiente em cluster, talvez seja preciso
criar algumas exclusões.
Para obter mais informações, consulte "Preventing Symantec Endpoint Protection
11.0 from scanning the Microsoft Exchange 2007 directory structure" (Como evitar
que o Symantec Endpoint Protection 11.0 verifique a estrutura de diretórios do
Microsoft Exchange 2007) na Base de Conhecimento da Symantec no seguinte
URL:
http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2007072619121148
Sobre a exclusão automática dos arquivos e das pastas de produtos

Symantec
O cliente cria exclusões de verificação adequadas de arquivos e pastas para
determinados produtos Symantec quando eles são detectados.
O cliente cria exclusões para os seguintes produtos Symantec:
■ Symantec Mail Security 4.0, 4.5, 4.6, 5.0 e 6.0 para Microsoft Exchange
■ Symantec AntiVirus/Filtering 3.0 para Microsoft Exchange
■ Norton AntiVirus 2.x para Microsoft Exchange
■ Banco de dados e registros integrados do Symantec Endpoint Protection
Manager
Sobre a exclusão automática dos arquivos e das pastas Active Directory

O software-cliente cria exclusões de arquivos e pastas para o banco de dados, os
registros e os arquivos de trabalho do controlador de domínios do Active Directory.
O cliente monitora os aplicativos que são instalados no computador-cliente. Se o
software detecta o Active Directory no computador-cliente, ele cria
automaticamente as exclusões.
Se os aplicativos de e-mail do cliente usam uma única caixa

de entrada
Os aplicativos que armazenam todos os e-mails em um único arquivo incluem
Outlook Express, Eudora, Mozilla e Netscape. Se os computadores-cliente usam
aplicativos de e-mail com uma caixa de entrada única, você deve criar uma exceção
centralizada para excluir o arquivo de caixa de entrada. A exceção se aplica a todas
as verificações antivírus e anti-spyware e também às do Auto-Protect.
O cliente do Symantec Endpoint Protection coloca toda a caixa de entrada em
quarentena, e os usuários não poderão acessar seus e-mails se as seguintes
afirmativas forem verdadeiras:
■ O cliente detecta um vírus na caixa de entrada durante uma verificação sob
demanda ou agendada.
■ A ação configurada para o vírus é a Quarentena.
A Symantec geralmente não recomenda que arquivos sejam excluídos das
verificações. Ao excluir o arquivo da caixa de entrada das verificações, a caixa de
entrada não poderá ser colocada em quarentena; porém, se o cliente detectar um
vírus quando uma mensagem de e-mail for aberta, poderá colocá-la em quarentena
ou excluí-la com segurança.
Sobre as verificações definidas pelo administrador

As verificações definidas pelo administrador são verificações de antivírus e
anti-spyware que detectam vírus e riscos à segurança conhecidos. Para uma
proteção mais completa, você deve agendar verificações ocasionais para os
computadores-cliente. Diferentemente do Auto-Protect, que verifica arquivos e
e-mails enquanto são lidos para e no computador, as verificações definidas pelo
administrador detectam vírus e riscos à segurança. As verificações definidas pelo
administrador detectam vírus e riscos à segurança examinando todos os arquivos
e processos (ou um subconjunto de arquivos e processos). As verificações definidas
pelo administrador também podem verificar a memória e os pontos de
carregamento.
Configure as verificações definidas pelo administrador como parte de uma política
antivírus e anti-spyware.
As verificações definidas pelo administrador abrangem os seguintes tipos de
verificação:
■ Verificações agendadas
■ Verificações sob demanda
Talvez você deseje criar uma verificação agendada completa para ser executada
uma ver por semana e uma verificação ativa para ser executada uma vez por dia.
O cliente do Symantec Endpoint Protection gera, por padrão, uma verificação
ativa para ser executada na inicialização dos computadores-cliente.
Sobre as verificações agendadas

Você pode agendar verificações para executar em determinados horários. Os
usuários também podem agendar verificações para seus computadores de
computadores-cliente, mas não podem alterar ou desativar as verificações
agendadas por você para os computadores deles. O software-cliente executa uma
verificação agendada de cada vez. Se houver mais de uma verificação agendada
para o mesmo horário, elas serão executadas em seqüência.
As verificações agendadas têm configurações semelhantes às configurações da
verificação do Auto-Protect, mas são configuradas separadamente. As exceções
centralizadas configuradas se aplicam a todos os tipos de verificações antivírus
e anti-spyware.
Se um computador estiver desligado na hora agendada, a verificação só será
executada se o computador estiver configurado para executar eventos perdidos
de verificação.
As verificações agendadas procuram vírus e riscos à segurança, como spyware e
adware, nos arquivos.
A Tabela 29-3 descreve os tipos de verificações agendadas.
Tabela 29-3 Tipos de verificações agendadas
Tipo Descrição
Verificação ativa Verifica rapidamente a memória do sistema e todos os

locais comuns de vírus e riscos à segurança no
computador. A verificação inclui todos os processos que
são executados na memória, em arquivos importantes do
registro e em arquivos como config.sys e windows.ini. Ela
inclui também algumas pastas importantes do sistema
operacional.
Verificação completa Verifica vírus e riscos à segurança em todo o computador,

inclusive o setor de inicialização e a memória do sistema.
Verificação personalizada Verifica vírus e riscos à segurança nos arquivos e nas

pastas que você selecionar.
Sobre as verificações sob demanda

Você pode executar um verificação sob demanda do console para examinar pastas
e arquivos selecionados em computadores-cliente selecionados. As verificações
sob demanda fornecem resultados imediatos se realizadas em uma área da rede
ou em um disco rígido local. Você pode executar essas verificações na guia Cliente
no console. Você também pode executar essas verificações na guia Monitores no
console.
Consulte “Execução de verificações sob demanda” na página 465.
A verificação sob demanda padrão verifica todos os arquivos e pastas. Você pode
alterar as configurações para as verificações sob demanda em uma política
antivírus e anti-spyware. Na política, especifique as extensões dos arquivos e as
pastas que deseja verificar. Ao executar uma verificação sob demanda da página
Monitores, a verificação executará no cliente com base nas configurações definidas
na política.
Consulte “Configuração das opções de verificação sob demanda” na página 464.
Sobre as verificações proativas de ameaças TruScan

As verificações proativas de ameaças TruScan usam heurísticas para verificar o
comportamento similar a um comportamento de vírus e risco à segurança.
Diferente das verificações antivírus e anti-spyware, que detectam vírus e riscos
à segurança conhecidos, as verificações proativas de ameaças detectam vírus e

riscos à segurança desconhecidos.
Nota: como a verificação proativa de ameaças examina processos ativos em

computadores-cliente, a verificação pode afetar o desempenho do sistema.
O software-cliente executa as verificações proativas de ameaças por padrão. É

possível ativar ou desativar essa verificação em uma Política antivírus e
anti-spyware. Os usuários de computadores-cliente podem ativar ou desativar
esse tipo de verificação se você não bloquear a configuração.
Embora você inclua as configurações para as verificações proativas de ameaças
em uma Política antivírus e anti-spyware, as definições de verificação são
configuradas de modo diferente das verificações antivírus e anti-spyware.
Sobre a verificação após a atualização dos arquivos de definições

Se o Auto-Protect estiver ativo, o software-cliente iniciará imediatamente a
verificação usando os arquivos de definições atualizados.
Quando os arquivos de definições estão atualizados, o software-cliente tenta
reparar os arquivos armazenados na Quarentena e verifica os processos ativos.
Na verificação proativa de ameaças, as detecções ficam em quarentena e os
arquivos são verificados para ver se agora são considerados um vírus ou um risco
à segurança. O cliente verifica itens em quarentena pelas verificações proativas
de ameaças de modo semelhante a como verifica itens colocados em quarentena
por outros tipos de verificações. Para as detecções em quarentena, o
software-cliente finaliza a correção e limpa os efeitos colaterais. Se a detecção
proativa de ameaças agora faz parte da Whitelist da Symantec, o software-cliente
restaura e remove a detecção da quarentena; porém, o processo não é reiniciado.
Sobre a verificação de extensões selecionadas ou pastas

Para cada tipo de verificação antivírus, anti-spyware e do Auto-Protect, é possível
selecionar arquivos para incluir pela extensão. Para verificações definidas pelo
administrador, também é possível selecionar arquivos para incluir por pasta. Por
exemplo, pode-se especificar que uma verificação programada verifique apenas
determinadas extensões e que o Auto-Protect verifique todas as extensões.
Ao selecionar extensões de arquivos ou pastas para verificações, será possível
selecionar várias extensões ou as pastas que deseja verificar. Todas as extensões
ou pastas que não forem selecionadas serão excluídas da verificação.
Na caixa de diálogo Extensões de arquivos, é possível adicionar extensões para

todos os programas comuns e todos os documentos comuns rapidamente. Você
também pode adicionar suas próprias extensões. Ao adicionar sua própria extensão,
especifique uma extensão com até quatro caracteres.
Na caixa de diálogo Editar pastas, selecione as pastas do Windows em vez de
caminhos de pastas absolutos. Os computadores-cliente em sua rede de segurança
podem usar caminhos diferentes para essas pastas. É possível selecionar qualquer
uma das seguintes pastas:
■ COMMON_APPDATA
■ COMMON_DESKTOPDIRECTORY
■ COMMON_DOCUMENTS
■ COMMON_PROGRAMS
■ COMMON_STARTUP
■ PROGRAM_FILES
■ PROGRAM_FILES_COMMON
■ SYSTEM
■ WINDOWS
Ao verificar extensões de arquivos ou pastas selecionadas, é possível melhorar o
desempenho da verificação. Por exemplo, se você copiar uma pasta grande que
não está na lista de pastas selecionadas, o processo de cópia será mais rápido, pois
o conteúdo da pasta terá sido excluído da verificação.
Pode-se excluir arquivos da verificação por extensão ou por tipo de diretório. Você
pode excluir arquivos configurando uma política de exceções centralizadas que
contenha as exclusões. Ao especificar exclusões em uma política, as exclusões são
aplicadas sempre que uma verificação antivírus e anti-spyware é realizada em
clientes com essa política.
Quando você verificar extensões selecionadas, o software-cliente não lerá o
cabeçalho do arquivo para determinar o tipo de arquivo. Quando você verificar
extensões selecionadas, o cliente verificará somente os arquivos com as extensões
que você especificar.
Aviso: Como o software-cliente exclui arquivos e pastas de verificações, ele não

protege arquivos e pastas excluídos contra vírus e riscos à segurança.
A Tabela 29-4 descreve as extensões recomendadas para verificação.

Tabela 29-4 Extensões de arquivo recomendadas para verificação
Extensão de arquivo Descrição
386 Driver
ACM Driver; gerenciador de compactação de áudio
ACV Driver; gerenciador de compactação ou descompactação

de áudio
ADT Arquivo ADT; fax
AX Arquivo AX
BAT Lote
BTM Lote
BIN Binário
CLA Classe Java
COM Executável
CPL Painel de controle do miniaplicativo para Microsoft

Windows
CSC Corel Script
DLL Biblioteca de vínculo dinâmico
DOC Microsoft Word
DOT Microsoft Word
DRV Driver
EXE Executável
HLP Arquivo da Ajuda
HTA Aplicativo HTML
HTM HTML
HTML HTML
HTT HTML
INF Script de instalação
INI Arquivo de inicialização

JPEG Arquivo gráfico
JPG Arquivo gráfico
JS JavaScript
JSE JavaScript codificado
JTD Ichitaro
MDB Microsoft Access
MP? Microsoft Project
MSO Microsoft Office 2000
OBD Microsoft Office binder
OBT Microsoft Office binder
OCX Controle personalizado vinculado e incorporado a objetos

da Microsoft
OV? Sobreposição
PIF Arquivo de informações do programa
PL Código-fonte do programa PERL (UNIX)
PM Gráficos de bitmaps do Presentation Manager
POT Microsoft PowerPoint
PPT Microsoft PowerPoint
PPS Microsoft PowerPoint
RTF Documento no formato Rich Text
SCR Fax, protetor de tela, instantâneo ou script do Faxview ou

Microsoft Windows
SH Script do Shell (UNIX)
SHB Arquivo em segundo plano do Corel Show
SHS Arquivo de recorte do Shell
SMM Lotus AmiPro
SYS Driver de dispositivo

VBE VESA BIOS (funções fundamentais)
VBS VBScript
VSD Microsoft Office Visio
VSS Microsoft Office Visio
VST Microsoft Office Visio
VXD Driver de dispositivo virtual
WSF Arquivo de script do Windows
WSH Arquivo de configurações de host de scripts do Windows
XL? Microsoft Excel
Sobre a exclusão de arquivos e pastas indicados

Podem ocorrer certos riscos à segurança que a política de segurança de sua empresa
permita que sejam mantidos nos computadores. É possível configurar o cliente
para excluir esses riscos de todas as verificações antivírus e anti-spyware.
Você pode excluir arquivos e pastas indicados das verificações do Auto-Protect e
das definidas pelo administrador. Por exemplo, você pode excluir o caminho
C:\Temp\Install ou pastas que contenham um risco à segurança permitido. Convém
excluir os arquivos que provocam alertas de falso positivo. Por exemplo, se foi
usado outro programa de verificação de vírus para limpar um arquivo infectado,
o programa pode não remover completamente o código do vírus. O arquivo pode
não causar danos, mas o código do vírus desativado pode fazer com que o
software-cliente registre um falso positivo. Consulte o Suporte Técnico da
Symantec se não tiver certeza de que o arquivo esteja infectado.
Ao criar uma exclusão, ele se aplica a todos os tipos de verificações antivírus e
anti-spyware que você executar. Você cria uma exclusão como parte de uma
exceção centralizada.
Sobre as ações para vírus e riscos à segurança detectados nas verificações
Sobre as ações para vírus e riscos à segurança

detectados nas verificações
Muitas das opções disponíveis para diferentes tipos de verificação são as mesmas.
Ao configurar verificações sob demanda, agendadas ou do Auto-Protect, você
poderá atribuir a primeira e a segunda ações a serem executadas quando o
software-cliente encontrar vírus e riscos à segurança.
Você pode atribuir a primeira e a segunda ações individuais a serem executadas
quando o cliente detectar os seguintes tipos de riscos:
■ Vírus de macro
■ Vírus não-macro
■ Todos os riscos à segurança (adware, spyware, programas de brincadeiras,
discadores, ferramentas para hackers, programas de acesso remoto, trackware
e outros)
■ Categorias individuais de riscos à segurança, como spyware
■ Ações personalizadas para determinada instância de um risco à segurança
O cliente do Symantec Endpoint Protection, por padrão, tenta primeiro limpar
um arquivo que esteja infectado por um vírus.
Se o software-cliente não puder limpar o arquivo, ele executará estas ações:
■ Move o arquivo para a quarentena no computador infectado
■ Nega o acesso ao arquivo
■ Registra o evento
O cliente, por padrão, move qualquer arquivo infectado por riscos à segurança
para a quarentena no computador infectado. O cliente também tenta remover ou
reparar os efeitos colaterais do risco. A quarentena, por padrão, contém um registro
de todas as ações executadas pelo cliente. Se necessário, o computador pode
retornar ao estado que existia antes de o cliente tentar a remoção e o reparo.
Se não for possível colocar o risco à segurança em quarentena e repará-lo, a
segunda ação será registrar o risco.
Para detecções de verificações proativas de ameaças TruScan, as ações são
determinadas em função de você usar os padrões gerenciados pela Symantec ou
de optar por definir as ações. Configure as ações para verificações proativas de
ameaças em uma parte separada da política antivírus e anti-spyware.
Consulte “Especificação de ações e níveis de sensibilidade para detecção de Cavalos
de Tróia, worms e keyloggers” na página 546.
Configuração de parâmetros de manuseio de registros em uma política antivírus e anti-spyware
Configuração de parâmetros de manuseio de registros

em uma política antivírus e anti-spyware
Você pode incluir parâmetros de manuseio de registros na política antivírus e
anti-spyware. Clientes, por padrão, sempre enviam determinados tipos de eventos
para o servidor de gerenciamento (como Verificação interrompida ou Verificação
iniciada). Você pode optar por enviar ou não outros tipos de eventos (como Arquivo
não verificado).
Os eventos enviados por clientes para o servidor de gerenciamento afetam as
informações em relatórios e registros. Você deve decidir que tipo de informações
deseja encaminhar para o servidor de gerenciamento. Você pode reduzir o tamanho
dos registros e a quantidade de informações incluídas em relatórios, caso selecione
apenas determinados tipos de eventos.
Você também pode configurar por quanto tempo o cliente irá manter os itens de
registro. Essa opção não afeta nenhum evento que os clientes enviam para o
console de gerenciamento. Você pode usar a opção para reduzir o tamanho atual
do registro nos computadores-cliente.
Clique em Ajuda para obter mais informações sobre as opções usadas nesse
procedimento.
Para configurar os parâmetros de manuseio de registros em uma política antivírus
e anti-spyware
1 Na página Política antivírus e anti-spyware, clique em Miscelânea.
2 Na guia Manuseio de registros, em Filtro de eventos de registro de antivírus
e anti-spyware, selecione os eventos que deseja encaminhar para o servidor
de gerenciamento.
3 Em Retenção de registros, selecione a freqüência com que o cliente exclui as
linhas de registro.
4 Em Registrar a inclusão do evento, selecione a freqüência com que eventos
agregados são enviados para o servidor.
Sobre a interação do cliente com as opções de

Você pode configurar os parâmetros específicos na política que controla a
experiência do usuário cliente.
Você pode executar qualquer uma das seguintes ações:
Alteração da senha necessária para verificar unidades de rede mapeadas
■ Configurar opções de andamento da verificação para verificações agendadas.

■ Definir opções de verificação para clientes.
■ Alterar a senha necessária para verificar unidades mapeadas.
■ Especificar o modo como a Central de Segurança do Windows interage com o
cliente do Symantec Endpoint Security.
■ Exibir um aviso quando as definições estiverem desatualizadas ou ausentes.
■ Especificar um URL para ser exibido em notificações de erro de antivírus e
anti-spyware.
■ Especificar um URL para redirecionar um navegador da Internet se um risco
à segurança tentar alterar o URL.
Você pode exibir e personalizar mensagens de aviso em computadores infectados.
Por exemplo, se um usuário tiver um programa de spyware instalado no
computador, você poderá notificá-lo de que violou a política corporativa. Você
pode incluir uma mensagem na notificação, informando que o usuário deve
desinstalar o aplicativo imediatamente.
Nota: Também é possível bloquear as configurações da política, para que as

usuários não possam alterar as configurações.
Alteração da senha necessária para verificar unidades

de rede mapeadas
O Symantec Endpoint Protection requer que os usuários de computadores-cliente
informem uma senha para poder verificar uma unidade de rede mapeada. Por
padrão, essa senha é definida como symantec.
Nota: Se o usuário verificar unidades de rede, a verificação poderá afetar o

desempenho do computador-cliente.
Clique em Ajuda para obter mais informações sobre as opções utilizadas no

procedimento.
Para alterar a senha necessária para verificar unidades mapeadas
2 Na guia Miscelânea, em Verificar a unidade de rede, marque Solicitar senha
antes de verificar uma unidade de rede mapeada.
3 Clique em Alterar senha.
Especificação de como a Central de Segurança do Windows interage com o cliente Symantec Endpoint Protection
4 Na caixa de diálogo Configurar senha, digite uma nova senha e confirme

digitando a senha novamente.
5 Clique em OK.
6 Se você tiver concluído a configuração dessa política, clique em OK.
Especificação de como a Central de Segurança do

Windows interage com o cliente Symantec Endpoint
Protection
Se você usa a Central de Segurança do Windows no Windows XP Service Pack 2
ou Windows Vista, poderá usar a Política antivírus e anti-spyware para definir as
seguintes opções em computadores-cliente:
■ O período após o qual a Central de Segurança do Windows considera os arquivos
de definições desatualizados.
■ Se a Central de Segurança do Windows deve exibir alertas de antivírus para
os produtos da Symantec no computador host.
Nota: O status do produto da Symantec está sempre disponível no console de

gerenciamento, independentemente de a Central de Segurança do Windows estar
ativada ou desativada.
Configuração do cliente do Symantec Endpoint Protection para

desativar a Central de Segurança do Windows
Você pode configurar as circunstâncias nas quais o software-cliente desativa a
Central de Segurança do Windows.
Para configurar o Symantec Endpoint Protection para desativar a Central de
Segurança do Windows
2 Clique na guia Miscelânea.
Especificação de como a Central de Segurança do Windows interage com o cliente Symantec Endpoint Protection
3 Em Central de Segurança do Windows, na lista suspensa Desativar a Central

de Segurança do Windows, selecione uma das seguintes opções:
Nunca Nunca desative a Central de Segurança do Windows.
Uma vez Desative a Central de Segurança do Windows somente uma vez.

Se um usuário reativá-la, o software-cliente não a desativará
novamente.
Sempre Sempre desative a Central de Segurança do Windows. Se um

usuário reativá-la, o software-cliente a desativará de novo
imediatamente.
Restaurar Ative novamente a Central de Segurança do Windows somente

se o Symantec Endpoint Protection a desativar.
4 Clique em OK.
Configuração de alertas do Symantec Endpoint Protection para exibição

no computador host
Você pode configurar a Central de Segurança do Windows para exibir alertas do
cliente do Symantec Endpoint Protection.
Para configurar alertas para serem exibidos no computador host
3 Em Central de Segurança do Windows, no menu suspenso Exibir alertas do
antivírus na Central de Segurança do Windows, selecione uma das seguintes
opções:
Desativar A Central de Segurança do Windows não exibe

esses alertas na área da notificação do Windows.
Ativar A Central de Segurança do Windows exibe esses

alertas na área da notificação do Windows.
Usar configuração atual A Central de Segurança do Windows usa a

configuração existente para exibir esses alertas.
4 Clique em OK.
Exibição de um aviso quando as definições estiverem desatualizadas ou ausentes
Configuração do tempo de desatualização de definições

Por padrão, a Central de Segurança do Windows considera as definições da
Symantec desatualizadas após 30 dias. Você pode alterar o número de dias durante
os quais as definições podem ficar desatualizadas durante a instalação do Windows
Installer. Você também pode alterar a configuração na Política antivírus e
anti-spyware.
Em computadores-cliente, o cliente do Symantec Endpoint Protection verifica, a
cada 15 minutos, para comparar o tempo de desatualização, a data das definições
e a data atual. Em geral, nenhum status de desatualização é relatado à Central de
Segurança, pois as definições costumam ser atualizadas automaticamente. Se
você atualizar as definições manualmente, talvez precise aguardar até 15 minutos
para exibir um status exato na Central de Segurança do Windows.
Para configurar o tempo de desatualização das definições
3 Em Central de Segurança do Windows, em Exibir mensagem da Central de
Segurança do Windows quando as definições estiverem desatualizadas, digite
o número de dias. Você também pode usar a seta para cima ou para baixo para
selecionar o número de dias durante os quais as definições de vírus e riscos
à segurança podem ficar desatualizadas.
O valor deve estar na faixa de 1 a 30.
4 Se você concluiu a configuração desta política, clique em OK.
Exibição de um aviso quando as definições estiverem

desatualizadas ou ausentes
Você pode exibir e personalizar as mensagens de aviso que serão exibidas nos
computadores-cliente quando as definições de vírus e riscos à segurança estiverem
desatualizadas ou ausentes. Você pode querer alertar os usuários se não tiver
agendado atualizações automáticas. Também é possível que você queira alertar
os usuários caso permita que eles desativem o LiveUpdate.
Para exibir um aviso sobre as definições
2 Na guia Notificações, vá para Ações e selecione uma ou ambas as opções a
seguir:
■ Exibir mensagem quando as definições estiverem desatualizadas
Especificação de um URL para ser exibido nas notificações de erro do antivírus e anti-spyware
■ Exibir mensagem quando o Symantec Endpoint Protection for executado

sem definições de vírus
3 No caso de definições de vírus e de riscos à segurança desatualizados, defina

o número de dias durante os quais as definições de vírus poderão permanecer
desatualizadas antes da exibição do aviso.
4 No caso de definições de vírus e riscos à segurança ausentes, defina o número
de tentativas de correção que o Symantec Endpoint Protection deve fazer
antes da exibição do aviso.
5 Clique em Aviso para cada opção marcada e, em seguida, personalize a
mensagem padrão.
6 Na caixa de diálogo de aviso, clique em OK.
Especificação de um URL para ser exibido nas

notificações de erro do antivírus e anti-spyware
Em alguns casos raros, os usuários podem ver erros exibidos em
computadores-cliente. Por exemplo, o computador-cliente pode deparar-se com
buffer excedido ou problemas de descompactação durante as verificações.
Você pode especificar um URL que conduza ao website de suporte da Symantec
ou a um URL personalizado. Por exemplo, você pode ter um website interno que
deseje especificar.
Nota: O URL também é exibido no registro de eventos do sistema para o

computador-cliente no qual o erro ocorreu.
Para especificar um URL para ser exibido nas notificações de erro do antivírus e
anti-spyware
2 Na guia Notificações, marque Exibir mensagens de erro com um URL para
obter uma solução.
3 Selecione uma das opções a seguir:
■ Exibir o URL de um artigo do Symantec Technical Support Knowledge
Base
■ Exibir um URL personalizado
Especificação de um URL para uma página inicial do navegador
4 Clique em Personalizar a mensagem de erro se desejar personalizar a

mensagem.
5 Digite o texto personalizado que deseja incluir e clique em OK.
Especificação de um URL para uma página inicial do

navegador
Você pode especificar um URL para usar como página inicial quando o cliente do
Symantec Endpoint Protection reparar um risco à segurança que tenha desviado
uma página inicial do navegador.
Para especificar um URL para uma página inicial do navegador
2 Na guia Miscelânea, em Proteção do navegador da Internet, digite o URL.
Configuração de opções aplicáveis a verificações

Algumas opções de verificação são comuns a todas as verificações antivírus e
anti-spyware. Verificações antivírus e anti-spyware incluem verificações do
Auto-Protect e verificações definidas pelo administrador.
A política inclui as seguintes opções:
■ Configurar verificações de extensões de arquivos ou pastas selecionadas
■ Configurar exceções centralizadas de riscos à segurança
■ Configurar ações para detecções de vírus e riscos à segurança conhecidos
■ Gerenciar mensagens de notificação em computadores infectados
■ Personalizar e exibir notificações em computadores infectados
■ Adicionar avisos a mensagens de e-mail infectadas
■ Notificar remetentes de mensagens de e-mail infectadas
■ Notificar usuários de mensagens de e-mail infectadas
Informações sobre ações e notificações de verificações proativas de ameaças estão
incluídas em uma seção separada.
Configuração de opções aplicáveis a verificações antivírus e anti-spyware
Consulte “Configuração de notificações para verificações proativas de ameaças

TruScan” na página 549.
Configuração de verificações de extensões de arquivos selecionadas

O Symantec Endpoint Protection pode concluir verificações em menos tempo se
verificar apenas os arquivos com extensões selecionadas. Verificações que analisam
apenas extensões selecionadas oferecem menos proteção ao computador; no
entanto, quando você verifica apenas extensões selecionadas, é possível selecionar
os tipos de arquivos que normalmente são atacados por vírus. Ao verificar
extensões selecionadas, você pode fazer verificações mais eficientes e usar menos
os recursos do computador.
Você pode configurar as extensões a verificar para equilibrar os seguintes
requisitos:
■ A quantidade de proteção que sua rede requer.
■ O tempo e os recursos necessários para oferecer a proteção.
Por exemplo, talvez você queira verificar somente os arquivos com extensões que
provavelmente contenham vírus ou outro risco. Ao verificar apenas certas
extensões, você automaticamente exclui da verificação todos os arquivos que têm
outras extensões. Ao excluir arquivos de verificações, você diminui a quantidade
de recursos do computador necessária para executar a verificação.
Aviso: se selecionar extensões que você deseja verificar, todas as demais extensões
não serão protegidas contra vírus e riscos à segurança.

procedimento.
Para incluir apenas arquivos com extensões específicas em verificações do
Auto-Protect ou verificações definidas pelo administrador
1 Na guia Detalhes da verificação, em Tipos de arquivo, clique em Verificar
apenas extensões selecionadas.
2 Clique em Selecionar extensões.
3 Na caixa de diálogo Extensão de arquivos você tem várias opções:
■ Para adicionar suas próprias extensões, digite a extensão e clique em
Adicionar.
■ Para remover alguma extensão, selecione a extensão e clique em Remover.
■ Para retornar a lista às configurações padrão, clique em Usar padrões.
■ Para adicionar todas as extensões de programas, clique em Adicionar

programas comuns.
■ Para adicionar todas as extensões de documentos, clique em Adicionar
documentos comuns.
Configuração das verificações de pastas selecionadas

É possível configurar pastas selecionadas para realizar certas verificações definidas
pelo administrador. Essas verificações definidas pelo administrador incluem
verificações agendadas personalizadas e verificações sob demanda. Não é possível
configurar pastas selecionadas para o Auto-Protect.
Consulte “Sobre a verificação de extensões selecionadas ou pastas” na página 413.
procedimento.
Para configurar as verificações de pastas selecionadas
1 Na página Política antivírus e anti-spyware, clique em Verificação definida
pelo administrador.
2 Na guia Verificações, proceda de uma das seguintes maneiras:
■ Clique em Adicionar.
■ Em Verificações agendadas, selecione uma verificação existente e, em
seguida, clique em Editar.
■ Em Verificação sob demanda do administrador, clique em Editar.
3 Na guia Detalhes da verificação, na lista suspensa Tipo de verificação,

selecione Verificação personalizada.
As verificações sob demanda estão predefinidas como Verificação
personalizada.
4 Em Verificação, clique em Editar pastas.
5 Na caixa de diálogo Editar pastas, clique em Verificar as pastas selecionadas
e, em seguida, na lista de pastas, marque todas as pastas que deseja que essa
verificação analise.
O campo Pastas selecionadas mostra todas as opções.
6 Clique em OK até retornar à página Verificação definida pelo administrador.
Sobre exceções para riscos à segurança

Se você deseja que qualquer risco à segurança permaneça em sua rede, você pode
ignorar os riscos quando forem detectados nos computadores-cliente.
Se um usuário tiver configurado ações personalizadas para um risco à segurança
que foi especificado para ser ignorado, as ações personalizadas do usuário não
serão usadas.
Nota: Ao adicionar um risco à segurança na lista de exclusões, o cliente Symantec

Endpoint Protection não registrará mais eventos relacionados a esse risco. É
possível configurar o cliente para registrar o risco mesmo se ele for incluído na
lista de exceções. Independentemente de o risco ser registrado ou não, os usuários
não são notificados quando o risco está presente em seus computadores.
É possível usar uma política de exceções centralizadas para configurar as exceções.

Configuração de ações para detecções de vírus e riscos à segurança

conhecidos
Você pode usar ações para especificar como os clientes reagem quando uma
verificação antivírus e anti-spyware detecta um vírus ou risco à segurança
conhecido. Essas ações aplicam-se a verificações do Auto-Protect e verificações
definidas pelo administrador. As ações para verificações de ameaças proativas
são configuradas separadamente.
As ações permitem definir como o software-cliente deve reagir ao detectar um
vírus ou risco à segurança conhecido. Você pode atribuir uma primeira ação e,
caso a primeira ação não seja possível, uma segunda ação. O cliente Symantec
Endpoint Protection utiliza essas ações quando detecta um vírus ou risco à
segurança, como um adware ou spyware. Os tipos de vírus e riscos à segurança
estão relacionados na hierarquia.
Clique em Ajuda para obter mais informações sobre as opções usadas nos
procedimentos.
Nota: Para os riscos à segurança, use a ação de exclusão com cuidado. Em alguns
casos, excluir riscos à segurança pode prejudicar a funcionalidade dos aplicativos.
Aviso: Se você configurar o software-cliente para excluir os arquivos afetados pelo

risco à segurança, ele não poderá restaurar os arquivos.
Para fazer backup dos arquivos afetados pelo risco à segurança, configure o
software-cliente para colocá-los em quarentena.
Para configurar ações para detecções de vírus e riscos à segurança conhecidos

1 Na guia Ações, em Detecção, selecione um tipo de vírus ou risco à segurança
conhecido.
Por padrão, cada subcategoria de risco à segurança é configurada
automaticamente para usar as ações definidas para toda a categoria de riscos
à segurança.
2 Para configurar uma instância específica de uma categoria de risco à segurança
para usar ações diferentes, marque Sobrepor ações configuradas para riscos
à segurança e defina as ações somente para a categoria em questão.
3 Em Ações para, selecione a primeira e a segunda ações que o software-cliente
executa ao detectar essa categoria de vírus ou risco à segurança.
Você pode bloquear ações para que usuários não possam alterar a ação em
computadores-cliente que usem essa política.
Para os riscos à segurança, use a ação de exclusão com cuidado. Em alguns
casos, excluir riscos à segurança pode prejudicar a funcionalidade dos
aplicativos.
4 Repita a etapa 3 para cada categoria para a qual você deseja definir ações
(vírus e riscos à segurança).
Sobre as mensagens de notificação em computadores infectados

Você pode ativar uma mensagem de notificação personalizada para ser exibida
em computadores infectados quando uma verificação definida pelo administrador
ou o Auto-Protect encontrar um vírus ou risco à segurança. Essas notificações
podem alertar os usuários para revisarem suas atividades recentes no
computador-cliente. Por exemplo, um usuário pode fazer o download de um
aplicativo ou exibir uma página na Web que resulte em uma infecção por spyware.
Nota: O idioma do sistema operacional em que o cliente é executado talvez não

interprete alguns caracteres nos nomes de vírus. Caso o sistema operacional não
possa interpretar os caracteres, estes aparecerão como pontos de interrogação
nas notificações. Por exemplo, alguns nomes de vírus unicode podem conter
caracteres de byte duplo. Em computadores que executam o cliente em sistemas
operacionais em inglês, esses caracteres são exibidos como pontos de interrogação.
Para verificar e-mails com o Auto-Protect, você também pode configurar as

seguintes opções:
■ Adicionar avisos a mensagens de e-mail infectadas
■ Notificar remetentes de mensagens de e-mail infectadas
■ Notificar usuários de mensagens de e-mail infectadas.
Consulte “Configuração das opções de notificação para o Auto-Protect”
na página 451.
As notificações para resultados de verificação proativa de ameaças podem ser
configuradas separadamente.
Consulte “Configuração de notificações para verificações proativas de ameaças
TruScan” na página 549.
Personalização e exibição de notificações em computadores infectados

Você pode criar uma mensagem personalizada para ser exibida em computadores
infectados quando um vírus ou risco à segurança for encontrado. É possível digitar
diretamente no campo de mensagem para adicionar ou modificar o texto.
Ao executar uma verificação remota, você pode notificar o usuário de um problema
exibindo uma mensagem na tela do computador infectado. Essa mensagem de
aviso pode ser personalizada com informações como, por exemplo, o nome do
risco, o nome do arquivo infectado, o status do risco. Uma mensagem de aviso
poderá ser como o seguinte exemplo:
Scan type: Verificação agendada

Event: Risco encontrado
SecurityRiskName: Stoned-C
File: C:\Autoexec.bat
Location: C:
Computer: ACCTG-2
User: JSmith
Action taken: Limpo
A Tabela 29-5 descreve os campos de variáveis disponíveis para notificações.

Tabela 29-5 Variáveis de mensagens de notificação
Campo Descrição
NomedoRiscodeSegurança Nome do vírus ou risco à segurança encontrado.
AçãoTomada A ação executada em resposta à detecção do vírus ou risco à

segurança.
Essa ação pode ser a primeira ou a segunda ação que foi

configurada.
Status Estado do arquivo: Infectado, Não infectado ou Excluído.
Esta variável de mensagem não é usada por padrão. Para exibir

esta informação, você deve adicionar manualmente esta
variável à mensagem.
Nome do arquivo Nome do arquivo infectado pelo vírus ou risco à segurança.
CaminhoeNomedeArquivo Caminho completo e nome do arquivo infectado pelo vírus ou

risco à segurança.
Local Unidade em que foi encontrado o vírus ou risco à segurança.
Computador Nome do computador em que foi encontrado o vírus ou risco

à segurança.
Usuário Nome do usuário que estava conectado quando o vírus ou risco

à segurança ocorreu.
Evento Tipo de evento, como Risco encontrado.
RegistradoPor O tipo de verificação que detectou o vírus ou risco à segurança.
DataEncontrado A data em que o vírus ou risco à segurança foi encontrado.
NomedoArmazenamento A área afetada do aplicativo (por exemplo, Auto-Protect do

sistema de arquivos ou Auto-Protect do Lotus Notes).
DescriçãodaAção Descrição completa das ações tomadas em resposta à detecção

do vírus ou risco à segurança.
Para exibir mensagens de notificação em computadores infectados

1 Na página Política antivírus e anti-spyware, efetue uma das seguintes ações:
■ Clique em Verificações definidas pelo administrador.
■ Clique em Auto-Protect do sistema de arquivos.
■ Clique em Auto-Protect para e-mail da Internet.
Envio de informações sobre verificações à Symantec
■ Clique em Auto-Protect do Microsoft Outlook.

■ Clique em Auto-Protect do Lotus Notes.
2 Se você selecionou Verificações definidas pelo administrador, na guia

Verificações, clique em Adicionar ou Editar.
3 Na guia Notificações, selecione Exibir uma mensagem de notificação no
computador infectado e modifique o conteúdo da mensagem de notificação.
4 Clique em OK.

Você pode especificar as informações sobre as detecções de verificação proativa
de ameaças e sobre as detecções de verificações do Auto-Protect que são enviadas
automaticamente para o Symantec Security Response.
As informações enviadas pelo clientes ajudam a Symantec a determinar se uma
ameaça detectada é real. Se a Symantec determinar que a ameaça é real, ela poderá
gerar uma assinatura para resolver a ameaça. A assinatura é incluída em uma
versão atualizada de definições. Para detecções proativas de ameaças TruScan, a
Symantec pode atualizar suas listas de processos permitidos ou não permitidos.
Quando um cliente envia informações sobre um processo, essas informações
incluem os seguintes itens:
■ O caminho do executável
■ O executável
■ As informações internas de estado
■ As informações sobre o arquivo e os pontos de carga no registro que se referem
à ameaça
■ A versão de conteúdo que a verificação proativa de ameaças usou
Nenhuma informação pessoal que possa identificar o computador-cliente é enviada.
As informações sobre as taxas de detecção ajudam a Symantec a aperfeiçoar as
atualizações de definições de vírus. As taxas de detecção mostram os vírus e riscos
à segurança mais detectados por clientes. O Symantec Security Response pode
remover as assinaturas que não são detectadas e oferecer uma lista segmentada
de definições de vírus aos clientes que a solicitarem. As listas segmentadas
aumentam o desempenho da verificação antivírus e anti-spyware.
Quando uma verificação proativa de ameaças detecta algo, o software-cliente
verifica se as informações sobre o processo já foram enviadas. Se as informações
foram enviadas, o cliente não as enviará novamente.
Nota: Quando as verificações proativas de ameaças detectam itens na lista de

aplicativos comerciais, as informações sobre essas detecções não são encaminhadas
ao Symantec Security Response.
Quando você ativa o envio de processos, os itens colocados em quarentena pelas

verificações proativas de ameaças são atualizadas. Quando os itens são atualizados,
a janela Quarentena mostra que as amostras foram enviadas ao Symantec Security
Response. O software-cliente não notifica os usuários e o console de gerenciamento
não dá uma indicação de quando as detecções ou outros tipos de ações são enviados.
Outros tipos de ações incluem Registrar ou Encerrar.
Você pode enviar amostras da quarentena para a Symantec.
Consulte “Envio de itens em quarentena à Symantec” na página 438.
Sobre o controle de envios

Os clientes podem ou não enviar amostras à Symantec dependendo das seguintes
informações:
■ A data do arquivo de dados de controle de envio
■ O percentual de computadores que têm permissão para envio
A Symantec publica seu arquivo de dados de controle de envio (SCD, Submission
Control Data) e o inclui como parte de um pacote do LiveUpdate. Cada produto
Symantec tem seu próprio SCD.
O arquivo controla as seguintes configurações:
■ Quantos envios um cliente pode fazer por dia
■ Quanto tempo de espera antes que o software-cliente tente enviar novamente
■ Quantas vezes foram feitas novas tentativas de envios que falharam
■ Que endereço IP do servidor Symantec Security Response recebe o envio
Se o SCD fica desatualizado, os clientes interrompem o envio. A Symantec considera
o SCD desatualizado quando um computador-cliente não recuperou o conteúdo
do LiveUpdate em sete dias.
Se os clientes interrompem a transmissão de envios, o software-cliente não coleta
as informações dos envios e envia-os depois. Quando os clientes reiniciam a
transmissão dos envios, enviam apenas as informações sobre os eventos que
ocorrem depois do reinício da transmissão.
Os administradores também podem configurar o percentual de computadores
com permissão para envio. Cada computador-cliente determina se deve ou não
enviar as informações. O computador-cliente seleciona um número de 1 a 100 de
Gerenciamento de arquivos em quarentena
modo aleatório. Se o número for menor ou igual ao percentual definido na política

do cliente, o computador envia as informações. Se o número for maior que o
percentual configurado, o computador não envia as informações.
Configuração das opções de envio

Os envios são ativados por padrão. É possível ativar ou desativar envios em uma
política antivírus e anti-spyware na guia Envios.
procedimento.
Para especificar se as informações sobre processos detectados pelas verificações
proativas de ameaças TruScan são ou não enviadas
1 Na página Política antivírus e anti-spyware, clique em Envios.
2 Em Verificações proativas de ameaças TruScan, marque ou desmarque
Permitir que os computadores-cliente enviem os processos detectados pelas
verificações.
3 Ao selecionar este parâmetro, você pode alterar o percentual de
computadores-cliente que tem permissão para enviar informações sobre
processos.
4 Se você ativou os envios, use a seta para cima ou para baixo para selecionar
o percentual ou digite o valor desejado na caixa de texto.
Para especificar se as informações sobre as taxas de detecção do Auto-Protect e
da verificação manual são ou não enviadas
2 Em Taxas de detecção, marque ou desmarque Permitir que os
computadores-cliente enviem as taxas de detecção de ameaças.
Ao selecionar este parâmetro, você pode alterar o percentual de
computadores-cliente que tem permissão para enviar taxas de detecção.

O gerenciamento de arquivos em quarentena abrange os seguintes itens:
■ Especificação de um diretório de quarentena local
■ Envio de itens em quarentena à Symantec
■ Configuração de ações a serem tomadas ao receber novas definições
Sobre as configurações da quarentena

A Política antivírus e anti-spyware é usada para definir as configurações de
quarentena do cliente.
As configurações de quarentena são gerenciadas como parte importante da
estratégia de epidemia de vírus.
Especificação de um diretório de quarentena local

Se não deseja utilizar um diretório padrão de quarentena para armazenar os
arquivos em quarentena nos computadores-cliente, você pode especificar um
diretório local diferente. Você pode expandir o caminho utilizando o sinal de
porcentagem. Por exemplo, você pode digitar %COMMON_APPDATA%. Os
caminhos relativos não são permitidos.
O software suporta os seguintes parâmetros de expansão:
%COMMON_APPDATA% O caminho é geralmente C:\Documents and

Settings\All Users\Dados de aplicativos
%PROGRAM_FILES% Em geral, o caminho é C:\Arquivos de

programas
%PROGRAM_FILES_COMMON% Em geral, o caminho é C:\Arquivos de

programas\Comuns
%COMMON_PROGRAMS% O caminho é geralmente C:\Documents and

Settings\All Users\Menu Iniciar\Programas
%COMMON_STARTUP% O caminho é geralmente C:\Documents and

Settings\All Users\Menu
Iniciar\Programas\Inicializar
%COMMON_DESKTOPDIRECTORY% O caminho é geralmente C:\Documents and

Settings\All Users\Área de trabalho
%COMMON_DOCUMENT% O caminho é geralmente C:\Documents and

Settings\All Users\Documentos
%SYSTEM% O caminho é geralmente C:\Windows\

System32
%WINDOWS% Em geral, o caminho é C:\Windows

Para especificar um diretório de quarentena local

1 Na página Política antivírus e anti-spyware, clique em Quarentena.
2 Na guia Miscelânea, em Opções locais de quarentena, selecione Especificar
diretório de quarentena.
3 Na caixa de texto, digite o nome de um diretório local nos
computadores-cliente. Você pode expandir o caminho utilizando o sinal de
porcentagem. Por exemplo, você pode digitar %COMMON_APPDATA%, mas
os caminhos relativos não são permitidos.
Configuração de opções de limpeza automática

Quando o software-cliente verifica um arquivo suspeito, ele coloca o arquivo na
pasta de quarentena local do computador infectado. O recurso de limpeza da
quarentena exclui automaticamente os arquivos na quarentena que excederem
uma data especificada. O recurso de limpeza da quarentena exclui automaticamente
os arquivos na quarentena quando o diretório que os armazena atingir um
determinado tamanho.
Você pode configurar essas opções usando a Política antivírus e anti-spyware. É
possível configurar individualmente o número de dias para manter arquivos
reparados, de backup e em quarentena. Também é possível definir o tamanho
máximo permitido do diretório antes de os arquivos serem removidos
automaticamente do computador-cliente.
Você pode usar uma das configurações ou utilizá-las juntas. Se você escolher os
dois tipos de limites, todos os arquivos que ultrapassarem a data definida serão
eliminados primeiro. Se mesmo assim o tamanho do diretório exceder o limite
definido, os arquivos mais antigos serão excluídos um a um. Os arquivos são
excluídos até que o tamanho do diretório fique abaixo do tamanho limite. Essas
opções não são ativadas por padrão.
Para configurar as opções de limpeza automática
2 Na guia Limpeza, em Arquivos reparados, marque ou desmarque Ativar a
exclusão automática dos arquivos reparados.
3 Na caixa Excluir após, digite um valor ou clique em uma seta para selecionar
o intervalo de tempo em dias.
4 Marque a caixa de seleção Excluir os arquivos mais antigos para limitar o
tamanho da pasta e, em seguida, digite o tamanho máximo do diretório, em
megabytes. A configuração padrão é 50 MB.
5 Em Arquivos de backup, marque ou desmarque Ativar exclusão automática

de arquivos de backup.
6 Na caixa Excluir após, digite ou clique em uma seta para selecionar o intervalo
de tempo em dias.
megabytes. O padrão é 50 MB.
8 Em Arquivos em quarentena, marque ou desmarque Ativar a exclusão
automática dos arquivos em quarentena que não puderam ser reparados.
9 Na caixa Excluir após, digite um valor ou clique em uma seta para selecionar
o intervalo de tempo em dias.
megabytes. O padrão é 50 MB.
Envio de itens em quarentena a um servidor da quarentena central

Você pode ativar itens na quarentena a serem encaminhados da quarentena local
ao servidor da quarentena central. Você deve configurar o cliente para que ele
encaminhe os itens se você usar um servidor da quarentena central na rede de
segurança. O servidor da quarentena central pode encaminhar as informações
para o Symantec Security Response. As informações enviadas pelo clientes ajudam
a Symantec a determinar se uma ameaça detectada é real.
Nota: Somente os itens em quarentena que são detectados por meio das verificações
de antivírus e anti-spyware podem ser enviados ao servidor da quarentena central.
Os itens em quarentena que são detectados através das verificações proativas de
ameaças não podem ser enviados.
Para ativar o envio de itens em quarentena ao servidor de quarentena

2 Em Itens em quarentena, selecione Permitir que os computadores-cliente
enviem os itens em quarentena automaticamente para um servidor de
quarentena.
3 Digite o nome do servidor de quarentena.
4 Digite o número da porta a ser usada e selecione o número de segundos para

repetir conexão.
5 Se você tiver concluído a definição das configurações desta política, clique
em OK.
Envio de itens em quarentena à Symantec

Você pode ativar o software-cliente para permitir que os usuários enviem arquivos
infectados ou suspeitos e efeitos colaterais relacionados ao Symantec Security
Response para análise adicional. Quando os usuários enviam as informações, a
Symantec pode fazer uma detecção e um reparo mais detalhados.
Os arquivos enviados ao Symantec Security Response tornam-se propriedade da
Symantec Corporation. Em alguns casos, os arquivos podem ser compartilhados
com a comunidade antivírus. Se a Symantec compartilha arquivos, ela usa
criptografia padrão do setor e pode tornar os dados anônimos para proteger a
integridade do conteúdo e a sua privacidade.
Em alguns casos, a Symantec pode rejeitar um arquivo. Por exemplo, a Symantec
pode rejeitar um arquivo porque ele não parece estar infectado. Você pode ativar
o reenvio de arquivos se quiser que os usuários enviem novamente os arquivos
selecionados. Os usuários podem reenviar os arquivos uma vez por dia.
Para ativar o envio de itens em quarentena à Symantec
2 Em Itens em quarentena, selecione Permitir que os computadores-cliente
enviem os itens em quarentena manualmente para o Symantec Security
Response.
Configuração de ações a serem tomadas ao receber novas definições

Você pode configurar as ações que deseja executar quando novas definições forem
recebidas nos computadores-cliente. O cliente verifica novamente os itens na
quarentena e repara e restaura automaticamente os itens no modo silencioso por
padrão. Em geral, você sempre deveria usar esta configuração.
Para configurar ações para novas definições
2 Na guia Geral, em Quando novas definições de vírus são recebidas, selecione
uma das seguintes ações:
■ Reparar e restaurar arquivos em quarentena no modo silencioso

automaticamente
■ Reparar arquivos em quarentena no modo silencioso sem restaurá-los
■ Solicitar uma ação do usuário
■ Nenhuma ação

Capítulo 30
Configuração do
Auto-Protect
■ Sobre a configuração do Auto-Protect
■ Sobre tipos de Auto-Protect
■ Ativação do Auto-Protect do sistema de arquivos
■ Configuração do Auto-Protect do sistema de arquivos
■ Configuração do Auto-Protect para e-mail da Internet
■ Configuração do Auto-Protect do Microsoft Outlook
■ Configuração do Auto-Protect do Lotus Notes
■ Configuração das opções de notificação para o Auto-Protect
Sobre a configuração do Auto-Protect

Configure os parâmetros do Auto-Protect como parte da política antivírus e
anti-spyware. Você também pode ativar manualmente o Auto-Protect para um
grupo de clientes ou para determinados usuários e computadores.
Você pode bloquear ou desbloquear diversas opções do Auto-Protect em uma
política antivírus e anti-spyware. Ao bloquear uma opção, os usuários dos
computadores-cliente não poderão alterar a opção. As opções estão desbloqueadas
por padrão.
Algumas opções para o Auto-Protect são similares às opções para outros
verificadores antivírus e antispyware.
442 Configuração do Auto-Protect
Sobre tipos de Auto-Protect
Consulte “Configuração de opções aplicáveis a verificações antivírus e

anti-spyware” na página 425.
Sobre tipos de Auto-Protect

O Auto-Protect protege o arquivo do sistema e os anexos de e-mail recebidos pelos
clientes.
Você pode configurar os seguintes tipos de Auto-Protect:
■ Auto-Protect do sistema de arquivos
■ Auto-Protect para e-mail da Internet
■ Microsoft Outlook Auto-Protect
■ Lotus Notes Auto-Protect
Por padrão, são ativados todos os tipos de Auto-Protect. Se computadores-cliente
executarem outros produtos de segurança de e-mail, como o Symantec Mail
Security, é possível que você não precise ativar o Auto-Protect para e-mail.
Consulte “Sobre as verificações do Auto-Protect” na página 406.
Ativação do Auto-Protect do sistema de arquivos

Os parâmetros do Auto-Protect estão incluídos na política antivírus e anti-spyware
que se aplica aos computadores-cliente. Por padrão, o Auto-Protect do sistema de
arquivos está ativado. Você pode bloquear a configuração para que os usuários
dos computadores-cliente não possam desativar o Auto-Protect do sistema de
arquivos. Talvez você precise ativar o Auto-Protect do console se você permitir
aos usuários que alterem a configuração ou se desativar o Auto-Protect do sistema
de arquivos.
Você pode ativar o Auto-Protect do sistema de arquivos utilizando a guia Clientes
no console. Você também pode ativar manualmente o Auto-Protect do sistema de
arquivos a partir dos registros de status do computador.
Se quiser desativar o Auto-Protect, você precisa desativar a configuração na
política antivírus e anti-spyware aplicada ao grupo.
Configuração do Auto-Protect 443
Configuração do Auto-Protect do sistema de arquivos
Para ativar o Auto-Protect do sistema de arquivos

1 No console, clique em Clientes e na seqüência, sob Exibir clientes, selecione
o grupo que inclui os computadores para os quais você deseja ativar o
Auto-Protect.
2 No painel direito, selecione a guia Clientes:
3 Execute uma das ações a seguir:
■ No painel esquerdo, em Exibir clientes, clique com o botão direito do mouse
no grupo para o qual você deseja ativar o Auto-Protect.
■ No painel direito, na guia Clientes selecione os computadores e usuários
para os quais você deseja ativar o Auto-Protect e depois clique com o botão
direito do mouse na seleção.

