Escolar Documentos
Profissional Documentos
Cultura Documentos
Symantec™ Endpoint
Protection e do Symantec
Network Access Control
Symantec™ Endpoint Protection e Symantec Network
Access Control
O software descrito neste guia é fornecido sob um contrato de licença e deve ser usado
somente de acordo com os termos desse contrato.
Aviso legal
Copyright © 2008 Symantec Corporation. Todos os direitos reservados.
Este produto da Symantec pode conter software de terceiros para o qual são necessárias
atribuições fornecidas pela Symantec a esses terceiros ("Programas de terceiros"). Alguns
dos Programas de terceiros estão disponíveis sob licenças de software de código aberto ou
livre. O contrato de licença que acompanha o software não altera nenhum direito ou obrigação
que você possa ter sob essas licenças de software de código aberto ou livre. Consulte o
Apêndice Aviso legal sobre terceiros para esta documentação ou o arquivo Leia-me TPIP
que acompanha este produto da Symantec para obter mais informações sobre os Programas
de terceiros.
O produto descrito neste documento é distribuído sob licenças que restringem o uso, a cópia,
a distribuição e a descompilação/engenharia reversa. Não está permitida de forma alguma
a reprodução de qualquer seção deste documento sem a autorização prévia escrita da
Symantec Corporation e dos concessores de licenças, se houver algum.
http://www.symantec.com.br
Soluções de serviço e suporte
A Symantec está comprometida em prestar um excelente serviço em todo o mundo.
A nossa meta é fornecer assistência profissional na utilização de nossos programas
e serviços onde quer que você esteja.
O Suporte técnico e o Serviço de Atendimento ao Cliente variam de um país para
outro.
Se tiver alguma pergunta sobre os nossos serviços descritos abaixo, consulte a
seção “Informações de contato para o serviço e suporte mundial” no final deste
capítulo.
Licenciamento e registro
Se o produto que estiver implementando necessitar de registro ou de um código
de licença, a maneira mais fácil e rápida de registrar seu serviço é através do nosso
site de registro e licenciamento: www.symantec.com/certificate Alternativamente,
você pode acessar o site http://www.symantec.com/techsupp/ent/enterprise.html,
selecionar o produto que deseja registrar e, na homepage do produto, selecionar
o link para registro e licenciamento.
Se você adquiriu uma assinatura de suporte, terá direito a receber assistência
técnica da Symantec por telefone e pela Internet. Quando entrar em contato com
o Suporte pela primeira vez, tenha disponível o número de licença do seu
certificado ou seu ID de contato gerado através do registro de suporte disponível,
para que o Suporte possa verificar seus direitos a ele. Se você não adquiriu uma
assinatura de suporte, entre em contato com o seu revendedor, ou com o Serviço
de Atendimento ao Cliente para obter detalhes sobre como obter suporte técnico
da Symantec.
Atualizações de segurança
Para obter as informações mais recentes sobre vírus e ameaças de segurança,
acesse o website do Symantec Security Response (previamente conhecido como
Antivirus Research Center):
http://www.symantec.com.br/region/br/avcenter/.
Esse site contém várias informações on-line sobre vírus e ameaças de segurança,
além das definições de vírus mais recentes. As definições de vírus podem também
ser obtidas através de download, usando o recurso LiveUpdate em seu produto.
Websites da Symantec:
Homepage da Symantec (por idioma):
■ Alemão:
http://www.symantec.de
■ Espanhol:
http://www.symantec.com/region/es
■ Francês:
http://www.symantec.fr
■ Inglês:
http://www.symantec.com
■ Italiano:
http://www.symantec.it
■ Holandês:
http://www.symantec.nl
■ Português:
http://www.symantec.com/br
Symantec Security Response:
■ http://www.symantec.com.br/region/br/avcenter/
Página de suporte e serviços corporativos:
■ http://www.symantec.com.br/region/br/techsupp/enterprise/index.html
Boletins de notícias específicos de produtos:
■ EUA, Pacífico Asiático/Inglês:
http://www.symantec.com/techsupp/bulletin/index.html
■ Europa, Oriente Médio e África/Inglês:
http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html
■ Alemão:
http://www.symantec.com/region/de/techsupp/bulletin/index.html
■ Francês:
http://www.symantec.com/region/fr/techsupp/bulletin/index.html
■ Italiano:
http://www.symantec.com/region/it/techsupp/bulletin/index.html
■ América Latina/Inglês:
http://www.symantec.com/techsupp/bulletin/index.html
Suporte Técnico
Como parte do Symantec Security Response, nosso grupo de suporte técnico global
mantém centros de suporte em todo o mundo. Nossa função principal é responder
a perguntas específicas sobre recursos e funções dos produtos, instalação,
configuração e conteúdo do nosso Knowledge Base, acessível na Web. Trabalhamos
em conjunto com outras áreas da Symantec, para responder às suas perguntas o
mais rápido possível. Trabalhamos, por exemplo, com a equipe de engenharia de
produtos ou com os Centro de Pesquisa de Segurança para fornecer serviços de
alertas, Atualizações de definições de vírus para epidemias e alertas de segurança.
Os principais recursos que oferecemos incluem:
■ Uma variedade de opções de suporte, oferecendo-o flexibilidade para selecionar
o serviço ideal para empresas de qualquer porte
■ Componentes de suporte por telefone ou pela Web, fornecendo resposta rápida
e informações atualizadas
■ Atualizações de produtos que fornecem proteção automática através da
atualização de programas
■ Atualizações de conteúdo para definições de vírus e assinaturas de segurança
garantem o mais alto nível de proteção
■ O Suporte global dos especialistas do Symantec Security Response está
disponível 24 horas por dia, 7 dias da semana em todo o mundo, em vários
idiomas
■ Recursos avançados como o serviços de alerta da Symantec e o Gerente técnico
de contas aprimoram a resposta e o suporte dinâmico de segurança
Consulte nosso website para obter informações atuais sobre os Programas de
Suporte.
Contatando o Suporte
Clientes com um contrato de suporte atual podem contatar a equipe de suporte
técnico por telefone ou através da Web, usando a seguinte URL ou os sites regionais
de suporte, relacionados neste documento.
http://www.symantec.com.br/region/br/techsupp/enterprise/index.html
Forneça as seguintes informações ao contatar o Suporte:
■ Versão do produto
■ Informações de hardware
■ Memória disponível, espaço em disco e informações sobre o NIC (Network
Interface Card)
■ Sistema operacional
■ Versão do produto e patch
■ Topologia da rede
■ Informações sobre o roteador, gateway e endereço IP
■ Descrição do problema
■ Mensagens de erro/Arquivos de registro
■ Soluções executadas para o problema, antes de contatar a Symantec
■ Alterações recentes na configuração do programa e/ou alterações na rede
Atendimento ao cliente
O Centro de serviços de atendimento ao cliente pode ajudá-lo com questões não
técnicas, como:
■ Informações gerais do produto (ex: recursos, disponibilidade de idiomas,
revendedores na sua área, etc.)
■ Soluções básicas de problemas, como verificação da versão do seu produto
■ Informações mais recentes sobre atualizações do produto
■ Como atualizar seu produto
■ Como registrar seu produto e/ou licenças
■ Informações sobre o Symantec Licence Program
■ Informações sobre a garantia de Upgrade e contratos de manutenção
■ Reposição de CDs e manuais
■ Atualização do registro do seu produto para refletir mudança de nome ou
endereço
■ Assistência em opções de suporte técnico
Informações mais abrangentes sobre o Serviço de Atendimento ao Cliente podem
ser encontradas no website de serviço e suporte da Symantec, e podem também
ser obtidas por telefone, ligando para o Centro de serviços de atendimento ao
cliente da Symantec. Consulte “Informações de contato para o serviço e suporte
mundial” no final desse capítulo, para obter o número do Serviço de Atendimento
ao Cliente e os endereços da Web.
Informações de contato para o serviço e suporte mundial
Europa, Oriente Médio, África e América Latina
Websites de serviços e suporte da Symantec
■ Alemão:
www.symantec.de/desupport/
■ Espanhol:
www.symantec.com/region/mx/techsupp/
■ Francês:
www.symantec.fr/frsupport/
■ Inglês:
www.symantec.com/eusupport/
■ Italiano:
www.symantec.it/itsupport/
■ Holandês:
www.symantec.nl/nlsupport/
■ Português:
www.symantec.com/region/br/techsupp/
■ FTP da Symantec:ftp.symantec.com (Faça o download de notas técnicas e dos
patches mais recentes)
Acesse o site de Serviços e suporte da Symantec para obter maiores informações
sobre seu produto.
Symantec Security Response :
■ http://www.symantec.com.br/region/br/avcenter/
Boletins de notícias específicos de produtos:
■ EUA/Inglês:
http://www.symantec.com/techsupp/bulletin/index.html
■ Europa, Oriente Médio e África/Inglês:
http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html
■ Alemão:
http://www.symantec.com/region/de/techsupp/bulletin/index.html
■ Francês:
http://www.symantec.com/region/fr/techsupp/bulletin/index.html
■ Italiano:
http://www.symantec.com/region/it/techsupp/bulletin/index.html
■ América Latina/Inglês:
http://www.symantec.com/techsupp/bulletin/index.html
Serviço de Atendimento ao Cliente
Fornece assistência e informações não técnicas por telefone nos seguintes idiomas:
Inglês, Alemão, Francês e Italiano.
■ África do Sul
+ (27) 11 797 6639
■ Alemanha
+ (49) 69 6641 0315
■ Áustria
+ (43) 1 50 137 5030
■ Bélgica
+ (32) 2 2750173
■ Dinamarca
+ (45) 35 44 57 04
■ Espanha
+ (34) 91 7456467
■ Finlândia
+ (358) 9 22 906003
■ França
+ (33) 1 70 20 00 00
■ Holanda
+ (31) 20 5040698
■ Irlanda
+ (353) 1 811 8093
■ Itália
+ (39) 02 48270040
■ Luxemburgo
+ (352) 29 84 79 50 30
■ Noruega
+ (47) 23 05 33 05
■ Suécia
+ (46) 8 579 29007
■ Suíça
+ (41) 2 23110001
■ Reino Unido
+ (44) 20 7744 0367
■ Outros países
+ (353) 1 811 8093 (Serviços somente em inglês)
Serviço de Atendimento ao Cliente da Symantec – Endereço para correspondência
■ Symantec Ltd
Customer Service Centre
Europa, Oriente Médio e África (EMEA)
PO Box 5689
Dublin 15
Irlanda
■ Gerenciamento de administradores
A Tabela 1-1 descreve a organização das seções de documentos, quem deve ler
aquela seção e uma visão geral do conteúdo.
Seção Público
Seção Público
Rótulo Descrição
Monitores Exibe os registros de monitoramento. Você também pode usar essas páginas
para exibir e configurar notificações e para monitorar o status de comandos.
Políticas Exibe as políticas para cada tipo de política. Use esta página para gerenciar
suas políticas.
Clientes Exibe as informações de política de clientes e grupos. Use esta página para
gerenciar as políticas que são colocadas nos clientes por meio de pacotes de
instalação.
A página Início
A página Início exibe o status de segurança geral e as informações de resumo de
definição de vírus. Se tiver instalado o Symantec Endpoint Protection, a sua página
Início exibirá as informações sobre a segurança da sua rede. Se você tiver somente
o Symantec Network Access Control instalado, a página Início exibirá
automaticamente os relatórios gerados sobre o status de conformidade da sua
rede.
A página Início do Symantec Endpoint Protection contém as seguintes seções:
■ Status da segurança
■ Resumo da ação por contagem de detecção
■ Ataques, riscos ou infecções por hora: últimas 12 horas
■ Resumo do status, incluindo as notificações não confirmadas nas últimas 24
horas
Visão geral do Symantec Endpoint Protection Manager 47
Como o console do Symantec Endpoint Protection Manager é organizado
Status da segurança
O status de segurança pode ser Bom ou Atenção necessária. Se o status for Atenção
necessária, clique no ícone vermelho X ou no link Mais detalhes para exibir mais
informações. Você também pode clicar em Preferências para acessar a página
Preferências na qual você pode configurar as preferências de relatório.
Consulte “Configuração dos limites de status de segurança” na página 163.
Relatórios favoritos
Por padrão, a seção Relatórios favoritos da página Início contém os seguintes
relatórios:
■ Principais ocorrências de ataques
■ Correlação de principais detecções de riscos
■ TruScan Proactive Threat Distribution
Clique no ícone (+), à direita de Relatórios favoritos, para alterar os relatórios que
serão exibidos nesta seção da página Início.
Consulte “Configuração dos relatórios favoritos na página Início” na página 156.
A página Monitores
Você pode usar a página Monitores para exibir informações de registros, exibir e
configurar notificações e exibir o status do comando. Essa página contém os
48 Visão geral do Symantec Endpoint Protection Manager
Como o console do Symantec Endpoint Protection Manager é organizado
registros e notificações que podem ser usados por administradores para monitorar
as redes.
A página Monitores contém as seguintes guias:
■ Resumo
Se o Symantec Endpoint Protection estiver instalado, haverá várias exibições
de resumo a escolher. Você pode selecionar para exibir Proteção antivírus e
anti-spyware, Proteção contra ameaças à rede, Conformidade ou Status do site.
Se apenas o Symantec Network Access Control estiver instalado, então a guia
Resumo exibirá as informações do Status do site. Se apenas o Symantec Network
Access Control estiver instalado, as informações de Conformidade serão
exibidas na página Início.
Consulte “Uso da guia Resumo de monitores” na página 204.
■ Registros
Os registros apresentam informações detalhadas que são coletadas dos seus
produtos de segurança. Os registros contém dados de eventos dos servidores
de gerenciamento e dos clientes. Também é possível realizar ações a partir de
alguns registros. Alguns administradores preferem monitorar a rede
basicamente pelo uso de registros.
Consulte “Sobre tipos de registro, conteúdos e comandos” na página 198.
■ Status do comando
A guia Status do comando exibe o status dos comandos executados do console
do Symantec Endpoint Protection Manager e seus detalhes.
Consulte “Execução de comandos e ações de registros” na página 213.
■ Notificações
Uma notificação é uma mensagem que alerta sobre potenciais problemas de
segurança na rede. É possível configurar vários tipos diferentes de eventos
para acionar uma notificação. As notificações na guia Notificações são
direcionadas aos administradores, não aos usuários.
Consulte “Uso de notificações” na página 221.
A página Relatórios
Você pode usar a página Relatórios para obter uma visão geral ampla do status
de segurança da rede. Os relatórios são gráficos instantâneos de eventos que
acontecem na rede e estatísticas sobre os eventos. Você pode usar os filtros na
página Relatórios para gerar relatórios predefinidos ou personalizados. Os
relatórios predefinidos estão localizados na guia Relatórios rápidos. Na guia
Relatórios agendados, você pode agendar relatórios para serem executados em
intervalos regulares e fazer com que sejam enviados a você ou para outros por
e-mail.
Visão geral do Symantec Endpoint Protection Manager 49
Como o console do Symantec Endpoint Protection Manager é organizado
A página Políticas
Você pode usar a página Políticas para criar políticas que são transferidas por
download para o cliente. Os clientes conectam-se ao servidor para obter as políticas
e configurações de segurança mais recentes e as atualizações do software são
implementadas a partir desse servidor. As políticas exibidas dependem dos
componentes do produto que foram instalados.
A página Políticas contém os seguintes painéis:
■ Visualizar políticas
O painel Visualizar políticas relaciona os tipos de políticas que podem ser
visualizados no painel superior direito: Antivírus e anti-spyware, Firewall,
Prevenção de intrusões, Controle de dispositivos e aplicativos, LiveUpdate e
Exceções centralizadas. Você também poderá exibir Políticas de integridade
do host se o Symantec Network Access Control estiver instalado. Clique na
seta ao lado de Componentes das políticas para expandir a lista de componentes,
se ela ainda não estiver sendo exibida.
■ Componentes das políticas
O painel Componentes das políticas relaciona os diversos tipos de componentes
das políticas disponíveis. Esses componentes incluem listas de servidores de
gerenciamento, listas de impressões digitais de arquivos, entre outras.
■ Tarefas
O painel Tarefas relaciona as tarefas apropriadas para a política selecionada
em Visualizar políticas.
■ Painel Política de tipo de política
O painel direito é alterado em resposta à política selecionada em Visualizar
políticas. Para algumas escolhas, o painel é dividido horizontalmente. Nesses
casos, a parte inferior do painel mostra as alterações recentes para a política
selecionada.
Para obter informações sobre os diferentes tipos de políticas e suas opções, consulte
os capítulos que descrevem as políticas.
A página Clientes
Você pode usar a página Clientes para gerenciar os computadores e usuários em
sua rede.
A página Clientes contém os seguintes painéis:
■ Exibir clientes
50 Visão geral do Symantec Endpoint Protection Manager
Como o console do Symantec Endpoint Protection Manager é organizado
Ícone Descrição
Ícone Descrição
A página Admin
Você pode usar a página Admin para gerenciar as contas do administrador, as
propriedades de domínio, as propriedades do servidor e propriedades do site e os
pacotes de instalação do cliente para a sua rede. Ao selecionar a guia
Administradores, o painel Exibir mostra todos os administradores que gerenciam
o domínio ao qual o administrador está conectado. Ele inclui todos os
administradores do sistema, administradores e administradores limitados.
Visão geral do Symantec Endpoint Protection Manager 53
Como o console do Symantec Endpoint Protection Manager é organizado
■ Categorias de proteção
Categorias de proteção
O Symantec Endpoint Protection fornece várias categorias de proteção para
computadores em sua rede de segurança.
Essas categorias incluem:
■ Proteção antivírus e anti-spyware
■ Proteção contra ameaças à rede
■ Proteção proativa contra ameaças
■ Integridade do host
A Figura 2-1 exibe as categorias de ameaças que estão bloqueadas de acordo com
cada tipo de proteção.
56 Introdução à proteção básica
Categorias de proteção
Internet Rede da
empresa
Política
de firewall
Política de
prevenção
de intrusões
Placa de interface de red
Política de
controle de
dispositivos
Sistema de arquivos e aplicativos
Política
antivírus
e anti-spyware
Memória/periféricos
Ponto final
usada com um Enforcer opcional, desde que o appliance possa garantir que os
computadores tenham um cliente e sejam configurados corretamente antes que
o cliente conecte-se à rede. O Enforcer pode ser um appliance do hardware que
usa um dos diversos tipos de software Enforcer ou vários Enforcers baseados
apenas em software. Quando combinada com o Enforcer, a integridade do host
permite ou bloqueia o acesso de computadores à rede. Cada Enforcer é criado para
diferentes necessidades de rede.
Para obter mais informações sobre os Enforcers, consulte o Guia de Implementação
do Symantec Network Access Control Enforcer.
60 Introdução à proteção básica
Categorias de proteção
Capítulo 3
Configuração de domínios,
grupos e clientes
Este capítulo contém os tópicos a seguir:
■ Adição de um domínio
■ Administração de um domínio
■ Adição de um grupo
■ Exclusão de um grupo
■ Renomeação de um grupo
■ Mover um grupo
■ Exclusão de clientes
62 Configuração de domínios, grupos e clientes
Sobre a topologia de segurança
Sobre domínios
Os domínios são uma maneira de conter grupos e de grupos conterem
computadores e usuários ou clientes. Um administrador gerencia os computadores
e usuários. Esse administrador tem uma visão limitada do console do Symantec
Endpoint Protection Manager.
Geralmente, os domínios são configurados como parte de uma grande empresa.
Por exemplo, um domínio pode representar uma divisão dentro da empresa,
departamento, empresa separada ou qualquer outro segmento isolado de usuários.
Um modelo de pequena ou média empresa geralmente não seria dividido em
domínios.
Os administradores do sistema têm acesso a todos os domínios, enquanto os
administradores de domínios podem acessar somente o domínio ao qual são
atribuídos para trabalhar. Todos os dados em cada domínio são completamente
separados. Esta separação impede que os administradores em um domínio vejam
os dados em outros domínios. Alem disso, os administradores não têm acesso ao
ícone Servidores na página Admin, e você pode restringir mais o acesso dentro
do console.
Consulte “Sobre os administradores” na página 79.
Sobre grupos
O objetivo dos grupos e domínios é fornecer aos administradores uma forma de
gerenciar conjuntos de computadores como uma unidade. Todos os clientes de
uma rede corporativa são organizados em grupos com configurações e necessidades
de segurança similares. Os grupos podem conter os clientes adicionados como
usuários ou computadores. Você pode criar um grupo baseado no local,
departamento ou em qualquer outra classificação que atenda às necessidades da
sua empresa.
A estrutura de grupo que você define geralmente corresponde à estrutura
organizacional de sua empresa. Você pode agrupar usuários e computadores com
necessidades de computação e requisitos de acesso à rede semelhantes. Você pode
64 Configuração de domínios, grupos e clientes
Sobre a estrutura do grupo
Sobre clientes
Um cliente é qualquer dispositivo de rede que se conecta à rede corporativa e
executa aplicativos baseados em rede. Os dispositivos de rede podem incluir
laptops, computadores e servidores.
Um pacote de software-cliente é implementado em cada computador ou dispositivo
na rede. Há dois tipos de clientes: clientes do Symantec Endpoint Protection e
clientes do Symantec Network Access Control. Os clientes do Symantec Endpoint
Protection são instalados em computadores que dependem do Symantec Endpoint
Protection para todas suas necessidades de firewall. Os clientes do Symantec
Network Access Control são instalados em computadores que não precisam de
um firewall ou que já possuem um firewall de terceiros.
Você pode executar os dois tipos de clientes em sua rede. Você também pode alterar
o tipo de software-cliente em um computador se as necessidades de firewall do
computador forem alteradas. Use a guia Clientes no Symantec Endpoint Protection
Manager para gerenciar estas configurações.
Você pode aplicar políticas de segurança diferentes em locais diferentes. Por
exemplo, o cliente pode ser configurado para alternar automaticamente para uma
política de segurança diferente, se o local físico do cliente for alterado. Uma política
pode ser aplicada quando o cliente se conecta no escritório e outra quando o cliente
se conecta de forma remota.
Adição de um domínio
Somente um administrador do sistema pode ver todos os domínios de uma rede
corporativa. Se você quer que um grupo esteja em mais de um domínio, adicione-o
várias vezes.
Administração de um domínio
Se você for um administrador do sistema, poderá criar e administrar domínios.
Os administradores de domínio e os administradores limitados não podem criar
e administrar domínios.
Configuração de domínios, grupos e clientes 69
Adição de um grupo
Adição de um grupo
É possível adicionar grupos após definir a estrutura de grupos da sua organização.
