Installation and Administration Guide SEP12.1.2

Guia de Instalao e
Administrao do Symantec
Endpoint Protection e do
Symantec Network Access
Control
Guia de Instalao e Administrao do Symantec

Endpoint Protection e do Symantec Network Access
Control
O software descrito neste guia fornecido sob um contrato de licena e deve ser usado
somente de acordo com os termos desse contrato.
Verso do produto: 12.1.2
Verso da documentao: 12.1.2, verso 1
Avisos legais
Copyright 2012 Symantec Corporation. Todos os direitos reservados.
Symantec, o logotipo da Symantec, Bloodhound, Confidence Online, Digital Immune System,
LiveUpdate, Norton, Sygate e TruScan so marcas comerciais ou marcas registradas da
Symantec Corporation ou de seus afiliados nos Estados Unidos e em outros pases. Outros
nomes de produtos podem ser marcas comerciais de seus respectivos proprietrios.
Este produto da Symantec pode conter software de terceiros para o qual so necessrias
atribuies fornecidas pela Symantec a esses terceiros ("Programas de terceiros"). Alguns
dos Programas de terceiros esto disponveis sob licenas de software de cdigo aberto ou
livre. O Contrato de licena que acompanha o software no altera nenhum direito ou obrigao
que voc possa ter sob essas licenas de software de cdigo aberto ou livre. Consulte o
Apndice Avisos legais sobre terceiros para esta documentao ou o arquivo Leia-me TPIP
que acompanha este produto da Symantec para obter mais informaes sobre os Programas
de terceiros.
O produto descrito neste documento distribudo sob licenas que restringem o uso, a cpia,
a distribuio e a descompilao/engenharia reversa. No est permitida de forma alguma
a reproduo de qualquer seo deste documento sem a autorizao prvia escrita da
Symantec Corporation e dos concessores de licenas, se houver algum.
A DOCUMENTAO FORNECIDA "NO ESTADO EM QUE SE ENCONTRA" E TODAS AS
CONDIES, REPRESENTAES E GARANTIAS EXPRESSAS OU IMPLCITAS, INCLUINDO
QUALQUER GARANTIA IMPLCITA DE COMERCIALIZAO, ADEQUAO PARA UM
PROPSITO EM PARTICULAR OU SEM VIOLAO, SO ISENTAS, EXCETO SE AS ISENES
DE RESPONSABILIDADE FOREM CONSIDERADAS INVLIDAS JURIDICAMENTE. A
SYMANTEC CORPORATION SE ISENTA DE RESPONSABILIDADE POR DANOS INCIDENTAIS
OU CONSEQUENTES RELATIVOS AO FORNECIMENTO, EXECUO OU USO DESTA
DOCUMENTAO. AS INFORMAES DESTA DOCUMENTAO ESTO SUJEITAS A
ALTERAO SEM AVISO PRVIO.
O Software Licenciado e a documentao so considerados software comercial para
computadores, conforme definido na FAR 12.212 e sujeito a direitos restritos, conforme
definido no artigo 52.227-19 da FAR "Software comercial para computadores - Direitos
restritos" e DFARS 227.7202, "Direitos em Software comercial para computadores ou
documentao de software comercial para computadores", conforme aplicvel, e todas as
regulamentaes sucessoras. Qualquer uso, modificao, verso de reproduo, apresentao,

exibio ou divulgao do Software Licenciado e da documentao pelo governo dos EUA
deve ser feita exclusivamente de acordo com os termos deste Contrato.
Symantec Corporation
350 Ellis Street
Mountain View, CA 94043
http://www.symantec.com/pt/br/
Suporte tcnico
O suporte tcnico da Symantec mantm centros globais de suporte. A principal
funo do suporte tcnico de responder a consultas especficas sobre os recursos
e a funcionalidade dos produtos. A equipe de suporte tcnico cria tambm o
contedo para nossa Base de conhecimento on-line. A equipe de suporte tcnico
trabalha em colaborao com outras reas funcionais dentro da Symantec para
responder prontamente suas perguntas. Por exemplo, a equipe de suporte tcnico
trabalha com a Engenharia de produtos e o Symantec Security Response para
fornecer servios de alerta e atualizaes das definies de vrus.
As ofertas de suporte da Symantec incluem o seguinte:
Vrias opes de suporte que lhe proporcionam flexibilidade para selecionar

a quantidade adequada de servios para empresas de todos os portes.
Suporte telefnico e/ou com base na Web que fornece resposta rpida e
informaes atualizadas
Garantia de upgrade que fornece upgrades de software
Suporte global adquirido em um horrio comercial regional ou 24 horas por

dia, 7 dias por semana
Ofertas de servios Premium que incluem Servios de gerenciamento de conta
Para obter mais informaes sobre as ofertas de suporte da Symantec, acesse

nosso site no seguinte URL:
www.symantec.com/pt/br/business/support/
Os servios de suporte sero fornecidos de acordo com seu contrato de suporte e
com a poltica de suporte tcnico corporativo atual.
Contato com o suporte tcnico

Os clientes com um contrato de suporte atual podem acessar as informaes do
suporte tcnico no seguinte URL:
Antes de entrar em contato com o suporte tcnico, certifique-se de satisfazer os
requisitos do sistema que esto relacionados na documentao do produto. Alm
disso, necessrio estar no computador em que ocorreu o problema, caso seja
necessrio replic-lo.
Quando voc entra em contato com o suporte tcnico, tenha disponveis as
seguintes informaes:
Nvel de verso do produto
Informaes de hardware
Memria disponvel, espao em disco e informaes do NIC
Sistema operacional
Verso e nvel de patch
Topologia da rede
Roteador, gateway e informaes do endereo IP
Descrio do problema:
Mensagens de erro e arquivos de log
Solues de problemas executadas antes de entrar em contato com a

Symantec
Mudanas de configurao recentes do software e mudanas da rede
Licenciamento e registro
Se seus produtos da Symantec exigem o registro ou um cdigo de licena, acesse
nossa pgina da Web do suporte tcnico no seguinte URL:
Atendimento ao cliente
As informaes do atendimento ao cliente esto disponveis no seguinte URL:
O atendimento ao cliente est disponvel para ajudar com perguntas no tcnicas,
como os seguintes tipos de problemas:
Perguntas a respeito do licenciamento ou da serializao do produto
Atualizaes de registro do produto, como alteraes de endereo ou de nome
Informaes gerais sobre o produto (recursos, disponibilidade de idiomas,

revendedores locais)
Informaes mais recentes sobre atualizaes e upgrades do produto
Informaes sobre a garantia de upgrade e os contratos de suporte
Informaes sobre os programas de compra da Symantec
Recomendaes sobre as opes de suporte tcnico da Symantec
Perguntas no tcnicas do pr-vendas
Problemas relacionados aos CD-ROMs, DVDs ou manuais
Recursos do contrato de suporte

Se desejar contatar a Symantec a respeito de um contrato de suporte existente,
entre em contato com a equipe de administrao do contrato de suporte de sua
regio da seguinte forma:
Pacfico-Asitico e Japo
customercare_apac@symantec.com
Europa, Oriente Mdio e frica
semea@symantec.com
America do Norte e Amrica Latina
supportsolutions@symantec.com
Sumrio
Suporte tcnico ................................................................................................... 4

Captulo 1
Introduo ao Symantec Endpoint Protection .............. 43

Sobre o Symantec Endpoint Protection ............................................
O que h de novo no Symantec Endpoint Protection 12.1.2 ..................
Sobre os tipos de proteo contra ameaas que o Symantec Endpoint
Protection fornece ..................................................................
Proteo de sua rede com o Symantec Endpoint Protection ..................
Para executar o Symantec Endpoint Protection pela primeira
vez ......................................................................................
Para gerenciar a proteo em computadores-cliente ...........................
Para manter a segurana de seu ambiente .........................................
Soluo de problemas do Symantec Endpoint Protection .....................
43
44
48
52
54
62
65
66
Seo 1
Instalao do Symantec Endpoint

Protection ................................................................... 69
Captulo 2
Para planejar a instalao ................................................. 71

Para planejar a instalao ..............................................................
Componentes do Symantec Endpoint Protection ................................
Componentes do Symantec Network Access Control ...........................
Requisitos do sistema para o Symantec Endpoint Protection ................
Requisitos de internacionalizao .............................................
Requisitos da licena do produto .....................................................
Produtos de virtualizao e instalaes virtuais suportados .................
Sobre a compatibilidade do Symantec Endpoint Protection Manager
com outros produtos ...............................................................
Consideraes sobre a arquitetura de rede ........................................
Sobre como escolher um tipo do banco de dados ................................
Sobre as configuraes do banco de dados interno ..............................
Sobre as configuraes do SQL Server ..............................................
Sobre os modos de autenticao do banco de dados do SQL
Server ..................................................................................
71
75
77
79
83
85
87
88
89
90
91
93
98
Sumrio
Captulo 3
Instalao do Symantec Endpoint Protection

Manager ..........................................................................
99
Para instalar o Symantec Endpoint Protection Manager ...................... 99

Para configurar o servidor de gerenciamento durante a
instalao ........................................................................... 101
Desinstalao do Symantec Endpoint Protection Manager ................. 102
Para aceitar o certificado de servidor autoassinado (SSL) do Symantec
Endpoint Protection Manager ................................................. 103
Logon no console do Symantec Endpoint Protection Manager ............. 103
Para exibir uma mensagem aos administradores antes que faam
logon no Symantec Endpoint Protection Manager ................ 106
Para permitir ou bloquear o acesso aos consoles remotos do
Symantec Endpoint Protection Manager ............................. 107
Para desbloquear uma conta de administrador aps vrias
tentativas de logon ......................................................... 109
Aumento do perodo de tempo para permanecer conectado ao
console ............................................................................... 110
O que voc pode fazer no console ................................................... 110
Captulo 4
Para gerenciar licenas do produto ............................... 115

Licenciamento do Symantec Endpoint Protection .............................
Sobre a licena do trialware ..........................................................
Sobre a compra de licenas ...........................................................
Para ativar ou importar sua licena de produto do Symantec Endpoint
Protection ou Symantec Network Access Control 12.1 .................
Informaes necessrias de contato de licenciamento .................
Sobre o Portal de licenciamento da Symantec ............................
Sobre upgrades e licenas de produtos ............................................
Sobre como renovar sua licena do Symantec Endpoint
Protection ...........................................................................
Verificao do status da licena .....................................................
Sobre o licenciamento de regras de imposio ..................................
Backup dos arquivos de licena .....................................................
Recuperao de uma licena excluda .............................................
Para apagar clientes obsoletos do banco de dados e tornar mais
licenas disponveis ..............................................................
Sobre licenas de vrios anos ........................................................
Para licenciar um cliente no gerenciado ........................................
116
118
118
120
123
124
125
125
125
126
127
128
128
129
130
Sumrio
Captulo 5
Para instalar o cliente do Symantec Endpoint

Protection ...................................................................... 133
Preparao para a instalao do cliente ..........................................
Preparao dos sistemas operacionais Windows para
implementao remota ....................................................
Sobre firewalls e portas de comunicao ...................................
Sobre mtodos de implementao do cliente ....................................
Quais recursos deve voc instalar no cliente? .............................
Para implementar clientes usando e-mail e link da Web ...............
Para implementar clientes usando a instalao remota por
envio ............................................................................
Para implementar clientes usando a opo Salvar pacote .............
Para exportar pacotes de instalao do cliente .................................
Sobre as configuraes de instalao do cliente ................................
Para configurar recursos do pacote de instalao do cliente ................
Para configurar pacotes do cliente para desinstalar software de
segurana de terceiros existente ..............................................
Para reiniciar computadores-cliente ..............................................
Sobre clientes gerenciados e no gerenciados ..................................
Instalao de um cliente no gerenciado .........................................
Para desinstalar o cliente Windows ................................................
Para desinstalar o cliente Mac .......................................................
Para gerenciar pacotes de instalao do cliente ................................
Para adicionar atualizaes de pacotes de instalao do cliente ...........
Captulo 6
134
136
137
140
141
142
144
147
149
152
153
154
156
158
159
160
161
162
164
Para fazer o upgrade do Symantec Endpoint

Protection ...................................................................... 167
Para fazer upgrade de uma nova verso do Symantec Endpoint
Protection ...........................................................................
Recursos de upgrade para o Symantec Endpoint Protection 12.1 .........
Para mapear recursos entre clientes 11.x e 12.1 ...............................
Caminhos de upgrade do Symantec Endpoint Protection Manager
suportados ..........................................................................
Para aumentar o espao em disco do Symantec Endpoint Protection
Manager antes do upgrade para a verso 12.1 ............................
Para fazer upgrade de um servidor de gerenciamento ........................
Para fazer o upgrade de um ambiente que usa vrios bancos de dados
incorporados e servidores de gerenciamento .............................
Para desativar a replicao antes do upgrade ...................................
Para ativar a replicao aps o upgrade ..........................................
168
170
173
176
177
179
180
181
182
10
Sumrio
Para interromper e iniciar o servio do servidor de

gerenciamento .....................................................................
Caminhos suportados de upgrade para o cliente do Symantec Endpoint
Protection ...........................................................................
Sobre como fazer upgrade do software-cliente .................................
Para fazer o upgrade de clientes usando a Atualizao automtica no
Symantec Endpoint Protection ................................................
Para atualizar o software-cliente com a poltica de configuraes do
LiveUpdate ..........................................................................
Para fazer upgrade de provedores de atualizaes de grupo ................
Captulo 7
184
185
186
187
188
Para migrar para o Symantec Endpoint

Protection ...................................................................... 189
Para migrar do Symantec AntiVirus ou do Symantec Client
Security ..............................................................................
Caminhos de migrao suportados e no suportados no Symantec
Endpoint Protection ..............................................................
Caminhos de migrao suportados e no suportados para o cliente
Mac ...................................................................................
Para desativar verificaes agendadas no Symantec System
Center ................................................................................
Para desativar o LiveUpdate no Symantec System Center ..................
Para desativar o servio de roaming no Symantec System
Center ................................................................................
Desbloqueio de grupos de servidores no Symantec System
Center ................................................................................
Para desativar a Proteo contra adulteraes no Symantec System
Center ................................................................................
Desinstalao e excluso de servidores de relatrio ...........................
Sobre grupos de computadores importados com o Assistente de
Migrao ............................................................................
Para importar configuraes de grupos e de polticas com o Assistente
de Migrao .........................................................................
Captulo 8
183
190
192
194
194
195
196
197
197
198
199
199
Para gerenciar sites e replicao ................................... 201

Para configurar sites e replicao ..................................................
Sobre como determinar de quantos sites voc precisa ........................
Como a replicao funciona ..........................................................
Como resolver conflitos dos dados entre sites durante a
replicao .....................................................................
Replicao dos dados sob demanda ................................................
Como alterar o agendamento de replicao automtica ......................
201
203
205
207
208
209
Sumrio
Como especificar que dados replicar .............................................. 210

Para excluir parceiros de replicao ............................................... 211
Para readicionar um parceiro de replicao que voc excluiu
previamente ........................................................................ 211
Captulo 9
Para gerenciar o Symantec Endpoint Protection no

Protection Center ........................................................ 213
Sobre o Symantec Endpoint Protection e o Protection Center ..............
Sobre como fazer upgrade para o Protection Center verso 2 ..............
Sobre a configurao do Symantec Endpoint Protection no Protection
Center ................................................................................
Sobre como configurar vrios domnios do Symantec Endpoint
Protection no Protection Center ..............................................
Configurao da comunicao entre o Symantec Endpoint Protection
Manager e o Protection Center ................................................
213
214
215
216
217
Seo 2
Para gerenciar grupos, clientes e

administradores ................................................... 219
Captulo 10
Para gerenciar grupos de

computadores-cliente ................................................. 221
Para gerenciar grupos de clientes ..................................................
Como voc pode estruturar grupos .................................................
Adio de um grupo ....................................................................
Para importar grupos existentes e computadores de um servidor
Active Directory ou LDAP ......................................................
Sobre a importao de unidades organizacionais do servidor de
diretrio .......................................................................
Para conectar o Symantec Endpoint Protection Manager a um
servidor de diretrio .......................................................
Para conectar-se a um servidor de diretrio em um site
replicado ......................................................................
Para importar unidades organizacionais de um servidor de
diretrio .......................................................................
Para pesquisar e importar contas especficas de um servidor de
diretrio .......................................................................
Atribuio de clientes a grupos antes de instalar o
software-cliente ...................................................................
Como desativar e ativar a herana de um grupo ................................
221
223
224
225
227
228
229
230
231
232
233
11
12
Sumrio
Para impedir que computadores-cliente sejam adicionados a

grupos ................................................................................ 234
Para mover um computador-cliente para outro grupo ....................... 235
Captulo 11
Para gerenciar clientes ..................................................... 237

Para gerenciar computadores-cliente .............................................
Para determinar se o cliente est conectado no console .....................
Exibio do status de proteo de clientes e
computadores-cliente ............................................................
Para exibir quais clientes no tm o software-cliente instalado ...........
Procura de informaes sobre computadores-cliente .........................
Sobre como ativar e desativar a proteo quando voc precisar
solucionar problemas ............................................................
Sobre comandos que voc pode executar em
Para executar comandos no computador-cliente atravs do
console ...............................................................................
Para garantir que um cliente no seja reiniciado ...............................
Para alternar um cliente entre o modo de usurio e o modo de
computador .........................................................................
Para configurar um cliente para detectar dispositivos no
gerenciados .........................................................................
Sobre o acesso interface do cliente ..............................................
Sobre o controle misto .................................................................
Alterao do nvel de controle do usurio ........................................
Definio das configuraes da interface do usurio .........................
Como coletar informaes do usurio .............................................
Proteo do cliente por senha .......................................................
Captulo 12
238
240
242
243
244
245
247
250
250
251
253
254
255
256
259
261
262
Para gerenciar clientes remotos ..................................... 265

Gerenciamento de clientes remotos ...............................................
Gerenciamento de locais para clientes remotos ................................
Ativao da deteco de local para um cliente ..................................
Como adicionar um local para um grupo .........................................
Alterao de um local padro ........................................................
Configurao de condies de deteco de local do Cenrio 1 ..............
Configurao de condies de deteco de local do Cenrio 2 ..............
Configurao de definies de comunicao para um local .................
Sobre o reforo das polticas de segurana para clientes remotos .........
Melhores prticas para as configuraes da poltica de
firewall .........................................................................
265
267
269
271
272
273
275
277
278
279
Sumrio
Sobre as melhores prticas para configuraes de poltica do

LiveUpdate ....................................................................
Sobre como ativar notificaes para clientes remotos ........................
Sobre a personalizao das configuraes de gerenciamento de log
para clientes remotos ............................................................
Sobre como monitorar clientes remotos ..........................................
Captulo 13
280
280
281
282
Para gerenciar domnios .................................................. 283

Sobre domnios .......................................................................... 283
Adio de um domnio ................................................................. 285
Para alternar para o domnio atual ................................................. 285
Captulo 14
Para gerenciar contas de administrador e

senhas ............................................................................ 287
Para gerenciar domnios e contas de administrador ..........................
Sobre funes e direitos de acesso da conta de administrador .............
Adio de uma conta de administrador ...........................................
Configurao dos direitos de acesso para um administrador
limitado ..............................................................................
Para mudar o mtodo de autenticao de contas de
administrador ......................................................................
Configurao do servidor de gerenciamento para autenticar os
administradores que usam RSA SecurID para fazer
logon ............................................................................
Autenticao dos administradores que usam o RSA SecurID para
fazer logon no servidor de gerenciamento ...........................
Melhores prticas para testar se um servidor de diretrio autentica
uma conta de administrador ...................................................
Para mudar a senha de uma conta de administrador ..........................
Permisso de administradores para redefinir senhas esquecidas .........
Para enviar uma senha temporria a um administrador .....................
Para exibir as caixas de seleo Lembrar meu nome de usurio e
Lembrar minha senha na tela de logon .....................................
287
289
292
293
294
296
297
298
303
304
304
306
13
14
Sumrio
Seo 3
Para gerenciar a proteo e personalizar

as polticas ............................................................... 307
Captulo 15
Para usar polticas para gerenciar a segurana .......... 309

Para executar as tarefas comuns a todas as polticas de
segurana ...........................................................................
Os tipos de polticas de segurana ..................................................
Sobre polticas compartilhadas e no compartilhadas ........................
Adio de poltica .......................................................................
Edio de uma poltica .................................................................
Para copiar e colar uma poltica na pgina Polticas ..........................
Para copiar e colar uma poltica na pgina Clientes ..........................
Para bloquear e desbloquear configuraes de poltica do vrus e de
spyware ..............................................................................
Atribuio de uma poltica a um grupo ...........................................
Para testar uma poltica ...............................................................
Substituio de uma poltica .........................................................
Para exportar e importar polticas individuais .................................
Converso de uma poltica compartilhada em uma poltica no
compartilhada .....................................................................
Para retirar uma poltica de um grupo ............................................
Como os computadores-cliente obtm atualizaes da poltica ............
Configurao do modo de envio ou de instalao pull para atualizar
polticas e contedo do cliente ................................................
Para usar o nmero de srie da poltica para verificar a comunicao
cliente-servidor ....................................................................
Para atualizar manualmente polticas no cliente ..............................
Para monitorar os aplicativos e servios executados em
Configurao do servidor de gerenciamento para recolher
informaes sobre os aplicativos executados pelos
computadores-cliente ......................................................
Pesquisa das informaes sobre os aplicativos executados pelos
computadores ......................................................................
Captulo 16
310
313
316
317
317
318
319
320
321
322
323
324
326
327
328
329
331
332
333
335
336
Para gerenciar a proteo contra vrus e

spyware .......................................................................... 339
Para impedir e controlar ataques de vrus e spyware nos
computadores-cliente ............................................................ 340
Correo de riscos nos computadores de sua rede ............................. 342
Para identificar computadores infectados e em risco ................... 344
Sumrio
Para verificar a ao de verificao e para verificar novamente

computadores identificados ..............................................
Para gerenciar verificaes em computadores-cliente .......................
Sobre os tipos de verificaes e proteo em tempo real ...............
Sobre os tipos de Auto-Protect ................................................
Sobre vrus e riscos segurana ..............................................
Sobre os arquivos e pastas que o Symantec Endpoint Protection
exclui das verificaes de vrus e spyware ...........................
Sobre as configuraes padro de verificao da Poltica de
proteo contra vrus e spyware ........................................
Como o Symantec Endpoint Protection controla as deteces dos
vrus e dos riscos segurana ...........................................
Como o Symantec Endpoint Protection executa deteces em
computadores Windows 8 ...............................................
Para configurar verificaes agendadas executadas em computadores
Windows .............................................................................
Para configurar as verificaes agendadas executadas em
computadores Mac ...............................................................
Execuo de verificaes sob demanda nos
Para ajustar as verificaes para melhorar o desempenho do
computador .........................................................................
Para ajustar verificaes para aumentar a proteo em seus
Para gerenciar deteces do Download Insight .................................
Como o Symantec Endpoint Protection usa os dados de reputao
para tomar decises sobre arquivos .........................................
Como os recursos da poltica do Symantec Endpoint Protection
funcionam em conjunto .........................................................
Sobre o envio de informaes sobre deteces para o Symantec
Security Response ................................................................
Sobre a regulagem de envios .........................................................
Ativao ou desativao de envios de clientes para o Symantec
Security Response ................................................................
Para especificar um servidor proxy para envios do cliente e outras
comunicaes externas ..........................................................
Para gerenciar a quarentena .........................................................
Especificao de uma pasta de quarentena local .........................
Especificar quando os arquivos em quarentena forem excludos
automaticamente ...........................................................
Configurao de clientes para enviar itens em quarentena para
um Servidor da Quarentena central ou Symantec Security
Response ......................................................................
345
346
349
352
354
357
360
364
366
366
369
370
371
375
377
382
383
385
386
387
389
391
392
393
394
15
16
Sumrio
Configurao de como a quarentena controla a nova verificao

dos arquivos depois que as definies novas so
recebidas ......................................................................
Para usar o Log de riscos para excluir arquivos em quarentena
em seu computador-cliente ..............................................
Para gerenciar as notificaes de vrus e spyware que aparecem nos
Sobre as notificaes pop-up que aparecem nos clientes que executam
o Windows 8 ........................................................................
Para ativar ou desativar as notificaes pop-up do Symantec Endpoint
Protection em clientes do Windows 8 .......................................
Para gerenciar deteces do incio antecipado do antimalware (ELAM,
Early launch anti-malware) ....................................................
Como ajustar as opes do incio antecipado do antimalware (ELAM,
Early launch anti-malware) do Symantec Endpoint Protection
.........................................................................................
Captulo 17
395
395
396
398
399
400
402
Para personalizar verificaes ........................................ 405

Para personalizar as verificaes de vrus e spyware executadas em
computadores Windows .........................................................
computadores Mac ...............................................................
Para personalizar o Auto-Protect para clientes Windows ...................
Para personalizar o Auto-Protect para clientes Mac ..........................
Para personalizar o Auto-Protect para verificaes de e-mail em
computadores Windows .........................................................
Para personalizar verificaes definidas pelo administrador para
clientes executados em computadores Windows .........................
Para personalizar verificaes definidas pelo administrador para
clientes que so executados em computadores Mac .....................
Como escolher verificaes aleatoriamente para melhorar o
desempenho do computador em ambientes virtualizados .............
Para modificar configuraes de verificao global para clientes
Windows .............................................................................
Modificao de configuraes variadas para Proteo contra vrus e
spyware em computadores Windows ........................................
Personalizao de configuraes do Download Insight ......................
Para mudar a ao do Symantec Endpoint Protection quando fizer
uma deteco .......................................................................
Para permitir que usurios exibam o andamento das verificaes e
interajam com elas ................................................................
406
407
408
410
411
412
414
415
416
417
420
421
423
Sumrio
Como o Symantec Endpoint Protection interage com a Central de

Segurana do Windows .......................................................... 425
Captulo 18
Para gerenciar o SONAR .................................................. 429

Sobre o SONAR ..........................................................................
Para gerenciar o SONAR ..............................................................
Como controlar e impedir as deteces de falsos positivos do
SONAR ...............................................................................
Para ajustar as configuraes do SONAR em seus
Monitoramento de resultados de deteco do SONAR para procurar
falsos positivos ....................................................................
Gerenciamento das verificaes proativas de ameaas TruScan de
clientes legados ....................................................................
Sobre como ajustar as configuraes do TruScan para clientes
legados .........................................................................
Para definir as configuraes da verificao proativa contra
ameaas TruScan para clientes legados ..............................
Captulo 19
429
431
436
438
440
441
442
446
Para gerenciar a Proteo contra adulteraes .......... 449

Sobre a proteo contra adulteraes ............................................. 449
Para alterar as configuraes da Proteo contra adulteraes ............ 450
Captulo 20
Para gerenciar a proteo de firewall ........................... 451

Para gerenciar a proteo de firewall ..............................................
Como um firewall funciona .....................................................
Sobre o firewall do Symantec Endpoint Protection ......................
Para criar uma poltica de firewall .................................................
Como ativar ou desativar uma poltica de firewall .......................
Automaticamente permitir comunicaes para servios de rede
essenciais .....................................................................
Definio de configuraes de firewall para controle misto ..........
Bloqueio automtico de conexes a um computador invasor .........
Deteco de ataques potenciais e tentativas de spoofing ..............
Como impedir a deteco de dissimulao .................................
Desativao do firewall do Windows ........................................
Configurao da autenticao ponto a ponto ..............................
Para gerenciar regras de firewall ...................................................
Sobre regras do servidor de firewall e do cliente .........................
Sobre a regra de firewall, a configurao de firewall e a ordem
de processamento da preveno contra intruses .................
451
453
454
455
458
459
460
461
462
463
464
465
467
469
470
17
18
Sumrio
Sobre regras herdadas de firewall ............................................

Para alterar a ordem das regras de firewall ................................
Como o firewall usa a inspeo com monitorao de estado ..........
Sobre acionadores do aplicativo de regras de firewall ..................
Sobre acionadores de host da regra de firewall ...........................
Sobre os acionadores dos servios de rede da regra de
firewall .........................................................................
Sobre acionadores do adaptador de rede da regra de
firewall .........................................................................
Para configurar regras de firewall .................................................
Para adicionar uma regra de firewall nova .................................
Importao e exportao de regras de firewall ...........................
Para copiar e colar regras de firewall ........................................
Personalizao das regras de firewall .......................................
Captulo 21
471
473
474
474
479
483
485
486
487
489
490
490
Para gerenciar a preveno contra intruses .............. 501

Para gerenciar a preveno contra intruses em seu
computador-cliente ..............................................................
Como a preveno contra intruses funciona ...................................
Sobre Symantec IPS signatures .....................................................
Sobre as assinaturas IPS personalizadas .........................................
Ativao ou desativao da preveno contra intruses na rede ou
preveno contra intruses no navegador .................................
Para criar excees para assinaturas IPS .........................................
Para configurar uma lista de computadores excludos .......................
Configurao de notificaes da preveno contra intruses do
cliente ................................................................................
Para gerenciar assinaturas de preveno contra intruses
personalizada ......................................................................
Criao de uma biblioteca IPS personalizada ..............................
Para adicionar assinaturas a uma biblioteca IPS
personalizada ................................................................
Atribuio de vrias bibliotecas IPS personalizadas a um
grupo ...........................................................................
Alterao da ordem de assinaturas IPS personalizadas ................
Para copiar e colar assinaturas IPS personalizadas .....................
Definio de variveis para assinaturas IPS personalizadas ..........
Para testar assinaturas IPS personalizadas ................................
501
504
505
506
507
508
509
511
512
513
514
516
516
517
518
519
Sumrio
Captulo 22
Para gerenciar o controle de dispositivos e

aplicativos ..................................................................... 521
Sobre o controle de dispositivos e aplicativos ...................................
Sobre Polticas de controle de dispositivos e aplicativos .....................
Sobre a estrutura de uma poltica de controle de dispositivos e
aplicativos ..........................................................................
Configurao do controle de dispositivos e aplicativos .......................
Ativao de um conjunto de regras de controle de aplicativos
padro ................................................................................
Criao de regras personalizadas do controle de aplicativos ...............
Sobre as melhores prticas para criar regras de controle de
aplicativos ....................................................................
Regras tpicas do controle de aplicativos ...................................
Criao de um conjunto de regras personalizadas e adio de
regras ..........................................................................
Como copiar conjuntos ou regras de aplicativos entre polticas
de controle de dispositivos e aplicativos ..............................
Aplicao de uma regra a aplicativos especficos e excluso de
aplicativos de uma regra ..................................................
Adio de condies e aes a uma regra personalizada do
controle de aplicativos .....................................................
Conjuntos de regras de controle de aplicativos de teste ................
Configurao do bloqueio do sistema ..............................................
Para fazer o modo blacklist para bloqueio do sistema aparecer
no Symantec Endpoint Protection Manager .........................
Para criar uma lista de impresses digitais de arquivos com o
checksum.exe ................................................................
Importao ou mesclagem de listas de impresses digitais de
arquivos no Symantec Endpoint Protection Manager ............
Para atualizar manualmente uma lista de impresses digitais de
arquivos no Symantec Endpoint Protection Manager ............
Para criar uma lista de nomes de aplicativos para importao na
configurao de bloqueio do sistema ..................................
Para atualizar automaticamente whitelists ou blacklists para
bloqueio do sistema ........................................................
Para configurar e testar a configurao do bloqueio do sistema
antes de ativar o bloqueio do sistema .................................
Para ativar o bloqueio do sistema para executar no modo
whitelist .......................................................................
Para ativar o bloqueio do sistema para ser executado no modo
blacklist ........................................................................
521
523
523
524
526
527
529
531
534
535
536
538
539
541
547
549
550
552
553
554
559
562
563
19
20
Sumrio
Para testar itens selecionados antes de adicion-los ou remov-los

quando o bloqueio do sistema j estiver ativado ...................
Gerenciamento do controle de dispositivos ......................................
Sobre a lista de dispositivos de hardware ..................................
Como obter um ID da classe ou do dispositivo ............................
Adio de um dispositivo de hardware lista Dispositivos de
hardware ......................................................................
Configurao de controle de dispositivos ..................................
Captulo 23
569
570
Para gerenciar excees .................................................. 573

Sobre excees ao Symantec Endpoint Protection .............................
Para gerenciar excees para o Symantec Endpoint Protection ...........
Criao de excees para o Symantec Endpoint Protection .................
Excluso de um arquivo ou pasta das verificaes .......................
Excluso de riscos conhecidos das verificaes de vrus e
spyware ........................................................................
Excluso de extenses de arquivo das verificaes de vrus e
spyware ........................................................................
Para monitorar um aplicativo a fim de criar uma exceo .............
Para especificar como o Symantec Endpoint Protection gerencia
aplicativos monitorados ..................................................
Excluso de um domnio confivel da Web das verificaes ..........
Para criar uma exceo da Proteo contra adulteraes ..............
Para criar uma exceo para um aplicativo que faz mudanas no
DNS ou em arquivo do host ..............................................
Restrio dos tipos de excees que os usurios podem configurar
em computadores-cliente .......................................................
Para criar excees de eventos de log no Symantec Endpoint
Protection Manager ..............................................................
Captulo 24
564
566
567
568
573
574
576
581
583
584
584
585
586
586
587
588
589
Para configurar atualizaes e atualizar a proteo

do computador-cliente ............................................... 591
Para gerenciar atualizaes de contedo .........................................
Sobre os tipos do contedo que o LiveUpdate pode fornecer .........
Como os computadores-cliente recebem atualizaes de
contedo .......................................................................
Configurao de um site para fazer o download de atualizaes de
contedo .............................................................................
Configurao do agendamento de download do LiveUpdate para
Symantec Endpoint Protection Manager ...................................
Download do contedo do LiveUpdate manualmente para o Symantec
Endpoint Protection Manager .................................................
592
597
602
609
613
614
Sumrio
Verificao da atividade do servidor do LiveUpdate ..........................

Para configurar o Symantec Endpoint Protection Manager para se
conectar a um servidor proxy a fim de acessar a Internet e fazer
download de contedo do Symantec LiveUpdate .........................
Especificao de um servidor proxy que os clientes usem para se
comunicar com o Symantec LiveUpdate ou um servidor interno
do LiveUpdate ......................................................................
Como ativar e desativar o agendamento do LiveUpdate para
Como configurar os tipos de contedos usados para atualizar
Configurao da quantidade de controle que os usurios tm sobre o
LiveUpdate ..........................................................................
Para configurar as revises de contedo usadas pelos clientes ............
Configurao do espao em disco usado para downloads do
LiveUpdate ..........................................................................
Sobre a escolha aleatria de downloads simultneos de
contedo .............................................................................
Como escolher aleatoriamente downloads do contedo do servidor
de gerenciamento padro ou de um Provedor de atualizaes de
grupo .................................................................................
Como escolher aleatoriamente o download de contedo de um servidor
do LiveUpdate ......................................................................
Configurao das atualizaes do cliente a serem executadas quando
os computadores-cliente estiverem ociosos ...............................
Configurao de atualizaes do cliente para serem executadas quando
as definies forem antigas ou o computador tiver sido
desconectado .......................................................................
Configurao de um servidor externo do LiveUpdate .........................
Configurao de um servidor interno do LiveUpdate .........................
Para usar Provedores de atualizaes de grupo para distribuir
contedo aos clientes ...........................................................
Sobre os tipos de Provedores de atualizaes de grupo ................
Sobre os efeitos de configurar mais de um tipo de provedor de
atualizaes de grupo em sua rede .....................................
Sobre como configurar regras para vrios Provedores de
atualizaes de grupo ......................................................
Para configurar Provedores de atualizaes de grupo ..................
Pesquisa dos clientes que atuam como Provedores de atualizaes
de grupo .......................................................................
614
615
615
616
617
618
620
621
622
623
624
625
626
627
628
629
632
634
639
641
643
647
21
22
Sumrio
Para usar arquivos do Intelligent Updater para atualizar definies

de vrus e de riscos segurana do cliente .................................
Como usar ferramentas de distribuio de terceiros para atualizar
Configurao de uma poltica de configuraes do LiveUpdate
para permitir a distribuio de contedo de terceiros a
clientes gerenciados ........................................................
Preparao de clientes no gerenciados para receber as
atualizaes das ferramentas de distribuio de
terceiros .......................................................................
Distribuio do contedo usando ferramentas de distribuio de
terceiros .......................................................................
Captulo 25
Para monitorar a proteo com relatrios e

logs .................................................................................
Monitorao da proteo de endpoints ...........................................
Exibio de um relatrio de status dirio ou semanal ...................
Exibio da proteo do sistema ..............................................
Para encontrar computadores off-line ......................................
Como encontrar computadores no verificados ..........................
Exibio de riscos .................................................................
Para exibir o status de computadores-cliente
implementados ..............................................................
Exibio de destinos e origens do ataque ...................................
Para gerar uma lista de verses do Symantec Endpoint Protection
instaladas nos clientes e servidores em sua rede ...................
Configurao das preferncias de relatrio ......................................
Logon no relatrio atravs de um navegador da Web autnomo ..........
Sobre os tipos dos relatrios .........................................................
Execuo e personalizao de relatrios rpidos ...............................
Salvamento e excluso de relatrios personalizados ..........................
Criao de relatrios agendados ....................................................
Edio do filtro usado para um relatrio agendado ............................
Como imprimir e salvar a cpia de um relatrio ................................
Exibio de logs ..........................................................................
O que voc pode fazer nos logs ................................................
Como salvar e excluir logs personalizados usando-se filtros .........
Exibio de logs de outros sites ...............................................
Para executar comandos atravs do log de status do computador ........
647
648
650
651
653
657
657
662
663
663
664
664
666
666
667
668
669
670
672
674
676
677
678
679
681
683
685
685
Sumrio
Captulo 26
Para gerenciar notificaes ............................................. 689

Gerenciamento de notificaes .....................................................
Como as notificaes funcionam .............................................
O que so os tipos de notificaes e quando so enviados? ............
Sobre notificaes do parceiro ................................................
Estabelecimento de comunicao entre o servidor de gerenciamento
e os servidores de e-mail ........................................................
Exibio e reconhecimento de notificaes ......................................
Como salvar e excluir filtros administrativos de notificao ...............
Configurao de notificaes do administrador ................................
Como os upgrades de outra verso afetam as condies de
notificao ..........................................................................
689
690
691
695
696
697
698
699
700
Seo 4
Para gerenciar a proteo em ambientes

virtuais ........................................................................ 703
Captulo 27
Viso geral do Symantec Endpoint Protection e

infraestruturas virtuais .............................................. 705
Para usar o Symantec Endpoint Protection nas infraestruturas
virtuais ............................................................................... 705
Sobre o Cache de inteligncia compartilhado .................................. 707
Sobre a ferramenta Exceo de imagem virtual ................................ 708
Captulo 28
Para instalar e usar um Cache de inteligncia

compartilhado baseado em rede .............................. 709
O que preciso fazer para usar o Cache de inteligncia compartilhado
baseado na rede? ..................................................................
Requisitos do sistema para implementar o Cache de inteligncia
compartilhado baseado na rede ...............................................
Para instalar e desinstalar um Cache de inteligncia compartilhado
baseado em rede ...................................................................
Para ativar ou desativar o uso do Cache de inteligncia compartilhado
baseado na rede ...................................................................
Para personalizar as configuraes baseadas em rede do Cache de
inteligncia compartilhado .....................................................
Para interromper e iniciar o servio do Cache de inteligncia
compartilhado .....................................................................
Para exibir eventos de log do Cache de inteligncia compartilhado
baseado na rede ...................................................................
710
710
711
713
715
719
719
23
24
Sumrio
Para monitorar contadores de desempenho do Cache de inteligncia

compartilhado baseado na rede ............................................... 721
Soluo de problemas no Cache de inteligncia compartilhado ........... 722
Captulo 29
Para instalar o Appliance de segurana virtual e

usar um Cache de inteligncia compartilhado
ativado para vShield ................................................... 725
O que preciso fazer para usar o Cache de inteligncia compartilhado
ativado para vShield? ............................................................
O que preciso fazer para instalar um Appliance de segurana
virtual? ...............................................................................
Sobre o Appliance de segurana virtual do Symantec Endpoint
Protection ...........................................................................
Requisitos do software VMware para instalar o Appliance de
segurana virtual da Symantec ...............................................
Requisitos do software de VMware para mquinas virtuais
convidadas ..........................................................................
Para configurar o arquivo de configuraes de instalao do Appliance
de segurana virtual do Symantec Endpoint Protection ...............
Para instalar o Appliance de segurana virtual do Symantec Endpoint
Protection ...........................................................................
Para ativar clientes do Symantec Endpoint Protection para usar o
Cache de inteligncia compartilhado ativado para vShield ...........
Para interromper e iniciar o servio do Cache de inteligncia
compartilhado ativado para vShield .........................................
Comandos de servio para o Cache de inteligncia compartilhado
ativado para vShield .............................................................
Configuraes do arquivo de configurao para um Cache de
inteligncia compartilhado ativado para vShield ........................
Sobre o log de eventos do Cache de inteligncia compartilhado ativado
para vShield ........................................................................
Para desinstalar o Appliance de segurana virtual do Symantec
Endpoint Protection ..............................................................
Captulo 30
726
727
728
729
730
731
734
737
737
738
739
742
742
Para usar a Exceo de imagem virtual ........................ 745

Para usar a ferramenta Exceo de imagem virtual em uma imagem
base ...................................................................................
Requisitos do sistema para a ferramenta Exceo de imagem
virtual ................................................................................
Para executar a ferramenta Exceo de imagem virtual .....................
Para configurar o Symantec Endpoint Protection para ignorar a
verificao de arquivos de imagem base ....................................
745
746
747
747
Sumrio
Captulo 31
Infraestruturas da rea de trabalho virtual no

persistentes .................................................................. 749
Para usar o Symantec Endpoint Protection em infraestruturas da
rea de trabalho virtual no persistentes ..................................
Para configurar a imagem base para mquinas virtuais convidadas
no persistentes em infraestruturas da rea de trabalho
virtual ................................................................................
Para criar uma chave de registro para marcar as mquinas virtuais
convidadas (GVMs) de imagem base como clientes no
persistentes .........................................................................
Para configurar um intervalo separado de apagamento para clientes
VDI off-line no persistentes ..................................................
749
750
751
752
Seo 5
Para configurar e gerenciar o Symantec