■ Clique em Executar comando no grupo > Ativar o Auto-Protect
■ Clique em Executar comando em clientes > Ativar o Auto-Protect
5 Na caixa de mensagem exibida, clique em OK.

Se quiser ativar ou desativar o Auto-Protect para e-mail, você precisa incluir
a configuração na política antivírus e anti-spyware.

Ao configurar o Auto-Protect do sistema de arquivos como parte de uma Política
antivírus e anti-spyware, você também configura o comportamento do Auto-Protect
e seus recursos associados. Você especifica se as unidades de disquete, as unidades
de rede ou ambas serão verificadas.
Nota: Ao configurar as opções do Auto-Protect, você pode clicar no ícone de cadeado

ao lado das configurações do Auto-Protect. Os usuários dos computadores-cliente
que usam essa política não poderão alterar as configurações bloqueadas.
procedimentos.
Para configurar o Auto-Protect do sistema de arquivos
1 Na página Política antivírus e anti-spyware, clique em Auto-Protect do
sistema de arquivos.
2 Na guia Detalhes da verificação, marque ou desmarque Ativar o Auto-Protect
do sistema de arquivos.
3 Em Verificação, em Tipos de arquivos, selecione uma destas opções:

■ Verificar todos os arquivos
■ Verificar apenas extensões selecionadas
Consulte “Configuração de verificações de extensões de arquivos selecionadas”
na página 426.
4 Em Opções adicionais, marque ou desmarque Verificar riscos à segurança e
Bloquear a instalação de riscos à segurança.
Consulte “Sobre verificação e bloqueio de risco à segurança no Auto-Protect”
na página 445.
5 Em Configurações da rede, marque ou desmarque Rede para ativar ou
desativar as verificações do Auto-Protect nos arquivos de rede.
6 Se você tiver marcado Rede, clique em Configurações da rede.
7 Na caixa de diálogo Configurações de rede, proceda de uma das seguintes
maneiras:
■ Ative ou desative o Auto-Protect para confiar em arquivos nos
computadores remotos que executam o Auto-Protect.
■ Configure as opções de cache da rede para as verificações do Auto-Protect.
8 Clique em OK.
9 Sob Configurações flexível, marque ou desmarque Verificar vírus quando
as unidades de disquete forem acessadas.
10 Se você marcou Verificar vírus quando as unidades de disquete forem
acessadas, defina a ação que você deseja tomar quando um vírus for
encontrado, para limpar no registro de inicialização ou para fazer login e sair
sozinho.
11 Na guia Ações, selecione qualquer uma das seguintes opções.
12 Na guia Notificações, defina as opções de notificação.
na página 451.
13 Na guia Avançado, defina estas opções:
■ Inicialização e desligamento
■ Opções de recarga
14 Em Opções adicionais, clique em Cache do arquivo ou em Rastreador de

riscos.
15 Configure o cache do arquivo ou as configurações do rastreador de riscos e
clique em OK.
16 Quando concluir a configuração dessa política, clique em OK.
Sobre verificação e bloqueio de risco à segurança no Auto-Protect

Por padrão, o Auto-Protect executa estas ações:
■ Verifica riscos à segurança, como adware e spyware
■ Coloca em quarentena os arquivos infectados
■ Remove ou repara os efeitos colaterais dos riscos à segurança
Nos casos em que o bloqueio da instalação de um risco à segurança não afetar a
estabilidade de um computador, o Auto-Protect também bloqueará a instalação
por padrão. Se a Symantec determinar que o bloqueio de um risco à segurança
pode comprometer a estabilidade do computador, o Auto-Protect permitirá que
o risco seja instalado. O Auto-Protect também executará imediatamente a ação
configurada para o risco.
Ocasionalmente, no entanto, é recomendável desativar temporariamente a
verificação de riscos à segurança no Auto-Protect e, em seguida, ativá-la. Talvez
seja preciso desativar o bloqueio dos riscos à segurança para controlar o tempo
que o Auto-Protect leva para reagir a determinados riscos à segurança.
Nota: Não é possível desafiar a verificação de riscos à segurança em outros tipos

de verificação. Entretanto, você pode configurar o Symantec Endpoint Protection
para que ignore o risco à segurança e registre a detecção. Você pode também
excluir riscos específicos globalmente de todos os tipos de verificação,
adicionando-os à lista de exceções centralizadas.
Consulte “Sobre as políticas de exceções centralizadas” na página 591.
Configuração de opções de verificação e monitoramento avançados

Você pode configurar opções de verificação e monitoramento avançados em
verificações de arquivos e processos do Auto-Protect. As opções incluídas são de
quando verificar arquivos e de configurações de verificação heurística.
A verificação heurística como parte do Auto-Protect é diferente da verificação
proativa de ameaças. A verificação heurística como parte do Auto-Protect verifica
arquivos com comportamento malicioso, enquanto a verificação proativa de

ameaças inspeciona processos em execução com comportamento malicioso.
procedimentos.
Para configurar opções de verificação e monitoramento avançados
1 Na página da Política antivírus e anti-spyware, clique em Auto-Protect do
2 Na guia Detalhes da verificação, em Verificação, clique em Verificação e
monitoramento avançados.
3 Em Quando verificar arquivos, especifique as atividades que acionam as
verificações.
4 Em Configurações de detecção do Bloodhound (TM), marque ou desmarque
Ativar detecção de vírus do Bloodhound (TM).
Você também pode alterar o nível de proteção.
5 Clique em OK.
Sobre o Rastreador de riscos

O Rastreador de riscos identifica a origem das infecções por vírus provenientes
do compartilhamento de rede em computadores que executam sistemas
operacionais Windows XP/2000/2003.
Ao detectar uma infecção, o Auto-Protect envia informações ao Rtvscan, o principal
serviço do Symantec Endpoint Protection. O Rtvscan determina se a origem da
infecção é local ou remota.
Se a infecção for de um computador remoto, o Rtvscan poderá executar as seguintes
ações:
■ Verificar e registrar o nome do computador NetBIOS do computador e seu
endereço IP.
■ Verificar e registrar quem fez logon no computador no horário da entrega.
■ Exibir as informações na caixa de diálogo de propriedades de Risco.
Por padrão, o Rtvscan pesquisa as sessões da rede a cada segundo e, em seguida,
armazena em cache os dados coletados como uma lista de origem secundária de
computadores remotos. Essas informações maximizam a freqüência na qual o
Rastreador de riscos pode identificar com êxito o computador remoto infectado.
Configuração do Auto-Protect para e-mail da Internet
Por exemplo, um risco pode fechar o compartilhamento de rede antes de o Rtvscan

registrar a sessão da rede. Nesse caso, o Rastreador de riscos utiliza a lista de
origem secundária para identificar o computador remoto. Você pode configurar
essas informações na caixa de diálogo Opções avançadas do Auto-Protect.
As informações do Rastreador de riscos são exibidas na caixa de diálogo de
propriedades do risco e ficam disponíveis somente para as entradas de risco
causadas por arquivos infectados. Quando determina que a infecção originou-se
de uma atividade no host local, o Rastreador de riscos registra que a origem foi o
host local.
O Rastreador de riscos relaciona uma fonte quando desconhecida quando as
seguintes condições são verdadeiras:
■ Não consegue identificar o computador remoto.
■ O usuário autenticado de um compartilhamento de arquivos faz referência a
vários computadores. Essa condição pode ocorrer quando o ID do usuário está
associado a diversas sessões de rede. Por exemplo, vários computadores podem
estar registrados em um servidor de compartilhamento de arquivos com o
mesmo ID de usuário de servidor.
Você pode registrar a lista completa de vários computadores remotos que
atualmente infectaram o computador local. Defina o valor de string
HKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint Protection\
AV\ProductControl\Debug como "THREATTRACER X" no computador-cliente
local. O valor THREATTRACER ativa a saída de depuração e o X garante que
somente a saída de depuração relacionada ao Rastreador de riscos será exibida.
Também é possível adicionar um L para que o registro seja feito no arquivo de
registro <Pasta_de_programa_do_SAV>\vpdebug.log. Para que a janela de
depuração não seja exibida no computador, adicione XW.
Se você deseja usar este recurso, use o arquivo de vírus de teste Eicar.com,
disponível em:
www.eicar.org
O Rastreador de riscos também inclui uma opção para bloquear os endereços IP
dos computadores de origem. Para que essa opção esteja vigente, é necessário
definir a opção correspondente na política de firewall para ativar esse tipo de
bloqueio automático.

O Auto-Protect para e-mail da Internet protege as mensagens de e-mail enviadas
e recebidas que usam o protocolo de comunicação POP3 ou SMTP por meio do
Secure Sockets Layer (SSL). Quando o Auto-Protect para e-mail da Internet está
ativado, o software-cliente verifica o conteúdo do texto do e-mail e os anexos

incluídos.
Você pode ativar o Auto-Protect para aceitar o controle de e-mails criptografados
em conexões POP3 e SMTP. O Auto-Protect detecta as conexões seguras e não
verifica as mensagens criptografadas. Mesmo que o Auto-Protect para e-mail da
Internet não verifique as mensagens criptografadas, ele continua a proteger os
computadores de vírus e riscos à segurança nos anexos.
O Auto-Protect do sistema de arquivos verifica os anexos de e-mail quando você
os salva no disco rígido.
Nota: O Auto-Protect para e-mail da Internet não é aceito em computadores de 64

bits. O Auto-Protect para e-mail da Internet não aceita a verificação de e-mails
POP3 nos sistemas operacionais de servidores.
O cliente do Symantec Endpoint Protection também oferece verificação heurística

de e-mails enviados. A verificação heurística usa a detecção de vírus Bloodhound
para identificar riscos que possam estar contidos nas mensagens enviadas. Quando
o cliente verifica as mensagens de e-mail enviadas, a verificação ajuda a evitar a
disseminação dos riscos. Esses riscos contêm worms que podem usar clientes de
e-mail para se replicar e distribuir a si mesmos pela rede.
A verificação de e-mail não oferece suporte para os seguintes clientes de e-mail:
■ Clientes IMAP
■ Clientes AOL
■ E-mail com base em HTTP, como o Hotmail e o Yahoo! Mail
procedimentos.
Para configurar o Auto-Protect para e-mail da Internet
1 Na página Política antivírus e anti-spyware, clique em Auto-Protect para
e-mail da Internet.
para e-mail da Internet.
na página 426.
Configuração do Auto-Protect do Microsoft Outlook
4 Marque ou desmarque Verificarosarquivosdentrodearquivoscompactados.

5 Clique em OK.
7 Clique em OK.
8 Na guia Notificações, em Notificações de e-mail, marque ou desmarque
qualquer uma das seguintes opções:
■ Inserir um aviso na mensagem de e-mail
■ Enviar e-mail ao remetente
■ Enviar e-mail a outros
na página 451.
9 Clique em OK.
10 Na guia Avançado, em Conexões criptografadas, ative ou desative as conexões
POP3 ou SMTP criptografadas.
11 Em Heurística de mass mailing worms, marque ou desmarque Heurística de
worms enviados.
Configuração do Auto-Protect do Microsoft Outlook

O Auto-Protect, por padrão, verifica anexos de e-mail do Microsoft Outlook. Você
pode personalizar as configurações da verificação.
procedimentos.
Para configurar o Auto-Protect do Microsoft Outlook
1 Na página Política antivírus e anti-spyware, clique em Auto-Protect do
Microsoft Outlook .
do Microsoft Outlook .
Configuração do Auto-Protect do Lotus Notes

na página 426.
6 Na guia Notificações, marque ou desmarque as seguintes opções:
na página 451.
Configuração do Auto-Protect do Lotus Notes

O Auto-Protect, por padrão, verifica anexos de e-mail do Lotus Notes. Você pode
personalizar as configurações da verificação.
procedimentos.
Para configurar o Auto-Protect do Lotus Notes
1 Na página Política antivírus e anti-spyware, clique em Auto-Protect do Lotus
Notes.
para Lotus Notes.
na página 426.
Configuração das opções de notificação para o Auto-Protect
6 Na guia Notificações, marque ou desmarque qualquer uma das seguintes

opções:
na página 451.
7 Se você tiver concluído a definição das configurações da política, clique em
OK.
Configuração das opções de notificação para o

Auto-Protect
Os resultados das verificações do Auto-Protect do sistema de arquivos são exibidos
nos computadores infectados por padrão. Você pode configurar a política antivírus
e anti-spyware para que os resultados não sejam exibidos nos
Você pode personalizar a mensagem de notificação que é exibida nos
computadores-cliente quando o Auto-Protect faz uma detecção.
Consulte “Personalização e exibição de notificações em computadores infectados”
na página 430.
Nos programas de e-mail compatíveis, você também pode configurar o Auto-Protect
para realizar as seguintes ações:
■ Adicionar um aviso às mensagens de e-mail sobre computadores infectados.
■ Notificar remetentes de mensagens de e-mail infectadas.
■ Notificar outros de mensagens de e-mail infectadas.
Você pode personalizar as mensagens de e-mail que enviar para notificar usuários.
Nota: Tenha cuidado ao configurar as opções para notificar os remetentes e outros

sobre mensagens de e-mail infectadas. O endereço da mensagem de e-mail infectada
pode ser falsificado. Se você enviar notificações, poderá gerar spams e causar o
aumento do tráfego na rede.
Os campos de variáveis que você personaliza para mensagens de notificação e

para mensagens de e-mail são levemente diferentes. Você pode personalizar as
informações no conteúdo da mensagem e as informações no campo de infecção.
A Tabela 30-1 descreve os campos do conteúdo da mensagem de e-mail.
Tabela 30-1 Campos do corpo da mensagem de e-mail
Campo Descrição
Usuário O nome do usuário que estava conectado quando ocorreu

o vírus ou risco à segurança.
DataEncontrado A data em que o vírus ou o risco à segurança foi

encontrado.
RemetentedeEmail O endereço de e-mail que enviou a mensagem com anexo

infectado.
ListadeDestinatáriosdeEmail A lista de endereços para o qual foi enviado o e-mail com

o anexo infectado.
A Tabela 30-2 descreve os campos de informações sobre a infecção.
Tabela 30-2 Campos de informações sobre a infecção
Campo Descrição
NomedoRiscodeSegurança O nome do vírus ou risco à segurança encontrado.
AçãoTomada A ação executada em resposta à detecção do vírus ou risco

à segurança. Essa ação pode ser a primeira ou a segunda
ação que foi configurada.
Status O estado do arquivo: Infectado, Não infectado ou Excluído.
Essa variável de mensagem não é usada por padrão. Para

as informações, adicione manualmente esta variável à
mensagem.
Nomedearquivo Nome do arquivo infectado pelo vírus ou risco à segurança.
CaminhoeNomedeArquivo O caminho e o nome completos do arquivo infectado pelo

vírus ou risco à segurança.
Computador O nome do computador em que foi encontrado o vírus ou

risco à segurança.
Usuário O nome do usuário que estava conectado quando o vírus

ou o risco à segurança ocorreu.
DataEncontrado Data em que o vírus ou risco à segurança foi encontrado.
NomedoAnexoOriginal O nome do anexo que contém o vírus ou risco à segurança.

Campo Descrição
NomedoArmazenamento A área afetada do aplicativo. Por exemplo, o nome de

armazenamento pode ser Auto-Protect do sistema de
arquivos ou Auto-Protect do Lotus Notes.
Exibição de resultados do Auto-Protect em computadores infectados

Se quiser que os usuários visualizem os resultado das verificações do Auto-Protect
de arquivos e processos, você poderá exibir os resultados nos computadores
infectados. Você também pode desativar a exibição se não quiser que os resultados
sejam exibidos nos computadores-cliente.
procedimentos.
Para exibir os resultados do Auto-Protect em computadores infectados
1 Na página da Política antivírus e anti-spyware, clique em Auto-Protect do
2 Na guia Notificações, marque ou desmarque Exibir a caixa de diálogo de
resultados do Auto-Protect no computador infectado.
3 Se você tiver concluído a definição das configurações da política, clique em
OK.
Adição de avisos a mensagens de e-mail infectadas

Em programas de e-mail compatíveis, você pode configurar o Auto-Protect para
inserção automática de um aviso no conteúdo de uma mensagem de e-mail
infectada. Uma mensagem de aviso é importante se o cliente do Symantec Endpoint
Protection não conseguir limpar o vírus da mensagem. A mensagem também é
importante se um arquivo anexado infectado for movido, ignorado, excluído ou
renomeado. A mensagem de aviso informa o vírus encontrado e a medida tomada.
Você pode acrescentar o texto abaixo ao início da mensagem de e-mail associada
ao anexo infectado:
O Symantec Endpoint Protection encontrou um risco à segurança em um anexo
de [RemetentedeEmail].
Para cada arquivo infectado, as seguintes informações também são adicionadas
à mensagem de e-mail:
■ O nome do arquivo anexado
■ O nome do risco
■ A ação tomada
■ O status de infecção do arquivo
Você pode personalizar o assunto e o corpo da mensagem.
Essa mensagem de e-mail contém um campo chamado RemetentedeEmail. Você
pode personalizar a mensagem padrão.
A mensagem seria semelhante a esta:
O Symantec Endpoint Protection encontrou um risco à segurança em um

anexo de John.Smith@mycompany.com.
procedimentos.
Para adicionar avisos a mensagens de e-mail infectadas
2 Na guia Notificações, em Notificações de e-mail, selecione Inserir um aviso

na mensagem de e-mail.
3 Clique em Aviso e realize uma das seguintes ações:
■ Clique em OK para aceitar a mensagem padrão.
■ Personalize a mensagem de aviso.
Como notificar os remetentes de mensagens de e-mail infectadas

Nos programas de e-mail compatíveis, você pode configurar o Auto-Protect para
responder automaticamente ao remetente de uma mensagem de e-mail que tenha
um anexo infectado.
Nota: Tenha cuidado ao configurar as opções para notificar os remetentes sobre

mensagens de e-mail infectadas. O endereço da mensagem de e-mail infectada
pode ser falsificado. Se você enviar notificações, poderá gerar spams e causar o
aumento do tráfego na rede.
Você também pode configurar o Auto-Protect para enviar uma mensagem de

resposta padrão com o seguinte assunto:
Risco à segurança encontrado na mensagem "[AssuntodeEmail]"

O conteúdo da mensagem informa ao remetente do anexo infectado:
que você [RemetentedeEmail] enviou para [ListadeDestinatáriosdeEmail].
■ O nome do risco
■ A ação tomada
A mensagem também pode ser personalizada.
Para notificar os remetentes de mensagens de e-mail infectadas
2 Na guia Notificações, em Notificações de e-mail, selecione Enviar e-mail ao

remetente.
3 Clique em Remetente.
4 Na caixa de diálogo Enviar e-mail para remetente, na guia Mensagem, em
Texto da mensagem, realize uma das seguintes ações:
■ Clique em OK para aceitar a mensagem padrão.
■ Digite uma linha de assunto, o conteúdo da mensagem e as informações
sobre a infecção que serão exibidos em cada mensagem e, em seguida,
clique em OK.
Clique em Ajuda para obter informações sobre as variáveis que pode
utilizar na mensagem.
5 Somente para o Auto-Protect para e-mail da Internet, na guia Servidor de

e-mails, digite as seguintes informações:
■ O nome e a porta do servidor de correio
■ O nome do usuário e a senha
■ O caminho revertido para o e-mail

Como notificar outros sobre mensagens de e-mail infectadas

Nos programas de e-mail compatíveis, você pode configurar o Auto-Protect para
notificar outros sempre que uma mensagem de e-mail que tenha um anexo
infectado for aberta.
Nota: Tenha cuidado ao configurar as opções para notificar outros sobre mensagens
de e-mail infectadas. O endereço da mensagem de e-mail infectada pode ser
falsificado. Se você enviar notificações, poderá gerar spams e causar o aumento
do tráfego na rede.
Você pode enviar uma mensagem de e-mail para outros usuários com o seguinte
assunto:
Risco à segurança encontrado na mensagem "[AssuntodeEmail]"
O conteúdo da mensagem inclui informações sobre o remetente do anexo infectado:
de [RemetentedeEmail].
■ O nome do risco
■ A ação tomada
A mensagem também pode ser personalizada.
Para notificar outros de mensagens de e-mail infectadas
2 Na guia Notificações, em Notificações por e-mail, selecione Enviar e-mail

para outros.
3 Clique em Outros.
4 Na caixa de diálogo Enviar e-mail para outros, na guia Outros, informe um
ou mais endereços de e-mail para os quais a notificação deverá ser enviada.
5 Clique na guia Mensagem e digite uma linha de assunto, um conteúdo de

mensagem e informações sobre a infecção que serão exibidos em cada
mensagem.
Clique em Ajuda para obter informações sobre as variáveis que pode utilizar
na mensagem.
6 Somente para o Auto-Protect para e-mail da Internet, na guia Servidor de
e-mails, digite as seguintes informações:
■ O nome e a porta do servidor de correio
■ O nome do usuário e a senha
■ O caminho revertido para o e-mail
7 Clique em OK.
Configuração de notificações de progresso para verificações do

Auto-Protect de e-mail da Internet
Você pode ativar e desativar as opções de indicador de progresso para as
verificações do Auto-Protect de e-mail da Internet.
Você pode configurar as seguintes opções:
■ Exibir ou não uma janela de progresso no computador-cliente quando uma
mensagem de e-mail é enviada.
■ Exibir ou não um ícone na área de notificação para indicar o status de
transmissão do e-mail.
As duas opções são ativadas por padrão.
Para configurar as notificações de progresso
1 Na página Política antivírus e anti-spyware, clique em Auto-Protect para
e-mail da Internet.
2 Na guia Notificações, em Notificações de progresso, realize as seguintes ações:
■ Marque ou desmarque Exibir um indicador de progresso quando o e-mail
estiver sendo enviado.
■ Marque ou desmarque Exibir um ícone na área de notificação.

Capítulo 31
Uso das verificações
definidas pelo
administrador
■ Sobre o uso de verificações definidas pelo administrador
■ Adição de verificações agendadas a uma política antivírus e anti-spyware
■ Configuração das opções de verificação sob demanda
■ Execução de verificações sob demanda
■ Configuração de opções de andamento da verificação para verificações definidas

pelo administrador
■ Configuração de opções avançadas para verificações definidas pelo

administrador
Sobre o uso de verificações definidas pelo

administrador
As verificações definidas pelo administrador incluem verificações de antivírus e
anti-spyware agendadas e verificações por solicitação. Configure opções para
estes tipos de verificações como parte de uma política antivírus e anti-spyware.
As verificações agendadas e verificações por solicitação são utilizadas para
suplementar a proteção fornecida pelo Auto-Protect. O Auto-Protect oferece
proteção ao ler e gravar arquivos. As verificações agendadas e verificações por
solicitação podem verificar qualquer arquivo existente nos computadores-cliente.
460 Uso das verificações definidas pelo administrador
Adição de verificações agendadas a uma política antivírus e anti-spyware
Elas também podem proteger a memória, pontos de carga e outros locais

importantes nos computadores-cliente.
Nota: No caso de clientes gerenciados, o Symantec Endpoint Protection oferece

uma verificação agendada padrão que verifica todos os arquivos, as pastas e os
locais em computadores-cliente.
Algumas opções para verificações definidas pelo administrador são similares às

opções para as verificações do Auto-Protect. As opções similares incluem as ações
de detecção e as notificações especificadas por você.
Consulte “Configuração de opções aplicáveis a verificações antivírus e
Adição de verificações agendadas a uma política

Configure as verificações agendadas como parte de uma política antivírus e
anti-spyware.
Você pode salvar as configurações da verificação agendada como um modelo. É
possível usar qualquer verificação salva como modelo como a base para uma
política antivírus e anti-spyware diferente. Os modelos de verificação podem
economizar tempo ao configurar várias políticas antivírus e anti-spyware. Um
modelo de verificação agendada é incluído na política por padrão. A verificação
agendada padrão verifica todos os arquivos e diretórios.
procedimento.
Para adicionar uma verificação agendada a uma política antivírus e anti-spyware
1 Na página Política antivírus e anti-spyware, clique em Verificações definidas
pelo administrador.
2 Na guia Verificações, em Verificações agendadas, clique em Adicionar.
3 Na caixa de diálogo Adicionar verificação agendada, clique em Criar uma
nova verificação agendada.
4 Clique em OK.
5 Na caixa de diálogo Adicionar verificação agendada, na guia Detalhes da
verificação, digite um nome e uma descrição para essa verificação agendada.
6 Selecione o tipo de verificação (Ativa, Completa ou Personalizada).
Uso das verificações definidas pelo administrador 461
7 Se você selecionou Personalizada, em Verificação, você pode especificar os

diretórios que deseja verificar.
8 Em Tipos de arquivo, clique em Verificar todos os arquivos ou Verificar
apenas extensões selecionadas.
na página 426.
9 Em Aperfeiçoar a verificação verificando, marque ou desmarque Memória,
Locais comuns de infecção ou Locais de vírus e riscos à segurança
conhecidos.
10 Clique em Opções avançadas de verificação.
11 Defina qualquer uma das opções para arquivos compactados, migração de
armazenamento ou otimização do desempenho.
12 Clique em OK para salvar as opções avançadas de verificação para essa
verificação.
13 Na guia Agendamento, em Agendamento de verificação, defina a freqüência
e a hora em que a verificação deve ser executada.
15 Na guia Notificações, selecione qualquer uma das seguintes opções.
Consulte “Sobre as mensagens de notificação em computadores infectados”
na página 429.
16 Se você quer salvar essa verificação como um modelo, selecione Salvar uma
cópia como um modelo de verificação agendada.
17 Clique em OK.
Para adicionar uma verificação agendada de um modelo
pelo administrador.
2 Na guia Verificações, em Verificações agendadas, clique em Adicionar.
3 Na caixa de diálogo Adicionar verificação agendada, selecione Criar uma
verificação agendada a partir de um modelo de verificação agendada.
4 Selecione o modelo de verificação que deseja usar para esta política.
5 Clique em OK.
Definição de opções para verificações agendadas perdidas

Se um computador deixa de executar uma verificação agendada por algum motivo,
o cliente do Symantec Endpoint Protection tenta fazer a verificação durante um
intervalo de tempo específico. Se o cliente não conseguir iniciar a verificação nesse
período, ele não executará a verificação.
Mesmo se o usuário que definiu a verificação não está conectado, o software-cliente
executa a verificação. Você pode especificar para que o cliente não execute a
verificação se o usuário estiver desconectado.
A Tabela 31-1 descreve intervalos de tempo padrão.
Tabela 31-1 Intervalos de tempo padrão
Freqüência da verificação Intervalo padrão
Verificações diárias 8 horas
Verificações semanais 3 dias
Verificações mensais 11 dias
Caso não queira usar a configuração padrão, você pode especificar outro intervalo
de tempo para a execução de uma verificação agendada.
procedimento.
Você pode definir as opções para as verificações agendadas perdidas ao criar uma
verificação agendada ou ao editar uma verificação agendada existente.
Para definir opções para as verificações agendadas perdidas
pelo administrador.
2 Na guia Verificações, em Verificações agendadas, execute uma das seguintes
opções:
■ Clique em Adicionar e, em seguida, na caixa de diálogo Adicionar
verificação agendada e certifique-se de selecionar a opção Criar uma nova
verificação agendada. Clique em OK.
■ Selecione uma verificação na lista e clique em Editar.
3 Na guia Agendamento, em Verificações agendadas perdidas, selecione

Especifique o tempo de espera para a repetição.
Digite o número ou use as setas para especificar o intervalo de tempo para o
cliente repetir a verificação agendada.
4 Clique em OK.
Edição, exclusão ou desativação de verificações agendadas

Você pode editar, excluir ou desativar as verificações agendadas em uma política
antivírus e anti-spyware. As alterações entram em vigor na próxima vez que você
aplicar a política.
procedimento.
Para editar uma verificação agendada
pelo administrador.
2 Na guia Verificações, selecione a verificação que deseja editar e clique em
Editar.
3 Na caixa de diálogo Editar uma verificação agendada, faça as alterações que
você desejar.
4 Clique em OK.
Para excluir uma verificação agendada
pelo administrador.
2 Na guia Verificações, selecione a verificação que deseja excluir.
4 Na mensagem que aparecer, clique em Sim.
Para desativar uma verificação agendada
pelo administrador.
2 Na guia Verificações, selecione a verificação que deseja desativar nesta
política.
3 Clique em Editar.
Configuração das opções de verificação sob demanda
4 Na caixa de diálogo Editar uma verificação agendada, na guia Agendamento,

clique em Ativar verificação.
5 Clique em OK.
Configuração das opções de verificação sob demanda

Você pode configurar as opções das verificações personalizadas que deseja executar
sob demanda. É possível executar as verificações sob demanda manualmente da
página Clientes. Também é possível executar as verificações sob demanda da
página Monitores no console de gerenciamento.
Não é possível configurar um nome ou uma descrição de verificação para as opções
de verificação. O cliente usará as opções quando você executar uma verificação
sob demanda personalizada do console de gerenciamento no computador-cliente.
Nota: Você pode executar uma Verificação ativa ou uma verificação completa sob
demanda.
Consulte “Sobre as verificações definidas pelo administrador” na página 411.

As configurações das verificações sob demanda são semelhantes às configurações
das verificações agendadas.
Consulte “Adição de verificações agendadas a uma política antivírus e
procedimento.
Para definir as configurações das verificações sob demanda
pelo administrador.
2 Na guia Verificações, em Verificação definida pelo administrador, clique em
Editar.
3 Na caixa de diálogo Editar verificação sob demanda do administrador, na guia
Detalhes da verificação, em Verificação, clique em Editar pastas.
A verificação inclui todas as pastas por padrão.
4 Na caixa de diálogo Editar pastas, seleciona as pastas desejadas e clique em
OK.
Execução de verificações sob demanda
5 Na caixa de diálogo Editar verificação sob demanda do administrador, em

Tipos de arquivo, clique em Verificar todos os arquivos ou Verificar apenas
extensões selecionadas.
Consulte “Sobre a verificação de extensões selecionadas ou pastas”
na página 413.
6 Em Aperfeiçoar a verificação por análise, marque ou desmarque Memória,
Locais comuns de infecção ou Locais de vírus e riscos à segurança
conhecidos.
7 Clique em Opções avançadas de verificação.
8 Defina qualquer uma das opções para arquivos compactados, migração de
armazenamento ou otimização do desempenho.
9 Clique em OK para salvar as opções avançadas para esta verificação.
11 Na guia Notificações, selecione qualquer uma das seguintes opções.
Consulte “Sobre as mensagens de notificação em computadores infectados”
na página 429.
12 Clique em OK.

É possível executar uma verificação a partir do console de gerenciamento. Você
pode executar essas verificações na guia Cliente no console. Também é possível
executar a verificação a partir dos registros de status do computador gerados na
guia Monitores.
É possível executar uma verificação ativa, completa, personalizada ou sob demanda.
A verificação personalizada usa as configurações definidas para as verificações
sob demanda na Política antivírus e anti-spyware.
Por padrão, a verificação examina os seguintes tipos de itens:
■ Todos diretórios
■ Todos os tipos de arquivos
■ Memória
■ Locais comuns de infecção
■ Locais de vírus e riscos à segurança conhecidos

Consulte “Configuração das opções de verificação sob demanda” na página 464.
procedimentos.
Nota: Se você emitir um comando de reinicialização no computador-cliente que

executa a verificação sob demanda, a verificação será interrompida e o
computador-cliente será reinicializado. A verificação não reinicializa.
Para executar uma verificação sob demanda em um grupo

2 Em Exibir clientes, clique com o botão direito do mouse no grupo que inclui
os computadores que você quer verificar.
3 Clique em Executar comando no grupo > Verificar.
4 Na caixa de diálogo Selecionar tipo de verificação, selecione Verificação ativa,
Verificação completa ou Verificação personalizada.
5 Clique em OK.
6 Na mensagem que aparecer, clique em Sim.
Para executar uma verificação sob demanda em um computador ou um usuário
2 No painel direito, em Clientes, selecione os computadores e os usuários aos
quais você quer executar uma verificação.
3 clique com o botão direito do mouse na seleção e, então, clique em Executar
comando em clientes > Verificar.
4 Na mensagem exibida, clique em Sim.
5 Na caixa de diálogo Selecionar tipo de verificação, selecione Verificação ativa,
Verificação completa ou Verificação personalizada.
6 Clique em OK.
Configuração de opções de andamento da verificação para verificações definidas pelo administrador
Configuração de opções de andamento da verificação

para verificações definidas pelo administrador
Você pode configurar se a caixa de diálogo Resultados da verificação será ou não
exibida em computadores-cliente. Se você permitir que a caixa de diálogo seja
exibida em computadores-cliente, os usuários sempre terão permissão para pausar
ou atrasar uma verificação definida pelo administrador.
Você pode permitir que os usuários interrompam uma verificação por completo.
Você pode também configurar as opções para o usuário pausar ou atrasar as
verificações.
As ações possíveis do usuário são definidas a seguir:
Verificação pausada Quando o usuário pausa uma verificação, a caixa de

diálogo Resultados da verificação permanece aberta,
aguardando que ele continue ou anule a verificação. Se o
computador for desligado, a verificação pausada não
continuará.
Verificação adiada Ao adiar uma verificação agendada, o usuário tem a opção

de adiá-la por uma hora ou três horas. O número de
adiamentos é configurável. Quando uma verificação é
adiada, a caixa de diálogo Resultados da verificação é
fechada. Ela reaparece quando o período de adiamento se
encerra e a verificação é reiniciada.
Verificação interrompida Quando o usuário interrompe a verificação, ela, em geral,

pára imediatamente. Se o usuário interrompe a verificação
enquanto o software-cliente verifica um arquivo
compactado, a verificação não pára imediatamente. Nesse
caso, a verificação pára assim que o arquivo compactado
é verificado. As verificações interrompidas não são
reiniciadas.
As verificações pausadas são reiniciadas automaticamente após um período

predeterminado.
procedimento.
Configuração de opções avançadas para verificações definidas pelo administrador
Para configurar o andamento da verificação para verificações definidas pelo

administrador
pelo administrador.
2 Na guia Avançado, em Opções de andamento da verificação, selecione Mostrar
andamento da verificação ou Mostrar andamento da verificação se houver
um risco detectado.
3 Para fechar automaticamente o indicador de andamento quando a verificação
for concluída, selecione Fechar a janela de andamento da verificação após
a conclusão.
4 Selecione Permitir que o usuário interrompa a verificação.
5 Clique em Opções de pausa.
6 Na caixa de diálogo Opções de pausa de verificação, proceda de uma das
seguintes maneiras:
■ Para limitar o tempo para a pausa de uma verificação, marque Limitar o
tempo de pausa da verificação e digite um número de minutos. A faixa é
de 3 a 180.
■ Para limitar o número de vezes que o usuário pode atrasar (ou adiar) uma
verificação, na caixa Número máximo de suspensões, digite um número
entre 1 e 8.
■ Por padrão, um usuário pode atrasar a verificação por uma hora. Para
alterar esse limite para 3 horas, marque Permitir que os usuários
suspendam a verificação por 3 horas.
7 Clique em OK.
Configuração de opções avançadas para verificações

definidas pelo administrador
Você pode definir opções avançadas para verificações sob demanda e agendadas.
procedimento.
Para definir opções avançadas para verificações definidas pelo administrador
pelo administrador.
2 Na guia Avançado, em Verificações agendadas, marque ou desmarque as
seguintes opções:
■ Adiar verificações agendadas ao executar com baterias

■ Permitir a execução de verificações agendadas definidas pelo usuário
quando o autor da verificação não estiver conectado
3 Em Verificações inicial e acionada, marque ou desmarque as opções a seguir:

■ Executar verificações na inicialização quando os usuários efetuarem
login
■ Permitir que os usuários modifiquem verificações iniciais
■ Executar uma Verificação ativa quando forem recebidas novas definições
4 Clique em OK.
Seção 5
contra ameaças à rede
■ Configurações básicas da proteção contra ameaças à rede
■ Configuração da prevenção de intrusões
■ Personalização da proteção contra ameaças à rede

472
Capítulo 32
proteção contra ameaças à
rede
■ Sobre proteção contra ameaças à rede e ataques à rede
■ Sobre o firewall
■ Sobre o trabalho com políticas de firewall
■ Sobre as regras de firewall
■ Adição de regras em branco
■ Adição de regras com o Assistente de Adição de regra de firewall
■ Adição de regras herdadas de um grupo pai
■ Importação e exportação de regras
■ Edição e exclusão de regras
■ Como copiar e colar regras
■ Alteração da ordem das regras
■ Ativação e desativação de regras
■ Ativação da filtragem inteligente de tráfego
■ Ativação das configurações de tráfego e dissimulação
■ Configuração da autenticação ponto-a-ponto

474 Configurações básicas da proteção contra ameaças à rede
Sobre proteção contra ameaças à rede e ataques à rede
Sobre proteção contra ameaças à rede e ataques à

rede
Os ataques a redes aproveitam o modo como os computadores transferem
informações. O cliente pode proteger os computadores monitorando as informações
recebidas e enviadas pelo computador e bloqueando todas as tentativas de ataques.
As informações são transmitidas pela Internet na forma de pacotes. Cada pacote
inclui um cabeçalho que contém informações sobre o computador remetente, o
destinatário, como os dados no pacote devem ser processados e a porta que deve
receber o pacote.
As portas são os canais que dividem o fluxo de informação proveniente da Internet
em caminhos diferentes daqueles com os quais os aplicativos individuais lidam.
Quando os aplicativos da Internet são executados em um computador, eles escutam
uma ou mais portas e aceitam as informações enviadas a elas.
Os ataques pela rede tiram vantagem das fraquezas de programas específicos da
Internet. Os invasores usam ferramentas que enviam pacotes com código de
programação malicioso a determinada porta. Se um aplicativo vulnerável a esse
ataque escutar essa porta, o código poderá permitir que o invasor obtenha acesso,
desative ou até mesmo controle o computador. O código de programação usado
para gerar os ataques pode estar em um único pacote ou espalhar-se por vários
pacotes.
Você pode instalar o cliente com as configurações padrão de proteção contra
ameaças à rede. Na maioria dos casos, você não precisa alterar as configurações.
Geralmente é mais seguro deixar as configurações como estão. Entretanto, se você
tiver uma boa compreensão de redes, poderá efetuar alterações no firewall do
cliente para melhorar a proteção do computador-cliente.
Como o Symantec Endpoint Protection protege os computadores contra

ataques pela rede
O cliente do Symantec Endpoint Protection inclui as seguintes ferramentas que
protegem os computadores de sua empresa de tentativas de intrusão:
Firewall Monitora todas as comunicações pela Internet e cria uma

proteção que bloqueia ou limita as tentativas de exibir
informações no computador.
Configurações básicas da proteção contra ameaças à rede 475
Sobre o firewall
Prevenção de intrusões Analisa toda as informações recebidas e enviadas quanto aos

padrões de dados típicos de um ataque.
Consulte “Sobre o sistema de prevenção de intrusões”

na página 499.
Sobre o firewall
O firewall do Symantec Endpoint Protection é um software que estabelece uma
barreira entre o computador e a Internet. O firewall impede que usuários não
autorizados acessem os computadores e redes que se conectam à Internet. Ele
detecta possíveis ataques de hackers, protege informações pessoais e elimina
fontes indesejadas do tráfego da rede.
O firewall monitora tentativas

de acesso provenientes da
Internet
Computador-cliente
O firewall permite ou bloqueia

Internet o tráfego de rede especificado
pela política de firewall
Todas as informações que entram ou saem da rede privada devem passar pelo
firewall, que examina os pacotes de informações. O firewall bloqueia os pacotes
que não atendam aos critérios de segurança especificados. O firewall examina os
pacotes de informações utilizando uma política de firewall. As políticas de firewall
consistem em uma ou mais regras que funcionam juntas para dar pemissão ou
bloquear usuários no acesso à rede. Somente tráfegos autorizados podem passar.
A política de firewall define o tráfego autorizado.
O firewall funciona em segundo plano. Determine o nível de interação com o
cliente que deseja atribuir aos usuários, permitindo ou bloqueando sua capacidade
de configurar regras e configurações de firewall. Os usuários podem interagir com
Sobre o trabalho com políticas de firewall
o cliente somente se ele notificá-los sobre novas conexões de rede e possíveis

problemas ou podem ter acesso total à interface do usuário.
Consulte “Sobre as regras de firewall” na página 477.
Sobre o trabalho com políticas de firewall

O Symantec Endpoint Protection Manager inclui uma política de firewall padrão
com regras e configurações de firewall para o ambiente de empresas. Normalmente,
o ambiente de empresas está sob a proteção de firewalls corporativos, filtros de
pacotes delimitadores ou servidores do antivírus. Portanto, ele é normalmente
mais seguro do que a maioria dos ambientes domésticos, onde existe uma proteção
limitada.
Quando você instala o console pela primeira vez, ele adiciona automaticamente
uma política de firewall padrão para cada grupo. Cada vez que você adiciona um
novo local, o console copia uma política de firewall para o local padrão
automaticamente.
Se a proteção padrão não for apropriada, você poderá personalizar a política de
firewall para cada local como, por exemplo, um site local ou o do cliente. Se você
não quiser a política de firewall padrão, poderá editá-la ou substituí-la por outra
política compartilhada.
As políticas de firewall incluem os seguintes elementos:
Regras de firewall Monitoram toda a comunicação pela Internet e criam uma

proteção que bloqueia ou limita as tentativas de exibir
informações do computador. As regras de firewall podem
tornar o computador invisível aos outros na Internet.
As regras de firewall protegem usuários remotos contra

ataques de hackers e evitam que estes obtenham acesso pela
porta dos fundos a redes corporativas por meio desses
computadores. Você pode avisar aos usuários quando uma
regra de firewall bloquear um aplicativo em seus
computadores.
Filtros inteligentes de tráfego Permitem os tipos específicos de tráfego necessários na

maioria das redes, como DHCP, DNS e WINS.
Consulte “Ativação da filtragem inteligente de tráfego”

na página 495.
Sobre as regras de firewall
Configurações de tráfego e Detecta e bloqueia o tráfego proveniente de certos drivers,

do modo dissimulado protocolos e de outras origens.
Consulte “Ativação das configurações de tráfego e

dissimulação” na página 496.
Configurações da Bloqueia a conexão de um computador remoto a um

autenticação ponto-a-ponto computador-cliente até que este o autentique.
Consulte “Configuração da autenticação ponto-a-ponto”

na página 496.
Você pode definir um local para controle de cliente ou controle misto para que o
usuário possa personalizar a política de firewall.
Consulte “Configuração da proteção contra ameaças à rede para controle misto”
na página 515.
Você cria e edita as políticas de firewall de modo semelhante ao usado para criar
e modificar outros tipos de políticas. Você pode atribuir, retirar, substituir, copiar,
exportar, importar ou excluir uma política de firewall.
Você poderá criar uma política não compartilhada e específica para um local se
Você deve estar familiarizado com os princípios da configuração da política para
trabalhar com políticas.

