symantec endpoint

Guia do Cliente doSymantec™ EndpointProtection e do SymantecNetwork Access Control

Guia do Cliente do Symantec Endpoint Protection e doSymantec Network Access Control

O software descrito neste guia é fornecido sob contrato de licença e deve ser usado somentede acordo com os termos deste contrato.

Versão do documento 11.00.00.00.00

Aviso legalCopyright © 2007 Symantec Corporation. Todos os direitos reservados. Symantec, o logotipoSymantec, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence Online, DigitalImmune System e Norton são marcas comerciais ou marcas registradas da SymantecCorporation ou de suas afiliadas nos Estados Unidos e em outros países. Outros nomespodem ser marcas comerciais de seus respectivos proprietários.

O produto descrito neste documento é distribuído sob licenças que restringem o uso, a cópia,a distribuição e a descompilação/engenharia reversa. Não está permitida de forma algumaa reprodução de nenhuma seção deste documento sem a autorização prévia escrita daSymantec Corporation e dos concessores de licenças, se houver algum.

A DOCUMENTAÇÃO É FORNECIDA "NO ESTADO EM QUE SE ENCONTRA" E TODAS ASCONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPRESSAS OU IMPLÍCITAS, INCLUINDOQUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UMPROPÓSITO EM PARTICULAR OU SEM VIOLAÇÃO, SÃO ISENTAS, EXCETO SE AS ISENÇÕESDE RESPONSABILIDADE FOREM CONSIDERADAS INVÁLIDAS JURIDICAMENTE. ASYMANTEC CORPORATION SE ISENTA DE RESPONSABILIDADE POR DANOS INCIDENTAISOU CONSEQÜENTES RELATIVOS AO FORNECIMENTO, EXECUÇÃO OU USO DESTADOCUMENTAÇÃO. AS INFORMAÇÕES DESTA DOCUMENTAÇÃO ESTÃO SUJEITAS AALTERAÇÃO SEM AVISO PRÉVIO.

O Software licenciado e a documentação são considerados software comercial paracomputadores, conforme definido na seção FAR 12.212 e sujeito a direitos restritos, conformedefinido na seção FAR artigo 52.227-19 "Software comercial para computadores - Direitosrestritos" e DFARS 227.7202, "Direitos em Software comercial para computadores oudocumentação de software comercial para computadores", conforme aplicável, e todas asregulamentações posteriores. Qualquer uso, modificação, reprodução, apresentação, exibiçãoou divulgação do Software licenciado e da documentação pelo governo dos EUA deve serfeito exclusivamente de acordo com os termos deste Contrato.

Symantec Corporation20330 Stevens Creek Blvd.Cupertino, CA 95014

http://www.symantec.com.br

Secção 1 Introdução

Capítulo 1 Introdução ao cliente da SymantecSobre o cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Sobre clientes gerenciados e não gerenciados ... . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Sobre o ícone da área de notificação .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

O que mantém a proteção de seu computador atualizada .... . . . . . . . . . . . . . . . . . 14Sobre a função do Symantec Security Response .... . . . . . . . . . . . . . . . . . . . . . . . 15Como a proteção é atualizada em clientes gerenciados ... . . . . . . . . . . . . . . . 16Como a proteção é atualizada em clientes não gerenciados ... . . . . . . . . . . 16

Sobre as políticas de segurança .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Atualizar a política de segurança .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Onde obter mais informações ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Acessar a Ajuda on-line ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Acessando o Website do Symantec Security Response .... . . . . . . . . . . . . . . . 18

Capítulo 2 Resposta ao clienteSobre a interação do cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Tratamento dos arquivos infectados .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Sobre os danos causados por vírus ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22Sobre as notificações e os alertas ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Resposta a notificações relacionadas a aplicativos ... . . . . . . . . . . . . . . . . . . . . . 22Resposta a alertas de segurança .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25Resposta a notificações de controle de acesso à rede .... . . . . . . . . . . . . . . . . . 26

Capítulo 3 Gerenciamento do clienteSobre o LiveUpdate ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Executando o LiveUpdate em intervalos agendados .... . . . . . . . . . . . . . . . . . . . . . . . . 28Execução manual do LiveUpdate ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Como testar a segurança do computador ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Sobre os locais ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Alteração de locais ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Sobre a proteção contra adulteração .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Sumário

Ativação, desativação e configuração da proteção contraadulteração .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Secção 2 Symantec Endpoint Protection

Capítulo 4 Introdução ao Symantec Endpoint ProtectionSobre o Symantec Endpoint Protection .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35Como o Symantec Endpoint Protection protege seu computador ... . . . . . . . . 36

Sobre as proteções antivírus e anti-spyware .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36Sobre a proteção contra ameaças à rede .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Sobre a proteção proativa contra ameaças ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Capítulo 5 Noções básicas do cliente do Symantec EndpointProtectionSobre vírus e riscos à segurança .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39Como o cliente responde a vírus e riscos de segurança .... . . . . . . . . . . . . . . . . . . . . . 42Ativar e desativar os componentes de proteção .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

Ativar e desativar as proteções antivírus e anti-spyware .... . . . . . . . . . . . . 44Ativar e desativar a proteção contra ameaças à rede .... . . . . . . . . . . . . . . . . . 46Ativar ou desativar a Proteção proativa contra ameaças ... . . . . . . . . . . . . . 46

Usar o computador-cliente com a Central de Segurança doWindows .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

Pausar e adiar verificações ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

Capítulo 6 Gerenciamento de proteções antivírus e anti-spywareSobre as proteções antivírus e anti-spyware .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

Sobre a verificação de arquivos ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52Quando o cliente do Symantec Endpoint Protection detectar um

vírus ou risco à segurança .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Sobre o Auto-Protect ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

Sobre o Auto-Protect e os riscos à segurança .... . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Sobre o Auto-Protect e a verificação de e-mail ... . . . . . . . . . . . . . . . . . . . . . . . . . . 57Desativar o controle de conexões de e-mail criptografadas feito

pelo Auto-Protect ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Exibição das estatísticas de verificação do Auto-Protect ... . . . . . . . . . . . . . 59Exibição da lista de riscos ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Configuração do Auto-Protect para tipos de arquivos

determinados .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Ativação e desativação da verificação e o bloqueio de riscos à

segurança no Auto-Protect ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61Configuração das opções de verificação da rede .... . . . . . . . . . . . . . . . . . . . . . . . 61

Sumário4

Trabalhar com verificações antivírus e anti-spyware .... . . . . . . . . . . . . . . . . . . . . . . 63Como o cliente do Symantec Endpoint Protection detecta vírus

e riscos à segurança .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Sobre as definições de vírus ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Sobre a verificação de arquivos compactados .... . . . . . . . . . . . . . . . . . . . . . . . . . . 66Início das verificações sob demanda .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

Configuração da verificação antivírus e anti-spyware .... . . . . . . . . . . . . . . . . . . . . . 67Criação de verificações agendadas .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67Criação de verificações sob demanda e de inicialização .... . . . . . . . . . . . . . . 70Edição e exclusão de verificações de inicialização, definidas pelo

usuário e agendadas .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73Interpretação dos resultados das verificações ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

Sobre a interação com os resultados da verificação ou doAuto-Protect ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

Envio de informações sobre verificações antivírus e anti-spyware aoSymantec Security Response .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

Configuração de ações para vírus e riscos à segurança .... . . . . . . . . . . . . . . . . . . . . . 77Dicas para atribuir segundas ações para vírus ... . . . . . . . . . . . . . . . . . . . . . . . . . . 80Dicas para atribuir segundas ações para riscos à segurança .... . . . . . . . . 81Sobre a classificação do impacto de riscos ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

Configuração de notificações para vírus e riscos à segurança .... . . . . . . . . . . . . 82Configuração de exceções centralizadas para verificações antivírus

e anti-spyware .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85Sobre a quarentena .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

Sobre os arquivos infectados na quarentena .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87Sobre o tratamento de arquivos infectados na quarentena .... . . . . . . . . . 88Sobre o tratamento de arquivos infectados por riscos à

segurança .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89Gerenciamento da quarentena .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

Exibição de arquivos e detalhes de arquivos na quarentena .... . . . . . . . . 89Repetição da verificação de vírus dos arquivos na

quarentena .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90Quando não for possível retornar um arquivo reparado ao local

de origem .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90Limpeza de itens de backup .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91Exclusão de arquivos da quarentena .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91Exclusão automática de arquivos em quarentena .... . . . . . . . . . . . . . . . . . . . . . 91Envio de um arquivo supostamente infectado ao Symantec

Security Response para análise ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

5Sumário

Capítulo 7 Gerenciamento de proteção proativa contra ameaçasSobre a proteção proativa contra ameaças ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

Sobre as verificações proativas de ameaças ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96Sobre exceções para verificações proativas de ameaças ... . . . . . . . . . . . . . . 97Sobre as detecções da verificação proativa de ameaças ... . . . . . . . . . . . . . . . 97Sobre como agir em positivos falsos ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98

Configuração da freqüência de execução das verificações proativasde ameaças ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

Gerenciar detecções proativas de ameaças ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100Especificação dos tipos de processos que as verificações proativas

de ameaças detectam .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Especificação de ações e níveis de sensibilidade para detecção de

cavalos de tróia, worms e keyloggers ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Configurar a ação para detecção de aplicativos comerciais ... . . . . . . . . 103

Configuração de notificações para detecções da verificação proativade ameaças ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

Envio de informações sobre as verificações proativas de ameaças aoSymantec Security Response .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

Configurar uma exceção centralizada para verificações proativas deameaças ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Capítulo 8 Gerenciamento de proteção contra ameaças na redeSobre a proteção contra ameaças à rede .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

Como o cliente protege a rede de ataques pela rede .... . . . . . . . . . . . . . . . . . 108Exibir a atividade da rede .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

Configuração do firewall .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113Sobre as regras de firewall .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114Adicionando regras ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119Alterando a ordem das regras ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119Ativando e desativando regras ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120Exportando e importando regras ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120Editando e excluindo regras ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121Ativar as configurações de tráfego e as configurações

dissimuladas de navegação na Web .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122Ativar a filtragem inteligente de tráfego .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124Bloqueio do tráfego .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

Configurar a prevenção de intrusões ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126Configuração das notificações da prevenção de intrusões ... . . . . . . . . . . 127Bloquear um computador invasor ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

Definição das configurações específicas dos aplicativos ... . . . . . . . . . . . . . . . . . . 129Remoção das restrições de um aplicativo .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

Compartilhamento de arquivos e pastas ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

Sumário6

Secção 3 Symantec Network Access Control

Capítulo 9 Noções básicas do Symantec Network Access ControlSobre o Symantec Network Access Control ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

Como funciona o Symantec Network Access Control ... . . . . . . . . . . . . . . . . 136Sobre a atualização da Política de integridade do host ... . . . . . . . . . . . . . . 137

Execução de uma verificação de integridade do host ... . . . . . . . . . . . . . . . . . . . . . . . 137Correção do computador ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138Exibição de registros do Symantec Network Access ... . . . . . . . . . . . . . . . . . . . . . . . . 138Sobre a aplicação .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139Configuração do cliente para autenticação 802.1x .... . . . . . . . . . . . . . . . . . . . . . . . . . 139

Reautenticação do computador ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142

Secção 4 Monitoração e registro

Capítulo 10 Uso e gerenciamento de registrosSobre os registros ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147Exibição de registros e dos detalhes dos registros ... . . . . . . . . . . . . . . . . . . . . . . . . . . 153

Filtrar as visualizações de registro ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154Gerenciamento do tamanho de registros ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156

Configurando o tempo de retenção para entradas de registro daproteção antivírus e anti-spyware e da proteção proativacontra ameaças ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

Configuração do tamanho dos registros de proteção contraameaças à rede e dos registros de gerenciamento declientes ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

Configuração do tempo de retenção para as entradas do registrode proteção de ameaças à rede e as entradas do registro degerenciamento de clientes ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

Sobre a exclusão do conteúdo do registro do sistema antivírus eanti-spyware .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158

Exclusão dos conteúdos dos registros de proteção contra ameaçasà rede e registros de gerenciamento de cliente ... . . . . . . . . . . . . . . . . . . 158

Colocar em quarentena os riscos e as ameaças do registro de riscos edo registro de ameaças ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159

Uso de registros de proteção contra ameaças à rede e de registros degerenciamento de clientes ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159Atualizar os registros da proteção contra ameaças à rede e do

gerenciamento de cliente ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160Ativação do registro de pacotes ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160Interrupção de uma resposta ativa ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

7Sumário

Rastrear eventos até suas origens .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161Usando os registros de gerenciamento de cliente com o Symantec

Network Access Control ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162Exportação de dados de registro ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162

Índice

Sumário8

Introdução

■ Introdução ao cliente da Symantec

■ Resposta ao cliente

■ Gerenciamento do cliente

1Secção

Introdução ao cliente daSymantec

Este capítulo contém os tópicos a seguir:

■ Sobre o cliente

■ O que mantém a proteção de seu computador atualizada

■ Sobre as políticas de segurança

■ Onde obter mais informações

Sobre o clienteA Symantec fabrica dois produtos de segurança de ponto final que podem serusados em conjunto ou separadamente: o Symantec Endpoint Protection e oSymantec Network Access Control. Você ou o administrador instalou um ou ambosos produtos de software cliente da Symantec no computador. Se o administradorinstalou o cliente, então ele determinou os produtos a serem ativados no cliente.

Nota: Se você ou o administrador instalou somente um desses produtos nocomputador, o nome do produto aparece na barra de título. Quando ambos os tiposde proteção são ativados, o Symantec Endpoint Protection aparece na barra detítulo.

O Symantec Endpoint Protection protege o computador contra ameaças e riscosà segurança da Internet. Ele pode executar as seguintes ações:

■ Verificar vírus, ameaças conhecidas e riscos à segurança no computador.

■ Monitorar assinaturas conhecidas de ataque nas portas.

1Capítulo

■ Monitorar o comportamento suspeito de programas no computador.

Consulte “Sobre o Symantec Endpoint Protection” na página 35.

O Symantec Network Access Control garante que as configurações de segurançado computador estejam em conformidade com as políticas de rede. As configuraçõesde segurança podem incluir software, definições de configuração de software,arquivos de assinaturas, patches e outros elementos.

Consulte “Sobre o Symantec Network Access Control” na página 135.

Sobre clientes gerenciados e não gerenciadosO administrador do produto Symantec pode instalar o cliente como cliente nãogerenciado ou como cliente gerenciado pelo administrador. Um cliente nãogerenciado significa que as configurações e ações no cliente Symantec não sãocontroladas por um administrador. Em um cliente não gerenciado, é possívelcontrolar todas as configurações e ações.

Em um ambiente gerenciado, o administrador usa o Symantec Endpoint ProtectionManager para monitorar, configurar e atualizar remotamente o cliente. Esseservidor de gerenciamento permite que o administrador determine o nível decontrole que você tem sobre as configurações e as ações do cliente. O cliente acessao servidor de gerenciamento para determinar se novas informações ou atualizaçõesde políticas estão disponíveis.

Em um ambiente gerenciado, talvez não seja possível visualizar ou acessar todosos componentes do cliente. Os componentes visíveis e as ações disponíveis nocliente dependem do nível de acesso que o administrador concedeu ao computador.A disponibilidade das configurações do cliente, bem como os próprios valores dasconfigurações, podem ser alterados periodicamente. Por exemplo, umaconfiguração pode ser alterada quando o administrador atualiza a política quecontrola a proteção do cliente.

Em todos os ambientes, o cliente solicita informações e exibe perguntas. Énecessário responder a essas solicitações.

Consulte “Sobre a interação do cliente” na página 19.

Sobre o ícone da área de notificaçãoO cliente tem um ícone da área de notificação localizado no canto direito inferiorda área de trabalho. Clique com o botão direito nesse ícone para exibir os comandosutilizados com freqüência.

Introdução ao cliente da SymantecSobre o cliente

12

Nota: Nos clientes gerenciados, esse ícone não aparecerá se o administrador oconfigurou para ficar não disponível.

A Tabela 1-1 descreve os comandos disponíveis a partir do ícone da área denotificação.

Tabela 1-1 Comandos do ícone da área de notificação

DescriçãoOpção

Abre a janela principalAbrir o Symantec EndpointProtection

Abrir o Symantec NetworkAccess Control

Recupera as últimas políticas de segurança do servidor

Nota: Este comando está disponível somente em clientesgerenciados.

Política de atualização

Reautentica o computador-cliente.

Nota: Este comando somente estará disponível quando oadministrador configurar o cliente como requerente 802.1xinterno.

Reautenticação

Desliga todas as proteções do cliente.

Depois de desativar o cliente, o texto do comando muda de"Desativar" para "Ativar". Você pode selecionar estecomando para ligar todas as proteções do cliente.

Desativar o Auto-Protect

Consulte “Reautenticação do computador” na página 142.

Ocultando e exibindo o ícone da área de notificaçãoVocê pode ocultar o ícone da área de notificação se necessário. Por exemplo, vocêpode ocultá-lo se precisar de mais espaço na barra de tarefas do Windows.

Nota: Nos clientes gerenciados, você não poderá ocultar o ícone da área denotificação se o administrador restringir essa funcionalidade.

13Introdução ao cliente da SymantecSobre o cliente

Para ocultar o ícone da área de notificação

1 Na janela principal, na barra lateral, clique em Modificar configurações.

2 Na página Modificar configurações, ao lado do Gerenciamento de clientes,clique em Definir configurações.

3 Na caixa de diálogo Configurações do gerenciamento de clientes, na guiaGeral, em Exibir opções, selecione o local para o qual deseja alterar.

4 Desmarque Mostrar o ícone do Symantec Endpoint Protection na área denotificação.

5 Clique em OK.

Para exibir o ícone da área de notificação

1 Na janela principal, na barra lateral, clique em Modificar configurações.

2 Na página Modificar configurações, ao lado do Gerenciamento de clientes,clique em Definir configurações.

3 Na caixa de diálogo Configurações do gerenciamento de clientes, em Exibiropções, selecione o local para o qual deseja alterar.

4 Marque Mostrar o ícone do Symantec Endpoint Protection na área denotificação.

5 Clique em OK.

O que mantém a proteção de seu computadoratualizada

Os engenheiros da Symantec acompanham as epidemias de vírus de computadorrelatadas para identificar novos vírus. Eles também rastreiam ameaças combinadas,riscos à segurança como spyware e outras vulnerabilidades que podem serexploradas quando seu computador é conectado à Internet. Após identificar umrisco, eles gravam uma assinatura (informações sobre o risco) e a armazenam emum arquivo de definições. Esse arquivo de definições contém as informaçõesnecessárias para detectar, eliminar e reparar os efeitos do risco. Quando oSymantec Endpoint Protection verifica vírus ou riscos à segurança, ele procuraesses tipos de assinatura.

Outros itens que seu cliente deve manter atualizados são as listas de processospermitidos e restritos e as assinaturas de ataque. As listas de processos ajudam aproteção proativa contra ameaças a identificar comportamento suspeito deprogramas mesmo que o cliente não reconheça uma ameaça específica. Asassinaturas de ataque oferecem as informações que o sistema de prevenção deintrusões precisa para manter seu computador livre de intrusos.

Introdução ao cliente da SymantecO que mantém a proteção de seu computador atualizada

14

Além dos arquivos de definições, das listas de processos e assinaturas de ataque,os componentes de seu cliente devem ser atualizado ocasionalmente. Essescomponentes podem incluir o mecanismo de proteção antivírus e anti-spyware,o mecanismo da proteção proativa contra ameaças e o firewall para proteçãocontra ameaças à rede. Essas atualizações podem consistir em pequenos reparosa defeitos ou aprimoramentos do produto.

A Symantec disponibiliza atualizações constantemente. As definições sãoatualizadas diariamente no website do Symantec Security Response. Além disso,novas definições são disponibilizadas para entrega via LiveUpdate pelo menosuma vez por semana e sempre que houver novas ameaças de vírus destrutivos.

Nota:Seu administrador pode controlar a freqüência de atualização das definiçõesde seu cliente.

Consulte “Sobre o LiveUpdate” na página 27.

Sobre a função do Symantec Security ResponseA força do Symantec Endpoint Protection baseia-se no Symantec SecurityResponse. Os pesquisadores do Symantec Security Response analisam cada amostrade vírus e risco à segurança para descobrir as características e os comportamentosque os identificam. Através dessas informações, eles desenvolvem definições queos produtos da Symantec usam para detectar, eliminar e reparar os efeitos devírus e riscos à segurança.

Devido à velocidade de disseminação dos novos vírus, o Symantec SecurityResponse criou ferramentas de análise automatizada de software. O envio dearquivos infectados de seu computador para o Symantec Security Response reduzsignificativamente o tempo entre a descoberta e a análise e cura.

Os pesquisadores do Symantec Security Response também pesquisam e produzemtecnologias de proteção para computadores contra riscos à segurança, comospyware, adware e ferramentas para hackers.

O Symantec Security Response mantém uma enciclopédia que fornece informaçõesdetalhadas sobre vírus e riscos à segurança. Nos casos necessários, ela ofereceinformações sobre a remoção de riscos. A enciclopédia está localizada no websitedo Symantec Security Response, no seguinte URL:

http://www.symantec.com/pt/br/security_response/

15Introdução ao cliente da SymantecO que mantém a proteção de seu computador atualizada



Como a proteção é atualizada em clientes gerenciadosO administrador determina como suas definições de vírus e riscos à segurançadevem ser atualizadas. Talvez nada precise ser feito para que você receba novasdefinições.

Seu administrador pode configurar o recurso LiveUpdate do Symantec EndpointProtection para assegurar que sua proteção contra vírus e riscos à segurançapermaneça atualizada. O LiveUpdate é conectado a um computador que armazenaas atualizações, determina se o cliente precisa ser atualizado, faz o download dosarquivos apropriados e os instala. O computador que armazena as atualizaçõespode ser um servidor Symantec Endpoint Protection Manager interno de suaempresa. Como alternativa, esse computador pode ser um servidor do SymantecLiveUpdate que você acessa por meio da Internet.


Como a proteção é atualizada em clientes não gerenciadosOs administradores não atualizam a proteção em clientes não gerenciados. Épossível atualizar o software e arquivos de definições usando o LiveUpdate. Se oseu cliente não gerenciado usar as configurações padrão do LiveUpdate, eleverificará as atualizações em um servidor da Symantec pela Internet uma vez porsemana.

Você pode alterar a freqüência com a qual o LiveUpdate verifica as atualizações.Você também pode executar o LiveUpdate manualmente se souber de algumaepidemia de vírus ou de outro risco de segurança.


Sobre as políticas de segurançaUma política de segurança é um conjunto de configurações de segurança que oadministrador de um cliente gerenciado configura e implementa nos clientes. Aspolíticas de segurança determinam as configurações do cliente, inclusive as opçõesque você pode visualizar e acessar.

Os clientes gerenciados são conectados ao servidor de gerenciamento e recebemautomaticamente as políticas de segurança mais recentes. Se você tiver dificuldadepara acessar a rede, o administrador pode orientá-lo para atualizar manualmentea política de segurança.

Consulte “Atualizar a política de segurança” na página 17.

Introdução ao cliente da SymantecSobre as políticas de segurança

16

Atualizar a política de segurançaAs configurações de controle de proteção no cliente são armazenadas nocomputador em um arquivo de políticas. Esse arquivo de política de segurançanormalmente é atualizado automaticamente. Porém, o administrador poderáinstruí-lo a atualizar a política de segurança manualmente em certascircunstâncias.

Nota:Você pode exibir o registro do sistema para confirmar se a operação atualizoua política com sucesso.

Consulte “Exibição de registros e dos detalhes dos registros” na página 153.

Para atualizar a política de segurança

1 Na área de notificação do Windows, clique com o botão direito no ícone docliente.

2 No menu pop-up, clique em Política de atualização.

3 Na caixa de diálogo de confirmação, clique em OK.

Onde obter mais informaçõesSe você precisar de mais informações, acesse a Ajuda on-line. É possível obterinformações adicionais sobre vírus e riscos de segurança a partir do website doSymantec Security Response, no seguinte URL:


Acessar a Ajuda on-lineO sistema de Ajuda on-line do cliente contém informações gerais e procedimentospara ajudá-lo a manter seu computador livre de vírus e riscos de segurança.

Nota: Pode ser que o administrador tenha optado por não instalar os arquivos deajuda.

Para acessar a Ajuda on-line

◆ Na janela principal, proceda de uma das seguintes maneiras:

■ Clique em Ajuda & Suporte e depois clique em Tópicos de ajuda.

■ Clique em Ajuda em qualquer uma das caixas de diálogo.

17Introdução ao cliente da SymantecOnde obter mais informações


A Ajuda contextual está disponível somente nas telas em que se podeefetuar ações.

■ Pressione F1 em qualquer janela. Se houver ajuda contextual disponívelpara a janela, ela aparecerá. Se a ajuda contextual não estiver disponível,aparecerá o sistema completo de Ajuda.

Acessando o Website do Symantec Security ResponseSe você estiver conectado à Internet, pode acessar o Website do Symantec SecurityResponse para consultar:

■ A Enciclopédia de vírus, que contém informações sobre todos os vírusconhecidos

■ Informações de boatos sobre vírus

■ Informes oficiais sobre vírus e ameaças de vírus em geral

■ Informações gerais e detalhadas sobre riscos de segurança

Para acessar o Website do Symantec Security Response, use o seguinte URL:

■ Digite o seguinte endereço em seu navegador da Internet:http://www.symantec.com/pt/br/security_response/

Introdução ao cliente da SymantecOnde obter mais informações

18


Resposta ao cliente


■ Sobre a interação do cliente

■ Tratamento dos arquivos infectados

■ Sobre as notificações e os alertas

Sobre a interação do clienteO cliente funciona em segundo plano para manter o computador seguro contraatividades maliciosas. Algumas vezes, o cliente precisa notificar uma atividadeou solicitar feedback. Se o Symantec Endpoint Protection estiver ativado no cliente,é possível que você experimente os seguintes tipos de interação do cliente:

Se o Auto-Protect ou uma verificação detectar umvírus ou um risco à segurança, a caixa de diálogoResultados de detecção do Symantec EndpointProtection será exibida com detalhes sobre ainfecção. Essa caixa de diálogo também exibe a açãoexecutada pelo Symantec Endpoint Protection emrelação ao risco. Normalmente, não é necessárioefetuar nenhuma outra ação além de revisar aatividade e fechar a caixa de diálogo. Entretanto, épossível realizar uma ação, se necessário.

Consulte “Tratamento dos arquivos infectados”na página 20.

Detecção de vírus ou risco àsegurança

2Capítulo

Quando um programa no computador tenta acessaruma rede, o Symantec Endpoint Protection podesolicitar que você aceite ou negue a permissão.

Consulte “Resposta a notificações relacionadas aaplicativos” na página 22.

Notificações relacionadas aaplicativos

O Symantec Endpoint Protection informa quandoum programa é bloqueado ou quando um ataquecontra o computador é detectado.

Consulte “Resposta a alertas de segurança”na página 25.

Alertas de segurança

Se o Symantec Network Access Control estiver ativado no cliente, é possívelvisualizar uma mensagem de controle de acesso à rede. Essa mensagem é exibidaquando as configurações de segurança não estão em conformidade com os padrõesdefinidos pelo administrador.

Consulte “Resposta a notificações de controle de acesso à rede” na página 26.

Tratamento dos arquivos infectadosPor padrão, o Auto-Protect é executado continuamente no computador. Nos clientesnão gerenciados, uma verificação rápida e gerada automaticamente é executadaquando o computador é ligado. Nos clientes gerenciados, o administradorgeralmente configura uma verificação completa a ser executada pelo menos umavez por semana. O Auto-Protect exibe uma caixa de diálogo quando faz umadetecção. Quando as verificações são executadas, uma caixa de diálogo deverificação é exibida para mostrar os resultados. Nos clientes gerenciados, oadministrador pode desativar esses tipos de notificações.

Se você receber esses tipos de notificações, poderá precisar agir em relação a umarquivo infectado.

As opções padrão do Auto-Protect e de todos os tipos de verificações são limparvírus de arquivos infectados após a detecção. Se o cliente não puder limpar umarquivo infectado, registrará a falha e o moverá para a Quarentena. A Quarentenalocal é um local especial reservado para arquivos infectados e efeitos colateraisrelacionados do sistema. Nos riscos à segurança, o cliente coloca em quarentenaos arquivos infectados e remove ou repara seus efeitos colaterais. O clienteregistrará a detecção se não puder reparar o arquivo.

Nota: Na Quarentena, o vírus não pode ser disseminado. Quando o cliente moveum arquivo para a Quarentena, você não tem acesso ao mesmo.

Resposta ao clienteTratamento dos arquivos infectados

20

Quando o Symantec Endpoint Protection reparar um arquivo infectado por vírus,não será necessário tomar nenhuma outra ação para proteger o computador. Seo cliente colocar em quarentena um arquivo infectado por risco à segurança,removê-lo e repará-lo, não será necessário tomar ações adicionais.

Pode não ser necessário agir em um arquivo, mas você pode executar uma açãoadicional no arquivo. Por exemplo, você pode decidir excluir um arquivo que foilimpo porque quer substituí-lo pelo arquivo original.

É possível usar as notificações para que atuem no arquivo imediatamente. Tambémé possível usar a exibição do registro ou a Quarentena para agir em relação aoarquivo posteriormente.

Consulte “Interpretação dos resultados das verificações” na página 74.

Consulte “Colocar em quarentena os riscos e as ameaças do registro de riscos edo registro de ameaças” na página 159.

Consulte “Sobre a quarentena” na página 87.

Para tratar um arquivo infectado

1 Siga uma destas ações:

■ Na caixa de diálogo de andamento da verificação, selecione os arquivosdesejados após a conclusão da verificação.

■ Na caixa de diálogo Resultados da verificação, selecione os arquivosdesejados.

■ No cliente, na barra lateral, clique em Exibirregistros e ao lado de Proteçãoantivírus e anti-spyware, clique em Exibir registros. Na exibição deregistros, selecione os arquivos desejados.

2 Clique com o botão direito do mouse nos arquivos e selecione uma destasopções:

■ Desfazer ação tomada: Reverte a ação tomada.

■ Limpar (somente vírus): remove o vírus do arquivo.

■ Excluir permanentemente: exclui o arquivo infectado e todos os seusefeitos colaterais. Nos riscos à segurança, use essa ação com cuidado. Emalguns casos, excluir riscos à segurança pode prejudicar a funcionalidadede um aplicativo.

■ Colocar em quarentena: Coloca os arquivos infectados na Quarentena.Nos riscos à segurança, o cliente também tenta remover ou reparar osefeitos colaterais.

■ Propriedades: Exibe informações sobre o vírus ou risco à segurança.

Em alguns casos, o cliente pode não ser capaz de executar a ação selecionada.

21Resposta ao clienteTratamento dos arquivos infectados

Sobre os danos causados por vírusSe o Symantec Endpoint Protection encontrar uma infecção logo após suaocorrência, o arquivo infectado poderá estar totalmente funcional após o clientelimpá-lo. No entanto, em alguns casos, o Symantec Endpoint Protection podelimpar um arquivo infectado que já foi danificado pelo vírus. Por exemplo, oSymantec Endpoint Protection pode encontrar um vírus que danifique um arquivode documento. O Symantec Endpoint Protection removerá o vírus, mas não poderáreparar o dano causado no arquivo infectado.

Sobre as notificações e os alertasÉ possível visualizar diferentes tipos de notificações no computador. Essasnotificações geralmente descrevem uma situação e indicam como o cliente tentaresolver a questão.

É possível visualizar os seguintes tipos de notificações:

■ Notificações relacionadas a aplicativos

■ Alertas de segurança

Resposta a notificações relacionadas a aplicativosÉ possível visualizar uma notificação que pergunta se você deseja permitir aexecução de um aplicativo ou serviço.

Esse tipo de notificação é exibida por uma das seguintes razões:

■ O aplicativo solicita o acesso à conexão de rede.

■ Foi feito um upgrade no aplicativo que acessou a sua conexão de rede.

■ O cliente trocou usuários por meio do recurso de troca rápida de usuário.

■ O administrador atualizou o software cliente.

É possível visualizar o seguinte tipo de mensagem, que informa quando umaplicativo ou serviço tenta acessar o computador:

O Internet Explorer (IEXPLORE.EXE) está tentando conectar-se ao site

www.symantec.com.br usando a porta remota 80 (HTTP - World Wide Web).

Deseja permitir que o programa acesse a rede?

Resposta ao clienteSobre as notificações e os alertas

22

Para responder a aplicativos que tentam acessar a rede

1 Na caixa de mensagem, clique em Detalhe.

É possível exibir mais informações sobre a conexão e o aplicativo, como onome do arquivo, o número da versão e o nome do caminho.

2 Se desejar que o cliente lembre de sua escolha na próxima vez que esseaplicativo tentar acessar a conexão de rede, clique em Lembrar minharesposta e não perguntar mais para esse aplicativo..

3 Realize uma das seguintes tarefas:

■ Para permitir o acesso do aplicativo à conexão de rede, clique em Sim.Clique em Sim somente se reconhecer o aplicativo e tiver certeza de quedeseja que ele tenha acesso à conexão de rede. Se não tiver certeza sedeseja permitir o acesso do aplicativo à conexão de rede, pergunte aoadministrador.

■ Para bloquear o acesso do aplicativo à conexão de rede, clique em Não.

A Tabela 2-1 exibe como é possível responder às notificações que perguntamse você deseja permitir ou bloquear um aplicativo.

Tabela 2-1 Notificações de permissão de aplicativos

O cliente...Se selecionar a caixa de seleção"Lembrar minha resposta..."?