Endpoint Protection Manager ...................... 753
Captulo 32
Para gerenciar a conexo entre o servidor de

gerenciamento e os computadores-cliente ............ 755
Para gerenciar a conexo do servidor-cliente ...................................
Como determinar se o cliente est conectado e protegido ...................
Por que eu preciso substituir o arquivo de comunicao
servidor-cliente no computador-cliente? ...................................
Como substituo o arquivo de comunicao cliente-servidor no
computador-cliente? .............................................................
Para restaurar as comunicaes cliente-servidor usando um pacote
de instalao do cliente ..........................................................
Para exportar manualmente o arquivo de comunicao
cliente-servidor ....................................................................
Para importar configuraes de comunicao cliente-servidor no
cliente ................................................................................
Para configurar o SSL entre o Symantec Endpoint Protection Manager
e os clientes .........................................................................
Verificao da disponibilidade de portas ...................................
Para alterar a atribuio da porta SSL ......................................
Ativao da comunicao SSL entre o servidor de gerenciamento
e o cliente .....................................................................
Aprimoramento de desempenho do cliente e do servidor ....................
Sobre certificados de servidor .......................................................
Melhores prticas para atualizar certificados de servidor e manter a
conexo do servidor-cliente ....................................................
756
757
759
760
761
762
764
764
765
766
767
767
770
771
25
26
Sumrio
Para desativar ou ativar comunicaes seguras entre o servidor

e o cliente ..................................................................... 772
Para atualizar ou restaurar um certificado de servidor ................ 773
Captulo 33
Para configurar o servidor de gerenciamento ............. 775

Para gerenciar os servidores do Symantec Endpoint Protection
Manager e de terceiros ..........................................................
Sobre os tipos de servidores do Symantec Endpoint Protection ...........
Exportao e importao de configuraes do servidor ......................
Para ativar ou desativar os servios da Web do Symantec Endpoint
Protection Manager ..............................................................
Captulo 34
780
Para gerenciar banco de dados ...................................... 781

Manuteno do banco de dados .....................................................
Agendamento de backups automticos do banco de dados ..................
Agendamento de tarefas automticas de manuteno do banco de
dados .................................................................................
Aumento do tamanho do arquivo do banco de dados do Microsoft
SQL Server ....................................................................
Exportao de dados para um servidor Syslog ..................................
Exportao de dados de log para um arquivo de texto ........................
Exportao de dados do log para um arquivo de texto delimitado por
vrgulas ..............................................................................
Especificao do tamanho do log do cliente e de quais fazer upload
para o servidor de gerenciamento ............................................
Como especificar por quanto tempo as entradas de log devem ser
mantidas no banco de dados ...................................................
Sobre aumentar o espao em disco no servidor para dados de log de
clientes ...............................................................................
Como remover dados de log do banco de dados manualmente .............
Captulo 35
775
778
779
781
785
786
788
788
789
791
792
793
794
795
Para gerenciar failover e balanceamento de

carga ............................................................................... 797
Configurao do failover e balanceamento de carga ..........................
Sobre o failover e o balanceamento de carga ....................................
Configurao de uma lista de servidores de gerenciamento ................
Atribuio de uma lista de servidores de gerenciamento a um grupo
ou local ...............................................................................
797
798
801
802
Sumrio
Captulo 36
Para preparar a recuperao aps desastres .............. 805

Para preparar a recuperao aps desastres .................................... 805
Backup de logs e banco de dados .................................................... 807
Backup do certificado de servidor .................................................. 808
Seo 6
Soluo de problemas do Symantec

Endpoint Protection ........................................... 811
Captulo 37
Para executar a recuperao aps desastres .............. 813

Para executar a recuperao aps desastres .....................................
Reinstalao ou reconfigurao do Symantec Endpoint Protection
Manager .............................................................................
Para gerar um novo certificado de servidor .....................................
Restaurao do banco de dados .....................................................
Captulo 38
Soluo de problemas de instalao e de

comunicao ................................................................
Para solucionar problemas do computador com a ferramenta de
suporte do Symantec Endpoint Protection .................................
Identificao do ponto de falha de uma instalao ............................
Soluo de problemas de comunicao entre o servidor de
gerenciamento e o cliente ......................................................
Para verificar a conexo ao servidor de gerenciamento no
computador-cliente ........................................................
Investigao de problemas da proteo usando o arquivo da
soluo de problemas no cliente ........................................
Ativao e exibio do log de acesso para verificar se o cliente se
conectar ao servidor de gerenciamento .............................
Interrupo e inicializao do servidor Web Apache ....................
Uso do comando ping para testar a conectividade com o servidor
de gerenciamento ...........................................................
Para usar um navegador para testar a conectividade ao Symantec
Endpoint Protection Manager no cliente do Symantec
Endpoint Protection ........................................................
Verificao de logs de depurao no computador-cliente ..............
Verificao dos logs da caixa de entrada no servidor de
gerenciamento ...............................................................
Para recuperar configuraes de comunicao do cliente usando
a ferramenta SylinkDrop .................................................
813
814
815
816
819
819
820
821
823
823
824
825
826
826
827
827
828
27
28
Sumrio
Soluo de problemas de comunicao entre o servidor de

gerenciamento e o console ou o banco de dados .......................... 830
Verificao da conexo com o banco de dados ............................ 831
Arquivos de comunicao de cliente e servidor ................................. 833
Captulo 39
Soluo de problemas de gerao de relatrios ......... 835

Soluo de problemas de gerao de relatrios .................................
Alterao de parmetros do tempo limite para verificar relatrios e
logs ....................................................................................
Acesso a pginas de relatrios quando o uso de endereos do loopback
estiver desativado .................................................................
Sobre a recuperao de um log de sistemas do cliente em
computadores de 64 bits ........................................................
835
837
839
840
Seo 7
Para gerenciar o Symantec Network

Access Control ....................................................... 841
Captulo 40
Introduo ao Symantec Network Access

Control ........................................................................... 843
Sobre o Symantec Network Access Control ......................................
Sobre os tipos de imposio no Symantec Network Access
Control ...............................................................................
Como funciona o Symantec Network Access Control .........................
Como funciona a autoimposio ....................................................
Sobre os appliances Enforcer do Symantec Network Access
Control ...............................................................................
Como os appliances do Symantec Network Access Control Enforcer
funcionam com polticas de integridade do host .........................
Comunicao entre um appliance Enforcer e um Symantec
Endpoint Protection Manager ...........................................
Comunicao entre o appliance Enforcer e os clientes .................
Como funciona o appliance Gateway Enforcer ..................................
Como funciona o appliance LAN Enforcer .......................................
Como funciona o Integrated Enforcer for Microsoft DHCP
Servers ...............................................................................
Como um Integrated Enforcer for Microsoft Network Access
Protection funciona com um Microsoft Network Policy Server
(NPS) ..................................................................................
Como funciona o cliente On-Demand ..............................................
O que voc pode fazer com appliances do Symantec Enforcer .............
O que voc pode fazer com os Symantec Integrated Enforcers .............
844
844
846
847
849
850
851
852
852
853
855
857
857
858
860
Sumrio
O que voc pode fazer com clientes On-Demand ............................... 860
Captulo 41
Para instalar o Symantec Network Access

Control ........................................................................... 863
Para implementar o Symantec Network Access Control .....................
Para fazer upgrade do Symantec Endpoint Protection Manager para
incluir o Symantec Network Access Control ...............................
Sobre a instalao de um appliance Enforcer ...................................
Instalao de um appliance Enforcer ..............................................
Sobre os indicadores e os controles do appliance Enforcer ..................
Configurao de um appliance Enforcer ..........................................
Logon em um appliance Enforcer ...................................................
Para configurar um appliance Enforcer ..........................................
Captulo 42
865
866
867
867
869
870
871
Para fazer upgrade e recriar imagem de todos os

tipos de imagens do appliance Enforcer ................ 875
Sobre como fazer upgrade e gerar imagens do appliance
Enforcer .............................................................................
Matriz de compatibilidade de hardware do Enforcer ..........................
Como determinar a verso atual de uma imagem do appliance
Enforcer .............................................................................
Upgrade de imagens do appliance Enforcer .....................................
Gerao de imagens do appliance Enforcer ......................................
Captulo 43
863
875
876
877
877
878
Para personalizar as polticas de integridade do

host ................................................................................. 881
O que voc pode fazer com as Polticas de integridade do host .............
Para criar e testar uma Poltica de integridade do host .......................
Sobre requisitos da integridade do host ..........................................
Adio de requisitos da integridade do host .....................................
Integridade do host para Mac ........................................................
Para ativar, desativar e excluir polticas de integridade do host ...........
Alterao da sequncia dos requisitos de integridade do host ..............
Para adicionar um requisito da integridade do host atravs de um
modelo ...............................................................................
Sobre configuraes para verificaes da integridade do host .............
Como permitir que a verificao de integridade do host seja aprovada
se um requisito falhar ...........................................................
Configurao de notificaes para verificaes da integridade do
host ...................................................................................
Sobre a correo da Integridade do host ..........................................
882
883
885
887
889
890
891
891
892
893
894
895
29
30
Sumrio
Sobre os aplicativos de correo e arquivos de Integridade do

host .............................................................................
Configuraes de correo de integridade do host e do
Enforcer .......................................................................
Para criar uma poltica de quarentena para uma verificao de
integridade do host com falha .................................................
Especificao do perodo de tempo que o cliente espera pela
correo .............................................................................
Permisso para que os usurios adiem ou cancelem a correo da
integridade do host ...............................................................
Captulo 44
896
896
897
898
898
Para adicionar requisitos personalizados poltica

de integridade do host ............................................... 901
Sobre os requisitos personalizados ................................................
Sobre condies .........................................................................
Sobre condies do antivrus ..................................................
Sobre as condies do antispyware ..........................................
Sobre as condies do firewall .................................................
Sobre as condies do arquivo .................................................
Sobre as condies do sistema operacional ................................
Sobre as condies do registro ................................................
Sobre funes ............................................................................
Sobre a lgica de requisito personalizado ........................................
Sobre a instruo RETURN .....................................................
Sobre as instrues IF, THEN e ENDIF ......................................
Sobre a instruo ELSE ..........................................................
Sobre a palavra-chave NOT ....................................................
Sobre as palavras-chave AND e OR ..........................................
Gravao de um script de requisitos personalizados ..........................
Adio de uma instruo IF THEN ...........................................
Alternncia entre as instrues IF e IF NOT ...............................
Adio de uma instruo ELSE ................................................
Adio de um comentrio .......................................................
Como copiar e colar instrues IF, condies, funes e
comentrios ..................................................................
Excluso de uma instruo, condio ou funo .........................
Exibio de uma caixa de dilogo de mensagens ...............................
Download de um arquivo .............................................................
Definio de um valor do registro ..................................................
Incremento de um valor DWORD do registro ...................................
Execuo de um programa ...........................................................
Execuo de um script .................................................................
902
902
903
903
904
905
906
907
909
910
911
911
911
912
912
912
914
914
915
915
915
916
916
917
918
919
919
920
Sumrio
Definio do carimbo de hora de um arquivo ................................... 921

Especificao de um tempo de espera para o script de requisitos
personalizado ...................................................................... 922
Captulo 45
Para realizar tarefas bsicas no console de todos

os tipos de appliances Enforcer ............................... 923
Sobre a execuo de tarefas bsicas no console de um appliance
Enforcer .............................................................................
Configurao de uma conexo entre um appliance Enforcer e um
Sobre o comando configure spm ............................................
Verificao do status de comunicao de um appliance Enforcer no
console do Enforcer ..............................................................
Acesso remoto a um appliance Enforcer ..........................................
Sobre a hierarquia de comandos da CLI do appliance Enforcer ............
Captulo 46
923
924
925
927
927
928
Para planejar a instalao do appliance Gateway

Enforcer ......................................................................... 929
Planejamento da instalao para um appliance Gateway
Enforcer .............................................................................
Onde colocar o appliance Gateway Enforcer ..............................
Diretrizes para endereos IP em um appliance Gateway
Enforcer .......................................................................
Sobre dois appliances Gateway Enforcer em srie .......................
Proteo do acesso VPN atravs de um appliance Gateway
Enforcer .......................................................................
Proteo de pontos de acesso sem fio atravs de um appliance
Gateway Enforcer ...........................................................
Proteo dos servidores atravs de um appliance Gateway
Enforcer .......................................................................
Proteo de servidores e de clientes que no sejam Windows
atravs de um appliance Gateway Enforcer .........................
Requisitos para a permisso de clientes que no sejam Windows
sem autenticao ............................................................
Configuraes de NIC do appliance Gateway Enforcer .......................
Planejamento de failover para appliances Gateway Enforcer ..............
Como o failover funciona com os appliances Gateway Enforcer
na rede .........................................................................
Onde colocar um ou mais appliances Gateway Enforcer para
failover em uma rede com uma ou mais VLANs ....................
929
931
933
933
934
934
934
935
936
937
938
938
939
31
32
Sumrio
Configurao de appliances do Gateway Enforcer para

failover ......................................................................... 942
Planejamento de fail-open e fail-closed para um appliance Gateway
Enforcer ............................................................................. 942
Captulo 47
Para configurar o appliance Symantec Gateway

Enforcer atravs do Symantec Endpoint
Protection Manager .................................................... 943
Sobre como configurar o appliance Symantec Gateway Enforcer no
Console do Symantec Endpoint Protection Manager ....................
Alterao de configuraes do appliance Gateway Enforcer no
Sobre configuraes gerais em um appliance Gateway .......................
Adio ou edio da descrio de um grupo do appliance Gateway
Enforcer .......................................................................
Adio ou edio da descrio de um appliance Gateway
Enforcer .......................................................................
Adio ou edio do endereo IP ou nome do host de um appliance
Gateway Enforcer ...........................................................
Estabelecimento de comunicao entre um appliance Gateway
Enforcer e um Symantec Endpoint Protection Manager
atravs de uma lista de servidores de gerenciamento e o
arquivo conf.properties ...................................................
Sobre configuraes de autenticao em um appliance Gateway ..........
Configuraes de autenticao em um appliance Gateway ............
Sobre as sesses de autenticao em um Gateway Enforcer
appliance ......................................................................
Sobre a autenticao do cliente em um Gateway Enforcer
appliance ......................................................................
Especificao do nmero mximo de pacotes de desafio durante
uma sesso de autenticao ..............................................
Especificao da frequncia de envio dos pacotes de desafio aos
clientes .........................................................................
Especificao do perodo de tempo durante o qual um cliente
bloqueado depois de a autenticao falhar ...........................
Especificao do perodo de tempo durante o qual um cliente tem
permisso para reter sua conexo de rede sem nova
autenticao ..................................................................
Permisso para todos os clientes com registro em log contnuo
de clientes no autenticados .............................................
Permisso para que clientes que no sejam Windows se conectem
rede sem autenticao ...................................................
944
944
948
948
949
950
950
952
952
956
956
957
958
959
960
960
962
Sumrio
Verificao do nmero de srie da poltica em um cliente .............

Envio de uma mensagem de no-conformidade de um appliance
Gateway Enforcer a um cliente ..........................................
Redirecionamento de solicitaes HTTP para uma pgina da
Web .............................................................................
Configuraes de intervalo de autenticao .....................................
Intervalos de endereos IP do cliente comparados a endereos
IP externos e confiveis ...................................................
Quando usar os intervalos de endereos IP de cliente ..................
Sobre os endereos IP confiveis .............................................
Adio de intervalos de endereo IP do cliente lista de endereos
que necessitam de autenticao ........................................
Edio de intervalos de endereo IP de cliente na lista de
endereos que necessitam de autenticao ..........................
Remoo de intervalos de endereo IP do cliente da lista de
endereos que necessitam de autenticao ..........................
Adio de um endereo IP interno e confivel para clientes em
um servidor de gerenciamento ..........................................
Especificao de endereos IP externos e confiveis ....................
Edio de endereo IP interno e confivel ou endereo IP interno
e confivel ....................................................................
Remoo de um endereo IP interno e confivel ou um endereo
IP externo e confivel ......................................................
Ordem de verificao do intervalo de endereos IP ......................
Sobre configuraes avanadas do appliance Gateway Enforcer ..........
Especificao dos tipos de pacote e protocolos ...........................
Permisso para um cliente legado se conectar rede com um
appliance Gateway Enforcer .............................................
Ativao da autenticao local em um appliance Gateway
Enforcer .......................................................................
Ativao das atualizaes de horrio do sistema para o appliance
Gateway Enforcer usando o Network Time Protocol ..............
Uso do appliance Gateway Enforcer como um servidor da
Web .............................................................................
Uso do Gateway Enforcer como um servidor de spoofing de DNS
...................................................................................
Captulo 48
963
964
966
967
968
968
970
971
973
973
974
975
976
977
977
978
979
980
981
981
982
983
Planejamento da instalao para o appliance LAN

Enforcer ......................................................................... 985
Planejamento da instalao de um appliance LAN Enforcer ................ 985
Onde colocar appliances LAN Enforcer ..................................... 986
33
34
Sumrio
Planejamento de failover para appliances LAN Enforcer e servidores

Radius ................................................................................ 989
Onde colocar servidores Radius para fazer failover em uma
rede ............................................................................. 989
Captulo 49
Para configurar o appliance LAN Enforcer no

Symantec Endpoint Protection Manager ................ 993
Sobre como configurar o Symantec LAN Enforcer no console do
Symantec Endpoint Protection Manager ................................... 994
Sobre a configurao de servidores RADIUS em um appliance LAN
Enforcer ............................................................................. 994
Sobre a configurao de pontos de acesso sem fio 802.1x em um
appliance LAN Enforcer ......................................................... 995
Alterao das configuraes do LAN Enforcer no Symantec Endpoint
Protection Manager .............................................................. 996
Uso das configuraes gerais ........................................................ 998
Adio ou edio do nome de um grupo do appliance LAN
Enforcer com um LAN Enforcer ......................................... 999
Especificao de uma porta de escuta para a comunicao entre
um alternador VLAN e um LAN Enforcer ........................... 1000
Adio ou edio da descrio de um grupo do Enforcer com um
LAN Enforcer ............................................................... 1000
Adio ou edio do endereo IP ou nome do host de um LAN
Enforcer ...................................................................... 1001
Adio ou edio da descrio de um LAN Enforcer ................... 1001
Como conectar o LAN Enforcer a um Symantec Endpoint
Protection Manager ....................................................... 1002
Uso das configuraes de grupo do servidor RADIUS ....................... 1003
Adio de um nome do grupo de servidor RADIUS e de um
servidor RADIUS .......................................................... 1004
Edio do nome de um grupo de servidor RADIUS ..................... 1006
Edio do nome amigvel de um servidor RADIUS .................... 1006
Edio do nome do host ou endereo IP de um servidor
RADIUS ...................................................................... 1007
Edio do nmero da porta de autenticao de um servidor
RADIUS ...................................................................... 1007
Edio do segredo compartilhado de um servidor RADIUS .......... 1008
Ativao do suporte para o Servidor de polticas da rede (NPS)
do Windows no LAN Enforcer ......................................... 1009
Excluso do nome de um grupo de servidor RADIUS .................. 1010
Excluso de um servidor RADIUS ........................................... 1010
Uso das configuraes do alternador ............................................ 1011
Sumrio
Configuraes do alternador .................................................

Sobre o suporte a atributos dos modelos de alternador ...............
Adio de uma poltica de alternador compatvel com 802.1x a
um appliance LAN Enforcer com assistente .......................
Edio de informaes bsicas sobre a poltica de switch e o
switch compatvel com 802.1x .........................................
Edio de informaes sobre o alternador compatvel com
802.1x ........................................................................
Edio de informaes VLAN para a poltica de alternador .........
Edio de informaes de ao para a poltica de alternador .......
Uso das configuraes avanadas do appliance LAN Enforcer ...........
Permisso para um cliente legado se conectar rede com um
appliance LAN Enforcer .................................................
Ativao da autenticao local no appliance LAN Enforcer .........
Ativao das atualizaes do horrio do sistema para o appliance
Enforcer usando o Network Time Protocol .........................
Configurao de endereos MAC e desvio da autenticao MAC (MAB)
no LAN Enforcer .................................................................
Uso da autenticao 802.1x ........................................................
Sobre a reautenticao no computador-cliente .........................
Captulo 50
1011
1012
1015
1024
1029
1031
1034
1039
1039
1040
1040
1041
1042
1045
Para configurar Enforcers no Symantec Endpoint

Protection Manager ................................................... 1047
Sobre o gerenciamento de Enforcers no console do servidor de
gerenciamento ...................................................................
Sobre o gerenciamento de Enforcers na pgina Servidores ...............
Sobre os grupos do Enforcer .......................................................
Como o console determina o nome do grupo do Enforcer ............
Sobre os grupos de failover do Enforcer ..................................
Sobre a alterao de um nome de grupo ..................................
Sobre a criao de um grupo do Enforcer .................................
Sobre as informaes do Enforcer que so exibidas no console do
Enforcer ............................................................................
Exibio das informaes sobre o Enforcer no console de
gerenciamento ...................................................................
Alterao do nome e da descrio de um Enforcer ...........................
Excluso de um Enforcer ou de um grupo do Enforcer ......................
Exportao e importao das configuraes do grupo do
Enforcer ............................................................................
Mensagens pop-up para clientes bloqueados ..................................
Mensagens dos computadores que executam o cliente ...............
1048
1048
1049
1049
1049
1050
1050
1051
1052
1052
1053
1054
1054
1054
35
36
Sumrio
Mensagens dos computadores com Windows que no esto

executando o cliente (somente Gateway Enforcer) ...............
Configurao das mensagens do Enforcer ................................
Sobre as configuraes do cliente e o Enforcer ...............................
Configurao de clientes para usar uma senha a fim de interromper
o servio do cliente ..............................................................
Sobre relatrios e logs do Enforcer ...............................................
Definio das configuraes do log do Enforcer ..............................
Como desativar o registro em log do Enforcer no console do
Symantec Endpoint Protection Manager ...........................
Como ativar o envio dos logs do Enforcer de um Enforcer para o
Symantec Endpoint Protection Manager ...........................
Configurao do tamanho e do prazo dos logs do Enforcer ..........
Filtragem dos logs de trfego de um Enforcer ...........................
Para usar o servidor do syslog para monitorar o Enforcer ...........
Captulo 51
1055
1056
1056
1056
1057
1058
1059
1060
1060
1061
1062
Introduo do Symantec Integrated Enforcer ........... 1065

Sobre o Symantec Network Access Control Integrated Enforcer for
Microsoft DHCP Servers ....................................................... 1065
Sobre o Symantec Network Access Control Integrated Enforcer for
Microsoft Network Access Protection ..................................... 1065
Captulo 52
Para instalar o Symantec Network Access Control

Integrated Enforcer for Microsoft DHCP
Servers .........................................................................
Processo de instalao de um Symantec Network Access Control
Integrated Enforcer for Microsoft DHCP Servers ......................
Requisitos do sistema para o Integrated Enforcer para Microsoft
DHCP Servers ....................................................................
Componentes para um Integrated Enforcer for Microsoft DHCP
Servers .............................................................................
Requisitos de colocao para o Integrated Enforcer for Microsoft
DHCP Servers ....................................................................
Noes bsicas sobre a instalao de um Integrated Enforcer for
Microsoft DHCP Servers ......................................................
Instalao do Integrated Enforcer for Microsoft DHCP Servers ..........
Desinstalao do Symantec Network Access Control Integrated
Enforcer for Microsoft DHCP Servers ...............................
Upgrade do Integrated Enforcer for Microsoft DHCP
Servers .......................................................................
1067
1067
1068
1069
1070
1072
1073
1075
1076
Sumrio
Captulo 53
Para configurar os Symantec Integrated Enforcers

no console do Enforcer ............................................. 1077
Sobre a configurao do Integrated Enforcers em um console do
appliance Enforcer ..............................................................
Para estabelecer ou alterar uma comunicao entre o Integrated
Enforcer para servidores DHCP da Microsoft e o Symantec
Endpoint Protection Manager ...............................................
Configurao da quarentena automtica .......................................
Como editar uma conexo do Symantec Endpoint Protection
Manager ...........................................................................
Definio de configuraes de comunicao do Integrated Enforcer
no Symantec Endpoint Protection Manager .............................
Configurao de uma lista de fornecedor confivel ..........................
Exibio de logs do Enforcer no console ........................................
Como interromper e iniciar os servios de comunicao entre o
Integrated Enforcer e um servidor de gerenciamento .................
Configurao de uma mscara de sub-rede segura ...........................
Criao de excees do escopo do DHCP ........................................
Captulo 54
1078
1080
1082
1084
1085
1086
1087
1088
1089
1090
Para configurar o Symantec Network Access Control

Integrated Enforcer para o servidor DHCP da
Microsoft no Symantec Endpoint Protection
Manager ....................................................................... 1091
Sobre a configurao do Symantec Network Access Control Integrated
Enforcer para o servidor DHCP da Microsoft no Symantec
Endpoint Protection Manager ...............................................
Configuraes bsicas do Symantec Network Access Control
Integrated Enforcer .............................................................
Adio ou edio do nome de um grupo do Enforcer para o
Symantec Network Access Control Integrated Enforcer .......
Symantec Network Access Control Integrated Enforcer .......
Adio ou edio da descrio de um Symantec Network Access
Control Integrated Enforcer ............................................
Para conectar o Integrated Enforcer do Symantec Network Access
Control a um Symantec Endpoint Protection Manager .........
Configuraes avanadas do Symantec Network Access Control
Ativao de servidores, clientes e dispositivos para que se
conectem rede como hosts confiveis sem
autenticao ................................................................
1092
1092
1093
1093
1094
1094
1095
1096
37
38
Sumrio
Ativao da autenticao local no Integrated Enforcer ...............

Configurao de autenticao do Symantec Network Access Control
Sobre o uso das configuraes de autenticao .........................
Sobre as sesses de autenticao ...........................................
Especificao do nmero mximo de pacotes de desafio durante
uma sesso de autenticao ............................................
clientes .......................................................................
Permisso para todos os clientes com registro em log contnuo
de clientes no autenticados ...........................................
rede sem autenticao .................................................
Como fazer com que o Symantec Network Access Control
Integrated Enforcer verifique o nmero de srie da poltica
em um cliente ..............................................................
Configurao de logs para o Symantec Network Access Control
Captulo 55
1098
1098
1100
1101
1102
1103
1104
1104
1106
Para instalar o Symantec Integrated Enforcer for

Microsoft Network Access Protection .................... 1107
Antes de instalar o Symantec Integrated Enforcer for Microsoft
Network Access Protection ...................................................
Processo para instalar o Symantec Network Access Control Integrated
Enforcer for Microsoft Network Access Protection ....................
Requisitos do sistema para um Integrated Enforcer for Microsoft
Componentes de um Symantec Integrated Enforcer for Microsoft
Instalao do Integrated Enforcer for Microsoft Network Access
Protection .........................................................................
Desinstalao do Integrated Enforcer for Microsoft Network
Access Protection .........................................................
Interrupo e inicializao manual do Network Access
Protection ...................................................................
Captulo 56
1097

Integrated Enforcer for Microsoft Network
1107
1108
1109
1111
1112
1113
1114
Sumrio
Access Protection em um console do

Enforcer .......................................................................
Sobre como configurar o Symantec Integrated Enforcer for Microsoft
Network Access Protection em um console do Enforcer ..............
Como conectar um Symantec Integrated Enforcer for Microsoft
Network Access Protection a um servidor de gerenciamento em
um console do Enforcer ........................................................
Criptografia de comunicao entre o Symantec Integrated Enforcer
for Microsoft Network Access Protection e um servidor de
gerenciamento ...................................................................
Configurao de um nome de grupo do Enforcer no console do
Symantec Integrated Enforcer for Microsoft Network Access
Protection .........................................................................
Configurao de um protocolo de comunicao HTTP no console do
Symantec Integrated Enforcer for Microsoft Network Access
Protection .........................................................................
Captulo 57
1117
1118
1119
1121
1122
1123

Access Protection no Symantec Endpoint
Protection Manager ................................................... 1125
Sobre como configurar o Symantec Integrated Enforcer for Microsoft
Network Access Protection no Symantec Endpoint Protection
Manager ...........................................................................
Ativao da imposio do NAP para clientes ..................................
Como verificar se o servidor de gerenciamento gerencia o
cliente ..............................................................................
Verificao das polticas do Validador da integridade de
segurana ..........................................................................
Verificao de clientes que passaram na verificao de integridade
do host ..............................................................................
Configurao de logs para o Symantec Integrated Enforcer for
1126
1127
1128
1128
1129
1130
39
40
Sumrio
Captulo 58
Para configurar conexes temporrias para clientes

do Symantec Network Access Control sob
demanda ...................................................................... 1131
Sobre os clientes do Symantec Network Access Control
On-Demand .......................................................................
Para configurar clientes sob demanda do Symantec Network Access
Control em um console de um Gateway Enforcer ......................
Configurao do desafio de acesso do convidado usando o Integrated
Enforcer DHCP do Symantec Network Access Control ................
Ativao de clientes sob demanda do Symantec Network Access
Control para se conectarem temporariamente a uma rede ..........
Como desativar o cliente do Symantec Network Access Control
On-Demand .......................................................................
Configurao da autenticao no console do Gateway Enforcer para
clientes do Symantec Network Access Control sob demanda .......
Configurao da autenticao do usurio com um banco de dados
local ...........................................................................
Configurao da autenticao de usurio com o Microsoft
Windows 2003 Server Active Directory .............................
Configurao da autenticao de usurio com um servidor
Radius ........................................................................
Configurao do cliente sob demanda no Windows para
autenticao com o protocolo dot1x-tls .............................
Configurao do cliente sob demanda no Windows para
autenticao com o protocolo dot1x-peap ..........................
Comandos on-demand authentication .....................................
Edio do banner na pgina Bem-vindo .........................................
Captulo 59
1132
1132
1135
1139
1142
1142
1143
1143
1144
1145
1146
1147
1155
Soluo de problemas do appliance Enforcer ........... 1157

Soluo de problemas de comunicao entre um appliance Enforcer
e o Symantec Endpoint Protection Manager .............................
Soluo de problemas de um appliance Enforcer .............................
Perguntas frequentes sobre os appliances Enforcer .........................
Que proteo antivrus e software antivrus so gerenciados pela
integridade do host? ......................................................
As polticas de integridade do host podem ser definidas em nvel
de grupo ou em nvel global? ...........................................
Voc pode criar uma mensagem personalizada de integridade do
host? ..........................................................................
1157
1159
1159
1160
1160
1160
Sumrio
O que acontece se os appliances Enforcer no puderem se

comunicar com o Symantec Endpoint Protection
Manager? ....................................................................
necessrio ter um servidor RADIUS quando um appliance LAN
Enforcer executado no modo transparente? .....................
Como a aplicao gerencia computadores sem clientes? .............
Soluo de problemas de conexo entre o Enforcer e clientes
On-Demand .......................................................................
Apndice A
Diferenas entre recursos do Mac e do

Windows ......................................................................
Recursos de proteo do cliente por plataforma ..............................
Recursos de gerenciamento por plataforma ...................................
Configuraes da Poltica de proteo contra vrus e spyware
disponveis para Windows e Mac ...........................................
Configuraes de poltica do LiveUpdate disponveis para Windows
e Mac ................................................................................
Apndice B
1161
1162
1163
1165
1169
1169
1170
1172
1173
Para personalizar e implementar a instalao do

cliente usando-se ferramentas de terceiros ........ 1175
Para instalar o software-cliente usando ferramentas de
terceiros ...........................................................................
Sobre os recursos e as propriedades de instalao do cliente .............
Sobre a configurao das strings de comando MSI ....................
Sobre a configurao do Setaid.ini .........................................
Propriedades de instalao do cliente do Symantec Endpoint
Protection .........................................................................
Recursos do cliente do Symantec Endpoint Protection .....................
Parmetros do Windows Installer ................................................
Propriedades da Central de Segurana do Windows .........................
Exemplos de linha de comando para instalar o cliente ......................
Sobre como instalar e implementar o software-cliente com o Symantec
Management Agent .............................................................
Para instalar clientes com o Microsoft SMS 2003 ............................
Para instalar clientes com o objeto de poltica de grupo do Active
Directory ...........................................................................
Para criar a imagem de instalao administrativa .....................
Criao de uma distribuio de software de GPO .......................
Para criar um script de inicializao para instalar Windows
Installer 3.1 ou superior .................................................
Adio de computadores unidade organizacional e ao software
de instalao ................................................................
1176
1178
1179
1179
1180
1181
1183
1185
1186
1186
1187
1189
1190
1191
1193
1194
41
42
Sumrio
Para copiar um arquivo Sylink.xml aos arquivos de instalao

para fazer clientes gerenciados ....................................... 1195
Para desinstalar o software-cliente com o objeto de poltica de grupo
do Active Directory ............................................................. 1196
Apndice C
Opes da linha de comando para o cliente .............. 1199

Para executar comandos do Windows para o servio do cliente .......... 1199
Cdigos de erro ......................................................................... 1204
Digitao de um parmetro caso o cliente esteja protegido por
senha ............................................................................... 1205
Apndice D
Opes da linha de comando para a ferramenta

Exceo de imagem virtual ...................................... 1207
vietool .................................................................................... 1208
Apndice E
Sintaxe para assinaturas de Preveno contra

intruses personalizada e regras de controle de
aplicativo .....................................................................
1211
Expresses regulares no Symantec Endpoint Protection

Manager ...........................................................................
Sobre sintaxe e convenes das assinaturas ...................................
Argumentos do tipo de protocolo .................................................
Argumentos do protocolo TCP .....................................................
Argumentos do protocolo UDP ....................................................
Argumentos do protocolo ICMP ...................................................
Argumentos do protocolo IP .......................................................
Argumentos de Msg ..................................................................
Argumentos de contedo ............................................................
Argumentos de contedo opcionais ..............................................
Diferenciao entre maisculas e minsculas .................................
Decodificao HTTP ..................................................................
Deslocamento e profundidade .....................................................
Argumentos Streamdepth ..........................................................
Operadores suportadas ..............................................................
Exemplo de sintaxe personalizada da assinatura IPS .......................
1212
1214
1215
1215
1217
1218
1219
1222
1223
1223
1223
1224
1224
1225
1226
1226
ndice ................................................................................................................ 1229
Captulo
Introduo ao Symantec
Endpoint Protection
Este captulo contm os tpicos a seguir:
Sobre o Symantec Endpoint Protection
O que h de novo no Symantec Endpoint Protection 12.1.2
Sobre os tipos de proteo contra ameaas que o Symantec Endpoint Protection

fornece
Proteo de sua rede com o Symantec Endpoint Protection
Para executar o Symantec Endpoint Protection pela primeira vez
Para gerenciar a proteo em computadores-cliente
Para manter a segurana de seu ambiente
Soluo de problemas do Symantec Endpoint Protection
Sobre o Symantec Endpoint Protection

O Symantec Endpoint Protection uma soluo do servidor de cliente que protege
laptop, reas de trabalho, computadores Windows e Mac e servidores em sua rede
contra o malware. O Symantec Endpoint Protection combina a proteo antivrus
proteo contra ameaas avanada para proteger de forma proativa seus
computadores contra ameaas conhecidas e desconhecidas.
O Symantec Endpoint Protection protege contra malwares, como vrus, worms,
Cavalos de Troia, spywares e adwares. Ele fornece a proteo contra os ataques
mais sofisticados que passam pelas medidas de segurana tradicionais como
rootkits, ataques de dia zero e spywares que se transformam. Com pouca
44
Introduo ao Symantec Endpoint Protection

manuteno e grande eficcia, o Symantec Endpoint Protection se comunica sobre

sua rede para proteger automaticamente sistemas fsicos e virtuais contra ataques.
Esta soluo abrangente protege as informaes confidenciais e valiosas
combinando vrias camadas de proteo em um nico cliente integrado. O
Symantec Endpoint Protection reduz a sobrecarga de gerenciamento, o tempo e
os custos, oferecendo um nico console de gerenciamento para os clientes.
Consulte Sobre os tipos de proteo contra ameaas que o Symantec Endpoint
Protection fornece na pgina 48.
O que h de novo no Symantec Endpoint Protection

12.1.2
A Tabela 1-1 descreve os novos recursos na verso mais recente do Symantec
Endpoint Protection.
Tabela 1-1
Novos recursos no Symantec Endpoint Protection 12.1.2
Recurso
Descrio
Requisitos do
sistema
O Symantec Endpoint Protection inclui as seguintes mudanas nos requisitos do sistema:
O Symantec Endpoint Protection Manager suportado no Windows 8/Windows Server 2012.
O cliente Windows suportado no Windows 8.
O cliente Mac suporta a instalao em volumes formatados diferenciando maisculas e

minsculas no Mac OS X.
O cliente Mac agora suportado no Mac OS X 10.8 (64 bits).
O Symantec Endpoint Protection Manager suportado nos navegadores da Web Microsoft

Internet Explorer 10 e Google Chrome. Para obter a lista completa dos requisitos do sistema:
Consulte Requisitos do sistema para o Symantec Endpoint Protection na pgina 79.

Consulte o artigo da Base de conhecimento: Release Notes and System Requirements for all versions
of Symantec Endpoint Protection and Symantec Network Access Control (em ingls)

Recurso
Descrio
Instalao
O Symantec Endpoint Protection agora inclui os seguintes requisitos adicionais do sistema:

O Assistente de Implementao de cliente inclui a opo Implementao do pacote de
atualizao de comunicao para enviar o arquivo de comunicao (sylink.xml) ao cliente em
um pacote de instalao de cliente. Use o arquivo sylink.xml para converter um cliente no
gerenciado em um cliente gerenciado, ou para gerenciar um cliente previamente rfo. Em
verses anteriores, voc precisava exportar o arquivo sylink.xml do servidor de gerenciamento
e importar o sylink.xml para cada cliente.
Consulte Para restaurar as comunicaes cliente-servidor usando um pacote de instalao do
cliente na pgina 761.
Consulte Por que eu preciso substituir o arquivo de comunicao servidor-cliente no
computador-cliente? na pgina 759.
O Assistente de Implementao de cliente procura a rede mais rapidamente para encontrar os
computadores que no tm o software-cliente instalado.
O Assistente de Implementao de cliente inclui a opo Desinstalar automaticamente o
software de segurana existente para que uma ferramenta de remoo de software de segurana
possa desinstalar produtos de segurana de terceiros no computador-cliente. A ferramenta
remove o software de segurana antes que o pacote de instalao de cliente instale o
software-cliente. Com a verso 12.1.2, a ferramenta remove mais de 40 produtos adicionais de
terceiros.
Para obter uma lista de produtos desinstalados pela ferramenta de remoo de software de
segurana de terceiros, consulte o artigo da Base de conhecimento: About the third-party
security software removal feature in Symantec Endpoint Protection 12.1 (em ingls)
Consulte Para implementar clientes usando e-mail e link da Web na pgina 142.
Consulte Para implementar clientes usando a instalao remota por envio na pgina 144.
Consulte Para implementar clientes usando a opo Salvar pacote na pgina 147.
Voc pode fazer o download e executar uma nova ferramenta diagnstica no servidor de
gerenciamento e no cliente para ajud-lo a diagnosticar problemas comuns antes e depois da
instalao. O Symantec Diagnostic e o Product Advisor permite que voc mesmo resolva problemas
dos produtos em vez de chamar o suporte.
Consulte Para solucionar problemas do computador com a ferramenta de suporte do Symantec
Endpoint Protection na pgina 819.
Consulte o artigo da Base de conhecimento:
http://entced.symantec.com/entt?product=SEP&version=12.1.2&language=english&module=doc&error=LP
45
46

Recurso
Descrio
Virtualizao
O Symantec Endpoint Protection inclui as seguintes melhorias da virtualizao:

Um Cache de inteligncia compartilhado ativado para vShield da VMWare. Fornecido em um
Appliance de segurana virtual, voc pode implementar o Cache de inteligncia compartilhado
ativado para vShield em uma infraestrutura do VMware em cada host. O Cache de inteligncia
compartilhado ativado pelo vShield torna a verificao de arquivos mais eficiente. Voc pode
monitorar o Appliance de segurana virtual e o status do cliente no Symantec Endpoint
Protection Manager.
Consulte O que preciso fazer para usar o Cache de inteligncia compartilhado ativado para
vShield? na pgina 726.
Para gerenciar Mquinas virtuais convidadas (GVMs, Guest Virtual Machines) em infraestruturas
de rea de trabalho virtual no persistentes:
O Symantec Endpoint Protection Manager inclui uma nova opo para configurar o perodo
de vencimento para GVMs no persistentes off-line. O Symantec Endpoint Protection
Manager remove os clientes GVM no persistentes que estiveram off-line por um tempo
maior que o perodo especificado.
Os clientes do Symantec Endpoint Protection tm agora uma configurao para indicar que
eles so GVMs no persistentes. Voc pode filtrar GVMs no persistentes off-line na exibio
da guia Clientes no Symantec Endpoint Protection Manager.
Consulte Para usar o Symantec Endpoint Protection em infraestruturas da rea de trabalho
virtual no persistentes na pgina 749.
Gerenciamento O Symantec Endpoint Protection fornece suporte pblico para gerenciar e monitorar remotamente
remoto
o cliente e o servidor de gerenciamento. Os novos servios da Web permitem gravar suas prprias
ferramentas para executar remotamente as tarefas a seguir:
Executar comandos no cliente para corrigir situaes de ameaa.
Exportar polticas do servidor.
Aplicar polticas aos clientes atravs dos servidores.
Monitorar o status da licena e do contedo no servidor de gerenciamento.
A documentao e outras ferramentas do suporte do monitoramento remoto e do gerenciamento

aparecem no SDK de servios da Web, localizados na seguinte pasta: /Tools/Integration/
SEPM_WebService_SDK
Recursos do
Windows 8
Suporte interface do usurio estilo Microsoft Windows 8.

Consulte Definio das configuraes da interface do usurio na pgina 259.
O suporte ao incio antecipado do antimalware (ELAM, Early launch anti-malware) do Windows
8 fornece uma maneira suportada pela Microsoft de o software antimalware ser iniciado antes
de todos os outros componentes de terceiros. Alm disso, os fornecedores podem agora controlar
o incio dos drivers de terceiros, dependendo dos nveis de confiana. Se um driver no for
confivel, poder ser removido da sequncia de inicializao. O suporte do ELAM torna possvel
uma deteco de rootkit mais eficiente.
Consulte Como ajustar as opes do incio antecipado do antimalware (ELAM, Early launch
anti-malware) do Symantec Endpoint Protection na pgina 402.