As regras de firewall controlam o modo como o cliente protege o
computador-cliente de tráfego de entrada e de saída malicioso. Com base nessas
regras, o firewall verifica automaticamente todos os pacotes de entrada e de saída.
O firewall, então, permite ou bloqueia os pacotes que se baseiam nas informações
especificadas nas regras. Quando um computador tenta se conectar a outro
computador, o firewall compara o tipo de conexão com sua lista de regras de
firewall.
Sobre os elementos de uma regra de firewall

Em geral, uma regra de firewall descreve as condições em que uma conexão de
rede pode ser permitida ou negada. Devem-se usar os seguintes critérios para
definir uma regra de firewall:
Triggers Aplicativos, hosts, protocolos e adaptadores de rede
Quando o firewall avalia a regra, todos os triggers devem ser verdadeiros

para que ocorra uma correspondência positiva. Se algum trigger não for
verdadeiro em relação ao pacote atual, o firewall não poderá aplicar a
regra. Você pode combinar as definições do trigger para formar regras
mais complexas, como para identificar determinado protocolo com relação
a um endereço de destino específico.
Condições Agendamento e estado da proteção de tela
Os parâmetros condicionais não descrevem um aspecto de uma conexão

de rede. Em vez disso, os parâmetros condicionais determinam o estado
ativo de uma regra. Você pode definir um agendamento ou identificar um
estado da proteção de tela que determine quando uma regra é considerada
ativa ou inativa. Os parâmetros condicionais são opcionais e caso não
sejam configurados, não serão significativos. O firewall não avalia regras
inativas.
Ações Permitir ou bloquear, registrar ou não registrar
Os parâmetros de ação especificam que ações o firewall realizará quando

uma regra for correspondida com êxito. Se a regra for correspondida e
selecionada em resposta a um pacote recebido, o firewall realizará todas
as ações. O firewall permite ou bloqueia o pacote e realiza ou não seu
registro. A regra especifica o acesso à rede se o firewall permitir o tráfego.
A regra especifica que o tráfego não tem acesso à rede se o firewall bloquear
o tráfego.
Uma regra que combine todos os critérios pode permitir tráfego ao endereço IP
192.58.74.0 na porta remota 80, das 9 h às 17 h diariamente.
Sobre triggers de aplicativos

Quando o aplicativo é o único trigger definido em uma regra que permite tráfego,
o firewall permite que o aplicativo execute qualquer operação de rede. O aplicativo
é o valor significativo, não as operações de rede realizadas por ele. Por exemplo,
suponha que seja dada permissão ao Internet Explorer e que nenhum outro trigger
seja definido. Os usuários podem acessar sites remotos que usam HTTP, HTTPS,
FTP, Gopher e qualquer outro protocolo aceito pelo navegador. É possível definir
triggers adicionais para descrever protocolos e hosts de rede específicos com os
quais a comunicação é permitida.
Pode ser difícil solucionar problemas de regras baseadas em aplicativos, pois um
aplicativo pode usar vários protocolos. Por exemplo, se o firewall processa uma
regra que permite o Internet Explorer antes de uma regra que bloqueia o FTP, o
usuário ainda poderá se comunicar com o FTP. O usuário pode inserir um URL
baseado em FTP no navegador, como, por exemplo, ftp://ftp.symantec.com.
Não devem ser usadas regras de aplicativos para controlar o tráfego no nível da
rede. Por exemplo, uma regra que bloqueia ou limita o uso do Internet Explorer
não teria qualquer efeito se o usuário usasse um outro navegador da Web. O tráfego
gerado por outro navegador da Web seria comparado a quaisquer outras regras,
com exceção da regra do Internet Explorer. Regras baseadas em aplicativos são
mais eficientes quando as regras são configuradas para bloquear os aplicativos
que enviam e recebem tráfego.
Nota: Se o Trend Micro PC-cillin IS 2007 e o cliente do Symantec Endpoint

Protection forem instalados no mesmo computador, as regras de firewall de um
navegador da Web específico não funcionarão. O Trend Micro PC-cillin fornece
tráfego da Web ao seu próprio software de proxy. No Trend Micro PC-cillin, você
deve desativar os controles de acesso ao website e a opção de prevenção contra
ameaças a dados.
Sobre triggers de host

Ao definir triggers de host, você especifica o host nos dois lados da conexão da
rede descrita.
Normalmente, o que expressa a relação entre os hosts é a origem ou o destino de
uma conexão de rede.
Você pode definir a relação entre hosts de uma das seguintes maneiras:
Origem e destino O host de origem e o host de destino dependem da direção do

tráfego. Em um caso, o computador-cliente local pode ser a
origem, enquanto, em um outro caso o computador remoto pode
ser a origem.
A relação entre a origem e o destino é mais comumente usada

em firewalls baseados em rede.
Local e remoto O host local é sempre o computador-cliente local e o host remoto

é sempre um computador remoto posicionado em outro local
na rede. Esta expressão da relação entre os hosts é independente
da direção do tráfego.
A relação local-remoto é usada mais comumente em firewalls

baseados em hosts e é uma maneira mais simples de se observar
o tráfego.
A Figura 32-1 ilustra a relação entre a origem e o destino com relação à direção
de tráfego.
Figura 32-1 Hosts de origem e destino
Origem Destino
` HTTP
Symantec.com
Cliente SEP
Origem Destino
` RDP
`
Cliente SEP
Outro cliente
A Figura 32-2 ilustra a relação entre o host local e o host remoto com relação à
direção de tráfego.
Figura 32-2 Hosts locais e remotos
Local Remota
` HTTP
Symantec.com
Cliente SEP
Local Remota
` RDP
`
Cliente SEP
Outro cliente
Você pode definir vários hosts de origem e vários hosts de destino. Os hosts que
você definir em qualquer lado da conexão serão avaliados com o uso de uma
expressão OR. A relação entre hosts selecionados será avaliada com o uso de uma
expressão AND.
Por exemplo, considere uma regra que define um único host local e vários hosts
remotos. Enquanto o firewall examina os pacotes, o host local deve corresponder
ao endereço IP de relevância. Entretanto, os lados do endereço que se opõem devem
corresponder a qualquer host remoto. Por exemplo, você pode definir uma regra
que permita comunicação HTTP entre o host local e symantec.com, yahoo.com
ou google.com. Essa única regra equivale a três regras.
Consulte “Adição de hosts e grupos de hosts a uma regra” na página 518.
Sobre triggers de serviço de rede

Um trigger de serviço de rede identifica um ou mais protocolos de rede
significativos em relação ao tráfego de rede descrito.
É possível definir os seguintes tipos de protocolo:
TCP Porta ou intervalos de portas
UDP Porta ou intervalos de portas
ICMP Tipo e código
IP Número de protocolo (tipo de IP)
Exemplos: Tipo 1 = ICMP, Tipo 6 = TCP, Tipo 17 = UDP
Ethernet Tipo de estrutura de Ethernet
Exemplos: Tipo 0x0800 = IPv4, Tipo = 0x8BDD = IPv6, Tipo

0x8137 = IPX
Quando são definidos triggers de serviço baseados em TCP ou em UDP, você

identifica portas nos dois lados da conexão de rede descrita. As portas normalmente
são atribuídas como origem ou destino de uma conexão de rede.
Você pode definir a relação de serviço de rede de uma das seguintes maneiras:
Origem e destino A porta de origem e a porta de destino dependem da direção do

tráfego. Em um caso, o computador-cliente local pode ter a porta
de origem, enquanto em outro caso, o computador remoto pode
ter a porta de origem.
Local e remoto O computador host local sempre possui a porta local e o

computador remoto sempre possui a porta remota. Esta
expressão da relação de portas é independente da direção do
tráfego.
Você especifica a direção de tráfego quando define o protocolo.

Você pode definir vários protocolos. Por exemplo, uma regra pode incluir os
protocolos ICMP, IP e TCP. A regra descreve vários tipos de conexões que podem
ocorrer entre os computadores-cliente identificados ou são usados por um
aplicativo.
Sobre trigger de adaptadores de rede

Quando um trigger de adaptador de rede for definido, a regra é relevante somente
para o tráfego transmitido ou recebido usando o tipo especificado de adaptador.
Você pode especificar um dos tipos de adaptadores a seguir:
■ Ethernet
■ Dial-up
■ Qualquer VPN
■ Adaptadores virtuais específicos do fornecedor
Quando definir um tipo particular de adaptador, saiba como esse adaptador deve
ser usado. Por exemplo, se uma regra permite tráfego de saída HTTP de
adaptadores Ethernet, então HTTP tem permissão em todos os adaptadores
instalados do mesmo tipo. A única exceção ocorre quando você também especificar
endereços de host locais. O computador-cliente pode usar servidores de vários
NIC e estações de trabalho que liguem dois ou mais segmentos de rede. No caso
de controle de tráfego relativo a um adaptador particular, deve ser usado o esquema
de endereços de cada segmento em vez do adaptador por si só.
Sobre a ordem do processamento de regras

As regras de firewall são ordenadas seqüencialmente, da prioridade mais alta para
a mais baixa ou de cima para baixo na lista Regras. O firewall inspeciona as regras
nessa ordem. Se a primeira regra não especificar como tratar um pacote, o firewall
inspecionará a segunda regra para obter informações sobre como tratar dele. Esse
processo continua até que o firewall encontre uma correspondência. Depois de
encontrar uma correspondência, o firewall executa a ação especificada pela regra
e as regras subseqüentes de prioridade mais baixa não são inspecionadas. Por
exemplo, se uma regra que bloqueia todo o tráfego é a primeira relacionada, seguida
de uma regra que permite todo o tráfego, o cliente bloqueia todo o tráfego.
A Tabela 32-1 exibe a ordem na qual o firewall processa as regras e as
configurações.
Tabela 32-1 Seqüência de processamento de regras de firewall, Assinaturas IPS

e configurações
Prioridade Configuração
Primeira Assinaturas personalizadas de IPS
Segunda Configurações de prevenção de intrusões, configurações de tráfego e

configurações dissimuladas
Terceira Filtros inteligentes de tráfego
Quarta Regras de firewall
Quinta Verificação de portas
Sexta Assinaturas IPS obtidas por download por meio de LiveUpdate
A lista Regras contém uma linha divisória azul. A linha divisória configura a
prioridade das regras nas seguintes situações:
■ Quando um subgrupo herda regras de um grupo pai.
■ Quando o cliente é configurado com controle misto. O firewall processa tanto
regras do servidor quanto do cliente.
A Figura 32-3 exibe a lista Regras e a linha divisória azul.
Figura 32-3 Lista Regras
Sobre regras herdadas

Os processos do firewall herdaram regras de firewall na lista Regras como segue:
■ Acima da linha divisora azul, as regras herdadas pela política têm prioridade
sobre as regras criadas por você.
■ Abaixo da linha divisora azul, as regras que você criar têm prioridade sobre
as regras herdadas pela política.
A Figura 32-4 exibe como a lista de regras ordena as regras quando um subgrupo
as herda de um grupo pai. Nesse exemplo, o grupo Vendas é o grupo pai. O grupo
Vendas Europa herda as regras do grupo Vendas.
Figura 32-4 Regras de firewall herdadas

Grupo de Grupo de Grupo de
vendas vendas na vendas na
Europa Europa
As vendas na Europa herdam as
regras de firewall das Vendas Regra 1 Tem prioridade
Regra 1 Regra 3
Regra 3
Linha azul Linha azul Linha azul
Regra 4 Tem prioridade

Regra 2 Regra 4
Regra 2
Consulte “Adição de regras herdadas de um grupo pai” na página 491.
Sobre regras do servidor e do cliente

As regras são categorizadas como regras do servidor ou do cliente. As regras do
servidor são regras criadas por você no console do Symantec Endpoint Protection
Manager e que são transferidas por download para o cliente do Symantec Endpoint
Protection. As regras do cliente são aquelas criadas pelo usuário no cliente.
A Tabela 32-2 descreve a relação entre o nível de controle do usuário e sua
interação com as regras de firewall.
Tabela 32-2 Nível de controle do usuário e status de regras
Nível de controle do Interação do usuário

usuário
Controle do servidor O cliente recebe regras do servidor, mas o usuário não pode
visualizá-las. O usuário não pode criar regras do cliente.
Controle misto O cliente recebe regras do servidor. O usuário pode criar regras
do cliente, que são mescladas com as regras do servidor e com
as configurações de segurança do cliente.
Nível de controle do Interação do usuário

usuário
Controle do cliente O cliente não recebe as regras do servidor. O usuário pode criar
regras do cliente. Não é possível visualizar as regras do cliente.
Consulte “Definição das configurações da interface do usuário” na página 125.

Para os clientes em controle misto, o firewall processa as regras do servidor e do
cliente em uma ordem específica.
A Tabela 32-3 relaciona a ordem em que o firewall processa as regras do servidor
e do cliente e as configurações do cliente.
Tabela 32-3 Prioridade de processamento das regras do servidor e do cliente
Prioridade Tipo de regra ou configuração
Primeira Regras do servidor com níveis altos de prioridade (regras acima

da linha azul na lista de regras)
Segunda Regras do cliente
Terceira Regras do servidor com níveis mais baixos de prioridade (regras

abaixo da linha azul na lista de regras)
No cliente, as regras do servidor abaixo da linha azul são

processadas depois das regras do cliente.
Quarta Configurações de segurança do cliente
Quinta Configurações específicas de aplicativos do cliente
No cliente, os usuários podem modificar uma regra do cliente ou uma configuração

de segurança, mas não podem modificar uma regra do servidor.
Aviso: Se o cliente estiver no controle misto, os usuários podem criar uma regra
do cliente que permita todo o tráfego. Essa regra sobrepõe todas as regras do
servidor abaixo da linha azul.
Consulte “Alteração da ordem das regras” na página 494.
Sobre a inspeção inteligente

O firewall usa a inspeção inteligente, um processo que rastreia informações sobre
conexões atuais, como endereços IP de origem e destino, portas e aplicativos. O
cliente toma decisões sobre o fluxo de tráfego usando essa informações de conexão
antes de inspecionar as regras de firewall.
Por exemplo, se uma regra de firewall permite que um cliente se conecte a um
servidor da Web, o firewall registra informações sobre a conexão. Quando o
servidor responde, o firewall detecta que o cliente espera uma resposta do servidor
da Web e permite o fluxo do tráfego do servidor da Web ao cliente que iniciou a
conexão, sem inspecionar a base de regras. Uma regra deve permitir o tráfego
inicial de saída antes que o firewall registre a conexão.
A inspeção inteligente permite simplificar as bases de regras, pois não é preciso
criar regras que permitam o tráfego em ambas as direções quando ele é iniciado
em apenas uma direção. O tráfego de cliente que é iniciado tipicamente em uma
direção inclui Telnet (porta 23), HTTP (porta 80) e HTTPS (porta 443). Os clientes
iniciam essa saída de tráfego, então só é preciso criar uma regra que permita o
tráfego de saída para esses protocolos. O firewall permite o retorno do tráfego.
Ao configurar somente as regras de saída, você aumenta a segurança do cliente
das seguintes maneiras:
■ Reduzindo a complexidade da base de regras.
■ Eliminando a possibilidade de um worm ou outro programa malicioso iniciar
conexões com um cliente em portas configuradas somente para tráfego de
saída. Também é possível configurar somente regras de entrada, para tráfego
não iniciado por clientes.
A inspeção inteligente suporta todas as regras que direcionam o tráfego TCP. Ela
não oferece suporte para as regras que filtram o tráfego ICMP. Para o tráfego
ICMP, você deve criar regras que permitam o tráfego em ambas as direções, quando
necessário. Por exemplo, para que os clientes usem o comando ping e recebam
respostas, é necessário criar uma regra que permita o tráfego ICMP em ambas as
direções.
Como o firewall é inteligente por natureza, só é preciso criar regras que iniciam
uma conexão, e não as características, de um pacote específico. Todos os pacotes
pertencentes a uma conexão permitida são implicitamente permitidos, como sendo
uma parte integrante dessa mesma conexão.
Sobre as conexões UDP

Para as comunicações UDP, o cliente analisa o primeiro datagrama UDP e aplica
a ação que é tomada no datagrama inicial para todos os datagramas UDP
subseqüentes na sessão do programa atual. O tráfego de entrada e saída entre os
mesmos computadores é considerado parte da conexão UDP.
Para um tráfego UDP inteligente, quando uma conexão UDP é feita, a comunicação
UDP de entrada é permitida, mesmo que a regra de firewall a bloqueie. Por exemplo,
Adição de regras em branco
se uma regra bloqueia comunicações UDP de entrada por um aplicativo específico,

mas você escolhe um datagrama UDP de saída, todas as comunicações UDP de
entrada são permitidas para a sessão de aplicativo atual. Para um UDP inteligente,
você deve criar uma regra de firewall que permita a resposta da comunicação UDP
de entrada.
Uma sessão UDP expira depois de 40 segundos caso o aplicativo feche a porta.

Quando uma política de firewall é criada, inclui várias regras padrão. As regras
padrão oferecem proteção básica para um ambiente de escritório. Se necessário,
é possível adicionar outras regras de firewall adicionais.
Adicione regras destas maneiras:
■ Adicione uma regra em branco à lista e configure-a manualmente.
■ Execute o Assistente da Regra de firewall.
Consulte “Adição de regras com o Assistente de Adição de regra de firewall”
na página 490.
Para simplificar o gerenciamento da base de regras, é necessário especificar o
tráfego de entrada e saída em uma regra sempre que possível. Não é necessário
criar regras de entrada de tráfego, como HTTP. O cliente do Symantec Endpoint
Protection usa inspeção inteligente do tráfego TCP e não precisa de uma regra
para filtrar o tráfego de retorno que os clientes iniciarem.
Consulte “Sobre a inspeção inteligente” na página 485.
Para adicionar regras em branco
1 No console, abra uma política de firewall.
2 Na página Política de firewall, clique em Regras.
3 Na guia Regras, na lista Regras, clique em Adicionar regra em branco.
4 Clique na caixa de texto Nome e digite um nome para a regra.
5 No campo Gravidade, clique na lista suspensa e selecione uma destas opções:
■ Crítica
■ Séria
■ Secundária
■ Informações
6 Clique com o botão direito do mouse no campo Aplicativo, clique em Editar

e defina um aplicativo na caixa de diálogo Lista de aplicativos.
Consulte “Adição de aplicativos a uma regra” na página 526.
7 Clique em OK.
8 Clique com o botão direito do mouse no campo Host, clique em Editar e defina
um host na lista Host.
Consulte “Adição de hosts e grupos de hosts a uma regra” na página 518.
9 Clique em OK.
10 Clique com o botão direito do mouse no campo Hora, clique em Editar e defina
um agendamento.
Consulte “Adição de agendas a uma regra” na página 527.
11 Clique em OK.
12 Clique com o botão direito do mouse no campo Serviço e clique em Editar
para adicionar ou configurar um serviço de rede personalizado.
Consulte “Adição de serviços de rede a uma regra” na página 521.
13 Clique em OK.
14 Clique com o botão direito do mouse no campo Adaptador e selecione um ou
mais destes itens:
■ Todos os adaptadores
■ Qualquer VPN
■ Dial-up
■ Ethernet
■ Mais adaptadores
Você pode adicionar e selecionar em uma lista de adaptadores específicos
do fornecedor
Consulte “Adição de adaptadores de rede” na página 523.
15 Clique com o botão direito do mouse no campo Proteção de tela e selecione
o estado desejado para a proteção de tela:
■ Ativado
■ Desativado
■ Qualquer
16 Clique com o botão direito do mouse no campo Ação e selecione a ação que
deseja que o firewall tome quando o tráfego corresponder à regra:
■ Permitir
■ Bloquear
■ Perguntar
17 Clique com o botão direito do mouse no campo Registro e selecione uma ou

mais ações de registro que deseja que o firewall tome quando o tráfego
corresponder à regra:
■ Gravar em registro de tráfego
■ Gravar em registro de pacote
■ Enviar alerta de e-mail
na página 530.
O campo Criado em não é editável. Se a política for compartilhada, o campo
exibirá o termo Compartilhada. Se a política não for compartilhada, o campo
exibirá o nome do grupo ao qual a política não compartilhada está atribuída.
18 Clique com o botão direito do mouse no campo Descrição e clique em Editar.
19 Na caixa de diálogo Digitar descrição, digite uma descrição adicional para a
regra e clique em OK.
20 Após terminar de adicionar a regra, escolha uma destas ações:
■ Adicionar outra regra.
■ Adicionar configurações da filtragem inteligente de tráfego ou
configurações de tráfego e dissimulação
Consulte “Ativação das configurações de tráfego e dissimulação”
na página 496.
■ Após concluir a configuração da política, clique em OK.
21 Caso seja solicitado, atribua um local para a política.

Adição de regras com o Assistente de Adição de regra de firewall
Adição de regras com o Assistente de Adição de regra

de firewall
Use o Assistente de Adição de regra de firewall para criar um dos seguintes tipos
de regras:
Regras dos Uma regra baseada em um processo em execução específico que

aplicativos tenta usar os recursos da rede
Regras do host Uma regra baseada nos endpoints das conexões de rede
Regras de serviço Uma regra baseada nos protocolos usados pelas conexões de rede
Poderá ser necessário incluir dois ou mais critérios para descrever um tráfego
específico de rede, como um protocolo em particular que se origina de um host
específico. Você deve configurar a regra depois de adicioná-la, pois o Assistente
de Adição de regra de firewall não configura regras novas com vários critérios.
Depois que estiver familiarizado com o modo com que as regras são definidas e
processadas, você pode adicionar regras em branco e configurar os vários campos,
conforme necessário. Uma regra em branco permite todo o tráfego.
Consulte “Adição de regras em branco” na página 487.
Para adicionar regras com o Assistente de Adição de regra de firewall
3 Na guia Regras, sob a lista Regras, clique em Adicionar regra.
4 No Assistente de Adição de regra de firewall, clique em Avançar.
5 No painel Selecionar tipo de regra, selecione um dos tipos de regra.
7 Digite os dados em cada painel para criar o tipo de regra que você selecionou.
8 Para aplicativos e hosts, clique em Adicionar mais para adicionar aplicativos
e serviços adicionais.
9 Quando tiver terminado, clique em Concluir.
10 Na lista Regras, clique com o botão direito do mouse em qualquer campo para
editar a regra.
Adição de regras herdadas de um grupo pai
Adição de regras herdadas de um grupo pai

Você pode adicionar regras herdando somente as regras de um grupo pai. Para
herdar as regras de um grupo pai, a política de subgrupos deve ser uma política
não compartilhada.
Nota: Se o grupo herda todas as políticas de um grupo pai, esta opção está
indisponível.
As regras herdadas são ativadas automaticamente. A política do subgrupo pode

herdar somente as regras de firewall que estiverem ativadas no grupo pai. Depois
de herdar as regras, você pode desativá-las, mas não pode modificá-las. À medida
que as novas regras são adicionadas à política do grupo pai, elas também são
adicionadas automaticamente à política de herança.
Quando as regras herdadas são exibidas na lista de regras, elas são sombreadas
na cor púrpura. Acima da linha azul, as regras herdadas são adicionadas acima
das regras que você criou. Abaixo da linha azul, as regras herdadas são adicionadas
abaixo das regras que você criou.
Uma política de firewall também herda as regras padrão; portanto, a política de
firewall do subgrupo pode ter dois conjuntos de regras padrão. Você pode excluir
um conjunto de regras padrão.
Se quiser remover as regras herdadas, você desativará sua herança em vez de
excluí-las. Você deve remover todas as regras herdadas em vez das regras
selecionadas.
Para adicionar regras herdadas de um grupo pai
3 Na guia Regras, acima da lista de regras, selecione Herdar regras de firewall
do grupo pai.
Para remover as regras herdadas, desmarque Herdar regras de firewall do
grupo pai.
4 Clique em OK.
Consulte “Grupos, herança, locais e políticas” na página 346.
Importação e exportação de regras
Importação e exportação de regras

É possível exportar e importar regras e configurações de firewall de outra política
de firewall para que não seja necessário criá-las novamente. Por exemplo, você
pode importar um conjunto parcial de regras de uma política para outra. Para
importar regras, primeiro é necessário exportá-las para um arquivo .dat e ter
acesso ao mesmo.
As regras serão adicionadas na mesma ordem em que estão relacionadas na política
pai em relação à linha azul. Depois, é possível alterar a ordem de processamento.
Para exportar regras
3 Na lista Regras, selecione as regras que deseja exportar, clique com o botão
direito do mouse e clique em Exportar.
4 Na caixa de diálogo Exportar política, localize um diretório onde salvar o
arquivo .dat, digite um nome de arquivo e clique em Exportar.
Para importar regras
3 Clique com o botão direito do mouse na lista Regras e clique em Importar.
4 Na caixa de diálogo Importar política, localize o arquivo .dat que contém as
regras de firewall a serem importadas e clique em Importar.
5 Na caixa de diálogo Entrada, digite o novo nome para a política e clique em
OK.
6 Clique em OK.
Edição e exclusão de regras

É possível alterar as regras de firewall que não estiverem funcionando
satisfatoriamente. Modificar uma regra é o mesmo que adicionar uma regra em
branco e depois editá-la.
É possível excluir qualquer regra de firewall, mesmo uma regra padrão. Não é
possível excluir uma regra em uma política herdada de uma política pai.
Como copiar e colar regras
Para editar regras

2 Na página de Política de firewall, clique em Regras.
3 Na guia Regras, na lista Regras, clique duas vezes em qualquer coluna em
uma regra para editá-la.
4 Edite qualquer coluna na tabela de regras.
5 Clique em OK para salvar as alterações.
Para excluir regras
3 Na guia Regras, selecione a regra a ser excluída e, abaixo da lista Regras,
clique em Excluir.
4 Clique em Sim para confirmar que você deseja excluir a regra.
5 Clique em OK.
Como copiar e colar regras

Você pode copiar e colar regras da mesma política ou de outra.
Para copiar e colar regras
3 Na guia Regras, clique com o botão direito do mouse na regra que você deseja
copiar e, em seguida, clique em Copiar regra.
4 Clique com o botão direito do mouse na linha onde deseja colar a regra e, em
seguida, clique em Colar regra.
5 Clique em OK.
Alteração da ordem das regras
Alteração da ordem das regras

O firewall processa a lista de regras de firewall de cima para baixo. Você pode
determinar como o firewall processa essas regras alterando a sua ordem. A
alteração da ordem afeta somente a ordem dos locais selecionados no momento.
Para alterar a ordem das regras
2 Na página Política de firewall, clique em Regras e selecione a regra que deseja
mover.
3 Execute uma destas tarefas:
■ Para processar essa regra antes da regra anterior, clique em Mover para
cima.
■ Para processar essa regra após a regra posterior, clique em Mover para
baixo.
4 Clique em OK.
Ativação e desativação de regras

As regras devem ser ativadas para que o firewall as processe. É possível desativar
uma regra de firewall se for necessário permitir o acesso específico a um
computador ou programa. No caso de uma política compartilhada, a regra é
desativada para todos os locais e, no caso de uma política específica de local, é
desativada apenas para um local. A regra também é desativada para todas as
políticas herdadas.
Para ativar e desativar regras
3 Na guia Regras, selecione a regra a ser ativada ou desativada e, em seguida,
marque ou desmarque a caixa de seleção na coluna Ativado.
4 Clique em OK.
Ativação da filtragem inteligente de tráfego
Ativação da filtragem inteligente de tráfego

Os filtros de tráfego inteligente permitem a comunicação entre determinados
serviços de rede, de forma que você não precise definir as regras que explicitamente
permitem esses serviços. Você pode ativar os filtros inteligentes de tráfego para
permitir o tráfego DHCP, DNS e WINS na maior parte das redes. Os filtros
inteligentes de tráfego permitem que sejam enviados pedidos e respostas recebidas
pelas conexões da rede que foram configuradas para usar DHCP, DNS e WINS.
Os filtros permitem que clientes DHCP, DNS ou WINS recebam um endereço IP
de um servidor ao mesmo tempo em que protegem os clientes contra ataques na
rede.
■ Se o cliente enviar um pedido ao servidor, o cliente aguardará cinco segundos
para permitir uma resposta de entrada.
■ Se o cliente não enviar um pedido ao servidor, os filtros não permitirão o pacote.
Os filtros inteligentes dão permissão a um pacote se for feito um pedido. Eles não
bloqueiam os pacotes. São as regras de firewall que dão permissão ou bloqueiam
os pacotes.
Nota: Para fazer as configurações no controle misto, você também deve ativar
essas configurações na caixa de diálogo Configurações de controle misto da
interface de usuário do cliente.

Para ativar a filtragem inteligente de tráfego
2 Na página de Política de firewall, clique em Regras de tráfego inteligente.
3 Se não tiver marcado ainda, marque qualquer uma das caixas de seleção a
seguir:
■ Ativar Smart DHCP
■ Ativar Smart DNS
■ Ativar Smart WINS
Para obter mais informações sobre essas opções, clique em Ajuda.
4 Clique em OK.
Ativação das configurações de tráfego e dissimulação
Ativação das configurações de tráfego e dissimulação

É possível ativar as configurações para detectar e bloquear o tráfego que se
comunica por meio de drivers, NetBios e token rings. Também é possível definir
configurações para detectar o tráfego que usa métodos de ataque mais invisíveis.
Nota: Para fazer as configurações no controle misto, você também deve ativar
essas configurações na caixa de diálogo Configurações de controle misto da

Para ativar as configurações de tráfego e dissimulação
2 Na página Política de firewall, clique em Configurações de tráfego e
dissimulação.
3 Se uma caixa de opção ainda não estiver marcada, marque todas estas:
■ Ativar proteção do NetBIOS
■ Permitir tráfego de token ring
■ Ativar pesquisa reversa de DNS
■ Ativar spoofing anti-MAC
■ Ativar a navegação no modo dissimulado
■ Ativar novo seqüenciamento de TCP
■ Ativar mascaramento de impressões digitais do SO
4 Clique em OK.
Configuração da autenticação ponto-a-ponto

Você pode usar a autenticação ponto-a-ponto para permitir que um
computador-cliente remoto (par) conecte-se a outro computador-cliente
(autenticador) dentro da mesma rede corporativa. O autenticador bloqueia
temporariamente o tráfego de entrada TCP e UDP do computador remoto até que

este seja aprovado na verificação de integridade do host.
A verificação de integridade do host verifica as seguintes características do
computador remoto:
■ O computador remoto tem o Symantec Endpoint Protection e o Symantec
Network Access Control instalados.
■ O computador remoto cumpre os requisitos da política de integridade do host.
Se o computador remoto passar na verificação de integridade do host, o
autenticador permitirá que o computador remoto conecte-se.
Se o computador remoto falhar na verificação de integridade do host, o
autenticador continuará a bloquear o computador remoto. Você pode especificar
por quanto tempo o computador remoto será bloqueado antes que possa tentar
conectar-se novamente ao autenticador. Você pode também especificar que
determinados computadores remotos sempre sejam permitidos, mesmo se não
passarem na verificação de integridade do host. Se você não ativar uma política
de integridade do host para o computador remoto, este será aprovado na verificação
de integridade do host.
As informações de autenticação ponto-a-ponto são mostrada no registro de
conformidade do cliente do Enforcer e no registro de tráfego da proteção contra
ameaças à rede.
Nota: A autenticação ponto-a-ponto funciona no controle do servidor e no controle

misto, mas não no controle do cliente.
Aviso: Não ative a autenticação ponto-a-ponto para os clientes instalados no mesmo

computador do servidor de gerenciamento. Caso contrário, o servidor de
gerenciamento não poderá fazer o download de políticas para o computador remoto
se este falhar na verificação de integridade do host.
Para configurar a autenticação ponto-a-ponto

2 Na página Política de firewall, clique em Configurações de autenticação
ponto-a-ponto.
3 No painel Configurações de autenticação ponto-a-ponto, marque Ativar
autenticação ponto-a-ponto.
4 Configure os valores listados na página.

5 Para permitir que os computadores remotos conectem-se ao
computador-cliente sem serem autenticados, marque Excluir hosts da
autenticação e clique em Hosts excluídos.
O computador-cliente permite o tráfego aos computadores relacionados na
lista de hosts.
6 Na caixa de diálogo Hosts excluídos, clique em Adicionar para adicionar os
computadores remotos que não precisam ser autenticados.
7 Na caixa de diálogo Host, defina o host pelo endereço IP, intervalo IP ou pela
sub-rede e clique em OK.
8 Na caixa de diálogo Hosts excluídos, clique em OK.
Capítulo 33
Configuração da prevenção
de intrusões
■ Sobre o sistema de prevenção de intrusões
■ Configuração da prevenção de intrusões
■ Criação de assinaturas personalizadas IPS
Sobre o sistema de prevenção de intrusões

O sistema de prevenção de intrusões (IPS, Intrusion Prevention System) é a segunda
camada de defesa do cliente do Symantec Endpoint Protection após o firewall. O
IPS é um sistema baseado em rede que opera em cada computador no qual o cliente
esteja instalado e o sistema de prevenção de intrusões esteja ativado. Se um ataque
conhecido é detectado, uma ou mais tecnologias de prevenção de intrusões podem
automaticamente bloqueá-lo.
O sistema de prevenção de intrusões verifica assinaturas de ataque em cada pacote
que entra e sai dos computadores na rede. As assinaturas de ataque são seqüências
de pacotes que identificam a tentativa de um invasor de explorar uma
vulnerabilidade conhecida de um sistema operacional ou de um programa.
Se as informações correspondem a um ataque conhecido, o IPS descarta o pacote
automaticamente. O IPS também pode desligar a conexão com o computador que
enviou os dados por um período de tempo especificado. Esse recurso é chamado
resposta ativa e impede que os computadores na rede sejam afetados de qualquer
forma.
O cliente inclui os seguintes tipos de mecanismos de IPS que identificam
assinaturas de ataque.
500 Configuração da prevenção de intrusões
Sobre o sistema de prevenção de intrusões
Assinaturas IPS da Symantec As assinaturas IPS da Symantec usam um mecanismo

baseado em fluxo que verifica vários pacotes. As assinaturas
IPS da Symantec interceptam dados da rede no nível da
sessão e capturam segmentos de mensagens que são
alternadas entre o aplicativo e a pilha de rede.
Assinaturas IPS As assinaturas IPS personalizadas usam um mecanismo

personalizadas baseado em pacotes que verifica cada pacote
individualmente.
O sistema de prevenção de intrusões registra os ataques detectados no registro

de segurança. É possível ativar assinaturas IPS personalizadas para registrar
ataques detectados no registro de pacotes.
Sobre as assinaturas IPS da Symantec

O IPS da Symantec utiliza dois métodos para examinar os pacotes. Ele verifica
cada pacote individualmente em busca de padrões que fujam às especificações e
que possam estourar a pilha TCP/IP. Além disso, monitora os pacotes como um
fluxo de informações. Ele faz isso procurando os comandos direcionados a um
serviço em particular para explorar o sistema ou fazê-lo falhar. O IPS memoriza
a lista de padrões ou parte de padrões de pacotes anteriores e aplica essas
informações às inspeções de pacotes subseqüentes.
O IPS conta com uma lista abrangente de assinaturas de ataques para detectar e
bloquear atividades suspeitas na rede. A equipe do Symantec Security Response
fornece a lista de ameaças conhecidas, que pode ser atualizada no cliente usando-se
o Symantec LiveUpdate. Você faz o download das assinaturas no console e, então,
usa uma Política de conteúdos do LiveUpdate para fazer o download delas no
cliente. O mecanismo de IPS da Symantec e o conjunto correspondente de
assinaturas IPS são instalados no cliente por padrão.
Consulte “Configuração de uma política de conteúdos do LiveUpdate” na página 108.
Também é possível alterar o comportamento das assinaturas IPS da Symantec.
Consulte “Alteração do comportamento das assinaturas IPS da Symantec”
na página 503.
Sobre as assinaturas IPS personalizadas

O cliente contém um mecanismo de IPS adicional que oferece suporte a assinaturas
baseadas em pacotes. Ambos os mecanismos baseados em fluxo e pacotes detectam
assinaturas nos dados da rede que atacam a pilha TCP/IP, os componentes do
sistema operacional e a camada do aplicativo. Entretanto, as assinaturas baseadas
Configuração da prevenção de intrusões 501
Configuração da prevenção de intrusões
em pacotes podem detectar ataques na pilha TCP/IP antes das assinaturas baseadas
em fluxo.
O mecanismo baseado em pacotes não detecta assinaturas que contêm vários
pacotes. O mecanismo de IPS baseado em pacotes é mais limitado, pois não protege
correspondências parciais e verifica somente atividades de pacotes únicos.
As assinaturas baseadas em pacotes examinam um único pacote que corresponda
a uma regra. A regra especifica um protocolo, uma porta, um endereço IP de origem
ou de destino ou um aplicativo. Alguns ataques são iniciados comumente contra
aplicativos específicos. As assinaturas personalizadas usam regras baseadas em
aplicativos, que se alteram de maneira dinâmica de acordo com cada pacote. A
regra baseia-se em vários critérios, como aplicativo, número que sinaliza o TCP,
porta e protocolo. Por exemplo, uma assinatura personalizada pode monitorar os
pacotes de informação recebidos por uma string "phf" em GET / cgi-bin/phf? como
um indicador de ataque a um programa CGI. Cada pacote é avaliado de acordo
com esse padrão específico. Se o pacote de tráfego coincidir com a regra, o cliente
permite ou bloqueia o pacote e, como opção, registra o evento no registro de
pacotes.
As assinaturas podem gerar falsos positivos, pois estão baseadas freqüentemente
em expressões regulares e correspondências de string. As assinaturas
personalizadas usam os dois critérios de procura de strings quando tentam
corresponder um pacote.
O cliente não inclui assinaturas personalizadas por padrão. Você cria assinaturas
personalizadas IPS.
Consulte “Criação de assinaturas personalizadas IPS” na página 507.

As configurações padrão do IPS protegem os computadores-cliente contra uma
ampla variedade de ameaças. É possível personalizar as configurações padrão da
rede. É possível personalizar as configurações de IPS destas maneiras:
■ Ative a configurações de prevenção de intrusões.
■ Altere o comportamento de assinaturas de ataque específicas.
■ Exclua computadores específicos da verificação.
■ Bloqueie um computador invasor automaticamente.
■ Ative notificações da prevenção de intrusões.
Consulte “Configuração de notificações para a proteção contra ameaças à rede”
na página 528.
■ Crie assinaturas personalizadas IPS.
Consulte “Criação de assinaturas personalizadas IPS” na página 507.
Sobre o trabalho com as políticas de prevenção de intrusões

Exceto no caso de assinaturas IPS e notificações de prevenção de intrusões
personalizadas, quando você configura uma prevenção de intrusão você cria uma
política de prevenção de intrusões. Para assinaturas IPS personalizadas, você cria
uma biblioteca IPS personalizada.
Você cria e edita as políticas de prevenção de intrusões do mesmo modo que cria
e modifica outros tipos de políticas. Você pode atribuir, retirar, substituir, copiar,
exportar, importar ou excluir uma política de prevenção de intrusões ou uma
biblioteca de políticas de prevenção de intrusões.
Você pode criar uma política não compartilhada e específica para um local se você
Os procedimentos neste capítulo pressupõem que você esteja familiarizado com
os aspectos básicos da configuração da política.
Ativação de configurações de prevenção de intrusões

Você pode bloquear alguns tipos de ataques no cliente, de acordo com o tipo de
tecnologia de prevenção de intrusões que você selecionar.
Você deve ativar as configurações de prevenção de intrusões para ativar o
mecanismo de assinatura IPS Symantec ou o mecanismo de assinatura IPS
personalizado. Se você não ativar essa configuração, o cliente ignora assinaturas
de ataques possíveis.
Nota: Para definir essas configurações em controle misto, você também deve
ativá-las na caixa de diálogo Configurações de controle misto da interface de
usuário do cliente.

na página 515.
Para ativar as configurações de prevenção de intrusões

1 No console, abra uma política de prevenção de intrusões.
2 Na página Política de prevenção de intrusões, clique em Configurações.
3 Na página Configurações, marque as seguintes caixas de seleção que se
aplicam:
■ Ativar prevenção de intrusões
■ Ativar detecção de negação de serviço
■ Ativar detecção de verificação de portas
4 Quando terminar de configurar essa política, clique em OK.

Consulte “Configuração de uma lista de computadores excluídos” na página 505.
Alteração do comportamento das assinaturas IPS da Symantec

Talvez você queira alterar o comportamento padrão das assinaturas IPS da
Symantec pelos seguintes motivos:
■ Para reduzir a possibilidade de um falso positivo. Em alguns casos, uma
atividade inofensiva da rede pode assemelhar-se a uma assinatura de ataque.
Se você receber advertências repetidas sobre possíveis ataques e souber que
esses ataques estão sendo acionados por uma atividade legítima, poderá criar
uma exclusão para a assinatura de ataque que corresponda a essa atividade.
■ Para reduzir o consumo de recurso por meio da redução do número de
assinaturas de ataque para as quais o cliente faz verificações. Entretanto, é
necessário ter certeza absoluta de que a assinatura de ataque não representa
uma ameaça antes de excluí-la do bloqueio.
É possível alterar a ação executada pelo cliente quando o IPS reconhece uma
assinatura de ataque. Também é possível alterar se o cliente registrar o evento
no registro de segurança.
Nota: Para alterar o comportamento de uma assinatura IPS personalizada criada

ou importada, edite a assinatura diretamente.
Para alterar o comportamento das assinaturas IPS da Symantec

2 Na página Política de prevenção de intrusões, clique em Exceções.
3 Na página Exceções, clique em Adicionar.

4 Na caixa de diálogo Adicionar exceções de prevenção de intrusões, execute
uma das ações a seguir para filtrar as assinaturas:
■ Para exibir as assinaturas de uma categoria específica, selecione uma
opção da lista suspensa Exibir categoria.
■ Para exibir as assinaturas classificadas com uma gravidade específica,
selecione uma opção da lista suspensa Exibir gravidade.
5 Selecione uma ou mais assinaturas IPS.

Para tornar igual o comportamento de todas as assinaturas, clique em
Selecionar tudo.
7 Na caixa de diálogo Ação da assinatura, altere a ação de Bloquear para Permitir
ou de Permitir para Bloquear.
8 Opcionalmente, mude a ação do registro em qualquer uma das seguintes
maneiras:
■ Alterar Registrar o tráfego para Não registrar o tráfego.
■ Alterar Não registrar o tráfego para Registrar o tráfego.
9 Clique em OK.
Se deseja remover a exceção e voltar para o comportamento original da
assinatura, selecione a assinatura e clique em Excluir.
10 Clique em OK.
11 Se deseja alterar o comportamento de outras assinaturas, repita os passos de
3 a 10.
12 Quando terminar de configurar essa política, clique em OK.
Consulte “Exibição e alteração da política de conteúdos do LiveUpdate aplicada
a um grupo” na página 110.
Para remover a exceção
2 Na página Política de prevenção de intrusões, clique em Exceções.
3 No painel Exceções, selecione a exceção que deseja remover e clique em
Excluir.
4 Quando for solicitado que você confirme a exclusão, clique em Sim.
Bloqueio de um computador invasor

Se o cliente do Symantec Endpoint Protection detectar um ataque na rede, poderá
bloquear automaticamente a conexão para assegurar que o computador-cliente
fique protegido. O cliente aciona uma resposta ativa, que bloqueia automaticamente
toda a comunicação recebida e enviada pelo computador invasor por um período
definido. O endereço IP do computador invasor é bloqueado para um único local.
O endereço IP do invasor é registrado no registro de segurança. No controle do
cliente, os usuários podem desbloquear um ataque interrompendo a resposta ativa
no registro de segurança.
Se você definir o cliente para controle misto, poderá especificar se a configuração
estará disponível no cliente para que o usuário a ative. Se não estiver disponível,
você terá de ativá-la na caixa de diálogo Configurações de controle misto da
na página 515.
Assinaturas IPS atualizadas, assinaturas de negação de serviço atualizadas,
verificações de portas e falsificação de MAC também acionam a resposta ativa.
Para bloquear um computador invasor
3 Na página Configurações, marque Bloquear automaticamente o endereço
IP de um invasor.
4 No campo de texto Número de segundos de duração do bloqueio ao endereço
IP ... segundos , especifique o número de segundos de bloqueio aos invasores
potenciais.
Digite um número entre um segundo até 999.999 segundos.
5 Após configurar essa política, clique em OK.
Configuração de uma lista de computadores excluídos

O cliente do Symantec Endpoint Protection pode definir algumas atividades
normais da Internet, como ataques. Por exemplo, alguns provedores de serviços
de Internet verificam as portas do seu computador para confirmar se você está
de acordo com o contrato de serviço. Também você pode ter computadores na sua
rede interna que deseja configurar para testes.
É possível definir uma lista de computadores nos quais o cliente não compara
assinaturas de ataque, não procura verificações de portas ou ataques de negação
de serviço. O cliente permite todo o tráfego de entrada e saída desses hosts,
independentemente das regras e configurações de firewall ou das assinaturas IPS.
Nota: Também é possível configurar uma lista de computadores que permita todo
tráfego de entrada e saída, exceto se uma assinatura IPS detectar um ataque. Nesse
caso, crie uma regra de firewall que permita todos os hosts.
Para configurar uma lista de computadores excluídos

3 Se ainda não estiver marcado, marque Ativar hosts excluídos e clique em
Hosts excluídos.
4 Na caixa de diálogo Hosts excluídos, clique em Adicionar.
5 Na caixa de diálogo Host, na lista suspensa, selecione um destes tipos de host:
■ Domínio DNS
■ Host DNS
■ Endereço IP
■ Intervalo de IP
■ Endereço MAC
■ Sub-rede
6 Insira as informações corretas associadas ao tipo de host selecionado.

7 Clique em OK.
8 Repita as etapas 4 e 7 para adicionar dispositivos e computadores adicionais
à lista de computadores excluídos.
9 Para editar ou excluir um dos hosts excluídos, selecione uma linha e clique
em Editar ou Excluir.
10 Clique em OK.
11 Após configurar a política, clique em OK.
Criação de assinaturas personalizadas IPS

Você pode gravar suas próprias assinaturas para identificar uma intrusão específica
e reduzir a possibilidade de que as assinaturas criem um falso positivo. Quanto
mais informações você puder adicionar a uma assinatura personalizada, mais
eficiente ela será.
Quando você criar uma biblioteca personalizada, poderá organizar as assinaturas
em grupos de assinaturas para gerenciá-las mais facilmente. Será necessário
adicionar pelo menos um grupo de assinatura a uma biblioteca de assinatura
personalizada antes de adicionar as assinaturas ao grupo de assinaturas. Você
pode copiar e colar as assinaturas entre os grupos e entre as bibliotecas.
Aviso: Você deve estar familiarizado com os protocolos TCP, UDP ou ICMP antes
de desenvolver as assinaturas de prevenção contra intrusões. Uma assinatura
formada incorretamente pode corromper a biblioteca IPS personalizada e danificar
a integridade dos clientes.
Para criar assinaturas de IPS personalizadas, é necessário concluir as seguintes

etapas:
■ Crie uma biblioteca IPS personalizada.
■ Adicione uma assinatura.
Para criar uma biblioteca IPS personalizada
1 No console, clique em Políticase, em seguida, clique em Prevenção de
intrusões.
2 Em Tarefas, clique em Adicionar assinaturas de prevenção de intrusões
personalizadas.
3 Na caixa de diálogo Assinaturas de prevenção de intrusões personalizadas,
digite um nome e uma descrição opcional para a biblioteca.
O Grupo NetBIOS é um grupo de assinatura de exemplo com uma assinatura
de amostra. Você pode editar o grupo existente ou adicionar um novo grupo.
4 Para adicionar um novo grupo, na guia Assinaturas, na lista Grupos de
assinatura, clique em Adicionar.
5 Na caixa de diálogo Grupos de assinatura de prevenção de intrusões, digite

um nome de grupo e descrição opcional e, em seguida, clique em OK.
O grupo é ativado por padrão. Se o grupo de assinatura estiver ativado, todas
as assinaturas no grupo serão ativadas automaticamente. Para reter o grupo
para referência, mas desativá-lo, desmarque Ativar esse grupo.
6 Adicione uma assinatura personalizada.
Para adicionar uma assinatura personalizada
1 Adicione uma biblioteca IPS personalizada.
2 Na guia Assinaturas, em Assinaturas para esse grupo, clique em Adicionar.
3 Na caixa de diálogo Adicionar assinatura, digite um nome e descrição opcional
para a assinatura.
4 Na lista suspensa Gravidade, selecione um nível.
Os eventos que corresponderem às condições de assinatura são registrados
com essa gravidade.
5 Na lista Direção, especifique a direção do tráfego que deseja que a assinatura
verifique.
6 No campo Conteúdo, digite a sintaxe da assinatura.
Para obter mais informações sobre a sintaxe, clique em Ajuda
7 Se deseja que um aplicativo acione a assinatura, clique em Adicionar.

8 Na caixa de diálogo Adicionar aplicativo, digite o nome de arquivo e uma
descrição opcional do aplicativo.
Por exemplo, para adicionar o aplicativo Microsoft Internet Explorer, digite
o nome do arquivo como iexploreou iexplore.exe. Se você não especificar um
nome de arquivo, qualquer aplicativo pode acionar a assinatura.
9 Clique em OK.
O aplicativo adicionado será ativado por padrão. Se deseja desativar o
aplicativo mais tarde, desmarque a caixa de seleção na coluna Ativado.
10 Na caixa do grupo Ação, selecione a ação que deseja que o cliente realize
quando a assinatura detectar o evento:
Bloquear Identifica e bloqueia o evento ou o ataque e o registra no

registro de segurança
Permitir Identifica e permite o evento ou o ataque e o grava no

Gravar em registro de Registra o evento ou o ataque no registro de pacote

pacote
11 Clique em OK.
A assinatura adicionada será ativada por padrão. Se deseja desativar a
assinatura mais tarde, desmarque a caixa de seleção na coluna Ativado.
12 Para adicionar outras assinaturas ao grupo de assinaturas, repita as etapas
2 a 11.
Para editar ou excluir uma assinatura, selecione-a e, em seguida, clique em
Editarou Excluir.
13 Se você tiver concluído a configuração desta biblioteca, clique em OK.
14 Se você for solicitado a atribuir as assinaturas IPS personalizadas a um grupo,
clique em Sim.
15 Na caixa de diálogo Atribuir política de prevenção de intrusões, selecione os
grupos aos quais deseja atribuir a política.
16 Clique em Atribuir e em Sim.
Atribuição de múltiplas bibliotecas IPS personalizadas a um grupo

Após criar uma biblioteca IPS personalizada, atribua a biblioteca a um grupo, em
vez de atribuí-la a um local individual. Mais tarde você poderá atribuir outras
bibliotecas IPS personalizadas ao grupo.
Para atribuir múltiplas bibliotecas IPS personalizadas a um grupo
2 Em Exibir clientes, selecione o grupo ao qual quer atribuir as assinaturas
personalizadas.
3 Na guia Políticas, em Políticas e configurações independentes do local, clique
em Prevenção de intrusões personalizada.
4 Na caixa de diálogo Prevenção de intrusões personalizada para nome do grupo,

marque a caixa de seleção Ativada de cada biblioteca IPS personalizada que
deseja atribuir àquele grupo.
5 Clique em OK.
Alteração da ordem das assinaturas

O mecanismo IPS para assinaturas personalizadas verifica as assinaturas na ordem
em que estão relacionadas na lista de assinaturas. Apenas uma assinatura é
acionada por pacote. Quando uma assinatura corresponde a um pacote de tráfego
de entrada de saída, o mecanismo de IPS pára de verificar outras assinaturas. Para
que o mecanismo de IPS execute as assinaturas na ordem correta, você pode alterar
a ordem delas na lista de assinaturas. Se várias assinaturas corresponderem, mova
as de prioridade mais alta para o topo.
Por exemplo, se você adicionar um grupo de assinaturas para bloquear tráfego
TCP nas duas direções na porta de destino 80, poderá adicionar as seguintes
assinaturas:
■ Bloquear todo o tráfego na porta 80
■ Permitir todo o tráfego na porta 80
Se a assinatura Bloquear todo o tráfego estiver listada primeiro, a assinatura
Permitir todo o tráfego nunca será executada. Se a assinatura Permitir todo o
tráfego estiver listada primeiro, a assinatura Bloquear todo o tráfego nunca será
executada e todo tráfego HTTP será sempre permitido.
Para alterar a ordem das assinaturas
1 Abra uma biblioteca de IPS personalizada.
2 Adicione ou edite uma assinatura.
Consulte “Para adicionar uma assinatura personalizada” na página 508.
3 Na guia Assinaturas, na tabela Assinaturas para esse grupo, selecione a
assinatura que você deseja mover e execute uma das ações a seguir:
■ Para processar essa assinatura antes da que está acima dela, clique em
Mover para cima.
■ Para processar essa assinatura depois da que está abaixo dela, clique em
Mover para baixo.
4 Quando terminar de configurar essa biblioteca, clique em OK.

