Symantec Endpoint

Guia do Cliente do
Symantec™ Endpoint
Protection e do Symantec
Network Access Control
Guia do Cliente do Symantec Endpoint Protection e do
Symantec Network Access Control
O software descrito neste guia é fornecido sob contrato de licença e deve ser usado somente
de acordo com os termos deste contrato.
Versão do documento 11.00.00.00.00
Aviso legal
Copyright © 2007 Symantec Corporation. Todos os direitos reservados. Symantec, o logotipo
Symantec, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence Online, Digital
Immune System e Norton são marcas comerciais ou marcas registradas da Symantec
Corporation ou de suas afiliadas nos Estados Unidos e em outros países. Outros nomes
podem ser marcas comerciais de seus respectivos proprietários.
O produto descrito neste documento é distribuído sob licenças que restringem o uso, a cópia,
a distribuição e a descompilação/engenharia reversa. Não está permitida de forma alguma
a reprodução de nenhuma seção deste documento sem a autorização prévia escrita da
Symantec Corporation e dos concessores de licenças, se houver algum.
A DOCUMENTAÇÃO É FORNECIDA "NO ESTADO EM QUE SE ENCONTRA" E TODAS AS

CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPRESSAS OU IMPLÍCITAS, INCLUINDO
QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM
PROPÓSITO EM PARTICULAR OU SEM VIOLAÇÃO, SÃO ISENTAS, EXCETO SE AS ISENÇÕES
DE RESPONSABILIDADE FOREM CONSIDERADAS INVÁLIDAS JURIDICAMENTE. A
SYMANTEC CORPORATION SE ISENTA DE RESPONSABILIDADE POR DANOS INCIDENTAIS
OU CONSEQÜENTES RELATIVOS AO FORNECIMENTO, EXECUÇÃO OU USO DESTA
DOCUMENTAÇÃO. AS INFORMAÇÕES DESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A
ALTERAÇÃO SEM AVISO PRÉVIO.
O Software licenciado e a documentação são considerados software comercial para

computadores, conforme definido na seção FAR 12.212 e sujeito a direitos restritos, conforme
definido na seção FAR artigo 52.227-19 "Software comercial para computadores - Direitos
restritos" e DFARS 227.7202, "Direitos em Software comercial para computadores ou
documentação de software comercial para computadores", conforme aplicável, e todas as
regulamentações posteriores. Qualquer uso, modificação, reprodução, apresentação, exibição
ou divulgação do Software licenciado e da documentação pelo governo dos EUA deve ser
feito exclusivamente de acordo com os termos deste Contrato.
Symantec Corporation
20330 Stevens Creek Blvd.
Cupertino, CA 95014
http://www.symantec.com.br
Sumário
Secção 1 Introdução
Capítulo 1 Introdução ao cliente da Symantec
Sobre o cliente ............................................................................. 11
Sobre clientes gerenciados e não gerenciados .............................. 12
Sobre o ícone da área de notificação ........................................... 12
O que mantém a proteção de seu computador atualizada ..................... 14
Sobre a função do Symantec Security Response ........................... 15
Como a proteção é atualizada em clientes gerenciados .................. 16
Como a proteção é atualizada em clientes não gerenciados ............. 16
Sobre as políticas de segurança ....................................................... 16
Atualizar a política de segurança .............................................. 17
Onde obter mais informações ......................................................... 17
Acessar a Ajuda on-line ........................................................... 17
Acessando o Website do Symantec Security Response ................... 18
Capítulo 2 Resposta ao cliente

Sobre a interação do cliente ........................................................... 19
Tratamento dos arquivos infectados ................................................ 20
Sobre os danos causados por vírus ............................................. 22
Sobre as notificações e os alertas .................................................... 22
Resposta a notificações relacionadas a aplicativos ........................ 22
Resposta a alertas de segurança ................................................ 25
Resposta a notificações de controle de acesso à rede ..................... 26
Capítulo 3 Gerenciamento do cliente

Sobre o LiveUpdate ...................................................................... 27
Executando o LiveUpdate em intervalos agendados ............................ 28
Execução manual do LiveUpdate ..................................................... 28
Como testar a segurança do computador .......................................... 29
Sobre os locais ............................................................................. 29
Alteração de locais ....................................................................... 30
Sobre a proteção contra adulteração ................................................ 31
4 Sumário
Ativação, desativação e configuração da proteção contra

adulteração ........................................................................... 31
Secção 2 Symantec Endpoint Protection

Capítulo 4 Introdução ao Symantec Endpoint Protection
Sobre o Symantec Endpoint Protection ............................................ 35
Como o Symantec Endpoint Protection protege seu computador ........... 36
Sobre as proteções antivírus e anti-spyware ................................ 36
Sobre a proteção contra ameaças à rede ..................................... 37
Sobre a proteção proativa contra ameaças .................................. 37
Capítulo 5 Noções básicas do cliente do Symantec Endpoint

Protection
Sobre vírus e riscos à segurança ...................................................... 39
Como o cliente responde a vírus e riscos de segurança ......................... 42
Ativar e desativar os componentes de proteção .................................. 43
Ativar e desativar as proteções antivírus e anti-spyware ................ 44
Ativar e desativar a proteção contra ameaças à rede ..................... 46
Ativar ou desativar a Proteção proativa contra ameaças ................ 46
Usar o computador-cliente com a Central de Segurança do
Windows .............................................................................. 47
Pausar e adiar verificações ............................................................. 48
Capítulo 6 Gerenciamento de proteções antivírus e anti-spyware

Sobre as proteções antivírus e anti-spyware ...................................... 52
Sobre a verificação de arquivos ................................................. 52
Quando o cliente do Symantec Endpoint Protection detectar um
vírus ou risco à segurança .................................................. 55
Sobre o Auto-Protect .................................................................... 56
Sobre o Auto-Protect e os riscos à segurança ............................... 56
Sobre o Auto-Protect e a verificação de e-mail ............................. 57
Desativar o controle de conexões de e-mail criptografadas feito
pelo Auto-Protect ............................................................. 58
Exibição das estatísticas de verificação do Auto-Protect ................ 59
Exibição da lista de riscos ........................................................ 59
Configuração do Auto-Protect para tipos de arquivos
determinados .................................................................. 60
Ativação e desativação da verificação e o bloqueio de riscos à
segurança no Auto-Protect ................................................ 61
Configuração das opções de verificação da rede ........................... 61
Sumário 5
Trabalhar com verificações antivírus e anti-spyware .......................... 63

Como o cliente do Symantec Endpoint Protection detecta vírus
e riscos à segurança .......................................................... 64
Sobre as definições de vírus ..................................................... 66
Sobre a verificação de arquivos compactados .............................. 66
Início das verificações sob demanda .......................................... 66
Configuração da verificação antivírus e anti-spyware ......................... 67
Criação de verificações agendadas ............................................. 67
Criação de verificações sob demanda e de inicialização .................. 70
Edição e exclusão de verificações de inicialização, definidas pelo
usuário e agendadas ......................................................... 73
Interpretação dos resultados das verificações .................................... 74
Sobre a interação com os resultados da verificação ou do
Auto-Protect ................................................................... 75
Envio de informações sobre verificações antivírus e anti-spyware ao
Symantec Security Response .................................................... 76
Configuração de ações para vírus e riscos à segurança ......................... 77
Dicas para atribuir segundas ações para vírus ............................. 80
Dicas para atribuir segundas ações para riscos à segurança ............ 81
Sobre a classificação do impacto de riscos ................................... 81
Configuração de notificações para vírus e riscos à segurança ................ 82
Configuração de exceções centralizadas para verificações antivírus
e anti-spyware ....................................................................... 85
Sobre a quarentena ...................................................................... 87
Sobre os arquivos infectados na quarentena ................................ 87
Sobre o tratamento de arquivos infectados na quarentena ............. 88
Sobre o tratamento de arquivos infectados por riscos à
segurança ....................................................................... 89
Gerenciamento da quarentena ........................................................ 89
Exibição de arquivos e detalhes de arquivos na quarentena ............ 89
Repetição da verificação de vírus dos arquivos na
quarentena ..................................................................... 90
Quando não for possível retornar um arquivo reparado ao local
de origem ....................................................................... 90
Limpeza de itens de backup ...................................................... 91
Exclusão de arquivos da quarentena .......................................... 91
Exclusão automática de arquivos em quarentena ......................... 91
Envio de um arquivo supostamente infectado ao Symantec
Security Response para análise ........................................... 92
6 Sumário
Capítulo 7 Gerenciamento de proteção proativa contra ameaças

Sobre a proteção proativa contra ameaças ........................................ 95
Sobre as verificações proativas de ameaças ................................. 96
Sobre exceções para verificações proativas de ameaças ................. 97
Sobre as detecções da verificação proativa de ameaças .................. 97
Sobre como agir em positivos falsos ........................................... 98
Configuração da freqüência de execução das verificações proativas
de ameaças ........................................................................... 99
Gerenciar detecções proativas de ameaças ...................................... 100
Especificação dos tipos de processos que as verificações proativas
de ameaças detectam ...................................................... 101
Especificação de ações e níveis de sensibilidade para detecção de
cavalos de tróia, worms e keyloggers .................................. 101
Configurar a ação para detecção de aplicativos comerciais ........... 103
Configuração de notificações para detecções da verificação proativa
de ameaças .......................................................................... 103
Envio de informações sobre as verificações proativas de ameaças ao
Symantec Security Response .................................................. 104
Configurar uma exceção centralizada para verificações proativas de
ameaças .............................................................................. 105
Capítulo 8 Gerenciamento de proteção contra ameaças na rede

Sobre a proteção contra ameaças à rede .......................................... 107
Como o cliente protege a rede de ataques pela rede ..................... 108
Exibir a atividade da rede ....................................................... 112
Configuração do firewall .............................................................. 113
Sobre as regras de firewall ..................................................... 114
Adicionando regras ............................................................... 119
Alterando a ordem das regras ................................................. 119
Ativando e desativando regras ................................................ 120
Exportando e importando regras ............................................. 120
Editando e excluindo regras ................................................... 121
Ativar as configurações de tráfego e as configurações
dissimuladas de navegação na Web .................................... 122
Ativar a filtragem inteligente de tráfego ................................... 124
Bloqueio do tráfego ............................................................... 125
Configurar a prevenção de intrusões .............................................. 126
Configuração das notificações da prevenção de intrusões ............. 127
Bloquear um computador invasor ............................................ 128
Definição das configurações específicas dos aplicativos ..................... 129
Remoção das restrições de um aplicativo .................................. 131
Compartilhamento de arquivos e pastas ......................................... 131
Sumário 7
Secção 3 Symantec Network Access Control

Capítulo 9 Noções básicas do Symantec Network Access Control
Sobre o Symantec Network Access Control ...................................... 135
Como funciona o Symantec Network Access Control ................... 136
Sobre a atualização da Política de integridade do host ................. 137
Execução de uma verificação de integridade do host .......................... 137
Correção do computador .............................................................. 138
Exibição de registros do Symantec Network Access ........................... 138
Sobre a aplicação ........................................................................ 139
Configuração do cliente para autenticação 802.1x ............................. 139
Reautenticação do computador ............................................... 142
Secção 4 Monitoração e registro

Capítulo 10 Uso e gerenciamento de registros
Sobre os registros ....................................................................... 147
Exibição de registros e dos detalhes dos registros ............................. 153
Filtrar as visualizações de registro ........................................... 154
Gerenciamento do tamanho de registros ......................................... 156
Configurando o tempo de retenção para entradas de registro da
proteção antivírus e anti-spyware e da proteção proativa
contra ameaças .............................................................. 157
Configuração do tamanho dos registros de proteção contra
ameaças à rede e dos registros de gerenciamento de
clientes ......................................................................... 157
Configuração do tempo de retenção para as entradas do registro
de proteção de ameaças à rede e as entradas do registro de
gerenciamento de clientes ................................................ 157
Sobre a exclusão do conteúdo do registro do sistema antivírus e
anti-spyware ................................................................. 158
Exclusão dos conteúdos dos registros de proteção contra ameaças
à rede e registros de gerenciamento de cliente ..................... 158
Colocar em quarentena os riscos e as ameaças do registro de riscos e
do registro de ameaças .......................................................... 159
Uso de registros de proteção contra ameaças à rede e de registros de
gerenciamento de clientes ...................................................... 159
Atualizar os registros da proteção contra ameaças à rede e do
gerenciamento de cliente ................................................. 160
Ativação do registro de pacotes ............................................... 160
Interrupção de uma resposta ativa .......................................... 160
8 Sumário
Rastrear eventos até suas origens ............................................ 161

Usando os registros de gerenciamento de cliente com o Symantec
Network Access Control ................................................... 162
Exportação de dados de registro .................................................... 162
Índice
Secção 1
Introdução
■ Introdução ao cliente da Symantec
■ Resposta ao cliente
■ Gerenciamento do cliente
10
Capítulo 1
Introdução ao cliente da
Symantec
Este capítulo contém os tópicos a seguir:
■ Sobre o cliente
■ O que mantém a proteção de seu computador atualizada
■ Sobre as políticas de segurança
■ Onde obter mais informações
Sobre o cliente
A Symantec fabrica dois produtos de segurança de ponto final que podem ser
usados em conjunto ou separadamente: o Symantec Endpoint Protection e o
Symantec Network Access Control. Você ou o administrador instalou um ou ambos
os produtos de software cliente da Symantec no computador. Se o administrador
instalou o cliente, então ele determinou os produtos a serem ativados no cliente.
Nota: Se você ou o administrador instalou somente um desses produtos no

computador, o nome do produto aparece na barra de título. Quando ambos os tipos
de proteção são ativados, o Symantec Endpoint Protection aparece na barra de
título.
O Symantec Endpoint Protection protege o computador contra ameaças e riscos

à segurança da Internet. Ele pode executar as seguintes ações:
■ Verificar vírus, ameaças conhecidas e riscos à segurança no computador.
■ Monitorar assinaturas conhecidas de ataque nas portas.
12 Introdução ao cliente da Symantec
Sobre o cliente
■ Monitorar o comportamento suspeito de programas no computador.

Consulte “Sobre o Symantec Endpoint Protection” na página 35.
O Symantec Network Access Control garante que as configurações de segurança
do computador estejam em conformidade com as políticas de rede. As configurações
de segurança podem incluir software, definições de configuração de software,
arquivos de assinaturas, patches e outros elementos.
Consulte “Sobre o Symantec Network Access Control” na página 135.
Sobre clientes gerenciados e não gerenciados

O administrador do produto Symantec pode instalar o cliente como cliente não
gerenciado ou como cliente gerenciado pelo administrador. Um cliente não
gerenciado significa que as configurações e ações no cliente Symantec não são
controladas por um administrador. Em um cliente não gerenciado, é possível
controlar todas as configurações e ações.
Em um ambiente gerenciado, o administrador usa o Symantec Endpoint Protection
Manager para monitorar, configurar e atualizar remotamente o cliente. Esse
servidor de gerenciamento permite que o administrador determine o nível de
controle que você tem sobre as configurações e as ações do cliente. O cliente acessa
o servidor de gerenciamento para determinar se novas informações ou atualizações
de políticas estão disponíveis.
Em um ambiente gerenciado, talvez não seja possível visualizar ou acessar todos
os componentes do cliente. Os componentes visíveis e as ações disponíveis no
cliente dependem do nível de acesso que o administrador concedeu ao computador.
A disponibilidade das configurações do cliente, bem como os próprios valores das
configurações, podem ser alterados periodicamente. Por exemplo, uma
configuração pode ser alterada quando o administrador atualiza a política que
controla a proteção do cliente.
Em todos os ambientes, o cliente solicita informações e exibe perguntas. É
necessário responder a essas solicitações.
Consulte “Sobre a interação do cliente” na página 19.
Sobre o ícone da área de notificação

O cliente tem um ícone da área de notificação localizado no canto direito inferior
da área de trabalho. Clique com o botão direito nesse ícone para exibir os comandos
utilizados com freqüência.
Introdução ao cliente da Symantec 13
Sobre o cliente
Nota: Nos clientes gerenciados, esse ícone não aparecerá se o administrador o

configurou para ficar não disponível.
A Tabela 1-1 descreve os comandos disponíveis a partir do ícone da área de

notificação.
Tabela 1-1 Comandos do ícone da área de notificação
Opção Descrição
Abrir o Symantec Endpoint Abre a janela principal

Protection
Abrir o Symantec Network

Access Control
Política de atualização Recupera as últimas políticas de segurança do servidor

Nota: Este comando está disponível somente em clientes
gerenciados.
Reautenticação Reautentica o computador-cliente.

Nota: Este comando somente estará disponível quando o
administrador configurar o cliente como requerente 802.1x
interno.
Desativar o Auto-Protect Desliga todas as proteções do cliente.
Depois de desativar o cliente, o texto do comando muda de

"Desativar" para "Ativar". Você pode selecionar este
comando para ligar todas as proteções do cliente.
Consulte “Reautenticação do computador” na página 142.
Ocultando e exibindo o ícone da área de notificação

Você pode ocultar o ícone da área de notificação se necessário. Por exemplo, você
pode ocultá-lo se precisar de mais espaço na barra de tarefas do Windows.
Nota: Nos clientes gerenciados, você não poderá ocultar o ícone da área de
notificação se o administrador restringir essa funcionalidade.
O que mantém a proteção de seu computador atualizada
Para ocultar o ícone da área de notificação

1 Na janela principal, na barra lateral, clique em Modificar configurações.
2 Na página Modificar configurações, ao lado do Gerenciamento de clientes,
clique em Definir configurações.
3 Na caixa de diálogo Configurações do gerenciamento de clientes, na guia
Geral, em Exibir opções, selecione o local para o qual deseja alterar.
4 Desmarque Mostrar o ícone do Symantec Endpoint Protection na área de
notificação.
5 Clique em OK.
Para exibir o ícone da área de notificação
1 Na janela principal, na barra lateral, clique em Modificar configurações.
2 Na página Modificar configurações, ao lado do Gerenciamento de clientes,
clique em Definir configurações.
3 Na caixa de diálogo Configurações do gerenciamento de clientes, em Exibir
opções, selecione o local para o qual deseja alterar.
4 Marque Mostrar o ícone do Symantec Endpoint Protection na área de
notificação.
5 Clique em OK.
O que mantém a proteção de seu computador

atualizada
Os engenheiros da Symantec acompanham as epidemias de vírus de computador
relatadas para identificar novos vírus. Eles também rastreiam ameaças combinadas,
riscos à segurança como spyware e outras vulnerabilidades que podem ser
exploradas quando seu computador é conectado à Internet. Após identificar um
risco, eles gravam uma assinatura (informações sobre o risco) e a armazenam em
um arquivo de definições. Esse arquivo de definições contém as informações
necessárias para detectar, eliminar e reparar os efeitos do risco. Quando o
Symantec Endpoint Protection verifica vírus ou riscos à segurança, ele procura
esses tipos de assinatura.
Outros itens que seu cliente deve manter atualizados são as listas de processos
permitidos e restritos e as assinaturas de ataque. As listas de processos ajudam a
proteção proativa contra ameaças a identificar comportamento suspeito de
programas mesmo que o cliente não reconheça uma ameaça específica. As
assinaturas de ataque oferecem as informações que o sistema de prevenção de
intrusões precisa para manter seu computador livre de intrusos.
O que mantém a proteção de seu computador atualizada
Além dos arquivos de definições, das listas de processos e assinaturas de ataque,

os componentes de seu cliente devem ser atualizado ocasionalmente. Esses
componentes podem incluir o mecanismo de proteção antivírus e anti-spyware,
o mecanismo da proteção proativa contra ameaças e o firewall para proteção
contra ameaças à rede. Essas atualizações podem consistir em pequenos reparos
a defeitos ou aprimoramentos do produto.
A Symantec disponibiliza atualizações constantemente. As definições são
atualizadas diariamente no website do Symantec Security Response. Além disso,
novas definições são disponibilizadas para entrega via LiveUpdate pelo menos
uma vez por semana e sempre que houver novas ameaças de vírus destrutivos.
Nota: Seu administrador pode controlar a freqüência de atualização das definições

de seu cliente.
Consulte “Sobre o LiveUpdate” na página 27.
Sobre a função do Symantec Security Response

A força do Symantec Endpoint Protection baseia-se no Symantec Security
Response. Os pesquisadores do Symantec Security Response analisam cada amostra
de vírus e risco à segurança para descobrir as características e os comportamentos
que os identificam. Através dessas informações, eles desenvolvem definições que
os produtos da Symantec usam para detectar, eliminar e reparar os efeitos de
vírus e riscos à segurança.
Devido à velocidade de disseminação dos novos vírus, o Symantec Security
Response criou ferramentas de análise automatizada de software. O envio de
arquivos infectados de seu computador para o Symantec Security Response reduz
significativamente o tempo entre a descoberta e a análise e cura.
Os pesquisadores do Symantec Security Response também pesquisam e produzem
tecnologias de proteção para computadores contra riscos à segurança, como
spyware, adware e ferramentas para hackers.
O Symantec Security Response mantém uma enciclopédia que fornece informações
detalhadas sobre vírus e riscos à segurança. Nos casos necessários, ela oferece
informações sobre a remoção de riscos. A enciclopédia está localizada no website
do Symantec Security Response, no seguinte URL:
http://www.symantec.com/pt/br/security_response/
Sobre as políticas de segurança
Como a proteção é atualizada em clientes gerenciados

O administrador determina como suas definições de vírus e riscos à segurança
devem ser atualizadas. Talvez nada precise ser feito para que você receba novas
definições.
Seu administrador pode configurar o recurso LiveUpdate do Symantec Endpoint
Protection para assegurar que sua proteção contra vírus e riscos à segurança
permaneça atualizada. O LiveUpdate é conectado a um computador que armazena
as atualizações, determina se o cliente precisa ser atualizado, faz o download dos
arquivos apropriados e os instala. O computador que armazena as atualizações
pode ser um servidor Symantec Endpoint Protection Manager interno de sua
empresa. Como alternativa, esse computador pode ser um servidor do Symantec
LiveUpdate que você acessa por meio da Internet.
Como a proteção é atualizada em clientes não gerenciados

Os administradores não atualizam a proteção em clientes não gerenciados. É
possível atualizar o software e arquivos de definições usando o LiveUpdate. Se o
seu cliente não gerenciado usar as configurações padrão do LiveUpdate, ele
verificará as atualizações em um servidor da Symantec pela Internet uma vez por
semana.
Você pode alterar a freqüência com a qual o LiveUpdate verifica as atualizações.
Você também pode executar o LiveUpdate manualmente se souber de alguma
epidemia de vírus ou de outro risco de segurança.
Sobre as políticas de segurança

Uma política de segurança é um conjunto de configurações de segurança que o
administrador de um cliente gerenciado configura e implementa nos clientes. As
políticas de segurança determinam as configurações do cliente, inclusive as opções
que você pode visualizar e acessar.
Os clientes gerenciados são conectados ao servidor de gerenciamento e recebem
automaticamente as políticas de segurança mais recentes. Se você tiver dificuldade
para acessar a rede, o administrador pode orientá-lo para atualizar manualmente
a política de segurança.
Consulte “Atualizar a política de segurança” na página 17.
Onde obter mais informações
Atualizar a política de segurança

As configurações de controle de proteção no cliente são armazenadas no
computador em um arquivo de políticas. Esse arquivo de política de segurança
normalmente é atualizado automaticamente. Porém, o administrador poderá
instruí-lo a atualizar a política de segurança manualmente em certas
circunstâncias.
Nota: Você pode exibir o registro do sistema para confirmar se a operação atualizou
a política com sucesso.
Consulte “Exibição de registros e dos detalhes dos registros” na página 153.
Para atualizar a política de segurança

1 Na área de notificação do Windows, clique com o botão direito no ícone do
cliente.
2 No menu pop-up, clique em Política de atualização.
3 Na caixa de diálogo de confirmação, clique em OK.

Se você precisar de mais informações, acesse a Ajuda on-line. É possível obter
informações adicionais sobre vírus e riscos de segurança a partir do website do
Symantec Security Response, no seguinte URL:
Acessar a Ajuda on-line

O sistema de Ajuda on-line do cliente contém informações gerais e procedimentos
para ajudá-lo a manter seu computador livre de vírus e riscos de segurança.
Nota: Pode ser que o administrador tenha optado por não instalar os arquivos de
ajuda.
Para acessar a Ajuda on-line

◆ Na janela principal, proceda de uma das seguintes maneiras:
■ Clique em Ajuda & Suporte e depois clique em Tópicos de ajuda.
■ Clique em Ajuda em qualquer uma das caixas de diálogo.
A Ajuda contextual está disponível somente nas telas em que se pode

efetuar ações.
■ Pressione F1 em qualquer janela. Se houver ajuda contextual disponível
para a janela, ela aparecerá. Se a ajuda contextual não estiver disponível,
aparecerá o sistema completo de Ajuda.
Acessando o Website do Symantec Security Response

Se você estiver conectado à Internet, pode acessar o Website do Symantec Security
Response para consultar:
■ A Enciclopédia de vírus, que contém informações sobre todos os vírus
conhecidos
■ Informações de boatos sobre vírus
■ Informes oficiais sobre vírus e ameaças de vírus em geral
■ Informações gerais e detalhadas sobre riscos de segurança
Para acessar o Website do Symantec Security Response, use o seguinte URL:
■ Digite o seguinte endereço em seu navegador da Internet:
Capítulo 2
Resposta ao cliente
■ Sobre a interação do cliente
■ Tratamento dos arquivos infectados
■ Sobre as notificações e os alertas
Sobre a interação do cliente

O cliente funciona em segundo plano para manter o computador seguro contra
atividades maliciosas. Algumas vezes, o cliente precisa notificar uma atividade
ou solicitar feedback. Se o Symantec Endpoint Protection estiver ativado no cliente,
é possível que você experimente os seguintes tipos de interação do cliente:
Detecção de vírus ou risco à Se o Auto-Protect ou uma verificação detectar um

segurança vírus ou um risco à segurança, a caixa de diálogo
Resultados de detecção do Symantec Endpoint
Protection será exibida com detalhes sobre a
infecção. Essa caixa de diálogo também exibe a ação
executada pelo Symantec Endpoint Protection em
relação ao risco. Normalmente, não é necessário
efetuar nenhuma outra ação além de revisar a
atividade e fechar a caixa de diálogo. Entretanto, é
possível realizar uma ação, se necessário.
Consulte “Tratamento dos arquivos infectados”

na página 20.
20 Resposta ao cliente
Tratamento dos arquivos infectados
Notificações relacionadas a Quando um programa no computador tenta acessar

aplicativos uma rede, o Symantec Endpoint Protection pode
solicitar que você aceite ou negue a permissão.
Consulte “Resposta a notificações relacionadas a

aplicativos” na página 22.
Alertas de segurança O Symantec Endpoint Protection informa quando

um programa é bloqueado ou quando um ataque
contra o computador é detectado.
Consulte “Resposta a alertas de segurança”

na página 25.
Se o Symantec Network Access Control estiver ativado no cliente, é possível

visualizar uma mensagem de controle de acesso à rede. Essa mensagem é exibida
quando as configurações de segurança não estão em conformidade com os padrões
definidos pelo administrador.
Consulte “Resposta a notificações de controle de acesso à rede” na página 26.

Por padrão, o Auto-Protect é executado continuamente no computador. Nos clientes
não gerenciados, uma verificação rápida e gerada automaticamente é executada
quando o computador é ligado. Nos clientes gerenciados, o administrador
geralmente configura uma verificação completa a ser executada pelo menos uma
vez por semana. O Auto-Protect exibe uma caixa de diálogo quando faz uma
detecção. Quando as verificações são executadas, uma caixa de diálogo de
verificação é exibida para mostrar os resultados. Nos clientes gerenciados, o
administrador pode desativar esses tipos de notificações.
Se você receber esses tipos de notificações, poderá precisar agir em relação a um
arquivo infectado.
As opções padrão do Auto-Protect e de todos os tipos de verificações são limpar
vírus de arquivos infectados após a detecção. Se o cliente não puder limpar um
arquivo infectado, registrará a falha e o moverá para a Quarentena. A Quarentena
local é um local especial reservado para arquivos infectados e efeitos colaterais
relacionados do sistema. Nos riscos à segurança, o cliente coloca em quarentena
os arquivos infectados e remove ou repara seus efeitos colaterais. O cliente
registrará a detecção se não puder reparar o arquivo.
Nota: Na Quarentena, o vírus não pode ser disseminado. Quando o cliente move
um arquivo para a Quarentena, você não tem acesso ao mesmo.
Resposta ao cliente 21
Quando o Symantec Endpoint Protection reparar um arquivo infectado por vírus,

não será necessário tomar nenhuma outra ação para proteger o computador. Se
o cliente colocar em quarentena um arquivo infectado por risco à segurança,
removê-lo e repará-lo, não será necessário tomar ações adicionais.
Pode não ser necessário agir em um arquivo, mas você pode executar uma ação
adicional no arquivo. Por exemplo, você pode decidir excluir um arquivo que foi
limpo porque quer substituí-lo pelo arquivo original.
É possível usar as notificações para que atuem no arquivo imediatamente. Também
é possível usar a exibição do registro ou a Quarentena para agir em relação ao
arquivo posteriormente.
Consulte “Interpretação dos resultados das verificações” na página 74.
Consulte “Colocar em quarentena os riscos e as ameaças do registro de riscos e
do registro de ameaças” na página 159.
Consulte “Sobre a quarentena” na página 87.
Para tratar um arquivo infectado
1 Siga uma destas ações:
■ Na caixa de diálogo de andamento da verificação, selecione os arquivos
desejados após a conclusão da verificação.
■ Na caixa de diálogo Resultados da verificação, selecione os arquivos
desejados.
■ No cliente, na barra lateral, clique em Exibir registros e ao lado de Proteção
antivírus e anti-spyware, clique em Exibir registros. Na exibição de
registros, selecione os arquivos desejados.
2 Clique com o botão direito do mouse nos arquivos e selecione uma destas
opções:
■ Desfazer ação tomada: Reverte a ação tomada.
■ Limpar (somente vírus): remove o vírus do arquivo.
■ Excluir permanentemente: exclui o arquivo infectado e todos os seus
efeitos colaterais. Nos riscos à segurança, use essa ação com cuidado. Em
alguns casos, excluir riscos à segurança pode prejudicar a funcionalidade
de um aplicativo.
■ Colocar em quarentena: Coloca os arquivos infectados na Quarentena.
Nos riscos à segurança, o cliente também tenta remover ou reparar os
efeitos colaterais.
■ Propriedades: Exibe informações sobre o vírus ou risco à segurança.
Em alguns casos, o cliente pode não ser capaz de executar a ação selecionada.
Sobre as notificações e os alertas
Sobre os danos causados por vírus

Se o Symantec Endpoint Protection encontrar uma infecção logo após sua
ocorrência, o arquivo infectado poderá estar totalmente funcional após o cliente
limpá-lo. No entanto, em alguns casos, o Symantec Endpoint Protection pode
limpar um arquivo infectado que já foi danificado pelo vírus. Por exemplo, o
Symantec Endpoint Protection pode encontrar um vírus que danifique um arquivo
de documento. O Symantec Endpoint Protection removerá o vírus, mas não poderá
reparar o dano causado no arquivo infectado.

É possível visualizar diferentes tipos de notificações no computador. Essas
notificações geralmente descrevem uma situação e indicam como o cliente tenta
resolver a questão.
É possível visualizar os seguintes tipos de notificações:
■ Notificações relacionadas a aplicativos
■ Alertas de segurança
Resposta a notificações relacionadas a aplicativos

É possível visualizar uma notificação que pergunta se você deseja permitir a
execução de um aplicativo ou serviço.
Esse tipo de notificação é exibida por uma das seguintes razões:
■ O aplicativo solicita o acesso à conexão de rede.
■ Foi feito um upgrade no aplicativo que acessou a sua conexão de rede.
■ O cliente trocou usuários por meio do recurso de troca rápida de usuário.
■ O administrador atualizou o software cliente.
É possível visualizar o seguinte tipo de mensagem, que informa quando um
aplicativo ou serviço tenta acessar o computador:
O Internet Explorer (IEXPLORE.EXE) está tentando conectar-se ao site

www.symantec.com.br usando a porta remota 80 (HTTP - World Wide Web).
Deseja permitir que o programa acesse a rede?
Para responder a aplicativos que tentam acessar a rede

1 Na caixa de mensagem, clique em Detalhe.
É possível exibir mais informações sobre a conexão e o aplicativo, como o
nome do arquivo, o número da versão e o nome do caminho.
2 Se desejar que o cliente lembre de sua escolha na próxima vez que esse
aplicativo tentar acessar a conexão de rede, clique em Lembrar minha
resposta e não perguntar mais para esse aplicativo..
3 Realize uma das seguintes tarefas:
■ Para permitir o acesso do aplicativo à conexão de rede, clique em Sim.
Clique em Sim somente se reconhecer o aplicativo e tiver certeza de que
deseja que ele tenha acesso à conexão de rede. Se não tiver certeza se
deseja permitir o acesso do aplicativo à conexão de rede, pergunte ao
administrador.
■ Para bloquear o acesso do aplicativo à conexão de rede, clique em Não.
A Tabela 2-1 exibe como é possível responder às notificações que perguntam
se você deseja permitir ou bloquear um aplicativo.
Tabela 2-1 Notificações de permissão de aplicativos
Se clicar em Se selecionar a caixa de seleção O cliente...