Recurso
Descrio
Recursos de
proteo
Proteo antivrus e antispyware:
Suporte completo interface do usurio estilo Microsoft Windows 8.
A maior parte das opes da Poltica de proteo contra vrus e spyware, da Poltica de preveno
contra intruses e da Proteo contra adulteraes que foram desbloqueadas por padro nas
verses legadas esto agora bloqueadas. Qualquer nova poltica na verso 12.1.2 bloqueia as
opes por padro. Contudo, qualquer poltica legada importada ou migrada que tenha sido
salva continuar a usar seus padres salvos no Symantec Endpoint Protection Manager 12.1.2.
Proteo proativa contra ameaas:
Consulte Sobre o SONAR na pgina 429.
O Controle de dispositivos agora envia uma notificao e cria um evento de log cada vez que
bloquear um dispositivo previamente desativado. Anteriormente, o Controle de dispositivos
enviava uma notificao e um evento de log somente na primeira vez que o dispositivo era
desativado.
Consulte Gerenciamento do controle de dispositivos na pgina 566.
O bloqueio do sistema pode agora ser executado em modo blacklist. Voc pode configurar o
bloqueio do sistema para exibir o modo blacklist, bem como o modo whitelist padro. O modo
blacklist bloqueia somente os aplicativos na lista especificada. O Symantec Endpoint Protection
Manager pode atualizar automaticamente as listas de impresso digital de arquivos e as listas
de nomes de aplicativos existentes que o bloqueio do sistema utiliza para fazer whitelists ou
blacklists.
Consulte Para atualizar automaticamente whitelists ou blacklists para bloqueio do sistema
na pgina 554.
Excees:
Suporte adicionado para HTTPS em excees de domnios da Web confiveis.
As variveis comuns nas excees agora aplicam-se a aplicativos de 64 bits bem como a
aplicativos de 32 bits.
Consulte Excluso de um arquivo ou pasta das verificaes na pgina 581.
Polticas:
possvel exportar todas as polticas, locais e configuraes do servidor para um domnio. Se

voc importar estas polticas e configuraes a um novo domnio, no precisar recri-las.
Consulte Exportao e importao de configuraes do servidor na pgina 779.
Consulte Adio de um domnio na pgina 285.
Consulte Para exportar e importar polticas individuais na pgina 324.
47
48

Sobre os tipos de proteo contra ameaas que o Symantec Endpoint Protection fornece
Recurso
Descrio
LiveUpdate
A Poltica de configuraes do LiveUpdate inclui um tipo adicional do Provedor de atualizaes

de grupo (GUP) que permite que os clientes se conectem aos provedores de atualizaes de grupo
em uma sub-rede diferente. Este novo tipo de GUP permite definir explicitamente a quais redes
cada cliente pode se conectar. Voc pode configurar uma nica poltica do LiveUpdate para atender
a todos seus requisitos.
Consulte Para usar Provedores de atualizaes de grupo para distribuir contedo aos clientes
na pgina 632.
Um link na pgina de Status do cliente agora permite aos usurios finais confirmar rpida e
facilmente se o cliente tem o contedo mais atual. O link exibe a caixa de dilogo da verso do
contedo, onde uma nova coluna lista a ltima vez em que o cliente verificou cada tipo de contedo
para atualizaes. Os usurios podem ficar mais seguros de que seu cliente seja atualizado
corretamente e tenha a proteo mais recente.
Sobre os tipos de proteo contra ameaas que o

Symantec Endpoint Protection fornece
Voc precisa de combinaes de todas as tecnologias de proteo para proteger
inteiramente e personalizar a segurana em seu ambiente. O Symantec Endpoint
Protection combina a verificao tradicional, a anlise comportamental, a
preveno contra intruses e a inteligncia da comunidade em um sistema de
segurana superior.
A Tabela 1-2 descreve os tipos de proteo que o produto fornece e seus benefcios.

Tabela 1-2
Tipo de
proteo
Camadas de proteo
Descrio
Proteo contra Proteo contra vrus e spyware protege

vrus e spyware computadores dos vrus e dos riscos segurana
e pode em muitos casos reparar seus efeitos
colaterais. A proteo inclui verificaes em
tempo real dos arquivos e e-mails, alm de
verificaes agendadas e verificaes sob
demanda. As verificaes de vrus e spyware
detectam vrus e os riscos segurana que
podem tornar um computador, assim como uma
rede, vulnervel. Os riscos segurana incluem
spyware, adware e outros arquivos maliciosos.
Consulte Para gerenciar verificaes em
computadores-cliente na pgina 346.
Benefcio
A proteo contra vrus e spyware detecta as
ameaas novas mais cedo e com mais exatido
usando solues no apenas baseadas em
assinaturas e no comportamento, mas tambm
em outras tecnologias.
O Symantec Insight fornece deteco mais
exata e mais rpida de malware para detectar
as ameaas novas e desconhecidas que outras
abordagens no detectam. O Insight
identifica ameaas novas e de dia zero
usando a sabedoria coletiva de milhes de
sistemas em centenas de pases.
O Bloodhound usa a heurstica para detectar
ameaas conhecidas e desconhecidas.
O Auto-Protect verifica arquivos de uma lista
de assinaturas enquanto so lidos ou
gravados no computador-cliente.
49
50

Tipo de
proteo
Descrio
Proteo contra A Proteo contra ameaas rede oferece a

ameaas rede proteo de um firewall e um sistema de
preveno contra intruses, impedindo que
ataques e contedo malicioso atinjam um
computador em que o software-cliente
executado.
Benefcio
O mecanismo de firewall com base em regras

bloqueia ameaas maliciosas para impedir
que prejudiquem o computador.
O IPS verifica o trfego na rede e os arquivos
em busca de indicativos de intruso ou de
tentativas de intruso.
A preveno contra intruso no navegador

O firewall permite ou bloqueia o trfego da rede
verifica os ataques dirigidos s
com base nos vrios critrios que o
vulnerabilidades do navegador.
administrador define. Se o administrador
permitir, os usurios finais podero configurar A proteo universal do download monitora
todos os downloads do navegador e garante
tambm polticas de firewall.
que os downloads no so malware.
O sistema de preveno contra intruses (IPS,
Intrusion Prevention System) analisa todas as
informaes de entrada e de sada para os
padres de dados que so tpicos de um ataque.
Ele detecta e bloqueia trfego e tentativas
maliciosas de ataque de usurios externos contra
o computador-cliente. A preveno de intruses
tambm monitora o trfego de sada e impede a
propagao de worms.
Consulte Para gerenciar a proteo de firewall
na pgina 451.
Consulte Para gerenciar a preveno contra
intruses em seu computador-cliente
na pgina 501.

Tipo de
proteo
Descrio
Benefcio
Proteo
proativa contra
ameaas
A proteo proativa contra ameaas usa o

SONAR para proteger contra vulnerabilidades
do ataque de dia zero em sua rede. As
vulnerabilidades a ataques de dia zero so as
novas vulnerabilidades, ainda no conhecidas
publicamente. As ameaas que exploram estas
vulnerabilidades podem iludir a deteco
baseada em assinaturas, tais como definies de
spyware. Os ataques de dia zero podem ser
usados em ataques direcionados e na propagao
de cdigo malicioso. O SONAR fornece a
proteo comportamental em tempo real
monitorando processos e ameaas quando so
executados.
O SONAR examina programas medida que so

executados e identifica e interrompe o
comportamento malicioso de ameaas novas e
previamente desconhecidas. O SONAR usa a
heurstica, assim como os dados de reputao,
para detectar ameaas emergentes e
desconhecidas.
O controle de aplicativos controla que
aplicativos so permitidos para execuo ou
acesso a recursos do sistema. Controle de
dispositivos gerencia os dispositivos perifricos
que os usurios podem anexar a computadores
desktop.
O controle de dispositivos e aplicativos monitora

e controla o comportamento dos aplicativos em
computadores-cliente e gerencia os dispositivos
de hardware que acessam os
computadores-cliente.
Consulte Para gerenciar o SONAR
na pgina 431.
Consulte Sobre o controle de dispositivos e
aplicativos na pgina 521.
Consulte Configurao do controle de
dispositivos e aplicativos na pgina 524.
O servidor de gerenciamento aplica cada proteo usando uma poltica associada

que transferida por download ao cliente.
A Figura 1-1 mostra as categorias de ameaas que cada tipo de proteo bloqueia.
51
52

Uma viso geral das camadas de proteo
Figura 1-1
Rede da empresa
Internet
Portas dos
fundos
Ataques DoS
Verificaes de
portas
Ataques a
pilhas
Cavalos de
Troia
Worms
Aplicativo
vulnerabilidades
Portas dos fundos
Vulnerabilidades do
do sistema
operacional
Cavalos de Troia
Worms
Arquivo/
processo/
registro
modificaes
Proteo
contra
ameaas
rede
Ameaas internas
Keyloggers
Vrus retrs
Spyware
Ataques
direcionados
Cavalos de Troia
Worms
Ameaas de dia
zero
DNS e host
alteraes em
arquivos
Adware
Portas dos fundos
Ameaas mutantes
Spyware
Cavalos de Troia
Worms
Vrus
Poltica
de firewall
Poltica de
preveno
contra
intruses
Placa de interface de rede
Proteo proativa contra ameaas

Poltica de
controle de
dispositivos e
aplicativos
Poltica de proteo
contra vrus e
spyware(SONAR)
Memria/perifricos
Proteo contra vrus e spyware
Poltica de
proteo contra
vrus e spyware
Sistema de arquivos
Endpoint
Consulte Componentes do Symantec Endpoint Protection na pgina 75.
Proteo de sua rede com o Symantec Endpoint

Protection
Voc protege os computadores em sua rede instalando e gerenciando o Symantec
Endpoint Protection Manager e o cliente do Symantec Endpoint Protection.

Para o Symantec Network Access Control, voc instala o Symantec Endpoint

Protection Manager e o cliente do Symantec Network Access Control.
A Tabela 1-3 esboa as principais tarefas de nvel elevado que voc precisa fazer
para usar o Symantec Endpoint Protection.
Tabela 1-3
Etapas para definir, configurar e gerenciar o Symantec Endpoint

Protection
Tarefa
Descrio
Configurao do Symantec Endpoint Voc pode instalar o cliente Symantec Endpoint

Protection
Protection Manager e Symantec Endpoint Protection
ou o cliente Symantec Network Access Control e
proteger sua rede em algumas simples etapas.
Consulte Para executar o Symantec Endpoint
Protection pela primeira vez na pgina 54.
Gerenciamento do Symantec
Endpoint Protection
O Symantec Endpoint Protection Manager vem com

configuraes e polticas padro, de modo que sua
rede fique protegida imediatamente depois da
instalao. Voc pode modificar essas configuraes
para se adaptarem ao seu ambiente de rede.
Consulte Para gerenciar a proteo em
Manuteno de um ambiente de
rede seguro
Convm executar a manuteno contnua para manter

seu ambiente de rede em execuo sem problemas
no desempenho mximo. Por exemplo, necessrio
fazer backup do banco de dados caso voc precise
executar uma recuperao aps desastres.
Consulte Para manter a segurana de seu ambiente
na pgina 65.
Soluo de problemas do Symantec Se voc tiver problemas com a instalao ou uso do

Endpoint Protection e do Symantec produto, o Symantec Endpoint Protection Manager
Network Access Control
incluir recursos para ajudar a corrigir problemas
comuns, como comunicao servidor-cliente e
epidemias de vrus.
Consulte Soluo de problemas do Symantec
Consulte Componentes do Symantec Endpoint Protection na pgina 75.

Consulte o artigo da Base de conhecimento Top "Best Practices" Articles for
Symantec Endpoint Protection (em ingls).
53
54

Para executar o Symantec Endpoint Protection pela

primeira vez
Voc deve avaliar seus requisitos de segurana e decidir se as configuraes padro
fornecem o equilbrio do desempenho e da segurana de que voc precisa. Alguns
aprimoramentos do desempenho podem ser feitos imediatamente aps a instalao
do Symantec Endpoint Protection Manager.
A Tabela 1-4 relaciona as tarefas que voc dever executar para instalar e proteger
os computadores em sua rede imediatamente.
Tabela 1-4
Ao
Tarefas para instalar e configurar o Symantec Endpoint Protection
Descrio
Planejar a arquitetura de rede Antes de instalar o produto, execute as seguintes tarefas:

Certifique-se de que o computador no qual voc instalar o servidor de
gerenciamento atenda aos requisitos mnimos do sistema.
Para verificar os requisitos do sistema mais atuais, consulte: Release Notes and
System Requirements for all versions of Symantec Endpoint Protection and
Symantec Network Access Control (em ingls)
Se voc instalar ou fizer upgrade do banco de dados do Microsoft SQL Server,
certifique-se de ter as informaes de nome de usurio e senha.
Consulte Sobre as configuraes do SQL Server na pgina 93.
Para redes com mais de 500 clientes, determine os requisitos de dimensionamento.
Voc precisa avaliar diversos fatores para assegurar o bom desempenho da rede
e do banco de dados. Por exemplo, necessrio identificar quantos computadores
precisam da proteo e com que frequncia para agendar atualizaes de contedo.
Para obter mais informaes para ajud-lo a planejar instalaes de mdia a
grande escala, consulte o informe oficial da Symantec, Symantec Endpoint
Protection Sizing and Scalability Best Practices White Paper (em ingls).
Instalar, fazer o upgrade ou

migrar o servidor de
gerenciamento
Independentemente de voc estar instalando o produto pela primeira vez, fazendo

upgrade de uma verso anterior ou migrando de outro produto, necessrio primeiro
instalar o Symantec Endpoint Protection Manager.
Consulte Para instalar o Symantec Endpoint Protection Manager na pgina 99.
Consulte Para fazer upgrade de uma nova verso do Symantec Endpoint Protection
na pgina 168.
Consulte Para migrar do Symantec AntiVirus ou do Symantec Client Security
na pgina 190.

Ao
Descrio
Criar grupos e locais
Voc pode adicionar grupos que contenham computadores com base no nvel de
segurana ou na funo que os computadores executam. Por exemplo, necessrio
colocar computadores com um nvel mais alto de segurana em um grupo ou um
grupo de computadores Mac em outro grupo.
Voc pode usar a seguinte estrutura do grupo como base:
Desktops
Laptops
Servidores
Consulte Como voc pode estruturar grupos na pgina 223.

Consulte Adio de um grupo na pgina 224.
Voc pode migrar grupos existentes do Active Directory quando instalar o Symantec
Endpoint Protection Manager. Se voc estiver executando proteo legada da
Symantec, geralmente far upgrade de configuraes de poltica e de grupo de sua
verso anterior.
Consulte Para importar grupos existentes e computadores de um servidor Active
Directory ou LDAP na pgina 225.
Voc pode aplicar um nvel diferente de segurana para computadores com base em
sua localizao, dentro ou fora da rede da empresa. Para usar esse mtodo, voc criar
locais separados e aplicar polticas de segurana diferentes para cada local. Em
geral, os computadores que se conectam sua rede de fora do firewall precisam ter
um nvel de segurana mais forte do que aqueles que esto dentro do firewall.
Voc pode configurar um local que permita que os computadores mveis que no
esto no escritrio atualizem suas definies automaticamente dos servidores do
Symantec LiveUpdate.
Consulte Como adicionar um local para um grupo na pgina 271.
Consulte O que voc pode fazer no console na pgina 110.
Desativar a herana em
grupos especiais
Por padro, os grupos herdam as configuraes de segurana e de poltica do grupo

pai padro, Minha empresa. Voc deve desativar a herana antes de mudar as
configuraes de poltica para todos os novos grupos que voc criar.
Consulte Como desativar e ativar a herana de um grupo na pgina 233.
55
56

Ao
Descrio
Alterar as configuraes de Voc pode melhorar o desempenho de rede modificando as seguintes configuraes
comunicao para aumentar de comunicao entre cliente e servidor em cada grupo:
o desempenho
Use o modo de instalao pull em vez do modo de envio para controlar quando
os clientes usarem recursos de rede para fazer o download de polticas e de
atualizaes de contedo.
Aumente o intervalo de pulsao e o intervalo da escolha aleatria. Para menos
de 100 clientes por servidor, aumente a pulsao para 15 a 30 minutos. Para 100
a 1.000 clientes, aumente a pulsao para 30 a 60 minutos. Os ambientes maiores
podem precisar de um intervalo de pulsao mais longo.
Aumente o download aleatrio entre uma e trs vezes o intervalo de pulsao.
Consulte Como escolher aleatoriamente downloads do contedo do servidor de
gerenciamento padro ou de um Provedor de atualizaes de grupo na pgina 624.
Consulte Configurao do modo de envio ou de instalao pull para atualizar polticas
e contedo do cliente na pgina 329.
Para obter mais informaes, consulte o Symantec Endpoint Protection Sizing and
Scalability Best Practices White Paper (em ingls).
Ativar a licena do produto
Compre e ative uma licena no prazo de 60 dias aps a instalao do produto.

Consulte Para ativar ou importar sua licena de produto do Symantec Endpoint
Protection ou Symantec Network Access Control 12.1 na pgina 120.
Preparar os computadores
para a instalao do cliente
(opcional)
Se voc implementar o software-cliente remotamente, primeiro modifique as

configuraes de firewall em seus computadores-cliente para permitir a comunicao
entre os computadores e o servidor de gerenciamento.
Consulte Preparao dos sistemas operacionais Windows para implementao
remota na pgina 136.
Consulte Sobre firewalls e portas de comunicao na pgina 137.
Consulte Preparao para a instalao do cliente na pgina 134.

Ao
Descrio
Instalar o software-cliente
usando o Assistente de
Implementao de Cliente
Crie um pacote de instalao do cliente e implemente-o nos computadores-cliente.

Consulte Para implementar clientes usando a instalao remota por envio
na pgina 144.
Consulte Para exportar pacotes de instalao do cliente na pgina 149.
Crie um conjunto de recursos personalizados de instalao do cliente com as seguintes
configuraes:
Use o Modo de computador para a maioria dos ambientes e no o Modo de usurio.
Consulte Para alternar um cliente entre o modo de usurio e o modo de
computador na pgina 251.
Para pacotes de instalao do cliente para estaes de trabalho, selecione a opo
de proteo do verificador de e-mails que se aplica ao servidor de e-mail em seu
ambiente. Por exemplo, se voc usar um servidor de e-mail Microsoft Exchange,
selecione Verificador do Microsoft Outlook.
Consulte Para configurar recursos do pacote de instalao do cliente
na pgina 153.
57
58

Ao
Descrio
Verificar se os computadores No console de gerenciamento, na pgina Clientes > Clientes :

esto listados nos grupos
1 Altere a exibio para Status do cliente para verificar se os computadores-cliente
previstos e se os clientes se
em cada grupo se comunicam com o servidor de gerenciamento.
comunicam com o servidor
Verifique as informaes nas seguintes colunas:
de gerenciamento
A coluna Nome exibe um ponto verde para os clientes que esto conectados
ao servidor de gerenciamento.
Consulte Para determinar se o cliente est conectado no console
na pgina 240.
A coluna ltima alterao do status exibe a hora em que cada cliente efetuou
a ltima comunicao com o servidor de gerenciamento.
A coluna Reinicializao necessria exibe os computadores-cliente que
precisam ser reinicializados para ativar a proteo.
Consulte Para reiniciar computadores-cliente na pgina 156.
A coluna Nmero de srie da poltica exibe o nmero de srie mais atual da
poltica. A poltica pode no ser atualizada por uma ou duas pulsaes. Voc
poder manualmente atualizar a poltica no cliente se a poltica no for
atualizada imediatamente.
Consulte Para usar o nmero de srie da poltica para verificar a
comunicao cliente-servidor na pgina 331.
Consulte Para atualizar manualmente polticas no cliente na pgina 332.
Altere para a exibio Tecnologia de proteo e assegura-se de que o status

esteja definido como Ativado nas colunas do meio e incluindo Status do antivrus
e Status da Proteo contra adulteraes.
Consulte Exibio do status de proteo de clientes e computadores-cliente
na pgina 242.
No cliente, verifique se o cliente est conectado a um servidor e se o nmero de

srie da poltica o mais atual.
Consulte Para verificar a conexo ao servidor de gerenciamento no
computador-cliente na pgina 823.
Consulte Soluo de problemas de comunicao entre o servidor de gerenciamento

e o cliente na pgina 821.
A Tabela 1-5 exibe as tarefas a serem executadas depois que voc instalar e
configurar o produto para avaliar se os computadores-cliente tm o nvel correto
de proteo.

Tarefas para executar duas semanas depois da instalao
Tabela 1-5
Ao
Descrio
Modificar a poltica de
Proteo contra vrus e
spyware
Mude as seguintes configuraes padro de verificao:

Se voc criar um grupo para servidores, mude a hora da verificao agendada
para um horrio em que a maioria dos usurios estiver off-line.
Consulte Para configurar verificaes agendadas executadas em computadores
Windows na pgina 366.
Ative o Rastreador de riscos no Auto-Protect.
Para obter mais informaes, consulte o artigo da Base de conhecimento do Suporte
tcnico da Symantec, What is Risk Tracer? (em ingls)
O Rastreador de riscos tem os seguintes pr-requisitos:
A Proteo contra ameaas rede est ativada.
Consulte Para executar comandos no computador-cliente atravs do console
na pgina 250.
O compartilhamento de arquivos e impressoras do Windows est ativado.
Consulte Para personalizar o Auto-Protect para clientes Windows na pgina 408.

Modificar a poltica de
firewall para o grupo de
computadores remotos e o
grupo de servidores
Aumente a segurana de computadores remotos certificando-se de que as seguintes

regras padro de firewall para locais externos estejam ativadas:
Bloquearocompartilhamentodearquivoslocaisparacomputadoresexternos
Bloquear a administrao remota
Diminua a segurana do grupo de servidores certificando-se de que a seguinte

regra de firewall esteja ativada: Permitir o compartilhamento de arquivos locais
para computadores locais. Esta regra de firewall garante que apenas o trfego
local esteja permitido.
Consulte Personalizao das regras de firewall na pgina 490.

Consulte Gerenciamento de locais para clientes remotos na pgina 267.
59
60

Ao
Descrio
Excluir aplicativos e arquivos Voc pode aumentar o desempenho configurando o cliente para que no verifique
de serem verificados
determinadas pastas e arquivos. Por exemplo, o cliente verificar o servidor de e-mail
sempre que uma verificao agendada for executada. Voc deve excluir arquivos de
programas e diretrios do servidor de e-mail da verificao.
Para obter mais informaes, consulte o artigo da base de conhecimento: About the
automatic exclusion of files and folders for Microsoft Exchange server and Symantec
products (em ingls).
Voc pode melhorar o desempenho excluindo as pastas e os arquivos que sabidamente
causaro problemas se forem verificados. Por exemplo, o Symantec Endpoint
Protection no deve verificar os arquivos Microsoft SQL Server proprietrios. Voc
deve adicionar uma exceo que impea a verificao de pastas que contenham
arquivos do banco de dados do Microsoft SQL Server. Estas excees melhoram o
desempenho e evitam que os arquivos sejam corrompidos ou bloqueados quando o
Microsoft SQL Server precisar us-los.
Para obter mais informaes, consulte o artigo da base de conhecimento: How to
exclude MS SQL files and folders using Centralized Exceptions (em ingls).
Voc pode tambm excluir arquivos pela extenso para verificaes do Auto-Protect
em computadores Windows.
Consulte Criao de excees para o Symantec Endpoint Protection na pgina 576.
Consulte Para personalizar o Auto-Protect para clientes Mac na pgina 410.
Executar um relatrio rpido Execute os relatrios rpidos e agendados para considerar se os computadores-cliente
e um agendado aps a
tm o nvel de segurana correto.
verificao agendada
Consulte Sobre os tipos dos relatrios na pgina 670.
Consulte Execuo e personalizao de relatrios rpidos na pgina 672.
Consulte Criao de relatrios agendados na pgina 676.
Selecionar para assegurar-se Reveja monitores, logs e o status dos computadores-cliente para certificar-se de que
de que as verificaes
voc tenha o nvel correto de proteo para cada grupo.
agendadas obtenham xito e
Consulte Monitorao da proteo de endpoints na pgina 657.
os clientes operem como
esperado

Ao
Descrio
Configurar as revises do
contedo disponveis para
clientes a fim de reduzir a
largura de banda
Defina o nmero de revises de contedo armazenadas no servidor de gerenciamento

para reduzir o uso da largura de banda para clientes. Quanto maior for o nmero de
revises de contedo armazenadas pelo cliente, maior ser a probabilidade de fazer
o download de um pacote incremental menor. Contudo, voc deve equilibrar o uso
da largura de banda com a quantidade de espao no disco rgido.
Tipicamente, trs atualizaes de contedo so fornecidas por dia. Voc configura
o nmero de atualizaes retidas no servidor. Geralmente, convm armazenar
apenas as atualizaes de contedo mais recentes. Um cliente que no tiver se
conectado durante o tempo em que o servidor acumula o nmero ajustado de
atualizaes, ter que fazer o download de todo o pacote do contedo. Um pacote
inteiro normalmente maior de 100 MB. Uma atualizao incremental tem entre
1 MB e 2 MB. Voc define o nmero de atualizaes armazenadas para minimizar
a frequncia com que um cliente dever fazer o download de um pacote inteiro
de atualizao.
Em regra geral, 1 reviso de contedo usa aproximadamente 1,4 GB de espao em
disco no Symantec Endpoint Protection Manager. Quando o LiveUpdate do servidor
de gerenciamento for definido com o padro de a cada quatro horas, 10 revises
de contedo cobriro no mnimo trs dias.
Para obter mais informaes sobre como calcular os requisitos de armazenamento

e de largura de banda, consulte o Symantec Endpoint Protection Sizing and Scalability
Best Practices White Paper.
Configurar notificaes para Crie uma notificao para Evento com risco nico e modificar a notificao para
uma nica epidemia de risco Epidemia de risco.
e quando um risco novo for
Para estas notificaes, a Symantec recomenda que voc faa o seguinte:
detectado
1 Mude Gravidade do risco para Categoria 1 (muito baixo e superior) para evitar
receber e-mails sobre cookies de rastreamento.
Mantenha a configurao de Agregao em Automtico.
As notificaes so essenciais para manter um ambiente seguro e tambm podem

economizar tempo.
Consulte Configurao de notificaes do administrador na pgina 699.
Consulte Gerenciamento de notificaes na pgina 689.
Aumentar o tempo permitido O console o desconecta aps uma hora. Voc pode aumentar este perodo de tempo.
pelo console para manter seu
Consulte Aumento do perodo de tempo para permanecer conectado ao console
logon
na pgina 110.
Consulte Proteo de sua rede com o Symantec Endpoint Protection na pgina 52.
Consulte o artigo da Base de conhecimento Top "Best Practices" Articles for
Symantec Endpoint Protection (em ingls).
61
62


Voc usa um nico console de gerenciamento para gerenciar a proteo nos
computadores-cliente. Embora os computadores-cliente estejam protegidos
imediatamente, talvez seja preciso modificar a proteo para se adaptar s suas
necessidades.
A Tabela 1-6 esboa as tarefas que voc poder executa se precisar ajustar as
configuraes padro.
Tabela 1-6
Tarefa
Modificao da proteo no computador-cliente
Descrio
Organizao e gerenciamento Voc aplica a proteo aos computadores-cliente com base no grupo em que voc
de grupos
coloca um computador. Os computadores em cada grupo tm o mesmo nvel de
segurana.
Voc pode importar a estrutura do grupo existente de sua empresa. Voc tambm
pode criar grupos novos.
Para determinar quais grupos sero adicionados, considere primeiro a estrutura da
rede. Ou, se voc criar uma nova estrutura de grupo, baseie sua estrutura de grupo
na funo, no cargo,na geografia ou em uma combinao de critrios. Por exemplo,
considere o nmero de computadores no site ou se os computadores so do mesmo
tipo, como computadores Windows ou Mac.
Consulte Para gerenciar grupos de clientes na pgina 221.
Consulte Para gerenciar computadores-cliente na pgina 238.
Ao adicionar locais a um grupo, ser possvel mudar a poltica que atribuda a um
computador-cliente com base em onde o computador est localizado. Por exemplo,
recomendvel uma poltica diferente que seja aplicada a um computador-cliente
em um escritrio, uma residncia ou em outro local.

Tarefa
Descrio
Modificao da proteo
O Symantec Endpoint Protection Manager inclui as polticas padro para cada tipo
de proteo. As polticas combinam a necessidade de proteo e de desempenho.
Prontas para uso, as polticas padro fornecem configuraes apropriadas para
grandes e pequenas empresas. Convm ajustar as configuraes com o passar do
tempo com base nas necessidades de sua empresa.
Consulte Para gerenciar verificaes em computadores-cliente na pgina 346.
Consulte Para gerenciar a proteo de firewall na pgina 451.
Consulte Para gerenciar a preveno contra intruses em seu computador-cliente
na pgina 501.
Consulte Configurao do controle de dispositivos e aplicativos na pgina 524.
Configurao da proteo em O Symantec Endpoint Protection fornece recursos que melhoram o desempenho em
ambientes virtuais
ambientes virtuais.
Consulte Para usar o Symantec Endpoint Protection nas infraestruturas virtuais
na pgina 705.
Gerenciamento de polticas
As polticas de segurana devem ser aplicadas a um grupo antes que os clientes

apliquem as polticas ao computador-cliente. Voc pode criar polticas das quais todos
os grupos compartilham ou que se aplicam a apenas um grupo. O Symantec Endpoint
Protection Manager facilita a adio e modificao de polticas para todas as
necessidades de segurana de sua empresa.
Consulte Os tipos de polticas de segurana na pgina 313.
Consulte Para executar as tarefas comuns a todas as polticas de segurana
na pgina 310.
Agendamento e
gerenciamento de
atualizaes
Os computadores-cliente precisam receber atualizaes peridicas ao contedo de

proteo como definies de vrus, assinaturas de preveno contra intruses e
software do produto. Voc pode configurar o mtodo, o tipo de contedo e o
agendamento que o Symantec Endpoint Protection usa para fazer download do
contedo para os computadores-cliente.
Consulte Para gerenciar atualizaes de contedo na pgina 592.
Controle do acesso de
usurios
Voc pode configurar o cliente para exibir diferentes recursos de clientes e recursos
de proteo. Como voc configura estes recursos depende de quanto controle voc
deseja que os usurios do computador-cliente em cada grupo tenham.
Consulte Alterao do nvel de controle do usurio na pgina 256.
63
64

Tarefa
Descrio
Para gerenciar a
implementao do cliente
A Symantec recomenda que voc analise quais computadores precisam de cada tipo
de segurana. Se voc no implementou o pacote de instalao do cliente no momento
da instalao do Symantec Endpoint Protection Manager, poder implementar o
software-cliente mais tarde.
Voc tem a opo de procurar computadores desprotegidos.
Monitorao e resposta para Voc usa relatrios e logs para exibir o status de segurana dos computadores-cliente.
mudanas de status
Os relatrios e os logs ajudam-no a controlar epidemias de vrus e a aumentar a
segurana e o desempenho da rede de sua empresa.
Voc tambm pode configurar notificaes para alertar administradores e usurios
de computadores sobre problemas de segurana potenciais.
Otimizao do Symantec
Endpoint Protection
Voc pode configurar o Symantec Endpoint Protection para melhorar o desempenho

no servidor de gerenciamento e nos computadores-cliente.
Consulte Aprimoramento de desempenho do cliente e do servidor na pgina 767.
Gerenciamento de domnios Os domnios separam deveres administrativos de um conjunto de grupos. Voc usa
e administradores
domnios para gerenciar os computadores-cliente que esto localizados em empresas
ou em unidades de negcios diferentes.
Gerenciamento de
administradores
Voc pode adicionar contas de administrador de modo que administradores diferentes
tenham nveis de controle diferentes sobre gerenciamento de grupos, polticas,
comandos e relatrios no Symantec Endpoint Protection Manager.
Consulte Para gerenciar domnios e contas de administrador na pgina 287.
Gerenciamento de
conformidade do endpoint
Voc pode instalar e gerenciar o Symantec Network Access Control para assegurar-se
de que um computador-cliente esteja compatvel com a poltica de segurana da
empresa. Se o computador for compatvel, ele ter permisso para se conectar rede
da empresa. Se o computador-cliente no for compatvel, o computador dever
primeiramente obter e executar o software de que precisa para corrigir
automaticamente falhas de conformidade antes de poder se conectar rede.
Consulte Sobre os tipos de imposio no Symantec Network Access Control
na pgina 844.
Consulte Para implementar o Symantec Network Access Control na pgina 863.

Consulte Para executar o Symantec Endpoint Protection pela primeira vez

na pgina 54.

Aps ter protegido sua rede, convm modificar a proteo e a infraestrutura para
aumentar a segurana ou melhorar o desempenho.
Talvez seja preciso adaptar-se a mudanas na arquitetura, tais como a adio de
um servidor de gerenciamento novo ou o fornecimento de proteo para
computadores-cliente adicionais.
Tabela 1-7
Tarefas que voc pode executar para manter a segurana de sua

rede
Tarefa
Descrio
Verificao do status de
segurana de sua rede
Voc deve verificar periodicamente a home page para exibir o status de segurana
geral de sua rede. Voc pode usar as notificaes, os relatrios e os logs para fornecer
os detalhes sobre o status de segurana.
Manuteno do banco de
dados
O Symantec Endpoint Protection Manager suporta o banco de dados interno e um

banco de dados Microsoft SQL. O banco de dados armazena informaes sobre as
configuraes que voc define no servidor de gerenciamento, como as polticas, os
grupos, os pacotes de instalao do cliente e as entradas de log.
Se a largura de banda ou o espao no disco rgido for um problema, voc poder
minimizar a quantidade de dados armazenados e executar outras tarefas para
aumentar o desempenho do banco de dados. Em caso de corrupo de dados ou falha
de hardware, necessrio fazer backup do banco de dados regularmente.
Consulte Manuteno do banco de dados na pgina 781.
Manuteno de licenas
Voc pode verificar se sua licena est quase expirando ou se tem muitos clientes
implementados, alm do que sua licena cobre.
Consulte Licenciamento do Symantec Endpoint Protection na pgina 116.
Preparao para a
recuperao aps desastres
Para ajudar a abrandar um exemplo de corrupo de dados ou de uma falha de

hardware, necessrio fazer backup do banco de dados regularmente e fazer uma
cpia de arquivos especficos do servidor de gerenciamento.
Consulte Para preparar a recuperao aps desastres na pgina 805.
65
66

Tarefa
Descrio
Reconfigurao de servidores medida que voc adiciona mais computadores-cliente, talvez seja preciso instalar
servidores de gerenciamento adicionais e configur-los. Talvez seja preciso configurar
o failover e o balanceamento de carga. Voc tambm pode precisar alternar de um
banco de dados interno para um banco de dados Microsoft SQL.
Consulte Para gerenciar os servidores do Symantec Endpoint Protection Manager
e de terceiros na pgina 775.
Consulte Estabelecimento de comunicao entre o servidor de gerenciamento e os
servidores de e-mail na pgina 696.
Consulte Especificao de um servidor proxy que os clientes usem para se comunicar
com o Symantec LiveUpdate ou um servidor interno do LiveUpdate na pgina 615.
Consulte Para configurar o Symantec Endpoint Protection Manager para se conectar
a um servidor proxy a fim de acessar a Internet e fazer download de contedo do
Symantec LiveUpdate na pgina 615.
Configurao do failover e
balanceamento de carga
Em um site, voc dever configurar o failover para manter a comunicao quando

os clientes no puderem se comunicar com um servidor de gerenciamento. Voc
configura o balanceamento de carga para distribuir o gerenciamento de clientes entre
servidores de gerenciamento.
Consulte Configurao do failover e balanceamento de carga na pgina 797.
Soluo de problemas do Symantec Endpoint

Protection
A Tabela 1-8 exibe os problemas mais comuns que voc poder encontrar quando
instalar e usar o Symantec Endpoint Protection.
Tabela 1-8
Problemas comuns que voc pode solucionar
Tarefa
Descrio
Correo de problemas de
instalao
Voc pode fazer o download e executar a ferramenta de suporte do Symantec Endpoint

Protection para verificar se seus computadores esto prontos para instalao. A
ferramenta de suporte fornecida com o servidor de gerenciamento e o cliente. Ela
est tambm disponvel no site de Suporte da Symantec.
Consulte Para solucionar problemas do computador com a ferramenta de suporte
do Symantec Endpoint Protection na pgina 819.
Consulte Identificao do ponto de falha de uma instalao na pgina 820.

Tarefa
Descrio
Controle de epidemias de
vrus
Voc pode impedir que ameaas ataquem os computadores em sua rede.

Consulte Para impedir e controlar ataques de vrus e spyware nos
Consulte Correo de riscos nos computadores de sua rede na pgina 342.
Se uma ameaa atacar um computador-cliente, ser possvel identificar e responder
a ela. Consulte o artigo da Base de conhecimento a seguir:
Best practices for troubleshooting viruses on a network (em ingls).
Soluo de problemas da
atualizao de contedo
Se as definies de vrus mais recentes no forem atualizadas corretamente no

Symantec Endpoint Protection Manager ou nos clientes, consulte o seguinte artigo
da Base de conhecimento:
Symantec Endpoint Protection: soluo de problemas do LiveUpdate.
Correo de erros de
comunicao
Os canais de comunicao entre todos os componentes do Symantec Endpoint

Protection devem estar abertos. Estes canais incluem servidor para cliente, servidor
para banco de dados e servidor e cliente para o componente da entrega do contedo,
tal como o LiveUpdate.
e o console ou o banco de dados na pgina 830.
Consulte o artigo da Base de conhecimento a seguir:
Troubleshooting Symantec Endpoint Protection Manager communication problems
(em ingls).
Execuo da recuperao
aps desastres
Em caso de corrupo do banco de dados ou de falha no hardware, ser possvel

restaurar a captura de imagem mais recente do banco de dados se voc tiver um
arquivo de backup do banco de dados.
Consulte Para executar a recuperao aps desastres na pgina 813.
Reduo do espao no banco Voc pode tornar mais espao disponvel no banco de dados se seu tamanho estiver
de dados
demasiado grande.
Soluo de problemas de
gerao de relatrios
Voc pode resolver vrios problemas de relatrios e logs.

Consulte Soluo de problemas de gerao de relatrios na pgina 835.
Soluo de problemas com o Voc pode resolver vrios problemas do appliance Enforcer.
appliance Enforcer
Consulte Soluo de problemas de um appliance Enforcer na pgina 1159.
67
68

Seo
Instalao do Symantec
Endpoint Protection
Captulo 2. Para planejar a instalao
Captulo 3. Instalao do Symantec Endpoint Protection Manager
Captulo 4. Para gerenciar licenas do produto
Captulo 5. Para instalar o cliente do Symantec Endpoint Protection
Captulo 6. Para fazer o upgrade do Symantec Endpoint Protection
Captulo 7. Para migrar para o Symantec Endpoint Protection
Captulo 8. Para gerenciar sites e replicao
Captulo 9. Para gerenciar o Symantec Endpoint Protection no Protection

Center
70
Captulo
Para planejar a instalao

Componentes do Symantec Endpoint Protection
Componentes do Symantec Network Access Control
Requisitos do sistema para o Symantec Endpoint Protection
Requisitos da licena do produto
Produtos de virtualizao e instalaes virtuais suportados
Sobre a compatibilidade do Symantec Endpoint Protection Manager com outros

produtos
Consideraes sobre a arquitetura de rede
Sobre como escolher um tipo do banco de dados
Sobre as configuraes do banco de dados interno
Sobre as configuraes do SQL Server
Sobre os modos de autenticao do banco de dados do SQL Server

A Tabela 2-1 resume as etapas de alto nvel para instalar o Symantec Endpoint
Protection.
72

Tabela 2-1
Planejamento da instalao
Etapa
Ao
Descrio
Etapa 1
Planejar a arquitetura de Entenda os requisitos de dimensionamento de sua rede. Alm de identificar os

rede
endpoints que requerem proteo e agendar atualizaes, outras variveis
devem ser avaliadas para assegurar o bom desempenho da rede e do banco de
dados.
Para obter informaes que o ajudem a planejar instalaes de mdio a grande
porte, consulte o informe oficial da Symantec: Recomendaes para o
dimensionamento e a escalabilidade do Symantec Endpoint Protection (em
ingls)
Consulte Consideraes sobre a arquitetura de rede na pgina 89.
Etapa 2
Verificar e comprar uma Entenda os requisitos de licenciamento do produto. Compre uma licena no
licena
prazo de 60 dias da instalao do produto.
Consulte Requisitos da licena do produto na pgina 85.
Etapa 3
Verificar os requisitos do Certifique-se de que os computadores nos quais voc instalar o cliente e o
sistema
software do servidor de gerenciamento estejam em conformidade com os
requisitos mnimos do sistema.
Consulte o artigo da base de conhecimento: Release Notes and System
Requirements for all versions of Symantec Endpoint Protection and Symantec
Network Access Control (em ingls)

Etapa
Ao
Descrio
Etapa 4
Preparar os
computadores para a
instalao
Para instalar o servidor e os clientes de gerenciamento, voc dever estar

conectado com uma conta que conceda acesso com direitos de administrador
local. Desinstale outro software de segurana de seus computadores
configurando o pacote de instalao do cliente do Symantec Endpoint Protection
para desinstal-lo automaticamente. Voc pode tambm manualmente
desinstalar outros softwares de segurana. Alguns programas podem ter rotinas
especiais de desinstalao: Consulte a documentao para o software de
terceiros.
Certifique-se de que o acesso com direitos de administrador a sistemas remotos
esteja disponvel. Abra os firewalls (inclusive portas e protocolos) para permitir
a implementao remota entre o Symantec Endpoint Protection Manager e os
computadores endpoint.
Consulte Para configurar pacotes do cliente para desinstalar software de
segurana de terceiros existente na pgina 154.
73
74

Etapa
Ao
Descrio
Etapa 5
Preparar para instalar o Decidir sobre os seguintes itens antes da instalao do servidor de
servidor de
gerenciamento:
gerenciamento
Uma senha para fazer login no console de gerenciamento
Um endereo de e-mail no qual voc pode receber relatrios e notificaes
importantes
Uma senha de criptografia que possa ser exigida dependendo das opes
que voc selecionar durante a instalao
Se voc decidir usar o banco de dados do Microsoft SQL Server, a instalao

exigir etapas adicionais. Estas etapas incluem, mas no se limitam a, configurar
ou criar uma instncia de banco de dados configurada para usar um modo misto
ou o modo de autenticao do Windows. Voc tambm precisar fornecer as
credenciais de administrao do servidor de banco de dados para criar o banco
de dados e seu usurio. Estes so especificamente para o uso com o servidor de
gerenciamento. Ser necessrio criar uma senha para o usurio do banco de
dados e um nome de usurio se voc no quiser aceitar o padro.
Estas informaes devem estar disponveis e as tarefas de configurao,
concludas, para que a instalao do servidor de gerenciamento possa ser
iniciada.
Consulte Para configurar o servidor de gerenciamento durante a instalao
na pgina 101.
Consulte Sobre as configuraes do banco de dados interno na pgina 91.
Etapa 6
Instalar o servidor de
gerenciamento
Instale o Symantec Endpoint Protection Manager.

Se a rede que suporta a sua empresa for pequena e estiver em um local
geogrfico, voc precisar instalar apenas o Symantec Endpoint Protection
Manager. Se sua rede estiver dispersa geograficamente, poder ser necessrio
instalar servidores de gerenciamento adicionais para fins de balanceamento
de carga e de distribuio da largura de banda.
Se sua rede for muito grande, ser possvel instalar sites adicionais com bancos
de dados adicionais e configur-los para compartilhar dados com replicao.
Para fornecer redundncia adicional, possvel instalar sites adicionais para
suporte ao failover ou ao balanceamento de carga. O failover e o balanceamento
de carga apenas podem ser usados com bancos de dados do Microsoft SQL
Server.

Etapa
Ao
Descrio
Etapa 7
Preparar e implementar Determine qual mtodo funcionaria melhor em seu ambiente para implementar
o software-cliente
o software-cliente em seus computadores.
Instale o cliente do Symantec Endpoint Protection em seus computadores
endpoint.
Nota: A Symantec recomenda instalar tambm o cliente no computador que

hospeda o Symantec Endpoint Protection Manager.
Consulte Sobre mtodos de implementao do cliente na pgina 140.
Etapa 8
Tarefas ps-instalao
Verificar se seus computadores-cliente esto online e protegidos.