A estrutura do grupo provavelmente corresponde à estrutura organizacional da
empresa. Os nomes dos grupos podem ter até 256 caracteres. As descrições dos
grupos podem ter até 1024 caracteres. Os nomes e as descrições de grupo podem
conter qualquer caractere, exceto os seguintes: [” / \ * ? < > | :].
Exclusão de um grupo
É possível excluir os grupos não mais usados ou que não mais refletem a estrutura
organizacional. Só será possível excluir um grupo se ele estiver vazio. Ele não
pode conter subgrupos, usuários ou computadores. Se um grupo não estiver vazio,
primeiro será necessário mover ou excluir os subgrupos, usuários ou computadores.
Além disso, não é possível excluir os grupos Global ou Temporário.
70 Configuração de domínios, grupos e clientes
Renomeação de um grupo
Renomeação de um grupo
É possível renomear grupos e subgrupos para que reflitam as alterações na
estrutura organizacional. É possível renomear um grupo para atualizar
automaticamente o nome desse grupo em todos os usuários e computadores já
atribuídos. Os computadores-cliente de um grupo renomeado não são forçados a
alternar grupos ou a fazer download do novo perfil do grupo.
Para renomear um grupo
1 No console, clique em Clientes.
2 Na guia Clientes, em Exibir clientes, clique com o botão direito do mouse no
grupo que você quer renomear e clique em Renomear.
3 Na caixa de diálogo Renomear grupo para nome do grupo, digite o novo nome
do grupo.
4 Clique em OK.
Mover um grupo
Qualquer grupo, com seus subgrupos, computadores e usuários, pode ser movido
de um nó da árvore de grupos para outro. Entretanto, não é possível mover os
grupos Global e Temporário. Além disso, não é possível mover grupos no grupo
Temporário ou mover um grupo em um de seus subgrupos.
Se um grupo usar política herdada, assumirá a nova política do grupo para o qual
for movido. Se tiver uma política específica aplicada, manterá essa política após
ser movido.
Configuração de domínios, grupos e clientes 71
Exibição das propriedades de um grupo
Exclusão de clientes
É possível excluir usuários e computadores de qualquer grupo no Symantec
Endpoint Protection Manager. Tenha cuidado ao excluir usuários e computadores.
A exclusão de usuários e computadores pode afetar a política de segurança
executada no cliente.
Por padrão, o Symantec Endpoint Protection Manager exclui automaticamente
os clientes inativos após 30 dias. É possível desativar ou alterar essa opção como
uma configuração de propriedade do site na guia Servidores.
Consulte “Edição das propriedades do site” na página 256.
Um cliente pode estar em execução ao ser manualmente excluído de um grupo.
Na próxima conexão do cliente ao Symantec Endpoint Protection Manager, ele
será registrado novamente, e as regras de registro do cliente serão aplicadas.
76 Configuração de domínios, grupos e clientes
Exibição das propriedades de um cliente
■ Informações do usuário
Mostra as informações sobre a pessoa atualmente conectada ao computador.
Essas informações são preenchidas quando o administrador ativa a coleta de
informações sobre os usuários.
Consulte “Coletar informações do usuário” na página 91.
Para exibir as propriedades de um cliente
1 No console, clique em Clientes.
2 No painel Exibir clientes, selecione o grupo que contém os clientes cujas
propriedades você deseja exibir.
3 Na guia Clientes, selecione o cliente.
4 Em Tarefas, clique em Editar propriedades.
5 Na caixa de diálogo nome do cliente, você pode exibir as informações sobre o
cliente.
6 Clique em OK.
Nota: Para pesquisar com êxito as informações sobre os clientes, você precisa
coletar as informações do usuário durante a instalação do software-cliente. Estas
informações são mostradas também na guia Geral e na guia Informações do usuário
na caixa de diálogo das propriedades do cliente.
■ Sobre os administradores
■ Adição de um administrador
■ Autenticação de administradores
■ Remoção de um administrador
Sobre os administradores
O Symantec Endpoint Protection Manager usa administradores para implementar
a sua funcionalidade. São usados três tipos de funções de administradores:
administrador do sistema, administrador e administrador limitado. Cada função
de administrador tem diferentes conjuntos de privilégios e tarefas a realizar.
O administrador do sistema é o administrador super do sistema. Um administrador
designado como administrador do sistema pode fazer qualquer coisa no sistema.
Um administrador está um nível abaixo de um administrador do sistema. O
80 Gerenciamento de administradores
Sobre o gerenciamento de administradores
Adição de um administrador
À medida que sua rede expande ou se altera, você pode achar que o número de
administradores é insuficiente para atender às suas necessidades. Nesse ponto,
é possível adicionar um ou mais administradores. Quando você adiciona um
administrador, especifica os recursos e restrições deste. Como um administrador
do sistema, você pode adicionar um outro administrador do sistema, administrador
ou administrador limitado.
Consulte Tabela 4-1 na página 80.
A seguinte lista contém informações adicionais sobre como criar administradores
do sistema:
■ Os administradores do sistema têm direitos de acesso total. Você também pode
adicionar administradores e administradores limitados, ambos os quais têm
direitos de acesso muito limitados.
■ Quando não se atribui nenhum direito de acesso ao administrador, este é criado
em um estado desativado e não pode efetuar o login.
Consulte “Sobre os administradores” na página 79.
82 Gerenciamento de administradores
Adição de um administrador
12 Clique em OK.
7 Clique em OK.
Autenticação de administradores
Quando você adiciona um administrador, pode especificar qual software de
autenticação o servidor de gerenciamento deve usar para autenticar as contas do
administrador.
Você pode autenticar administradores usando o servidor de gerenciamento com
o RSA SecurID. Deve-se verificar se há um Servidor RSA e se o servidor do RSA
SecurID já foi instalado e configurado em um computador separado. Verifique
também se o RSA SecurID consegue se comunicar com o Agente do SecurID.
Você pode ativar a segurança RSA para contas do administrador no Symantec
Endpoint Protection Manager.
Os seguintes mecanismos para efetuar logon no RSA a seguir têm suporte:
■ Token do RSA SecurID (não tokens do RSA do software)
■ Cartão do RSA SecurID
■ Cartão do teclado numérico do RSA (não cartões inteligentes do RSA)
Para autenticar administradores
1 No console do Symantec Endpoint Protection Manager, clique em Admin.
2 Na página Admin, clique em Administradores.
3 Em Exibir administradores, selecione o administrador.
86 Gerenciamento de administradores
Como renomear um administrador
6 Clique em OK.
Remoção de um administrador
É possível remover um administrador quando esse administrador não for mais
necessário.
Para remover um administrador
1 No console do Symantec Endpoint Protection Manager, clique em Admin.
2 Na página Admin, clique em Administradores.
3 Em Exibir administradores, selecione o administrador a ser removido.
4 No painel Tarefas, clique em Excluir administrador.
5 Na caixa de diálogo Excluir administrador de nome, clique em Sim para
confirmar que deseja remover este administrador.
88 Gerenciamento de administradores
Remoção de um administrador
Capítulo 5
Como trabalhar com
pacotes de instalação de
clientes
Este capítulo contém os tópicos a seguir:
Nota: Após ativar a mensagem para que seja exibida pela primeira vez no
computador-cliente e o usuário responder com as informações solicitadas, a
mensagem não será exibida novamente. Mesmo se você editar alguns campos ou
desativar e reativar a mensagem, o cliente não mostrará uma nova mensagem.
Porém, o usuário poderá editar as informações em qualquer momento e o servidor
de gerenciamento vai recuperar essa informações.
Nota: Você tem muito mais controle sobre o modo como o pacote é distribuído se
atualizar os clientes no painel Clientes.
Symantec LiveUpdate
Servidor de Servidor de
Grupo de clientes gerenciamento gerenciamento
Provedor de
atualizações do
Grupos de grupo (cliente)
clientes
Clientes
Grupo de clientes
O provedor de atualizações de grupos é uma opção que pode ser usada em qualquer
grupo. Ao criar uma política do LiveUpdate para o grupo, é possível especificar
Atualização de definições e conteúdo 101
Sobre o LiveUpdate e a atualização de definições e conteúdo
Symantec LiveUpdate
Servidor de
gerenciamento
Grupos de
clientes
Grupos de
clientes
102 Atualização de definições e conteúdo
Sobre o LiveUpdate e a atualização de definições e conteúdo
Nota: Duas opções adicionais de arquitetura estão disponíveis. Uma opção fornece
ao gerenciamento de terceiros ferramentas como o Microsoft SMS e o IBM Tivoli.
A outra opção abastece o servidor proxy colocado entre o servidor interno do
LiveUpdate e os servidores e clientes de gerenciamento por ele atualizados. Para
obter mais detalhes sobre servidor proxy, consulte o Guia do Administrador do
LiveUpdate no CD de instalação.
Symantec Endpoint Por padrão, os gerenciadores Symantec Inicialmente, use essa arquitetura, pois ela
Protection Managers Endpoint Protection Manager atualizam os é o método mais fácil de implementar, sendo
para clientes clientes por eles gerenciados e os servidores instalada e configurada por padrão depois
de gerenciamento extraem essas da instalação do servidor de gerenciamento.
(Padrão)
atualizações do banco de dados do site. Também é possível combinar esse método
Normalmente, os bancos de dados recebiam com um provedor de atualizações de grupos.
atualizações de um servidor do Symantec
LiveUpdate.
Provedor de atualizações Um provedor de atualizações de grupos é Use esse método para grupos no mesmo
de grupos para clientes um cliente que atua como um proxy entre o local em locais remotos com largura de
Symantec Endpoint Protection Manager e banda mínima. Esse método reduz também
os clientes no grupo. O provedor de a carga nos servidores de gerenciamento.
atualizações de grupos recebe atualizações
de um servidor de gerenciamento ou do
LiveUpdate e, então, encaminha as
atualizações para os outros clientes no
grupo. Um provedor de atualizações de
grupos pode atualizar vários grupos.
Servidor do LiveUpdate Os clientes podem obter atualizações Utilize o servidor externo do Symantec
para clientes diretamente de um servidor do LiveUpdate. LiveUpdate para os computadores-cliente
O servidor do LiveUpdate pode ser um não gerenciados que não estão sempre
servidor externo do Symantec LiveUpdate conectados à rede corporativa. Utilize o
ou um servidor interno do LiveUpdate, que servidor interno do LiveUpdate em grandes
recebe atualizações de um servidor externo redes para reduzir a carga no servidor do
da Symantec. Symantec Endpoint Protection Manager.
Nota: Não configure grandes números de
clientes gerenciados conectados à rede para
obter atualizações de um servidor externo
do Symantec LiveUpdate. Essa configuração
consome quantidades desnecessárias de
largura de banda de gateway da Internet.
Atualização de definições e conteúdo 103
Sobre o LiveUpdate e a atualização de definições e conteúdo
Distribuição de Ferramentas de terceiros, como Microsoft Use esse método quando desejar testar
ferramentas de terceiros SMS, permitem distribuir arquivos de arquivos de atualização antes de
atualização específicos para clientes. É distribuí-los. Use esse método se você tem
(Não ilustrado)
possível recuperar arquivos com extração uma infra-estrutura de distribuição de
automática do Intelligent Updater do ferramentas de terceiros e deseja
website da Symantec que contêm arquivos aproveitá-la.
de definições de vírus e risco à segurança
com extensões jdb e vdb. As extensões ldb
não são mais aceitas. Para receber outros
arquivos de atualização, é necessário definir
e configurar um servidor do Symantec
Endpoint Protection Manager para fazer o
download e implantar arquivos de
atualização.
Nota: Uma configuração avançada está disponível para permitir que os usuários
iniciem o LiveUpdate manualmente de seus computadores-cliente e a configuração
é desativada por padrão. Se você ativar essa configuração, os usuários podem
iniciar o LiveUpdate e fazer o download das definições de vírus, atualizações de
componentes e atualizações potenciais de produtos mais recentes. Se a
configuração avançada de políticas em Fazer o download das atualizações do
produto usando o LiveUpdate for ativada, as atualizações do produto obtidas por
download serão versões de manutenção e patches para o software-cliente da
Symantec. Dependendo do tamanho da população de usuários, talvez você não
queira deixar que os usuários façam o download de todo o conteúdo sem antes
conduzir testes. Além disso, podem ocorrer conflitos se duas sessões do LiveUpdate
forem executadas simultaneamente em computadores-cliente. A prática
recomendada é deixar essa configuração desativada.
Nota: A prática recomendada é ativar esse suporte com uma política do LiveUpdate.
7 Clique em OK.
8 Na caixa de diálogo Atribuir política, clique em Sim.
Você também pode cancelar este procedimento e atribuir a política
posteriormente.
9 Na caixa de diálogo Atribuir política do LiveUpdate, marque um ou mais
grupos para os quais deseja atribuir esta política e clique em Atribuir.
Configure o valor para 80 hexadecimal, para que a chave seja como 0x00000080
(128)
Depois de configurar essa chave, você precisa reiniciar o computador ou executar
os comandos a seguir, a partir do diretório \Symantec\Symantec Endpoint
Protection\:
smc.exe -stop
smc.exe -start
7 Clique em OK.
■ Exibição dos grupos e locais aos quais uma lista do servidor de gerenciamento
é atribuída
Após adicionar uma nova lista de servidores de gerenciamento, você deve atribuí-la
a um grupo ou local específico, ou ambos.
Consulte “Atribuição de uma lista de servidores de gerenciamento a um grupo ou
local” na página 133.
Para adicionar uma lista de servidores de gerenciamento
1 No console do Symantec Endpoint Protection Manager, clique em Políticas.
2 Na página Políticas, em Visualizar políticas, clique em Componentes das
políticas > Listas de servidores de gerenciamento.
3 Em Tarefas, clique em Adicionar uma lista de servidores de gerenciamento.
4 Na caixa de diálogo Listas de servidores de gerenciamento, no campo de texto
Nome, digite um nome para a lista do servidor de gerenciamento e uma
descrição opcional.
5 Para especificar que protocolo de comunicação deve ser usado entre os
servidores de gerenciamento e os clientes e Enforcers, selecione uma das
seguintes opções:
■ Usar protocolo HTTP
■ Usar protocolo HTTPS
Use essa opção se desejar que os servidores de gerenciamento se
comuniquem usando HTTPS e se o servidor estiver executando o Secure
Sockets Layer (SSL).
10 Clique em OK.
11 Se você precisar adicionar um servidor de gerenciamento com uma prioridade
diferente do servidor de gerenciamento adicionado, clique em Adicionar >
Nova prioridade.
12 Repita as etapas de 7 a 10 para adicionar mais servidores de gerenciamento.
13 Na caixa de diálogo Listas de servidores de gerenciamento, clique em OK.
■ Sobre o relatório
Sobre o relatório
As funções do relatório fornecem as informações atualizadas de que você precisa
para monitorar e tomar decisões sobre a segurança da rede. A página Início do
console de gerenciamento exibe gráficos gerados automaticamente que contêm
informações sobre eventos importantes que ocorreram recentemente na rede.
Você pode usar os filtros na página Relatórios para gerar relatórios predefinidos
ou personalizados. Além disso, é possível usar a página Relatórios para exibir
apresentações e estatísticas gráficas sobre os eventos que ocorrem na rede. Use
os filtros na página Monitores para exibir informações mais detalhadas e em
tempo real sobre a rede a partir dos registros.
Se você tiver o Symantec Endpoint Protection instalado, o relatório incluirá os
seguintes recursos:
■ A página Início personalizável com os relatórios mais importantes, status geral
da segurança e links para o Symantec Security Response
■ Exibições de resumos dos relatórios sobre status de antivírus, status da proteção
contra ameaças à rede, status de conformidade e status de sites
■ Relatórios rápidos predefinidos e relatórios gráficos personalizáveis com várias
opções de filtro que você pode configurar
■ A possibilidade de agendar relatórios para serem enviados por e-mail a
destinatários em intervalos regulares
■ Suporte para o banco de dados Microsoft SQL ou um banco de dados interno
para armazenamento de registros de eventos
■ A possibilidade de executar verificações em clientes, ativar a proteção contra
ameaças à rede e o Auto-Protect do cliente e reiniciar computadores
diretamente dos registros
■ A possibilidade de adicionar exclusões de aplicativos diretamente dos registros
■ Notificações configuráveis baseadas nos eventos de segurança
Se você tiver o Symantec Network Access Control instalado, o relatório incluirá
os seguintes recursos:
■ Página Início com uma exibição geral de resumo do status de conformidade
■ Relatórios gráficos predefinidos e personalizáveis com várias opções de filtro
■ Suporte para o banco de dados Microsoft SQL ou um banco de dados interno
para armazenamento de registros de eventos
■ A possibilidade de agendar relatórios para serem enviados por e-mail a
destinatários em intervalos regulares
■ Notificações configuráveis baseadas em eventos de segurança
Relatório de princípios básicos 143
Sobre os relatórios que você pode executar
Para obter mais informações sobre os eventos que são exibidos na página Início,
consulte a página Assinaturas de ataques no website do Symantec Security
Response. Na Internet, vá para o URL a seguir:
http://securityresponse.symantec.com/avcenter/attack_sigs/
Nota: Para acessar as funções de relatório por qualquer método, você deve ter o
Internet Explorer 6.0 ou superior instalado. Outros navegadores da Web são
incompatíveis.
Nota: Você também pode usar o console ou um navegador da Web para exibir
relatórios quando efetuar log in através de uma sessão de terminal remoto.
Nota: Se não for utilizada a porta padrão ao instalar as páginas de ajuda para
relatórios, não será possível acessar a ajuda contextual on-line. Para acessar a
ajuda contextual ao usar uma porta não padrão, você deve adicionar uma variável
ao arquivo Reporter.php.
A Tabela 9-2 descreve em detalhes cada um dos itens da página Início do Symantec
Endpoint Protection.
Relatório de princípios básicos 151
Uso da página Início do Symantec Endpoint Protection
Status de segurança O status de segurança pode ser Bom ou Atenção necessária. Os limites que
você definir na guia Status de segurança determinarão as definições de Bom
e Atenção necessária. Você pode acessar a guia Status de segurança a partir
do link Preferências na página Início.
Você pode clicar no ícone Status de segurança na página Início para obter
detalhes.
152 Relatório de princípios básicos
Uso da página Início do Symantec Endpoint Protection
Resumo das ações por contagem de A página Início, por padrão, exibe um resumo de ações das últimas 24 horas
detecções | Resumo das ações por e por contagem de infecções de vírus e riscos à segurança. Você pode clicar
número de computadores no link Preferências para alterar o intervalo de tempo usado para a última
semana, em vez de as últimas 24 horas. É possível usar o mesmo link para
alterar da exibição por total de detecções para a exibição por número de
computadores.
Por exemplo, suponhamos que haja cinco ações Limpo na exibição do total
de detecções. Se todas as detecções ocorrem no mesmo computador, então a
exibição por número de computadores exibe a contagem de um, e não de
cinco.
Resumo das ações por contagem de O total de Infectado recentemente mostra o número de riscos que infectaram
detecções| Resumo das ações por computadores somente durante o intervalo de tempo selecionado. Infectado
número de computadores recentemente é um subconjunto de Ainda infectado. O total de Infectado
recentemente mostra o número total de riscos que uma verificação continuaria
(Continuação)
a classificar como infectados, também durante o intervalo de tempo
selecionado. Por exemplo, o computador pode estar ainda infectado porque
o Symantec Endpoint Protection somente pode remover o risco parcialmente.
Após investigar o risco, você poderá limpar o total de Ainda infectado do
registro do Status do computador.
Ataques | Riscos | Infecções Por hora: Este relatório consiste em um gráfico de linha. O gráfico de linha mostra a
Últimas 12 horas | Por dia: Últimas 24 incidência de ataques, detecções ou infecções na rede de segurança nas últimas
horas 12 ou 24 horas. Você pode selecionar uma das opções a seguir para exibição:
Resumo do status das notificações O Resumo do status das notificações mostra, em uma linha, o status das
notificações que você configurou. Por exemplo, 100 notificações não
confirmadas nas últimas 24 horas.
Resumo do status O Resumo do status mostra o estado operacional dos computadores na rede.
Ele contém o número de computadores na rede que apresentam os seguintes
problemas:
Você pode clicar em cada número no Resumo do status para obter detalhes.
Distribuição das definições de vírus As seções Distribuição das definições de vírus e Assinaturas de prevenção de
|Assinaturas de prevenção de intrusões da página Início mostram como as definições de vírus e assinaturas
intrusões de IPS atuais estão distribuídas.
Para alternar entre elas, clique em uma nova exibição na caixa de listagem.
Security Response A seção Security Response exibe as Maiores ameaças e as Últimas ameaças,
conforme determinado pelo Symantec Security Response. Também exibe o
número de computadores desprotegidos dessas ameaças à rede. O medidor
ThreatCon indica o nível atual de gravidade de ameaças a computadores em
uma rede. Os níveis de gravidade baseiam-se nas avaliações de ameaças
realizadas pelo Symantec Security Response. O nível de gravidade do
ThreatCon oferece uma visão geral da segurança global da Internet.
Você pode clicar em qualquer um dos links para obter mais informações.
Resumo dos aplicativos observados O Resumo dos aplicativos observados mostra as ocorrências de aplicativos
na rede que se encontram nas seguintes listas:
Relatórios favoritos A seção Relatórios favoritos contém três relatórios padrão. Você pode
personalizar essa seção substituindo um ou mais desses relatórios por
qualquer outro relatório padrão ou personalizar o relatório que desejar. Os
relatórios favoritos serão executados sempre que você visualizá-los, para que
esses dados permaneçam atuais. Eles são exibidos em uma nova janela.
Para selecionar esses relatórios que você deseja acessar a partir da página
Início, você pode clicar no ícone (+), ao lado de Relatórios favoritos.
Você pode usar o link Preferências para alterar o intervalo de tempo dos relatórios
e dos resumos exibidos nessas páginas. O valor padrão é o de últimas 24 horas; a
outra opção é a de última semana. Você também pode alterar os relatórios padrão
exibidos na seção Relatórios Favoritos da página Início.
156 Relatório de princípios básicos
Uso da página Início do Symantec Endpoint Protection
As configurações que você definir nesta página serão salvas em todas as sessões.
Na próxima vez em que você efetuar logon no console de gerenciamento com as
mesmas credenciais do usuário, essas configurações serão usadas para a exibição
da página Início.
A Tabela 9-3 descreve as opções de exibição da página Início.
Opção Definição
Opção Definição
Security Focus Abre o website do Security Focus, que mostra as informações sobre
os vírus mais recentes.
A Figura 9-2 mostra como a página Início do Symantec Network Access Control
é exibida.