Cópia e cola de assinaturas

Você pode copiar e colar assinaturas no mesmo grupo de assinaturas, entre grupos
de assinaturas, ou entre bibliotecas de assinaturas. Por exemplo, você pode se dar
conta que adicionou uma assinatura ao grupo de assinaturas errado. Ou você pode
querer ter duas assinaturas quase idênticas.
Para copiar e colar assinaturas
1 Abra a biblioteca IPS personalizada.
2 Adicione ou edite uma assinatura.
3 Na caixa de diálogo Assinaturas personalizadas de prevenção de intrusões,
na guia Assinaturas, na tabela Assinaturas para esse grupo, clique com o
botão direito do mouse na assinatura que você quer copiar e clique em Copiar.
4 Clique com o botão direito do mouse na lista de assinaturas e, em seguida,
clique em Colar.
5 Quando terminar de configurar esta biblioteca, clique em OK.
Definição de variáveis para assinaturas

Ao adicionar uma assinatura IPS personalizada, é possível usar variáveis para
representar dados sujeitos a alterações em assinaturas. Se os dados forem
alterados, você poderá editar a variável em vez de editar as assinaturas da
biblioteca.
Antes de poder usar as variáveis na assinatura, você precisará defini-las. As
variáveis definidas na biblioteca de assinaturas personalizadas podem então ser
usadas em qualquer assinatura dessa biblioteca.
Você pode copiar e colar o conteúdo da variável de amostra existente para começar
como uma base para criar conteúdo.
Para definir variáveis
1 Crie uma biblioteca IPS personalizada.
2 Na caixa de diálogo Assinaturas personalizadas de prevenção de intrusões,
clique na guia Variáveis.
3 Clique em Adicionar.
4 Na caixa de diálogo Adicionar variável, digite um nome e descrição opcional
para a variável.
5 Adicione uma string de conteúdo de até 255 caracteres para o valor da variável.
Ao inserir a string de conteúdo da variável, siga as mesmas orientações de
sintaxe que você usa para inserir valores no conteúdo da assinatura
6 Clique em OK.
Depois de adicionar a variável à tabela, você poderá usá-la em qualquer
assinatura da biblioteca personalizada.
Usar variáveis em assinaturas
1 Na guia Assinaturas, adicione ou edite uma assinatura.
2 Na caixa de diálogo Adicionar assinatura ou Editar assinatura, no campo
Conteúdo, digite o nome da variável com um signo de cifrão ($) na frente dele.
Por exemplo, se você criar uma variável chamada HTTP para especificar
portas HTTP, digite o seguinte:
$HTTP
3 Clique em OK.
4 Quando terminar de configurar essa biblioteca, clique em OK.
Capítulo 34
Personalização da proteção
contra ameaças à rede
■ Ativação e desativação da proteção contra ameaças à rede
■ Configuração da proteção contra ameaças à rede para controle misto
■ Adição de hosts e grupos de hosts
■ Edição e exclusão de grupos de hosts
■ Adição de hosts e grupos de hosts a uma regra
■ Adição de serviços de rede
■ Edição e exclusão de serviços de rede personalizados
■ Adição de serviços de rede a uma regra
■ Ativação do compartilhamento de arquivos e impressoras de rede
■ Adição de adaptadores de rede
■ Adição de adaptadores de rede a uma regra
■ Edição e exclusão de adaptadores de rede personalizados
■ Adição de aplicativos a uma regra
■ Adição de agendas a uma regra
■ Configuração de notificações para a proteção contra ameaças à rede
■ Configuração de monitoramento de aplicativo de rede

514 Personalização da proteção contra ameaças à rede
Ativação e desativação da proteção contra ameaças à rede
Ativação e desativação da proteção contra ameaças

à rede
Por padrão, a proteção contra ameaças à rede está ativada. É possível que você
queira desativar a proteção contra ameaças à rede em computadores selecionados.
Por exemplo, talvez você precise instalar um patch nos computadores-cliente, o
que normalmente força o firewall a bloquear a instalação.
Se você desativar a proteção contra ameaças à rede, ela será ativada
automaticamente quando ocorrer o seguinte:
■ O usuário desliga e reinicia o computador-cliente.
■ O local do cliente passa do controle do servidor para o controle do cliente.
■ Você configurou o cliente para ativar a proteção depois de um certo período
de tempo.
■ Foi efetuado o download de uma nova política de segurança que ativa a proteção
para o cliente.
Você também pode ativar manualmente a proteção contra ameaças à rede a partir
dos registros de status do computador.
Você também pode dar permissão ao usuário do computador-cliente para ativar
ou desativar a proteção. No entanto, você pode substituir a configuração do cliente
ou pode desativar a proteção do cliente mesmo quando tiver sido ativada pelos
usuários. Você pode ativar a proteção mesmo quando ela tiver sido desativada
pelos usuários.
Ativação e desativação da proteção contra ameaças à rede para um grupo
2 Em Exibir clientes, selecione um grupo para o qual você deseja ativar ou
desativar a proteção.
■ Para todos os computadores e usuários do grupo, clique com o botão direito
do mouse no grupo e clique em Executar comando no grupo, depois clique
em Ativar proteção contra ameaças à rede ou Desativar proteção contra
ameaças à rede.
■ Para usuários ou computadores selecionados dentro de um grupo, na guia
Clientes, selecione os usuários ou os computadores. Depois clique com o
botão direito do mouse na seleção e clique em Executar comando em
Personalização da proteção contra ameaças à rede 515
Configuração da proteção contra ameaças à rede para controle misto
clientes > Ativar proteção contra ameaças à rede ou Desativar proteção

contra ameaças à rede.
4 Para confirmar a ação, clique em Sim.

5 Clique em OK.
Configuração da proteção contra ameaças à rede para

controle misto
Você pode configurar o cliente para que os usuários não tenham controle, tenham
controle total ou tenham controle limitado em relação às configurações de proteção
contra ameaças à rede. Quando você configurar o cliente, use as seguintes
diretrizes:
■ Se você definir o cliente para o controle do servidor, o usuário não poderá criar
regras de firewall ou ativar as configurações de firewall e de prevenção contra
intrusão.
■ Se você definir o cliente para o controle de cliente, o usuário poderá criar regras
de firewall ou ativar todas as configurações de firewall e de prevenção contra
intrusão.
■ Se você definir o cliente para o controle misto, o usuário poderá criar regras
de firewall e você decidir quais configurações de firewall e de prevenção contra
intrusão o usuário pode ativar.
Para configurar a proteção contra ameaças à rede para controle misto
2 Em Exibir clientes, selecione o grupo com o nível de controle de usuário que
você quer modificar.
3 Na guia Políticas, em Políticas e configurações específicas do local, em um
local, expanda Configurações especificas de local.
5 Na caixa de diálogo Configurações do modo controle, clique em Controle
misto e, em seguida, em Personalizar.
6 Na guia Configurações de controle de cliente/servidor, na categoria Política
de firewall e na categoria Política de prevenção de instruções, execute uma
Adição de hosts e grupos de hosts
■ Para disponibilizar uma configuração de cliente para configuração dos

usuários, clique em Cliente.
■ Para configurar uma configuração de cliente, clique em Servidor.
7 Clique em OK.
8 Para cada configuração de firewall e prevenção de intrusão definida para o
Servidor, ative ou desative a configuração na Política de firewall ou Política
de prevenção de intrusões.
Consulte “Ativação das configurações de tráfego e dissimulação” na página 496.
Consulte “Configuração da prevenção de intrusões” na página 501.
Adição de hosts e grupos de hosts

Um grupo de host é um conjunto de nomes de domínio DNS, nomes de host DNS,
endereços IP, intervalos de IP, endereços MAC ou sub-redes agrupados sob um
único nome. O objetivo dos grupos de host é de eliminar a necessidade de digitar
novamente os endereços e nomes de host. Por exemplo, você pode adicionar vários
endereços IP em uma regra de firewall, um por vez. Ou então, pode adicionar
vários endereços IP em um grupo de host e, então, adicionar o grupo na regra de
firewall.
À medida que incorpora grupos de host, você deve descrever onde os grupos são
usados. Se posteriormente você decidir excluir um grupo de host, será necessário
primeiro remover o grupo de todas as regras que fazem referência a ele.
Quando um grupo de host é adicionado, ele é exibido na parte inferior da Lista de
hosts. Você pode acessar a Lista de hosts a partir do campo Host em uma regra
de firewall.
Consulte “Sobre triggers de host” na página 479.
Para criar grupos de host
1 No console, clique em Políticas > Componentes das políticas > Grupos de
host.
2 Em Tarefas, clique em Adicionar um grupo de host.
3 Na caixa de diálogo Grupo de host, digite um nome e, em seguida, clique em
Adicionar.
4 Na lista suspensa Tipo da caixa de diálogo Host, selecione um dos hosts a
seguir:
■ Domínio DNS
Edição e exclusão de grupos de hosts
■ Host DNS
■ Endereço IP
■ Intervalo de IP
■ Endereço MAC
■ Sub-rede
5 Insira as informações apropriadas para cada tipo de host.

6 Clique em OK.
7 Se necessário, adicione mais hosts.
8 Clique em OK.
Edição e exclusão de grupos de hosts

Você pode editar ou excluir qualquer grupo de host personalizado que tiver
adicionado. Não é possível editar ou excluir um grupo de host padrão. Para que
seja possível excluir um grupo de host personalizado, você deverá removê-lo de
todas as regras que fizerem referência ao grupo. As configurações que você editar
são alteradas em todas as regras que fizerem referência ao grupo.
Para editar grupos de host
host.
2 No painel Grupos de host, selecione o grupo de host que deseja editar.
3 Em Tarefas, clique em Editar o grupo de host.
4 Na caixa de diálogo Grupo de host você tem a opção de editar o nome do grupo,
selecionar um host e depois clicar em Editar.
Para remover o host do grupo, clique em Excluir e clique em Sim.
5 Na caixa de diálogo Host, altere o tipo do host ou edite as configurações do
host.
6 Clique em OK.
7 Clique em OK.
Para excluir grupos de host
host.
2 No painel Grupos de host, selecione o grupo de host que deseja excluir.
Adição de hosts e grupos de hosts a uma regra
3 Em Tarefas, clique em Excluir o grupo de host.

4 Quando for solicitado que você confirme, clique em Excluir.
Adição de hosts e grupos de hosts a uma regra

Para bloquear o tráfego para um servidor específico ou vice-versa, bloqueie o
tráfego pelo endereço IP, e não pelo nome de domínio ou nome do host. Do
contrário, o usuário poderá acessar com o endereço IP equivalente ao nome do
host.
Para adicionar hosts e grupos de hosts a uma regra
3 Na guia Regras, na lista Regras, selecione a regra que deseja editar, clique
com o botão direito do mouse no campo Host e, depois, clique em Editar.
4 Na caixa de diálogo Lista de hosts, tome uma das seguintes ações:
■ Clique em Origem/Destino.
■ Clique em Local/Remoto.
5 Nas tabelas Origem e destino e Local e remoto, tome uma das seguintes ações:
■ Para ativar um grupo de host adicionado através da lista Componentes da
política, vá para a etapa 10.
Consulte “Adição de hosts e grupos de hosts” na página 516.
■ Para adicionar um host somente para a regra selecionada, clique em
Adicionar.
6 Na caixa de diálogo Host, selecione um tipo de host da lista suspensa Tipo e

digite as informações adequadas para cada tipo de host.
Para obter mais detalhes sobre cada opção nessa caixa de diálogo, clique em
Ajuda.
7 Clique em OK.
8 Se necessário, adicione mais hosts.
9 Na caixa de diálogo Lista de host, para cada host ou grupo de host ao qual
você deseja acionar a regra do firewall, certifique-se de que a caixa de seleção
na coluna Ativado esteja selecionada.
10 Clique em OK para retornar à lista de regras.
Adição de serviços de rede
Adição de serviços de rede

Os serviços de rede permitem que computadores em rede enviem e recebam
mensagens, compartilhem arquivos e imprimam. Um serviço de rede usa um ou
mais protocolos ou portas para passar por um determinado tipo de tráfego. Por
exemplo, o serviço HTTP usa portas 80 e 443 no protocolo TCP. É possível criar
uma regra de firewall que permita ou bloqueie os serviços de rede.
A lista do serviço de rede elimina a necessidade de digitar novamente um protocolo
e uma porta para cada regra criada. É possível selecionar um serviço de rede a
partir de uma lista padrão de serviços de rede normalmente usados. Você também
pode adicionar um serviço de rede para a regra de firewall. Você pode adicionar
serviços de rede à lista padrão.
Nota: IPv4 e IPv6 são os dois protocolos de camada de rede usados na Internet. O
firewall bloqueia ataques que passam pelo IPv4, mas não pelo IPv6. Se você instalar
o cliente nos computadores que executam o Microsoft Vista, a lista de regras
incluirá várias regras padrão que bloqueiam o tipo IPv6 de protocolo Ethernet.
Se você remover as regras padrão, será necessário criar uma regra que bloqueie
o IPv6.
Se você deseja permitir ou bloquear um serviço de rede que não esteja na lista
padrão, é possível adicioná-lo. É necessário estar familiarizado com o tipo de
protocolo e as portas que ele usa.
Para adicionar um serviço de rede personalizado acessível a partir de qualquer
regra de firewall, você o adiciona por meio da lista Componentes das políticas.
Para adicionar um serviço de rede personalizado para a lista padrão
1 No console, clique em Políticas > Componentes das políticas > Serviços de
rede.
2 Em Tarefas, clique em Adicionar um serviço de rede.
3 Clique em Adicionar um serviço.
4 Na caixa de diálogo Serviço de rede, digite um nome para o serviço e clique
em Adicionar.
5 Na lista suspensa Protocolo, selecione um dos seguintes protocolos:
■ TCP
■ UDP
■ ICMP
■ IP
Edição e exclusão de serviços de rede personalizados
■ Ethernet
As opções se alteram com base no protocolo que você selecionou. Para mais
informações, clique em Ajuda.
6 Preencha os campos apropriados e clique em OK.
7 Acrescente um ou mais protocolos adicionais, se for necessário.
8 Clique em OK.
É possível adicionar o serviço a qualquer regra de firewall.
Edição e exclusão de serviços de rede personalizados

Você pode editar ou excluir qualquer serviço de rede personalizado que tiver
adicionado. Não é possível editar ou excluir um serviço de rede padrão. Para que
seja possível excluir um serviço de rede personalizado, você deverá removê-lo de
todas as regras que fizerem referência ao serviço.
Para editar serviços de rede personalizados
rede.
2 No painel Serviços de rede, selecione o serviço que deseja editar.
3 Em Tarefas, clique em Editar o serviço de rede.
4 Na caixa de diálogo Serviço de rede, altere o nome do serviço ou selecione o
protocolo e clique em Editar.
5 Alterar as configurações do protocolo.
Para obter informações sobre as opções dessa caixa de diálogo, clique em
Ajuda.
6 Clique em OK.
7 Clique em OK.
Para excluir serviços de rede personalizados
rede.
2 No painel Serviço de rede, selecione o serviço que deseja excluir.
3 Em Tarefas, clique em Excluir o serviço de rede.
4 Quando for solicitado que você confirme, clique em Sim.
Adição de serviços de rede a uma regra
Adição de serviços de rede a uma regra

Você pode adicionar um serviço de rede personalizado através de uma regra de
firewall. Entretanto, esse serviço de rede não será adicionado à lista padrão. Não
é possível acessar o adaptador personalizado de nenhuma outra regra.
Para adicionar serviços de rede a uma regra
com o botão direito do mouse no campo Serviço e, depois, clique em Editar.
4 Na caixa de diálogo Lista de serviços, selecione a caixa de seleção Ativar para
cada serviço que você deseja ativar a regra.
5 Para adicionar um serviço adicional somente para a regra selecionada, clique
em Adicionar.
6 Na caixa de diálogo Protocolo, selecione um protocolo na lista suspensa
Protocolo.
7 Preencha os campos adequados.
8 Clique em OK.
9 Clique em OK.
Ativação do compartilhamento de arquivos e

impressoras de rede
Você pode ativar o cliente para compartilhar seus arquivos ou para procurar
arquivos e impressoras compartilhados na rede local. Para impedir ataques
baseados em rede, convém desativar o compartilhamento de arquivos e impressoras
de rede.
Você ativa o compartilhamento de arquivos e impressoras de rede adicionando
regras de firewall. As regras de firewall permitem o acesso às portas para procurar
e compartilhar arquivos e impressoras. Você cria uma regra de firewall para que
o cliente possa compartilhar arquivos. Você cria uma segunda regra de firewall
de modo que o cliente possa procurar outros arquivos e impressoras.
Se o cliente está no controle do cliente ou no controle misto, os usuários no cliente
podem ativar estas configurações automaticamente configurando-as na proteção
Ativação do compartilhamento de arquivos e impressoras de rede
contra ameaças à rede. No controle misto, uma regra de firewall do servidor que
especifica este tipo de tráfego pode substituir estas configurações. No controle
do servidor, estas configurações não estão disponíveis no cliente.
Para obter mais informações, consulte o Guia do Cliente do Symantec Endpoint
Protection e do Symantec Network Access Control.
Para ativar clientes para procurar arquivos e impressoras
3 Adicione uma regra em branco e, na coluna Nome, digite um nome para a
regra.
4 Clique com o botão direito do mouse no campo Serviço e, em seguida, clique
em Editar.
5 Na caixa de diálogo Lista de serviços, clique em Adicionar.
6 Na caixa de diálogo Protocolo, na lista suspensa Protocolo, clique em TCP e
então clique em Local/Remoto.
7 Na lista suspensa Porta remota, digite 88, 135, 139, 445.
8 Clique em OK.
10 Na caixa de diálogo Protocolo, na lista suspensa Protocolo, clique em UDP.
11 Na lista suspensa Porta local, digite 137, 138.
12 Na lista suspensa Porta remota, digite 88
13 Clique em OK.
14 Na caixa de diálogo Lista de serviços, certifique-se de que os dois serviços
estejam ativados e clique em OK.
15 Na guia Regras, certifique-se de que o campo Ação esteja definido em Permitir.
16 Após concluir a configuração da política, clique em OK.
Adição de adaptadores de rede
Para ativar outros computadores para procurar arquivos no cliente

3 Adicione uma regra em branco e, na coluna Nome, digite um nome para a
regra.
4 Clique com o botão direito do mouse no campo Serviço e, em seguida, clique
em Editar.
6 Na caixa de diálogo Protocolo, na lista suspensa Protocolo, clique em TCP e
então clique em Local/Remoto.
7 Na lista suspensa Porta local, digite 88, 135, 139, 445
8 Clique em OK.
10 Na caixa de diálogo Protocolo, na lista suspensa Protocolo, clique em UDP.
11 Na lista suspensa Porta local, digite 88, 137, 138
12 Clique em OK.
13 Na caixa de diálogo Lista de serviços, certifique-se de que os dois serviços
estejam ativados e clique em OK.
14 Na guia Regras, certifique-se de que o campo Ação esteja definido em Permitir.
15 Após concluir a configuração da política, clique em OK.
Adição de adaptadores de rede

Você pode aplicar uma regra de firewall separada para cada adaptador de rede.
Por exemplo, talvez você queira bloquear tráfego através de um VPN em um local
de escritório, mas não em um local doméstico.
Você pode selecionar um adaptador de rede em uma lista padrão compartilhada
pelas políticas de firewall e regras. Os adaptadores mais comuns são incluídos na
lista padrão, na lista Componentes das políticas. Os adaptadores comuns incluem
VPNs, Ethernet, conexão sem fio, adaptadores Cisco, Nortel e Enterasys. Use a
Adição de adaptadores de rede a uma regra
lista padrão para que não seja preciso digitar novamente cada adaptador de rede
para cada regra criada.
Nota: O cliente não filtra ou detecta tráfego de rede de dispositivos PDA (Personal
Digital Assistant, Assistente digital pessoal).
Para adicionar um adaptador de rede personalizado à lista padrão

1 No console, clique em Políticas > Componentes das políticas > Adaptadores
de rede.
2 Em Tarefas, clique em Adicionar um adaptador de rede.
3 Na caixa de diálogo Adaptador de rede, clique na lista suspensa Tipo de
adaptador e selecione um adaptador.
4 Opcionalmente, no campo Nome do adaptador, digite uma descrição.
5 Na caixa de texto Identificação do adaptador, digite o nome da marca do
adaptador, levando em conta as letras maiúsculas e minúsculas.
Para localizar o nome da marca do adaptador, abra uma linha de comando
no cliente e, depois, digite o texto a seguir.
ipconfig/all.
6 Clique em OK.
Depois, você pode adicionar o adaptador a qualquer regra de firewall.
Adição de adaptadores de rede a uma regra

Você pode adicionar um adaptador de rede personalizado a partir de uma regra
de firewall. Entretanto, esse adaptador não será adicionado à lista compartilhada.
Não é possível acessar o adaptador personalizado de nenhuma outra regra.
Para adicionar um adaptador de rede a uma regra
com o botão direito do mouse no campo Adaptador e, em seguida, clique em
Mais adaptadores .
4 Na caixa de diálogo Adaptador de rede, realize uma das seguintes ações:
Edição e exclusão de adaptadores de rede personalizados
■ Para ativar a regra para qualquer adaptador, mesmo se não estiver

relacionado, clique em Aplicar esta regra a todos os adaptadores e, em
seguida, vá para a etapa 8.
■ Para acionar a regra para os adaptadores selecionados, clique em Aplicar
esta regra aos seguintes adaptadores e, em seguida, marque a caixa de
seleção na coluna Ativado para os adaptadores em que deseja acionar a
regra.
5 Para adicionar um adaptador personalizado somente para a regra selecionada,

clique em Adicionar .
6 Na caixa de diálogo Adaptador de rede, selecione o tipo de adaptador e digite
o nome da marca dele no campo de texto Identificação do adaptador.
7 Clique em OK.
8 Clique em OK.
Edição e exclusão de adaptadores de rede

personalizados
Você pode editar ou excluir qualquer adaptador de rede personalizado que tiver
adicionado. Não é possível editar ou excluir um adaptador de rede padrão. Para
que seja possível excluir um adaptador personalizado, você deverá removê-lo de
todas as regras que fizerem referência ao adaptador. As configurações que você
editar são alteradas em todas as regras que fizerem referência ao adaptador.
Para editar um adaptador de rede personalizado
de rede.
2 No painel Adaptadores de rede, selecione o adaptador personalizado que
deseja editar.
3 Em Tarefas, clique em Editar o adaptador de rede.
4 Na caixa de diálogo Adaptadores de rede, edite o tipo, o nome ou o texto de
identificação do adaptador.
5 Clique em OK.
Para excluir um adaptador de rede personalizado
de rede.
2 No painel Adaptadores de rede, selecione o adaptador personalizado que
deseja excluir.
Adição de aplicativos a uma regra
3 Em Tarefas, clique em Excluir o adaptador de rede.

4 Quando for solicitado que você confirme, clique em Sim.
Adição de aplicativos a uma regra

Você pode definir as informações sobre os aplicativos que os clientes executam e
incluir essas informações em uma regra de firewall. Por exemplo, você pode
permitir versões antigas do Microsoft Word.
Você pode definir aplicativos das seguintes maneiras:
■ Você pode definir as características de um aplicativo digitando as informações
manualmente. Se você não tiver informações suficientes, pode pesquisar na
lista de aplicativos reconhecidos.
■ Você pode definir as características de um aplicativo pesquisando na lista de
aplicativos reconhecidos. Os aplicativos da lista de aplicativos reconhecidos
são os que os computadores-cliente de sua rede executam.
Para definir aplicativos
2 Na página Políticas de firewall, clique em Regras.
3 Na lista Regras da guia Regras, clique com o botão direito no campo Aplicativo
e clique em Editar.
4 Na caixa de diálogo Lista de aplicativos, clique em Adicionar.
5 Na caixa de diálogo Adicionar aplicativo, preencha um ou mais dos campos
a seguir:
■ Caminho e nome do arquivo
■ Descrição
■ Tamanho, em bytes
■ Data da última alteração do aplicativo
■ Impressão digital do arquivo
6 Clique em OK.
7 Clique em OK.
Adição de agendas a uma regra
Para procurar aplicativos a partir da lista de aplicativos reconhecidos

1 Na página Políticas de firewall, clique em Regras.
2 Na guia Regras, selecione uma regra, clique com o botão direito no campo
Aplicativo e clique em Editar.
3 Na caixa de diálogo Lista de aplicativos, clique em Adicionar de.
4 Na caixa de diálogo Procurar aplicativos, procure um aplicativo.
5 Na guia Resultados da consulta, para adicionar o aplicativo à lista Aplicativos,
selecione o aplicativo e clique em Adicionar e depois em OK.
6 Clique em Fechar.
7 Clique em OK.
Adição de agendas a uma regra

Você pode definir um período de tempo em que uma regra estará ou não ativa.
Para adicionar agendas a uma regra
3 Na guia Regras, selecione a regra que deseja editar, clique com o botão direito
do mouse no campo Hora e, depois, clique em Editar.
4 Em Agendar lista, clique em Adicionar.
5 Na caixa de diálogo Adicionar agenda, configure a hora de início e a hora de
término em que deseja que a regra esteja ativa ou não.
6 Na lista suspensa Mês, selecione Todos ou um mês específico.
7 Selecione uma das seguintes caixas de seleção:
■ Todos os dias
■ Fins de semana
■ Dias úteis
■ Especificar dias
Se você marcar Especificar dias, marque um ou mais dos dias relacionados.
8 Clique em OK.
9 Em Agendar lista, tome uma das seguintes ações:
Configuração de notificações para a proteção contra ameaças à rede
■ Para manter a regra ativa durante este tempo, desmarque a caixa de seleção
na coluna Qualquer hora exceto.
■ Para tornar a regra inativa durante este tempo, marque a caixa de seleção
na coluna Qualquer hora exceto.
10 Clique em OK.
Configuração de notificações para a proteção contra

ameaças à rede
Por padrão, as notificações aparecem nos computadores-cliente quando o cliente
detecta vários eventos de proteção contra ameaças à rede. É possível ativar algumas
dessas notificações. As notificações ativadas exibem uma mensagem padrão. Você
pode adicionar texto personalizado à mensagem padrão.
A Tabela 34-1 exibe os tipos de eventos que você pode ativar e configurar.
Tabela 34-1 Notificações da Proteção contra ameaças à rede
Tipo de notificação Tipo de Descrição

notificação
Exibe a notificação no Firewall Uma regra de firewall no cliente bloqueia um

computador quando o aplicativo. Você pode ativar ou desativar esta
cliente bloqueia um notificação e adicionar mais texto à
aplicativo notificação.
Texto adicional a ser Firewall Os aplicativos do cliente tentam acessar a

exibido se a ação para uma rede. Esta notificação sempre está ativa e não
regra de firewall for pode ser desativada.
'Perguntar'
Exibir notificações de Prevenção de O cliente detecta um ataque à prevenção de

prevenção de intrusões intrusões intrusões. Você pode ativar ou desativar esta
notificação no controle do servidor ou o
controle misto.
Configuração das notificações do firewall

2 Na página Política de firewall, clique em Regras e depois, clique em
Notificações.
Configuração de notificações para a proteção contra ameaças à rede
3 Na guia Notificações, marque Exibir notificação no computador quando o

cliente bloqueia um aplicativo.
4 Para adicionar texto personalizado à mensagem padrão que aparece quando
a ação da regra estiver definida para perguntar, marque Texto adicional a
ser exibido se a ação para uma regra de firewall for 'Perguntar'.
5 Para cada notificação, clique em Definir texto adicional.
6 Na caixa de diálogo Digitar texto adicional, digite o texto adicional que você
deseja que a notificação exiba e clique em OK.
7 Ao concluir a configuração desta política, clique em OK.
Para configurar as notificações da prevenção de intrusões
1 No console, clique em Clientes e em Exibir clientes selecione um grupo.
2 Na guia Políticas, em Políticas e configurações específicas do local, em um
local, expanda Configurações especificas de local.
nome do grupo, clique em Controle misto ou Controle do servidor.
5 Ao lado de Controle misto ou Controle do servidor, clique em Personalizar.
Se você clicar em Controle misto, na guia Configurações de controle de
cliente/servidor, ao lado de Exibir/Ocultar notificações de prevenção de
intrusões, clique em Servidor. Depois clique na guia Configurações de
6 Na caixa de diálogo ou guia Configurações de interface de usuário do cliente,
clique em Exibir notificações de prevenção de intrusões.
7 Para ativar um bipe quando a notificação for exibida, clique em Usar som ao
notificar os usuários.
8 No campo de texto Número de segundos para exibição das notificações, digite
o número de segundos que você deseja que a notificação apareça.
9 Para adicionar texto à notificação padrão que é exibida, clique em Texto
adicional.
10 Na caixa de diálogo Texto adicional, digite o texto adicional que você deseja
que a notificação exiba e clique em OK.
11 Clique em OK.
12 Clique em OK.
Configuração de monitoramento de aplicativo de rede
Configuração de mensagens de e-mail para eventos de tráfego

Você pode configurar o Symantec Endpoint Protection Manager para lhe enviar
uma mensagem de e-mail sempre que o firewall detectar uma violação de regra,
um ataque ou um evento. Por exemplo, você pode ser informado quando um cliente
bloquear o tráfego recebido de um endereço IP específico.
Para configurar as mensagens de e-mail para eventos de tráfego
3 Na guia Regras, selecione uma regra, clique com o botão direito no campo
Registro e execute os seguintes procedimentos:
■ Para enviar uma mensagem de e-mail quando uma regra de firewall for
acionada, marque Enviar alerta de e-mail.
■ Para gerar um evento de registro quando uma regra de firewall for
acionada, marque as opções Gravar em registro de tráfego e Gravar em
registro de pacote.

5 Configure um alerta de segurança.
6 Configure um servidor de e-mail.
Consulte “Como estabelecer comunicação entre o Symantec Endpoint
Protection Manager e os servidores de e-mail” na página 278.

Você pode configurar o cliente para detectar e monitorar qualquer aplicativo que
está sendo executado no computador-cliente e que está em rede. Os aplicativos
de rede enviam e recebem tráfego. O cliente detecta se o conteúdo de um aplicativo
é alterado.
O conteúdo de um aplicativo é alterado pelos seguintes motivos:
■ Um Cavalo de Tróia atacou o aplicativo.
■ O aplicativo foi atualizado com uma nova versão ou com uma atualização.
Se houver suspeita que um Cavalo de Tróia atacou um aplicativo, você poderá
usar o monitoramento de aplicativo de rede para configurar o cliente para bloquear
o aplicativo. Também é possível configurar o cliente para perguntar aos usuários

se desejam permitir ou bloquear o aplicativo.
O monitoramento de aplicativo de rede rastreia o comportamento do aplicativo
no registro de segurança. Se o conteúdo de um aplicativo for modificado com
muita freqüência, é provável que ele tenha sido atacado por um Cavalo de Tróia
e o computador-cliente não está seguro. Se o conteúdo de um aplicativo for
modificado raramente, é provável que um patch tenha sido instalado e o
computador-cliente está seguro. Você pode usar estas informações para criar uma
regra de firewall que permita ou bloqueie um aplicativo.
Você pode adicionar aplicativos à lista para que o cliente não os monitore. Você
pode excluir os aplicativos que considere seguros contra um ataque de Cavalo de
Tróia, mas que tenham atualizações de patches freqüentes e automáticas.
Você poderá desativar o monitoramento de aplicativos de rede se estiver confiante
de que os computadores possuem proteção antivírus e anti-spyware adequada.
Você também pode desejar minimizar o número de notificações pedindo aos
usuários para permitir ou bloquear um aplicativo de rede.
Para configurar o monitoramento de aplicativo de rede
2 No campo Exibir clientes, selecione um grupo e clique em Políticas.
3 Na guia Políticas, sob Políticas e configurações independentes do local, clique
em Monitoramento de aplicativo de rede.
4 Na caixa de diálogo Nome do grupo em Monitoramento de aplicativo de rede,
clique em Ativar o monitoramento de aplicativo de rede.
5 Na lista suspensa Quando for detectada uma alteração do aplicativo,
selecione a ação que o firewall deve tomar no aplicativo que está sendo
executado no cliente:
■ Perguntar
Pergunta ao usuário se vai permitir ou bloquear o aplicativo.
■ Bloquear o tráfego
Bloqueia a execução do aplicativo.
■ Permitir e registrar
Permite que o aplicativo seja executado e registra as informações no
O firewall toma esta ação somente nos aplicativos que tenham sido
modificados.
6 Se você selecionou Perguntar, clique em Texto adicional.

7 Na caixa de diálogo Texto adicional, digite o texto que deseja exibir na

mensagem padrão e, depois, clique em OK.
8 Para excluir um aplicativo do monitoramento, na Lista de aplicativos não
monitorados, tome uma das seguintes ações:
■ Para definir um aplicativo manualmente, clique em Adicionar, preencha
um ou mais campos e, depois, clique em OK.
■ Para definir um aplicativo a partir de uma lista de aplicativos reconhecidos,
clique em Adicionar de.
O recurso de aplicativos reconhecidos deve estar ativado.
Consulte “Ativação de aplicativos reconhecidos” na página 386.
A lista Aplicativos reconhecidos monitora tanto aplicativos de rede quanto
os não conectados. Você deve selecionar os aplicativos de rede somente da
lista de aplicativos reconhecidos. Depois de adicionar aplicativos à lista de
aplicativos reconhecidos, eles podem ser ativados, desativados, editados ou
excluídos.
9 Para ativar ou desativar um aplicativo, marque a caixa de seleção na coluna
Ativado.
10 Clique em OK.
Seção 6
proativa contra ameaças
■ Configuração das verificações proativas de ameaças TruScan
■ Configuração do controle de dispositivos e aplicativos
■ Configuração de dispositivos de hardware
■ Personalização de políticas de controle de dispositivos e aplicativos

534
Capítulo 35
Configuração das
verificações proativas de
ameaças TruScan
■ Sobre as verificações proativas de ameaças TruScan
■ Como usar as configurações padrão da Symantec
■ Sobre os processos que as verificações proativas de ameaças TruScan detectam
■ Sobre o gerenciamento de falsos positivos detectados pelas verificações

proativas de ameaças TruScan
■ Sobre os processos que as verificações proativas de ameaças TruScan ignoram
■ Como as verificações proativas de ameaças TruScan funcionam com a

quarentena
■ Como as verificações proativas de ameaças TruScan funcionam com exceções

centralizadas
■ Como entender as detecções proativas de ameaças do TruScan
■ Configuração da freqüência da verificação proativa de ameaças TruScan
■ Configuração de notificações para verificações proativas de ameaças TruScan

As verificações proativas de ameaças TruScan fornecem um nível adicional de
proteção a seu computador. A verificação proativa de ameaças complementa as
536 Configuração das verificações proativas de ameaças TruScan
atuais tecnologias de proteção antivírus, anti-spyware, prevenção de intrusões e

firewall.
Nota: TruScan é o novo nome para a verificação proativa de ameaças e pode

aparecer na interface do usuário. O significado é o mesmo.
As verificações antivírus e anti-spyware geralmente dependem de assinaturas

para detectar ameaças conhecidas. As verificações proativas de ameaças usam
heurísticas para detectar ameaças desconhecidas. As verificações do processo de
heurística analisam o comportamento de aplicativos ou processos. A verificação
determina se os processos demonstram características de ameaças, como Cavalos
de Tróia, worms ou keyloggers. Esse tipo de proteção às vezes é citado como
proteção de ataques de dia zero.
Nota: O Auto-Protect também utiliza um tipo de heurística denominado Bloodhound

para detectar comportamento suspeito nos arquivos. As verificações proativas de
ameaças detectam comportamento suspeito nos processos ativos.
As configurações das verificações proativas de ameaças são incluídas como parte

de uma política antivírus e anti-spyware. Muitas das configurações podem ser
bloqueadas para que os usuários dos computadores-cliente não possam alterá-las.
É possível fazer estas configurações:
■ Que tipos de ameaças verificar.
■ Freqüência de execução das verificações proativas de ameaças.
■ Se as notificações devem ser exibidas no computador-cliente quando uma
detecção proativa de ameaça ocorrer.
As verificações proativas de ameaças TruScan são ativadas quando as
configurações Verificar Cavalos de Tróia e worms ou Verificar keyloggers estiverem
ativas. Se uma dessas configurações estiver desativada, a página Status no cliente
do Symantec Endpoint Protection exibirá a proteção proativa contra ameaças
como desativada.
A verificação proativa de ameaças fica ativada por padrão.
Nota: Como as verificações proativas de ameaças analisam anomalias de

comportamento nos aplicativos e processos, elas podem reduzir o desempenho
do computador.
Configuração das verificações proativas de ameaças TruScan 537
Como usar as configurações padrão da Symantec
Como usar as configurações padrão da Symantec

Você pode decidir como deseja gerenciar as detecções proativas de ameaças. Você
pode usar os padrões da Symantec ou pode especificar o nível de sensibilidade e
a ação para a detecção.
Se você decidir permitir que a Symantec gerencie as detecções, o software-cliente
determina a ação e o nível de sensibilidade. O mecanismo de verificação executado
no computador-cliente determina a configuração padrão. Se você escolher
gerenciar as detecções em vez disso, você pode definir uma única ação de detecção
e nível de sensibilidade específico.
Para minimizar detecções com falso positivo, a Symantec recomenda que você
use, inicialmente, os padrões gerenciados pela Symantec. Após um determinado
período de tempo, você pode observar o número de falsos positivos que o cliente
detecta. Se o número estiver muito baixo, você pode ajustar gradativamente as
configurações de verificação proativa de ameaças. Por exemplo, para a detecção
de Cavalos de tróia e worms, você pode mover o regulador de sensibilidade um
pouco acima do padrão. Você pode observar os resultados das verificações proativas
de ameaças executadas após a definição das novas configurações.
Consulte “Como entender as detecções proativas de ameaças do TruScan”
na página 544.
Consulte “Especificação de ações e níveis de sensibilidade para detecção de Cavalos
de Tróia, worms e keyloggers” na página 546.
Sobre os processos que as verificações proativas de

ameaças TruScan detectam
As verificações proativas de ameaças detectam os processos que se comportam
de modo semelhante aos Cavalos de Tróia, worms e keyloggers. Os processos
geralmente mostram um tipo de comportamento que uma ameaça pode explorar,
como abrir uma porta no computador de um usuário.
É possível definir configurações para alguns tipos de detecções proativas de
ameaças. Você pode ativar ou desativar a detecção de processos que se comportam
como Cavalos de Tróia, worms ou keyloggers. Por exemplo, você pode querer
detectar os processos que se comportam como Cavalos de Tróia e worms, mas não
os processos que se comportam como keyloggers.
A Symantec mantém uma lista de aplicativos comerciais que podem ser usados
para fins maliciosos. A lista inclui os aplicativos comerciais que registram o
pressionar de teclas de um usuário. Também inclui os aplicativos que controlam
remotamente um computador-cliente. Você pode querer saber se esses tipos de
Sobre os processos que as verificações proativas de ameaças TruScan detectam
aplicativos estão instalados nos computadores-cliente. Por padrão, as verificações

proativas de ameaças detectam esses aplicativos e registram o evento. É possível
especificar diferentes ações corretivas.
Você pode configurar o tipo de ação de correção que o cliente toma quando detecta
tipos determinados de aplicativos comerciais. Esses aplicativos incluem programas
comerciais que monitoram ou registram o pressionar de teclas de um usuário ou
que controlam o computador do usuário de maneira remota. Se uma verificação
detecta um keylogger ou um programa de controle remoto comercial, o cliente
usa a ação que está estabelecida na política. Também é possível permitir que um
usuário controle as ações.
As detecções proativas de ameaças também detectam os processos que se
comportam de modo semelhante ao adware e spyware. Não é possível configurar
como as verificações proativas de ameaças lidam com esses tipos de detecções.
Se as verificações proativas de ameaças detectarem o adware ou spyware que você
deseja permitir nos computadores-cliente, você deverá criar uma exceção
centralizada.
A Tabela 35-1 descreve os processos que as verificações proativas de ameaças
detectam.
Tabela 35-1 Processos detectados pelas verificações proativas de ameaças

TruScan
Tipo dos processos Descrição
Cavalos de Tróia e worms Processos que exibem as características de Cavalos de Tróia ou

worms.
As verificações proativas de ameaças usam heurísticas para

procurar processos que se comportam como Cavalos de Tróia
ou worms. Esses processos podem ou não ser ameaças.
Keyloggers Processos que demonstram características de keyloggers.
As verificações proativas de ameaças detectam keyloggers

comerciais, mas também detectam quaisquer processos
desconhecidos que demonstram as características de keyloggers.
Keyloggers são os aplicativos registradores de teclas que
capturam pressionamentos de teclas dos usuários. Esses
aplicativos podem ser usados para reunir informações sobre
senhas e outras informações vitais. Eles podem ou não ser
ameaças.
Sobre o gerenciamento de falsos positivos detectados pelas verificações proativas de ameaças TruScan
Tipo dos processos Descrição
Aplicativos comerciais Aplicativos comerciais conhecidos que podem ser usados para
fins maliciosos.
As verificações proativas de ameaças detectam vários tipos
diferentes de aplicativos comerciais. É possível configurar ações
para dois tipos: programas de keyloggers e de controle remoto.
Adware e spyware Processos que demonstram características de adware e spyware
As verificações proativas de ameaças usam heurísticas para

detectar os processos desconhecidos que se comportam como
adware e spyware. Esses processos podem ou não ser riscos.
É possível configurar se o software-cliente envia ou não à Symantec as informações

sobre detecções proativas de ameaças. Você inclui essas configurações de envio
como parte da Política antivírus e anti-spyware.
Consulte “Envio de informações sobre verificações à Symantec” na página 432.
Sobre o gerenciamento de falsos positivos detectados

pelas verificações proativas de ameaças TruScan
As verificações proativas de ameaças TruScan às vezes detectam positivos falsos.
As verificações proativas de ameaças procuram aplicativos e processos com
comportamento suspeito em vez de vírus ou riscos à segurança conhecidos. Por
sua natureza, essas verificações geralmente sinalizam itens que talvez você não
queira detectar.
Para a detecção de Cavalos de Tróia, worms ou keyloggers, é possível optar pelo
uso da ação e dos níveis de sensibilidade padrão que a Symantec especifica. Ou
optar por gerenciar, você mesmo, as ações de detecção e os níveis de sensibilidade.
Se você mesmo gerenciar as configurações, você arriscará a detecção de muitos
falsos positivos. Se você deseja gerenciar as ações e os níveis de sensibilidade,
deve estar ciente do impacto em sua rede de segurança.
Nota: Se você altera o nível de sensibilidade , também altera o número total de

detecções. Se o nível de sensibilidade for alterado, você pode reduzir o número de
falsos positivos gerados pelas verificações proativas de ameaças. A Symantec
recomenda que, se os níveis de sensibilidade forem alterados, você deverá alterá-los
gradualmente e monitorar os resultados.
Se uma verificação proativa de ameaças detectar um processo que você determina

que não é um problema, será possível criar uma exceção. Uma exceção garante
que verificações futuras não sinalizem o processo. Os usuários de
computadores-cliente também podem criar exceções. Se houver um conflito entre
uma exceção definida pelo usuário e uma exceção do administrador, esta última
terá prioridade.
A Tabela 35-2 descreve as tarefas para a criação de um plano para gerenciar falsos
positivos.
Tabela 35-2 Plano para gerenciar falsos positivos
Tarefa Descrição
Garantir que a As políticas antivírus e anti-spyware incluem as configurações

Symantec gerencie gerenciadas pela Symantec. A configuração fica ativada por
detecções de Cavalos padrão. Quando essa configuração é ativada, a Symantec determina
de Tróia, worms e as ações tomadas para as detecções desses tipos de processos. A
keyloggers. Symantec também determina o nível de sensibilidade usado para
verificá-los.
Quando a Symantec gerencia as detecções, as verificações

proativas de ameaças executam uma ação baseada em como a
verificação interpreta a detecção.
A verificação aplica as seguintes ações para a detecção:
■ Quarentena
a verificação usa essa ação para as detecções que
provavelmente sejam verdadeiras ameaças.
■ Somente registro
a verificação usa essa ação para as detecções que
provavelmente sejam falsos positivos.
Nota: Se você optar por gerenciar a ação de detecção, poderá
escolher uma ação. Essa ação sempre é usada para esse tipo de
detecção. Se você configurar a ação para quarentena, o cliente
colocará todas as detecções desse tipo em quarentena.
Tarefa Descrição
Garantir que o Verificar que os componentes que produzem os falsos positivos

conteúdo da Symantec tenham o conteúdo mais recente da Symantec. O conteúdo mais
seja atual. recente inclui informações sobre processos que a Symantec
determinou como falsos positivos conhecidos. Esses falsos
positivos conhecidos são excluídos da detecção de verificação
proativa de ameaças.
É possível realizar um relatório no console para verificar quais

computadores estão executando a versão mais recente do
conteúdo.
Consulte “Sobre o uso de monitores e relatórios para ajudar a

proteger a rede” na página 229.
Pode-se também atualizar o conteúdo realizando uma das
seguintes ações:
■ Aplicar uma política LiveUpdate.