Familiarize-se com os recursos e funes do console de gerenciamento do
Symantec Endpoint Protection e realize tarefas de configurao e otimizao.
na pgina 54.

A Tabela 2-2 relaciona os componentes do produto e descreve suas funes.
Tabela 2-2
Componentes do produto
Componente
Descrio
Symantec Endpoint
Protection Manager
O Symantec Endpoint Protection Manager um servidor de gerenciamento que

gerencia os computadores-cliente que se conectam rede de sua empresa.
O Symantec Endpoint Protection Manager inclui os seguintes componentes:
O software do servidor de gerenciamento oferece uma comunicao segura entre
os computadores-cliente e o console.
O console a interface do servidor de gerenciamento. O software do console
coordena e gerencia as polticas de segurana, os computadores-cliente, os
relatrios, os logs, as funes e o acesso, as funes administrativas e a segurana.
Voc pode tambm instalar um console remoto e us-lo para fazer logon no servidor
de gerenciamento em qualquer computador com conexo de rede.

75
76

Componente
Descrio
Banco de dados
O banco de dados armazena eventos e polticas de segurana. Voc instala o banco

de dados incorporado no computador que hospeda o Symantec Endpoint Protection
Manager.
Voc pode tambm instalar separadamente o banco de dados do Microsoft SQL Server
para us-lo em vez do banco de dados incorporado.
Consulte Sobre como escolher um tipo do banco de dados na pgina 90.
Cliente do Symantec
Endpoint Protection
O cliente protege os computadores com verificaes de vrus e spyware, SONAR,

Download Insight, um firewall, um sistema de preveno contra intruses e outras
tecnologias de proteo. Ele executado nos servidores, nos desktops e nos
computadores portteis que voc deseja proteger.
O cliente do Mac do Symantec Endpoint Protection protege os computadores com
verificaes de vrus e spyware.
Para obter mais informaes sobre como usar o cliente, consulte o Guia do Cliente do
Symantec Endpoint Protection e do Symantec Network Access Control.
Consulte Sobre o Symantec Endpoint Protection na pgina 43.
Symantec Protection Center O Symantec Protection Center permite integrar consoles de gerenciamento de vrios
(opcional)
produtos do Symantec Security suportados em um nico ambiente de gerenciamento.
O Symantec Endpoint Protection integrado ao Protection Center por meio de uma
srie de servios Web.
Voc faz o download e instala a verso 2 do Protection Center separadamente.
Consulte Sobre o Symantec Endpoint Protection e o Protection Center na pgina 213.
Consulte o Guia de Introduo ao Symantec Protection Center 2.0
LiveUpdate Administrator
(opcional)
O LiveUpdate Administrator faz o download de definies, assinaturas e atualizaes

do produto atravs do Servidor do Symantec LiveUpdate e distribui as atualizaes
aos computadores-cliente.
Para obter mais informaes, consulte o Guia do Usurio do Symantec LiveUpdate
Administrator.
Quarentena central
(opcional)
A Quarentena central recebe arquivos suspeitos e itens infectados no reparados dos

clientes do Symantec Endpoint Protection. A Quarentena central encaminha uma
amostra ao Symantec Security Response, que analisa a amostra. Se uma ameaa
nova, o Symantec Security Response produz atualizaes de segurana.
Para obter mais informaes, consulte o Guia de Implementao do Symantec Central
Quarantine.
Consulte Componentes do Symantec Network Access Control na pgina 77.



A Tabela 2-3 relaciona os componentes do produto e descreve suas funes.
Tabela 2-3
Componentes do produto Symantec Network Access Control
Componente
Descrio
Symantec Endpoint
Protection Manager
O Symantec Endpoint Protection Manager um servidor de gerenciamento que

gerencia os computadores-cliente que se conectam rede de sua empresa.
O Symantec Endpoint Protection Manager inclui os seguintes softwares:
O software do servidor de gerenciamento oferece uma comunicao segura entre
os computadores-cliente e o console.
O console a interface do servidor de gerenciamento. O software do console
coordena e gerencia as polticas de segurana, os computadores-cliente, os
relatrios, os logs, as funes e o acesso, as funes administrativas e a segurana.
Voc pode tambm instalar um console remoto e us-lo para fazer logon no servidor
de gerenciamento em qualquer computador com conexo de rede.

Banco de dados
O banco de dados armazena eventos e polticas de segurana. Voc instala o banco

de dados incorporado no computador que hospeda o Symantec Endpoint Protection
Manager.
Voc pode tambm instalar separadamente o banco de dados do Microsoft SQL Server
para us-lo em vez do banco de dados incorporado.
Cliente do Symantec Network O cliente do Symantec Network Access Control aplica a conformidade com as polticas
Access Control
de segurana nos computadores-cliente usando as verificaes de integridade do host
e os recursos de autoimposio. O cliente relata seu status de conformidade com a
integridade do host a um Symantec Enforcer.
Para obter mais informaes sobre a utilizao do cliente, consulte o Guia do cliente
do Symantec Endpoint Protection e do Symantec Network Access Control.
Consulte Sobre o Symantec Network Access Control na pgina 844.
77
78

Componente
Descrio
Symantec Protection Center O Symantec Protection Center permite integrar consoles de gerenciamento de vrios
produtos do Symantec Security suportados em um nico ambiente de gerenciamento.
O Symantec Endpoint Protection integrado ao Protection Center por meio de uma
srie de servios Web.
Voc faz o download e instala a verso 2 do Protection Center separadamente.
Consulte Sobre o Symantec Endpoint Protection e o Protection Center na pgina 213.
Administrador do
LiveUpdate (opcional)
O LiveUpdate Administrator faz o download de definies, assinaturas e atualizaes

do produto atravs do Servidor do Symantec LiveUpdate e distribui as atualizaes
Para obter mais informaes, consulte o Guia do Usurio do Symantec LiveUpdate
Administrator.
Symantec Enforcer (opcional) O Enforcer certifica-se de que os clientes que tentarem se conectar rede atendam
s polticas de segurana configuradas. Voc pode restringir computadores no
compatveis a segmentos especficos da rede para correo e pode proibir
completamente o acesso aos computadores que no estiverem em conformidade.
O Symantec Network Access Control inclui os seguintes tipos de Enforcers:
O appliance Gateway Enforcer fornece imposio in-line em pontos de obstruo
da rede.
O appliance LAN Enforcer 802.1x fornece uma abordagem baseada em padres
fora de banda para redes LAN e sem fio.
O Integrated Enforcer DHCP fornece uma abordagem baseada em DHCP para
redes LAN e sem fio em toda a infraestrutura.
O Microsoft Network Access Protection Integrated Enforcer fornece uma
abordagem com base no Microsoft NAP para redes sem fio e LAN.
Consulte About the LAN Enforcer appliance installation na pgina 849.

Consulte Sobre o Symantec Network Access Control Integrated Enforcer for Microsoft
DHCP Servers na pgina 1065.
Consulte Sobre o Symantec Network Access Control Integrated Enforcer for Microsoft
Network Access Protection na pgina 1065.
Clientes sob demanda do
Symantec Network Access
Control para Windows e
Macintosh (opcional)
Os clientes sob demanda so os clientes temporrios que voc fornece aos usurios
quando eles no esto autorizados a acessar sua rede. Os computadores-cliente no
autorizados no tm o software compatvel com sua poltica de segurana. Assim que
o Enforcer tiver instalado um cliente sob demanda, ele se conectar temporariamente
a uma rede corporativa como convidado.
Consulte Sobre os clientes do Symantec Network Access Control On-Demand
na pgina 1132.

Requisitos do sistema para o Symantec Endpoint

Protection
Em geral, os requisitos do sistema para o Symantec Endpoint Protection Manager
e para os clientes so os mesmos dos sistemas operacionais suportados.
A Tabela 2-4 exibe os requisitos mnimos para o Symantec Endpoint Protection
Manager.
A Tabela 2-5 exibe os requisitos mnimos para o cliente do Symantec Endpoint
Protection.
A Tabela 2-6 exibe os requisitos mnimos para o cliente do Symantec Network
Access Control.
A Tabela 2-7 exibe os requisitos mnimos para o cliente do Symantec Network
Access Control sob demanda.
Tabela 2-4
Requisitos do sistema do Symantec Endpoint Protection Manager
Componente
Requisitos
Processador
Processador de 32 bits: Intel Pentium III de 1 GHz ou mnimo

equivalente (Intel Pentium 4 ou equivalente recomendado)
Processador de 64 bits: Pentium 4 de 2 GHz com suporte a x86-64
ou mnimo equivalente
Nota: Processadores Intel Itanium IA-64 no so suportados.

RAM fsica
1 GB de RAM para sistemas operacionais de 32 bits, 2 GB de RAM

para sistemas operacionais de 64 bits ou superiores, se solicitado
pelo sistema operacional
Unidade de disco
rgido
4 GB ou mais de espao livre; mais 4 GB para o banco de dados

localmente instalado.
Vdeo
800 x 600
79
80

Componente
Requisitos
Sistema operacional Windows XP (de 32 bits, SP2 ou superior; de 64 bits, todo o SPs;
todas as edies exceto Home)
Windows 7 (32 bits, 64 bits, RTM e SP1; todas as edies, exceto
Home)
Windows 8 (32 bits, 64 bits)
Navegador da Web
Windows Server 2003 (32 bits, 64 bits, R2, SP1 ou superior)
Windows Server 2008 (32 bits, 64 bits, R2, RTM, SP1 e SP2)
Windows Server 2012
Windows Small Business Server 2003 (32 bits)
Windows Small Business Server 2011 (de 64 bits)
Windows Essential Business Server 2008 (64 bits)
Microsoft Internet Explorer 7, 8, 9, 10
Mozilla Firefox
Google Chrome
Nota: Esta verso do Symantec Endpoint Protection Manager pode gerenciar

clientes anteriores verso 12.1, independentemente do sistema operacional do
cliente.
O Symantec Endpoint Protection Manager inclui um banco de dados interno. Voc
tambm pode escolher uma das seguintes verses do Microsoft SQL Server:
SQL Server 2005, SP4
SQL Server 2008
SQL Server 2008 R2
SQL Server 2012
Nota: Se voc instalar o Symantec Endpoint Protection Manager e o banco de

dados SQL no mesmo computador, recomenda-se no mnimo 4 GB de RAM.

Tabela 2-5
Requisitos do sistema de clientes Windows e Mac para o Symantec

Endpoint Protection
Componente
Requisitos
Processador
RAM fsica
Windows: 512 MB de RAM (1 GB recomendado) ou mais se exigido

pelo sistema operacional
Processador de 32 bits para Windows: Intel Pentium III de 1 GHz

ou mnimo equivalente (Intel Pentium 4 ou equivalente
recomendado)
Processador de 32 bits para Mac: Intel Core Solo, Intel Core Duo.
Os processadores PowerPC no so suportados.
Processador de 64 bits para Windows: Pentium 4 de 2 GHz com
suporte a x86-64 ou mnimo equivalente. Os processadores
Itanium no so suportados.
Processador de 64 bits para Mac: Intel Core 2 Duo, Intel Quad-Core
Xeon
Mac: 1 GB de RAM para 10.6; 2 GB para 10.7 e 10.8

Unidade de disco
rgido
Windows: 850 MB de espao disponvel em disco para a instalao;

necessrio espao adicional para contedo e logs
Mac: 500 MB de espao disponvel no disco rgido para a instalao
Nota: Os requisitos de espao so baseados em sistemas de arquivos

NTFS.
Vdeo
800 x 600
Sistema operacional Windows XP Home ou Professional (32 bits, SP2 ou superior; 64

bits, todos os SPs)
Windows XP Embedded (SP2 e posterior)
Windows Vista (32 bits, 64 bits)
Windows 7 (32 bits, 64 bits, RTM e SP1)
Windows Embedded Standard 7
Windows Server 2008 (32 bits, 64 bits, R2, SP1 e SP2)
Windows Server 2012
Windows Small Business Server 2011 (de 64 bits)
Mac OS X 10.6.8, 10.7 (32 bits, 64 bits); 10.8 (64 bits)
Mac OS X Server 10.6.8, 10.7 (32 bits, 64 bits); 10.8 (64 bits)
81
82

Para obter informaes sobre os requisitos do sistema para o cliente Symantec

AntiVirus no Linux, consulte o Guia de Implementao do Symantec AntiVirus for
Linux.
Tabela 2-6
Requisitos do sistema do cliente do Symantec Network Access

Control
Componente
Requisito
Processador
Processador de 32 bits para Windows: Intel Pentium III de 1 GHz

ou mnimo equivalente (Intel Pentium 4 ou equivalente
recomendado)
Processador de 64 bits para Windows: Pentium 4 de 2 GHz com
suporte a x86-64 ou mnimo equivalente. Os processadores
Itanium no so suportados.
Sistema operacional Windows XP (32 bits, XP-2 ou superior; 64 bits, todos os SPs)
Windows XP Embedded
Windows Server 2008 (de 32 bits, de 64 bits)
Windows Server 2012
RAM fsica
512 MB de RAM ou superior se solicitado pelo sistema operacional
Disco rgido
32 bits: 300 MB; 64 bits: 400 MB
Vdeo
800 x 600
Tabela 2-7
Requisitos do sistema do cliente do Symantec Network Access

Control sob demanda
Componente
Requisito
Processador
Windows: Intel Pentium II de 550 MHz (1 GHz para Windows

Vista) ou mais rpido
Mac: Intel CPU somente

Componente
Requisito
Sistema operacional Windows XP Home ou Professional (32 bits, SP2 e SP3)
Windows Server 2008 (32 bits, 64 bits, R2)
Windows Server 2012
Mac OS X 10.5, 10.6 ou 10.7
Espao em disco e
RAM fsica
Tamanho do download: 9 MB. Quantidade de espao livre em

disco necessria para executar o cliente: 100 MB.
RAM fsica para Clientes sob demanda Windows ou Mac: 512 MB
Navegador da Web
Para o Cliente Windows sob demanda: Microsoft Internet Explorer

6.0 ou superior; Mozilla Firefox 2.0, 3.0, 3.5, 3.6.3, 11.0
Nota: Clientes da verso 11.0 RU6 e inferiores no suportam o

Firefox 3.6.3.
Para Cliente Mac sob demanda: Apple Safari 4.0 e 5.0; Mozilla
Firefox 2.0, 3.0, 3.5, 3.6.3
Nota: Clientes da verso 11.0 RU6 e inferiores no suportam o

Firefox 3.6.3.
Outro
Exibio do vdeo: Super VGA (1.024 x 768) ou superior
Pelo menos um adaptador Ethernet (com TCP/IP instalado)
Consulte Para planejar a instalao na pgina 71.
Consulte Produtos de virtualizao e instalaes virtuais suportados
na pgina 87.
Consulte Requisitos de internacionalizao na pgina 83.
Requisitos de internacionalizao
Determinadas restries sero aplicadas quando voc instalar o Symantec Endpoint
Protection Manager em um ambiente que no seja Ingls ou tenha diversos idiomas.
83
84

Tabela 2-8
Componente
Requisitos de internacionalizao
Requisitos
Nomes de computador, Os caracteres que no so do ingls so compatveis com as seguintes limitaes:

nomes do servidor e
A auditoria da rede pode no funcionar para um host ou usurio que use um conjunto
nomes de grupos de
de caracteres de byte duplo ou um conjunto de caracteres ASCII estendidos.
trabalho
Os nomes de conjuntos de caracteres de dois bytes ou nomes de conjuntos de caracteres
high-ASCII no podem ser exibidos corretamente no console do Symantec Endpoint
Protection Manager ou na interface do usurio do cliente.
Os nomes extensos de host dos conjuntos de caracteres de dois bytes ou ASCII estendidos
no podem ser mais extensos do que o NetBIOS permite. Se o nome do host for mais
extenso do que o NetBIOS permite, as pginas Incio, Monitores e Relatrios no sero
exibidas no console do Symantec Endpoint Protection Manager.
Caracteres do ingls
Os caracteres do ingls so necessrios nas seguintes situaes:
Implemente um pacote do cliente em um computador remoto.
Defina a pasta de dados do servidor no Assistente de Configurao do servidor de

gerenciamento.
Defina o caminho de instalao do Symantec Endpoint Protection Manager.
Defina as credenciais quando voc implementar o cliente em um computador remoto.
Defina um nome de grupo.

Voc pode criar um pacote do cliente para um nome de grupo que contenha caracteres
que no sejam do ingls. Talvez voc no possa implementar o pacote de cliente usando
o Assistente de Implementao por envio quando o nome de grupo tiver caracteres que
no sejam do ingls.
Enviar automaticamente caracteres que no sejam do ingls aos computadores-cliente.
Alguns caracteres que no so do ingls e que so gerados no lado do servidor no podem
aparecer corretamente na interface do usurio do cliente.
Por exemplo, um nome do local do conjunto de caracteres de dois bytes no aparece
corretamente em computadores-cliente nomeados do conjunto de caracteres sem byte
duplo.
Caixa de dilogo
Informaes sobre o
usurio do
computador-cliente
No usar caracteres de dois bytes ou ASCII estendidos ao fornecer comentrios na caixa de

dilogo Informaes sobre o usurio do computador-cliente depois de instalar o pacote
exportado.
Consulte Como coletar informaes do usurio na pgina 261.

Componente
Requisitos
Assistente de Ativao No use caracteres de dois bytes nos seguintes campos:

de licena
Nome
Sobrenome
Nome da empresa
Cidade
Estado/Provncia
Consulte Para ativar ou importar sua licena de produto do Symantec Endpoint Protection
ou Symantec Network Access Control 12.1 na pgina 120.

Se desejar usar o Symantec Endpoint Protection aps o perodo de teste expirar,
ser necessrio comprar e ativar uma licena do produto.
A Tabela 2-9 exibe os requisitos necessrios para licenciar o Symantec Endpoint
Protection.
Tabela 2-9
Produto
Requisito
Instalao de licena paga do

Symantec Endpoint Protection
Voc deve comprar uma licena que oferea cobertura

a todos os clientes implementados. Uma licena
oferece cobertura a todos os clientes
independentemente da plataforma e da verso.
Consulte Sobre o licenciamento de regras de
imposio na pgina 126.
Software de proteo antivrus

legado da Symantec
O Symantec Endpoint Protection aceita o arquivo de

licena de seu software legado de proteo antivrus
da Symantec. Voc deve comprar uma licena nova
quando a licena legada expirar.
Trialware
Uma licena de teste de 60 dias includa no Symantec

Endpoint Protection. Voc dever comprar uma
licena quando a licena de teste expirar.
A seguinte terminologia aplica-se s licenas dos produtos da Symantec:
85
86

Nmero de srie
Uma licena contm um nmero de srie que identifica com

exclusividade sua licena e associa a licena com sua empresa. O
nmero de srie pode ser usado para ativar sua licena do
Symantec Endpoint Protection.
Consulte Para ativar ou importar sua licena de produto do
Symantec Endpoint Protection ou Symantec Network Access
Control 12.1 na pgina 120.
Implementado
Implementado refere-se aos computadores endpoint que esto

protegidos pelo software-cliente do Symantec Endpoint Protection.
Por exemplo, Ns temos 50 estaes implementadas. significa
que 50 endpoints tm o software-cliente instalado.
Ativar
Voc ativa sua licena de produto do Symantec Endpoint

Protection para ativar o acesso ilimitado a toda a funcionalidade
do programa. Voc usa o Assistente de Ativao de licena para
concluir o processo de ativao.
Consulte Para ativar ou importar sua licena de produto do
Symantec Endpoint Protection ou Symantec Network Access
Control 12.1 na pgina 120.
Estao
Uma estao um nico computador endpoint que o

software-cliente do Symantec Endpoint Protection protege. Uma
licena comprada e validada para um nmero de estaes
especfico. Estaes vlidas refere-se ao nmero total de estaes
que est especificado em todas as suas licenas ativas.
Trialware
Trialware refere-se a uma instalao totalmente funcional do

Symantec Endpoint Protection em funcionamento no perodo de
teste gratuito. O perodo de teste de 60 dias a partir da instalao
inicial do Symantec Endpoint Protection Manager. Se desejar
continuar usando o Symantec Endpoint Protection alm do perodo
de teste, ser necessrio comprar e ativar uma licena para sua
instalao. Voc no precisa desinstalar o software para converter
o trialware em uma instalao licenciada.
Consulte Sobre a compra de licenas na pgina 118.
Implementado
excessivamente
Uma licena implementada excessivamente quando o nmero

de clientes implementados excede o nmero de estaes
licenciadas.
Entenda que os requisitos da licena fazem parte do planejamento da instalao

e ps-instalao do Symantec Endpoint Protection, gerenciando suas licenas do
produto.

Produtos de virtualizao e instalaes virtuais suportados

Produtos de virtualizao e instalaes virtuais

suportados
Voc pode usar os clientes do Symantec Endpoint Protection para proteger
instncias virtuais dos sistemas operacionais suportados. Voc pode instalar e
gerenciar o Symantec Endpoint Protection Manager em instncias virtuais dos
sistemas operacionais suportados.
A Tabela 2-10 relaciona os produtos de virtualizao suportados.
Tabela 2-10
Produtos suportados de virtualizao
Software da Symantec
Produto de virtualizao

Manager, console e componentes do
banco de dados interno
VMware WS 5.0 (estao de trabalho) ou

superior
VMware GSX 3.2 (corporativo) ou superior
VMware ESX 2.5 (estao de trabalho) ou
superior
VMware VMotion
Microsoft Virtual Server 2005
Windows Server 2008 Hyper-V
Windows 8 Server Hyper-V
Novell Xen
Virtual Box, fornecido pela Oracle
Software-cliente do Symantec Endpoint VMware WS 5.0 (estao de trabalho) ou

Protection
superior
VMware GSX 3.2 (corporativo) ou superior
VMware ESX 2.5 (estao de trabalho) ou
superior
VMware VMotion
Microsoft Virtual Server 2005
Windows Server 2008 Hyper-V
Windows 8 Server Hyper-V
Novell Xen
Virtual Box, fornecido pela Oracle
87
88

Sobre a compatibilidade do Symantec Endpoint Protection Manager com outros produtos
O Symantec Endpoint Protection inclui recursos que aprimoram o desempenho

em ambientes virtuais.
na pgina 705.
Consulte Como escolher verificaes aleatoriamente para melhorar o desempenho
do computador em ambientes virtualizados na pgina 415.
Sobre a compatibilidade do Symantec Endpoint

Protection Manager com outros produtos
Alguns produtos podem causar conflitos com o Symantec Endpoint Protection
quando esto instalados no mesmo servidor. Voc precisar configurar a instalao
do Symantec Endpoint Protection Manager se um ou mais dos seguintes produtos
estiver instalado no mesmo servidor:
Symantec Backup Exec 10, 10D ou 11D
Symantec Brightmail
Symantec Enterprise Vault
Symantec Ghost Solution Suite 2.0
Symantec Mail Security for Exchange
Symantec NetBackup
Microsoft Outlook Web Access
Microsoft SharePoint
Microsoft Windows Update Services
Na maioria dos casos, mudanas na porta so necessrias para permitir que estes
programas sejam executados simultaneamente com o Symantec Endpoint
Protection.
Para obter informaes sobre as alteraes de configurao, consulte o artigo da
Base de conhecimento do Suporte da Symantec, Addressing Symantec Endpoint
Protection compatibility issues (em ingls).


Voc pode instalar o Symantec Endpoint Protection para finalidades de teste sem
considerar a arquitetura de rede da empresa. possvel instalar o Symantec
Endpoint Protection Manager em alguns clientes e familiarizar-se com os recursos
e as funes.
Quando voc estiver pronto para instalar os clientes de produo, ser necessrio
planejar a implementao com base nas necessidades da estrutura organizacional
e de computao.
Convm considerar os seguintes elementos ao planejar a implementao:
Symantec Endpoint Protection Manager

Os administradores usam o Symantec Endpoint Protection Manager para
gerenciar polticas de segurana e computadores-cliente. Convm considerar
a segurana e a disponibilidade do computador em que o Symantec Endpoint
Protection Manager instalado.
Console remoto
Os administradores podem usar um computador remoto que execute o software
do console para acessar o Symantec Endpoint Protection Manager. Os
administradores podem tambm usar um computador remoto quando estiverem
longe do escritrio. Voc deve certificar-se de que os computadores remotos
atendam aos requisitos do console remoto.
Computadores locais e remotos

Os computadores remotos podem ter conexes de rede mais lentas. Convm
usar um mtodo diferente de instalao daquele usado para a instalao em
computadores locais.
Computadores portteis, como notebooks

Os computadores portteis podem no conectar-se rede em um agendamento
regular. Convm certificar-se de que os computadores portteis tenham uma
poltica do LiveUpdate que ative um agendamento do LiveUpdate. Os
computadores portteis que no executam verificaes regularmente no
obtm outras atualizaes da poltica.
Computadores localizados em reas seguras

Computadores localizados em reas seguras podem precisar de configuraes
de segurana diferentes das configuraes de computadores que no esto em
reas seguras.
Voc identifica os computadores em que planeja instalar o cliente. A Symantec

recomenda que voc instale o software-cliente em todos os computadores
89
90

desprotegidos, incluindo o computador que executa o Symantec Endpoint

Protection Manager.
Voc decide como deseja gerenciar os computadores. Na maioria dos casos, os
computadores so gerenciados atravs do console do Symantec Endpoint Protection
Manager. Esses so chamados de computadores gerenciados. Convm gerenciar
manualmente os computadores portteis que se conectam rede da empresa
intermitentemente. Por exemplo, dispositivos mveis como computadores
portteis. Um computador gerenciado manualmente chamado de computador
no gerenciado. Computadores que nunca se conectam rede da empresa so
computadores no gerenciados por definio, pois nunca se conectam ao Symantec
Endpoint Protection Manager.
Organize os computadores com necessidades de segurana semelhantes em grupos.
Por exemplo, voc pode organizar os computadores do departamento de folha de
pagamento no grupo Folha de pagamento. Voc pode definir a estrutura do grupo
para que corresponda estrutura de sua organizao.
Voc cria os grupos usando o Symantec Endpoint Protection Manager. Ajuste as
configuraes da poltica de segurana para os grupos que exigem restries
adicionais.
Voc atribui os computadores aos grupos. possvel atribuir computadores aos
grupos durante a instalao do cliente. Voc tambm pode atribuir computadores
aos grupos do console aps a instalao do cliente.

O Symantec Endpoint Protection Manager usa um banco de dados para armazenar
informaes sobre clientes e configuraes. O banco de dados criado como parte
do processo de configurao. Voc deve decidir qual banco de dados ser usado
antes de instalar o servidor de gerenciamento. Voc no pode usar o console at
configurar o servidor de gerenciamento para usar um banco de dados.
Tabela 2-11
Bancos de dados usados pelo Symantec Endpoint Protection

Manager
Tipo de banco de dados
Descrio
Banco de dados interno
O banco de dados interno includo com o Symantec

Endpoint Protection Manager. O banco de dados incorporado
no exige configurao e mais fcil de instalar. O banco de
dados interno suporta at 5.000 clientes.
Consulte Sobre as configuraes do banco de dados interno
na pgina 91.

Tipo de banco de dados
Descrio
Banco de dados Microsoft

SQL Server
Se voc tiver optado por usar esta opo, ser necessrio

instalar o Microsoft SQL Server antes de instalar o Symantec
Endpoint Protection Manager. Alm disso, as ferramentas
do cliente SQL Server devem ser instaladas no mesmo
computador em que voc instala o Symantec Endpoint
Protection Manager.
Voc deve considerar comprar e instalar o Microsoft SQL
Server pelas seguintes razes:
Voc deve suportar mais de 5.000 clientes. Cada servidor
de gerenciamento que usa o Microsoft SQL Server pode
suportar at 50.000 clientes. Se sua organizao tiver
mais de 50.000 clientes, ser possvel instalar outro
servidor de gerenciamento.
Voc deseja suportar o failover e o balanceamento de
carga.
Voc deseja configurar servidores de gerenciamento
adicionais como sites parceiros.
Consulte Sobre como determinar de quantos sites voc
precisa na pgina 203.
Se voc criar um banco de dados do Microsoft SQL Server,

dever antes instalar uma instncia do Microsoft SQL Server.
Voc dever ento configur-lo para se comunicar com o
Consulte Sobre as configuraes do SQL Server
na pgina 93.

Os seguintes valores representam as configuraes padro quando voc instala
o Symantec Endpoint Protection Manager. As portas que so listadas so portas
TCP.
Voc poder configurar alguns dos seguintes valores somente quando instalar o
Symantec Endpoint Protection Manager para usar uma configurao personalizada.
91
92

Tabela 2-12
Configuraes do banco de dados interno
Configurao
Padro
Descrio
Nome do servidor
nome do host local
O nome do computador que executa o Symantec Endpoint

Protection Manager.
Porta do servidor
8443
O Symantec Endpoint Protection Manager escuta nesta

porta.
Porta do console da
Web
9090
As conexes remotas do console HTTP usam esta porta.
Porta de comunicao 8014

do cliente
Os clientes comunicam-se com o servidor de gerenciamento

nesta porta.
Os dispositivos de hardware opcionais do Enforcer tambm
usam esta porta.
Porta dos servios

Web do Protection
Center
8444
A porta pela qual o Symantec Protection Center 2.x faz o

feed de dados e as solicitaes do fluxo de trabalho ao
Symantec Endpoint Protection Manager.
Porta de servios Web 8446

do gerenciamento
remoto
O Monitoramento e gerenciamento remoto (RMM, Remote

Monitoring and Management) usa esta porta para enviar
o trfego de servios Web por HTTPS.
Porta de controle do
servidor
8765
O servio Web do Tomcat usa esta porta.
Porta de gerao de
relatrios
8445
O servio Web do Apache usa esta porta para gerar

relatrios.
Pasta de dados do
servidor
C:\Arquivos de
Programas\Symantec\Symantec
Endpoint Protection
Manager\data (sistema
operacional de 32 bits)
Diretrio no qual o Symantec Endpoint Protection Manager

coloca os arquivos de dados que incluem backups, logs de
replicao e outros arquivos. O programa de instalao
criar este diretrio se ele no existir.
C:\Arquivos de Programas
(x86)\Symantec\Symantec
Endpoint Protection
Manager\data (sistema
operacional de 64 bits)

Configurao
Padro
Senha de criptografia Nenhuma
Descrio
Essa senha criptografa a comunicao entre os clientes do
Symantec Endpoint Protection Manager e os dispositivos
de hardware opcionais do Enforcer.
Se escolher a configurao padro, o sistema gerar
automaticamente a senha de criptografia para voc. Na
tela de resumo, voc pode imprimir ou copiar estas
informaes na rea de transferncia.
Se escolher uma configurao personalizada, voc poder
fazer com que o sistema gere automaticamente uma senha
aleatria ou poder criar sua prpria senha. A senha pode
ser de 6 a 32 caracteres alfanumricos.
Anote esta senha e coloque-a em um local seguro. No
possvel alterar nem recuperar a senha aps criar o banco
de dados. Voc tambm dever inserir a senha para a
recuperao aps desastres, caso no tenha um backup do
banco de dados para restaurar.
Consulte Para preparar a recuperao aps desastres
na pgina 805.
Nome do usurio
admin
O nome do usurio padro usado para fazer logon pela

primeira vez no console do Symantec Endpoint Protection
Manager. Este valor no configurvel.
Senha
Nenhuma
A senha especificada para a conta do administrador durante

a configurao de servidor.
Se o banco de dados incorporado for usado, a senha original
do administrador ser necessria para reconfigurar o
servidor de gerenciamento. Anote esta senha e coloque-a
em um local seguro.
Endereo de e-mail
Nenhuma
As notificaes do sistema so enviadas ao endereo de

e-mail especificado.

Se voc instalar o Symantec Endpoint Protection Manager com um banco de dados
Microsoft SQL Server, haver requisitos de configurao especficos para o SQL
Server.
Antes de criar o banco de dados, a Symantec recomenda instalar uma nova
instncia do SQL Server que esteja em conformidade com os requisitos de
93
94

instalao e configurao da Symantec. possvel instalar um banco de dados em

uma instncia existente, mas esta dever ser configurada corretamente ou a
instalao do banco de dados falhar. Por exemplo, se voc selecionar um
agrupamento do SQL que diferencie maisculas de minsculas, a instalao falhar.
Aviso: O Symantec Endpoint Protection Manager autentica o Microsoft SQL Server
com um nome de usurio e uma senha de texto simples do proprietrio do banco
de dados. Para maximizar a postura de segurana das comunicaes remotas do
Microsoft SQL Server, localize ambos os servidores em uma sub-rede segura.
Tabela 2-13
Configuraes necessrias do SQL Server
Configurao
Requisito de instalao
Nome da instncia
No use o nome padro. Crie um nome como

SEPM.
Por padro, um banco de dados nomeado Sem5
ser criado na instncia do SQL Server quando
voc instalar o Symantec Endpoint Protection
Manager. O nome padro suportado, mas pode
causar confuso se voc instalar vrias instncias
em um computador.
Configurao de autenticao
Modo misto ou modo Autenticao do Windows

Consulte Sobre os modos de autenticao do
banco de dados do SQL Server na pgina 98.
Senha sa
Defina essa senha quando definir a autenticao

para o modo Misto.
Protocolo ativado
TCP/IP
Endereos IP do TCP/IP
Ative IP1 e IP2
Nmeros de porta TCP/IP para IP1, IP2 Deixe as portas dinmicas TCP em branco e
e IPALL
especifique um nmero para a porta TCP.
Geralmente, a porta padro 1433. Especifique
esse nmero de porta ao criar o banco de dados.
O banco de dados do Symantec Endpoint
Protection Manager no suporta portas dinmicas.
Conexes remotas
Devem estar ativadas. O protocolo TCP/IP tambm

deve estar especificado.

Se seu banco de dados estiver localizado em um servidor remoto, voc tambm

dever instalar componentes do cliente do SQL Server, incluindo o BCP.EXE, no
computador que executa o Symantec Endpoint Protection Manager. Consulte a
documentao do Microsoft SQL Server para obter instrues sobre a instalao.
Durante a fase de configurao do banco de dados da instalao do Symantec
Endpoint Protection Manager, voc seleciona e digita vrios valores do banco de
dados. Entenda as decises que voc deve tomar para corretamente configurar o
banco de dados.
A Tabela 2-14 exibe as configuraes que voc pode precisar antes de iniciar o
processo de instalao.
Tabela 2-14
Configuraes do banco de dados SQL Server
Configurao
Padro
Descrio
Nome do servidor
Nome do host local
Nome do computador que executa o Symantec Endpoint

Protection Manager.
Pasta de dados do
servidor
C:\Arquivos de
Pasta em que o Symantec Endpoint Protection Manager
programas\Symantec Endpoint coloca os arquivos de dados que incluem backups,
Protection Manager\data
replicao e outros arquivos do Symantec Endpoint
Protection Manager. O instalador criar esta pasta se ela
no existir.
Senha de criptografia
Nenhuma
A senha que criptografa a comunicao entre o Symantec

Endpoint Protection Manager, clientes e dispositivos de
hardware opcionais do Enforcer. A senha pode ter de 6 a
32 caracteres alfanumricos e obrigatria.
Anote esta senha e coloque-a em um local seguro. No
possvel alterar nem recuperar a senha aps criar o banco
de dados. Voc tambm dever inserir a senha para a
recuperao aps desastres, caso no tenha um backup do
banco de dados para restaurar.
Consulte Para executar a recuperao aps desastres
na pgina 813.
95
96

Configurao
Padro
Descrio
Servidor de banco de
dados
Nome do host local
Nome do Microsoft SQL Server e nome opcional da

instncia. Se o servidor do banco de dados foi instalado
com a instncia padro, que no tem nome, digite o nome
do host ou o endereo IP do host. Se o servidor de banco de
dados foi instalado com uma instncia nomeada, digite o
nome do host\nome da instncia ou endereo IP\nome da
instncia. Usar o nome do host somente funciona com um
DNS configurado adequadamente.
Se voc instalar em um servidor de banco de dados remoto,
dever primeiro instalar os componentes do cliente do SQL
Server no computador que executa o Symantec Endpoint
Protection Manager.
Porta do servidor SQL 1433
A porta usada para enviar e receber o trfego do SQL

Server.
A porta 0 no compatvel. Ela utilizada para especificar
uma porta aleatria, negociada.
Nome do banco de
dados
sem5
Nome do banco de dados que criado.
Nome de usurio do
banco de dados
sem5
Nome da conta do usurio do banco de dados que criado.

A conta de usurio tem uma funo padro com acesso de
leitura e gravao. O nome pode ser uma combinao de
valores alfanumricos e caracteres especiais ~#%_+=|:./.
Os caracteres especiais `!@'$^&*()-{}[]"\<;>,? no
so permitidos. Os seguintes nomes tambm no so
aceitos: sysadmin, server admin, setupadmin,
securityadmin, processadmin, dbcreator, diskadmin,
bulkadmin.
Senha do banco de
dados
Nenhuma
A senha associada conta do usurio do banco de dados.

O nome pode ser uma combinao de valores alfanumricos
e caracteres especiais ~#%_+=|:./. Os caracteres especiais
!@*(){}[];,? no so permitidos.

Configurao
Padro
Descrio
Pasta do cliente do SQL SQL Server 2005: C:\Arquivos Local do diretrio local do utilitrio SQL Client que contm
Server
de Programas\Microsoft SQL o bcp.exe.
Server\ 90\Ferramentas\Binn
SQL Server 2008: C:\Arquivos
de Programas\Microsoft SQL
Server\100\ Ferramentas\Binn
SQL Server C:\Arquivos de
Programas\Microsoft 2012 SQL
Server\110\Ferramentas\Binn
Nome de usurio do
servidor
Nenhuma
Nome da conta de administrador do servidor de banco de

dados, geralmente sa.
Senha do servidor
Nenhuma
A senha associada conta de administrador do servidor de

banco de dados.
Pasta dados do banco

de dados
Detectada automaticamente
depois de clicar em Padro.
Local da pasta de dados do SQL Server. Se voc instalar um

servidor remoto, o identificador de volume dever
corresponder ao identificador do servidor remoto.

de Programas\Microsoft SQL Se voc instalar uma instncia nomeada no SQL Server
Server\MSSQL.1\MSSQL\Data
2005, o nome da instncia ser anexado ao MSSQL com
um identificador numrico do ponto. Por exemplo,
\MSSQL.n\MSSQL\Data
Se voc instalar em uma instncia nomeada no SQL
Server\
Server 2008, o nome da instncia ser adicionado a
MSSQL10.MSSQLSERVER\
MSSQL10. Por exemplo, \MSSQL10.nome da
MSSQL\Data
instncia\MSSQL\Data.
SQL Server 2008 R2: C:\
Arquivos de Programas\
Server 2008 R2, o nome da instncia ser adicionado a
Microsoft SQL Server\
MSSQL10_50. Por exemplo, \MSSQL10_50.nome da
MSSQL10_50.MSSQLSERVER\
MSSQL\Data
Server 2012, o nome da instncia ser adicionado a
MSSQL11. Por exemplo, \MSSQL11.nome da
Server\
MSSQL11.MSSQLSERVER\
Nota: Clicar na opo Padro exibe a pasta de instalao
MSSQL\Data
correta, se voc digitou o servidor de banco de dados e o
nome da instncia corretamente. Se voc clicar na opo
Padro e a pasta de instalao correta no aparecer,
significa que ocorreu uma falha na criao do banco de
dados.
97
98

Sobre os modos de autenticao do banco de dados do SQL Server
Sobre os modos de autenticao do banco de dados

do SQL Server
O Symantec Endpoint Protection Manager suporta dois modos de autenticao
do banco de dados do SQL Server:
Modo Autenticao do Windows
Modo misto
O Microsoft SQL Server pode ser configurado para usar a Autenticao do Windows
ou a autenticao do Modo misto. A autenticao de modo misto permite o uso de
credenciais do Windows ou SQL Server. Quando o SQL Server for configurado
para usar o modo misto, o Symantec Endpoint Protection Manager poder ser
definido para usar a Autenticao do Windows ou autenticao do Modo misto.
Quando o SQL Server for definido para usar o modo de Autenticao do Windows,
o Symantec Endpoint Protection Manager dever tambm ser configurado para
usar o modo de Autenticao do Windows.
Para as conexes de banco de dados remoto que usam o modo Autenticao do
Windows, esteja ciente dos seguintes requisitos:
Para implementaes em um ambiente do Active Directory, o Symantec

Endpoint Protection Manager e o SQL Server devem estar localizados no mesmo
domnio do Windows.
Para implementaes em um ambiente de grupo de trabalho, as credenciais

de conta do Windows devem ser as mesmas para os computadores locais e os
computadores remotos.
Captulo
Instalao do Symantec
Endpoint Protection
Manager
Para instalar o Symantec Endpoint Protection Manager
Para configurar o servidor de gerenciamento durante a instalao
Desinstalao do Symantec Endpoint Protection Manager
Para aceitar o certificado de servidor autoassinado (SSL) do Symantec Endpoint

Protection Manager
Logon no console do Symantec Endpoint Protection Manager
Aumento do perodo de tempo para permanecer conectado ao console
O que voc pode fazer no console
Para instalar o Symantec Endpoint Protection

Manager
Execute diversas tarefas para instalar o servidor de gerenciamento e o console.
No Assistente de Instalao, uma marca de verificao verde aparece ao lado de
cada tarefa concluda.
100
Instalao do Symantec Endpoint Protection Manager

Nota: O Symantec Endpoint Protection Manager exige o acesso ao registro do

sistema para a instalao e a operao normal. Para preparar um servidor que
execute o Windows Server 2003 para instalar o Symantec Endpoint Protection
Manager usando uma conexo rea de trabalho remota, voc dever
primeiramente permitir o controle remoto no servidor. Voc deve igualmente
usar uma sesso do console remoto ou fazer uma cpia de sombra da sesso do
console.
na pgina 54.
Insira e exiba o disco do produto.

A instalao deve iniciar automaticamente. Se no iniciar, clique duas vezes
em Setup.exe.
Se voc fizer o download do produto, extraia a imagem inteira do disco do
produto para um disco fsico, como um disco rgido. Execute o arquivo
Setup.exe no disco fsico.
Na caixa de dilogo Programa de instalao do Symantec Endpoint

Protection, clique em Instalar Symantec Endpoint Protection e em Instalar
o Symantec Endpoint Protection Manager.
Reveja a sequncia de eventos da instalao e clique em Avanar para

comear.
No painel Contrato de licena, clique em Aceito os termos do contrato de

licena e clique em Avanar.
No painel Pasta de destino, aceite a pasta de destino padro ou especifique

outra pasta de destino e clique em Avanar.
Clique em Instalar.
O processo de instalao comea para o Symantec Endpoint Protection
Manager e console. Quando a instalao for concluda, clique em Avanar.