"Lembrar minha resposta..."?
Sim Sim Permite o aplicativo e não pergunta

novamente.
Sim Não Permite o aplicativo e pergunta

todas as vezes.
Não Sim Bloqueia o aplicativo e não

pergunta novamente.
Não Não Bloqueia o aplicativo e pergunta

todas as vezes.
É possível também alterar a ação do aplicativo no campo Aplicativos em execução

ou na lista Aplicativos.
Consulte “Definição das configurações específicas dos aplicativos” na página 129.
Notificações de aplicativos alterados

Às vezes, talvez seja exibida uma mensagem que indica a alteração de um
aplicativo.
"O programa Telnet foi alterado desde a última vez em que foi aberto,
isso pode ter ocorrido devido à atualização realizada recentemente.
Deseja permitir o acesso do programa à rede?
O aplicativo relacionado na seguinte mensagem tenta acessar sua conexão de

rede. Apesar de o cliente reconhecer o nome do aplicativo, algo foi modificado
desde a última vez em que o cliente encontrou o programa. Provavelmente, foi
realizado um upgrade do produto. Cada nova versão de produto usa um arquivo
de impressão digital de arquivo diferente da versão antiga. O cliente detecta que
o arquivo de impressão digital de arquivo foi alterado.
Notificações de troca rápida de usuário

Se o Windows Vista/XP for usado, será possível ver uma das seguintes notificações:
"O Symantec Endpoint Protection não pode mostrar a interface

do usuário. Se o recurso de troca rápida de usuário do Windows XP
estiver sendo usado, certifique-se de que todos os usuários façam
logoff do Windows e tente fazer o logoff do Windows e então logon
novamente. Se estiver usando os serviços de terminal, a interface
do usuário não é compatível."
ou
"O Symantec Endpoint Protection não estava em execução, mas será iniciado.
Contudo, o Symantec Endpoint Protection não pode mostrar a interface
do usuário. Se o recurso de troca rápida de usuário
do Windows XP estiver sendo usado, certifique-se de que
todos os usuários façam logoff do Windows e tente fazer
o logoff do Windows e então logon novamente. Se estiver
usando os serviços de terminal, a interface do usuário
não é compatível."
A troca rápida de usuário é um recurso do Windows que possibilita a troca rápida

entre usuários, sem a necessidade de fazer logoff do computador. Vários usuários
podem compartilhar simultaneamente um computador e alternar sem fechar os
aplicativos em execução. Uma dessas janelas é exibida se você trocar usuários
com o recurso de troca rápida de usuário.
Para responder uma mensagem de troca rápida de usuário, siga as instruções na
caixa de diálogo.
Notificações de atualização automática

Se o software cliente é atualizado automaticamente, é possível visualizar a seguinte
notificação:
O Symantec Endpoint Protection detectou que uma versão mais recente

do software está disponível no Symantec Endpoint Protection Manager.
Deseja fazer o download agora?
Para responder a uma notificação de atualização automática

1 Realize uma das seguintes ações:
■ Para fazer o download do software imediatamente, clique em Fazer o
download agora.
■ Para ser avisado após o tempo especificado, clique em Lembre-me depois.
2 Se a mensagem for exibida após o processo de instalação do software

atualizado ter iniciado, clique em OK.
Resposta a alertas de segurança

Os alertas de segurança exibem uma notificação acima do ícone da área de
notificação. É necessário somente reconhecer a leitura da mensagem, clicando
em OK. As notificações são exibidas por uma das seguintes razões:
Mensagens de aplicativos Um aplicativo iniciado do computador foi bloqueado, conforme as regras definidas
bloqueados pelo administrador. Por exemplo, é possível visualizar a seguinte mensagem:
O aplicativo Internet Explorer foi bloqueado,

o nome do arquivo é IEXPLORE.EXE.
Essas notificações indicam que o cliente bloqueou o tráfego especificado como

não-confiável. Se o cliente é configurado para bloquear o tráfego, essas
notificações são exibidas freqüentemente. Se o cliente é configurado para permitir
o tráfego, essas notificações não são exibidas.
Intrusões Um ataque foi iniciado contra o computador e um alerta informa a situação ou

fornece instruções sobre como lidar com ela. Por exemplo, é possível visualizar
a seguinte mensagem:
Tráfego do endereço IP 192.168.0.3 está bloqueado

de 10/10/2006 15:37:58 a 10/10/2006 15:47:58.
O ataque à verificação de portas está registrado.
O administrador pode ter desativado as notificações de prevenção de intrusões

no computador-cliente. Para visualizar os tipos de ataques detectados pelo cliente,
é possível fazer com que o cliente exiba notificações de prevenção de intrusões.
Consulte “Configuração das notificações da prevenção de intrusões” na página 127.
Resposta a notificações de controle de acesso à rede

Se o cliente do Symantec Network Access Control não estiver em conformidade
com políticas de segurança, é possível que ele não consiga acessar a rede. Nesse
caso, talvez apareça uma mensagem que afirma que o Symantec Enforcer bloqueou
o tráfego porque ocorreu uma falha na verificação de integridade do host. O
administrador de rede pode ter adicionado texto a essa mensagem que sugere
possíveis ações de correção.
Para responder a notificações de controle de acesso à rede
1 Siga os procedimentos sugeridos exibidos na caixa de mensagem.
2 Na caixa de mensagem, clique em OK.
Após fechar a caixa de mensagem, abra o cliente para observar se ele exibe
procedimentos sugeridos para restaurar o acesso à rede.
Capítulo 3
Gerenciamento do cliente
■ Sobre o LiveUpdate
■ Executando o LiveUpdate em intervalos agendados
■ Execução manual do LiveUpdate
■ Como testar a segurança do computador
■ Sobre os locais
■ Alteração de locais
■ Sobre a proteção contra adulteração
■ Ativação, desativação e configuração da proteção contra adulteração
Sobre o LiveUpdate
O LiveUpdate obtém atualizações de programas e proteções para o computador
por meio de uma conexão à Internet.
As atualizações de programas são pequenas melhorias ao produto instalado. Elas
são diferentes dos upgrades de produtos, que são versões mais recentes do produto
completo. As atualizações de programas são criadas geralmente para ampliar a
compatibilidade de sistemas operacionais ou hardware, ajustar problemas de
desempenho ou corrigir erros de programa. As atualizações de programas são
lançadas de acordo com as necessidades.
Nota: Algumas atualizações de programas podem solicitar que você reinicie o

computador após a instalação.
28 Gerenciamento do cliente
Executando o LiveUpdate em intervalos agendados
O LiveUpdate automatiza a recuperação e instalação de atualizações de programas.

Ele localiza e obtém arquivos de um site na Internet, instala-os e depois exclui os
arquivos restantes do computador.
As atualizações de proteções são os arquivos que mantém os produtos da Symantec
atualizados com a tecnologia de proteção contra ameaças mais recente. As
atualizações de proteções recebidas dependem dos produtos instalados no
computador.
Por padrão, o LiveUpdate é executado automaticamente em intervalos agendados.
É possível executar o LiveUpdate manualmente com base nas configurações de
segurança. Também é possível desativar o LiveUpdate ou alterar seu agendamento.
Executando o LiveUpdate em intervalos agendados

É possível criar um agendamento para que o LiveUpdate seja executado
automaticamente em intervalos programados.
Para executar o LiveUpdate em intervalos agendados
1 No cliente, na barra lateral, clique em Gerenciamento de cliente > Opções.
2 Na caixa de diálogo Configurações do gerenciamento de cliente, clique em
Atualizações agendadas.
3 Na guia Atualizações agendadas, marque Ativar atualizações automáticas.
4 Na caixa de grupo Freqüência, selecione se deseja que os updates sejam
executados diariamente, semanalmente ou mensalmente.
5 Na caixa de grupo Quando, selecione o dia ou a semana e o horário em que
deseja que as atualizações sejam executadas.
6 Para especificar como tratar atualizações perdidas, clique em Avançado.
7 Na caixa de diálogo Opções de agendamento avançadas, selecione as opções
para o LiveUpdate repetir as atualizações perdidas.
Para obter mais informações sobre essas opções, clique em Ajuda.
8 Clique em OK.
9 Clique em OK.
Execução manual do LiveUpdate

É possível atualizar o software e arquivos de definições usando o LiveUpdate. O
LiveUpdate recupera os novos arquivos de definições de um site da Symantec e
substitui os arquivos antigos. Os produtos da Symantec dependem das informações
Gerenciamento do cliente 29
Como testar a segurança do computador
atualizadas para proteger o computador contra ameaças recém-descobertas. A

Symantec disponibiliza essas informações através do LiveUpdate.
Para obter atualizações usando o LiveUpdate
◆ No cliente, na barra lateral, clique em LiveUpdate.
O LiveUpdate conecta-se ao servidor da Symantec, verifica as novas
atualizações e efetua o download e a instalação das atualizações
automaticamente.
Como testar a segurança do computador

É possível testar a eficácia do computador em relação a vírus e ameaças externas
por meio da verificação. Essa verificação é uma ação importante a ser tomada
para garantir que o computador seja protegido de intrusos potenciais. Os resultados
podem ajudar a definir as diversas opções no cliente para proteger o computador
contra ataques.
Para testar a segurança do computador
1 No cliente, na barra lateral, clique em Status.
2 Ao lado de Proteção contra ameaças na rede, clique em Opções > Exibir
atividades da rede.
3 Clique em Ferramentas > Testar a segurança da rede.
4 No website do Symantec Security Check, proceda de uma das seguintes
maneiras:
■ Para verificar ameaças on-line, clique em Verificação de segurança.
■ Para verificar vírus, clique em Detecção de vírus.
5 No painel de contrato de licença do usuário final, clique em Aceito e clique

em Avançar.
Se clicou em Detecção de vírus na etapa 4, clique em Aceito e então clique
em Avançar.
Se desejar interromper a verificação a qualquer momento, clique em
Interromper.
6 Quando a verificação for concluída, feche a caixa de diálogo.
Sobre os locais
O local refere-se à política de segurança baseada no ambiente de rede. Por exemplo,
se você se conectar à rede do escritório usando seu laptop em casa, o administrador
Alteração de locais
poderá configurar um local denominado Casa. Se você usar o laptop no escritório,

poderá usar um local denominado Escritório. Outros locais podem incluir VPN,
filial do escritório ou hotel.
O cliente alterna entre esses locais porque as necessidades de segurança e as
necessidades de utilização podem ser diferentes entre ambientes de rede. Por
exemplo, quando seu laptop se conectar à rede do escritório, o cliente poderá usar
um conjunto restritivo de políticas que o administrador configurou. Entretanto,
ao conectar-se à rede local, o cliente poderá usar um conjunto de políticas que
fornece acesso a mais opções de configuração. O administrador planeja e configura
o cliente conforme necessário, para que o cliente faça as alterações
automaticamente para você.
Nota: Em um ambiente gerenciado, é possível alterar os locais somente se o

administrador fornecer o acesso necessário.
Alteração de locais
É possível alterar o local, se necessário. Por exemplo, poderá ser necessário trocar
para um local que permita que um colega acesse os arquivos em seu computador.
A lista de locais disponíveis baseia-se nas políticas de segurança e na rede ativa
do computador.
Nota: Com base nas políticas de segurança disponíveis, você provavelmente terá
acesso a mais de um local. Talvez você descubra que ao clicar em um local, não
será possível passar para o mesmo. Isso significa que a configuração de rede não
é adequada para esse local. Por exemplo, um local denominado Escritório poderá
ser disponibilizado somente quando detectar a LAN (local area network, rede de
área local) do escritório. Se você não estiver nessa rede no momento, não poderá
passar para esse local.
Para alterar um local

1 No cliente, na barra lateral, clique em Alterar configurações.
2 Na página Alterar configurações, próximo a Gerenciamento de clientes, clique
em Definir configurações.
3 Na guia Geral, em Opções de local, selecione o local para o qual deseja alterar.
4 Clique em OK.
Gerenciamento do cliente 31
Sobre a proteção contra adulteração
Sobre a proteção contra adulteração

A proteção contra adulteração garante proteção em tempo real aos aplicativos da
Symantec. Previne ataques de software malicioso, como worms, cavalos de tróia,
Você pode configurar a proteção contra adulteração para efetuar as seguintes
ações:
■ Bloquear tentativas de adulteração e registrar o evento
■ Registrar o evento de adulteração, mas não interferir nele
A proteção contra adulteração é ativada para os clientes gerenciados e para os
não gerenciados, a menos que o administrador tenha alterado as configurações
padrão. Quando a proteção contra adulteração detecta uma tentativa de
adulteração, ela registra o evento no registro de proteção contra adulteração por
padrão. Você pode configurar a proteção contra adulteração para exibir uma
notificação em seu computador quando ela detectar uma tentativa de adulteração.
Você pode personalizar a mensagem. A proteção contra adulteração não avisa
sobre tentativas de adulteração a não ser que você ative esse recurso.
Se você usar um cliente não gerenciado, pode alterar as suas configurações de
proteção contra adulteração. Se você usar um cliente gerenciado, pode alterar
essas configurações se o administrador permitir.
Quando você usa o Symantec Endpoint Protection inicialmente, a melhor prática
é deixar a ação padrão Somente registrar enquanto você monitora os registros
uma vez por semana. Quando você tiver certeza de que não há falsos positivos,
configure a proteção contra adulteração para Bloquear e registrar.
Nota: Se você utiliza um verificador de risco à segurança de terceiros que detecta

e defende contra adware e spyware indesejados, esse verificador geralmente afeta
os processos da Symantec. Se a proteção contra adulteração estiver ativada
enquanto você executa um verificador de risco à segurança, ela gera um grande
número de notificações e entradas de registros. A melhor prática é sempre deixar
a proteção contra adulteração ativada e usar o filtro de registros se o número de
eventos gerados for alto demais.
Ativação, desativação e configuração da proteção

contra adulteração
Você pode ativar ou desativar a proteção contra adulteração. Se ela estiver ativada,
você pode escolher a ação que ela deve executar quando detectar uma tentativa
Ativação, desativação e configuração da proteção contra adulteração
de adulteração do software Symantec. Você também pode fazer a proteção contra

adulteração exibir uma mensagem para avisá-lo sobre tentativas de adulteração.
Se você quiser personalizar a mensagem, pode usar as variáveis predefinidas que
a proteção contra adulteração preenche com as informações adequadas.
Para mais informações sobre as variáveis predefinidas, clique em Ajuda na guia
Proteção contra adulteração.
Para ativar ou desativar a proteção contra adulteração
1 Na janela principal, na barra lateral, clique em Alterar configurações.
2 Ao lado de Gerenciamento de cliente, clique em Definir configurações.
3 Na guia Proteção contra adulteração, marque ou desmarque Proteger o
software de segurança Symantec contra adulteração.
4 Clique em OK.
Para configurar a proteção contra adulteração
1 Na janela principal, na barra lateral, clique em Alterar configurações.
2 Ao lado de Gerenciamento de cliente, clique em Definir configurações.
3 Na guia proteção contra adulteração, na lista Ações a serem executadas,
selecione Bloquear e registrar ou Somente registrar.
4 Se você quiser ser avisado quando a proteção contra adulteração detectar
comportamento suspeito, marque Exibir a seguinte mensagem ao detectar
adulteração.
Se você ativar essas mensagens de notificação, pode receber mensagens sobre
processos do Windows e sobre processos da Symantec.
5 Para personalizar a mensagem exibida, digite um novo texto ou exclua
qualquer texto que desejar no campo da mensagem.
6 Clique em OK.
Secção 2
Symantec Endpoint
Protection
■ Introdução ao Symantec Endpoint Protection
■ Noções básicas do cliente do Symantec Endpoint Protection
■ Gerenciamento de proteções antivírus e anti-spyware
■ Gerenciamento de proteção proativa contra ameaças
■ Gerenciamento de proteção contra ameaças na rede

34
Capítulo 4
Introdução ao Symantec
Endpoint Protection
■ Sobre o Symantec Endpoint Protection
■ Como o Symantec Endpoint Protection protege seu computador
Sobre o Symantec Endpoint Protection

A instalação do Symantec Endpoint Protection pode ser independente ou
gerenciada pelo administrador. A instalação independente é aquela em que o
administrador não gerencia o software Symantec Endpoint Protection. Portanto,
ele é um cliente independente.
Se você gerencia seu próprio computador, ele deve ser de um dos tipos a seguir:
■ Um computador independente que não está conectado a uma rede, como um
computador doméstico ou laptop. O computador deve incluir a instalação de
um Symantec Endpoint Protection que use as configurações de opção padrão
ou predefinidas pelo administrador.
■ Um computador remoto, conectado à rede corporativa, que deve atender aos
requisitos de segurança antes de se conectar.
As configurações padrão do Symantec Endpoint Protection incluem proteção
antivírus e anti-spyware, proteção proativa contra ameaças e a proteção contra
ameaças na rede por meio de um firewall de desktop e prevenção contra intrusões
com base no host. É possível ajustar as configurações padrão para que atendam
às necessidades de sua empresa, otimizem o desempenho do sistema e desativem
as opções não aplicáveis.
36 Introdução ao Symantec Endpoint Protection
Como o Symantec Endpoint Protection protege seu computador
Se o computador for gerenciado pelo administrador, poderá haver opções

bloqueadas, não disponíveis, dependendo da política de segurança adotada pelo
administrador. É ele quem executa as verificações no computador, podendo
configurar verificações agendadas.
O administrador pode aconselhar as tarefas você deve executar usando o Symantec
Endpoint Protection.
Como o Symantec Endpoint Protection protege seu

computador
O Symantec Endpoint Protection oferece uma política de segurança que contém
diversos tipos de proteção para seu computador.
Os seguintes tipos de proteção trabalham em conjunto para proteger seu
computador de riscos:
■ Proteções antivírus e anti-spyware
■ Proteção contra ameaças à rede
■ Proteção proativa contra ameaças
Sobre as proteções antivírus e anti-spyware

As proteções antivírus e anti-spyware asseguram que seu computador estará
protegido contra vírus e riscos à segurança conhecidos. Se os vírus forem
rapidamente detectados e removidos do seu computador, não poderão se
disseminar por outros arquivos nem causar danos. Os efeitos dos vírus e riscos à
segurança podem ser reparados. Quando o computador cliente Symantec Endpoint
Protectiondetecta um vírus ou um risco à segurança, por padrão ele o notificará
a respeito. Para não ser notificado, você ou o administrador podem configurar o
computador cliente para combater o risco automaticamente.
As proteções antivírus e anti-spyware oferecem verificações baseadas em
assinaturas e incluem o seguinte:
■ Verificações do Auto-Protect
O Auto-Protect é executado constantemente no seu computador e oferece
proteção em tempo real por meio da atividade de monitoramento. O
Auto-Protect procura por vírus e por riscos à segurança quando um arquivo é
executado ou aberto. Ele também procura por vírus e riscos à segurança quando
você faz qualquer alteração em um arquivo. Por exemplo, você pode renomear,
salvar, mover ou copiar um arquivo de uma pasta para outra.
■ Verificações agendadas, inicializadas ou por solicitação
Introdução ao Symantec Endpoint Protection 37
Você ou seu administrador podem configurar outras verificações a serem

executadas no seu computador. Essas verificações procuram assinaturas de
vírus residuais em arquivos infectados. Essas verificações também procuram
assinaturas de riscos à segurança em arquivos infectados e em informações
do sistema. Você ou seu administrador podem iniciar verificações sistemáticas
para conferir se há vírus ou riscos à segurança nos arquivos do seu computador.
Os riscos à segurança podem incluir ad-ware ou spyware.
Sobre a proteção contra ameaças à rede

O computador-cliente Symantec Endpoint Protection fornece um firewall
personalizado que protege seu computador de invasões e uso indevido, maliciosos
ou não intencionais. Ele detecta e identifica as verificações de portas e outros
ataques comuns conhecidos. Em resposta, o firewall, seletivamente, permite ou
bloqueia diversos serviços de rede, aplicativos, portas e componentes. Ele contém
diversos tipos de proteções de regra de firewall e configurações de segurança para
proteger computadores cliente do tráfego da rede, que pode causar danos.
A proteção contra ameaças à rede oferece assinaturas de um firewall e da prevenção
de intrusões para evitar ataques invasivos e conteúdos maliciosos. O firewall
permite ou bloqueia o tráfego de acordo com diversos critérios.
As regras de firewall determinam se o seu computador permitirá ou bloqueará
um aplicativo ou serviço de entrada ou de saída que tente acessar seu computador
através da conexão de rede. As regras de firewall permitem ou bloqueiam
sistematicamente o tráfego e os aplicativos de entrada ou de saída a partir de (ou
para) endereços IP e portas específicas. As configurações de segurança detectam
e identificam ataques comuns, assim como enviam mensagens de e-mail após um
ataque, exibem mensagens personalizáveis e desempenham outras tarefas de
segurança relacionadas.
Consulte “Sobre a proteção contra ameaças à rede” na página 107.
Sobre a proteção proativa contra ameaças

A proteção proativa contra ameaças assegura que seu computador terá proteção
"zero-day" contra ameaças desconhecidas. Essa proteção utiliza verificações
baseadas em heurística para analisar a estrutura, o comportamento e outros
atributos de um programa a fim de buscar características próprias de vírus. Em
muitos casos, ela pode proteger contra ameaças como worms disseminados por
e-mail e vírus de macro. Você poderá encontrar worms e vírus de macro antes de
atualizar suas configurações de vírus e de riscos à segurança. As verificações
proativas de ameaças procuram ameaças baseadas em script em arquivos HTML,
VBScript e JavaScript.
38 Introdução ao Symantec Endpoint Protection
As verificações proativas de ameaças também detectam aplicativos comerciais

que podem ser usados com objetivos maliciosos. Esses aplicativos comerciais
incluem programas de controle remoto ou registradores de teclas.
Você pode configurar verificações proativas de ameaças para detecções de
quarentena. Você pode restaurar manualmente os itens que estiverem em
quarentena por meio das verificações proativas de ameaças. O computador-cliente
pode restaurar itens em quarentena automaticamente.
Capítulo 5
Noções básicas do cliente
do Symantec Endpoint
Protection
■ Sobre vírus e riscos à segurança
■ Como o cliente responde a vírus e riscos de segurança
■ Ativar e desativar os componentes de proteção
■ Usar o computador-cliente com a Central de Segurança do Windows
■ Pausar e adiar verificações
Sobre vírus e riscos à segurança

O cliente do Symantec Endpoint Protection pode verificar a existência de vírus e
riscos à segurança, como spyware ou adware. Esses riscos podem ameaçar seu
computador, assim como uma rede. As verificações antivírus e anti-spyware
também detectam rootkits em nível de kernel. Os rootkits são programas que
tentam se esconder do sistema operacional de um computador e que podem ser
usados com objetivos maliciosos.
Por padrão, todas as verificações antivírus e anti-spyware, inclusive as do
Auto-Protect, verificam vírus, cavalos de Tróia, worms e todas as categorias de
riscos à segurança.
Tabela 5-1 descreve os tipos de vírus e riscos à segurança.
40 Noções básicas do cliente do Symantec Endpoint Protection
Tabela 5-1 Vírus e riscos à segurança
Risco Descrição
Vírus Os programas ou o código que anexam cópias de si mesmos a outros programas ou documentos
ao serem executados. Sempre que o programa infectado é executado ou que um usuário abre
um documento contendo um vírus de macro, o programa de vírus anexado é ativado. O vírus
pode, então, anexar-se a outros programas e documentos.
Em geral, os vírus realizam determinadas atividades, como a exibição de uma mensagem em

uma determinada data. Alguns vírus têm por objetivo danificar dados corrompendo programas,
excluindo arquivos ou reformatando discos.
Bots da Internet Os programas que executam tarefas automatizadas por meio da Internet com objetivos
maliciosos maliciosos.
Os bots podem ser usados para automatizar ataques em computadores ou para coletar
informações em websites.
Worms Os programas que se replicam sem infectar outros programas. Alguns worms se espalham
copiando a si mesmos de um disco para outro, enquanto outros se duplicam apenas na memória
a fim de desacelerar o computador.
Cavalos de Tróia Os programas que contêm código oculto ou disfarçado como algo legítimo, por exemplo, um
jogo ou um utilitário.
Ameaças As ameaças que combinam as características de vírus, worms, cavalos de Tróia e códigos com
combinadas vulnerabilidades do servidor e da Internet para iniciar, transmitir e disseminar ataques. As
ameaças combinadas usam diversos métodos e técnicas para se disseminar rapidamente,
causando danos generalizados em toda a rede.
Adware Os programas independentes ou anexados que coletam secretamente informações pessoais

através da Internet e as reenviam a outro computador. O adware pode acompanhar os hábitos
do usuário ao navegar na Internet para fins de publicidade. O adware também pode exibir
conteúdo publicitário.
O download do adware pode ser feito inadvertidamente a partir de websites (geralmente de

shareware ou freeware) ou recebido em mensagens de e-mail ou programas de mensagens
instantâneas. Muitas vezes o usuário faz download de adware inadvertidamente ao concordar
com contratos de licença de usuário final de programas de software.
Discadores Os programas que usam um computador, sem permissão ou conhecimento do usuário, para
discar um número de alto custo (900 nos Estados Unidos) ou para um site FTP. Os programas
geralmente acumulam as cobranças.
Ferramentas para Os programas usados por um hacker para obter acesso não autorizado ao computador de um
hackers usuário. Um exemplo de ferramenta para hackers é o keylogger, que rastreia e registra cada
tecla pressionada e envia essas informações para o hacker. Assim, o hacker será capaz de
verificar as portas ou as vulnerabilidades dos computadores alheios. As ferramentas para
hackers também podem ser usadas para criar vírus.
Noções básicas do cliente do Symantec Endpoint Protection 41
Risco Descrição
Programas de Os programas que alteram ou interrompem a operação de um computador a fim de perturbar

brincadeiras ou assustar o usuário. Por exemplo, o download desse tipo de programa pode ser feito em um
website, uma mensagem de e-mail ou um programa de mensagens instantâneas. Ele pode, por
exemplo, mover a lixeira para longe do mouse quando o usuário tentar excluir o programa. Ou
ainda, pode fazer com que o mouse funcione ao contrário.
Outros Quaisquer outros riscos à segurança que não se enquadrem exatamente nas definições de vírus,
cavalos de Tróia, worms ou outras categorias de risco à segurança.
Programas de Os programas que permitem o acesso à Internet através de outro computador visando obter
acesso remoto informações, atacar ou alterar o computador de um usuário. Você pode instalar um programa
de acesso remoto legítimo. Um processo pode instalar esse tipo de aplicativo sem o seu
conhecimento. O programa pode ser usado com objetivos maliciosos, com ou sem a modificação
do programa de acesso remoto original.
Spyware Os programas independentes que podem monitorar secretamente a atividade do sistema,

detectar senhas e outras informações confidenciais e as enviar a outro computador.
O download do spyware pode feito inadvertidamente a partir de websites (geralmente de

shareware ou freeware) ou recebido em mensagens de e-mail ou programas de mensagens
instantâneas. Muitas vezes o usuário faz download de spyware inadvertidamente ao concordar
com contratos de licença de usuário final de programas de software.
Trackware Os aplicativos independentes ou complementares capazes de rastrear as atividades de um

usuário na Internet e enviar informações ao sistema de destino. Por exemplo, o download de
um aplicativo pode feito de um website, uma mensagem de e-mail ou um programa de mensagens
instantâneas. Em seguida, ele coleta informações confidenciais relacionadas ao comportamento
do usuário.
Por padrão, as verificações antivírus e anti-spyware fazem o seguinte:

■ Detectam, removem e reparam os efeitos colaterais de vírus, worms, cavalos
de Tróia e ameaças combinadas.
■ Detectam, removem e reparam os efeitos colaterais de riscos à segurança como
adware, discadores, ferramentas para hackers, programas de brincadeiras,
programas de acesso remoto, spyware, trackware e outros.
O website do Symantec™ Security Response oferece as informações mais recentes
sobre ameaças e riscos à segurança. O website contém também informações de
referência abrangentes, como informes oficiais e informações detalhadas sobre
A Figura 5-1 mostra informações sobre uma ferramenta para hackers e sugestões
do Symantec Security Response para combatê-la.
Como o cliente responde a vírus e riscos de segurança
Figura 5-1 Descrição de risco à segurança do Symantec Security Response
Como o cliente responde a vírus e riscos de segurança

O cliente protege os computadores contra vírus e riscos de segurança, seja qual
for a origem. Os computadores são protegidos contra vírus e riscos de segurança
que se disseminam por unidades de disco rígido, disquetes e de outros vírus que
percorrem as redes. Eles são protegidos também contra vírus e riscos de segurança
que se disseminam através de anexos de e-mail ou outros meios. Por exemplo, um
risco de segurança pode se instalar no computador sem o seu conhecimento quando
você acessa a Internet.
Ativar e desativar os componentes de proteção
Arquivos dentro de arquivos compactados são verificados e os vírus e riscos de

segurança são removidos, se encontrados. No caso de vírus oriundos da Internet,
não é necessária nenhuma outra alteração em programas ou opções. O Auto-Protect
verifica arquivos de programas e de documentos descompactados automaticamente
à medida que são transferidos por download.
Quando o cliente detecta um vírus, por padrão, ele tenta limpar o vírus do arquivo
infectado. O cliente também tenta reparar os efeitos do vírus. Se o cliente limpar
o arquivo, ele remove completamente o risco do seu computador. Se não for
possível limpar o arquivo, o cliente move o arquivo infectado para a Quarentena.
O vírus não pode se espalhar a partir da Quarentena.
Quando você atualiza o computador com novas definições de vírus, o cliente
verifica a Quarentena automaticamente. Você pode repetir a verificação dos itens
na Quarentena. As definições mais recentes podem limpar ou reparar os arquivos
colocados em quarentena anteriormente.
Nota: O administrador pode optar pela verificação automática dos arquivos da

Quarentena.
Por padrão, para os riscos de segurança, o cliente coloca os arquivos infectados

em quarentena. O cliente também restaura ao estado anterior as informações do
sistema que o risco de segurança alterou. Alguns riscos de segurança não podem
ser completamente removidos sem causar uma falha em outro programa do
computador, como o navegador da Web. As suas configurações do antivírus e
anti-spyware podem não combater o risco automaticamente. Nesse caso, o cliente
o avisará antes de interromper um processo ou reiniciar seu computador. Como
alternativa, você pode definir suas configurações para usar a ação Somente registro
para os riscos de segurança.
Quando o software do cliente descobre riscos de segurança, ele inclui na janela
de verificação um link para o Symantec Security Response. No website do Symantec
Security Response você pode obter mais informações sobre o risco de segurança.
O administrador também pode enviar uma mensagem personalizada.