Consulte “Configuração de políticas do LiveUpdate”
na página 106.
■ Executar o comando Atualizar para os computadores
selecionados relacionados na guia Clientes.
■ Executar o comando Atualizar nos computadores selecionados
listados no status do computador ou no registro de riscos.
Certificar-se de que os As configurações de envio estão incluídas como parte da Política

envios estão ativados. antivírus e anti-spyware.
Certificar-se de que os computadores-cliente estejam configurados

para enviar automaticamente ao Symantec Security Response as
informações sobre processos detectados pelas verificações
proativas de ameaças. A configuração fica ativada por padrão.
Consulte “Envio de informações sobre verificações à Symantec”

na página 432.
Criar exceções para os É possível criar uma política que inclua exceções para os falsos
falsos positivos que positivos que você detectar. Por exemplo, você pode executar um
você detectar. determinado processo ou aplicativo em sua rede de segurança.
Você sabe que o processo é seguro para ser executado em seu
ambiente. Se as verificações proativas de ameaças TruScan
detectarem o processo, você poderá criar uma exceção para que
verificações futuras não o detectem.
Consulte “Configuração de políticas de exceções centralizadas”

na página 594.
Sobre os processos que as verificações proativas de ameaças TruScan ignoram
Sobre os processos que as verificações proativas de

ameaças TruScan ignoram
As verificações proativas de ameaças TruScan permitem certos processos e
dispensam esses processos de serem verificados. A Symantec mantém esta lista
de processos. A Symantec geralmente preenche essa lista com os aplicativos que
são falsos positivos. Os computadores-cliente em sua rede de segurança recebem
atualizações para a lista periodicamente quando fazem download de conteúdo
novo. Os computadores-cliente podem fazer download de conteúdo de diversas
maneiras. O servidor de gerenciamento pode enviar conteúdo atualizado. Você
ou seus usuários também podem executar o LiveUpdate nos computadores-cliente.
As verificações proativas de ameaças TruScan ignoram alguns processos. Esses
processos podem conter os aplicativos para os quais a Symantec não tem
informações suficientes ou os aplicativos que fornecem outros módulos.
Você também pode especificar que as verificações proativas de ameaças TruScan
ignorem determinados processos. Você especifica que as verificações proativas
de ameaças ignorem certos processos ao criar uma exceção centralizada.
Os usuários de computadores-cliente também podem criar exceções para
verificações proativas de ameaças. Se uma exceção definida pelo administrador
entra em conflito com outra definida pelo usuário, as verificações proativas de
ameaças aplicam apenas a exceção definida pelo administrador. A verificação
ignora a exceção do usuário.
Consulte “Como as verificações proativas de ameaças TruScan funcionam com
exceções centralizadas” na página 543.
Como as verificações proativas de ameaças TruScan

funcionam com a quarentena
Você pode configurar verificações proativas de ameaças para detecções de
quarentena. Os usuários de computadores-cliente podem restaurar itens em
quarentena. O cliente Symantec Endpoint Protection também pode restaurar itens
em quarentena automaticamente.
Quando um cliente recebe novas definições, o cliente verifica novamente os itens
em quarentena. Se os itens em quarentena forem considerados maliciosos, o cliente
registra o evento.
Periodicamente, os computadores-cliente recebem atualizações das listas definidas
pela Symantec sobre processos e aplicativos funcionais. Quando as novas listas
estão disponíveis nos computadores-cliente, os itens em quarentena são verificados
Como as verificações proativas de ameaças TruScan funcionam com exceções centralizadas
com base nas listas mais recentes. Se as listas mais recentes permitirem qualquer
um dos itens em quarentena, o cliente restaura os itens automaticamente.
Além disso, os administradores ou usuários podem criar exceções para detecções
proativas de ameaças. Quando as exceções mais recentes permitem os itens em
quarentena, o cliente restaura os itens.
Os usuários podem visualizar os itens em quarentena na página Exibir quarentena
no cliente.
O cliente não envia a um servidor da quarentena central os itens colocados em
quarentena pelas verificações proativas de ameaças. Os usuários podem enviar
automaticamente ou manualmente ao Symantec Security Response os itens na
quarentena.
Consulte “Envio de itens em quarentena à Symantec” na página 438.
Como as verificações proativas de ameaças TruScan

funcionam com exceções centralizadas
É possível criar sua própria lista de exceções para o cliente Symantec Endpoint
Protection para controlar quando ele executa verificações proativas de ameaças.
Você cria essas listas ao criar exceções. As exceções especificam o processo e a
ação a ser tomada quando uma verificação proativa de ameaças detecta um
determinado processo. É possível criar exceções apenas para os processos que
não estão incluídos na lista de processos e aplicativos conhecidos definidos pela
Symantec.
Por exemplo, você pode desejar criar uma exceção para proceder de uma das
seguintes maneiras:
■ Ignorar um determinado registrador de teclas comercial.
■ Colocar em quarentena um determinado aplicativo que você não deseja executar
nos computadores-cliente.
■ Permitir que um aplicativo de controle remoto específico seja executado.
Para evitar conflitos entre exceções, as verificações proativas de ameaças usam
a seguinte ordem de prioridade:
■ Exceções definidas pela Symantec
■ Exceções definidas pelo administrador
■ Exceções definidas pelo usuário
Como entender as detecções proativas de ameaças do TruScan
A lista definida pela Symantec sempre tem prioridade sobre as exceções definidas
pelo administrador. As exceções definidas pelo administrador sempre têm
prioridade sobre as exceções definidas pelo usuário.
É possível usar uma política de exceções centralizadas para especificar que
processos conhecidos detectados sejam permitidos ao configurar a ação de detecção
para Ignorar. Você também pode criar uma exceção centralizada para especificar
que certos processos não sejam permitidos ao configurar a ação para colocar em
quarentena ou encerrar.
Os administradores podem forçar uma detecção proativa de ameaças ao criar uma
exceção centralizada que especifique um nome de arquivo para que as verificações
proativas de ameaças detectem. Quando a verificação proativa de ameaças detectar
o arquivo, o cliente registrará a instância. Como os nomes dos arquivos não são
exclusivos, vários processos podem usar o mesmo nome de arquivo. É possível
usar detecções forçadas para ajudá-lo a criar exceções para ignorar, colocar em
quarentena ou encerrar um determinado processo.
Quando uma verificação proativa de ameaças no computador-cliente registra a
detecção, essa se torna parte de uma lista de processos conhecidos. Você pode
selecionar a partir da lista ao criar uma exceção para verificações proativas de
ameaças. É possível definir uma determinada ação para a detecção. Você também
pode usar o registro da detecção proativa na guia Monitores no console para criar
a exceção.
Consulte “Exibição de registros” na página 207.
Os usuários podem criar exceções no computador-cliente por meio de um dos
seguintes métodos:
■ A lista Visualizar quarentena
■ Caixa de diálogo resultados da verificação
Um administrador pode bloquear uma lista de exceções para que um usuário não
possa criar nenhuma exceção. Se um usuário criou exceções antes de o
administrador bloquear a lista, as exceções criadas pelo usuário serão desativadas.
Como entender as detecções proativas de ameaças

do TruScan
Quando uma verificação proativa de ameaças TruScan detectar processos indicados
como potencialmente maliciosos, normalmente alguns dos processos serão
legitimados. Algumas detecções não fornecem suficientes informações para serem
classificadas como uma ameaça ou um falso positivo; esses processos são

considerados como "desconhecidos".
Uma verificação proativa de ameaças examina o comportamento dos processos
ativos na hora em que a verificação é executada. O mecanismo de verificação
procura comportamentos como abertura de portas ou captura de digitação. Se um
processo envolver vários desses tipos de comportamentos, a verificação o indicará
como uma ameaça em potencial. A verificação não indica o processo se esse não
exibir comportamento suspeito durante a verificação.
Por padrão, as verificações proativas de ameaças detectam os processos que se
comportam como Cavalos de tróia, worms ou keyloggers. Você pode ativar ou
desativar esses tipos de detecções em uma política antivírus e anti-spyware.
Nota: As configurações da verificação proativa de ameaças não têm efeito nas

verificações antivírus e anti-spyware, que usam assinaturas para detectar riscos
conhecidos. O cliente detecta primeiro os riscos conhecidos.
O cliente usa as configurações padrão da Symantec para determinar a ação a tomar

com os itens detectados. Se o mecanismo de verificação determinar que o item
não precisa ser corrigido, o cliente registrará a detecção. Se o mecanismo de
verificação determinar que o item deve ser corrigido, o cliente colocará o item em
quarentena.
Nota: As opções Verificar Cavalos de Tróia ou worms e Verificar keyloggers

atualmente não são compatíveis com os sistemas operacionais dos servidores
Windows. Você pode modificar as opções na política antivírus e anti-spyware para
os clientes que executam sistemas operacionais de servidor, mas as verificações
não são executadas. Na interface de usuário do cliente nos sistemas operacionais
dos servidores, as opções de verificação aparecerão como não disponíveis. Se você
ativar as opções de verificação na política, as opções aparecem marcadas como
não disponíveis.
As configurações padrão da Symantec também são usadas para determinar a

sensibilidade da verificação proativa de ameaças. Quando o nível de sensibilidade
for maior, mais processos serão sinalizados. Quando o nível de sensibilidade for
menor, menos processos serão sinalizados. O nível de sensibilidade não indica o
nível de certeza sobre a detecção. Também não afeta a taxa de detecções de falso
positivo. Quanto maior o nível de sensibilidade, mais falsos positivos e positivos
verdadeiros serão detectados pela verificação.
Para minimizar o número de falsos positivos detectados, é preciso usar as
configurações padrão da Symantec.
Você pode desativar as configurações padrão definidas pela Symantec. Ao desativar

as configurações padrão da Symantec, você poderá configurar ações e o nível de
sensibilidade para a detecção de Cavalos de Tróia, worms ou keyloggers. As
configurações padrão que são exibidas na interface de usuário do cliente não
refletem as configurações padrão da Symantec. Eles refletem as configurações
padrão usadas quando as detecções são gerenciadas manualmente.
Para aplicativos comerciais, você pode especificar a ação tomada pelo cliente
quando uma verificação proativa de ameaças faz uma detecção. Você pode
especificar ações separadas para a detecção de um keylogger comercial e a detecção
de um aplicativo de controle remoto comercial.
Nota: Os usuários dos computadores-cliente podem modificar as configurações

da verificação proativa de ameaças se as configurações estiverem desbloqueadas
na política antivírus e anti-spyware. No computador-cliente, as configurações da
verificação proativa de ameaças TruScan aparecem em Proteção proativa contra
ameaças.
Especificação dos tipos de processos detectados pelas verificações

Por padrão, as verificações de proteção proativa contra ameaças TruScan detecta
Cavalos de Tróia, worms e keyloggers. Você pode desativar a detecção de Cavalos
de tróia e worms ou keyloggers.
Clique em Ajuda para obter mais informações sobre as opções de notificação da
verificação.
Para especificar os tipos de processos detectados pelas verificações proativas de
ameaças TruScan
1 Na página Política antivírus e anti-spyware, clique em Verificações proativas
de ameaças do TruScan.
2 Na guia Detalhes da verificação, em Verificação, marque ou desmarque
Verificar Cavalos de tróia e wormse Verificar keyloggers.
3 Clique em OK.
Especificação de ações e níveis de sensibilidade para detecção de

Cavalos de Tróia, worms e keyloggers
As verificações proativas de ameaças TruScan são diferentes das verificações
antivírus e anti-spyware. As verificações antivírus e anti-spyware procuram por
riscos conhecidos. As verificações proativas de ameaças procuram por riscos
desconhecidos com base no comportamento de certos tipos de processos ou

aplicativos. As verificações detectam qualquer comportamento que seja semelhante
ao comportamento dos Cavalos de Tróia, worms ou keyloggers.
Quando você permite que a Symantec gerencie as detecções, a ação de detecção
é a quarentena para positivos verdadeiros e apenas registro para falsos positivos.
Quando você mesmo gerencia as detecções, você pode configurar a ação de
detecção. Essa ação sempre é utilizada quando as verificações proativas de ameaças
fazem uma detecção. Por exemplo, você pode especificar que o cliente Symantec
Endpoint Protection registre a detecção de processos que se comportam como
Cavalos de Tróia e worms. Quando o cliente faz a detecção, ele não coloca o
processo em quarentena, apenas registra o evento.
É possível configurar o nível de sensibilidade. As verificações proativas de ameaças
fazem mais detecções (positivos verdadeiros e falsos) quando você define um nível
de sensibilidade maior.
Nota: Se você ativar essas definições, você poderá detectar muitos falsos positivos.
Você deve estar ciente dos tipos de processos que executa em sua rede de
segurança.
Clique em Ajuda para obter mais informações sobre as opções de ações e

sensibilidade da verificação.
Para especificar a ação e a sensibilidade para Cavalos de Tróia, worms e keyloggers
de ameaças TruScan.
2 Na guia Detalhes da verificação, em Verificação, certifique-se de que
selecionou Verificar Cavalos de Tróia e worms e Verificar keyloggers
3 Para qualquer dos tipos de risco, desmarque Usar os padrões definidos pela
Symantec.
4 Para qualquer dos tipos de risco, defina a ação para Registro, Encerrar ou
Quarentena.
Serão enviadas notificações se uma ação for definida para Quarentena ou
Encerrar e você tiver ativado as notificações. (As notificações são ativadas
por padrão.) Use a ação Encerrar com cuidado. Em alguns casos, você pode
fazer com que os aplicativos percam a funcionalidade.
■ Mova o regulador de sensibilidade para a esquerda ou direita para diminuir
ou aumentar a sensibilidade, respectivamente.
Configuração da freqüência da verificação proativa de ameaças TruScan
■ Clique em Baixa ou Alta.
6 Clique em OK.
Especificação de ações para detecções de aplicativos comerciais

Você pode alterar a ação que será tomada quando uma verificação proativa de
ameaças TruScan fizer uma detecção. Se você definir a ação para Ignorar, as
verificações proativas de ameaças ignorarão os aplicativos comerciais.
procedimentos.
Para especificar as ações para detecções de aplicativos comerciais
de ameaças do TruScan.
2 Na guia Detalhes da verificação, em Detecção de aplicativos comerciais, defina
a ação para Ignorar, Registrar, Encerrar ou Quarentena.
3 Clique em OK.
Configuração da freqüência da verificação proativa

de ameaças TruScan
Você pode configurar a freqüência com que as verificações proativas de ameaças
TruScan são executadas incluindo a configuração em uma política antivírus e
anti-spyware.
Nota: Se você alterar a freqüência das verificações proativas de ameaças, isso

poderá afetar o desempenho dos computadores-cliente.
Clique em Ajuda para obter mais informações sobre as opções de freqüência da

verificação.
Para configurar a freqüência da verificação proativa de ameaças
2 Na guia Freqüência de verificação, em Freqüência de verificação, defina uma
das seguintes opções:
■ Na freqüência de verificação padrão
O software de mecanismo de verificação determina a freqüência da
verificação. Essa opção é a configuração padrão.
Configuração de notificações para verificações proativas de ameaças TruScan
■ Em freqüência de verificação personalizada

Se você ativar essa opção, poderá especificar se o cliente deve verificar
novos processos imediatamente quando detectá-los. Você também poderá
configurar o tempo de freqüência da verificação.
3 Clique em OK.
Configuração de notificações para verificações

Por padrão, as notificações são enviadas aos computadores-cliente sempre que
há uma detecção da verificação proativa de ameaças TruScan. Você pode desativar
as notificações se não quiser que o usuário seja notificado.
As notificações alertam o usuário de que uma verificação proativa de ameaças fez
uma detecção que o usuário deve corrigir. O usuário pode usar a caixa de diálogo
de notificação para corrigir a detecção. Para as detecções de verificação proativa
de ameaças que não exigem correção, o cliente Symantec Endpoint Protection
registra a detecção, mas não envia notificação.
Nota: Se você configurar para que as detecções usem os padrões da Symantec, as

notificações serão enviadas apenas se o cliente recomendar uma correção para o
processo.
Os usuários também podem corrigir as detecções visualizando o registro de

ameaças e selecionando uma ação.
É possível criar uma exceção centralizada para excluir um processo de detecção;
os usuários de computadores-cliente também podem criar exceções.
Consulte “Sobre as políticas de exceções centralizadas” na página 591.
Clique em Ajuda para obter mais informações sobre as opções de notificação da
verificação.
Para configurar notificações de detecções das verificações proativas de ameaças
TruScan
2 Na guia Notificações, marque ou desmarque as seguintes opções:
■ Exibir uma mensagem quando há uma detecção.
■ Perguntar antes de encerrar um processo.
Configuração de notificações para verificações proativas de ameaças TruScan
■ Perguntar antes de interromper um serviço.
3 Clique em OK.
Capítulo 36
Configuração do controle
de dispositivos e aplicativos
■ Sobre o controle de dispositivos e aplicativos
■ Sobre a estrutura de uma política de controle de dispositivos e aplicativos
■ Sobre controle de aplicativos
■ Sobre o controle de dispositivos
■ Sobre como trabalhar com políticas de controle de dispositivos e aplicativos
■ Ativação de um conjunto de regras de controle de aplicativos padrão
■ Criação de uma política de controle de dispositivos e aplicativos
■ Configuração do controle de aplicativos em uma política de controle de

dispositivos e aplicativos
■ Configuração do controle de dispositivos para uma política de controle de

Sobre o controle de dispositivos e aplicativos

Use o controle de dispositivos e aplicativos pelas seguintes razões:
■ Para impedir que malware seqüestre aplicativos em computadores-cliente
■ Para impedir a remoção acidental de dados dos computadores-cliente
■ Para restringir os aplicativos que podem ser executados em um
computador-cliente
552 Configuração do controle de dispositivos e aplicativos
Sobre a estrutura de uma política de controle de dispositivos e aplicativos
■ Para minimizar a possibilidade de um computador ser infectado com ameaças

à segurança de uma unidade periférica
O controle de dispositivos e aplicativos é implementado em computadores-cliente
através da política de controle de dispositivos e aplicativos.
Uma política de controle de dispositivos e aplicativos oferece os seguintes tipos
de proteção para computadores-cliente:
■ controle de aplicativo para monitorar chamadas de API do Windows feitas em
computadores-cliente e para controlar o acesso a arquivos, pastas, chaves de
registro e processos de clientes
Ela protege os recursos de sistema dos aplicativos.
■ Controle de dispositivos para gerenciar os dispositivos periféricos que podem
ser conectados aos computadores
Você pode definir cada um desses tipos de proteção ao criar uma nova política de
controle de dispositivos e aplicativos. Você também tem a opção de adicionar o
controle de aplicativos ou o controle de dispositivos primeiramente e outro tipo
de proteção posteriormente.
Você pode aplicar somente uma política de controle de dispositivos e aplicativos
para cada local dentro de um grupo. É necessário definir o controle de aplicativos
e o controle de dispositivos na mesma política, se desejar implementar ambos os
tipos de proteção.
Nota: As informações desse capítulo se aplicam somente a computadores-cliente

de 32 bits. As políticas de controle de dispositivos e aplicativos não se aplicam a
computadores-cliente de 64 bits.
Sobre a estrutura de uma política de controle de

A parte do controle de aplicativos de uma política de controle de dispositivos e
aplicativos pode conter vários conjuntos de regras, e cada conjunto de regras
contém uma ou mais regras. Você pode configurar propriedades de um conjunto
de regras, além de configurar propriedades, condições e ações para cada regra.
As regras controlam as tentativas de acesso a entidades do computador, como
arquivos ou chaves de registro, que o Symantec Endpoint Protection monitora.
Configure os diferentes tipos de tentativas como condições. Para cada condição,
você pode configurar ações a serem tomadas quando as condições forem cumpridas.
Configure regras para aplicar somente a determinados aplicativos. Você pode,
opcionalmente, configurá-los para excluir outros aplicativos de ter a ação aplicada.
Configuração do controle de dispositivos e aplicativos 553
Sobre controle de aplicativos
Consulte “Sobre as propriedades de regras de controle de aplicativos” na página 555.

Consulte “Sobre as condições de regras de controle de aplicativos” na página 555.
Consulte “Sobre as propriedades da condição da regra de controle de aplicativos”
na página 556.
Consulte “Sobre ações da condição de regras de controle de aplicativos”
na página 557.
O controle de dispositivos consiste em uma lista de dispositivos bloqueados e uma
lista de dispositivos que são excluídos do bloqueio. Você pode adicionar a ambas
as listas e gerenciar seu conteúdo.
A Figura 36-1 ilustra os componentes do controle de dispositivos e aplicativos e
como eles se relacionam entre si.
Figura 36-1 Estrutura da Política de controle de dispositivos e aplicativos

O controle de aplicativos fornece a capacidade de monitorar e controlar o
comportamento dos aplicativos. Você pode bloquear ou permitir o acesso às chaves
de registro, aos arquivos e às pastas especificados. Você pode também bloquear
ou permitir aplicativos de iniciar ou encerrar outros processos. Também pode

definir que aplicativos têm permissão para serem executados e que aplicativos
não podem ser encerrados através de processos irregulares. Você pode definir que
aplicativos podem chamar as Dynamic Link Libraries (DLLs).
Aviso: O controle de aplicativos é um recurso de segurança avançado que somente

administradores experientes devem configurar.
O controle de aplicativos é implementado usando conjuntos de regras que definem

como você quer controlar os aplicativos. O controle de aplicativos é um conjunto
de controles que permite ou bloqueia uma ação. Você pode criar tantos conjuntos
de regras quanto forem necessários em uma política. Você pode também configurar
que conjuntos de regras são ativos em um determinado momento usando a opção
Ativado para cada conjunto de regras.
Use o controle de aplicativos para proteger computadores-cliente das seguintes
maneiras:
■ Proteger chaves de registro e valores específicos.
■ Proteger diretórios, como o diretório \WINDOWS\system.
■ Impedir usuários de alterar arquivos de configuração.
■ Proteger arquivos de programa importantes, como o diretório local Symantec
onde o cliente está instalado.
■ Proteger processos específicos ou excluir processos da proteção.
■ Controlar o acesso a DLLs.
Sobre o modo de teste

Ao criar um conjunto de regras de controle de aplicativos, ele é criado em modo
padrão, que é o modo de teste (somente registro). O modo de teste permite testar
suas regras antes de ativá-las. No modo de teste, nenhuma ação é aplicada, mas
as ações que você configurou são registradas como se tivessem sido aplicadas.
Usando o modo de teste, você pode atribuir a política a grupos e a locais, além de
gerar um registro de controle do cliente. Examine os registros de controle do
cliente para ver erros e fazer correções à regra, conforme a necessidade. Quando
a política é operada conforme suas expectativas, você pode mudar o modo para o
modo de produção a fim de implementar o conjunto de regras de controle de
aplicativos.
Uma prática recomendada é executar todos os conjuntos de regras no modo de
teste por um período de tempo antes de alterná-los para o modo de produção. Essa
prática reduz o potencial para problemas que podem ocorrer quando você não
antecipar todas as possíveis conseqüências de uma regra.
Consulte “Alteração do modo de um conjunto de regras do controle de aplicativos”
na página 571.
Sobre os conjuntos de regras de controle dos aplicativos e regras

Os conjuntos de regras são constituídos por regras e suas condições. Uma regra
é um conjunto de condições e ações que se aplicam a um dado processo ou a
processos. Uma prática recomendada é criar um conjunto de regras que inclua
todas as ações que permitem, bloqueiam e monitoram uma dada tarefa. Siga este
princípio para ajudar a manter suas regras organizadas. Por exemplo, supondo
que você queira bloquear tentativas de gravação para todas as unidades removíveis
e você queira bloquear a adulteração de aplicativos com um aplicativo específico.
Para realizar estes objetivos, é necessário criar dois conjuntos de regras diferentes.
Você não deve criar todas as regras necessárias para realizar ambos os objetivos
com um conjunto de regras.
Você aplica uma regra a um ou mais aplicativos para definir os aplicativos que
você monitora. As regras contêm condições. Essas condições monitoram o
aplicativo ou os aplicativos que estão definidos na regra para operações
especificadas. As condições definem o que você quer permitir que os aplicativos
façam ou mantenham-se fazendo. As condições contêm também as ações a serem
tomar quando a operação especificada na condição for observada.
Nota: Lembre-se de que as ações se aplicam sempre ao processo que está definido
na regra. Elas não se aplicam aos processos que estão definidos na condição.
Sobre as propriedades de regras de controle de aplicativos

Você pode configurar as seguintes propriedades para uma regra:
■ Um nome
■ Uma descrição (opcional)
■ Se a regra está ativada ou desativada
■ Uma lista de aplicativos que devem ter a regra aplicada a eles
■ Uma lista de aplicativos que não devem ter a regra aplicada a eles (opcional)
Sobre as condições de regras de controle de aplicativos

As condições são operações que podem ser permitidas ou negadas para aplicativos.
A Tabela 36-1 descreve as condições de regras de controle de aplicativos que você

pode configurar para uma regra.
Tabela 36-1 Tipos de condições de regras
Condição Descrição
Tentativas de acesso a Permite ou bloqueia o acesso às configurações de registro

registros de um computador-cliente.
Você pode permitir ou bloquear o acesso às chaves de

registro, aos valores e aos dados específicos.
Tentativas de acesso a Permite ou bloqueia o acesso a arquivos ou pastas específicos

arquivos e pastas em um computador-cliente.
Você pode restringir o monitoramento de arquivos e pastas

em tipos específicos de unidade.
Tentativas de início de Permite ou bloqueia a capacidade de iniciar um processo

processo em um computador-cliente.
Tentativas de encerramento Permite ou bloqueia a capacidade de encerrar um processo

de processo em um computador-cliente.
Por exemplo, você pode impedir que um aplicativo específico

seja interrompido. Essa condição procura os aplicativos que
tentam matar um aplicativo especificado.
Nota: Essa condição impede que outros aplicativos ou
procedimentos terminem o processo. Não impede o
encerramento do aplicativo pelos métodos normais de
interrupção de um aplicativo, como clicar em Sair no menu
Arquivo.
Tentativas de carregamento Permite ou bloqueia a capacidade de carregar uma DLL em

de DLL um computador-cliente.
Você pode definir os arquivos da DLL que você quer impedir

ou permitir que sejam carregados em um aplicativo. Você
pode usar nomes do arquivo específico, caracteres curingas,
listas de impressões digitais e expressões regulares. Você
pode também limitar o monitoramento de DLLs para aquelas
DLLs que são iniciadas em um tipo específico de unidade.
Sobre as propriedades da condição da regra de controle de

aplicativos
Você pode configurar as seguintes propriedades para uma condição da regra:
■ Um nome
■ Uma descrição (opcional)

■ Se a condição da regra estiver ativada ou desativada
■ Uma lista das entidades do computador que devem ser monitoradas para a
condição
■ Uma lista das entidades do computador que devem ser excluídas do
monitoramento para a condição (opcional)
Sobre ações da condição de regras de controle de aplicativos

Você pode configurar determinadas ações a serem tomadas quando uma condição
for cumprida.
As seguintes ações podem ser configuradas quando uma tentativa do aplicativo
ocorrer:
■ Continuar processando outras regras.
■ Permitir que o aplicativo acesse a entidade.
■ Bloquear o aplicativo de acessar a entidade.
■ Encerrar o processo do aplicativo.
Por exemplo, você pode configurar um conjunto de ações para que ocorra quando
um processo tentar ler uma entidade monitorada. Você pode configurar um
conjunto diferente de ações para que ocorra quando o mesmo processo tentar
criar, excluir ou gravar uma entidade monitorada. Você pode configurar uma ação
em cada caso para quantos processos desejar.
Você pode também configurar o controle de aplicativos para que registre as
tentativas e exiba uma mensagem personalizada ao usuário quando uma tentativa
ocorrer.
Aviso: Use a ação Encerrar processo com cuidado, pois ela pode não ter o efeito
esperado quando você a utilizar em uma regra. Ela encerra o processo que está
executando a ação configurada, não o processo que o usuário está iniciando
atualmente.
Por exemplo, supondo que você queira encerrar o Winword.exe a qualquer

momento em que o processo o inicialize. Você decide criar uma regra e você a
configura com a condição Iniciar tentativas de processo e a ação Encerrar processo.
Você aplica a condição ao Winword.exe e aplica a regra a todos os processos.
Pode-se esperar que esta regra encerre o Winword.exe, mas não é o que uma regra
com esta configuração faz. Se você tentar iniciar o Winword.exe a partir do
Sobre o controle de dispositivos
Windows Explorer, uma regra com esta configuração encerrará o Explorer.exe,

não o Winword.exe.
Sobre o controle de dispositivos

Use o controle de dispositivos para gerenciar o acesso de dispositivos periféricos
a computadores-cliente. Você pode implementar o controle de dispositivos criando
listas de controle de dispositivos de hardware. É possível construir uma lista de
dispositivos que devem ter o acesso a computadores bloqueado e uma lista de
dispositivos que devem ter o acesso permitido. Embora um dispositivo possa estar
conectado fisicamente a um computador, o acesso a esse computador pode ser
negado. Você pode bloquear ou permitir dispositivos USB, infravermelho, FireWire
e SCSI, bem como portas seriais e portas paralelas.
O controle de dispositivos fornece ao administrador um nível de controle mais
refinado com relação aos dispositivos que podem acessar os computadores. Os
administradores podem personalizar o controle de dispositivos para bloquear o
acesso de certos tipos de dispositivos (como todos os dispositivos USB) aos
computadores. Entretanto, o administrador também pode permitir que outros
tipos de dispositivos (como uma unidade de disco rígido USB) sejam excluídos do
bloqueio. O administrador pode também escolher definir o controle de dispositivos
usando o GUID do Windows ou o ID do dispositivo.
A Tabela 36-2 relaciona as combinações da configuração da porta e do dispositivo
da amostra e o efeito que cada combinação tem no dispositivo que tenta acessar
o computador-cliente.
Tabela 36-2 Combinações da configuração da porta e do dispositivo
Configuração Resultado
Porta bloqueou + dispositivo removido O dispositivo funciona
Porta excluída + dispositivo bloqueado O dispositivo não funciona

Nota: Você nunca deve bloquear um teclado.
Por exemplo, você pode decidir bloquear todas as portas, mas remover um mouse
USB para poder conectar-se a um computador-cliente. Nesse cenário, o mouse
USB funcionará no computador-cliente mesmo que aquela porta esteja bloqueada.
Sobre como trabalhar com políticas de controle de dispositivos e aplicativos
Sobre como trabalhar com políticas de controle de

Você cria e edita as políticas de controle de dispositivos e aplicativos da mesma
maneira que cria e modifica outros tipos de políticas do Symantec Endpoint
Protection. Você pode atribuir, retirar, substituir, copiar, exportar, importar ou
excluir uma política de controle de dispositivos e aplicativos.
Se a política de controle de dispositivos e aplicativos padrão não fornecer a
proteção necessária, existem as seguintes opções:
■ Editar a política padrão.
■ Criar uma política personalizada.
Consulte “Configuração do controle de aplicativos em uma política de controle de
dispositivos e aplicativos” na página 561.
Aviso: A política de controle de dispositivos e aplicativos é uma ferramenta

poderosa que permite criar políticas personalizadas de aplicação para seu ambiente.
No entanto, alguns erros de configuração podem desativar um computador ou
servidor. O computador-cliente pode falhar ou sua comunicação com o Symantec
Endpoint Protection Manager pode ser bloqueada, quando for implementada uma
política de controle de dispositivos e aplicativos. Se esse tipo de falha ocorrer,
talvez não seja possível configurar o computador-cliente remotamente. Sua única
opção pode ser realizar a restauração do computador-cliente localmente. A
Symantec recomenda que você use uma política no modo Teste antes de
implementá-la. Você pode então examinar o registro de controle para erros.
Os eventos de controle de dispositivos e aplicativos são gravados no registro de

controle do cliente. Você pode exibi-los no console no registro de controle de
aplicativos e no registro de controle de dispositivos.
Você pode criar uma política não compartilhada e específica do local se tiver
requisitos para um local em particular.
Nota: Os procedimentos neste capítulo pressupõem que você esteja familiarizado

com os aspectos básicos da configuração da política.

Ativação de um conjunto de regras de controle de aplicativos padrão
Ativação de um conjunto de regras de controle de

aplicativos padrão
O controle de aplicativos de uma política de controle de dispositivos e aplicativos
é composta de conjuntos de regras de controle de aplicativos. Cada conjunto de
regras de controle de aplicativos é composto de uma ou mais regras. Os conjuntos
de regras de controle de aplicativos padrão são instalados com o Symantec
Endpoint Protection Manager. Os conjuntos padrão de regras são desativados na
instalação.
Nota: Não edite os conjuntos de regras de controle de aplicativos padrão. Se os

conjuntos padrão de regras e controles não atenderem a seus requisitos, crie um
novo conjunto de regras de controle de aplicativos.
Se você quiser usar os conjuntos padrão de regras em uma política de controle de

dispositivos e aplicativos, será necessário ativá-los.
Para ativar um conjunto de regras de controle de aplicativos padrão
1 Em Políticas de controle de dispositivos e aplicativos, clique na política em
que você quer adicionar um conjunto de regras de controle de aplicativos
padrão.
3 Clique em Controle de aplicativos.
4 Para verificar a configuração em um conjunto de regras de controle de
aplicativos padrão, clique no nome em Conjunto de regras e, depois, clique
em Editar.
Certifique-se de não fazer nenhuma mudança.
5 Quando você concluir a verificação das regras e das configurações de
condições, clique em Cancelar.
6 Marque a caixa de seleção ao lado de cada conjunto de regras que você quer
ativar.
7 Clique em OK.
Criação de uma política de controle de dispositivos

e aplicativos
Você pode criar uma nova política de controle de dispositivos e aplicativos. Depois
que você criar uma política nova, você poderá criar um ou mais conjuntos de regras
Configuração do controle de aplicativos em uma política de controle de dispositivos e aplicativos
do controle de aplicativos ou listas de controle de dispositivos de hardware ou

ambos.
Você não deve criar uma política que contém somente o controle de dispositivos
e uma que contém somente o controle de aplicativos. Uma política de controle de
dispositivos e aplicativos deve conter o controle de aplicativos e o controle de
dispositivos, se você desejar implementar ambos. Você pode atribuir somente uma
política de controle de dispositivos e aplicativos de cada vez a um grupo ou a um
local.
Para criar e atribuir uma política de controle de dispositivos e aplicativos
2 Em Exibir Políticas, clique em Controle de dispositivos e aplicativos.
3 Em Tarefas, clique em Adicionar uma política de controle de dispositivos e
aplicativos.
4 No painel Visão geral, no campo Nome da política, digite o nome da nova
política de controle de dispositivos e aplicativos.
O nome padrão dessa nova política é Nova política de controle de dispositivos
e aplicativos.
5 No campo Descrição, digite uma descrição da política nova.
Estas informações são opcionais; elas são usadas para finalidades da referência
somente.
6 Se você não quer implementar imediatamente a política, desmarque Ativar
essa política.
As novas políticas estão ativadas por padrão.
7 Clique em OK.
Configuração do controle de aplicativos em uma

política de controle de dispositivos e aplicativos
Para configurar o controle de aplicativos, é necessário realizar as seguintes tarefas:
■ Criar um novo conjunto de regras de controle de aplicativos.
■ Adicionar uma ou mais regras ao conjunto de regras.
■ Adicionar uma ou mais condições às regras.
■ Configurar as ações a serem tomadas quando as condições forem cumpridas.
■ Aplicar as condições às entidades.
■ Opcionalmente, excluir entidades de ter as condições aplicadas.

■ Aplicar as regras aos processos.
■ Opcionalmente, excluir processos de ter as regras aplicadas.
■ Ativar as regras.
■ Ativar o conjunto de regras.
Criação de um novo conjunto de regras de controle de aplicativos e

adição de uma nova regra ao conjunto
Um novo conjunto de regras de aplicativos contém uma ou mais regras definidas
pelo administrador. Cada conjunto de regras e cada regra tem propriedades. Cada
regra pode também conter uma ou mais condições para monitorar os aplicativos
e o seu acesso a arquivos, pastas, chaves de registro e processos específicos.
Você pode criar várias regras e adicioná-las a um único conjunto de regras de
controle de aplicativos. Crie tantas regras e tantos conjuntos de regras quanto
você precisar para implementar a proteção desejada. Você pode excluir as regras
da lista e mudar sua posição na hierarquia do conjunto de regras conforme
necessário. Você pode também ativar e desativar conjuntos de regras ou regras
individuais dentro de um conjunto.
A ordem em que as regras são listadas é importante para o funcionamento do
controle de aplicativos. As regras do controle de aplicativos funcionam de maneira
semelhante à maioria das regras de firewall baseadas em rede, pois ambas usam
a primeira regra correspondente. Quando há várias regras em que as condições
são verdadeiras, a regra superior é a única aplicada, a menos que a ação configurada
para a regra seja Continuar processando outras regras.
Você deve considerar a ordem das regras e suas condições quando configurá-las
para evitar conseqüências inesperadas. Considere o seguinte cenário: Suponha
que um administrador quer impedir que todos os usuários movam, copiem e criem
arquivos em unidades USB. O administrador tem uma regra existente com uma
condição que permite acesso de gravação a um arquivo chamado Teste.doc. O
administrador adiciona uma segunda condição a este conjunto de regras existente
para bloquear todas as gravações em unidades USB. Neste cenário, os usuários
podem ainda criar e modificar o arquivo Teste.doc em unidades USB. Como, na
regra, a condição Permitir gravações em Teste.doc vem antes de Bloquear todas
as gravações em USB, a condição Bloquear todas as gravações em USB não será
processada quando a condição que a precede na lista for verdadeira.
Você pode verificar a estrutura dos conjuntos de regras padrão para ver como elas
são construídas.
Aviso: Apenas administradores avançados devem criar conjuntos de regras de

controle de aplicativos.
Os erros de configuração nos conjuntos de regras usados em uma política de
controle e aplicação podem desativar um computador ou servidor. O
computador-cliente pode falhar ou sua comunicação com o Symantec Endpoint
Protection Manager pode ser bloqueada.
Para criar um novo conjunto de regras e adicionar regras ao mesmo

1 Na caixa de diálogo Controle de aplicativos, clique em Adicionar.
2 Como o registro está ativado por padrão, desmarque Ativar registro se você
não quiser registrar os eventos sobre este conjunto de regras.
3 Na caixa de texto Nome de conjunto de regras, mude o nome padrão do
conjunto de regras.
4 No campo Descrição, digite uma descrição.
5 Altere o nome padrão da regra na caixa de texto Nome da regra e digite então
uma descrição da regra.
6 Se você não deseja ativar essa regra imediatamente, desmarque Ativar essa
regra.
7 Para adicionar uma segunda regra, clique em Adicionar e em Adicionar
regra.
8 Clique em OK.
Depois de criar um conjunto de regras e uma regra, defina os aplicativos aos
quais a regra deverá ser aplicada. Caso necessário, defina também os
aplicativos que deverem ser excluídos da aplicação da regra. Você pode então
adicionar condições à regra e configurar as ações a serem tomadas quando
as condições forem cumpridas.
Adição de condições a uma regra

Depois que você aplicar uma regra a pelo menos um aplicativo, você poderá
adicionar e configurar condições para essa regra. As condições têm propriedades
e ações. As propriedades de uma condição especificam o que a condição procura.
Suas ações definem o que acontece quando a condição é cumprida.
Para adicionar uma condição a uma regra

1 No painel Controle de aplicativos, clique no conjunto de regras que você criou
e clique em Editar.
2 Na caixa de diálogo Editar conjunto de regras de controle de aplicativos, clique
na regra a qual você quer adicionar uma condição.
3 Na lista Regras, clique em Adicionar e em Adicionar condição.
4 Selecione uma das seguintes condições:
■ Tentativas de acesso a registros
■ Tentativas de acesso a arquivos e pastas
■ Iniciar tentativas de processo
■ Encerrar tentativas de processo
■ Carregar tentativas de DLL
Você pode adicionar, configurar e excluir condições de uma regra, conforme
necessário.
Configuração das propriedades da condição para uma regra

As propriedades da condição incluem o nome, a descrição e se a condição está
ativada ou desativada. As propriedades da condição incluem também o aplicativo
da condição às entidades e opcionalmente, a exclusão de algumas entidades de
ter a condição aplicada.
Nota: Quando você aplica uma condição a todas as entidade em uma pasta em
particular, a prática recomendada é usar nome_da_pasta\* ou nome_da_pasta\*\*.
Um asterisco inclui todos os arquivos e pastas na pasta nomeada. Use
nome_da_pasta\*\* para incluir cada arquivo e pasta na pasta nomeada, além de
cada arquivo e pasta em cada subpasta.
Para configurar propriedades da condição

na condição que você quer aplicar.
2 Se desejado, altere o nome padrão na caixa de texto Nome e adicione
opcionalmente uma descrição.
3 Se você deseja ativar imediatamente esta condição, marque Ativar essa
condição.
4 À direita de Aplicar à seguinte entidade, em que entidade representa processos,

chaves do registro, arquivos e pastas ou DLL, clique em Adicionar.
5 Na caixa de diálogo Adicionar definição de entidade, configure um dos
seguintes conjuntos de opções:
■ Em Tentativas de acesso a registros, digite o nome da chave do registro
e o nome e os dados do valor.
Clique em Use a correspondência de caracteres-curinga (* e ? são aceitos)
ou em Use a correspondência de expressões regulares.
■ Em Tentativas de acesso a arquivos e pastas, digite o nome do arquivo
ou da pasta.
Se desejado, marque os tipos de unidades específicas que correspondem
aos arquivos e pastas.
Se desejado, marque Somente corresponder processos executados nos
seguintes tipos de identificação do dispositivo e digite um tipo de ID do
dispositivo no campo de texto ou clique em Selecionar para escolher um
tipo de ID do dispositivo da lista na caixa de diálogo Seleção de dispositivo
para somente corresponder processos executados em dispositivos desse
tipo de ID.
■ Em Iniciar tentativas de processo, digite o nome do processo.
ao processo.
tipo de ID.
Se desejado, clique em Opções para corresponder processos baseados na
impressão digital do arquivo e para somente corresponder processos que
têm um argumento designado. Você pode optar por corresponder aos
argumentos exatamente ou usar a correspondência de expressões
regulares.
■ Em Encerrar tentativas de processo ou Tentativas de acesso de DLL,
digite o nome do processo.

ao processo.
tipo de ID.
Se desejado, clique em Opções para corresponder aos processos baseados
em impressão digital do arquivo.
6 Clique em OK.
7 À direita do painel Não aplicar essa regra aos seguintes processos, clique em
Adicionar e repita a configuração conforme desejado.
Você tem as mesmas opções para as exclusões que tem para as inclusões.
8 Clique nos controles apropriados para fazer as seleções e digite todas as
informações necessárias nas caixas de texto.
9 Clique em OK.
Após definir as propriedades para a condição, você precisa configurar as ações
que são tomadas quando a condição é cumprida.
Configuração de ações a serem tomadas quando uma condição for

cumprida
As seguintes ações estão disponíveis para todas as condições:
Continuar processando outras Permite que você somente o evento e continue então
regras processando outras regras na lista
Em todas as outras ações, o computador-cliente pára

de processar regras depois que o primeiro critério
corresponder
Permitir acesso Permite que a operação continue
Bloquear acesso Impede a operação
Encerrar processo Encerra o aplicativo que fez a solicitação
Nota: Uma prática recomendada é o uso da ação Bloquear acesso para impedir
uma condição, em vez do uso da ação Encerrar processo. A ação Encerrar processo
deve ser usada somente em configurações avançadas.
Para configurar ações a serem tomadas quando uma condição for cumprida
na condição para a qual você quer configurar ações.
2 Na guia Ações, realize uma das seguintes ações:
■ Nas condições Iniciar tentativas de processo e Encerrar tentativas de
processo, clique em uma das seguintes opções: Continuar processando
outras regras, Permitir acesso, Bloquear acesso ou Encerrar processo.
■ Na condição Tentativas de acesso de DLL, clique em uma das seguintes
opções: Continuar processando outras regras, Permitir acesso, Bloquear
acesso ou Encerrar processo.
■ Nas condições Tentativas de acesso a registros e Tentativas de acesso a
arquivos e pastas, você pode configurar dois conjuntos de ações. Um
conjunto é aplicado quando há uma tentativa de leitura; o outro conjunto
é aplicado quando há uma tentativa de criação, exclusão ou gravação.
Em Tentativa de leitura, clique em uma das seguintes opções: Continuar
processando outras regras, Permitir acesso, Bloquear acesso ou Encerrar
processo.
3 Se desejado, marque Ativar registro e selecione um nível de gravidade para

atribuir às entradas que estão registradas.
4 Se desejado, marque Notificar usuário e digite então o texto que você quer
que o usuário veja.
5 Repita as etapas 2 a 4 para configurar as mesmas opções para a Tentativa de
criar, excluir ou gravar.
6 Clique em OK.
Aplicação de uma regra a aplicativos específicos e exclusão de

aplicativos de uma regra
É possível aplicar uma regra aos aplicativos e excluir aplicativos das ações da
regra. Você especifica uma lista que contenha os aplicativos aos quais a regra se
aplica (as inclusões). Você especifica uma outra lista que contenha os aplicativos
aos quais a regra não se aplica (as exclusões). Para vincular uma regra a um
aplicativo específico, defina esse aplicativo no campo de texto Aplicar essa regra
aos seguintes processos.
Se você quer vincular a regra a todos os aplicativos, exceto a um conjunto de
aplicativos específico, use as seguintes configurações:
■ Na caixa de texto Aplicar essa regra aos seguintes processos, defina um
caractere curinga para todos os processos (*).
■ Na caixa de texto Não aplicar essa regra aos seguintes processos, relacione os
aplicativos que precisam de uma exceção.
Você pode definir tantos aplicativos quanto quiser para cada lista.
Nota: Cada regra deve ter pelo menos um aplicativo listado na caixa de texto
Aplicar essa regra aos seguintes processos.
Quando você adiciona aplicativos a uma regra, é possível usar as seguintes

maneiras para especificar o aplicativo:
■ O nome de processo
■ Caracteres curingas
■ Expressões regulares
■ Impressões digitais de arquivos
■ Os tipos de unidade de onde o aplicativo foi iniciado
■ O ID do dispositivo
Para aplicar uma regra a aplicativos específicos
1 Na caixa de diálogo Editar conjunto de regras do Controle de aplicativos,
clique na regra que você quer aplicar.
2 Se você quer configurar um aplicativo para aplicar a regra, à direita de Aplicar
essa regra aos seguintes processos, clique em Adicionar.
3 Na caixa de diálogo Adicionar definição de processo, configure os seguintes
itens:
■ Digite o nome do aplicativo que você deseja que corresponda a esta regra.
■ Clique em Use a correspondência de caracteres-curinga (* e ? são aceitos)
■ Se desejado, marque os tipos de unidades específicas que correspondem
ao processo.
■ Se desejado, marque Somente corresponder processos executados nos
tipo de ID.
■ Se desejado, clique em Opções para corresponder processos baseados na
impressão digital do arquivo e para somente corresponder processos que
tenham um argumento designado. Você pode optar por corresponder aos

argumentos exatamente ou usar a correspondência de expressões
regulares.
4 Clique em OK.
Você pode repetir etapas de 2 a 4 para adicionar tantos aplicativos quanto
desejar.
5 Se você quer configurar um ou mais aplicativos a serem excluídos da regra,
à direita do campo de texto Não aplicar essa regra aos seguintes processos,
clique em Adicionar.
Repita a configuração dos aplicativos a excluir, conforme o desejado. Você
tem as mesmas opções quando define um aplicativo a excluir e quando aplica
a regra a um aplicativo.
6 Quando você tiver concluído a definição dos aplicativos, clique em OK.
Alteração da ordem na qual são aplicados os conjuntos de regras de

controle de aplicativos
Você pode controlar a ordem na qual são aplicados os conjuntos de regras de
controle de aplicativos. Você também pode controlar a ordem na qual são aplicadas
regras individuais dentro de um conjunto de regras.
Para alterar a ordem na qual são aplicados os conjuntos de regras de controle de
aplicativos
2 No painel Visualizar políticas, clique em Controle de dispositivos e
aplicativos.
3 Clique na política que você quer editar.
6 Clique no conjunto de regras de controle de aplicativos que você quer mover.
7 Clique em Mover para cima ou Mover para baixo para alterar a prioridade
dentro da lista.
8 Repita as duas etapas anteriores para cada conjunto de regras ao qual você
quer dar nova prioridade.
9 Clique em OK.
Desativação de conjunto de regras e regras individuais de controle de

aplicativos em uma política de controle de dispositivos e aplicativos
Talvez seja necessário desativar um conjunto específico de regras de controle de
aplicativos em uma política de controle de dispositivos e aplicativos sem retirar
ou excluir a política inteira.
Para desativar um conjunto de regra de controle de aplicativos em uma política de
controle de dispositivos e aplicativos
2 Em Visualizar políticas, clique em Controle de dispositivos e aplicativos.
3 Clique na política que contém o conjunto de regras que você quer desativar.
6 Desmarque a caixa de seleção ao lado do conjunto de regras que você quer
desativar.
7 Clique em OK.
Você desativou um único conjunto de regras sem desativar a política inteira.
Para desativar uma regra individual em uma política de controle de dispositivos e
aplicativos
3 Clique na política que contém a regra que você quer desativar.
6 Clique no conjunto de regras que contém a regra que você quer desativar e,
então, clique em Editar.
7 Em Regras, na lista de regras, clique na regra que você quer desativar.
8 Na guia Propriedades, desmarque Ativar essa regra.
9 Na caixa de diálogo Editar conjunto de regras do Controle de aplicativos,
clique em OK.
10 Clique em OK.
Você desativou uma única regra subordinada sem desativar toda a política
ou todo o conjunto de regras.
Configuração do controle de dispositivos para uma política de controle de dispositivos e aplicativos
Alteração do modo de um conjunto de regras do controle de aplicativos

Quando você cria um conjunto de regras de controle de aplicativos pela primeira
vez, você o cria em modo de teste. Depois de testar o conjunto de regras dentro
de uma política, você poderá alterar para o modo de produção.
Para alterar o modo de um conjunto de regras de controle de aplicativos
3 Clique na política que contém o conjunto de regras do controle de aplicativos
que você quer mudar.
4 Clique em Editar a política.
6 Clique no conjunto de regras que você quer mudar.
7 Em Teste/produção, clique na seta correspondente da lista suspensa para
exibir a lista de modos.
8 Clique no novo modo.
9 Clique em OK.
Configuração do controle de dispositivos para uma

política de controle de dispositivos e aplicativos
Use um controle de dispositivos para gerenciar dispositivos de hardware. Você
pode modificar essa lista a qualquer hora.
Consulte “Sobre dispositivos de hardware” na página 573.
Para adicionar controle de dispositivos a uma política de controle de dispositivos
e aplicativos
1 No painel Política de controle de dispositivos e aplicativos, clique em Controle
de dispositivos.
2 Em Dispositivos bloqueados, clique em Adicionar.
3 Examine a lista de dispositivos de hardware e clique para selecionar os
dispositivos que você deseja bloquear o acesso ao computador-cliente.
4 Clique em OK.
5 Em Dispositivos excluídos do bloqueio, clique em Adicionar.
Configuração do controle de dispositivos para uma política de controle de dispositivos e aplicativos
6 Examine a lista de dispositivos de hardware e clique para selecionar os

dispositivos que você deseja excluir do bloqueio de acesso ao
computador-cliente.
7 Se você não quiser que as informações de controle de dispositivos sejam
registradas, desmarque Registrar dispositivos bloqueados.
As informações são registradas por padrão.
8 Se você quer que os usuários sejam notificado, marque Notificar usuários
quando os dispositivos forem bloqueados.
Se você ativou a notificação, clique em Especificar texto da mensagem e
digite o texto que você deseja que os usuários visualizem.
9 Clique em OK.
Capítulo 37
Configuração de
dispositivos de hardware
■ Sobre dispositivos de hardware
■ Obtenção de um ID do dispositivo do Painel de controle
■ Adição de um dispositivo de hardware
■ Edição de um dispositivo de hardware
■ Exclusão de um dispositivo de hardware
Sobre dispositivos de hardware

Use a lista padrão dos dispositivos de hardware para adicionar um dispositivo a
uma política de controle de dispositivos e aplicativos. A lista de dispositivos de
hardware elimina a necessidade de redigitar esses dispositivos cada vez que você
desejar adicionar um de uma regra.
Dois valores numéricos identificam dispositivos: IDs do dispositivo e IDs da classe.
Você pode usar qualquer um destes dois valores para identificar dispositivos na
lista de dispositivos de hardware.
O console do Symantec Endpoint Protection Manager inclui listas dos dispositivos
que podem ser bloqueados e dos dispositivos que podem ser excluídos do bloqueio,
conforme for necessário. O administrador pode adicionar, excluir ou editar os
dispositivos da lista.
Nota: Você não pode editar nem excluir os dispositivos padrão.