160 Relatório de princípios básicos
Uso da página Início do Symantec Network Access Control
Resumo Descrição
Resumo de clientes por falha de Esse resumo exibe a taxa de falha do requisito geral
conformidade de conformidade. Ele exibe um gráfico de barras que
mostra uma contagem de estações de trabalho
exclusivas pelo tipo de evento de controle de falha.
Exemplos de tipos de evento de controle de falha são
um antivírus, um firewall ou um problema de VPN.
Relatório de princípios básicos 161
Configuração das preferências de relatório
Resumo Descrição
Nota: Para configurar a taxa na qual os logs individuais são atualizados, você pode
exibir o log que deseja visualizar. Então, você pode selecionar a taxa na qual deseja
que a caixa da lista de atualização automática na qual visualizar o log.
Para obter descrições dessas opções de exibição, consulte a ajuda contextual para
a guia Página inicial e monitores. Você pode acessar a ajuda contextual no link
Preferências, em Início.
Nota: Se você tiver somente o Symantec Network Access Control instalado, não
será necessário ter uma guia Status de segurança para configurar os limites de
segurança.
Para obter descrições dessas opções de exibição, consulte a ajuda contextual para
a guia Status de segurança. Você pode acessar a ajuda contextual no link
Preferências, em Início.
Para configurar os limites de status de segurança
1 No console, na página Início, clique em Preferências.
2 Na guia Status de segurança, marque os itens que deseja incluir nos critérios
que definem o status de segurança geral da página Início.
3 Para cada item, digite o número desejado para acionar um status de segurança
Atenção necessária.
4 Clique em OK.
Nota: O formato de exibição da data definido aqui não se aplica a datas de definições
de vírus e a versões exibidas em colunas de tabelas. Esses itens sempre usam o
formato A-M-D.
Nota: Se você alterar o fuso horário no servidor, faça logoff do console e faça o
logon novamente para ver os horários exatos nos registros e relatórios.
■ Visualização de relatórios
■ Sobre os relatórios
Visualização de relatórios
Use a página Relatórios para executar, visualizar, imprimir e agendar relatórios
a serem executados regularmente.
A Figura 10-1 mostra um exemplo de um relatório de risco.
168 Exibição e configuração de relatórios
Visualização de relatórios
Mês anterior
Mês atual
Últimos 3 meses
3 Digite o nome do arquivo de fonte que você deseja usar depois do sinal de
igual (=) seguindo à variável SPECIAL_FONT. Por exemplo, se você quiser
usar Arial, deverá digitar o seguinte:
SPECIAL_FONT=arial.ttf
4 Salve o arquivo no formato UTF-8 e feche-o.
5 Certifique-se de que o arquivo de fonte digitado esteja localizado no diretório
%WINDIR%\fonts.
Sobre os relatórios
Os relatórios rápidos são relatórios que podem ser imprimidos sob demanda, na
guia Relatórios rápidos na página Relatórios.
A Tabela 10-2 descreve os tipos de relatórios rápidos.
Status do computador Os relatórios de status do computador contêm informações em tempo real sobre o
status operacional dos computadores na rede.
Proteção contra ameaças à Os relatórios da proteção contra ameaças à rede permitem rastrear as atividades de
rede um computador e sua interação com outros computadores e redes. Eles registram
informações sobre o tráfego que tenta entrar ou sair dos computadores por meio das
conexões com a rede.
Risco Os relatórios de risco contêm informações sobre eventos de riscos nos servidores de
gerenciamento e seus clientes.
Esta seção descreve os relatórios por seus nomes e conteúdo geral. Você pode
definir as configurações avançadas e as básicas de todos os relatórios para
selecionar os dados que deseja exibir. Você também pode salvar seu filtro
personalizado com um nome distinto, para que seja possível executar o mesmo
relatório personalizado posteriormente.
Se você tem vários domínios na rede, muitos relatórios permitem exibir os dados
de todos os domínios ou de um ou alguns sites. O padrão de todos os relatórios
rápidos é a exibição de todos os domínios, grupos, servidores e assim por diante,
conforme apropriado para o relatório que você selecionar.
Nota: Se você tiver somente o Symantec Network Access Control instalado, haverá
um grande número de relatórios vazios. Os relatórios do controle de dispositivos
e aplicativos, da proteção contra ameaças à rede, de risco e de verificação não
terão nenhum dado. Os relatórios de conformidade e auditoria conterão dados,
assim como alguns dos relatórios de sistema e status do computador.
Para obter uma descrição de cada opção configurável, clique em Mais informações
para esse tipo de relatório no console. A opção Mais informações exibe a ajuda
contextual.
Consulte “Como criar relatórios rápidos” na página 185.
A Tabela 10-3 descreve os relatórios do controle de dispositivos e aplicativos que
estão disponíveis.
Principais grupos com Este relatório consiste em um gráfico com barras relacionadas. Ele mostra os grupos
registros de controle de com registros de controle de aplicativos que geraram o maior número de alertas de
aplicativos com maior segurança.
número de alertas
Principais alvos bloqueados Este relatório consiste em um gráfico com barras relacionadas para cada um dos
seguintes alvos, se aplicável:
■ Principais arquivos
■ Principais chaves de registro
■ Principais processos
■ Principais módulos (dlls)
Principais dispositivos Este relatório consiste em um gráfico com uma barra relacionada que mostra os
bloqueados dispositivos com acesso à rede mais freqüentemente bloqueado.
Políticas usadas Este relatório exibe as políticas que clientes e locais usam atualmente. Suas
informações incluem nome do domínio, nome do grupo e o número de série da política
aplicada a cada grupo.
Status de conformidade da Este relatório consiste em um gráfico de linhas e uma tabela. Ele exibe a hora do
rede evento, o número de ataques e o percentual de ataques em cada um deles.
Você pode exibir o número total de clientes para os quais estas ações de conformidade
foram aplicadas no intervalo de tempo selecionado:
■ Autenticado
■ Desconectado
■ Falhou
■ Passou
■ Rejeitado
Status de conformidade Você pode selecionar uma ação para exibir um gráfico de linhas que mostra um dos
itens a seguir:
Este relatório também inclui uma tabela que exibe a hora do evento, o número de
clientes e o percentual de ataques em cada um deles.
Resumo de clientes por falha Estes relatórios consistem em um gráfico de barras que exibe as seguintes informações:
de conformidade
■ Contagem das estações de trabalho exclusivas pelo tipo de evento de falha de
controle, como antivírus, firewall ou VPN.
■ Número total de clientes no grupo.
Detalhes de falha de Este relatório consiste em uma tabela que exibe o número de computadores exclusivos,
conformidade listados por falha de controle. Ele exibe a regra e os critérios envolvidos em cada
falha. Ele inclui o percentual de clientes que foram implementados e o percentual de
falhas.
Exibição e configuração de relatórios 173
Sobre os relatórios
Clientes sem conformidade Este relatório consiste em uma tabela que mostra os eventos de falha de conformidade.
por local Estes eventos são exibidos em grupos com base no local. As informações incluem os
computadores exclusivos que falharam e o percentual de falhas em relação ao total
e ao local.
Distribuição das definições Este relatório exibe as versões exclusivas de arquivos de definições de vírus usadas
de vírus em toda a rede e o número e o percentual de computadores que usa cada uma das
versões. Ele consiste em um gráfico, uma tabela e barras relacionadas.
Computadores não Este relatório exibe uma lista de todos os computadores que não se conectaram ao
conectados ao servidor seu servidor. Ele também exibe o endereço IP do computador, a hora da última conexão
e o usuário que estava conectado naquele momento.
Versões do produto Este relatório exibe a lista dos números de todas as versões dos produtos Symantec
Symantec Endpoint Endpoint Protection na rede. Ele também inclui o domínio e o servidor de cada um
Protection deles, assim como o número de computadores e o percentual de cada um. Ele consiste
em um gráfico e barras relacionadas.
Distribuição de assinatura de Este relatório exibe as versões de arquivos de assinatura IPS usados em toda a rede.
prevenção de intrusões Ele também inclui o domínio e o servidor de cada um deles, assim como o número de
computadores e o percentual de cada um. Ele consiste em um gráfico e barras
relacionadas.
Inventário do cliente Este relatório tem os seguintes gráficos com barras relacionadas que exibem o número
total de computadores e o percentual em relação a:
■ Sistema operacional
■ Memória total
■ Memória livre
■ Espaço total em disco
■ Espaço livre em disco
■ Tipo de processador
Distribuição do status de Este relatório consiste em um gráfico com barras relativas que mostram aprovações
conformidade e falhas de conformidade por grupos ou sub-redes. Ele mostra o número de
computadores e a porcentagem de computadores que estão em conformidade.
174 Exibição e configuração de relatórios
Sobre os relatórios
Status on-line do cliente Este relatório consiste em gráficos com barras relativas divididas em grupos ou
sub-redes. Ele exibe o percentual de computadores on-line.
"On-line" pode significar:
■ Para clientes que estão no modo push, on-line significa que, no momento, os
clientes estão conectados ao servidor.
■ Para clientes que estão no modo pull, on-line significa que os clientes entraram
em contato com o servidor com as últimas duas pulsações do cliente.
■ Para clientes em sites remotos, on-line significa que os clientes estavam on-line
no momento da última replicação.
Clientes com a política mais Este relatório consiste em gráficos com barras relativas divididas em grupos ou
recente sub-redes. Ele exibe o número de computadores e o percentual que têm a política
mais recente aplicada.
Contagem de clientes, por Este relatório consiste em uma tabela que relaciona as estatísticas de informações
grupo do host por grupo. Ela relaciona o número de clientes e usuários. Se você usa vários
domínios, as informações aparecem por domínio.
Versões do conteúdo de Este relatório exibe todas as versões de conteúdo de proteção proativa usadas na rede
proteção em um único relatório. Um gráfico é exibido para cada tipo de proteção.
Os seguintes tipos de conteúdo estão disponíveis:
■ Versões do decompositor
■ Versões do mecanismo de exclusão
■ Versões do conteúdo de verificação proativa de ameaças TruScan
■ Versões do mecanismo de verificação proativa de ameaças TruScan
■ Versões da lista de aplicativos comerciais
■ Versões do mecanismo proativo para tratamento de conteúdo
■ Versões da lista de aplicativos permitidos
■ Novos tipos de conteúdo adicionados pelo Symantec Security Response
Exibição e configuração de relatórios 175
Sobre os relatórios
Migração do cliente Este relatório consiste em tabelas que descrevem o status de migração dos clientes,
divididos por domínio, grupo e servidor. Ele exibe o endereço IP do cliente e se a
migração foi bem-sucedida, falhou ou ainda não começou.
Clientes on-line/off-line ao Este relatório consiste em gráficos de linhas e tabelas que mostram o número de
longo do tempo (snapshots) clientes on-line ou off-line. Cada um dos alvos principais está associado a um gráfico.
O alvo é um grupo ou sistema operacional.
Este relatório está disponível
somente como relatório
agendado.
Clientes com a política mais Este relatório consiste em um gráfico de linhas que exibe os clientes que têm a política
recente ao longo do tempo mais recente aplicada. Cada um dos clientes principais está associado um gráfico.
(snapshots)
Clientes sem conformidade Ele consiste em um gráfico de linhas que mostra o percentual de clientes que falharam
ao longo do tempo na verificação de integridade do host ao longo do tempo. Cada um dos clientes
(snapshots) principais está associado um gráfico.
Implantação da definição de Este relatório relaciona as versões de pacotes de definições de vírus que foram
vírus (snapshots) instaladas nos clientes. Esta informação é útil para o rastreamento do andamento da
implementação de novas definições de vírus a partir do console.
Este relatório está disponível
somente como relatório
agendado.
Principais alvos atacados Este relatório consiste em um gráfico com uma barra relacionada. Você pode exibir
as informações usando grupos, sub-redes, clientes ou portas como alvo. Ele inclui
informações como o número e percentual de ataques, tipo e gravidade e a distribuição
dos ataques.
Principais ocorrências de Este relatório consiste em um gráfico com barras relacionadas que mostra os principais
ataques hosts que iniciaram ataques contra a rede. Ele inclui informações como o número e
percentual de ataques, tipo e gravidade e a distribuição dos ataques.
Principais tipos de ataques Este relatório consiste em um gráfico com barras relacionadas. Ele inclui informações
como o número e o percentual de eventos. Ele também inclui o grupo e a gravidade,
assim como o tipo de evento e o número por grupo.
Principais aplicativos Este relatório consiste em um gráfico com barras relacionadas que mostra os principais
bloqueados aplicativos que foram impedidos de acessar a rede. Ele inclui informações como o
número e percentual de ataques, o grupo, a gravidade e a distribuição dos ataques
por grupo.
Ataques ao longo do tempo Este relatório consiste em um ou mais gráficos de linhas que exibem os ataques
durante o período de tempo selecionado. Por exemplo, se o intervalo de tempo é o
mês passado, o relatório exibe o número total de ataques por dia no último mês. Ele
inclui o número e o percentual de ataques. Você pode exibir os ataques de todos os
computadores, ou divididos pelos principais tipos de sistemas operacionais, usuários,
endereços IP, grupos ou ataques.
Eventos de segurança, por Este relatório consiste em um gráfico que exibe o número total e o percentual de
gravidade eventos de segurança na rede, classificados em relação a sua gravidade.
Aplicativos bloqueados ao Este relatório consiste em um gráfico de linhas e uma tabela. Ele exibe o total de
longo do tempo aplicativos que foram impedidos de acessar a rede no período de tempo selecionado.
Ele inclui a hora do evento, o número de ataques e o percentual. Você pode exibir
informações de todos os computadores ou divididas por grupo, endereço IP, sistema
operacional ou usuário.
Notificações de tráfego ao Este relatório consiste em um gráfico de linhas. Ele mostra o número de notificações
longo do tempo baseadas em violações de regras de firewall ao longo do tempo. As regras que são
levadas em conta são aquelas que você selecionou na opção Enviar alerta de e-mail
na coluna Registro na lista Regras de política de firewall. Você pode exibir as
informações neste relatório de todos os computadores ou divididas por grupo, endereço
IP, sistema operacional ou usuário.
Exibição e configuração de relatórios 177
Sobre os relatórios
Principais notificações de Este relatório consiste em um gráfico com barras relativas que relacionam o grupo
tráfego ou a sub-rede e o número e o percentual de notificações. Ele mostra o número de
notificações baseadas em violações de regras de firewall que você configurou como
importantes. As regras que são levadas em conta são aquelas que você selecionou na
opção Enviar alerta de e-mail na coluna Registro na lista Regras de política de firewall.
Você pode exibir as informações de tudo, do registro de tráfego ou do registro de
pacotes, agrupadas por grupos principais ou sub-redes.
Relatório completo Este relatório fornece as seguintes informações de proteção contra ameaças à rede
em um único relatório:
Computadores infectados e Este relatório possui duas tabelas. Uma tabela relaciona os computadores infectados
em risco por vírus. A outra relaciona os computadores que têm algum risco à segurança que
ainda não foi corrigido.
Resumo da ação de detecção Este relatório consiste em uma tabela que mostra uma contagem de todas as ações
possíveis que foram tomadas quando os riscos foram detectados. As ações possíveis
são Limpo, Suspeito, Bloqueado, Em quarentena, Excluído, Infectado recentemente
e Ainda infectado. Essas informações também aparecem na página Início do Symantec
Endpoint Protection.
Contagem de detecções de Este relatório consiste em um gráfico, uma tabela de risco e uma barra relacionada.
risco Ele mostra o número total de detecções de risco por domínio, servidor ou computador.
Se você tiver clientes do Symantec AntiVirus legados, o relatório usará o grupo do
servidor no lugar do domínio.
178 Exibição e configuração de relatórios
Sobre os relatórios
Novos riscos detectados na Este relatório inclui uma tabela e um gráfico de distribuição.
rede Para cada novo risco, a tabela fornece as seguintes informações:
■ Nome do risco
■ Categoria ou tipo do risco
■ Data da primeira descoberta
■ Primeira ocorrência na organização
■ Tipo de verificação da primeira detecção
■ Domínio onde foi descoberto (grupo do servidor em computadores legados)
■ Servidor onde foi descoberto (servidor pai em computadores legados)
■ Grupo onde foi descoberto (servidor pai em computadores legados)
■ O computador onde foi descoberto e o nome do usuário que estava conectado no
momento
Correlação de principais Este relatório consiste em um gráfico tridimensional de barras que faz a correlação
detecções de riscos entre detecções de vírus e riscos à segurança usando duas variáveis. Você pode
selecionar entre computador, nome de usuário, domínio, grupo, servidor ou nome do
risco para as variáveis dos eixos x e y. Este relatório mostra as cinco principais
instâncias para cada variável dos eixos. Se você selecionou o computador com uma
das variáveis e há menos que cinco computadores infectados, os computadores não
infectados podem ser exibidos no gráfico.
Nota: Para os computadores que executam versões legadas do Symantec AntiVirus,
o grupo do servidor e o servidor pai são usados em vez do domínio e servidor.
Resumo da distribuição de Este relatório inclui um gráfico e um gráfico de barras associado que exibe os
riscos percentuais relacionados para cada item exclusivo do tipo de alvo escolhido. Por
exemplo, se o alvo escolhido for o nome do risco, o gráfico terá divisões para cada
risco exclusivo. Uma barra é exibida para cada nome de risco e os detalhes incluem
o número de detecções e o percentual em relação ao total de detecções. Os alvos
incluem o nome do risco, domínio, grupo, servidor, computador, nome de usuário,
origem, tipo de risco e gravidade do risco. Para os computadores que executam versões
legadas do Symantec AntiVirus, o grupo do servidor e o servidor pai são usados em
vez do domínio e servidor.
Distribuição de riscos ao Este relatório consiste em uma tabela que exibe o número de detecções de vírus e
longo do tempo riscos à segurança por unidade tempo e uma barra relacionada.
Exibição e configuração de relatórios 179
Sobre os relatórios
Resultados da detecção da Este relatório consiste em um gráfico e gráficos de barras que exibem as seguintes
verificação proativa de informações:
ameaças TruScan
■ Lista de aplicativos classificados como riscos que você adicionou às exceções como
aceitáveis para a rede.
■ Lista de aplicativos detectados que apresentam riscos confirmados.
■ Lista de aplicativos detectados, mas cujo status de risco ainda não está confirmado.
Para cada lista, este relatório exibe o nome da empresa, o hash e a versão do aplicativo,
e também o computador envolvido. Para os aplicativos permitidos, ele também exibe
a origem da permissão.
Distribuição proativa de Este relatório consiste em um gráfico que exibe os principais nomes dos aplicativos
ameaças TruScan que foram detectados, com barras relacionadas e uma tabela de resumo. As detecções
incluem aplicativos da lista de aplicativos comerciais e da lista de detecções forçadas.
A primeira tabela de resumo contém o nome da aplicação e o número e o percentual
de detecções.
A tabela de resumo exibe as seguintes informações, para cada detecção:
Detecção proativa de Este relatório consiste em um gráfico de linhas que exibe o número de detecções
ameaças TruScan ao longo proativas de ameaças para o período de tempo selecionado. Ele também consiste em
do tempo uma tabela com barras relacionadas que relacionam os números das ameaças
detectadas ao longo do tempo.
Resumo de ação para Este relatório relaciona os principais riscos encontrados na rede. Para cada um, ele
principais riscos exibe barras de resumo de ação que mostram o percentual de cada ação tomada quando
um risco foi detectado. As ações incluem Em quarentena, Limpo, Excluído e assim
por diante. Este relatório também mostra o percentual de tempo em que cada ação
particular foi a primeira ação configurada, a segunda ação configurada ou
desconhecida.
Número de notificações Este relatório consiste em um gráfico com uma barra relacionada. O gráfico mostra
o número de notificações acionadas por violações de regras de firewall que você
configurou como importantes. Ele inclui os tipos de notificações e o número de cada
uma delas.
Número de notificações ao Este relatório consiste em um gráfico de linhas que exibe o número de notificações
longo do tempo na rede para o período de tempo selecionado. Ele também consiste em uma tabela
que relaciona o número e o percentual de notificações ao longo do tempo. Você pode
filtrar os dados para exibir o tipo de notificação, status de confirmação, criador e
nome da notificação.
Epidemias semanais Este relatório exibe o número de detecções de vírus e ameaças à segurança e uma
barra relacionada por semana para cada um deles, ao longo do intervalo de tempo
especificado. Um intervalo de um dia exibe a última semana.
Relatórios de risco Este relatório inclui, por padrão, todos os relatórios de distribuição e o relatório de
abrangente novos riscos. No entanto, você pode configurá-lo para incluir apenas alguns relatórios.
Este relatório inclui as informações de todos os domínios.
Histograma de estatísticas de Este relatório é apresentado como um histograma. Você pode selecionar como a
verificação informação no relatório de verificação será distribuída. Você pode selecionar um dos
seguintes métodos:
Computadores filtrados Este relatório mostra uma lista de computadores na rede de segurança considerando
considerando a hora da a hora da última verificação. Também inclui o endereço IP e o nome do usuário que
última verificação estava conectado no momento da verificação.
Exibição e configuração de relatórios 181
Sobre os relatórios
Computadores não Este relatório exibe uma lista de computadores na rede de segurança que não foram
verificados verificados.
Ele fornece estas informações adicionais:
■ O endereço IP
■ A hora da última verificação
■ O nome do usuário atual ou do usuário que estava conectado no momento da
última verificação
Principais clientes que geram Este relatório consiste em um gráfico para cada condição de aviso e erro. Os gráficos
erros e avisos mostram as contagens e os percentuais de erros e avisos, por cliente.
Principais servidores que Este relatório consiste em um gráfico para cada condição de aviso e erro. Os gráficos
geram erros e avisos mostram as contagens e os percentuais de erros e avisos, por servidor.
Principais Enforcers que Este relatório consiste em um gráfico para cada condição de aviso e erro. Os gráficos
geram erros e avisos mostram as contagens e os percentuais de erros e avisos, por Enforcer.
Falhas de replicação do Este relatório consiste em um gráfico de linhas com uma tabela associada que relaciona
banco de dados ao longo do as falhas de replicação para o período de tempo selecionado.
tempo
182 Exibição e configuração de relatórios
Sobre os relatórios
Status do site
Exibição e configuração de relatórios 183
Sobre os relatórios
Este relatório exibe o status e a taxa atuais de todos os servidores do site local. Ele
também exibe informações sobre a instalação do cliente, status on-line do cliente e
o volume do registro do site local. Os dados nos quais este relatório se baseia são
atualizados a cada 10 segundos, mas você precisa executar novamente o relatório
para ver os dados atualizados.
Nota: Se você tiver vários sites, este relatório exibirá o total de clientes instalados e
on-line do site local, e não de todos os sites.
Se você tiver restrições de site ou domínio como administrador, você verá apenas as
informações que tiver permissão para ver.