Para configurar o servidor de gerenciamento durante a instalao
Aps a concluso da instalao inicial, configure o servidor e o banco de dados.

Clique em Avanar.
O Assistente de Configurao do servidor de gerenciamento iniciado
automaticamente.
Consulte Para configurar o servidor de gerenciamento durante a instalao
na pgina 101.
Voc configura o servidor de gerenciamento de acordo com seus requisitos.

Siga as instrues na tela. Aps a configurao do servidor e do banco de
dados, clique em Avanar para criar o banco de dados.
Clique em Concluir para concluir a configurao.

A tela de login do console do Symantec Endpoint Protection Manager
aparecer se voc deixar a opo marcada. Aps fazer login, voc poder
comear a implementao do cliente. Voc pode tambm opcionalmente
executar o Assistente de Migrao neste momento, se desejar.
Consulte Para implementar clientes usando e-mail e link da Web
na pgina 142.
na pgina 190.
Para configurar o servidor de gerenciamento durante

a instalao
O Assistente de Configurao do servidor de gerenciamento iniciado
automaticamente aps a instalao do Symantec Endpoint Protection Manager.
Voc tambm pode iniciar o Assistente de Configurao do servidor de
gerenciamento a qualquer momento aps a instalao em Iniciar > Todos os
programas > Symantec Endpoint Protection Manager > Ferramentas do
Para configurar o servidor, especifique as seguintes informaes:
O tipo de configurao: padro ou personalizada. O assistente fornece

informaes sobre cada tipo.
Se voc deseja usar um arquivo de recuperao.
101
102

Desinstalao do Symantec Endpoint Protection Manager
Nota: Se esta for a sua primeira instalao do Symantec Endpoint Protection

Manager, no haver nenhum arquivo de recuperao.
A senha da conta de administrador padro.
O endereo de e-mail que recebe notificaes e relatrios importantes.
O nmero da porta e o nome do servidor de e-mail.
Opcionalmente, possvel adicionar as informaes do parceiro se voc tiver

um parceiro de vendas da Symantec que gerencie suas licenas da Symantec.
Cada tipo de configurao tem um processo de configurao separado. Siga as

instrues que so fornecidas no Assistente de Configurao do servidor de
gerenciamento para concluir a configurao.
Desinstalao do Symantec Endpoint Protection

Manager
A desinstalao do Symantec Endpoint Protection Manager desinstalar o servidor
e o console. Voc pode opcionalmente remover o banco de dados e os arquivos de
backup do banco de dados durante a desinstalao.
Se voc planeja reinstalar o Symantec Endpoint Protection Manager, ser
necessrio fazer backup do banco de dados antes de desinstal-lo.
Voc deve desativar a replicao antes de tentar desinstalar o Symantec Endpoint
Protection Manager que est configurado para replicao.
Para desinstalar o Symantec Endpoint Protection Manager
O texto que voc visualizar depende do sistema operacional do computador do
servidor.
No computador do servidor, no menu Iniciar, clique em Painel de Controle

> Adicionar ou remover programas (ou Painel de Controle > Programas >
Desinstalar um programa ).
Na caixa de dilogo Adicionar ou remover programas (ou Desinstalar ou

alterar um programa ), clique em Symantec Endpoint Protection Manager
e depois em Alterar Remover ou Desinstalar.
Siga as instrues na tela para remover o Symantec Endpoint Protection

Manager.

Para aceitar o certificado de servidor autoassinado (SSL) do Symantec Endpoint Protection Manager
Em alguns casos, poder ser necessrio desinstalar o Symantec Endpoint Protection

Manager manualmente.
Para obter mais informaes, consulte o artigo da base de conhecimento: Methods
for uninstalling Symantec Endpoint Protection (em ingls).
Consulte Backup de logs e banco de dados na pgina 807.
Consulte Para desativar a replicao antes do upgrade na pgina 181.
Consulte Para ativar a replicao aps o upgrade na pgina 182.
Para aceitar o certificado de servidor autoassinado

(SSL) do Symantec Endpoint Protection Manager
Quando voc instalar o Symantec Endpoint Protection Manager, um certificado
autoassinado das pginas que so processadas em um navegador ser includo
como parte da instalao. Quando voc acessar primeiro estas pginas de um
console remoto, ser necessrio aceitar o certificado autoassinado para que as
pginas sejam exibidas.
Os certificados so armazenados separadamente para cada usurio. Cada conta
de administrador deve aceitar o certificado para cada local remoto do qual se
conectam ao servidor de gerenciamento.
Para que as instrues adicionem o certificado de segurana ao navegador da Web,
veja o artigo da base de conhecimento do Suporte Tcnico da Symantec, How to
install the certificate for Symantec Protection Center or Endpoint Protection
Manager for Web console access (em ingls).
Consulte Logon no console do Symantec Endpoint Protection Manager
na pgina 103.
Logon no console do Symantec Endpoint Protection

Manager
Voc pode fazer logon no console do Symantec Endpoint Protection Manager
depois de instalar o Symantec Endpoint Protection Manager. Voc pode fazer
logon no console de duas maneiras:
Localmente, do computador no qual o servidor de gerenciamento est instalado.
Remotamente, de algum computador que cumprir os requisitos do sistema

para um console remoto e tiver a conectividade de rede ao servidor de
gerenciamento.
Voc pode fazer logon no console da Web remoto ou no console Java remoto.
103
104

Para fazer logon remotamente, voc precisa saber o endereo IP ou o nome do

host do computador em que o servidor de gerenciamento est instalado. Voc
tambm deve assegurar que as opes da Internet em seu navegador da Web
permitam exibir o contedo do servidor no qual far logon.
Quando voc fizer logon remotamente, ser possvel executar as mesmas tarefas
que os administradores que fazem logon localmente. O que possvel exibir e
fazer atravs do console depende do tipo de administrador. A maioria dos
administradores em empresas pequenas fazem logon como administrador do
sistema.
Voc tambm pode acessar as funes do relatrio de um navegador da Web
autnomo conectado ao servidor de gerenciamento.
Nota: Se voc instalar o console Java remoto com uma verso anterior do produto,
ser necessrio reinstal-lo quando fizer upgrade para uma verso mais recente.
O console o desconecta aps uma hora. Voc pode aumentar este perodo de tempo.
Para fazer logon no console localmente
V para Iniciar > Programas > Symantec Endpoint Protection Manager >
Na caixa de dilogo de logon do Symantec Endpoint Protection Manager,

digite o nome de usurio (admin por padro) e a senha que voc configurou
durante a instalao.
Se o console tem mais de um domnio, clique em Opes> e digite o nome do
domnio.
Clique em Fazer logon.

Para fazer logon no console remotamente
Abra um navegador da Web suportado e digite o seguinte endereo na caixa

do endereo:
http://nome do host:9090
onde nome do host o nome do host ou o endereo IP do servidor de
gerenciamento. Para obter uma lista de navegadores da Web suportados,
consulte o artigo da Base de conhecimento Release Notes and System
Requirements for all versions of Symantec Endpoint Protection and Symantec
Network Access Control (em ingls).
Na pgina de acesso da Web do console do Symantec Endpoint Protection

Manager, clique no tipo de console desejado.
Se voc clicar em Console da Web do Symantec Endpoint Protection
Manager, uma pgina da Web segura ser carregada. Assim possvel fazer
logon remotamente sem o uso do Java Runtime Environment (JRE).
Se clicar em Console do Symantec Endpoint Protection Manager, o
computador do qual voc fizer logon dever ter o JRE instalado para executar
o cliente de Java. Caso isso no ocorra, voc dever fazer o download e
instal-lo. Siga os prompts para instalar o JRE e siga todas as outras instrues
fornecidas.
As duas outras opes no so solues do gerenciamento remoto. A opo
Symantec Protection Center leva voc tela de logon do Symantec Protection
Center 1.0.0, que fornece dados limitados da gerao de relatrios. Veja a
ajuda contextual para mais informaes. A opo Certificado do Symantec
Endpoint Protection Manager alerta voc para fazer o download o arquivo
de certificado do console de gerenciamento. Voc pode ento importar este
arquivo em seu navegador da Web se necessrio.
Se uma mensagem do nome do host aparecer, clique em Sim.

Esta mensagem significa que o URL remoto do console que voc especificou
no corresponde ao nome do certificado do Symantec Endpoint Protection
Manager. Esse problema ocorrer se voc fizer logon e especificar um endereo
IP, em vez do nome do computador do servidor de gerenciamento.
Se o aviso do certificado de segurana da pgina da Web aparecer, clique em
Continuar neste site (no recomendado) e adicione o certificado autoassinado.
105
106

Siga os avisos para concluir o processo de logon.

Dependendo do mtodo de logon, pode ser necessrio fornecer informaes
adicionais. Por exemplo, se o console tiver vrios domnios, clique em Opes
e fornea o nome do domnio no qual voc quer fazer logon.
Quando voc fizer logon pela primeira vez aps a instalao, use o nome da
conta admin.

Voc pode receber uma ou mais mensagens de aviso de segurana durante a
inicializao do console remoto. Caso receba, clique em Sim, Executar, Iniciar,
ou na opo equivalente, e continue at que o console seja exibido.
Talvez seja necessrio aceitar o certificado autoassinado que o Symantec
Endpoint Protection Manager exige.
Consulte Logon no relatrio atravs de um navegador da Web autnomo

na pgina 669.
Consulte Para permitir ou bloquear o acesso aos consoles remotos do Symantec
Endpoint Protection Manager na pgina 107.
Consulte Para exibir uma mensagem aos administradores antes que faam logon
no Symantec Endpoint Protection Manager na pgina 106.
Consulte Sobre funes e direitos de acesso da conta de administrador
na pgina 289.
Consulte Para aceitar o certificado de servidor autoassinado (SSL) do Symantec
Consulte Aumento do perodo de tempo para permanecer conectado ao console
na pgina 110.
Para exibir uma mensagem aos administradores antes que faam logon
no Symantec Endpoint Protection Manager
Voc pode criar e exibir uma mensagem personalizvel que todos os
administradores vero antes de fazer logon no console. Voc pode exibir qualquer
mensagem. A finalidade a mais comum a de exibir um aviso legal para informar
aos administradores que eles esto a ponto de fazer logon em um computador
proprietrio.
A mensagem exibida no console aps os administradores digitarem seu nome
de usurio e senha e clicarem em Logon. Depois de ler a mensagem, os
administradores podem reconhecer o aviso clicando em OK, que faz o logon dos
administradores. Se os administradores clicarem em Cancelar, o processo de logon
cancelado e o administrador levado de volta janela de logon.

A mensagem tambm exibida se o administrador executar as funes de gerao

de relatrios em um navegador da Web independente que esteja conectado ao
Para exibir uma mensagem aos administradores antes que faam logon no Symantec
Endpoint Protection Manager
No console, clique em Administrador.
Na pgina Administrador, clique em Domnios.
Selecione o domnio ao qual adicionar um banner de logon.
Em Tarefas, clique em Editar propriedades de domnio.
Na guia Bannerdelogon, marque Forneaumavisolegalaosadministradores

quando fizerem logon no Symantec Endpoint Protection Manager.
Digite o ttulo e o texto do banner. Clique em Ajuda para obter mais

informaes.
Clique em OK.
Consulte Sobre domnios na pgina 283.

Para permitir ou bloquear o acesso aos consoles remotos do Symantec

Por padro, todos os consoles tm acesso permitido. Os administradores podem
fazer logon no console principal localmente ou remotamente de qualquer
computador na rede.
Voc pode proteger um console de gerenciamento das conexes remotas negando
o acesso a determinados computadores.
Convm permitir ou negar o acesso dos seguintes tipos de usurios ou de
computadores:
Voc deve negar o acesso a qualquer um na Internet. Se no, o console ser

exposto a ataques da Internet.
Voc deve negar o acesso aos administradores limitados que usam consoles
em uma rede diferente do que a rede que gerenciam.
Voc deve conceder o acesso aos administradores do sistema.
Voc deve permitir o acesso aos administradores de TI.
Voc deve conceder acesso a computadores de laboratrios, como um

computador que seja usado para testes.
107
108

Alm de conceder ou negar acesso globalmente, possvel especificar as excees

por endereo IP. Se voc conceder acesso a todos os consoles remotos, o servidor
de gerenciamento negar o acesso s excees. Ao contrrio, se voc negar acesso
a todos os consoles remotos, conceder automaticamente acesso s excees.
Quando criar uma exceo, o computador especificado dever ter um endereo IP
esttico. Voc tambm pode criar uma exceo para um grupo de computadores
especificando uma mscara de sub-rede. Por exemplo, talvez voc queira permitir
acesso em todas as reas que administrar. Porm, convm negar o acesso a um
console localizado em uma rea pblica.
Para conceder ou negar o acesso a um console remoto
No console, clique em Administrador e, em seguida, em Servidores.
Em Servidores, selecione o servidor para o qual voc quer mudar a permisso

de acesso remoto do console.
Em Tarefas, clique em Editar as propriedades do servidor.
Na guia Geral, clique em Acesso concedido ou em Acesso negado.
Se quiser especificar endereos IP de computadores que so isentos dessa

permisso de acesso do console, clique em Adicionar.
Os computadores que voc adiciona transforma-se em excees. Se voc clicar
em Acesso concedido, os computadores que voc especificar tero acesso
negado. Se voc clicar em Acesso negado, os computadores que voc
especificar tero o acesso concedido. Voc pode criar uma exceo para um
nico computador ou grupo de computadores.
Na caixa de dilogo Negar acesso ao console, clique em uma das seguintes

opes:
nico computador
Para um computador, digite o endereo IP.
Grupo de computadores
Para vrios computadores, digite o endereo IP e a mscara de sub-rede
para o grupo.
Clique em OK.
Os computadores agora sero exibidos na lista de excees. Para cada endereo
IP e mscara, ser exibido o status de permisso.
Se voc alterar o Acesso concedido para Acesso negado ou vice-versa, todas
as excees sero alteradas. Se voc tiver criado excees para negar acesso,
agora elas tero acesso.

Clique em Editar tudo para alterar os endereos IP ou nomes do host desses

computadores exibidos na lista de excees.
O Editor de endereo IP ser exibido. O Editor de endereo IP um editor
de texto que permite que voc edite endereos IP e mscaras de sub-rede.
Clique em OK.
10 Quando voc concluir o acrscimo de excees lista ou a edio da lista,

clique em OK.
Consulte Adio de uma conta de administrador na pgina 292.
na pgina 103.
Para desbloquear uma conta de administrador aps vrias tentativas

de logon
Para oferecer mais segurana, o Symantec Endpoint Protection Manager bloqueia
um administrador por um determinado perodo de tempo depois de um nmero
de tentativas malsucedidas de logon. Por padro, o servidor de gerenciamento
bloqueia um administrador depois de cinco tentativas e por 15 minutos.
Se sua conta for bloqueada, voc poder executar uma das seguintes tarefas:
Se houver somente uma conta de administrador do sistema no servidor de

gerenciamento, aguarde 15 minutos e faa logon no Symantec Endpoint
Protection Manager.
A conta padro do administrador do sistema admin.
Faa logon no Symantec Endpoint Protection Manager usando uma conta com
o mesmo nvel de acesso ou mais alto e desbloqueie sua conta.
na pgina 289.
Para desbloquear a conta de um administrador aps vrias tentativas de logon
Na pgina Administrador, clique em Administradores.
Em Administradores, selecione a conta de administrador bloqueada.
Em Tarefas, clique em Editar o administrador.
109
110

Aumento do perodo de tempo para permanecer conectado ao console
Na guia Geral, desmarque Bloquear a conta aps o nmero especificado de

tentativas malsucedidas de logon.
Voc tambm pode manter o recurso de bloqueio ativado, mas aumente o
nmero de tentativas malsucedidas de logon que so permitidas antes que
uma conta seja bloqueada. Voc pode igualmente aumentar ou diminuir a
quantidade de tempo necessria para aguardar at que a conta seja
desbloqueada.
Clique em OK.
Consulte Para enviar uma senha temporria a um administrador
na pgina 304.
Consulte Para mudar a senha de uma conta de administrador na pgina 303.
Aumento do perodo de tempo para permanecer

conectado ao console
Para ajudar a proteger o console, o console exige que voc digite novamente o
nome de usurio e a senha aps uma hora. Voc pode aumentar o perodo de tempo
limite de modo que no precise fazer logon no console de gerenciamento
constantemente.
Para aumentar o perodo de tempo para permanecer conectado ao console
Clique em Site local ou em um site remoto e clique em Editar propriedades

do site.
Na guia Geral, clique na lista suspensa Tempo limite do console e selecione

Nunca.
Clique em OK.

O console do Symantec Endpoint Protection Manager fornece uma interface grfica
do usurio para os administradores. Use o console para gerenciar polticas e
computadores, monitorar o status da proteo de endpoints, e criar e gerenciar
contas de administrador.
O console divide as funes e as tarefas que voc executa por pginas.

Pginas do console do Symantec Endpoint Protection Manager
Tabela 3-1
Pgina
Descrio
Incio
Exibe o status de segurana de sua rede.

Voc pode realizar as tarefas a seguir atravs da pgina Incio:
Obter uma contagem de vrus e outros riscos segurana detectados.
Obter uma contagem de computadores desprotegidos em sua rede.
Obter uma contagem dos computadores que receberam definio de

vrus e outras atualizaes de contedo.
Exibir o status da licena.
Ajustar preferncias do console.
Obter as informaes sobre a Internet e as ameaas segurana mais

recentes.
Consulte Configurao das preferncias de relatrio na pgina 668.

Consulte Verificao do status da licena na pgina 125.
Monitores
Monitore os logs de eventos que se referem ao Symantec Endpoint

Protection Manager e a seus computadores gerenciados.
Voc pode fazer as tarefas a seguir na pgina Monitores:
Exibir grficos da distribuio de riscos.
Exibir logs de eventos.
Exibir o status de comandos recentemente emitidos.
Exibir e criar notificaes.
Consulte Exibio e reconhecimento de notificaes na pgina 697.

Relatrios
Executa relatrios para obter informaes atualizadas sobre o computador

e a atividade da rede.
Voc pode fazer as tarefas a seguir na pgina Relatrios:
Executar Relatrios rpidos.
Executar o Relatrio de resumo dirio.
Executar o Relatrio de resumo semanal.
111
112

Pgina
Descrio
Polticas
Exibe as polticas de segurana que definem as configuraes da

tecnologia de proteo.
Voc pode fazer as tarefas a seguir na pgina Polticas:
Exibir e ajustar as configuraes de proteo.
Criar, editar, copiar e excluir polticas de segurana.
Atribuir polticas de segurana a grupos de computadores.
Especificar configuraes do LiveUpdate para computadores-cliente.

Consulte Para executar as tarefas comuns a todas as polticas de
segurana na pgina 310.
Clientes
Gerencia computadores e grupos.

Voc pode faz as seguintes tarefas nesta pgina:
Criar e excluir grupos.
Editar propriedades do grupo.
Exibir as polticas de segurana que so atribudas aos grupos.
Executar comandos em grupos.
Implementar o software-cliente em computadores em sua rede.

Pgina
Descrio
Admin
Gerenciar configuraes, licenas e contas de administrador do Symantec

Voc pode fazer as tarefas a seguir na pgina Admin:
Aumentar o tempo de conexo ao Symantec Endpoint Protection
Manager.
Criar, editar e excluir contas de administrador.
Exibir e editar configuraes de e-mail e de servidor proxy.
Importar e comprar licenas.
Ajustar o agendamento de LiveUpdate para o Symantec Endpoint

Protection Manager.
Fazer o download de atualizaes de contedo do LiveUpdate.
Exibir o status do LiveUpdate e download recentes.
Gerenciar os domnios do Symantec Endpoint Protection Manager.
Adicionar, excluir e exportar pacotes de instalao do cliente.
Consulte Aumento do perodo de tempo para permanecer conectado ao

console na pgina 110.
Consulte Para gerenciar domnios e contas de administrador
na pgina 287.
113
114

Captulo
Para gerenciar licenas do

produto
Licenciamento do Symantec Endpoint Protection
Sobre a licena do trialware
Sobre a compra de licenas
Para ativar ou importar sua licena de produto do Symantec Endpoint

Protection ou Symantec Network Access Control 12.1
Sobre upgrades e licenas de produtos
Sobre como renovar sua licena do Symantec Endpoint Protection
Verificao do status da licena
Sobre o licenciamento de regras de imposio
Backup dos arquivos de licena
Recuperao de uma licena excluda
Para apagar clientes obsoletos do banco de dados e tornar mais licenas

disponveis
Sobre licenas de vrios anos
Para licenciar um cliente no gerenciado
116
Para gerenciar licenas do produto


O Symantec Endpoint Protection exige uma licena paga aps o perodo de teste
expirar ou quando sua licena atual expirar. Voc pode aplicar uma licena
existente a um upgrade de produto.
Voc usa o Assistente de Ativao de licena para ativar licenas novas ou
renovadas ou quando converter uma licena de teste a uma licena paga. Voc
licencia o Symantec Endpoint Protection de acordo com o nmero de clientes do
Symantec Endpoint Protection para os quais voc precisa proteger os endpoints
em seu site.
Depois que o Symantec Endpoint Protection Manager instalado, voc tem 60
dias para comprar estaes suficientes para dar cobertura a todos os seus clientes
implementados.
Nota: Para administrar licenas, faa logon no Symantec Endpoint Protection
Manager com uma conta do administrador do sistema do servidor de
gerenciamento, como o administrador padro da conta.
na pgina 289.
A Tabela 4-1 relaciona as tarefas que so necessrias para comprar, ativar e
gerenciar a licena do produto da Symantec.
Tabela 4-1
Tarefas de licenciamento
Tarefa
Descrio
Verificar os requisitos da
licena do produto
Entender a importncia dos requisitos da licena para os

computadores que voc quer proteger. Uma licena
permite instalar o cliente do Symantec Endpoint
Protection em um nmero especificado de computadores.
Uma licena permite fazer o download de definies de
vrus, contedo de segurana e de atualizaes do produto
do LiveUpdate.
Consulte Requisitos da licena do produto na pgina 85.
Consulte Sobre o licenciamento de regras de imposio
na pgina 126.
Consulte Sobre licenas de vrios anos na pgina 129.

Tarefa
Descrio
Comprar uma licena e salv-la Voc precisa comprar uma licena nas seguintes situaes:
no servidor de gerenciamento
Voc deseja comprar o Symantec Endpoint Protection.
Sua licena trialware expirou.
Sua licena paga expirou.
Sua licena foi implementada excessivamente.
Sua licena de upgrade do Symantec Endpoint

Protection 11.x expirou.
Para comear com a verso 12.1, voc no precisa fazer o

download manualmente de um arquivo de licena.
Dependendo do mtodo usado para comprar sua licena,
um arquivo de licena Symantec (.slf) ou um nmero de
srie da licena ser enviado a voc por e-mail.
Consulte Sobre a licena do trialware na pgina 118.
Importar o arquivo de licena
e ativar a licena que voc
adquiriu
Use o Assistente de Ativao de licena no Symantec

Endpoint Protection Manager para importar e ativar a
licena do produto da Symantec.
Antes de ativar a licena, voc deve ter:
Um nmero de srie de licena da Symantec
Um arquivo de licena Symantec (.slf)
Voc receber um destes itens quando comprar uma

licena.
Consulte Para ativar ou importar sua licena de produto
do Symantec Endpoint Protection ou Symantec Network
Access Control 12.1 na pgina 120.
Consulte Sobre o Portal de licenciamento da Symantec
na pgina 124.
Fazer backup de seus arquivos Faa o backup de seus arquivos de licena para manter os
de licena
arquivos de licena caso o banco de dados ou o disco rgido
do computador sejam danificados.
Consulte Backup dos arquivos de licena na pgina 127.
Consulte Recuperao de uma licena excluda
na pgina 128.
117
118

Tarefa
Descrio
Verificar as notificaes
pr-configuradas da licena
As notificaes de licena pr-configuradas alertam os

administradores sobre licenas expiradas e outros
problemas de licena.
Consulte O que so os tipos de notificaes e quando so
enviados? na pgina 691.
Manter um controle de quando Verifique o status de cada licena que voc importou no
suas licenas expiram e
console para ver se precisa renovar ou comprar mais
renov-las
licenas.
Consulte Sobre como renovar sua licena do Symantec

A licena do trialware permite avaliar e testar o Symantec Endpoint Protection
em seu ambiente.
A licena do trialware aplica-se aos seguintes componentes do Symantec Endpoint
Protection:
Cliente do Symantec Endpoint Protection
Acesso ao contedo do LiveUpdate
Aps a licena do trialware expirar, ser necessrio ativar uma licena paga para
manter a funcionalidade completa do produto. Voc no precisa desinstalar a
verso com licena de teste para converter sua instalao do Symantec Endpoint
Protection em uma instalao inteiramente licenciada.
A licena de trialware expira 60 dias depois que voc instala o produto.

Voc precisa comprar uma licena nas seguintes situaes:
Sua licena de teste expirou. O Symantec Endpoint Protection vem com uma
licena trialware que permite instalar e avaliar o produto em seu ambiente.

Sua licena atual est expirada.
Sua licena atual foi implementada excessivamente. A implementao em

excesso significa que voc implementou mais instncias do cliente ou do
Symantec Endpoint Protection Manager do que sua licena atual se permite.
Voc decidir sobre manter a nova verso depois que a avaliao do upgrade
do Symantec Endpoint Protection 11.x expirar. Se voc usar o Symantec
Endpoint Protection 11.x, a Symantec enviar um e-mail com uma oferta de
upgrade que inclui uma avaliao gratuita do upgrade. Se decidir manter a
nova verso alm do perodo de teste de 90 dias do upgrade, voc precisar
comprar uma licena paga.
Dependendo de como comprar sua licena, voc receber um nmero de srie da

licena do produto ou um arquivo de licena Symantec. Os arquivos de licena
so enviados para voc por e-mail ou obtidos por download de um site seguro. O
arquivo de licena usa a extenso de arquivo .slf. Quando voc receber o arquivo
de licena por e-mail, ele estar anexado ao e-mail como um arquivo.zip. Voc
dever extrair o arquivo .slf do arquivo .zip.
Salve o arquivo de licena em um computador que possa ser acessado pelo console
do Symantec Endpoint Protection Manager. Muitos usurios salvam a licena no
computador que hospeda o Symantec Endpoint Protection Manager. Muitos
usurios tambm salvam uma cpia da licena em um computador diferente ou
numa mdia de armazenamento removvel por segurana.
Aviso: Para impedir que o arquivo de licena seja corrompido, no abra nem altere
o contedo do arquivo. No entanto, voc pode copiar e armazenar a licena
conforme desejar.
A Tabela 4-2 mostra onde saber mais sobre a compra de licenas.
Tabela 4-2
Para comprar tarefas de licena
Tarefa
Descrio
Determinar seus requisitos de

licenciamento
Consulte Requisitos da licena do produto

na pgina 85.
Consulte Sobre o licenciamento de regras de imposio
na pgina 126.
119
120

Para ativar ou importar sua licena de produto do Symantec Endpoint Protection ou Symantec Network Access Control
12.1
Tarefa
Descrio
Descobrir onde comprar licenas Voc pode comprar uma licena de produto da Symantec
do produto
nos seguintes locais:
A loja online da Symantec:
http://store.symantec.com/
Seu revendedor preferido da Symantec:
Para encontrar um revendedor, use o Localizador de
parceiros
Para saber mais sobre os parceiros da Symantec, v
para http://www.symantec.com/partners/index.jsp
A equipe de vendas da Symantec:
Visite Symantec Ordering Web site (em ingls) para
obter informaes de contato de vendas.
Obter mais informaes sobre

como fazer o upgrade da licena
trialware que acompanha o
Obter ajuda na compra de
licenas ou saber mais sobre
licenas
http://customercare.symantec.com/
Para ativar ou importar sua licena de produto do

Symantec Endpoint Protection ou Symantec Network
Access Control 12.1
Voc pode usar o fluxo de trabalho do Assistente de Ativao de Licena para
executar as tarefas a seguir:
Para ativar uma nova licena paga.
Para converter uma licena de teste em licena paga.
Para renovar uma licena.
Para ativar uma licena aps fazer upgrade de uma verso anterior, tal como
Symantec Endpoint Protection 11.x.
Para ativar uma licena paga adicional em resposta a um status da

implementao excessiva.

12.1
possvel importar e ativar um arquivo de licena que voc tenha recebido das
seguintes fontes:
Portal de licenciamento da Symantec
Parceiro da Symantec ou revendedor preferido
Equipe de vendas da Symantec
Symantec Business Store
Nota: Voc pode importar sua licena do Symantec Network Access Control 12.1
somente em um servidor de gerenciamento ativado do Symantec Network Access
Control.
Voc pode iniciar o Assistente de Ativao de licena das seguintes maneiras:
A tela de apresentao do Symantec Endpoint Protection que aparece depois

de instalar o produto.
No menu Tarefas comuns, na pgina Incio.
Na pgina Administrador do console do Symantec Endpoint Protection

Manager.
Se ativar ou importar sua licena da tela de apresentao ou do menu Tarefas

comuns, voc poder ignorar as trs primeiras etapas a seguir.
Para ativar ou importar sua licena de produto do Symantec Endpoint Protection
ou do Symantec Network Access Control 12.1
No console do Symantec Endpoint Protection Manager, clique em

Administrador.
Na pgina Admin, clique em Licenas.
Em Tarefas, clique em Ativar licena.
No Assistente de Ativao de licena, selecione Ativar uma nova licena e

clique em Avanar. Se voc no vir este painel, prossiga para a prxima etapa.
121
122

12.1
No painel Ativao de licena, selecione a opo que corresponde sua

situao e clique em Avanar.
A seguinte tabela descreve cada opo:
Opo
Descrio
Tenho um nmero de srie
Voc pode receber um nmero de

srie da licena quando ou voc ou
seu Parceiro da Symantec
compraram a licena. Se voc tiver
um nmero de srie da licena,
selecione esta opo.
Se voc for cliente do eFlex
(opes do Symantec Enterprise)
e tiver um nmero de srie gerado
no eFlex, selecione Eu tenho um
Arquivo de licena Symantec.
Tenho um arquivo de licena Symantec (.slf)
Na maioria dos casos, um Arquivo

de licena Symantec (arquivo .slf)
ser enviado por um e-mail da
Symantec logo aps a concluso
do processo da compra. O arquivo
chega anexado ao e-mail de
notificao como um arquivo .zip.
Se voc recebeu um arquivo .slf,
selecione esta opo.
Nota: necessrio extrair o

arquivo .slf do .zip antes de us-lo
para ativar sua licena de produto.
Aviso: O arquivo .slf contm

informaes exclusivas de sua
licena. Para evitar corromper o
arquivo de licena, no altere seu
contedo. Voc pode copiar o
arquivo para seus registros.
Voc pode encontrar informaes sobre o eFlex no seguinte URL:

Enterprise Options (em ingls)
Execute uma destas tarefas com base na seleo que voc fez na etapa anterior:
Se voc selecionou Tenho um nmero de srie, digite o nmero de srie,

e clique em Enviar. Verifique as informaes sobre a licena que voc
adicionou e clique em Avanar.

12.1
Se voc selecionou Eu tenho um Arquivo de licena Symantec (.slf), clique

em Adicionar arquivo. Procure e selecione o arquivo .slf que voc extraiu
do arquivo .zip que foi anexado ao e-mail de notificao da Symantec.
Clique em Abrir e em Avanar.
Digite as informaes sobre seus contatos tcnicos e primrios e sobre sua

empresa. Clique para reconhecer a indicao da divulgao, e em seguida
clique Enviar.
Se voc forneceu estas informaes quando comprou sua licena, este painel
no ser exibido.
Clique em Concluir.
Voc tambm pode exibir um vdeo de passo a passo do Symantec Endpoint

Protection.
Para exibir o vdeo de passo a passo
Acesse http://go.symantec.com/education_septc.
Na pgina vinculada, clique em Symantec Endpoint Protection 12.1.
Na lista expandida, clique em Symantec Endpoint Protection 12.1: Como

ativar a licena.

Consulte Sobre como renovar sua licena do Symantec Endpoint Protection
na pgina 125.
na pgina 190.
Informaes necessrias de contato de licenciamento

Durante o processo de ativao, voc ser solicitado a fornecer todas as
informaes ausentes de contato da licena. As declaraes de privacidade so
fornecidas no assistente que descreve como estas informaes so usadas. Voc
deve indicar que as condies de privacidade so aceitveis para concluir o processo
de ativao.
A Tabela 4-3 inclui as informaes de que voc precisa.
123
124

12.1
Tabela 4-3
Licenciamento das informaes de contato
Tipo de informaes
Descrio
Contato tcnico
Informaes do contato para a pessoa responsvel pelas

atividades tcnicas relacionadas instalao ou manuteno
de sua infraestrutura de segurana do endpoint. O nome, o
endereo de e-mail e o nmero de telefone de contato so
necessrios.
Contato primrio
Informaes de contato da pessoa que representa sua

empresa. O nome, o endereo de e-mail e o nmero de
telefone de contato so necessrios.
Nota: Clique na caixa de seleo para indicar quando o

contato tcnico e o contato principal forem a mesma pessoa.
Informaes da empresa
Inclui o nome da empresa, o local, o nmero de telefone e o

endereo de e-mail.
Sobre o Portal de licenciamento da Symantec

Voc pode usar o Portal de licenciamento da Symantec para ativar licenas de
produto. Porm, possvel ativar licenas no console do Symantec Endpoint
Protection Manager, que mais simples e rpido.
O Portal de licenciamento da Symantec est no seguinte local:
https://licensing.symantec.com
Mais informaes sobre como usar o Portal de licenciamento da Symantec para
gerenciar licenas esto disponveis no site de atendimento ao cliente da Symantec:
http://customersupport.symantec.com/
Nota: Voc deve criar uma conta para usar o portal de licenciamento. Se voc no
tiver uma conta do Portal de licenciamento da Symantec, um link ser fornecido
na pgina principal para criar uma conta.


Quando a Symantec divulgar uma nova verso do Symantec Endpoint Protection,
voc poder aplicar sua licena ativa existente na nova verso. Voc recebe uma
notificao de e-mail de que uma nova verso est disponvel, incluindo instrues
para fazer o download da nova verso do Symantec Endpoint Protection.
Para obter mais informaes sobre licenciamentos de upgrades de produtos,
consulte as Perguntas frequentes do Upgrade da verso no seguinte URL:
http://www.symantec.com/business/products/upgrades/faq/index.jsp
Consulte Para fazer upgrade de uma nova verso do Symantec Endpoint
Protection na pgina 168.
Sobre como renovar sua licena do Symantec

Endpoint Protection
Quando sua licena atual estiver prestes a expirar, o Symantec Endpoint Protection
Manager enviar notificaes de vencimento da licena ao administrador do
Symantec Endpoint Protection. A Symantec recomenda que voc renove sua
licena antes que ela expire.
Quando voc renovar uma licena, o servidor de gerenciamento remover e
substituir a licena expirada por uma licena nova. Para comprar licenas de
renovao, visite a Loja online da Symantec ou contate seu parceiro da Symantec
ou revendedor de preferncia da Symantec.
Caso voc exclua acidentalmente uma licena, possvel recuper-la pelo console
Consulte Recuperao de uma licena excluda na pgina 128.
Verificao do status da licena

Voc pode descobrir se o servidor de gerenciamento usa uma licena trialware ou
uma licena paga. Tambm possvel obter as seguintes informaes de cada
licena paga que voc importou no console:
Nmero de srie, contagem total de estaes e data de expirao da licena
Nmero de estaes vlidas
125
126

Nmero de estaes implementadas
Nmero de estaes expiradas
Nmero de clientes com implementaes excessivas
O status da licena no est disponvel para uma licena trialware.

Para determinar se sua instalao usa uma licena paga ou uma licena trialware
Na pgina Admin, clique em Licenas.
Para verificar o status da licena de licenas pagas
No console, clique em Incio.
Na pgina Incio, clique em Detalhes de licenciamento.


As licenas do Symantec Endpoint Protection so aplicadas de acordo com as
seguintes regras:
Tabela 4-4
Licenciamento de regras de imposio
Onde aplica-se
Regra
Termo da licena
O termo da licena tem incio na hora e na data de

ativao e vai at meia-noite do ltimo dia do termo
do licenciamento.
Se voc tiver vrios sites, a licena expirar no dia e na
hora do banco de dados do Symantec Endpoint
Protection Manager na extremidade esquerda.
Cobertura da licena:
componentes do Symantec
Endpoint Protection
A licena do Symantec Endpoint Protection se aplica

aos clientes do Symantec Endpoint Protection. Por
exemplo, em uma rede com 50 endpoints, a licena deve
fornecer um mnimo de 50 estaes. As instncias do
Symantec Endpoint Protection Manager no exigem
uma licena.

Onde aplica-se
Regra
Cobertura da licena: sites e

domnios
Uma licena de produto do Symantec Endpoint

Protection aplicada a uma instalao inteira
independentemente do nmero de sites replicados ou
de domnios que compem a instalao. Por exemplo,
uma licena para 100 estaes cobre uma instalao de
dois sites em que cada site tem 50 estaes.
Se voc no implementou a replicao, poder
implementar o mesmo arquivo .slf em vrios servidores
de gerenciamento do Symantec Endpoint Protection. O
nmero de clientes que geram relatrios aos servidores
de gerenciamento no deve exceder o nmero total de
estaes licenciadas.
Cobertura da licena: plataformas As estaes de licenciamento aplicam-se aos clientes

executados em qualquer plataforma, seja a plataforma
Windows ou Mac.
Cobertura da licena: produtos e As estaes de licena se aplicam igualmente atravs
verses
das verses do produto. Por exemplo, uma licena cobre
clientes das verses 11.x e 12.1.x dentro do mesmo site.

A Symantec recomenda fazer backup de seus arquivos de licena. O backup dos
arquivos de licena mantm os arquivos de licena caso o banco de dados ou o
disco rgido do computador do console sejam danificados.
Por padro, quando voc importar o arquivo de licena usando o Assistente de
Ativao de licena, o Symantec Endpoint Protection Manager colocar uma cpia
do arquivo de licena no seguinte local: \\Diretrio de instalao do Symantec
Endpoint Protection Manager\Inetpub\licena
Se tiver colocado os arquivos de licena obtidos originalmente por download no
local incorreto ou tiver recebido os arquivos por e-mail, voc poder fazer o
download dos arquivos novamente no site do Portal de licenciamento da Symantec.
Para fazer backup dos arquivos de licena
Usando o Windows, copie os arquivos de licena .slf do diretrio onde voc

salvou os arquivos para outro computador de sua escolha.
Consulte o procedimento de sua empresa para fazer backup de arquivos.
127
128


Consulte Sobre o Portal de licenciamento da Symantec na pgina 124.

Se voc excluir acidentalmente um arquivo de licena, poder recuper-lo no
console do Symantec Endpoint Protection Manager.
Para recuperar uma licena excluda
Na pgina Administrador do console do Symantec Endpoint Protection

Manager, clique em Licenas e, em Tarefas, clique em Recuperar licena
excluda.
No painel Recuperao de licena, verifique a licena excluda que voc quer

recuperar e clique em Enviar.
Para apagar clientes obsoletos do banco de dados e

tornar mais licenas disponveis
O Symantec Endpoint Protection Manager pode exibir incorretamente um status
de implementao excessivo devido a clientes obsoletos. Eles so entradas do
banco de dados para os clientes que no mais se comunicam com o Symantec
Endpoint Protection Manager no ambiente protegido. Os clientes podem se tornar
obsoletos por muitas razes, como quando voc faz upgrade do sistema operacional,
desativa um computador ou muda a configurao de hardware.
Os clientes obsoletos afetam a licena do produto; portanto, importante apagar
clientes obsoletos assim que forem criados. Se os relatrios da licena mostrarem
mais estaes licenciadas do que aquelas implementadas, ser necessrio apagar
os clientes obsoletos do banco de dados. Por padro, a limpeza ocorre a cada 30
dias. Reduza o intervalo entre os ciclos de limpeza para apagar mais rapidamente
os clientes obsoletos. Redefina o intervalo conforme a necessidade para que se
adque a suas necessidades de longo prazo depois que o ciclo de apagamento for
concludo. Em infraestruturas de desktop virtual no persistentes (VDIs, Virtual
Desktop Infrastructures), voc pode definir um perodo de tempo separado para
apagar os clientes no persistentes. Esta configurao apaga os clientes off-line
que no se conectaram durante o perodo de tempo definido. Os clientes no
persistentes off-line no afetam a contagem de licenas.

Para apagar clientes obsoletos do banco de dados
No Symantec Endpoint Protection Manager, na pgina Administrador, clique

em Domnios.
Na rvore Domnios, selecione o domnio desejado.
Na guia Editar propriedades de domnio > Geral, mude o horrio especificado

para excluir os clientes que no se conectaram no tempo padro de 30 dias
para 1.
Clique em OK.
Aguarde 24 horas e reverta ento as configuraes para 30 dias ou outro

intervalo que satisfaa seus requisitos.

Quando voc comprar uma licena de vrios anos, receber um conjunto de
arquivos de licena igual ao nmero de anos durante os quais sua licena ser
vlida. Por exemplo, uma licena de trs anos consiste em trs arquivos de licena
separados. Quando voc ativar uma licena de vrios anos, importar todos os
arquivos de licena durante a mesma sesso de ativao. O Symantec Endpoint
Protection Manager mescla os arquivos de licena separados em uma nica licena
ativada vlida durante o perodo comprado.
Embora no seja recomendado, possvel ativar menos licenas do que aquelas
fornecidas no pacote completo. Neste caso, o Symantec Endpoint Protection
Manager mescla os arquivos e os aplica pela durao do arquivo de licena que
expirar por ltimo. Por exemplo, uma licena de trs anos ativada com apenas os
primeiros dois arquivos indica uma durao de apenas dois anos. Quando o terceiro
arquivo for ativado posteriormente, a durao completa da licena ser indicada
exatamente como trs anos. Em todos os casos, o nmero de estaes permanece
consistente com o nmero de estaes que voc comprou.
Quando o Symantec Endpoint Protection Manager mesclar os arquivos, os arquivos
com menor durao sero excludos e o arquivo com maior durao ser mantido
para as funes de manuteno de licenas internas. Se voc considerar que uma
licena foi excluda de modo inapropriado, recupere e reative a licena excluda.
Voc pode ver os nmeros de srie da licena com durao mais curta que so
associados licena ativa. Na pgina Administrador, clique em Licenas e depois
clique na licena ativada. As licenas associadas aparecero na coluna Licenas
associadas.
129
130

Consulte Recuperao de uma licena excluda na pgina 128.