Se clicar em

Permite o aplicativo e não perguntanovamente.

SimSim

Permite o aplicativo e perguntatodas as vezes.

NãoSim

Bloqueia o aplicativo e nãopergunta novamente.

SimNão

Bloqueia o aplicativo e perguntatodas as vezes.

NãoNão

É possível também alterar a ação do aplicativo no campo Aplicativos em execuçãoou na lista Aplicativos.

Consulte “Definição das configurações específicas dos aplicativos” na página 129.

Notificações de aplicativos alteradosÀs vezes, talvez seja exibida uma mensagem que indica a alteração de umaplicativo.

23Resposta ao clienteSobre as notificações e os alertas

"O programa Telnet foi alterado desde a última vez em que foi aberto,

isso pode ter ocorrido devido à atualização realizada recentemente.

Deseja permitir o acesso do programa à rede?

O aplicativo relacionado na seguinte mensagem tenta acessar sua conexão derede. Apesar de o cliente reconhecer o nome do aplicativo, algo foi modificadodesde a última vez em que o cliente encontrou o programa. Provavelmente, foirealizado um upgrade do produto. Cada nova versão de produto usa um arquivode impressão digital de arquivo diferente da versão antiga. O cliente detecta queo arquivo de impressão digital de arquivo foi alterado.

Notificações de troca rápida de usuárioSe o Windows Vista/XP for usado, será possível ver uma das seguintes notificações:

"O Symantec Endpoint Protection não pode mostrar a interface

do usuário. Se o recurso de troca rápida de usuário do Windows XP

estiver sendo usado, certifique-se de que todos os usuários façam

logoff do Windows e tente fazer o logoff do Windows e então logon

novamente. Se estiver usando os serviços de terminal, a interface

do usuário não é compatível."

ou

"O Symantec Endpoint Protection não estava em execução, mas será iniciado.

Contudo, o Symantec Endpoint Protection não pode mostrar a interface

do usuário. Se o recurso de troca rápida de usuário

do Windows XP estiver sendo usado, certifique-se de que

todos os usuários façam logoff do Windows e tente fazer

o logoff do Windows e então logon novamente. Se estiver

usando os serviços de terminal, a interface do usuário

não é compatível."

A troca rápida de usuário é um recurso do Windows que possibilita a troca rápidaentre usuários, sem a necessidade de fazer logoff do computador. Vários usuáriospodem compartilhar simultaneamente um computador e alternar sem fechar osaplicativos em execução. Uma dessas janelas é exibida se você trocar usuárioscom o recurso de troca rápida de usuário.

Para responder uma mensagem de troca rápida de usuário, siga as instruções nacaixa de diálogo.


24

Notificações de atualização automáticaSe o software cliente é atualizado automaticamente, é possível visualizar a seguintenotificação:

O Symantec Endpoint Protection detectou que uma versão mais recente

do software está disponível no Symantec Endpoint Protection Manager.

Deseja fazer o download agora?

Para responder a uma notificação de atualização automática

1 Realize uma das seguintes ações:

■ Para fazer o download do software imediatamente, clique em Fazer odownload agora.

■ Para ser avisado após o tempo especificado, clique em Lembre-medepois.

2 Se a mensagem for exibida após o processo de instalação do softwareatualizado ter iniciado, clique em OK.

Resposta a alertas de segurançaOs alertas de segurança exibem uma notificação acima do ícone da área denotificação. É necessário somente reconhecer a leitura da mensagem, clicandoem OK. As notificações são exibidas por uma das seguintes razões:

Um aplicativo iniciado do computador foi bloqueado, conforme as regras definidaspelo administrador. Por exemplo, é possível visualizar a seguinte mensagem:

O aplicativo Internet Explorer foi bloqueado,o nome do arquivo é IEXPLORE.EXE.

Essas notificações indicam que o cliente bloqueou o tráfego especificado comonão-confiável. Se o cliente é configurado para bloquear o tráfego, essasnotificações são exibidas freqüentemente. Se o cliente é configurado para permitiro tráfego, essas notificações não são exibidas.

Mensagens de aplicativosbloqueados

25Resposta ao clienteSobre as notificações e os alertas

Um ataque foi iniciado contra o computador e um alerta informa a situação oufornece instruções sobre como lidar com ela. Por exemplo, é possível visualizara seguinte mensagem:

Tráfego do endereço IP 192.168.0.3 está bloqueadode 10/10/2006 15:37:58 a 10/10/2006 15:47:58.O ataque à verificação de portas está registrado.

O administrador pode ter desativado as notificações de prevenção de intrusõesno computador-cliente. Para visualizar os tipos de ataques detectados pelo cliente,é possível fazer com que o cliente exiba notificações de prevenção de intrusões.

Consulte “Configuração das notificações da prevenção de intrusões” na página 127.

Intrusões

Resposta a notificações de controle de acesso à redeSe o cliente do Symantec Network Access Control não estiver em conformidadecom políticas de segurança, é possível que ele não consiga acessar a rede. Nessecaso, talvez apareça uma mensagem que afirma que o Symantec Enforcer bloqueouo tráfego porque ocorreu uma falha na verificação de integridade do host. Oadministrador de rede pode ter adicionado texto a essa mensagem que sugerepossíveis ações de correção.

Para responder a notificações de controle de acesso à rede

1 Siga os procedimentos sugeridos exibidos na caixa de mensagem.

2 Na caixa de mensagem, clique em OK.

Após fechar a caixa de mensagem, abra o cliente para observar se ele exibeprocedimentos sugeridos para restaurar o acesso à rede.


26

Gerenciamento do cliente


■ Sobre o LiveUpdate

■ Executando o LiveUpdate em intervalos agendados

■ Execução manual do LiveUpdate

■ Como testar a segurança do computador

■ Sobre os locais

■ Alteração de locais

■ Sobre a proteção contra adulteração

■ Ativação, desativação e configuração da proteção contra adulteração

Sobre o LiveUpdateO LiveUpdate obtém atualizações de programas e proteções para o computadorpor meio de uma conexão à Internet.

As atualizações de programas são pequenas melhorias ao produto instalado. Elassão diferentes dos upgrades de produtos, que são versões mais recentes do produtocompleto. As atualizações de programas são criadas geralmente para ampliar acompatibilidade de sistemas operacionais ou hardware, ajustar problemas dedesempenho ou corrigir erros de programa. As atualizações de programas sãolançadas de acordo com as necessidades.

Nota: Algumas atualizações de programas podem solicitar que você reinicie ocomputador após a instalação.

3Capítulo

O LiveUpdate automatiza a recuperação e instalação de atualizações de programas.Ele localiza e obtém arquivos de um site na Internet, instala-os e depois exclui osarquivos restantes do computador.

As atualizações de proteções são os arquivos que mantém os produtos da Symantecatualizados com a tecnologia de proteção contra ameaças mais recente. Asatualizações de proteções recebidas dependem dos produtos instalados nocomputador.

Por padrão, o LiveUpdate é executado automaticamente em intervalos agendados.É possível executar o LiveUpdate manualmente com base nas configurações desegurança. Também é possível desativar o LiveUpdate ou alterar seu agendamento.

Executando o LiveUpdate em intervalos agendadosÉ possível criar um agendamento para que o LiveUpdate seja executadoautomaticamente em intervalos programados.

Para executar o LiveUpdate em intervalos agendados

1 No cliente, na barra lateral, clique em Gerenciamento de cliente > Opções.

2 Na caixa de diálogo Configurações do gerenciamento de cliente, clique emAtualizações agendadas.

3 Na guia Atualizações agendadas, marque Ativar atualizações automáticas.

4 Na caixa de grupo Freqüência, selecione se deseja que os updates sejamexecutados diariamente, semanalmente ou mensalmente.

5 Na caixa de grupo Quando, selecione o dia ou a semana e o horário em quedeseja que as atualizações sejam executadas.

6 Para especificar como tratar atualizações perdidas, clique em Avançado.

7 Na caixa de diálogo Opções de agendamento avançadas, selecione as opçõespara o LiveUpdate repetir as atualizações perdidas.

Para obter mais informações sobre essas opções, clique em Ajuda.

8 Clique em OK.

9 Clique em OK.

Execução manual do LiveUpdateÉ possível atualizar o software e arquivos de definições usando o LiveUpdate. OLiveUpdate recupera os novos arquivos de definições de um site da Symantec esubstitui os arquivos antigos. Os produtos da Symantec dependem das informações

Gerenciamento do clienteExecutando o LiveUpdate em intervalos agendados

28

atualizadas para proteger o computador contra ameaças recém-descobertas. ASymantec disponibiliza essas informações através do LiveUpdate.

Para obter atualizações usando o LiveUpdate

◆ No cliente, na barra lateral, clique em LiveUpdate.

O LiveUpdate conecta-se ao servidor da Symantec, verifica as novasatualizações e efetua o download e a instalação das atualizaçõesautomaticamente.

Como testar a segurança do computadorÉ possível testar a eficácia do computador em relação a vírus e ameaças externaspor meio da verificação. Essa verificação é uma ação importante a ser tomadapara garantir que o computador seja protegido de intrusos potenciais. Os resultadospodem ajudar a definir as diversas opções no cliente para proteger o computadorcontra ataques.

Para testar a segurança do computador

1 No cliente, na barra lateral, clique em Status.

2 Ao lado de Proteção contra ameaças na rede, clique em Opções > Exibiratividades da rede.

3 Clique em Ferramentas > Testar a segurança da rede.

4 No website do Symantec Security Check, proceda de uma das seguintesmaneiras:

■ Para verificar ameaças on-line, clique em Verificação de segurança.

■ Para verificar vírus, clique em Detecção de vírus.

5 No painel de contrato de licença do usuário final, clique em Aceito e cliqueem Avançar.

Se clicou em Detecção de vírus na etapa 4, clique em Aceito e então cliqueem Avançar.

Se desejar interromper a verificação a qualquer momento, clique emInterromper.

6 Quando a verificação for concluída, feche a caixa de diálogo.

Sobre os locaisO local refere-se à política de segurança baseada no ambiente de rede. Por exemplo,se você se conectar à rede do escritório usando seu laptop em casa, o administrador

29Gerenciamento do clienteComo testar a segurança do computador

poderá configurar um local denominado Casa. Se você usar o laptop no escritório,poderá usar um local denominado Escritório. Outros locais podem incluir VPN,filial do escritório ou hotel.

O cliente alterna entre esses locais porque as necessidades de segurança e asnecessidades de utilização podem ser diferentes entre ambientes de rede. Porexemplo, quando seu laptop se conectar à rede do escritório, o cliente poderá usarum conjunto restritivo de políticas que o administrador configurou. Entretanto,ao conectar-se à rede local, o cliente poderá usar um conjunto de políticas quefornece acesso a mais opções de configuração. O administrador planeja e configurao cliente conforme necessário, para que o cliente faça as alteraçõesautomaticamente para você.

Nota: Em um ambiente gerenciado, é possível alterar os locais somente se oadministrador fornecer o acesso necessário.

Alteração de locaisÉ possível alterar o local, se necessário. Por exemplo, poderá ser necessário trocarpara um local que permita que um colega acesse os arquivos em seu computador.A lista de locais disponíveis baseia-se nas políticas de segurança e na rede ativado computador.

Nota: Com base nas políticas de segurança disponíveis, você provavelmente teráacesso a mais de um local. Talvez você descubra que ao clicar em um local, nãoserá possível passar para o mesmo. Isso significa que a configuração de rede nãoé adequada para esse local. Por exemplo, um local denominado Escritório poderáser disponibilizado somente quando detectar a LAN (local area network, rede deárea local) do escritório. Se você não estiver nessa rede no momento, não poderápassar para esse local.

Para alterar um local

1 No cliente, na barra lateral, clique em Alterar configurações.

2 Na página Alterar configurações, próximo a Gerenciamento de clientes, cliqueem Definir configurações.

3 Na guia Geral, em Opções de local, selecione o local para o qual deseja alterar.

4 Clique em OK.

Gerenciamento do clienteAlteração de locais

30

Sobre a proteção contra adulteraçãoA proteção contra adulteração garante proteção em tempo real aos aplicativos daSymantec. Previne ataques de software malicioso, como worms, cavalos de tróia,vírus e riscos à segurança.

Você pode configurar a proteção contra adulteração para efetuar as seguintesações:

■ Bloquear tentativas de adulteração e registrar o evento

■ Registrar o evento de adulteração, mas não interferir nele

A proteção contra adulteração é ativada para os clientes gerenciados e para osnão gerenciados, a menos que o administrador tenha alterado as configuraçõespadrão. Quando a proteção contra adulteração detecta uma tentativa deadulteração, ela registra o evento no registro de proteção contra adulteração porpadrão. Você pode configurar a proteção contra adulteração para exibir umanotificação em seu computador quando ela detectar uma tentativa de adulteração.Você pode personalizar a mensagem. A proteção contra adulteração não avisasobre tentativas de adulteração a não ser que você ative esse recurso.

Se você usar um cliente não gerenciado, pode alterar as suas configurações deproteção contra adulteração. Se você usar um cliente gerenciado, pode alteraressas configurações se o administrador permitir.

Quando você usa o Symantec Endpoint Protection inicialmente, a melhor práticaé deixar a ação padrão Somente registrar enquanto você monitora os registrosuma vez por semana. Quando você tiver certeza de que não há falsos positivos,configure a proteção contra adulteração para Bloquear e registrar.

Nota: Se você utiliza um verificador de risco à segurança de terceiros que detectae defende contra adware e spyware indesejados, esse verificador geralmente afetaos processos da Symantec. Se a proteção contra adulteração estiver ativadaenquanto você executa um verificador de risco à segurança, ela gera um grandenúmero de notificações e entradas de registros. A melhor prática é sempre deixara proteção contra adulteração ativada e usar o filtro de registros se o número deeventos gerados for alto demais.

Ativação, desativação e configuração da proteçãocontra adulteração

Você pode ativar ou desativar a proteção contra adulteração. Se ela estiver ativada,você pode escolher a ação que ela deve executar quando detectar uma tentativa

31Gerenciamento do clienteSobre a proteção contra adulteração

de adulteração do software Symantec. Você também pode fazer a proteção contraadulteração exibir uma mensagem para avisá-lo sobre tentativas de adulteração.Se você quiser personalizar a mensagem, pode usar as variáveis predefinidas quea proteção contra adulteração preenche com as informações adequadas.

Para mais informações sobre as variáveis predefinidas, clique em Ajuda na guiaProteção contra adulteração.

Para ativar ou desativar a proteção contra adulteração

1 Na janela principal, na barra lateral, clique em Alterar configurações.

2 Ao lado de Gerenciamento de cliente, clique em Definir configurações.

3 Na guia Proteção contra adulteração, marque ou desmarque Proteger osoftware de segurança Symantec contra adulteração.

4 Clique em OK.

Para configurar a proteção contra adulteração

1 Na janela principal, na barra lateral, clique em Alterar configurações.

2 Ao lado de Gerenciamento de cliente, clique em Definir configurações.

3 Na guia proteção contra adulteração, na lista Ações a serem executadas,selecione Bloquear e registrar ou Somente registrar.

4 Se você quiser ser avisado quando a proteção contra adulteração detectarcomportamento suspeito, marque Exibir a seguinte mensagem ao detectaradulteração.

Se você ativar essas mensagens de notificação, pode receber mensagens sobreprocessos do Windows e sobre processos da Symantec.

5 Para personalizar a mensagem exibida, digite um novo texto ou excluaqualquer texto que desejar no campo da mensagem.

6 Clique em OK.

Gerenciamento do clienteAtivação, desativação e configuração da proteção contra adulteração

32

Symantec EndpointProtection

■ Introdução ao Symantec Endpoint Protection

■ Noções básicas do cliente do Symantec Endpoint Protection

■ Gerenciamento de proteções antivírus e anti-spyware

■ Gerenciamento de proteção proativa contra ameaças

■ Gerenciamento de proteção contra ameaças na rede

2Secção

Introdução ao SymantecEndpoint Protection


■ Sobre o Symantec Endpoint Protection

■ Como o Symantec Endpoint Protection protege seu computador

Sobre o Symantec Endpoint ProtectionA instalação do Symantec Endpoint Protection pode ser independente ougerenciada pelo administrador. A instalação independente é aquela em que oadministrador não gerencia o software Symantec Endpoint Protection. Portanto,ele é um cliente independente.

Se você gerencia seu próprio computador, ele deve ser de um dos tipos a seguir:

■ Um computador independente que não está conectado a uma rede, como umcomputador doméstico ou laptop. O computador deve incluir a instalação deum Symantec Endpoint Protection que use as configurações de opção padrãoou predefinidas pelo administrador.

■ Um computador remoto, conectado à rede corporativa, que deve atender aosrequisitos de segurança antes de se conectar.

As configurações padrão do Symantec Endpoint Protection incluem proteçãoantivírus e anti-spyware, proteção proativa contra ameaças e a proteção contraameaças na rede por meio de um firewall de desktop e prevenção contra intrusõescom base no host. É possível ajustar as configurações padrão para que atendamàs necessidades de sua empresa, otimizem o desempenho do sistema e desativemas opções não aplicáveis.

4Capítulo

Se o computador for gerenciado pelo administrador, poderá haver opçõesbloqueadas, não disponíveis, dependendo da política de segurança adotada peloadministrador. É ele quem executa as verificações no computador, podendoconfigurar verificações agendadas.

O administrador pode aconselhar as tarefas você deve executar usando o SymantecEndpoint Protection.

Como o Symantec Endpoint Protection protege seucomputador

O Symantec Endpoint Protection oferece uma política de segurança que contémdiversos tipos de proteção para seu computador.

Os seguintes tipos de proteção trabalham em conjunto para proteger seucomputador de riscos:

■ Proteções antivírus e anti-spyware

■ Proteção contra ameaças à rede

■ Proteção proativa contra ameaças

Sobre as proteções antivírus e anti-spywareAs proteções antivírus e anti-spyware asseguram que seu computador estaráprotegido contra vírus e riscos à segurança conhecidos. Se os vírus foremrapidamente detectados e removidos do seu computador, não poderão sedisseminar por outros arquivos nem causar danos. Os efeitos dos vírus e riscos àsegurança podem ser reparados. Quando o computador cliente Symantec EndpointProtectiondetecta um vírus ou um risco à segurança, por padrão ele o notificaráa respeito. Para não ser notificado, você ou o administrador podem configurar ocomputador cliente para combater o risco automaticamente.

As proteções antivírus e anti-spyware oferecem verificações baseadas emassinaturas e incluem o seguinte:

■ Verificações do Auto-ProtectO Auto-Protect é executado constantemente no seu computador e ofereceproteção em tempo real por meio da atividade de monitoramento. OAuto-Protect procura por vírus e por riscos à segurança quando um arquivo éexecutado ou aberto. Ele também procura por vírus e riscos à segurança quandovocê faz qualquer alteração em um arquivo. Por exemplo, você pode renomear,salvar, mover ou copiar um arquivo de uma pasta para outra.

■ Verificações agendadas, inicializadas ou por solicitação

Introdução ao Symantec Endpoint ProtectionComo o Symantec Endpoint Protection protege seu computador

36

Você ou seu administrador podem configurar outras verificações a seremexecutadas no seu computador. Essas verificações procuram assinaturas devírus residuais em arquivos infectados. Essas verificações também procuramassinaturas de riscos à segurança em arquivos infectados e em informaçõesdo sistema. Você ou seu administrador podem iniciar verificações sistemáticaspara conferir se há vírus ou riscos à segurança nos arquivos do seu computador.Os riscos à segurança podem incluir ad-ware ou spyware.

Sobre a proteção contra ameaças à redeO computador-cliente Symantec Endpoint Protection fornece um firewallpersonalizado que protege seu computador de invasões e uso indevido, maliciososou não intencionais. Ele detecta e identifica as verificações de portas e outrosataques comuns conhecidos. Em resposta, o firewall, seletivamente, permite oubloqueia diversos serviços de rede, aplicativos, portas e componentes. Ele contémdiversos tipos de proteções de regra de firewall e configurações de segurança paraproteger computadores cliente do tráfego da rede, que pode causar danos.

A proteção contra ameaças à rede oferece assinaturas de um firewall e da prevençãode intrusões para evitar ataques invasivos e conteúdos maliciosos. O firewallpermite ou bloqueia o tráfego de acordo com diversos critérios.

As regras de firewall determinam se o seu computador permitirá ou bloquearáum aplicativo ou serviço de entrada ou de saída que tente acessar seu computadoratravés da conexão de rede. As regras de firewall permitem ou bloqueiamsistematicamente o tráfego e os aplicativos de entrada ou de saída a partir de (oupara) endereços IP e portas específicas. As configurações de segurança detectame identificam ataques comuns, assim como enviam mensagens de e-mail após umataque, exibem mensagens personalizáveis e desempenham outras tarefas desegurança relacionadas.

Consulte “Sobre a proteção contra ameaças à rede” na página 107.

Sobre a proteção proativa contra ameaçasA proteção proativa contra ameaças assegura que seu computador terá proteção"zero-day" contra ameaças desconhecidas. Essa proteção utiliza verificaçõesbaseadas em heurística para analisar a estrutura, o comportamento e outrosatributos de um programa a fim de buscar características próprias de vírus. Emmuitos casos, ela pode proteger contra ameaças como worms disseminados pore-mail e vírus de macro. Você poderá encontrar worms e vírus de macro antes deatualizar suas configurações de vírus e de riscos à segurança. As verificaçõesproativas de ameaças procuram ameaças baseadas em script em arquivos HTML,VBScript e JavaScript.

37Introdução ao Symantec Endpoint ProtectionComo o Symantec Endpoint Protection protege seu computador

As verificações proativas de ameaças também detectam aplicativos comerciaisque podem ser usados com objetivos maliciosos. Esses aplicativos comerciaisincluem programas de controle remoto ou registradores de teclas.

Você pode configurar verificações proativas de ameaças para detecções dequarentena. Você pode restaurar manualmente os itens que estiverem emquarentena por meio das verificações proativas de ameaças. O computador-clientepode restaurar itens em quarentena automaticamente.

Introdução ao Symantec Endpoint ProtectionComo o Symantec Endpoint Protection protege seu computador

38

Noções básicas do clientedo Symantec EndpointProtection


■ Sobre vírus e riscos à segurança

■ Como o cliente responde a vírus e riscos de segurança

■ Ativar e desativar os componentes de proteção

■ Usar o computador-cliente com a Central de Segurança do Windows

■ Pausar e adiar verificações

Sobre vírus e riscos à segurançaO cliente do Symantec Endpoint Protection pode verificar a existência de vírus eriscos à segurança, como spyware ou adware. Esses riscos podem ameaçar seucomputador, assim como uma rede. As verificações antivírus e anti-spywaretambém detectam rootkits em nível de kernel. Os rootkits são programas quetentam se esconder do sistema operacional de um computador e que podem serusados com objetivos maliciosos.

Por padrão, todas as verificações antivírus e anti-spyware, inclusive as doAuto-Protect, verificam vírus, cavalos de Tróia, worms e todas as categorias deriscos à segurança.

Tabela 5-1 descreve os tipos de vírus e riscos à segurança.

5Capítulo

Tabela 5-1 Vírus e riscos à segurança

DescriçãoRisco

Os programas ou o código que anexam cópias de si mesmos a outros programas ou documentosao serem executados. Sempre que o programa infectado é executado ou que um usuário abreum documento contendo um vírus de macro, o programa de vírus anexado é ativado. O víruspode, então, anexar-se a outros programas e documentos.

Em geral, os vírus realizam determinadas atividades, como a exibição de uma mensagem emuma determinada data. Alguns vírus têm por objetivo danificar dados corrompendo programas,excluindo arquivos ou reformatando discos.

Vírus

Os programas que executam tarefas automatizadas por meio da Internet com objetivosmaliciosos.

Os bots podem ser usados para automatizar ataques em computadores ou para coletarinformações em websites.

Bots da Internetmaliciosos

Os programas que se replicam sem infectar outros programas. Alguns worms se espalhamcopiando a si mesmos de um disco para outro, enquanto outros se duplicam apenas na memóriaa fim de desacelerar o computador.

Worms

Os programas que contêm código oculto ou disfarçado como algo legítimo, por exemplo, umjogo ou um utilitário.

Cavalos de Tróia

As ameaças que combinam as características de vírus, worms, cavalos de Tróia e códigos comvulnerabilidades do servidor e da Internet para iniciar, transmitir e disseminar ataques. Asameaças combinadas usam diversos métodos e técnicas para se disseminar rapidamente,causando danos generalizados em toda a rede.

Ameaçascombinadas

Os programas independentes ou anexados que coletam secretamente informações pessoaisatravés da Internet e as reenviam a outro computador. O adware pode acompanhar os hábitosdo usuário ao navegar na Internet para fins de publicidade. O adware também pode exibirconteúdo publicitário.

O download do adware pode ser feito inadvertidamente a partir de websites (geralmente deshareware ou freeware) ou recebido em mensagens de e-mail ou programas de mensagensinstantâneas. Muitas vezes o usuário faz download de adware inadvertidamente ao concordarcom contratos de licença de usuário final de programas de software.

Adware

Os programas que usam um computador, sem permissão ou conhecimento do usuário, paradiscar um número de alto custo (900 nos Estados Unidos) ou para um site FTP. Os programasgeralmente acumulam as cobranças.

Discadores

Os programas usados por um hacker para obter acesso não autorizado ao computador de umusuário. Um exemplo de ferramenta para hackers é o keylogger, que rastreia e registra cadatecla pressionada e envia essas informações para o hacker. Assim, o hacker será capaz deverificar as portas ou as vulnerabilidades dos computadores alheios. As ferramentas parahackers também podem ser usadas para criar vírus.

Ferramentas parahackers

Noções básicas do cliente do Symantec Endpoint ProtectionSobre vírus e riscos à segurança

40

DescriçãoRisco

Os programas que alteram ou interrompem a operação de um computador a fim de perturbarou assustar o usuário. Por exemplo, o download desse tipo de programa pode ser feito em umwebsite, uma mensagem de e-mail ou um programa de mensagens instantâneas. Ele pode, porexemplo, mover a lixeira para longe do mouse quando o usuário tentar excluir o programa. Ouainda, pode fazer com que o mouse funcione ao contrário.

Programas debrincadeiras

Quaisquer outros riscos à segurança que não se enquadrem exatamente nas definições de vírus,cavalos de Tróia, worms ou outras categorias de risco à segurança.

Outros

Os programas que permitem o acesso à Internet através de outro computador visando obterinformações, atacar ou alterar o computador de um usuário. Você pode instalar um programade acesso remoto legítimo. Um processo pode instalar esse tipo de aplicativo sem o seuconhecimento. O programa pode ser usado com objetivos maliciosos, com ou sem a modificaçãodo programa de acesso remoto original.

Programas deacesso remoto

Os programas independentes que podem monitorar secretamente a atividade do sistema,detectar senhas e outras informações confidenciais e as enviar a outro computador.

O download do spyware pode feito inadvertidamente a partir de websites (geralmente deshareware ou freeware) ou recebido em mensagens de e-mail ou programas de mensagensinstantâneas. Muitas vezes o usuário faz download de spyware inadvertidamente ao concordarcom contratos de licença de usuário final de programas de software.

Spyware

Os aplicativos independentes ou complementares capazes de rastrear as atividades de umusuário na Internet e enviar informações ao sistema de destino. Por exemplo, o download deum aplicativo pode feito de um website, uma mensagem de e-mail ou um programa de mensagensinstantâneas. Em seguida, ele coleta informações confidenciais relacionadas ao comportamentodo usuário.

Trackware

Por padrão, as verificações antivírus e anti-spyware fazem o seguinte:

■ Detectam, removem e reparam os efeitos colaterais de vírus, worms, cavalosde Tróia e ameaças combinadas.

■ Detectam, removem e reparam os efeitos colaterais de riscos à segurança comoadware, discadores, ferramentas para hackers, programas de brincadeiras,programas de acesso remoto, spyware, trackware e outros.

O website do Symantec™ Security Response oferece as informações mais recentessobre ameaças e riscos à segurança. O website contém também informações dereferência abrangentes, como informes oficiais e informações detalhadas sobrevírus e riscos à segurança.

A Figura 5-1 mostra informações sobre uma ferramenta para hackers e sugestõesdo Symantec Security Response para combatê-la.

41Noções básicas do cliente do Symantec Endpoint ProtectionSobre vírus e riscos à segurança

Figura 5-1 Descrição de risco à segurança do Symantec Security Response

Comoo cliente responde a vírus e riscos de segurançaO cliente protege os computadores contra vírus e riscos de segurança, seja qualfor a origem. Os computadores são protegidos contra vírus e riscos de segurançaque se disseminam por unidades de disco rígido, disquetes e de outros vírus quepercorrem as redes. Eles são protegidos também contra vírus e riscos de segurançaque se disseminam através de anexos de e-mail ou outros meios. Por exemplo, umrisco de segurança pode se instalar no computador sem o seu conhecimento quandovocê acessa a Internet.

Noções básicas do cliente do Symantec Endpoint ProtectionComo o cliente responde a vírus e riscos de segurança

42

Arquivos dentro de arquivos compactados são verificados e os vírus e riscos desegurança são removidos, se encontrados. No caso de vírus oriundos da Internet,não é necessária nenhuma outra alteração em programas ou opções. O Auto-Protectverifica arquivos de programas e de documentos descompactados automaticamenteà medida que são transferidos por download.

Quando o cliente detecta um vírus, por padrão, ele tenta limpar o vírus do arquivoinfectado. O cliente também tenta reparar os efeitos do vírus. Se o cliente limparo arquivo, ele remove completamente o risco do seu computador. Se não forpossível limpar o arquivo, o cliente move o arquivo infectado para a Quarentena.O vírus não pode se espalhar a partir da Quarentena.

Quando você atualiza o computador com novas definições de vírus, o clienteverifica a Quarentena automaticamente. Você pode repetir a verificação dos itensna Quarentena. As definições mais recentes podem limpar ou reparar os arquivoscolocados em quarentena anteriormente.

Nota: O administrador pode optar pela verificação automática dos arquivos daQuarentena.

Por padrão, para os riscos de segurança, o cliente coloca os arquivos infectadosem quarentena. O cliente também restaura ao estado anterior as informações dosistema que o risco de segurança alterou. Alguns riscos de segurança não podemser completamente removidos sem causar uma falha em outro programa docomputador, como o navegador da Web. As suas configurações do antivírus eanti-spyware podem não combater o risco automaticamente. Nesse caso, o clienteo avisará antes de interromper um processo ou reiniciar seu computador. Comoalternativa, você pode definir suas configurações para usar a ação Somente registropara os riscos de segurança.

Quando o software do cliente descobre riscos de segurança, ele inclui na janelade verificação um link para o Symantec Security Response. No website do SymantecSecurity Response você pode obter mais informações sobre o risco de segurança.O administrador também pode enviar uma mensagem personalizada.

Ativar e desativar os componentes de proteçãoVocê pode ativar e desativar as proteções no seu computador.

Quando alguma das proteções estiver desativada, a barra de status na partesuperior da página de status indicará que a proteção está desligada. Você podeclicar na opção de correção para ativar todas as proteções desativadas. Ou vocêpode ativar as proteções individuais separadamente.

43Noções básicas do cliente do Symantec Endpoint ProtectionAtivar e desativar os componentes de proteção

Ativar e desativar as proteções antivírus e anti-spywareSe as opções de configuração padrão não tiverem sido alteradas, o Auto-Protectserá carregado toda vez que o computador for ligado, para protegê-lo contra víruse riscos à segurança. O Auto-Protect verifica a presença de vírus e riscos àsegurança nos programas enquanto eles são executados. Ele também monitoraseu computador durante atividades que podem indicar a presença de vírus ou deriscos à segurança. Quando um vírus, sintoma de vírus (evento que poderia serprovocado por um vírus) ou risco à segurança é detectado, o Auto-Protect emiteum alerta.

Você pode ativar ou desativar o Auto-Protect para arquivos e processos. Alémdisso, você também ativar e desativar o Auto-Protect para e-mails da Internet epara aplicativos de e-mail de groupware. Em ambientes gerenciados, oadministrador pode bloquear essas configurações.

Quando você quer desativar o Auto-ProtectEm alguns casos, o Auto-Protect pode avisá-lo sobre uma atividade semelhante avírus que não é proveniente de um vírus. Por exemplo você poderá receber avisosao instalar novos programas de computador. Se você planeja instalar maisaplicativos e deseja evitar o aviso, é possível desativar temporariamente oAuto-Protect. No entanto, é necessário reativá-lo depois de concluir a instalaçãopara que o computador continue protegido.

Se você desativar o Auto-Protect, outros tipos de verificações (agendadas ou deinicialização) ainda serão executadas, caso você ou seu administrador as tenhamconfigurado para isso.

Seu administrador poderá bloquear o Auto-Protect para que você não possadesativá-lo por nenhuma razão. Em vez disso, seu administrador poderá especificarque você poderá desativar o Auto-Protect temporariamente, mas que este ligueautomaticamente após um intervalo específico.

Sobre o Auto-Protect e o status das proteções antivírus eanti-spywareSuas configurações do Auto-Protect determinam o status das proteções antivíruse anti-spyware no cliente e na área de notificação do Windows.

Quando qualquer tipo de Auto-Protect for desativado, o status do antivírus e doanti-spyware será exibido em vermelho na página de status.

O ícone do cliente é exibido como um escudo na barra de tarefas no canto inferiordireito, na área de trabalho do Windows. Em algumas configurações, o ícone nãoé exibido. Se você clicar no ícone com o botão direito do mouse quando o

Noções básicas do cliente do Symantec Endpoint ProtectionAtivar e desativar os componentes de proteção

44

Auto-Protect para arquivos e processos estiver ativado, uma marca de seleção éexibida ao lado de Ativar o Auto-Protect.