O status de integridade de um servidor é classificado desta forma:
Para cada servidor, este relatório exibe o status, status de integridade e motivo, uso
da CPU e memória e o espaço livre em disco. Ele também contém informações sobre
a taxa do servidor, como as políticas obtidas por download e a taxa amostrada na
última pulsação.
Ele inclui as seguintes informações de taxa:
■ Para clientes que estão no modo push, on-line significa que, no momento, os
clientes estão conectados ao servidor.
■ Para clientes que estão no modo pull, on-line significa que os clientes entraram
em contato com o servidor com as últimas duas pulsações do cliente.
■ Para clientes em sites remotos, on-line significa que os clientes estavam on-line
184 Exibição e configuração de relatórios
Informações importantes sobre o relatório
Nota: As caixas de texto das opções de filtro que aceitam caracteres curinga e que
pesquisam correspondências não diferenciam maiúsculas de minúsculas. O
asterisco ASCII é o único que pode ser usado como um caractere curinga.
Configuração Descrição
Intervalo de tempo Especifica o intervalo de tempo de eventos que você deseja exibir no relatório.
Selecione dentre estes períodos:
■ Últimas 24 horas
■ Última semana
■ Último mês
■ Mês atual
■ Últimos três meses
■ Último ano
■ Definir datas específicas
Se você selecionar Definir datas específicas, alguns relatórios irão exigir a definição de uma
data de início e uma data de conclusão. Outros relatórios exigem que você configure a hora
de último acesso, que é a última vez que o computador efetuou acesso com o servidor.
Esta opção está disponível somente se você selecionar Definir datas específicas para o
intervalo de tempo.
Esta opção está disponível somente se você selecionar Definir datas específicas para o
intervalo de tempo.
Nota: Não é possível definir uma data de conclusão igual ou anterior à data de início.
Último acesso após Especifica o que você deseja ver para todas as entradas que envolvam um computador não
verificado com seu servidor deste esse horário.
Esta opção somente está disponível para relatórios de Status do computador se você
selecionar Definir datas específicas para o intervalo de tempo.
Exibição e configuração de relatórios 187
Como criar relatórios rápidos
Configuração Descrição
■ Passou
■ Falhou
Agrupar por Muitos dos relatórios podem ser agrupados de modos apropriados. Por exemplo, a escolha
mais comum é exibir informações para apenas um grupo ou sub-rede, mas alguns relatórios
oferecem outras escolhas apropriadas.
188 Exibição e configuração de relatórios
Como criar relatórios rápidos
Configuração Descrição
Destino Disponível para o relatório Principais alvos atacados da proteção contra ameaças à rede.
Selecione dentre as seguintes opções:
■ Grupo
■ Sub-rede
■ Cliente
■ Portas
Disponível para o relatório Ataques ao longo do tempo da proteção contra ameaças à rede.
Selecione dentre as seguintes opções:
■ Tudo
■ Grupo
■ Endereço IP
■ Sistema operacional
■ Nome de usuário
■ Tipo de ataque
Disponível para os relatórios Notificações de tráfego ao longo do tempo e Aplicativos
bloqueados ao longo do tempo da proteção contra ameaças à rede. Selecione dentre as
seguintes opções:
■ Todos
■ Grupo
■ Endereço IP
■ Sistema operacional
■ Nome de usuário
Disponível para o relatório Principais notificações de tráfego da proteção contra ameaças
à rede. Selecione dentre as seguintes opções:
■ Todos
■ Tráfego
■ Pacote
Eixo x Disponível para o relatório Correlação de principais detecções de riscos. Selecione dentre
as seguintes opções:
Eixo y
■ Computador
■ Nome de usuário
■ Domínio
■ Grupo
■ Servidor
■ Nome do risco
Largura do Especifica a largura de um depósito para formar um histograma. Disponível para o relatório
compartimento de Histograma de estatísticas de verificação.
Exibição e configuração de relatórios 189
Como criar relatórios rápidos
Configuração Descrição
Número de Especifica o número de compartimentos que você quer que seja usado para formar as barras
compartimentos de um histograma. Disponível para o relatório de Histograma de estatísticas de verificação.
Você pode excluir qualquer configuração de relatório que criar. Quando excluir
uma configuração, o relatório não estará mais disponível. O nome da configuração
padrão do relatório aparecerá na caixa de listagem Usar relatório salvo e a tela
será preenchida novamente com as configurações padrão.
Para salvar um filtro
1 No console, clique em Relatórios.
2 Selecione um tipo de relatório na caixa de listagem.
3 Altere quaisquer configurações básicas ou avançadas no relatório.
4 Clique em Salvar filtro.
5 Na caixa de texto Nome do filtro, digite um nome descritivo para o filtro de
relatório. Apenas os 32 primeiros caracteres do nome que você der serão
exibidos quando o filtro for adicionada à lista Utilizar um filtro salvo.
6 Clique em OK.
7 Quando a caixa de diálogo de confirmação aparecer, clique em OK.
Depois que um filtro é salvo, ele é exibido na caixa de listagem Utilizar um
filtro salvo dos relatórios e registros associados.
Para excluir um filtro salvo
1 Na guia Relatórios, selecione um tipo de relatório.
2 Na caixa de listagem Utilizar um filtro salvo, selecione o nome do filtro que
deseja excluir.
3 Clique no ícone Excluir ao lado da caixa de listagem Utilizar um filtro salvo.
4 Quando a caixa de diálogo de confirmação for exibida, clique em Sim.
Exibição e configuração de relatórios 191
Como imprimir e salvar a cópia de um relatório
Nota: O Internet Explorer não imprime as cores e imagens do segundo plano por
padrão. Se a opção de impressão estiver desativada, o relatório impresso poderá
parecer diferente do relatório criado por você. Você pode alterar as configurações
no navegador para imprimir as cores e imagens do segundo plano.
Você pode imprimir e salvar relatórios agendados, da mesma forma que faz com
os relatórios sob demanda.
Nota: Quando você cria um relatório agendado pela primeira vez, você deve usar
o filtro padrão ou um filtro que você já salvou. Após agendar o relatório, é possível
voltar e editar o filtro.
Para obter informações sobre as opções que podem ser definidas por esses
procedimentos, clique em Mais informações na guia Relatórios agendados.
Para criar um relatório agendado
1 No console, clique em Relatórios.
2 Na guia Relatórios agendados, clique em Adicionar.
3 Na caixa de texto Nome de relatório, digite um nome descritivo e, se desejar,
uma descrição mais detalhada.
Embora seja possível colar mais do que 255 caracteres na caixa de texto da
descrição, apenas 255 serão salvos.
4 Desmarque a caixa de seleção Ativar este relatório agendado se, no momento,
você não deseja que este relatório seja executado.
5 Selecione o tipo de relatório que deseja agendar na caixa de listagem.
194 Exibição e configuração de relatórios
Criação e exclusão de relatórios agendados
3 Clique em Excluir.
4 Quando a caixa de diálogo de confirmação for exibida, clique em Sim.
196 Exibição e configuração de relatórios
Criação e exclusão de relatórios agendados
Capítulo 11
Exibição e configuração de
registros e notificações
Este capítulo contém os tópicos a seguir:
■ Sobre os registros
■ Exibição de registros
■ Uso de notificações
Sobre os registros
Ao usar os registros, você poderá visualizar eventos mais detalhados dos produtos
de segurança. Os registros incluem dados de eventos dos servidores de
gerenciamento, bem como de todos os clientes que se comunicam com esses
servidores. Como os relatórios são estáticos, e eles não contêm tantos detalhes
como os registros, alguns administradores preferem monitorar a rede
principalmente com os registros.
198 Exibição e configuração de registros e notificações
Sobre os registros
Você pode exportar alguns dados de eventos de registro para um arquivo separado
por vírgula para importação em uma planilha. É possível exportar outros dados
de registros para um arquivo de despejo ou um servidor Syslog.
Consulte “Exportação de dados do registro” na página 217.
Nota: Todos esses registros são acessados na página Monitores usando-se a guia
Registros. As informações sobre as notificações criadas podem ser exibidas na
guia Notificações e as informações sobre o status de comandos, na guia Status do
comando.
Nota: Caso você tenha apenas o Symantec Network Access Control instalado,
somente alguns registros conterão dados; outros registros estarão vazios. O registro
de auditoria, o registro de conformidade, o registro de status do computador e
registro do sistema contêm dados. Se tiver apenas o Symantec Endpoint Protection
instalado, os registros de conformidade e do Enforcer estarão vazios, mas todos
os outros registros conterão dados.
A Tabela 11-1 descreve os diferentes tipos de conteúdo que podem ser exibidos e
as ações que podem ser realizadas a partir de cada registro.
200 Exibição e configuração de registros e notificações
Sobre os registros
■ Servidor do Enforcer
Esse registro rastreia a comunicação entre Enforcers e o servidor de gerenciamento.
As informações registradas incluem o nome do Enforcer, quando ele se conecta
ao servidor de gerenciamento, o tipo de evento, o local e o nome do servidor.
■ Cliente do Enforcer
Fornece informações sobre todas as conexões do cliente do Enforcer, incluindo
as informações de autenticação ponto-a-ponto. Os dados disponíveis incluem o
nome, tipo, local, host remoto e endereço de MAC remoto de cada Enforcer, e se
o cliente passou, foi rejeitado ou autenticado.
■ Tráfego do Enforcer (somente Gateway Enforcer)
Fornece informações sobre o tráfego que se movimenta no dispositivo Enforcer.
Essas informações incluem a direção e a hora do tráfego, o protocolo usado, o
nome e o local do Enforcer. As informações incluem também a porta local usada,
a direção e uma contagem. É possível filtrar as tentativas de conexão que foram
permitidas ou bloqueadas.
■ Conformidade do host
Esse registro rastreia os detalhes da verificação de integridade do host dos clientes.
As informações disponíveis incluem a hora, o local, o sistema operacional, o motivo
das falhas e uma descrição.
Status do computador O registro de status do computador contém informações sobre o status operacional
em tempo real dos computadores-cliente na rede. As informações disponíveis incluem
nome e endereço IP do computador, hora do último acesso, data de definições, status
de infecção, status do Auto-Protect, servidor, grupo, domínio e nome de usuário.
É possível efetuar as seguintes ações a partir do registro de status do computador:
■ Verificar
Esse comando inicia uma verificação ativa, completa ou personalizada. As opções
de verificação personalizada são aquelas que você definiu para as verificações de
comando na página Verificações definidas pelo administrador. O comando usa as
configurações na Política antivírus e anti-spyware que se aplicam aos clientes
selecionados para a verificação.
■ Atualizar conteúdo
Esse comando aciona uma atualização das políticas, definições e do software a
partir do console para os clientes no grupo selecionado.
■ Atualizar conteúdo e verificação
Esse comando aciona uma atualização das políticas, definições e do software para
os clientes no grupo selecionado. Esse comando então inicia uma verificação ativa,
completa ou personalizada. As opções de verificação personalizada são aquelas
que você definiu para as verificações de comando na página Verificações definidas
pelo administrador. O comando usa as configurações na Política antivírus e
anti-spyware que se aplicam aos clientes selecionados para a verificação.
■ Cancelar todas as verificações
Esse comando cancela todas as verificações em execução e quaisquer verificações
em fila nos destinatários selecionados.
■ Reiniciar computadores
Esse comando reinicia os computadores selecionados. Se os usuários estiverem
conectados, eles serão avisados sobre o reinício com base nas opções que o
administrador tiver configurado para esse computador. É possível configurar as
opções de reinício do cliente na guia Configurações gerais das configurações da
caixa de diálogo Configurações gerais, na página Clientes.
■ Ativar Auto-Protect
Esse comando ativa o Auto-Protect em todos os computadores-cliente selecionados.
■ Ativar proteção contra ameaças à rede
Esse comando ativa a proteção contra ameaças à rede em todos os
computadores-cliente selecionados.
■ Desativar proteção contra ameaças à rede
Esse comando desativa a proteção contra ameaças à rede em todos os
computadores-cliente selecionados.
Proteção contra ameaças à Os registros de proteção contra ameaças à rede contêm informações sobre ataques
rede ao firewall e prevenção de intrusões. São disponibilizadas informações sobre ataques
de negação de serviço, verificação de portas e mudanças efetuadas em arquivos
executáveis. Os registros também contêm informações sobre conexões efetuadas por
meio do firewall (tráfego) e os pacotes de dados que passam por ele. Esse registros
contêm ainda algumas das mudanças operacionais que são efetuadas nos
computadores, como aplicativos de rede e configuração de software. As informações
disponíveis incluem itens como a hora, o tipo de evento e a ação tomada. As
informações adicionais abrangem a severidade, a direção, o nome do host, as ações
tomadas, o endereço IP e o protocolo envolvido.
Estão disponíveis os seguintes registros da proteção contra ameaças à rede:
■ Ataques
■ Tráfego
■ Pacote
Verificação proativa de O registro da verificação proativa de ameaças TruScan contém informações sobre as
ameaças TruScan ameaças detectadas durante uma verificação proativa de ameaças. As verificações
proativas de ameaças TruScan usam heurísticas para verificar o comportamento
similar a um comportamento de vírus e riscos à segurança. Esse método pode detectar
vírus e riscos à segurança desconhecidos. As informações disponíveis incluem itens
como a hora da ocorrência, o nome do evento, o computador e o usuário envolvidos,
o nome e o tipo do aplicativo e o nome do arquivo.
Risco O registro de riscos contém informações sobre eventos de risco. Algumas das
informações disponíveis contêm o nome e a hora do evento, o nome do usuário, o
computador, o nome do risco, a contagem, a fonte e o nome do caminho.
Nesse registro, é possível tomar as seguintes ações:
Sistema Os registros do sistema contêm informações sobre eventos, como quando um serviço
é iniciado ou interrompido. As informações disponíveis incluem itens como a hora e
o tipo de evento; o local, o domínio, o servidor envolvido e a severidade.
Os seguintes registros do sistema estão disponíveis:
■ Administrativo
■ Atividade do cliente servidor
■ Atividade do servidor
■ Atividade do cliente
■ Atividade do Enforcer
Lista de status do comando A lista de status do comando contém informações sobre o status dos comandos
executados no console. Ela inclui informações como a data em que o comando foi
executado, quem o emitiu e uma descrição. Inclui também o status de conclusão do
comando e os clientes afetados.
Lista de notificações A lista de notificações contém informações sobre eventos de notificação. Esses eventos
incluem informações como a data e a hora da notificação. Informa também se a
notificação foi confirmada, quem a criou, o assunto e a mensagem.
■ Status do site
■ Principais geradores de erro, por servidor
■ Principais geradores de erro, por cliente
■ Falhas de replicação ao longo do tempo
■ Principais geradores de erro, por Enforcer
Exibição de registros
Você pode gerar uma lista de eventos para exibir dos registros baseados em uma
coleção de configurações de filtro selecionadas por você. Cada tipo de registro e
conteúdo tem uma configuração padrão de filtro que pode ser usada como está
ou ser modificada. Você pode também criar e salvar novas configurações de filtro.
Esses novos filtros podem basear-se no filtro padrão ou em um filtro existente
criado previamente. Se você salvar a configuração do filtro, poderá gerar a mesma
exibição do registro mais tarde, sem precisar definir as configurações cada vez.
É possível excluir configurações personalizadas de filtro se você não precisar mais
delas.
Consulte “Como salvar e excluir filtros” na página 209.
Nota: Se forem gerados erros no banco de dados ao exibir os registros que incluem
uma grande quantidade de dados, você poderá alterar os parâmetros do tempo
limite do banco de dados.
Consulte “Alteração de parâmetros do tempo limite” na página 320.
Se surgirem erros CGI ou de processos concluídos, convém alterar outros
parâmetros do tempo limite.
Para obter informações sobre os parâmetros adicionais do tempo limite, consulte
o artigo da base de conhecimento da Symantec "Reporting server does not report
or shows a timeout error message when querying large amounts of data" (O
servidor de relatórios não relata ou mostra uma mensagem de erro do tempo limite
quando consulta grandes quantidades de dados).
Nota: Se você exibir dados do registro usando dados específicos, a opção Atualizar
automaticamente não será executada. Os dados sempre permanecem iguais.
208 Exibição e configuração de registros e notificações
Exibição de registros
Para obter uma descrição de cada opção configurável, clique em Mais informações
para esse tipo de relatório no console. A opção Mais informações exibe a ajuda
contextual.
Configuração Descrição
Utilizar um filtro salvo Especifica o filtro que você deseja usar para criar a exibição
de registro.
■ Últimas 24 horas
■ Última semana
■ Último mês
■ Mês atual
■ Últimos três meses
■ Último ano
■ Definir datas específicas
Nota: Não é possível filtrar os dados legados do Symantec Client Firewall para
assinaturas de prevenção de intrusões. Para ver as versões de assinatura
executadas em um computador, vá para o registro de status do computador.
Selecione um computador que tenha o Symantec Client Firewall instalado e, então,
clique em Detalhes. O campo Versão de IDS contém essas informações.
Para obter uma descrição de cada opção configurável, clique em Mais informações
para esse tipo de registro no console. A opção Mais informações exibe a ajuda
contextual.
Nota: Para selecionar os arquivos no arquivo compactado, você deve exibir todos
na exibição do registro. Use a opção Limite em Configurações avançadas do filtro
do registro de riscos para aumentar o número de entradas na exibição.
Exibição e configuração de registros e notificações 215
Execução de comandos e ações de registros
Para obter mais informações sobre as opções que podem ser definidas nesse
procedimento, clique em Ajuda, no console da guia Geral.
Para exportar dados do registro para um arquivo de despejo
1 No console, clique em Admin.
2 Clique em Servidores.
3 Clique no site local ou remoto para o qual você deseja configurar o registro
externo.
4 Clique em Configurar registro externo.
5 Na guia Geral, selecione com que freqüência deseja que os dados de registro
sejam enviados ao arquivo.
6 Selecione o servidor mestre de registro no qual você deseja lidar com o registro
externo.
Caso você use o Microsoft SQL com mais de um servidor de gerenciamento
conectado ao banco de dados, apenas um deles precisará ser um servidor
mestre de registro.
7 Selecione Exportar registros para um arquivo de despejo.
8 Se necessário, selecione Limitar os registros de arquivo de despejo e digite
um número de entradas que deseja enviar por vez ao arquivo de texto.
9 Na guia Filtro de registro, selecione todos os registros que deseja enviar para
os arquivos de texto.
Se o tipo de registro selecionado permitir selecionar o nível de gravidade,
selecione os níveis de gravidade que você deseja salvar. Todos os níveis
selecionados serão salvos.
10 Clique em OK.
220 Exibição e configuração de registros e notificações
Exportação de dados do registro
Para obter mais informações sobre as opções que podem ser definidas nesse
procedimento, clique em Ajuda, no console da guia Geral.
Para exportar dados de registro para um servidor Syslog
1 No console, clique em Admin.
2 Clique em Servidores.
3 Clique no site local ou remoto do qual você deseja exportar o registro.
4 Clique em Configurar registro externo.
5 Na guia Geral, selecione com que freqüência deseja que os dados de registro
sejam enviados ao arquivo.
6 Selecione o servidor que você deseja que lide com o registro externo.
Caso você use o Microsoft SQL e tenha mais de um servidor de gerenciamento
conectado ao banco de dados, será necessário que apenas um deles seja o
servidor mestre de registro.
7 Marque Ativar a transmissão de registros para um servidor Syslog.
8 Configure os seguintes campos conforme o desejado:
■ Servidor Syslog:
Digite o endereço IP ou nome do domínio do servidor Syslog que você
deseja que receba dados de registro.
■ Porta de destino UDP:
Digite a porta de destino que o servidor Syslog usará para escutar
mensagens de Syslog ou use a padrão.
■ Recurso de registro:
Digite o número do recurso de registro que você deseja que seja usado no
arquivo de configuração do Syslog ou use o padrão. Os valores válidos
variam de 0 a 23.
9 Na guia Filtro de registro, selecione todos os registros que deseja enviar para
os arquivos de texto. Se o tipo de registro selecionado permitir selecionar o
nível de gravidade, selecione os níveis de gravidade que você deseja salvar.
10 Clique em OK.
Exibição e configuração de registros e notificações 221
Uso de notificações
Uso de notificações
Notificações são mensagens sobre os eventos de segurança que ocorreram em sua
rede. Você pode configurar vários tipos diferentes de notificações para ocorrer.
Algumas notificações são dirigidas aos usuários e outras são dirigidas aos
administradores.
Você pode configurar as seguintes ações de notificação para alertar os
administradores ou outras pessoas designadas, quando diversas condições
diferentes relacionadas à segurança forem satisfeitas:
■ Enviar um e-mail.
■ Executar um arquivo de lote ou outro arquivo executável.
■ Registrar uma entrada no registro de notificações do banco de dados.
Consulte “Criação de notificações do administrador” na página 223.
222 Exibição e configuração de registros e notificações
Uso de notificações
Principais grupos com registros Use este relatório para verificar os grupos com maior
de controle de aplicativos com risco em sua rede.
maior número de alertas
Principais alvos bloqueados Use este relatório para verificar quais arquivos,
processos e outras entidades são usados com maior
freqüência em ataques contra sua rede.
Principais dispositivos bloqueados Use este relatório para descobrir quais dispositivos são
mais problemáticos do ponto de vista de
comprometimento da segurança de sua rede.
Registro de controle de aplicativos Use este registro para ver informações sobre as
seguintes entidades:
Nota: Se você não tiver o Symantec Network Access Control instalado, os registros
e relatórios de conformidade não conterão dados.
A Tabela 12-2 descreve alguns usos típicos para o tipo de informações que você
pode obter de relatórios e registros de conformidade.
Status de conformidade da rede Use este relatório para ver a conformidade geral, se os
clientes falharam nas verificações de integridade do
host ou na autenticação ou se foram desconectados.
Resumo de clientes por falha de Use este relatório para verificar os motivos gerais de
conformidade eventos de falha de controle, como antivírus, firewall
ou VPN.
Uso de monitores e relatórios para ajudar a proteger a rede 233
Sobre o uso de monitores e relatórios para ajudar a proteger a rede
Detalhes de falha de conformidade Use este relatório para verificar um nível maior de
detalhes sobre as falhas de conformidade. Ele exibe os
critérios e a regra envolvida em cada falha. Ele inclui
a porcentagem de clientes implantados e a
porcentagem que falhou.
Por exemplo, o resumo de falha de conformidade pode
exibir dez falhas de clientes devido ao software
antivírus. Por outro lado, os detalhes de falha de
conformidade exibem as seguintes informações:
Clientes sem conformidade por Use este relatório para verificar se alguns locais têm
local mais problemas de conformidade que outros.