Para ativar o envio dos dados de reputao de um cliente no gerenciado, voc
dever instalar uma licena paga no cliente no gerenciado.
Encontre e crie uma cpia de seu arquivo de licenciamento atual da Symantec

(.slf).
Use o mesmo arquivo que voc usou para ativar sua licena no Symantec
No computador-cliente, coloque o arquivo de licena copiado na caixa de

entrada do cliente do Symantec Endpoint Protection.
Nos clientes executados em uma verso anterior ao Windows Vista, a caixa

de entrada encontrada em: Unidade:\Documents and Settings\All
Users\Dados de aplicativos\Symantec\Symantec Endpoint
Protection\CurrentVersion\inbox
Em clientes que usam Vista ou uma verso posterior do Windows, a caixa

de entrada encontrada em: Unidade:\ProgramData\Symantec\Symantec
Endpoint Protection\CurrentVersion\inbox\
Se o arquivo de licena for invlido ou a instalao da licena falhar, uma

pasta nomeada Invlido ser criada e a licena invlida ser colocada na
pasta. Se o arquivo for vlido, ele ser removido automaticamente da caixa
de entrada depois de processado.
Para verificar se voc aplicou a licena corretamente, certifique-se de que

nenhum arquivo aparea na pasta da caixa de entrada.
Verifique se o arquivo .slf est em uma das seguintes pastas:
Para clientes executados em uma verso anterior ao Windows Vista:

Unidade:\Documents and Settings\All Users\Dados de
aplicativos\Symantec\Symantec Endpoint
Protection\identificao_silo\Data\Config
Para clientes executados no Vista ou em verses posteriores do Windows:

Unidade:\ProgramData\Symantec\Symantec Endpoint
Protection\identificao_silo\Data\Config
Voc pode tambm incluir o arquivo .slf como parte de um pacote de

implementao de terceiros.

Consulte Para instalar o software-cliente usando ferramentas de terceiros

na pgina 1176.
131
132

Captulo
Para instalar o cliente do

Symantec Endpoint
Protection
Preparao para a instalao do cliente
Sobre mtodos de implementao do cliente
Para exportar pacotes de instalao do cliente
Sobre as configuraes de instalao do cliente
Para configurar recursos do pacote de instalao do cliente
Para configurar pacotes do cliente para desinstalar software de segurana de

terceiros existente
Para reiniciar computadores-cliente
Sobre clientes gerenciados e no gerenciados
Instalao de um cliente no gerenciado
Para desinstalar o cliente Windows
Para desinstalar o cliente Mac
Para gerenciar pacotes de instalao do cliente
Para adicionar atualizaes de pacotes de instalao do cliente
134
Para instalar o cliente do Symantec Endpoint Protection


A Tabela 5-1 relaciona as aes que voc deve executar antes de poder instalar o
software-cliente nos computadores em sua rede.
Tabela 5-1
Preparao do computador-cliente
Ao
Descrio
Identificar os
computadores-cliente
Identifique os computadores nos quais deseja instalar o software-cliente. Todos os

computadores devem executar um sistema operacional suportado.
Para verificar os requisitos do sistema mais atuais, consulte: Release Notes and System
Requirements for all versions of Symantec Endpoint Protection and Symantec Network
Access Control (em ingls)
Nota: A Symantec recomenda instalar tambm o cliente no computador que hospeda

o Symantec Endpoint Protection Manager.
Identificar grupos de
computadores
Identifique os grupos de computadores a que voc quer que os clientes pertenam.

Voc pode agrupar os clientes baseados no tipo de computador, para estar de acordo
com sua organizao corporativa ou no nvel de segurana necessrio. Voc pode
criar estes grupos se ainda no o tiver feito. Voc tambm pode importar uma estrutura
de grupo existente, como uma estrutura do Active Directory.
Consulte Atribuio de clientes a grupos antes de instalar o software-cliente
na pgina 232.

Ao
Descrio
Preparar computadores para Prepare os computadores para a implementao do cliente remoto.

a implementao remota
Modifique as configuraes de firewall para permitir a comunicao entre os
componentes do Symantec Endpoint Protection.
Desinstale qualquer software de proteo antivrus legado da Symantec se a
migrao no for suportada.
Consulte Caminhos de migrao suportados e no suportados no Symantec
Consulte a documentao da Symantec de seu software de proteo antivrus
legado da Symantec para obter informaes sobre a desinstalao.
Nota: Se seus usurios no tiverem direitos administrativos para seus computadores,

instale remotamente o software-cliente usando Instalao remota por envio. A
instalao remota por envio exige que voc incorpore as credenciais que tm direitos
administrativos locais para os computadores.
na pgina 144.
Implementar o
software-cliente
Implemente o software-cliente usando qualquer um dos trs mtodos disponveis.

Voc tambm pode exportar um pacote de cliente personalizado antes de
implement-lo.
Consulte Para exportar pacotes de instalao do cliente na pgina 149.
Voc decide que recursos instalar nos computadores-cliente.
Consulte Sobre as configuraes de instalao do cliente na pgina 152.
na pgina 153.
Voc pode escolher desinstalar automaticamente o software de segurana de
terceiros existente ao criar ou implementar um pacote de instalao do cliente.
Caso contrrio, voc dever desinstalar o software de segurana de terceiros antes
da implementao.
Nota: Alguns programas podem ter rotinas especiais de desinstalao: Consulte

a documentao do software de terceiros.
135
136

Ao
Descrio
Verificar o status da
instalao
Voc deve confirmar o status dos clientes no console. Os clientes gerenciados podem
no aparecer no console at depois de serem reiniciados.
Voc pode executar etapas adicionais para proteger computadores no gerenciados
e otimizar o desempenho da instalao do Symantec Endpoint Protection.
Consulte Sobre clientes gerenciados e no gerenciados na pgina 158.
Consulte Instalao de um cliente no gerenciado na pgina 159.
na pgina 54.
Preparao dos sistemas operacionais Windows para implementao

remota
A Tabela 5-2 relaciona as tarefas associadas que voc deve fazer em sistemas
operacionais do computador-cliente para instalar com xito o cliente remotamente.
Tabela 5-2
Aes da implementao remota
Sistema operacional
Tarefas
Preparar os servidores dos

computadores Windows XP
ou do Windows Server 2003
que so instalados nos
grupos de trabalho
Os servidores dos computadores Windows XP e do Windows Server 2003 que so

instalados nos grupos de trabalho no aceitam a implementao remota por padro.
Para permitir a implementao remota, desative o compartilhamento simples de
arquivos.
Nota: Esta limitao no se aplica aos computadores que fazem parte de um domnio
do Windows.
Voc tambm pode precisar executar as tarefas a seguir:
Assegure-se de que a conta de administrador no tenha uma senha vazia.
Desative o firewall do Windows ou permita as portas necessrias para uma

comunicao entre o Symantec Endpoint Protection e o Symantec Endpoint
Protection Manager.

Sistema operacional
Tarefas
Preparar computadores
Windows Vista, Windows 7
ou Windows Server 2008
O controle de conta de usurio do Windows impede contas administrativas locais de

acessar remotamente compartilhamentos administrativos remotos como C$ e Admin$.
No ser necessrio desativar inteiramente o Controle de conta de usurio nos
computadores-cliente durante a implementao remota se voc desativar a chave do
registro LocalAccountTokenFilterPolicy. Para obter mais informaes, visite o seguinte
URL:
http://support.microsoft.com/kb/951016
Para enviar o software-cliente remotamente em computadores, ser necessrio usar
uma conta de administrador do domnio se o computador-cliente fizer parte de um
domnio do Active Directory. A implementao remota exige tambm privilgios de
administrador para instalar.
Execute as tarefas a seguir:
Preparar computadores
Windows 8 ou Windows
Server 2012
Desative o Assistente de Compartilhamento.
Ative a descoberta de rede usando a central de rede e compartilhamento.
Ative a conta do administrador integrado e atribua uma senha conta.
Verifique se a conta tem privilgios de administrador.
Antes de implementar, execute as tarefas a seguir:
Desative o Firewall do Windows.
Crie a chave do registro LocalAccountTokenFilterPolicy. Para obter mais

informaes, visite o seguinte URL:
http://support.microsoft.com/kb/942817
Ative e inicie o servio Remote Registry.
Consulte sua documentao do Windows para obter mais informaes.

Sobre firewalls e portas de comunicao

Se seu Symantec Endpoint Protection Manager e os computadores-cliente
executarem software de firewall, ser necessrio abrir determinadas portas para
comunicao entre o servidor de gerenciamento e os clientes. Consulte sua
documentao do produto de software do firewall para obter instrues sobre
portas abertas ou permitir que os aplicativos usem portas.
137
138

Aviso: O firewall no cliente do Symantec Endpoint Protection desativado por

padro na instalao inicial. Para garantir a proteo de firewall, deixe o firewall
do Windows ativado nos clientes at que o software esteja instalado e o cliente
tenha sido reiniciado. O firewall do cliente do Symantec Endpoint Protection
desativar automaticamente o firewall do Windows quando o computador for
reiniciado.
Tabela 5-3
Portas para a instalao e comunicao de clientes e servidores
Funo
Componente
Protocolo e porta
Implementao de
envio
Servidor de gerenciamento e
cliente
TCP 139 e 445 em clientes e servidores de gerenciamento

UDP 137 e 138 em clientes e servidores de gerenciamento
Portas TCP efmeras em clientes e servidores de
gerenciamento
Comunicao do
Provedor de
atualizaes de grupo
Provedor de atualizaes de
grupo
TCP 2967 em todos os dispositivos
Nota: Voc pode alterar esta porta padro.
Provedor de atualizaes de
grupo e clientes
Comunicao geral
cliente
Para servidores de gerenciamento e clientes:

TCP 8014 para servidores de gerenciamento, por
padro.
Voc pode alterar a TCP 8014 (HTTP) para TCP 443
(HTTPS).
Porta TCP efmera nos clientes.
Para servidores e consoles de gerenciamento remoto:

TCP 8443 para servidores e console de gerenciamento
remoto
Portas TCP efmeras e 9090 nos consoles
TCP 8445 para consoles remotos da gerao de

relatrios
Comunicao de
replicao
De site para site entre os

servidores de bancos de dados
TCP 8443 entre servidores de bancos de dados
Instalao remota do
console do Symantec
Endpoint Protection
Manager
console do servidor de
gerenciamento remoto
TCP 9090 em servidores de gerenciamento remoto

Portas TCP efmeras nos consoles remotos
Nota: Voc pode alterar a porta.

Funo
Componente
Protocolo e porta
Servios da Web
Monitoramento remoto e
Gerenciamento (RMM, Remote
Monitoring and Management)
TCP 8446 para servios Web de RMM

TCP 8444 para servios Web do Symantec Protection
Center 2.x
Symantec Protection Center 2.x

Comunicao externa
do banco de dados
Servidores remotos Microsoft

TCP 1433 nos servidores Microsoft SQL remotos
SQL e servidor de gerenciamento
Portas TCP efmeras em servidores de gerenciamento
Nota: A porta 1433 o padro.

Comunicao do
Symantec Network
Access Control
Enforcer
Enforcer
TCP 1812 em servidores de gerenciamento

Portas TCP efmeras nos enforcers
Nota: Servidores RADIUS usam a porta 1812. No

possvel instalar o servidor de gerenciamento no mesmo
servidor. Voc pode no alterar a porta no servidor de
gerenciamento.
Autenticao de cliente pelo Enforcer no UDP 39.999
Migrao e
implementao do
cliente
Symantec Endpoint Protection Portas efmeras TCP 139, TCP 445, TCP e UDP 137
Manager e servidor de
gerenciamento Symantec legado
LiveUpdate
Cliente e servidor LiveUpdate
Portas TCP efmeras nos clientes

TCP 80 nos servidores do LiveUpdate
Windows Vista, Windows 7, Windows 8, Windows Server 2008 e Windows

Server 2012 contm um firewall ativado por padro. Se o firewall estiver
ativado, talvez voc no possa instalar ou implementar remotamente o
software-cliente. Se voc tiver problemas ao implementar o cliente nos
computadores que executam estes sistemas operacionais, configure seus
firewalls para que permitam o trfego necessrio.
Se voc tiver o software de proteo antivrus legado da Symantec em seu

ambiente, abra a porta 2967 de TCP e de UDP, se j no estiverem abertas.
Se voc decidir usar o firewall do Windows aps a implementao, ser

necessrio configur-lo para permitir o compartilhamento de arquivos e de
impressoras (porta 445).
Para obter mais informaes sobre como configurar definies do firewall do

Windows, consulte a documentao do Windows.
Consulte Como ativar ou desativar uma poltica de firewall na pgina 458.
139
140



Implemente o cliente do Symantec Endpoint Protection usando o Assistente de
Implementao de Cliente. Voc implementa o software-cliente depois que o
Symantec Endpoint Protection Manager estiver instalado.
Antes de executar o Assistente de Implementao de cliente, voc deve identificar
as configuraes da instalao do cliente.
A Tabela 5-4 exibe os mtodos de implementao do cliente que voc pode usar.
Tabela 5-4
Opes de implementao do cliente
Opes
Descrio
Link da Web e e-mail
Os usurios recebem uma mensagem de e-mail que contm

um link para fazer o download e instalar o software-cliente.
Os usurios devem ter direitos de administrador locais de
seus computadores. A Instalao de link da Web e notificao
de e-mail o mtodo de implementao recomendado.
Consulte Para implementar clientes usando e-mail e link
da Web na pgina 142.
Instalao remota por envio A instalao remota por envio permite controlar a instalao
do cliente. A Instalao remota por envio instala
remotamente o software-cliente nos computadores
especificados. A instalao inicia automaticamente.
Consulte Preparao dos sistemas operacionais Windows
para implementao remota na pgina 136.
Consulte Para implementar clientes usando a instalao
remota por envio na pgina 144.
Salvar pacote
A instalao personalizada cria um pacote de instalao

executvel que voc salvar no servidor de gerenciamento e
distribuir aos computadores-cliente. Os usurios executam
um arquivo setup.exe para instalar o software-cliente.
Consulte Para implementar clientes usando a opo Salvar
pacote na pgina 147.
Consulte Quais recursos deve voc instalar no cliente? na pgina 141.


Quais recursos deve voc instalar no cliente?

Quando voc implementar o cliente usando o Assistente de Implementao de
cliente, ser necessrio escolher o conjunto de recursos. O conjunto de recursos
inclui vrios componentes de proteo que so instalados no cliente. possvel
instalar um conjunto de recursos padro ou selecionar componentes individuais.
Decida o conjunto de recursos que voc instalar com base na funo dos
computadores e no nvel de segurana ou de desempenho exigidos pelos
computadores.
A Tabela 5-5 relaciona as tecnologias de proteo que devem ser instaladas nos
computadores-cliente com base em suas funes.
Tabela 5-5
Conjunto de recursos recomendados por funo do computador
Funo de computador-cliente Conjunto de recursos recomendados

Estaes de trabalho,
computadores desktop e laptop
Proteo completa para clientes

Inclui todas as tecnologias de proteo. Apropriada para
laptops, estaes de trabalho e desktops. Inclui a
Proteo de download completa e a proteo de
protocolo de correio.
Nota: Sempre que possvel, use a Proteo completa

para obter o mximo de segurana.
Servidores
Proteo completa para servidores

Inclui todas as tecnologias de proteo, exceto a
proteo de protocolo de e-mail. Apropriada para todos
os servidores que exigem segurana mxima da rede.
Servidores com alta taxa de

transferncia
Proteo bsica para servidores

Inclui a Proteo contra vrus e spyware e a Proteo
de download. Apropriada para todos os servidores que
exigem desempenho mximo da rede.

na pgina 153.
141
142

Para implementar clientes usando e-mail e link da Web

O mtodo de e-mail e link da Web cria um URL para cada pacote de instalao do
cliente. Envie o link aos usurios em um e-mail ou disponibilize-o em uma
localizao de rede.
O link da Web e de e-mail executa as seguintes aes:
Seleciona e configura os pacotes de instalao do cliente.

Os pacotes de instalao do cliente so criados para computadores Windows
de 32 bits e 64 bits. Os pacotes de instalao so armazenados no computador
que executa o Symantec Endpoint Protection Manager.
Notifica os usurios de computador sobre os pacotes de instalao do cliente.

Uma mensagem de e-mail enviada aos usurios de computador selecionados.
A mensagem de e-mail contm instrues para fazer o download e instalar os
pacotes de instalao do cliente. Os usurios seguem as instrues para instalar
o software-cliente.
O pacote de instalao do cliente Mac exportado automaticamente como um

arquivo morto .zip. Para expandir o pacote e extrair a pasta que contm o arquivo
do instalador da Apple (.pkg) e a pasta Additional Resources,, use o recurso
Archive Utility do Mac ou o comando ditto. Voc no pode usar o comando
unzip do Mac, um aplicativo de terceiros, nem qualquer aplicativo do Windows
para expandir este arquivo. Voc deve manter o arquivo .pkg e a pasta Additional
Resources juntos para concluir com xito a instalao.
Antes de implementar o pacote de instalao do cliente com e-mail, certifique-se
de configurar corretamente a conexo do servidor de gerenciamento ao servidor
de e-mail.
Inicie a implementao do cliente atravs do console.

Para implementar os clientes usando um e-mail e link da Web
No console, na pgina Incio, no menu Tarefas comuns, selecione Instalar

cliente de proteo nos computadores.
Em Assistente de Implementao de Cliente, clique em Nova implementao

de pacote para criar um pacote de instalao novo e clique novamente em
Avanar.
A opo Implementao de pacote existente permite implementar os pacotes
que foram exportados previamente, mas voc pode somente usar a Instalao
remota por envio com esta opo.
A opo Implementao de pacote de atualizao de comunicao permite
atualizar configuraes de uma comunicao do cliente nos computadores
que j tm o cliente instalado. Use esta opo para converter um cliente no
gerenciado a um cliente gerenciado. Voc pode somente usar a Instalao
remota por envio ou Salvar pacote com esta opo.
na pgina 144.
Consulte Para implementar clientes usando a opo Salvar pacote
na pgina 147.
Consulte Para restaurar as comunicaes cliente-servidor usando um pacote
de instalao do cliente na pgina 761.
Para um novo pacote, faa selees de Pacotes de instalao, Grupo, Instalar

conjuntos de recursos, Configuraes da instalao, Opes de contedo e
Modo de preferncia. Clique em Avanar.
Nota: Para desinstalar software de segurana de terceiros no cliente, voc
deve especificar as configuraes personalizadas de instalao do cliente
antes de iniciar o Assistente de Implementao de Cliente. Para verificar qual
software de terceiros removido pelo pacote do cliente, consulte o seguinte
artigo da base de conhecimento: About the third-party security software
removal feature in Symantec Endpoint Protection 12.1 (em ingls).
Clique em Link da Web e e-mail e em Avanar.
143
144

No painel Destinatrios e mensagem de e-mail, especifique os destinatrios

do e-mail e o assunto.
Para especificar vrios destinatrios de e-mail, digite uma vrgula aps cada
endereo de e-mail. Um administrador de sistema do console de gerenciamento
recebe automaticamente uma cpia da mensagem.
Voc pode aceitar o assunto e o corpo padro do e-mail ou editar o texto. Voc
tambm pode copiar o URL e col-lo em um local online conveniente, como
uma pgina de intranet.
Para criar o pacote e fornecer o link por e-mail, clique em Avanar e em
Concluir.
Certifique-se de que os usurios de computador tenham recebido a mensagem

de e-mail e instalado o software-cliente.
Os computadores-cliente podem no aparecer dentro do console de
gerenciamento at depois de serem reiniciados. Dependendo das configuraes
de reinicializao do cliente implementado, voc ou os usurios do computador
talvez precisem reiniciar os computadores-cliente.
Consulte Para exibir o status de computadores-cliente implementados
na pgina 666.

Consulte Estabelecimento de comunicao entre o servidor de gerenciamento e
os servidores de e-mail na pgina 696.
Para implementar clientes usando a instalao remota por envio

A instalao remota por envio permite controlar a instalao do cliente. A
instalao remota por envio instala remotamente o software-cliente nos
computadores especificados. O uso da opo Instalao remota por envio exige o
conhecimento de como procurar redes para localizar computadores pelo endereo
IP ou por nomes de computador. Quando o pacote for enviado, a instalao ser
executada automaticamente e no depender do usurio do computador para
come-la.
A instalao remota por envio executa as seguintes aes:
Seleciona um pacote de instalao existente do cliente ou cria um pacote de

instalao novo.

Para novos pacotes de instalao, define as configuraes de implementao

do pacote.
Encontra os computadores em sua rede.

O envio remoto localiza computadores especficos para os quais voc fornece
uma faixa ou um nmero IP, ou todos os computadores que so visveis
procurando na rede.
Instala remotamente o software-cliente nos computadores que voc especificar.

A instalao comear automaticamente nos computadores quando o pacote
for enviado com xito.
O cliente Mac no pode ser implementado usando a Instalao remota por envio.
Para implementar clientes usando a instalao remota por envio
No console, na pgina Incio, no menu Tarefas comuns, clique em Instalar

Em Assistente de Implementao de Cliente, execute uma das seguintes

tarefas:
Clique em Nova implementao de pacote para criar um pacote de

instalao novo e clique em Avanar.
Clique em Implementao de pacote existente para usar um pacote criado

previamente e clique em Procurar para encontrar o pacote para
implementar.
O Assistente de Implementao de cliente faz o upload do pacote e
direciona-o ao painel Seleo de computador (etapa 5).
Clique em Implementao de pacote de atualizao de comunicao se

quiser atualizar configuraes de uma comunicao do cliente nos
computadores que j tm o cliente instalado.
Use esta opo para converter um cliente no gerenciado a um cliente
gerenciado.

145
146

Para um pacote novo, no painel Selecionar grupo e conjuntos de recursos

de instalao, faa selees de Pacotes de instalao, de Grupo, de Instalar
conjuntos de recursos, de Configuraes da instalao, de Opes de
contedo e de Modo de preferncia. Clique em Avanar.
Para desinstalar software de segurana de terceiros no cliente, especifique
as configuraes personalizadas de instalao do cliente antes de iniciar o
Assistente de Implementao de cliente. Voc pode tambm usar o pacote de
instalao de um cliente existente que esteja configurado para ativar esta
funo. Para visualizar o software de terceiros removido pelo pacote do cliente,
consulte o seguinte artigo da base de conhecimento: About the Security
Software Removal feature in Symantec Endpoint Protection 12.1 (em ingls).
Clique em Instalao remota por envio e em Avanar.
No painel Seleo de computador, encontre os computadores para receber

o software usando um dos seguintes mtodos:
Para procurar a rede para computadores, clique em Procurar rede.
Para encontrar computadores pelo endereo IP ou pelo nome do

computador, clique em Pesquisar rede e em Encontrar computadores.
Voc pode definir um valor de tempo limite para restringir a quantidade de

tempo que o servidor utiliza em uma pesquisa.
Clique em > > para adicionar os computadores lista e autentic-los com o

domnio ou grupo de trabalho se o assistente solicitar.
A Instalao remota por envio exige privilgios elevados.
Se o computador-cliente fizer parte de um domnio do Active Directory, voc
dever usar uma conta de administrador de domnio.
Clique em Avanar e em Enviar para enviar o software-cliente aos

computadores selecionados.
Quando o painel Resumo da implementao indicar uma implementao
bem-sucedida, a instalao comear automaticamente nos
A instalao leva vrios minutos para ser concluda.

Clique em Avanar e em Concluir.
Confirme o status dos clientes implementados na pgina Clientes.

na pgina 666.

Para implementar clientes usando a opo Salvar pacote

A opo Salvar pacote cria os pacotes de instalao que voc pode instalar
manualmente, com software de implementao de terceiros ou com um script de
login.
A opo Salvar pacote executa as seguintes aes:
Cria um pacote de instalao de 32 bits ou de 64 bits.

O pacote de instalao pode abranger um arquivo setup.exe ou uma coleo
de arquivos que incluem um arquivo setup.exe. Frequentemente, os usurios
de computador consideram um arquivo setup.exe mais fcil de usar.
Salva o pacote de instalao em um diretrio no computador que executa o

Voc deve fornecer o pacote de instalao aos usurios de computador. Os usurios

executam o arquivo setup.exe para instalar o software-cliente. Voc ou os usurios
de computador devem reiniciar os computadores aps a instalao. Como
alternativa, voc pode usar o software de implementao de terceiros para executar
a instalao.
O pacote de instalao do cliente Mac exportado automaticamente como um
arquivo morto .zip. Para expandir o pacote e extrair a pasta que contm o arquivo
do instalador da Apple (.pkg) e a pasta Additional Resources,, use o recurso
Archive Utility do Mac ou o comando ditto. Voc no pode usar o comando
147
148

unzip do Mac, um aplicativo de terceiros, nem qualquer aplicativo do Windows
para expandir este arquivo. Voc deve manter o arquivo .pkg e a pasta Additional
Resources juntos para concluir com xito a instalao.
Para implementar clientes usando a opo Salvar pacote
No console, na pgina Incio, no menu Tarefas comuns, clique em Instalar

Em Assistente de Implementao de Cliente, clique em Nova implementao

de pacote para configurar um pacote de instalao novo e clique novamente
em Avanar.
A opo Implementao de pacote existente permite implementar os pacotes
que foram exportados previamente, mas voc pode somente usar a Instalao
remota por envio com esta opo.
A opo Implementao de pacote de atualizao de comunicao permite
atualizar configuraes de uma comunicao do cliente nos computadores
que j tm o cliente instalado. Use esta opo para converter um cliente no
gerenciado a um cliente gerenciado. Clique em Avanar para selecionar o
grupo de clientes em que o pacote instalado.
Para um novo pacote, faa selees de Pacotes de instalao, Grupo, Instalar

conjuntos de recursos, Configuraes da instalao, Opes de contedo e
Modo de preferncia. Clique em Avanar.
Nota: Para desinstalar software de segurana de terceiros no cliente, voc
deve especificar as configuraes personalizadas de instalao do cliente
antes de iniciar o Assistente de Implementao de Cliente. Para visualizar o
software de terceiros removido pelo pacote do cliente, consulte o seguinte
artigo da base de conhecimento: About the Security Software Removal feature
in Symantec Endpoint Protection 12.1 (em ingls).
Clique em Salvar pacote e em Avanar.

Clique em Procurar e especifique a pasta para receber o pacote.

Marque Arquivo .exe nico (padro) ou Separar arquivos (obrigatrio para
.MSI) e clique em Avanar.
Nota: Use a opo nico arquivo .exe, a menos que voc precise de arquivos
separados para um programa de implementao de terceiros.
Analise o resumo das configuraes, clique em Avanar e em Concluir.
Fornea o pacote de instalao personalizada aos usurios de computador.

Por exemplo, voc pode salvar o pacote de instalao em um local da rede
compartilhada ou enviar por e-mail o pacote de instalao aos usurios do
computador. Voc tambm pode usar um programa de terceiros para
implementar o pacote.
Confirme que os usurios de computador receberam e instalaram o

software-cliente e confirme o status dos clientes implementados.
na pgina 666.

na pgina 144.

Convm exportar um pacote de instalao do cliente se voc quiser usar um sistema
de distribuio de terceiros ou um cliente no gerenciado com polticas
personalizadas.
Quando voc exportar pacotes de software-cliente, sero criados arquivos de
instalao do cliente para a implementao. Ao exportar pacotes, preciso procurar
um diretrio que conter os pacotes exportados. Caso especifique um diretrio
149
150

inexistente, ele ser automaticamente criado. O processo de exportao cria

subdiretrios com nomes descritivos no diretrio e coloca os arquivos de instalao
nos subdiretrios.
Por exemplo, se voc criar um pacote de instalao para um grupo chamado Meu
grupo abaixo de Minha empresa, um diretrio chamado Meu grupo_Minha
empresa ser criado. Esse diretrio conter o pacote de instalao exportado.
Nota: Essa conveno de denominao no faz a distino entre pacotes de
instalao do cliente do Symantec Endpoint Protection e do Symantec Network
Access Control. O nome de um pacote exportado para um nico executvel
setup.exe para o Symantec Endpoint Protection e o Symantec Network Access
Control. Portanto, certifique-se de criar uma estrutura de diretrios que permita
distinguir entre os arquivos de instalao do Symantec Endpoint Protection e do
Symantec Network Access Control.
Voc deve decidir se um pacote de instalao ser criado para clientes gerenciados
ou no gerenciados. Ambos os tipos de pacotes tm os recursos, as polticas e as
configuraes que voc atribui. Se voc criar um pacote para clientes gerenciados,
ser possvel gerenci-los com o console do Symantec Endpoint Protection
Manager. Se voc criar um pacote para clientes no gerenciados, no poder
gerenci-los do console. Voc pode converter um cliente no gerenciado a um
cliente gerenciado em qualquer momento com Implementao de pacote de
atualizao de comunicao com Assistente de Implementao de cliente.
Nota: Se voc exportar pacotes de instalao do cliente atravs de um console
remoto, os pacotes sero criados no computador no qual o console remoto for
executado. Alm disso, se vrios domnios forem usados, exporte os pacotes para
cada domnio ou eles no aparecero como disponveis para os grupos de domnio.
Aps voc exportar um ou mais pacotes de instalao, implemente o pacote de
instalao nos computadores-cliente.

Nota: Naqueles computadores que executam as verses de 64 bits de sistemas

operacionais da Microsoft Windows, voc implementa os pacotes de instalao
do cliente com a opo silenciosa ou sem a interveno do usurio. Estes sistemas
operacionais de 64 bits incluem verses do Windows Vista, Windows 7, Windows
8, Windows Server 2008 (inclusive R2) e servidor Windows 2012. Use somente a
opo silenciosa para os pacotes que voc implementa nos computadores que
executam as verses de 32 bits do Windows Vista, Windows 7, Windows 8 e
Windows Server 2008. Quando uma implementao silenciosa for usada, os
aplicativos ligados ao Symantec Endpoint Protection, tal como o Microsoft Outlook
e o Lotus Notes, devero ser reiniciados.
No console, clique em Admin e, em seguida, clique em Instalar pacotes.
Em Instalar pacotes, clique em Pacotes de instalao do cliente.
No painel Pacote de instalao do cliente, em Nome do pacote, clique com

o boto direito do mouse no pacote a ser exportado e clique em seguida em
Exportar.
Na caixa de dilogo Exportar pacote, ao lado da caixa de texto Exportar pasta,

procure e selecione o diretrio que dever conter o pacote exportado e clique
em OK.
Nota: Diretrios com caracteres de dois bytes ou ASCII de alto valor no so
suportados e so bloqueados.
Na caixa de dilogo Exportar pacote, defina as demais opes de acordo com

seus objetivos de instalao.
Para obter detalhes sobre a configurao de outras opes nessa caixa de
dilogo, clique em Ajuda.
Clique em OK.
Consulte Para gerenciar pacotes de instalao do cliente na pgina 162.

Consulte Para restaurar as comunicaes cliente-servidor usando um pacote de
instalao do cliente na pgina 761.
151
152


O Assistente de Implementao de cliente solicita que voc especifique o nome
de grupo e as tecnologias de proteo que voc quer instalar no computador-cliente.
As tecnologias de proteo so agrupadas nos conjuntos de recursos. Voc pode
especificar quais conjuntos de recursos estaro ativos no computador-cliente.
Voc pode atribuir conjuntos de recursos de acordo com o grupo de clientes.
A Tabela 5-6 define os componentes nos conjuntos de recursos que voc pode
instalar no computador-cliente.
Tabela 5-6
Conjunto de recursos
Descrio
Proteo de download bsica

e contra vrus e spyware
Conjuntos de recursos

Instala os recursos principais contra vrus e spyware e proteo de download.
Inclui a verificao em tempo real do arquivo Auto-Protect e a verificao manual
do arquivo.
Proteo de download avanada
Permite o controle total sobre a agressividade da deteco. O Download Insight
detectar um arquivo malicioso ou potencialmente malicioso quando um usurio
tentar fazer download do arquivo de um navegador ou de um cliente de
mensagem de texto. O Download Insight usa as informaes de reputao para
inspecionar arquivos obtidos por download para problemas de segurana.
Proteo de e-mail
Verifica os e-mails em busca de cdigo malicioso enquanto so enviados ou
recebidos.
Consulte Como o Symantec Endpoint Protection usa os dados de reputao para
tomar decises sobre arquivos na pgina 382.
Proteo proativa contra

ameaas
SONAR
Substitui a tecnologia de TruScan nas verses anteriores. O SONAR opera em
tempo real para identificar o comportamento malicioso de ameaas
desconhecidas.
Controle de dispositivos e aplicativos
Monitora os aplicativos em computadores-cliente e no hardware que se conecta

Consulte Sobre o controle de dispositivos e aplicativos na pgina 521.

Para configurar recursos do pacote de instalao do cliente
Conjunto de recursos
Descrio
Proteo contra ameaas

rede
Firewall
Protege contra ameaas da rede detectando e bloqueando o trfego malicioso
de entrada e de sada.
Preveno contra intruses
Usa as assinaturas para identificar ataques em computadores-cliente. Para
ataques conhecidos, a preveno contra intruses descarta automaticamente
os pacotes que correspondem a ameaas conhecidas.
Consulte Como um firewall funciona na pgina 453.
Consulte Como a preveno contra intruses funciona na pgina 504.
Aps a instalao, voc pode ativar ou desativar as tecnologias de proteo nas

polticas de segurana.
na pgina 153.
Consulte Sobre como ativar e desativar a proteo quando voc precisar solucionar
problemas na pgina 245.
na pgina 310.
Para configurar recursos do pacote de instalao do

cliente
Os recursos de instalao so os componentes do cliente que esto disponveis
para instalao. Por exemplo, se pacotes do Symantec Endpoint Protection forem
criados, ser possvel selecionar a instalao de recursos antivrus, antispyware
e de firewall. Tambm possvel selecionar apenas a instalao do recurso antivrus
e antispyware.
Voc deve nomear cada conjunto de selees. Depois, voc seleciona um conjunto
de recursos denominado ao exportar pacotes de software-cliente de 32 ou 64 bits.
Para pacotes de instalao do cliente para servidores de e-mail, em Proteo
download bsica e contra vrus/spyware, no selecione as opes de proteo do
verificador de e-mails. Para pacotes de instalao do cliente para estaes de
trabalho, selecione a opo de proteo do verificador de e-mails que se aplica ao
153
154

Para configurar pacotes do cliente para desinstalar software de segurana de terceiros existente
servidor de e-mail em seu ambiente. Por exemplo, se voc usar um servidor de

e-mail Microsoft Exchange, selecione Verificador do Microsoft Outlook.
Nota: A Symantec testou e certificou os componentes de Proteo contra vrus e
spyware para serem usados em ambientes compatveis com a Federal Desktop
Core Configuration (FDCC).
Para configurar recursos de pacote de instalao do cliente
Em Instalar pacotes, clique em Conjunto de recursos de instalao do cliente.
Em Tarefas, clique em Adicionar conjunto de recursos de instalao do

cliente.
Na caixa de dilogo Adicionar recursos de instalao do cliente, na caixa

Nome, digite um nome.
Na caixa Descrio, digite uma descrio do conjunto de recursos de instalao

de cliente.
Clique em OK.

Para configurar pacotes do cliente para desinstalar

software de segurana de terceiros existente
Voc pode configurar e implementar novos pacotes de instalao para desinstalar
software de segurana de terceiros existentes antes da instalao do cliente
Symantec Endpoint Protection. Desinstalar software de segurana de terceiros
permite ao cliente do Symantec Endpoint Protection ser executado mais
eficientemente.
Ative o recurso de remoo de software de segurana criando ou modificando uma
configurao personalizada de instalao do cliente. Selecione ento esta
configurao personalizada durante a implementao.
Para verificar qual software de terceiros removido pelo pacote do cliente, consulte
o seguinte artigo da base de conhecimento: About the third-party security software

Para configurar pacotes do cliente para desinstalar software de segurana de terceiros existente
removal feature in Symantec Endpoint Protection 12.1 (em ingls). Alguns

programas podem ter rotinas especiais de desinstalao: Consulte a documentao
do software de terceiros.
Nota: Voc no pode remover softwares de segurana de terceiros com pacotes
de cliente Mac ou Symantec Network Access Control. Voc tambm no pode
configurar os pacotes de instalao anteriores ao cliente do Symantec Endpoint
Protection verso 12.1.1101 e verses 11.x do cliente legado para remover
softwares de segurana de terceiros.
Somente os pacotes que voc criar usando o seguinte procedimento podero
remover softwares de segurana de terceiros.
Para configurar pacotes de cliente para desinstalar softwares de segurana de
terceiros existente
No console, na pgina Administrador, clique em Pacotes de instalao e em

Configuraes de instalao do cliente.
Em Tarefas, clique em Adicionar configuraes de instalao do cliente.

Nota: Se voc criou anteriormente uma configurao personalizada das
Configuraes de instalao do cliente, poder modific-las em Tarefas e
depois clicar em Editar configuraes de instalao do cliente. Modificar
uma configurao personalizada existente no modifica pacotes de instalao
exportados previamente.
Na guia Configuraes bsicas, selecione Desinstalar automaticamente o

software de segurana existente e clique em OK.
Voc pode modificar outras opes para esta configurao. Clique em Ajuda
para obter mais informaes sobre estas opes. Clique em OK novamente
para salvar a configurao.
Na pgina Incio, na lista suspensa Tarefas comuns, clique em Instalar cliente

de proteo nos computadores.
155
156

No Assistente de Implementao de cliente, clique em Nova implementao

de pacote e clique em Avanar.
Voc pode usar Implementao de pacote existente para implementar pacotes
de instalao criados previamente por Link da Web e e-mail ou por Salvar
pacote, ou exportados atravs da pgina Administrador. Contudo, voc
dever ter exportado estes pacotes usando uma configurao personalizada
das Configuraes de instalao do cliente como a descrita das etapas 1 at
3.
Em Selecionar grupo e instalar conjunto de recursos, na lista suspensa

Configuraes da instalao, clique na configurao personalizada das
Configuraes de instalao do cliente voc criou ou modificou na etapa 2.
Clique em Avanar.
Escolha o mtodo de implementao que voc quer usar: Link da Web e e-mail,
Instalao remota por envio ou Salvar pacote.
Clique em Avanar para continuar e concluir seu mtodo de implementao

escolhido.
na pgina 144.

Voc precisar reiniciar os computadores-cliente depois de instalar o
software-cliente. Por padro, os computadores-cliente so reiniciados
automaticamente aps a instalao.
Voc pode configurar as opes de reinicializao em um grupo para controlar
como feita a reinicializao dos computadores-cliente aps a Atualizao
automtica. Voc tambm pode reinicializar os computadores-cliente a qualquer
momento executando um comando de reinicializao no servidor de
gerenciamento. Voc tem a opo de agendar os computadores-cliente para
reiniciar durante um perodo que seja conveniente para os usurios. Voc pode
forar uma reinicializao imediata ou dar aos usurios a opo de atras-la.
Para configurar as opes de reinicializao em computadores-cliente
No console, clique em Clientes.
Em Clientes, selecione um grupo e clique em Polticas.

Na guia Polticas, clique em Configuraes gerais.
Na caixa de dilogo Configuraes gerais, na guia Configuraes de

reinicializao, selecione o agendamento e o mtodo de reinicializao.
Algumas opes de reinicializao aplicam-se somente aos clientes Windows.
Para obter detalhes, consulte a ajuda contextual.
Voc tambm pode adicionar uma notificao que seja exibida no
computador-cliente antes que a reinicializao ocorra.
Clique em OK.
Para reiniciar um computador-cliente selecionado
No console, clique em Clientes
Na pgina Clientes, na guia Clientes, selecione um grupo.
Na guia Clientes, selecione um cliente, clique com o boto direito do mouse

em Executar comando nos computadores e clique em Reiniciar
Clique em Sim, especifique as opes de reinicializao necessrias e clique

em OK.
Para reiniciar os computadores-cliente em um grupo selecionado
Na pgina Clientes, na guia Clientes, selecione um grupo, clique em Executar

comando no grupo e clique em Reiniciar computadores-cliente.
Clique em Sim, especifique as opes de reinicializao necessrias e clique

em OK.
Consulte Sobre comandos que voc pode executar em computadores-cliente

na pgina 247.
na pgina 250.
157
158


Instale o software-cliente como um cliente gerenciado ou como um cliente no
gerenciado. Na maioria dos casos, voc deve instalar um cliente gerenciado.
Convm instalar um cliente no gerenciado se quiser que o usurio tenha mais
controle sobre o computador, tal como um computador de teste. Certifique-se de
que os usurios do cliente no gerenciado tenham o nvel apropriado de
conhecimento para especificar todas as configuraes de segurana que forem
diferentes das configuraes padro.
Tabela 5-7
Diferenas entre um cliente gerenciado e um no gerenciado
Tipo
Descrio
Cliente gerenciado
Voc administra os clientes atravs do console. Os

computadores-cliente gerenciados se conectam sua rede.
Voc usa o console para atualizar o software-cliente, as
polticas de segurana e as definies de vrus nos
computadores-cliente gerenciados.
Na maioria dos casos, instale o software-cliente como um
cliente gerenciado.
Voc pode instalar um cliente gerenciado em qualquer uma
das seguintes maneiras:
Cliente no gerenciado
Durante a instalao inicial do produto
Do console aps a instalao
O usurio de computador primrio deve administrar o

computador-cliente. Um cliente no gerenciado no pode
ser administrado atravs do console. O usurio de
computador primrio deve atualizar o software-cliente, as
polticas de segurana e as definies de vrus no
computador-cliente no gerenciado.
Instale um cliente no gerenciado diretamente do disco do
produto. Voc tambm pode exportar um cliente no
gerenciado do console de gerenciamento com polticas de
um grupo ou com as polticas padro.
Consulte Para exportar pacotes de instalao do cliente
na pgina 149.
Consulte Instalao de um cliente no gerenciado
na pgina 159.
Consulte Por que eu preciso substituir o arquivo de comunicao servidor-cliente

no computador-cliente? na pgina 759.


Os clientes no gerenciados no se conectam ao Symantec Endpoint Protection
Manager. Na maioria dos casos, os clientes no gerenciados se conectam ou no
a sua rede intermitentemente.
Voc ou os usurios principais do computador devem manter os computadores.
Esta manuteno inclui a monitorao e o ajuste da proteo nos computadores,
e a atualizao de polticas de segurana, definies de vrus e software.
Para instalar um cliente Windows no gerenciado
No computador, insira o disco do produto.

A instalao deve iniciar automaticamente. Se no iniciar automaticamente,
clique duas vezes em Setup.exe.
produto para um disco fsico, como um disco rgido. Execute o arquivo
Setup.exe no disco fsico.
Se voc exportar o cliente no gerenciado do console de gerenciamento, copie
a pasta exportada no computador-cliente e clique duas vezes em Setup.exe.
Clique em Instalar um cliente no gerenciado e clique em Avanar.
No painel Contrato de licena, clique em Aceito os termos do contrato de

licena e depois clique em Avanar.
Confirme se o computador no gerenciado foi selecionado e clique em

Avanar.
Este painel ser exibido quando voc instalar o software-cliente pela primeira
vez em um computador.
No painel Opes de proteo, selecione os tipos de proteo e clique em

Avanar.
No painel Pronto para instalar o programa, clique em Instalar.
No painel Assistente concludo, clique em Concluir.
159
160

Para instalar um cliente Mac no gerenciado
No computador Mac, insira e clique duas vezes no disco do produto.

produto em um disco fsico, tal como um disco rgido, em um computador
Windows. Copie a pasta SEP_MAC para a rea de trabalho do computador Mac.
Clique duas vezes na pasta SEP_MAC.
Clique duas vezes em Symantec Endpoint Protection.dmg para mont-lo

como um disco virtual.
Clique duas vezes em Symantec Endpoint Protection.pkg para iniciar a

instalao.
No painel Introduo, clique em Continuar.
No painel Acordo de licena de software, clique em Continuar e clique em

Concordar.
Voc pode imprimir ou salvar o contrato de licena para reviso.
Clique em Instalar e em Continuar instalao.