Quando você desativa o Auto-Protect para arquivos e processos, o ícone do clienteaparece com o símbolo de proibição universal, um círculo vermelho cortadodiagonalmente. Quando o Auto-Protect do sistema de arquivos está ativado, umponto verde aparece com o ícone, mesmo que o Auto-Protect para e-mail estejadesativado.

Ativar e desativar o Auto-Protect do sistema de arquivosA menos que seu administrador tenha bloqueado a configuração, você pode ativarou desativar a monitoração do sistema de arquivos do Auto-Protect.

Para ativar ou desativar o Auto-Protect do sistema de arquivos a partir da barra detarefas

◆ Na área de trabalho do Windows, na área de notificações, clique com o botãodireito do mouse no ícone do cliente e depois realize uma das ações abaixo:

■ Clique em Ativar o Auto-Protect.

■ Clique em Desativar o Auto-Protect.

Para ativar ou desativar o Auto-Protect do sistema de arquivos a partir do cliente

◆ No computador-cliente, na página Status, ao lado de proteções antivírus eanti-spyware, execute uma das ações abaixo:

■ Clique em Opções > Ativar proteção antivírus e anti-spyware.

■ Clique em Opções > Desativar proteção antivírus e anti-spyware.

Ativar ou desativar o Auto-Protect para e-mailVocê pode ativar ou desativar o Auto-Protect para e-mail da Internet, e-mail doMicrosoft Outlook ou e-mail do Lotus Notes. O administrador poderá bloquearessas configurações.

Para ativar e desativar o Auto-Protect para e-mail


2 Ao lado de proteção antivírus e anti-spyware, clique em Configurar ajustes.

3 Realize uma das ações abaixo:

■ Na guia Auto-Protect para e-mail da Internet, selecione ou cancele a seleçãode Ativar Auto-Protect para e-mail da Internet.

■ Na guia do Auto-Protect para Outlook, selecione ou cancele a seleção deAtivar Auto-Protect para Microsoft Outlook.

45Noções básicas do cliente do Symantec Endpoint ProtectionAtivar e desativar os componentes de proteção

■ Na guia de Auto-Protect para Notes, selecione ou cancele a seleção deAtivar Auto-Protect para Lotus Notes.

4 Clique em OK.

Ativar e desativar a proteção contra ameaças à redeEm determinadas circunstâncias você pode desativar a proteção contra ameaçasà rede. Por exemplo, instalar um aplicativo que pode fazer com que o cliente obloqueie.

Seu administrador pode ter configurado os limites de quando e por quanto tempovocê pode desativar a proteção:

■ se o cliente permitir todo o tráfego ou somente todo o tráfego de saída.

■ o período de tempo em que a proteção será desativada.

■ quantas vezes você pode desativar a proteção antes de reiniciar oscomputadores cliente.

se você puder desativar a proteção, poderá reativá-la a qualquer momento. Oadministrador também poderá ativar e desativar a proteção a qualquer momento,mesmo que ele sobreponha o estado que você protegeu.

Consulte “Sobre a proteção contra ameaças à rede” na página 107.

Consulte “Bloquear um computador invasor” na página 128.

Ativar e desativar a proteção contra ameaças à rede

◆ No computador-cliente, na página Status, ao lado de Proteção contra ameaçasà rede, execute uma das ações abaixo:

■ pressione Opções > Ativar proteção contra ameaças à rede.

■ pressione Opções > Desativar proteção contra ameaças à rede.

Ativar ou desativar a Proteção proativa contra ameaçasA Proteção proativa contra ameaças é ativada quando as configurações daVerificação de cavalos de Tróia e worms e a Verificação de registradores do tecladosão ativadas. Se uma configuração ou outra for desativada, o cliente exibirá ostatus da Proteção proativa contra ameaças como desativado.

Consulte “Sobre a proteção proativa contra ameaças” na página 95.

Clique em Ajuda para obter mais informações sobre as opções que são utilizadasno procedimento.

Noções básicas do cliente do Symantec Endpoint ProtectionAtivar e desativar os componentes de proteção

46

Para ativar ou desativar a Proteção proativa contra ameaças


2 Ao lado de Proteção proativa contra ameaças, clique em Alterarconfigurações.

3 Na caixa de diálogo Configurações da verificação proativa de ameaças, naguia Detalhes da verificação, em Cavalos de Tróia e Worms, selecione oucancele a seleção de Verificar cavalos de Tróia e worms.

4 Em Registradores do teclado, selecione ou cancele a seleção de Verificarregistradores do teclado.

5 Clique em OK.

Usar o computador-cliente com a Central deSegurança do Windows

Se você usa a Central de Segurança do Windows (WSC) no Windows XP com ServicePack 2 para monitorar o status de segurança, pode consultar Symantec EndpointProtection o status na WSC.

A Tabela 5-2 mostra os relatórios de status da proteção na Central de Segurançado Windows.

Tabela 5-2 Relatório de status da proteção na WSC

Status da proteçãoCondição do produto da Symantec

NÃO ENCONTRADA(vermelho)

Symantec Endpoint Protection não está instalada

LIGADA (verde)Symantec Endpoint Protection instalada com proteção total

DESATUALIZADA(vermelho)

Symantec Endpoint Protection instalada, com definições de víruse riscos à segurança desatualizados

DESLIGADA (vermelho)Symantec Endpoint Protection instalada e o sistema de arquivosdo Auto-Protect está desativado

DESLIGADA (vermelho)Symantec Endpoint Protection instalada e o sistema de arquivosdo Auto-Protect está desativado e as definições de vírus e riscosà segurança estão desatualizados

DESLIGADA (vermelho)Symantec Endpoint Protection está instalada e o Rtvscan foidesligado manualmente

47Noções básicas do cliente do Symantec Endpoint ProtectionUsar o computador-cliente com a Central de Segurança do Windows

A Tabela 5-3 mostra os Symantec Endpoint Protection relatórios de status naWSC.

Tabela 5-3 Relatórios de status do firewall na WSC

Status do firewallCondição do produto da Symantec

NÃO ENCONTRADO(vermelho)

O Symantec firewall não está instalado

LIGADO (verde)O Symantec Firewall está instalado e ativado

DESLIGADO (vermelho)O Symantec Firewall está instalado, mas não ativado

LIGADO (verde)O Symantec firewall não está instalado, nem ativado, mas simum firewall de terceiros está instalado e ativado

Nota: Por padrão, o firewall do Windows está desativado no Symantec EndpointProtection.

Se houver mais de um firewall ativado, a WSC reporta que diversos firewalls estãoinstalados e ativados.

Pausar e adiar verificaçõesO recurso Pausa permite que a verificação seja interrompida e retomada quandodesejado. É possível pausar qualquer verificação que você mesmo tenha iniciado.O administrador da rede determina se você pode ou não pausar uma verificaçãoagendada por ele.

Você também pode adiar as verificações agendadas, iniciadas pelo administradorda rede. Se ele ativou o recurso Pausa intermitente, você pode adiar uma verificaçãoagendada por um intervalo de tempo predeterminado. Quando for retomada, averificação partirá novamente do início.

Faça uma pausa n verificação, caso você deseje retomá-la após um intervalo. Utilizeo recurso Pausa intermitente para adiar a verificação por um período de tempoprolongado.

Siga os procedimentos abaixo para fazer uma pausa na verificação que seuadministrador iniciou. Se a opção Pausa na verificação não estiver disponível, oadministrador da rede terá desativado o recurso Pausa.

Noções básicas do cliente do Symantec Endpoint ProtectionPausar e adiar verificações

48

Nota: Se você interromper uma verificação enquanto um computador clienteestiver verificando um arquivo compactado, ele pode levar alguns minutos pararesponder ao pedido de pausa.

Para pausar uma verificação

1 Quando a verificação estiver em execução, clique no ícone de pausa na caixade diálogo da verificação.

Se você tiver iniciado a verificação, ela será interrompida onde está e a caixade diálogo permanecerá aberta até que a verificação seja retomada.

Se o administrador tiver agendado a verificação, será exibida a caixa de diálogoPausa na verificação agendada.

2 Na caixa de diálogo Pausa na verificação agendada, clique em Pausar.

A verificação agendada pelo administrador será interrompida no ponto emque está e a caixa de diálogo permanecerá aberta até que a verificação sejaretomada.

3 Na caixa de diálogo de verificação, clique no ícone de início para continuarcom o processo.

49Noções básicas do cliente do Symantec Endpoint ProtectionPausar e adiar verificações

Para adiar uma verificação agendada pelo administrador

1 Quando a verificação agendada pelo administrador estiver em execução, nacaixa de diálogo, clique em Pausa na verificação.

2 Na caixa de diálogo Pausa na verificação agendada, clique em Adiar por 1hora ou em Adiar por 3 horas.

O administrador especifica por quanto tempo a verificação poderá ser adiada.Quando a pausa chegar ao limite, a verificação reinicia do começo. Oadministrador também é quem especifica quantas vezes a verificação podeser adiada até o recurso ser desativado.

Noções básicas do cliente do Symantec Endpoint ProtectionPausar e adiar verificações

50

Gerenciamento deproteções antivírus eanti-spyware


■ Sobre as proteções antivírus e anti-spyware

■ Sobre o Auto-Protect

■ Trabalhar com verificações antivírus e anti-spyware

■ Configuração da verificação antivírus e anti-spyware

■ Interpretação dos resultados das verificações

■ Envio de informações sobre verificações antivírus e anti-spyware ao SymantecSecurity Response

■ Configuração de ações para vírus e riscos à segurança

■ Configuração de notificações para vírus e riscos à segurança

■ Configuração de exceções centralizadas para verificações antivírus eanti-spyware

■ Sobre a quarentena

■ Gerenciamento da quarentena

6Capítulo

Sobre as proteções antivírus e anti-spywareO cliente do Symantec Endpoint Protection inclui as configurações padrão antivíruse anti-spyware apropriadas para a maioria dos usuários. É possível alterar asconfigurações para personalizá-las para sua rede de segurança. É possívelpersonalizar as configurações de política para verificações do Auto-Protect,agendadas, de inicialização e sob demanda.

As configurações antivírus e anti-spyware incluem:

■ O que verificar

■ O que fazer quando um vírus ou risco à segurança é detectado

Sobre a verificação de arquivosPor padrão, as verificações antivírus e anti-spyware verificam todos os tipos dearquivos. As verificações agendadas, de inicialização e sob demanda por padrãotambém examinam todos os tipos de arquivos.

Você pode escolher a verificação de arquivos por extensão, mas a proteção contravírus e riscos à segurança será reduzida. Se você selecionar as extensões de arquivoa serem verificadas, o Auto-Protect poderá determinar um tipo de arquivo mesmose um vírus alterar sua extensão.

Consulte “Configuração do Auto-Protect para tipos de arquivos determinados”na página 60.

Também é possível excluir determinados arquivos das verificações. Por exemplo,você pode saber que um arquivo não aciona alertas de vírus durante verificações.É possível excluir o arquivo das próximas verificações.

Se seus aplicativos de e-mail usam um arquivo da Caixa deentrada únicoSe o seu aplicativo de e-mail armazenar todas as mensagens em um único arquivo,você deverá criar uma exceção centralizada para excluí-lo das verificações. Osaplicativos de e-mail que armazenam todas as mensagens em um único arquivode Caixa de entrada incluem Outlook Express, Eudora, Mozilla e Netscape. O clientepode ser configurado para colocar em quarentena um vírus que detectar. Se ocliente detectar o vírus no arquivo da Caixa de entrada, está será colocada inteiraem quarentena. Se o cliente colocar a Caixa de entrada em quarentena, não serápossível acessar o e-mail.

A Symantec geralmente não recomenda que arquivos sejam excluídos dasverificações. Entretanto, se o arquivo da Caixa de entrada for excluído dasverificações, o cliente ainda poderá detectar vírus quando as mensagens de e-mail

Gerenciamento de proteções antivírus e anti-spywareSobre as proteções antivírus e anti-spyware

52

forem abertas. Se o cliente encontrar um vírus quando uma mensagem de e-mailfor aberta, poderá colocá-la em quarentena ou excluí-la com segurança.

É possível excluir o arquivo configurando uma exceção centralizada.

Consulte “Configuração de exceções centralizadas para verificações antivírus eanti-spyware” na página 85.

Sobre a verificação por extensãoO cliente pode verificar o computador por extensões.

Você pode escolher estes tipos de extensões de arquivos:

Incluem documentos do Microsoft Word e Excel, bem como arquivosde modelo associados a esses documentos. O cliente verifica osarquivos dos documentos em busca de infecções por vírus de macro.

Arquivos dedocumento

Incluem bibliotecas de vínculo dinâmico (.dll), arquivos de lote (.bat),arquivos de comando (.com), arquivos executáveis (.exe) e outrosarquivos de programas. O cliente procura infecções por vírus dearquivo em arquivos de programas.

Arquivos deprograma

Para adicionar extensões de arquivos à lista de verificação do Auto-Protect


2 Ao lado de Proteção antivírus e anti-spyware, clique em Alterarconfigurações.

3 Na caixa de diálogo Configurações da Proteção antivírus e anti-spyware, naguia Auto-Protect, em tipos de arquivos, clique em Selecionados.

4 Clique em Extensões.

5 Na caixa de texto, digite a extensão a ser adicionada e clique em Adicionar.

6 Repita a etapa 5 conforme necessário.

7 Clique em OK.

Para adicionar extensões de arquivos à lista de verificação para verificações sobdemanda, agendadas ou de inicialização

1 No cliente, na barra lateral, clique em Verificar ameaças.

2 Clique com o botão direito do mouse na verificação para a qual deseja adicionarextensões de arquivo e selecione Editar.

As alterações se aplicam somente à verificação selecionada.

3 Na guia Opções, em Tipos de arquivos, selecione Extensões selecionadas eclique em Extensões.

53Gerenciamento de proteções antivírus e anti-spywareSobre as proteções antivírus e anti-spyware

4 Digite a extensão a ser adicionada e clique em Adicionar.

5 Repita a etapa 4 conforme necessário.

6 Clique em OK.

Sobre a verificação de todos os tipos de arquivoO cliente pode verificar todos os arquivos do computador, independente daextensão. A verificação de todos os arquivos garante uma proteção mais minuciosa.Esse tipo de verificação é mais lento que a verificação por extensões, mas vocêestará mais protegido contra vírus e riscos à segurança.

Sobre a exclusão de itens das verificaçõesÉ possível configurar o cliente para excluir um risco à segurança das verificações.Você pode querer excluir um risco à segurança da verificação. Por exemplo, vocêpode precisar usar um adware específico no seu trabalho. O cliente pode nãopermitir esse adware. Se a política de segurança da empresa permitir o adware,você poderá excluir o risco das verificações.

O cliente poderá sinalizar um arquivo como infectado; no entanto, o mesmo nãocontém vírus. Essa situação pode ocorrer porque uma definição de vírus específicafoi desenvolvida para acusar todas as variações possíveis do vírus. Como asdefinições de vírus devem ser necessariamente abrangentes, o cliente às vezesreporta um arquivo limpo como infectado.

Se as verificações antivírus e anti-spyware continuarem reportando um arquivolimpo como infectado, você poderá excluí-lo das verificações. Exclusões são ositens que você não deseja nem precisa incluir nas verificações.

A política de segurança corporativa pode permitir a execução do software que ocliente reporta como um risco. Nesse caso, é possível excluir as pastas que contêmo software.

Use uma exceção centralizada para excluir itens das verificações. As exceções seaplicam a todas as verificações antivírus e anti-spyware que você executar. Oadministrador também pode configurar exceções. As exceções definidas peloadministrador têm prioridade sobre as exceções definidas pelo usuário.

Consulte “Configuração de exceções centralizadas para verificações antivírus eanti-spyware” na página 85.

Aviso: Seja cauteloso ao definir exclusões. Se você excluir um arquivo de umaverificação, o cliente não tomará nenhuma ação para limpa-lo caso este venha aser infectado posteriormente. Essa situação pode ser um risco em potencial àsegurança do computador.

Gerenciamento de proteções antivírus e anti-spywareSobre as proteções antivírus e anti-spyware

54

Sobre como evitar infecções por vírus de macroO cliente detecta e remove automaticamente a maioria dos vírus de macro doMicrosoft Word e Excel. Com a execução regular de verificações agendadas, ocomputador fica protegido contra infecções por vírus de macro. O Auto-Protecttambém procura e elimina regularmente todos os vírus de macro detectados.

Para evitar ao máximo as infecções por vírus de macro, faça o seguinte:

■ Ative o Auto-Protect. O Auto-Protect verifica constantemente os arquivos queforam acessados ou modificados.

■ Execute o Auto-Protect para e-mails, se disponível.

■ Proteja os arquivos de modelos globais desativando as macros automáticas.

Quando o cliente do Symantec Endpoint Protection detectar um vírusou risco à segurança

Quando vírus e riscos à segurança infectam arquivos, o cliente responde aos tiposde risco de maneiras diferentes. Para cada tipo de risco, o cliente usa uma primeiraação, depois aplica uma segunda ação se a primeira falhar.

Por padrão, quando o cliente detecta um vírus, primeiro tenta limpá-lo do arquivoinfectado. Se o cliente não puder limpar o arquivo, registra a falha e move o arquivoinfectado para a Quarentena.

Por padrão, quando o cliente detecta um risco à segurança, coloca-o em quarentena.Ele também tenta remover ou reparar alterações feitas pelo risco à segurança. Seo cliente não puder colocar um risco à segurança em quarentena, registra o riscoe o ignora.

Nota: Em Quarentena, o risco não pode ser disseminado. Quando um cliente moveum arquivo para a Quarentena, você não tem acesso ao mesmo. O cliente tambémpode reverter as alterações dos itens que colocou em quarentena.

Em todos os tipos de verificação, é possível alterar as configurações de como ocliente trata de vírus e riscos à segurança. É possível definir ações diferentes paracada categoria de risco e para riscos à segurança individuais.

55Gerenciamento de proteções antivírus e anti-spywareSobre as proteções antivírus e anti-spyware

Nota: Em algumas situações, é possível que você instale inadvertidamente umaplicativo que inclua um risco à segurança como adware ou spyware. Se a Symantectiver determinado que colocar o risco em quarentena não é nocivo ao computador,o cliente o colocará em quarentena. Se o cliente colocar o risco em quarentenaimediatamente, essa ação poderá deixar o computador instável. Em vez disso, ocliente aguarda até que a instalação do aplicativo esteja concluída antes de colocaro risco em quarentena. Em seguida, ele repara os efeitos do risco.

Sobre o Auto-ProtectO Auto-Protect é a melhor defesa contra ataques de vírus. Sempre que você acessa,copia, salva, move ou abre um arquivo, ele verifica o arquivo para garantir quenão haja um vírus anexado.

O Auto-Protect verifica extensões de arquivos que contêm código executável, bemcomo todos os arquivos .exe e .doc. O Auto-Protect pode determinar o tipo de umarquivo mesmo quando um vírus altera sua extensão. Por exemplo, um vírus podealterar a extensão de um arquivo para uma que não se inclua entre as extensõesque o Auto-Protect foi configurado para verificar.

Você pode ativar ou desativar o Auto-Protect se o administrador não bloquear aconfiguração.

Consulte “Ativar e desativar as proteções antivírus e anti-spyware” na página 44.

Sobre o Auto-Protect e os riscos à segurançaPor padrão, o Auto-Protect executa estas ações:

■ Verifica riscos à segurança, como adware e spyware

■ Põe em quarentena os arquivos infectados

■ Remove ou repara os efeitos colaterais dos riscos à segurança

Você pode desativar a verificação de riscos à segurança no Auto-Protect.

Consulte “Ativação e desativação da verificação e o bloqueio de riscos à segurançano Auto-Protect ” na página 61.

Se o Auto-Protect detectar um processo que continuamente faz downloads deriscos à segurança para o computador, exibirá uma notificação e registrará adetecção. (O Auto-Protect deve estar configurado para enviar notificações.) Se oprocess continuar a fazer download do mesmo risco à segurança, váriasnotificações serão exibidas no computador e o Auto-Protect registrará várioseventos. Para evitar várias notificações e eventos registrados, o Auto-Protect pára

Gerenciamento de proteções antivírus e anti-spywareSobre o Auto-Protect

56

automaticamente de enviar notificações sobre o risco à segurança após trêsdetecções. O Auto-Protect também pára de registrar o evento após três detecções.

Em algumas situações, o Auto-Protect não pára de enviar notificações e de registrareventos em relação ao risco à segurança.

O Auto-Protect continuará a enviar notificações e a registrar eventos quandoquaisquer destas situações for verdadeira:

■ Nos computadores clientes, você ou o administrador podem desativar o bloqueioda instalação de riscos à segurança (a configuração padrão é ativado).

■ A ação para o tipo de risco à segurança para o download feito pelo processo éIgnorar.

Sobre o Auto-Protect e a verificação de e-mailO Auto-Protect também verifica clientes de e-mail de groupware compatíveis.

A proteção é fornecida para os clientes de e-mail a seguir:

■ Lotus Notes 4.5x, 4.6, 5.0 e 6.x

■ Microsoft Outlook 98/2000/2002/2003/2007 (MAPI e Internet)

■ Microsoft Exchange Client 5.0 e 5.5

Nota: O Auto-Protect funciona somente nos clientes de e-mail compatíveis. Elenão protege servidores de e-mail.

A proteção antivírus e anti-spyware inclui também a verificação do Auto-Protectpara programas adicionais de e-mail da Internet monitorando todo o tráfego queusa os protocolos de comunicação POP3 ou SMTP. Você pode configurar o softwarecliente para verificar riscos nas mensagens de entrada e de saída. A verificaçãode e-mail enviado ajuda a evitar a disseminação de ameaças que usam clientes dee-mail para se replicarem e se distribuírem através de uma rede.

Nota:A verificação de e-mail da Internet não é suportada em computadores de 64bits.

O Auto-Protect verifica somente os anexos associados aos e-mails na verificaçãode e-mail do Lotus Notes e do Microsoft Exchange.

Na verificação de e-mail da Internet das mensagens que utilizam os protocolosPOP3 ou SMTP, o Auto-Protect verifica estes itens:

■ O corpo da mensagem

57Gerenciamento de proteções antivírus e anti-spywareSobre o Auto-Protect

■ Todos os anexos da mensagem

Quando você abre uma mensagem com anexo, o download do mesmo é feitoimediatamente para o computador e verificado se estas afirmações foremverdadeiras:

■ Você usa o cliente Microsoft Exchange ou Microsoft Outlook sobre MAPI.

■ O Auto-Protect está ativado para e-mail.

Em uma conexão lenta, o download de mensagens com anexos grandes afeta odesempenho do e-mail. Convém desativar esse recurso se você recebe regularmenteanexos grandes.

Consulte “Ativação e desativação da verificação e o bloqueio de riscos à segurançano Auto-Protect ” na página 61.

Nota: Se um vírus for detectado quando você abrir um e-mail, ele poderá demorarvários segundos para ser aberto enquanto o Auto-Protect conclui a verificação.

A verificação de e-mail não oferece suporte para os seguintes clientes de e-mail:

■ Clientes IMAP

■ Clientes AOL

■ E-mail baseado na Web, como Hotmail, Yahoo! Mail e GMAIL

Desativar o controle de conexões de e-mail criptografadas feito peloAuto-Protect

Você pode enviar e receber e-mail em um link seguro. Por padrão, o Auto-Protectpara e-mails da Internet é compatível com senhas criptografadas e e-mail emconexões POP3 e SMTP. Se você usar POP3 ou SMTP com SSL (Secure SocketsLayer), o cliente detectará conexões seguras, mas não verificará mensagenscriptografadas.

Mesmo que o Auto-Protect não verifique o e-mail que utiliza conexões seguras, oAuto-Protect continua protegendo os computadores contra riscos nos anexos. OAuto-Protect verifica os anexos de e-mail quando você os salva no disco rígido.

Nota: Por motivo de desempenho, não há suporte para o Auto-Protect para e-mailde Internet para POP3 em sistemas operacionais de servidor.

Você pode desativar o controle de e-mail criptografado, se for necessário. Quandoessas opções estão desativadas, o Auto-Protect verifica os e-mails nãocriptografados enviados e recebidos, mas bloqueia os e-mails criptografados. Se


58

as opções forem reativadas e você tentar enviar um e-mail criptografado, oAuto-Protect o bloqueará até que o aplicativo de e-mail seja reiniciado.

Nota: Se você desativar as conexões criptografadas no Auto-Protect, a alteraçãonão entrará em vigor enquanto você não fizer logoff e login novamente noWindows. Para ter certeza de que a alteração entrou em vigor imediatamente,faça log out e login novamente.

Para desativar o controle de conexões de e-mail criptografadas realizado peloAuto-Protect


2 Ao lado de Proteção antivírus e anti-spyware, clique em Definirconfigurações.

3 Na guia Proteção de e-mail da Internet, clique em Avançado.

4 Em Configurações da conexão, desmarque Permitir conexões POP3criptografadas e Permitir conexões SMTP criptografadas.

5 Clique em OK.

Exibição das estatísticas de verificação do Auto-ProtectAs estatísticas de verificação do Auto-Protect exibem o status da última verificaçãodo Auto-Protect, o último arquivo verificado e informações sobre infecção porvírus e risco à segurança.

Para exibir as estatísticas de verificação do Auto-Protect

◆ No cliente, na página Status, ao lado de Proteção antivírus e anti-spyware,clique em Opções > Exibir estatísticas do Auto-Protect do sistema dearquivos.

Exibição da lista de riscosÉ possível visualizar os riscos atuais detectados pela proteção antivírus eanti-spyware. A lista corresponde às atuais definições de vírus.

Para exibir a lista de riscos

◆ No cliente, na página Status, ao lado de Proteção antivírus e anti-spyware,clique em Opções > Exibir lista de riscos.


Configuração do Auto-Protect para tipos de arquivos determinadosO Auto-Protect é predefinido para verificar todos os arquivos. Ele pode concluirverificações em menos tempo se verificar apenas os arquivos com extensõesselecionadas.

Por exemplo, você pode querer verificar somente estas extensões:

■ .exe

■ .com

■ .dll

■ .doc

■ .xls

Geralmente os vírus afetam somente determinados tipos de arquivos. Entretanto,se você verificar extensões conhecidas, terá menos proteção porque o Auto-Protectnão verificará todos os arquivos. A lista padrão das extensões inclui todos osarquivos que costumam apresentar risco de infecção por vírus.

O Auto-Protect verifica extensões de arquivos que contêm código executável, bemcomo todos os arquivos .exe e .doc. Ele também pode determinar o tipo de umarquivo mesmo quando um vírus altera sua extensão. Por exemplo, ele verificaarquivos .doc mesmo se um vírus alterar suas extensões.

Você deve configurar o Auto-Protect para verificar todos os tipos de arquivoscertificar-se de que o computador receba proteção máxima contra vírus e riscosà segurança.

Para configurar o Auto-Protect para que determine os tipos de arquivos



3 Na guia Auto-Protect, em Tipos de arquivos, siga uma destas ações.

■ Clique em Todos os tipos para verificar todos os arquivos.

■ Clique em Selecionarpor para verificar somente os arquivos que tiveremas extensões relacionadas na lista e, em seguida, clique em Extensões paraalterar a lista padrão de extensões de arquivos.

4 Se você tiver escolhido Selecionar por, selecione ou cancele a seleção deEstabeleça os tipo de arquivo examinando o conteúdo destes.

5 Clique em OK.


60

Ativação e desativação da verificação e o bloqueio de riscos à segurançano Auto-Protect

Por padrão, o Auto-Protect executa estas ações:

■ Verifica riscos à segurança, como adware e spyware

■ Põe em quarentena os arquivos infectados

■ Tenta remover ou reparar os efeitos do risco à segurança

Nos casos em que o bloqueio da instalação de um risco à segurança não afetar aestabilidade de um computador, o Auto-Protect também bloqueará a instalaçãopor padrão. Se a Symantec determinar que o bloqueio de um risco à segurançapode comprometer a estabilidade de um computador, o Auto-Protect permitiráque o risco seja instalado. O Auto-Protect também executará imediatamente aação configurada para o risco.

No entanto, é recomendável, de vez em quando, desativar temporariamente averificação de riscos à segurança nas verificações de arquivos do Auto-Protect e,depois reativá-la. Talvez seja preciso desativar o bloqueio dos riscos à segurançapara controlar o tempo que o Auto-Protect leva para reagir a determinados riscosà segurança.

Nota: O administrador poderá bloquear essas configurações.

Para desativar ou ativar a verificação e o bloqueio de riscos à segurança noAuto-Protect



3 Na guia Auto-Protect, em Opções siga uma destas ações:

■ Selecione ou cancele a seleção de Verificar riscos à segurança.

■ Selecione ou cancele a seleção de Bloquear a instalação de riscos àsegurança.

■ Selecione ou cancele a seleção de Verificação de arquivos em unidadesde rede.

4 Clique em OK.

Configuração das opções de verificação da redeA configuração das verificações da rede incluem estas opções:


■ Configure se o Auto-Protect deve confiar em arquivos nos computadoresremotos que executam o Auto-Protect.

■ Especifique se o computador deve usar cache para armazenar um registro dosarquivos verificados pelo Auto-Protect na rede.

Por padrão, o Auto-Protect verifica os arquivos gravados do seu computador paraum computador remoto. O Auto-Protect também verifica os arquivos gravadosde um computador remoto para o seu.

Durante o acesso a arquivos em um computador remoto, entretanto, o Auto-Protectpoderá não verificá-los. Por padrão, o Auto-Protect tenta confiar nas versõesremotas do Auto-Protect. Se a opção Confiar estiver ativada em ambos oscomputadores, o Auto-Protect local verificará as configurações do Auto-Protectdo computador remoto. Se as configurações do Auto-Protect remoto oferecerempelo menos um nível de segurança tão alto quanto as configurações locais, oAuto-Protect local confiará no Auto-Protect remoto. Quando o Auto-Protect localconfia no Auto-Protect remoto, não verifica os arquivos que acessa no computadorremoto. O computador local confia que o Auto-Protect remoto já tenha verificadoos arquivos.

Nota:O Auto-Protect local sempre verifica os arquivos copiados de um computadorremoto.

A opção Confiar é ativada por padrão. Se essa opção for desativada, você poderáreduzir o desempenho da rede.

Para desativar a confiança em versões remotas do Auto-Protect


2 Ao lado de Proteção antivírus e anti-spyware, clique em Alterarconfigurações.

3 Na guia Auto-Protect, clique em Avançado.

4 Na caixa de diálogo Opções avançadas do Auto-Protect, em Opções avançadasadicionais, clique em Rede.

5 Em Configurações de verificação de rede, desmarque Confiar nos arquivosem computadores remotos que executam Auto-Protect.

6 Clique em OK até retornar à janela principal.

É possível configurar o computador para usar cache de rede. O cache de redearmazena um registro dos arquivos que o Auto-Protect verificou em umcomputador remoto. Se você usar cache de rede, impedirá que o Auto-Protectverifique o mesmo arquivo mais de uma vez. Impedindo verificações múltiplasdo mesmo arquivo, você pode melhorar o desempenho do sistema. É possíveldefinir o número de arquivos (entradas) que o Auto-Protect verificará e


62

memorizará. Também é possível definir o tempo limite antes que o computadorremova as entradas do cache. Quando o tempo limite expirar, o computadorremoverá as entradas. O Auto-Protect verificará os arquivos se você os solicitardo computador remoto novamente.

Para configurar o cache da rede



3 Na caixa de diálogo Configurações antivírus e anti-spyware, na guiaAuto-Protect, clique em Avançado.

4 Na caixa de diálogo Opções avançadas do Auto-Protect, em Opções avançadasadicionais, clique em Rede.

5 Na caixa de diálogo Opções de verificação de rede, selecione ou cancele aseleção de Cache de rede.

6 Se você tiver ativado o cache da rede, use os padrões ou siga uma destas ações:

■ Use as setas ou digite o número de arquivos (entradas) que deseja que oAuto-Protect verifique e memorize.

■ Digite o número de segundos desejados de permanência no cache antesque o computador o limpe.

7 Clique em OK.

Trabalhar com verificações antivírus e anti-spywareO Auto-Protect é a defesa mais poderosa contra infecções por vírus e riscos àsegurança. Além do Auto-Protect, a Proteção antivírus e anti-spyware inclui váriostipos diferentes de verificações para oferecer proteção adicional.

Tabela 6-1 descreve as verificações disponíveis

Tabela 6-1 Verificações disponíveis

DescriçãoTipo

Verifica um arquivo, pasta, unidade ou todo o computador, aqualquer momento. Você seleciona as partes do computador a seremverificadas.

Verificaçãopersonalizada

Verifica rapidamente a memória do sistema e os locais em que osvírus e riscos à segurança geralmente atacam.

Verificação rápida

63Gerenciamento de proteções antivírus e anti-spywareTrabalhar com verificações antivírus e anti-spyware

DescriçãoTipo

Verifica todo o computador, incluindo o setor de inicialização e amemória do sistema. Pode ser necessário digitar uma senha para averificação de unidades de rede.

Verificação completa

Executada automaticamente, na freqüência especificada.Verificaçõesagendadas

Executada todas as vezes em que o computador inicia e faz login.Verificação dainicialização

Verifica determinados grupos de arquivos, a qualquer momento.Definida pelousuário

Contanto que o Auto-Protect esteja ativado, uma verificação rápida diária e umaverificação agendada semanal de todos os arquivos fornecem proteção suficiente.Se o seu computador for freqüentemente atacado por vírus, acrescente umaverificação completa durante a inicialização ou uma verificação agendada diária.