574 Configuração de dispositivos de hardware
Obtenção de um ID do dispositivo do Painel de controle
Sobre os IDs da classe

O ID da classe refere-se ao Windows GUID. Cada tipo de dispositivo tem uma classe
e um ClassGuid associados a ele. O ClassGuid é um valor hexadecimal com o
seguinte formato:
{00000000-0000-0000-0000-000000000000}
Obtenção de um ID do dispositivo do Painel de

controle
Um ID do dispositivo é o ID mais específico para um dispositivo. Os dispositivos
podem ter um ID específico do dispositivo ou um ID mais genérico. Por exemplo,
você pode especificar todos os dispositivos USB que usam um ID do dispositivo
ou você pode optar por uma unidade de disco USB removível específica. Você deve
usar os IDs do dispositivo para os dispositivos que deseja adicionar. É possível
usar a ferramenta do Symantec DevViewer ou usar Gerenciador de dispositivos
do Windows para obter os IDs do dispositivo. A seguir, um ID do dispositivo de
amostra:
{IDE\CDROMHL-DT-ST_RW/DVD_GCC-4242N_______________0201____\5&3CCF215&0&0.0.0}
Você não tem que digitar a string inteira. Você pode usar caracteres curinga para
pesquisar IDs do dispositivo. Por exemplo, você pode usar a seguinte string em
uma busca: *IDE\CDROM*.
Para obter um ID do dispositivo do Painel de controle
1 Na barra de tarefas do Windows, clique em Iniciar > Configurações > Painel
de controle > Sistema.
2 Na guia Hardware, clique em Gerenciador de dispositivos.
3 Na lista Gerenciador de dispositivos, clique duas vezes no dispositivo.
4 Na caixa de diálogo Propriedades do dispositivo, na guia Detalhes, selecione
o ID do dispositivo
Por padrão, o ID do dispositivo é o primeiro valor mostrado.
5 Pressione Control+C para copiar a string do ID.
6 Clique em OK ou em Cancelar.
Consulte “Adição de um dispositivo de hardware” na página 575.
Configuração de dispositivos de hardware 575
Adição de um dispositivo de hardware
Adição de um dispositivo de hardware

Os dispositivos são relacionados quando você seleciona Dispositivos de hardware
na guia Políticas. Essa lista pode ser usada quando você desenvolve as políticas
de proteção do acesso que envolvem o controle de acesso no nível do dispositivo.
Para adicionar dispositivos de hardware à lista
2 Em Componentes das políticas, clique em Dispositivos de hardware.
3 Em Tarefas, clique em Adicionar um dispositivo de hardware.
4 Digite o nome do dispositivo que você quer adicionar e seu ID da classe ou ID
do dispositivo.
Os IDs da classe e os IDs do dispositivo estão são colocados entre chaves por
convenção.
5 Clique em OK.
O novo dispositivo é exibido na lista Nome do dispositivo. Você também pode
adicionar um dispositivo clicando com o botão direito do mouse na lista de
dispositivos de hardware à direita, e clicando em Adicionar.
Edição de um dispositivo de hardware

Você pode editar qualquer dispositivo de hardware que tenha adicionado à lista.
Os dispositivos padrão relacionados não podem ser editados.
Para editar um dispositivo de hardware
3 Na lista Dispositivos de hardware, clique para selecionar o dispositivo de
hardware que você deseja editar.
4 Clique em Editar o dispositivo de hardware.
5 Edite o nome de dispositivo, o ID da classe ou o ID do dispositivo.
6 Clique em OK.
As informações atualizadas do dispositivo são mostradas na lista de
identificação.
576 Configuração de dispositivos de hardware
Exclusão de um dispositivo de hardware
Exclusão de um dispositivo de hardware

Você pode excluir qualquer dispositivo de hardware que tenha adicionado à lista.
Os dispositivos padrão relacionados não podem ser excluídos.
Para excluir um dispositivo de hardware
3 Na lista Dispositivos de hardware, clique para selecionar o dispositivo de
hardware que você deseja excluir.
4 Clique em Excluir o dispositivo de hardware.
5 Na caixa de diálogo Excluir o dispositivo de hardware, clique em Sim.
O dispositivo de hardware é removido da lista de dispositivos de hardware.
Capítulo 38
Personalização de políticas
de controle de dispositivos
e aplicativos
■ Sobre a autorização para o uso de aplicativos, patches e utilitários
■ Criação e importação de uma lista de impressões digitais de arquivos
■ Sobre o bloqueio do sistema
■ Configuração do bloqueio do sistema
Sobre a autorização para o uso de aplicativos, patches

e utilitários
O Symantec Endpoint Protection Manager permite que você proteja
computadores-cliente de ataques de aplicativos não aprovados. Ele oferece essa
capacidade de dois modos. Primeiramente, ele permite que você use impressões
digitais do arquivo para identificar os aplicativos, patches e utilitários aprovados
que podem ser executados em computadores-cliente. Em seguida, você decide a
ação a ser tomada quando os aplicativos não aprovados tentarem acessar os
computadores-cliente. Se você ativar o bloqueio do sistema, você então poderá
configurar o Symantec Endpoint Protection Manager para registrar somente os
aplicativos não aprovados ou usar o bloqueio do sistema para proteger os
computadores-cliente que sofrerem ataque de programas não autorizados.
Para usar o bloqueio do sistema, primeiramente você cria uma impressão digital
de arquivos para cada tipo de cliente no seu ambiente. Uma lista impressões
578 Personalização de políticas de controle de dispositivos e aplicativos
Criação e importação de uma lista de impressões digitais de arquivos
digitais de arquivos é uma lista de aplicativos aprovados para esse

computador-cliente. Em seguida, você adiciona cada uma dessas impressões
digitais do arquivo a uma lista no Symantec Endpoint Protection Manager. Por
último, você configura a ação a ser realizada no cliente quando um aplicativo não
aprovado tentar acessar esse computador.
Por exemplo, crie uma impressão digital de arquivos para cada tipo de cliente no
seu ambiente. Suponha que seu ambiente contenha clientes Windows Vista 32
bits, Windows Vista 64 bits e Windows XP SP2. Execute o arquivo checksum.exe
em uma imagem de cada um desses três tipos de clientes existentes em seu
ambiente. Checksum.exe gera impressões digitais de arquivos para todos os
aplicativos de cada tipo de cliente, colocando-os em uma lista de impressões
digitais de arquivos. Neste exemplo, você obtém três impressões digitais de
arquivos ao final: uma para cada imagem.
Em seguida, use o Symantec Endpoint Protection para criar uma lista de impressões
digitais de arquivos na qual adicionará cada uma das três impressões digitais de
arquivos geradas: uma lista impressões digitais de arquivos para cada tipo de
cliente. Em seguida, defina que ação o Symantec Endpoint Protection deve tomar
quando um aplicativo não aprovado tentar acessar um computador-cliente. Você
pode desativar o bloqueio do sistema e permitir o acesso do aplicativo. Você pode
optar por registrar somente os aplicativos não aprovados. Para obter proteção
máxima, você pode ativar o bloqueio do sistema no computador-cliente que o
aplicativo não autorizado está tentando acessar.
Criação e importação de uma lista de impressões

digitais de arquivos
Uma lista de impressão digital de arquivo para uma imagem de computador-cliente
consiste em uma lista de somas de verificação para cada aplicativo nesse
computador-cliente junto aos caminhos completos dos arquivos desses aplicativos.
Você pode verificar se cada imagem contém todos os executáveis aprovados para
uso na sua empresa. Para criar uma lista de impressão digital do arquivo, é possível
usar o utilitário checksum.exe instalado com o Symantec Endpoint Protection no
computador-cliente. Você pode executar esse comando em cada imagem de
computador no seu ambiente para criar uma lista de impressão digital do arquivo
para essas imagens. O arquivo checksum.exe está localizado em:
C:\Arquivos de programas\Symantec\Symantec Endpoint Protection
Você pode executar esta ferramenta a partir do prompt de comando. O
checksum.exe cria um arquivo de texto que contém uma lista de todos os
executáveis nesse computador e suas somas de verificação correspondentes.
Personalização de políticas de controle de dispositivos e aplicativos 579
Você pode usar o Symantec Endpoint Protection Manager para importar listas de
impressão digital do arquivo para cada tipo de computador-cliente em uma lista
de impressão digital do arquivo mestre. Você pode gerenciar a lista de impressão
digital do arquivo usando o Symantec Endpoint Protection Manager. A lista de
impressão digital do arquivo contém os arquivos aprovados para todos os seus
computadores-cliente. Você também pode adicionar impressões digitais do arquivo
para os arquivos individuais que você quiser aprovar.
Criação de uma lista de impressão digital do arquivo

Você pode usar o checksum.exe para criar uma lista de impressão digital do
arquivo. A lista de impressão digital do arquivo relaciona cada arquivo e a soma
de verificação correspondente que reside na imagem do computador-cliente. Esta
ferramenta é fornecida com o Symantec Endpoint Protection no cliente.
Para criar uma lista de impressão digital do arquivo
1 Vá ao computador que contém a imagem para a qual você deseja criar uma
lista de impressão digital do arquivo. O computador deve ter o software-cliente
Symantec Endpoint Protection instalado.
2 Abra uma janela do prompt de comando.
3 Navegue até o diretório que contém o arquivo checksum.exe. Por padrão, esse
arquivo está localizado em:
C:\Arquivos de programas\Symantec\Symantec Endpoint Protection
4 Digite este comando:
checksum.exe arquivo_de_saída unidade
onde o arquivo_de_saída é o nome do arquivo de texto que contém as somas

de verificação para todos os executáveis localizados na unidade especificada.
O arquivo de saída é um arquivo de texto (arquivo_de_saída.txt).
Veja abaixo um exemplo da sintaxe, para você usar:
checksum.exe cdrive.txt c:\
Este comando cria um arquivo chamado cdrive.txt. Ele contém as somas de

verificação e os caminhos dos arquivos para todos os executáveis e DLLs
encontrados na unidade C do computador-cliente no qual foi executado.
Saída da amostra checksum.exe

Segue a amostra de um arquivo de saída checksum.exe executado em uma imagem
de computador. O formato de cada linha é soma_de_verificação_do_arquivo espaço
nome_completo_do_caminho_do_exe_ou_DLL.
0bb018fad1b244b6020a40d7c4eb58b7 c:\dell\openmanage\remind.exe
35162d98c2b445199fef95e838feae4b c:\dell\pnp\m\co\HSFCI008.dll
77e4ff0b73bc0aeaaf39bf0c8104231f c:\dell\pnp\m\co\HSFHWBS2.sys
f59ed5a43b988a18ef582bb07b2327a7 c:\dell\pnp\m\co\HSF_CNXT.sys
60e1604729a15ef4a3b05f298427b3b1 c:\dell\pnp\m\co\HSF_DP.sys
4f3ef8d2183f927300ac864d63dd1532 c:\dell\pnp\m\co\HXFSetup.exe
dcd15d648779f59808b50f1a9cc3698d c:\dell\pnp\m\co\MdmXSdk.dll
eeaea6514ba7c9d273b5e87c4e1aab30 c:\dell\pnp\m\co\MDMXSDK.sys
0a7782b5f8bf65d12e50f506cad6d840 c:\dell\pnp\mgmt\drac2wdm.sys
9a6d7bb226861f6e9b151d22b977750d c:\dell\pnp\mgmt\racser.sys
d97e4c330e3c940ee42f6a95aec41147 c:\dell\pnp\n\bc\b57xp32.sys
Edição de uma lista de impressões digitais de arquivos

Você não pode editar diretamente uma lista de impressões digitais de arquivos.
Em primeiro lugar, use o checksum.exe para criar uma nova lista de impressões
digitais de arquivos, utilizando uma imagem de computador diferente. Você pode,
então, mesclar a lista de impressões digitais de arquivos existente no Symantec
Endpoint Protection Manager com a nova lista de impressões digitais de arquivos
de uma imagem do cliente.
Para editar uma lista de impressões digitais de arquivos
2 Em Visualizar políticas, expanda Componentes das políticas e clique em
Lista de impressões digitais de arquivos.
3 No painel Listas de impressões digitais de arquivos, clique com o botão direito
do mouse na lista da impressão digital que você quer editar.
4 Clique em Editar.
5 No Assistente de Edição de impressão digital de arquivo, clique em Avançar.
6 Clique em Anexar um arquivo de impressão digital à impressão digital do
arquivo para adicionar um novo arquivo ao existente e clique em Avançar.
7 Clique em Procurar para localizar o arquivo ou digite na caixa de texto o
caminho completo da lista de impressões digitais de arquivos.
9 Clique em Fechar.
Importação de uma lista de impressões digitais de arquivos para uma

política compartilhada
Você pode adicionar listas de impressões digitais de arquivos a uma política
compartilhada importando um arquivo. A lista já deverá ter sido criada.
Consulte “Criação de uma lista de impressão digital do arquivo” na página 579.
Para importar uma lista de impressões digitais de arquivos para uma política
compartilhada
3 Em Tarefas, clique em Adicionar uma lista de impressões digitais de
arquivos.
4 No painel Bem-vindo ao Assistente de Adição de impressão digital de arquivo,
clique em Avançar.
5 No painel Informações sobre nova impressão digital de arquivo, na caixa de
texto Nome, digite o nome da lista de impressões digitais que você deseja
adicionar.
texto Descrição, digite o nome da lista de impressões digitais que você deseja
adicionar.
Esta etapa é opcional.
8 No painel Criar uma impressão digital do arquivo, clique em Criar a impressão
digital de arquivo importando um arquivo de impressão digital.
10 Clique em Procurar para localizar o arquivo ou digite na caixa de texto o
caminho completo da lista de impressões digitais de arquivos.
A lista nova é exibida à direita em Listas de impressões digitais de arquivos.
Como mesclar listas de impressões digitais de arquivos em uma política

compartilhada
Você pode mesclar diversas listas de impressões digitais de arquivos existentes
em uma política compartilhada. Você já deve ter adicionado as listas que deseja
mesclar antes de iniciar esta tarefa.
Consulte “Importação de uma lista de impressões digitais de arquivos para uma
política compartilhada” na página 581.
Para mesclar as listas de impressões digitais de arquivos em uma política
compartilhada
3 No painel Bem-vindo ao Assistente de Adição de impressão digital de arquivo,
clique em Avançar.
texto Nome, digite o nome da lista mesclada de impressões digitais que você
deseja adicionar.
texto Descrição, digite o nome da lista mesclada de impressões digitais que
você deseja adicionar.
Esta etapa é opcional.
7 No painel Criar uma impressão digital do arquivo, clique em Criar a impressão
digital de arquivo combinando diversas impressões digitais de arquivos.
Esta opção somente estará disponível se existirem listas de impressões digitais
de arquivos em uma política compartilhada.
9 Selecione as impressões digitais que deseja mesclar.
A lista mesclada de impressões digitais é exibida à direita em Listas de
impressões digitais de arquivos.
Sobre o bloqueio do sistema
Exclusão de uma lista de impressões digitais de arquivos

Você pode excluir todas as listas de impressões digitais de arquivos que não
precisar mais. Primeiro, verifique se a lista de impressões digitais de arquivos não
é mais necessária no nível de grupo antes de excluí-la de uma política
compartilhada.
Para excluir uma lista de impressões digitais de arquivos
2 Em Exibir Políticas, expanda Componentes das política e clique em Lista de
impressões digitais de arquivos.
3 No painel Listas de impressões digitais de arquivos, clique na lista de
impressões digitais de arquivos que você deseja excluir.
4 Em Tarefas, clique em Excluir lista.
5 Clique em Sim para confirmar.
A lista de impressões digitais de arquivos será excluída do Symantec Endpoint
Protection Manager, mas permanecerá no computador no local de onde foi
importada.

O bloqueio do sistema é uma configuração de proteção usada para controlar os
aplicativos que possam ser executados no computador-cliente. Você pode criar
uma lista de impressões digitais de arquivos que contenha as somas de verificação
e os locais de todos os aplicativos cujo uso na sua empresa esteja autorizado. O
software-cliente inclui uma ferramenta checksum.exe que você pode usar para
criar uma lista de impressão digital de arquivo. A vantagem do bloqueio do sistema
é que ele pode ser aplicado com o usuário estando ou não conectado à rede.
Use o bloqueio do sistema para bloquear praticamente qualquer tipo de Cavalo
de Tróia, spyware ou malware que tente ser executado ou carregado
automaticamente em um aplicativo existente. Por exemplo, você pode impedir
que esses arquivos sejam carregados no Internet Explorer. O bloqueio do sistema
assegura que o seu sistema permaneça em um estado conhecido e confiável.
Dentre os aplicativos que podem ser executados no computador-cliente estão os
seguintes arquivos executáveis:
■ .exe
■ .com
■ .dll
■ .ocx
A Symantec recomenda implementar o bloqueio do sistema nas seguintes etapas:
Obtenha uma imagem do software Crie uma imagem de software que inclua todos os
aprovado aplicativos que você deseja que os usuários possam
usar em seus computadores. Use esta imagem para
criar uma impressão digital do arquivo.
Registrar aplicativos não aprovados Ative o bloqueio do sistema registrando os

aplicativos não incluídos na lista de impressões
digitais de arquivos. A seguir, você pode ajustar a
impressão digital do arquivo para incluir os
aplicativos necessários dos usuários. Você pode
avisá-los antes de bloquear aplicativos não
aprovados.
Adicionar aplicativos permitidos Adicione os executáveis que você deseja permitir,

mesmo os que não estão na lista de impressões
digitais do arquivo.
Ativar o bloqueio do sistema Aplique o bloqueio do sistema e bloqueie aplicativos

não aprovados.
Você tem a opção de definir uma mensagem personalizada para exibir aos usuários
que tenham aplicativos bloqueados.
Pré-requisitos do bloqueio do sistema

Os seguintes pré-requisitos devem ser cumpridos para que você possa ativar o
bloqueio do sistema:
Criar lista de impressão digital de Você precisa ter criado uma lista de impressão
arquivo digital de arquivo que inclua os aplicativos
permitidos. Esta lista pode ser criada a partir de
uma imagem corporativa instalada normalmente
nos computadores dos usuários. Essa lista é criada
em um computador que executa o cliente.
Adicionar uma ou mais listas de Depois de criar as impressões digitais, é necessário

impressão digital de arquivo adicioná-las ao gerenciador.
Mesclar listas de impressões digitais É possível mesclar várias listas de impressões

de arquivos digitais de arquivos. Por exemplo, você pode usar
diferentes imagens para diferentes grupos na sua
empresa.
Configuração do bloqueio do sistema
Implemente o bloqueio do sistema nas seguintes etapas:
Instalar e testar o bloqueio do sistema Antes de bloquear executáveis não aprovados, você
pode adicionar uma ou mais listas de impressões
digitais de arquivos. Adicione os aplicativos que
sempre devem ser permitidos e registre os
resultados no registro de controle.
Verificar a lista de aplicativos Após alguns dias de testes do bloqueio do sistema,

não-aprovados você poderá exibir a lista de aplicativos
não-aprovados. Essa lista exibe os aplicativos não
aprovados executados pelos usuários do grupo. Você
poderá decidir se adicionará mais aplicativos à
impressão digital do arquivo ou à lista permitida.
Ativar o bloqueio do sistema A seguir, você pode ativar o bloqueio do sistema

bloqueando os aplicativos que não estão incluídos
nas listas de impressões digitais de arquivos.

Para configurar o bloqueio do sistema, você deve seguir um processo de duas
etapas:
■ Na etapa 1, você monitora os aplicativos que os computadores-cliente executam.
Nesta etapa, você pode rastrear estes aplicativos em uma lista de aplicativos
não aprovados. A lista de aplicativos não aprovados inclui os aplicativos que
os clientes executam, mas não estão listados na lista de impressões digitais de
arquivos de aplicativos aprovados. O cliente não bloqueia os aplicativos não
aprovados. Você pode rastrear os aplicativos que os clientes usam para fins
de informação antes de bloqueá-los. Você pode também testar se algum
aplicativo aparece na lista de aplicativos não aprovados. Se um teste for
executado, o status dirá há quanto tempo o teste está sendo executado e se
ocorreram exceções. Execute o bloqueio do sistema no modo de teste o
suficiente para descobrir quais aplicativos não aprovados são executados nos
computadores-cliente. Depois, ative o bloqueio do sistema.
■ Na etapa 2, você ativa o bloqueio do sistema.
Depois de executar o bloqueio do sistema no modo de teste por tempo suficiente
para ver quais aplicativos não aprovados estão sendo executados, ative as
seguintes configurações.
Aprovar o uso desses Adicionar aplicativos à lista de aplicativos aprovados

aplicativos adicionais ou adicionar os aplicativos à imagem em que você
criou a impressão digital do arquivo.
Notificar usuários Você pode notificar um usuário de que ele já não tem
acesso a um computador. Você também pode informar
o usuário de que os aplicativos especificados podem
ser usados em alguma data futura estabelecida por
você. Então você ativa o bloqueio do sistema naquela
data.
Para continuar registrando o Não é necessário nenhuma ação adicional.

uso dos aplicativos
não-aprovados
Nota: Você pode também criar regras de firewall para permitir aplicativos
aprovados no cliente.
Para configurar o bloqueio do sistema

2 Sob Exibir clientes, localize o grupo para o qual você quer configurar o
bloqueio do sistema.
3 Na guia Políticas, clique em Bloqueio do sistema.
4 Na caixa de diálogo Bloqueio do sistema para nome do grupo, clique em Etapa
1: Registrar apenas aplicativos não-aprovados se desejar ativar essa proteção
no modo de teste.
Esta opção registra os aplicativos de rede não aprovados que os clientes estão
executando atualmente.
5 Clique em Etapa 2: Ativar o bloqueio do sistema se desejar ativar essa
proteção. Esta medida bloqueia os aplicativos não-aprovados que os clientes
tentem executar.
6 Em Aplicativos aprovados, selecione a lista de impressões digitais de arquivos
para usar como a lista de executáveis aprovados.
Consulte “Edição de uma lista de impressões digitais de arquivos”
na página 580.
7 Se você quer acrescentar listas adicionais de impressão digital do arquivo,
clique em Adicionar, clique no nome da lista e em OK para adicionar listas
adicionais de impressão digital do arquivo.
8 Marque Testar antes da remoção para os aplicativos que deseja testar antes
que o cliente os bloqueie.
9 Para exibir a lista de aplicativos não aprovados, clique em Exibir aplicativos

não-aprovados.
Na caixa de diálogo Aplicativos não-aprovados, examine os aplicativos. Esta
lista inclui informações sobre a hora em que o aplicativo foi executado, o
nome do host do computador, o nome de usuário do cliente e o nome do
arquivo executável.
10 Determine como você deseja lidar com os aplicativos não aprovados.
Você pode adicionar os nomes dos aplicativos que você quer permitir à lista
de aplicativos aprovados. Você pode adicionar o executável à imagem do
computador na próxima vez que você criar a impressão digital de um arquivo.
12 Para especificar os executávéis que são permitidos sempre, mesmo não estando
incluídos na lista de impressões digitais de arquivo, clique em Adicionar na
lista Nome do arquivo.
13 Na caixa de diálogo Adicionar definição de arquivo, especifique o nome
completo do arquivo executável (.exe ou .dll).
Os nomes podem ser especificados usando uma string normal ou sintaxe de
expressão regular. Os nomes podem incluir caracteres curingas (* para
qualquer caractere e ? para um caractere). O nome também pode incluir
variáveis do ambiente como %ProgramFiles% para representar o local do
diretório Arquivos de programas ou %windir% para o diretório de instalação
do Windows.
14 Selecione Use a correspondência de caracteres-curinga (* e ? são aceitos)
como padrão ou clique em Use a correspondência de expressões regulares
se você usou expressões regulares no nome do arquivo.
15 Se você quer permitir o arquivo somente quando for executado em um tipo
específico de unidade, clique em Somente corresponder arquivos nos
seguintes tipos de unidades.
Então desmarque a seleção dos tipos de unidades que você não quer incluir.
Todos os tipos de unidades são selecionados por padrão.
16 Se você quer corresponder pelo tipo da identificação do dispositivo, marque
Somente corresponder arquivos nos seguintes tipos de ID de dispositivos
e clique em Selecione.
17 Clique no dispositivo que você quer na lista e clique em OK.
18 Clique em OK.
19 Para mostrar uma mensagem no computador-cliente quando o cliente bloquear
um aplicativo, marque Notificar o usuário se um aplicativo estiver bloqueado.
20 Para gravar uma mensagem personalizada, clique em Notificação, digite a

mensagem e clique em OK.
21 Clique em OK.
Seção 7
Configuração de exceções
centralizadas
■ Configuração de políticas de exceções centralizadas

590
Capítulo 39
Configuração de políticas
de exceções centralizadas
■ Sobre as políticas de exceções centralizadas
■ Configuração de políticas de exceções centralizadas
■ Configuração de restrições de clientes para exceções centralizadas
■ Criação de exceções centralizadas a partir de eventos do registro
Sobre as políticas de exceções centralizadas

As políticas de exceções centralizadas contêm exceções para os seguintes tipos
de verificação:
■ Verificações antivírus e anti-spyware
■ Verificações da proteção contra adulterações
Nota: As verificações antivírus e anti-spyware incluem verificações do Auto-Protect,

verificações agendadas ou definidas pelo usuário.
Normalmente, as exceções são riscos ou processos que você deseja que o

software-cliente exclua das verificações. Se utilizar exceções em
computadores-cliente, é possível reduzir o tempo de verificação. Se você reduzir
o tempo de verificação, o desempenho do sistema nos computadores-cliente
aumentará.
592 Configuração de políticas de exceções centralizadas
Nas verificações proativas de ameaças TruScan, você pode desejar que o

software-cliente detecte um processo específico não detectado por padrão. É
possível criar uma exceção para forçar essa detecção. Quando a detecção é exibida
na lista de processos detectados, é possível criar outra exceção para especificar
uma ação para a detecção.
Nota: Em verificações antivírus e anti-spyware ou na proteção contra adulterações,

você usa exceções centralizadas para especificar determinados itens a serem
excluídos das verificações. Entretanto, em verificações proativas de ameaças, as
exceções centralizadas são usadas para especificar ações para processos detectados
ou para forçar uma detecção.
Ao criar uma política de exceções centralizadas, as exceções são aplicadas a todas

as verificações daquele tipo no computador-cliente que usa a política. É possível
incluir todas as exceções na mesma política.
Ao contrário de outras políticas, o console do Symantec Endpoint Protection
Manager não inclui uma política padrão de exceções centralizadas. Você deve
criar uma nova política. É possível criar políticas de exceções centralizadas na
página Políticas ou na página Clientes, no console de gerenciamento.
Você pode adicionar exceções a uma política de exceções centralizadas usando os
registros no console de gerenciamento. É necessário criar uma política de exceções
centralizadas antes de usar esse método para criar exceções.
Consulte “Criação de exceções centralizadas a partir de eventos do registro”
na página 602.
Sobre o trabalho com políticas de exceções centralizadas

Você cria e edita políticas de exceções centralizadas de modo semelhante ao usado
substituir, copiar, exportar, importar ou excluir uma política de exceções
centralizadas.
Para trabalhar com políticas de exceções centralizadas, você deve estar
familiarizado com os fundamentos de configuração de políticas.
Configuração de políticas de exceções centralizadas 593
Sobre as exceções centralizadas para verificações antivírus e

anti-spyware
Talvez você queira excluir um risco à segurança em particular das verificações
antivírus e anti-spyware. Talvez queira excluir das verificações arquivos, pastas
ou extensões de arquivo em particular.
Quando um risco à segurança é excluído, as verificações o ignoram. É possível
configurar a exceção de modo que as verificações registrem a detecção. Em
qualquer caso, o software-cliente não notifica os usuários ao detectar os riscos à
segurança especificados. Quando arquivos, pastas ou extensões são excluídos, as
verificações os ignoram.
Nota: As exceções centralizadas se aplicam a todas as verificações antivírus e

anti-spyware. Não é possível criar exceções diferentes para diferentes tipos de
verificações. Por exemplo, talvez você queira criar uma exceção centralizada para
excluir uma extensão de arquivo em particular. Depois, o software-cliente exclui
a extensão das verificações do Auto-Protect e de todas as verificações definidas
pelo administrador e pelo usuário. As verificações definidas pelo administrador
e pelo usuário incluem as verificações agendadas e sob demanda.
Sobre as exceções centralizadas para as verificações proativas de

ameaças TruScan
Talvez você queira excluir certos processos das verificações proativas de ameaças.
É preciso determinar se os processos que você deseja excluir podem ser executados
com segurança nos computadores-cliente em sua rede de segurança. Para excluir
um processo detectado, configure a ação de detecção como Ignorar.
Também é possível criar uma exceção centralizada para especificar que certos
processos não sejam permitidos. Para especificar que os processos não sejam
permitidos, você configura a ação de detecção como Quarentena ou como Encerrar.
É possível forçar uma detecção proativa de ameaças criando uma exceção
centralizada que especifique um nome de arquivo. Quando a verificação proativa
de ameaças detectar o arquivo, o cliente registrará a instância. Como os nomes
dos arquivos não são exclusivos, vários processos podem usar o mesmo nome de
arquivo. É possível usar uma detecção forçada para ajudar na criação de uma
exceção para colocar em quarentena ou encerrar um processo que esteja associado
ao arquivo.
Consulte “Como as verificações proativas de ameaças TruScan funcionam com
exceções centralizadas” na página 543.
Configuração de políticas de exceções centralizadas
Sobre as exceções centralizadas para proteção contra adulterações

A proteção contra adulterações protege os computadores-cliente dos processos
que adulteram processos e objetos internos da Symantec. Quando a proteção
contra adulterações detecta um processo que poderia modificar as configurações
da Symantec ou os valores do registro do Windows, ela bloqueia o processo. Talvez
você precise dar permissão para que um aplicativo modifique as configurações
da Symantec. Talvez você queira interromper a proteção contra adulterações para
certas áreas do registro ou certos arquivos do computador-cliente.
Em alguns casos, a proteção contra adulteração pode bloquear um leitor da tela
ou algum outro aplicativo de tecnologia assistiva. Você pode criar uma exceção
centralizada de modo que o aplicativo possa ser executado em
Sobre a interação do cliente com as exceções centralizadas

As exceções definidas pelo administrador sempre têm prioridade sobre as exceções
definidas pelo usuário. Nos computadores-cliente, os usuários podem ver a lista
de exceções definidas pelo administrador, mas não podem alterá-la. O usuário
também pode ver qualquer exceção que crie.
Por padrão, nos computadores-cliente, os usuários têm direitos de configuração
limitados para exceções centralizadas.
Por padrão, os usuários têm as seguintes restrições:
■ Não podem criar exceções a fim de forçar detecções para verificações proativas
de ameaças. Não podem fazer uma seleção em uma lista de processos detectados
para criar uma exceção para verificações proativas de ameaças. Contudo, os
usuários podem selecionar um arquivo no computador-cliente para criar uma
exceção da verificação proativa de ameaças.
■ Não podem criar nenhuma exceção para a proteção contra adulterações.
É possível restringir os usuários nos computadores-cliente de modo que não
possam criar exceções para verificações antivírus e anti-spyware nem para
verificações proativas de ameaças.
Consulte “Configuração de restrições de clientes para exceções centralizadas”
na página 601.

Configura-se uma política de exceções centralizadas de modo semelhante à
configuração de outros tipos de políticas.
procedimentos.
Para configurar uma política de exceções centralizadas
1 Na página Política de exceções centralizadas, clique em Exceções
centralizadas.
2 Em Exceções centralizadas, clique em Adicionar e, em seguida, realize uma
■ Clique em Exceções de riscos à segurança e, então, adicione uma exceção
de risco à segurança que deseja incluir na política.
Consulte “Configuração de uma exceção centralizada para verificações
■ Clique em Exceções da verificação proativa de ameaças TruScan e, então,
adicione uma exceção de verificação proativa de ameaças que deseja incluir
na política.
Consulte “Configuração de uma exceção centralizada para verificações
proativas de ameaças TruScan” na página 598.
■ Clique em Exceção de proteção contra adulteração e adicione então uma
exceção de verificação da proteção contra adulteração que deseja incluir
na política.
Consulte “Configuração de uma exceção centralizada para proteção contra
adulterações” na página 600.
3 Repita a etapa 2 para adicionar mais exceções.

Configuração de uma exceção centralizada para verificações antivírus

e anti-spyware
É possível criar exceções para riscos à segurança conhecidos, arquivos, pastas ou
extensões de arquivos. As exceções se aplicam a todas as verificações antivírus e
anti-spyware executadas nos computadores-cliente que utilizem a política.
Clique em Ajuda para obter mais informações sobre as opções usadas neste
procedimento.
Para configurar uma exceção centralizada para verificações antivírus e anti-spyware
centralizadas.
2 Em Exceções centralizadas, clique em Adicionar > Exceções de riscos à
segurança e, em seguida, execute uma das ações abaixo:
■ Clique em Riscos conhecidos e, em seguida, configure a exceção.

Consulte “Configuração de exceções centralizadas de riscos à segurança
■ Clique em Arquivo e, em seguida, configure a exceção.
Consulte “Configuração de uma exceção centralizada para um arquivo”
na página 597.
■ Clique em Pasta e, em seguida, configure a exceção.
Consulte “Configuração de uma exceção centralizada para uma pasta”
na página 597.
■ Clique em Extensões e, em seguida, configure a exceção.
Consulte “Configuração de uma exceção centralizada para uma extensão
de arquivo” na página 598.
3 Clique em OK.
Configuração de exceções centralizadas de riscos à segurança

conhecidos
Os riscos à segurança detectados pelo software-cliente são exibidos na caixa de
diálogo Exceções de riscos à segurança conhecidos.
A lista de riscos à segurança conhecidos inclui informações sobre a gravidade do
risco.
Clique em Ajuda para obter mais informações sobre as opções das exceções
centralizadas para riscos à segurança conhecidos.
Para configurar exceções centralizadas de riscos à segurança conhecidos
centralizadas.
segurança > Riscos conhecidos.
3 Na caixa de diálogo Exceções de riscos à segurança conhecidos, selecione um
ou mais riscos à segurança que você queira excluir das verificações antivírus
e anti-spyware.
4 Marque Registrar quando o risco à segurança for detectado se quiser
registrar a detecção.
Se essa opção não for marcada, o cliente ignorará o risco quando detectar os
riscos selecionados. Portanto, o cliente não registrará a detecção.
5 Clique em OK.
Configuração de uma exceção centralizada para um arquivo

As exceções para arquivos são adicionadas individualmente. Se quiser criar
exceções para mais de um arquivo, repita o procedimento.
Para configurar uma exceção centralizada para um arquivo
centralizadas.
segurança > Arquivo.
3 Em Exceção de arquivo de riscos à segurança, na caixa suspensa Variável de
prefixo, selecione um local de arquivo, caso queira restringir a exceção.
Clique em NENHUM se quiser que a exceção se aplique ao arquivo em qualquer
local no computador-cliente.
4 Na caixa de texto Arquivo, digite o nome do arquivo.
Inclua as informações de caminho do arquivo.
5 Clique em OK.
Configuração de uma exceção centralizada para uma pasta

As exceções para pastas são adicionadas individualmente. Se quiser criar exceções
para mais de uma pasta, repita o procedimento.
Para configurar uma exceção centralizada para uma pasta
centralizadas.
segurança > Pasta.
3 Em Exceção de pasta de riscos à segurança, na caixa suspensa Variável de
prefixo, selecione um local de pasta, caso queira restringir a exceção.
Clique em NENHUM se quiser que a exceção se aplique ao arquivo em qualquer
local no computador-cliente.
4 Na caixa de texto Pasta, digite o nome da pasta.
Inclua as informações de caminho da pasta.
5 Clique em OK.
Configuração de uma exceção centralizada para uma extensão

de arquivo
É possível adicionar várias extensões de arquivos a uma exceção. Depois de criar
a exceção, não se pode criar outras exceções de extensão para a mesma política.
É preciso editar a exceção existente.
Nota: Somente é possível adicionar uma extensão por vez. Se várias extensões
forem inseridas na caixa de texto Adicionar, a política tratará a entrada como uma
única extensão.
Para configurar uma exceção centralizada para uma extensão de arquivo

centralizadas.
segurança >Extensão.
3 Na caixa de texto, digite a extensão a ser excluída e clique em Adicionar.
4 Repita a etapa 3 para adicionar mais extensões à exceção.
5 Clique em OK.
Configuração de uma exceção centralizada para verificações proativas

de ameaças TruScan
É possível configurar exceções para excluir processos detectados de futuras
verificações proativas de ameaças. Também é possível forçar uma verificação
proativa de ameaças para detectar um processo em particular.
Para configurar uma exceção centralizada para verificações proativas de ameaças
TruScan
centralizadas.
2 Clique em Adicionar > Exceções da Verificação proativa de ameaças TruScan
e execute uma das seguintes ações:
■ Clique em Processos detectados.
Consulte “Configuração de uma exceção centralizada para um processo

detectado” na página 599.
■ Clique em Processar.
Consulte “Configuração de uma exceção para forçar as verificações
proativas de ameaças TruScan para detectar um processo” na página 600.
3 Clique em OK.
Configuração de uma exceção centralizada para um processo

detectado
É possível criar uma exceção para um processo detectado pelas verificações
proativas de ameaças TruScan.
Ao criar uma exceção para um processo detectado, você escolhe em uma lista de
detecções. O console de gerenciamento preenche a lista com as detecções
registradas pelo cliente em sua rede de segurança.
A lista de detecção aparecerá vazia se os computadores-cliente de sua rede ainda
não tiverem feito nenhuma detecção.
É possível forçar as verificações proativas de ameaças para detectar um processo
em particular. Quando uma verificação proativa de ameaças detecta o processo e
o console de gerenciamento recebe o evento, o processo é exibido na lista de
processos detectados.
Consulte “Configuração de uma exceção para forçar as verificações proativas de
ameaças TruScan para detectar um processo” na página 600.
Para configurar uma exceção centralizada para um processo detectado
centralizadas.
> Processos detectados.
3 Selecione os processos para os quais deseja criar uma exceção.
4 Na lista suspensa Ação, selecione Ignorar, Encerrar, Quarentena ou Somente
registro.
5 Clique em OK.
Configuração de uma exceção para forçar as verificações

proativas de ameaças TruScan para detectar um processo
É possível configurar uma exceção para forçar as verificações proativas de ameaças
para detectar um processo. Esse tipo de exceção pode ser configurado quando as
verificações proativas de ameaças não detectam atualmente um processo em
particular.
Depois que forem executadas futuras verificações, e elas detectarem o processo
especificado, você poderá criar outra exceção para tratar do processo.
Consulte “Configuração de uma exceção centralizada para um processo detectado”
na página 599.
Para configurar uma exceção para forçar as verificações proativas de ameaças
TruScan para detectar um processo
centralizadas.
> Processar.
3 Na caixa de diálogo, digite o nome do processo.
Por exemplo, poderia ser digitado o nome de um arquivo executável, como
segue:
foo.exe
4 Clique em OK.
Configuração de uma exceção centralizada para proteção contra

adulterações
É possível configurar exceções centralizadas para a proteção contra adulterações.
Você precisa saber o nome do arquivo que está associado ao aplicativo que você
quer permitir.
Por exemplo, a proteção contra adulterações pode bloquear um aplicativo de
tecnologia assistiva, tal como um leitor da tela. Você precisa saber o nome do
arquivo associado ao aplicativo da tecnologia assistiva. Então você pode criar uma
exceção para permitir que o aplicativo seja executado.
Configuração de restrições de clientes para exceções centralizadas
Para configurar uma exceção centralizada para a proteção contra adulterações

centralizadas.
2 Clique em Adicionar > Exceção de proteção contra adulterações.
3 Na caixa suspensa Variável de prefixo da caixa de diálogo Exceção de proteção
contra adulterações, selecione um local de arquivo, caso você queira restringir
a exceção.
4 Na caixa de texto Arquivo, digite o nome do arquivo.
Inclua as informações de caminho do arquivo.
5 Clique em OK.
Configuração de restrições de clientes para exceções

centralizadas
É possível configurar restrições de modo que os usuários dos computadores-cliente
não possam criar exceções para verificações antivírus e anti-spyware, nem para
verificações proativas de ameaças TruScan. Por padrão, os usuários têm permissão
para configurar exceções. Para verificações proativas de ameaças, os usuários
têm privilégios de configuração limitados.
Clique em Ajuda para obter mais informações sobre as opções usadas neste
procedimento.
Nota: Nos computadores-cliente, os usuários nunca podem criar exceções para a

proteção contra adulterações, independentemente das configurações de restrição.
Para configurar restrições de clientes para exceções centralizadas

1 Na página Política de exceções centralizadas, clique em Restrições de clientes.
2 Em Restrições de clientes, marque ou desmarque Exceções de riscos à
segurança e Exceções da Verificação proativa de ameaças TruScan.
Criação de exceções centralizadas a partir de eventos do registro
Criação de exceções centralizadas a partir de eventos

do registro
É possível criar exceções centralizadas a partir de eventos de registro para
verificações antivírus e anti-spyware ou para verificações proativas de ameaças.
Não é possível criar exceções a partir de eventos de registro para proteção contra
adulteração.
Ao criar exceções a partir de eventos de registro, você adiciona um risco, arquivo,
pasta, extensão ou processo na política de exceções centralizadas. A política de
exceções centralizadas é especificada ao se criar a exceção.
Consulte “Sobre os registros” na página 197.
Para criar exceções centralizadas a partir de registro de eventos
1 Na guia Monitores, clique na guia Registros.
2 Na lista suspensa Tipo de registro, selecione uma das seguintes opções:
■ Risco
3 Se você selecionou Controle de dispositivos e aplicativos, selecione Controle

de aplicativos na caixa de listagem Conteúdo do registro.
5 Siga as instruções para adicionar exceções centralizadas para o tipo de registro
selecionado.
Consulte “Adição de uma exceção centralizada para eventos de riscos”
na página 602.
Consulte “Adição de uma exceção centralizada para eventos de verificação
proativa de ameaças TruScan” na página 603.
Consulte “Adição de uma exceção centralizada para eventos de proteção
contra adulterações” na página 604.
Adição de uma exceção centralizada para eventos de riscos

É possível adicionar uma exceção centralizada para eventos de riscos
Para adicionar uma exceção centralizada para eventos de riscos

1 Na página Registros de riscos, selecione um ou mais eventos para os quais
você queira adicionar uma exceção centralizada.
2 Ao lado de Ação, selecione uma das seguintes opções:
■ Adicionar risco à Política de exceções centralizadas
■ Adicionar arquivo à Política de exceções centralizadas
■ Adicionar pasta à Política de exceções centralizadas
■ Adicionar extensão à Política de exceções centralizadas
4 Na caixa de diálogo, você pode remover quaisquer riscos, arquivos, pastas ou
extensões associados ao evento. Se você remover itens, eles não serão incluídos
na exceção.
Se nenhum item for exibido na lista de riscos, arquivos, pastas ou extensões,
você não poderá criar uma exceção.
5 Para riscos à segurança, marque Registrar quando o risco à segurança for
detectado, se quiser que o software-cliente registre a detecção.
6 Selecione todas as políticas de exceções centralizadas que devem usar essa
exceção.
7 Clique em OK.
Adição de uma exceção centralizada para eventos de verificação

É possível adicionar uma exceção centralizada para eventos de verificação proativa
de ameaças.
Para adicionar uma exceção centralizada para eventos de verificação proativa de
ameaças TruScan
1 Na página Registros da verificação proativa de ameaças TruScan, selecione
um ou mais eventos para os quais deseja adicionar uma exceção centralizada.
2 Ao lado de Ação, selecione Adicionar processo à Política de exceções
centralizadas.
4 Na caixa de diálogo, na lista suspensa Resposta, selecione a ação de detecção

para o processo.
Opcionalmente, você pode remover quaisquer processos que não queira incluir
na exceção.
5 Selecione as políticas de exceções centralizadas que devem incluir essa
exceção.
6 Clique em OK.
Adição de uma exceção centralizada para eventos de proteção contra

adulterações
Você pode adicionar uma exceção centralizada para eventos de proteção contra
adulterações. Os recursos da proteção contra adulteração devem já ter bloqueado
o aplicativo que você quer permitir. Depois que a proteção contra adulteração
bloqueia o aplicativo, o computador-cliente registra o evento e o envia ao servidor
de gerenciamento. Você pode usar o evento do registro para criar a exceção.
Para adicionar uma exceção centralizada para eventos de proteção contra
adulterações
1 Na página Registros de controle de dispositivos e aplicativos, selecione um
ou mais eventos para os quais você queira adicionar uma exceção centralizada.
Por exemplo, você pode selecionar um ou mais eventos que se aplicam aos
aplicativos de tecnologia assistiva que você quer executar.
2 Ao lado de Ação, selecione Adicionar arquivo à Política centralizada de
exceções .
4 Para remover um arquivo que você não queira incluir na exceção, selecione
o arquivo e clique em Remover.
Repita esta etapa para remover mais arquivos.
5 Selecione as políticas de exceções centralizadas que devem incluir essa
exceção.
6 Clique em OK.
Seção 8
Configuração da integridade
do host para a conformidade
com as políticas do endpoint
■ Configurações básicas da integridade do host
■ Adição de requisitos personalizados

606
Capítulo 40
integridade do host
■ Como funciona a aplicação da integridade do host
■ Sobre como trabalhar com políticas de integridade do host
■ Sobre o planejamento de requisitos de integridade do host
■ Adição de requisitos da integridade do host
■ Edição e exclusão de um requisito da integridade do host
■ Ativação e desativação dos requisitos de integridade do host
■ Alteração da seqüência dos requisitos de integridade do host
■ Adição de um requisito da integridade do host a partir de um modelo
■ Sobre configurações para verificações de integridade do host
■ Sobre a correção da integridade do host
■ Especificação do período de tempo que o cliente espera pela correção
■ Permissão para que os usuários adiem ou cancelem a correção da integridade

do host
Como funciona a aplicação da integridade do host

Configure políticas de integridade do host para garantir que os
computadores-cliente que se conectam a uma rede corporativa executem os
aplicativos e arquivos de dados necessários. O cliente que realiza uma verificação
608 Configurações básicas da integridade do host
de integridade do host implementa os parâmetros da política de integridade do

host configurados por você. O cliente aplica estas políticas agindo por conta
própria, tais como fazer o download de um patch ou iniciar um programa. Você
pode também usar um Enforcer para aplicar estas políticas. O Enforcer é um
aplicativo do software ou um appliance opcional do hardware que negocia a
conectividade do cliente à rede. A maioria dos exemplos relatados aqui mostram
o uso do Enforcer.
Durante a verificação de integridade do host, o cliente segue os requisitos definidos
na política de integridade do host. Ele examina as chaves do registro, os aplicativos
ativos, a data e o tamanho de um arquivo e outros parâmetros possíveis para
determinar a existência do software necessário.
O cliente gera uma entrada no registro de segurança automaticamente, quando
verifica que o software necessário não está instalado no computador. Se a
notificação de usuário estiver ativada no cliente, aparecerá uma mensagem no
computador do usuário.
Se o software necessário não estiver instalado no computador, o cliente poderá
ser configurado para se conectar silenciosamente a um servidor de correção. De
lá, ele poderá fazer o download e instalar o software necessário. O software pode
incluir um patch, um hotfix, uma atualização nas definições de vírus etc. O cliente
pode oferecer ao usuário a opção de fazer o download imediatamente ou adiá-lo.
O computador não pode se conectar à rede corporativa até que o software seja
instalado.
O cliente também pode detectar se um aplicativo antivírus está desatualizado ou
não. Se um aplicativo antivírus for mais antigo do que o administrador do sistema
tiver especificado, o cliente poderá ser impedido de se conectar à rede corporativa.
Antes que possa se conectar, o cliente precisa de uma versão atualizada do
aplicativo antivírus.
A política de integridade do host inclui as configurações que determinam com que
freqüência o cliente realiza uma verificação de integridade do host no
computador-cliente. O computador-cliente pode ser conectado à rede por meio
do Symantec Enforcer. Você pode configurar a política de integridade do host de
modo que o cliente execute a verificação de integridade do host somente quando
o Enforcer solicitar ao cliente. O Enforcer pode verificar o seguinte: se o cliente
está em execução, se a política do cliente está atualizada e se a verificação de
integridade do host foi aprovada antes de permitir o acesso à rede.
Sempre que um cliente receber uma nova política de segurança, ele realiza
imediatamente uma verificação de integridade do host. O cliente pode ser
configurado para fazer o download e instalar a política de segurança mais recente
automaticamente. Se a atualização da política falhar, será gerada uma entrada no
registro de segurança. Se a notificação de usuário estiver ativada no cliente,
aparecerá uma mensagem no computador do usuário.
Configurações básicas da integridade do host 609
Você pode considerar alguns dos seguintes exemplos quando configurar os

requisitos para a aplicação da integridade do host:
■ O cliente executa um software antivírus atualizado.
■ A verificação de integridade do host é feita somente quando o cliente tenta se
conectar à rede por meio de um Enforcer.
■ A verificação aciona as ações que ocorrem silenciosamente no cliente.
O Enforcer faz as seguintes ações automaticamente:
■ Verifica se um cliente foi instalado no computador de um usuário
■ Solicita a um cliente para que obtenha políticas de segurança atualizadas, se
estiverem disponíveis
Depois, o Enforcer solicita ao cliente que realize a verificação de integridade do
host.
Primeiro, o cliente verifica se o software antivírus mais recente está instalado e
em execução. Se tiver sido instalado, mas não estiver em execução, o cliente inicia
o aplicativo antivírus silenciosamente. Se não estiver instalado, o cliente faz o
download do software a partir de um URL especificado no requisito de integridade
do host. A seguir, o cliente instala e inicia o software.
Depois o cliente verifica se os arquivos de assinatura do antivírus são atuais. Se
os arquivos antivírus não forem atuais, o cliente obtém e instala silenciosamente
os arquivos antivírus atualizados.
O cliente realiza a verificação de integridade do host novamente e aprova-a. O
Enforcer recebe os resultados e concede ao cliente o acesso à rede corporativa.
Nesse exemplo, os seguintes requisitos devem ser satisfeitos:
■ O servidor de arquivos usado para atualizações de integridade do host possui
os arquivos mais recentes instalados. O cliente obtém aplicativos atualizados
do servidor de arquivos. Você pode configurar um ou mais servidores de
correção que estejam conectados à rede corporativa. A partir dos servidores
de correção, os usuários podem copiar ou fazer download automaticamente
dos patches e hotfixes necessários para qualquer aplicativo exigido.
Se um servidor de correção falhar, a correção da integridade do host também
falhará. Se o cliente tentar se conectar por meio de um Enforcer, este bloqueará
o cliente, caso haja falha na integridade do host. O console inclui um recurso
para aprovar a verificação de integridade do host mesmo que a verificação
falhe. Nesse caso, o Enforcer não bloqueará o cliente. As informações sobre a
falha na verificação de integridade do host são gravadas no registro de
segurança do cliente.
Sobre como trabalhar com políticas de integridade do host
■ O servidor de gerenciamento deve ser configurado de modo que as atualizações

da política de segurança sejam enviadas automaticamente a qualquer
computador que execute o cliente.
Se os parâmetros definidos para as políticas de integridade do host não forem
bem-sucedidos, o Enforcer bloqueará a conexão do cliente à rede. A seguinte
mensagem será exibida no cliente:
O Symantec Enforcer bloqueou todo o tráfego do cliente.