Digite a senha para a conta administrativa do Mac quando solicitado.
No painel Resumo, clique em Desconectar.

Quando voc fizer login novamente no computador Mac, o LiveUpdate ser
inicializado para atualizar as definies.

Desinstale o cliente do Symantec Endpoint Protection usando o painel de controle
apropriado do Windows, como Adicionar ou remover programas.
Se o software-cliente usar uma poltica que bloqueia os dispositivos de hardware,
a poltica bloquear os dispositivos depois que voc desinstalar o software. Use o
Gerenciador de dispositivos do Windows para desbloquear os dispositivos.
Consulte sua documentao do Windows para obter mais informaes.
Para desinstalar o cliente
O texto visualizado depender do sistema operacional do computador-cliente.

No computador-cliente, no menu Iniciar, clique em Painel de Controle >

Adicionar ou remover programas (ou Painel de Controle > Programas >
Desinstalar um programa ).
Na caixa de dilogo Adicionar ou remover programas (ou Desinstalar ou

alterar um programa ), clique em Symantec Endpoint Protection e depois
em Alterar Remover ou Desinstalar.
Siga os prompts na tela para remover o software-cliente.
Se o mtodo padro de desinstalao do Windows falhar, voc poder ter que

desinstalar manualmente o cliente. Para obter mais informaes, consulte o artigo
da base de conhecimento: Methods for uninstalling Symantec Endpoint Protection
(em ingls).

Voc pode desinstalar o cliente Mac do Symantec Endpoint Protection usando o
Desinstalador da Symantec que includo no disco do produto, na pasta SEP_MAC.
Dois arquivos so fornecidos no arquivo morto .tgz. O Desinstalador da
Symantec o verdadeiro desinstalador do cliente Mac do Symantec Endpoint
Protection. SymantecUninstaller.pkg permite instalar o Desinstalador da
Symantec no computador-cliente. Por exemplo, voc pode instalar o Desinstalador
da Symantec para permitir que um usurio administrativo desinstale o cliente
Mac do Symantec Endpoint Protection futuramente. Para instalar o Desinstalador
da Symantec no computador-cliente, no desinstale o Cliente Mac do Symantec
Nota: Aps desinstalar o cliente do Symantec Endpoint Protection, voc ser
alertado para reiniciar o computador-cliente para concluir a desinstalao.
Certifique-se de que os usurios do computador-cliente salvem antes seu trabalho
ou fechem todos os aplicativos abertos.
Copie o arquivo morto do Desinstalador da Symantec .tgz para o

computador-cliente Mac.
Clique duas vezes no arquivo para extrair a pasta do Desinstalador da

Symantec usando o Utilitrio de arquivamento.
Clique duas vezes em Desinstalador da Symantec.
Na coluna Excluir, marque a caixa na frente do Symantec Endpoint Protection,

e clique em Desinstalar.
161
162

Clique em Desinstalar novamente para confirmar e se autentique com seu

nome de usurio administrativo e senha do Mac quando solicitado.
Clique em Reiniciar para reiniciar o computador Mac.
Se o Desinstalador da Symantec falhar, talvez seja necessrio usar um mtodo

alternativo para desinstal-lo.
Para obter mais informaes, consulte o artigo da base de conhecimento: Methods
for uninstalling Symantec Endpoint Protection (em ingls).

Para gerenciar computadores com o Symantec Endpoint Protection Manager, voc
deve exportar pelo menos um pacote de instalao do cliente para um servidor de
gerenciamento no site. Depois de exportar o pacote de instalao do cliente, instale
os arquivos do pacote nos computadores-cliente. possvel exportar pacotes para
clientes gerenciados pela Symantec, por terceiros e para clientes no gerenciados.
Voc pode exportar estes pacotes como um nico arquivo executvel ou como
uma srie de arquivos em um diretrio. O mtodo escolhido depender do mtodo
de implementao e se voc deseja fazer o upgrade do software-cliente em grupos.
Normalmente, se voc usar o objeto de poltica de grupo do Active Directory, no
escolher fazer a exportao para um nico arquivo executvel.
Ocasionalmente, a Symantec oferece pacotes atualizados de arquivos de instalao.
Quando um software-cliente for instalado em computadores-cliente, voc poder
automaticamente atualizar o software-cliente em todos os clientes de um grupo
com o recurso Atualizao automtica. Voc no precisa implementar novamente
o software com ferramentas de implementao de instalao.
Tabela 5-8
Tarefas relacionadas ao pacote de instalao do cliente
Tarefa
Descrio
Configurar pacotes de
instalao do cliente
Voc pode selecionar tecnologias de proteo de cliente

especficas para instalar e especificar como a instalao
interage com os usurios finais.
Consulte Para configurar recursos do pacote de instalao
do cliente na pgina 153.
Exportar pacotes de
instalao do cliente
possvel exportar pacotes para clientes gerenciados pela

Symantec, por terceiros e para clientes no gerenciados.
Consulte Para exportar pacotes de instalao do cliente
na pgina 149.

Tarefa
Descrio
Adicionar atualizaes de
pacotes de instalao do
cliente
Quando receber atualizaes do pacote de instalao do

cliente da Symantec, voc as adicionar ao banco de dados
para torn-las disponveis para distribuio do Symantec
Endpoint Protection Manager. Voc tambm pode exportar
os pacotes durante esse procedimento para disponibilizar
o pacote para a implementao em computadores que no
tm o software-cliente.
Consulte Para adicionar atualizaes de pacotes de
Fazer upgrade de clientes em Voc pode instalar os pacotes exportados em um computador

um ou mais grupos
de cada vez ou implementar os arquivos exportados em
vrios computadores simultaneamente.
Quando a Symantec oferecer atualizaes para pacotes de
instalao do cliente, primeiro adicione-os ao Symantec
Endpoint Protection Manager e disponibilize-os para
exportao. Entretanto, no necessrio reinstal-los com
ferramentas de implementao do cliente. A maneira mais
fcil de atualizar clientes em grupos com o software mais
recente usar o console para atualizar o grupo que contm
os clientes. Primeiro, preciso atualizar um grupo com um
pequeno nmero de computadores de teste.
Consulte Para fazer o upgrade de clientes usando a
Atualizao automtica no Symantec Endpoint Protection
na pgina 186.
Tambm possvel atualizar clientes com o LiveUpdate, se
voc permitir que os clientes executem o LiveUpdate e se a
poltica de configuraes do LiveUpdate permitir
atualizaes.
Excluir pacotes de instalao Voc pode excluir pacotes de instalao mais antigos do
do cliente
cliente para economizar espao em disco. Contudo, esses
pacotes de instalao mais antigos do cliente so usados s
vezes para criar pacotes de upgrade quando a Atualizao
automtica utilizada. Isso resultar em downloads menores
efetuados pelos clientes.
163
164

Para adicionar atualizaes de pacotes de instalao

do cliente
A Symantec envia para voc atualizaes do pacote de instalao do cliente, e
ento adicione-as ao banco de dados do Symantec Endpoint Protection para
distribu-las do Symantec Endpoint Protection Manager. Voc tambm pode
exportar os pacotes durante esse procedimento para disponibilizar o pacote para
implementao em computadores que no contenham software-cliente.
Nota: Um pacote de instalao importado consiste em dois arquivos. Um arquivo
denominado nome_do_produto.dat e outro arquivo denominado
nome_do_produto.info.
Para adicionar uma atualizao de pacote de instalao do cliente
Copie o pacote a um diretrio no computador que executa o Symantec

Em Tarefas, clique em Adicionar pacote de instalao do cliente.
Na caixa de dilogo Adicionar pacote de instalao do cliente, digite um

nome e uma descrio para o pacote.
Clique em Procurar.
Na caixa de dilogo Selecione a pasta, localize e selecione o arquivo

nome_do_produto.info para o novo pacote e, ento, clique em Selecionar.
Quando o prompt Concludo com xito for exibido, proceda de uma das
seguintes maneiras:
Se no deseja exportar os arquivos de instalao e disponibiliz-los para

implementao, clique em Fechar.
Voc concluiu esse procedimento.
Se no deseja exportar os arquivos de instalao e disponibiliz-los para

implementao, clique em Exportar este pacote e, ento, conclua esse
procedimento.
Na caixa de dilogo Exportar pacote, clique em Procurar.
Na caixa de dilogo Selecionar a pasta para exportao, procure e selecione

o diretrio para conter o pacote exportado; em seguida, clique em OK.

10 Na caixa de dilogo Exportar pacote, selecione um grupo e defina, ento, as

outras opes de acordo com seus objetivos de instalao.
11 Clique em OK.
165
166

Captulo
Para fazer o upgrade do

Symantec Endpoint
Protection
Para fazer upgrade de uma nova verso do Symantec Endpoint Protection
Recursos de upgrade para o Symantec Endpoint Protection 12.1
Para mapear recursos entre clientes 11.x e 12.1
Caminhos de upgrade do Symantec Endpoint Protection Manager suportados
Para aumentar o espao em disco do Symantec Endpoint Protection Manager

antes do upgrade para a verso 12.1
Para fazer upgrade de um servidor de gerenciamento
Para fazer o upgrade de um ambiente que usa vrios bancos de dados

incorporados e servidores de gerenciamento
Para desativar a replicao antes do upgrade
Para ativar a replicao aps o upgrade
Para interromper e iniciar o servio do servidor de gerenciamento
Caminhos suportados de upgrade para o cliente do Symantec Endpoint

Protection
Sobre como fazer upgrade do software-cliente
168
Para fazer o upgrade do Symantec Endpoint Protection

Para fazer o upgrade de clientes usando a Atualizao automtica no Symantec

Endpoint Protection
Para atualizar o software-cliente com a poltica de configuraes do LiveUpdate
Para fazer upgrade de provedores de atualizaes de grupo
Para fazer upgrade de uma nova verso do Symantec

Endpoint Protection
Voc pode fazer upgrade da mais nova verso do produto para aproveitar os novos
recursos. Para instalar uma verso nova do software, necessrio executar
determinadas tarefas para garantir um upgrade ou migrao com xito. Voc deve
tambm verificar os problemas conhecidos que aparecem nas Notas da verso em
busca de informaes mais recentes relacionadas aos upgrades.
Para fazer o upgrade, revise as seguintes informaes:
Requisitos do sistema
Para verificar os requisitos do sistema mais atuais, consulte: Release Notes
and System Requirements for all versions of Symantec Endpoint Protection
and Symantec Network Access Control (em ingls)
Novos recursos nesta verso

Consulte O que h de novo no Symantec Endpoint Protection 12.1.2
na pgina 44.
Alteraes de recursos entre a verso anterior e a mais nova verso do cliente

Consulte Para mapear recursos entre clientes 11.x e 12.1 na pgina 173.
Caminhos de upgrade compatveis do Symantec Endpoint Protection Manager

Consulte Caminhos de upgrade do Symantec Endpoint Protection Manager
suportados na pgina 176.
Caminhos compatveis de upgrade de clientes Windows

Consulte Caminhos suportados de upgrade para o cliente do Symantec
Migraes compatveis de clientes Mac

Consulte Caminhos de migrao suportados e no suportados para o cliente
Mac na pgina 194.
A Tabela 6-1 exibe as etapas que voc deve seguir para fazer upgrade para a verso
mais recente.

Esta seo especfica para fazer upgrade do software em ambientes nos quais
uma verso compatvel do Symantec Endpoint Protection ou do Symantec Network
Access Control j est instalada.
Nota: Se voc fizer o upgrade da verso 11.x e usar o Controle de dispositivos e
aplicativos, desative a regra "Proteger arquivos de clientes e chaves de registro
do controle de aplicativos." Depois que os clientes receberem a nova poltica, voc
poder fazer o upgrade dos computadores-cliente.
Consulte Criao de um conjunto de regras personalizadas e adio de regras
na pgina 534.
Tabela 6-1
Processo de upgrade para a verso completa
Etapa
Ao
Descrio
Etapa 1
Fazer backup do banco de

dados
Faa o backup do banco de dados que o Symantec Endpoint Protection

Manager usa para assegurar a integridade das informaes de seu cliente.
Etapa 2
Desativar a replicao
Desative a replicao em todos os sites configurados como parceiros de

replicao para evitar quaisquer tentativas de atualizar o banco de dados
durante a instalao.
Etapa 3
Ativar a autenticao local,

caso o Symantec Network
Access Control tenha sido
instalado
Os Enforcers no podem autenticar clientes durante um upgrade. Para evitar

problemas com autenticao de clientes, a Symantec recomenda que voc
ative a autenticao local antes de fazer o upgrade. Depois que o upgrade
estiver concludo, possvel retornar sua configurao anterior de
autenticao.
Consulte Ativao da autenticao local no Integrated Enforcer
na pgina 1097.
Consulte Ativao da autenticao local em um appliance Gateway Enforcer
na pgina 981.
Consulte Ativao da autenticao local no appliance LAN Enforcer
na pgina 1040.
Etapa 4
Interromper o servio do
Symantec Endpoint
Protection Manager
Voc deve interromper o servio do servidor de gerenciamento para instalar

uma verso mais nova.
Consulte Para interromper e iniciar o servio do servidor de gerenciamento
na pgina 183.
169
170

Etapa
Ao
Descrio
Etapa 5
Fazer o upgrade do
software do Symantec
Endpoint Protection
Manager
Instale a verso nova do Symantec Endpoint Protection Manager em todos

os sites em sua rede. A verso existente detectada automaticamente e todas
as configuraes so salvas durante o upgrade.
Ativar a replicao aps o

upgrade
Ative a replicao quando a instalao for concluda para restaurar a

configurao.
Etapa 6
Consulte Para instalar o Symantec Endpoint Protection Manager

na pgina 99.

Etapa 7
Fazer o upgrade do
software-cliente da
Symantec
Faa o upgrade do software-cliente para a verso mais recente.

Consulte Sobre como fazer upgrade do software-cliente na pgina 185.
Consulte Para fazer upgrade de provedores de atualizaes de grupo
na pgina 188.
Quando a Symantec oferecer atualizaes para pacotes de instalao do
cliente, adicione as atualizaes a um Symantec Endpoint Protection Manager
e disponibilize-as para exportao. Entretanto, no necessrio instalar o
cliente novamente com ferramentas de implementao do cliente. A maneira
mais fcil de atualizar clientes nos grupos com o software mais recente usar
a Atualizao automtica. Primeiro, voc deve atualizar um grupo com um
pequeno nmero de computadores de teste para atualizar a rede de produo
inteira.
Consulte Para fazer o upgrade de clientes usando a Atualizao automtica
no Symantec Endpoint Protection na pgina 186.
Tambm ser possvel atualizar clientes com o LiveUpdate, se voc permitir
que os clientes executem o LiveUpdate e se a poltica de configuraes do
LiveUpdate permitir

na pgina 190.
Recursos de upgrade para o Symantec Endpoint

Protection 12.1
A Tabela 6-2 relaciona os tpicos que o ajudam a se preparar para um upgrade
bem-sucedido para verso mais recente.

Tabela 6-2
Tarefas e recursos do upgrade de produto
Tarefa
Recurso
Aprender sobre os requisitos do

upgrade do Symantec Endpoint
Protection 12.1
Para fazer upgrade, verifique os pr-requisitos, as

diferenas das verses anteriores e os caminhos
suportados do upgrade.
Para verificar os requisitos do sistema mais atuais,
consulte: Release Notes and System Requirements for
all versions of Symantec Endpoint Protection and
Known issues for Symantec Endpoint Protection 12.1
(em ingls)
Consulte Para mapear recursos entre clientes 11.x e
12.1 na pgina 173.
Consulte Caminhos suportados de upgrade para o
cliente do Symantec Endpoint Protection
na pgina 184.
Consulte Caminhos de upgrade do Symantec
Endpoint Protection Manager suportados
na pgina 176.
Consulte Caminhos de migrao suportados e no
suportados para o cliente Mac na pgina 194.
Fazer upgrade do Symantec

Execute as tarefas a seguir antes de fazer o upgrade

do servidor de gerenciamento:
Faa o backup do banco de dados.
Consulte Backup de logs e banco de dados
na pgina 807.
Desative a replicao (se usada).
Consulte Para desativar a replicao antes do
upgrade na pgina 181.
Remova todos os pacotes atribudos aos grupos de
clientes. Se voc implementar os pacotes de
clientes que no usam a opo Manter recursos
de cliente existentes ao atualizar, estes pacotes
devero ser removidos.
Para obter mais informaes, consulte o artigo
Clients show "No Symantec protection
technologies are installed" after migrating the
SEPM from 11.x to 12.1 (em ingls) da base de
conhecimento
171
172

Tarefa
Recurso
Gerenciar licenas de produto
O Symantec Endpoint Protection 12.1 licenciado de

acordo com o nmero de clientes necessrios para
proteger os endpoints em seu site.
Consulte Requisitos da licena do produto
na pgina 85.
Consulte Sobre upgrades e licenas de produtos
na pgina 125.
Fazer upgrade do software-cliente Prepare os computadores que precisam de upgrade

do cliente. Se voc usar provedores de atualizaes
de grupo, eles devero receber upgrade
primeiramente.
Nota: Quando voc fizer upgrade do Symantec

Endpoint Protection Small Business Edition, a licena
de upgrade ativar novos recursos em clientes
previamente instalados.
Consulte Preparao para a instalao do cliente
na pgina 134.
Consulte Para fazer upgrade de provedores de
atualizaes de grupo na pgina 188.
Consulte Para fazer o upgrade de clientes usando a
Atualizao automtica no Symantec Endpoint
Consulte Sobre mtodos de implementao do
A Tabela 6-3 fornece informaes adicionais para fazer o upgrade.

Tabela 6-3
Recursos adicionais do upgrade
Item
Recurso
Configuraes
e recursos do
pacote de
instalao do
cliente
Voc pode configurar pacotes de instalao do cliente com vrias

configuraes e recursos de proteo.
Consulte Recursos de proteo do cliente por plataforma na pgina 1169.
na pgina 153.
Descries de Consulte Sobre os tipos de proteo contra ameaas que o Symantec

recursos e
Endpoint Protection fornece na pgina 48.
polticas
Dependncias Consulte Como os recursos da poltica do Symantec Endpoint Protection
de recursos
funcionam em conjunto na pgina 383.

na pgina 190.

Quando voc fizer o upgrade de clientes com o recurso Atualizao automtica e
selecionar a opo Manter recursos existentes, os recursos configurados em
clientes legados sero associados nova verso.
As tabelas nesta seo descrevem o mapeamento de recursos entre as verses
anteriores e a nova verso do Symantec Endpoint Protection para de cenrios
comuns de atualizao.
Se voc migrar de uma verso anterior, esteja ciente de que a Proteo antivrus
e antispyware no Symantec Endpoint Protection 11.x chamada de Proteo
contra vrus e spyware na verso 12.1.
A Tabela 6-4 compara as tecnologias de proteo padro dos clientes 11.x e 12.1.
Tabela 6-4
Proteo padro dos clientes da verso 11.x para a 12.1
Proteo padro do cliente 11.x
Proteo padro do cliente 12.1
Antivrus + TruScan
Antivrus + SONAR + Download Insight
173
174

Proteo padro do cliente 11.x
Proteo padro do cliente 12.1
Antivrus
Antivrus + Download Insight bsico
Antivrus sem Proteo proativa contra

ameaas
Antivrus sem SONAR ou Download Insight
Tabela 6-5
Proteo completa da verso 11.x para a 12.1
Recursos existentes da verso 11.x

instalados
Recursos da verso 12.1 instalados aps

a Atualizao automtica
Proteo antivrus e antispyware
Proteo de e-mail do Auto-Protect
Proteo contra vrus e spyware bsica
Download Insight
Verificador de POP3/SMTP
Verificador do Microsoft Outlook
Verificador do Lotus Notes
Verificao proativa contra ameaas

TruScan
SONAR
Proteo contra ameaas rede
Tabela 6-6
11.x para 12.1 somente antivrus

instalados


Tabela 6-7
11.x para 12.1 antivrus + Proteo proativa contra ameaas

instalados

Download Insight

TruScan
SONAR
Tabela 6-8
11.x a 12.1 (verso corporativa) somente firewall

instalados

Nota: A verso 12.1 inclui apenas o

firewall
175
176

Caminhos de upgrade do Symantec Endpoint Protection Manager suportados
Tabela 6-9
Da verso Small Business Edition 12.0 para a 12.1 (verso

corporativa)
Recursos do Small Business Edition 12.0 Recursos da verso 12.1 instalados aps
instalados
Download Insight

TruScan
Firewall e preveno contra intruses
SONAR
Caminhos de upgrade do Symantec Endpoint

Protection Manager suportados
Os seguintes caminhos de upgrade do Symantec Endpoint Protection Manager
so suportados:
De 11.x a 12.1.2 (verso corporativa)
Da verso 12.0 do Small Business Edition para a 12.1.2 (verso corporativa)
Da verso 12.1 do Small Business Edition para a 12.1.2 (verso corporativa)
Nota: As informaes do servidor do Symantec AntiVirus 10.x podem ser

importadas durante a instalao do Symantec Endpoint Protection Manager verso
12.1.2.
na pgina 190.
Os seguintes caminhos para downgrade no so suportados:
Do Symantec Endpoint Protection 11.x para o Small Business Edition 12.1.2

Para aumentar o espao em disco do Symantec Endpoint Protection Manager antes do upgrade para a verso 12.1
Do 12.1.x (verso corporativa) para o Small Business Edition 12.1.2
Para obter detalhes sobre como fazer o upgrade de verses especficas do Symantec
Endpoint Protection Manager 11.x para a 12.1, consulte o seguinte artigo da base
de conhecimento:
Supported upgrade paths to Symantec Endpoint Protection Manager 12.1 from
Symantec Endpoint Protection Manager 11.x (em ingls)
Para aumentar o espao em disco do Symantec

Endpoint Protection Manager antes do upgrade para
a verso 12.1
O Symantec Endpoint Protection Manager verso 12.1 exige uma quantidade
mnima de espao livre em disco para a instalao. Certifique-se de que os
servidores legados ou novos hardwares atendam aos requisitos mnimos de
hardware. Contudo, mais espao livre em disco poder ser necessrio durante um
upgrade para permitir a criao dos arquivos temporrios.
Nota: Faa um backup do banco de dados antes de efetuar mudanas de
configurao
A Tabela 6-10 relaciona as maneiras como voc pode disponibilizar mais espao
em disco para o upgrade.
177
178

Para aumentar o espao em disco do Symantec Endpoint Protection Manager antes do upgrade para a verso 12.1
Tabela 6-10
Tarefas para aumentar o espao em disco no servidor de

gerenciamento
Tarefa
Descrio
Altere as configuraes do
LiveUpdate para reduzir os
requisitos de espao.
Acesse Administrador > Servidor e clique com o

boto direito do mouse em Site local. Selecione
Editar propriedades do site.
Na guia LiveUpdate, desmarque Armazenar

pacotes do cliente descompactados para fornecer
o melhor desempenho da rede para upgrades.
Na guia LiveUpdate, reduza o nmero de revises

de contedo a ser mantido. O valor ideal de 30
revises, mas uma configurao mais baixa usar
menos espao em disco. Para o upgrade, voc pode
reduzir a configurao para 10. Aguarde at que o
Symantec Endpoint Protection Manager apague
as revises extras. Aps o upgrade, retorne a
configurao para 30.
Certifique-se de excluir
1
definies de vrus no utilizadas
do banco de dados do Symantec
Acesse Administrador > Servidor e clique com o

boto direito do mouse em Site local. Selecione
Editar propriedades.
Realoque ou remova programas

e arquivos coexistentes
Na guia Banco de dados, verifique se a opo

Excluir definies de vrus no usadas est
selecionada.
Se outros programas estiverem instalados no mesmo

computador com o Symantec Endpoint Protection
Manager, considere realoc-los em outro servidor.
Programas no usados podem ser removidos.
Se o Symantec Endpoint Protection Manager
compartilhar o computador com outros aplicativos
de uso intenso de armazenamento, considere dedicar
um computador para oferecer suporte apenas ao
Remova arquivos temporrios do Symantec Endpoint
Protection.
Para obter uma lista de arquivos temporrios que
podem ser removidos, consulte o artigo da base de
conhecimento, Symantec Endpoint Protection
Manager directories contain many .TMP folders
consuming large amounts of disk space (em ingls).
Nota: Desfragmente a unidade de disco rgido depois

de remover programas e arquivos.

Tarefa
Descrio
Use um banco de dados externo
Se o banco de dados do Symantec Endpoint Protection

estiver no mesmo computador do Symantec Endpoint
Protection Manager, considere instalar um banco de
dados Microsoft SQL Server em outro computador. Um
espao em disco significativo economizado e, na
maioria dos casos, o desempenho aprimorado.
Consulte Sobre como escolher um tipo do banco de
dados na pgina 90.
Nota: Certifique-se de que os computares-cliente tambm tenham espao em disco

suficiente antes do upgrade. Verifique os requisitos do sistema e, se necessrio,
remova programas e arquivos desnecessrios. Em seguida, faa a desfragmentao
da unidade de disco rgido do computador-cliente.

Voc deve fazer upgrade de todos os servidores de gerenciamento antes de fazer
upgrade de todos os clientes.
Se fizer o upgrade de servidores de gerenciamento em um ambiente que suporte
o balanceamento de carga, o failover ou a replicao, voc dever prepar-los e
fazer upgrade em uma ordem especfica.
Aviso: Voc dever seguir o cenrio que se aplica a seu tipo de instalao, ou seu
upgrade poder falhar.
O processo de upgrade semelhante a uma instalao nova.
Consulte Para fazer o upgrade de um ambiente que usa vrios bancos de dados
incorporados e servidores de gerenciamento na pgina 180.
Consulte Para configurar sites e replicao na pgina 201.
A Tabela 6-11 relaciona as tarefas necessrias para fazer upgrade do Symantec
179
180

Para fazer o upgrade de um ambiente que usa vrios bancos de dados incorporados e servidores de gerenciamento
Tabela 6-11
Tarefas de upgrade
Tarefa
Descrio
Instale e configure o
servidor de
gerenciamento novo
Instale o servidor de gerenciamento e configure-o com o

Assistente de Configurao do servidor de gerenciamento.
Para fazer upgrade dos servidores do Symantec Sygate
Enterprise Protection que usam a proteo de Polticas de
integridade do host ou do Enforcer, instale o Symantec Endpoint
Protection primeiro. Assim, voc repete o procedimento de
instalao e instala o servidor de gerenciamento para o
Symantec Network Access Control para acessar a funcionalidade
de Integridade do host e do Enforcer.
Consulte Para instalar o Symantec Endpoint Protection
Manager na pgina 99.
Registre-se no servidor
de gerenciamento
Quando o painel de logon do Symantec Endpoint Protection

Manager aparecer, faa o logon no console usando suas
credenciais de logon legadas.
Consulte Logon no console do Symantec Endpoint Protection
(Opcional) Instale o
servidor de
gerenciamento do
Symantec Network
Access Control
Faa logoff do Symantec Endpoint Protection Manager. Em

seguida, repita este processo e instale o Symantec Endpoint
Protection Manager para o Symantec Network Access Control
do disco do produto Symantec Network Access Control.
Consulte Para fazer upgrade do Symantec Endpoint Protection
Manager para incluir o Symantec Network Access Control
na pgina 865.
Nota: No necessrio reiniciar o computador aps o upgrade, mas voc pode

observar melhorias no desempenho se reiniciar o computador e fizer o logon.
Para fazer o upgrade de um ambiente que usa vrios

bancos de dados incorporados e servidores de
gerenciamento
A migrao de uma instncia de instalao que usa vrios bancos de dados
incorporados e vrios servidores de gerenciamento tem as seguintes implicaes:

Nenhum failover ou balanceamento de carga aceito porque o banco de dados

interno no suportado pelos servidores de failover ou balanceamento de
carga.
Os servidores de gerenciamento so configurados para replicao.
Todos os sites tm um computador em que o servidor de gerenciamento foi

instalado primeiro. Somente um desses servidores de gerenciamento foi instalado
com uma licena e um segredo pr-compartilhado. Esse servidor de gerenciamento
deve ser o primeiro a ser migrado. Em seguida, os outros servidores de
gerenciamento que foram instalados para replicao podem ser migrados.
Para fazer o upgrade de um ambiente que usa vrios bancos de dados incorporados
e servidores de gerenciamento
Desative a replicao em todos os servidores de gerenciamento.

Faa a autenticao e conecte-se ao computador que contm o Symantec

Endpoint Protection Manager instalado com a licena e o segredo
pr-compartilhado.
No se conecte ao Symantec Endpoint Protection Manager.
Migre o servidor de gerenciamento.

Consulte Para fazer upgrade de um servidor de gerenciamento na pgina 179.
Migre todos os servidores de gerenciamento adicionais um a um.
Depois de migrar os servidores, ative a replicao em cada servidor.


Se tiver sites legados da Symantec configurados para replicao, voc dever
desativar a replicao antes de fazer o upgrade. Voc no deseja que os sites tentem
replicar dados entre bancos de dados legados e atualizados durante ou depois do
upgrade. Desative a replicao em cada site que replicar. Voc deve estar conectado
e desativar a replicao pelo menos em dois sites.
No console, clique em Administrador > Servidores.
Em Servidores expanda Parceiros de replicao e selecione um site.
Clique com o boto direito do mouse no site e clique em seguida em Excluir.
181
182

Clique em Sim.
Desconecte-se do console e repita esse procedimento em todos os sites que

replicam dados.

Depois de migrar ou fazer o upgrade dos servidores que usaram a replicao,
necessrio ativar a replicao. Aps a migrao, adicione um parceiro de replicao
para ativar a replicao. Voc deve adicionar parceiros de replicao no computador
em que primeiro instalou o servidor de gerenciamento. Os parceiros de replicao
aparecem automaticamente nos outros servidores de gerenciamento.
Em Servidores expanda Parceiros de replicao e selecione um site.
Clique com o boto direito do mouse no site e clique em seguida em Adicionar

parceiro.
No painel Adicionar parceiro de replicao, clique em Avanar.
No painel Informaes do site remoto, insira as informaes de identificao

sobre o parceiro de replicao, as informaes de autenticao e clique em
Avanar.
No painel Agendar replicao, defina o agendamento para que a replicao

ocorra automaticamente e clique em Avanar.
No painel Replicao de arquivos de log e pacotes de clientes, selecione os

itens a replicar e, em seguida, clique em Avanar.
A replicao de pacotes usa grandes quantidades de trfego e de espao no
disco rgido.
No painel Concluindo o Assistente de Adio de parceiro de replicao,

clique em Concluir.
Repita este procedimento para todos os computadores que repliquem dados

com este computador.

Para interromper e iniciar o servio do servidor de gerenciamento
Para interromper e iniciar o servio do servidor de

gerenciamento
Antes de fazer o upgrade, voc deve interromper manualmente o servio do
Symantec Endpoint Protection Manager em todos os servidores de gerenciamento
em seu site. Depois de fazer o upgrade, o servio iniciado automaticamente.
Aviso: Se no interromper o servio do Symantec Endpoint Protection Manager
antes de fazer upgrade do servidor, voc correr o risco de corromper seu banco
de dados existente do Symantec Endpoint Protection.
Nota: Se voc interromper o servio do servidor de gerenciamento, os clientes no

podero mais conectar-se a ele. Se os clientes precisarem se comunicar com o
servidor de gerenciamento para se conectar rede, eles tero o acesso negado at
que o servio do servidor de gerenciamento seja reiniciado.
Por exemplo, um cliente deve se comunicar com o servidor de gerenciamento para
aprovar uma verificao da Integridade do host.
Para interromper o servio do Symantec Endpoint Protection Manager
Clique em Iniciar > Configuraes > Painel de controle > Ferramentas

administrativas >Servios.
Na janela Servios, em Nome, localize e clique com o boto direito do mouse

em Symantec Endpoint Protection Manager.
Clique em Parar.
Feche a janela Servios.

Aviso: Feche a janela Servios ou o upgrade poder falhar.
Repita esse procedimento para todas as instalaes do Symantec Endpoint

Protection Manager.
Nota: Para iniciar o servio do Symantec Endpoint Protection Manager, siga o

procedimento acima e clique em Iniciar em vez de Interromper.
183
184

Caminhos suportados de upgrade para o cliente do Symantec Endpoint Protection
Para interromper o servio do Symantec Endpoint Protection Manager usando a

linha de comando
Em um prompt de comando, digite:

net stop semsrv
Para iniciar o servio do Symantec Endpoint Protection Manager usando a linha de

comando

net start semsrv
Caminhos suportados de upgrade para o cliente do

As seguintes verses de cliente do Symantec Endpoint Protection podem receber
upgrade diretamente para a verso 12.1.2:
11.0.780.1109
11.0.1000.1375 - Verso de Manuteno 1 (MR1)
11.0.2000.1567 - Verso de Manuteno 2 (MR2), com ou sem patch de

manuteno
11.0.3001.2224 - Verso de Manuteno 3 (MR3)
11.0.4000.2295 - Verso de Manuteno 4 (MR4), com ou sem patch de

manuteno
11.0.5002.333 - Release Update 5 (RU5)
11.0.6000.550 - Release Update 6 (RU6), com ou sem patch de manuteno
12.0.122.192 Small Business Edition
12.0.1001.95 Small Business Edition - Release Update 1 (RU1)
12.1.671.4971
Os seguintes caminhos para downgrade no so suportados:
Do Symantec Endpoint Protection 11.x para o Small Business Edition 12.1
Do 12.1.x (verso corporativa) para o Small Business Edition 12.1.2

A migrao do Symantec AntiVirus 10.x para o 12.1 suportada. A migrao do

Symantec AntiVirus 9.x e do Symantec Sygate Enterprise Protection 5.x no
suportada.

Voc pode usar diversos mtodos para fazer upgrade do software-cliente da
Symantec. Alguns mtodos podem levar at a 30 minutos. Portanto, talvez voc
queira fazer o upgrade do software-cliente quando a maioria dos usurios no
estiver conectada aos computadores.
Tabela 6-12
Mtodos para fazer upgrade do software-cliente
Mtodo de
upgrade
Descrio
Atualizao
automtica
Use a Atualizao automtica para atualizar os clientes em um ou

mais grupos do console no Symantec Endpoint Protection Manager.
Consulte Para fazer o upgrade de clientes usando a Atualizao
automtica no Symantec Endpoint Protection na pgina 186.
Poltica de
configuraes do
LiveUpdate
Configure uma poltica de configuraes do LiveUpdate para um grupo

que defina um servidor do LiveUpdate e permita que os clientes
executem o LiveUpdate para obter atualizaes do produto.
Consulte Para atualizar o software-cliente com a poltica de
configuraes do LiveUpdate na pgina 187.
Disco do produto
Use o programa de instalao do disco do produto para instalar uma

nova verso do cliente.
Outros mtodos
Use um dos outros mtodos suportados para a instalao do

software-cliente.
Se o cliente do Symantec Network Access Control tambm estiver instalado, voc

deve fazer upgrade do cliente do Symantec Endpoint Protection e do cliente do
Symantec Network Access Control. Voc pode atribuir o pacote do Symantec
Endpoint Protectione do Symantec Network Access Control ao mesmo grupo.
Neste caso, certifique-se de que a opo Manter recursos esteja selecionada.
185
186

Para fazer o upgrade de clientes usando a Atualizao automtica no Symantec Endpoint Protection
Para fazer o upgrade de clientes usando a Atualizao

automtica no Symantec Endpoint Protection
O processo de Atualizao automtica permite fazer upgrade automaticamente
do software-cliente Symantec Endpoint Protection para todos os clientes contidos
em um grupo. Por exemplo, possvel usar a Atualizao automtica para fazer
upgrade de clientes para uma atualizao ou nova verso do produto.
Voc deve testar o processo da Atualizao automtica antes de tentar fazer
upgrade de um nmero grande de clientes na rede de produo. Se voc no tiver
uma rede de teste, poder criar um grupo de teste dentro da rede de produo.
Para este tipo de teste, adicione alguns clientes no crticos ao grupo de teste e
faa upgrade deles usando a Atualizao automtica.
Confirme que o upgrade foi concludo com xito verificando o nmero de verso
do software-cliente. O nmero de verso exibido no painel Ajuda > Sobre do
cliente. O nmero de verso atualizado do cliente tambm exibido no Symantec
Endpoint Protection Manager na pgina Clientes aps uma verificao
bem-sucedida. Voc seleciona o grupo, a guia Clientes e muda a exibio para
Status do cliente.
Nota: Se voc fizer o upgrade da verso 11.x e usar o Controle de dispositivos e
aplicativos, desative a regra "Proteger arquivos de clientes e chaves de registro
do controle de aplicativos." Depois que os clientes receberem a nova poltica, voc
poder fazer o upgrade usando a Atualizao automtica.
Consulte Criao de um conjunto de regras personalizadas e adio de regras
na pgina 534.
Para fazer o upgrade de clientes usando a Atualizao automtica no Symantec
Endpoint Protection
No console do Symantec Endpoint Protection Manager, clique em Admin.
Clique em Instalar pacotes.
Em Tarefas, clique em Fazer upgrade de clientes com pacote.
No painel Assistente de Upgrade de clientes, clique em Avanar.
No painel Selecionar o pacote de instalao do cliente, selecione o pacote de

instalao do cliente apropriado e clique em Avanar.

Para atualizar o software-cliente com a poltica de configuraes do LiveUpdate
No painel Especificar os grupos, selecione os grupos que contm os

computadores-cliente dos quais voc deseja fazer upgrade e clique em
Avanar.
No painel Configuraes de upgrade do pacote, selecione Fazer download

do servidor de gerenciamento.
Opcionalmente possvel organizar e selecionar um pacote em um servidor
da Web.
Clique em Fazer upgrade das configuraes.
Na guia Geral, selecione Manter os recursos atuais do cliente ao atualizar.

Opcionalmente, voc pode adicionar ou remover recursos ao fazer upgrade.
10 Opcionalmente, na guia Notificao, personalize as configuraes de

notificao do usurio. Voc pode personalizar a mensagem exibida no
computador-cliente durante o upgrade. Voc tambm pode permitir que o
usurio adie o upgrade por um perodo especificado.
Para obter mais informaes sobre as configuraes de agendamento e
notificao, clique em Ajuda.
11 Clique em OK.
12 No painel Assistente de Upgrade de clientes concludo, clique em Avanar.
13 Clique em Concluir.
Para atualizar o software-cliente com a poltica de

configuraes do LiveUpdate
Com uma permisso de atualizaes de produto na poltica de configuraes do
LiveUpdate, possvel atualizar automaticamente produtos de software-cliente
da Symantec. Quando as atualizaes do produto forem permitidas e uma
atualizao estiver disponvel, os clientes faro o download e instalaro a
atualizao quando uma sesso do LiveUpdate for executada. A sesso pode ser
agendada ou iniciada manualmente. Quando a Poltica do LiveUpdate no estiver
configurada para fazer o download de atualizaes do produto, o software-cliente
poder somente ser atualizado usando o console do Symantec Endpoint Protection
Manager ou manualmente.
Por padro, quando o Symantec Endpoint Protection Manager fizer o download
e processar o contedo atravs do LiveUpdate, ele ser configurado para fazer o
download de atualizaes do cliente. Quando o servidor de gerenciamento fizer
o download de uma nova verso do cliente, voc poder selecionar o novo pacote
187
188

Para fazer upgrade de provedores de atualizaes de grupo
e fazer o upgrade dos clientes com a Atualizao automtica ou outro mtodo de

upgrade.
Consulte Para fazer o upgrade de clientes usando a Atualizao automtica no
Symantec Endpoint Protection na pgina 186.
Para atualizar o software-cliente da Symantec com a poltica de configuraes do
LiveUpdate
No console do Symantec Endpoint Protection Manager, clique em Polticas.
Em Polticas, clique em LiveUpdate.
No painel direito, na guia Configuraes do LiveUpdate, clique em uma

poltica do LiveUpdate.
Na parte inferior do painel esquerdo, em Tarefas, clique em Editar a poltica.
Em Poltica do LiveUpdate, clique em Configuraes avanadas.
No painel Configuraes avanadas, em Configuraes de atualizao do

produto, selecione Fazer download das atualizaes do produto Symantec
Endpoint Protection usando um servidor do LiveUpdate.
Clique em OK e depois aplique a poltica a um grupo ou a um local em um

grupo.

na pgina 310.
Para fazer upgrade de provedores de atualizaes de

grupo
Use este procedimento para fazer o upgrade de clientes que so provedores de
atualizaes do grupo.
Para fazer upgrade de clientes do provedor de atualizaes de grupo
Faa upgrade do servidor do Symantec Endpoint Protection Manager para a

nova verso do software.
Faa upgrade dos clientes que so provedores de atualizao de grupo para

a nova verso do software-cliente.
Atualize o restante dos clientes para a nova verso do software-cliente.
Captulo
Para migrar para o

Symantec Endpoint
Protection
Para migrar do Symantec AntiVirus ou do Symantec Client Security
Caminhos de migrao suportados e no suportados no Symantec Endpoint

Protection
Caminhos de migrao suportados e no suportados para o cliente Mac
Para desativar verificaes agendadas no Symantec System Center
Para desativar o LiveUpdate no Symantec System Center
Para desativar o servio de roaming no Symantec System Center
Desbloqueio de grupos de servidores no Symantec System Center
Para desativar a Proteo contra adulteraes no Symantec System Center
Desinstalao e excluso de servidores de relatrio
Sobre grupos de computadores importados com o Assistente de Migrao
Para importar configuraes de grupos e de polticas com o Assistente de

Migrao
190
Para migrar para o Symantec Endpoint Protection

Para migrar do Symantec AntiVirus ou do Symantec

Client Security
Voc pode migrar os grupos, os clientes e as configuraes de um ambiente de
software de proteo antivrus legada da Symantec. Durante a migrao, os dados
de grupo e os dados da poltica da instalao legada preenchem o banco de dados
do Symantec Endpoint Protection. A seguir, voc implementa pacotes de instalao
aos clientes migrados.
Nota: Os servidores de gerenciamento migram os clientes legados.