Você pode ativar e desativar as proteções no seu computador.
Quando alguma das proteções estiver desativada, a barra de status na parte
superior da página de status indicará que a proteção está desligada. Você pode
clicar na opção de correção para ativar todas as proteções desativadas. Ou você
pode ativar as proteções individuais separadamente.
Ativar e desativar as proteções antivírus e anti-spyware

Se as opções de configuração padrão não tiverem sido alteradas, o Auto-Protect
será carregado toda vez que o computador for ligado, para protegê-lo contra vírus
e riscos à segurança. O Auto-Protect verifica a presença de vírus e riscos à
segurança nos programas enquanto eles são executados. Ele também monitora
seu computador durante atividades que podem indicar a presença de vírus ou de
riscos à segurança. Quando um vírus, sintoma de vírus (evento que poderia ser
provocado por um vírus) ou risco à segurança é detectado, o Auto-Protect emite
um alerta.
Você pode ativar ou desativar o Auto-Protect para arquivos e processos. Além
disso, você também ativar e desativar o Auto-Protect para e-mails da Internet e
para aplicativos de e-mail de groupware. Em ambientes gerenciados, o
administrador pode bloquear essas configurações.
Quando você quer desativar o Auto-Protect

Em alguns casos, o Auto-Protect pode avisá-lo sobre uma atividade semelhante a
vírus que não é proveniente de um vírus. Por exemplo você poderá receber avisos
ao instalar novos programas de computador. Se você planeja instalar mais
aplicativos e deseja evitar o aviso, é possível desativar temporariamente o
Auto-Protect. No entanto, é necessário reativá-lo depois de concluir a instalação
para que o computador continue protegido.
Se você desativar o Auto-Protect, outros tipos de verificações (agendadas ou de
inicialização) ainda serão executadas, caso você ou seu administrador as tenham
configurado para isso.
Seu administrador poderá bloquear o Auto-Protect para que você não possa
desativá-lo por nenhuma razão. Em vez disso, seu administrador poderá especificar
que você poderá desativar o Auto-Protect temporariamente, mas que este ligue
automaticamente após um intervalo específico.
Sobre o Auto-Protect e o status das proteções antivírus e

anti-spyware
Suas configurações do Auto-Protect determinam o status das proteções antivírus
e anti-spyware no cliente e na área de notificação do Windows.
Quando qualquer tipo de Auto-Protect for desativado, o status do antivírus e do
anti-spyware será exibido em vermelho na página de status.
O ícone do cliente é exibido como um escudo na barra de tarefas no canto inferior
direito, na área de trabalho do Windows. Em algumas configurações, o ícone não
é exibido. Se você clicar no ícone com o botão direito do mouse quando o
Auto-Protect para arquivos e processos estiver ativado, uma marca de seleção é

exibida ao lado de Ativar o Auto-Protect.
Quando você desativa o Auto-Protect para arquivos e processos, o ícone do cliente
aparece com o símbolo de proibição universal, um círculo vermelho cortado
diagonalmente. Quando o Auto-Protect do sistema de arquivos está ativado, um
ponto verde aparece com o ícone, mesmo que o Auto-Protect para e-mail esteja
desativado.
Ativar e desativar o Auto-Protect do sistema de arquivos

A menos que seu administrador tenha bloqueado a configuração, você pode ativar
ou desativar a monitoração do sistema de arquivos do Auto-Protect.
Para ativar ou desativar o Auto-Protect do sistema de arquivos a partir da barra de
tarefas
◆ Na área de trabalho do Windows, na área de notificações, clique com o botão
direito do mouse no ícone do cliente e depois realize uma das ações abaixo:
■ Clique em Ativar o Auto-Protect.
■ Clique em Desativar o Auto-Protect.
Para ativar ou desativar o Auto-Protect do sistema de arquivos a partir do cliente

◆ No computador-cliente, na página Status, ao lado de proteções antivírus e
anti-spyware, execute uma das ações abaixo:
■ Clique em Opções > Ativar proteção antivírus e anti-spyware.
■ Clique em Opções > Desativar proteção antivírus e anti-spyware.
Ativar ou desativar o Auto-Protect para e-mail

Você pode ativar ou desativar o Auto-Protect para e-mail da Internet, e-mail do
Microsoft Outlook ou e-mail do Lotus Notes. O administrador poderá bloquear
essas configurações.
Para ativar e desativar o Auto-Protect para e-mail
2 Ao lado de proteção antivírus e anti-spyware, clique em Configurar ajustes.
3 Realize uma das ações abaixo:
■ Na guia Auto-Protect para e-mail da Internet, selecione ou cancele a seleção
de Ativar Auto-Protect para e-mail da Internet.
■ Na guia do Auto-Protect para Outlook, selecione ou cancele a seleção de
Ativar Auto-Protect para Microsoft Outlook.
■ Na guia de Auto-Protect para Notes, selecione ou cancele a seleção de

Ativar Auto-Protect para Lotus Notes.
4 Clique em OK.
Ativar e desativar a proteção contra ameaças à rede

Em determinadas circunstâncias você pode desativar a proteção contra ameaças
à rede. Por exemplo, instalar um aplicativo que pode fazer com que o cliente o
bloqueie.
Seu administrador pode ter configurado os limites de quando e por quanto tempo
você pode desativar a proteção:
■ se o cliente permitir todo o tráfego ou somente todo o tráfego de saída.
■ o período de tempo em que a proteção será desativada.
■ quantas vezes você pode desativar a proteção antes de reiniciar os
computadores cliente.
se você puder desativar a proteção, poderá reativá-la a qualquer momento. O
administrador também poderá ativar e desativar a proteção a qualquer momento,
mesmo que ele sobreponha o estado que você protegeu.
Consulte “Sobre a proteção contra ameaças à rede” na página 107.
Consulte “Bloquear um computador invasor” na página 128.
Ativar e desativar a proteção contra ameaças à rede
◆ No computador-cliente, na página Status, ao lado de Proteção contra ameaças
à rede, execute uma das ações abaixo:
■ pressione Opções > Ativar proteção contra ameaças à rede.
■ pressione Opções > Desativar proteção contra ameaças à rede.
Ativar ou desativar a Proteção proativa contra ameaças

A Proteção proativa contra ameaças é ativada quando as configurações da
Verificação de cavalos de Tróia e worms e a Verificação de registradores do teclado
são ativadas. Se uma configuração ou outra for desativada, o cliente exibirá o
status da Proteção proativa contra ameaças como desativado.
Consulte “Sobre a proteção proativa contra ameaças” na página 95.
Clique em Ajuda para obter mais informações sobre as opções que são utilizadas
no procedimento.
Usar o computador-cliente com a Central de Segurança do Windows
Para ativar ou desativar a Proteção proativa contra ameaças

2 Ao lado de Proteção proativa contra ameaças, clique em Alterar
configurações.
3 Na caixa de diálogo Configurações da verificação proativa de ameaças, na
guia Detalhes da verificação, em Cavalos de Tróia e Worms, selecione ou
cancele a seleção de Verificar cavalos de Tróia e worms.
4 Em Registradores do teclado, selecione ou cancele a seleção de Verificar
registradores do teclado.
5 Clique em OK.
Usar o computador-cliente com a Central de

Segurança do Windows
Se você usa a Central de Segurança do Windows (WSC) no Windows XP com Service
Pack 2 para monitorar o status de segurança, pode consultar Symantec Endpoint
Protection o status na WSC.
A Tabela 5-2 mostra os relatórios de status da proteção na Central de Segurança
do Windows.
Tabela 5-2 Relatório de status da proteção na WSC
Condição do produto da Symantec Status da proteção
Symantec Endpoint Protection não está instalada NÃO ENCONTRADA

(vermelho)
Symantec Endpoint Protection instalada com proteção total LIGADA (verde)
Symantec Endpoint Protection instalada, com definições de vírus DESATUALIZADA

e riscos à segurança desatualizados (vermelho)
Symantec Endpoint Protection instalada e o sistema de arquivos DESLIGADA (vermelho)

do Auto-Protect está desativado
Symantec Endpoint Protection instalada e o sistema de arquivos DESLIGADA (vermelho)

do Auto-Protect está desativado e as definições de vírus e riscos
à segurança estão desatualizados
Symantec Endpoint Protection está instalada e o Rtvscan foi DESLIGADA (vermelho)

desligado manualmente
Pausar e adiar verificações
A Tabela 5-3 mostra os Symantec Endpoint Protection relatórios de status na

WSC.
Tabela 5-3 Relatórios de status do firewall na WSC
Condição do produto da Symantec Status do firewall
O Symantec firewall não está instalado NÃO ENCONTRADO

(vermelho)
O Symantec Firewall está instalado e ativado LIGADO (verde)
O Symantec Firewall está instalado, mas não ativado DESLIGADO (vermelho)
O Symantec firewall não está instalado, nem ativado, mas sim LIGADO (verde)
um firewall de terceiros está instalado e ativado
Nota: Por padrão, o firewall do Windows está desativado no Symantec Endpoint

Protection.
Se houver mais de um firewall ativado, a WSC reporta que diversos firewalls estão
instalados e ativados.

O recurso Pausa permite que a verificação seja interrompida e retomada quando
desejado. É possível pausar qualquer verificação que você mesmo tenha iniciado.
O administrador da rede determina se você pode ou não pausar uma verificação
agendada por ele.
Você também pode adiar as verificações agendadas, iniciadas pelo administrador
da rede. Se ele ativou o recurso Pausa intermitente, você pode adiar uma verificação
agendada por um intervalo de tempo predeterminado. Quando for retomada, a
verificação partirá novamente do início.
Faça uma pausa n verificação, caso você deseje retomá-la após um intervalo. Utilize
o recurso Pausa intermitente para adiar a verificação por um período de tempo
prolongado.
Siga os procedimentos abaixo para fazer uma pausa na verificação que seu
administrador iniciou. Se a opção Pausa na verificação não estiver disponível, o
administrador da rede terá desativado o recurso Pausa.
Nota: Se você interromper uma verificação enquanto um computador cliente

estiver verificando um arquivo compactado, ele pode levar alguns minutos para
responder ao pedido de pausa.
Para pausar uma verificação

1 Quando a verificação estiver em execução, clique no ícone de pausa na caixa
de diálogo da verificação.
Se você tiver iniciado a verificação, ela será interrompida onde está e a caixa
de diálogo permanecerá aberta até que a verificação seja retomada.
Se o administrador tiver agendado a verificação, será exibida a caixa de diálogo
Pausa na verificação agendada.
2 Na caixa de diálogo Pausa na verificação agendada, clique em Pausar.

A verificação agendada pelo administrador será interrompida no ponto em
que está e a caixa de diálogo permanecerá aberta até que a verificação seja
retomada.
3 Na caixa de diálogo de verificação, clique no ícone de início para continuar
com o processo.
Para adiar uma verificação agendada pelo administrador

1 Quando a verificação agendada pelo administrador estiver em execução, na
caixa de diálogo, clique em Pausa na verificação.
2 Na caixa de diálogo Pausa na verificação agendada, clique em Adiar por 1
hora ou em Adiar por 3 horas.
O administrador especifica por quanto tempo a verificação poderá ser adiada.
Quando a pausa chegar ao limite, a verificação reinicia do começo. O
administrador também é quem especifica quantas vezes a verificação pode
ser adiada até o recurso ser desativado.
Capítulo 6
Gerenciamento de
proteções antivírus e
anti-spyware
■ Sobre as proteções antivírus e anti-spyware
■ Sobre o Auto-Protect
■ Trabalhar com verificações antivírus e anti-spyware
■ Configuração da verificação antivírus e anti-spyware
■ Interpretação dos resultados das verificações
■ Envio de informações sobre verificações antivírus e anti-spyware ao Symantec

Security Response
■ Configuração de ações para vírus e riscos à segurança
■ Configuração de notificações para vírus e riscos à segurança
■ Configuração de exceções centralizadas para verificações antivírus e

anti-spyware
■ Sobre a quarentena
■ Gerenciamento da quarentena
52 Gerenciamento de proteções antivírus e anti-spyware

O cliente do Symantec Endpoint Protection inclui as configurações padrão antivírus
e anti-spyware apropriadas para a maioria dos usuários. É possível alterar as
configurações para personalizá-las para sua rede de segurança. É possível
personalizar as configurações de política para verificações do Auto-Protect,
agendadas, de inicialização e sob demanda.
As configurações antivírus e anti-spyware incluem:
■ O que verificar
■ O que fazer quando um vírus ou risco à segurança é detectado
Sobre a verificação de arquivos

Por padrão, as verificações antivírus e anti-spyware verificam todos os tipos de
arquivos. As verificações agendadas, de inicialização e sob demanda por padrão
também examinam todos os tipos de arquivos.
Você pode escolher a verificação de arquivos por extensão, mas a proteção contra
vírus e riscos à segurança será reduzida. Se você selecionar as extensões de arquivo
a serem verificadas, o Auto-Protect poderá determinar um tipo de arquivo mesmo
se um vírus alterar sua extensão.
Consulte “Configuração do Auto-Protect para tipos de arquivos determinados”
na página 60.
Também é possível excluir determinados arquivos das verificações. Por exemplo,
você pode saber que um arquivo não aciona alertas de vírus durante verificações.
É possível excluir o arquivo das próximas verificações.
Se seus aplicativos de e-mail usam um arquivo da Caixa de

entrada único
Se o seu aplicativo de e-mail armazenar todas as mensagens em um único arquivo,
você deverá criar uma exceção centralizada para excluí-lo das verificações. Os
aplicativos de e-mail que armazenam todas as mensagens em um único arquivo
de Caixa de entrada incluem Outlook Express, Eudora, Mozilla e Netscape. O cliente
pode ser configurado para colocar em quarentena um vírus que detectar. Se o
cliente detectar o vírus no arquivo da Caixa de entrada, está será colocada inteira
em quarentena. Se o cliente colocar a Caixa de entrada em quarentena, não será
possível acessar o e-mail.
A Symantec geralmente não recomenda que arquivos sejam excluídos das
verificações. Entretanto, se o arquivo da Caixa de entrada for excluído das
verificações, o cliente ainda poderá detectar vírus quando as mensagens de e-mail
Gerenciamento de proteções antivírus e anti-spyware 53
forem abertas. Se o cliente encontrar um vírus quando uma mensagem de e-mail

for aberta, poderá colocá-la em quarentena ou excluí-la com segurança.
É possível excluir o arquivo configurando uma exceção centralizada.
Consulte “Configuração de exceções centralizadas para verificações antivírus e
anti-spyware” na página 85.
Sobre a verificação por extensão

O cliente pode verificar o computador por extensões.
Você pode escolher estes tipos de extensões de arquivos:
Arquivos de Incluem documentos do Microsoft Word e Excel, bem como arquivos

documento de modelo associados a esses documentos. O cliente verifica os
arquivos dos documentos em busca de infecções por vírus de macro.
Arquivos de Incluem bibliotecas de vínculo dinâmico (.dll), arquivos de lote (.bat),

programa arquivos de comando (.com), arquivos executáveis (.exe) e outros
arquivos de programas. O cliente procura infecções por vírus de
arquivo em arquivos de programas.
Para adicionar extensões de arquivos à lista de verificação do Auto-Protect

2 Ao lado de Proteção antivírus e anti-spyware, clique em Alterar configurações.
3 Na caixa de diálogo Configurações da Proteção antivírus e anti-spyware, na
guia Auto-Protect, em tipos de arquivos, clique em Selecionados.
4 Clique em Extensões.
5 Na caixa de texto, digite a extensão a ser adicionada e clique em Adicionar.
6 Repita a etapa 5 conforme necessário.
7 Clique em OK.
Para adicionar extensões de arquivos à lista de verificação para verificações sob
demanda, agendadas ou de inicialização
1 No cliente, na barra lateral, clique em Verificar ameaças.
2 Clique com o botão direito do mouse na verificação para a qual deseja adicionar
extensões de arquivo e selecione Editar.
As alterações se aplicam somente à verificação selecionada.
3 Na guia Opções, em Tipos de arquivos, selecione Extensões selecionadas e
clique em Extensões.
4 Digite a extensão a ser adicionada e clique em Adicionar.

5 Repita a etapa 4 conforme necessário.
6 Clique em OK.
Sobre a verificação de todos os tipos de arquivo

O cliente pode verificar todos os arquivos do computador, independente da
extensão. A verificação de todos os arquivos garante uma proteção mais minuciosa.
Esse tipo de verificação é mais lento que a verificação por extensões, mas você
estará mais protegido contra vírus e riscos à segurança.
Sobre a exclusão de itens das verificações

É possível configurar o cliente para excluir um risco à segurança das verificações.
Você pode querer excluir um risco à segurança da verificação. Por exemplo, você
pode precisar usar um adware específico no seu trabalho. O cliente pode não
permitir esse adware. Se a política de segurança da empresa permitir o adware,
você poderá excluir o risco das verificações.
O cliente poderá sinalizar um arquivo como infectado; no entanto, o mesmo não
contém vírus. Essa situação pode ocorrer porque uma definição de vírus específica
foi desenvolvida para acusar todas as variações possíveis do vírus. Como as
definições de vírus devem ser necessariamente abrangentes, o cliente às vezes
reporta um arquivo limpo como infectado.
Se as verificações antivírus e anti-spyware continuarem reportando um arquivo
limpo como infectado, você poderá excluí-lo das verificações. Exclusões são os
itens que você não deseja nem precisa incluir nas verificações.
A política de segurança corporativa pode permitir a execução do software que o
cliente reporta como um risco. Nesse caso, é possível excluir as pastas que contêm
o software.
Use uma exceção centralizada para excluir itens das verificações. As exceções se
aplicam a todas as verificações antivírus e anti-spyware que você executar. O
administrador também pode configurar exceções. As exceções definidas pelo
administrador têm prioridade sobre as exceções definidas pelo usuário.
Consulte “Configuração de exceções centralizadas para verificações antivírus e
anti-spyware” na página 85.
Aviso: Seja cauteloso ao definir exclusões. Se você excluir um arquivo de uma

verificação, o cliente não tomará nenhuma ação para limpa-lo caso este venha a
ser infectado posteriormente. Essa situação pode ser um risco em potencial à
segurança do computador.
Sobre como evitar infecções por vírus de macro

O cliente detecta e remove automaticamente a maioria dos vírus de macro do
Microsoft Word e Excel. Com a execução regular de verificações agendadas, o
computador fica protegido contra infecções por vírus de macro. O Auto-Protect
também procura e elimina regularmente todos os vírus de macro detectados.
Para evitar ao máximo as infecções por vírus de macro, faça o seguinte:
■ Ative o Auto-Protect. O Auto-Protect verifica constantemente os arquivos que
foram acessados ou modificados.
■ Execute o Auto-Protect para e-mails, se disponível.
■ Proteja os arquivos de modelos globais desativando as macros automáticas.
Quando o cliente do Symantec Endpoint Protection detectar um vírus

ou risco à segurança
Quando vírus e riscos à segurança infectam arquivos, o cliente responde aos tipos
de risco de maneiras diferentes. Para cada tipo de risco, o cliente usa uma primeira
ação, depois aplica uma segunda ação se a primeira falhar.
Por padrão, quando o cliente detecta um vírus, primeiro tenta limpá-lo do arquivo
infectado. Se o cliente não puder limpar o arquivo, registra a falha e move o arquivo
infectado para a Quarentena.
Por padrão, quando o cliente detecta um risco à segurança, coloca-o em quarentena.
Ele também tenta remover ou reparar alterações feitas pelo risco à segurança. Se
o cliente não puder colocar um risco à segurança em quarentena, registra o risco
e o ignora.
Nota: Em Quarentena, o risco não pode ser disseminado. Quando um cliente move
um arquivo para a Quarentena, você não tem acesso ao mesmo. O cliente também
pode reverter as alterações dos itens que colocou em quarentena.
Em todos os tipos de verificação, é possível alterar as configurações de como o

cliente trata de vírus e riscos à segurança. É possível definir ações diferentes para
cada categoria de risco e para riscos à segurança individuais.
Sobre o Auto-Protect
Nota: Em algumas situações, é possível que você instale inadvertidamente um

aplicativo que inclua um risco à segurança como adware ou spyware. Se a Symantec
tiver determinado que colocar o risco em quarentena não é nocivo ao computador,
o cliente o colocará em quarentena. Se o cliente colocar o risco em quarentena
imediatamente, essa ação poderá deixar o computador instável. Em vez disso, o
cliente aguarda até que a instalação do aplicativo esteja concluída antes de colocar
o risco em quarentena. Em seguida, ele repara os efeitos do risco.
O Auto-Protect é a melhor defesa contra ataques de vírus. Sempre que você acessa,
copia, salva, move ou abre um arquivo, ele verifica o arquivo para garantir que
não haja um vírus anexado.
O Auto-Protect verifica extensões de arquivos que contêm código executável, bem
como todos os arquivos .exe e .doc. O Auto-Protect pode determinar o tipo de um
arquivo mesmo quando um vírus altera sua extensão. Por exemplo, um vírus pode
alterar a extensão de um arquivo para uma que não se inclua entre as extensões
que o Auto-Protect foi configurado para verificar.
Você pode ativar ou desativar o Auto-Protect se o administrador não bloquear a
configuração.
Consulte “Ativar e desativar as proteções antivírus e anti-spyware” na página 44.
Sobre o Auto-Protect e os riscos à segurança

Por padrão, o Auto-Protect executa estas ações:
■ Verifica riscos à segurança, como adware e spyware
■ Põe em quarentena os arquivos infectados
■ Remove ou repara os efeitos colaterais dos riscos à segurança
Você pode desativar a verificação de riscos à segurança no Auto-Protect.
Consulte “Ativação e desativação da verificação e o bloqueio de riscos à segurança
no Auto-Protect ” na página 61.
Se o Auto-Protect detectar um processo que continuamente faz downloads de
riscos à segurança para o computador, exibirá uma notificação e registrará a
detecção. (O Auto-Protect deve estar configurado para enviar notificações.) Se o
process continuar a fazer download do mesmo risco à segurança, várias
notificações serão exibidas no computador e o Auto-Protect registrará vários
eventos. Para evitar várias notificações e eventos registrados, o Auto-Protect pára
automaticamente de enviar notificações sobre o risco à segurança após três

detecções. O Auto-Protect também pára de registrar o evento após três detecções.
Em algumas situações, o Auto-Protect não pára de enviar notificações e de registrar
eventos em relação ao risco à segurança.
O Auto-Protect continuará a enviar notificações e a registrar eventos quando
quaisquer destas situações for verdadeira:
■ Nos computadores clientes, você ou o administrador podem desativar o bloqueio
da instalação de riscos à segurança (a configuração padrão é ativado).
■ A ação para o tipo de risco à segurança para o download feito pelo processo é
Ignorar.
Sobre o Auto-Protect e a verificação de e-mail

O Auto-Protect também verifica clientes de e-mail de groupware compatíveis.
A proteção é fornecida para os clientes de e-mail a seguir:
■ Lotus Notes 4.5x, 4.6, 5.0 e 6.x
■ Microsoft Outlook 98/2000/2002/2003/2007 (MAPI e Internet)
■ Microsoft Exchange Client 5.0 e 5.5
Nota: O Auto-Protect funciona somente nos clientes de e-mail compatíveis. Ele

não protege servidores de e-mail.
A proteção antivírus e anti-spyware inclui também a verificação do Auto-Protect

para programas adicionais de e-mail da Internet monitorando todo o tráfego que
usa os protocolos de comunicação POP3 ou SMTP. Você pode configurar o software
cliente para verificar riscos nas mensagens de entrada e de saída. A verificação
de e-mail enviado ajuda a evitar a disseminação de ameaças que usam clientes de
e-mail para se replicarem e se distribuírem através de uma rede.
Nota: A verificação de e-mail da Internet não é suportada em computadores de 64

bits.
O Auto-Protect verifica somente os anexos associados aos e-mails na verificação

de e-mail do Lotus Notes e do Microsoft Exchange.
Na verificação de e-mail da Internet das mensagens que utilizam os protocolos
POP3 ou SMTP, o Auto-Protect verifica estes itens:
■ O corpo da mensagem
■ Todos os anexos da mensagem

Quando você abre uma mensagem com anexo, o download do mesmo é feito
imediatamente para o computador e verificado se estas afirmações forem
verdadeiras:
■ Você usa o cliente Microsoft Exchange ou Microsoft Outlook sobre MAPI.
■ O Auto-Protect está ativado para e-mail.
Em uma conexão lenta, o download de mensagens com anexos grandes afeta o
desempenho do e-mail. Convém desativar esse recurso se você recebe regularmente
anexos grandes.
Consulte “Ativação e desativação da verificação e o bloqueio de riscos à segurança
no Auto-Protect ” na página 61.
Nota: Se um vírus for detectado quando você abrir um e-mail, ele poderá demorar
vários segundos para ser aberto enquanto o Auto-Protect conclui a verificação.
A verificação de e-mail não oferece suporte para os seguintes clientes de e-mail:

■ Clientes IMAP
■ Clientes AOL
■ E-mail baseado na Web, como Hotmail, Yahoo! Mail e GMAIL
Desativar o controle de conexões de e-mail criptografadas feito pelo

Auto-Protect
Você pode enviar e receber e-mail em um link seguro. Por padrão, o Auto-Protect
para e-mails da Internet é compatível com senhas criptografadas e e-mail em
conexões POP3 e SMTP. Se você usar POP3 ou SMTP com SSL (Secure Sockets
Layer), o cliente detectará conexões seguras, mas não verificará mensagens
criptografadas.
Mesmo que o Auto-Protect não verifique o e-mail que utiliza conexões seguras, o
Auto-Protect continua protegendo os computadores contra riscos nos anexos. O
Auto-Protect verifica os anexos de e-mail quando você os salva no disco rígido.
Nota: Por motivo de desempenho, não há suporte para o Auto-Protect para e-mail
de Internet para POP3 em sistemas operacionais de servidor.
Você pode desativar o controle de e-mail criptografado, se for necessário. Quando

essas opções estão desativadas, o Auto-Protect verifica os e-mails não
criptografados enviados e recebidos, mas bloqueia os e-mails criptografados. Se
as opções forem reativadas e você tentar enviar um e-mail criptografado, o

Auto-Protect o bloqueará até que o aplicativo de e-mail seja reiniciado.
Nota: Se você desativar as conexões criptografadas no Auto-Protect, a alteração

não entrará em vigor enquanto você não fizer logoff e login novamente no
Windows. Para ter certeza de que a alteração entrou em vigor imediatamente,
faça log out e login novamente.
Para desativar o controle de conexões de e-mail criptografadas realizado pelo

Auto-Protect
2 Ao lado de Proteção antivírus e anti-spyware, clique em Definir configurações.
3 Na guia Proteção de e-mail da Internet, clique em Avançado.
4 Em Configurações da conexão, desmarque Permitir conexões POP3
criptografadas e Permitir conexões SMTP criptografadas.
5 Clique em OK.
Exibição das estatísticas de verificação do Auto-Protect

As estatísticas de verificação do Auto-Protect exibem o status da última verificação
do Auto-Protect, o último arquivo verificado e informações sobre infecção por
vírus e risco à segurança.
Para exibir as estatísticas de verificação do Auto-Protect
◆ No cliente, na página Status, ao lado de Proteção antivírus e anti-spyware,
clique em Opções > Exibir estatísticas do Auto-Protect do sistema de
arquivos.
Exibição da lista de riscos

É possível visualizar os riscos atuais detectados pela proteção antivírus e
anti-spyware. A lista corresponde às atuais definições de vírus.
Para exibir a lista de riscos
◆ No cliente, na página Status, ao lado de Proteção antivírus e anti-spyware,
clique em Opções > Exibir lista de riscos.
Configuração do Auto-Protect para tipos de arquivos determinados

O Auto-Protect é predefinido para verificar todos os arquivos. Ele pode concluir
verificações em menos tempo se verificar apenas os arquivos com extensões
selecionadas.
Por exemplo, você pode querer verificar somente estas extensões:
■ .exe
■ .com
■ .dll
■ .doc
■ .xls
Geralmente os vírus afetam somente determinados tipos de arquivos. Entretanto,
se você verificar extensões conhecidas, terá menos proteção porque o Auto-Protect
não verificará todos os arquivos. A lista padrão das extensões inclui todos os
arquivos que costumam apresentar risco de infecção por vírus.
O Auto-Protect verifica extensões de arquivos que contêm código executável, bem
como todos os arquivos .exe e .doc. Ele também pode determinar o tipo de um
arquivo mesmo quando um vírus altera sua extensão. Por exemplo, ele verifica
arquivos .doc mesmo se um vírus alterar suas extensões.
Você deve configurar o Auto-Protect para verificar todos os tipos de arquivos
certificar-se de que o computador receba proteção máxima contra vírus e riscos
à segurança.
Para configurar o Auto-Protect para que determine os tipos de arquivos
3 Na guia Auto-Protect, em Tipos de arquivos, siga uma destas ações.
■ Clique em Todos os tipos para verificar todos os arquivos.
■ Clique em Selecionar por para verificar somente os arquivos que tiverem
as extensões relacionadas na lista e, em seguida, clique em Extensões para
alterar a lista padrão de extensões de arquivos.
4 Se você tiver escolhido Selecionar por, selecione ou cancele a seleção de

Estabeleça os tipo de arquivo examinando o conteúdo destes.
5 Clique em OK.
Ativação e desativação da verificação e o bloqueio de riscos à segurança

no Auto-Protect
Por padrão, o Auto-Protect executa estas ações:
■ Verifica riscos à segurança, como adware e spyware
■ Põe em quarentena os arquivos infectados
■ Tenta remover ou reparar os efeitos do risco à segurança
Nos casos em que o bloqueio da instalação de um risco à segurança não afetar a
estabilidade de um computador, o Auto-Protect também bloqueará a instalação
por padrão. Se a Symantec determinar que o bloqueio de um risco à segurança
pode comprometer a estabilidade de um computador, o Auto-Protect permitirá
que o risco seja instalado. O Auto-Protect também executará imediatamente a
ação configurada para o risco.
No entanto, é recomendável, de vez em quando, desativar temporariamente a
verificação de riscos à segurança nas verificações de arquivos do Auto-Protect e,
depois reativá-la. Talvez seja preciso desativar o bloqueio dos riscos à segurança
para controlar o tempo que o Auto-Protect leva para reagir a determinados riscos
à segurança.
Nota: O administrador poderá bloquear essas configurações.
Para desativar ou ativar a verificação e o bloqueio de riscos à segurança no

Auto-Protect
3 Na guia Auto-Protect, em Opções siga uma destas ações:
■ Selecione ou cancele a seleção de Verificar riscos à segurança.
■ Selecione ou cancele a seleção de Bloquear a instalação de riscos à
segurança.
■ Selecione ou cancele a seleção de Verificação de arquivos em unidades
de rede.
4 Clique em OK.
Configuração das opções de verificação da rede

A configuração das verificações da rede incluem estas opções:
■ Configure se o Auto-Protect deve confiar em arquivos nos computadores

remotos que executam o Auto-Protect.
■ Especifique se o computador deve usar cache para armazenar um registro dos
arquivos verificados pelo Auto-Protect na rede.
Por padrão, o Auto-Protect verifica os arquivos gravados do seu computador para
um computador remoto. O Auto-Protect também verifica os arquivos gravados
de um computador remoto para o seu.
Durante o acesso a arquivos em um computador remoto, entretanto, o Auto-Protect
poderá não verificá-los. Por padrão, o Auto-Protect tenta confiar nas versões
remotas do Auto-Protect. Se a opção Confiar estiver ativada em ambos os
computadores, o Auto-Protect local verificará as configurações do Auto-Protect
do computador remoto. Se as configurações do Auto-Protect remoto oferecerem
pelo menos um nível de segurança tão alto quanto as configurações locais, o
Auto-Protect local confiará no Auto-Protect remoto. Quando o Auto-Protect local
confia no Auto-Protect remoto, não verifica os arquivos que acessa no computador
remoto. O computador local confia que o Auto-Protect remoto já tenha verificado
os arquivos.
Nota: O Auto-Protect local sempre verifica os arquivos copiados de um computador

remoto.
A opção Confiar é ativada por padrão. Se essa opção for desativada, você poderá
reduzir o desempenho da rede.
Para desativar a confiança em versões remotas do Auto-Protect
2 Ao lado de Proteção antivírus e anti-spyware, clique em Alterar configurações.
3 Na guia Auto-Protect, clique em Avançado.
4 Na caixa de diálogo Opções avançadas do Auto-Protect, em Opções avançadas
adicionais, clique em Rede.
5 Em Configurações de verificação de rede, desmarque Confiar nos arquivos
em computadores remotos que executam Auto-Protect.
6 Clique em OK até retornar à janela principal.
É possível configurar o computador para usar cache de rede. O cache de rede
armazena um registro dos arquivos que o Auto-Protect verificou em um
computador remoto. Se você usar cache de rede, impedirá que o Auto-Protect
verifique o mesmo arquivo mais de uma vez. Impedindo verificações múltiplas
do mesmo arquivo, você pode melhorar o desempenho do sistema. É possível
definir o número de arquivos (entradas) que o Auto-Protect verificará e
Trabalhar com verificações antivírus e anti-spyware
memorizará. Também é possível definir o tempo limite antes que o computador

remova as entradas do cache. Quando o tempo limite expirar, o computador
removerá as entradas. O Auto-Protect verificará os arquivos se você os solicitar
do computador remoto novamente.
Para configurar o cache da rede
3 Na caixa de diálogo Configurações antivírus e anti-spyware, na guia
Auto-Protect, clique em Avançado.
4 Na caixa de diálogo Opções avançadas do Auto-Protect, em Opções avançadas
adicionais, clique em Rede.
5 Na caixa de diálogo Opções de verificação de rede, selecione ou cancele a
seleção de Cache de rede.
6 Se você tiver ativado o cache da rede, use os padrões ou siga uma destas ações:
■ Use as setas ou digite o número de arquivos (entradas) que deseja que o
Auto-Protect verifique e memorize.
■ Digite o número de segundos desejados de permanência no cache antes
que o computador o limpe.
7 Clique em OK.