Registro do servidor do Enforcer Use este registro para ver informações sobre os eventos
de conformidade do Enforcer, o nome do Enforcer
envolvido, seu site e seu servidor.
Entre outras coisas, este registro contém as seguintes
informações:
■ Que Enforcers não puderam registrar-se em seus
servidores
■ Que Enforcers receberam downloads de políticas
bem-sucedidos e o arquivo de comunicação
sylink.xml
■ Se o servidor dos Enforcers recebeu ou não os
registros com sucesso.
Registro do cliente do Enforcer Use este registro para verificar quais clientes passaram
ou falharam nas verificações de integridade do host,
foram autenticados ou rejeitados ou foram
desconectados da rede.
234 Uso de monitores e relatórios para ajudar a proteger a rede
Sobre o uso de monitores e relatórios para ajudar a proteger a rede
Registro de tráfego do Enforcer Use este registro para ver informações sobre o tráfego
que passa por um Enforcer.
As informações disponíveis são:
■ A direção do tráfego
■ A hora em que o tráfego iniciou e a hora em que foi
concluído
■ O protocolo usado
■ O endereço IP de origem e destino que foi usado
■ A porta que foi usada
■ O tamanho do pacote (em bytes)
■ As tentativas de conexão que foram permitidas ou
bloqueadas
Registro de conformidade do host Use este registro para ver informações específicas
sobre eventos de conformidade específicos. Esses
eventos incluem o motivo, o usuário envolvido e o nome
do sistema operacional envolvido.
Distribuição da definição de vírus Use esse relatório para garantir que todos os grupos,
domínios ou servidores da sua rede usem versões de
arquivos de definição de vírus atualizadas.
Uso de monitores e relatórios para ajudar a proteger a rede 235
Sobre o uso de monitores e relatórios para ajudar a proteger a rede
Computadores não conectados ao Use esse relatório para localizar os computadores que
servidor não tenham sido conectados a um servidor e que,
portanto, podem ter sido perdidos ou estão faltando.
Versões do produto Symantec Use esse relatório para verificar as versões de software
Endpoint Protection do produto, das definições de vírus, das assinaturas
IPS e do conteúdo de proteção proativa que estão sendo
usados em sua rede. Com essas informações é possível
localizar com precisão os computadores que precisam
de atualização.
Distribuição de assinatura de Use esse relatório para garantir que todos os grupos
prevenção de intrusões na sua rede usem assinaturas de prevenção de intrusões
atualizadas. Também é possível verificar quais
domínios ou servidores estão desatualizados.
Status on-line do cliente Use esse relatório para verificar quais grupos ou
sub-redes têm a maior porcentagem de clientes on-line.
Talvez você precise investigar porque motivo alguns
grupos ou sub-redes enfrentam mais problemas que
outros.
Clientes com a política mais Use esse relatório para verificar quais grupos ou
recente sub-redes têm a maior porcentagem de computadores
sem a política mais recente.
Contagem de clientes, por grupo Use esse relatório para verificar o número total de
clientes e usuários, por grupo.
236 Uso de monitores e relatórios para ajudar a proteger a rede
Sobre o uso de monitores e relatórios para ajudar a proteger a rede
Resumo do status de segurança Use esse relatório para verificar rapidamente o número
total de computadores que têm os seguintes problemas:
■ O Auto-Protect está desativado
■ O mecanismo do antivírus está desativado
■ A proteção contra adulterações está desativada
■ É necessário reiniciar o computador
■ O computador interrompeu uma verificação de
integridade do host
■ A proteção contra ameaças à rede está desativada
Versões do conteúdo de proteção Use esse relatório para verificar as versões do conteúdo
de proteção proativa em uso na rede, com o objetivo
de localizar com precisão algum computador que
precisa de atualização.
Clientes on-line/off-line ao longo Use esse relatório para localizar com precisão os
do tempo (snapshots) clientes que não se conectam à rede com a freqüência
necessária. Esse relatório está disponível somente como
relatório agendado.
Clientes com a política mais Use esse relatório para localizar com precisão os
recente ao longo do tempo clientes que não obtêm as atualização das políticas com
(snapshots) a freqüência necessária. Esse relatório está disponível
somente como relatório agendado.
Clientes sem conformidade ao Use esse relatório para localizar com precisão os
longo do tempo (snapshots) clientes que não passam nas verificações de integridade
do host com freqüência. Esse relatório está disponível
somente como relatório agendado.
Implantação das definições de Use esse relatório para verificar as versões das
vírus (snapshots) definições que os clientes possuem. Esse relatório está
disponível somente como relatório agendado.
Uso de monitores e relatórios para ajudar a proteger a rede 237
Sobre o uso de monitores e relatórios para ajudar a proteger a rede
Principais ocorrências de ataques, Use esse relatório para identificar os hosts que atacam
por origem sua rede com mais freqüência.
Principais tipos de ataques Use esse relatório para identificar os tipos de ataque
direcionados à sua rede mais freqüentemente. Os tipos
possíveis de ataque que você poderá monitorar incluem
verificações de portas, ataques de negação de serviço
e spoofing de MAC.
Ataques ao longo do tempo Use esse relatório para identificar os grupos, endereços
IP, sistemas operacionais e usuários mais
freqüentemente atacados na sua rede. Esse relatório
também pode ser usado para identificar o tipo de
ataque que ocorre mais freqüentemente.
Registro da verificação proativa Use esse registro se precisar de mais informações sobre
de ameaças TruScan eventos específicos de detecção de ameaças proativas.
Essas informações podem ser o nome do usuário
registrado quando a detecção ocorreu. Também é
possível usar os comandos desse registro para adicionar
entidades legítimas, como arquivos, pastas, extensões
e processos para a política de exceções centralizadas.
Após adicioná-los à lista, se uma atividade legítima for
detectada como um risco, ela não sofrerá nenhuma
ação.
A Tabela 12-6 descreve alguns usos típicos para o tipo de informações que você
pode obter de relatórios rápidos e registros de riscos.
Resumo da ação de detecção Use esse relatório para identificar ações que foram
tomadas quando os riscos foram detectados. Essas
informações também são exibidas na página Início do
Symantec Endpoint Protection.
Contagem de detecções de risco Use esse relatório para identificar os domínios, grupos
ou computadores em particular que tenham o maior
número de detecções de risco. Assim, é possível
investigar por que algumas entidades na sua rede
parecem estar mais em risco que outras.
Novos riscos detectados na rede Use esse relatório para identificar e rastrear o impacto
de novos riscos na sua rede.
Correlação de principais detecções Use esse relatório para ver correlações entre os riscos
de riscos e os computadores, usuários, domínios e servidores.
Resumo da distribuição de riscos Use esse relatório para rastrear a distribuição de riscos.
Também é possível usá-lo para localizar com precisão
Distribuição de riscos através do
riscos, domínios, grupos, servidores, computadores e
tempo
usuários em particular que parecem ter mais problemas
que outros. É possível usar a Distribuição de riscos ao
longo do tempo para verificar como esses riscos se
alteram ao longo do tempo.
Resumo de ação para principais Use esse relatório para consultar as ações tomadas
riscos para os riscos que o Symantec Endpoint Protection
detectou na sua rede.
Número de notificações Use esses relatórios para refinar o modo com que você
cria e configura as notificações em sua rede.
Número de notificações ao longo
do tempo
Epidemias semanais Use esse relatório para rastrear as epidemias por risco
a cada semana.
242 Uso de monitores e relatórios para ajudar a proteger a rede
Sobre o uso de monitores e relatórios para ajudar a proteger a rede
Relatório de risco abrangente Use esse relatório para verificar todos os relatórios de
distribuição e as informações sobre o relatório dos
novos riscos de uma só vez.
Computadores não verificados Use esse relatório para obter uma lista dos
computadores que não tenham sido verificados por um
período de tempo específico. Esse relatório também
fornece os endereços IP dos computadores por
domínios ou grupos específicos. Esses computadores
podem estar em risco.
Principais clientes geradores de Use esse relatório para verificar os clientes que geram
erros o maior número dos erros e avisos. Talvez você queira
observar o local e o tipo de usuários nesses clientes
para verificar porque eles enfrentam mais problemas
que outros. Consulte o registro do sistema para obter
detalhes.
Principais servidores geradores de Use esse relatório para verificar os servidores que
erros geram o maior número dos erros e avisos. Talvez você
queira observar esses servidores para verificar porque
eles enfrentam mais problemas do que o normal na sua
rede.
Principais Enforcers geradores de Use esse relatório para verificar os Enforcers que
erros geram o maior número dos erros e avisos. Talvez você
queira observar esses Enforcers para verificar porque
eles enfrentam mais problemas do que o normal na sua
rede.
244 Uso de monitores e relatórios para ajudar a proteger a rede
Sobre o uso de monitores e relatórios para ajudar a proteger a rede
Falhas de replicação do banco de Use esse relatório para identificar os servidores e sites
dados ao longo do tempo que enfrentam mais problemas com a replicação do
banco de dados Esse relatório também explica porque
as replicações podem falhar, para que seja possível
corrigir os problemas.
Status do site Use esse relatório para verificar como o seu servidor
lida com a carga do cliente. Com base nas informações
desse relatório, talvez você queira ajustar a carga.
■ Logons e logoffs
■ Alterações de políticas
■ Alterações de senha
■ Quando os certificados correspondem
■ Eventos da replicação
■ Eventos relacionados ao registro
Registro de atividade do cliente Use esse registro para observar todas as atividades do
servidor cliente que ocorrem em um servidor específico.
Por exemplo, é possível usar esse registro para observar
os itens a seguir:
Registro de atividade do servidor Dentre outras coisas, use esse registro pelos seguintes
motivos:
Registro de atividade do cliente Entre outras coisas, é possível usar esse registro para
monitorar as seguintes atividades relacionadas ao
cliente:
■ Quais clientes foram bloqueados do acesso à rede
■ Quais clientes precisam ser reiniciados
■ Quais clientes tiveram instalações bem-sucedidas
ou malsucedidas
■ Quais clientes tiveram problemas de inicialização
e encerramento de serviços
■ Quais clientes tiveram problemas de importação de
regras
■ Quais clientes tiveram problemas para fazer
download de políticas
■ Quais clientes tiveram falhas na conexão com o
servidor
Registro de atividade do Enforcer Use esse registro para monitorar os problemas com os
Enforcers. Nesse registro, é possível visualizar os
eventos de gerenciamento, eventos do Enforcer, ativar
eventos e eventos de políticas. É possível filtrá-los pelo
nível de gravidade.
Por exemplo, é possível usar esse registro para
solucionar os seguintes tipos de problemas:
■ Conectividade do Enforcer
■ Importação e aplicação de políticas e de
configurações
■ Inicializações, interrupções e pausas do Enforcer
Nota: Se você não tem o Symantec Network Access Control instalado, o registro
de atividade do Enforcer e as entradas em outros registros que se aplicam aos
Enforcers estão vazios.
■ Um script falhou.
■ O local do computador mudou.
Para localizar os clientes que estão off-line
1 No console, clique em Monitores.
2 Na guia Registros, a partir da caixa de listagem Tipo de registro, clique em
Status do computador.
3 Clique em Configurações avançadas.
4 Na caixa de diálogo Status on-line, clique em Off-line.
5 Clique em Exibir registro.
Por padrão, será exibida uma lista dos computadores que ficaram off-line
durante as últimas 24 horas. A lista inclui o nome de cada computador, o
endereço IP e a última vez que ele acessou o servidor. Você pode ajustar o
intervalo de tempo para exibir computadores off-line para qualquer intervalo
de tempo que deseja verificar.
Seção 2
Tarefas administrativas
avançadas
■ Gerenciamento de servidores
■ Replicação de dados
8 Clique em OK.
Os computadores agora serão exibidos na lista de exceções. Para cada endereço
IP e máscara, será exibido o status de permissão.
Se você alterar o Acesso concedido ou Acesso negado ou vice-versa, todas as
exceções serão alteradas. Se você tiver criado exceções para negar acesso,
agora elas terão acesso.
9 Clique em Editar tudo para alterar os endereços IP ou nomes do host desses
computadores exibidos na lista de exceções.
O Editor de endereço IP será exibido. O Editor de endereço IP é um editor de
texto que permite que você edite endereços IP e máscaras de sub-rede.
10 Clique em OK.
11 Quando você concluir o acréscimo de exceções à lista ou a edição da lista,
clique em OK.
■ Para especificar com que freqüência quer sincronizar (em horas), clique
em Sincronizar a cada e especifique o número de horas.
8 Clique em OK.
CN CommonName
DC DomainComponent
L LocalityName
ST StateOrProvinceName
O OrganizationName
OU OrganizationalUnitName
C CountryName
RUA StreetAddress
Nem todos os servidores LDAP são compatíveis com todas as opções. Por
exemplo o Microsoft Active Directory não aceita O.
A ordem na qual os pares atributo=valor são especificados é importante
porque indica o local da entrada na hierarquia de diretórios LDAP.
Se durante a instalação de um servidor do diretório, foi especificado um nome
de domínio do tipo DNS como itsupport.sygate.com, você pode consultar um
servidor de diretórios, já que itsupport é um nome de domínio típico do NT
NetBIOS.
Para consultar esse servidor do Active Directory, especifique a base da
pesquisa de LDAP nesta ordem:
o=mycorp.com ou o=engineering.mycorp.com
5 Clique em Adicionar para que os nomes dos novos usuários sejam exibidos
na árvore do grupo.
6 Repita esse processo para adicionar usuários aos outros grupos, se necessário,
até ter adicionado todos os novos usuários.
7 Clique em Fechar.
■ Um cartão ou token ("key fob") SecurID sincronizado foi atribuído a uma conta
do Symantec Endpoint Protection Manager. O nome de logon deve estar ativado
no servidor RSA ACE
■ O PIN ou a senha RSA do administrador está disponível
A Symantec aceita os seguintes tipos de logon RSA:
■ Token do RSA SecurID (não tokens do RSA do software)
■ Cartão do RSA SecurID
■ Cartão do teclado numérico do RSA (não cartões inteligentes do RSA)
Para efetuar logon no Symantec Endpoint Protection Manager com o SecurID
RSA, o administrador precisa de um nome de logon, do token (hardware) e de um
código de identificação.
sua empresa já tiver suporte para um servidor MS SQL, você poderá aproveitar
as vantagens do hardware e software existentes. Os servidores MS SQL geralmente
permitem suporte a um número maior de clientes.
Um banco de dados contém informações sobre as políticas de segurança e aplicação.
Além disso, todas as configurações, dados sobre ataques, logs e relatórios também
estão incluídos no banco de dados. Portanto, você pode monitorar brechas de
segurança na rede.
As informações no banco de dados são armazenadas em tabelas, os tão conhecidos
esquemas de bancos de dados. Os esquemas são fornecidos para administradores
que podem precisar deles para relatórios especializados.
Consulte a documentação do Microsoft SQL Server para obter mais detalhes sobre
como fazer a manutenção do banco de dados.
300 Gerenciamento de banco de dados
Backup de um banco de dados do Microsoft SQL
7 Clique em OK.
Na hora agendada, os backups ocorrerão automaticamente e serão colocados
em um arquivo .zip rotulado com a data na qual o backup ocorrerá. O arquivo
de backup é armazenado em uma pasta de backup criada no caminho
especificado para a raiz dos dados do servidor.
Por exemplo, um arquivo de backup criado em 1 de agosto de 2007 às 9h46 é
chamado de 2007-Aug-01_09-46-13-AM.zip.
11 Clique em Sair.
12 Clique em Iniciar > Programas >Symantec Endpoint Protection Manager
se você tiver restaurado o banco de dados em outro computador porque precisa
excluir o servidor de banco de dados antigo. Caso contrário, a restauração do
banco de dados estará concluída.
13 Efetue login no console do Symantec Endpoint Protection Manager.
14 Clique em Admin.
15 Clique em Servidores.
16 Na página Admin, em Tarefas, clique com o botão direito do mouse no servidor
de banco de dados antigo e selecione Excluir.
17 Reconfigure critérios adicionais, como nomes de usuário e senhas, se
necessário.
Consulte “Reconfiguração de um banco de dados do Microsoft SQL ”
na página 307.
Você pode realizar uma remoção de registro manual após fazer backup do banco
de dados, caso prefira usar esse método como parte da manutenção de rotina do
banco de dados.
Se você permitir que uma remoção automática ocorra, poderá perder alguns dados
de registro, caso seus backups do banco de dados não ocorram com freqüência
suficiente. Se você realizar uma remoção de registro manual regularmente, depois
de ter feito um backup do banco de dados, ela garantirá a manutenção de todos
os seus dados de registro. Esse procedimento é muito útil, se você mantiver seus
registros por um período de tempo relativamente longo, como um ano, por exemplo.
Para obter uma descrição de cada opção configurável, você pode clicar em Mais
informações para esse tipo de relatório no console. A opção Mais informações
exibe a ajuda contextual.
Para fazer as configurações de registro para os servidores de um site
1 No console, clique em Admin.
2 No canto inferior esquerdo, clique em Servidores.
3 Selecione o site que deseja configurar.
4 Em Tarefas, clique em Editar propriedades do site.
5 Na guia Configurações de registro, configure o número de entradas e o número
de dias para manter as entradas de registro para cada tipo de registro.
Você pode configurar os tamanhos dos registros de servidor de gerenciamento,
dos registros do cliente e dos registros do Enforcer.
6 Clique em OK.
314 Gerenciamento de banco de dados
Sobre o gerenciamento de dados de registro
Local Descrição
Na página Políticas, Política Use este local para configurar a inclusão de eventos de
antivírus e anti-spyware, riscos. O padrão de tempo de inclusão é 5 minutos. A
Miscelânea, guia Manuseio de primeira ocorrência de um evento é registrada
registros imediatamente. As ocorrências subseqüentes dos
mesmos eventos são incluídas e o número de
ocorrências é registrado no cliente a cada 5 minutos.
Na página Cliente, página Use este local para configurar a inclusão de eventos de
Políticas, Configurações do Proteção contra ameaças à rede. Eventos são realizados
registro de cliente nos clientes para o período de amortecedor, antes que
sejam agregados em um único evento e seu upload
então feito para o console. O período de amortecedor
ajuda a reduzir os eventos para um número gerenciável.
A configuração do período padrão de amortecedor é
Auto (automático). O período de amortecedor ocioso
determina o período de tempo que deverá transcorrer
entre as entradas no registro antes que a próxima
ocorrência seja considerada uma nova entrada. O
padrão de amortecedor ocioso é 10 segundos.
■ Risco
■ Segurança
■ Sistema
■ Tráfego
Se você tem o Symantec Network Access Control instalado, pode ativar e desativar
o registro e enviar registros do Enforcer para o servidor de gerenciamento. Você
também pode configurar o número de entradas de registro e o número de dias que
as entradas são mantidas no cliente.
Para obter mais informações sobre os registros do Enforcer, consulte o Guia de
Implementação do Symantec Network Access Control Enforcer.
Para os registros de segurança, risco e tráfego, você também pode configurar o
período do amortecedor e o período de amortecedor ocioso a serem usados para
inclusão de eventos.
Você pode configurar se vai ou não fazer upload de cada tipo de registro do cliente
no servidor e o tamanho máximo dos uploads.
Se você optar por não fazer upload dos registros do cliente, isso terá as seguintes
conseqüências:
■ Você não poderá exibir os dados do registros do cliente a partir do console,
usando a guia Registros no painel Monitoramento.
■ Você não poderá fazer backup dos registros do cliente quando fizer o backup
do banco de dados.
■ Você não poderá exportar os dados do registro do cliente para um arquivo ou
para um servidor de registro centralizado.
Para definir as configurações do registro de cliente
1 No console, clique em Clientes.
2 Na guia Políticas, em Políticas e configurações independentes do local, em
Configurações, clique em Configurações do registro de cliente.
3 Na caixa de diálogo Configurações do registro de cliente para nome do grupo,
configure o tamanho máximo de arquivo e o número de dias a manter as
entradas de registro.
4 Marque Fazer upload para o servidor de gerenciamento para todos os
registros que você queira que os clientes encaminhem para o servidor.
316 Gerenciamento de banco de dados
Sobre o gerenciamento de dados de registro
O valor padrão é 0.
constantemente. Se a atividade dos riscos for muito intensa, convém excluir alguns
dados para proteger o espaço em disco disponível no servidor.
■ Replicação de logs
Site 1 Site 2
Replicação
Replicação
Site 3
Symantec Endpoint
Protection Manager
Banco de
dados MS SQL
10 Clique em Avançar.
11 No painel Replicação de arquivos de registro e pacotes de clientes, marque
ou desmarque as opções, dependendo se você quer ou não replicar registros.
A configuração padrão é desmarcada.
12 Clique em Avançar.
13 Clique em Concluir.
O site parceiro de replicação é adicionado em Parceiros de replicação na página
Admin.
5 Clique em Sim quando solicitado para verificar se deseja iniciar uma replicação
agora.
A seguinte mensagem será exibida:
5 Clique em OK.
Replicação de logs
Você pode especificar se deseja replicar ou duplicar logs, bem como o banco de
dados de um parceiro de replicação. Você pode especificar a replicação dos logs
ao adicionar parceiros de replicação ou editar as propriedades do parceiro de
replicação. Se pretender replicar registros, certifique-se de ter suficiente espaço
em disco para os registros adicionais em todos os computadores parceiros de
replicação.
Consulte “Exibição de registros de outros sites” na página 209.
Para replicar logs entre os parceiros de replicação
1 No console do Symantec Endpoint Protection Manager, clique em Admin.
2 Na página Admin, em Exibir, clique em Parceiros de replicação.
3 Expanda Parceiros de replicação e selecione o parceiro de replicação para o
qual você deseja iniciar a geração dos logs de replicação.
4 Na página Admin, em Tarefas, clique em Editar propriedades do parceiro
de replicação.
5 Na caixa de diálogo Propriedades do parceiro de replicação, sob Parceiro,
clique em Replicar registros deste site de parceiro para o site local ou em
Replicar registros deste site de parceiro para o site local.
6 Clique em OK.
334 Replicação de dados
Replicação de logs
Capítulo 22
Gerenciamento da proteção
contra adulteração
Este capítulo contém os tópicos a seguir:
■ Ela envia uma mensagem padrão ao usuário quando ela detecta uma tentativa
de adulteração.
Quando um cliente é instalado como cliente gerenciado, a proteção contra
adulteração tem estes valores padrão:
■ A proteção contra adulteração está ativada.
■ A ação que a proteção contra adulteração realiza quando ela detecta um
tentativa de adulteração é somente registrar o evento.
■ Ela não envia uma mensagem ao usuário quando ela detecta uma tentativa de
adulteração.