Também é possível configurar a freqüência das verificações que procuramcomportamento suspeito em vez dos riscos conhecidos.

Consulte “Configuração da freqüência de execução das verificações proativas deameaças” na página 99.

Como o cliente do Symantec Endpoint Protection detecta vírus e riscosà segurança

O cliente impede infecções por vírus em um computador verificando seu setor deinicialização, memória e arquivos quanto a vírus e riscos à segurança. O mecanismode verificação utiliza as assinaturas dos vírus e riscos à segurança encontradosnos arquivos de definições. O mecanismo de verificação executa uma buscaexaustiva de vírus conhecidos que estejam nos arquivos executáveis. Asverificações antivírus e anti-spyware procuram vírus de macro nas partesexecutáveis dos arquivos de documento.

É possível fazer uma verificação sob demanda ou agendá-la para que seja executadaquando você não estiver presente.

Tabela 6-2 descreve os componentes do computador verificados pelo cliente.

Gerenciamento de proteções antivírus e anti-spywareTrabalhar com verificações antivírus e anti-spyware

64

Tabela 6-2 Componentes do computador verificados pelo cliente

DescriçãoComponente

O cliente verifica a memória do computador. Qualquer vírus dearquivo, vírus de setor de inicialização ou vírus de macro pode residirna memória. Os vírus que residem na memória copiaram a si mesmospara a memória de um computador. Na memória, um vírus podepermanecer oculto até ocorrer um evento de trigger. Depois, o víruspode se disseminar para um disquete da unidade de disco ou para odisco rígido. Se houver vírus na memória, ele não poderá ser limpo.No entanto, você pode remover um vírus da memória reiniciando ocomputador quando for solicitado.

Memória docomputador

O cliente verifica se há vírus no setor de inicialização do computador.Dois itens são verificados: as tabelas de partição e o registro mestrede inicialização.

Setor deinicialização

Uma maneira comum de disseminação de vírus é por meio dedisquetes. O disquete pode permanecer na unidade quando ocomputador for iniciado ou desligado. Quando uma verificação éiniciada, o cliente pesquisa o setor de inicialização e as tabelas departição do disquete que está na unidade. Ao desligar o computador,você será solicitado a remover o disco para evitar uma possívelinfecção.

Unidade de disquete

O cliente verifica arquivos individuais. Para a maioria dos tipos deverificação, você seleciona os arquivos que devem ser verificados.O software cliente usa verificação baseada em padrões para procurarvestígios de vírus nos arquivos. Os vestígios de vírus sãodenominados padrões ou assinaturas.

Cada arquivo é comparado às assinaturas inofensivas contidas emum arquivo de definições de vírus. Dessa forma, é possível identificarvírus específicos. Se um vírus for encontrado, por padrão o clientetentará limpá-lo do arquivo. Se não for possível limpar o arquivo, ocliente o colocará em quarentena para evitar mais infecções nocomputador.

O cliente também usa verificação baseada em padrões para procurarvestígios de riscos à segurança nos arquivos e chaves do Registro.Se um risco à segurança for encontrado, por padrão o cliente colocaráos arquivos infectados em quarentena e reparará os efeitos do risco.Se o cliente não puder colocar os arquivos em quarentena, registraráa tentativa.

Arquivosselecionados

65Gerenciamento de proteções antivírus e anti-spywareTrabalhar com verificações antivírus e anti-spyware

Sobre as definições de vírusOs arquivos de vírus contêm bits de código que exibem determinados padrõesquando decompostos. Os padrões podem ser rastreados em arquivos infectados.Os padrões também são conhecidos como assinaturas. Os riscos à segurança, comoadware e spyware, também têm assinaturas reconhecíveis.

Os arquivos de definições contêm uma lista de assinaturas de vírus conhecidos,sem o código prejudicial do vírus e assinaturas conhecidas de riscos à segurança.O software de verificação procura nos arquivos do computador as assinaturasconhecidas existentes nos arquivos de definições. Se uma correspondência devírus for encontrada, isso indica que o arquivo está infectado. O cliente usa osarquivos de definições para determinar qual vírus causou a infecção e para repararseus efeitos colaterais. Se for encontrado um risco à segurança, o cliente usará osarquivos de definições para colocá-lo em quarentena e reparar seus efeitoscolaterais.

Novos vírus e riscos à segurança são introduzidos na comunidade de informáticaregularmente. É necessário certificar-se de que os arquivos de definições do seucomputador estejam atualizados. Você deve certificar-se de que o cliente podedetectar e limpar até mesmo os vírus e riscos à segurança mais recentes.

Sobre a verificação de arquivos compactadosAs verificações antivírus e anti-spyware verificam arquivos compactados. Porexemplo, arquivos .zip. O administrador pode especificar verificações com até 10níveis de profundidade em arquivos compactados. Consulte-o para saber quais ostipos de verificações de arquivos compactados são aceitos.

Se o Auto-Protect estiver ativado, todos os arquivos em um arquivo compactadoserão verificados.

Início das verificações sob demandaVocê pode executar manualmente a verificação de vírus e riscos à segurança, comoadware e spyware, a qualquer momento. Selecione qualquer item para verificar,desde um arquivo e um disquete até todo o computador. As verificações sobdemanda incluem Verificação rápida e Verificação completa. Também é possívelcriar uma verificação personalizada para ser executada sob demanda.

Consulte “Criação de verificações sob demanda e de inicialização” na página 70.

Clique em Ajuda para obter mais informações sobre as opções usadas nesseprocedimento.

Gerenciamento de proteções antivírus e anti-spywareTrabalhar com verificações antivírus e anti-spyware

66

Para iniciar uma verificação no Windows

◆ Na janela Meu computador ou Windows Explorer, clique com o botão direitodo mouse em um arquivo, pasta ou unidade e clique em Verificar vírus.

Não há suporte para esse recurso em sistemas operacionais de 64 bits.

Para iniciar uma verificação no cliente

◆ Siga uma das seguintes ações:

■ No cliente, na página Status, ao lado de Proteção antivírus e anti-spyware,clique em Opções > Executar verificação rápida.

■ No cliente, na barra lateral, clique em Verificar ameaças.Siga uma das seguintes ações:

■ Em Verificação rápida, clique em Verificação rápida.

■ Em Verificação completa, clique em Verificação completa.

■ Na lista de verificações, clique com o botão direito do mouse emqualquer verificação e clique em Verificar agora.A verificação será iniciada. Uma janela de andamento será exibida nocomputador para mostrar o andamento da verificação e os resultados.

Configuração da verificação antivírus e anti-spywareVocê pode configurar vários tipos diferentes de verificação para proteger ocomputador contra vírus e riscos à segurança.

Criação de verificações agendadasA verificação agendada é um importante componente de proteção contra ameaçase riscos à segurança. Agende pelo menos uma verificação para ser executada umavez por semana para assegurar que o computador permaneça livre de vírus e riscosà segurança. Quando uma verificação é criada, é exibida na lista de verificaçõesna janela Verificar ameaças.

Nota: Se o administrador tiver criado uma verificação agendada para você, elaconstará na lista de verificações na janela Verificar ameaças.

O computador precisa estar ligado e os serviços do Symantec Endpoint Protectiondevem estar carregados no momento agendado para que a verificação ocorra. Porpadrão, os serviços do Symantec Endpoint Protection são carregados quando ocomputador é iniciado.

67Gerenciamento de proteções antivírus e anti-spywareConfiguração da verificação antivírus e anti-spyware

Clique em Ajuda para obter mais informações sobre as opções usadas nosprocedimentos.

Para criar uma verificação agendada


2 Clique em Criar uma nova verificação.

3 Na caixa de diálogo O que verificar, selecione um destes tipos de verificaçãoa ser agendada:

■ Personalizada: Verifica a existência de vírus e riscos à segurança nas áreasselecionadas do computador.

■ Rápida: Verifica a existência de vírus e riscos à segurança que maisinfectam áreas do computador.

■ Completa: Verifica a existência de vírus e riscos à segurança em todo ocomputador.

4 Se você tiver selecionado Personalizada, marque as caixas de seleçãoadequadas para especificar o local a ser verificado.

Os símbolos têm estas descrições:

O arquivo, a unidade ou a pasta não está selecionada. Se o item for umaunidade ou pasta, as pastas e os arquivos ali contidos também nãoestarão selecionados.

O arquivo ou a pasta específica está selecionada.

A pasta ou a unidade de disco específica está selecionada. Todos ositens da pasta ou unidade também estarão selecionados.

A pasta individual ou a unidade de disco não está selecionada, mas umou mais itens da pasta ou da unidade estão selecionados.

5 Clique em Avançar.

6 Na caixa de diálogo Opções de verificação, você pode:

■ Altere as configurações padrão do que será verificado.Todos os arquivos são verificados.

■ Especifique como o cliente responderá se um vírus ou risco à segurançafor detectado.

Gerenciamento de proteções antivírus e anti-spywareConfiguração da verificação antivírus e anti-spyware

68

Por padrão, o cliente limpa vírus dos arquivos infectados e repara os efeitoscolaterais. Se o cliente não puder remover o vírus, colocará o arquivo emquarentena.Por padrão, o cliente coloca em quarentena os riscos à segurança e removeou repara os efeitos colaterais. Se o cliente não puder colocar emquarentena e reparar o risco, registrará o evento.

7 Em Aperfeiçoamentos da verificação, selecione um dos locais.

8 Clique em Avançado.

9 É possível definir quaisquer destas opções:

■ Opções de arquivos compactados

■ Opções de backup

■ Opções de diálogo

■ Opções de ajuste

■ Opções de migração para armazenamento

10 Em Opções de diálogo, na lista suspensa, clique em Mostrar andamento daverificação e em OK.

11 Clique em OK.

12 Na caixa de diálogo Opções da verificação, você também pode alterar estasopções:

■ Ações: Alterar a primeira e a segunda ação a serem tomadas quando foremdetectados vírus e riscos à segurança.

■ Notificação: Criar uma mensagem a ser exibida quando um vírus ou riscoà segurança for encontrado. Também é possível configurar se você desejaser notificado antes que as ações de correção ocorram.

■ Exceções centralizadas: Crie uma exceção para uma detecção de risco àsegurança.


14 Na caixa de diálogo Quando verificar, clique em Em horas específicas e emAvançar.

15 Na caixa de diálogo Agendar, especifique a freqüência e quando deve ser feitaa verificação.


17 Na caixa de diálogo Opções avançadas de agendamento, faça o seguinte:


■ Selecione Repetir verificação agendada até o <número> de horas dohorário agendado. Defina o número de horas nas quais deseja executar averificação. Por exemplo, você só pode fazer uma verificação semanal seela ocorrer nos três dias após o horário agendado para o evento perdido.

■ Marque ou desmarque Executarestaverificaçãoagendada,definidapelousuário, mesmo quando este não estiver conectado. As verificaçõesdefinidas pelo usuário serão sempre executadas se ele estiver conectado,independentemente desta configuração.

Para os clientes gerenciados, o administrador poderá substituir essasconfigurações.

18 Clique em OK.

19 Na caixa de diálogo Agendar, clique em Avançar.

20 Na caixa de diálogo Nome da verificação, digite um nome e descrição para averificação.

Por exemplo, a verificação pode ser denominada: Sexta de manhã

21 Clique em Concluir.

Sobre a criação de várias verificações agendadasSe você agendar várias verificações para que ocorram no mesmo computador eestas iniciarem ao mesmo tempo, serão executadas em série. Quando umaverificação terminar, outra iniciará. Por exemplo, você pode agendar trêsverificações diferentes no computador para que ocorram às 13 horas. Cadaverificação é feita em uma unidade diferente. Uma verificação é feita na unidadeC. Outra é feita na unidade D. Outra é feita na unidade E. Nesse exemplo, a melhorsolução é criar uma verificação agendada que abranja as unidades C, D e E.

Criação de verificações sob demanda e de inicializaçãoAlguns usuários complementam as verificações agendadas com uma verificaçãoautomática executada quando o computador é ligado ou o login é feito. Geralmente,a verificação de inicialização restringe-se às pastas de alto risco, como a pastaWindows e as pastas de modelos do Microsoft Word e Excel.

Nota:Se você criar mais de uma verificação de inicialização, elas serão executadasseqüencialmente na ordem em que forem criadas.

A Proteção antivírus e anti-spyware também inclui uma verificação de inicializaçãodenominada Verificação rápida gerada automaticamente. A verificação geradaautomaticamente verifica os pontos de infecções comuns sempre que um usuário


70

faz login no computador. É possível editar essa verificação da mesma maneiraque você pode configurar uma verificação sob demanda. Entretanto, não é possíveldesativar as verificações dos arquivos na memória e nos pontos de infecção comunsno computador.

Se você verifica freqüentemente o mesmo grupo de arquivos ou pastas, poderácriar uma verificação sob demanda restrita a esses itens. A qualquer momento, épossível verificá-los rapidamente para saber se estão livres de vírus e riscos àsegurança.

As verificações sob demanda devem ser iniciadas manualmente.

Consulte “Início das verificações sob demanda” na página 66.


Para criar uma verificação sob demanda ou de inicialização


2 Clique em Criar uma nova verificação.


4 Na caixa de diálogo O que verificar, selecione uma destes tipos de verificaçõesa ser agendada:

■ Personalizada

■ Rápida

■ Completa



6 Se você tiver selecionado Personalizada, selecione os arquivos e pastas quedeseja verificar na caixa de seleção Selecionar arquivos.

Os símbolos têm estas descrições:

O arquivo, a unidade ou a pasta não está selecionada. Se o item for umaunidade ou pasta, as pastas e os arquivos ali contidos também nãoestarão selecionados.

O arquivo ou a pasta específica está selecionada.

A pasta ou a unidade de disco específica está selecionada. Todos ositens da pasta ou unidade também estarão selecionados.

A pasta individual ou a unidade de disco não está selecionada, mas umou mais itens da pasta ou da unidade estão selecionados.


8 Na caixa de diálogo Opções de verificação, você pode:

■ Altere as configurações padrão do que será verificado.Todos os arquivos são verificados.

■ Especifique como o cliente responderá se um vírus ou risco à segurançafor detectado.Por padrão, o cliente limpa vírus dos arquivos infectados e repara os efeitoscolaterais. Se o cliente não puder remover o vírus, colocará o arquivo emquarentena.Por padrão, o cliente coloca em quarentena os riscos à segurança e removeou repara os efeitos colaterais. Se o cliente não puder colocar emquarentena e reparar o risco, registrará o evento.

9 Em Aperfeiçoamentos da verificação, selecione qualquer um dos locais.


11 Na caixa de diálogo Opções avançadas de verificação, é possível definir estasopções:

■ Opções de arquivos compactados

■ Opções de backup

■ Opções de diálogo

■ Opções de ajuste


72

■ Opções de migração para armazenamento

12 Em Opções de diálogo, na lista suspensa, clique em Mostrar andamento daverificação e em OK.

13 Depois de configurar as opções avançadas, clique em OK.

14 Também é possível alterar estas opções:

■ Ações: Alterar a primeira e a segunda ação a serem tomadas quando foremdetectados vírus e riscos à segurança.

■ Notificações: Criar uma mensagem a ser exibida quando um vírus ou riscoà segurança for encontrado. Também é possível configurar se você desejaser notificado antes que as ações de correção ocorram.

■ Exceções centralizadas: Criar exceções de verificação.

15 Depois de configurar as opções de verificação, clique em OK.

16 Na caixa de diálogo Quando executar, escolha uma destas ações:

■ Clique em Sob demanda.

■ Clique em Na inicialização.

17 Na caixa de diálogo Opções de verificação, clique em Avançar.

18 Digite um nome e uma descrição para a verificação.

Por exemplo, a verificação pode ser denominada: MyScan1

19 Clique em Concluir.

Edição e exclusão de verificações de inicialização, definidas pelousuário e agendadas

Você pode editar e excluir verificações de inicialização, definidas pelo usuário eagendadas existentes. Algumas opções podem não estar disponíveis caso nãosejam configuráveis para um determinado tipo de verificação.

Para editar uma verificação


2 Na lista de verificações, clique com o botão direito do mouse na verificaçãoque deseja editar e clique em Editar.

3 Faça as alterações nas guias O que verificar, Opções e Geral.

Nas verificações agendadas, também é possível modificar o agendamento.

4 Clique em OK.


Para excluir uma verificação


2 Na lista de verificações, clique com o botão direito do mouse na verificaçãoque deseja editar e clique em Excluir.

3 Na caixa de diálogo Confirmar exclusão, clique em Sim.

Interpretação dos resultados das verificaçõesQuando uma verificação sob demanda, agendada, de inicialização ou definida pelousuário é executada, por padrão o software cliente exibe uma caixa de diálogo deandamento da verificação. Além disso, o Auto-Protect pode exibir uma caixa dediálogo de resultados quando detectar um vírus ou risco à segurança. É possíveldesativar essas notificações.

Em uma rede de gerenciamento centralizado, a caixa de diálogo de andamento daverificação talvez não seja exibida quando as verificações forem iniciadas peloadministrador. Da mesma forma, o administrador pode optar por não exibirresultados quando o cliente detectar um vírus ou risco à segurança.

Se o cliente detecar riscos durante a verificação, a caixa de diálogo de andamentoda verificação exibirá os resultados com estas informações:

■ Nomes dos arquivos infectados

■ Nomes dos vírus ou riscos à segurança.

■ Ações tomadas pelo cliente em relação aos riscos

Por padrão, você recebe notificação sempre que um vírus ou risco à segurança édetectado.

Nota: O idioma do sistema operacional em que o cliente é executado talvez nãointerprete alguns caracteres nos nomes de vírus. Caso o sistema operacional nãopossa interpretar os caracteres, estes aparecerão como pontos de interrogaçãonas notificações. Por exemplo, alguns nomes de vírus unicode podem contercaracteres de byte duplo. Em computadores que executam o cliente em sistemasoperacionais em inglês, esses caracteres são exibidos como interrogações.

Se você configurar o cliente para exibir uma caixa de diálogo de andamento daverificação, poderá pausar, reiniciar ou interromper a verificação. Quando averificação estiver concluída, os resultados serão exibidos na lista. Se nenhumvírus ou risco à segurança for detectado, a lista continuará vazia e o status seráConcluído.

Consulte “Pausar e adiar verificações” na página 48.

Gerenciamento de proteções antivírus e anti-spywareInterpretação dos resultados das verificações

74

Sobre a interação com os resultados da verificação ou do Auto-ProtectAs caixas de diálogo de andamento da verificação e de resultados do Auto-Protecttêm opções parecidas. Se o cliente precisar encerrar um processo ou aplicativo ouinterromper um serviço, a opção Remover risco estará ativa. Você pode nãoconseguir fechar a caixa de diálogo se os riscos da caixa exigirem que você executeuma ação.

Tabela 6-3 descreve as opções e a caixa de diálogo de resultados.

Tabela 6-3 Opções da caixa de diálogo Resultados

DescriçãoBotão

Exibe a caixa de diálogo Remover risco.

Na caixa de diálogo Remover risco, você pode selecionar umadestas opções para cada risco:

■ Sim

O cliente remove o risco. A remoção do risco pode requerer areinicialização. As informações da caixa de diálogo indicarãose a reinicialização é requerida.

■ Não

Quando a caixa de diálogo de resultados for fechada, outracaixa de diálogo será exibida. A caixa de diálogo o avisará queainda é necessário executar uma ação. Entretanto, a caixa dediálogo Remover risco será removida até que o computadorseja reiniciado.

Remover riscos agora

Fecha a caixa de diálogo de resultados se não for necessárioexecutar ações em nenhum dos riscos

Se for necessário executar uma ação, uma destas notificações seráexibida:

■ Remoção de risco requerida.

Exibida quando um risco requer o encerramento do processo.Se você optar por remover o risco, retornará à caixa de diálogode resultados. Se também for necessário reinicializar, asinformações contidas na linha do risco na caixa de diálogoindicarão isso.

■ Reinicialização necessária.

Exibida quando um risco requer a reinicialização.

■ Remoção do risco e reinicialização requeridas.

Exibida quando um risco requer o encerramento do processoe outro risco requer a reinicialização.

Fechar

75Gerenciamento de proteções antivírus e anti-spywareInterpretação dos resultados das verificações

Se a reinicialização for requerida, a remoção ou o reparo não serão concluídosenquanto o computador não for reinicializado.

Pode ser necessário executar uma ação em um risco, mas você pode optar por nãoexecutá-la no momento.

O risco pode ser removido ou reparado posteriormente destas maneiras:

■ É possível abrir o registro de riscos, clicar no risco com o botão direito do mousee depois tomar uma ação.

■ Você pode executar uma verificação para detectar o risco e reabrir a caixa dediálogo de resultados.

Também é possível executar ações clicando em um risco com o botão direito domouse na caixa de diálogo e selecionando uma ação. As ações que podem sertomadas dependem das ações configuradas para o tipo de risco específico que averificação detectou.

Consulte “Tratamento dos arquivos infectados” na página 20.

Envio de informações sobre verificações antivírus eanti-spyware ao Symantec Security Response

É possível especificar para que as informações sobre as taxas de detecção deverificações ou do Auto-Protect sejam enviadas automaticamente para o SymantecSecurity Response. As informações sobre as taxas de detecção ajudam a Symanteca aperfeiçoar as atualizações de definições de vírus. As taxas de detecção mostramos vírus e riscos à segurança mais detectados por clientes. O Symantec SecurityResponse pode remover as assinaturas que não são detectadas e oferecer umalista segmentada de assinaturas aos clientes que a solicitarem. As listassegmentadas aumentam o desempenho da verificação antivírus e anti-spyware.

O envio das taxas de detecção é ativado por padrão.

Nota: O administrador poderá bloquear essas configurações de envio.

Também é possível enviar itens em quarentena à Symantec.

Consulte “Envio de um arquivo supostamente infectado ao Symantec SecurityResponse para análise” na página 92.

Para enviar informações sobre verificações antivírus e anti-spyware ao SymantecSecurity Response



Gerenciamento de proteções antivírus e anti-spywareEnvio de informações sobre verificações antivírus e anti-spyware ao Symantec Security Response

76

3 Na guia Envios, marque Enviar automaticamente asdetecçõesdeantivíruse anti-spyware.

4 Clique em OK.

Configuração de ações para vírus e riscos à segurançaÉ possível configurar as ações que o cliente do Symantec Endpoint Protectiondeverá executar ao detectar um vírus ou risco à segurança. Você pode configuraruma primeira ação e uma segunda, caso a primeira falhe.

Nota: Se o computador for gerenciado por um administrador e essas opçõesexibirem um ícone de cadeado, significa que você não pode alterá-las porque oadministrador as bloqueou.

Configure ações para qualquer tipo de verificação da mesma maneira. Todas asverificações têm suas próprias configurações de ações. É possível configurar açõesdiferentes para verificações diferentes.


Para configurar ações para vírus e riscos à segurança

1 Na caixa de diálogo Ações de verificação, na árvore, selecione um tipo de vírusou risco à segurança.

Por padrão, cada subcategoria de risco à segurança é configuradaautomaticamente para usar as ações definidas para toda a categoria de riscosà segurança.

2 Para configurar uma categoria ou instâncias específicas de uma categoriapara que usem outras ações, marque Sobreporaçõesconfiguradasparariscosà segurança e defina as ações somente para a categoria em questão.

77Gerenciamento de proteções antivírus e anti-spywareConfiguração de ações para vírus e riscos à segurança

3 Selecione uma primeira e uma segunda ação nestas opções:

Remove o vírus do arquivo infectado. Essa é a configuraçãopadrão primeira ação para vírus.

Limpar risco

Nota: Essa ação está disponível somente como primeira açãopara vírus. Essa ação não se aplica aos riscos à segurança.

Essa configuração deve ser sempre a primeira ação para vírus.Se o cliente conseguir remover o vírus de um arquivo, vocênão precisará tomar outra ação. O computador está livre devírus e não está mais suscetível a disseminar o vírus emoutras áreas do computador.

Quando o cliente limpa um arquivo, remove o vírus do arquivoinfectado, do setor de inicialização ou das tabelas de partição.Ele também elimina a capacidade do vírus de se disseminar.O cliente geralmente pode encontrar e limpar um vírus antesque ele cause danos ao computador. Por padrão, o cliente fazbackup do arquivo.

Em alguns casos, entretanto, o arquivo limpo poderá não serutilizável. O vírus pode ter causado muitos danos.

Alguns arquivos infectados não podem ser limpos.

Move o arquivo infectado de seu local original para aQuarentena. Os arquivos infectados colocados na quarentenanão disseminam vírus.

Colocar risco emquarentena

No caso de vírus, move o arquivo infectado do local originalpara a quarentena. Essa configuração é o padrão da segundaação para vírus.

No caso de riscos à segurança, o cliente move o arquivoinfectado do local original para a quarentena e tenta removerou reparar os efeitos colaterais. Essa configuração é o padrãoda primeira ação para riscos à segurança.

A quarentena contém um registro de todas as ações que foramexecutadas. É possível restaurar o computador ao estadoexistente antes de o cliente remover o risco.

Gerenciamento de proteções antivírus e anti-spywareConfiguração de ações para vírus e riscos à segurança

78

Exclui o arquivo infectado da unidade de disco rígido docomputador. Se o cliente não puder excluir um arquivo, asinformações sobre a ação que o cliente executou serãoexibidas na caixa de diálogo Notificação. As informaçõestambém são exibidas no Registro de eventos.

Use essa ação somente se desejar substituir o arquivo poruma cópia de backup livre de vírus ou riscos à segurança.Quando o cliente exclui um risco, o faz de maneirapermanente. O arquivo infectado não poderá ser recuperadoda Lixeira.

Nota: Use essa ação com cuidado quando configurar açõespara riscos à segurança, segurança. Em alguns casos, excluirriscos à segurança pode fazer com que os aplicativos percamfuncionalidade.

Excluir risco

Deixa o arquivo como está.

Se você usar essa ação para vírus, este permanecerá nosarquivos infectados. O vírus pode se disseminar para outraspartes do computador. Uma entrada é colocada no Históricode riscos para manter um registro do arquivo infectado.

A opção Ignorar (somente registro) pode ser usada comosegunda ação para vírus de macro e que não sejam de macro.

Não selecione essa ação ao executar verificações de grandeporte e automatizadas, como as verificações agendadas. Épossível usar essa ação se você quiser exibir os resultados daverificação e tomar uma ação adicional posteriormente. Aação adicional pode ser mover o arquivo para a Quarentena.

No caso de riscos à segurança, deixa o arquivo infectado comoestá e insere uma entrada no Histórico de riscos para manterum registro do risco. Use essa opção para ter controle manualde como o cliente trata de um risco à segurança. Essaconfiguração é o padrão da segunda ação para riscos àsegurança.

O administrador pode enviar uma mensagem personalizadaque explique como reagir.

Ignorar (somenteregistro)

Consulte “Dicas para atribuir segundas ações para vírus” na página 80.

Consulte “Dicas para atribuir segundas ações para riscos à segurança”na página 81.

4 Repita as etapas 1 e 3 para cada categoria para a qual você deseja definir açõesespecíficas.


5 Se você tiver selecionado uma categoria de risco à segurança, poderá selecionarações personalizadas para uma ou mais instâncias específicas dessa categoria.É possível excluir um risco à segurança da verificação. Por exemplo, vocêpode excluir um adware que precise usar no seu trabalho.

6 Clique em OK.

Dicas para atribuir segundas ações para vírusAo selecionar uma segunda ação para vírus, considere estas situações:

Se você armazena arquivos importantes em seu computador semfazer backup destes, você não deve usar ações como Excluir risco.Embora seja possível excluir um vírus dessa forma, você podeperder dados importantes.

Outro aspecto a ser considerado está relacionado aos arquivos dosistema. Os vírus geralmente atacam arquivos executáveis. Vocêpode usar a ação Ignorar (somente registrar) ou Colocar risco emquarentena para que possa verificar quais arquivos foraminfectados. Por exemplo, um vírus pode atacar Command.com. Seo cliente não puder limpar a infecção, você não poderá restauraro arquivo. O arquivo é crítico para o sistema. Você pode usar aopção Ignorar para certificar-se de que o arquivo esteja acessível.

Como você gerenciaarquivos em seucomputador

Os tipos diferentes de vírus têm como alvos áreas distintas docomputador para infecção. Os vírus de inicialização infectamsetores de inicialização, tabelas de partição, registros mestres deinicialização e às vezes, a memória. Quando os vírus deinicialização são múltiplos, também podem infectar arquivosexecutáveis e a infecção pode ser tratada da mesma forma que umvírus de arquivo. Os vírus de arquivo geralmente infectam osarquivos executáveis com as extensões .exe, .com ou .dll. Vírus demacro infectam os arquivos de documento e as macros associadasa esses documentos. Selecione ações baseadas nos tipos de arquivosque talvez seja necessário recuperar.

Tipo de vírus queinfectou o computador

Gerenciamento de proteções antivírus e anti-spywareConfiguração de ações para vírus e riscos à segurança

80

Todas as verificações executam ações automaticamente sem o seuconsentimento. Se você não alterar as ações antes da verificação,as ações padrão serão usadas. Como resultado, as açõessecundárias padrão foram criadas para dar a você o controle deuma situação de epidemia de vírus. Nas verificações executadasautomaticamente, como verificações agendadas e do Auto-Protect,não atribua ações secundárias que tenham efeitos permanentes.Por exemplo, você pode executar uma verificação sob demandaquando já souber que um arquivo está infectado. Você pode limitaras ações Excluir risco e Limpar risco nessa verificação sobdemanda.

Tipo da verificaçãoexecutada nocomputador

Dicas para atribuir segundas ações para riscos à segurançaAo selecionar uma segunda ação para riscos à segurança, considere o nível decontrole que você precisa ter sobre os arquivos. Se você armazenar arquivosimportantes no computador e não fizer backup deles, não use a ação Excluir risco.Embora seja possível excluir um risco à segurança dessa maneira, isso pode fazercom que outro aplicativo no computador pare de funcionar. Em vez disso, use aação Colocar risco em quarentena para que possa reverter as alterações feitaspelo cliente, caso necessário.

Sobre a classificação do impacto de riscosA Symantec avalia os riscos à segurança para estabelecer seus efeitos nocomputador.

Os seguintes fatores são classificados como baixo, médio ou alto:

■ Impacto de privacidade

■ Impacto de desempenho

■ Dissimulado

■ Dificuldade de remoção

Um fator classificado como baixo tem impacto mínimo. Um fator classificadocomo médio tem um pouco de impacto. Um fator classificado como alto temimpacto significativo naquela área. Se um determinado risco à segurança aindanão foi avaliado, serão usadas as classificações padrão. Se um risco à segurançafoi avaliado mas um determinado fator não se aplica àquele risco, o fator seráclassificado como Nenhum.

Essas classificações serão exibidas na caixa de diálogo Exceções de riscos àsegurança quando você configurar uma exceção centralizada para riscos à


segurança conhecidos. Estas classificações servem para ajudá-lo a determinarquais tipos de risco à segurança excluir das verificações ou manter no computador.

A Tabela 6-4 descreve os fatores de classificação e o que significa a classificaçãoalta para cada um deles.

Tabela 6-4 Fatores de impacto de riscos

DescriçãoFator declassificação

Mede o nível de privacidade perdida devido à presença do risco àsegurança no computador.

Uma taxa alta indica que informações pessoais ou confidenciaispodem ser roubadas.

Impacto de privacidade

Mede até que ponto um risco à segurança reduz o desempenho deum computador.

Uma taxa alta indica que o desempenho está significativamentereduzido.

Impacto dedesempenho

Mede a facilidade em determinar se o risco à segurança estápresente em um computador.

Uma taxa alta indica que o risco à segurança tenta manter-seoculto.

Taxa de dissimulação

Mede a dificuldade na remoção de um risco à segurança de umcomputador.

Uma taxa alta indica que é difícil remover o risco.

Taxa de remoção

A taxa geral é uma média dos outros fatores. Essa classificaçãoindica se outro aplicativo depende da presença desse risco àsegurança para funcionar corretamente.

Taxa total

Essa classificação indica se outro aplicativo depende da presençadesse risco à segurança para funcionar corretamente.

Programa dependente

Configuração de notificações para vírus e riscos àsegurança

Por padrão, você recebe notificação quando uma verificação encontra um vírusou risco à segurança. Por padrão, você também será notificado quando o softwarede verificação precisar encerrar serviços ou interromper processos. O softwarede verificação também pode precisar remover ou reparar os efeitos do vírus ourisco à segurança.

Gerenciamento de proteções antivírus e anti-spywareConfiguração de notificações para vírus e riscos à segurança

82

Você pode configurar as seguintes notificações para verificações:

Crie a mensagem a ser exibida quando o cliente encontrar umvírus ou risco à segurança no computador.

Quando você configurar o Auto-Protect do Sistema de arquivos,poderá selecionar uma opção adicional para exibir uma caixa dediálogo. A caixa de diálogo conterá os resultados quando oAuto-Protect encontrar riscos no computador.

Opções de detecção

Configure se deseja ser notificado quando o cliente encontrar umvírus ou risco à segurança. Você também pode ser notificado deque o cliente precisa encerrar um processo ou interromper umserviço para remover ou reparar um risco.

Opções de correção

Você pode criar a mensagem de detecção que deseja exibir no computador. Paracriá-la, digite diretamente no campo de mensagem. É possível clicar com o botãodireito do mouse no campo da mensagem para selecionar variáveis a seremincluídas na mensagem.