O Auto-Protect é a defesa mais poderosa contra infecções por vírus e riscos à
segurança. Além do Auto-Protect, a Proteção antivírus e anti-spyware inclui vários
tipos diferentes de verificações para oferecer proteção adicional.
Tabela 6-1 descreve as verificações disponíveis
Tabela 6-1 Verificações disponíveis
Tipo Descrição
Verificação Verifica um arquivo, pasta, unidade ou todo o computador, a

personalizada qualquer momento. Você seleciona as partes do computador a serem
verificadas.
Verificação rápida Verifica rapidamente a memória do sistema e os locais em que os

vírus e riscos à segurança geralmente atacam.
Tipo Descrição
Verificação completa Verifica todo o computador, incluindo o setor de inicialização e a

memória do sistema. Pode ser necessário digitar uma senha para a
verificação de unidades de rede.
Verificações Executada automaticamente, na freqüência especificada.

agendadas
Verificação da Executada todas as vezes em que o computador inicia e faz login.

inicialização
Definida pelo Verifica determinados grupos de arquivos, a qualquer momento.

usuário
Contanto que o Auto-Protect esteja ativado, uma verificação rápida diária e uma
verificação agendada semanal de todos os arquivos fornecem proteção suficiente.
Se o seu computador for freqüentemente atacado por vírus, acrescente uma
verificação completa durante a inicialização ou uma verificação agendada diária.
Também é possível configurar a freqüência das verificações que procuram
comportamento suspeito em vez dos riscos conhecidos.
Consulte “Configuração da freqüência de execução das verificações proativas de
ameaças” na página 99.
Como o cliente do Symantec Endpoint Protection detecta vírus e riscos

à segurança
O cliente impede infecções por vírus em um computador verificando seu setor de
inicialização, memória e arquivos quanto a vírus e riscos à segurança. O mecanismo
de verificação utiliza as assinaturas dos vírus e riscos à segurança encontrados
nos arquivos de definições. O mecanismo de verificação executa uma busca
exaustiva de vírus conhecidos que estejam nos arquivos executáveis. As
verificações antivírus e anti-spyware procuram vírus de macro nas partes
executáveis dos arquivos de documento.
É possível fazer uma verificação sob demanda ou agendá-la para que seja executada
quando você não estiver presente.
Tabela 6-2 descreve os componentes do computador verificados pelo cliente.
Tabela 6-2 Componentes do computador verificados pelo cliente
Componente Descrição
Memória do O cliente verifica a memória do computador. Qualquer vírus de

computador arquivo, vírus de setor de inicialização ou vírus de macro pode residir
na memória. Os vírus que residem na memória copiaram a si mesmos
para a memória de um computador. Na memória, um vírus pode
permanecer oculto até ocorrer um evento de trigger. Depois, o vírus
pode se disseminar para um disquete da unidade de disco ou para o
disco rígido. Se houver vírus na memória, ele não poderá ser limpo.
No entanto, você pode remover um vírus da memória reiniciando o
computador quando for solicitado.
Setor de O cliente verifica se há vírus no setor de inicialização do computador.

inicialização Dois itens são verificados: as tabelas de partição e o registro mestre
de inicialização.
Unidade de disquete Uma maneira comum de disseminação de vírus é por meio de

disquetes. O disquete pode permanecer na unidade quando o
computador for iniciado ou desligado. Quando uma verificação é
iniciada, o cliente pesquisa o setor de inicialização e as tabelas de
partição do disquete que está na unidade. Ao desligar o computador,
você será solicitado a remover o disco para evitar uma possível
infecção.
Arquivos O cliente verifica arquivos individuais. Para a maioria dos tipos de

selecionados verificação, você seleciona os arquivos que devem ser verificados.
O software cliente usa verificação baseada em padrões para procurar
vestígios de vírus nos arquivos. Os vestígios de vírus são
denominados padrões ou assinaturas.
Cada arquivo é comparado às assinaturas inofensivas contidas em

um arquivo de definições de vírus. Dessa forma, é possível identificar
vírus específicos. Se um vírus for encontrado, por padrão o cliente
tentará limpá-lo do arquivo. Se não for possível limpar o arquivo, o
cliente o colocará em quarentena para evitar mais infecções no
computador.
O cliente também usa verificação baseada em padrões para procurar

vestígios de riscos à segurança nos arquivos e chaves do Registro.
Se um risco à segurança for encontrado, por padrão o cliente colocará
os arquivos infectados em quarentena e reparará os efeitos do risco.
Se o cliente não puder colocar os arquivos em quarentena, registrará
a tentativa.
Sobre as definições de vírus

Os arquivos de vírus contêm bits de código que exibem determinados padrões
quando decompostos. Os padrões podem ser rastreados em arquivos infectados.
Os padrões também são conhecidos como assinaturas. Os riscos à segurança, como
adware e spyware, também têm assinaturas reconhecíveis.
Os arquivos de definições contêm uma lista de assinaturas de vírus conhecidos,
sem o código prejudicial do vírus e assinaturas conhecidas de riscos à segurança.
O software de verificação procura nos arquivos do computador as assinaturas
conhecidas existentes nos arquivos de definições. Se uma correspondência de
vírus for encontrada, isso indica que o arquivo está infectado. O cliente usa os
arquivos de definições para determinar qual vírus causou a infecção e para reparar
seus efeitos colaterais. Se for encontrado um risco à segurança, o cliente usará os
arquivos de definições para colocá-lo em quarentena e reparar seus efeitos
colaterais.
Novos vírus e riscos à segurança são introduzidos na comunidade de informática
regularmente. É necessário certificar-se de que os arquivos de definições do seu
computador estejam atualizados. Você deve certificar-se de que o cliente pode
detectar e limpar até mesmo os vírus e riscos à segurança mais recentes.
Sobre a verificação de arquivos compactados

As verificações antivírus e anti-spyware verificam arquivos compactados. Por
exemplo, arquivos .zip. O administrador pode especificar verificações com até 10
níveis de profundidade em arquivos compactados. Consulte-o para saber quais os
tipos de verificações de arquivos compactados são aceitos.
Se o Auto-Protect estiver ativado, todos os arquivos em um arquivo compactado
serão verificados.
Início das verificações sob demanda

Você pode executar manualmente a verificação de vírus e riscos à segurança, como
adware e spyware, a qualquer momento. Selecione qualquer item para verificar,
desde um arquivo e um disquete até todo o computador. As verificações sob
demanda incluem Verificação rápida e Verificação completa. Também é possível
criar uma verificação personalizada para ser executada sob demanda.
Consulte “Criação de verificações sob demanda e de inicialização” na página 70.
Clique em Ajuda para obter mais informações sobre as opções usadas nesse
procedimento.
Configuração da verificação antivírus e anti-spyware
Para iniciar uma verificação no Windows

◆ Na janela Meu computador ou Windows Explorer, clique com o botão direito
do mouse em um arquivo, pasta ou unidade e clique em Verificar vírus.
Não há suporte para esse recurso em sistemas operacionais de 64 bits.
Para iniciar uma verificação no cliente
◆ Siga uma das seguintes ações:
■ No cliente, na página Status, ao lado de Proteção antivírus e anti-spyware,
clique em Opções > Executar verificação rápida.
■ No cliente, na barra lateral, clique em Verificar ameaças.
Siga uma das seguintes ações:
■ Em Verificação rápida, clique em Verificação rápida.
■ Em Verificação completa, clique em Verificação completa.
■ Na lista de verificações, clique com o botão direito do mouse em
qualquer verificação e clique em Verificar agora.
A verificação será iniciada. Uma janela de andamento será exibida no
computador para mostrar o andamento da verificação e os resultados.

Você pode configurar vários tipos diferentes de verificação para proteger o
computador contra vírus e riscos à segurança.
Criação de verificações agendadas

A verificação agendada é um importante componente de proteção contra ameaças
e riscos à segurança. Agende pelo menos uma verificação para ser executada uma
vez por semana para assegurar que o computador permaneça livre de vírus e riscos
à segurança. Quando uma verificação é criada, é exibida na lista de verificações
na janela Verificar ameaças.
Nota: Se o administrador tiver criado uma verificação agendada para você, ela
constará na lista de verificações na janela Verificar ameaças.
O computador precisa estar ligado e os serviços do Symantec Endpoint Protection

devem estar carregados no momento agendado para que a verificação ocorra. Por
padrão, os serviços do Symantec Endpoint Protection são carregados quando o
computador é iniciado.
Clique em Ajuda para obter mais informações sobre as opções usadas nos
procedimentos.
Para criar uma verificação agendada
2 Clique em Criar uma nova verificação.
3 Na caixa de diálogo O que verificar, selecione um destes tipos de verificação
a ser agendada:
■ Personalizada: Verifica a existência de vírus e riscos à segurança nas áreas
selecionadas do computador.
■ Rápida: Verifica a existência de vírus e riscos à segurança que mais
infectam áreas do computador.
■ Completa: Verifica a existência de vírus e riscos à segurança em todo o
computador.
4 Se você tiver selecionado Personalizada, marque as caixas de seleção

adequadas para especificar o local a ser verificado.
Os símbolos têm estas descrições:
O arquivo, a unidade ou a pasta não está selecionada. Se o item for uma

unidade ou pasta, as pastas e os arquivos ali contidos também não
estarão selecionados.
O arquivo ou a pasta específica está selecionada.
A pasta ou a unidade de disco específica está selecionada. Todos os

itens da pasta ou unidade também estarão selecionados.
A pasta individual ou a unidade de disco não está selecionada, mas um

ou mais itens da pasta ou da unidade estão selecionados.
5 Clique em Avançar.
6 Na caixa de diálogo Opções de verificação, você pode:
■ Altere as configurações padrão do que será verificado.
Todos os arquivos são verificados.
■ Especifique como o cliente responderá se um vírus ou risco à segurança
for detectado.
Por padrão, o cliente limpa vírus dos arquivos infectados e repara os efeitos
colaterais. Se o cliente não puder remover o vírus, colocará o arquivo em
quarentena.
Por padrão, o cliente coloca em quarentena os riscos à segurança e remove
ou repara os efeitos colaterais. Se o cliente não puder colocar em
quarentena e reparar o risco, registrará o evento.
7 Em Aperfeiçoamentos da verificação, selecione um dos locais.

8 Clique em Avançado.
9 É possível definir quaisquer destas opções:
■ Opções de arquivos compactados
■ Opções de backup
■ Opções de diálogo
■ Opções de ajuste
■ Opções de migração para armazenamento
10 Em Opções de diálogo, na lista suspensa, clique em Mostrar andamento da

verificação e em OK.
11 Clique em OK.
12 Na caixa de diálogo Opções da verificação, você também pode alterar estas
opções:
■ Ações: Alterar a primeira e a segunda ação a serem tomadas quando forem
detectados vírus e riscos à segurança.
■ Notificação: Criar uma mensagem a ser exibida quando um vírus ou risco
à segurança for encontrado. Também é possível configurar se você deseja
ser notificado antes que as ações de correção ocorram.
■ Exceções centralizadas: Crie uma exceção para uma detecção de risco à
segurança.
14 Na caixa de diálogo Quando verificar, clique em Em horas específicas e em
Avançar.
15 Na caixa de diálogo Agendar, especifique a freqüência e quando deve ser feita
a verificação.
17 Na caixa de diálogo Opções avançadas de agendamento, faça o seguinte:
■ Selecione Repetir verificação agendada até o <número> de horas do

horário agendado. Defina o número de horas nas quais deseja executar a
verificação. Por exemplo, você só pode fazer uma verificação semanal se
ela ocorrer nos três dias após o horário agendado para o evento perdido.
■ Marque ou desmarque Executar esta verificação agendada, definida pelo
usuário, mesmo quando este não estiver conectado. As verificações
definidas pelo usuário serão sempre executadas se ele estiver conectado,
independentemente desta configuração.
Para os clientes gerenciados, o administrador poderá substituir essas
configurações.
18 Clique em OK.
19 Na caixa de diálogo Agendar, clique em Avançar.
20 Na caixa de diálogo Nome da verificação, digite um nome e descrição para a
verificação.
Por exemplo, a verificação pode ser denominada: Sexta de manhã
21 Clique em Concluir.
Sobre a criação de várias verificações agendadas

Se você agendar várias verificações para que ocorram no mesmo computador e
estas iniciarem ao mesmo tempo, serão executadas em série. Quando uma
verificação terminar, outra iniciará. Por exemplo, você pode agendar três
verificações diferentes no computador para que ocorram às 13 horas. Cada
verificação é feita em uma unidade diferente. Uma verificação é feita na unidade
C. Outra é feita na unidade D. Outra é feita na unidade E. Nesse exemplo, a melhor
solução é criar uma verificação agendada que abranja as unidades C, D e E.
Criação de verificações sob demanda e de inicialização

Alguns usuários complementam as verificações agendadas com uma verificação
automática executada quando o computador é ligado ou o login é feito. Geralmente,
a verificação de inicialização restringe-se às pastas de alto risco, como a pasta
Windows e as pastas de modelos do Microsoft Word e Excel.
Nota: Se você criar mais de uma verificação de inicialização, elas serão executadas
seqüencialmente na ordem em que forem criadas.
A Proteção antivírus e anti-spyware também inclui uma verificação de inicialização

denominada Verificação rápida gerada automaticamente. A verificação gerada
automaticamente verifica os pontos de infecções comuns sempre que um usuário
faz login no computador. É possível editar essa verificação da mesma maneira

que você pode configurar uma verificação sob demanda. Entretanto, não é possível
desativar as verificações dos arquivos na memória e nos pontos de infecção comuns
no computador.
Se você verifica freqüentemente o mesmo grupo de arquivos ou pastas, poderá
criar uma verificação sob demanda restrita a esses itens. A qualquer momento, é
possível verificá-los rapidamente para saber se estão livres de vírus e riscos à
segurança.
As verificações sob demanda devem ser iniciadas manualmente.
Consulte “Início das verificações sob demanda” na página 66.
procedimentos.
Para criar uma verificação sob demanda ou de inicialização
2 Clique em Criar uma nova verificação.
4 Na caixa de diálogo O que verificar, selecione uma destes tipos de verificações
a ser agendada:
■ Personalizada
■ Rápida
■ Completa
6 Se você tiver selecionado Personalizada, selecione os arquivos e pastas que

deseja verificar na caixa de seleção Selecionar arquivos.
Os símbolos têm estas descrições:
O arquivo, a unidade ou a pasta não está selecionada. Se o item for uma

unidade ou pasta, as pastas e os arquivos ali contidos também não
estarão selecionados.
O arquivo ou a pasta específica está selecionada.
A pasta ou a unidade de disco específica está selecionada. Todos os

itens da pasta ou unidade também estarão selecionados.
A pasta individual ou a unidade de disco não está selecionada, mas um

ou mais itens da pasta ou da unidade estão selecionados.
8 Na caixa de diálogo Opções de verificação, você pode:
■ Altere as configurações padrão do que será verificado.
Todos os arquivos são verificados.
■ Especifique como o cliente responderá se um vírus ou risco à segurança
for detectado.
Por padrão, o cliente limpa vírus dos arquivos infectados e repara os efeitos
colaterais. Se o cliente não puder remover o vírus, colocará o arquivo em
quarentena.
Por padrão, o cliente coloca em quarentena os riscos à segurança e remove
ou repara os efeitos colaterais. Se o cliente não puder colocar em
quarentena e reparar o risco, registrará o evento.
9 Em Aperfeiçoamentos da verificação, selecione qualquer um dos locais.

11 Na caixa de diálogo Opções avançadas de verificação, é possível definir estas
opções:
■ Opções de arquivos compactados
■ Opções de backup
■ Opções de diálogo
■ Opções de ajuste
■ Opções de migração para armazenamento
12 Em Opções de diálogo, na lista suspensa, clique em Mostrar andamento da

verificação e em OK.
13 Depois de configurar as opções avançadas, clique em OK.
14 Também é possível alterar estas opções:
■ Ações: Alterar a primeira e a segunda ação a serem tomadas quando forem
detectados vírus e riscos à segurança.
■ Notificações: Criar uma mensagem a ser exibida quando um vírus ou risco
à segurança for encontrado. Também é possível configurar se você deseja
ser notificado antes que as ações de correção ocorram.
■ Exceções centralizadas: Criar exceções de verificação.
15 Depois de configurar as opções de verificação, clique em OK.

16 Na caixa de diálogo Quando executar, escolha uma destas ações:
■ Clique em Sob demanda.
■ Clique em Na inicialização.
17 Na caixa de diálogo Opções de verificação, clique em Avançar.

18 Digite um nome e uma descrição para a verificação.
Por exemplo, a verificação pode ser denominada: MyScan1
19 Clique em Concluir.
Edição e exclusão de verificações de inicialização, definidas pelo

usuário e agendadas
Você pode editar e excluir verificações de inicialização, definidas pelo usuário e
agendadas existentes. Algumas opções podem não estar disponíveis caso não
sejam configuráveis para um determinado tipo de verificação.
Para editar uma verificação
2 Na lista de verificações, clique com o botão direito do mouse na verificação
que deseja editar e clique em Editar.
3 Faça as alterações nas guias O que verificar, Opções e Geral.
Nas verificações agendadas, também é possível modificar o agendamento.
4 Clique em OK.
Interpretação dos resultados das verificações
Para excluir uma verificação

2 Na lista de verificações, clique com o botão direito do mouse na verificação
que deseja editar e clique em Excluir.
3 Na caixa de diálogo Confirmar exclusão, clique em Sim.

Quando uma verificação sob demanda, agendada, de inicialização ou definida pelo
usuário é executada, por padrão o software cliente exibe uma caixa de diálogo de
andamento da verificação. Além disso, o Auto-Protect pode exibir uma caixa de
diálogo de resultados quando detectar um vírus ou risco à segurança. É possível
desativar essas notificações.
Em uma rede de gerenciamento centralizado, a caixa de diálogo de andamento da
verificação talvez não seja exibida quando as verificações forem iniciadas pelo
administrador. Da mesma forma, o administrador pode optar por não exibir
resultados quando o cliente detectar um vírus ou risco à segurança.
Se o cliente detecar riscos durante a verificação, a caixa de diálogo de andamento
da verificação exibirá os resultados com estas informações:
■ Nomes dos arquivos infectados
■ Nomes dos vírus ou riscos à segurança.
■ Ações tomadas pelo cliente em relação aos riscos
Por padrão, você recebe notificação sempre que um vírus ou risco à segurança é
detectado.
Nota: O idioma do sistema operacional em que o cliente é executado talvez não

interprete alguns caracteres nos nomes de vírus. Caso o sistema operacional não
possa interpretar os caracteres, estes aparecerão como pontos de interrogação
nas notificações. Por exemplo, alguns nomes de vírus unicode podem conter
caracteres de byte duplo. Em computadores que executam o cliente em sistemas
operacionais em inglês, esses caracteres são exibidos como interrogações.
Se você configurar o cliente para exibir uma caixa de diálogo de andamento da

verificação, poderá pausar, reiniciar ou interromper a verificação. Quando a
verificação estiver concluída, os resultados serão exibidos na lista. Se nenhum
vírus ou risco à segurança for detectado, a lista continuará vazia e o status será
Concluído.
Consulte “Pausar e adiar verificações” na página 48.
Sobre a interação com os resultados da verificação ou do Auto-Protect

As caixas de diálogo de andamento da verificação e de resultados do Auto-Protect
têm opções parecidas. Se o cliente precisar encerrar um processo ou aplicativo ou
interromper um serviço, a opção Remover risco estará ativa. Você pode não
conseguir fechar a caixa de diálogo se os riscos da caixa exigirem que você execute
uma ação.
Tabela 6-3 descreve as opções e a caixa de diálogo de resultados.
Tabela 6-3 Opções da caixa de diálogo Resultados
Botão Descrição
Remover riscos agora Exibe a caixa de diálogo Remover risco.

Na caixa de diálogo Remover risco, você pode selecionar uma
destas opções para cada risco:
■ Sim
O cliente remove o risco. A remoção do risco pode requerer a
reinicialização. As informações da caixa de diálogo indicarão
se a reinicialização é requerida.
■ Não
Quando a caixa de diálogo de resultados for fechada, outra
caixa de diálogo será exibida. A caixa de diálogo o avisará que
ainda é necessário executar uma ação. Entretanto, a caixa de
diálogo Remover risco será removida até que o computador
seja reiniciado.
Fechar Fecha a caixa de diálogo de resultados se não for necessário

executar ações em nenhum dos riscos
Se for necessário executar uma ação, uma destas notificações será
exibida:
■ Remoção de risco requerida.

Exibida quando um risco requer o encerramento do processo.
Se você optar por remover o risco, retornará à caixa de diálogo
de resultados. Se também for necessário reinicializar, as
informações contidas na linha do risco na caixa de diálogo
indicarão isso.
■ Reinicialização necessária.
Exibida quando um risco requer a reinicialização.
■ Remoção do risco e reinicialização requeridas.
Exibida quando um risco requer o encerramento do processo
e outro risco requer a reinicialização.
Envio de informações sobre verificações antivírus e anti-spyware ao Symantec Security Response
Se a reinicialização for requerida, a remoção ou o reparo não serão concluídos

enquanto o computador não for reinicializado.
Pode ser necessário executar uma ação em um risco, mas você pode optar por não
executá-la no momento.
O risco pode ser removido ou reparado posteriormente destas maneiras:
■ É possível abrir o registro de riscos, clicar no risco com o botão direito do mouse
e depois tomar uma ação.
■ Você pode executar uma verificação para detectar o risco e reabrir a caixa de
diálogo de resultados.
Também é possível executar ações clicando em um risco com o botão direito do
mouse na caixa de diálogo e selecionando uma ação. As ações que podem ser
tomadas dependem das ações configuradas para o tipo de risco específico que a
verificação detectou.
Consulte “Tratamento dos arquivos infectados” na página 20.
Envio de informações sobre verificações antivírus e

anti-spyware ao Symantec Security Response
É possível especificar para que as informações sobre as taxas de detecção de
verificações ou do Auto-Protect sejam enviadas automaticamente para o Symantec
Security Response. As informações sobre as taxas de detecção ajudam a Symantec
a aperfeiçoar as atualizações de definições de vírus. As taxas de detecção mostram
os vírus e riscos à segurança mais detectados por clientes. O Symantec Security
Response pode remover as assinaturas que não são detectadas e oferecer uma
lista segmentada de assinaturas aos clientes que a solicitarem. As listas
segmentadas aumentam o desempenho da verificação antivírus e anti-spyware.
O envio das taxas de detecção é ativado por padrão.
Nota: O administrador poderá bloquear essas configurações de envio.
Também é possível enviar itens em quarentena à Symantec.

Consulte “Envio de um arquivo supostamente infectado ao Symantec Security
Response para análise” na página 92.
Para enviar informações sobre verificações antivírus e anti-spyware ao Symantec
Security Response
Configuração de ações para vírus e riscos à segurança
3 Na guia Envios, marque Enviar automaticamente as detecções de antivírus

e anti-spyware.
4 Clique em OK.

É possível configurar as ações que o cliente do Symantec Endpoint Protection
deverá executar ao detectar um vírus ou risco à segurança. Você pode configurar
uma primeira ação e uma segunda, caso a primeira falhe.
Nota: Se o computador for gerenciado por um administrador e essas opções

exibirem um ícone de cadeado, significa que você não pode alterá-las porque o
administrador as bloqueou.
Configure ações para qualquer tipo de verificação da mesma maneira. Todas as

verificações têm suas próprias configurações de ações. É possível configurar ações
diferentes para verificações diferentes.
procedimentos.
Para configurar ações para vírus e riscos à segurança
1 Na caixa de diálogo Ações de verificação, na árvore, selecione um tipo de vírus
ou risco à segurança.
Por padrão, cada subcategoria de risco à segurança é configurada
automaticamente para usar as ações definidas para toda a categoria de riscos
à segurança.
2 Para configurar uma categoria ou instâncias específicas de uma categoria
para que usem outras ações, marque Sobrepor ações configuradas para riscos
à segurança e defina as ações somente para a categoria em questão.
3 Selecione uma primeira e uma segunda ação nestas opções:
Limpar risco Remove o vírus do arquivo infectado. Essa é a configuração

padrão primeira ação para vírus.
Nota: Essa ação está disponível somente como primeira ação
para vírus. Essa ação não se aplica aos riscos à segurança.
Essa configuração deve ser sempre a primeira ação para vírus.

Se o cliente conseguir remover o vírus de um arquivo, você
não precisará tomar outra ação. O computador está livre de
vírus e não está mais suscetível a disseminar o vírus em
outras áreas do computador.
Quando o cliente limpa um arquivo, remove o vírus do arquivo

infectado, do setor de inicialização ou das tabelas de partição.
Ele também elimina a capacidade do vírus de se disseminar.
O cliente geralmente pode encontrar e limpar um vírus antes
que ele cause danos ao computador. Por padrão, o cliente faz
backup do arquivo.
Em alguns casos, entretanto, o arquivo limpo poderá não ser

utilizável. O vírus pode ter causado muitos danos.
Alguns arquivos infectados não podem ser limpos.
Colocar risco em Move o arquivo infectado de seu local original para a

quarentena Quarentena. Os arquivos infectados colocados na quarentena
não disseminam vírus.
No caso de vírus, move o arquivo infectado do local original

para a quarentena. Essa configuração é o padrão da segunda
ação para vírus.
No caso de riscos à segurança, o cliente move o arquivo

infectado do local original para a quarentena e tenta remover
ou reparar os efeitos colaterais. Essa configuração é o padrão
da primeira ação para riscos à segurança.
A quarentena contém um registro de todas as ações que foram

executadas. É possível restaurar o computador ao estado
existente antes de o cliente remover o risco.
Excluir risco Exclui o arquivo infectado da unidade de disco rígido do

computador. Se o cliente não puder excluir um arquivo, as
informações sobre a ação que o cliente executou serão
exibidas na caixa de diálogo Notificação. As informações
também são exibidas no Registro de eventos.
Use essa ação somente se desejar substituir o arquivo por

uma cópia de backup livre de vírus ou riscos à segurança.
Quando o cliente exclui um risco, o faz de maneira
permanente. O arquivo infectado não poderá ser recuperado
da Lixeira.
Nota: Use essa ação com cuidado quando configurar ações
para riscos à segurança, segurança. Em alguns casos, excluir
riscos à segurança pode fazer com que os aplicativos percam
funcionalidade.
Ignorar (somente Deixa o arquivo como está.

registro)
Se você usar essa ação para vírus, este permanecerá nos
arquivos infectados. O vírus pode se disseminar para outras
partes do computador. Uma entrada é colocada no Histórico
de riscos para manter um registro do arquivo infectado.
A opção Ignorar (somente registro) pode ser usada como

segunda ação para vírus de macro e que não sejam de macro.
Não selecione essa ação ao executar verificações de grande

porte e automatizadas, como as verificações agendadas. É
possível usar essa ação se você quiser exibir os resultados da
verificação e tomar uma ação adicional posteriormente. A
ação adicional pode ser mover o arquivo para a Quarentena.
No caso de riscos à segurança, deixa o arquivo infectado como

está e insere uma entrada no Histórico de riscos para manter
um registro do risco. Use essa opção para ter controle manual
de como o cliente trata de um risco à segurança. Essa
configuração é o padrão da segunda ação para riscos à
segurança.
O administrador pode enviar uma mensagem personalizada

que explique como reagir.
Consulte “Dicas para atribuir segundas ações para vírus” na página 80.
Consulte “Dicas para atribuir segundas ações para riscos à segurança”
na página 81.
4 Repita as etapas 1 e 3 para cada categoria para a qual você deseja definir ações
específicas.
5 Se você tiver selecionado uma categoria de risco à segurança, poderá selecionar

ações personalizadas para uma ou mais instâncias específicas dessa categoria.
É possível excluir um risco à segurança da verificação. Por exemplo, você
pode excluir um adware que precise usar no seu trabalho.
6 Clique em OK.
Dicas para atribuir segundas ações para vírus

Ao selecionar uma segunda ação para vírus, considere estas situações:
Como você gerencia Se você armazena arquivos importantes em seu computador sem
arquivos em seu fazer backup destes, você não deve usar ações como Excluir risco.
computador Embora seja possível excluir um vírus dessa forma, você pode
perder dados importantes.
Outro aspecto a ser considerado está relacionado aos arquivos do

sistema. Os vírus geralmente atacam arquivos executáveis. Você
pode usar a ação Ignorar (somente registrar) ou Colocar risco em
quarentena para que possa verificar quais arquivos foram
infectados. Por exemplo, um vírus pode atacar Command.com. Se
o cliente não puder limpar a infecção, você não poderá restaurar
o arquivo. O arquivo é crítico para o sistema. Você pode usar a
opção Ignorar para certificar-se de que o arquivo esteja acessível.
Tipo de vírus que Os tipos diferentes de vírus têm como alvos áreas distintas do
infectou o computador computador para infecção. Os vírus de inicialização infectam
setores de inicialização, tabelas de partição, registros mestres de
inicialização e às vezes, a memória. Quando os vírus de
inicialização são múltiplos, também podem infectar arquivos
executáveis e a infecção pode ser tratada da mesma forma que um
vírus de arquivo. Os vírus de arquivo geralmente infectam os
arquivos executáveis com as extensões .exe, .com ou .dll. Vírus de
macro infectam os arquivos de documento e as macros associadas
a esses documentos. Selecione ações baseadas nos tipos de arquivos
que talvez seja necessário recuperar.
Tipo da verificação Todas as verificações executam ações automaticamente sem o seu

executada no consentimento. Se você não alterar as ações antes da verificação,
computador as ações padrão serão usadas. Como resultado, as ações
secundárias padrão foram criadas para dar a você o controle de
uma situação de epidemia de vírus. Nas verificações executadas
automaticamente, como verificações agendadas e do Auto-Protect,
não atribua ações secundárias que tenham efeitos permanentes.
Por exemplo, você pode executar uma verificação sob demanda
quando já souber que um arquivo está infectado. Você pode limitar
as ações Excluir risco e Limpar risco nessa verificação sob
demanda.
Dicas para atribuir segundas ações para riscos à segurança

Ao selecionar uma segunda ação para riscos à segurança, considere o nível de
controle que você precisa ter sobre os arquivos. Se você armazenar arquivos
importantes no computador e não fizer backup deles, não use a ação Excluir risco.
Embora seja possível excluir um risco à segurança dessa maneira, isso pode fazer
com que outro aplicativo no computador pare de funcionar. Em vez disso, use a
ação Colocar risco em quarentena para que possa reverter as alterações feitas
pelo cliente, caso necessário.
Sobre a classificação do impacto de riscos

A Symantec avalia os riscos à segurança para estabelecer seus efeitos no
computador.
Os seguintes fatores são classificados como baixo, médio ou alto:
■ Impacto de privacidade
■ Impacto de desempenho
■ Dissimulado
■ Dificuldade de remoção
Um fator classificado como baixo tem impacto mínimo. Um fator classificado
como médio tem um pouco de impacto. Um fator classificado como alto tem
impacto significativo naquela área. Se um determinado risco à segurança ainda
não foi avaliado, serão usadas as classificações padrão. Se um risco à segurança
foi avaliado mas um determinado fator não se aplica àquele risco, o fator será
classificado como Nenhum.
Essas classificações serão exibidas na caixa de diálogo Exceções de riscos à
segurança quando você configurar uma exceção centralizada para riscos à
Configuração de notificações para vírus e riscos à segurança
segurança conhecidos. Estas classificações servem para ajudá-lo a determinar

quais tipos de risco à segurança excluir das verificações ou manter no computador.
A Tabela 6-4 descreve os fatores de classificação e o que significa a classificação
alta para cada um deles.
Tabela 6-4 Fatores de impacto de riscos
Fator de Descrição
classificação
Impacto de privacidade Mede o nível de privacidade perdida devido à presença do risco à

segurança no computador.
Uma taxa alta indica que informações pessoais ou confidenciais

podem ser roubadas.
Impacto de Mede até que ponto um risco à segurança reduz o desempenho de

desempenho um computador.
Uma taxa alta indica que o desempenho está significativamente

reduzido.
Taxa de dissimulação Mede a facilidade em determinar se o risco à segurança está

presente em um computador.
Uma taxa alta indica que o risco à segurança tenta manter-se

oculto.
Taxa de remoção Mede a dificuldade na remoção de um risco à segurança de um

computador.
Uma taxa alta indica que é difícil remover o risco.
Taxa total A taxa geral é uma média dos outros fatores. Essa classificação
indica se outro aplicativo depende da presença desse risco à
segurança para funcionar corretamente.
Programa dependente Essa classificação indica se outro aplicativo depende da presença

desse risco à segurança para funcionar corretamente.
Configuração de notificações para vírus e riscos à

segurança
Por padrão, você recebe notificação quando uma verificação encontra um vírus
ou risco à segurança. Por padrão, você também será notificado quando o software
de verificação precisar encerrar serviços ou interromper processos. O software
de verificação também pode precisar remover ou reparar os efeitos do vírus ou
risco à segurança.
Você pode configurar as seguintes notificações para verificações:
Opções de detecção Crie a mensagem a ser exibida quando o cliente encontrar um

vírus ou risco à segurança no computador.
Quando você configurar o Auto-Protect do Sistema de arquivos,

poderá selecionar uma opção adicional para exibir uma caixa de
diálogo. A caixa de diálogo conterá os resultados quando o
Auto-Protect encontrar riscos no computador.
Opções de correção Configure se deseja ser notificado quando o cliente encontrar um

vírus ou risco à segurança. Você também pode ser notificado de
que o cliente precisa encerrar um processo ou interromper um
serviço para remover ou reparar um risco.
Você pode criar a mensagem de detecção que deseja exibir no computador. Para
criá-la, digite diretamente no campo de mensagem. É possível clicar com o botão
direito do mouse no campo da mensagem para selecionar variáveis a serem
incluídas na mensagem.
A Tabela 6-5 descreve os campos de variáveis disponíveis para mensagens de
notificação.
Tabela 6-5 Campos de variáveis da mensagem
Campo Descrição
Nome do vírus Nome do vírus ou risco à segurança encontrado.
Ação tomada Ação tomada pelo cliente quando detectou o vírus ou risco à
segurança. Essa ação pode ser a primeira ou a segunda ação
configurada.
Status Estado do arquivo: Infectado, não infectado ou excluído.
Essa a variável de mensagem não é usada por padrão. Para exibir

essas informações, adicione manualmente essa variável à
mensagem.
Nome do arquivo Nome do arquivo infectado pelo vírus ou risco à segurança.
Caminho e nome do Caminho completo e nome do arquivo infectado pelo vírus ou risco
arquivo à segurança.
Localização Unidade do computador em que o vírus ou risco à segurança foi

encontrado.
Computador Nome do computador em que o vírus ou risco à segurança foi

encontrado.
Campo Descrição
Usuário Nome do usuário conectado quando o vírus ou risco à segurança

ocorreu.
Evento Tipo de evento, como "Risco encontrado".
Registrado por Tipo da verificação que detectou o vírus ou risco à segurança.
Data de detecção Data em que o vírus ou risco à segurança foi encontrado.
Nome de Área afetada do aplicativo, por exemplo, Sistema de arquivos

armazenamento Auto-Protect ou Auto-Protect do Lotus Notes.
Descrição da ação Descrição completa das ações tomadas em resposta à detecção do

vírus ou risco à segurança.
É possível configurar notificações para verificações definidas pelo usuário e para

o Auto-Protect. A configuração da notificação inclui opções de correção. As opções
de correção estarão disponíveis somente para verificações e para o Auto-Protect
do sistema de arquivos.
Clique em Ajuda para obter mais informações sobre as opções usadas nesse
procedimento.
Para configurar notificações para vírus e riscos à segurança
1 Siga uma destas ações:
■ Para uma nova verificação, na caixa de diálogo Opções de verificação,
clique em Notificações.
■ Para uma verificação existente, na guia Opções de verificação, clique em
Notificações.
■ Para o Auto-Protect, na caixa de diálogo Configurações da Proteção
antivírus e anti-spyware, em qualquer uma das guias do Auto-Protect,
clique em Notificações.
2 Na caixa de diálogo Opções de notificações, em Opções de detecção, selecione