regra: {nome do requisito} falhou.
Se o Enforcer bloquear o cliente, o cliente tentará se recuperar. Se a política de

integridade do host estiver configurada para atualizar arquivos antes de permitir
que o cliente se conecte à rede, o usuário será notificado de que uma atualização
precisa ser fornecida. Um indicador de andamento acompanha a atualização. Se
o usuário se desconectar da rede corporativa, o processo começará novamente.
Sobre como trabalhar com políticas de integridade

do host
Você cria e edita políticas de integridade do host de modo semelhante ao usado
substituir, copiar, exportar, importar ou excluir uma política de integridade do
host.
Para trabalhar com políticas de integridade do host, você deve estar familiarizado
com os fundamentos de configuração de políticas.
Sobre a política de quarentena

A política de quarentena é uma política para o cliente do Symantec Network Access
Control que executa a verificação de integridade do host. Se os requisitos da política
de integridade do host não forem atendidos, o cliente tentará uma correção. Se a
correção falhar, o cliente alternará automaticamente para uma política de
quarentena. A política de quarentena pode ser uma política antivírus e
anti-spyware, Política de firewall, Política de prevenção de intrusões, Política do
LiveUpdate ou Política de controle de dispositivos e aplicativos. Você pode
configurar e atribuir a política de quarentena a um local.
Sobre o planejamento de requisitos de integridade do host
Sobre o planejamento de requisitos de integridade

do host
Ao planejar os requisitos de integridade do host, você deve considerar as seguintes
questões:
■ Qual software (aplicativos, arquivos, patches etc.) deseja exigir para a segurança
corporativa?
■ O que ocorre se um requisito não for atendido? Por exemplo:
■ O cliente pode se conectar a um servidor e restaurar o software para cumprir
o requisito.
■ A verificação da integridade do host pode ser aprovada mesmo que o
requisito falhe.
■ A verificação da integridade do host pode falhar e o acesso à rede pode ser
bloqueado.
■ Uma mensagem pop-up pode notificar o usuário sobre o que fazer em
seguida.
Considere as seguintes áreas com mais detalhes:

■ Que aplicativos antivírus, anti-spyware, firewall, patches ou atualizações são
necessários no computador do usuário quando esse se conecte à rede?
Normalmente, você cria um requisito separado para cada tipo de software. Os
requisitos de integridade do host predefinidos permitem que você configure
facilmente esses requisitos normalmente usados.
■ Você pode conceder aos usuários o direito de escolher quais aplicativos de
firewall, anti-spyware ou antivírus eles desejam executar em seus
computadores. Os requisitos predefinidos permitem especificar como aceitável
um aplicativo específico ou uma lista inteira de aplicativos suportados. Você
pode criar um requisito personalizado que inclua os aplicativos que são
aceitáveis em sua empresa.
■ Como tratar da restauração do computador do usuário para cumprir os
requisitos? Normalmente, você precisa configurar um servidor de correção
com o software necessário. Quando você configura o requisito, deve especificar
o URL a partir do qual o cliente pode fazer download e instalar o software
necessário.
■ Alguns patches exigem que o usuário reinicie o computador. As atualizações
são concluídas em uma ordem específica para que todas as atualizações sejam
aplicadas antes que o usuário precise reiniciar. Como parte da política de
integridade do host, você pode definir a ordem em que os requisitos são
verificados e que a correção é tentada.
Sobre o planejamento de requisitos de integridade do host
■ Você também deve considerar o que ocorre se um requisito falhar e não puder
ser restaurado. Para cada requisito, você tem a opção de permitir que a
verificação da integridade do host seja aprovada, mesmo que o requisito falhe.
Como parte da política geral de integridade do host, você também pode
configurar mensagens pop-up. O cliente exibe essas mensagens pop-up ao
usuário, caso haja falha na verificação de integridade do host ou caso ela seja
aprovada depois de uma falha anterior. Talvez você queira planejar a exibição
de instruções adicionais para o usuário nessas mensagens pop-up. Além disso,
você pode configurar uma política de quarentena para ser ativada se houver
falha na integridade do host.
■ Você pode simplificar o gerenciamento dos aplicativos necessários, incluindo
aplicativos semelhantes em um requisito personalizado. Por exemplo, você
pode incluir navegadores da Internet, como o Internet Explorer e o Netscape
Navigator, em um único requisito.
■ Como parte de um requisito personalizado, você pode especificar se vai permitir
que a verificação da integridade do host seja aprovada, caso o requisito falhe.
Quando você planejar o número de condições que vai verificar em um único
script, lembre-se de que essa configuração se aplica ao script dos requisitos
personalizados como um todo. Esse aspecto da configuração pode afetar o fato
de você querer criar vários requisitos personalizados pequenos ou apenas um
maior que inclua várias etapas.
Talvez você ache útil configurar uma planilha eletrônica que represente os
requisitos de aplicação da integridade do host de sua empresa.
Sobre requisitos de integridade do host

A política de integridade do host inclui os seguintes tipos de requisitos:
■ Os requisitos predefinidos cobrem os tipos mais comuns de verificações de
integridade do host e permitem que você escolha dentre os seguintes tipos:
■ Requisito de antivírus
■ Requisito de anti-spyware
■ Requisito de firewall
■ Requisito de patch
■ Requisito de Service Pack
■ Requisitos personalizados, que você define usando o Editor de requisitos

personalizados.
Consulte “Gravação de um script de requisitos personalizados” na página 637.
Adição de requisitos da integridade do host
■ Modelos de requisitos de integridade do host, que são atualizados como parte

do serviço de assinaturas on-line do Symantec Enterprise Protection.
Consulte “Adição de um requisito da integridade do host a partir de um modelo”
na página 616.
Quando você adiciona um novo requisito, pode selecionar um desses tipos de
requisitos predefinidos. É exibida uma caixa de diálogo com o conjunto de
configurações predefinidas que você pode definir. Se as configurações predefinidas
não atenderem às suas necessidades, você pode criar um requisito personalizado.

Uma política de integridade do host define os requisitos dos firewalls, antivírus,
anti-spyware, patches, service packs ou outros aplicativos necessários nos
Cada política de integridade do host inclui requisitos e configurações gerais. Os
requisitos especificam os seguintes itens:
■ Quais condições devem ser verificadas
■ Quais ações (como downloads e instalações) o cliente executa em resposta à
condição
Quando você especificar requisitos de integridade do host, poderá escolher um
dos tipos a seguir: requisitos predefinidos, personalizados ou modelos. Os requisitos
de modelo estão disponíveis por meio do serviço LiveUpdate da política de
integridade do host. Você pode copiar e colar, bem como exportar e importar
requisitos entre políticas.
As configurações gerais permitem configurar quando e com que freqüência o
cliente executa uma verificação de integridade do host, as opções da correção e
as notificações.
Você pode criar uma nova política compartilhada ou não compartilhada de
integridade do host. Depois de criar uma nova política, você poderá adicionar um
requisito predefinido, um requisito personalizado ou ambos.
Para adicionar um requisito da integridade do host
1 No console, abra uma política de integridade do host.
2 Na página Política de integridade do host, clique em Requisitos.
3 Na página Requisitos, selecione uma das seguintes opções para determinar

quando as verificações de integridade do host devem ser executadas no cliente:
Sempre fazer a verificação de Essa é a opção padrão. Uma verificação de

integridade do host integridade do host sempre será realizada
neste local com a freqüência que você
especificar.
Faça somente a verificação de Uma verificação de integridade do host será

integridade do host por meio do realizada neste local somente quando o
Gateway ou DHCP Enforcer cliente estiver autenticado através do
Gateway Enforcer ou do DHCP Enforcer.
Somente fazer a verificação de Uma verificação de integridade do host será

integridade do host quando estiver realizada neste local somente quando o
conectado ao servidor de cliente estiver conectado a um servidor de
gerenciamento gerenciamento.
Nunca fazer a verificação de Nunca será realizada uma verificação de

integridade do host integridade do host nesse local.
5 Na caixa de diálogo Adicionar os requisitos, selecione um dos seguintes tipos
de requisitos:
■ Requisito de antivírus
■ Requisito de anti-spyware
■ Requisito de firewall
■ Requisito de patch
■ Requisito de Service Pack
■ Requisito personalizado
6 Clique em OK.
7 Defina as configurações para o requisito.
Consulte “Sobre requisitos de integridade do host” na página 612.
8 Na página Configurações avançadas, defina as configurações para a
verificação, a correção e as notificações de integridade do host.
Para mais informações, clique em Ajuda.
Consulte “Sobre configurações para verificações de integridade do host”
na página 617.
Edição e exclusão de um requisito da integridade do host

10 Atribua a política aos grupos ou locais.
Edição e exclusão de um requisito da integridade do

host
A guia Requisitos da caixa de diálogo Configuração de integridade do host contém
uma tabela. Você pode usar esta tabela para adicionar novos requisitos ou para
editar ou excluir requisitos existentes de uma política de integridade do host. Você
pode clicar duas vezes em um requisito na tabela Requisitos e abri-la para edição.
Você pode clicar com o lado direito do mouse na tabela Requisitos para adicionar,
editar, excluir, mover, importar, exportar, copiar ou colar requisitos.
Convém exportar uma política para um arquivo .dat antes de editar. Se a versão
editada da política não funciona corretamente, é possível restaurar sua
configuração original importando o arquivo .dat. Teste uma nova política ou uma
política editada em um ambiente seguro.
Para editar e excluir um requisito de integridade do host
3 Na página Requisitos, selecione um requisito e execute uma das seguintes
opções:
■ Para editar um requisito selecionado, clique em Editar.
■ Para excluir permanentemente um requisito selecionado, clique em Excluir
e em Sim.
Ativação e desativação dos requisitos de integridade

do host
Quando você cria requisitos para uma política de integridade do host, pode criar
requisitos para uso futuro. Desative-os até que seja necessário usá-los. Você pode
desativar um requisito temporariamente enquanto testa sua política de integridade
do host.
Alteração da seqüência dos requisitos de integridade do host
Para ativar e desativar os requisitos de integridade do host

3 Na página Requisitos, selecione um requisito e execute uma das seguintes
tarefas:
■ Para ativar um requisito, marque a caixa de seleção Ativar para o requisito
selecionado.
■ Para desativar um requisito, desmarque a caixa de seleção Ativar para o
requisito selecionado.
Alteração da seqüência dos requisitos de integridade

do host
Você pode mudar a posição dos requisitos. Ao alterar a posição, você determina
em que ordem eles serão executados. A posição pode ser importante quando você
faz o download de software que exige uma reinicialização depois da instalação.
Você define a ordem para garantir que os requisitos que exigem uma reinicialização
para correção sejam executados por último.
Para mudar a seqüência de requisitos de integridade do host
3 Na página Requisitos, selecione o requisito que você quer mover e clique em
Mover para cima ou Mover para baixo.
Adição de um requisito da integridade do host a partir

de um modelo
O serviço de assinaturas on-line fornece modelos de integridade do host.
Você pode importar os modelos mais recentes e usá-los enquanto desenvolve
requisitos personalizados para uma política de integridade do host. Você pode
Sobre configurações para verificações de integridade do host
selecionar quantos requisitos desejar. Você pode selecionar os requisitos usando-os

como estão ou modificando-os de acordo com as necessidades do seu ambiente.
Se a sua assinatura expirou, os requisitos que você já importou ainda poderão ser
usados. Entretanto, as atualizações mais recentes não estarão mais disponíveis
para importar.
Se você importar um requisito pela segunda vez e já existir um requisito com o
mesmo nome, o requisito importado não sobrescreverá o existente. Ao contrário,
o requisito importado será exibido com o número 2 ao lado do nome, na tabela
Requisitos.
Para adicionar um requisito de integridade do host a partir de um modelo
3 Na página Requisitos, clique em Modelo.
4 Na caixa de diálogo Atualiz. on-line integridade host, expanda Modelos e
selecione uma categoria de modelo.
5 Ao lado de cada modelo que você quer adicionar, clique em Adicionar.
6 Clique em Importar.
Sobre configurações para verificações de integridade

do host
Ao configurar as políticas de integridade do host, você pode selecionar dentre
várias configurações. As configurações referem-se ao modo de realizar a verificação
de integridade do host e de tratar os resultados.
Se você alterar a política de integridade do host, ela será transferida por download
para o cliente na próxima pulsação. Depois, o cliente executa uma verificação de
integridade do host.
Se o usuário alternar para um local com uma política de integridade do host
diferente enquanto uma verificação de integridade do host estiver em andamento,
o cliente interromperá a verificação. A interrupção inclui tentativas de correção,
se for exigido pela política. O usuário pode receber uma mensagem de tempo limite
se uma conexão com o servidor de correção não estiver disponível no novo local.
Quando a verificação estiver concluída, os resultados serão descartados pelo
cliente. Imediatamente o cliente executará uma nova verificação de integridade

do host baseada na nova política para o local.
Se a política for a mesma no novo local, o cliente manterá todas as configurações
de horário de integridade do host. O cliente executará uma nova verificação de
integridade do host quando for exigido pelas configurações da política.
A Tabela 40-1 mostra as configurações para verificações de integridade do host.
Tabela 40-1 Configurações de verificação de integridade do host
Verificar integridade do host a cada Especifica a freqüência das verificações de

Manter os resultados das verificações por Define a duração da manutenção dos resultados
da integridade do host.
Você pode definir a quantidade de horas que

um cliente retém o resultado de uma
verificação de integridade do host anterior. O
cliente manterá o resultado mesmo que o
usuário tome uma ação que normalmente
resultaria em uma nova verificação de
integridade do host. Por exemplo, o usuário
pode fazer download de um software novo ou
mudar um local.
Continuar a verificação de requisitos após Especifica que o cliente continua a verificar os

a falha de um deles requisitos mesmo que um deles falhe. O cliente
de fato interrompe a verificação de integridade
do host até que o requisito falho seja
restaurado.
O cliente verificará os requisitos de integridade

do host na ordem especificada na política de
Se você ativar essa configuração, a verificação

de integridade do host falhará, mas poderá
tentar outras ações de correção, se for
necessário.
Você pode permitir que a verificação de

integridade do host passe mesmo se um
requisito falhar. Esta configuração é
encontrada na caixa de diálogo Requisitos para
cada tipo de requisito. A configuração é
aplicada separadamente para cada requisito.
Configuração do registro e das notificações para uma verificação de

integridade do host
Quando o cliente executar uma verificação de integridade do host, registrará o
resultado de cada verificação de requisitos e exibirá os resultados no registro de
segurança do cliente. Embora você precise destas informações ao solucionar
problemas, você pode não querer que usuários tenham acesso a informações
detalhadas do registro. Por exemplo, você pode não querer que chaves do registro
e informações do nome de arquivo apareçam. Quaisquer requisitos de integridade
do host que tenham passado ou falhado são relacionados. Os detalhes são gravados
no registro e podem ser visualizados na página Monitores do servidor de
gerenciamento.
Você pode também configurar notificações para aparecem no cliente quando as
seguintes condições ocorrerem:
■ Uma verificação de integridade do host falha.
■ Uma verificação de integridade do host é aprovada depois de falhar
anteriormente.
Por exemplo, se a verificação de integridade do host falhar e o cliente restaurar
o software necessário para que a verificação de integridade seja aprovada, a
seguinte mensagem poderá ser exibida quando a verificação for aprovada:
Verificação de integridade do host completa.
Outras notificações podem aparecer no computador-cliente nas seguintes situações:

■ Se você permitir que o usuário cancele a correção de um requisito, uma
notificação oferecerá ao usuário a opção de fazer o download do software
imediatamente ou adiar a correção.
■ Se um Enforcer estiver em execução e a verificação de integridade do host
falhar, você poderá especificar se o cliente exibirá uma notificação avisando
o usuário de que o Enforcer bloqueou o acesso à rede. Para habilitar ou
desabilitar esta notificação para o cliente e adicionar o texto, clique na página
Políticas, selecione o grupo no painel Visualizar políticas, clique em
Configurações gerais e Configurações de segurança.
Consulte “Permissão para que os usuários adiem ou cancelem a correção da
Para configurar o registro e as notificações de uma verificação de integridade do

host
2 Na página Integridade do host, clique em Configurações avançadas.
3 Na página Configurações avançadas, em Notificações, clique em qualquer
uma das seguintes opções:
■ Para mostrar informações detalhadas no cliente, clique em Exibir registro
detalhado de integridade do host.
■ Exibir uma mensagem de notificação quando houver falha na verificação
de integridade do host.
■ Exibir uma mensagem de notificação quando uma verificação de
integridade do host for aprovada após uma falha anterior.
4 Para adicionar uma mensagem personalizada, clique em Definir texto

adicional e digite até 512 caracteres de texto adicional.
Como permitir que a verificação de integridade do host seja aprovada

se um requisito falhar
Além de ativar ou desativar um requisito em sua política de integridade do host
para determinar se o cliente executa ou não um script de requisitos, você pode
fazer com que o cliente execute o script de requisitos e registre os resultados, mas
ignore os resultados. Você pode deixar a verificação de integridade do host ser
aprovada se o requisito falhar ou não. Um requisito pode ser aprovado mesmo se
a condição de requisitos não for cumprida.
Você ativa 'Permitir que a verificação de integridade do host seja aprovada mesmo
se o requisito falhar' na caixa de diálogo de um requisito específico. Se desejar
aplicar esta configuração a todos os requisitos, você deverá ativá-la em cada
requisito separadamente. A configuração fica desativada por padrão.
Se você ativar a configuração para permitir que a verificação de integridade do
host seja aprovada mesmo se o requisito falhar, será exibida a seguinte mensagem
na janela do cliente quando o evento ocorrer:
A integridade do host falhou, mas foi reportada como aprovada

Sobre a correção da integridade do host
Para permitir que a verificação de integridade do host seja aprovada se um requisito

falhar
3 Na página Requisitos, clique em Adicionar, adicione um requisito predefinido
ou personalizado, e clique em OK.
4 Na caixa de diálogo do requisito, marque Permitir que a verificação de
integridade do host passe mesmo se este requisito falhar.
5 Clique em OK.

Se a verificação de integridade do host do cliente mostrar que os requisitos de
integridade do host não são atendidos, o cliente poderá tentar restaurar os
arquivos. O computador-cliente precisa então ser aprovado na verificação de
integridade do host. O cliente faz o download, instala arquivos ou inicia os
aplicativos necessários. Ao instalar as políticas de integridade do host, especifique
o que acontece durante o processo de correção. Você pode especificar não somente
onde o cliente vai para fazer o download dos arquivos de correção, mas também
como o processo de correção é implementado.
Você pode permitir que o usuário cancele um download de correção. Também é
possível definir o número de vezes que o usuário pode adiar o download e por
quanto tempo. As definições são aplicáveis a todos os tipos de requisitos na política,
exceto àqueles em que o cancelamento da correção foi desativado. Os usuários
podem cancelar apenas os requisitos predefinidos.
Por padrão, a correção da integridade do host é executada independentemente de
o usuário ter efetuado o logon. Isto permite que o computador-cliente seja corrigido
com atualizações do sistema operacional ou com o software de segurança
necessário a qualquer momento. Porém, quando a correção executa um programa
local ou um programa obtido por download, os usuários podem abrir e executar
o programa antes de fazer o logon. Por exemplo, um pacote de instalação pode
iniciar o Internet Explorer, a partir do qual os usuários podem executar o prompt
de comando ou outro programa. Você pode contornar este problema gravando
um requisito personalizado que use a função Executar um programa. Você não
pode contornar este problema para requisitos predefinidos.
Consulte “Execução de um programa” na página 643.
Sobre a restauração de aplicativos e arquivos em integridade do host

Ao configurar a correção para um requisito, especifique o local de um pacote de
instalação ou arquivos a serem obtidos por download e instalados. Ao especificar
o local do pacote de instalação ou arquivo a ser obtido por download, use qualquer
um seguintes formatos:
UNC \\servername\sharename\dirname\filename
A restauração UNC não funciona se Procura em ambiente de rede estiver

desativado no cliente-alvo. Certifique-se de que Procura em ambiente de
rede não foi desativado se usar caminhos UNC para a correção.
FTP FTP://ftp.ourftp.ourcompany.com/folder/filename
HTTP HTTP://www.ourwww.ourcompany.com/folder/filename
Os pacotes de instalação ou arquivos são sempre transferidos por download para

o diretório temporário. Qualquer caminho relativo refere-se a esse diretório. O
diretório temporário é definido na variável de ambiente TMP, ou na variável de
ambiente TEMP, se existentes. O diretório padrão está no diretório do Windows.
Para a execução do arquivo, o atual diretório de trabalho é sempre definido no
diretório temporário do Windows. As variáveis de ambiente são substituídas antes
da execução. O caminho do diretório do Windows substitui o comando %windir%.
Você pode usar %1 (o padrão) para executar o arquivo especificado no campo URL
de download. A variável %1 representa o último arquivo obtido por download.
Após o download, a instalação ou a execução de um comando para restaurar um
requisito, o cliente sempre testa novamente o requisito. O cliente também registra
o resultado como aprovação ou falha.
Configurações de correção de integridade do host e do Enforcer

Quando você definir requisitos de integridade do host, poderá especificar que, se
eles não forem cumpridos, o cliente deverá atualizar o computador-cliente com
o que for solicitado através da conexão a um servidor de correção. Se você aplicar
esses requisitos a clientes que se conectam à rede através de um Enforcer, você
deve assegurar que o cliente, apesar de estar bloqueado para acesso regular à rede,
possa acessar o servidor de correção. Caso contrário, o cliente não restaurará a
integridade do host e continuará a descumprir o requisito de integridade do host.
A forma de cumprir essa tarefa depende do tipo de Enforcer. A lista abaixo oferece
alguns exemplos:
■ Para o Gateway Enforcer, você pode configurá-lo para reconhecer o servidor
de correção como um endereço IP interno e confiável.
Especificação do período de tempo que o cliente espera pela correção
■ Para o DHCP Enforcer, você faz a configuração de quarentena na rede no

servidor DHCP para permitir acesso ao servidor de correção.
■ Para um LAN Enforcer, se você estiver usando um alternador com capacidade
de VLAN dinâmica, poderá configurar a VLAN com acesso ao servidor de
correção.
Especificação do período de tempo que o cliente

espera pela correção
Você pode especificar o período de tempo que o cliente aguardará antes de tentar
instalar e iniciar o download da correção novamente. Independentemente do
tempo especificado, sempre que uma nova verificação de integridade do host for
iniciada, o cliente tentará corrigir novamente o computador-cliente.
Para especificar o período de tempo que o cliente espera pela correção
3 Na página Requisitos, clique em Adicionar, adicione um requisito predefinido,
e clique em OK.
4 Na caixa de diálogo dos requisitos predefinidos, marque Instalar nome do
requisito se este não tiver sido instalado no cliente.
5 Marque Fazer o download do pacote de instalação.
Para o requisito de antivírus, marque Fazer o download do pacote de
instalação.
6 Marque Especifique o tempo de espera para tentar o download novamente
em caso de falhas.
7 Especifique o período de tempo de espera em minutos, horas ou dias.
Permissão para que os usuários adiem ou cancelem

a correção da integridade do host
Se um requisito especificar uma ação de correção, você pode permitir que o usuário
cancele a correção. Ou pode permitir que o usuário adie a correção para uma hora
mais conveniente. Os exemplos de ações de correção incluem a instalação de um
aplicativo ou uma atualização de arquivo de assinatura. Você pode definir um
Permissão para que os usuários adiem ou cancelem a correção da integridade do host
limite do número de vezes em que a correção poderá ser cancelada e por quanto
tempo o usuário poderá adiá-la. Os limites definidos por você determinam as
seleções disponíveis ao usuário na janela pop-up exibida pelo cliente quando a
correção for necessária. Você pode também adicionar texto à janela pop-up.
As configurações de mínimo e máximo de vezes determinam o intervalo de escolhas
disponíveis na janela pop-up. A janela pop-up é exibida ao usuário quando um
requisito falhar. O intervalo será exibido na forma de lista ao lado do ícone
Lembre-me depois, na mensagem pop-up.
Se o usuário selecionar para o adiamento um período menor que a freqüência da
verificação de integridade do host, a seleção do usuário é sobreposta. A janela
pop-up não aparece novamente até que o cliente execute outra verificação de
integridade do host. Se o usuário tiver optado para ser lembrado em 5 minutos,
mas a verificação de integridade do host for executada a cada 30 minutos, a janela
pop-up de correção apenas será exibida depois de transcorridos 30 minutos. Para
evitar confusão para o usuário, você poderá sincronizar a configuração de tempo
mínimo com a configuração de freqüência de verificação de integridade do host.
Se o usuário adiar a correção, o cliente registra o evento. A integridade do host
exibe falha, já que o requisito não foi cumprido. O usuário pode executar
manualmente uma nova verificação de integridade do host a qualquer momento,
a partir da interface de usuário do cliente.
Se o usuário tiver adiado uma ação de correção e, nesse ínterim, o cliente receber
uma política atualizada, o período de tempo disponível para correção é restaurado
para o máximo especificado.
Para permitir aos usuários adiar a correção da integridade do host
2 Na página Política de integridade do host, clique em Configurações avançadas.
3 Na página Configurações avançadas, em Opções da caixa de diálogo de
correção, defina os limites de tempo mínimo e máximo que um usuário pode
adiar a correção.
4 Digite o número máximo de vezes que o usuário pode cancelar a correção.
5 Para adicionar uma mensagem personalizada no computador-cliente, clique
em Definir texto adicional.
A mensagem digitada será exibida na janela pop-up de correção do cliente se
o usuário clicar na opção Detalhes. Se você não especificar um texto adicional,
o texto padrão da janela pop-up será repetido na área Detalhes se o usuário
clicar na mesma.
6 Na caixa de diálogo Inserir texto adicional, digite uma mensagem

personalizada de até 512 caracteres e clique em OK.
Para permitir que os usuários cancelem a correção da integridade do host
3 Na página Requisitos, clique em Adicionar, adicione um requisito predefinido,
e clique em OK.
4 Na caixa de diálogo dos requisitos predefinidos, marque Instalar nome do
requisito se este não tiver sido instalado no cliente.
5 Marque Fazer o download do pacote de instalação.
Para o requisito de antivírus, marque Fazer o download do pacote de
instalação.
6 Marque Permitir que o usuário cancele o download para a correção de
Capítulo 41
Adição de requisitos
personalizados
■ Sobre os requisitos personalizados
■ Sobre condições
■ Sobre funções
■ Sobre a lógica de requisito personalizado
■ Gravação de um script de requisitos personalizados
■ Exibição de uma caixa de diálogo de mensagens
■ Download de um arquivo
■ Geração de uma mensagem de registro
■ Execução de um programa
■ Execução de um script
■ Definição do carimbo de hora de um arquivo
■ Especificação de tempo de espera para o script
Sobre os requisitos personalizados

Os requisitos personalizados verificam um computador-cliente para quaisquer
critérios selecionados ou definidos pelo administrador. Você pode gravar requisitos
personalizados para corrigir quaisquer problemas de conformidade identificados.
628 Adição de requisitos personalizados
Sobre condições
Você pode criar um script de requisitos complexo ou simples usando seleções e

campos predefinidos.
Os campos e as listas disponíveis nas caixas de diálogo de requisitos predefinidos
ficam disponíveis quando você cria requisitos personalizados. Entretanto, os
requisitos personalizados oferecem mais flexibilidade. Nos requisitos
personalizados, você pode adicionar os aplicativos que não estão incluídos nas
listas de aplicativos predefinidas. Também é possível criar subconjuntos de listas
predefinidas adicionando cada aplicativo individualmente.
Sobre condições
As condições são as verificações que podem ser desempenhadas dentro de um
script de requisito personalizado para detectar problemas de conformidade.
Você pode escolher entre as seguintes categorias de condições:
■ Verificações de antivírus
■ Verificações de anti-spyware
■ Verificações de firewall
■ Verificações e operação de arquivo
■ Verificações e operação de registro
■ Utilitários
Você pode especificar as condições como presentes ou ausentes (NÃO). Você pode
incluir diversas instruções de condição usando as palavras-chave AND ou OR.
Sobre condições do antivírus

Em um requisito personalizado, você pode especificar aplicativos antivírus e
informações do arquivo de assinatura para verificação como parte da instrução
da condição IF-THEN.
Você pode verificar as seguintes condições:
■ Antivírus instalado
■ Antivírus em execução
■ O arquivo de assinatura do antivírus está atualizado
Ao verificar aplicativos e arquivos de assinatura como parte de um requisito
personalizado, especifique as mesmas informações que ao criar um requisito
predefinido. Os nomes das opções podem variar um pouco.
Adição de requisitos personalizados 629
Sobre condições
Se você selecionar Qualquer produto antivírus, todos os aplicativos na lista

suspensa cumprirão o requisito. Você pode incluir um subconjunto de aplicativos,
selecionando-os com a palavra-chave OU.
Ao especificar as informações do arquivo de assinatura, selecione uma ou ambas
as opções para verificar se o arquivo de assinatura está atualizado. Se você
selecionar ambas, as seguintes condições devem ser cumpridas para atender ao
requisito:
■ Selecione Verificar se o arquivo de assinatura é menor e insira um número de
dias. Um arquivo com data anterior ao número de dias que você especificou
está desatualizado.
■ Selecione Verificar se a data do arquivo de assinatura é e selecione antes,
depois, igual a ou diferente de e especifique uma data (mm/dd/aaaa).
Opcionalmente, especifique uma hora e minuto; o padrão é 00:00. A última
data de modificação do arquivo determina o prazo do arquivo de assinatura.
Sobre as condições do anti-spyware

Em um requisito personalizado de integridade do host, você pode especificar
aplicativos anti-spyware e informações do arquivo de assinatura para verificação
como parte da instrução da condição IF THEN.
■ Anti-spyware instalado
■ Anti-spyware ativo
■ O arquivo de assinatura do anti-spyware está atualizado
Ao verificar aplicativos e arquivos de assinatura como parte de um requisito
personalizado, especifique as mesmas informações que ao criar um requisito
predefinido. Os nomes das opções podem variar um pouco.
Se você selecionar Qualquer produto anti-spyware, quaisquer aplicativos na lista
suspensa cumprirão o requisito.
Ao especificar as informações do arquivo de assinatura, selecione uma ou ambas
as opções para verificar se o arquivo de assinatura está atualizado. Se você
selecionar ambas as opções, as seguintes condições deverão ser satisfeitas para
cumprir o requisito:
■ Selecione Verificar se o arquivo de assinatura é menor e insira um número de
dias.
Um arquivo com data anterior ao número de dias que você especificou está
desatualizado.
Sobre condições
■ Selecione Verificar se a data do arquivo de assinatura é e selecione antes,

depois, igual a ou diferente de e especifique uma data (mm/dd/aaaa).
Opcionalmente, especifique uma hora e minuto; o padrão é 00:00. A última
data de modificação do arquivo determina o prazo do arquivo de assinatura.
Sobre as condições do firewall

aplicativos de firewall para verificação como parte da instrução da condição
IF-THEN.
■ Firewall instalado
■ Firewall em execução
Se quiser selecionar qualquer aplicativo na lista suspensa, você poderá selecionar
Qualquer produto de Firewall. Você pode incluir um subconjunto de aplicativos,
selecionando-os com a palavra-chave OU.
Sobre as condições do arquivo

Em um requisito personalizado de integridade do host, você pode verificar um
aplicativo ou arquivo como parte da instrução da condição IF-THEN.
Você pode especificar as seguintes opções para verificar as informações de arquivo
em um requisito personalizado da integridade do host:
Arquivo: Comparar o prazo do arquivo com Especifique um número de dias ou semanas

e selecione maior ou menor que.
Arquivo: Comparar a data do arquivo com Especifique a data no formato mm/dd/aaaa.

Opcionalmente, especifique uma hora e
minuto. A hora padrão é 00:00. Selecione
igual a, diferente de, antes ou depois.
Arquivo: Comparar o tamanho do arquivo com Especifique o número de bytes. Selecione

igual a, diferente de, menor ou maior que.
Arquivo: Comparar a versão do arquivo com Especifique a versão do arquivo no formato

x.x.x.x, onde x representa um número
decimal de 0 a 65535. Selecione igual a,
diferente de, menor ou maior que.
Arquivo: O arquivo existe Especifique o nome do arquivo a ser

verificado.
Sobre condições
Arquivo: A impressão digital do arquivo é Geralmente é possível obter essas

igual a informações selecionando um aplicativo
usando Procurar aplicativos.
Especifique um número hexadecimal (até 32 Ao selecionar uma opção, os campos

dígitos) adicionais são exibidos na caixa de diálogo.
Para cada opção, especifique o caminho e
o nome do arquivo e insira as informações
adicionais necessárias.
Arquivo: Download de arquivo concluído Você pode fazer o download de um arquivo

de um local específico para um determinado
diretório. Se for necessária a autenticação
para acessar o local do arquivo por HTTP,
especifique a senha e o nome do usuário.
Use variáveis do sistema, valores de registro ou uma combinação deles para

especificar o caminho e o nome do arquivo. Ao selecionar uma das opções do
arquivo, a caixa de diálogo mostra exemplos de formas de inserir o caminho e o
nome do arquivo.
Você pode localizar os aplicativos que foram gravados usando o recurso Procurar
aplicativos. Ao especificar as opções de arquivo no script de requisitos
personalizados, a opção Procurar aplicativos fornece acesso à mesma ferramenta
de pesquisa que a ferramenta Procurar aplicativos. É possível navegar nos grupos
definidos no servidor de gerenciamento para filtrar os aplicativos, digitar uma
consulta de pesquisa e exportar os resultados para um arquivo.
Para pesquisar usando as variáveis de ambiente do sistema ou os valores de
registro:
Para usar a variável de ambiente do sistema Para especificar o arquivo

denominado cmd.exe localizado no
diretório especificado na variável de
ambiente WINDIR, digite o seguinte
comando:
%WINDIR%\cmd.exe
Para usar o valor de registro Para ler o valor

HKEY_LOCAL_MACHINE\Software\Symantec\\AppPath
como o caminho do arquivo sem.exe,
digite o comando a seguir:
#HKEY_LOCAL_MACHINE\
Software\Symantec\AppPath#\
sem.exe
Sobre condições
Para usar a variável combinada do registro e do Utilize o seguinte exemplo para usar
ambiente do sistema a variável combinada do valor do
registro e do ambiente do sistema:
%SYSTEMDIR%\
#HKEY_LOCAL_MACHINE\
Software\Symantec\AppPath#.
Sobre as condições do sistema operacional

informações do sistema operacional para verificação como parte da instrução da
condição IF-THEN. Ao selecionar uma opção, os campos adicionais são exibidos
na caixa de diálogo.
Utilitário: O sistema operacional é Especifique um sistema operacional. Ao atualizar

um patch, será necessário selecionar as versões
exatas que exigem aquele patch. Você pode usar
a palavra-chave OR para especificar mais de um
sistema operacional.
Utilitário: O idioma do sistema A função detecta a versão do idioma do sistema

operacional é operacional do cliente. Se a versão do idioma não
está relacionada na caixa de diálogo Requisito
personalizado, você pode adicionar idiomas
digitando os identificadores no campo
Identificadores de idioma. Para adicionar vários
identificadores, use uma vírgula para separar cada
ID, como 0405,0813. Consulte a tabela
Identificadores de idioma para obter a lista de
identificadores.
Patch: Compare o service pack atual Digite o número do service pack que deseja
com uma versão especificada verificar, como 1a. O número está limitado a dois
caracteres. Você pode verificar as seguintes
condições: igual a, diferente, menor que ou maior
que.
Um número seguido por uma letra é considerado

maior que um número sozinho. Por exemplo, o
service pack número 6a é considerado maior que
6. Certifique-se de aplicar um patch de cada vez.
Patch: Patch instalado Digite o nome do patch que deseja verificar. Por
exemplo: KB12345. É possível digitar somente
números e letras nesse campo.
Sobre condições
Certifique-se de corresponder o nome do patch e o número do service pack com

a versão correta do sistema operacional. Se você especificar um sistema operacional
que não corresponder ao patch ou service pack, o requisito falhará.
Sobre as condições do registro

Em um requisito personalizado de integridade do host, especifique as configurações
de registro para verificar como parte da instrução da condição IF-THEN. Também
é possível especificar formas de alterar os valores de registro. Somente
HKEY_LOCAL_MACHINE, HKEY_CLASSES_ROOT e HKEY_CURRENT_CONFIG
são configurações de registro compatíveis.
As seguintes seleções estão disponíveis para verificar configurações de registro:
Registro: Chave de registro existente Especifique o nome da chave de registro para

verificar sua existência.
Registro: O valor do registro é igual a Especifique o nome da chave de registro e o nome

do valor e especifique com que dados comparar o
valor.
Registro: O valor do registro existente Especifique o nome da chave de registro para

verificar se já tiver o nome do valor especificado.
Registro: Definir o valor de registro Especifique um valor para designar à chave

especificada. Se a chave não existir, ele criará a
chave. Esta seleção substitui um valor existente,
sendo ele do mesmo tipo ou não. Em outras
palavras, se o valor existente for um valor
DWORD, mas você especificar um valor de string,
ele substituirá DWORD com o valor de string.
Registro: Aumentar o valor DWORD do Especifique um valor DWORD. Esta seleção

registro permite executar contagens, como permitir que
um computador sem patches atenda aos requisitos
não mais que n vezes.
Quando você especificar chaves de registro, lembre-se das seguintes considerações:

■ O nome da chave está limitado a 255 caracteres.
■ Se a chave de registro tiver uma barra invertida (\) no final, ela será
interpretada como uma chave de registro. Por exemplo:
HKEY_LOCAL_MACHINE\SOFTWARE\
■ Se a chave de registro não tiver uma barra invertida no final, então ela será
interpretada como um nome de registro. Por exemplo:
HKEY_LOCAL_MACHINE\SOFTWARE\ActiveTouch
Sobre funções
Quando você especificar os valores de registro, lembre-se das seguintes

considerações:
■ O nome do valor está limitado a 255 caracteres.
■ Verifique valores como DWORD (decimal), binário (hexadecimal) ou string.
■ Para valores DWORD, verifique se o valor é menor, igual, diferente ou maior
que o valor especificado.
■ Para valores de string, verifique se os dados de valor são iguais a ou contêm
uma determinada string. Se desejar que a comparação de string seja sensível
a maiúsculas e minúsculas, marque a caixa de seleção Diferenciar maiúsculas
de minúsculas.
■ Para valores binários, verifique se os dados de valor são iguais a ou contêm
uma determinada parte de dados binários. Os Bytes hexadecimais representam
os dados. Se você especificar o valor contido, também poderá especificar o
deslocamento para esses dados. Se o deslocamento for deixado em branco, ele
buscará o valor para os dados binários. Os valores permitidos para a caixa de
edição são de 0 até 9 e de a até f.
Os seguintes exemplos são valores de registro:
DWORD 12345 (decimal)
Binário 31 AF BF 69 74 A3 69 (hexadecimal)
String ef4adf4a9d933b747361157b8ce7a22f
Sobre funções
Você usa funções para definir as ações que são executadas quando uma expressão
condicional é avaliada como verdadeira ou falsa.
Uma condição de requisito personalizado pode verificar a instalação de produtos
antivírus específicos, mas não pode ser configurada para instalar o produto como
ação de correção. Quando você grava requisitos personalizados, é necessário
explicitamente definir as ações de correção serem executadas usando instruções
da função.
As funções aparecem dentro das instruções THEN e ELSE ou podem aparecer ao
final de um script de requisito personalizado. Para conseguir um resultado desejado
de correção, talvez seja necessário especificar um grande número de funções.
Cada função executa tarefas muito específicas, como fazer o download de um
arquivo ou executar um arquivo. Você não define funções individuais para fornecer
ações de correção específicas, como instalar produtos antivírus específicos. Para
Sobre a lógica de requisito personalizado
fazer o download de produtos antivírus específicos, é necessário usar a função

geral de download.
A Tabela 41-1 exibe as seguintes funções em um script de requisito personalizado:
Tabela 41-1 Funções do requisito personalizado
Função Descrição
Fazer o download de um Fazer o download de um arquivo que seja denominado por

arquivo um URL ou por uma UNC ao computador-cliente. Se um
URL for usado, HTTP e FTP serão aceitos.
Definição do valor de registro Cria e define ou incrementa um valor do registro contido

dentro de uma chave do registro especificada.
Aumentar o valor DWORD do
registro
Mensagem de registro Especifica uma mensagem personalizada a ser adicionada

ao registro de segurança do cliente e ao registro.
Executar um programa Executa um programa que já reside no computador-cliente.

O programa pode ser executado no contexto do sistema ou
no contexto de usuário conectado.
Executar um script Executa um script personalizado no computador-cliente.

Você pode usar o editor de texto integrado para criar
conteúdo do script. O script pode ser um arquivo de lote,
um arquivo INI ou qualquer formato executável que seja
reconhecido pelo Windows. Adicionalmente, o script pode
simplesmente conter parâmetros a serem fornecidos a um
outro programa.
Definir um carimbo de hora Carimba um arquivo especificado no computador-cliente

com a hora e a data atuais.
Exibir caixa de diálogo de Exibe uma janela da caixa de diálogo da mensagem no

mensagens computador-cliente com um botão OK. O tempo limite
padrão pode ser especificado.
Aguardar Pausa a execução do script do requisito personalizado por

um período especificado.

Você grava os requisitos personalizados usando a lógica típica de scripts. As regras
usam a lógica IF..THEN..ELSE de uma lista em condições e ações predefinidas.
Sobre a instrução RETURN

Você pode adicionar uma instrução RETURN para especificar o resultado geral
da integridade do host do requisito. A instrução RETURN inclui a palavra-chave
PASS e a palavra-chave FAIL. Todos os requisitos personalizados devem incluir
uma instrução RETURN ao final.
Diferentemente de um requisito predefinido, um requisito personalizado deve
explicitamente especificar qual será o resultado da verificação de integridade do
host. Em alguns casos, a avaliação de um conjunto de condições como sendo
verdadeira deve ser interpretada como o requisito personalizado aprovando a
avaliação da integridade do host. Em outros casos, convém a mesma avaliação ser
interpretada como falha pela avaliação da integridade do host.
Sobre as instruções IF, THEN e ENDIF

Você pode definir a estrutura lógica primária de um requisito personalizado por
uma ou mais instruções IF, THEN e ENDIF. Uma instrução IF, THEN e ENDIF
define uma estrutura em que as condições específicas são verificadas (IF) e as
ações que são tomadas quando essas condições são avaliadas como sendo
verdadeiras (THEN).
Você pode aninhar instruções IF, THEN e ENDIF para formar requisitos
personalizados mais complexos. Você deve aninhar as instruções IF, THEN e
ENDIF sempre que uma condição for verdadeira antes que uma outra condição
possa ser avaliada.
Sobre a instrução ELSE

As instruções IF, THEN e ENDIF são limitadas a um conjunto de condições e a um
conjunto de ações que são executadas quando as condições são avaliadas como
sendo verdadeiras. Em muitos casos, talvez seja necessário especificar uma ou
mais ações a serem tomadas para executar a ação de correção desejada. Você pode
adicionar uma instrução ELSE para identificar as ações a serem tomadas sempre
que as condições especificadas forem avaliadas como sendo falsas.
Sobre a palavra-chave NOT

Você pode usar a palavra-chave NOT para rever uma avaliação lógica de uma
condição em particular. Depois que uma condição foi adicionada ao script de
requisito personalizado, você pode clicar com o botão direito do mouse na condição
e selecione Toggle NOT para não reverter a lógica da condição. O uso da
palavra-chave NOT não altera a avaliação geral de verdadeiro e falso da instrução
IF. Ela reverte somente o estado verdadeiro e falso de uma condição em particular.
Gravação de um script de requisitos personalizados
Sobre as palavras-chave AND e OR

Você pode especificar várias condições dentro de uma instrução IF, THEN ou
ENDIF; porém, as palavras-chave adicionais devem ser adicionados para atingir
esse objetivo. Dentro de qualquer instrução IF, você pode adicionar as
palavras-chave AND e OR logicamente associadas às várias condições. A associação
lógica das condições afeta diretamente a avaliação geral de verdadeiro ou falso
da instrução IF. Se você usar a palavra-chave AND em uma instrução IF, todas as
condições na instrução IF devem ser avaliadas como verdadeiras para que a
instrução IF seja verdadeira. Se você usar a palavra-chave OR, somente uma das
condições na instrução IF deve ser avaliada para que a instrução IF seja verdadeira.
Quando você especifica um grande número de condições, é necessário interpretar
a associação lógica das condições para antecipar se a avaliação certa deve ser
verdadeira ou falsa. O script personalizado do requisito não exibe a expressão
com um formato de parêntese, mas com as palavras-chave e nós aninhados. A
primeira expressão inicia sempre com a primeira condição especificada e continua
enquanto a mesmo palavra-chave do operador lógico é usado. Por exemplo, você
pode usar a palavra-chave OR para associar três condições diferentes. Enquanto
você usa a palavra-chave OR, todas as condições estão contidas dentro da mesma
expressão lógica.

Para criar um requisito personalizado, adicione uma ou mais instruções IF..THEN..
ao script. Quando você executa o script, a verificação de integridade do host procura
a condição listada no nó IF. Dependendo da condição, a ação relacionada no nó
THEN é executada. O resultado (aprovação ou falha) é retornado.
O script mostra uma estrutura de árvore no painel esquerdo e uma lista suspensa
de condições ou funções no painel direito.
Como parte de um requisito personalizado, você pode especificar se vai permitir
que a verificação da integridade do host seja aprovada, caso o requisito falhe. Ao
planejar quantas condições diferentes devem ser verificadas em um script,
lembre-se de que esta configuração aplica-se ao script de requisitos personalizados
em geral. Talvez isso afete a escolha de criar diversos pequenos requisitos
personalizados ou um requisito personalizado maior que contenha várias etapas.
Para gravar um script de requisito personalizado

1 Adicione um requisito personalizado.
Consulte “Adição de requisitos da integridade do host” na página 613.
2 Na caixa de diálogo Requisito personalizado, digite um nome para o requisito.
O nome do requisito pode ser exibido no computador-cliente. O nome avisa
o usuário de que o requisito passou ou falhou, ou solicita ao usuário o
download do software.
3 Para adicionar uma condição, em Script de requisitos personalizados, clique
em Adicionar e em IF..THEN...
4 Com a condição vazia em realce no nó IF, no painel direito, selecione uma
condição.
A verificação de integridade do host procura a condição no computador-cliente.
5 Na lista suspensa Selecione uma condição, especifique as informações
adicionais necessárias.
6 Em Script de requisitos personalizados, clique em THEN e em Adicionar.
A instrução THEN fornece a ação que deve ser tomada se a condição for
verdadeira.
7 Clique em qualquer uma destas opções:
■ IF.. THEN
Use uma instrução IF.. THEN.. aninhada para fornecer condições e ações
adicionais.
Consulte “Adição de uma instrução IF THEN” na página 639.
■ Função
Use uma função para definir a ação de correção.
Consulte “Sobre funções” na página 634.
■ Return
Use uma instrução return para especificar se os resultados da avaliação
da condição foram aprovados ou falharam. Os requisitos personalizados
devem terminar com uma instrução de aprovação ou falha.
■ Comentário
Use um comentário para explicar a funcionalidade das condições, funções
ou indicações que você está adicionando.
Consulte “Adição de um comentário” na página 640.
8 No painel direito, defina os critérios que você adicionou.