Campo Descrição
■ Sobre as políticas
■ Exemplos de políticas
Você deve criar políticas compartilhadas porque pode facilmente editar e substituir
uma política em todos os grupos e locais que a utilizem. Porém pode precisar de
uma política especializada para um local específico já existente. Nesse caso, pode
criar uma política exclusiva para um local.
Quando uma nova política é criada, normalmente você edita uma política padrão.
Uma política padrão sempre inclui regras e configurações de segurança padrão.
Você aplica uma política separada a cada grupo de usuários ou computadores.
Entretanto, também pode aplicar políticas de segurança separadas a cada local
de grupo. Por exemplo, um grupo que tenha diversos locais atribuídos. Cada usuário
pode conectar-se à rede corporativa a partir de diferentes locais, no escritório ou
em casa. Pode ser necessário aplicar uma política diferente com seu próprio
conjunto de regras e configurações para cada local.
Exemplos de políticas
Por exemplo, os usuários remotos geralmente usam DSL e ISDN para os quais é
necessário uma conexão VPN. Outros usuários remotos podem precisar discar
quando se conectam à rede corporativa. Os funcionários que trabalham no
escritório geralmente usam uma conexão Ethernet. No entanto, os grupos de
marketing e vendas também podem usar conexões sem fio. Cada um desses grupos
Sobre as políticas 347
Exemplos de políticas
precisa de sua própria política de firewall para os locais de onde se conecta à rede
corporativa.
Você pode implementar uma política restritiva em relação à instalação de
aplicativos não aprovados na maioria das workstations dos funcionários para
proteger a rede corporativa contra ataques. O grupo de TI pode exigir o acesso
aos aplicativos adicionais. Portanto, o grupo de TI precisará de uma política de
segurança menos restritiva do que os funcionários típicos. Nesse caso, você pode
criar uma política de firewall diferente para o grupo de TI.
348 Sobre as políticas
Exemplos de políticas
Capítulo 24
Gerenciamento da herança
de um grupo para locais e
políticas
Este capítulo contém os tópicos a seguir:
Nenhuma condição específica Selecione essa opção para que o cliente possa escolher
esse local caso vários locais estejam disponíveis.
Intervalo de endereço IP Selecione essa opção para que o cliente possa escolher
esse local se o seu endereço IP estiver incluído em um
intervalo específico. Você deve especificar o endereço
IP inicial e o endereço IP final.
Endereço e máscara de Selecione essa opção para que o cliente possa escolher
sub-rede esse local se sua máscara e seu endereço de sub-rede
estiverem especificados.
Servidor DNS Selecione essa opção para que o cliente possa escolher
esse local caso conecte-se ao servidor DNS especificado.
O cliente pode determinar o Selecione essa opção para que o cliente possa escolher
nome do host esse local caso ele conecte-se ao nome de domínio e ao
endereço determinado pelo DNS.
O cliente pode conectar-se ao Selecione essa opção para que o cliente possa escolher
servidor de gerenciamento esse local caso conecte-se ao servidor de gerenciamento
especificado.
Tipo de conexão de rede Selecione essa opção para que o cliente possa escolher
esse local caso ele conecte-se ao tipo de conexão de
rede especificada. O cliente alternará para esse local
quando usar uma das seguintes conexões:
■ Qualquer rede
■ Rede discada
■ Ethernet
■ Conexão sem fio
■ Check Point VPN-1
■ Cisco VPN
■ Microsoft PPTP VPN
■ Juniper NetScreen VPN
■ Nortel Contivity VPN
■ SafeNet SoftRemote VPN
■ Aventail SSL VPN
■ Juniper SSL VPN
8 Clique em Avançar.
9 No painel Assistente de Adição de local completo, clique em Concluir.
Gerenciamento de locais de um grupo 357
Adição de um local sem um assistente
Consulte “Como adicionar uma política não compartilhada na página Clientes com
um assistente” na página 365.
Use uma política compartilhada Cria uma política não compartilhada a partir
existente de uma política compartilhada do mesmo
tipo. Se você editar essa política, ela será
alterada em todos os locais que a utilizam.
Importar uma política de um arquivo Cria uma política não compartilhada a partir
de políticas de um arquivo formatado como .dat que foi
exportado previamente.
8 Você pode clicar em um link para obter o tipo de política que deseja editar:
Nota: Você deve retirar uma política de todos os grupos e locais para que seja
possível excluí-la. Não é possível retirar uma política antivírus e anti-spyware ou
uma política do LiveUpdate de um local ou de um grupo. Somente é possível
substituí-las por outra política antivírus e anti-spyware ou política do LiveUpdate.
Nota: Você deve primeiro retirar uma política atribuída a um grupo ou a um local
para que seja possível excluir a política. Não é possível retirar uma política
antivírus e anti-spyware ou um política do LiveUpdate. Em vez disso, é necessário
primeiro substituí-la com outra política anti-spyware ou política do LiveUpdate.
Então, você pode excluir a política anti-spyware ou política do LiveUpdate original.
É necessário ter, pelo menos, uma política anti-spyware e uma política do
LiveUpdate para cada grupo e local.
modo push O cliente estabelece uma conexão HTTP permanente com o servidor
de gerenciamento. Sempre que ocorrer uma alteração no status do
servidor de gerenciamento, o cliente será notificado imediatamente.
382 Envio e obtenção de políticas entre servidores de gerenciamento, clientes e Enforcers opcionais
Especificação do modo push ou pull
Sobre a pulsação
Uma pulsação é a freqüência na qual os computadores-cliente fazem o upload dos
dados e o download das políticas. Uma pulsação é um protocolo que cada cliente
usa para se comunicar com o Symantec Endpoint Protection Manager. A freqüência
de pulsação é um fator essencial para o número de clientes que cada Symantec
Endpoint Protection Manager pode suportar. A Symantec Corporation recomenda
o seguinte para grandes implementações. Em implementações de 1.000 locais ou
mais, deve-se definir a freqüência de pulsação para a duração máxima que atenda
aos requisitos de segurança da empresa.
Por exemplo, se você quiser atualizar as políticas de segurança e reunir os registros
diariamente, defina a freqüência de pulsação para 24 horas. Essa configuração
permite que cada cliente se comunique com o Symantec Endpoint Protection
Manager logo depois que você reiniciar o Symantec Endpoint Protection Manager.
A primeira vez que a pulsação ocorre depende da freqüência de pulsação definida.
A primeira ocorrência da pulsação é calculada da seguinte forma:
freqüência de pulsação x 0,05 (5%)
Quando você define uma freqüência de pulsação para 30 minutos, a primeira
pulsação ocorre em 90 segundos. Esse intervalo é calculado como 5% da
configuração de pulsação. Se você definir uma freqüência de pulsação de 30
minutos ou menos, limitará o número total de clientes que o Symantec Endpoint
Protection Manager pode suportar. Em implementações maiores (mil locais ou
mais) pode ser necessário definir uma freqüência de pulsação alta em cada
Symantec Endpoint Protection Manager. Nesse caso, consulte os serviços
profissionais da Symantec ou o suporte corporativo Symantec para avaliar a
configuração, os componentes de hardware e a arquitetura de rede apropriados,
necessários para seu ambiente de rede.
8 Clique em OK.
Para especificar o modo push ou pull em um local
1 No console, clique em Clientes.
2 Na página Clientes, em Exibir clientes, selecione o grupo para o qual você
deseja especificar se vai enviar ou receber políticas.
3 Na página Clientes, clique na guia Políticas.
4 Na guia Políticas, desmarque Herdar políticas e configuração do grupo pai
“Global”.
5 Em Políticas e configurações específicas do local, em Políticas específicas de
local do local que você quer modificar, expanda Configurações específicas
de local.
6 Em Configurações específicas de local, à direita de Configurações de
comunicações, clique em Tarefas > Editar configurações, desmarque Usar
as configurações de comunicações do grupo.
7 À direita de Configurações de comunicações, clique em Local - Push ou (Local
- Pull).
8 Realize uma das seguintes tarefas:
■ Clique em Modo push.
■ Clique em Modo pull e, em Intervalo de pulsação, defina o número de
minutos ou horas.
9 Clique em OK.
384 Envio e obtenção de políticas entre servidores de gerenciamento, clientes e Enforcers opcionais
Especificação do modo push ou pull
Capítulo 28
Configuração de aplicativos
reconhecidos
Este capítulo contém os tópicos a seguir:
Por exemplo, você pode descobrir a versão do Internet Explorer que cada
computador-cliente usa.
Nota: Em alguns países, pode não ser permitido pelas leis locais usar a ferramenta
de aplicativos conhecidos em determinadas circunstâncias, como para obter
informações de uso do aplicativo a partir de um laptop quando o funcionário se
registrar na rede do seu escritório a partir de sua residência usando um laptop.
Antes de usar essa ferramenta, confirme se o uso é permitido para os seus fins na
sua jurisdição. Se não for permitido, siga as instruções para desativar a ferramenta.
Nota: É possível modificar essa configuração somente para os subgrupos que não
herdaram as políticas e configurações de um grupo pai.
■ Configuração do Auto-Protect
■ Sobre a verificação
Tarefa Descrição
Mapear a topologia da sua rede. Prepare um mapa da topologia da rede para isolar e
limpar os computadores sistematicamente, por
segmentos, antes de reconectá-los à rede local.
Seu mapa deve conter as seguintes informações:
Tarefa Descrição
Ter um plano de backup. No caso de uma infecção catastrófica, talvez seja preciso
restaurar os computadores-cliente. Certifique-se de que
você tenha um plano de backup em vigor para restaurar
computadores essenciais.
http://www.symantec.com/pt/br/security_response/
Risco Descrição
Risco Descrição
Risco Descrição
Risco Descrição
Sobre a verificação
Você pode incluir os seguintes tipos de verificação na política antivírus e
anti-spyware:
■ Verificações antivírus e anti-spyware
■ Verificações do Auto-Protect
■ Verificações definidas pelo administrador
Nota: Por motivo de desempenho, não há suporte para o Auto-Protect para e-mail
de Internet para POP3 em sistemas operacionais de servidor. Em um servidor do
Microsoft Exchange, você não deve instalar o Auto-Protect do Microsoft Outlook.
Mesmo que o seu sistema de e-mail não esteja entre os formatos de dados
suportados, você pode proteger a sua rede ativando o Auto-Protect para o sistema
de arquivos. Se um usuário receber uma mensagem com um anexo infectado em
um sistema de e-mail Novell GroupWise, o Auto-Protect poderá detectar o vírus
quando abrir o anexo. Isso acontece porque a maioria dos programas de e-mail
salvam os anexos em um diretório temporário quando os usuários abrem os anexos
do programa de e-mail. Se você ativar o Auto-Protect no seu sistema de arquivos,
ele detectará o vírus quando ele for gravado no diretório temporário. O
Auto-Protect também detectará o vírus se o usuário tentar salvar o anexo infectado
em uma unidade local ou unidade da rede.
Tipo Descrição
386 Driver
AX Arquivo AX
BAT Lote
BTM Lote
BIN Binário
COM Executável
DRV Driver
EXE Executável
HTM HTML
HTML HTML
HTT HTML
JS JavaScript
JTD Ichitaro
OV? Sobreposição
VBS VBScript
4 Clique em OK.
4 Clique em OK.
Configurações básicas da política antivírus e anti-spyware 423
Exibição de um aviso quando as definições estiverem desatualizadas ou ausentes
Para especificar um URL para ser exibido nas notificações de erro do antivírus e
anti-spyware
1 Na página Política antivírus e anti-spyware, clique em Miscelânea.
2 Na guia Notificações, marque Exibir mensagens de erro com um URL para
obter uma solução.
3 Selecione uma das opções a seguir:
■ Exibir o URL de um artigo do Symantec Technical Support Knowledge
Base
■ Exibir um URL personalizado
Configurações básicas da política antivírus e anti-spyware 425
Especificação de um URL para uma página inicial do navegador
Aviso: se selecionar extensões que você deseja verificar, todas as demais extensões
não serão protegidas contra vírus e riscos à segurança.
Nota: Para os riscos à segurança, use a ação de exclusão com cuidado. Em alguns
casos, excluir riscos à segurança pode prejudicar a funcionalidade dos aplicativos.
Configurações básicas da política antivírus e anti-spyware 429
Configuração de opções aplicáveis a verificações antivírus e anti-spyware
Campo Descrição
Nota: Somente os itens em quarentena que são detectados por meio das verificações
de antivírus e anti-spyware podem ser enviados ao servidor da quarentena central.
Os itens em quarentena que são detectados através das verificações proativas de
ameaças não podem ser enviados.
Clique em Ajuda para obter mais informações sobre as opções usadas nos
procedimentos.
Para configurar o Auto-Protect do sistema de arquivos
1 Na página Política antivírus e anti-spyware, clique em Auto-Protect do
sistema de arquivos.
2 Na guia Detalhes da verificação, marque ou desmarque Ativar o Auto-Protect
do sistema de arquivos.
444 Configuração do Auto-Protect
Configuração do Auto-Protect do sistema de arquivos
8 Clique em OK.
9 Sob Configurações flexível, marque ou desmarque Verificar vírus quando
as unidades de disquete forem acessadas.
10 Se você marcou Verificar vírus quando as unidades de disquete forem
acessadas, defina a ação que você deseja tomar quando um vírus for
encontrado, para limpar no registro de inicialização ou para fazer login e sair
sozinho.
11 Na guia Ações, selecione qualquer uma das seguintes opções.
Consulte “Configuração de ações para detecções de vírus e riscos à segurança
conhecidos” na página 428.
12 Na guia Notificações, defina as opções de notificação.
Consulte “Configuração das opções de notificação para o Auto-Protect”
na página 451.
13 Na guia Avançado, defina estas opções:
■ Inicialização e desligamento
■ Opções de recarga
Configuração do Auto-Protect 445
Configuração do Auto-Protect do sistema de arquivos
Campo Descrição
Campo Descrição
Campo Descrição
■ A ação tomada
■ O status de infecção do arquivo
Você pode personalizar o assunto e o corpo da mensagem.
Essa mensagem de e-mail contém um campo chamado RemetentedeEmail. Você
pode personalizar a mensagem padrão.
A mensagem seria semelhante a esta:
Clique em Ajuda para obter mais informações sobre as opções usadas nos
procedimentos.
Para adicionar avisos a mensagens de e-mail infectadas
1 Na página Política antivírus e anti-spyware, efetue uma das seguintes ações:
■ Clique em Auto-Protect para e-mail da Internet.
■ Clique em Auto-Protect do Microsoft Outlook.
■ Clique em Auto-Protect do Lotus Notes.
Nota: Tenha cuidado ao configurar as opções para notificar outros sobre mensagens
de e-mail infectadas. O endereço da mensagem de e-mail infectada pode ser
falsificado. Se você enviar notificações, poderá gerar spams e causar o aumento
do tráfego na rede.
Você pode enviar uma mensagem de e-mail para outros usuários com o seguinte
assunto:
Risco à segurança encontrado na mensagem "[AssuntodeEmail]"
O conteúdo da mensagem inclui informações sobre o remetente do anexo infectado:
O Symantec Endpoint Protection encontrou um risco à segurança em um anexo
de [RemetentedeEmail].
Para cada arquivo infectado, as seguintes informações também são adicionadas
à mensagem de e-mail:
■ O nome do arquivo anexado
■ O nome do risco
■ A ação tomada
■ O status de infecção do arquivo
A mensagem também pode ser personalizada.
Para notificar outros de mensagens de e-mail infectadas
1 Na página Política antivírus e anti-spyware, efetue uma das seguintes ações:
■ Clique em Auto-Protect para e-mail da Internet.
■ Clique em Auto-Protect do Microsoft Outlook.
■ Clique em Auto-Protect do Lotus Notes.
7 Clique em OK.
8 Se você tiver concluído a configuração desta política, clique em OK.
Caso não queira usar a configuração padrão, você pode especificar outro intervalo
de tempo para a execução de uma verificação agendada.
Clique em Ajuda para obter mais informações sobre as opções usadas nesse
procedimento.
Você pode definir as opções para as verificações agendadas perdidas ao criar uma
verificação agendada ou ao editar uma verificação agendada existente.
Para definir opções para as verificações agendadas perdidas
1 Na página Política antivírus e anti-spyware, clique em Verificações definidas
pelo administrador.
2 Na guia Verificações, em Verificações agendadas, execute uma das seguintes
opções:
■ Clique em Adicionar e, em seguida, na caixa de diálogo Adicionar
verificação agendada e certifique-se de selecionar a opção Criar uma nova
verificação agendada. Clique em OK.
■ Selecione uma verificação na lista e clique em Editar.
Uso das verificações definidas pelo administrador 463
Adição de verificações agendadas a uma política antivírus e anti-spyware
Nota: Você pode executar uma Verificação ativa ou uma verificação completa sob
demanda.
7 Clique em OK.
4 Clique em OK.
470 Uso das verificações definidas pelo administrador
Configuração de opções avançadas para verificações definidas pelo administrador
Seção 5
Configuração da proteção
contra ameaças à rede
■ Sobre o firewall
Sobre o firewall
O firewall do Symantec Endpoint Protection é um software que estabelece uma
barreira entre o computador e a Internet. O firewall impede que usuários não
autorizados acessem os computadores e redes que se conectam à Internet. Ele
detecta possíveis ataques de hackers, protege informações pessoais e elimina
fontes indesejadas do tráfego da rede.
Computador-cliente
Todas as informações que entram ou saem da rede privada devem passar pelo
firewall, que examina os pacotes de informações. O firewall bloqueia os pacotes
que não atendam aos critérios de segurança especificados. O firewall examina os
pacotes de informações utilizando uma política de firewall. As políticas de firewall
consistem em uma ou mais regras que funcionam juntas para dar pemissão ou
bloquear usuários no acesso à rede. Somente tráfegos autorizados podem passar.
A política de firewall define o tráfego autorizado.
O firewall funciona em segundo plano. Determine o nível de interação com o
cliente que deseja atribuir aos usuários, permitindo ou bloqueando sua capacidade
de configurar regras e configurações de firewall. Os usuários podem interagir com
476 Configurações básicas da proteção contra ameaças à rede
Sobre o trabalho com políticas de firewall
Você pode definir um local para controle de cliente ou controle misto para que o
usuário possa personalizar a política de firewall.
Consulte “Configuração da proteção contra ameaças à rede para controle misto”
na página 515.
Você cria e edita as políticas de firewall de modo semelhante ao usado para criar
e modificar outros tipos de políticas. Você pode atribuir, retirar, substituir, copiar,
exportar, importar ou excluir uma política de firewall.
Você geralmente atribui uma política a vários grupos em sua rede de segurança.
Você poderá criar uma política não compartilhada e específica para um local se
tiver requisitos específicos para um local em particular.
Você deve estar familiarizado com os princípios da configuração da política para
trabalhar com políticas.
Consulte “Sobre o trabalho com políticas” na página 362.
Uma regra que combine todos os critérios pode permitir tráfego ao endereço IP
192.58.74.0 na porta remota 80, das 9 h às 17 h diariamente.
Não devem ser usadas regras de aplicativos para controlar o tráfego no nível da
rede. Por exemplo, uma regra que bloqueia ou limita o uso do Internet Explorer
não teria qualquer efeito se o usuário usasse um outro navegador da Web. O tráfego
gerado por outro navegador da Web seria comparado a quaisquer outras regras,
com exceção da regra do Internet Explorer. Regras baseadas em aplicativos são
mais eficientes quando as regras são configuradas para bloquear os aplicativos
que enviam e recebem tráfego.
A Figura 32-1 ilustra a relação entre a origem e o destino com relação à direção
de tráfego.
480 Configurações básicas da proteção contra ameaças à rede
Sobre as regras de firewall
Origem Destino
` HTTP
Symantec.com
Cliente SEP
Origem Destino
` RDP
`
Cliente SEP
Outro cliente
A Figura 32-2 ilustra a relação entre o host local e o host remoto com relação à
direção de tráfego.
Local Remota
` HTTP
Symantec.com
Cliente SEP
Local Remota
` RDP
`
Cliente SEP
Outro cliente
Você pode definir vários hosts de origem e vários hosts de destino. Os hosts que
você definir em qualquer lado da conexão serão avaliados com o uso de uma
expressão OR. A relação entre hosts selecionados será avaliada com o uso de uma
expressão AND.
Configurações básicas da proteção contra ameaças à rede 481
Sobre as regras de firewall
Por exemplo, considere uma regra que define um único host local e vários hosts
remotos. Enquanto o firewall examina os pacotes, o host local deve corresponder
ao endereço IP de relevância. Entretanto, os lados do endereço que se opõem devem
corresponder a qualquer host remoto. Por exemplo, você pode definir uma regra
que permita comunicação HTTP entre o host local e symantec.com, yahoo.com
ou google.com. Essa única regra equivale a três regras.
Consulte “Adição de hosts e grupos de hosts a uma regra” na página 518.
Você pode definir vários protocolos. Por exemplo, uma regra pode incluir os
protocolos ICMP, IP e TCP. A regra descreve vários tipos de conexões que podem
ocorrer entre os computadores-cliente identificados ou são usados por um
aplicativo.
Prioridade Configuração
A lista Regras contém uma linha divisória azul. A linha divisória configura a
prioridade das regras nas seguintes situações:
■ Quando um subgrupo herda regras de um grupo pai.
■ Quando o cliente é configurado com controle misto. O firewall processa tanto
regras do servidor quanto do cliente.
A Figura 32-3 exibe a lista Regras e a linha divisória azul.
A Figura 32-4 exibe como a lista de regras ordena as regras quando um subgrupo
as herda de um grupo pai. Nesse exemplo, o grupo Vendas é o grupo pai. O grupo
Vendas Europa herda as regras do grupo Vendas.
Regra 1 Regra 3
Regra 3
Regra 2
Controle do servidor O cliente recebe regras do servidor, mas o usuário não pode
visualizá-las. O usuário não pode criar regras do cliente.
Controle misto O cliente recebe regras do servidor. O usuário pode criar regras
do cliente, que são mescladas com as regras do servidor e com
as configurações de segurança do cliente.
Configurações básicas da proteção contra ameaças à rede 485
Sobre as regras de firewall
Controle do cliente O cliente não recebe as regras do servidor. O usuário pode criar
regras do cliente. Não é possível visualizar as regras do cliente.
Aviso: Se o cliente estiver no controle misto, os usuários podem criar uma regra
do cliente que permita todo o tráfego. Essa regra sobrepõe todas as regras do
servidor abaixo da linha azul.
cliente toma decisões sobre o fluxo de tráfego usando essa informações de conexão
antes de inspecionar as regras de firewall.