A Tabela 6-5 descreve os campos de variáveis disponíveis para mensagens denotificação.

Tabela 6-5 Campos de variáveis da mensagem

DescriçãoCampo

Nome do vírus ou risco à segurança encontrado.Nome do vírus

Ação tomada pelo cliente quando detectou o vírus ou risco àsegurança. Essa ação pode ser a primeira ou a segunda açãoconfigurada.

Ação tomada

Estado do arquivo: Infectado, não infectado ou excluído.

Essa a variável de mensagem não é usada por padrão. Para exibiressas informações, adicione manualmente essa variável àmensagem.

Status

Nome do arquivo infectado pelo vírus ou risco à segurança.Nome do arquivo

Caminho completo e nome do arquivo infectado pelo vírus ou riscoà segurança.

Caminho e nome doarquivo

Unidade do computador em que o vírus ou risco à segurança foiencontrado.

Localização

Nome do computador em que o vírus ou risco à segurança foiencontrado.

Computador

83Gerenciamento de proteções antivírus e anti-spywareConfiguração de notificações para vírus e riscos à segurança

DescriçãoCampo

Nome do usuário conectado quando o vírus ou risco à segurançaocorreu.

Usuário

Tipo de evento, como "Risco encontrado".Evento

Tipo da verificação que detectou o vírus ou risco à segurança.Registrado por

Data em que o vírus ou risco à segurança foi encontrado.Data de detecção

Área afetada do aplicativo, por exemplo, Sistema de arquivosAuto-Protect ou Auto-Protect do Lotus Notes.

Nome dearmazenamento

Descrição completa das ações tomadas em resposta à detecção dovírus ou risco à segurança.

Descrição da ação

É possível configurar notificações para verificações definidas pelo usuário e parao Auto-Protect. A configuração da notificação inclui opções de correção. As opçõesde correção estarão disponíveis somente para verificações e para o Auto-Protectdo sistema de arquivos.

Clique em Ajuda para obter mais informações sobre as opções usadas nesseprocedimento.

Para configurar notificações para vírus e riscos à segurança

1 Siga uma destas ações:

■ Para uma nova verificação, na caixa de diálogo Opções de verificação,clique em Notificações.

■ Para uma verificação existente, na guia Opções de verificação, clique emNotificações.

■ Para o Auto-Protect, na caixa de diálogo Configurações da Proteçãoantivírus e anti-spyware, em qualquer uma das guias do Auto-Protect,clique em Notificações.

2 Na caixa de diálogo Opções de notificações, em Opções de detecção, selecioneExibir mensagem de notificação no computador infectado. Selecione essaopção se quiser que uma mensagem seja exibida no computador quando averificação encontrar um vírus ou risco à segurança.

3 Na caixa de mensagem, siga uma ou todas estas ações para criar a mensagemdesejada:

■ Clique para digitar ou editar texto.

■ Clique com o botão direito do mouse, clique em Inserir campo e selecioneo campo de variável que você deseja inserir.

Gerenciamento de proteções antivírus e anti-spywareConfiguração de notificações para vírus e riscos à segurança

84

■ Clique com o botão direito do mouse e selecione Recortar, Copiar, Colar,Limpar ou Desfazer.

4 Para a configuração do Auto-Protect, selecione ou cancele a seleção de Exibira caixa de diálogo de resultados do Auto-Protect.

Esse parâmetro permite ou anula a caixa de diálogo que contém resultadosquando o Auto-Protect do sistema de arquivos encontra vírus e riscos àsegurança.

5 Em Opções de correção, selecione as opções que deseja definir para averificação ou para o Auto-Protect do sistema de arquivos. As seguintes opçõesestão disponíveis:

Configura a verificação para encerrar processosautomaticamente quando necessário para remover ou repararum vírus ou risco à segurança. Você não será solicitado asalvar os dados para que a verificação encerre os processos.

Encerrar processosautomaticamente

Configura a verificação para que interrompa os serviçosautomaticamente quando precisar remover ou reparar umvírus ou risco à segurança. Você não será solicitado a salvaros dados para que a verificação interrompa os serviços.

Interromper serviçosautomaticamente

6 Clique em OK.

Configuração de exceções centralizadas paraverificações antivírus e anti-spyware

As exceções centralizadas são os itens que você quer dispensar da verificação,como um risco à segurança ou arquivo em específico. Geralmente não é necessáriocriar exceções.

Nos clientes gerenciados, o administrador pode ter criado exceções centralizadaspara as verificações. Você poderá conferir as exceções do administrador, porémnão poderá alterá-las. Se você determinar uma exceção centralizada que entre emconflito com uma exceção do administrador, esta última terá prioridade.

Esse procedimento descreve a configuração de uma exceção centralizada na páginaAlterar configurações. Também é possível configurar exceções ao criar ou modificaruma verificação sob demanda, agendada ou de inicialização ou quando vocêmodificar as configurações do Auto-Protect. As exceções se aplicam a todas asverificações antivírus e anti-spyware. Se você configurar uma exceção ao criar oueditar uma determinada verificação, esta se aplicará a todas as verificaçõesantivírus e anti-spyware.

85Gerenciamento de proteções antivírus e anti-spywareConfiguração de exceções centralizadas para verificações antivírus e anti-spyware

Nota: Também é possível configurar exceções centralizadas para verificaçõesproativas de ameaças.

Clique em Ajuda para obter mais informações sobre as opções usadas nessesprocedimentos.

Para excluir um risco à segurança das verificações


2 Ao lado de Exceções centralizadas, clique em Configurar ajustes.

3 Na caixa de diálogo Exceções centralizadas, na guia Exceções definidas pelousuário, clique em Adicionar > Exceções de riscos à segurança > Riscosconhecidos.

4 Na caixa de diálogo Selecionar riscos à segurança, selecione os riscos àsegurança que você deseja excluir das verificações.

5 Se você quiser registrar um evento quando o risco à segurança for detectadoe ignorado, selecione Registrar quando o risco à segurança for detectado.

6 Clique em OK.

7 Na caixa de diálogo Exceções centralizadas, clique em OK.

Para excluir um arquivo das verificações



3 Na caixa de diálogo Exceções centralizadas, na guia Exceções definidas pelousuário, clique em Adicionar > Exceções de riscos à segurança > Arquivo.

4 Na caixa de diálogo Adicionar exceção de arquivo, selecione o arquivo oudigite o nome do arquivo que deseja excluir e clique em Adicionar.

5 Clique em OK.


Para excluir uma pasta das verificações



3 Na caixa de diálogo Exceções centralizadas, na guia Exceções definidas pelousuário, clique em Adicionar > Risco à segurança > Exceções de pastas.

4 Na caixa de diálogo Adicionar exceção de pasta, selecione a pasta ou digite onome da pasta que deseja excluir.

5 Selecione Incluirsubpastas se quiser excluir subpastas da pasta selecionada.

Gerenciamento de proteções antivírus e anti-spywareConfiguração de exceções centralizadas para verificações antivírus e anti-spyware

86

6 Selecione a pasta que deseja excluir e clique em OK.


Para excluir extensões das verificações



3 Na caixa de diálogo Exceções centralizadas, na guia Exceções definidas pelousuário, clique em Adicionar>Exceçõesde riscos à segurança>Extensões.

4 Na caixa de diálogo Adicionar exceções de extensão, digite a extensão quedeseja excluir.

Só é possível incluir uma extensão na caixa de texto. Se digitar váriasextensões, o cliente tratará a entrada como um único nome de extensão.

5 Clique em Adicionar.

6 Repita da etapa 4 até a etapa 5 para adicionar mais extensões.


Sobre a quarentenaAlgumas vezes, o cliente detecta um vírus desconhecido que o conjunto atual dedefinições de vírus não pode eliminar. Talvez você tenha um arquivo que achaque está infectado, mas as verificações não detectam a infecção. A quarentenaisola com segurança os arquivos possivelmente infectados no computador. Aomover um vírus para a quarentena, o vírus não poderá disseminar-se nocomputador ou em outros computadores da rede.

Sobre os arquivos infectados na quarentenaÉ possível visualizar os arquivos infectados na quarentena.

É possível visualizar as seguintes informações sobre os arquivos:

■ Risco

■ Nome do arquivo

■ Tipo

■ Local de origem

■ Status

■ Data

87Gerenciamento de proteções antivírus e anti-spywareSobre a quarentena

Nota: O idioma do sistema operacional em que o cliente é executado talvez nãointerprete alguns caracteres nos nomes de riscos. Caso o sistema operacional nãopossa interpretar os caracteres, estes aparecerão como pontos de interrogaçãonas notificações. Por exemplo, alguns nomes de riscos unicode podem contercaracteres de byte duplo. Em computadores que executam o cliente em sistemasoperacionais em inglês, esses caracteres aparecem como pontos de interrogação.

Quando o cliente move um arquivo infectado para a quarentena, o risco não podecopiar a si mesmo e infectar outros arquivos. Essa é uma segunda açãorecomendada para infecções por vírus de macro e não-macro.

Contudo, a ação de quarentena não limpa o risco. O risco permanece no computadoraté que o cliente limpe o risco ou exclua o arquivo. Vírus e vírus de macro podemser movidos para a quarentena. Os vírus de inicialização não podem ser movidospara a quarentena. Geralmente, os vírus de inicialização residem no setor deinicialização ou nas tabelas de partição de um computador e não podem sermovidos para a quarentena.

Também é possível exibir as propriedades do arquivo infectado.

Consulte “Exibição de arquivos e detalhes de arquivos na quarentena” na página 89.

Sobre o tratamento de arquivos infectados na quarentenaApós um arquivo ser movido para a quarentena, é possível realizar as seguintesações:

■ Restaurar o arquivo selecionado para o local de origem.

■ Excluir o arquivo selecionado permanentemente.

■ Repetir a verificação dos arquivos após receber definições de vírus atualizadas.

■ Exportar o conteúdo da quarentena para um arquivo (*.csv) delimitado porvírgula ou para um arquivo de banco de dados Access (*.mdb).

■ Adicionar manualmente um arquivo à quarentena. Você pode procurar o locale selecionar o arquivo que você deseja mover para a quarentena.

■ Enviar um arquivo ao Symantec Security Response. Siga as instruções doassistente na tela para enviar o arquivo selecionado para análise.

Consulte “Gerenciamento da quarentena” na página 89.

Gerenciamento de proteções antivírus e anti-spywareSobre a quarentena

88

Sobre o tratamento de arquivos infectados por riscos à segurançaVocê pode deixar os arquivos em quarentena porque eles apresentam riscos àsegurança ou você pode excluí-los. Deixe-os em quarentena até ter certeza de queos aplicativos no computador não tenham perdido nenhuma funcionalidade.

Se você excluir os arquivos associados a um risco à segurança, um aplicativo docomputador pode não funcionar adequadamente. O aplicativo pode depender dosarquivos associados que foram excluídos. A quarentena é uma opção mais segurapor ser reversível. É possível restaurar arquivos caso algum aplicativo nocomputador perca a funcionalidade após a colocação de arquivos de programadependentes na quarentena.

Nota: Após executar o aplicativo com êxito, talvez você deseje excluir os arquivospara economizar espaço em disco.

Gerenciamento da quarentenaOs arquivos são colocados na quarentena em uma das seguintes maneiras:

■ O cliente é configurado para mover para a quarentena os itens infectadosdetectados pelo Auto-Protect ou por uma verificação.

■ Você seleciona um arquivo manualmente e o coloca em quarentena.

As opções padrão do Auto-Protect e de todos os tipos de verificação limpam ovírus de um arquivo infectado na detecção. O software de verificação coloca oarquivo na quarentena se ele não puder ser limpo. No caso de riscos à segurança,a opção padrão é colocar os arquivo infectados na quarentena e reparar os efeitoscolaterais.

Para adicionar manualmente um arquivo à quarentena

1 No cliente, na barra lateral, clique em Exibir quarentena.


3 Selecione o arquivo que deseja adicionar à quarentena e então clique emAdicionar.

Exibição de arquivos e detalhes de arquivos na quarentenaÉ possível exibir os arquivos que foram movidos para a quarentena. Você podeexibir detalhes sobre os arquivos. Os detalhes incluem o nome do vírus e o nomedo computador em que o arquivo foi encontrado.

89Gerenciamento de proteções antivírus e anti-spywareGerenciamento da quarentena

Para exibir os arquivos e os detalhes de arquivos na quarentena


2 Clique com o botão direito do mouse no arquivo desejado e clique emPropriedades.

Repetição da verificação de vírus dos arquivos na quarentenaSe você tiver arquivos na quarentena, atualize suas definições. Ao atualizar asdefinições, os arquivos na quarentena poderão ser verificados, limpos e restauradosautomaticamente. É possível repetir a verificação dos arquivos na quarentena seo Assistente de Restauração for exibido.

Se o cliente não pode remover o vírus após repetir a verificação dos arquivos naquarentena, envie o arquivo infectado ao Symantec Security Response para análise.

Consulte “Envio de um arquivo supostamente infectado ao Symantec SecurityResponse para análise” na página 92.

Para repetir a verificação dos arquivos em quarentena usando o Assistente deRestauração

1 Quando o Assistente de Restauração for exibido, clique em Sim.


Siga as instruções na tela para repetir a verificação dos arquivos emquarentena

Repetindo manualmente a verificação dos arquivosVocê pode repetir manualmente a verificação de vírus de um arquivo naquarentena, mas não pode fazê-lo no caso de riscos de segurança.

Para repetir manualmente a verificação de vírus de um arquivo na quarentena

1 Atualize as definições.


3 Selecione o arquivo e então clique em Limpar.

Quando não for possível retornar um arquivo reparado ao local deorigem

Às vezes, os arquivos limpos não podem ser recolocados em seu local de origem.Por exemplo, um anexo infectado pode ter sido retirado de um e-mail e colocadoem quarentena. Você deve liberar o arquivo e especificar um local.

Gerenciamento de proteções antivírus e anti-spywareGerenciamento da quarentena

90

Para liberar um arquivo limpo da quarentena


2 Clique com o botão direito do mouse no arquivo reparado e clique emRestaurar.

3 Especifique o local para o arquivo limpo.

Limpeza de itens de backupAntes de tentar limpar ou reparar itens, o cliente faz cópias de backup de itensinfectados por padrão. Após o cliente limpar um vírus com êxito, é necessárioexcluir manualmente o item da quarentena, pois o backup ainda está infectado.Também é possível configurar um período de tempo no qual os arquivos sãoexcluídos automaticamente.

Consulte “Exclusão automática de arquivos em quarentena” na página 91.

Para limpar manualmente os itens de backup


2 Selecione um ou mais arquivos de backup.

3 Clique em Excluir.

Exclusão de arquivos da quarentenaVocê pode excluir manualmente os arquivos da quarentena que não são maisnecessários. Também é possível configurar um período de tempo no qual osarquivos são excluídos automaticamente.

Nota: O administrador pode especificar o número máximo de dias que os itenspodem permanecer na quarentena. Após esse limite, eles serão automaticamenteexcluídos da quarentena.

Para excluir manualmente os arquivos da quarentena


2 Selecione um ou mais arquivos.

3 Clique em Excluir.

Exclusão automática de arquivos em quarentenaÉ possível configurar o software para remover automaticamente itens da lista dequarentena, após um período de tempo especificado. Também é possível especificar


que o cliente remova itens quando a pasta em que os itens estão armazenadosatingir um certo tamanho. Essa configuração evita o acúmulo de arquivos que nãoforem removidos manualmente dessas áreas.

Para excluir automaticamente arquivos


2 Clique em Opções de limpeza.

3 Na caixa diálogo Opções de limpeza, selecione uma das seguintes guias:

■ Itens em quarentena

■ Itens de backup

■ Itens reparados

4 Marque ou desmarque O período de armazenamento excede.

O cliente exclui os arquivos após o período configurado expirar.

5 Se a caixa de seleção O período de armazenamento excede for selecionada,digite ou clique em uma seta para digitar o intervalo de tempo.

6 Selecione a unidade de tempo na lista suspensa. O padrão é 30 dias.

7 Se a caixa de seleção Otamanho totaldapastaexcede for selecionada, digiteo tamanho máximo da pasta a ser permitido em megabytes. O padrão é 50megabytes.

Se você marcar ambas as caixas de seleção, todos os arquivos mais antigosque o tempo configurado serão excluídos primeiro. Se o tamanho da pastaainda exceder o limite definido, o cliente excluirá os arquivos mais antigosindividualmente. O cliente exclui os arquivos mais antigos até que o tamanhoda pasta não exceda o limite.

8 Repita a etapa 4 até 7 para todas as outras guias.

9 Clique em OK.

Envio de um arquivo supostamente infectado ao Symantec SecurityResponse para análise

Às vezes, o cliente não consegue limpar o vírus de um arquivo. Ou, você acha queum arquivo está infectado e o cliente não detecta a infecção. Se você enviar oarquivo ao Symantec Security Response, ele poderá ser analisado para garantirque não esteja infectado. É necessário ter uma conexão com a Internet para enviaruma amostra.


92

Nota: A opção Enviar ao Symantec Security Response não estará disponível se oadminsitrador desativar esses tipos de envio.

Para enviar um arquivo ao Symantec Security Response da quarentena


2 Selecione o arquivo na lista de itens em quarentena.

3 Clique em Enviar.

4 Siga as instruções do assistente para coletar as informações necessárias eenviar o arquivo para análise.



94

Gerenciamento de proteçãoproativa contra ameaças


■ Sobre a proteção proativa contra ameaças

■ Configuração da freqüência de execução das verificações proativas de ameaças

■ Gerenciar detecções proativas de ameaças

■ Configuração de notificações para detecções da verificação proativa de ameaças

■ Envio de informações sobre as verificações proativas de ameaças ao SymantecSecurity Response

■ Configurar uma exceção centralizada para verificações proativas de ameaças

Sobre a proteção proativa contra ameaçasA Proteção proativa contra ameaças oferece proteção contra o ataque de dia zero.Proteção contra o ataque de dia zero significa proteção contra ameaças ouvulnerabilidades desconhecidas. A Proteção proativa contra ameaças verifica sehá no computador processos ativos que demonstrem comportamento que possaser malicioso. Como as ameaças desconhecidas não têm assinaturas paraidentificá-las, as verificações proativas de ameaças identificam riscos em potencialsinalizando comportamento suspeito.

As configurações de verificação padrão da Proteção proativa contra ameaças sãoapropriadas para muitos usuários. É possível alterar as configurações paraadequá-las ao nível de proteção heurística requerido por seu computador.

Você deve fazer as seguintes perguntas antes de alterar as configurações daProteção proativa contra ameaças:

7Capítulo

■ Deseja ser informado quando uma ameaça ocorrer no computador?

■ Com que freqüência e quando deseja verificar processos?

■ Quanto em recursos do computador você deseja fornecer à Proteção proativacontra ameaças?

Nota: Se o administrador não bloquear as configurações da verificação proativade ameaças, você poderá alterá-las. As configurações bloqueadas incluem umícone de cadeado fechado. Os rótulos das configurações bloqueadas ficamacinzentados.

Sobre as verificações proativas de ameaçasAs verificações proativas de ameaças são diferentes das verificações antivírus eanti-spyware. Elas examinam determinados tipos de processos ou aplicativos quedemonstrem comportamento suspeito.

As verificações proativas de ameaças detectam os processos que pareçam atuarcomo cavalos de Tróia, worms ou registradores do teclado. É possível ativar oudesativar a detecção.

Além de cavalos de Tróia, worms e registradores do teclado, as verificaçõesproativas de ameaças detecam os processos que se comportam de maneira similarà de adware e spyware. Não é possível configurar como as verificações proativasde ameaças lidam com esses tipos de detecções. Se as verificações proativas deameaças detectarem o adware ou spyware que você deseja permitir noscomputadores clientes, você ou o administrador devem criar uma exceçãocentralizada.

Consulte “Configurar uma exceção centralizada para verificações proativas deameaças” na página 105.

As verificações proativas de ameaças também detectam aplicativos comerciaisconhecidos que podem ser usados com objetivos maliciosos. A Symantec mantémuma lista desses aplicativos comerciais e periodicamente a atualiza. Essesaplicativos incluem programas comerciais que monitoram ou registram opressionar de teclas de um usuário ou que controlam o computador do usuário demaneira remota. É possível definir ações para como o Symantec EndpointProtection trata essas detecções.

Tabela 7-1 descreve os processos que as verificações proativas de ameaçasdetectam.

Gerenciamento de proteção proativa contra ameaçasSobre a proteção proativa contra ameaças

96

Tabela 7-1 Processos detectados pelas verificações proativas de ameaças

DescriçãoTipo dos processos

Processos que exibem características de cavalos de Tróia ouworms.

As verificações proativas de ameaças usam heurísticas paraprocurar processos que se comportam como cavalos de Tróiaou worms. Esses processos podem ou não ser ameaças.

Cavalos de Tróia e worms

Processos que demonstram características de registradores doteclado.

As verificações proativas de ameaças detectam registradorescomerciais dos teclados, mas também detectam os processosdesconhecidos que demonstram essas características.

Keyloggers

Aplicativos comerciais conhecidos que podem ser usados parafins maliciosos.

As verificações proativas de ameaças detectam vários tiposdiferentes de aplicativos comerciais. É possível configurar açõespara dois tipos: programas registradores do teclado e de controleremoto.

Aplicativos comerciais

Processos que demonstram características de adware e spyware

As verificações proativas de ameaças usam heurísticas paradetectar os processos desconhecidos que se comportam comoadware e spyware. Esses processos podem ou não ser riscos.

Adware e spyware

Sobre exceções para verificações proativas de ameaçasVocê poderá determinar algumas exceções para as verificações proativas deameaças, exceto se o seu administrador tiver bloqueado as configurações da políticade exceções centralizadas.

O seu administrador também poderá determinar política de exceções centralizadaspara verificações de ameaças proativas. Você não poderá alterar as exceções queseu administrador determinar.


Sobre as detecções da verificação proativa de ameaçasAs verificações proativas de ameaças registram, colocam em quarentena ouencerram os processos potencialmente maliciosos detectados. É possível exibir

97Gerenciamento de proteção proativa contra ameaçasSobre a proteção proativa contra ameaças

as detecções usando a caixa de diálogo resultados da verificação, os registros daProteção proativa contra ameaças ou a lista da Quarentena.

Consulte “Sobre a interação com os resultados da verificação ou do Auto-Protect”na página 75.

Consulte “Gerenciamento da quarentena” na página 89.

Consulte “Exibição de registros e dos detalhes dos registros” na página 153.

Nota: As configurações da verificação proativa de ameaças não têm efeito nasverificações antivírus e anti-spyware, que usam assinaturas para detectar riscosconhecidos. O Symantec Endpoint Protection detecta primeiro os riscos conhecidos.

Por padrão, o cliente executa estas ações:

■ Registra a detecção de aplicativos comerciais conhecidos

■ Registra a detecção de processos que se comportam como cavalos de Tróia,worms ou registradores do teclado

■ Coloca em quarentena processos que se comportam como cavalos de Tróia,worms ou registradores do teclado e que requeiram reparo

Quando a verificação proativa de ameaças coloca uma detecção em quarentena,trata dos efeitos colaterais do processo. Se o cliente verificar novamente a detecçãoapós atualizações de conteúdo serem descarregadas para o computador, poderárestaurar o processo. O cliente restaurará o processo se o mesmo não mais forconsiderado malicioso. O cliente também repara os efeitos colaterais do processo.Entretanto, o cliente não reinicia o processo automaticamente.

Para a detecção de registradores comerciais do teclado ou de aplicativos de controleremoto, você ou o administrador podem especificar ações diferentes. Por exemplo,você pode querer ignorar a detecção de aplicativos comerciais registradores doteclado. Quando o cliente ignora um aplicativo, permite o mesmo e não registrasua detecção.

Nas detecções de cavalos de Tróia, worms ou registradores do teclado, você podeespecificar uma ação determinada que o cliente sempre usará quando fizer umadetecção.

Sobre como agir em positivos falsosAs Verificações proativas de ameaças às vezes detectam positivos falsos. Essasverificações procuram aplicativos e processos com comportamento suspeito emvez de vírus ou riscos à segurança conhecidos. Por sua natureza, essas verificaçõesgeralmente sinalizam itens que você pode não querer detectar.

Gerenciamento de proteção proativa contra ameaçasSobre a proteção proativa contra ameaças

98

Se a verificação proativa de ameaças detectar um processo que você determinarcomo não sendo um problema, você poderá criar uma exceção para que asverificações futuras não sinalizem o processo. Se houver um conflito entre umaexceção definida pelo usuário e uma exceção do administrador, esta última teráprioridade.


Para minimizar detecções positivas falsas, certifique-se de que o conteúdo daverificação proativa de ameaças Symantec esteja atualizado. A versão é exibidana página Status, em Proteção proativa contra ameaças. É possível descarregar oconteúdo mais recente executando o LiveUpdate.

Nota: O administrador pode agendar atualizações automáticas.

Se você optar por gerenciar a detecção de Cavalos de Tróia, worms ou registradoresde teclas, poderá alterar a sensibilidade das verificações proativas de ameaças.Entretanto, alterar a sensibilidade pode não alterar a quantidade de positivosfalsos, mas apenas a quantidade de detecções totais.

Consulte “Gerenciar detecções proativas de ameaças” na página 100.

Configuração da freqüência de execução dasverificações proativas de ameaças

É possível configurar a freqüência de execução das verificações proativas deameaças.

Nota: Se você aumentar a freqüência de execução das verificações proativas deameaças, poderá afetar o desempenho do computador.


Para configurar a freqüência de execução das verificações proativas de ameaças


2 Ao lado de Proteção proativa contra ameaças, clique em Definirconfigurações.

99Gerenciamento de proteção proativa contra ameaçasConfiguração da freqüência de execução das verificações proativas de ameaças

3 Na caixa de diálogo Configurações da verificação proativa de ameaças, naguia Freqüência de verificação, marque a opção Em uma freqüência deverificação personalizada.

4 Siga uma ou mais destas ações:

■ Ao lado de Verificar cada, defina a duração de tempo em dias, horas eminutos entre os processos de verificação.

■ Marque a opção Verificarnovosprocessos imediatamente para verificaros novos processos quando eles forem detectados.

Gerenciar detecções proativas de ameaçasOs administradores podem bloquear as configurações da detecção proativa deameaças. Se suas configurações estiverem bloqueadas, ou se você estiverexecutando um cliente não gerenciado, poderá configurar os tipos de processosdetectados pelas detecções proativas de ameaças.

Nota:A detecção de cavalos de Tróia, worms e keyloggers de tecla não é atualmentesuportada nos sistemas operacionais dos servidores Windows. Em clientesexecutados nos sistemas operacionais dos servidores, as opções de verificaçãoestão indisponíveis. Se o seu administrador modificar essas opções em uma políticaque seja aplicada ao seu computador, as opções podem aparecer selecionadas eindisponíveis.

Quando a detecção de cavalos de Tróia, worms ou keyloggers estiver ativada, vocêpode escolher como deseja gerenciar as detecções. Como padrão, as verificaçõesproativas de ameaças usam os padrões da Symantec. Isso significa que o clientedetermina a ação para a detecção. (Os padrões indisponíveis na interface do usuárionão refletem os padrões da Symantec. As configurações indisponíveis refletemas configurações padrão usadas quando as detecções são gerenciadasmanualmente.)

No geral, as configurações padrão da Symantec oferecem a melhor forma de lidarcom as detecções. No entanto, se você tiver experiência com os resultados deverificações em seu computador, pode querer configurar manualmente as açõese os níveis de sensibilidade. Para configurar esses parâmetros, desative as opçõespadrão da Symantec.

Para minimizar detecções com falso positivo, a Symantec recomenda que vocêuse, inicialmente, os padrões gerenciados pela Symantec. Após um determinadoperíodo de tempo, você pode observar o número de falsos positivos que o clientedetecta. Se o número estiver muito baixo, você pode ajustar gradativamente asconfigurações de verificação proativa de ameaças. Por exemplo, para a detecção

Gerenciamento de proteção proativa contra ameaçasGerenciar detecções proativas de ameaças

100

de cavalos de Tróia e worms, você pode mover o regulador de sensibilidade umpouco acima do padrão. Você pode observar os resultados das verificações proativasde ameaças executadas após a definição das novas configurações.

Nota: Para os clientes gerenciados, seu administrador normalmente configura asverificações proativas de ameaças de modo apropriado para seu computador.

Para os aplicativos comerciais, você pode especificar o tipo de ação a ser tomadaquando uma verificação proativa de ameaças detectar um keylogger comercial ouprogramas de controle remoto comerciais. Você pode alterar essas configuraçõesindependentemente da configuração para cavalos de Tróia, worms ou keyloggers.

Especificação dos tipos de processos que as verificações proativas deameaças detectam

É possível configurar se deseja que as verificações proativas de ameaças detectema presença de cavalos de tróia e worms ou keyloggers. O administrador podebloquear algumas dessas configurações.


Para especificar os tipos de processos que as verificações proativas de ameaçasdetectam



3 Na caixa de diálogo Configurações da verificação proativa de ameaças, naguia Detalhes de verificação, em Cavalos de tróia e worms, marque oudesmarque Verificar cavalos de tróia e worms.

4 Em Keyloggers, marque ou desmarque Verificar keyloggers.

5 Clique em OK.

Especificação de ações e níveis de sensibilidade para detecção decavalos de tróia, worms e keyloggers

Se você escolher gerenciar por conta própria as detecções de cavalo de tróia, wormou keylogger, é possível configurar a ação a ser realizada quando esses processosforem detectados. Essa ação sempre é utilizada quando as verificações proativasde ameaças fazem uma detecção. Por exemplo, você pode definir a ação somentepara registrar. Se uma verificação proativa de ameaças detectar um processo que

101Gerenciamento de proteção proativa contra ameaçasGerenciar detecções proativas de ameaças

é classificado como positivo verdadeiro, o cliente registrará a detecção. O clientenão colocará o processo em quarentena.

Também é possível definir diferentes níveis de sensibilidade para a detecção decavalos de tróia, worms e keyloggers. Esse nível determina a sensibilidade dasverificações proativas de ameaças ao verificarem os processos. Um nível desensibilidade superior resultará em mais detecções. Lembre-se de que algumasdessas detecções podem ser falso-positivas. A diminuição ou o aumento do nívelde sensibilidade pode não alterar o percentual de falso-positivos que as verificaçõesproativas de ameaças produzem. Isso altera somente o número de detecções totais.

Você pode manter o nível de sensibilidade no mínimo até visualizar os resultadosdas verificações proativas de ameaças no computador. Se as verificações proativasde ameaças não produzem detecções em um nível de sensibilidade inferior, vocêpode aumentar a sensibilidade.

Clique em Ajuda para mais informações sobre as opções que são utilizadas noprocedimento.

Para definir a ação e o nível de sensibilidade para cavalos de tróia e worms



3 Na caixa de diálogo Configurações da verificação proativa de ameaças, naguia Detalhes da verificação, em Cavalos de tróia e worms, certifique-se deque a opção Verificar cavalos de tróia e worms esteja selecionada e, em seguida,desmarque Usar os padrões definidos pela Symantec.

4 Em Sensibilidade, mova o regulador de sensibilidade para a esquerda ou direitapara diminuir ou aumentar a sensibilidade, respectivamente.

5 Na lista suspensa, selecione Registro, Encerrar ou Quarentena.

6 Clique em OK.

Para definir a ação e o nível de sensibilidade para os keyloggers



3 Na caixa de diálogo Configurações da verificação proativa de ameaças, naguia Detalhes da verificação, em Keyloggers, certifique-se de que a opçãoVerificar keyloggers esteja selecionada e, em seguida, desmarque Usar ospadrões definidos pela Symantec.

4 Para o nível de sensibilidade, selecione Baixa ou Alta.

5 Na lista suspensa, selecione Registro, Encerrar ou Quarentena.

6 Clique em OK.

Gerenciamento de proteção proativa contra ameaçasGerenciar detecções proativas de ameaças

102

Configurar a ação para detecção de aplicativos comerciaisVocê pode alterar a ação tomada pelo cliente quando uma verificação proativa deameaças detecta determinados tipos de aplicativos comerciais.

Você pode clicar em Ajuda para obter mais informações sobre as opções usadasneste procedimento.

Para definir a ação para a detecção de aplicativos comerciais



3 Na caixa de diálogo Configurações de verificação proativa de ameaças, naguia Detalhes da verificação, sob Aplicativos comerciais, realize qualqueruma das seguintes ações:

■ Definir a ação de registradores de teclas para Registrar, Encerrar,Quarentena ou Ignorar.

■ Definir a ação para aplicativos de controle remoto comercial para Registrar,Encerrar, Quarentena ou Ignorar.

4 Clique em OK.

Configuração de notificações para detecções daverificação proativa de ameaças

É possível configurar para que sejam exibidas mensagens quando as verificaçõesproativas de ameaças efetuarem detecções. Por padrão, o cliente exibe asmensagens quando ocorrem detecções. Você também será notificado quando umadetecção exigir que o cliente encerre os serviços ou interrompa os processos.

Nota: O administrador poderá bloquear essas configurações.


Para ativar ou desativar notificações de detecções da verificação proativa deameaças

1 No cliente, clique em Alterar configurações.


103Gerenciamento de proteção proativa contra ameaçasConfiguração de notificações para detecções da verificação proativa de ameaças

3 Na caixa de diálogo Configurações da verificação proativa de ameaças, naguia Notificações, selecione a opção Exibir uma mensagem quando houveruma detecção.