9 Para adicionar uma ou mais instruções, condições ou funções aninhadas, em

Script de requisitos personalizados, clique com o botão direito do mouse no
nó e, então, clique em Adicionar.
10 Repita as etapas de 7 a 8 conforme necessário.
11 Para permitir que a verificação de integridade do host seja aprovada
independentemente do resultado, marque Permitir que a verificação de
integridade do host passe mesmo se este requisito falhar.
12 Quando concluir a configuração do requisito, clique em OK.
Adição de uma instrução IF THEN

Uma instrução IF..THEN define uma estrutura em que as condições específicas
são verificadas (IF) e as ações que são tomadas quando essas condições são
avaliadas como verdadeiras (THEN).
Para adicionar uma instrução IF THEN
1 Gravação de um script de requisito personalizado.
2 Em Script de requisitos personalizados, selecione um dos seguintes itens:
■ Para adicionar a primeira instrução IF THEN, selecione o nó superior.
■ Para adicionar uma instrução IF THEN no mesmo nível de uma existente,
selecione END IF.
■ Para adicionar uma instrução IF THEN aninhada, selecione a linha abaixo
daquela em que deseja adicionar.
4 Clique em IF..THEN.
Alternância entre as instruções IF e IF NOT

Talvez você precise alternar entre verificar a presença ou a ausência de uma
condição.
Para alternar entre a instrução IF e a instrução IF NOT
2 Clique com o botão direito do mouse na condição e clique em Toggle NOT.
Adição de uma instrução ELSE

Você pode adicionar uma instrução ELSE para identificar as ações a serem tomadas
sempre que as condições especificadas forem avaliadas como falsas.
Para adicionar uma instrução ELSE
2 Em Script de requisitos personalizados, clique em THEN.
3 Clique em Adicionar e em ELSE.
Adição de um comentário
Quando você adicionar uma instrução, como a instrução IF THEN, você poderá
adicionar um comentário. Use o comentário para explicar o que se presume que
essa parte do código fará. Os comentários são para finalidades informativas
somente.
Para adicionar um comentário
1 Grave um script de requisito personalizado.
2 Em Script de requisitos personalizados, selecione todas as instruções que
você já adicionou e clique em Adicionar.
3 Clique em Comentário.
4 Clique em //Inserir instruções aqui e no painel direito, no campo de texto
Comentário, insira seus comentários.
Como copiar e colar instruções IF, condições, funções e comentários

É possível copiar e colar instruções ou nós IF THEN inteiros em ou entre requisitos
personalizados. Convém copiar e colar estes elementos se desejar movê-los para
uma outra parte do script ou para repetir a funcionalidade.
Para copiar e colar uma instrução IF
2 Em Script de requisitos personalizados, clique com o botão direito do mouse
no elemento do script e clique em Copiar.
3 Clique com o botão direito do mouse em uma linha de instrução vazia e clique
em Colar
Exibição de uma caixa de diálogo de mensagens
Exclusão de uma instrução, condição ou função

Você pode excluir instruções, condições ou funções a qualquer momento. Se houver
somente uma instrução de condição em um nó IF, sua exclusão eliminará a
instrução IF THEN inteira.
Para excluir uma instrução, condição ou função
2 Em Script de requisitos personalizados, selecione o elemento do requisito
que você quer excluir.
4 Se solicitado a confirmar a exclusão, clique em Sim.
Exibição de uma caixa de diálogo de mensagens

No requisito personalizado de integridade do host, especifique uma função ou
condição que crie uma caixa de mensagens para o cliente exibir ao usuário. A
função ou condição retorna verdadeira se o usuário clicar em OK ou Sim. Caso
contrário, ela retorna falsa.
Para mostrar uma caixa de diálogo de mensagens
2 Na caixa de diálogo Requisito personalizado, em Script de requisito
personalizado, selecione o nó onde você quer adicionar a função.
3 Clique em Adicionar e em Função.
4 Clique em Utilitário: Exibir caixa de diálogo de mensagens.
Para inserir uma condição, selecione IF...Then e a ramificação apropriada.
Em seguida, selecione Utilitário: A caixa de diálogo de mensagem retorna
um valor igual a .
5 Digite uma legenda para a caixa de mensagens de até 64 caracteres.
6 Digite um texto para a caixa de mensagens de até 480 caracteres.
7 Selecione um dos seguintes ícones a serem exibidos: Informações, Pergunta,
Aviso ou Erro.
O ícone e o texto aparecem.
8 Selecione o conjunto de botões que aparecem na caixa de diálogo:
Download de um arquivo
■ OK
■ OK e Cancelar
■ Sim e Não
9 Selecione o botão padrão para cada conjunto de botões.

10 Para fechar a caixa de mensagens e retornar a um valor padrão após um
determinado tempo sem interação do usuário, marque Ação a ser tomada
para eliminar a caixa de mensagem após o tempo de espera máximo e
especifique o tempo de espera.
O valor de tempo deve ser maior que 0.
Download de um arquivo
Para um requisito personalizado, você pode especificar que um arquivo seja obtido
por download no computador-cliente.
Para fazer o download de um arquivo
2 Na caixa de diálogo Requisito personalizado, em Script de requisitos
personalizados, selecione o nó onde você quer adicionar a função.
4 Clique em Utilitário: Fazer o download de um arquivo.
5 Digite o local do URL de onde é feito o download do arquivo e a pasta no
computador-cliente na qual o arquivo será salvo.
Você pode especificar o local pelo URL ou UNC. Se você usar URL, HTTP e
FTP são aceitos.
6 Marque Exibir a caixa de diálogo de processo de download para que os
usuários possam observar o download do arquivo enquanto o mesmo é salvo
no computador-cliente.
7 Se você quiser que o usuário possa cancelar o download do arquivo, marque
Permitir ao usuário cancelar a integridade do host para este requisito.
Os usuários poderão perder o trabalho se o download do arquivo for efetuado
no momento errado.
Geração de uma mensagem de registro
Geração de uma mensagem de registro

No requisito personalizado de integridade do host, especifique uma função para
registrar uma mensagem sobre uma ação. Esta função insere a string de mensagem
especificada no registro de segurança do cliente. A mensagem é exibida na área
de detalhes do registro de segurança.
Para gerar uma mensagem de registro
4 Clique em Utilitário: Mensagem de registro.
5 Na lista suspensa Tipo de gravidade, selecione um dos seguintes tipos de
gravidade do registro: informações, importante, não importante ou séria.
6 Digite uma mensagem de até 512 caracteres.
Execução de um programa
Para um requisito personalizado de integridade do host, especifique uma função
para que o cliente inicie um programa.
Para executar um programa
personalizados, selecione o nó onde você quer adicionar a função.
4 Clique em Utilitário: Executar um programa.
5 No campo de texto Executar o comando, insira o comando para executar o
script.
As variáveis de ambiente são substituídas antes da execução. Por exemplo,
%windir% é substituído pelo caminho do diretório Windows. Use a variável
%1 para executar o último arquivo obtido por download.
6 Em Executar um programa, selecione uma das seguintes opções:

■ no contexto do sistema
Execução de um script
■ no contexto de usuário conectado

O comando Executar deve incluir o caminho completo do arquivo,
mostrando quem é o usuário que efetuou login. Se nenhum usuário estiver
conectado, o resultado apresentará falha.
7 Para especificar o período de tempo para permitir que o comando executar

seja concluído, selecione uma das seguintes opções:
■ Não aguardar
A ação retorna verdadeira se a execução for bem-sucedida, mas não espera
até que a execução seja concluída.
■ Aguardar até que a execução esteja completa
■ Inserir tempo máximo
Inserir tempo em segundos. Se o comando Executar não for concluído no
tempo especificado, a execução do arquivo será interrompida.
8 Opcionalmente, desmarque o recurso Exibir uma janela do novo processo.
Execução de um script
No requisito personalizado de integridade do host, especifique uma função para
que o cliente execute um script. Você pode usar uma linguagem de script, tal como
JScript ou VBScript, que possa ser executada com o host de scripts do Microsoft
Windows.
Para executar um script
personalizados, selecione o nó em que você quer adicionar a função.
4 Clique em Utilitário: Executar um script.
5 Digite um nome de arquivo para o script, como myscript.js.
6 Digite o conteúdo do script.
7 No campo de texto Executar o comando, insira o comando para executar o
script.
Use %F para especificar o nome do arquivo de script. O script é executado no
contexto do sistema.
Definição do carimbo de hora de um arquivo
8 Para especificar o período de tempo, de modo a permitir que o comando

Executar seja concluído, selecione uma das seguintes opções:
■ Não aguardar
A ação retorna verdadeira se a execução for bem-sucedida, mas não espera
até que a execução seja concluída.
■ Aguardar até que a execução esteja completa
■ Inserir tempo máximo
Inserir tempo em segundos. Se o comando Executar não for concluído no
tempo especificado, a execução do arquivo será interrompida.
9 Opcionalmente, desmarque Excluir o arquivo temporário após a conclusão

ou término da execução.
Esta opção é desativada e não estará disponível se a opção Não aguardar
estiver selecionada.
10 Opcionalmente, desmarque Exibir uma janela do novo processo.
Definição do carimbo de hora de um arquivo

No requisito personalizado, você pode especificar a função Definir um carimbo
de hora para criar uma configuração do registro para armazenar a data e a hora
atuais. Use a condição Verificar carimbo de hora para descobrir se um período de
tempo específico foi aprovado desde que o carimbo de hora foi criado.
Um exemplo é se você definiu a verificação de integridade do host para ser
executada em um curto intervalo, como 2 minutos, e você deseja especificar que
uma ação ocorra em um intervalo mais longo, como um dia. Neste caso, o valor
de tempo armazenado é removido quando o cliente recebe um novo perfil ou
quando o usuário executa manualmente uma verificação de integridade do host.
Para definir o carimbo de hora de um arquivo
4 Clique em Utilitário: Definir um carimbo de hora.
5 Digite um nome de até 256 caracteres de extensão para a configuração de
registro que armazena as informações sobre data e hora.
Especificação de tempo de espera para o script
Para comparar a hora atual ao valor de tempo armazenado

personalizados, selecione o nó em que você quer adicionar a condição.
3 Clique em Adicionar e em IF..THEN...
4 Clique em Utilitário: Verificar carimbo de hora.
5 Digite o nome digitado na configuração de registro da hora armazenada.
6 Especifique uma quantidade de tempo em minutos, horas, dias ou semanas.
Se a quantidade específica de tempo foi aprovada ou se o valor da configuração
de registro estiver vazio, a função Definir um carimbo de hora retornará um
valor verdadeiro.
Especificação de tempo de espera para o script

No requisito personalizado da integridade do host, especifique uma função que
faça com que o script personalizado do requisito aguarde um determinado período
de tempo antes de ser executado.
Para especificar um tempo de espera para o script
4 Clique em Utilitário: Aguardar.
5 Digite o número de segundos para aguardar.
Apêndice A
Uso da interface da linha de
comando
Este Apêndice contém os tópicos a seguir:
■ Serviço do cliente
Serviço do cliente
É possível manipular o cliente diretamente na linha de comando no
computador-cliente usando o comando smc do serviço do cliente. É possível usar
esse comando em um script que execute os parâmetros de maneira remota. Por
exemplo, se for necessário interromper o cliente para instalar um aplicativo em
vários clientes, é possível interromper e reiniciar todos os serviços do cliente.
Com exceção de smc -start, o serviço do cliente deve estar em execução para que
os parâmetros da linha de comando possam ser usados. Os parâmetros da linha
de comando não diferenciam maiúsculas de minúsculas.
A Tabela A-1 descreve os parâmetros que podem ser executados se os usuários
forem membros de qualquer grupo de usuários do Windows.
Tabela A-1 Parâmetros que todos os membros do Windows podem usar
Parâmetro Descrição
smc -checkinstallation Verifica se o serviço smc do cliente está instalado.
Retorna 0, -3
smc -checkrunning Verifica se o serviço smc do cliente está em execução.
Retorna 0, -4
648 Uso da interface da linha de comando
Serviço do cliente
smc -dismissgui Fecha a interface de usuário do cliente do Symantec Endpoint

Protection ou Symantec Network Access Control, incluindo o
ícone da área de notificação.
O cliente ainda será executado e protegerá o computador-cliente.
Retorna 0
smc -exportlog Exporta todo o conteúdo de um registro para um arquivo .txt.
Para exportar um registro, use a seguinte sintaxe:
smc -exportlog tipo_de_registro 0 -1

arquivo_de_saída
em que:
tipo_de_registro é:
■ 0 = Registro do sistema
■ 1 = Registro de segurança
■ 2 = Registro de tráfego
■ 3 = Registro de pacotes
■ 4 = Registro de controle
Por exemplo, você pode digitar:
smc -exportlog 2 0 -1 c:\temp\TrafficLog
onde:
0 é o começo do arquivo
-1 é o final do arquivo
Só é possível exportar os registros de controle, pacotes,
segurança, sistema e tráfego.
arquivo_de_saída é o nome do caminho e do arquivo

atribuídos ao arquivo exportado.
Retorna 0, -2, -5
smc -runhi Se o Symantec Network Access Control estiver instalado,

executará uma verificação de integridade do host.
Retorna 0
smc -showgui Exibe a interface de usuário do cliente do Symantec Endpoint

Protection ou do Symantec Network Access Control.
Retorna 0
Uso da interface da linha de comando 649
Serviço do cliente
smc -updateconfig Verifica se o arquivo de política no servidor de gerenciamento

é mais recente que o arquivo de política no cliente.
Se o arquivo de política do cliente estiver desatualizado, o
updateconfig fará o download do arquivo mais recente e
substituirá o existente, que é serdef.dat.
Retorna 0
Somente será possível executar estes parâmetros na Tabela A-2 se:

■ O cliente executar Windows 2003/XP/Vista ou Windows Servidor 2008 e os
usuários forem membros do grupo de administradores do Windows.
■ O cliente executar Windows 2003/XP e os usuários forem membros do grupo
de usuários avançados.
Se o cliente executar o Windows Vista e o controle de conta de usuário estiver
ativado, o usuário automaticamente se tornará membro dos grupos de
Administradores e Usuários. Para usar estes parâmetros, os usuários devem ser
membros somente do grupo de administradores.
Tabela A-2 Parâmetros que os membros do grupo de administradores podem

usar
smc -importconfig Substitui o conteúdo de um arquivo de política no conteúdo do

arquivo de política atual do cliente.
Esse comando não substitui o conteúdo atual do arquivo de

políticas. Portanto, é possível implementar o arquivo de política
mais atual sem ter de remover regras de firewall, verificações
do antivírus e configurações de segurança e de interface do
usuário desatualizadas.
É necessário especificar o nome do caminho e do arquivo. Por

exemplo, é possível digitar o seguinte comando:
smc -importconfig C:\policy\OfficeRules.xml.
Retorna 0, -1, -5, -6
smc -exportconfig Exporta o arquivo de política no cliente para um arquivo .xml.

smc -exportconfig C:\policy\OfficeRules.xml
Retorna 0, -1, -5, -6

Serviço do cliente
smc -importadvrule Substitui as regras de firewall importadas na lista de regras de

firewall do cliente.
Essas regras não sobrescrevem as existentes. O cliente relaciona
as regras existentes e importadas, mesmo que todas tenham o
mesmo nome e parâmetros. O cliente deve estar em execução
para importar o conteúdo do arquivo de políticas.
As regras de firewall importadas e as regras do cliente aplicam-se

ao cliente no controle do cliente ou no controle misto. O cliente
ignora essas regras no controle do servidor.
Para importar regras de firewall, importe um arquivo .sar. Por

smc -importadvrule
C:\config\AllowExplorerRule.sar
Uma entrada será adicionada ao registro de sistema após a

importação das regras.
Retorna 0, -1, -5, -6
smc -exportadvrule Exporta regras de firewall do cliente para um arquivo .sar.
As regras do cliente aplicam-se ao cliente no controle do cliente

ou no controle misto. O cliente ignora essas regras no controle
do servidor.

smc -exportadvrule
C:\config\AllowExplorerRule.sar
Retorna 0, -1, -5, -6
smc -start Inicia o serviço do cliente do Symantec Endpoint Protection ou

Symantec Network Access Control.
Retorna 0, -1
smc -stop Interrompe o serviço do cliente do Symantec Endpoint Protection

ou Symantec Network Access Control e o descarrega da memória.
Retorna 0, -1
Ao importar arquivos de política e regras de firewall, observe se estas regras se

aplicam:
■ Não é possível importar arquivos de política ou de regras de firewall
diretamente de uma unidade de rede mapeada.
Uso da interface da linha de comando 651
Serviço do cliente
■ O cliente não é compatível com caminhos UNC (universal naming convention).
Códigos de erro
A Tabela A-3 exibe os códigos de erro retornados pelo comando smc quando os
parâmetros necessários são inválidos ou estão ausentes.
Tabela A-3 Códigos de erro de smc
Código do erro Descrição
0 O comando foi bem-sucedido.
-1 O usuário não está no grupo Administradores nem no grupo Usuários

avançados do Windows. Se o cliente executa o Windows Vista, o usuário
não é membro do grupo Administradores do Windows.
-2 Parâmetro inválido.
Talvez você tenha digitado o parâmetro incorretamente ou adicionado

uma chave incorreta depois do parâmetro.
-3 smc o serviço do cliente não está instalado.
-4 smc o serviço do cliente não está em execução.
-5 Arquivo de entrada inválido.
Por exemplo, os parâmetros importconfig, exportconfig,

updateconfig, importadv, exportadvrule e exportlog exigem
o nome do caminho e o nome do arquivo corretos.
-6 O arquivo de entrada não existe.
Por exemplo, os parâmetros importconfig, updateconfig e

importadvrule exigem o nome do caminho, o nome do arquivo de
políticas (.xml) ou o nome do arquivo das regras de firewall (.sar)
corretos.
Digitação de um parâmetro caso o cliente esteja protegido por senha

Você pode proteger o computador-cliente com senha para os seguintes parâmetros:
-stop O cliente pede uma senha antes de você ou o usuário interrompê-lo.
-importconfig O cliente pede uma senha antes que você possa importar o arquivo de
políticas.
Serviço do cliente
-exportconfig O cliente pede uma senha antes que você possa exportar o arquivo de
políticas.
Consulte “Proteção do cliente por senha” na página 127.
Nota: A senha é limitada a no máximo 15 caracteres.
Para digitar um parâmetro caso o cliente seja protegido por senha

1 No computador-cliente, na barra de tarefas, clique em Iniciar >Executar.
2 Na caixa de diálogo Executar, digite cmd.
3 No prompt MS-DOS do Windows, digite uma das seguintes opções:
smc -parâmetro -p senha
smc -p senha -parâmetro
Onde:
parâmetro é -stop, -importconfig ou -exportconfig.
senha é a senha especificada no console.
Por exemplo, você pode digitar:
smc -exportconfig c:\profile.xml -p senha ou
smc -p senha -exportconfig c:\profile.xml
4 Feche o prompt de comando.

Índice
A ajuste
adaptadores. Consulte adaptadores de rede Integridade do host
adaptadores de rede adiamento 623
adição à lista padrão 523 tempo de espera 623
adição a uma regra 524 alteração da senha
edição e exclusão 525 administrador 86
triggers 482 alternando modos do cliente
adição sobre 73
um administrador 81 ameaças 239, 474
adição de um grupo 69 ver também Proteção contra ameaças à rede
administrador ver também Proteção proativa contra ameaças
adição 81 combinadas 402
alteração da senha 86 ameaças combinadas 403
como renomear 86 aplicativos 527
edição de propriedades 83 ver também aplicativos reconhecidos
remoção 87 adição a uma regra 526
sobre 80 autorização 583
tarefas 81 como procurar 388
administrador do sistema definição 526
padrão 81 monitoramento do aplicativo de rede 530
tarefas 81 opções em requisitos de integridade do host 630
administradores pesquisar 527
tipos de 80 restauração em integridade do host 622
administradores do sistema aplicativos reconhecidos 527
sobre 80 ver também aplicativos
administradores limitados ativação 386–387
sobre 80 como procurar 388
adware 403 como salvar resultados de pesquisa 389
agendamento lista 527
backup automático de bancos de dados 304 sobre 385
backup de banco de dados interno sob arquivo de armazenamento de chave JKS 287
demanda 303 Arquivo de armazenamento de chave PKCS12 288
Backup do banco de dados do Microsoft SQL sob arquivos
demanda 298 compartilhamento 521
backup do banco de dados do Microsoft SQL sob excluindo das verificações 417
demanda com o Assistente de Manutenção do opções em requisitos de integridade do host 630
banco de dados 299 restauração em integridade do host 622
agendas arquivos de definições
adição a uma regra 527 configuração de ações para novas definições 438
exibição do aviso sobre avisos desatualizados ou
ausentes 423
verificação após atualização 413
654 Índice
Arquivos MSI 104 para e-mail da Internet 448

Arquivos MSP 104 para o sistema de arquivos
arquivos suspeitos 400 ativar 442
assinaturas. Consulte Assinaturas IPS configuração 443
Assinaturas IPS tipos de 442
personalizada verificação e bloqueio de risco à segurança 445
bibliotecas 507 verificações 406
cópia e cola 511 Auto-Protect do sistema de arquivos. Consulte
criação de uma biblioteca 507 Auto-Protect
criar 507 Auto-Protect para e-mail da Internet 448
personalizadas
como alterar a ordem 510 B
sobre 501
backup
variáveis 511
banco de dados 295
Symantec
Banco de dados do Microsoft SQL com assistente
como alterar o comportamento de 503
MS SQL 299
exceções 503
Banco de dados do Microsoft SQL no console do
sobre 500
Symantec Endpoint Protection Manager 298
assinaturas IPS
banco de dados interno do console do Symantec
personalizadas
Endpoint Protection Manager 303
atribuição de bibliotecas a um grupo 509
balanceamento de carga 130
bibliotecas 509
banco de dados
Assistente de Configuração do servidor de
agendando backup automático 304
gerenciamento 294
alteração de parâmetros do tempo limite 320
Assistente de Regra de firewall 490
Assistente de Configuração do servidor de
ataques
gerenciamento 294
assinaturas 499
backup 295
bloquear 474, 505
automático 304
ataques de dia zero 536
backups 297
auditar
editar
registro 200
descrição 306
relatório 171
nome 306
autenticação
erros 320
certificado 287
erros CGI 320
ponto-a-ponto 496
erros de processos concluídos 320
autenticação ponto-a-ponto 496
gerenciamento 293
Autenticação SecurID
interno
configurar no servidor de gerenciamento 284
convenção de nomeação 294
especificando um administrador 285
manutenção 318–319
Auto-Protect
Microsoft SQL
configuração 441
convenções de nomeação 294
configuração de notificações de progresso 457
MS SQL
configuração de opções de notificação 451
arquivo bcp.exe 309
exibição de resultados em computadores
reconfiguração 296
infectados 453
interno 309
Lotus Notes 450
MS SQL 307
Microsoft Outlook 449
restauração 296
opções de verificação e monitoramento
procedimento 305
avançados 446
tamanho 295
Índice 655
Utilitário Symantec Database Backup and Registro de controle 559

Restore 294 regras 484
Base de Conhecimento 396 replicação de pacotes 332
bibliotecas. Consulte Assinaturas IPS clientes
bloqueio pesquisa por 77
clientes dos grupos 74 clientes legados
bloqueio de um computador invasor 505 Políticas antivírus e anti-spyware para 400
bloqueio do sistema clientes não gerenciados
ativação 585 distribuição de atualizações com ferramentas
bloqueios de terceiros 116
em políticas antivírus e anti-spyware 400 clientes off-line 249
Ícones de cadeado 120 coletar informações do usuário 91
bots 403 comando smc
bots da Internet 403 sobre 647
comandos
C cliente 647
execução de registros 213
cancelamento
como renomear
correção de integridade do host 623
um administrador 86
Cavalos de Tróia 403
como retirar
Cavalos de tróia 531
política 371
Central de Segurança do Windows 421
compartilhamento de impressoras 521
alertas 422
compartilhar arquivos e impressoras 521
desativação 421
computador-cliente
tempo de desatualização de definições 423
modos 67
certificado
computadores
arquivo de armazenamento de chave JKS 287
pesquisa por 77
Arquivo de armazenamento de chave
computadores e usuários
PKCS12 288
sobre 66
atualização 288
computadores infectados
certificado e arquivo de chave privada (formato
exibição de resultados do Auto-Protect em 453
DER e PEM) 288
comunicação entre um servidor de diretórios e o
digital 287
Symantec Endpoint Protection Manager
servidor 287
sobre 67
ClassGuid 574
condições do sistema operacional
cliente 332
requisitos de integridade do host 632
ver também replicação
configuração
atualizações
dispositivos de hardware 573
ferramentas de distribuição de
configurações
terceiros 113
firewall 476, 496
Intelligent Updater 112
Proteção contra ameaças à rede 515
comandos 647
configurações bloqueadas e desbloqueadas
definição 66
cliente 120
determine o local de 66
configurações de comunicação
exclusão de pacotes de upgrade 96
cliente e servidor 139
interface do usuário
configurações de dissimulação 496
acesso à 119
configurações do servidor
configuração 120–121, 125
exportação e importação 265
off-line 249
proteção de senha 127
656 Índice
configurações gerenciadas uso com clientes não gerenciados 116

bloqueio e desbloqueio 120 domínios
configuração no cliente 119 adição 68
conformidade administração 68
registros 201, 232 sobre 63
relatórios 172, 232
conjunto de regras do controle de aplicativos E
configuração das prioridades 569
Enforcers
modos 554, 571
restauração de integridade do host 622
considerações
envio de informações de ameaças à Symantec 432
alternando modos 73
envios 433
console
enviar ao servidor da quarentena central 437
aumento do período de tempo limite 256
envio de informações à Symantec 432
consoles remotos
envio de itens à Symantec 438
concedendo o acesso 263
opções de configuração para 434
Controlador de domínios do Active Directory
erros CGI
exclusões automáticas 410
banco de dados 320
Controle de aplicativos
erros de processos concluídos
configuração 562
banco de dados 320
controle de dispositivos e aplicativos
estrutura organizacional
registros 200, 231, 559
sobre 62
regras 555
eventos
adição 315
controle do cliente 122
inclusão 314
controle do servidor 122
manutenção do banco de dados
controle em nível de aplicativo 553
opções 319
controle em nível de dispositivo
sobre 145
controle de dispositivos e aplicativos 558
exceções 503, 591
relatórios 171
ver também exceções centralizadas
controle misto 123
Assinaturas IPS 503
configurações de proteção contra ameaças à
exceções centralizadas 591
rede 515
ver também Políticas de exceções centralizadas
sobre 124
aplicativos de tecnologia assistiva 600, 604
correção
arquivos 597
Integridade do host 621
Eventos de proteção contra adulterações 604
aplicativos 622
eventos de riscos 602
arquivos 622
Eventos de verificação proativa de ameaças
criptografia 287
TruScan 603
extensões 598
D forçar uma detecção do TruScan 600
discadores 404 para as verificações proativas de ameaças
dispositivos de hardware TruScan 593, 598
configuração 573 para processos detectados 599
distribuição de conteúdo de terceiros para verificações antivírus e anti-spyware 593
ativação com uma política do LiveUpdate 114 para verificações proativas de ameaças 543
para clientes gerenciados 114 pastas 597
requisito de chave de registro para não Proteção contra adulteração 594, 600
gerenciados 116 riscos à segurança conhecidos 596
sobre 113 Exceções de IPS 503
Índice 657
excluir Global
grupo 69 grupo 64
exclusão de usuários e computadores grupo
sobre 75 adição 69
exclusões. Consulte exceções centralizadas adição de um computador 72
criado automaticamente 408 bloqueio 74
exclusões automáticas estrutura 64
de produtos Symantec 410 excluir 69
para o controlador de domínios do Active mover 70
Directory 410 renomear 70
para servidor Microsoft Exchange 409 root 64
sobre 408 Temporário 64
exibindo propriedades do usuário e do computador 76 grupo pai. Consulte herança
exportação Grupo Temporário 64
lista de servidores de gerenciamento 137 grupos
pacotes de instalação do cliente 92 atribuição de uma lista de servidores de
políticas 374 gerenciamento 133
regras de firewall 492 especificação de uma lista do servidor de
extensões gerenciamento 130
verificação de selecionadas 426 pesquisa por 77
sobre 62–63
F grupos de host
adição a uma regra 518
failover 130
criar 516
falsos positivos 501
edição 517
ferramentas para hacker 404
exclusão 517
Filtragem inteligente de tráfego 495
GUID
filtro
como o controle de dispositivos 558
configurações 78
filtros 209
firewall H
configurações de tráfego 496 herança
notificações 528 ativação 350
requisitos de integridade do host 630 local
sobre 474–475 sobrescrever 350
Formato DER e PEM 288 política 349
funções sobrescrever 350
Aguardar 646 regras de firewall 483, 491
Definição do carimbo de hora 645 herança de grupo. Consulte herança
Download de um arquivo 642 herança de local 349
Execução de um programa 643 hierarquia do grupo
Execução de um script 644 amostra 64
Exibição da caixa de diálogo de mensagens 641 hosts
Mensagem de registro 643 adicionar uma regra 518
exclusão da prevenção de intrusões 505
G local e remoto 479–480
origem e destino 479
gerenciamento de administradores
hosts excluídos 505
sobre 81
658 Índice
I lista de servidores de gerenciamento

ícones adição 132
cadeado 120 atribuição para grupo e local 133
ID da classe cola 137
sobre 573 como copiar 137
ID do dispositivo edição 134
como o controle de dispositivos 558 especificação para um grupo 130
sobre 573 exclusão 138
importação exibição de grupos e locais atribuídos 134
arquivos de política exportação e importação 137
limitações 650 lista padrão 130
das informações do usuário de um servidor prioridade do servidor 136
LDAP 270 sobre 130
informações sobre usuários resultantes de uma substituição 136
pesquisa no servidor de diretórios LDAP 273 LiveUpdate
políticas 375 Administrador do LiveUpdate 104
regras de firewall 492 alteração de políticas de conteúdos aplicadas a
limitações 650 grupos 110
Requisitos da política de integridade do host arquiteturas de distribuição de rede 100
modelos e 616 arquivos MSI e MSP 104
unidades organizacionais 274 assinaturas e definições 103
importar grupos atualização de definições e conteúdo 99
do servidor LDAP 67 configuração
impressões digitais do arquivo 578 um provedor de atualizações do grupo 110
inclusão 314 um site para fazer o download de
informações de usuário atualizações 104
coletar 91 uma política de configurações 107
inspeção. Consulte inspeção inteligente uma política de conteúdos 108
inspeção inteligente opções avançadas de distribuição 112
criação de regras para tráfego 486 opções de distribuição de terceiros 102
sobre 486 políticas
instrução de condição IF 641 configuração 107–108
Instruções ELSE 640 sobre 106
instruções IF THEN 639 tipos de atualizações 103
Integridade do host uso com replicação 104
sobre 58 uso de ferramentas de distribuição de terceiros
interface do usuário em vez de 113
configuração 120–121, 125
sobre 119 M
Investigador de riscos 446 Mecanismos de IPS 499
bloqueio de endereços IP 447 baseados em fluxo 500
IPv4 519 baseados em pacotes 501
IPv6 519 mensagem de aviso
adição a uma mensagem de e-mail infectada 454
L exemplo 430
leitor da tela exibição em um computador infectado 430
aplicativo bloqueado pela proteção contra mensagens de e-mail 448, 456
adulteração 594 ver também Auto-Protect para e-mail da Internet
ver também mensagens de e-mail infectadas
Índice 659
para regras de firewall 530 P

mensagens de e-mail infectadas pacotes de instalação do cliente
adição de aviso a 453 adição de atualizações 94
como notificar os remetentes 454 adicionar 94
como notificar outros 456 coletar informações do usuário 91
mensagens de notificação configuração 90–91
para verificações antivírus e anti-spyware 429 exportação 92
Microsoft SQL sobre 89
gerenciamento de banco de dados 293 padlock icons 120
modelos Página Início
para verificações agendadas 460 Symantec Endpoint Protection
modo baseado no computador 67 links do Security Response 157
modo baseado no usuário 67 personalização 156
Modo de produção 554, 571 sobre 149
Modo de teste 554, 571 uso 150
modo do computador-cliente Symantec Network Access Control
padrão 67 sobre 159
modos 571 utilizar 159
computador-cliente 67 parâmetros do tempo limite
monitoramento de aplicativo de rede 530 banco de dados 320
mover pastas
grupo 70 verificações selecionadas 427
mover usuários e computadores PC-cillin 479
sobre 75 pesquisa
clientes 77
N pesquisa por
níveis de controle 121 grupos, usuários e computadores 77
níveis de controle do usuário 121 Plano de ação contra epidemia de vírus 394
notificações política
opções do Auto-Protect 451 adicionar compartilhada
Proteção contra ameaças à rede 528 a partir de uma compartilhada
registro 204 existente 367
Verificação proativa de ameaças TruScan 549 Página Políticas 363
adicionar não compartilhada
a partir de exportado 368
O Página Clientes 365–366
opções aguardar atribuir compartilhada 370
correção de integridade do host 623 compartilhado 343
opções anti-spyware editar compartilhadas
requisitos de integridade do host 629 Página Clientes 369
opções antivírus página Políticas 368
requisitos de integridade do host 628 editar não compartilhadas
opções de arquitetura de rede Página Clientes 369
para gerenciamento de atualizações de excluir compartilhada 372
terceiros 102 excluir não compartilhada 373
para LiveUpdate e distribuição de conteúdo 100 exemplo 347
opções de registro exportar compartilhada
requisitos de integridade do host 633 página Políticas 374
Outras categorias de risco 404 herança 349
660 Índice
importação 375 Políticas de integridade do host

importação dos arquivos de política 650 auto-aplicação 608
LiveUpdate 106 como trabalhar com 610
não compartilhada 343 criação 613
padrão 342 compartilhado 613
retirada 371 requisitos
sobre 341, 362 adição 615
política compartilhada. Consulte política aprovar mesmo quando a condição não for
política herdada cumprida 620
movendo um grupo com 70 ativação e desativação 615
política não compartilhada. Consulte política definição 612
política padrão 342 edição 615
Políticas antivírus e anti-spyware exclusão 615
bloqueio de configurações 400 exemplo 609
clientes legados 400 modelos 616
como trabalhar com 401 planejamento 611
configuração de manuseio de registros 419 seqüenciamento 616
configuração de opções da Central de Segurança tipos 613
do Windows 421 requisitos personalizados
gerenciamento de interação do cliente 419 caixa de mensagens 641
opções de envios 432 condições do anti-spyware 629
Política da alta segurança 399 condições do antivírus 628
Política de alto desempenho 399 condições do firewall 630
política padrão 398 condições do sistema operacional 632
sobre 398 definição do carimbo de hora 645
verificações agendadas 460 download de um arquivo 642
Políticas de controle de dispositivos e aplicativos 58 execução de um programa 643
como trabalhar com 559 execução de um script 644
criação 561 gravação 637
estrutura 552 mensagem de registro 643
regras opção aguardar 646
desativar 570 opções de registro 633
prioridades 569 opções do arquivo 630
tipos de controles 552 sobre 627
Políticas de exceções centralizadas 591 restauração de integridade do host 621–623
ver também exceções centralizadas adiamento 623
como trabalhar com 592 Configurações do Enforcer 622
configuração 595 sobre 613
criação de exceções a partir de eventos de positivos falsos 539
registro 602 minimização 507
exceções para verificações antivírus e preferências
anti-spyware 595 relatório 162
exceções para verificações proativas de ameaças prevenção de intrusões
TruScan 598 ativação 502
interação do cliente 594 bloqueio de um computador invasor 505
restrições de clientes 601 configuração 501
Políticas de firewall desativação em computadores especificados 505
sobre 475–476 notificações 529
sobre 474, 499
Índice 661
prioridades da regra HTTP 131

Políticas de controle de dispositivos e HTTPS 131, 287
aplicativos 569 Provedor de atualizações do grupo
Procurar aplicativos configuração em uma política de
requisitos personalizados 631 configurações 110
Produtos Symantec portas e comunicações 110
programas de acesso remoto 404 Q
programas de brincadeiras 404
Quarentena
propriedades
configurações 435
grupo 71
diretório local 435
propriedades do grupo
encaminhar itens ao servidor da quarentena
exibição 71
central 437
propriedades do usuário e do computador
envio de itens à Symantec 438
exibição 76
exclusão de arquivos 214
Proteção antivírus e anti-spyware
gerenciamento de itens 401
recursos de bloqueio e desbloqueio 120
opções de limpeza 436
Proteção contra adulteração
sobre 401
exceções centralizadas 594, 600
gerenciamento 335
mensagens 336 R
recursos de bloqueio e desbloqueio 120 reconfiguração
Proteção contra ameaças à rede banco de dados 296
ativação 514 Banco de dados do Microsoft SQL 307
configuração para controle misto 515 banco de dados interno 309
criação de notificações 528 registro externo 217
desativação 514 registros 197, 232
registros 203, 237 acesso remoto 209
relatórios 175, 237 armazenamento 311
visão geral 474 atualização 207
proteção de senha auditar 200
alteração da senha 420 cliente
cliente 127 configuração do tamanho 315
parâmetros 651 como excluir definições de configuração 211
verificação de unidades mapeadas 420 como salvar as configurações de filtro 209
Proteção proativa contra ameaças 536 conformidade 201, 232
relatórios 239 controle de dispositivos e aplicativos 200, 231
sobre 58 detalhes de eventos 208
Proteções antivírus e anti-spyware erros no banco de dados 207
princípios básicos 394 execução de comandos de 213
protocolo exibição 207
LDAP 270 exibição remota 209
protocolo HTTP 131 exportação de dados 217
protocolo HTTPS 131 filtro 209
protocolo LDAP 270 filtro de últimas 24 horas 210
protocolos gerenciamento 318
adição 519 limpeza do banco de dados 312
adição a uma regra 521 manutenção do banco de dados
edição e exclusão 520 opções 319
662 Índice
Notificações 204 importação 492

Proteção contra ameaças à rede 203, 237 limitações 650
Registro de controle do cliente 559 lista 483
replicação 209 mensagens de e-mail 530
Risco 203, 241 ordem de processamento 482
exclusão de arquivos da quarentena 214 alteração 494
servidor serviços de rede
configuração do tamanho 313 adição 519, 521
Sistema 204, 243 edição e exclusão 520
sobre 146 servidor 484
status do computador 202, 234 sobre 477, 484
tipos 198 triggers 478
Verificação 203, 242 triggers de adaptador de rede 482
Verificação proativa de ameaças TruScan 203, triggers de serviço de rede 481
239 regras em branco 487
registros de eventos 207 relatório
filtro de últimas 24 horas 165, 210 informações importantes 184
regras. Consulte regras de firewall Preferências da página Início 162
regras de firewall princípios básicos 143
ações 478 registros 197
adaptadores de rede Symantec Endpoint Protection
adição 523–524 Página Início 149
edição e exclusão 525 Symantec Network Access Control
adição Página Início 159
uso do Assistente 490 relatórios 192
adicionar ver também relatórios agendados
utilização de regras em branco 487 auditar 171
agendas auditoria 232
adição 527 como excluir definições de configuração 190
alteração da ordem 494 como imprimir 191
aplicativos 478 como salvar 191
adição 526 como salvar definições de configuração 190
ativação 494 configuração de filtros 144
cliente 484 conformidade 172, 232
cola 493 controle de aplicativos 171
como herdar 483, 491 controle de dispositivos 171
condições 478 controle de dispositivos e aplicativos 231
cópia 493 filtro de últimas 24 horas 165
desativação 494 Proteção contra ameaças à rede 175, 237
edição 492 Proteção proativa contra ameaças 239
elementos de 477 rápidos 170
exclusão 492 Risco 177, 241
exportação 492 Sistema 181, 243
grupos de host status do computador 173, 234
adição 518 tipos 143
criar 516 Verificação 180, 242
edição e exclusão 517 visão geral 143
hosts 479 relatórios agendados 192
ver também relatórios
Índice 663
criação 193 restauração

exclusão 194 banco de dados 296
modificação 193 risco 402
sobre 192 ver também riscos à segurança
Relatórios e registros de firewall. Consulte Proteção detecção 402
contra ameaças à rede eliminação 245
Relatórios favoritos registros 203, 241
Symantec Endpoint Protection exclusão de arquivos da quarentena 214
personalização 156 relatórios 177, 241
relatórios rápidos riscos à segurança 402
configurações básicas de filtro 186 ver também risco
criar 189 ações 400
remoção configuração de ações para 428
um administrador 87 ignorar durante a verificação 428
renomear o processo continua a fazer download 408
grupo 70 sobre as ações para 418
replicação rootkits 402
adição de parceiro de replicação 328 RSA SecurID
agendamento sob demanda 330 pré-requisitos de autenticação 85
configurações de comunicação 326
desconexão parceiro de replicação 329 S
exemplo 326
senha
exemplo ilustrado 325
terceiros 262
freqüência 331
serviços
instalação
adição 519
inicial 328
adicionar uma regra 521
pós-instalação 328
edição e exclusão 520
LiveUpdate e 104
serviços de rede
mesclagem de dados 327
adição à lista padrão 519
pacote do cliente 332
adição a uma regra 521
registros 333
edição 520
visão geral 323
exclusão 520
requisitos personalizados
triggers 481
comentários 640
servidor
condições 628
acréscimo de servidor de diretório 268
cópia de instruções 640
de diretório 267
exclusão de instruções 641
gerenciamento 261
funções 634
Proxy FTP 279
gravação 637
Proxy HTTP 279
Instrução ELSE 640
registros 313
instrução ELSE 636
regras 484
instrução RETURN 636
Servidor Active Directory
instruções IF, THEN, ENDIF 636
importação das informações de usuário 67
palavra-chave NOT 636
servidor de diretórios LDAP
palavras-chave AND e OR 637
importação das informações do usuário para o
sobre 627
servidor de gerenciamento 270
resposta ativa
servidor de gerenciamento
configuração 505
edição 135
664 Índice
Servidor LDAP Symantec Security Response 396

importação das informações de usuário 67 envios 433
importar grupos de 67
Servidor Microsoft Exchange T
taxas de detecção
servidor proxy
FTP 279
tecnologia assistiva
HTTP 279
criação de exceções centralizadas para 594, 600,
servidor proxy FTP 279
604
servidor proxy HTTP 279
terceiros
Servidor RSA
senha 262
configuração da autenticação SecurID 284
tipos de clientes 66
uso do Symantec Endpoint Protection
topologia de segurança
Manager 283
sobre 62
servidores active directory
trackware 405
filtro 268
tráfego
servidores de Active Directory 267
ativação de tráfego inteligente 495
servidores de diretório
configurações 496
adicionar 268
Tráfego DHCP 495
sincronização 269
Tráfego DNS 495
servidores de diretórios
Tráfego ICMP 486
ativos 267
Tráfego TCP 486
LDAP 267
tráfego UDP 486
Servidores de diretórios LDAP
Tráfego WINS 495
filtro 268
Trend Micro PC-cillin 479
importação
triggers
informações sobre usuários resultantes de
adaptador de rede 482
uma pesquisa em um servidor de
aplicativos 478
diretórios LDAP 273
host 479
pesquisar usuários 270
regras de firewall 478
servidores de diretórios LDAP 267
serviço de rede 481
importação
triggers de aplicativos
unidades organizacionais 274
sincronização
triggers de host
informações de usuário 67
servidores de diretório 269
TruScan
unidades organizacionais 275
Sistema
registros 204, 243
relatórios 181, 243 U
spyware 405 unidade organizacional
status do computador importação 67
registros 202, 234 unidades organizacionais
relatórios 173, 234 importação 274
Symantec Endpoint Protection Manager sincronização 275
exclusão upgrade de clientes 94
várias instalações 265 upgrade de clientes em um ou mais grupos 95
inicio do serviço automático 262 URL
especificação da página inicial do navegador 425
Índice 665
exibido em notificações de erro 424 forçar aprovação 620

usuários notificações 619
adicionar ao domínio 71 registro detalhado 619
pesquisa por 77 verificações definidas pelo administrador 459
usuários e computadores ver também verificações agendadas
filtrar 78 ver também verificações sob demanda
sobre 66 verificações manuais. Consulte verificações sob
Utilitário Symantec Database Backup and demanda
Restore 294 verificações proativas de ameaças. Consulte
Verificações proativas de ameaças TruScan
V Verificações proativas de ameaças TruScan
ações 547
variáveis em assinaturas 511
aplicativos comerciais 548
Verificação
como ignorar processos 542
registros 203, 242
detecção de processos 537
detecção forçada 544
Verificação proativa de ameaças TruScan
exceções centralizadas 543, 593, 598
registro 239
forçar uma detecção 600
registros 203
freqüência 548
verificações 411
gerenciar detecções 545
ver também verificações agendadas
nível de sensibilidade 547
adiadas 467
notificações 549
antivírus e anti-spyware 425
padrões 537
exceções centralizadas para 593
padrões Symantec 537
atribuição de ações 418
positivos falsos 539
Auto-Protect 406
processos 546
exclusão de arquivos das verificações 417
Quarentena 542
execução sob demanda 465
verificações sob demanda
exibição de mensagem de aviso no cliente 430
configuração 464
extensões de arquivo recomendadas 415
execução 465
interrompidas 467
opções avançadas 468
opções avançadas para verificações definidas
opções de andamento da verificação 467
pelo administrador 468
vírus 402
opções de andamento da verificação 467
ações 400
pausadas 467
configuração de ações para 428
seleção de arquivos e pastas para verificação 413
sobre as ações para 418
sobre 406
verificações agendadas 411
ver também verificações W
adição a uma política 460 Website do Security Response
edição, exclusão ou desativação 463 Symantec Endpoint Protection
opções avançadas 468 acesso da página Início 157
opções de andamento da verificação 467 Windows GUID
opções perdidas 462 ID da classe 574
salvar como modelo 460 worms 403
sobre 411
Verificações de integridade do host X
alteração de política 617
XML
configurações 617
configurações do servidor 265
detalhes do registro 619

Administration Guide

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Administration Guide

Enviado por

Direitos autorais:

Formatos disponíveis

Guia de Administração do

Versão da documentação 11.00.02.01.00

Symantec, o logotipo da Symantec, LiveUpdate, Sygate, Symantec AntiVirus, TruScan,

A DOCUMENTAÇÃO É FORNECIDA "NO ESTADO EM QUE SE ENCONTRA" E TODAS AS

O Software licenciado e a documentação são considerados software comercial para

Renovações de assinaturas de atualizações de vírus

Para a América Latina

Para o Pacífico Asiático

Soluções de serviço e suporte .......................................................................... 4

Seção 1 Tarefas administrativas básicas ......................... 37

Sobre Tarefas administrativas ........................................................ 39

Capítulo 2 Introdução à proteção básica ........................................... 55

Capítulo 3 Configuração de domínios, grupos e clientes ............... 61

Adição de um grupo ...................................................................... 69

Capítulo 4 Gerenciamento de administradores ................................ 79

Capítulo 5 Como trabalhar com pacotes de instalação de

Exclusão de pacotes de upgrade ...................................................... 96

Capítulo 6 Atualização de definições e conteúdo ............................ 99

Capítulo 7 Limite de acesso do usuário aos recursos do

Sobre o acesso à interface do cliente .............................................. 119

Capítulo 8 Configuração de conexões entre servidores de

Atribuição de uma lista de servidores de gerenciamento a um grupo

Capítulo 9 Relatório de princípios básicos ....................................... 141

Capítulo 10 Exibição e configuração de relatórios ........................... 167

Capítulo 11 Exibição e configuração de registros e

Capítulo 12 Uso de monitores e relatórios para ajudar a

Seção 2 Tarefas administrativas avançadas ................ 251

Edição das propriedades do site ..................................................... 256

Capítulo 14 Gerenciamento de servidores ......................................... 261

Capítulo 15 Gerenciamento de servidores de diretórios ................. 267

Capítulo 16 Gerenciamento de servidores de e-mails ..................... 277

Capítulo 17 Gerenciamento de servidores proxy .............................. 279

Capítulo 18 Gerenciamento de servidores RSA ................................. 283

Capítulo 19 Gerenciamento de certificados de servidores ............. 287

Capítulo 20 Gerenciamento de banco de dados ............................... 293

Remoção manual de dados de registro do banco de dados ............. 312

Capítulo 21 Replicação de dados ......................................................... 323

Capítulo 22 Gerenciamento da proteção contra

Seção 3 Tarefas gerais de gerenciamento de

Capítulo 24 Gerenciamento da herança de um grupo para locais

Capítulo 25 Gerenciamento de locais de um grupo ......................... 351

Capítulo 26 Como trabalhar com políticas ......................................... 361

Adição de uma nova política não compartilhada a partir de um

Capítulo 27 Envio e obtenção de políticas entre servidores de

Capítulo 28 Configuração de aplicativos reconhecidos .................. 385

Seção 4 Configuração da proteção antivírus e

Especificação de um URL para ser exibido nas notificações de erro

Capítulo 30 Configuração do Auto-Protect ........................................ 441

Exibição de resultados do Auto-Protect em computadores

Capítulo 31 Uso das verificações definidas pelo

Seção 5 Configuração da proteção contra ameaças

Adição de regras herdadas de um grupo pai ..................................... 491

Capítulo 33 Configuração da prevenção de intrusões ..................... 499

Capítulo 34 Personalização da proteção contra ameaças à

Adição de adaptadores de rede a uma regra ..................................... 524

Seção 6 Configuração da proteção proativa contra

Capítulo 36 Configuração do controle de dispositivos e

Capítulo 37 Configuração de dispositivos de hardware .................. 573

Capítulo 38 Personalização de políticas de controle de

Seção 7 Configuração de exceções

Criação de exceções centralizadas a partir de eventos do

Seção 8 Configuração da integridade do host para

Capítulo 41 Adição de requisitos personalizados ............................. 627

Apêndice A Uso da interface da linha de comando ........................ 647