Exibir mensagem de notificação no computador infectado. Selecione essa
opção se quiser que uma mensagem seja exibida no computador quando a
verificação encontrar um vírus ou risco à segurança.
3 Na caixa de mensagem, siga uma ou todas estas ações para criar a mensagem
desejada:
■ Clique para digitar ou editar texto.
■ Clique com o botão direito do mouse, clique em Inserir campo e selecione
o campo de variável que você deseja inserir.
Configuração de exceções centralizadas para verificações antivírus e anti-spyware
■ Clique com o botão direito do mouse e selecione Recortar, Copiar, Colar,

Limpar ou Desfazer.
4 Para a configuração do Auto-Protect, selecione ou cancele a seleção de Exibir

a caixa de diálogo de resultados do Auto-Protect.
Esse parâmetro permite ou anula a caixa de diálogo que contém resultados
quando o Auto-Protect do sistema de arquivos encontra vírus e riscos à
segurança.
5 Em Opções de correção, selecione as opções que deseja definir para a
verificação ou para o Auto-Protect do sistema de arquivos. As seguintes opções
estão disponíveis:
Encerrar processos Configura a verificação para encerrar processos

automaticamente automaticamente quando necessário para remover ou reparar
um vírus ou risco à segurança. Você não será solicitado a
salvar os dados para que a verificação encerre os processos.
Interromper serviços Configura a verificação para que interrompa os serviços

automaticamente automaticamente quando precisar remover ou reparar um
vírus ou risco à segurança. Você não será solicitado a salvar
os dados para que a verificação interrompa os serviços.
6 Clique em OK.
Configuração de exceções centralizadas para

verificações antivírus e anti-spyware
As exceções centralizadas são os itens que você quer dispensar da verificação,
como um risco à segurança ou arquivo em específico. Geralmente não é necessário
criar exceções.
Nos clientes gerenciados, o administrador pode ter criado exceções centralizadas
para as verificações. Você poderá conferir as exceções do administrador, porém
não poderá alterá-las. Se você determinar uma exceção centralizada que entre em
conflito com uma exceção do administrador, esta última terá prioridade.
Esse procedimento descreve a configuração de uma exceção centralizada na página
Alterar configurações. Também é possível configurar exceções ao criar ou modificar
uma verificação sob demanda, agendada ou de inicialização ou quando você
modificar as configurações do Auto-Protect. As exceções se aplicam a todas as
verificações antivírus e anti-spyware. Se você configurar uma exceção ao criar ou
editar uma determinada verificação, esta se aplicará a todas as verificações
antivírus e anti-spyware.
Configuração de exceções centralizadas para verificações antivírus e anti-spyware
Nota: Também é possível configurar exceções centralizadas para verificações

proativas de ameaças.
Clique em Ajuda para obter mais informações sobre as opções usadas nesses
procedimentos.
Para excluir um risco à segurança das verificações
2 Ao lado de Exceções centralizadas, clique em Configurar ajustes.
3 Na caixa de diálogo Exceções centralizadas, na guia Exceções definidas pelo
usuário, clique em Adicionar > Exceções de riscos à segurança > Riscos
conhecidos.
4 Na caixa de diálogo Selecionar riscos à segurança, selecione os riscos à
segurança que você deseja excluir das verificações.
5 Se você quiser registrar um evento quando o risco à segurança for detectado
e ignorado, selecione Registrar quando o risco à segurança for detectado.
6 Clique em OK.
7 Na caixa de diálogo Exceções centralizadas, clique em OK.
Para excluir um arquivo das verificações
usuário, clique em Adicionar > Exceções de riscos à segurança > Arquivo.
4 Na caixa de diálogo Adicionar exceção de arquivo, selecione o arquivo ou
digite o nome do arquivo que deseja excluir e clique em Adicionar.
5 Clique em OK.
Para excluir uma pasta das verificações
usuário, clique em Adicionar > Risco à segurança > Exceções de pastas.
4 Na caixa de diálogo Adicionar exceção de pasta, selecione a pasta ou digite o
nome da pasta que deseja excluir.
5 Selecione Incluir subpastas se quiser excluir subpastas da pasta selecionada.
Sobre a quarentena
6 Selecione a pasta que deseja excluir e clique em OK.

Para excluir extensões das verificações
usuário, clique em Adicionar > Exceções de riscos à segurança > Extensões.
4 Na caixa de diálogo Adicionar exceções de extensão, digite a extensão que
deseja excluir.
Só é possível incluir uma extensão na caixa de texto. Se digitar várias
extensões, o cliente tratará a entrada como um único nome de extensão.
5 Clique em Adicionar.
6 Repita da etapa 4 até a etapa 5 para adicionar mais extensões.
Sobre a quarentena
Algumas vezes, o cliente detecta um vírus desconhecido que o conjunto atual de
definições de vírus não pode eliminar. Talvez você tenha um arquivo que acha
que está infectado, mas as verificações não detectam a infecção. A quarentena
isola com segurança os arquivos possivelmente infectados no computador. Ao
mover um vírus para a quarentena, o vírus não poderá disseminar-se no
computador ou em outros computadores da rede.
Sobre os arquivos infectados na quarentena

É possível visualizar os arquivos infectados na quarentena.
É possível visualizar as seguintes informações sobre os arquivos:
■ Risco
■ Nome do arquivo
■ Tipo
■ Local de origem
■ Status
■ Data
Sobre a quarentena
Nota: O idioma do sistema operacional em que o cliente é executado talvez não

interprete alguns caracteres nos nomes de riscos. Caso o sistema operacional não
possa interpretar os caracteres, estes aparecerão como pontos de interrogação
nas notificações. Por exemplo, alguns nomes de riscos unicode podem conter
caracteres de byte duplo. Em computadores que executam o cliente em sistemas
operacionais em inglês, esses caracteres aparecem como pontos de interrogação.
Quando o cliente move um arquivo infectado para a quarentena, o risco não pode
copiar a si mesmo e infectar outros arquivos. Essa é uma segunda ação
recomendada para infecções por vírus de macro e não-macro.
Contudo, a ação de quarentena não limpa o risco. O risco permanece no computador
até que o cliente limpe o risco ou exclua o arquivo. Vírus e vírus de macro podem
ser movidos para a quarentena. Os vírus de inicialização não podem ser movidos
para a quarentena. Geralmente, os vírus de inicialização residem no setor de
inicialização ou nas tabelas de partição de um computador e não podem ser
movidos para a quarentena.
Também é possível exibir as propriedades do arquivo infectado.
Consulte “Exibição de arquivos e detalhes de arquivos na quarentena” na página 89.
Sobre o tratamento de arquivos infectados na quarentena

Após um arquivo ser movido para a quarentena, é possível realizar as seguintes
ações:
■ Restaurar o arquivo selecionado para o local de origem.
■ Excluir o arquivo selecionado permanentemente.
■ Repetir a verificação dos arquivos após receber definições de vírus atualizadas.
■ Exportar o conteúdo da quarentena para um arquivo (*.csv) delimitado por
vírgula ou para um arquivo de banco de dados Access (*.mdb).
■ Adicionar manualmente um arquivo à quarentena. Você pode procurar o local
e selecionar o arquivo que você deseja mover para a quarentena.
■ Enviar um arquivo ao Symantec Security Response. Siga as instruções do
assistente na tela para enviar o arquivo selecionado para análise.
Consulte “Gerenciamento da quarentena” na página 89.
Gerenciamento da quarentena
Sobre o tratamento de arquivos infectados por riscos à segurança

Você pode deixar os arquivos em quarentena porque eles apresentam riscos à
segurança ou você pode excluí-los. Deixe-os em quarentena até ter certeza de que
os aplicativos no computador não tenham perdido nenhuma funcionalidade.
Se você excluir os arquivos associados a um risco à segurança, um aplicativo do
computador pode não funcionar adequadamente. O aplicativo pode depender dos
arquivos associados que foram excluídos. A quarentena é uma opção mais segura
por ser reversível. É possível restaurar arquivos caso algum aplicativo no
computador perca a funcionalidade após a colocação de arquivos de programa
dependentes na quarentena.
Nota: Após executar o aplicativo com êxito, talvez você deseje excluir os arquivos
para economizar espaço em disco.
Os arquivos são colocados na quarentena em uma das seguintes maneiras:
■ O cliente é configurado para mover para a quarentena os itens infectados
detectados pelo Auto-Protect ou por uma verificação.
■ Você seleciona um arquivo manualmente e o coloca em quarentena.
As opções padrão do Auto-Protect e de todos os tipos de verificação limpam o
vírus de um arquivo infectado na detecção. O software de verificação coloca o
arquivo na quarentena se ele não puder ser limpo. No caso de riscos à segurança,
a opção padrão é colocar os arquivo infectados na quarentena e reparar os efeitos
colaterais.
Para adicionar manualmente um arquivo à quarentena
1 No cliente, na barra lateral, clique em Exibir quarentena.
3 Selecione o arquivo que deseja adicionar à quarentena e então clique em
Adicionar.
Exibição de arquivos e detalhes de arquivos na quarentena

É possível exibir os arquivos que foram movidos para a quarentena. Você pode
exibir detalhes sobre os arquivos. Os detalhes incluem o nome do vírus e o nome
do computador em que o arquivo foi encontrado.
Para exibir os arquivos e os detalhes de arquivos na quarentena

2 Clique com o botão direito do mouse no arquivo desejado e clique em
Propriedades.
Repetição da verificação de vírus dos arquivos na quarentena

Se você tiver arquivos na quarentena, atualize suas definições. Ao atualizar as
definições, os arquivos na quarentena poderão ser verificados, limpos e restaurados
automaticamente. É possível repetir a verificação dos arquivos na quarentena se
o Assistente de Restauração for exibido.
Se o cliente não pode remover o vírus após repetir a verificação dos arquivos na
quarentena, envie o arquivo infectado ao Symantec Security Response para análise.
Consulte “Envio de um arquivo supostamente infectado ao Symantec Security
Response para análise” na página 92.
Para repetir a verificação dos arquivos em quarentena usando o Assistente de
Restauração
1 Quando o Assistente de Restauração for exibido, clique em Sim.
Siga as instruções na tela para repetir a verificação dos arquivos em
quarentena
Repetindo manualmente a verificação dos arquivos

Você pode repetir manualmente a verificação de vírus de um arquivo na
quarentena, mas não pode fazê-lo no caso de riscos de segurança.
Para repetir manualmente a verificação de vírus de um arquivo na quarentena
1 Atualize as definições.
3 Selecione o arquivo e então clique em Limpar.
Quando não for possível retornar um arquivo reparado ao local de

origem
Às vezes, os arquivos limpos não podem ser recolocados em seu local de origem.
Por exemplo, um anexo infectado pode ter sido retirado de um e-mail e colocado
em quarentena. Você deve liberar o arquivo e especificar um local.
Para liberar um arquivo limpo da quarentena

2 Clique com o botão direito do mouse no arquivo reparado e clique em
Restaurar.
3 Especifique o local para o arquivo limpo.
Limpeza de itens de backup

Antes de tentar limpar ou reparar itens, o cliente faz cópias de backup de itens
infectados por padrão. Após o cliente limpar um vírus com êxito, é necessário
excluir manualmente o item da quarentena, pois o backup ainda está infectado.
Também é possível configurar um período de tempo no qual os arquivos são
excluídos automaticamente.
Consulte “Exclusão automática de arquivos em quarentena” na página 91.
Para limpar manualmente os itens de backup
2 Selecione um ou mais arquivos de backup.
3 Clique em Excluir.
Exclusão de arquivos da quarentena

Você pode excluir manualmente os arquivos da quarentena que não são mais
necessários. Também é possível configurar um período de tempo no qual os
arquivos são excluídos automaticamente.
Nota: O administrador pode especificar o número máximo de dias que os itens

podem permanecer na quarentena. Após esse limite, eles serão automaticamente
excluídos da quarentena.
Para excluir manualmente os arquivos da quarentena

2 Selecione um ou mais arquivos.
3 Clique em Excluir.
Exclusão automática de arquivos em quarentena

É possível configurar o software para remover automaticamente itens da lista de
quarentena, após um período de tempo especificado. Também é possível especificar
que o cliente remova itens quando a pasta em que os itens estão armazenados
atingir um certo tamanho. Essa configuração evita o acúmulo de arquivos que não
forem removidos manualmente dessas áreas.
Para excluir automaticamente arquivos
2 Clique em Opções de limpeza.
3 Na caixa diálogo Opções de limpeza, selecione uma das seguintes guias:
■ Itens em quarentena
■ Itens de backup
■ Itens reparados
4 Marque ou desmarque O período de armazenamento excede.

O cliente exclui os arquivos após o período configurado expirar.
5 Se a caixa de seleção O período de armazenamento excede for selecionada,
digite ou clique em uma seta para digitar o intervalo de tempo.
6 Selecione a unidade de tempo na lista suspensa. O padrão é 30 dias.
7 Se a caixa de seleção O tamanho total da pasta excede for selecionada, digite
o tamanho máximo da pasta a ser permitido em megabytes. O padrão é 50
megabytes.
Se você marcar ambas as caixas de seleção, todos os arquivos mais antigos
que o tempo configurado serão excluídos primeiro. Se o tamanho da pasta
ainda exceder o limite definido, o cliente excluirá os arquivos mais antigos
individualmente. O cliente exclui os arquivos mais antigos até que o tamanho
da pasta não exceda o limite.
8 Repita a etapa 4 até 7 para todas as outras guias.
9 Clique em OK.
Envio de um arquivo supostamente infectado ao Symantec Security

Response para análise
Às vezes, o cliente não consegue limpar o vírus de um arquivo. Ou, você acha que
um arquivo está infectado e o cliente não detecta a infecção. Se você enviar o
arquivo ao Symantec Security Response, ele poderá ser analisado para garantir
que não esteja infectado. É necessário ter uma conexão com a Internet para enviar
uma amostra.
Nota: A opção Enviar ao Symantec Security Response não estará disponível se o

adminsitrador desativar esses tipos de envio.
Para enviar um arquivo ao Symantec Security Response da quarentena

2 Selecione o arquivo na lista de itens em quarentena.
3 Clique em Enviar.
4 Siga as instruções do assistente para coletar as informações necessárias e
enviar o arquivo para análise.
Capítulo 7
Gerenciamento de proteção
proativa contra ameaças
■ Sobre a proteção proativa contra ameaças
■ Configuração da freqüência de execução das verificações proativas de ameaças
■ Gerenciar detecções proativas de ameaças
■ Configuração de notificações para detecções da verificação proativa de ameaças
■ Envio de informações sobre as verificações proativas de ameaças ao Symantec

Security Response
■ Configurar uma exceção centralizada para verificações proativas de ameaças

A Proteção proativa contra ameaças oferece proteção contra o ataque de dia zero.
Proteção contra o ataque de dia zero significa proteção contra ameaças ou
vulnerabilidades desconhecidas. A Proteção proativa contra ameaças verifica se
há no computador processos ativos que demonstrem comportamento que possa
ser malicioso. Como as ameaças desconhecidas não têm assinaturas para
identificá-las, as verificações proativas de ameaças identificam riscos em potencial
sinalizando comportamento suspeito.
As configurações de verificação padrão da Proteção proativa contra ameaças são
apropriadas para muitos usuários. É possível alterar as configurações para
adequá-las ao nível de proteção heurística requerido por seu computador.
Você deve fazer as seguintes perguntas antes de alterar as configurações da
Proteção proativa contra ameaças:
96 Gerenciamento de proteção proativa contra ameaças
■ Deseja ser informado quando uma ameaça ocorrer no computador?

■ Com que freqüência e quando deseja verificar processos?
■ Quanto em recursos do computador você deseja fornecer à Proteção proativa
contra ameaças?
Nota: Se o administrador não bloquear as configurações da verificação proativa

de ameaças, você poderá alterá-las. As configurações bloqueadas incluem um
ícone de cadeado fechado. Os rótulos das configurações bloqueadas ficam
acinzentados.
Sobre as verificações proativas de ameaças

As verificações proativas de ameaças são diferentes das verificações antivírus e
anti-spyware. Elas examinam determinados tipos de processos ou aplicativos que
demonstrem comportamento suspeito.
As verificações proativas de ameaças detectam os processos que pareçam atuar
como cavalos de Tróia, worms ou registradores do teclado. É possível ativar ou
desativar a detecção.
Além de cavalos de Tróia, worms e registradores do teclado, as verificações
proativas de ameaças detecam os processos que se comportam de maneira similar
à de adware e spyware. Não é possível configurar como as verificações proativas
de ameaças lidam com esses tipos de detecções. Se as verificações proativas de
ameaças detectarem o adware ou spyware que você deseja permitir nos
computadores clientes, você ou o administrador devem criar uma exceção
centralizada.
Consulte “Configurar uma exceção centralizada para verificações proativas de
As verificações proativas de ameaças também detectam aplicativos comerciais
conhecidos que podem ser usados com objetivos maliciosos. A Symantec mantém
uma lista desses aplicativos comerciais e periodicamente a atualiza. Esses
aplicativos incluem programas comerciais que monitoram ou registram o
pressionar de teclas de um usuário ou que controlam o computador do usuário de
maneira remota. É possível definir ações para como o Symantec Endpoint
Protection trata essas detecções.
Tabela 7-1 descreve os processos que as verificações proativas de ameaças
detectam.
Gerenciamento de proteção proativa contra ameaças 97
Tabela 7-1 Processos detectados pelas verificações proativas de ameaças
Tipo dos processos Descrição
Cavalos de Tróia e worms Processos que exibem características de cavalos de Tróia ou

worms.
As verificações proativas de ameaças usam heurísticas para

procurar processos que se comportam como cavalos de Tróia
ou worms. Esses processos podem ou não ser ameaças.
Keyloggers Processos que demonstram características de registradores do

teclado.
As verificações proativas de ameaças detectam registradores

comerciais dos teclados, mas também detectam os processos
desconhecidos que demonstram essas características.
Aplicativos comerciais Aplicativos comerciais conhecidos que podem ser usados para
fins maliciosos.
As verificações proativas de ameaças detectam vários tipos

diferentes de aplicativos comerciais. É possível configurar ações
para dois tipos: programas registradores do teclado e de controle
remoto.
Adware e spyware Processos que demonstram características de adware e spyware
As verificações proativas de ameaças usam heurísticas para

detectar os processos desconhecidos que se comportam como
adware e spyware. Esses processos podem ou não ser riscos.
Sobre exceções para verificações proativas de ameaças

Você poderá determinar algumas exceções para as verificações proativas de
ameaças, exceto se o seu administrador tiver bloqueado as configurações da política
de exceções centralizadas.
O seu administrador também poderá determinar política de exceções centralizadas
para verificações de ameaças proativas. Você não poderá alterar as exceções que
seu administrador determinar.
Sobre as detecções da verificação proativa de ameaças

As verificações proativas de ameaças registram, colocam em quarentena ou
encerram os processos potencialmente maliciosos detectados. É possível exibir
as detecções usando a caixa de diálogo resultados da verificação, os registros da

Proteção proativa contra ameaças ou a lista da Quarentena.
Consulte “Sobre a interação com os resultados da verificação ou do Auto-Protect”
na página 75.
Consulte “Gerenciamento da quarentena” na página 89.
Consulte “Exibição de registros e dos detalhes dos registros” na página 153.
Nota: As configurações da verificação proativa de ameaças não têm efeito nas

verificações antivírus e anti-spyware, que usam assinaturas para detectar riscos
conhecidos. O Symantec Endpoint Protection detecta primeiro os riscos conhecidos.
Por padrão, o cliente executa estas ações:

■ Registra a detecção de aplicativos comerciais conhecidos
■ Registra a detecção de processos que se comportam como cavalos de Tróia,
worms ou registradores do teclado
■ Coloca em quarentena processos que se comportam como cavalos de Tróia,
worms ou registradores do teclado e que requeiram reparo
Quando a verificação proativa de ameaças coloca uma detecção em quarentena,
trata dos efeitos colaterais do processo. Se o cliente verificar novamente a detecção
após atualizações de conteúdo serem descarregadas para o computador, poderá
restaurar o processo. O cliente restaurará o processo se o mesmo não mais for
considerado malicioso. O cliente também repara os efeitos colaterais do processo.
Entretanto, o cliente não reinicia o processo automaticamente.
Para a detecção de registradores comerciais do teclado ou de aplicativos de controle
remoto, você ou o administrador podem especificar ações diferentes. Por exemplo,
você pode querer ignorar a detecção de aplicativos comerciais registradores do
teclado. Quando o cliente ignora um aplicativo, permite o mesmo e não registra
sua detecção.
Nas detecções de cavalos de Tróia, worms ou registradores do teclado, você pode
especificar uma ação determinada que o cliente sempre usará quando fizer uma
detecção.
Sobre como agir em positivos falsos

As Verificações proativas de ameaças às vezes detectam positivos falsos. Essas
verificações procuram aplicativos e processos com comportamento suspeito em
vez de vírus ou riscos à segurança conhecidos. Por sua natureza, essas verificações
geralmente sinalizam itens que você pode não querer detectar.
Configuração da freqüência de execução das verificações proativas de ameaças
Se a verificação proativa de ameaças detectar um processo que você determinar

como não sendo um problema, você poderá criar uma exceção para que as
verificações futuras não sinalizem o processo. Se houver um conflito entre uma
exceção definida pelo usuário e uma exceção do administrador, esta última terá
prioridade.
Para minimizar detecções positivas falsas, certifique-se de que o conteúdo da
verificação proativa de ameaças Symantec esteja atualizado. A versão é exibida
na página Status, em Proteção proativa contra ameaças. É possível descarregar o
conteúdo mais recente executando o LiveUpdate.
Nota: O administrador pode agendar atualizações automáticas.
Se você optar por gerenciar a detecção de Cavalos de Tróia, worms ou registradores

de teclas, poderá alterar a sensibilidade das verificações proativas de ameaças.
Entretanto, alterar a sensibilidade pode não alterar a quantidade de positivos
falsos, mas apenas a quantidade de detecções totais.
Consulte “Gerenciar detecções proativas de ameaças” na página 100.
Configuração da freqüência de execução das

verificações proativas de ameaças
É possível configurar a freqüência de execução das verificações proativas de
ameaças.
Nota: Se você aumentar a freqüência de execução das verificações proativas de

ameaças, poderá afetar o desempenho do computador.
no procedimento.
Para configurar a freqüência de execução das verificações proativas de ameaças
2 Ao lado de Proteção proativa contra ameaças, clique em Definir configurações.
Gerenciar detecções proativas de ameaças

guia Freqüência de verificação, marque a opção Em uma freqüência de
verificação personalizada.
4 Siga uma ou mais destas ações:
■ Ao lado de Verificar cada, defina a duração de tempo em dias, horas e
minutos entre os processos de verificação.
■ Marque a opção Verificar novos processos imediatamente para verificar
os novos processos quando eles forem detectados.

Os administradores podem bloquear as configurações da detecção proativa de
ameaças. Se suas configurações estiverem bloqueadas, ou se você estiver
executando um cliente não gerenciado, poderá configurar os tipos de processos
detectados pelas detecções proativas de ameaças.
Nota: A detecção de cavalos de Tróia, worms e keyloggers de tecla não é atualmente

suportada nos sistemas operacionais dos servidores Windows. Em clientes
executados nos sistemas operacionais dos servidores, as opções de verificação
estão indisponíveis. Se o seu administrador modificar essas opções em uma política
que seja aplicada ao seu computador, as opções podem aparecer selecionadas e
indisponíveis.
Quando a detecção de cavalos de Tróia, worms ou keyloggers estiver ativada, você

pode escolher como deseja gerenciar as detecções. Como padrão, as verificações
proativas de ameaças usam os padrões da Symantec. Isso significa que o cliente
determina a ação para a detecção. (Os padrões indisponíveis na interface do usuário
não refletem os padrões da Symantec. As configurações indisponíveis refletem
as configurações padrão usadas quando as detecções são gerenciadas
manualmente.)
No geral, as configurações padrão da Symantec oferecem a melhor forma de lidar
com as detecções. No entanto, se você tiver experiência com os resultados de
verificações em seu computador, pode querer configurar manualmente as ações
e os níveis de sensibilidade. Para configurar esses parâmetros, desative as opções
padrão da Symantec.
Para minimizar detecções com falso positivo, a Symantec recomenda que você
use, inicialmente, os padrões gerenciados pela Symantec. Após um determinado
período de tempo, você pode observar o número de falsos positivos que o cliente
detecta. Se o número estiver muito baixo, você pode ajustar gradativamente as
configurações de verificação proativa de ameaças. Por exemplo, para a detecção
de cavalos de Tróia e worms, você pode mover o regulador de sensibilidade um

pouco acima do padrão. Você pode observar os resultados das verificações proativas
de ameaças executadas após a definição das novas configurações.
Nota: Para os clientes gerenciados, seu administrador normalmente configura as

verificações proativas de ameaças de modo apropriado para seu computador.
Para os aplicativos comerciais, você pode especificar o tipo de ação a ser tomada
quando uma verificação proativa de ameaças detectar um keylogger comercial ou
programas de controle remoto comerciais. Você pode alterar essas configurações
independentemente da configuração para cavalos de Tróia, worms ou keyloggers.
Especificação dos tipos de processos que as verificações proativas de

ameaças detectam
É possível configurar se deseja que as verificações proativas de ameaças detectem
a presença de cavalos de tróia e worms ou keyloggers. O administrador pode
bloquear algumas dessas configurações.
no procedimento.
Para especificar os tipos de processos que as verificações proativas de ameaças
detectam
guia Detalhes de verificação, em Cavalos de tróia e worms, marque ou
desmarque Verificar cavalos de tróia e worms.
4 Em Keyloggers, marque ou desmarque Verificar keyloggers.
5 Clique em OK.
Especificação de ações e níveis de sensibilidade para detecção de

cavalos de tróia, worms e keyloggers
Se você escolher gerenciar por conta própria as detecções de cavalo de tróia, worm
ou keylogger, é possível configurar a ação a ser realizada quando esses processos
forem detectados. Essa ação sempre é utilizada quando as verificações proativas
de ameaças fazem uma detecção. Por exemplo, você pode definir a ação somente
para registrar. Se uma verificação proativa de ameaças detectar um processo que
é classificado como positivo verdadeiro, o cliente registrará a detecção. O cliente

não colocará o processo em quarentena.
Também é possível definir diferentes níveis de sensibilidade para a detecção de
cavalos de tróia, worms e keyloggers. Esse nível determina a sensibilidade das
verificações proativas de ameaças ao verificarem os processos. Um nível de
sensibilidade superior resultará em mais detecções. Lembre-se de que algumas
dessas detecções podem ser falso-positivas. A diminuição ou o aumento do nível
de sensibilidade pode não alterar o percentual de falso-positivos que as verificações
proativas de ameaças produzem. Isso altera somente o número de detecções totais.
Você pode manter o nível de sensibilidade no mínimo até visualizar os resultados
das verificações proativas de ameaças no computador. Se as verificações proativas
de ameaças não produzem detecções em um nível de sensibilidade inferior, você
pode aumentar a sensibilidade.
Clique em Ajuda para mais informações sobre as opções que são utilizadas no
procedimento.
Para definir a ação e o nível de sensibilidade para cavalos de tróia e worms
guia Detalhes da verificação, em Cavalos de tróia e worms, certifique-se de
que a opção Verificar cavalos de tróia e worms esteja selecionada e, em seguida,
desmarque Usar os padrões definidos pela Symantec.
4 Em Sensibilidade, mova o regulador de sensibilidade para a esquerda ou direita
para diminuir ou aumentar a sensibilidade, respectivamente.
5 Na lista suspensa, selecione Registro, Encerrar ou Quarentena.
6 Clique em OK.
Para definir a ação e o nível de sensibilidade para os keyloggers
guia Detalhes da verificação, em Keyloggers, certifique-se de que a opção
Verificar keyloggers esteja selecionada e, em seguida, desmarque Usar os
padrões definidos pela Symantec.
4 Para o nível de sensibilidade, selecione Baixa ou Alta.
5 Na lista suspensa, selecione Registro, Encerrar ou Quarentena.
6 Clique em OK.
Configuração de notificações para detecções da verificação proativa de ameaças
Configurar a ação para detecção de aplicativos comerciais

Você pode alterar a ação tomada pelo cliente quando uma verificação proativa de
ameaças detecta determinados tipos de aplicativos comerciais.
Você pode clicar em Ajuda para obter mais informações sobre as opções usadas
neste procedimento.
Para definir a ação para a detecção de aplicativos comerciais
3 Na caixa de diálogo Configurações de verificação proativa de ameaças, na
guia Detalhes da verificação, sob Aplicativos comerciais, realize qualquer
uma das seguintes ações:
■ Definir a ação de registradores de teclas para Registrar, Encerrar,
Quarentena ou Ignorar.
■ Definir a ação para aplicativos de controle remoto comercial para Registrar,
Encerrar, Quarentena ou Ignorar.
4 Clique em OK.
Configuração de notificações para detecções da

verificação proativa de ameaças
É possível configurar para que sejam exibidas mensagens quando as verificações
proativas de ameaças efetuarem detecções. Por padrão, o cliente exibe as
mensagens quando ocorrem detecções. Você também será notificado quando uma
detecção exigir que o cliente encerre os serviços ou interrompa os processos.
Nota: O administrador poderá bloquear essas configurações.
no procedimento.
Para ativar ou desativar notificações de detecções da verificação proativa de
ameaças
1 No cliente, clique em Alterar configurações.
Envio de informações sobre as verificações proativas de ameaças ao Symantec Security Response

guia Notificações, selecione a opção Exibir uma mensagem quando houver
uma detecção.
4 Marque ou desmarque as opções Perguntar antes de encerrar um processo
e Perguntar antes de interromper um serviço.
5 Clique em OK.
Envio de informações sobre as verificações proativas

de ameaças ao Symantec Security Response
Por padrão, as verificações proativas de ameaças enviam informações sobre os
processos detectados ao Symantec Security Response. Quando as verificações
enviam informações, a Symantec as analisa para determinar se uma ameaça é
real. Se a Symantec determinar que a ameaça é real, pode gerar uma assinatura
para resolver a ameaça. A Symantec inclui a assinatura nas versões atualizadas
das definições.
As informações sobre um processo enviadas incluem:
■ O caminho do executável
■ O executável
■ Informações sobre o arquivo e os pontos de carga no registro que se referem
à ameaça
■ Informações internas de estado
■ Versão de conteúdo que a verificação proativa de ameaças usou
Nenhuma informação pessoal que possa identificar o computador é enviada.
O envio de detecções da verificação proativa de ameaças ao Symantec Security
Response é ativada por padrão.
Nota: O administrador pode bloquear as configurações de envio.
no procedimento.
Para ativar ou desativar o envio de informações ao Symantec Security Response
Configurar uma exceção centralizada para verificações proativas de ameaças
3 Na caixa de diálogo Configurações da Proteção antivírus e anti-spyware, na

guia Envios, selecione ou cancele a seleção de Enviar automaticamente as
detecções da Verificação proativa de ameaças.
4 Clique em OK.
Configurar uma exceção centralizada para

verificações proativas de ameaças
Você poderá determinar exceções para as verificações proativas de ameaças,
exceto se o seu administrador bloquear as configurações.
Para determinar uma exceção, selecione um arquivo que esteja disponível no
momento em seu computador. Quando uma verificação proativa de ameaças
detecta um processo ativo que utiliza o arquivo, o cliente aplica a ação que você
especificou na exceção.
Por exemplo, você poderá executar um aplicativo que utilize um arquivo chamado
foo.exe no seu computador. A verificação proativa de ameaças será executada
quando o foo.exe for executado. O cliente determina que o arquivo foo.exe pode
ser malicioso. A caixa de diálogo de resultados da verificação mostra que o cliente
colocou o arquivo em quarentena. Você pode determinar uma exceção que
especifique que a verificação proativa de ameaças ignore o foo.exe. Desta forma,
o cliente restaurará o arquivo e, ao executá-lo novamente, o cliente o ignorará.
O seu administrador também poderá determinar exceções centralizadas para suas
verificações. Você poderá conferir as exceções do administrador, porém não poderá
alterá-las. Se você determinar uma exceção centralizada que entre em conflito
com uma exceção do administrador, esta última terá prioridade.
Clique em Ajuda para mais informações sobre as opções que são utilizadas no
procedimento.
Para configurar uma exceção centralizada para verificações proativas de ameaças
3 Na guia de exceções do usuário, clique em Adicionar, depois selecione Exceção
de proteção proativa de ameaças.
4 Na caixa de diálogo para adicionar exceções proativas de ameaças, digite um
nome de processo ou selecione um arquivo para o qual você deseja determinar
uma exceção.
Configurar uma exceção centralizada para verificações proativas de ameaças
5 Na lista suspensa Ações, selecione Ignorar, Somente registrar, Quarentena

ou Encerrar.
Capítulo 8
Gerenciamento de proteção
contra ameaças na rede
■ Sobre a proteção contra ameaças à rede
■ Configuração do firewall
■ Configurar a prevenção de intrusões
■ Definição das configurações específicas dos aplicativos
■ Compartilhamento de arquivos e pastas