Por exemplo, se uma regra de firewall permite que um cliente se conecte a um
servidor da Web, o firewall registra informações sobre a conexão. Quando o
servidor responde, o firewall detecta que o cliente espera uma resposta do servidor
da Web e permite o fluxo do tráfego do servidor da Web ao cliente que iniciou a
conexão, sem inspecionar a base de regras. Uma regra deve permitir o tráfego
inicial de saída antes que o firewall registre a conexão.
A inspeção inteligente permite simplificar as bases de regras, pois não é preciso
criar regras que permitam o tráfego em ambas as direções quando ele é iniciado
em apenas uma direção. O tráfego de cliente que é iniciado tipicamente em uma
direção inclui Telnet (porta 23), HTTP (porta 80) e HTTPS (porta 443). Os clientes
iniciam essa saída de tráfego, então só é preciso criar uma regra que permita o
tráfego de saída para esses protocolos. O firewall permite o retorno do tráfego.
Ao configurar somente as regras de saída, você aumenta a segurança do cliente
das seguintes maneiras:
■ Reduzindo a complexidade da base de regras.
■ Eliminando a possibilidade de um worm ou outro programa malicioso iniciar
conexões com um cliente em portas configuradas somente para tráfego de
saída. Também é possível configurar somente regras de entrada, para tráfego
não iniciado por clientes.
A inspeção inteligente suporta todas as regras que direcionam o tráfego TCP. Ela
não oferece suporte para as regras que filtram o tráfego ICMP. Para o tráfego
ICMP, você deve criar regras que permitam o tráfego em ambas as direções, quando
necessário. Por exemplo, para que os clientes usem o comando ping e recebam
respostas, é necessário criar uma regra que permita o tráfego ICMP em ambas as
direções.
Como o firewall é inteligente por natureza, só é preciso criar regras que iniciam
uma conexão, e não as características, de um pacote específico. Todos os pacotes
pertencentes a uma conexão permitida são implicitamente permitidos, como sendo
uma parte integrante dessa mesma conexão.
16 Clique com o botão direito do mouse no campo Ação e selecione a ação que
deseja que o firewall tome quando o tráfego corresponder à regra:
■ Permitir
■ Bloquear
■ Perguntar
Regras do host Uma regra baseada nos endpoints das conexões de rede
Regras de serviço Uma regra baseada nos protocolos usados pelas conexões de rede
Poderá ser necessário incluir dois ou mais critérios para descrever um tráfego
específico de rede, como um protocolo em particular que se origina de um host
específico. Você deve configurar a regra depois de adicioná-la, pois o Assistente
de Adição de regra de firewall não configura regras novas com vários critérios.
Depois que estiver familiarizado com o modo com que as regras são definidas e
processadas, você pode adicionar regras em branco e configurar os vários campos,
conforme necessário. Uma regra em branco permite todo o tráfego.
Consulte “Adição de regras em branco” na página 487.
Para adicionar regras com o Assistente de Adição de regra de firewall
1 No console, abra uma política de firewall.
Consulte “Sobre a edição de políticas” na página 368.
2 Na página Política de firewall, clique em Regras.
3 Na guia Regras, sob a lista Regras, clique em Adicionar regra.
4 No Assistente de Adição de regra de firewall, clique em Avançar.
5 No painel Selecionar tipo de regra, selecione um dos tipos de regra.
6 Clique em Avançar.
7 Digite os dados em cada painel para criar o tipo de regra que você selecionou.
8 Para aplicativos e hosts, clique em Adicionar mais para adicionar aplicativos
e serviços adicionais.
9 Quando tiver terminado, clique em Concluir.
10 Na lista Regras, clique com o botão direito do mouse em qualquer campo para
editar a regra.
11 Se você tiver concluído a configuração desta política, clique em OK.
Configurações básicas da proteção contra ameaças à rede 491
Adição de regras herdadas de um grupo pai
Nota: Se o grupo herda todas as políticas de um grupo pai, esta opção está
indisponível.
4 Clique em OK.
Nota: Para fazer as configurações no controle misto, você também deve ativar
essas configurações na caixa de diálogo Configurações de controle misto da
interface de usuário do cliente.
Nota: Para fazer as configurações no controle misto, você também deve ativar
essas configurações na caixa de diálogo Configurações de controle misto da
interface de usuário do cliente.
em pacotes podem detectar ataques na pilha TCP/IP antes das assinaturas baseadas
em fluxo.
O mecanismo baseado em pacotes não detecta assinaturas que contêm vários
pacotes. O mecanismo de IPS baseado em pacotes é mais limitado, pois não protege
correspondências parciais e verifica somente atividades de pacotes únicos.
As assinaturas baseadas em pacotes examinam um único pacote que corresponda
a uma regra. A regra especifica um protocolo, uma porta, um endereço IP de origem
ou de destino ou um aplicativo. Alguns ataques são iniciados comumente contra
aplicativos específicos. As assinaturas personalizadas usam regras baseadas em
aplicativos, que se alteram de maneira dinâmica de acordo com cada pacote. A
regra baseia-se em vários critérios, como aplicativo, número que sinaliza o TCP,
porta e protocolo. Por exemplo, uma assinatura personalizada pode monitorar os
pacotes de informação recebidos por uma string "phf" em GET / cgi-bin/phf? como
um indicador de ataque a um programa CGI. Cada pacote é avaliado de acordo
com esse padrão específico. Se o pacote de tráfego coincidir com a regra, o cliente
permite ou bloqueia o pacote e, como opção, registra o evento no registro de
pacotes.
As assinaturas podem gerar falsos positivos, pois estão baseadas freqüentemente
em expressões regulares e correspondências de string. As assinaturas
personalizadas usam os dois critérios de procura de strings quando tentam
corresponder um pacote.
O cliente não inclui assinaturas personalizadas por padrão. Você cria assinaturas
personalizadas IPS.
Consulte “Criação de assinaturas personalizadas IPS” na página 507.
Nota: Para definir essas configurações em controle misto, você também deve
ativá-las na caixa de diálogo Configurações de controle misto da interface de
usuário do cliente.
9 Clique em OK.
Se deseja remover a exceção e voltar para o comportamento original da
assinatura, selecione a assinatura e clique em Excluir.
10 Clique em OK.
11 Se deseja alterar o comportamento de outras assinaturas, repita os passos de
3 a 10.
12 Quando terminar de configurar essa política, clique em OK.
Consulte “Exibição e alteração da política de conteúdos do LiveUpdate aplicada
a um grupo” na página 110.
Para remover a exceção
1 No console, abra uma política de prevenção de intrusões.
Consulte “Sobre a edição de políticas” na página 368.
2 Na página Política de prevenção de intrusões, clique em Exceções.
3 No painel Exceções, selecione a exceção que deseja remover e clique em
Excluir.
4 Quando for solicitado que você confirme a exclusão, clique em Sim.
Configuração da prevenção de intrusões 505
Configuração da prevenção de intrusões
É possível definir uma lista de computadores nos quais o cliente não compara
assinaturas de ataque, não procura verificações de portas ou ataques de negação
de serviço. O cliente permite todo o tráfego de entrada e saída desses hosts,
independentemente das regras e configurações de firewall ou das assinaturas IPS.
Nota: Também é possível configurar uma lista de computadores que permita todo
tráfego de entrada e saída, exceto se uma assinatura IPS detectar um ataque. Nesse
caso, crie uma regra de firewall que permita todos os hosts.
Aviso: Você deve estar familiarizado com os protocolos TCP, UDP ou ICMP antes
de desenvolver as assinaturas de prevenção contra intrusões. Uma assinatura
formada incorretamente pode corromper a biblioteca IPS personalizada e danificar
a integridade dos clientes.
10 Na caixa do grupo Ação, selecione a ação que deseja que o cliente realize
quando a assinatura detectar o evento:
11 Clique em OK.
A assinatura adicionada será ativada por padrão. Se deseja desativar a
assinatura mais tarde, desmarque a caixa de seleção na coluna Ativado.
12 Para adicionar outras assinaturas ao grupo de assinaturas, repita as etapas
2 a 11.
Para editar ou excluir uma assinatura, selecione-a e, em seguida, clique em
Editarou Excluir.
13 Se você tiver concluído a configuração desta biblioteca, clique em OK.
14 Se você for solicitado a atribuir as assinaturas IPS personalizadas a um grupo,
clique em Sim.
15 Na caixa de diálogo Atribuir política de prevenção de intrusões, selecione os
grupos aos quais deseja atribuir a política.
16 Clique em Atribuir e em Sim.
5 Adicione uma string de conteúdo de até 255 caracteres para o valor da variável.
Ao inserir a string de conteúdo da variável, siga as mesmas orientações de
sintaxe que você usa para inserir valores no conteúdo da assinatura
6 Clique em OK.
Depois de adicionar a variável à tabela, você poderá usá-la em qualquer
assinatura da biblioteca personalizada.
Usar variáveis em assinaturas
1 Na guia Assinaturas, adicione ou edite uma assinatura.
Consulte “Para adicionar uma assinatura personalizada” na página 508.
2 Na caixa de diálogo Adicionar assinatura ou Editar assinatura, no campo
Conteúdo, digite o nome da variável com um signo de cifrão ($) na frente dele.
Por exemplo, se você criar uma variável chamada HTTP para especificar
portas HTTP, digite o seguinte:
$HTTP
3 Clique em OK.
4 Quando terminar de configurar essa biblioteca, clique em OK.
Capítulo 34
Personalização da proteção
contra ameaças à rede
Este capítulo contém os tópicos a seguir:
7 Clique em OK.
8 Para cada configuração de firewall e prevenção de intrusão definida para o
Servidor, ative ou desative a configuração na Política de firewall ou Política
de prevenção de intrusões.
Consulte “Ativação da filtragem inteligente de tráfego” na página 495.
Consulte “Ativação das configurações de tráfego e dissimulação” na página 496.
Consulte “Configuração da prevenção de intrusões” na página 501.
■ Host DNS
■ Endereço IP
■ Intervalo de IP
■ Endereço MAC
■ Sub-rede
5 Nas tabelas Origem e destino e Local e remoto, tome uma das seguintes ações:
■ Para ativar um grupo de host adicionado através da lista Componentes da
política, vá para a etapa 10.
Consulte “Adição de hosts e grupos de hosts” na página 516.
■ Para adicionar um host somente para a regra selecionada, clique em
Adicionar.
Nota: IPv4 e IPv6 são os dois protocolos de camada de rede usados na Internet. O
firewall bloqueia ataques que passam pelo IPv4, mas não pelo IPv6. Se você instalar
o cliente nos computadores que executam o Microsoft Vista, a lista de regras
incluirá várias regras padrão que bloqueiam o tipo IPv6 de protocolo Ethernet.
Se você remover as regras padrão, será necessário criar uma regra que bloqueie
o IPv6.
Se você deseja permitir ou bloquear um serviço de rede que não esteja na lista
padrão, é possível adicioná-lo. É necessário estar familiarizado com o tipo de
protocolo e as portas que ele usa.
Para adicionar um serviço de rede personalizado acessível a partir de qualquer
regra de firewall, você o adiciona por meio da lista Componentes das políticas.
Para adicionar um serviço de rede personalizado para a lista padrão
1 No console, clique em Políticas > Componentes das políticas > Serviços de
rede.
2 Em Tarefas, clique em Adicionar um serviço de rede.
3 Clique em Adicionar um serviço.
4 Na caixa de diálogo Serviço de rede, digite um nome para o serviço e clique
em Adicionar.
5 Na lista suspensa Protocolo, selecione um dos seguintes protocolos:
■ TCP
■ UDP
■ ICMP
■ IP
520 Personalização da proteção contra ameaças à rede
Edição e exclusão de serviços de rede personalizados
■ Ethernet
As opções se alteram com base no protocolo que você selecionou. Para mais
informações, clique em Ajuda.
6 Preencha os campos apropriados e clique em OK.
7 Acrescente um ou mais protocolos adicionais, se for necessário.
8 Clique em OK.
É possível adicionar o serviço a qualquer regra de firewall.
contra ameaças à rede. No controle misto, uma regra de firewall do servidor que
especifica este tipo de tráfego pode substituir estas configurações. No controle
do servidor, estas configurações não estão disponíveis no cliente.
Para obter mais informações, consulte o Guia do Cliente do Symantec Endpoint
Protection e do Symantec Network Access Control.
Para ativar clientes para procurar arquivos e impressoras
1 No console, abra uma política de firewall.
Consulte “Sobre a edição de políticas” na página 368.
2 Na página Política de firewall, clique em Regras.
3 Adicione uma regra em branco e, na coluna Nome, digite um nome para a
regra.
Consulte “Adição de regras em branco” na página 487.
4 Clique com o botão direito do mouse no campo Serviço e, em seguida, clique
em Editar.
5 Na caixa de diálogo Lista de serviços, clique em Adicionar.
6 Na caixa de diálogo Protocolo, na lista suspensa Protocolo, clique em TCP e
então clique em Local/Remoto.
7 Na lista suspensa Porta remota, digite 88, 135, 139, 445.
8 Clique em OK.
9 Na caixa de diálogo Lista de serviços, clique em Adicionar.
10 Na caixa de diálogo Protocolo, na lista suspensa Protocolo, clique em UDP.
11 Na lista suspensa Porta local, digite 137, 138.
12 Na lista suspensa Porta remota, digite 88
13 Clique em OK.
14 Na caixa de diálogo Lista de serviços, certifique-se de que os dois serviços
estejam ativados e clique em OK.
15 Na guia Regras, certifique-se de que o campo Ação esteja definido em Permitir.
16 Após concluir a configuração da política, clique em OK.
17 Caso seja solicitado, atribua um local para a política.
Consulte “Atribuição de uma política compartilhada” na página 370.
Personalização da proteção contra ameaças à rede 523
Adição de adaptadores de rede
lista padrão para que não seja preciso digitar novamente cada adaptador de rede
para cada regra criada.
Nota: O cliente não filtra ou detecta tráfego de rede de dispositivos PDA (Personal
Digital Assistant, Assistente digital pessoal).
6 Clique em OK.
Depois, você pode adicionar o adaptador a qualquer regra de firewall.
6 Clique em OK.
7 Clique em OK.
Personalização da proteção contra ameaças à rede 527
Adição de agendas a uma regra
8 Clique em OK.
9 Em Agendar lista, tome uma das seguintes ações:
528 Personalização da proteção contra ameaças à rede
Configuração de notificações para a proteção contra ameaças à rede
■ Para manter a regra ativa durante este tempo, desmarque a caixa de seleção
na coluna Qualquer hora exceto.
■ Para tornar a regra inativa durante este tempo, marque a caixa de seleção
na coluna Qualquer hora exceto.
10 Clique em OK.
Aplicativos comerciais Aplicativos comerciais conhecidos que podem ser usados para
fins maliciosos.
As verificações proativas de ameaças detectam vários tipos
diferentes de aplicativos comerciais. É possível configurar ações
para dois tipos: programas de keyloggers e de controle remoto.
Tarefa Descrição
■ Quarentena
a verificação usa essa ação para as detecções que
provavelmente sejam verdadeiras ameaças.
■ Somente registro
a verificação usa essa ação para as detecções que
provavelmente sejam falsos positivos.
Nota: Se você optar por gerenciar a ação de detecção, poderá
escolher uma ação. Essa ação sempre é usada para esse tipo de
detecção. Se você configurar a ação para quarentena, o cliente
colocará todas as detecções desse tipo em quarentena.
Configuração das verificações proativas de ameaças TruScan 541
Sobre o gerenciamento de falsos positivos detectados pelas verificações proativas de ameaças TruScan
Tarefa Descrição
Criar exceções para os É possível criar uma política que inclua exceções para os falsos
falsos positivos que positivos que você detectar. Por exemplo, você pode executar um
você detectar. determinado processo ou aplicativo em sua rede de segurança.
Você sabe que o processo é seguro para ser executado em seu
ambiente. Se as verificações proativas de ameaças TruScan
detectarem o processo, você poderá criar uma exceção para que
verificações futuras não o detectem.
com base nas listas mais recentes. Se as listas mais recentes permitirem qualquer
um dos itens em quarentena, o cliente restaura os itens automaticamente.
Além disso, os administradores ou usuários podem criar exceções para detecções
proativas de ameaças. Quando as exceções mais recentes permitem os itens em
quarentena, o cliente restaura os itens.
Os usuários podem visualizar os itens em quarentena na página Exibir quarentena
no cliente.
O cliente não envia a um servidor da quarentena central os itens colocados em
quarentena pelas verificações proativas de ameaças. Os usuários podem enviar
automaticamente ou manualmente ao Symantec Security Response os itens na
quarentena.
Consulte “Envio de itens em quarentena à Symantec” na página 438.
A lista definida pela Symantec sempre tem prioridade sobre as exceções definidas
pelo administrador. As exceções definidas pelo administrador sempre têm
prioridade sobre as exceções definidas pelo usuário.
É possível usar uma política de exceções centralizadas para especificar que
processos conhecidos detectados sejam permitidos ao configurar a ação de detecção
para Ignorar. Você também pode criar uma exceção centralizada para especificar
que certos processos não sejam permitidos ao configurar a ação para colocar em
quarentena ou encerrar.
Os administradores podem forçar uma detecção proativa de ameaças ao criar uma
exceção centralizada que especifique um nome de arquivo para que as verificações
proativas de ameaças detectem. Quando a verificação proativa de ameaças detectar
o arquivo, o cliente registrará a instância. Como os nomes dos arquivos não são
exclusivos, vários processos podem usar o mesmo nome de arquivo. É possível
usar detecções forçadas para ajudá-lo a criar exceções para ignorar, colocar em
quarentena ou encerrar um determinado processo.
Quando uma verificação proativa de ameaças no computador-cliente registra a
detecção, essa se torna parte de uma lista de processos conhecidos. Você pode
selecionar a partir da lista ao criar uma exceção para verificações proativas de
ameaças. É possível definir uma determinada ação para a detecção. Você também
pode usar o registro da detecção proativa na guia Monitores no console para criar
a exceção.
Consulte “Configuração de políticas de exceções centralizadas” na página 594.
Consulte “Exibição de registros” na página 207.
Os usuários podem criar exceções no computador-cliente por meio de um dos
seguintes métodos:
■ A lista Visualizar quarentena
■ Caixa de diálogo resultados da verificação
■ Exceções centralizadas
Um administrador pode bloquear uma lista de exceções para que um usuário não
possa criar nenhuma exceção. Se um usuário criou exceções antes de o
administrador bloquear a lista, as exceções criadas pelo usuário serão desativadas.
Nota: Se você ativar essas definições, você poderá detectar muitos falsos positivos.
Você deve estar ciente dos tipos de processos que executa em sua rede de
segurança.
6 Clique em OK.
3 Clique em OK.
3 Clique em OK.
Capítulo 36
Configuração do controle
de dispositivos e aplicativos
Este capítulo contém os tópicos a seguir:
prática reduz o potencial para problemas que podem ocorrer quando você não
antecipar todas as possíveis conseqüências de uma regra.
Consulte “Alteração do modo de um conjunto de regras do controle de aplicativos”
na página 571.
Nota: Lembre-se de que as ações se aplicam sempre ao processo que está definido
na regra. Elas não se aplicam aos processos que estão definidos na condição.
Condição Descrição
Aviso: Use a ação Encerrar processo com cuidado, pois ela pode não ter o efeito
esperado quando você a utilizar em uma regra. Ela encerra o processo que está
executando a ação configurada, não o processo que o usuário está iniciando
atualmente.
Configuração Resultado
Por exemplo, você pode decidir bloquear todas as portas, mas remover um mouse
USB para poder conectar-se a um computador-cliente. Nesse cenário, o mouse
USB funcionará no computador-cliente mesmo que aquela porta esteja bloqueada.
Configuração do controle de dispositivos e aplicativos 559
Sobre como trabalhar com políticas de controle de dispositivos e aplicativos
Nota: Quando você aplica uma condição a todas as entidade em uma pasta em
particular, a prática recomendada é usar nome_da_pasta\* ou nome_da_pasta\*\*.
Um asterisco inclui todos os arquivos e pastas na pasta nomeada. Use
nome_da_pasta\*\* para incluir cada arquivo e pasta na pasta nomeada, além de
cada arquivo e pasta em cada subpasta.
6 Clique em OK.
7 À direita do painel Não aplicar essa regra aos seguintes processos, clique em
Adicionar e repita a configuração conforme desejado.
Você tem as mesmas opções para as exclusões que tem para as inclusões.
8 Clique nos controles apropriados para fazer as seleções e digite todas as
informações necessárias nas caixas de texto.
9 Clique em OK.
Após definir as propriedades para a condição, você precisa configurar as ações
que são tomadas quando a condição é cumprida.
Continuar processando outras Permite que você somente o evento e continue então
regras processando outras regras na lista
Nota: Uma prática recomendada é o uso da ação Bloquear acesso para impedir
uma condição, em vez do uso da ação Encerrar processo. A ação Encerrar processo
deve ser usada somente em configurações avançadas.
Configuração do controle de dispositivos e aplicativos 567
Configuração do controle de aplicativos em uma política de controle de dispositivos e aplicativos
Para configurar ações a serem tomadas quando uma condição for cumprida
1 Na caixa de diálogo Editar conjunto de regras de controle de aplicativos, clique
na condição para a qual você quer configurar ações.
2 Na guia Ações, realize uma das seguintes ações:
■ Nas condições Iniciar tentativas de processo e Encerrar tentativas de
processo, clique em uma das seguintes opções: Continuar processando
outras regras, Permitir acesso, Bloquear acesso ou Encerrar processo.
■ Na condição Tentativas de acesso de DLL, clique em uma das seguintes
opções: Continuar processando outras regras, Permitir acesso, Bloquear
acesso ou Encerrar processo.
■ Nas condições Tentativas de acesso a registros e Tentativas de acesso a
arquivos e pastas, você pode configurar dois conjuntos de ações. Um
conjunto é aplicado quando há uma tentativa de leitura; o outro conjunto
é aplicado quando há uma tentativa de criação, exclusão ou gravação.
Em Tentativa de leitura, clique em uma das seguintes opções: Continuar
processando outras regras, Permitir acesso, Bloquear acesso ou Encerrar
processo.
■ Na caixa de texto Não aplicar essa regra aos seguintes processos, relacione os
aplicativos que precisam de uma exceção.
Você pode definir tantos aplicativos quanto quiser para cada lista.
Nota: Cada regra deve ter pelo menos um aplicativo listado na caixa de texto
Aplicar essa regra aos seguintes processos.
4 Clique em OK.
Você pode repetir etapas de 2 a 4 para adicionar tantos aplicativos quanto
desejar.
5 Se você quer configurar um ou mais aplicativos a serem excluídos da regra,
à direita do campo de texto Não aplicar essa regra aos seguintes processos,
clique em Adicionar.