4 Marque ou desmarque as opções Perguntar antes de encerrar um processoe Perguntar antes de interromper um serviço.

5 Clique em OK.

Envio de informações sobre as verificações proativasde ameaças ao Symantec Security Response

Por padrão, as verificações proativas de ameaças enviam informações sobre osprocessos detectados ao Symantec Security Response. Quando as verificaçõesenviam informações, a Symantec as analisa para determinar se uma ameaça éreal. Se a Symantec determinar que a ameaça é real, pode gerar uma assinaturapara resolver a ameaça. A Symantec inclui a assinatura nas versões atualizadasdas definições.

As informações sobre um processo enviadas incluem:

■ O caminho do executável

■ O executável

■ Informações sobre o arquivo e os pontos de carga no registro que se referemà ameaça

■ Informações internas de estado

■ Versão de conteúdo que a verificação proativa de ameaças usou

Nenhuma informação pessoal que possa identificar o computador é enviada.

O envio de detecções da verificação proativa de ameaças ao Symantec SecurityResponse é ativada por padrão.

Nota: O administrador pode bloquear as configurações de envio.


Para ativar ou desativar o envio de informações ao Symantec Security Response



Gerenciamento de proteção proativa contra ameaçasEnvio de informações sobre as verificações proativas de ameaças ao Symantec Security Response

104

3 Na caixa de diálogo Configurações da Proteção antivírus e anti-spyware, naguia Envios, selecione ou cancele a seleção de Enviar automaticamente asdetecções da Verificação proativa de ameaças.

4 Clique em OK.

Configurar uma exceção centralizada paraverificações proativas de ameaças

Você poderá determinar exceções para as verificações proativas de ameaças,exceto se o seu administrador bloquear as configurações.

Para determinar uma exceção, selecione um arquivo que esteja disponível nomomento em seu computador. Quando uma verificação proativa de ameaçasdetecta um processo ativo que utiliza o arquivo, o cliente aplica a ação que vocêespecificou na exceção.

Por exemplo, você poderá executar um aplicativo que utilize um arquivo chamadofoo.exe no seu computador. A verificação proativa de ameaças será executadaquando o foo.exe for executado. O cliente determina que o arquivo foo.exe podeser malicioso. A caixa de diálogo de resultados da verificação mostra que o clientecolocou o arquivo em quarentena. Você pode determinar uma exceção queespecifique que a verificação proativa de ameaças ignore o foo.exe. Desta forma,o cliente restaurará o arquivo e, ao executá-lo novamente, o cliente o ignorará.

O seu administrador também poderá determinar exceções centralizadas para suasverificações. Você poderá conferir as exceções do administrador, porém não poderáalterá-las. Se você determinar uma exceção centralizada que entre em conflitocom uma exceção do administrador, esta última terá prioridade.

Clique em Ajuda para mais informações sobre as opções que são utilizadas noprocedimento.

Para configurar uma exceção centralizada para verificações proativas de ameaças



3 Na guia de exceções do usuário, clique em Adicionar, depois selecione Exceçãode proteção proativa de ameaças.

4 Na caixa de diálogo para adicionar exceções proativas de ameaças, digite umnome de processo ou selecione um arquivo para o qual você deseja determinaruma exceção.

105Gerenciamento de proteção proativa contra ameaçasConfigurar uma exceção centralizada para verificações proativas de ameaças

5 Na lista suspensa Ações, selecione Ignorar, Somente registrar, Quarentenaou Encerrar.


Gerenciamento de proteção proativa contra ameaçasConfigurar uma exceção centralizada para verificações proativas de ameaças

106

Gerenciamento de proteçãocontra ameaças na rede


■ Sobre a proteção contra ameaças à rede

■ Configuração do firewall

■ Configurar a prevenção de intrusões

■ Definição das configurações específicas dos aplicativos

■ Compartilhamento de arquivos e pastas

Sobre a proteção contra ameaças à redeOs ataques a redes tiram proveito da maneira como os computadores transfereminformações. O Symantec Endpoint Protection pode proteger o seu computadormonitorando as informações recebidas e enviadas pelo computador e bloqueandotodas as tentativas de ataques.

As informações são transmitidas pela Internet na forma de pacotes. Cada pacoteinclui um cabeçalho que contém informações sobre o computador remetente, odestinatário, como os dados no pacote devem ser processados e a porta que devereceber o pacote.

Portas são os canais que dividem o fluxo de informação proveniente da Internetem caminhos distintos daqueles com os quais os aplicativos individuais lidam.Quando os aplicativos da Internet são executados em um computador, eles escutamuma ou mais portas e aceitam as informações enviadas a elas.

Os ataques pela rede tiram vantagem das fraquezas específicas dos programas deInternet. Os invasores usam ferramentas que enviam pacotes com código de

8Capítulo

programação malicioso a uma determinada porta. Se um programa vulnerável aesse ataque escutar essa porta, o código poderá permitir que o invasor obtenhaacesso, desative ou até mesmo controle o computador. O código de programausado para gerar os ataques pode existir dentro de um pacote ou pode espalhar-sepor vários pacotes.

Seu cliente tem as configurações padrão de proteção contra ameaças de redeinstaladas. Na maioria dos casos, você não precisa alterar as configurações.Geralmente é mais seguro deixar as configurações como estão. Entretanto, se vocêtiver uma boa compreensão de redes, pode efetuar alterações no firewall do clientepara melhorar sua proteção.

Como o cliente protege a rede de ataques pela redeO cliente inclui as seguintes ferramentas que protegem seu computador detentativas de intrusão:

Monitora toda a comunicação pela Internet e cria uma proteçãoque bloqueia ou limita as tentativas de exibir informações em seucomputador.

Firewall

Analisa todas as informações recebidas e enviadas quanto aospadrões de dados típicos de um ataque.

Prevenção de intrusões

Para avaliar como proteger melhor o seu computador, você pode testar avulnerabilidade dele em relação a ataques e vírus pela rede externa. Para testaro seu computador, você pode executar várias verificações.

Consulte “Como testar a segurança do computador” na página 29.

Sobre o firewallO firewall é um software que fornece uma barreira entre o computador e a Internet.O firewall impede que usuários não autorizados acessem computadores privadose redes que se conectam à Internet. Ele detecta possíveis ataques de hackers,protege informações pessoais e elimina fontes indesejadas do tráfego da rede,como tentativas de intrusão.

Gerenciamento de proteção contra ameaças na redeSobre a proteção contra ameaças à rede

108

Internet

Computador-cliente

O firewall monitora tentativas deacesso provenientes da Internet

O firewall permite ou bloqueiao tráfego de rede especificadopela política de firewall

Toda informação que entra ou sai da rede privada deve passar pelo firewall. Ofirewall examina os pacotes de informações e bloqueia aqueles que não atendemaos critérios de segurança especificados. Ele examina os pacotes de informaçõespor meio das regras de firewall. As políticas de firewall consistem em uma ou maisregras que funcionam juntas para dar pemissão ou bloquear usuários no acessoà rede. Somente tráfegos autorizados podem passar. Uma política de firewalldefine o tráfego autorizado.

O firewall funciona em segundo plano. O administrador determina o nível deinteração que você tem com o cliente, dando permissão ou bloqueando suacapacidade de configurar regras e ajustes de firewall. Você pode interagir com ocliente somente se ele avisá-lo sobre suas conexões de rede e possíveis problemasou pode ter acesso total à interface do usuário.

Como o firewall monitora as comunicações

Quando o firewall está ativado, ele monitora as comunicações entre o seucomputador e outros computadores na Internet.

O firewall protege você contra tentativas impróprias de conexão usando um dosseguintes métodos:

■ Bloqueia tráfegos de entrada e de saída.

■ Emite alertas sobre todas as tentativas de conexão detectadas de outroscomputadores e de aplicativos do seu computador que se conectem a outroscomputadores.

109Gerenciamento de proteção contra ameaças na redeSobre a proteção contra ameaças à rede

Você pode controlar o nível de proteção personalizando a proteção de firewall.

Sobre o sistema de prevenção de intrusõesO sistema de prevenção de intrusões (IPS, Intrusion Prevention System) é a segundacamada de defesa do cliente do Symantec Endpoint Protection após o firewall. Osistema de prevenção de intrusões é um sistema baseado em rede que opera emcada computador em que o cliente está instalado e o sistema IPS está ativado. Seum ataque conhecido é detectado, uma ou mais tecnologias de prevenção deintrusões podem automaticamente bloqueá-lo.

O sistema de prevenção de intrusões analisa todas as informações de entrada esaída em busca de padrões de dados típicos de um ataque. Ele detecta e bloqueiatráfego malicioso e tentativas de ataque de usuários externos contra o computador.A prevenção de intrusões monitora o tráfego de saída e impede a disseminaçãode worms.

A Tabela 8-1 relaciona os problemas comuns de segurança que o sistema deprevenção de intrusões monitora.

Tabela 8-1 Problemas comuns de segurança

ProteçãoProblema

Disfarça as portas inativas no computador e detecta verificaçõesde porta.

Verificações de porta

Examina todos os pacotes da rede em busca de ataques conhecidosque limitam o uso dos serviços do computador que elenormalmente teria.

Ataques de negação deserviço

Detecta e bloqueia tráfego malicioso e tentativas de usuáriosexternos de atacar o computador e verifica o tráfego de saída paraprevenir a disseminação de worms.

Intrusões

Como a prevenção de intrusões analisa o tráfego

O sistema de prevenção de intrusões verifica cada pacote que entra e sai doscomputadores da rede quanto a assinaturas de ataque e seqüências de pacotesque identificam a tentativa de exploração de um sistema operacional ouvulnerabilidade de programa de um invasor.

Se as informações correspondem a um ataque conhecido, o IPS descarta o pacoteautomaticamente. O IPS também pode desligar a conexão com o computador queenviou os dados por um período de tempo especificado. Esse recurso é chamadoresposta ativa e impede que os computadores na rede sejam afetados de qualquerforma.


110

O cliente inclui os seguintes tipos de mecanismos de IPS que identificamassinaturas de ataque.

As assinaturas de IPS da Symantec usam um mecanismo baseadoem fluxo que verifica vários pacotes. As assinaturas de IPS daSymantec interceptam dados de rede em nível da sessão ecapturam segmentos de mensagens que são alternados entre umaplicativo e a pilha de rede.

O IPS da Symantec utiliza dois métodos para examinar os pacotes.Ele verifica cada pacote individualmente em busca de padrõesque fujam às especificações e que possam travar a pilha TCP/IP.Além disso, ele monitora os pacotes como se fossem um fluxo deinformações, procurando comandos direcionados a umdeterminado serviço destinados a explorar ou travar o sistema.O IPS memoriza a lista de padrões ou parte dos padrões de pacotesanteriores e o IPS pode aplicar essas informações às inspeçõesde pacotes subseqüentes.

O IPS conta com uma lista abrangente de assinaturas de ataquespara detectar e bloquear atividades suspeitas na rede. A Symantecfornece uma lista de ameaças conhecidas, que pode ser atualizadaatravés do cliente, usando o Symantec LiveUpdate. O mecanismode IPS da Symantec e o conjunto correspondente de assinaturasde IPS são instalados no cliente por padrão.

Assinaturas de IPS daSymantec

As assinaturas personalizadas de IPS usam um mecanismobaseado em pacotes que verifica cada pacote individualmente.

Ambos os mecanismos baseados em fluxo e pacotes detectamassinaturas nos dados da rede que atacam a pilha TCP/IP, oscomponentes do sistema operacional e a camada do aplicativo.Contudo, as assinaturas baseadas em pacotes podem detectarataques na pilha TCP/IP antes que as assinaturas baseadas emfluxo. O mecanismo baseado em pacotes não detecta assinaturasque contêm vários pacotes. O mecanismo de IPS baseado empacotes é mais limitado, já que não protege correspondênciasparciais e verifica somente atividades de pacotes únicos.

Assinaturaspersonalizadas de IPS

O sistema de prevenção de intrusões registra os ataques detectados no registrode segurança. As assinaturas personalizadas de IPS podem registrar ataquesdetectados no registro de pacotes.

Consulte “Configurar a prevenção de intrusões” na página 126.

111Gerenciamento de proteção contra ameaças na redeSobre a proteção contra ameaças à rede

Exibir a atividade da redeVocê pode exibir as informações sobre o tráfego de entrada e saída a partir do seucomputador. Você também pode exibir uma lista dos aplicativos e serviços queforam executados desde que o serviço do cliente iniciou.Tabela 8-2 descreve asações tomadas pelo cliente no tráfego, exibe os ícones que representam as açõesque ele toma para os aplicativos que acessam o computador-cliente ou a rede.

Tabela 8-2 Ações executadas pelo cliente quando aplicativos o acessam ouacessam a rede

DescriçãoAçãoÍcone

Permite que o tráfego de entrada acesse ocomputador-cliente e que o tráfego de saída acesse a rede.

Se o cliente receber tráfego, o ícone exibirá um pequenoponto azul no canto esquerdo inferior. Se o cliente enviartráfego, o ícone exibirá o ponto no canto direito inferior.

Permitir

Pergunta se o tráfego de entrada tem permissão paraacessar o seu computador ou a rede da empresa.

Se você ou o administrador configuraram o cliente paraperguntar se deve permitir que seus aplicativos acessemos recursos da rede, o ícone aparecerá com um pequenoponto de interrogação amarelo. Você pode configurar ocliente para lembrar suas respostas para que não preciseresponder novamente.

Perguntar

Bloqueia o acesso do tráfego de entrada e saída à rede ou auma conexão com a Internet.

Bloquear

Nota:O cliente não detecta tráfego da rede de dispositivos assistente digital pessoal(PDA, Personal Digital Assistant).

Para exibir o histórico do tráfego


2 Ao lado de Proteção contra ameaças na rede, clique em Opções > Exibiratividade da rede.

Para obter mais informações sobre os gráficos e os campos, clique em Ajuda.

3 Clique em Fechar.


112

Você poderá exibir o tráfego como tráfego de broadcast ou unicast. Tráfego debroadcast é o tráfego de rede enviado a todos os computadores em uma sub-redeparticular e não direcionado especificamente para o seu computador. O tráfegounicast é aquele que é direcionado especificamente para o seu computador.

Para mostrar ou ocultar os serviços do Windows e o tráfego de broadcast



3 Na caixa de diálogo Atividade da rede, clique com o botão direito no campoAplicativos em execução e realize as seguintes ações:

■ Para mostrar ou ocultar os serviços do Windows, marque ou dermarqueMostrar os serviços do Windows.

■ Para exibir o tráfego de broadcast, marque Mostrartráfegodebroadcast.

■ Para exibir o tráfego unicast, dermarque Mostrar tráfego de broadcast.

4 Clique em Fechar.

Para alterar o modo que o ícone do aplicativo aparece



3 No campo Aplicativos em execução, clique com o botão direito no aplicativoe depois clique em uma das seguintes exibições:

■ Ícones grandes

■ Ícones pequenos

■ Lista

■ Detalhes do aplicativo

■ Detalhes de conexão

4 Clique em Fechar.

Configuração do firewallAs configurações padrão do firewall protegem o seu computador. Se asconfigurações padrão não forem apropriadas, você pode personalizar a políticade firewall. Para personalizar a política de firewall, adicione ou altere os seguintesrecursos de firewall:

113Gerenciamento de proteção contra ameaças na redeConfiguração do firewall

Monitoram toda a comunicação pela Internet e criam umaproteção que bloqueia ou limita as tentativas de exibirinformações do computador. As regras de firewall podem tornarseu computador invisível aos outros na Internet.

As regras de firewall protegem usuários remotos contra ataquesde hackers e evitam que estes obtenham acesso pela porta dosfundos a redes corporativas, nesses computadores. Você podeavisar aos usuários quando o firewall bloquear um aplicativo emseus computadores.

Regras de firewall

Permitem os tipos específicos de tráfego que são necessários namaioria das redes. Esse tipo de tráfego inclui DHCP, DNS e otráfego WINS.

Filtros inteligentes detráfego

Ativam os recursos adicionais de tráfego, como a proteção emnível de driver, a proteção NetBIOS, o tráfego de redes em anel,as pesquisas revertidas de DNS e as configurações de módulodissimulado.

Configurações detráfego e dissimulação

O administrador pode ou não ter fornecido permissão para você personalizar asregras e as configurações de firewall. Se você não tiver permissão, o administradorcria regras de firewall e ativa configurações em uma política de firewall e distribuia política ao cliente. Se você tiver permissão, pode criar regras e modificarconfigurações no cliente para ajustar o seu ambiente de rede. O administradorpode ter configurado o cliente de modo a mesclar as regras que o administradorcriou com as regras criadas por você.

Você pode desativar a proteção em alguns momentos, como durante a instalaçãode um novo software.

Consulte “Ativar e desativar a proteção contra ameaças à rede” na página 46.

Sobre as regras de firewallQuando um computador tenta se conectar a outro computador, o firewall comparao tipo de conexão com sua lista de regras de firewall. As regras de firewallcontrolam o modo como o cliente protege o computador-cliente de tráfego deentrada e de saída malicioso. Com base nessas regras, o firewall verificaautomaticamente todos os pacotes de entrada e de saída. O firewall, então, permiteou bloqueia os pacotes que se baseiam nas informações especificadas nas regras.

Sobre os elementos de uma regraUma regra de firewall descreve as condições em que uma conexão de rede podeser permitida ou bloqueada.

Gerenciamento de proteção contra ameaças na redeConfiguração do firewall

114

A Tabela 8-3 descreve os critérios usados para definir uma regra de firewall.

Tabela 8-3 Condições de regras de firewall

DescriçãoCondição

Aplicativos, hosts, protocolos e adaptadores de rede.

Você pode combinar definições de trigger para formar mais regrascomplexas, como identificar um protocolo particular em relação a umendereço específico de destino. Quando o firewall avalia a regra, todosos triggers devem ser verdadeiros para que ocorra uma correspondênciapositiva. Se algum trigger não for verdadeiro em relação ao pacote atual,o firewall não poderá aplicar a regra.

Triggers

Agendamento e estado de proteção de tela.

Os parâmetros condicionais não descrevem um aspecto de uma conexãode rede. Em vez disso, os parâmetros condicionais determinam o estadoativo de uma regra. Os parâmetros condicionais são opcionais e casonão sejam configurados, não serão significativos. Você pode configurarum agendamento ou identificar um estado de descanso de tela quedetermine quando uma regra é considerada ativa ou inativa. O firewallnão avalia as regras inativas quando recebe pacotes.

Condições

Permitir ou bloquear, registrar ou não registrar.

Os parâmetros de ação especificam que ações o firewall realizará quandouma regra for correspondida com êxito. Se a regra for selecionada emresposta a um pacote recebido, o firewall realizará todas as ações. Ofirewall permite ou bloqueia o pacote e realiza ou não seu registro.

Se o firewall permitir o tráfego, ele possibilitará que o tráfegoespecificado pela regra acesse a rede.

Se o firewall bloquear o tráfego, ele bloqueará o tráfego especificadopela regra e não permitirá o acesso à rede.

Ações

Por exemplo, uma regra pode determinar que a porta 80 tem permissão para oendereço IP 192.58.74.0, entre as 9h e as 17h diariamente.

A Tabela 8-4 descreve os triggers que podem ser usados para definir uma regrade firewall.


Tabela 8-4 Triggers de regras de firewall

DescriçãoTrigger

Quando o aplicativo é o único trigger definido em uma regra de tráfegopermitido, o firewall permite que o aplicativo execute qualquer operaçãode rede. O aplicativo é o valor significativo, não as operações de rederealizadas por ele. Por exemplo, suponha que seja dada permissão aoInternet Explorer e que nenhum outro trigger seja definido. Os usuáriospodem acessar sites remotos que usam HTTP, HTTPS, FTP, Gopher equalquer outro protocolo aceito pelo navegador. É possível definirtriggers adicionais para descrever protocolos e hosts de rede específicoscom os quais a comunicação é permitida.

Aplicativo

O host local sempre é o computador-cliente local e o host remoto sempreé um computador remoto posicionado em algum outro local na rede.Esta expressão da relação entre hosts é independente da direção dotráfego. Ao definir triggers de host, o host é especificado no site remotoda conexão de rede descrita.

Host

O trigger de protocolo identifica um ou mais protocolos de redesignificativos em relação ao tráfego de rede descrito.

O computador host local sempre possui a porta local e o computadorremoto sempre possui a porta remota. Essa expressão da relação dasportas é independente da direção do tráfego.

É possível definir os seguintes tipos de protocolo:

■ Todos os protocolos IP

Qualquer protocolo.

■ TCP

Porta ou intervalos de portas.

■ UDP

Porta ou intervalos de portas.

■ ICMP

Tipo e código.

■ Protocolo IP específico

Número de protocolo (tipo de IP).

Exemplos: Tipo 1 = ICMP, Tipo 6 = TCP, Tipo 17 = UDP

Protocolo

Se um trigger de adaptador de rede for definido, a regra é relevantesomente para o tráfego transmitido ou recebido usando o tipo deadaptador especificado. É possível especificar qualquer adaptador ouaquele que está atualmente associado ao computador-cliente.

Adaptador derede


116

Sobre a inspeção inteligenteO firewall usa a inspeção inteligente, um processo que rastreia informações sobreconexões atuais como, por exemplo, endereços IP, portas, aplicativos de origeme destino e assim por diante. O cliente toma decisões sobre o fluxo de tráfegousando essa informações de conexão antes de inspecionar as regras de firewall.

Por exemplo, se uma regra de firewall permite que um cliente se conecte a umservidor da Web, o firewall registra informações sobre a conexão. Quando oservidor responde, o firewall detecta que o cliente espera uma resposta do servidorda Web e permite o fluxo do tráfego do servidor da Web ao cliente que iniciou aconexão, sem inspecionar o conjunto de regras. Uma regra deve permitir o tráfegoinicial de saída antes que o firewall registre a conexão.

A inspeção inteligente permite simplificar as bases de regra, pois não é precisocriar regras que permitam o tráfego em ambas as direções quando ele é iniciadoem apenas uma direção. O tráfego de cliente que é iniciado tipicamente em umadireção inclui Telnet (porta 23), HTTP (porta 80) e HTTPS (porta 443). Os clientesiniciam essa saída de tráfego, então só é preciso criar uma regra que permita otráfego de saída para esses protocolos. O firewall permite o retorno do tráfego.

Ao configurar somente as regras de saída, você aumenta a segurança do clientedas seguintes maneiras:

■ Reduzindo a complexidade da regra de base.

■ Eliminando a possibilidade de um worm ou outro programa malicioso iniciarconexões com um cliente em portas configuradas somente para tráfego desaída. Também é possível configurar somente regras de entrada para tráfegonão iniciado por clientes.

A inspeção inteligente oferece suporte para todas as regras que direcionam otráfego TCP. Ela não oferece suporte para as regras que filtram o tráfego ICMP.Para ICMP, você deve criar regras que permitam o tráfego em ambas as direções,quando necessário. Por exemplo, para que os clientes usem o comando ping erecebam respostas, é necessário criar uma regra que permita o tráfego ICMP emambas as direções.

Sobre as conexões UDP

Para as comunicações UDP, o cliente analisa o primeiro datagrama UDP e aplicaa ação que é tomada no datagrama inicial para todos os datagramas UDPsubseqüentes na sessão do programa atual. O tráfego de entrada e saída entre osmesmos computadores é considerado parte da conexão UDP.

Para um tráfego UDP inteligente, quando uma conexão UDP é feita, a comunicaçãoUDP de entrada é permitida, mesmo que a regra de firewall a bloqueie. Por exemplo,se uma regra bloqueia comunicações UDP de entrada por um aplicativo específico,


mas você escolhe um datagrama UDP de saída, todas as comunicações UDP deentrada são permitidas para a sessão de aplicativo atual. Para um UDP inteligente,você deve criar uma regra de firewall que permita a resposta da comunicação UDPde entrada.

Uma sessão UDP expira depois de 60 segundos caso o aplicativo feche a porta.

Sobre a ordem do processamento de regrasAs regras de firewall são ordenadas seqüencialmente, da prioridade mais alta paraa mais baixa ou de cima para baixo na lista regras. O firewall inspeciona as regrasnessa ordem. Se a primeira regra não especificar como tratar um pacote, o firewallinspecionará a segunda regra para obter informações sobre como tratar dele. Esseprocesso continua até que o firewall encontre uma correspondência. Depois deencontrar uma correspondência, o firewall executa a ação especificada pela regrae as regras subseqüentes de prioridade mais baixa não são inspecionadas. Porexemplo, se uma regra que bloqueia todo o tráfego é a primeira relacionada, seguidade uma regra que permite todo o tráfego, o cliente bloqueará todo o tráfego.

Você pode ordenar as regras em categorias de prioridades para que o firewallavalie as regras em uma seqüência lógica. Ordene as regras de acordo com suaexclusividade, com as regras mais restritivas avaliadas primeiro e as regras maisgerais avaliadas por último. Por exemplo, se você criar regras que bloqueiam otráfego, deve colocar essas regras perto do topo, pois outras regras poderãopermitir o tráfego.

A Tabela 8-5 exibe a ordem na qual o firewall processa as regras e as configurações.

Tabela 8-5 Ordem em que o firewall processa regras, configurações de firewall,assinaturas IPS e configurações IPS

ConfiguraçãoPrioridade

Assinaturas IPS personalizadasPrimeira

Configurações de prevenção de intrusões, configurações de tráfego econfigurações dissimuladas

Segunda

Filtros inteligentes de tráfegoTerceira

Regras de firewallQuarta

Verificações de portasQuinta

Assinaturas IPS obtidas por download por meio do LiveUpdateSexta


118

Adicionando regrasAo adicionar uma regra de firewall, é necessário decidir que efeito você desejaque a regra tenha. Por exemplo, talvez você deseje permitir todo o tráfego de umafonte específica ou bloquear os pacotes UDP de um Website.

Para adicionar regras


2 Ao lado de Proteção contra ameaças à rede, clique em Opções > configurarregras de firewall.

3 Na caixa de diálogo Configurar regras de firewall, clique em Adicionar.

4 Na guia Geral, digite um nome para a regra e clique em Bloquearessetráfegoou Permitir esse tráfego.

5 Para definir o adaptador de rede para a regra, selecione um adaptador de redena lista suspensa Aplicar essa regra a este adaptador de rede.

6 Para escolher se deseja que o estado de proteção de tela ative a regra, selecioneuma opção na lista suspensa Aplicar essa regra enquantoaproteçãode telaestiver.

7 Para especificar o estado de proteção de tela, selecione uma opção na listasuspensa Aplicar essa regra enquanto a proteção de tela estiver.

8 Para definir os acionadores da regra, selecione uma das seguintes guias:

■ Hosts

■ Portas e protocolos

■ Aplicativos

Para obter mais informações sobre as opções em cada guia, clique em Ajuda.

9 Para configurar o período quando a regra estará ativa ou inativa, clique emAgendamento e configure um agendamento.

10 Quando terminar de fazer as alterações, clique em OK.

11 Na caixa de diálogo Configurar regras de firewall, certifique-se de que a marcade seleção apareça na coluna Nome da regra para ativar a regra.

12 Clique em OK.

Alterando a ordem das regrasO firewall processa a lista de regras de firewall de cima para baixo. Você podedeterminar como o firewall processa essas regras alterando a sua ordem. Aalteração da ordem afeta somente a ordem nos locais selecionados no momento.


Consulte “Sobre a ordem do processamento de regras” na página 118.

Para alterar a ordem das regras


2 Ao lado de Proteção contra ameaças à rede, clique em Opções > Configurarregras de firewall.

3 Na caixa de diálogo Configurar regras de firewall, selecione a regra que desejamover.


■ Para que o firewall processe essa regra antes da regra acima dela, cliquena seta azul para cima.

■ Para que o firewall processe essa regra depois da regra abaixo dela, cliquena seta azul para baixo.

5 Ao terminar de mover as regras, clique em OK.

Ativando e desativando regrasÉ necessário ativar as regras para que elas sejam processadas pelo firewall. Aoadicionar regras, elas são ativadas automaticamente.

É possível desativar uma regra de firewall se for necessário permitir o acessoespecífico a um computador ou programa.

Para ativar e desativar regras



3 Na caixa de diálogo Configurar regras de firewall, selecione ou cancele a regraque você deseja ativar ou desativar na caixa de seleção ao lado da coluna Nomeda regra.

4 Clique em OK.

Exportando e importando regrasÉ possível compartilhas as regras com outro cliente para que não seja necessáriocriá-las novamente. Você pode exportar as regras de outra máquina e importá-laspara seu computador. Ao importar regras, elas são sobrescritas no final da listade regras de firewall. Regras importadas não são sobrescritas a regras existentes,mesmo quando uma regra importada é idêntica à uma regra existente.

As regras exportadas e importadas são salvas em um arquivo .sar.


120

Para exportar regras



3 Na caixa de diálogo Configurar regras de firewall, selecione a regra que desejaexportar.

4 Clique com o botão direito do mouse nas regras e clique em Exportar regrasselecionadas.

5 Na caixa de diálogo Exportar, digite o nome do arquivo e clique em Salvar.

6 Clique em OK.

Para importar regras



3 Na caixa de diálogo Configurar regras de firewall, clique com o botão direitodo mouse na lista de regras de firewall e então clique em Importar regra.

4 Na caixa de diálogo Importar, localize o arquivo .sar que contém os dadosque deseja importar.

5 Clique em Abrir.

6 Clique em OK.

Editando e excluindo regrasÉ possível alterar as regras que não estiverem funcionando satisfatoriamente.

Você pode remover as regras de firewall adicionadas quando elas não forem maisnecessárias.

Para editar regras



3 Na caixa de diálogo Configurar regras de firewall, selecione a regra e cliqueem Editar.

4 Altere as configurações nas guias.

5 Quando terminar de alterar as regras, clique em OK.


Para excluir regras



3 Na caixa de diálogo Configurar regras de firewall, selecione uma ou maisregras e clique em Excluir.

4 Na caixa de mensagem, clique em Sim.

5 Clique em OK.

Ativar as configurações de tráfego e as configurações dissimuladasde navegação na Web

Nas políticas de firewall, você pode ativar várias configurações de tráfego econfigurações dissimuladas de navegação na Web para proteger o cliente contracertos tipos de ataques pela rede.

A Tabela 8-6 define as configurações de tráfego e de modo dissimulado que vocêpode ativar.

Tabela 8-6 Configurações de tráfego e de navegação dissimulada na Web

DescriçãoOpções

Verifica o tráfego vindo da pilha TCP/IP e de outros drivers de protocolo.

A maioria dos ataques em uma rede empresarial ocorrem por meio de conexões de TCP/IPdo Windows. Os outros ataques podem possivelmente ser iniciados por meio de outrosdrivers de protocolo. Todos os drivers de protocolo que acessam uma rede são aplicativosde rede. Assim, o cliente impede que os drivers de protocolo acessem a rede, exceto se umaregra especificamente permita o acesso. Se um driver de protocolo tentar acessar a rede,uma notificação perguntará se você deseja permitir o acesso.

Ativar a proteção emnível de driver

Bloqueia o tráfego NetBIOS de um gateway externo.

É possível usar o arquivo do Ambiente de rede e compartilhamento de impressoras em umarede local e proteger o computador de explorações de NetBIOS provenientes de qualquerrede externa. Essa opção bloqueia os pacotes NetBIOS vindos dos endereços IP que nãofaçam parte dos intervalos internos ICANN definidos. Os intervalos internos ICANN incluem10.x.x.x, 172.16.x.x, 192.168.x.x e 169.254.x.x, com exceção das sub-redes 169.254.0.x e169.254.255.x. Os pacotes NetBIOS incluem UDP 88, UDP 137, UDP 138, TCP 135, TCP 139,TCP 445 e TCP 1026.

Ativar proteção doNetBIOS


122

DescriçãoOpções

Permite que os computadores clientes que se conectam por meio de token ring acessem arede, independente das regras de firewall do cliente.

Se essa configuração for desativada, nenhum tráfego vindo de computadores que se conectampor meio de um adaptador de token ring poderá acessar a rede corporativa. O firewall nãofiltra tráfego de token ring. Ele permite ou bloqueia todo o tráfego de token ring.

Permitir tráfego detoken ring

Bloqueia todo o tráfego de entrada e saída do computador-cliente quando o firewall nãoestiver em execução por qualquer motivo.

O computador não está protegido:

■ Após o computador-cliente ser ligado e antes que o serviço de firewall inicie.

■ Após o serviço de firewall ser interrompido e o computador-cliente for desligado.

Esse intervalo é uma pequena brecha na segurança que pode permitir comunicaçãonão-autorizada. Essa configuração impede que aplicativos não-autorizados se comuniquemcom outros computadores.

Bloquear todo otráfego até que ofirewall inicie e após omesmo serinterrompido

Permite o tráfego inicial, que ativa a conexão da rede. Isso inclui o tráfego inicial DHCP ede NetBIOS que permite que o cliente obtenha um endereço IP.

Permitir tráfego DHCPe NetBIOS inicial

Detecta o tráfego HTTP de um navegador da Web em qualquer porta e remove o nome enúmero de versão do navegador, do sistema operacional e da página Web de referência.Impede que os sites saibam qual sistema operacional e navegador o computador utiliza.Não detecta tráfego HTTPS (SSL).

Ativar a navegação nomodo Dissimulado

Impede que um intruso forje ou falsifique o endereço IP de uma pessoa.

Os hackers usam falsificações de IP para seqüestrar uma sessão de comunicação entre doiscomputadores, como computador A e B. Um hacker pode enviar um pacote de dados quefaz com que o computador A elimine a comunicação. Depois, o hacker pode fingir ser ocomputador A e comunicar-se com e atacar o computador B.

Para proteger o computador, o novo seqüenciamento de TCP escolher aleatoriamente osnúmeros de seqüência TCP.