Os ataques a redes tiram proveito da maneira como os computadores transferem
informações. O Symantec Endpoint Protection pode proteger o seu computador
monitorando as informações recebidas e enviadas pelo computador e bloqueando
todas as tentativas de ataques.
As informações são transmitidas pela Internet na forma de pacotes. Cada pacote
inclui um cabeçalho que contém informações sobre o computador remetente, o
destinatário, como os dados no pacote devem ser processados e a porta que deve
receber o pacote.
Portas são os canais que dividem o fluxo de informação proveniente da Internet
em caminhos distintos daqueles com os quais os aplicativos individuais lidam.
Quando os aplicativos da Internet são executados em um computador, eles escutam
uma ou mais portas e aceitam as informações enviadas a elas.
Os ataques pela rede tiram vantagem das fraquezas específicas dos programas de
Internet. Os invasores usam ferramentas que enviam pacotes com código de
108 Gerenciamento de proteção contra ameaças na rede
programação malicioso a uma determinada porta. Se um programa vulnerável a

esse ataque escutar essa porta, o código poderá permitir que o invasor obtenha
acesso, desative ou até mesmo controle o computador. O código de programa
usado para gerar os ataques pode existir dentro de um pacote ou pode espalhar-se
por vários pacotes.
Seu cliente tem as configurações padrão de proteção contra ameaças de rede
instaladas. Na maioria dos casos, você não precisa alterar as configurações.
Geralmente é mais seguro deixar as configurações como estão. Entretanto, se você
tiver uma boa compreensão de redes, pode efetuar alterações no firewall do cliente
para melhorar sua proteção.
Como o cliente protege a rede de ataques pela rede

O cliente inclui as seguintes ferramentas que protegem seu computador de
tentativas de intrusão:
Firewall Monitora toda a comunicação pela Internet e cria uma proteção

que bloqueia ou limita as tentativas de exibir informações em seu
computador.
Prevenção de intrusões Analisa todas as informações recebidas e enviadas quanto aos

padrões de dados típicos de um ataque.
Para avaliar como proteger melhor o seu computador, você pode testar a
vulnerabilidade dele em relação a ataques e vírus pela rede externa. Para testar
o seu computador, você pode executar várias verificações.
Consulte “Como testar a segurança do computador” na página 29.
Sobre o firewall
O firewall é um software que fornece uma barreira entre o computador e a Internet.
O firewall impede que usuários não autorizados acessem computadores privados
e redes que se conectam à Internet. Ele detecta possíveis ataques de hackers,
protege informações pessoais e elimina fontes indesejadas do tráfego da rede,
como tentativas de intrusão.
Gerenciamento de proteção contra ameaças na rede 109
O firewall monitora tentativas de

acesso provenientes da Internet
Computador-
cliente
O firewall permite ou bloqueia

Internet o tráfego de rede especificado
pela política de firewall
Toda informação que entra ou sai da rede privada deve passar pelo firewall. O
firewall examina os pacotes de informações e bloqueia aqueles que não atendem
aos critérios de segurança especificados. Ele examina os pacotes de informações
por meio das regras de firewall. As políticas de firewall consistem em uma ou mais
regras que funcionam juntas para dar pemissão ou bloquear usuários no acesso
à rede. Somente tráfegos autorizados podem passar. Uma política de firewall
define o tráfego autorizado.
O firewall funciona em segundo plano. O administrador determina o nível de
interação que você tem com o cliente, dando permissão ou bloqueando sua
capacidade de configurar regras e ajustes de firewall. Você pode interagir com o
cliente somente se ele avisá-lo sobre suas conexões de rede e possíveis problemas
ou pode ter acesso total à interface do usuário.
Como o firewall monitora as comunicações

Quando o firewall está ativado, ele monitora as comunicações entre o seu
computador e outros computadores na Internet.
O firewall protege você contra tentativas impróprias de conexão usando um dos
seguintes métodos:
■ Bloqueia tráfegos de entrada e de saída.
■ Emite alertas sobre todas as tentativas de conexão detectadas de outros
computadores e de aplicativos do seu computador que se conectem a outros
computadores.
Você pode controlar o nível de proteção personalizando a proteção de firewall.
Sobre o sistema de prevenção de intrusões

O sistema de prevenção de intrusões (IPS, Intrusion Prevention System) é a segunda
camada de defesa do cliente do Symantec Endpoint Protection após o firewall. O
sistema de prevenção de intrusões é um sistema baseado em rede que opera em
cada computador em que o cliente está instalado e o sistema IPS está ativado. Se
um ataque conhecido é detectado, uma ou mais tecnologias de prevenção de
intrusões podem automaticamente bloqueá-lo.
O sistema de prevenção de intrusões analisa todas as informações de entrada e
saída em busca de padrões de dados típicos de um ataque. Ele detecta e bloqueia
tráfego malicioso e tentativas de ataque de usuários externos contra o computador.
A prevenção de intrusões monitora o tráfego de saída e impede a disseminação
de worms.
A Tabela 8-1 relaciona os problemas comuns de segurança que o sistema de
prevenção de intrusões monitora.
Tabela 8-1 Problemas comuns de segurança
Problema Proteção
Verificações de porta Disfarça as portas inativas no computador e detecta verificações

de porta.
Ataques de negação de Examina todos os pacotes da rede em busca de ataques conhecidos

serviço que limitam o uso dos serviços do computador que ele
normalmente teria.
Intrusões Detecta e bloqueia tráfego malicioso e tentativas de usuários

externos de atacar o computador e verifica o tráfego de saída para
prevenir a disseminação de worms.
Como a prevenção de intrusões analisa o tráfego

O sistema de prevenção de intrusões verifica cada pacote que entra e sai dos
computadores da rede quanto a assinaturas de ataque e seqüências de pacotes
que identificam a tentativa de exploração de um sistema operacional ou
vulnerabilidade de programa de um invasor.
Se as informações correspondem a um ataque conhecido, o IPS descarta o pacote
automaticamente. O IPS também pode desligar a conexão com o computador que
enviou os dados por um período de tempo especificado. Esse recurso é chamado
resposta ativa e impede que os computadores na rede sejam afetados de qualquer
forma.
O cliente inclui os seguintes tipos de mecanismos de IPS que identificam

assinaturas de ataque.
Assinaturas de IPS da As assinaturas de IPS da Symantec usam um mecanismo baseado

Symantec em fluxo que verifica vários pacotes. As assinaturas de IPS da
Symantec interceptam dados de rede em nível da sessão e
capturam segmentos de mensagens que são alternados entre um
aplicativo e a pilha de rede.
O IPS da Symantec utiliza dois métodos para examinar os pacotes.

Ele verifica cada pacote individualmente em busca de padrões
que fujam às especificações e que possam travar a pilha TCP/IP.
Além disso, ele monitora os pacotes como se fossem um fluxo de
informações, procurando comandos direcionados a um
determinado serviço destinados a explorar ou travar o sistema.
O IPS memoriza a lista de padrões ou parte dos padrões de pacotes
anteriores e o IPS pode aplicar essas informações às inspeções
de pacotes subseqüentes.
O IPS conta com uma lista abrangente de assinaturas de ataques

para detectar e bloquear atividades suspeitas na rede. A Symantec
fornece uma lista de ameaças conhecidas, que pode ser atualizada
através do cliente, usando o Symantec LiveUpdate. O mecanismo
de IPS da Symantec e o conjunto correspondente de assinaturas
de IPS são instalados no cliente por padrão.
Assinaturas As assinaturas personalizadas de IPS usam um mecanismo

personalizadas de IPS baseado em pacotes que verifica cada pacote individualmente.
Ambos os mecanismos baseados em fluxo e pacotes detectam

assinaturas nos dados da rede que atacam a pilha TCP/IP, os
componentes do sistema operacional e a camada do aplicativo.
Contudo, as assinaturas baseadas em pacotes podem detectar
ataques na pilha TCP/IP antes que as assinaturas baseadas em
fluxo. O mecanismo baseado em pacotes não detecta assinaturas
que contêm vários pacotes. O mecanismo de IPS baseado em
pacotes é mais limitado, já que não protege correspondências
parciais e verifica somente atividades de pacotes únicos.
O sistema de prevenção de intrusões registra os ataques detectados no registro

de segurança. As assinaturas personalizadas de IPS podem registrar ataques
detectados no registro de pacotes.
Consulte “Configurar a prevenção de intrusões” na página 126.
Exibir a atividade da rede

Você pode exibir as informações sobre o tráfego de entrada e saída a partir do seu
computador. Você também pode exibir uma lista dos aplicativos e serviços que
foram executados desde que o serviço do cliente iniciou.Tabela 8-2 descreve as
ações tomadas pelo cliente no tráfego, exibe os ícones que representam as ações
que ele toma para os aplicativos que acessam o computador-cliente ou a rede.
Tabela 8-2 Ações executadas pelo cliente quando aplicativos o acessam ou

acessam a rede
Ícone Ação Descrição
Permitir Permite que o tráfego de entrada acesse o

computador-cliente e que o tráfego de saída acesse a rede.
Se o cliente receber tráfego, o ícone exibirá um pequeno

ponto azul no canto esquerdo inferior. Se o cliente enviar
tráfego, o ícone exibirá o ponto no canto direito inferior.
Perguntar Pergunta se o tráfego de entrada tem permissão para

acessar o seu computador ou a rede da empresa.
Se você ou o administrador configuraram o cliente para

perguntar se deve permitir que seus aplicativos acessem
os recursos da rede, o ícone aparecerá com um pequeno
ponto de interrogação amarelo. Você pode configurar o
cliente para lembrar suas respostas para que não precise
responder novamente.
Bloquear Bloqueia o acesso do tráfego de entrada e saída à rede ou a

uma conexão com a Internet.
Nota: O cliente não detecta tráfego da rede de dispositivos assistente digital pessoal
(PDA, Personal Digital Assistant).
Para exibir o histórico do tráfego

atividade da rede.
Para obter mais informações sobre os gráficos e os campos, clique em Ajuda.
3 Clique em Fechar.
Configuração do firewall
Você poderá exibir o tráfego como tráfego de broadcast ou unicast. Tráfego de

broadcast é o tráfego de rede enviado a todos os computadores em uma sub-rede
particular e não direcionado especificamente para o seu computador. O tráfego
unicast é aquele que é direcionado especificamente para o seu computador.
Para mostrar ou ocultar os serviços do Windows e o tráfego de broadcast
atividade da rede.
3 Na caixa de diálogo Atividade da rede, clique com o botão direito no campo
Aplicativos em execução e realize as seguintes ações:
■ Para mostrar ou ocultar os serviços do Windows, marque ou dermarque
Mostrar os serviços do Windows.
■ Para exibir o tráfego de broadcast, marque Mostrar tráfego de broadcast.
■ Para exibir o tráfego unicast, dermarque Mostrar tráfego de broadcast.
4 Clique em Fechar.
Para alterar o modo que o ícone do aplicativo aparece
atividade da rede.
3 No campo Aplicativos em execução, clique com o botão direito no aplicativo
e depois clique em uma das seguintes exibições:
■ Ícones grandes
■ Ícones pequenos
■ Lista
■ Detalhes do aplicativo
■ Detalhes de conexão
4 Clique em Fechar.
As configurações padrão do firewall protegem o seu computador. Se as
configurações padrão não forem apropriadas, você pode personalizar a política
de firewall. Para personalizar a política de firewall, adicione ou altere os seguintes
recursos de firewall:
Regras de firewall Monitoram toda a comunicação pela Internet e criam uma

proteção que bloqueia ou limita as tentativas de exibir
informações do computador. As regras de firewall podem tornar
seu computador invisível aos outros na Internet.
As regras de firewall protegem usuários remotos contra ataques

de hackers e evitam que estes obtenham acesso pela porta dos
fundos a redes corporativas, nesses computadores. Você pode
avisar aos usuários quando o firewall bloquear um aplicativo em
seus computadores.
Filtros inteligentes de Permitem os tipos específicos de tráfego que são necessários na

tráfego maioria das redes. Esse tipo de tráfego inclui DHCP, DNS e o
tráfego WINS.
Configurações de Ativam os recursos adicionais de tráfego, como a proteção em

tráfego e dissimulação nível de driver, a proteção NetBIOS, o tráfego de redes em anel,
as pesquisas revertidas de DNS e as configurações de módulo
dissimulado.
O administrador pode ou não ter fornecido permissão para você personalizar as

regras e as configurações de firewall. Se você não tiver permissão, o administrador
cria regras de firewall e ativa configurações em uma política de firewall e distribui
a política ao cliente. Se você tiver permissão, pode criar regras e modificar
configurações no cliente para ajustar o seu ambiente de rede. O administrador
pode ter configurado o cliente de modo a mesclar as regras que o administrador
criou com as regras criadas por você.
Você pode desativar a proteção em alguns momentos, como durante a instalação
de um novo software.
Consulte “Ativar e desativar a proteção contra ameaças à rede” na página 46.
Sobre as regras de firewall

Quando um computador tenta se conectar a outro computador, o firewall compara
o tipo de conexão com sua lista de regras de firewall. As regras de firewall
controlam o modo como o cliente protege o computador-cliente de tráfego de
entrada e de saída malicioso. Com base nessas regras, o firewall verifica
automaticamente todos os pacotes de entrada e de saída. O firewall, então, permite
ou bloqueia os pacotes que se baseiam nas informações especificadas nas regras.
Sobre os elementos de uma regra

Uma regra de firewall descreve as condições em que uma conexão de rede pode
ser permitida ou bloqueada.
A Tabela 8-3 descreve os critérios usados para definir uma regra de firewall.
Tabela 8-3 Condições de regras de firewall
Condição Descrição
Triggers Aplicativos, hosts, protocolos e adaptadores de rede.
Você pode combinar definições de trigger para formar mais regras

complexas, como identificar um protocolo particular em relação a um
endereço específico de destino. Quando o firewall avalia a regra, todos
os triggers devem ser verdadeiros para que ocorra uma correspondência
positiva. Se algum trigger não for verdadeiro em relação ao pacote atual,
o firewall não poderá aplicar a regra.
Condições Agendamento e estado de proteção de tela.
Os parâmetros condicionais não descrevem um aspecto de uma conexão

de rede. Em vez disso, os parâmetros condicionais determinam o estado
ativo de uma regra. Os parâmetros condicionais são opcionais e caso
não sejam configurados, não serão significativos. Você pode configurar
um agendamento ou identificar um estado de descanso de tela que
determine quando uma regra é considerada ativa ou inativa. O firewall
não avalia as regras inativas quando recebe pacotes.
Ações Permitir ou bloquear, registrar ou não registrar.
Os parâmetros de ação especificam que ações o firewall realizará quando

uma regra for correspondida com êxito. Se a regra for selecionada em
resposta a um pacote recebido, o firewall realizará todas as ações. O
firewall permite ou bloqueia o pacote e realiza ou não seu registro.
Se o firewall permitir o tráfego, ele possibilitará que o tráfego
especificado pela regra acesse a rede.
Se o firewall bloquear o tráfego, ele bloqueará o tráfego especificado

pela regra e não permitirá o acesso à rede.
Por exemplo, uma regra pode determinar que a porta 80 tem permissão para o
endereço IP 192.58.74.0, entre as 9h e as 17h diariamente.
A Tabela 8-4 descreve os triggers que podem ser usados para definir uma regra
de firewall.
Tabela 8-4 Triggers de regras de firewall
Trigger Descrição
Aplicativo Quando o aplicativo é o único trigger definido em uma regra de tráfego

permitido, o firewall permite que o aplicativo execute qualquer operação
de rede. O aplicativo é o valor significativo, não as operações de rede
realizadas por ele. Por exemplo, suponha que seja dada permissão ao
Internet Explorer e que nenhum outro trigger seja definido. Os usuários
podem acessar sites remotos que usam HTTP, HTTPS, FTP, Gopher e
qualquer outro protocolo aceito pelo navegador. É possível definir
triggers adicionais para descrever protocolos e hosts de rede específicos
com os quais a comunicação é permitida.
Host O host local sempre é o computador-cliente local e o host remoto sempre

é um computador remoto posicionado em algum outro local na rede.
Esta expressão da relação entre hosts é independente da direção do
tráfego. Ao definir triggers de host, o host é especificado no site remoto
da conexão de rede descrita.
Protocolo O trigger de protocolo identifica um ou mais protocolos de rede

significativos em relação ao tráfego de rede descrito.
O computador host local sempre possui a porta local e o computador

remoto sempre possui a porta remota. Essa expressão da relação das
portas é independente da direção do tráfego.
É possível definir os seguintes tipos de protocolo:
■ Todos os protocolos IP
Qualquer protocolo.
■ TCP
Porta ou intervalos de portas.
■ UDP
Porta ou intervalos de portas.
■ ICMP
Tipo e código.
■ Protocolo IP específico
Número de protocolo (tipo de IP).
Exemplos: Tipo 1 = ICMP, Tipo 6 = TCP, Tipo 17 = UDP
Adaptador de Se um trigger de adaptador de rede for definido, a regra é relevante

rede somente para o tráfego transmitido ou recebido usando o tipo de
adaptador especificado. É possível especificar qualquer adaptador ou
aquele que está atualmente associado ao computador-cliente.
Sobre a inspeção inteligente

O firewall usa a inspeção inteligente, um processo que rastreia informações sobre
conexões atuais como, por exemplo, endereços IP, portas, aplicativos de origem
e destino e assim por diante. O cliente toma decisões sobre o fluxo de tráfego
usando essa informações de conexão antes de inspecionar as regras de firewall.
Por exemplo, se uma regra de firewall permite que um cliente se conecte a um
servidor da Web, o firewall registra informações sobre a conexão. Quando o
servidor responde, o firewall detecta que o cliente espera uma resposta do servidor
da Web e permite o fluxo do tráfego do servidor da Web ao cliente que iniciou a
conexão, sem inspecionar o conjunto de regras. Uma regra deve permitir o tráfego
inicial de saída antes que o firewall registre a conexão.
A inspeção inteligente permite simplificar as bases de regra, pois não é preciso
criar regras que permitam o tráfego em ambas as direções quando ele é iniciado
em apenas uma direção. O tráfego de cliente que é iniciado tipicamente em uma
direção inclui Telnet (porta 23), HTTP (porta 80) e HTTPS (porta 443). Os clientes
iniciam essa saída de tráfego, então só é preciso criar uma regra que permita o
tráfego de saída para esses protocolos. O firewall permite o retorno do tráfego.
Ao configurar somente as regras de saída, você aumenta a segurança do cliente
das seguintes maneiras:
■ Reduzindo a complexidade da regra de base.
■ Eliminando a possibilidade de um worm ou outro programa malicioso iniciar
conexões com um cliente em portas configuradas somente para tráfego de
saída. Também é possível configurar somente regras de entrada para tráfego
não iniciado por clientes.
A inspeção inteligente oferece suporte para todas as regras que direcionam o
tráfego TCP. Ela não oferece suporte para as regras que filtram o tráfego ICMP.
Para ICMP, você deve criar regras que permitam o tráfego em ambas as direções,
quando necessário. Por exemplo, para que os clientes usem o comando ping e
recebam respostas, é necessário criar uma regra que permita o tráfego ICMP em
ambas as direções.
Sobre as conexões UDP

Para as comunicações UDP, o cliente analisa o primeiro datagrama UDP e aplica
a ação que é tomada no datagrama inicial para todos os datagramas UDP
subseqüentes na sessão do programa atual. O tráfego de entrada e saída entre os
mesmos computadores é considerado parte da conexão UDP.
Para um tráfego UDP inteligente, quando uma conexão UDP é feita, a comunicação
UDP de entrada é permitida, mesmo que a regra de firewall a bloqueie. Por exemplo,
se uma regra bloqueia comunicações UDP de entrada por um aplicativo específico,
mas você escolhe um datagrama UDP de saída, todas as comunicações UDP de

entrada são permitidas para a sessão de aplicativo atual. Para um UDP inteligente,
você deve criar uma regra de firewall que permita a resposta da comunicação UDP
de entrada.
Uma sessão UDP expira depois de 60 segundos caso o aplicativo feche a porta.
Sobre a ordem do processamento de regras

As regras de firewall são ordenadas seqüencialmente, da prioridade mais alta para
a mais baixa ou de cima para baixo na lista regras. O firewall inspeciona as regras
nessa ordem. Se a primeira regra não especificar como tratar um pacote, o firewall
inspecionará a segunda regra para obter informações sobre como tratar dele. Esse
processo continua até que o firewall encontre uma correspondência. Depois de
encontrar uma correspondência, o firewall executa a ação especificada pela regra
e as regras subseqüentes de prioridade mais baixa não são inspecionadas. Por
exemplo, se uma regra que bloqueia todo o tráfego é a primeira relacionada, seguida
de uma regra que permite todo o tráfego, o cliente bloqueará todo o tráfego.
Você pode ordenar as regras em categorias de prioridades para que o firewall
avalie as regras em uma seqüência lógica. Ordene as regras de acordo com sua
exclusividade, com as regras mais restritivas avaliadas primeiro e as regras mais
gerais avaliadas por último. Por exemplo, se você criar regras que bloqueiam o
tráfego, deve colocar essas regras perto do topo, pois outras regras poderão
permitir o tráfego.
A Tabela 8-5 exibe a ordem na qual o firewall processa as regras e as configurações.
Tabela 8-5 Ordem em que o firewall processa regras, configurações de firewall,

assinaturas IPS e configurações IPS
Prioridade Configuração
Primeira Assinaturas IPS personalizadas
Segunda Configurações de prevenção de intrusões, configurações de tráfego e

configurações dissimuladas
Terceira Filtros inteligentes de tráfego
Quarta Regras de firewall
Quinta Verificações de portas
Sexta Assinaturas IPS obtidas por download por meio do LiveUpdate

Adicionando regras
Ao adicionar uma regra de firewall, é necessário decidir que efeito você deseja
que a regra tenha. Por exemplo, talvez você deseje permitir todo o tráfego de uma
fonte específica ou bloquear os pacotes UDP de um Website.
Para adicionar regras
2 Ao lado de Proteção contra ameaças à rede, clique em Opções > configurar
regras de firewall.
3 Na caixa de diálogo Configurar regras de firewall, clique em Adicionar.
4 Na guia Geral, digite um nome para a regra e clique em Bloquear esse tráfego
ou Permitir esse tráfego.
5 Para definir o adaptador de rede para a regra, selecione um adaptador de rede
na lista suspensa Aplicar essa regra a este adaptador de rede.
6 Para escolher se deseja que o estado de proteção de tela ative a regra, selecione
uma opção na lista suspensa Aplicar essa regra enquanto a proteção de tela
estiver.
7 Para especificar o estado de proteção de tela, selecione uma opção na lista
suspensa Aplicar essa regra enquanto a proteção de tela estiver.
8 Para definir os acionadores da regra, selecione uma das seguintes guias:
■ Hosts
■ Portas e protocolos
■ Aplicativos
Para obter mais informações sobre as opções em cada guia, clique em Ajuda.
9 Para configurar o período quando a regra estará ativa ou inativa, clique em
Agendamento e configure um agendamento.
10 Quando terminar de fazer as alterações, clique em OK.
11 Na caixa de diálogo Configurar regras de firewall, certifique-se de que a marca
de seleção apareça na coluna Nome da regra para ativar a regra.
12 Clique em OK.
Alterando a ordem das regras

O firewall processa a lista de regras de firewall de cima para baixo. Você pode
determinar como o firewall processa essas regras alterando a sua ordem. A
alteração da ordem afeta somente a ordem nos locais selecionados no momento.
Consulte “Sobre a ordem do processamento de regras” na página 118.

Para alterar a ordem das regras
2 Ao lado de Proteção contra ameaças à rede, clique em Opções > Configurar
regras de firewall.
3 Na caixa de diálogo Configurar regras de firewall, selecione a regra que deseja
mover.
■ Para que o firewall processe essa regra antes da regra acima dela, clique
na seta azul para cima.
■ Para que o firewall processe essa regra depois da regra abaixo dela, clique
na seta azul para baixo.
5 Ao terminar de mover as regras, clique em OK.
Ativando e desativando regras

É necessário ativar as regras para que elas sejam processadas pelo firewall. Ao
adicionar regras, elas são ativadas automaticamente.
É possível desativar uma regra de firewall se for necessário permitir o acesso
específico a um computador ou programa.
Para ativar e desativar regras
regras de firewall.
3 Na caixa de diálogo Configurar regras de firewall, selecione ou cancele a regra
que você deseja ativar ou desativar na caixa de seleção ao lado da coluna Nome
da regra.
4 Clique em OK.
Exportando e importando regras

É possível compartilhas as regras com outro cliente para que não seja necessário
criá-las novamente. Você pode exportar as regras de outra máquina e importá-las
para seu computador. Ao importar regras, elas são sobrescritas no final da lista
de regras de firewall. Regras importadas não são sobrescritas a regras existentes,
mesmo quando uma regra importada é idêntica à uma regra existente.
As regras exportadas e importadas são salvas em um arquivo .sar.
Para exportar regras

regras de firewall.
3 Na caixa de diálogo Configurar regras de firewall, selecione a regra que deseja
exportar.
4 Clique com o botão direito do mouse nas regras e clique em Exportar regras
selecionadas.
5 Na caixa de diálogo Exportar, digite o nome do arquivo e clique em Salvar.
6 Clique em OK.
Para importar regras
regras de firewall.
3 Na caixa de diálogo Configurar regras de firewall, clique com o botão direito
do mouse na lista de regras de firewall e então clique em Importar regra.
4 Na caixa de diálogo Importar, localize o arquivo .sar que contém os dados
que deseja importar.
5 Clique em Abrir.
6 Clique em OK.
Editando e excluindo regras

É possível alterar as regras que não estiverem funcionando satisfatoriamente.
Você pode remover as regras de firewall adicionadas quando elas não forem mais
necessárias.
Para editar regras
regras de firewall.
3 Na caixa de diálogo Configurar regras de firewall, selecione a regra e clique
em Editar.
4 Altere as configurações nas guias.
5 Quando terminar de alterar as regras, clique em OK.
Para excluir regras

regras de firewall.
3 Na caixa de diálogo Configurar regras de firewall, selecione uma ou mais
regras e clique em Excluir.
4 Na caixa de mensagem, clique em Sim.
5 Clique em OK.
Ativar as configurações de tráfego e as configurações dissimuladas

de navegação na Web
Nas políticas de firewall, você pode ativar várias configurações de tráfego e
configurações dissimuladas de navegação na Web para proteger o cliente contra
certos tipos de ataques pela rede.
A Tabela 8-6 define as configurações de tráfego e de modo dissimulado que você
pode ativar.
Tabela 8-6 Configurações de tráfego e de navegação dissimulada na Web
Opções Descrição
Ativar a proteção em Verifica o tráfego vindo da pilha TCP/IP e de outros drivers de protocolo.
nível de driver
A maioria dos ataques em uma rede empresarial ocorrem por meio de conexões de TCP/IP
do Windows. Os outros ataques podem possivelmente ser iniciados por meio de outros
drivers de protocolo. Todos os drivers de protocolo que acessam uma rede são aplicativos
de rede. Assim, o cliente impede que os drivers de protocolo acessem a rede, exceto se uma
regra especificamente permita o acesso. Se um driver de protocolo tentar acessar a rede,
uma notificação perguntará se você deseja permitir o acesso.
Ativar proteção do Bloqueia o tráfego NetBIOS de um gateway externo.

NetBIOS
É possível usar o arquivo do Ambiente de rede e compartilhamento de impressoras em uma
rede local e proteger o computador de explorações de NetBIOS provenientes de qualquer
rede externa. Essa opção bloqueia os pacotes NetBIOS vindos dos endereços IP que não
façam parte dos intervalos internos ICANN definidos. Os intervalos internos ICANN incluem
10.x.x.x, 172.16.x.x, 192.168.x.x e 169.254.x.x, com exceção das sub-redes 169.254.0.x e
169.254.255.x. Os pacotes NetBIOS incluem UDP 88, UDP 137, UDP 138, TCP 135, TCP 139,
TCP 445 e TCP 1026.
Opções Descrição
Permitir tráfego de Permite que os computadores clientes que se conectam por meio de token ring acessem a
token ring rede, independente das regras de firewall do cliente.
Se essa configuração for desativada, nenhum tráfego vindo de computadores que se conectam
por meio de um adaptador de token ring poderá acessar a rede corporativa. O firewall não
filtra tráfego de token ring. Ele permite ou bloqueia todo o tráfego de token ring.
Bloquear todo o Bloqueia todo o tráfego de entrada e saída do computador-cliente quando o firewall não
tráfego até que o estiver em execução por qualquer motivo.
firewall inicie e após o O computador não está protegido:
mesmo ser
interrompido ■ Após o computador-cliente ser ligado e antes que o serviço de firewall inicie.
■ Após o serviço de firewall ser interrompido e o computador-cliente for desligado.
Esse intervalo é uma pequena brecha na segurança que pode permitir comunicação
não-autorizada. Essa configuração impede que aplicativos não-autorizados se comuniquem
com outros computadores.
Permitir tráfego DHCP Permite o tráfego inicial, que ativa a conexão da rede. Isso inclui o tráfego inicial DHCP e
e NetBIOS inicial de NetBIOS que permite que o cliente obtenha um endereço IP.
Ativar a navegação no Detecta o tráfego HTTP de um navegador da Web em qualquer porta e remove o nome e
modo Dissimulado número de versão do navegador, do sistema operacional e da página Web de referência.
Impede que os sites saibam qual sistema operacional e navegador o computador utiliza.
Não detecta tráfego HTTPS (SSL).
Ativar novo Impede que um intruso forje ou falsifique o endereço IP de uma pessoa.
seqüenciamento de
Os hackers usam falsificações de IP para seqüestrar uma sessão de comunicação entre dois
TCP
computadores, como computador A e B. Um hacker pode enviar um pacote de dados que
faz com que o computador A elimine a comunicação. Depois, o hacker pode fingir ser o
computador A e comunicar-se com e atacar o computador B.
Para proteger o computador, o novo seqüenciamento de TCP escolher aleatoriamente os

números de seqüência TCP.
Ativar mascaramento Impede a detecção do sistema operacional do computador-cliente.

de impressões digitais
O cliente altera o TTL e o valor de identificação dos pacotes TCP/IP para impedir a
do SO
identificação do sistema operacional.
Ativar spoofing Permite o tráfego ARP (Address Resolution Protocol) de entrada e saída somente se uma
anti-MAC solicitação de ARP tiver sido feita para esse host específico. Bloqueia todo o tráfego ARP
adicional inesperado e o registra no registro de segurança.
Para ativar as configurações de tráfego e as configurações dissimuladas de

navegação na Web
1 No cliente, na barra lateral, clique em Modificar configurações.
2 Ao lado de Proteção contra ameaças à rede, clique em Definir configurações.
3 Na caixa de diálogo Configurações de proteção contra ameaças à rede, clique
emFirewall.
4 Na guia Firewall, nas caixas de grupo de Configurações de tráfego e do modo
dissimulado, marque as caixas de seleção para ativar as configurações.
5 Clique em OK.
Ativar a filtragem inteligente de tráfego

Você pode ativar os filtros inteligentes de tráfego para permitir o tráfego DHCP,
DNS e WINS na maior parte das redes. Os filtros inteligentes de tráfego permitem
que sejam enviados pedidos enviados e respostas recebidas pelas conexões da rede
que foram configuradas para usar DHCP, DNS e WINS, respectivamente.
Os filtros inteligentes de tráfego permitem que um cliente DHCP, DNS e WINS
receba um endereço IP de um servidor enquanto protegem o cliente contra ataques
de uma rede, da seguinte forma:
■ Se o cliente enviar um pedido ao servidor, o cliente aguarda cinco segundos
para permitir uma resposta de entrada.
■ Se o cliente não enviar um pedido ao servidor, cada filtro impedirá o pacote.
Os filtros inteligentes dão permissão a um pacote se for feito um pedido. Eles não
bloqueiam os pacotes. São as regras de firewall que dão permissão ou bloqueiam
os pacotes.
Para ativar a filtragem inteligente de tráfego
emFirewall.
4 Selecione uma ou mais das seguintes caixas de opção:
■ Ativar DHCP inteligente
■ Ativar DNS inteligente
■ Ativar WINS inteligente
5 Clique em OK.
Bloqueio do tráfego
Você pode configurar seu computador para bloquear tráfego de entrada e tráfego
de saída nas seguintes situações:
■ Quando a proteção de tela do computador é ativada.
Você pode configurar o computador para bloquear todo tráfego de entrada e
saída do ambiente de rede quando a proteção de tela for ativada. Assim que a
proteção de tela é desligada, o computador retorna ao nível de segurança
atribuído anteriormente.
■ Quando o firewall não executar.
O computador não estará protegido depois que o computador-cliente for ligado
e antes do serviço do firewall iniciar ou após o serviço do firewall ser
interrompido e o computador ser desligado. Esse intervalo é uma pequena
brecha na segurança que pode permitir comunicação não autorizada.
■ Quando você deseja bloquear todo o tráfego de entrada e saída a qualquer hora.
Você pode querer bloquear todo o tráfego quando um vírus especialmente
destrutivo atacar a rede ou sub-rede de sua empresa. Você não bloquearia todo
o tráfego sob circunstâncias normais. O administrador pode ter configurado
essa opção para que não esteja disponível.
Para bloquear o tráfego quando a proteção de tela for ativada
emRede do Microsoft Windows.
4 Na guia Rede do Microsoft Windows, clique em Bloquear o tráfego da rede
do Microsoft Windows enquanto a proteção de tela for executada.
5 Clique em OK.
Para bloquear o tráfego quando o firewall não executar
emFirewall.
4 Na guia Firewall, clique em Bloquear todo o tráfego até que o firewall inicie
e após o mesmo ser interrompido.
5 Como opção, clique em Permitir tráfego DHCP e NetBIOS inicial.
6 Clique em OK.
Configurar a prevenção de intrusões
Para bloquear todo o tráfego da rede a qualquer momento

2 Ao lado de Proteção contra ameaças à rede, clique em Opções > Exibir
atividade da rede.
3 Clique em Ferramentas > Bloquear todo o tráfego.
4 Para confirmar, clique em Sim.
5 Para retornar às configurações anteriores de firewall usadas pelo cliente,
desmarque Ferramentas > Bloquear todo o tráfego.
Para permitir todo o tráfego, desative a proteção contra ameaças à rede.
Consulte “Ativar e desativar a proteção contra ameaças à rede” na página 46.