Repita a configuração dos aplicativos a excluir, conforme o desejado. Você
tem as mesmas opções quando define um aplicativo a excluir e quando aplica
a regra a um aplicativo.
6 Quando você tiver concluído a definição dos aplicativos, clique em OK.
Você pode usar o Symantec Endpoint Protection Manager para importar listas de
impressão digital do arquivo para cada tipo de computador-cliente em uma lista
de impressão digital do arquivo mestre. Você pode gerenciar a lista de impressão
digital do arquivo usando o Symantec Endpoint Protection Manager. A lista de
impressão digital do arquivo contém os arquivos aprovados para todos os seus
computadores-cliente. Você também pode adicionar impressões digitais do arquivo
para os arquivos individuais que você quiser aprovar.
0bb018fad1b244b6020a40d7c4eb58b7 c:\dell\openmanage\remind.exe
35162d98c2b445199fef95e838feae4b c:\dell\pnp\m\co\HSFCI008.dll
77e4ff0b73bc0aeaaf39bf0c8104231f c:\dell\pnp\m\co\HSFHWBS2.sys
f59ed5a43b988a18ef582bb07b2327a7 c:\dell\pnp\m\co\HSF_CNXT.sys
60e1604729a15ef4a3b05f298427b3b1 c:\dell\pnp\m\co\HSF_DP.sys
4f3ef8d2183f927300ac864d63dd1532 c:\dell\pnp\m\co\HXFSetup.exe
dcd15d648779f59808b50f1a9cc3698d c:\dell\pnp\m\co\MdmXSdk.dll
eeaea6514ba7c9d273b5e87c4e1aab30 c:\dell\pnp\m\co\MDMXSDK.sys
0a7782b5f8bf65d12e50f506cad6d840 c:\dell\pnp\mgmt\drac2wdm.sys
9a6d7bb226861f6e9b151d22b977750d c:\dell\pnp\mgmt\racser.sys
d97e4c330e3c940ee42f6a95aec41147 c:\dell\pnp\n\bc\b57xp32.sys
■ .ocx
A Symantec recomenda implementar o bloqueio do sistema nas seguintes etapas:
Obtenha uma imagem do software Crie uma imagem de software que inclua todos os
aprovado aplicativos que você deseja que os usuários possam
usar em seus computadores. Use esta imagem para
criar uma impressão digital do arquivo.
Você tem a opção de definir uma mensagem personalizada para exibir aos usuários
que tenham aplicativos bloqueados.
Criar lista de impressão digital de Você precisa ter criado uma lista de impressão
arquivo digital de arquivo que inclua os aplicativos
permitidos. Esta lista pode ser criada a partir de
uma imagem corporativa instalada normalmente
nos computadores dos usuários. Essa lista é criada
em um computador que executa o cliente.
Instalar e testar o bloqueio do sistema Antes de bloquear executáveis não aprovados, você
pode adicionar uma ou mais listas de impressões
digitais de arquivos. Adicione os aplicativos que
sempre devem ser permitidos e registre os
resultados no registro de controle.
Notificar usuários Você pode notificar um usuário de que ele já não tem
acesso a um computador. Você também pode informar
o usuário de que os aplicativos especificados podem
ser usados em alguma data futura estabelecida por
você. Então você ativa o bloqueio do sistema naquela
data.
Nota: Você pode também criar regras de firewall para permitir aplicativos
aprovados no cliente.
Clique em Ajuda para obter mais informações sobre as opções usadas nos
procedimentos.
Para configurar uma política de exceções centralizadas
1 Na página Política de exceções centralizadas, clique em Exceções
centralizadas.
2 Em Exceções centralizadas, clique em Adicionar e, em seguida, realize uma
das seguintes ações:
■ Clique em Exceções de riscos à segurança e, então, adicione uma exceção
de risco à segurança que deseja incluir na política.
Consulte “Configuração de uma exceção centralizada para verificações
antivírus e anti-spyware” na página 595.
■ Clique em Exceções da verificação proativa de ameaças TruScan e, então,
adicione uma exceção de verificação proativa de ameaças que deseja incluir
na política.
Consulte “Configuração de uma exceção centralizada para verificações
proativas de ameaças TruScan” na página 598.
■ Clique em Exceção de proteção contra adulteração e adicione então uma
exceção de verificação da proteção contra adulteração que deseja incluir
na política.
Consulte “Configuração de uma exceção centralizada para proteção contra
adulterações” na página 600.
3 Clique em OK.
4 Se você tiver concluído a configuração desta política, clique em OK.
5 Clique em OK.
6 Se você tiver concluído a configuração desta política, clique em OK.
5 Clique em OK.
6 Se você tiver concluído a configuração desta política, clique em OK.
Nota: Somente é possível adicionar uma extensão por vez. Se várias extensões
forem inseridas na caixa de texto Adicionar, a política tratará a entrada como uma
única extensão.
3 Clique em OK.
4 Se você tiver concluído a configuração desta política, clique em OK.
3 Clique em Iniciar.
4 Na caixa de diálogo, você pode remover quaisquer riscos, arquivos, pastas ou
extensões associados ao evento. Se você remover itens, eles não serão incluídos
na exceção.
Se nenhum item for exibido na lista de riscos, arquivos, pastas ou extensões,
você não poderá criar uma exceção.
5 Para riscos à segurança, marque Registrar quando o risco à segurança for
detectado, se quiser que o software-cliente registre a detecção.
6 Selecione todas as políticas de exceções centralizadas que devem usar essa
exceção.
7 Clique em OK.
■ Você também deve considerar o que ocorre se um requisito falhar e não puder
ser restaurado. Para cada requisito, você tem a opção de permitir que a
verificação da integridade do host seja aprovada, mesmo que o requisito falhe.
Como parte da política geral de integridade do host, você também pode
configurar mensagens pop-up. O cliente exibe essas mensagens pop-up ao
usuário, caso haja falha na verificação de integridade do host ou caso ela seja
aprovada depois de uma falha anterior. Talvez você queira planejar a exibição
de instruções adicionais para o usuário nessas mensagens pop-up. Além disso,
você pode configurar uma política de quarentena para ser ativada se houver
falha na integridade do host.
■ Você pode simplificar o gerenciamento dos aplicativos necessários, incluindo
aplicativos semelhantes em um requisito personalizado. Por exemplo, você
pode incluir navegadores da Internet, como o Internet Explorer e o Netscape
Navigator, em um único requisito.
■ Como parte de um requisito personalizado, você pode especificar se vai permitir
que a verificação da integridade do host seja aprovada, caso o requisito falhe.
Quando você planejar o número de condições que vai verificar em um único
script, lembre-se de que essa configuração se aplica ao script dos requisitos
personalizados como um todo. Esse aspecto da configuração pode afetar o fato
de você querer criar vários requisitos personalizados pequenos ou apenas um
maior que inclua várias etapas.
Talvez você ache útil configurar uma planilha eletrônica que represente os
requisitos de aplicação da integridade do host de sua empresa.
4 Clique em Adicionar.
5 Na caixa de diálogo Adicionar os requisitos, selecione um dos seguintes tipos
de requisitos:
■ Requisito de antivírus
■ Requisito de anti-spyware
■ Requisito de firewall
■ Requisito de patch
■ Requisito de Service Pack
■ Requisito personalizado
6 Clique em OK.
7 Defina as configurações para o requisito.
Consulte “Sobre requisitos de integridade do host” na página 612.
8 Na página Configurações avançadas, defina as configurações para a
verificação, a correção e as notificações de integridade do host.
Para mais informações, clique em Ajuda.
Consulte “Sobre configurações para verificações de integridade do host”
na página 617.
Configurações básicas da integridade do host 615
Edição e exclusão de um requisito da integridade do host
Configuração Descrição
Manter os resultados das verificações por Define a duração da manutenção dos resultados
da integridade do host.
UNC \\servername\sharename\dirname\filename
FTP FTP://ftp.ourftp.ourcompany.com/folder/filename
HTTP HTTP://www.ourwww.ourcompany.com/folder/filename
limite do número de vezes em que a correção poderá ser cancelada e por quanto
tempo o usuário poderá adiá-la. Os limites definidos por você determinam as
seleções disponíveis ao usuário na janela pop-up exibida pelo cliente quando a
correção for necessária. Você pode também adicionar texto à janela pop-up.
As configurações de mínimo e máximo de vezes determinam o intervalo de escolhas
disponíveis na janela pop-up. A janela pop-up é exibida ao usuário quando um
requisito falhar. O intervalo será exibido na forma de lista ao lado do ícone
Lembre-me depois, na mensagem pop-up.
Se o usuário selecionar para o adiamento um período menor que a freqüência da
verificação de integridade do host, a seleção do usuário é sobreposta. A janela
pop-up não aparece novamente até que o cliente execute outra verificação de
integridade do host. Se o usuário tiver optado para ser lembrado em 5 minutos,
mas a verificação de integridade do host for executada a cada 30 minutos, a janela
pop-up de correção apenas será exibida depois de transcorridos 30 minutos. Para
evitar confusão para o usuário, você poderá sincronizar a configuração de tempo
mínimo com a configuração de freqüência de verificação de integridade do host.
Se o usuário adiar a correção, o cliente registra o evento. A integridade do host
exibe falha, já que o requisito não foi cumprido. O usuário pode executar
manualmente uma nova verificação de integridade do host a qualquer momento,
a partir da interface de usuário do cliente.
Se o usuário tiver adiado uma ação de correção e, nesse ínterim, o cliente receber
uma política atualizada, o período de tempo disponível para correção é restaurado
para o máximo especificado.
Para permitir aos usuários adiar a correção da integridade do host
1 No console, abra uma política de integridade do host.
Consulte “Sobre a edição de políticas” na página 368.
2 Na página Política de integridade do host, clique em Configurações avançadas.
3 Na página Configurações avançadas, em Opções da caixa de diálogo de
correção, defina os limites de tempo mínimo e máximo que um usuário pode
adiar a correção.
4 Digite o número máximo de vezes que o usuário pode cancelar a correção.
5 Para adicionar uma mensagem personalizada no computador-cliente, clique
em Definir texto adicional.
A mensagem digitada será exibida na janela pop-up de correção do cliente se
o usuário clicar na opção Detalhes. Se você não especificar um texto adicional,
o texto padrão da janela pop-up será repetido na área Detalhes se o usuário
clicar na mesma.
Configurações básicas da integridade do host 625
Permissão para que os usuários adiem ou cancelem a correção da integridade do host
■ Sobre condições
■ Sobre funções
■ Download de um arquivo
■ Execução de um programa
■ Execução de um script
Sobre condições
As condições são as verificações que podem ser desempenhadas dentro de um
script de requisito personalizado para detectar problemas de conformidade.
Você pode escolher entre as seguintes categorias de condições:
■ Verificações de antivírus
■ Verificações de anti-spyware
■ Verificações de firewall
■ Verificações e operação de arquivo
■ Verificações e operação de registro
■ Utilitários
Você pode especificar as condições como presentes ou ausentes (NÃO). Você pode
incluir diversas instruções de condição usando as palavras-chave AND ou OR.
%WINDIR%\cmd.exe
#HKEY_LOCAL_MACHINE\
Software\Symantec\AppPath#\
sem.exe
632 Adição de requisitos personalizados
Sobre condições
Para usar a variável combinada do registro e do Utilize o seguinte exemplo para usar
ambiente do sistema a variável combinada do valor do
registro e do ambiente do sistema:
%SYSTEMDIR%\
#HKEY_LOCAL_MACHINE\
Software\Symantec\AppPath#.
Patch: Compare o service pack atual Digite o número do service pack que deseja
com uma versão especificada verificar, como 1a. O número está limitado a dois
caracteres. Você pode verificar as seguintes
condições: igual a, diferente, menor que ou maior
que.
Patch: Patch instalado Digite o nome do patch que deseja verificar. Por
exemplo: KB12345. É possível digitar somente
números e letras nesse campo.
Adição de requisitos personalizados 633
Sobre condições
■ Se a chave de registro não tiver uma barra invertida no final, então ela será
interpretada como um nome de registro. Por exemplo:
HKEY_LOCAL_MACHINE\SOFTWARE\ActiveTouch
634 Adição de requisitos personalizados
Sobre funções
Binário 31 AF BF 69 74 A3 69 (hexadecimal)
String ef4adf4a9d933b747361157b8ce7a22f
Sobre funções
Você usa funções para definir as ações que são executadas quando uma expressão
condicional é avaliada como verdadeira ou falsa.
Uma condição de requisito personalizado pode verificar a instalação de produtos
antivírus específicos, mas não pode ser configurada para instalar o produto como
ação de correção. Quando você grava requisitos personalizados, é necessário
explicitamente definir as ações de correção serem executadas usando instruções
da função.
As funções aparecem dentro das instruções THEN e ELSE ou podem aparecer ao
final de um script de requisito personalizado. Para conseguir um resultado desejado
de correção, talvez seja necessário especificar um grande número de funções.
Cada função executa tarefas muito específicas, como fazer o download de um
arquivo ou executar um arquivo. Você não define funções individuais para fornecer
ações de correção específicas, como instalar produtos antivírus específicos. Para
Adição de requisitos personalizados 635
Sobre a lógica de requisito personalizado
Função Descrição
3 Clique em Adicionar.
4 Clique em IF..THEN.
Adição de um comentário
Quando você adicionar uma instrução, como a instrução IF THEN, você poderá
adicionar um comentário. Use o comentário para explicar o que se presume que
essa parte do código fará. Os comentários são para finalidades informativas
somente.
Para adicionar um comentário
1 Grave um script de requisito personalizado.
Consulte “Gravação de um script de requisitos personalizados” na página 637.
2 Em Script de requisitos personalizados, selecione todas as instruções que
você já adicionou e clique em Adicionar.
3 Clique em Comentário.
4 Clique em //Inserir instruções aqui e no painel direito, no campo de texto
Comentário, insira seus comentários.
■ OK
■ OK e Cancelar
■ Sim e Não
Download de um arquivo
Para um requisito personalizado, você pode especificar que um arquivo seja obtido
por download no computador-cliente.
Para fazer o download de um arquivo
1 Gravação de um script de requisito personalizado.
Consulte “Gravação de um script de requisitos personalizados” na página 637.
2 Na caixa de diálogo Requisito personalizado, em Script de requisitos
personalizados, selecione o nó onde você quer adicionar a função.
3 Clique em Adicionar e em Função.
4 Clique em Utilitário: Fazer o download de um arquivo.
5 Digite o local do URL de onde é feito o download do arquivo e a pasta no
computador-cliente na qual o arquivo será salvo.
Você pode especificar o local pelo URL ou UNC. Se você usar URL, HTTP e
FTP são aceitos.
6 Marque Exibir a caixa de diálogo de processo de download para que os
usuários possam observar o download do arquivo enquanto o mesmo é salvo
no computador-cliente.
7 Se você quiser que o usuário possa cancelar o download do arquivo, marque
Permitir ao usuário cancelar a integridade do host para este requisito.
Os usuários poderão perder o trabalho se o download do arquivo for efetuado
no momento errado.
Adição de requisitos personalizados 643
Geração de uma mensagem de registro
Execução de um programa
Para um requisito personalizado de integridade do host, especifique uma função
para que o cliente inicie um programa.
Para executar um programa
1 Gravação de um script de requisito personalizado.
Consulte “Gravação de um script de requisitos personalizados” na página 637.
2 Na caixa de diálogo Requisito personalizado, em Script de requisitos
personalizados, selecione o nó onde você quer adicionar a função.
3 Clique em Adicionar e em Função.
4 Clique em Utilitário: Executar um programa.
5 No campo de texto Executar o comando, insira o comando para executar o
script.
As variáveis de ambiente são substituídas antes da execução. Por exemplo,
%windir% é substituído pelo caminho do diretório Windows. Use a variável
%1 para executar o último arquivo obtido por download.
Execução de um script
No requisito personalizado de integridade do host, especifique uma função para
que o cliente execute um script. Você pode usar uma linguagem de script, tal como
JScript ou VBScript, que possa ser executada com o host de scripts do Microsoft
Windows.
Para executar um script
1 Gravação de um script de requisito personalizado.
Consulte “Gravação de um script de requisitos personalizados” na página 637.
2 Na caixa de diálogo Requisito personalizado, em Script de requisitos
personalizados, selecione o nó em que você quer adicionar a função.
3 Clique em Adicionar e em Função.
4 Clique em Utilitário: Executar um script.
5 Digite um nome de arquivo para o script, como myscript.js.
6 Digite o conteúdo do script.
7 No campo de texto Executar o comando, insira o comando para executar o
script.
Use %F para especificar o nome do arquivo de script. O script é executado no
contexto do sistema.
Adição de requisitos personalizados 645
Definição do carimbo de hora de um arquivo
■ Serviço do cliente
Serviço do cliente
É possível manipular o cliente diretamente na linha de comando no
computador-cliente usando o comando smc do serviço do cliente. É possível usar
esse comando em um script que execute os parâmetros de maneira remota. Por
exemplo, se for necessário interromper o cliente para instalar um aplicativo em
vários clientes, é possível interromper e reiniciar todos os serviços do cliente.
Com exceção de smc -start, o serviço do cliente deve estar em execução para que
os parâmetros da linha de comando possam ser usados. Os parâmetros da linha
de comando não diferenciam maiúsculas de minúsculas.
A Tabela A-1 descreve os parâmetros que podem ser executados se os usuários
forem membros de qualquer grupo de usuários do Windows.
Parâmetro Descrição
Retorna 0, -3
Retorna 0, -4
648 Uso da interface da linha de comando
Serviço do cliente
Parâmetro Descrição
Retorna 0
em que:
tipo_de_registro é:
■ 0 = Registro do sistema
■ 1 = Registro de segurança
■ 2 = Registro de tráfego
■ 3 = Registro de pacotes
■ 4 = Registro de controle
Por exemplo, você pode digitar:
smc -exportlog 2 0 -1 c:\temp\TrafficLog
onde:
0 é o começo do arquivo
-1 é o final do arquivo
Só é possível exportar os registros de controle, pacotes,
segurança, sistema e tráfego.
Retorna 0, -2, -5
Retorna 0
Retorna 0
Uso da interface da linha de comando 649
Serviço do cliente
Parâmetro Descrição
Retorna 0
Parâmetro Descrição
Parâmetro Descrição
smc -importadvrule
C:\config\AllowExplorerRule.sar
smc -exportadvrule
C:\config\AllowExplorerRule.sar
Retorna 0, -1
Retorna 0, -1
Códigos de erro
A Tabela A-3 exibe os códigos de erro retornados pelo comando smc quando os
parâmetros necessários são inválidos ou estão ausentes.
-2 Parâmetro inválido.
-importconfig O cliente pede uma senha antes que você possa importar o arquivo de
políticas.
652 Uso da interface da linha de comando
Serviço do cliente
-exportconfig O cliente pede uma senha antes que você possa exportar o arquivo de
políticas.
Onde:
parâmetro é -stop, -importconfig ou -exportconfig.
senha é a senha especificada no console.
Por exemplo, você pode digitar:
smc -exportconfig c:\profile.xml -p senha ou
A ajuste
adaptadores. Consulte adaptadores de rede Integridade do host
adaptadores de rede adiamento 623
adição à lista padrão 523 tempo de espera 623
adição a uma regra 524 alteração da senha
edição e exclusão 525 administrador 86
triggers 482 alternando modos do cliente
adição sobre 73
um administrador 81 ameaças 239, 474
adição de um grupo 69 ver também Proteção contra ameaças à rede
administrador ver também Proteção proativa contra ameaças
adição 81 combinadas 402
alteração da senha 86 ameaças combinadas 403
como renomear 86 aplicativos 527
edição de propriedades 83 ver também aplicativos reconhecidos
remoção 87 adição a uma regra 526
sobre 80 autorização 583
tarefas 81 como procurar 388
administrador do sistema definição 526
padrão 81 monitoramento do aplicativo de rede 530
tarefas 81 opções em requisitos de integridade do host 630
administradores pesquisar 527
tipos de 80 restauração em integridade do host 622
administradores do sistema aplicativos reconhecidos 527
sobre 80 ver também aplicativos
administradores limitados ativação 386–387
sobre 80 como procurar 388
adware 403 como salvar resultados de pesquisa 389
agendamento lista 527
backup automático de bancos de dados 304 sobre 385
backup de banco de dados interno sob arquivo de armazenamento de chave JKS 287
demanda 303 Arquivo de armazenamento de chave PKCS12 288
Backup do banco de dados do Microsoft SQL sob arquivos
demanda 298 compartilhamento 521
backup do banco de dados do Microsoft SQL sob excluindo das verificações 417
demanda com o Assistente de Manutenção do opções em requisitos de integridade do host 630
banco de dados 299 restauração em integridade do host 622
agendas arquivos de definições
adição a uma regra 527 configuração de ações para novas definições 438
exibição do aviso sobre avisos desatualizados ou
ausentes 423
verificação após atualização 413
654 Índice
excluir Global
grupo 69 grupo 64
exclusão de usuários e computadores grupo
sobre 75 adição 69
exclusões. Consulte exceções centralizadas adição de um computador 72
criado automaticamente 408 bloqueio 74
exclusões automáticas estrutura 64
de produtos Symantec 410 excluir 69
para o controlador de domínios do Active mover 70
Directory 410 renomear 70
para servidor Microsoft Exchange 409 root 64
sobre 408 Temporário 64
exibindo propriedades do usuário e do computador 76 grupo pai. Consulte herança
exportação Grupo Temporário 64
lista de servidores de gerenciamento 137 grupos
pacotes de instalação do cliente 92 atribuição de uma lista de servidores de
políticas 374 gerenciamento 133
regras de firewall 492 especificação de uma lista do servidor de
extensões gerenciamento 130
verificação de selecionadas 426 pesquisa por 77
sobre 62–63
F grupos de host
adição a uma regra 518
failover 130
criar 516
falsos positivos 501
edição 517
ferramentas para hacker 404
exclusão 517
Filtragem inteligente de tráfego 495
GUID
filtro
como o controle de dispositivos 558
configurações 78
filtros 209
firewall H
configurações de tráfego 496 herança
notificações 528 ativação 350
requisitos de integridade do host 630 local
sobre 474–475 sobrescrever 350
Formato DER e PEM 288 política 349
funções sobrescrever 350
Aguardar 646 regras de firewall 483, 491
Definição do carimbo de hora 645 herança de grupo. Consulte herança
Download de um arquivo 642 herança de local 349
Execução de um programa 643 hierarquia do grupo
Execução de um script 644 amostra 64
Exibição da caixa de diálogo de mensagens 641 hosts
Mensagem de registro 643 adicionar uma regra 518
exclusão da prevenção de intrusões 505
G local e remoto 479–480
origem e destino 479
gerenciamento de administradores
hosts excluídos 505
sobre 81
658 Índice