Ativar novoseqüenciamento deTCP

Impede a detecção do sistema operacional do computador-cliente.

O cliente altera o TTL e o valor de identificação dos pacotes TCP/IP para impedir aidentificação do sistema operacional.

Ativar mascaramentode impressões digitaisdo SO

Permite o tráfego ARP (Address Resolution Protocol) de entrada e saída somente se umasolicitação de ARP tiver sido feita para esse host específico. Bloqueia todo o tráfego ARPadicional inesperado e o registra no registro de segurança.

Ativar spoofinganti-MAC


Para ativar as configurações de tráfego e as configurações dissimuladas denavegação na Web

1 No cliente, na barra lateral, clique em Modificar configurações.

2 Ao lado de Proteção contra ameaças à rede, clique em Definirconfigurações.

3 Na caixa de diálogo Configurações de proteção contra ameaças à rede, cliqueemFirewall.

4 Na guia Firewall, nas caixas de grupo de Configurações de tráfego e do mododissimulado, marque as caixas de seleção para ativar as configurações.

5 Clique em OK.

Ativar a filtragem inteligente de tráfegoVocê pode ativar os filtros inteligentes de tráfego para permitir o tráfego DHCP,DNS e WINS na maior parte das redes. Os filtros inteligentes de tráfego permitemque sejam enviados pedidos enviados e respostas recebidas pelas conexões da redeque foram configuradas para usar DHCP, DNS e WINS, respectivamente.

Os filtros inteligentes de tráfego permitem que um cliente DHCP, DNS e WINSreceba um endereço IP de um servidor enquanto protegem o cliente contra ataquesde uma rede, da seguinte forma:

■ Se o cliente enviar um pedido ao servidor, o cliente aguarda cinco segundospara permitir uma resposta de entrada.

■ Se o cliente não enviar um pedido ao servidor, cada filtro impedirá o pacote.

Os filtros inteligentes dão permissão a um pacote se for feito um pedido. Eles nãobloqueiam os pacotes. São as regras de firewall que dão permissão ou bloqueiamos pacotes.

Para ativar a filtragem inteligente de tráfego




4 Selecione uma ou mais das seguintes caixas de opção:

■ Ativar DHCP inteligente

■ Ativar DNS inteligente

■ Ativar WINS inteligente

5 Clique em OK.


124

Bloqueio do tráfegoVocê pode configurar seu computador para bloquear tráfego de entrada e tráfegode saída nas seguintes situações:

■ Quando a proteção de tela do computador é ativada.Você pode configurar o computador para bloquear todo tráfego de entrada esaída do ambiente de rede quando a proteção de tela for ativada. Assim que aproteção de tela é desligada, o computador retorna ao nível de segurançaatribuído anteriormente.

■ Quando o firewall não executar.O computador não estará protegido depois que o computador-cliente for ligadoe antes do serviço do firewall iniciar ou após o serviço do firewall serinterrompido e o computador ser desligado. Esse intervalo é uma pequenabrecha na segurança que pode permitir comunicação não autorizada.

■ Quando você deseja bloquear todo o tráfego de entrada e saída a qualquer hora.Você pode querer bloquear todo o tráfego quando um vírus especialmentedestrutivo atacar a rede ou sub-rede de sua empresa. Você não bloquearia todoo tráfego sob circunstâncias normais. O administrador pode ter configuradoessa opção para que não esteja disponível.

Para bloquear o tráfego quando a proteção de tela for ativada



3 Na caixa de diálogo Configurações de proteção contra ameaças à rede, cliqueemRede do Microsoft Windows.

4 Na guia Rede do Microsoft Windows, clique em Bloquear o tráfego da rededo Microsoft Windows enquanto a proteção de tela for executada.

5 Clique em OK.

Para bloquear o tráfego quando o firewall não executar




4 Na guia Firewall, clique em Bloquear todo o tráfego até que o firewall iniciee após o mesmo ser interrompido.

5 Como opção, clique em Permitir tráfego DHCP e NetBIOS inicial.

6 Clique em OK.


Para bloquear todo o tráfego da rede a qualquer momento


2 Ao lado de Proteção contra ameaças à rede, clique em Opções > Exibiratividade da rede.

3 Clique em Ferramentas > Bloquear todo o tráfego.

4 Para confirmar, clique em Sim.

5 Para retornar às configurações anteriores de firewall usadas pelo cliente,desmarque Ferramentas > Bloquear todo o tráfego.

Para permitir todo o tráfego, desative a proteção contra ameaças à rede.

Consulte “Ativar e desativar a proteção contra ameaças à rede” na página 46.

Configurar a prevenção de intrusõesVocê pode personalizar as configurações de prevenção de intrusões para alterara proteção padrão.

Você pode ativar:

■ Assinaturas do sistema para prevenção de intrusões que detectam e previnemataques pela rede.

■ Configurações de prevenção de intrusões que previnem verificações de portase ataques de negação de serviço.

■ Resposta ativa, que bloqueia automaticamente os computadores que enviamataques.

Quando você desativa as configurações de prevenção de intrusões no computador,este geralmente passa a ter menos segurança. No entanto, pode ser necessáriodesativar essas configurações para prevenir falso positivo ou para solucionarproblemas nos computadores-cliente.

O cliente registra os ataques e eventos de segurança que o sistema de prevençãode intrusões detecta no registro de segurança. O cliente pode registrar os ataquese os eventos no registro de pacote.

Nota: Seu administrador pode ter configurado essas opções de modo que fiquemindisponíveis.

Para ativar as configurações de prevenção de intrusões



Gerenciamento de proteção contra ameaças na redeConfigurar a prevenção de intrusões

126

3 Na caixa de diálogo Configurações de proteção contra ameaças à rede, cliqueemPrevenção de intrusões.

4 Para ativar uma configuração, selecione qualquer uma das caixas de opção aseguir:

■ Ativar prevenção de intrusões

■ Ativar detecção de negação de serviço

■ Ativar detecção de verificação de portas

Para obter mais informações sobre as configurações, clique em Ajuda

5 Clique em OK.

Configuração das notificações da prevenção de intrusõesÉ possível configurar notificações para que sejam exibidas quando o clientedetectar um ataque à rede em seu computador ou quando o cliente impedir queum aplicativo acesse seu computador. É possível definir a duração da exibiçãodessas notificações e se elas deverão ocorrer com aviso de áudio.

Você deve ativar o sistema de prevenção de intrusões para que as respectivasnotificações sejam exibidas.

Nota: O administrador pode ter configurado essas opções para que estejamdisponíveis.

Para configurar as notificações da prevenção de intrusões



3 Na caixa de diálogo Configurações de proteção contra ameaças à rede, cliqueem Prevenção de intrusões.

4 Selecione Exibir notificações de prevenção de intrusões.

5 Para ouvir um bipe quando a notificação for exibida, selecione Usar som aonotificar os usuários.

6 Digite o tempo durante o qual deseja que as notificações sejam exibidas nocampo Número de segundos para exibir notificações.

7 Clique em OK.

127Gerenciamento de proteção contra ameaças na redeConfigurar a prevenção de intrusões

Bloquear um computador invasorAo detectar um ataque pela rede, o cliente do Symantec Endpoint Protection podebloquear automaticamente a conexão para garantir a segurança docomputador-cliente. O cliente ativa uma resposta ativa, que bloqueiaautomaticamente toda a comunicação recebida e enviada pelo endereço IP docomputador invasor por um período de tempo definido. O endereço IP docomputador invasor é bloqueado para um único local.

As assinaturas IPS atualizadas, assinaturas de negação de serviço atualizadas everificações de porta também acionam uma resposta ativa.

Você pode exibir o endereço IP do computador invasor no registro de segurança.Você também pode desbloquear um ataque encerrando a resposta ativa no registrode segurança.

Para bloquear um computador invasor


2 Ao lado de Proteção contra ameaças na rede, clique em Definirconfigurações.

3 Na caixa de diálogo Configurações de proteção contra ameaças na rede, cliqueem Prevenção de intrusões.

4 Selecione NúmerodesegundosparabloquearautomaticamenteoendereçoIP de um invasor e digite o número de segundos.

Digite um número entre um segundo até 999.999 segundos. O tempo padrãoé de 600 segundos, ou 10 minutos.

5 Clique em OK.

Se não quiser aguardar o período de tempo padrão para desbloquear oendereço IP, você pode desbloqueá-lo imediatamente.

Para desbloquear um computador invasor

1 No cliente, na barra lateral, clique em Exibir registros.

2 Ao lado de Gerenciamento de clientes, clique em Exibir registros> Registrode segurança.

3 No registro de segurança, selecione a linha que contém a Resposta ativa nacoluna Tipo de evento e depois clique em Ação>Interromperrespostaativa.

Para desbloquear o endereço IP bloqueado, clique em Ação > Interrompertodas as respostas ativas. Se você desbloquear uma resposta ativa, a colunaTipo de evento exibirá Resposta ativa cancelada. Se a resposta ativa excedero tempo limite, a coluna Tipo de evento exibirá Resposta ativa desativada.

Gerenciamento de proteção contra ameaças na redeConfigurar a prevenção de intrusões

128

4 Na caixa de mensagem exibida, clique em OK.

5 Clique em Arquivo > Sair.

Definição das configurações específicas dosaplicativos

Você pode definir as configurações para um aplicativo que foi executado desdeque o serviço do cliente iniciou ou que pediu permissão para acessar a rede.

É possível configurar restrições como os endereços IP e as portas que o aplicativopode usar. Você pode exibir e alterar a ação que o cliente realiza para cadaaplicativo que tentar obter acesso por meio da conexão com a rede. Ao definir asconfigurações para um aplicativo específico, crie uma regra de firewall baseadaem aplicativos.

Nota:Se houver conflito entre uma regra de firewall e uma configuração específicado aplicativo, a regra de firewall terá prioridade. Por exemplo, uma regra de firewallque bloqueia todo o tráfego entre 1 e 8 horas da manhã substitui o agendamentopara um aplicativo de vídeo específico.

Os aplicativos exibidos na caixa de diálogo Atividade da rede são aqueles que,juntamente com os serviços, foram executados no cliente desde que o serviçoiniciou.

Consulte “Exibir a atividade da rede” na página 112.

Para definir as configurações específicas dos aplicativos


2 Ao lado de Proteção contra ameaças à rede, clique em Opções > Exibir listade aplicativos.

3 Na caixa de diálogo Exibir lista de aplicativos, selecione o aplicativo que desejadefinir e então clique em Configurar.

4 Na caixa de diálogo Definir configurações dos aplicativos, no campo IPsconfiáveis para o aplicativo, digite um endereço IP ou um intervalo IP.

5 Nas caixas de grupo Portas do servidor remoto ou Portas locais, selecioneuma porta TCP ou UDP.

6 Para especificar a direção do tráfego, clique em um ou em ambos os itens aseguir:

■ Para permitir tráfego de saída, clique em Permitir conexões de saída.

129Gerenciamento de proteção contra ameaças na redeDefinição das configurações específicas dos aplicativos

■ Para permitir tráfego de entrada, clique em Permitirconexõesdeentrada.

7 Para aplicar a regra quando a proteção de tela for executada, clique emPermitir enquanto a proteção de tela estiver ativada.

8 Para definir um agendamento quando as restrições estiverem ou não emvigor, clique em Ativar agendamento.

9 Selecione um dos seguintes itens:

■ Para especificar o período de tempo em que as restrições estão em vigor,clique em Durante o período a seguir.

■ Para especificar o período de tempo em que as restrições não estão emvigor, clique em Excluindo o período a seguir.

10 Defina o agendamento.

11 Clique em OK.

12 Na caixa de diálogo Exibir lista de aplicativos, para alterar a ação, clique como botão direito do mouse no aplicativo e então clique em Permitir, Perguntarou Bloquear.

13 Clique em OK.

Você também pode alterar a ação para o aplicativo na caixa de diálogo Atividadeda rede.

Para alterar a ação de um aplicativo da caixa de diálogo Atividade da rede



3 Na caixa de diálogo Atividade da rede, no campo Aplicativos em execução,clique com o botão direito do mouse no aplicativo ou serviço e então cliqueem Permitir, Perguntar ou Bloquear.

4 Clique em Fechar.

Ao alterar a ação do aplicativo, ele é exibido na lista Aplicativos.

Para interromper um aplicativo ou serviço



3 No campo Aplicativos em execução, clique com o botão direito no aplicativoe depois clique em Encerrar.

4 Clique em OK.

Gerenciamento de proteção contra ameaças na redeDefinição das configurações específicas dos aplicativos

130

Remoção das restrições de um aplicativoÉ possível remover as restrições do aplicativo. Ao remover a restrição, a açãorealizada pelo cliente no aplicativo também é excluída. Quando o aplicativo ou oserviço tentar conectar-se novamente à rede, é possível que seja exiba outra vezuma mensagem perguntando se deseja permitir ou bloquear o aplicativo.

É possível interromper a execução de um aplicativo ou de um serviço até que oaplicativo tente acessar novamente o computador, como ao reiniciar o computador.

Para remover as restrições de um aplicativo


2 Ao lado de Proteção contra ameaças à rede, clique em Opções > Exibir listade aplicativos.

3 Na caixa de diálogo Exibir lista de aplicativos, realize uma das seguintes ações:

■ Para remover um aplicativo da lista, selecione o aplicativo e clique emRemover.

■ Para remover todos os aplicativos da lista, clique em Remover tudo.

4 Clique em OK.

Compartilhamento de arquivos e pastasPara especificar uma placa de interface de rede e definir direitos de navegação narede.

1 No menu Ferramentas, clique em Opções.

2 Clique em Ambiente de rede.

3 Clique na caixa de lista suspensa Interface da rede e selecione a placa de rededo seu ponto final.

131Gerenciamento de proteção contra ameaças na redeCompartilhamento de arquivos e pastas

4 Para ativar o ponto final para navegar e compartilhar os recursos alocadosda rede, clique em uma ou ambas destas caixas de seleção:

Permite acessar outros pontos finais e impressoras narede selecionada. Isso permite acessar outros arquivosna rede. Se essa opção for desativada, você não poderácopiar arquivos de locais da rede.

Permitir navegação dearquivos e impressoras doAmbiente de rede

Permite que outros usuários da rede selecionadanaveguem o seu ponto final.

Permitir que outraspessoas compartilhemmeus arquivos eimpressoras

5 Clique em OK.

Gerenciamento de proteção contra ameaças na redeCompartilhamento de arquivos e pastas

132

Symantec Network AccessControl

■ Noções básicas do Symantec Network Access Control

3Secção

Noções básicas doSymantec Network AccessControl


■ Sobre o Symantec Network Access Control

■ Execução de uma verificação de integridade do host

■ Correção do computador

■ Exibição de registros do Symantec Network Access

■ Sobre a aplicação

■ Configuração do cliente para autenticação 802.1x

Sobre o Symantec Network Access ControlO cliente Symantec Network Access Control avalia se um computador estáadequadamente protegido e em conformidade antes de permitir que ele se conecteà rede corporativa.

O cliente assegura que seu computador esteja em conformidade com uma políticade segurança configurada por seu administrador. A política de segurança verificase o seu computador está executando o software de segurança mais recente, comoaplicativos antivírus e de firewall. Se o computador não estiver executando osoftware necessário, esse software deve ser atualizado, seja por você ou pelocliente. Se seu software de segurança não estiver atualizado, a conexão de seucomputador à rede pode ser bloqueada. O cliente executa verificações periódicas

9Capítulo

para confirmar se o seu computador continua em conformidade com a política desegurança.

Como funciona o Symantec Network Access ControlO cliente do Symantec Network Access Control valida e aplica a conformidade daspolíticas de computadores que tentam conectar-se à rede. Esse processo devalidação e aplicação inicia-se antes do computador conectar-se à rede e continuana conexão. A Política de integridade do host é a política de segurança que funcionacomo base para todas as avaliações e ações.

Esse processo de controle de acesso à rede inclui as seguintes etapas:

■ O cliente avalia continuamente sua conformidade.Você ativa o computador-cliente. O cliente executa uma verificação deintegridade do host que compara a configuração do computador com a Políticade integridade do host que foi obtida por download do servidor degerenciamento. A verificação de integridade do host avalia o computador parachecar a conformidade com a Política de integridade do host de softwareantivírus, patches, hot fixes e outros requisitos de segurança. Por exemplo, apolítica pode verificar a data de atualização das definições antivírus e quaispatches foram aplicados mais recentemente ao sistema operacional.

■ �Um Symantec Enforcer autentica o computador-cliente e permite o acesso docomputador à rede ou bloqueia e coloca em quarentena computadores que nãoestejam em conformidade.Se o computador atender a todos os requisitos da política, a verificação deintegridade do host passará. O Enforcer concede acesso total à rede paracomputadores que passam na verificação de integridade do host.Se o computador não atender a todos os requisitos da política, a verificação deintegridade do host falhará. Quando uma verificação de integridade do hostfalha, o cliente ou um Symantec Enforcer bloqueia ou coloca o computador emquarentena até que ele seja corrigido. Computadores em quarentena têm acessoà rede limitado ou negado.Consulte “Sobre a aplicação” na página 139.O administrador pode configurar a política para que uma verificação deintegridade do host passe mesmo se um requisito específico falhar.O cliente pode exibir uma notificação sempre que a verificação de integridadedo host passar.Consulte “Resposta a notificações de controle de acesso à rede” na página 26.

■ O cliente corrige os computadores que não estejam em conformidade.Se o cliente julgar que um requisito da Política de integridade do host não éatendido, ele instalará ou solicitará a instalação do software necessário. Apóso computador ser corrigido, ele tentará acessar a rede novamente. Se o

Noções básicas do Symantec Network Access ControlSobre o Symantec Network Access Control

136

computador estiver completamente em conformidade, o acesso à rede seráconcedido.Consulte “Correção do computador” na página 138.

■ O cliente monitora de forma proativa a conformidade.O cliente monitora ativamente o estado de conformidade de todos oscomputadores-cliente. Se o status de conformidade do computador for alterado,os privilégios de acesso à rede do computador também serão alterados.

É possível obter mais informações sobre os resultados de verificação de integridadedo host no registro de segurança.

Sobre a atualização da Política de integridade do hostO cliente atualiza a Política de integridade do host em intervalos regulares. Épossível que o administrador solicite a atualização da Política de integridade dohost antes da próxima atualização agendada para fins de teste. Caso contrário,não há a necessidade de atualizar a política.

Consulte “Atualizar a política de segurança” na página 17.

Execução de uma verificação de integridade do hostO administrador configura a freqüência com que o cliente executa uma verificaçãode integridade do host. Talvez seja necessário executar uma verificação deintegridade do host imediatamente ao invés de aguardar a próxima verificação.Por exemplo, uma verificação de integridade do host com falhas pode considerarque você precisa atualizar o aplicativo antivírus no computador. O cliente podepermitir que você opte por fazer o download do software imediatamente ou maistarde. Se o download for feito imediatamente, você precisará executar novamentea verificação de integridade do host para confirmar se possui o software correto.Você pode aguardar até que a próxima verificação de integridade do host agendadaseja executada ou efetuar a verificação imediatamente.

Para executar uma verificação de integridade do host


2 Ao lado da opção de controle de acesso à rede, clique em Opções > Verificaragora.

3 Se for exibida uma mensagem confirmando que a verificação de integridadedo host foi executada, clique em OK.

Se seu acesso à rede foi bloqueado, você deve recuperar o acesso à rede quandoo computador for atualizado a fim de estar em conformidade com a políticade segurança.

137Noções básicas do Symantec Network Access ControlExecução de uma verificação de integridade do host

Correção do computadorSe o cliente julgar que um requisito da Política de integridade do host não éatendido, ele responderá de uma das seguintes maneiras:

■ O cliente faz o download da atualização do software automaticamente.

■ O cliente solicita que você faça o download da atualização de softwarenecessária.

Para corrigir o computador

◆ Na caixa de diálogo do Symantec Endpoint Protection exibida, efetue umadas seguintes ações:

■ Para ver em quais requisitos de segurança o computador falhou, cliqueem Detalhes.

■ Para instalar o software imediatamente, clique em Restaurar agora.É provável que você tenha a opção de cancelar a instalação após seu início.

■ Para adiar a instalação do software, clique em Lembrar mais tarde em eselecione um intervalo de tempo na lista suspensa.O administrador pode configurar o número máximo de vezes que é possíveladiar a instalação.

Exibição de registros do Symantec Network AccessO cliente do Symantec Network Access Control usa os seguintes registros paramonitorar diferentes aspectos da operação:

Registra os resultados e o status das verificações de integridade dohost.

Segurança

Registra todas as alterações operacionais do cliente, como a conexãocom o servidor de gerenciamento e as atualizações da política desegurança do cliente.

Sistema

Se você usar um cliente gerenciado, é possível fazer o upload de ambos os registrosregularmente no servidor. O administrador pode usar o conteúdo dos registrospara analisar o status geral de segurança da rede.

É possível exportar os dados desses registros.

Noções básicas do Symantec Network Access ControlCorreção do computador

138

Para exibir registros do Symantec Network Access Control


2 Para exibir o registro do sistema, ao lado da opção de controle de acesso àrede, clique em Opções > Exibir registros.

3 Para exibir o registro de segurança, na caixa de diálogo Registros dogerenciamento de clientes - Registro do sistema, clique em Exibir>Registrode segurança.

4 Clique em Arquivo > Fechar.

Consulte “Sobre os registros” na página 147.

Sobre a aplicaçãoO cliente interage com um Symantec Enforcer. O Enforcer garante que todos oscomputadores conectados à rede protegidos por ele executem o software clientee tenham uma política correta de segurança.

Um Enforcer deve autenticar o usuário ou o computador-cliente antes de permitirque o computador-cliente acesse a rede. O Symantec Network Access Controlfunciona com diversos tipos de Enforcers para autenticar o computador-cliente.O Symantec Enforcer é um dispositivo de hardware de rede que verifica osresultados de integridade do host e a identidade do computador-cliente antes depermitir o acesso do computador à rede.

O Enforcer verifica as seguintes informações antes de permitir o acesso de umcliente à rede:

■ O cliente do Symantec Network Access Control está em execução.

■ O cliente tem um identificador único (UID).

■ O cliente foi atualizado com as políticas de integridade do host mais recentes.

■ O computador-cliente passou na verificação de integridade do host.

Configuração do cliente para autenticação 802.1xSe sua rede corporativa usar um LAN Enforcer para autenticação, ocomputador-cliente deverá ser configurado para executar a autenticação 802.1x.Você ou o administrador podem configurar o cliente. O administrador pode ounão ter-lhe concedido permissão para configurar a autenticação 802.1x.

O processo de autenticação 802.1x inclui estas etapas:

139Noções básicas do Symantec Network Access ControlSobre a aplicação

■ Um cliente não autenticado ou requerente de terceiros envia as informaçõesdo usuário e de conformidade a um comutador de rede 802.11 gerenciado.

■ O comutador de rede retransmite as informações para o LAN Enforcer. O LANEnforcer envia as informações do usuário para o servidor de autenticação paraque esta ocorra. O servidor RADIUS é o servidor de autenticação.

■ Se o cliente falhar na autenticação em nível de usuário ou não estiver emconformidade com a Política de integridade do host, o Enforcer poderá bloquearo acesso à rede. O Enforcer coloca o computador-cliente que não está emconformidade em uma rede de quarentena, onde ele pode ser reparado.

■ Após o cliente corrigir o computador e deixá-lo em conformidade, o protocolo802.1x autentica novamente o computador e concede ao mesmo acesso à rede.

Para trabalhar com o LAN Enforcer, o cliente pode usar um requerente de terceirosou integrado.

Tabela 9-1 descreve os tipos das opções que podem ser configuradas para aautenticação 802.1x.

Tabela 9-1 Opções da autenticação 802.1x

DescriçãoOpção

Usa um requerente 802.1x de terceiros.

O LAN Enforcer trabalha com um servidor RADIUS erequerentes 802.1x de terceiros para fazer a autenticação dosusuários. O requerente 802.1x solicita as informações dousuário, que o LAN Enforcer transmite para o servidorRADIUS para autenticação em nível do usuário. O clienteenvia o perfil do cliente e o status de integridade do host aoEnforcer para que este autentique o computador.

Nota: Se você quiser usar o cliente Symantec Network AccessControl com um requerente de terceiros, o módulo de proteçãocontra ameaças à rede do cliente Symantec EndpointProtection deverá ser instalado.

Requerente de terceiros

Noções básicas do Symantec Network Access ControlConfiguração do cliente para autenticação 802.1x

140

DescriçãoOpção

Usa o cliente para ser executado como requerente 802.1x.

Use esse método se o administrador não quiser usar umservidor RADIUS para fazer a autenticação do usuário. O LANEnforcer é executado no modo transparente e atua comopseudo-servidor RADIUS.

O modo transparente significa que o requerente não solicitaráinformações do usuário. No modo transparente, o cliente atuacomo requerente 802.1x. O cliente responderá ao estímuloEAP do comutador com o perfil do cliente e o status deintegridade do host. O comutador, por sua vez, encaminharáas informações ao LAN Enforcer, que atuará comopseudo-servidor RADIUS. O LAN Enforcer valida a integridadedo host e as informações do perfil do cliente provenientes docomutador e pode permitir, bloquear ou atribuirdinamicamente uma VLAN, conforme adequado.

Nota: Para usar um cliente como requerente 802.1x, énecessário desinstalar ou desativar requerentes 802.1x deterceiros do computador-cliente.

Modo transparente

Usa o requerente 802.1x integrado do computador-cliente.

Os protocolos de autenticação integrados incluem Smart Card,PEAP ou TLS. Após ativar a autenticação 802.1x, você deveespecificar qual protocolo de autenticação será usado.

Requerente integrado

Aviso: Entre em contato com o administrador antes de configurar o cliente paraautenticação 802.1x. Você deve saber se a rede corporativa utiliza o servidorRADIUS como servidor de autenticação. Se você configurar a autenticação 802.1xincorretamente, poderá interromper a conexão à rede.

Para configurar o cliente para o uso de um requerente de terceiros


2 Ao lado de Controle de acesso à rede, clique em Opções > 802.1x.

3 Clique em Ativar autenticação 802.1x.

4 Clique em OK.

Você também deve configurar uma regra de firewall que permita drivers derequerentes 802.1x de terceiros na rede.

Consulte “Adicionando regras” na página 119.

141Noções básicas do Symantec Network Access ControlConfiguração do cliente para autenticação 802.1x

É possível configurar o cliente para usar o requerente integrado. Ative o clientepara autenticação 802.1x e como requerente 802.1x.

Para configurar o cliente para usar omodo transparente ouumrequerente integrado


2 Ao lado de Controle de acesso à rede, clique em Opções > 802.1x.

3 Clique em Ativar autenticação 802.1x.

4 Clique em Usar o cliente como requerente 802.1x.


■ Para selecionar o modo transparente, selecione UsarModotransparenteSymantec.

■ Para configurar um requerente integrado, clique em Permitir que ousuário selecione o protocolo de autenticação.Em seguida, será necessário escolher o protocolo de autenticação para aconexão de rede.

6 Clique em OK.

Para escolher um protocolo de autenticação

1 No computador-cliente, clique em Iniciar > Configurações > Conexões derede > Conexão local.

2 Na caixa de diálogo Status da conexão local, na guia Geral, clique emPropriedades.

3 Na caixa de diálogo Propriedades da conexão local, clique em Autenticação.

4 Na guia Autenticação, clique na lista suspensa Tipo EAP e selecione um destesprotocolos de autenticação:

■ Cartão inteligente ou outro certificado

■ EAP protegido (PEAP)

■ Modo transparente Symantec

5 Clique em OK.

6 Clique em Fechar.

Reautenticação do computadorSe o computador passou pela verificação de integridade do host, mas a redebloqueia o computador, talvez seja necessário reautenticar o computador. Sobcircunstâncias normais, nunca seria necessário reautenticar o computador.


142

A rede pode bloquear o computador quando ocorrerem um dos seguintes eventos:

■ O computador-cliente falhou na autenticação do usuário porque a senha ou onome do usuário foi digitado incorretamente.

■ O computador-cliente está na VLAN incorreta.

■ O computador-cliente não obtém uma conexão de rede. Uma conexão de redequebrada geralmente ocorre porque a alternância entre o computador-clientee o LAN Enforcer não autenticou o nome de usuário e a senha.

■ É necessário conectar-se a um computador-cliente que tenha autenticado umusuário anterior.

■ O computador-cliente falhou na verificação de conformidade.

É possível reautenticar o computador somente se você ou o administrador oconfigurou com um requerente integrado.

Nota:É possível que o administrador não tenha configurado o cliente para exibiçãodo comando de reautenticação.

Para reautenticar o computador

1 Clique com o botão direito do mouse no ícone da área de notificação.

2 Clique em Nova autenticação.

3 Na caixa de diálogo Autenticar novamente, digite o nome de usuário e a senha.

4 Clique em OK.

143Noções básicas do Symantec Network Access ControlConfiguração do cliente para autenticação 802.1x


144

Monitoração e registro

■ Uso e gerenciamento de registros

4Secção

Uso e gerenciamento deregistros


■ Sobre os registros

■ Exibição de registros e dos detalhes dos registros

■ Gerenciamento do tamanho de registros

■ Colocar em quarentena os riscos e as ameaças do registro de riscos e do registrode ameaças

■ Uso de registros de proteção contra ameaças à rede e de registros degerenciamento de clientes

■ Exportação de dados de registro

Sobre os registrosOs registros contêm uma lista das atividades relacionadas à segurança ocorridasem seu computador, incluindo atividades de vírus e de risco à segurança, alteraçõesde configuração e erros. Eles também incluem informações sobre vírus einformações sobre o arquivo de definições de riscos à segurança, status docomputador e o tráfego que entra ou sai do computador. Esses registros sãodenominados eventos ou entradas. Os registros exibem esses eventos com todasas informações adicionais relevantes. Se você usar um cliente gerenciado, podefazer o upload de seus registros regularmente para o servidor de gerenciamento.Um administrador pode usar esses dados para analisar o status de segurança geralda rede.

10Capítulo

Os registros são um método importante de rastrear as atividades de seucomputador e sua interação com outros computadores e redes. Você pode usar asinformações dos registros para rastrear tendências relacionadas a vírus, riscos àsegurança e ataques ao seu computador. Se o mesmo computador for usado porvárias pessoas, você poderá identificar qual delas introduz os riscos e, assim,ajudá-la a usar precauções mais eficientes. Os registros de proteção da rede podemajudar a detectar atividades que representam ameaças em potencial como, porexemplo, verificação de portas. Além disso, eles podem ser usados para rastreara origem de tráfego. Os registros de proteção da rede também podem ser usadospara ajudar na solução de problemas de conexão ou de possíveis ataques à rede.

Se o Symantec Endpoint Protection estiver instalado, as seguintes visualizaçõesde registro estarão disponíveis:

■ Registro de verificações, da proteção antivírus e anti-spyware

■ Registro de riscos, da proteção antivírus e anti-spyware

■ Registro do sistema, da proteção antivírus e anti-spyware

■ Registro de ameaças, da proteção proativa contra ameaças

■ Registro do sistema, da proteção proativa contra ameaças

■ Registro de proteção contra adulterações, da proteção contra adulterações

■ Registro de tráfego, da proteção contra ameaças à rede

■ Registro de pacotes, da proteção contra ameaças à rede

■ Registro de segurança, do gerenciamento de cliente e da proteção contraameaças à rede

■ Registro de controle, do gerenciamento de cliente

■ Registro do sistema, do gerenciamento de cliente

Se o Symantec Network Access Control estiver instalado, os seguintes registrosestarão disponíveis:

■ Registro de segurança

■ Registro do sistema

Os registros podem informá-lo quando seu computador for bloqueado na rede eajudá-lo a determinar o motivo desse bloqueio.

Para obter mais informações sobre um registro, você pode pressionar F1 paraexibir a ajuda desse registro.

A Tabela 10-1 descreve cada registro e o que você pode fazer com ele.

Uso e gerenciamento de registrosSobre os registros

148

Tabela 10-1 Registros do cliente e suas descrições

DescriçãoRegistro

O registro de verificações contém as entradas sobre as verificações realizadas em seucomputador ao longo do tempo.

Você pode realizar as seguintes tarefas no Registro de verificações:

■ Visualizar uma lista das verificações feitas no seu computador ao longo do tempo. Asverificações são exibidas com informações adicionais relevantes sobre elas.

■ Exportar os dados do registro para um arquivo de texto separado por vírgulas, para quesejam usados em outros aplicativos.

■ Clicar com o botão direito do mouse em uma entrada para exibir suas propriedades.

Registro deverificações

O Registro de riscos contém entradas sobre vírus e riscos à segurança, como adware espyware, que infectaram seu computador. Os riscos à segurança incluem um link para apágina da Web Symantec Security Response, que fornece outras informações.

Você pode realizar as seguintes tarefas no Registro de riscos:

■ Exibir uma lista dos eventos relacionados a vírus e riscos à segurança.


■ Limpar um risco do computador.

■ Excluir permanentemente um risco do computador.

■ Desfazer as alterações realizadas pelo Symantec Endpoint Protection ao excluir umrisco ou corrigir seus efeitos colaterais.

■ Colocar em quarentena os riscos detectados em seu computador.


Registro de riscos

O registro do sistema da proteção antivírus e anti-spyware contém informações sobreatividades do sistema em seu computador, relacionadas aos riscos à segurança. Essasinformações incluem alterações na configuração, erros e informações sobre arquivos dedefinições.

Você pode realizar as seguintes tarefas no Registro da proteção antivírus e anti-spyware:

■ Exibir uma lista dos eventos relacionados ao antivírus e anti-spyware.