Você pode personalizar as configurações de prevenção de intrusões para alterar
a proteção padrão.
Você pode ativar:
■ Assinaturas do sistema para prevenção de intrusões que detectam e previnem
ataques pela rede.
■ Configurações de prevenção de intrusões que previnem verificações de portas
e ataques de negação de serviço.
■ Resposta ativa, que bloqueia automaticamente os computadores que enviam
ataques.
Quando você desativa as configurações de prevenção de intrusões no computador,
este geralmente passa a ter menos segurança. No entanto, pode ser necessário
desativar essas configurações para prevenir falso positivo ou para solucionar
problemas nos computadores-cliente.
O cliente registra os ataques e eventos de segurança que o sistema de prevenção
de intrusões detecta no registro de segurança. O cliente pode registrar os ataques
e os eventos no registro de pacote.
Nota: Seu administrador pode ter configurado essas opções de modo que fiquem
indisponíveis.
Para ativar as configurações de prevenção de intrusões


emPrevenção de intrusões.
4 Para ativar uma configuração, selecione qualquer uma das caixas de opção a
seguir:
■ Ativar prevenção de intrusões
■ Ativar detecção de negação de serviço
■ Ativar detecção de verificação de portas
Para obter mais informações sobre as configurações, clique em Ajuda
5 Clique em OK.
Configuração das notificações da prevenção de intrusões

É possível configurar notificações para que sejam exibidas quando o cliente
detectar um ataque à rede em seu computador ou quando o cliente impedir que
um aplicativo acesse seu computador. É possível definir a duração da exibição
dessas notificações e se elas deverão ocorrer com aviso de áudio.
Você deve ativar o sistema de prevenção de intrusões para que as respectivas
notificações sejam exibidas.
Nota: O administrador pode ter configurado essas opções para que estejam
disponíveis.
Para configurar as notificações da prevenção de intrusões

em Prevenção de intrusões.
4 Selecione Exibir notificações de prevenção de intrusões.
5 Para ouvir um bipe quando a notificação for exibida, selecione Usar som ao
notificar os usuários.
6 Digite o tempo durante o qual deseja que as notificações sejam exibidas no
campo Número de segundos para exibir notificações.
7 Clique em OK.
Bloquear um computador invasor

Ao detectar um ataque pela rede, o cliente do Symantec Endpoint Protection pode
bloquear automaticamente a conexão para garantir a segurança do
computador-cliente. O cliente ativa uma resposta ativa, que bloqueia
automaticamente toda a comunicação recebida e enviada pelo endereço IP do
computador invasor por um período de tempo definido. O endereço IP do
computador invasor é bloqueado para um único local.
As assinaturas IPS atualizadas, assinaturas de negação de serviço atualizadas e
verificações de porta também acionam uma resposta ativa.
Você pode exibir o endereço IP do computador invasor no registro de segurança.
Você também pode desbloquear um ataque encerrando a resposta ativa no registro
de segurança.
Para bloquear um computador invasor
2 Ao lado de Proteção contra ameaças na rede, clique em Definir configurações.
3 Na caixa de diálogo Configurações de proteção contra ameaças na rede, clique
em Prevenção de intrusões.
4 Selecione Número de segundos para bloquear automaticamente o endereço
IP de um invasor e digite o número de segundos.
Digite um número entre um segundo até 999.999 segundos. O tempo padrão
é de 600 segundos, ou 10 minutos.
5 Clique em OK.
Se não quiser aguardar o período de tempo padrão para desbloquear o
endereço IP, você pode desbloqueá-lo imediatamente.
Para desbloquear um computador invasor
1 No cliente, na barra lateral, clique em Exibir registros.
2 Ao lado de Gerenciamento de clientes, clique em Exibir registros> Registro
de segurança.
3 No registro de segurança, selecione a linha que contém a Resposta ativa na
coluna Tipo de evento e depois clique em Ação > Interromper resposta ativa.
Para desbloquear o endereço IP bloqueado, clique em Ação > Interromper
todas as respostas ativas. Se você desbloquear uma resposta ativa, a coluna
Tipo de evento exibirá Resposta ativa cancelada. Se a resposta ativa exceder
o tempo limite, a coluna Tipo de evento exibirá Resposta ativa desativada.
Definição das configurações específicas dos aplicativos
4 Na caixa de mensagem exibida, clique em OK.

5 Clique em Arquivo > Sair.
Definição das configurações específicas dos

aplicativos
Você pode definir as configurações para um aplicativo que foi executado desde
que o serviço do cliente iniciou ou que pediu permissão para acessar a rede.
É possível configurar restrições como os endereços IP e as portas que o aplicativo
pode usar. Você pode exibir e alterar a ação que o cliente realiza para cada
aplicativo que tentar obter acesso por meio da conexão com a rede. Ao definir as
configurações para um aplicativo específico, crie uma regra de firewall baseada
em aplicativos.
Nota: Se houver conflito entre uma regra de firewall e uma configuração específica
do aplicativo, a regra de firewall terá prioridade. Por exemplo, uma regra de firewall
que bloqueia todo o tráfego entre 1 e 8 horas da manhã substitui o agendamento
para um aplicativo de vídeo específico.
Os aplicativos exibidos na caixa de diálogo Atividade da rede são aqueles que,

juntamente com os serviços, foram executados no cliente desde que o serviço
iniciou.
Consulte “Exibir a atividade da rede” na página 112.
Para definir as configurações específicas dos aplicativos
2 Ao lado de Proteção contra ameaças à rede, clique em Opções > Exibir lista
de aplicativos.
3 Na caixa de diálogo Exibir lista de aplicativos, selecione o aplicativo que deseja
definir e então clique em Configurar.
4 Na caixa de diálogo Definir configurações dos aplicativos, no campo IPs
confiáveis para o aplicativo, digite um endereço IP ou um intervalo IP.
5 Nas caixas de grupo Portas do servidor remoto ou Portas locais, selecione
uma porta TCP ou UDP.
6 Para especificar a direção do tráfego, clique em um ou em ambos os itens a
seguir:
■ Para permitir tráfego de saída, clique em Permitir conexões de saída.
Definição das configurações específicas dos aplicativos
■ Para permitir tráfego de entrada, clique em Permitir conexões de entrada.
7 Para aplicar a regra quando a proteção de tela for executada, clique em

Permitir enquanto a proteção de tela estiver ativada.
8 Para definir um agendamento quando as restrições estiverem ou não em
vigor, clique em Ativar agendamento.
9 Selecione um dos seguintes itens:
■ Para especificar o período de tempo em que as restrições estão em vigor,
clique em Durante o período a seguir.
■ Para especificar o período de tempo em que as restrições não estão em
vigor, clique em Excluindo o período a seguir.
10 Defina o agendamento.
11 Clique em OK.
12 Na caixa de diálogo Exibir lista de aplicativos, para alterar a ação, clique com
o botão direito do mouse no aplicativo e então clique em Permitir, Perguntar
ou Bloquear.
13 Clique em OK.
Você também pode alterar a ação para o aplicativo na caixa de diálogo Atividade
da rede.
Para alterar a ação de um aplicativo da caixa de diálogo Atividade da rede
atividades da rede.
3 Na caixa de diálogo Atividade da rede, no campo Aplicativos em execução,
clique com o botão direito do mouse no aplicativo ou serviço e então clique
em Permitir, Perguntar ou Bloquear.
4 Clique em Fechar.
Ao alterar a ação do aplicativo, ele é exibido na lista Aplicativos.
Para interromper um aplicativo ou serviço
atividades da rede.
3 No campo Aplicativos em execução, clique com o botão direito no aplicativo
e depois clique em Encerrar.
4 Clique em OK.
Compartilhamento de arquivos e pastas
Remoção das restrições de um aplicativo

É possível remover as restrições do aplicativo. Ao remover a restrição, a ação
realizada pelo cliente no aplicativo também é excluída. Quando o aplicativo ou o
serviço tentar conectar-se novamente à rede, é possível que seja exiba outra vez
uma mensagem perguntando se deseja permitir ou bloquear o aplicativo.
É possível interromper a execução de um aplicativo ou de um serviço até que o
aplicativo tente acessar novamente o computador, como ao reiniciar o computador.
Para remover as restrições de um aplicativo
2 Ao lado de Proteção contra ameaças à rede, clique em Opções > Exibir lista
de aplicativos.
3 Na caixa de diálogo Exibir lista de aplicativos, realize uma das seguintes ações:
■ Para remover um aplicativo da lista, selecione o aplicativo e clique em
Remover.
■ Para remover todos os aplicativos da lista, clique em Remover tudo.
4 Clique em OK.

Para especificar uma placa de interface de rede e definir direitos de navegação na
rede.
1 No menu Ferramentas, clique em Opções.
2 Clique em Ambiente de rede.
3 Clique na caixa de lista suspensa Interface da rede e selecione a placa de rede
do seu ponto final.
4 Para ativar o ponto final para navegar e compartilhar os recursos alocados

da rede, clique em uma ou ambas destas caixas de seleção:
Permitir navegação de Permite acessar outros pontos finais e impressoras na

arquivos e impressoras do rede selecionada. Isso permite acessar outros arquivos
Ambiente de rede na rede. Se essa opção for desativada, você não poderá
copiar arquivos de locais da rede.
Permitir que outras Permite que outros usuários da rede selecionada

pessoas compartilhem naveguem o seu ponto final.
meus arquivos e
impressoras
5 Clique em OK.
Secção 3
Symantec Network Access
Control
■ Noções básicas do Symantec Network Access Control

134
Capítulo 9
Noções básicas do
Symantec Network Access
Control
■ Sobre o Symantec Network Access Control
■ Execução de uma verificação de integridade do host
■ Correção do computador
■ Exibição de registros do Symantec Network Access
■ Sobre a aplicação
■ Configuração do cliente para autenticação 802.1x
Sobre o Symantec Network Access Control

O cliente Symantec Network Access Control avalia se um computador está
adequadamente protegido e em conformidade antes de permitir que ele se conecte
à rede corporativa.
O cliente assegura que seu computador esteja em conformidade com uma política
de segurança configurada por seu administrador. A política de segurança verifica
se o seu computador está executando o software de segurança mais recente, como
aplicativos antivírus e de firewall. Se o computador não estiver executando o
software necessário, esse software deve ser atualizado, seja por você ou pelo
cliente. Se seu software de segurança não estiver atualizado, a conexão de seu
computador à rede pode ser bloqueada. O cliente executa verificações periódicas
136 Noções básicas do Symantec Network Access Control
Sobre o Symantec Network Access Control
para confirmar se o seu computador continua em conformidade com a política de

segurança.
Como funciona o Symantec Network Access Control

O cliente do Symantec Network Access Control valida e aplica a conformidade das
políticas de computadores que tentam conectar-se à rede. Esse processo de
validação e aplicação inicia-se antes do computador conectar-se à rede e continua
na conexão. A Política de integridade do host é a política de segurança que funciona
como base para todas as avaliações e ações.
Esse processo de controle de acesso à rede inclui as seguintes etapas:
■ O cliente avalia continuamente sua conformidade.
Você ativa o computador-cliente. O cliente executa uma verificação de
integridade do host que compara a configuração do computador com a Política
de integridade do host que foi obtida por download do servidor de
gerenciamento. A verificação de integridade do host avalia o computador para
checar a conformidade com a Política de integridade do host de software
antivírus, patches, hot fixes e outros requisitos de segurança. Por exemplo, a
política pode verificar a data de atualização das definições antivírus e quais
patches foram aplicados mais recentemente ao sistema operacional.
■ Um Symantec Enforcer autentica o computador-cliente e permite o acesso do
computador à rede ou bloqueia e coloca em quarentena computadores que não
estejam em conformidade.
Se o computador atender a todos os requisitos da política, a verificação de
integridade do host passará. O Enforcer concede acesso total à rede para
computadores que passam na verificação de integridade do host.
Se o computador não atender a todos os requisitos da política, a verificação de
integridade do host falhará. Quando uma verificação de integridade do host
falha, o cliente ou um Symantec Enforcer bloqueia ou coloca o computador em
quarentena até que ele seja corrigido. Computadores em quarentena têm acesso
à rede limitado ou negado.
Consulte “Sobre a aplicação” na página 139.
O administrador pode configurar a política para que uma verificação de
integridade do host passe mesmo se um requisito específico falhar.
O cliente pode exibir uma notificação sempre que a verificação de integridade
do host passar.
Consulte “Resposta a notificações de controle de acesso à rede” na página 26.
■ O cliente corrige os computadores que não estejam em conformidade.
Se o cliente julgar que um requisito da Política de integridade do host não é
atendido, ele instalará ou solicitará a instalação do software necessário. Após
o computador ser corrigido, ele tentará acessar a rede novamente. Se o
Noções básicas do Symantec Network Access Control 137
Execução de uma verificação de integridade do host
computador estiver completamente em conformidade, o acesso à rede será

concedido.
Consulte “Correção do computador” na página 138.
■ O cliente monitora de forma proativa a conformidade.
O cliente monitora ativamente o estado de conformidade de todos os
computadores-cliente. Se o status de conformidade do computador for alterado,
os privilégios de acesso à rede do computador também serão alterados.
É possível obter mais informações sobre os resultados de verificação de integridade
do host no registro de segurança.
Sobre a atualização da Política de integridade do host

O cliente atualiza a Política de integridade do host em intervalos regulares. É
possível que o administrador solicite a atualização da Política de integridade do
host antes da próxima atualização agendada para fins de teste. Caso contrário,
não há a necessidade de atualizar a política.
Execução de uma verificação de integridade do host

O administrador configura a freqüência com que o cliente executa uma verificação
de integridade do host. Talvez seja necessário executar uma verificação de
integridade do host imediatamente ao invés de aguardar a próxima verificação.
Por exemplo, uma verificação de integridade do host com falhas pode considerar
que você precisa atualizar o aplicativo antivírus no computador. O cliente pode
permitir que você opte por fazer o download do software imediatamente ou mais
tarde. Se o download for feito imediatamente, você precisará executar novamente
a verificação de integridade do host para confirmar se possui o software correto.
Você pode aguardar até que a próxima verificação de integridade do host agendada
seja executada ou efetuar a verificação imediatamente.
Para executar uma verificação de integridade do host
2 Ao lado da opção de controle de acesso à rede, clique em Opções > Verificar
agora.
3 Se for exibida uma mensagem confirmando que a verificação de integridade
do host foi executada, clique em OK.
Se seu acesso à rede foi bloqueado, você deve recuperar o acesso à rede quando
o computador for atualizado a fim de estar em conformidade com a política
de segurança.
Correção do computador
Correção do computador
Se o cliente julgar que um requisito da Política de integridade do host não é
atendido, ele responderá de uma das seguintes maneiras:
■ O cliente faz o download da atualização do software automaticamente.
■ O cliente solicita que você faça o download da atualização de software
necessária.
Para corrigir o computador
◆ Na caixa de diálogo do Symantec Endpoint Protection exibida, efetue uma
das seguintes ações:
■ Para ver em quais requisitos de segurança o computador falhou, clique
em Detalhes.
■ Para instalar o software imediatamente, clique em Restaurar agora.
É provável que você tenha a opção de cancelar a instalação após seu início.
■ Para adiar a instalação do software, clique em Lembrar mais tarde em e
selecione um intervalo de tempo na lista suspensa.
O administrador pode configurar o número máximo de vezes que é possível
adiar a instalação.
Exibição de registros do Symantec Network Access

O cliente do Symantec Network Access Control usa os seguintes registros para
monitorar diferentes aspectos da operação:
Segurança Registra os resultados e o status das verificações de integridade do

host.
Sistema Registra todas as alterações operacionais do cliente, como a conexão

com o servidor de gerenciamento e as atualizações da política de
segurança do cliente.
Se você usar um cliente gerenciado, é possível fazer o upload de ambos os registros

regularmente no servidor. O administrador pode usar o conteúdo dos registros
para analisar o status geral de segurança da rede.
É possível exportar os dados desses registros.
Sobre a aplicação
Para exibir registros do Symantec Network Access Control

2 Para exibir o registro do sistema, ao lado da opção de controle de acesso à
rede, clique em Opções > Exibir registros.
3 Para exibir o registro de segurança, na caixa de diálogo Registros do
gerenciamento de clientes - Registro do sistema, clique em Exibir > Registro
de segurança.
4 Clique em Arquivo > Fechar.
Consulte “Sobre os registros” na página 147.
Sobre a aplicação
O cliente interage com um Symantec Enforcer. O Enforcer garante que todos os
computadores conectados à rede protegidos por ele executem o software cliente
e tenham uma política correta de segurança.
Um Enforcer deve autenticar o usuário ou o computador-cliente antes de permitir
que o computador-cliente acesse a rede. O Symantec Network Access Control
funciona com diversos tipos de Enforcers para autenticar o computador-cliente.
O Symantec Enforcer é um dispositivo de hardware de rede que verifica os
resultados de integridade do host e a identidade do computador-cliente antes de
permitir o acesso do computador à rede.
O Enforcer verifica as seguintes informações antes de permitir o acesso de um
cliente à rede:
■ O cliente do Symantec Network Access Control está em execução.
■ O cliente tem um identificador único (UID).
■ O cliente foi atualizado com as políticas de integridade do host mais recentes.
■ O computador-cliente passou na verificação de integridade do host.
Configuração do cliente para autenticação 802.1x

Se sua rede corporativa usar um LAN Enforcer para autenticação, o
computador-cliente deverá ser configurado para executar a autenticação 802.1x.
Você ou o administrador podem configurar o cliente. O administrador pode ou
não ter-lhe concedido permissão para configurar a autenticação 802.1x.
O processo de autenticação 802.1x inclui estas etapas:
■ Um cliente não autenticado ou requerente de terceiros envia as informações

do usuário e de conformidade a um comutador de rede 802.11 gerenciado.
■ O comutador de rede retransmite as informações para o LAN Enforcer. O LAN
Enforcer envia as informações do usuário para o servidor de autenticação para
que esta ocorra. O servidor RADIUS é o servidor de autenticação.
■ Se o cliente falhar na autenticação em nível de usuário ou não estiver em
conformidade com a Política de integridade do host, o Enforcer poderá bloquear
o acesso à rede. O Enforcer coloca o computador-cliente que não está em
conformidade em uma rede de quarentena, onde ele pode ser reparado.
■ Após o cliente corrigir o computador e deixá-lo em conformidade, o protocolo
802.1x autentica novamente o computador e concede ao mesmo acesso à rede.
Para trabalhar com o LAN Enforcer, o cliente pode usar um requerente de terceiros
ou integrado.
Tabela 9-1 descreve os tipos das opções que podem ser configuradas para a
autenticação 802.1x.
Tabela 9-1 Opções da autenticação 802.1x
Opção Descrição
Requerente de terceiros Usa um requerente 802.1x de terceiros.
O LAN Enforcer trabalha com um servidor RADIUS e

requerentes 802.1x de terceiros para fazer a autenticação dos
usuários. O requerente 802.1x solicita as informações do
usuário, que o LAN Enforcer transmite para o servidor
RADIUS para autenticação em nível do usuário. O cliente
envia o perfil do cliente e o status de integridade do host ao
Enforcer para que este autentique o computador.
Nota: Se você quiser usar o cliente Symantec Network Access
Control com um requerente de terceiros, o módulo de proteção
contra ameaças à rede do cliente Symantec Endpoint
Protection deverá ser instalado.
Opção Descrição
Modo transparente Usa o cliente para ser executado como requerente 802.1x.
Use esse método se o administrador não quiser usar um

servidor RADIUS para fazer a autenticação do usuário. O LAN
Enforcer é executado no modo transparente e atua como
pseudo-servidor RADIUS.
O modo transparente significa que o requerente não solicitará

informações do usuário. No modo transparente, o cliente atua
como requerente 802.1x. O cliente responderá ao estímulo
EAP do comutador com o perfil do cliente e o status de
integridade do host. O comutador, por sua vez, encaminhará
as informações ao LAN Enforcer, que atuará como
pseudo-servidor RADIUS. O LAN Enforcer valida a integridade
do host e as informações do perfil do cliente provenientes do
comutador e pode permitir, bloquear ou atribuir
dinamicamente uma VLAN, conforme adequado.
Nota: Para usar um cliente como requerente 802.1x, é
necessário desinstalar ou desativar requerentes 802.1x de
terceiros do computador-cliente.
Requerente integrado Usa o requerente 802.1x integrado do computador-cliente.
Os protocolos de autenticação integrados incluem Smart Card,

PEAP ou TLS. Após ativar a autenticação 802.1x, você deve
especificar qual protocolo de autenticação será usado.
Aviso: Entre em contato com o administrador antes de configurar o cliente para

autenticação 802.1x. Você deve saber se a rede corporativa utiliza o servidor
RADIUS como servidor de autenticação. Se você configurar a autenticação 802.1x
incorretamente, poderá interromper a conexão à rede.
Para configurar o cliente para o uso de um requerente de terceiros

2 Ao lado de Controle de acesso à rede, clique em Opções > 802.1x.
3 Clique em Ativar autenticação 802.1x.
4 Clique em OK.
Você também deve configurar uma regra de firewall que permita drivers de
requerentes 802.1x de terceiros na rede.
Consulte “Adicionando regras” na página 119.
É possível configurar o cliente para usar o requerente integrado. Ative o cliente

para autenticação 802.1x e como requerente 802.1x.
Para configurar o cliente para usar o modo transparente ou um requerente integrado
2 Ao lado de Controle de acesso à rede, clique em Opções > 802.1x.
3 Clique em Ativar autenticação 802.1x.
4 Clique em Usar o cliente como requerente 802.1x.
■ Para selecionar o modo transparente, selecione Usar Modo transparente
Symantec.
■ Para configurar um requerente integrado, clique em Permitir que o
usuário selecione o protocolo de autenticação.
Em seguida, será necessário escolher o protocolo de autenticação para a
conexão de rede.
6 Clique em OK.
Para escolher um protocolo de autenticação
1 No computador-cliente, clique em Iniciar > Configurações > Conexões de
rede > Conexão local.
2 Na caixa de diálogo Status da conexão local, na guia Geral, clique em
Propriedades.
3 Na caixa de diálogo Propriedades da conexão local, clique em Autenticação.
4 Na guia Autenticação, clique na lista suspensa Tipo EAP e selecione um destes
protocolos de autenticação:
■ Cartão inteligente ou outro certificado
■ EAP protegido (PEAP)
■ Modo transparente Symantec
5 Clique em OK.
6 Clique em Fechar.
Reautenticação do computador
Se o computador passou pela verificação de integridade do host, mas a rede
bloqueia o computador, talvez seja necessário reautenticar o computador. Sob
circunstâncias normais, nunca seria necessário reautenticar o computador.
A rede pode bloquear o computador quando ocorrerem um dos seguintes eventos:

■ O computador-cliente falhou na autenticação do usuário porque a senha ou o
nome do usuário foi digitado incorretamente.
■ O computador-cliente está na VLAN incorreta.
■ O computador-cliente não obtém uma conexão de rede. Uma conexão de rede
quebrada geralmente ocorre porque a alternância entre o computador-cliente
e o LAN Enforcer não autenticou o nome de usuário e a senha.
■ É necessário conectar-se a um computador-cliente que tenha autenticado um
usuário anterior.
■ O computador-cliente falhou na verificação de conformidade.
É possível reautenticar o computador somente se você ou o administrador o
configurou com um requerente integrado.
Nota: É possível que o administrador não tenha configurado o cliente para exibição
do comando de reautenticação.
Para reautenticar o computador

1 Clique com o botão direito do mouse no ícone da área de notificação.
2 Clique em Nova autenticação.
3 Na caixa de diálogo Autenticar novamente, digite o nome de usuário e a senha.
4 Clique em OK.
Secção 4
Monitoração e registro
■ Uso e gerenciamento de registros

146
Capítulo 10
Uso e gerenciamento de
registros
■ Sobre os registros
■ Exibição de registros e dos detalhes dos registros
■ Gerenciamento do tamanho de registros
■ Colocar em quarentena os riscos e as ameaças do registro de riscos e do registro

de ameaças
■ Uso de registros de proteção contra ameaças à rede e de registros de

gerenciamento de clientes
■ Exportação de dados de registro
Sobre os registros
Os registros contêm uma lista das atividades relacionadas à segurança ocorridas
em seu computador, incluindo atividades de vírus e de risco à segurança, alterações
de configuração e erros. Eles também incluem informações sobre vírus e
informações sobre o arquivo de definições de riscos à segurança, status do
computador e o tráfego que entra ou sai do computador. Esses registros são
denominados eventos ou entradas. Os registros exibem esses eventos com todas
as informações adicionais relevantes. Se você usar um cliente gerenciado, pode
fazer o upload de seus registros regularmente para o servidor de gerenciamento.
Um administrador pode usar esses dados para analisar o status de segurança geral
da rede.
148 Uso e gerenciamento de registros
Sobre os registros
Os registros são um método importante de rastrear as atividades de seu

computador e sua interação com outros computadores e redes. Você pode usar as
informações dos registros para rastrear tendências relacionadas a vírus, riscos à
segurança e ataques ao seu computador. Se o mesmo computador for usado por
várias pessoas, você poderá identificar qual delas introduz os riscos e, assim,
ajudá-la a usar precauções mais eficientes. Os registros de proteção da rede podem
ajudar a detectar atividades que representam ameaças em potencial como, por
exemplo, verificação de portas. Além disso, eles podem ser usados para rastrear
a origem de tráfego. Os registros de proteção da rede também podem ser usados
para ajudar na solução de problemas de conexão ou de possíveis ataques à rede.
Se o Symantec Endpoint Protection estiver instalado, as seguintes visualizações
de registro estarão disponíveis:
■ Registro de verificações, da proteção antivírus e anti-spyware
■ Registro de riscos, da proteção antivírus e anti-spyware
■ Registro do sistema, da proteção antivírus e anti-spyware
■ Registro de ameaças, da proteção proativa contra ameaças
■ Registro do sistema, da proteção proativa contra ameaças
■ Registro de proteção contra adulterações, da proteção contra adulterações
■ Registro de tráfego, da proteção contra ameaças à rede
■ Registro de pacotes, da proteção contra ameaças à rede
■ Registro de segurança, do gerenciamento de cliente e da proteção contra
ameaças à rede
■ Registro de controle, do gerenciamento de cliente
■ Registro do sistema, do gerenciamento de cliente
Se o Symantec Network Access Control estiver instalado, os seguintes registros
estarão disponíveis:
■ Registro de segurança
■ Registro do sistema
Os registros podem informá-lo quando seu computador for bloqueado na rede e
ajudá-lo a determinar o motivo desse bloqueio.
Para obter mais informações sobre um registro, você pode pressionar F1 para
exibir a ajuda desse registro.
A Tabela 10-1 descreve cada registro e o que você pode fazer com ele.
Uso e gerenciamento de registros 149
Sobre os registros
Tabela 10-1 Registros do cliente e suas descrições
Registro Descrição
Registro de O registro de verificações contém as entradas sobre as verificações realizadas em seu

verificações computador ao longo do tempo.
Você pode realizar as seguintes tarefas no Registro de verificações:
■ Visualizar uma lista das verificações feitas no seu computador ao longo do tempo. As
verificações são exibidas com informações adicionais relevantes sobre elas.
■ Exportar os dados do registro para um arquivo de texto separado por vírgulas, para que
sejam usados em outros aplicativos.
■ Clicar com o botão direito do mouse em uma entrada para exibir suas propriedades.
Registro de riscos O Registro de riscos contém entradas sobre vírus e riscos à segurança, como adware e
spyware, que infectaram seu computador. Os riscos à segurança incluem um link para a
página da Web Symantec Security Response, que fornece outras informações.
Você pode realizar as seguintes tarefas no Registro de riscos:
■ Exibir uma lista dos eventos relacionados a vírus e riscos à segurança.

■ Limpar um risco do computador.
■ Excluir permanentemente um risco do computador.
■ Desfazer as alterações realizadas pelo Symantec Endpoint Protection ao excluir um
risco ou corrigir seus efeitos colaterais.
■ Colocar em quarentena os riscos detectados em seu computador.
Registro da proteção O registro do sistema da proteção antivírus e anti-spyware contém informações sobre
antivírus e atividades do sistema em seu computador, relacionadas aos riscos à segurança. Essas
anti-spyware informações incluem alterações na configuração, erros e informações sobre arquivos de
definições.
Você pode realizar as seguintes tarefas no Registro da proteção antivírus e anti-spyware:
■ Exibir uma lista dos eventos relacionados ao antivírus e anti-spyware.

■ Filtrar as informações do registro para exibir apenas um ou alguns tipos de eventos.
Sobre os registros
Registro de ameaças O Registro de ameaças contém informações sobre as ameaças que a proteção proativa contra
ameaças detectou em seu computador. Essas ameaças incluem os aplicativos comerciais
que podem ser usados para fins maliciosos. Por exemplo, Cavalos de Tróia, worms ou
registradores de teclas ou ainda worms para e-mail em massa, vírus em macros e ameaças
baseadas em script.
Você pode realizar as seguintes tarefas no Registro de ameaças:
■ Visualizar a lista dos eventos relacionados à proteção proativa contra ameaças.

■ Encerrar os programas maliciosos ou os processos maliciosos que foram encontrados
em seu computador.
■ Restaurar itens em quarentena.
■ Colocar em quarentena as ameaças detectadas em seu computador.
Nota: Os botões de ação ativos dependem das ações que forem adequadas para a entrada
de registro selecionada.
Registro da proteção O registro do sistema da proteção proativa contra ameaças contém informações sobre
proativa contra atividades do sistema em seu computador, relacionadas à proteção proativa contra ameaças.
ameaças Você pode realizar as seguintes tarefas no Registro da proteção proativa contra ameaças:
■ Visualizar os eventos do sistema relacionados à proteção proativa contra ameaças.

■ Exportar os dados para um arquivo de texto separado por vírgulas, para que sejam
usados em outros aplicativos.
■ Filtrar as informações do registro para exibir apenas um ou alguns tipos de eventos.
Registro da proteção O registro da proteção contra adulterações contém entradas sobre as tentativas de
contra adulterações adulterações com os aplicativos Symantec em seu computador. Essas entradas contêm
informações sobre as tentativas detectadas pela proteção contra adulterações ou sobre as
tentativas detectadas e prevenidas.
Você pode realizar as seguintes tarefas no registro de proteção contra adulteração:
■ Exibir a lista dos eventos relacionados à proteção contra adulteração.

Sobre os registros
Registro de tráfego O Registro de tráfego contém informações sobre as conexões que seu computador efetua
por meio da rede.
Você pode realizar as seguintes tarefas no Registro de tráfego:
■ Exibir uma lista dos eventos de tráfego de entrada e de saída sempre que seu computador
for conectado a uma rede.
■ A partir do menu Arquivo, limpar todas as entradas do registro.
■ A partir do menu Arquivo, exportar os dados do registro para um arquivo de texto
delimitado por tabulação, para que sejam usados em outros aplicativos.
■ A partir do menu Arquivo, acessar as configurações de proteção contra ameaças à rede
e alterar as configurações disponíveis para você.
■ A partir do menu Exibir, alternar entre uma exibição local e uma exibição de origem.
■ A partir do menu Filtro, filtrar as entradas selecionando um intervalo de tempo.
■ A partir do menu Ação, rastrear os pacotes de dados que foram usados em tentativas
de ataques para localizar sua origem. Observe que não é possível rastrear todas as
entradas.
Nota: Estarão indisponíveis as ações inapropriadas para uma entrada específica ou aquelas
que seu administrador não permitir.
Registro de pacotes O Registro de pacotes contém informações sobre os pacotes de dados que entram ou saem
pelas portas de seu computador.
Você pode realizar as seguintes tarefas no Registro de pacotes:
■ Exibir uma lista dos eventos de tráfego de entrada e de saída sempre que seu computador
for conectado a uma rede.
■ A partir do menu Arquivo, exportar os dados para um arquivo de texto delimitado por
tabulação, em formato de monitor de rede ou em formato Netxray, para serem usados
em outros aplicativos.
■ A partir do menu Arquivo, acessar as configurações de proteção contra ameaças à rede
e alterar as configurações disponíveis para você.
entradas.
Sobre os registros
Registro de controle O Registro de controle contém informações sobre as chaves do Registro, arquivos e DLLs
que um aplicativo acessa, bem como os aplicativos executados em seu computador.
Você pode realizar as seguintes tarefas no Registro de controle:
■ Exibir uma lista dos eventos de controle.

Registro de segurança O Registro de segurança contém informações sobre as atividades que foram direcionadas
ao seu computador e que podem representar uma ameaça em potencial. Exemplos dessas
atividades são: ataques de negação de serviço, verificações de portas e alteração de arquivos
executáveis.
Você pode realizar as seguintes tarefas no Registro de segurança:
■ Exibir eventos relacionados à segurança.

■ A partir do menu Filtro, filtrar as entradas com base em um intervalo de tempo ou com
base na gravidade.
entradas.
■ Interromper o bloqueio, pelo cliente, dos ataques realizados por outros computadores.
Registro do sistema O Registro do sistema contém informações sobre todas as alterações operacionais ocorridas
em seu computador. Exemplos incluem atividades tais como quando um serviço é iniciado
ou interrompido, quando o computador detecta aplicativos de rede ou quando um software
é configurado.
Você pode realizar as seguintes tarefas no registro do sistema:
■ Exibir uma lista dos eventos do sistema sempre que seu computador for conectado a
uma rede.
■ A partir do menu Filtro, filtrar as entradas com base em um intervalo de tempo ou com
base na gravidade.
Exibição de registros e dos detalhes dos registros
Nota: Se você estiver conectado a um cliente gerenciado, algumas opções de alguns

registros estarão indisponíveis. A disponibilidade dessas opções depende das
permissões do administrador. Essa nota aplica-se aos registros da proteção contra
ameaças à rede, do tráfego de gerenciamento de cliente, de pacotes, de controle,
de segurança e do sistema.
As opções inapropriadas para uma entrada específica de qualquer registro podem

estar indisponíveis.

Você pode exibir os registros em seu computador para verificar os detalhes dos
eventos ocorridos.
Para exibir um registro
2 Ao lado do tipo de registro que você deseja exibir, clique em Exibir registros
e depois no nome do registro.
A partir da exibição de qualquer um dos registros da Proteção contra ameaças
à rede e dos registros do Gerenciamento de clientes, você pode alternar para
a exibição de outros registros. Use o menu Exibir, localizado no topo da caixa
de diálogo, para acessar os outros registros.
3 Se você abriu a exibição de um dos registros da proteção contra ameaças à
rede ou do gerenciamento de cliente, clique em Visualização local ou em
Visualização de origem.
As colunas do registro se alteram, dependendo se escolheu visualização local
ou visualização de origem. A visualização local mostra o conteúdo sob a
perspectiva da porta local e da porta remota. Essa perspectiva normalmente
é usada em um firewall baseado em host. A visualização de origem mostra o
conteúdo sob a perspectiva da porta de origem e da porta de destino. Essa
perspectiva normalmente é usada em um firewall baseado em rede.
Se as entradas dos registros da proteção contra ameaças à rede e do gerenciamento
de cliente tiverem mais informações disponíveis, serão exibidas nos seguintes
locais:
■ As informações de descrição serão exibidas no painel inferior esquerdo da
exibição do registro.
■ As informações de dados serão exibidas no painel inferior direito da exibição
do registro.
Você também pode exibir os detalhes de qualquer entrada dos registros da proteção
antivírus e anti-spyware, da proteção contra adulterações e da proteção proativa
contra ameaças. No Registro de riscos, os detalhes fornecem algumas informações
adicionais que não estão disponíveis na janela principal de visualização de
registros.
Para exibir os detalhes da entrada dos registros da proteção antivírus e
anti-spyware, da proteção contra adulterações e da proteção proativa contra
ameaças
2 Ao lado de Proteção antivírus e anti-spyware, Proteção contra adulterações
ou Proteção proativa contra ameaças, clique em Exibir registros.
3 Clique no nome do registro que você deseja exibir.
4 Clique com o botão direito do mouse em uma entrada da lista e depois selecione
Propriedades.
Filtrar as visualizações de registro

Você pode filtrar de diferentes formas a exibição de alguns dos registros. Você
pode filtrar os eventos dos registros da proteção contra ameaças à rede e do
gerenciamento de cliente pelo período de tempo durante o qual ocorreram. Você
pode filtrar os eventos em alguns dos registros da proteção contra ameaças à rede
pelo nível de gravidade. Você pode filtrar por tipo os eventos no Registro da
proteção antivírus e anti-spyware e no Registro da proteção proativa contra
ameaças.
Filtrar entradas pelo período de tempo

Você pode filtrar alguns registros pelo período de tempo durante o qual os eventos
ocorreram.
Para filtrar as entradas de registro por período de tempo
2 À direita de Proteção contra ameaças à rede ou Gerenciamento de clientes,
clique em Exibir registros.
3 Clique no nome do registro que você deseja exibir.
4 Na janela de exibição do registro, clique em Filtro e selecione o período de
tempo para o qual deseja exibir os eventos do registro.
Por exemplo, se você selecionar registros de 2 semanas, o visualizador do
registro mostrará os eventos que foram registrados durante os últimos 14
dias.
Filtrar as entradas por nível de gravidade

Você pode filtrar por nível de gravidade as informações nas exibições do registro
de segurança da proteção contra ameaças na rede, e do registro de segurança e
do sistema do gerenciamento de cliente. Por padrão, são exibidos os eventos de
todo os níveis de gravidade.
Para filtrar as entradas de registro por nível de gravidade
clique em Exibir registros e depois em Registro de segurança ou Registro do
sistema.
3 Na janela visualizar registros, clique em Filtro e depois clique em Gravidade.
4 Selecione um dos seguintes itens para desmarcar:
■ Sério (somente registro de segurança)
■ Importante (somente registro de segurança)
■ Menos importante (somente registro de segurança)
■ Erro (somente registro do sistema)
■ Aviso (somente registro do sistema)
■ Informações
Desmarcar um item elimina da exibição os eventos do nível de gravidade
correspondente.
5 Você pode clicar em Gravidade e selecionar outro nível para eliminar outros
níveis de gravidade da exibição.
Filtrar os registros do sistema por categoria de eventos

No Registro da proteção antivírus e anti-spyware e no Registro da proteção proativa
contra ameaças, os eventos são categorizados da seguinte forma:
■ Alteração de configuração
■ Iniciar/desligar o Symantec AntiVirus
■ Arquivo de definições de vírus
■ Omissões da verificação
■ Encaminhar ao Servidor de quarentena
■ Entregar ao Symantec Security Response
■ Ativação/desativação do Auto-Protect
Gerenciamento do tamanho de registros
■ Gerenciamento e deslocamento de cliente

■ Encaminhamento de registro
■ Avisos de comunicação não autorizada (acesso negado)
■ Gerenciamento de logins e certificados
■ Conformidade do cliente
■ Erro ao carregar a verificação proativa de ameaças
■ Erro ao carregar aplicativos comerciais da verificação proativa de ameaças
■ Sistema operacional incompatível com a verificação proativa de ameaças
Você pode reduzir o número de eventos exibidos nos dois registros do sistema
exibindo somente determinados tipos de eventos. Por exemplo, se quiser exibir
apenas os eventos relacionados ao Auto-Protect, pode selecionar apenas o tipo
Ativação/desativação do Auto-Protect. Se você selecionar um tipo, o registro dos
eventos de outras categorias não será interrompido. Isso apenas impedirá que as
outras categorias apareçam quando você exibir o registro do sistema.
Nota: Nessa exibição, apenas os eventos relevantes estarão disponíveis para serem
excluídos.
Para filtrar os registros do sistema por categoria de eventos

2 Ao lado de Proteção antivírus e anti-spyware ou de Proteção proativa contra
ameaças, clique em Exibir registros.
3 Clique em Registro do sistema.
4 Clique em Filtrar.
5 Marque ou desmarque uma ou mais categorias de eventos.
6 Clique em OK.

É possível configurar o período de tempo das entradas nos registros. A exclusão
de entradas mais antigas ajuda a evitar que os registros usem muito espaço em
disco. Para registros de Proteção contra ameaças à rede e de gerenciamento de
clientes, também é possível definir a quantidade de espaço usada.
Configurando o tempo de retenção para entradas de registro da

proteção antivírus e anti-spyware e da proteção proativa contra
ameaças
Para definir por quanto tempo as entradas de registro serão retidas
1 No cliente, na página Status, ao lado de Proteção antivírus e anti-spyware,
clique em Opções e depois em Alterar configurações.
2 Na guia Geral, defina o valor numérico e a unidade de tempo para retenção
de entradas nesses registros. As entradas mais antigas que o valor definido
são excluídas.
3 Clique em OK.
Configuração do tamanho dos registros de proteção contra ameaças

à rede e dos registros de gerenciamento de clientes
Você pode definir o tamanho do registro para cada registro de proteção contra
ameaças à rede e registro de gerenciamento de clientes.
Para alterar o tamanho dos registros
1 No cliente, na página Status, à direita de Proteção contra ameaças à rede,
2 Na caixa de diálogo Configurações de proteção contra ameaças à rede, na guia
Registros, no campo de texto Tamanho máximo do arquivo de registro, digite
o número máximo de kilobytes que deseja que o tamanho do arquivo de
registro tenha.
Você deve manter o tamanho do arquivo de registro pequeno devido ao espaço
disponível no computador. O tamanho padrão para todos os registros é 512
KB, com exceção do registro de controle e do registro de pacotes. O tamanho
padrão do registro de controle e do registro de pacotes é 1.024 KB.
3 Clique em OK.
Configuração do tempo de retenção para as entradas do registro de

proteção de ameaças à rede e as entradas do registro de gerenciamento
de clientes
Você pode especificar por quantos dias as entradas são salvas em cada registro.
Após atingir o número máximo de dias, as entradas mais antigas são substituídas.
Convém excluir entradas para economizar espaço ou reter entradas para examinar
a segurança do computador.
Para definir por quantos dias as entradas de registro serão retidas

1 No cliente, na página Status, à direita de Proteção contra ameaças à rede ou
Gerenciamento de clientes, clique em Opções e depois em Alterar
configurações.
2 Na caixa de diálogo Configurações de proteção contra ameaças à rede, na guia
Registros, no campo de texto Salvar todas as entradas de registro de, digite
o número máximo de dias para salvar as entradas do registro.
3 Clique em OK.
Sobre a exclusão do conteúdo do registro do sistema antivírus e

anti-spyware
Não é possível remover permanentemente os registros de eventos do registro do
sistema usando a interface do usuário.
Exclusão dos conteúdos dos registros de proteção contra ameaças à

rede e registros de gerenciamento de cliente
Se o administrador permitir, você pode limpar os conteúdos do registro de proteção
contra ameaças de rede e os registros de gerenciamento de cliente. Depois de
limpar o registro, cada um começa imediatamente e salva as entradas novamente.
Nota: Se a opção "Limpar" não estiver disponível, você não terá permissão para
excluir os conteúdos de registros.
Se você tiver permissão, também pode limpar o conteúdo de um registro a partir
do menu Arquivo do próprio registro.
Para excluir os conteúdos de um registro

1 Em cliente, na página Status, à direita de Proteção contra ameaças à rede,
2 Na caixa de diálogo Configurar proteção contra ameaças à rede, na guia
Registros, ao lado do registro desejado, clique em Limpar registro.
3 Quando for solicitado que você confirme, clique em Sim.
4 Clique em OK.
Colocar em quarentena os riscos e as ameaças do registro de riscos e do registro de ameaças
Colocar em quarentena os riscos e as ameaças do

registro de riscos e do registro de ameaças
Você pode colocar em quarentena as ameaças registradas no registro do histórico
da proteção proativa contra ameaças. Você pode colocar em quarentena os riscos
de qualquer registro de riscos antivírus e anti-spyware. Você também pode limpar
e excluir os riscos do registro de riscos antivírus e anti-spyware.
Para colocar em quarentena um risco ou ameaça
2 Ao lado de Proteção antivírus e anti-spyware ou de Proteção proativa contra
ameaças, clique em Exibir registros e depois no nome do registro que você
deseja.
3 Selecione um risco ou ameaça e clique em Quarentena.
Com base na ação predefinida para uma detecção de risco, o Symantec
Endpoint Protection pode ou não ser capaz de realizar a ação selecionada. Se
o risco ou a ameaça forem colocados em quarentena com sucesso, você
receberá uma mensagem. Nenhuma outra ação é necessária para manter seu
computador livre desse risco ou ameaça. Você pode deixar os arquivos em
quarentena devido a riscos ou pode excluí-los. Deixe-os em quarentena até
ter certeza de que os aplicativos no seu computador não tenham perdido
nenhuma funcionalidade.
Consulte “Sobre os arquivos infectados na quarentena” na página 87.
Se o Symantec Endpoint Protection não puder colocar o risco ou a ameaça
em quarentena, será exibida uma mensagem de erro. Nesses casos, entre em
contato com o administrador.
Você também pode limpar e excluir os riscos e ameaças, assim como desfazer
ações desses registros, quando aplicável.
Consulte “Tratamento dos arquivos infectados” na página 20.
Uso de registros de proteção contra ameaças à rede

e de registros de gerenciamento de clientes
Os registros de proteção contra ameaças à rede e os registros de gerenciamento
de clientes permitem rastrear a atividade do computador e sua interação com
outros computadores e redes. Esses registros gravam as informações sobre o
tráfego que tenta entrar ou sair do computador por meio da conexão com a rede.
Uso de registros de proteção contra ameaças à rede e de registros de gerenciamento de clientes
Eles também gravam as informações sobre os resultados da política de firewall

aplicada ao cliente.
Gerencie os registros de proteção contra ameaças à rede e os registros de
gerenciamento de clientes de um local central. Os registros de segurança, tráfego
e pacotes permitem rastrear alguns dados a partir da origem. O rastreamento é
feito por ICMP para determinar todos os passos entre o computador e um invasor
em outro computador.
Nota: Algumas opções para esses registros poderão não estar disponíveis,
dependendo do tipo de controle que o administrador definiu para o cliente.
Atualizar os registros da proteção contra ameaças à rede e do

gerenciamento de cliente
Para atualizar um registro
2 À direita da proteção contra ameaças à rede ou do gerenciamento de cliente,
clique em Exibir registros e depois no nome do registro que você deseja.
3 No menu Exibir, clique emAtualizar.
Ativação do registro de pacotes

Todos os registros da proteção contra ameaças à rede e do gerenciamento de
clientes são ativados por padrão, exceto o registro de pacotes. Se o administrador
permitir, você pode ativar e desativar o registro de pacotes.
Para ativar o registro de pacotes
1 Em cliente, na página Status, à direita de Proteção contra ameaças à rede,
emRegistros.
3 Marque Ativar registro de pacotes.
4 Clique em OK.
Interrupção de uma resposta ativa

Qualquer intrusão detectada no cliente aciona uma resposta ativa. Essa resposta
ativa bloqueia automaticamente o endereço IP de um invasor conhecido por um
Uso de registros de proteção contra ameaças à rede e de registros de gerenciamento de clientes
período de tempo especificado. Se o administrador permitir, você poderá

interromper a resposta ativa imediatamente no registro de segurança.
Consulte “Bloquear um computador invasor” na página 128.
Rastrear eventos até suas origens

É possível rastrear eventos para localizar a origem dos dados de um evento
registrado. Como um detetive que rastreia o caminho de um criminoso na cena
do crime, o back trace mostra os passos ou saltos exatos do tráfego de entrada.
Um salto é um ponto de transição, como um roteador, pelo qual um pacote passa
enquanto vai de um computador a outro na Internet. O back trace segue um pacote
de dados no sentido inverso, descobrindo por quais roteadores os dados passaram
para alcançar seu computador.
A Figura 10-1 exibe como o cliente localiza a origem dos dados de um evento
registrado.
Figura 10-1 Rastreamento de um pacote
Seu computador Computador do hacker
Dados
Hop 1 Hop 2 Hop 3 Hop 4 Hop 5 Hop 6
Roteadores na rede pública
Em algumas entradas do registro, é possível rastrear um pacote de dados que

tenha sido usado em uma tentativa de ataque. Cada roteador pelo qual um pacote
de dados passa tem um endereço IP. É possível visualizar o endereço IP e outros
Exportação de dados de registro
detalhes. As informações exibidas não asseguram que você descobriu quem o

hacker é na verdade. O endereço IP do salto final lista o proprietário do roteador
pelo qual os hackers se conectaram, não necessariamente os próprios hackers.
É possível rastrear alguns eventos registrados nos Registros de segurança e de
tráfego.
Para rastrear um evento registrado
clique em Exibir registros. Em seguida, clique no registro que contém a
entrada que você deseja rastrear.
3 Na janela de visualização de registros, selecione a linha da entrada que deseja
rastrear.
4 Clique em Ação e em BackTrace.
5 Na caixa de diálogo Informações do Back Trace, clique em Quem é >> para
exibir informações detalhadas sobre cada salto.
Um painel suspenso exibe informações detalhadas sobre o proprietário do
endereço IP do qual o evento de tráfego foi iniciado. Você pode usar Ctrl-C e
Ctrl-V para recortar e colar as informações do painel em uma mensagem de
e-mail para o administrador.
6 Clique em Quem é << novamente para ocultar as informações.
7 Após concluir, clique em OK.
Usando os registros de gerenciamento de cliente com o Symantec

Network Access Control
Se você tiver o Symantec Network Access Control instalado, poderá realizar as
seguintes tarefas no menu Ação no registro de segurança e no registro do sistema:
■ Atualizar uma política
■ Verificar integridade do host
Consulte “Execução de uma verificação de integridade do host” na página 137.

Você pode exportar as informações de alguns registros em um arquivo com valor
separado por vírgulas (.cvs) ou no formato Access Database (*.mdb). O formato
csv é um formato comum de arquivo que a maioria dos programas de planilhas e
banco de dados usam para importar dados. Depois de importar os dados para outro
programa, você pode usar os dados para criar apresentações, gráficos ou para
combinar com outras informações. Você pode exportar as informações dos registros
de proteção contra ameaças à rede e de gerenciamento de cliente para arquivos
de texto delimitados por tabulação.
Você pode exportar os seguintes registros para um arquivo de extensão .csv ou
.mdb:
■ Registro do sistema antivírus e anti-spyware
■ Registro de riscos do antivírus e anti-spyware
■ Registro de verificações do antivírus e anti-spyware
■ Registro do sistema de proteção proativa contra ameaças
■ Registro de ameaças da proteção proativa contra ameaças
■ Registro da proteção contra adulterações
Nota: Se você filtrar os dados do registro por qualquer um dos métodos e depois
exportá-los, exportará somente os dados filtrados no momento. Essa restrição
não vale para os registros que você exportar para um arquivo de texto delimitado
por tabulação. Todos os dados desses registros são exportados.
Consulte “Filtrar as visualizações de registro” na página 154.
Você pode exportar os seguintes registros para um arquivo .txt delimitado por
tabulação:
■ Registro de controle de gerenciamento de cliente
■ Registro de pacotes de proteção contra ameaças à rede
■ Registro de segurança de gerenciamento de cliente
■ Registro do sistema de gerenciamento de cliente
■ Registro de tráfego de proteção contra ameaças à rede
Nota: Além do arquivo de texto delimitado por tabulação, você também pode
exportar os dados a partir do registro de pacotes para formato de monitor de rede
ou NetXray.
Para exportar dados para um arquivo .csv

2 Ao lado de Proteção antivírus e anti-spyware, Proteção proativa contra
ameaças ou Proteção contra adulterações, clique em Exibir registros.
3 Clique no nome do registro que você deseja.
4 Na janela de registros, certifique-se de que os dados que você deseja salvar
sejam exibidos.
Clique em Exportar.
5 Na caixa de diálogo Salvar como, digite um nome para o arquivo.
6 Procure o diretório onde você deseja que o arquivo seja salvo.
7 Clique em Salvar.
Para exportar os dados do registro da proteção contra ameaças à rede ou os dados
de registro do gerenciamento de clientes para um arquivo de texto
clique em Exibir registros.
3 Clique no nome do registro para onde você deseja exportar os dados.
4 Clique em Arquivo e depois em Exportar.
Se você selecionou o registro de pacotes, pode clicar em Exportar para o
formato de monitor da rede ou Exportar para o formato Netxray.
5 Na caixa de diálogo Salvar como, digite um nome para o arquivo.
6 Procure o diretório onde você deseja que o arquivo seja salvo.
Clique em Salvar.
Índice
A bloqueio 107
ações rede 110
atribuição de ações secundárias para vírus 80 atividade da rede
dicas para atribuir segundas ações para riscos à exibição 112
segurança 81 Autenticação 802.1x
adaptadores configuração 141
definido 116 sobre 139
adware 40 autenticação 802.1x
ajuda on-line reautenticar 12
acessar 17 Auto-Protect
ambientes gerenciados ativar e desativar para e-mail 45
sobre 12 ativar ou desativar para o sistema de arquivo 45
ambientes não gerenciados cache da rede 63
sobre 12 clientes de e-mail de groupware 57
ameaças conexões de e-mail criptografadas 58
combinadas 40 confiança em versões remotas 62
ameaças combinadas 40 de e-mail da Internet 57
aplicação desativando a verificação de riscos à
sobre 139 segurança 61
aplicativos desativando temporariamente 44
definido 116 determinação dos tipos de arquivo 60
permissão ou bloqueio 129 do Lotus Notes 57
arquivo de definições 14, 66 dos clientes Microsoft Exchange 57
arquivo infectado exibição da lista de riscos 59
ação no 20 exibindo estatísticas de verificação 59
arquivos opções de verificação da rede 62
backup de 91 riscos à segurança 56
envio ao Symantec Security Response 92 status 44
exclusão das verificações 85 utilizar 56
liberando arquivos da quarentena 90 verificação por extensão 53
localizando os reparados 90
repetição automática da verificação dos arquivos B
na quarentena 90 bloquear de um computador invasor 128
repetição manual da verificação dos arquivos na bloquear o tráfego 119, 125, 129
quarentena 90 bots 40
verificação 52 bots da Internet 40
assinaturas 14
Assinaturas IPS
sobre 110
C
ataques cache da rede
assinaturas 110 Configurações do Auto-Protect 63
Cavalos de Tróia 40
166 Índice
Central de Segurança do Windows para verificações antivírus e anti-spyware 85

consultar o status do antivírus em 47 exclusões
consultar o status do firewall em 48 criação para as verificações 54
classificações dos impactos de riscos 81 extensões
cliente exclusão das verificações 85
abrir 12 incluir nas verificações 53
desativar 12
interagindo com 19 F
sobre 11
ferramentas para hackers 40
clientes gerenciados
Filtragem inteligente de tráfego
atualizar 16
definido 124
comparados a clientes independentes 35
firewall
clientes independentes
configurações 113, 122
comparados a clientes gerenciados 35
sobre 108
clientes não gerenciados
atualizar 16
comandos G
ícone da área de notificação 12 Guia Ambiente de rede 131
como testar o computador 29
computadores de 64 bits 67 H
Conexões UDP host
sobre 117 definido 116
configurações
firewall 113
prevenção de intrusões 126 I
controle de acesso à rede ícone da área de notificação
aplicação 139 ocultar e exibir 13
correção do computador 138 sobre 12
notificações 26 infecções por vírus de macro
sobre 135–136 evitar 55
inspeção inteligente
criação de regras para tráfego 117
D sobre 117
definido
verificações 110
desbloquear um computador invasor 128 L
DHCP inteligente 124 LiveUpdate
discadores 40 como ele funciona 16
locais
alteração 30
E sobre 29
e-mail
conexões criptografadas 58
exclusão do arquivo da Caixa de entrada das M
verificações 52 mascaramento da impressão digital do SO
liberando anexos da quarentena 90 ativar 122
exceções centralizadas mensagens
exclusão de itens das verificações 54 prevenção de intrusões 127
para detecções de verificação proativa de resposta a 22
ameaças 105
Índice 167
N proteção de dia zero 95

navegar na Web no modo dissimulado proteção de nível de driver
ativar 122 ativar 122
NDS inteligente 124 proteção do NetBIOS
notificações ativar 122
controle de acesso à rede 26 Proteção proativa contra ameaças
interação do usuário com 75 ativação ou desativação 46
prevenção de intrusões 127 sobre 37, 95
resposta a 22 proteção proativa contra ameaças
sobre 19 gerenciando 100
novo seqüenciamento de TCP Proteções antivírus e anti-spyware
ativar 122 ativar e desativar 44
sobre 36, 52
status 44
O protocolo
opções definido 116
não disponível 36
Outras categorias de risco 41
Q
Quarentena 87
P envio de arquivos ao Symantec Security
Pasta Itens de backup Response 92
limpeza 91 exclusão de arquivos 89, 91
pastas exclusão manual de arquivos 91
exclusão das verificações 85 exibição de detalhes de arquivos 89
permitir o tráfego 119, 129 gerenciamento 89
políticas liberando arquivos 90
atualizar 12, 17 movendo arquivos para 88
sobre 16 remoção de arquivos de backup 91
portas repetição automática da verificação de
sobre 107 arquivos 90
prevenção de intrusões repetindo manualmente a verificação dos
ativação 126 arquivos 90
configuração 126 tratamento de arquivos infectados 88
notificações de 127 tratamento de arquivos infectados por riscos à
resposta a 25 segurança 89
sobre 110 visualizando arquivos infectados 88
programas de acesso remoto 41
programas de brincadeiras 41
proteção R
ativar e desativar tipos de 43 reautenticação 142
atualizar 14, 16 Registro da proteção antivírus e anti-spyware 149
tipos 11 Registro da proteção contra adulterações 150
Proteção contra adulteração Registro de ameaças 150
ativação e desativação 32 Registro de controle 152
configuração 32 Registro de pacotes 151
sobre 31 ativação 160
Proteção contra ameaças à rede Registro de riscos 149
ativar e desativar 46 Registro de segurança 152
sobre 37, 107 Registro de tráfego 151
168 Índice
Registro de verificações 149 configuração de notificações para 82

Registro do sistema 152 configurando ações para 77
excluir entradas 158 correção, opções 83
Registro do sistema de proteção proativa contra detecção, opções 83
ameaças 150 dicas para atribuir segundas ações 81
registros exclusão das verificações 85
ativação do registro de pacotes 160 o processo continua a fazer download 57
atualizar 160 o que fazer após uma detecção 55
colocar em quarentena os riscos e ameaças riscos de segurança
de 159 como o cliente responde 42
configuração do tamanho de 157 rootkits 39
configurando por quanto tempo as entradas
serão retidas 157 S
controle de acesso à rede 138
Serviços do Windows
descrição 148
mostrar 113
exclusão 158
spoofing anti-Mac
exibição 153
ativar 122
exibição das propriedades da entrada 154
spyware 41
exportação de dados 163
Symantec Security Response
exportação de entradas de registros
acessar 18
filtrados 163
envio de arquivos 92
filtrar 154
sobre 15
filtrar por categoria de evento 156
website 17–18
filtrar por nível de gravidade 155
filtrar por período de tempo 154
formatos de exportação 163 T
Gerenciamento de clientes 159 taxas de detecção
limitando o tamanho de 156 envio de informações à Symantec 76
Proteção contra ameaças à rede 159 tipos de verificação
Rastrear entradas 161 manual 66
sobre 147 Trackware 41
Symantec Endpoint Protection 148 tráfego
Symantec Network Access Control 148 bloquear 125
regras de firewall exibição 112
agendamento 115 permissão ou bloqueio 129
alterando a ordem de 120 tráfego de broadcast
ativação e desativação 120 mostrar 113
criar 119 tráfego de redes em anel
edição 121 ativar 122
exclusão 122
exportação 121 V
importação 121 verificação da rede
ordem processada 118 Configurações do Auto-Protect 62
registro 115 verificação de e-mail. Consulte Auto-Protect
sobre 114 Verificação de integridade do host
resposta ativa execução 137
sobre 128 verificação de riscos à segurança
riscos à segurança 39 desativação no Auto-Protect 61
como o cliente detecta 64
Índice 169
verificação proativa de ameaças configurando ações para 77

ações 102 correção, opções 83
aplicativos comerciais 103 detecção, opções 83
detecções 98 não reconhecidos 92
envio de informações sobre 104 o que fazer após uma detecção 55
exceções centralizadas para 105
freqüência 99 W
nível de sensibilidade 102
WINS inteligente 124
notificações de 103
worms 40
positivos falsos 98
sobre 96
tipos de processos a serem detectados 101
verificações. Consulte antivírus e anti-spyware
adiar 48
agendados 67
arquivos 52
arquivos compactados 66
exceções centralizadas para 85
excluindo arquivos de 54
interpretação dos resultados 74
opções de adiamento 50
pausar 48
todos os tipos de arquivos 54
verificação de arquivos por extensão 53
verificações agendadas
criar 67
editando e excluindo 73
várias 70
verificação por extensão 53
verificações de inicialização
criar 70
verificações de porta
porta 110
verificações definidas pelo usuário
verificações manuais. Consulte verificações sob
demanda
verificações sob demanda
criar 70
iniciando 66
vírus 39–40
arquivo danificado por 22
atribuição de ações secundárias 80
como o cliente detecta 64
como o cliente responde 42
configuração de notificações para 82

Symantec Endpoint

Enviado por

Direitos autorais:

Formatos disponíveis

Symantec Endpoint

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Symantec Endpoint

Enviado por

Direitos autorais:

Formatos disponíveis

Guia do Cliente do

Versão do documento 11.00.00.00.00

A DOCUMENTAÇÃO É FORNECIDA "NO ESTADO EM QUE SE ENCONTRA" E TODAS AS

O Software licenciado e a documentação são considerados software comercial para

Capítulo 2 Resposta ao cliente

Capítulo 3 Gerenciamento do cliente

Ativação, desativação e configuração da proteção contra

Secção 2 Symantec Endpoint Protection

Capítulo 5 Noções básicas do cliente do Symantec Endpoint

Capítulo 6 Gerenciamento de proteções antivírus e anti-spyware

Trabalhar com verificações antivírus e anti-spyware .......................... 63

Capítulo 7 Gerenciamento de proteção proativa contra ameaças

Capítulo 8 Gerenciamento de proteção contra ameaças na rede

Secção 3 Symantec Network Access Control

Secção 4 Monitoração e registro

Rastrear eventos até suas origens ............................................ 161

■ Introdução ao cliente da Symantec

■ O que mantém a proteção de seu computador atualizada

■ Sobre as políticas de segurança

■ Onde obter mais informações

Nota: Se você ou o administrador instalou somente um desses produtos no

O Symantec Endpoint Protection protege o computador contra ameaças e riscos

■ Monitorar o comportamento suspeito de programas no computador.

Sobre clientes gerenciados e não gerenciados

Sobre o ícone da área de notificação

Nota: Nos clientes gerenciados, esse ícone não aparecerá se o administrador o

A Tabela 1-1 descreve os comandos disponíveis a partir do ícone da área de

Tabela 1-1 Comandos do ícone da área de notificação

Abrir o Symantec Endpoint Abre a janela principal

Abrir o Symantec Network

Política de atualização Recupera as últimas políticas de segurança do servidor

Reautenticação Reautentica o computador-cliente.

Desativar o Auto-Protect Desliga todas as proteções do cliente.

Depois de desativar o cliente, o texto do comando muda de

Consulte “Reautenticação do computador” na página 142.

Ocultando e exibindo o ícone da área de notificação

Para ocultar o ícone da área de notificação

O que mantém a proteção de seu computador

Além dos arquivos de definições, das listas de processos e assinaturas de ataque,

Nota: Seu administrador pode controlar a freqüência de atualização das definições

Consulte “Sobre o LiveUpdate” na página 27.

Sobre a função do Symantec Security Response

Como a proteção é atualizada em clientes gerenciados

Como a proteção é atualizada em clientes não gerenciados

Sobre as políticas de segurança

Atualizar a política de segurança

Para atualizar a política de segurança

Onde obter mais informações

Acessar a Ajuda on-line

Para acessar a Ajuda on-line

A Ajuda contextual está disponível somente nas telas em que se pode

Acessando o Website do Symantec Security Response

■ Sobre a interação do cliente

■ Tratamento dos arquivos infectados

■ Sobre as notificações e os alertas

Sobre a interação do cliente

Detecção de vírus ou risco à Se o Auto-Protect ou uma verificação detectar um

Consulte “Tratamento dos arquivos infectados”

Notificações relacionadas a Quando um programa no computador tenta acessar