■ Filtrar as informações do registro para exibir apenas um ou alguns tipos de eventos.


Registro da proteçãoantivírus eanti-spyware

149Uso e gerenciamento de registrosSobre os registros

DescriçãoRegistro

O Registro de ameaças contém informações sobre as ameaças que a proteção proativa contraameaças detectou em seu computador. Essas ameaças incluem os aplicativos comerciaisque podem ser usados para fins maliciosos. Por exemplo, Cavalos de Tróia, worms ouregistradores de teclas ou ainda worms para e-mail em massa, vírus em macros e ameaçasbaseadas em script.

Você pode realizar as seguintes tarefas no Registro de ameaças:

■ Visualizar a lista dos eventos relacionados à proteção proativa contra ameaças.


■ Encerrar os programas maliciosos ou os processos maliciosos que foram encontradosem seu computador.

■ Restaurar itens em quarentena.

■ Colocar em quarentena as ameaças detectadas em seu computador.


Nota: Os botões de ação ativos dependem das ações que forem adequadas para a entradade registro selecionada.

Registro de ameaças

O registro do sistema da proteção proativa contra ameaças contém informações sobreatividades do sistema em seu computador, relacionadas à proteção proativa contra ameaças.

Você pode realizar as seguintes tarefas no Registro da proteção proativa contra ameaças:

■ Visualizar os eventos do sistema relacionados à proteção proativa contra ameaças.

■ Exportar os dados para um arquivo de texto separado por vírgulas, para que sejamusados em outros aplicativos.

■ Filtrar as informações do registro para exibir apenas um ou alguns tipos de eventos.


Registro da proteçãoproativa contraameaças

O registro da proteção contra adulterações contém entradas sobre as tentativas deadulterações com os aplicativos Symantec em seu computador. Essas entradas contêminformações sobre as tentativas detectadas pela proteção contra adulterações ou sobre astentativas detectadas e prevenidas.

Você pode realizar as seguintes tarefas no registro de proteção contra adulteração:

■ Exibir a lista dos eventos relacionados à proteção contra adulteração.



Registro da proteçãocontra adulterações


150

DescriçãoRegistro

O Registro de tráfego contém informações sobre as conexões que seu computador efetuapor meio da rede.

Você pode realizar as seguintes tarefas no Registro de tráfego:

■ Exibir uma lista dos eventos de tráfego de entrada e de saída sempre que seu computadorfor conectado a uma rede.

■ A partir do menu Arquivo, limpar todas as entradas do registro.

■ A partir do menu Arquivo, exportar os dados do registro para um arquivo de textodelimitado por tabulação, para que sejam usados em outros aplicativos.

■ A partir do menu Arquivo, acessar as configurações de proteção contra ameaças à redee alterar as configurações disponíveis para você.

■ A partir do menu Exibir, alternar entre uma exibição local e uma exibição de origem.

■ A partir do menu Filtro, filtrar as entradas selecionando um intervalo de tempo.

■ A partir do menu Ação, rastrear os pacotes de dados que foram usados em tentativasde ataques para localizar sua origem. Observe que não é possível rastrear todas asentradas.

Nota: Estarão indisponíveis as ações inapropriadas para uma entrada específica ou aquelasque seu administrador não permitir.

Registro de tráfego

O Registro de pacotes contém informações sobre os pacotes de dados que entram ou saempelas portas de seu computador.

Você pode realizar as seguintes tarefas no Registro de pacotes:

■ Exibir uma lista dos eventos de tráfego de entrada e de saída sempre que seu computadorfor conectado a uma rede.


■ A partir do menu Arquivo, exportar os dados para um arquivo de texto delimitado portabulação, em formato de monitor de rede ou em formato Netxray, para serem usadosem outros aplicativos.

■ A partir do menu Arquivo, acessar as configurações de proteção contra ameaças à redee alterar as configurações disponíveis para você.




Registro de pacotes

151Uso e gerenciamento de registrosSobre os registros

DescriçãoRegistro

O Registro de controle contém informações sobre as chaves do Registro, arquivos e DLLsque um aplicativo acessa, bem como os aplicativos executados em seu computador.

Você pode realizar as seguintes tarefas no Registro de controle:

■ Exibir uma lista dos eventos de controle.





Registro de controle

O Registro de segurança contém informações sobre as atividades que foram direcionadasao seu computador e que podem representar uma ameaça em potencial. Exemplos dessasatividades são: ataques de negação de serviço, verificações de portas e alteração de arquivosexecutáveis.

Você pode realizar as seguintes tarefas no Registro de segurança:

■ Exibir eventos relacionados à segurança.




■ A partir do menu Filtro, filtrar as entradas com base em um intervalo de tempo ou combase na gravidade.


■ Interromper o bloqueio, pelo cliente, dos ataques realizados por outros computadores.

Registro de segurança

O Registro do sistema contém informações sobre todas as alterações operacionais ocorridasem seu computador. Exemplos incluem atividades tais como quando um serviço é iniciadoou interrompido, quando o computador detecta aplicativos de rede ou quando um softwareé configurado.

Você pode realizar as seguintes tarefas no registro do sistema:

■ Exibir uma lista dos eventos do sistema sempre que seu computador for conectado auma rede.



■ A partir do menu Filtro, filtrar as entradas com base em um intervalo de tempo ou combase na gravidade.

Registro do sistema


152

Nota:Se você estiver conectado a um cliente gerenciado, algumas opções de algunsregistros estarão indisponíveis. A disponibilidade dessas opções depende daspermissões do administrador. Essa nota aplica-se aos registros da proteção contraameaças à rede, do tráfego de gerenciamento de cliente, de pacotes, de controle,de segurança e do sistema.

As opções inapropriadas para uma entrada específica de qualquer registro podemestar indisponíveis.

Exibição de registros e dos detalhes dos registrosVocê pode exibir os registros em seu computador para verificar os detalhes doseventos ocorridos.

Para exibir um registro


2 Ao lado do tipo de registro que você deseja exibir, clique em Exibir registrose depois no nome do registro.

A partir da exibição de qualquer um dos registros da Proteção contra ameaçasà rede e dos registros do Gerenciamento de clientes, você pode alternar paraa exibição de outros registros. Use o menu Exibir, localizado no topo da caixade diálogo, para acessar os outros registros.

3 Se você abriu a exibição de um dos registros da proteção contra ameaças àrede ou do gerenciamento de cliente, clique em Visualização local ou emVisualização de origem.

As colunas do registro se alteram, dependendo se escolheu visualização localou visualização de origem. A visualização local mostra o conteúdo sob aperspectiva da porta local e da porta remota. Essa perspectiva normalmenteé usada em um firewall baseado em host. A visualização de origem mostra oconteúdo sob a perspectiva da porta de origem e da porta de destino. Essaperspectiva normalmente é usada em um firewall baseado em rede.

Se as entradas dos registros da proteção contra ameaças à rede e do gerenciamentode cliente tiverem mais informações disponíveis, serão exibidas nos seguinteslocais:

■ As informações de descrição serão exibidas no painel inferior esquerdo daexibição do registro.

■ As informações de dados serão exibidas no painel inferior direito da exibiçãodo registro.

153Uso e gerenciamento de registrosExibição de registros e dos detalhes dos registros

Você também pode exibir os detalhes de qualquer entrada dos registros da proteçãoantivírus e anti-spyware, da proteção contra adulterações e da proteção proativacontra ameaças. No Registro de riscos, os detalhes fornecem algumas informaçõesadicionais que não estão disponíveis na janela principal de visualização deregistros.

Para exibir os detalhes da entrada dos registros da proteção antivírus eanti-spyware, da proteção contra adulterações e da proteção proativa contraameaças


2 Ao lado de Proteção antivírus e anti-spyware, Proteção contra adulteraçõesou Proteção proativa contra ameaças, clique em Exibir registros.

3 Clique no nome do registro que você deseja exibir.

4 Clique com o botão direito do mouse em uma entrada da lista e depois selecionePropriedades.

Filtrar as visualizações de registroVocê pode filtrar de diferentes formas a exibição de alguns dos registros. Vocêpode filtrar os eventos dos registros da proteção contra ameaças à rede e dogerenciamento de cliente pelo período de tempo durante o qual ocorreram. Vocêpode filtrar os eventos em alguns dos registros da proteção contra ameaças à redepelo nível de gravidade. Você pode filtrar por tipo os eventos no Registro daproteção antivírus e anti-spyware e no Registro da proteção proativa contraameaças.

Filtrar entradas pelo período de tempoVocê pode filtrar alguns registros pelo período de tempo durante o qual os eventosocorreram.

Para filtrar as entradas de registro por período de tempo


2 À direita de Proteção contra ameaças à rede ou Gerenciamento de clientes,clique em Exibir registros.

3 Clique no nome do registro que você deseja exibir.

4 Na janela de exibição do registro, clique em Filtro e selecione o período detempo para o qual deseja exibir os eventos do registro.

Por exemplo, se você selecionar registros de 2 semanas, o visualizador doregistro mostrará os eventos que foram registrados durante os últimos 14dias.

Uso e gerenciamento de registrosExibição de registros e dos detalhes dos registros

154

Filtrar as entradas por nível de gravidadeVocê pode filtrar por nível de gravidade as informações nas exibições do registrode segurança da proteção contra ameaças na rede, e do registro de segurança edo sistema do gerenciamento de cliente. Por padrão, são exibidos os eventos detodo os níveis de gravidade.

Para filtrar as entradas de registro por nível de gravidade


2 À direita de Proteção contra ameaças à rede ou Gerenciamento de clientes,clique em Exibir registros e depois em Registro de segurança ou Registro dosistema.

3 Na janela visualizar registros, clique em Filtro e depois clique em Gravidade.

4 Selecione um dos seguintes itens para desmarcar:

■ Sério (somente registro de segurança)

■ Importante (somente registro de segurança)

■ Menos importante (somente registro de segurança)

■ Erro (somente registro do sistema)

■ Aviso (somente registro do sistema)

■ Informações

Desmarcar um item elimina da exibição os eventos do nível de gravidadecorrespondente.

5 Você pode clicar em Gravidade e selecionar outro nível para eliminar outrosníveis de gravidade da exibição.

Filtrar os registros do sistema por categoria de eventosNo Registro da proteção antivírus e anti-spyware e no Registro da proteção proativacontra ameaças, os eventos são categorizados da seguinte forma:

■ Alteração de configuração

■ Iniciar/desligar o Symantec AntiVirus

■ Arquivo de definições de vírus

■ Omissões da verificação

■ Encaminhar ao Servidor de quarentena

■ Entregar ao Symantec Security Response

■ Ativação/desativação do Auto-Protect

155Uso e gerenciamento de registrosExibição de registros e dos detalhes dos registros

■ Gerenciamento e deslocamento de cliente

■ Encaminhamento de registro

■ Avisos de comunicação não autorizada (acesso negado)

■ Gerenciamento de logins e certificados

■ Conformidade do cliente

■ Erro ao carregar a verificação proativa de ameaças

■ Erro ao carregar aplicativos comerciais da verificação proativa de ameaças

■ Sistema operacional incompatível com a verificação proativa de ameaças

Você pode reduzir o número de eventos exibidos nos dois registros do sistemaexibindo somente determinados tipos de eventos. Por exemplo, se quiser exibirapenas os eventos relacionados ao Auto-Protect, pode selecionar apenas o tipoAtivação/desativação do Auto-Protect. Se você selecionar um tipo, o registro doseventos de outras categorias não será interrompido. Isso apenas impedirá que asoutras categorias apareçam quando você exibir o registro do sistema.

Nota:Nessa exibição, apenas os eventos relevantes estarão disponíveis para seremexcluídos.

Para filtrar os registros do sistema por categoria de eventos


2 Ao lado de Proteção antivírus e anti-spyware ou de Proteção proativa contraameaças, clique em Exibir registros.

3 Clique em Registro do sistema.

4 Clique em Filtrar.

5 Marque ou desmarque uma ou mais categorias de eventos.

6 Clique em OK.

Gerenciamento do tamanho de registrosÉ possível configurar o período de tempo das entradas nos registros. A exclusãode entradas mais antigas ajuda a evitar que os registros usem muito espaço emdisco. Para registros de Proteção contra ameaças à rede e de gerenciamento declientes, também é possível definir a quantidade de espaço usada.

Uso e gerenciamento de registrosGerenciamento do tamanho de registros

156

Configurando o tempo de retenção para entradas de registro daproteção antivírus e anti-spyware e da proteção proativa contraameaças

Para definir por quanto tempo as entradas de registro serão retidas

1 No cliente, na página Status, ao lado de Proteção antivírus e anti-spyware,clique em Opções e depois em Alterar configurações.

2 Na guia Geral, defina o valor numérico e a unidade de tempo para retençãode entradas nesses registros. As entradas mais antigas que o valor definidosão excluídas.

3 Clique em OK.

Configuração do tamanho dos registros de proteção contra ameaçasà rede e dos registros de gerenciamento de clientes

Você pode definir o tamanho do registro para cada registro de proteção contraameaças à rede e registro de gerenciamento de clientes.

Para alterar o tamanho dos registros

1 No cliente, na página Status, à direita de Proteção contra ameaças à rede,clique em Opções e depois em Alterar configurações.

2 Na caixa de diálogo Configurações de proteção contra ameaças à rede, na guiaRegistros, no campo de texto Tamanho máximo do arquivo de registro, digiteo número máximo de kilobytes que deseja que o tamanho do arquivo deregistro tenha.

Você deve manter o tamanho do arquivo de registro pequeno devido ao espaçodisponível no computador. O tamanho padrão para todos os registros é 512KB, com exceção do registro de controle e do registro de pacotes. O tamanhopadrão do registro de controle e do registro de pacotes é 1.024 KB.

3 Clique em OK.

Configuração do tempo de retenção para as entradas do registro deproteção de ameaças à rede e as entradas do registro de gerenciamentode clientes

Você pode especificar por quantos dias as entradas são salvas em cada registro.Após atingir o número máximo de dias, as entradas mais antigas são substituídas.Convém excluir entradas para economizar espaço ou reter entradas para examinara segurança do computador.

157Uso e gerenciamento de registrosGerenciamento do tamanho de registros

Para definir por quantos dias as entradas de registro serão retidas

1 No cliente, na página Status, à direita de Proteção contra ameaças à rede ouGerenciamento de clientes, clique em Opções e depois em Alterarconfigurações.

2 Na caixa de diálogo Configurações de proteção contra ameaças à rede, na guiaRegistros, no campo de texto Salvar todas as entradas de registro de, digiteo número máximo de dias para salvar as entradas do registro.

3 Clique em OK.

Sobre a exclusão do conteúdo do registro do sistema antivírus eanti-spyware

Não é possível remover permanentemente os registros de eventos do registro dosistema usando a interface do usuário.

Exclusão dos conteúdos dos registros de proteção contra ameaças àrede e registros de gerenciamento de cliente

Se o administrador permitir, você pode limpar os conteúdos do registro de proteçãocontra ameaças de rede e os registros de gerenciamento de cliente. Depois delimpar o registro, cada um começa imediatamente e salva as entradas novamente.

Nota: Se a opção "Limpar" não estiver disponível, você não terá permissão paraexcluir os conteúdos de registros.

Se você tiver permissão, também pode limpar o conteúdo de um registro a partirdo menu Arquivo do próprio registro.

Para excluir os conteúdos de um registro

1 Em cliente, na página Status, à direita de Proteção contra ameaças à rede,clique em Opções e depois em Alterar configurações.

2 Na caixa de diálogo Configurar proteção contra ameaças à rede, na guiaRegistros, ao lado do registro desejado, clique em Limpar registro.

3 Quando for solicitado que você confirme, clique em Sim.

4 Clique em OK.

Uso e gerenciamento de registrosGerenciamento do tamanho de registros

158

Colocar em quarentena os riscos e as ameaças doregistro de riscos e do registro de ameaças

Você pode colocar em quarentena as ameaças registradas no registro do históricoda proteção proativa contra ameaças. Você pode colocar em quarentena os riscosde qualquer registro de riscos antivírus e anti-spyware. Você também pode limpare excluir os riscos do registro de riscos antivírus e anti-spyware.

Para colocar em quarentena um risco ou ameaça


2 Ao lado de Proteção antivírus e anti-spyware ou de Proteção proativa contraameaças, clique em Exibir registros e depois no nome do registro que vocêdeseja.

3 Selecione um risco ou ameaça e clique em Quarentena.

Com base na ação predefinida para uma detecção de risco, o SymantecEndpoint Protection pode ou não ser capaz de realizar a ação selecionada. Seo risco ou a ameaça forem colocados em quarentena com sucesso, vocêreceberá uma mensagem. Nenhuma outra ação é necessária para manter seucomputador livre desse risco ou ameaça. Você pode deixar os arquivos emquarentena devido a riscos ou pode excluí-los. Deixe-os em quarentena atéter certeza de que os aplicativos no seu computador não tenham perdidonenhuma funcionalidade.

Consulte “Sobre os arquivos infectados na quarentena” na página 87.

Se o Symantec Endpoint Protection não puder colocar o risco ou a ameaçaem quarentena, será exibida uma mensagem de erro. Nesses casos, entre emcontato com o administrador.

Você também pode limpar e excluir os riscos e ameaças, assim como desfazerações desses registros, quando aplicável.

Consulte “Tratamento dos arquivos infectados” na página 20.

Uso de registros de proteção contra ameaças à redee de registros de gerenciamento de clientes

Os registros de proteção contra ameaças à rede e os registros de gerenciamentode clientes permitem rastrear a atividade do computador e sua interação comoutros computadores e redes. Esses registros gravam as informações sobre otráfego que tenta entrar ou sair do computador por meio da conexão com a rede.

159Uso e gerenciamento de registrosColocar em quarentena os riscos e as ameaças do registro de riscos e do registro de ameaças

Eles também gravam as informações sobre os resultados da política de firewallaplicada ao cliente.

Gerencie os registros de proteção contra ameaças à rede e os registros degerenciamento de clientes de um local central. Os registros de segurança, tráfegoe pacotes permitem rastrear alguns dados a partir da origem. O rastreamento éfeito por ICMP para determinar todos os passos entre o computador e um invasorem outro computador.

Nota: Algumas opções para esses registros poderão não estar disponíveis,dependendo do tipo de controle que o administrador definiu para o cliente.

Atualizar os registros da proteção contra ameaças à rede e dogerenciamento de cliente

Para atualizar um registro


2 À direita da proteção contra ameaças à rede ou do gerenciamento de cliente,clique em Exibir registros e depois no nome do registro que você deseja.

3 No menu Exibir, clique emAtualizar.

Ativação do registro de pacotesTodos os registros da proteção contra ameaças à rede e do gerenciamento declientes são ativados por padrão, exceto o registro de pacotes. Se o administradorpermitir, você pode ativar e desativar o registro de pacotes.

Para ativar o registro de pacotes

1 Em cliente, na página Status, à direita de Proteção contra ameaças à rede,clique em Opções e depois em Alterar configurações.

2 Na caixa de diálogo Configurações de proteção contra ameaças à rede, cliqueemRegistros.

3 Marque Ativar registro de pacotes.

4 Clique em OK.

Interrupção de uma resposta ativaQualquer intrusão detectada no cliente aciona uma resposta ativa. Essa respostaativa bloqueia automaticamente o endereço IP de um invasor conhecido por um

Uso e gerenciamento de registrosUso de registros de proteção contra ameaças à rede e de registros de gerenciamento de clientes

160

período de tempo especificado. Se o administrador permitir, você poderáinterromper a resposta ativa imediatamente no registro de segurança.

Consulte “Bloquear um computador invasor” na página 128.

Rastrear eventos até suas origensÉ possível rastrear eventos para localizar a origem dos dados de um eventoregistrado. Como um detetive que rastreia o caminho de um criminoso na cenado crime, o back trace mostra os passos ou saltos exatos do tráfego de entrada.Um salto é um ponto de transição, como um roteador, pelo qual um pacote passaenquanto vai de um computador a outro na Internet. O back trace segue um pacotede dados no sentido inverso, descobrindo por quais roteadores os dados passarampara alcançar seu computador.

A Figura 10-1 exibe como o cliente localiza a origem dos dados de um eventoregistrado.

Figura 10-1 Rastreamento de um pacote

Seu computador Computador do hacker

Roteadores na rede pública

Dados

Hop 1 Hop 2 Hop 3 Hop 4 Hop 5 Hop 6

Em algumas entradas do registro, é possível rastrear um pacote de dados quetenha sido usado em uma tentativa de ataque. Cada roteador pelo qual um pacotede dados passa tem um endereço IP. É possível visualizar o endereço IP e outros

161Uso e gerenciamento de registrosUso de registros de proteção contra ameaças à rede e de registros de gerenciamento de clientes

detalhes. As informações exibidas não asseguram que você descobriu quem ohacker é na verdade. O endereço IP do salto final lista o proprietário do roteadorpelo qual os hackers se conectaram, não necessariamente os próprios hackers.

É possível rastrear alguns eventos registrados nos Registros de segurança e detráfego.

Para rastrear um evento registrado


2 À direita de Proteção contra ameaças à rede ou Gerenciamento de clientes,clique em Exibir registros. Em seguida, clique no registro que contém aentrada que você deseja rastrear.

3 Na janela de visualização de registros, selecione a linha da entrada que desejarastrear.

4 Clique em Ação e em BackTrace.

5 Na caixa de diálogo Informações do Back Trace, clique em Quem é >> paraexibir informações detalhadas sobre cada salto.

Um painel suspenso exibe informações detalhadas sobre o proprietário doendereço IP do qual o evento de tráfego foi iniciado. Você pode usar Ctrl-C eCtrl-V para recortar e colar as informações do painel em uma mensagem dee-mail para o administrador.

6 Clique em Quem é << novamente para ocultar as informações.

7 Após concluir, clique em OK.

Usando os registros de gerenciamento de cliente com o SymantecNetwork Access Control

Se você tiver o Symantec Network Access Control instalado, poderá realizar asseguintes tarefas no menu Ação no registro de segurança e no registro do sistema:

■ Atualizar uma políticaConsulte “Atualizar a política de segurança” na página 17.

■ Verificar integridade do hostConsulte “Execução de uma verificação de integridade do host” na página 137.

Exportação de dados de registroVocê pode exportar as informações de alguns registros em um arquivo com valorseparado por vírgulas (.cvs) ou no formato Access Database (*.mdb). O formatocsv é um formato comum de arquivo que a maioria dos programas de planilhas e

Uso e gerenciamento de registrosExportação de dados de registro

162

banco de dados usam para importar dados. Depois de importar os dados para outroprograma, você pode usar os dados para criar apresentações, gráficos ou paracombinar com outras informações. Você pode exportar as informações dos registrosde proteção contra ameaças à rede e de gerenciamento de cliente para arquivosde texto delimitados por tabulação.

Você pode exportar os seguintes registros para um arquivo de extensão .csv ou.mdb:

■ Registro do sistema antivírus e anti-spyware

■ Registro de riscos do antivírus e anti-spyware

■ Registro de verificações do antivírus e anti-spyware

■ Registro do sistema de proteção proativa contra ameaças

■ Registro de ameaças da proteção proativa contra ameaças

■ Registro da proteção contra adulterações

Nota: Se você filtrar os dados do registro por qualquer um dos métodos e depoisexportá-los, exportará somente os dados filtrados no momento. Essa restriçãonão vale para os registros que você exportar para um arquivo de texto delimitadopor tabulação. Todos os dados desses registros são exportados.

Consulte “Filtrar as visualizações de registro” na página 154.

Você pode exportar os seguintes registros para um arquivo .txt delimitado portabulação:

■ Registro de controle de gerenciamento de cliente

■ Registro de pacotes de proteção contra ameaças à rede

■ Registro de segurança de gerenciamento de cliente

■ Registro do sistema de gerenciamento de cliente

■ Registro de tráfego de proteção contra ameaças à rede

Nota: Além do arquivo de texto delimitado por tabulação, você também podeexportar os dados a partir do registro de pacotes para formato de monitor de redeou NetXray.

163Uso e gerenciamento de registrosExportação de dados de registro

Para exportar dados para um arquivo .csv


2 Ao lado de Proteção antivírus e anti-spyware, Proteção proativa contraameaças ou Proteção contra adulterações, clique em Exibir registros.

3 Clique no nome do registro que você deseja.

4 Na janela de registros, certifique-se de que os dados que você deseja salvarsejam exibidos.

Clique em Exportar.

5 Na caixa de diálogo Salvar como, digite um nome para o arquivo.

6 Procure o diretório onde você deseja que o arquivo seja salvo.

7 Clique em Salvar.

Para exportar os dados do registro da proteção contra ameaças à rede ou os dadosde registro do gerenciamento de clientes para um arquivo de texto


2 À direita de Proteção contra ameaças à rede ou Gerenciamento de clientes,clique em Exibir registros.

3 Clique no nome do registro para onde você deseja exportar os dados.

4 Clique em Arquivo e depois em Exportar.

Se você selecionou o registro de pacotes, pode clicar em Exportar para oformato de monitor da rede ou Exportar para o formato Netxray.

5 Na caixa de diálogo Salvar como, digite um nome para o arquivo.

6 Procure o diretório onde você deseja que o arquivo seja salvo.

Clique em Salvar.

Uso e gerenciamento de registrosExportação de dados de registro

164

Aações

atribuição de ações secundárias para vírus 80dicas para atribuir segundas ações para riscos à

segurança 81adaptadores

definido 116adware 40ajuda on-line

acessar 17ambientes gerenciados

sobre 12ambientes não gerenciados

sobre 12ameaças

combinadas 40ameaças combinadas 40aplicação

sobre 139aplicativos

definido 116permissão ou bloqueio 129

arquivo de definições 14, 66arquivo infectado

ação no 20arquivos

backup de 91envio ao Symantec Security Response 92exclusão das verificações 85liberando arquivos da quarentena 90localizando os reparados 90repetição automática da verificação dos arquivos

na quarentena 90repetição manual da verificação dos arquivos na

quarentena 90verificação 52

assinaturas 14Assinaturas IPS

sobre 110ataques

assinaturas 110

bloqueio 107rede 110

atividade da redeexibição 112

Autenticação 802.1xconfiguração 141sobre 139

autenticação 802.1xreautenticar 12

Auto-Protectativar e desativar para e-mail 45ativar ou desativar para o sistema de arquivo 45cache da rede 63clientes de e-mail de groupware 57conexões de e-mail criptografadas 58confiança em versões remotas 62de e-mail da Internet 57desativando a verificação de riscos à

segurança 61desativando temporariamente 44determinação dos tipos de arquivo 60do Lotus Notes 57dos clientes Microsoft Exchange 57exibição da lista de riscos 59exibindo estatísticas de verificação 59opções de verificação da rede 62riscos à segurança 56status 44utilizar 56verificação por extensão 53

Bbloquear de um computador invasor 128bloquear o tráfego 119, 125, 129bots 40bots da Internet 40

Ccache da rede

Configurações do Auto-Protect 63Cavalos de Tróia 40

Índice

Central de Segurança do Windowsconsultar o status do antivírus em 47consultar o status do firewall em 48

classificações dos impactos de riscos 81cliente

abrir 12desativar 12interagindo com 19sobre 11

clientes gerenciadosatualizar 16comparados a clientes independentes 35

clientes independentescomparados a clientes gerenciados 35

clientes não gerenciadosatualizar 16

comandosícone da área de notificação 12

como testar o computador 29computadores de 64 bits 67Conexões UDP

sobre 117configurações

firewall 113prevenção de intrusões 126

controle de acesso à redeaplicação 139correção do computador 138notificações 26sobre 135–136

Ddefinido

verificações 110desbloquear um computador invasor 128DHCP inteligente 124discadores 40

Ee-mail

conexões criptografadas 58exclusão do arquivo da Caixa de entrada das

verificações 52liberando anexos da quarentena 90

exceções centralizadasexclusão de itens das verificações 54para detecções de verificação proativa de

ameaças 105

para verificações antivírus e anti-spyware 85exclusões

criação para as verificações 54extensões

exclusão das verificações 85incluir nas verificações 53

Fferramentas para hackers 40Filtragem inteligente de tráfego

definido 124firewall

configurações 113, 122sobre 108

GGuia Ambiente de rede 131

Hhost

definido 116

Iícone da área de notificação

ocultar e exibir 13sobre 12

infecções por vírus de macroevitar 55

inspeção inteligentecriação de regras para tráfego 117sobre 117

LLiveUpdate

como ele funciona 16locais

alteração 30sobre 29

Mmascaramento da impressão digital do SO

ativar 122mensagens

prevenção de intrusões 127resposta a 22

Índice166

Nnavegar na Web no modo dissimulado

ativar 122NDS inteligente 124notificações

controle de acesso à rede 26interação do usuário com 75prevenção de intrusões 127resposta a 22sobre 19

novo seqüenciamento de TCPativar 122

Oopções

não disponível 36Outras categorias de risco 41

PPasta Itens de backup

limpeza 91pastas

exclusão das verificações 85permitir o tráfego 119, 129políticas

atualizar 12, 17sobre 16

portassobre 107

prevenção de intrusõesativação 126configuração 126notificações de 127resposta a 25sobre 110

programas de acesso remoto 41programas de brincadeiras 41proteção

ativar e desativar tipos de 43atualizar 14, 16tipos 11

Proteção contra adulteraçãoativação e desativação 32configuração 32sobre 31

Proteção contra ameaças à redeativar e desativar 46sobre 37, 107

proteção de dia zero 95proteção de nível de driver

ativar 122proteção do NetBIOS

ativar 122Proteção proativa contra ameaças

ativação ou desativação 46sobre 37, 95

proteção proativa contra ameaçasgerenciando 100

Proteções antivírus e anti-spywareativar e desativar 44sobre 36, 52status 44

protocolodefinido 116

QQuarentena 87

envio de arquivos ao Symantec SecurityResponse 92

exclusão de arquivos 89, 91exclusão manual de arquivos 91exibição de detalhes de arquivos 89gerenciamento 89liberando arquivos 90movendo arquivos para 88remoção de arquivos de backup 91repetição automática da verificação de

arquivos 90repetindo manualmente a verificação dos

arquivos 90tratamento de arquivos infectados 88tratamento de arquivos infectados por riscos à

segurança 89visualizando arquivos infectados 88

Rreautenticação 142Registro da proteção antivírus e anti-spyware 149Registro da proteção contra adulterações 150Registro de ameaças 150Registro de controle 152Registro de pacotes 151

ativação 160Registro de riscos 149Registro de segurança 152Registro de tráfego 151

167Índice

Registro de verificações 149Registro do sistema 152

excluir entradas 158Registro do sistema de proteção proativa contra

ameaças 150registros

ativação do registro de pacotes 160atualizar 160colocar em quarentena os riscos e ameaças

de 159configuração do tamanho de 157configurando por quanto tempo as entradas

serão retidas 157controle de acesso à rede 138descrição 148exclusão 158exibição 153exibição das propriedades da entrada 154exportação de dados 163exportação de entradas de registros

filtrados 163filtrar 154filtrar por categoria de evento 156filtrar por nível de gravidade 155filtrar por período de tempo 154formatos de exportação 163Gerenciamento de clientes 159limitando o tamanho de 156Proteção contra ameaças à rede 159Rastrear entradas 161sobre 147Symantec Endpoint Protection 148Symantec Network Access Control 148

regras de firewallagendamento 115alterando a ordem de 120ativação e desativação 120criar 119edição 121exclusão 122exportação 121importação 121ordem processada 118registro 115sobre 114

resposta ativasobre 128

riscos à segurança 39como o cliente detecta 64

configuração de notificações para 82configurando ações para 77correção, opções 83detecção, opções 83dicas para atribuir segundas ações 81exclusão das verificações 85o processo continua a fazer download 57o que fazer após uma detecção 55

riscos de segurançacomo o cliente responde 42

rootkits 39

SServiços do Windows

mostrar 113spoofing anti-Mac

ativar 122spyware 41Symantec Security Response

acessar 18envio de arquivos 92sobre 15website 17–18

Ttaxas de detecção

envio de informações à Symantec 76tipos de verificação

manual 66Trackware 41tráfego

bloquear 125exibição 112permissão ou bloqueio 129

tráfego de broadcastmostrar 113

tráfego de redes em anelativar 122

Vverificação da rede

Configurações do Auto-Protect 62verificação de e-mail. Consulte Auto-ProtectVerificação de integridade do host

execução 137verificação de riscos à segurança

desativação no Auto-Protect 61

Índice168

verificação proativa de ameaçasações 102aplicativos comerciais 103detecções 98envio de informações sobre 104exceções centralizadas para 105freqüência 99nível de sensibilidade 102notificações de 103positivos falsos 98sobre 96tipos de processos a serem detectados 101

verificações. Consulte antivírus e anti-spywareadiar 48agendados 67arquivos 52arquivos compactados 66exceções centralizadas para 85excluindo arquivos de 54interpretação dos resultados 74opções de adiamento 50pausar 48todos os tipos de arquivos 54verificação de arquivos por extensão 53

verificações agendadascriar 67editando e excluindo 73várias 70verificação por extensão 53

verificações de inicializaçãocriar 70editando e excluindo 73verificação por extensão 53

verificações de portaporta 110

verificações definidas pelo usuárioeditando e excluindo 73

verificações manuais. Consulte verificações sobdemanda

verificações sob demandacriar 70iniciando 66verificação por extensão 53

vírus 39–40arquivo danificado por 22atribuição de ações secundárias 80como o cliente detecta 64como o cliente responde 42configuração de notificações para 82

configurando ações para 77correção, opções 83detecção, opções 83não reconhecidos 92o que fazer após uma detecção 55

WWINS inteligente 124worms 40

169Índice

symantec endpoint

Documents