Tabela 7-1
Tarefa
Resumo da migrao
Descrio
Prepare para a migrao

Execute as tarefas a seguir para preparar sua instalao legada para a migrao:
legada no Symantec System
Desative as verificaes agendadas
Center
A migrao pode falhar se uma verificao estiver em execuo durante a migrao.
Consulte Para desativar verificaes agendadas no Symantec System Center
na pgina 194.
Desative o LiveUpdate.
Podero ocorrer conflitos se o LiveUpdate for executado nos computadores-cliente
durante a migrao.
Consulte Para desativar o LiveUpdate no Symantec System Center na pgina 195.
Desative o servio de roaming.
A migrao poder travar e sua concluso falhar se o servio de roaming estiver
em execuo nos computadores-cliente.
Consulte Para desativar o servio de roaming no Symantec System Center
na pgina 196.
Desbloqueie os grupos de servidores.
Voc poder encontrar resultados imprevisveis se migrar do Symantec AntiVirus
antes de desbloquear os grupos de servidores.
Consulte Desbloqueio de grupos de servidores no Symantec System Center
na pgina 197.
Desative a Proteo contra adulteraes.
A Proteo contra adulteraes pode causar resultados imprevisveis durante a
migrao.
Consulte Para desativar a Proteo contra adulteraes no Symantec System
Center na pgina 197.
Desinstale e exclua os servidores de relatrio.
Desinstale os servidores de relatrio e, opcionalmente, exclua os arquivos do banco
de dados.
Consulte Desinstalao e excluso de servidores de relatrio na pgina 198.
Para obter informaes tcnicas adicionais, veja sua documentao do software de
proteo antivrus legado da Symantec nas seguintes pginas do produto:
Symantec AntiVirus Corporate Edition (em ingls)
Symantec Client Security (em ingls)
191
192

Caminhos de migrao suportados e no suportados no Symantec Endpoint Protection
Tarefa
Descrio
Instalar o Symantec
e migrar o grupo legado e as
configuraes de poltica
quando solicitado
Use o Assistente de Migrao para importar as configuraes de grupo legado e das

polticas do seu servidor do Symantec AntiVirus. O Assistente de Migrao aparecer
depois que voc instalar e configurar o console de gerenciamento. Voc pode tambm
clicar em Menu Iniciar > Todos os Programas > Symantec Endpoint Protection
Manager > Ferramentas do Symantec Endpoint Protection Manager > Assistente
de Migrao.
Voc pode tambm ajustar as configuraes dos grupos migrados e das polticas aps
import-los.
Consulte Sobre grupos de computadores importados com o Assistente de Migrao
na pgina 199.
Consulte Para importar configuraes de grupos e de polticas com o Assistente de
Migrao na pgina 199.
Consulte Para mover um computador-cliente para outro grupo na pgina 235.
Para obter mais informaes sobre como executar tarefas comuns entre o Symantec
System Center e o Symantec Endpoint Protection Manager, consulte: Guia de
Referncia do Symantec Endpoint Protection Manager 12.1.x para Usurios do
Symantec System Center
Implementar o
Implemente o cliente nos novos computadores-cliente.
software-cliente do Symantec
Endpoint Protection
Executar as tarefas
ps-migrao
Familiarize-se com a interface, os recursos e as funes do Symantec Endpoint

Protection. Voc pode executar muitas das mesmas tarefas que so feitas aps uma
nova instalao para se familiarizar com o Symantec Endpoint Protection Manager.
na pgina 54.
Consulte Recursos de upgrade para o Symantec Endpoint Protection 12.1

na pgina 170.
Caminhos de migrao suportados e no suportados

no Symantec Endpoint Protection
O Symantec Endpoint Protection detecta e migra o software de proteo antivrus
legado da Symantec.

Caminhos de migrao suportados e no suportados no Symantec Endpoint Protection
Tabela 7-2
Produto
Descrio
Software de proteo
antivrus legado da
Symantec
Voc pode migrar o software de proteo antivrus legado da

Symantec para o Symantec Endpoint Protection.
A migrao detecta e migra instalaes do seguinte software de
proteo antivrus legado da Symantec:
Symantec AntiVirus Corporate Edition 10.x
Symantec Client Security 3.x
Symantec AntiVirus for Mac (apenas cliente)
A migrao dos seguintes produtos legados no suportada:
Symantec AntiVirus 9.x ou anterior
Symantec Client Security 2.x
Symantec Sygate Enterprise Protection 5.x
Voc pode ignorar a migrao da seguinte forma:

Desinstale o software de proteo antivrus legado da
Symantec de seus servidores e computadores-cliente.
Durante a instalao do Symantec Endpoint Protection
Manager, no selecione a opo de migrao.
Aps a instalao inicial do produto, use o Symantec
Endpoint Protection Manager para ajustar as configuraes
da poltica e do grupo.
Instale o cliente do Symantec Endpoint Protection nos
computadores legados desprotegidos.
Consulte Para migrar do Symantec AntiVirus ou do Symantec

Client Security na pgina 190.
Consulte Caminhos de migrao suportados e no suportados
para o cliente Mac na pgina 194.
Symantec Endpoint
Protection
Voc pode fazer o upgrade do Symantec Endpoint Protection

do Symantec Endpoint Protection 11.x, do Small Business
Edition 12.0 ou de uma nova atualizao da verso 12.1.
Consulte Para fazer upgrade de uma nova verso do Symantec
Consulte Caminhos suportados de upgrade para o cliente do
Consulte Recursos de upgrade para o Symantec Endpoint Protection 12.1

na pgina 170.
193
194

Caminhos de migrao suportados e no suportados para o cliente Mac

para o cliente Mac
A Tabela 7-3 exibe os produtos que podem ser migrados para o Symantec Endpoint
Protection para clientes Mac.
Tabela 7-3
Cainhos de migrao do Symantec AntiVirus for Mac para o

Symantec Endpoint Protection cliente Mac
Migrar de
Migrar para
Suportado?
Cliente Symantec AntiVirus for Cliente Symantec Endpoint Sim

Mac gerenciado
Protection for Mac
gerenciado
Mac no gerenciado
Protection for Mac no
gerenciado
Mac no gerenciado
Protection for Mac
gerenciado
Cliente Symantec AntiVirus for Cliente Symantec Endpoint Sim, mas as configuraes
Mac gerenciado
Protection for Mac no
do cliente gerenciado so
gerenciado
retidas.
Norton AntiVirus para Mac
Cliente Symantec Endpoint

Protection for Mac
gerenciado ou no
gerenciado
No. O cliente deve

desinstalar os produtos
Norton antes de instalar o
Symantec Endpoint
Protection.

na pgina 190.
Para desativar verificaes agendadas no Symantec

System Center
Se uma verificao for agendada e estiver em execuo enquanto ocorrer a
migrao do cliente, esta poder falhar. Uma melhor prtica desativar as
verificaes agendadas durante a migrao e, ento, reativ-las depois da migrao.
na pgina 190.

Para desativar verificaes agendadas no Symantec System Center
No Symantec System Center, realize uma das seguintes aes:
Clique com o boto direito do mouse em um servidor de gerenciamento.
Clique com o boto direito do mouse em um grupo de clientes.
Clique em Todas as tarefas > Symantec AntiVirus > Verificaes agendadas.
Na guia Verificaes de servidor da caixa de dilogo Verificaes agendadas,

desmarque todas as verificaes agendadas.
Na guia Verificaes do cliente, desmarque todas as verificaes agendadas

e, em seguida, clique em OK.
Repita esse procedimento para todos os servidores de gerenciamento

principais, todos os servidores de gerenciamento secundrios e todos os
grupos de clientes.
Para desativar o LiveUpdate no Symantec System

Center
Se o LiveUpdate estiver em execuo nos computadores-cliente durante a migrao,
podero ocorrer conflitos. Consequentemente, necessrio desativar o LiveUpdate
nos computadores-cliente durante a migrao.
na pgina 190.
No Symantec System Center, clique com o boto direito do mouse em um

grupo de servidores.
Clique em Todas as tarefas > Symantec AntiVirus > Gerenciador de

definies de vrus.
Na caixa de dilogo Gerenciador de definies de vrus, marque Atualizar

apenas o servidor principal deste grupo de servidores e, em seguida, clique
em Configurar.
Na caixa de dilogo Configurar atualizaes do servidor principal, desmarque

Agendar para atualizaes automticas e, em seguida, clique em OK.
Na caixa de dilogo Gerenciador de definies de vrus, desmarque as seguintes

selees:
Atualizar definies de vrus do servidor pai
195
196

Agendar cliente para receber atualizaes automticas usando o

LiveUpdate
Ativar o LiveUpdate contnuo
Marque No permitir que o cliente inicie manualmente o LiveUpdate e, em

seguida, clique em OK.
Repita esse procedimento para todos os grupos de servidores, caso tenha mais
de um.
Para desativar o servio de roaming no Symantec

System Center
Se o servio de roaming estiver em execuo nos computadores-cliente, a migrao
poder travar e no ser concluda. Se o servio de roaming estiver ativado, ser
necessrio desativ-lo para iniciar a migrao.
Nota: Se seus clientes em roaming executarem o Symantec AntiVirus verso 10.x,
desbloqueie seus grupos de servidores antes de desativar o servio de roaming.
Essa prtica ajuda a garantir que os clientes em roaming sejam autenticados
adequadamente com os certificados para seu servidor pai.

Clique em Todas as tarefas > Symantec AntiVirus > Opes de roaming do

cliente.
Na caixa de dilogo Opes de roaming do cliente, na caixa Validar pai a cada

minuto, digite 1.
Na caixa Procurar o pai mais prximo a cada minuto, digite 1, e depois clique
em OK.
Aguarde alguns minutos.

Clique em Todas as tarefas > Symantec AntiVirus > Opes de roaming do

cliente.

Desbloqueio de grupos de servidores no Symantec System Center
Na caixa de dilogo Opes de trnsito do cliente, desmarque Ativar roaming

em clientes que tiverem o servio de roaming do Symantec AntiVirus
instalado.
Clique em OK.

na pgina 190.
Desbloqueio de grupos de servidores no Symantec

System Center
Se os grupos de servidores no forem desbloqueados antes da migrao, podero
ocorrer resultados imprevisveis. Alm disso, se o servio de roaming estiver
ativado para clientes, o desbloqueio do grupo de servidores ajudar a garantir que
os clientes sejam autenticados corretamente em um servidor pai. Os clientes
autenticados corretamente em um servidor pai so colocados no banco de dados.
Os clientes colocados no banco de dados so exibidos automaticamente no grupo
legado correto no console, depois da instalao.
Para desbloquear um grupo de servidores

grupo de servidores bloqueado e, em seguida, clique em Desbloquear grupo
de servidores.
Na caixa de dilogo Desbloquear grupo de servidores, se necessrio, digite

as credenciais de autenticao e, em seguida, clique em OK.

na pgina 190.
Para desativar a Proteo contra adulteraes no

Symantec System Center
A Proteo contra adulteraes impede que processos interfiram com os processos
da Symantec. Voc deve desativar a Proteo contra adulteraes antes da
migrao. A Proteo contra adulteraes pode causar resultados imprevisveis
durante a migrao.
na pgina 190.
Para desativar a Proteo contra adulteraes no Symantec System Center
No Symantec System Center, realize uma das seguintes aes:
197
198

Clique com o boto direito do mouse em um servidor ou um grupo de

servidores e em Todas as tarefas > Symantec AntiVirus > Opes de
Proteo contra adulteraes do cliente.
Clique com o boto direito do mouse em um servidor ou um grupo de

servidores e em Todas as tarefas > Symantec AntiVirus > Opes de
Proteo contra adulteraes do servidor.
Se voc usar o Symantec AntiVirus 10.1, em Proteo, desmarque Processos

e desmarque Objetos internos.
Desmarque Ativar a proteo contra adulteraes.
Se voc configurar Opes de proteo contra adulteraes do cliente, poder

clicar em Redefinir tudo. Esta opo propaga as configuraes nesta guia a
todos os clientes anexados ao servidor ou ao grupo de servidores.

Se voc instalou um ou mais servidores de relatrio, ser necessrio desinstalar
esses servidores de relatrio e, opcionalmente, excluir os arquivos do banco de
dados. Voc tambm deve excluir servidores de relatrio do Symantec System
Center. Informaes completas sobre a desinstalao do servidor de relatrio
esto disponveis na ajuda online do Symantec System Center. Configuraes
legadas foram armazenadas no registro do Windows. Todas as configuraes esto
agora armazenadas em um banco de dados juntamente com os dados de relatrios.
na pgina 190.
Para desinstalar os servidores de relatrio
Faa logon em um computador em que o servidor de relatrio seja executado.
Clique em Iniciar > Configuraes > Painel de controle> Adicionar ou

remover programas.
Na caixa de dilogo Adicionar ou remover programas, clique em Symantec

Reporting Server e clique em Remover.
Siga os avisos na tela at excluir o servidor de relatrio.
Repita esse procedimento para todos os servidores de relatrio.
Para excluir servidores de relatrio do Symantec System Center
No Symantec System Center, clique com o boto direito do mouse e selecione

para expandir Relatrio.
Clique com o boto direito do mouse em cada servidor de relatrio e clique

em Excluir.

Sobre grupos de computadores importados com o Assistente de Migrao
Sobre grupos de computadores importados com o

Assistente de Migrao
Voc importa grupos de computadores do Symantec AntiVirus ou do Symantec
Client Security com Assistente de Migrao. O assistente cria um grupo filho
Minha empresa para cada grupo legado importado. O nome do grupo filho Minha
empresa uma concatenao de cada grupo legado e de seus grupos filho legados.
Por exemplo, suponhamos que o grupo legado Clientes contenha os grupos filho
legados Grupo_de_clientes1 e Grupo_de_clientes2. Os nomes do grupo filho Minha
empresa so Clientes, Clientes.Grupo_de_clientes1 e Clientes.Grupo_de_clientes2.
Consulte Para importar configuraes de grupos e de polticas com o Assistente
de Migrao na pgina 199.
na pgina 190.
Para importar configuraes de grupos e de polticas

com o Assistente de Migrao
O seguinte procedimento usa o Assistente de Migrao para importar as
configuraes do grupo e das polticas do Symantec AntiVirus Corporate Edition
e do Symantec Client Security.
Voc pode executar o Assistente de Migrao durante a instalao inicial do
produto. Voc tambm pode executar o Assistente de Migrao no menu Iniciar
no computador que hospeda o Symantec Endpoint Protection Manager.
Para importar as configuraes dos grupos e das polticas com o Assistente de
Migrao
Inicie o Assistente de Migrao, caso seja necessrio.

Para iniciar o Assistente de Migrao no computador do console, no menu
Iniciar, clique em Todos os programas > Symantec Endpoint Protection
Manager > Symantec Endpoint Protection Manager Ferramentas >
Assistente de Migrao.
No painel Assistente de Migrao, clique em Avanar.
No painel Assistente de Migrao, especifique as seguintes configuraes:
199
200

Para importar configuraes de grupos e de polticas com o Assistente de Migrao
Configuraes de
poltica do servidor
Especifique onde as configuraes de poltica do servidor so

configuradas.
Selecione uma das opes a seguir:
Configuraes de
poltica do cliente
Grupo de servidores
Cada servidor-pai
Especifique onde as configuraes de poltica do cliente so

configuradas.
Selecione uma das opes a seguir:
Grupo do servidor ou grupo do cliente
Cada servidor-pai
Clique em Avanar.
No painel Assistente de Migrao, selecione uma das seguintes opes:

Detectar servidores
automaticamente
Esta opo importa as configuraes de todos os servidores.

Digite o endereo IP de um computador que execute o
Symantec System Center.
Adicionar servidor
Esta opo importa as configuraes de um nico servidor e

dos clientes que gerencia. Digite o endereo IP de um
computador que execute um servidor.
Clique em Avanar.
Siga os prompts na tela para concluir a migrao.

na pgina 190.
Captulo
Para gerenciar sites e

replicao
Para configurar sites e replicao
Sobre como determinar de quantos sites voc precisa
Como a replicao funciona
Replicao dos dados sob demanda
Como alterar o agendamento de replicao automtica
Como especificar que dados replicar
Para excluir parceiros de replicao
Para readicionar um parceiro de replicao que voc excluiu previamente

Um site consiste em um banco de dados, um ou mais servidores de gerenciamento
e clientes. Por padro, voc implementa o Symantec Endpoint Protection com um
nico site. Empresas com mais de um datacenter ou local fsico geralmente usam
vrios sites.
A Tabela 8-1 exibe as etapas a serem seguidas para configurar sites adicionais e
a replicao.
202
Para gerenciar sites e replicao

Processo para configurar sites
Tabela 8-1
Etapas Tarefas
Descrio
Etapa 1 Determine se voc precisa

adicionar outro site.
Antes de configurar vrios sites e a replicao, certifique-se de que isto

necessrio. A Symantec recomenda a voc configurar a replicao somente
em circunstncias especficas. Se voc adicionar um site, decida que design
de site funciona para sua organizao.
Consulte Sobre como determinar de quantos sites voc precisa na pgina 203.
Para obter mais informaes sobre a configurao da replicao, consulte o
seguinte artigo da base de conhecimento: Quando usar a replicao com o
Symantec Endpoint Protection Manager (em ingls)
Consulte Como a replicao funciona na pgina 205.
Etapa 2 Instale o Symantec Endpoint Quando voc instalar o Symantec Endpoint Protection pela primeira vez, por
Protection Manager no
padro ter instalado o primeiro site ou o site local.
primeiro site.
na pgina 99.
Etapa 3 Instale o Symantec Endpoint Voc pode instalar o servidor de gerenciamento do segundo site usando o
Protection Manager no
Assistente de Configurao do servidor de gerenciamento. No assistente,
segundo site.
clique na opo Instalar um site adicional e siga as instrues no assistente.
O segundo servidor de gerenciamento classificado como um site remoto e
chamado de parceiro de replicao.
Quando voc adicionar o segundo site como um parceiro de replicao, execute
as tarefas a seguir:
Por padro, a replicao agendada para ocorrer automaticamente.
Contudo, voc pode mudar a agenda de replicao, com base na quantidade
de espao em disco que est disponvel.
Consulte Como alterar o agendamento de replicao automtica
na pgina 209.
Escolha se ir replicar logs, pacotes de instalao do cliente ou contedo
do LiveUpdate.
Consulte Como especificar que dados replicar na pgina 210.
A Symantec recomenda adicionar um mximo de quatro sites ao farm de

sites.
Para obter informaes sobre como configurar a replicao, consulte o
seguinte vdeo: Conceitos e configurao da replicao (em ingls)

Etapas Tarefas
Descrio
Etapa 4 Replicar os dados entre os

dois sites
A primeira vez que os bancos de dados entre os dois sites forem replicados,
aguarde a replicao ser concluda completamente. A replicao pode levar
bastante tempo, pois o banco de dados inteiro replicado.
Convm replicar os dados imediatamente, em vez de aguardar at que o banco
de dados esteja agendado para replicar. Voc tambm pode mudar a agenda
de replicao para ocorrer mais cedo ou mais tarde.
Consulte Replicao dos dados sob demanda na pgina 208.
Consulte Como alterar o agendamento de replicao automtica
na pgina 209.
Aps configurar o Symantec Endpoint Protection, ser necessrio fazer backup

do banco de dados, que contm todas as suas mudanas de configurao.
Se voc excluir um parceiro de replicao para migrar ou para fazer upgrade para
a verso mais recente do servidor de gerenciamento, dever adicionar novamente
o parceiro de replicao.
Consulte Para excluir parceiros de replicao na pgina 211.
Consulte Para readicionar um parceiro de replicao que voc excluiu
previamente na pgina 211.
Consulte Para conectar-se a um servidor de diretrio em um site replicado
na pgina 229.

A maioria das organizaes pequenas e mdias necessitam apenas de um nico
site para gerenciar centralmente a segurana da rede. Como cada site tem um
banco de dados apenas, todos os dados esto localizados centralmente.
Mesmo uma grande organizao com um nico local geogrfico normalmente
precisa de apenas um site. Mas para as organizaes que so demasiado complexas
para gerenciar centralmente, necessrio usar uma arquitetura de gerenciamento
distribudo com vrios sites.
Voc deve considerar vrios sites para qualquer um dos seguintes fatores:
Um grande nmero de clientes.
O nmero de locais geogrficos e o tipo de links de comunicao entre eles.
O nmero de divises funcionais ou de grupos administrativos.
203
204

O nmero de datacenters. Uma melhor prtica configurar um site do Symantec

Endpoint Protection para cada datacenter.
Com que frequncia voc deseja a atualizao do contedo.
Quantos dados de log de cliente voc precisa reter, por quanto tempo precisa
ret-los e onde eles devem ser armazenados.
Um link de WAN lento entre vrios locais fsicos com milhares de clientes. Se
voc configurar um segundo site com seu prprio servidor de gerenciamento,
ser possvel minimizar o trfego do servidor-cliente sobre esse link lento.
Com menos clientes, voc deve usar o Provedor de atualizaes de grupo.
Consulte Para usar Provedores de atualizaes de grupo para distribuir
contedo aos clientes na pgina 632.
Qualquer gerenciamento corporativo variado e consideraes de gerenciamento

de segurana de TI que sejam exclusivos.
Use as seguintes diretrizes de tamanho para decidir quantos sites instalar:
Instale o mnimo de sites possvel, at um mximo de 20 sites. Voc deve manter

o nmero de sites replicados abaixo de cinco.
Conecte at 10 servidores de gerenciamento para um banco de dados.
Conecte de 45.000 a 50.000 clientes para um servidor de gerenciamento.
Aps adicionar um site, ser necessrio duplicar as informaes do site em vrios

sites atravs da replicao. A replicao o processo de compartilhamento de
informaes entre os bancos de dados, a fim de garantir que o contedo seja
consistente.
A Tabela 8-2 exibe os designs multissite dos quais voc pode escolher.
Tabela 8-2
Designs multissite
Design do site Descrio

Distribudas
Cada site executa a replicao bidirecional de grupos e polticas, mas

no de logs e contedo. Para exibir os relatrios do site, voc usa o
console para se conectar a um servidor de gerenciamento no site remoto.
Use este design quando voc no precisar de acesso imediato aos dados
do site remoto.
Registro em log
centralizado
Todos os logs so encaminhados de outros sites para um site central.

Use este design quando voc exigir gerao de relatrios centralizada.

Design do site Descrio

Alta
disponibilidade
Cada site tem vrias instalaes de servidores de gerenciamento e

clusters de banco de dados. Voc poder configurar computadores-cliente
para alternar automaticamente para um servidor de gerenciamento
alternativo se o servidor de gerenciamento primrio se tornar
indisponvel.
Use este design para fornecer redundncia, failover e recuperao aps
desastres.
Nota: Quando voc usar a replicao com um banco de dados

incorporado, a Symantec recomenda que voc no adicione o
balanceamento de carga, porque poder resultar em inconsistncia e
perda dos dados.
Consulte Configurao do failover e balanceamento de carga
na pgina 797.
Nota: No adicione sites que controlam clientes adicionais. Em vez disso, possvel
instalar dois ou mais servidores de gerenciamento e usar a lista de servidores de
gerenciamento.
Para obter mais informaes sobre se voc deve ou no configurar a replicao,
veja o seguinte artigo da base de conhecimento: When to use replication with
Symantec Endpoint Protection Manager (em ingls)

A replicao permite que os dados sejam duplicados entre bancos de dados em
sites separados, de modo que ambos os bancos de dados contenham as mesmas
informaes. Se um banco de dados falhar, voc pode gerenciar cada site usando
as informaes no banco de dados do segundo site.
Um parceiro um servidor de gerenciamento em outro site com um servidor de
gerenciamento e um banco de dados diferentes. Um site poder ter muitos
parceiros, conforme necessrio. Cada parceiro ou site remoto, conecta-se ao site
principal ou ao site local, que o site ao qual voc est conectado. Todos os sites
configurados como parceiros so considerados como estando no mesmo farm do
site.
205
206

Cada site com o qual voc replica dados um parceiro de replicao ou um site
parceiro. Os parceiros de replicao e os sites parceiros usam vrios servidores
de gerenciamento, mas o banco de dados que eles usam e a maneira de se
comunicarem so diferentes:
os parceiros de replicao podem usar um banco de dados interno ou um banco

de dados do Microsoft SQL Server. Os servidores de gerenciamento no
compartilham o banco de dados. Todos os parceiros de replicao compartilham
uma chave de licena comum.
Se voc usar um banco de dados incorporado, ser possvel conectar apenas
um Symantec Endpoint Protection Manager. Se voc usar um banco de dados
Microsoft SQL Server, ser possvel conectar vrios servidores de
gerenciamento que compartilham um banco de dados. Somente um dos
servidores de gerenciamento precisa ser configurado como parceiro de
replicao.
Os sites parceiros compartilham um nico banco de dados do Microsoft SQL.
As mudanas que voc faz em qualquer parceiro so duplicadas a todos parceiros

restantes. Por exemplo, recomendvel configurar um site no seu escritrio
principal (site 1) e um segundo site (site 2). O site 2 um parceiro para o site 1. Os
bancos de dados do site 1 e do site 2 so reconciliados usando a agenda de
replicao. Se for feita uma alterao no site 1, ela ser exibida automaticamente
no site 2 depois que a replicao ocorrer. Se for feita uma alterao no site 2, ela
ser exibida automaticamente no site 1 depois que a replicao ocorrer. Voc
tambm pode instalar um terceiro site (site 3) que possa replicar dados do site 1
ou do 2.
Depois que a replicao ocorre, o banco de dados no site 1 e o banco de dados no
site 2 so os mesmos. Somente as informaes de identificao do computador
dos servidores diferem.
Os grupos e as polticas so replicados sempre. Voc pode optar por replicar logs,
contedo atualizado e patches.

Como a replicao funciona entre o site principal e dois sites

remotos
Figura 8-1
Site 1
Site 2
Symantec
Endpoint
Protection
Manager
Symantec Endpoint
Protection Manager
Banco de dados
MS SQL
Banco de dados
MS SQL
Replicao
Replicao
Site 3
Symantec Endpoint
Protection Manager
Banco de
dados MS SQL
Consulte Como resolver conflitos dos dados entre sites durante a replicao
na pgina 207.
Para obter mais informaes sobre com que frequncia replicar, consulte o seguinte
artigo da base de conhecimento: The Philosophy of SEPM Replication Setup (em
ingls)
Como resolver conflitos dos dados entre sites durante a replicao

Se os administradores alterarem as configuraes nos sites em um farm de sites,
podero ocorrer conflitos.
A Tabela 8-3 exibe as maneiras usadas pelo Symantec Endpoint Protection Manager
para controlar os conflitos que ocorrerem.
207
208

Tabela 8-3
Como o servidor de gerenciamento resolve conflitos entre sites
Tipo de conflito
Exemplo
Resoluo
Duas diferenas no
podem existir em
conjunto.
Os administradores para ambos

os sites 1 e 2 definem uma
configurao idntica da poltica
de firewall. No site 1, a
configurao ativada. No site 2,
a configurao desativada.
O servidor de gerenciamento retm apenas a alterao

recentemente feita.
A mesma varivel
criada para ambos os
sites.
Os administradores no site 1 e no O servidor de gerenciamento retm ambas as alteraes,

2 adicionam um grupo com o
adicionando um til e o numeral 1 (~1) aps a varivel
mesmo nome.
mais recentemente feita.
Por exemplo, se voc primeiramente fizer uma mudana

no site 1 e depois no site 2, a alterao feita no site 2 ser
mantida.
Por exemplo, com dois grupos nomeados como Vendas,

o grupo recentemente chamado de Vendas transforma-se
em Vendas ~1.
Os dados podem ser
mesclados sem
conflito.
O administrador do site 1
adiciona duas polticas de
firewall; o administrador do site
2 adiciona cinco polticas de
firewall.
O servidor de gerenciamento mescla as alteraes

Por exemplo, o servidor de gerenciamento exibe todas
as sete polticas de firewall em ambos os sites.

A replicao geralmente ocorre de acordo com o agendamento definido quando
voc adicionou um parceiro de replicao durante a instalao. O site com o menor
nmero de ID inicia a replicao agendada. Convm realizar a replicao
imediatamente.
Se voc usar o banco de dados do Microsoft SQL Server com mais de um servidor,
poder somente iniciar a replicao pelo primeiro servidor nesse site.
Agendamento da replicao por solicitao
Em Servidores, expanda Parceiros de replicao e selecione o parceiro cujo

banco de dados voc quer replicar imediatamente.
Em Tarefas, clique em Replicar agora.

Como alterar o agendamento de replicao automtica
Clique em Sim.
Clique em OK.
Como alterar o agendamento de replicao

automtica
A replicao geralmente ocorre de acordo com o agendamento que voc definiu
quando adicionou um parceiro de replicao durante a instalao inicial. O site
com o menor nmero de ID inicia a replicao agendada. Quando um parceiro de
replicao tiver sido estabelecido, voc poder alterar o agendamento de replicao.
Quando voc altera o agendamento em um parceiro de replicao, o agendamento
em ambos os lados o mesmo aps a prxima replicao.
O tempo que leva para replicar depende do tamanho do banco de dados, assim
como da conexo de rede entre os sites. Primeiro, teste um ciclo de replicao para
ver quanto tempo leva. Voc deve agendar sua replicao com base nesse perodo
de tempo e certificar-se de que o momento em que os servidores de gerenciamento
duplicarem dados no coincida.
Aps a replicao completa inicial do banco de dados, as replicaes subsequentes
sero razoavelmente pequenas, se voc replicar somente polticas, clientes e
grupos, e no logs.
Para alterar frequncias de replicao
Em Servidores, clique em Parceiros de replicao.
Em Tarefas, clique em Editar parceiro de replicao.
Na caixa de dilogo Editar parceiro de replicao, especifique o agendamento

da replicao entre os dois parceiros seguindo uma destas etapas:
Selecione Replicao automtica.

Com isso, uma replicao automtica e frequente ocorre entre dois sites.
Essa opo a configurao padro. Portanto, voc no pode definir um
agendamento personalizado para uma replicao.
Nota: A opo Replicao automtica executa o processo de replicao a
cada duas horas. As verses anteriores do produto foram replicadas
automaticamente a cada cinco minutos.
209
210

Desmarque Replicao automtica.

Agora voc pode definir um agendamento personalizado para uma
replicao.
Selecione a Frequncia de replicao de hora em hora, diariamente

ou semanalmente.
Selecione o dia especfico durante o qual voc deseja que a replicao

ocorra na lista Dia da semana para configurar um agendamento
semanal.
Clique em OK.

Voc pode optar por replicar ou duplicar pacotes de cliente, contedo do
LiveUpdate e os logs entre o site local e o remoto. O administrador no site remoto
pode ento implementar o pacote do cliente e o contedo do LiveUpdate.
Se decidir replicar pacotes do cliente e o contedo do LiveUpdate, voc poder
duplicar um volume grande de dados. Os dados em um pacote de cliente podem
ser to grandes quanto 5 GB. Os pacotes de instalao de 32 e 64 bits do Symantec
Endpoint Protection e do Symantec Network Access Control podem exigir at 500
MB de espao em disco. Se pretender replicar logs, certifique-se de ter suficiente
espao em disco para os logs adicionais em todos os servidores parceiros de
replicao.
Para especificar que dados replicar
Em Servidores, clique em Parceiros de replicao.
Expanda Parceiros de replicao e selecione o parceiro de replicao com o

qual voc deseja replicar pacotes de clientes.
Em Tarefas, clique em Editar propriedades do parceiro de replicao.
Na caixa de dilogo Propriedades do parceiro de replicao, clique em

Replicar pacotes de clientes e contedo do LiveUpdate entre o site local e
o site de parceiro.
Clique em OK.


Quando voc remover um servidor de gerenciamento em um site remoto, voc
precisar exclu-lo manualmente de todos os sites. Desinstalar o software de um
console do servidor de gerenciamento no faz com que o cone desaparea do
painel Servidores em outros consoles.
Para excluir um parceiro de replicao
No console, clique em Admin.
Em Tarefas, clique em Servidores.
Expanda Sites remotos e selecione o site que voc planeja excluir.
Em Tarefas, clique em Excluir site remoto.
Clique em Sim.
Consulte Para readicionar um parceiro de replicao que voc excluiu

previamente na pgina 211.
Para readicionar um parceiro de replicao que voc

excluiu previamente
Voc pode adicionar um parceiro de replicao que tenha sido excludo
anteriormente como um parceiro. Por exemplo, voc deve excluir parceiros de
replicao para poder migrar ou fazer upgrade verso mais recente do servidor
de gerenciamento. Posteriormente, possvel adicionar esse parceiro de replicao
de volta para tornar os bancos de dados consistentes. No entanto, algumas
alteraes podem ter conflito. Se voc adicionar um parceiro excludo, o servidor
de gerenciamento a que deseja se conectar dever previamente ter sido um parceiro
no mesmo farm do site.
Em Servidores, selecione um site.
Em Tarefas, clique em Adicionar parceiro de replicao existente.
No Assistente de Especificao de parceiro de replicao existente, clique

em Avanar.
No painel Informaes do site remoto, digite o endereo IP ou o nome do

host e o nmero da porta do servidor de gerenciamento que o parceiro de
replicao.
211
212

Digite o nome de usurio e a senha do administrador para o servidor do

gerenciamento remoto e clique em seguida em Avanar.
No painel Agendar replicao, especifique o agendamento da replicao

entre os dois parceiros seguindo estas etapas:
Selecione Replicao automtica.

Com isso, uma replicao automtica e frequente ocorre entre dois sites.
Para configurar um agendamento personalizado para a replicao, marque

Replicao automtica e especifique o agendamento.
Clique em Avanar.
No painel Replicao de arquivos de log e pacotes de clientes, marque ou

desmarque as opes, dependendo se voc quer ou no replicar logs.
10 Na caixa de dilogo Adicionar parceiro de replicao execute um destes

procedimentos:
Se o banco de dados foi restaurado no site do parceiro de replicao, clique

em Sim.
Voc deve restaurar o banco de dados em cada site do parceiro de
replicao antes de continuar, caso esteja fazendo um upgrade ou
restaurando um banco de dados.
Clique em No se o banco de dados no foi restaurado.

Em seguida, restaure o banco de dados e reinicie esse procedimento.
11 Clique em Avanar.
O parceiro de replicao adicionado em Parceiros de replicao na pgina
Administrador.
Consulte Para excluir parceiros de replicao na pgina 211.
Captulo
Para gerenciar o Symantec

Endpoint Protection no
Protection Center
Sobre o Symantec Endpoint Protection e o Protection Center
Sobre como fazer upgrade para o Protection Center verso 2
Sobre a configurao do Symantec Endpoint Protection no Protection Center
Sobre como configurar vrios domnios do Symantec Endpoint Protection no

Protection Center
Configurao da comunicao entre o Symantec Endpoint Protection Manager

e o Protection Center
Sobre o Symantec Endpoint Protection e o Protection

Center
O Protection Center permite gerenciar o Symantec Endpoint Protection junto com
outros produtos da Symantec em um nico ambiente. O Symantec Endpoint
Protection integrado ao Protection Center por meio de uma srie de servios da
Web. Estes servios da Web fornecem comunicao entre o servidor do Symantec
Endpoint Protection Manager e o servidor do Protection Center.
Voc pode executar as tarefas a seguir no Protection Center:
Executar o console do Symantec Endpoint Protection Manager no Protection

Center junto com os consoles de outros produtos da Symantec.
214
Para gerenciar o Symantec Endpoint Protection no Protection Center

Sobre como fazer upgrade para o Protection Center verso 2
O console do Symantec Endpoint Protection Manager no Protection Center

quase idntico ao console autnomo. As opes das funes principais que
aparecem esquerda da janela do console na verso autnoma; porm,
aparecem na parte superior no Protection Center.
Executar os relatrios que contenham dados do Symantec Endpoint Protection

e de outros produtos, como o Symantec Messaging Gateway.
Os servios da Web de feed de dados definem que dados do Symantec Endpoint
Protection so gravados no banco de dados do Protection Center.
Inicie os fluxos de trabalho do Protection Center que incluem tarefas do

Symantec Endpoint Protection. O Protection Center fornece os seguintes fluxos
de trabalho do Symantec Endpoint Protection:
Fluxo de trabalho do endpoint em quarentena
Mover fluxo de trabalho do endpoint
Atualizar definies de vrus no fluxo de trabalho do endpoint
Atualizar definies de vrus e fluxo de trabalho do endpoint da verificao
Outros produtos podem fornecer tarefas ou conjuntos de pontos de integrao

diferentes. Para obter mais informaes sobre como os produtos podem ser
integrados ao Protection Center, consulte a documentao do Protection Center.
Consulte Sobre como fazer upgrade para o Protection Center verso 2
na pgina 214.
Consulte Sobre a configurao do Symantec Endpoint Protection no Protection
Consulte Sobre como configurar vrios domnios do Symantec Endpoint Protection
no Protection Center na pgina 216.
Consulte Configurao da comunicao entre o Symantec Endpoint Protection
Manager e o Protection Center na pgina 217.
Para obter mais informaes, consulte Guia de Integrao do Symantec Endpoint
Protection e do Symantec Protection Center.
Sobre como fazer upgrade para o Protection Center

verso 2
Para fazer upgrade para o Protection Center verso 2, execute uma instalao
nova. Em seguida adicione o Symantec Endpoint Protection ao Protection Center.
O processo de adio semelhante a adicionar produtos na verso 1.

Sobre a configurao do Symantec Endpoint Protection no Protection Center

Porm, a configurao de contas no Protection Center para acessar produtos
integrados diferente. Para obter mais informaes, consulte a documentao do
Protection Center.
Sobre a configurao do Symantec Endpoint

Protection no Protection Center
Configure o Symantec Endpoint Protection no Protection Center executando as
tarefas a seguir:
Adicione o servidor do Symantec Endpoint Protection Manager ao Protection

Center e ative o servidor.
Crie contas do Protection Center para acessar o Symantec Endpoint Protection

e seus outros produtos integrados.
Mapeie as contas do Protection Center s contas apropriadas no Symantec

Endpoint Protection e em seus outros produtos integrados.
Para obter informaes detalhadas sobre como adicionar produtos e criar contas,
consulte a documentao do Protection Center.
Voc deve configurar vrios domnios individualmente. Se o Symantec Endpoint
Protection Manager incluir apenas o domnio padro, voc no precisar especificar
informaes do domnio no Protection Center.
Consulte Sobre como configurar vrios domnios do Symantec Endpoint Protection
no Protection Center na pgina 216.
Nota: No Protection Center verso 1, possvel adicionar o Symantec Endpoint
Protection usando uma conta de administrador limitado que tenha direitos de
gerao de relatrios. Na verso 2, necessrio usar uma conta de administrador
do sistema ou de administrador de domnio.
O Protection Center pode descobrir automaticamente os servidores do Symantec
Endpoint Protection Manager na rede. Por padro, esta descoberta de rede ativada
no Symantec Endpoint Protection Manager. Se voc a desativou, poder adicionar
o Symantec Endpoint Protection Manager manualmente. Para obter detalhes
sobre como adicionar um produto manualmente, consulte a documentao do
Protection Center.
215
216

Sobre como configurar vrios domnios do Symantec Endpoint Protection no Protection Center
Sobre como configurar vrios domnios do Symantec

Endpoint Protection no Protection Center
Para gerenciar vrios domnios do Symantec Endpoint Protection no Protection
Center, necessrio adicionar cada domnio ao Protection Center separadamente.
Voc deve especificar o domnio como parte do nome de usurio no formulrio
<nome_de_domnio>\ nome_da_conta.
Nota: Os domnios do Symantec Endpoint Protection so equivalentes a locatrios
no Protection Center. Voc fornecer tambm o nome de domnio no campo do
locatrio quando adicionar um domnio do Symantec Endpoint Protection ao
Protection Center.
Quando configurar o Symantec Endpoint Protection Manager, voc configurar
portas para seu sistema inteiro. Voc pode usar as portas padro ou pode
especificar portas personalizadas. Quando adicionar vrios domnios no Protection
Center, ser necessrio especificar estas portas para cada domnio adicionado. Os
nmeros da porta so os mesmos, mas o Protection Center exige que voc os
fornea para cada domnio.
A Tabela 9-1 exibe os termos que o Protection Center usa para se referir s portas
Tabela 9-1
Nomes de porta
Nome de porta do Protection Nome de porta do Symantec Endpoint Protection

Center
Manager
Porta do feed de dados
Porta dos servios da Web
Porta do registro
Porta dos servios da Web
Porta do console
Porta do servidor


Configurao da comunicao entre o Symantec Endpoint Protection Manager e o Protection Center
Configurao da comunicao entre o Symantec

Endpoint Protection Manager e o Protection Center
Voc pode adicionar um Symantec Endpoint Protection Manager ao Protection
Center usando as configuraes padro de comunicao que sero instaladas
quando instalar o Symantec Endpoint Protection Manager.
Em alguns casos, porm, pode ser necessrio mudar algumas destas configuraes.
Para configurar a comunicao entre o Symantec Endpoint Protection Manager e
o Protection Center
No console, clique em Administrador > Servidores > Nome do servidor >

Editar propriedades do site.
Na guia Servios da Web, altere algumas das seguintes configuraes:

Feeds de dados
Se os feeds de dados do Protection Center consumirem muito de

sua largura de banda da rede, voc poder alterar estas
configuraes.
Nota: Os feeds de dados so informados continuamente ao

Protection Center.
Tamanho do fluxo Eventos acionam os fluxos de trabalho do Protection Center. Os
de trabalho
fluxos de trabalho so, portanto, menos frequentes do que os
feeds de dados. Convm usar estas configuraes para refinar o
quanto os fluxos de trabalho do Protection Center solicitam dados
do Symantec Endpoint Protection.
Descoberta de rede Se voc desativar a descoberta de rede, ser necessrio adicionar
o Symantec Endpoint Protection Manager ao Protection Center
manualmente. Consulte a documentao do Protection Center
para obter mais informaes.
Autenticao
Permite a autenticao baseada em sesso para que o suporte

tcnico da Symantec ou os engenheiros de vendas gravem
ferramentas com base em servio da Web para ajudar a otimizar
seu ambiente.
Clique em OK.
Para informaes mais detalhadas sobre estas configuraes, consulte a ajuda

contextual do painel Servios da Web.
Consulte Para ativar ou desativar os servios da Web do Symantec Endpoint
Protection Manager na pgina 780.
217
218

Configurao da comunicao entre o Symantec Endpoint Protection Manager e o Protection Center

Seo
Para gerenciar grupos,

clientes e administradores
Captulo 10. Para gerenciar grupos de computadores-cliente
Captulo 11. Para gerenciar clientes
Captulo 12. Para gerenciar clientes remotos
Captulo 13. Para gerenciar domnios
Captulo 14. Para gerenciar contas de administrador e senhas
220
Captulo
10
Para gerenciar grupos de

Para gerenciar grupos de clientes
Como voc pode estruturar grupos
Adio de um grupo
Para importar grupos existentes e computadores de um servidor Active

Directory ou LDAP
Atribuio de clientes a grupos antes de instalar o software-cliente
Como desativar e ativar a herana de um grupo
Para impedir que computadores-cliente sejam adicionados a grupos
Para mover um computador-cliente para outro grupo

No Symantec Endpoint Protection Manager, os grupos funcionam como containers
para os endpoints que executam o software-cliente. Estes endpoints podem ser
computadores ou usurios. Voc organiza os clientes que tenham necessidades
da segurana semelhantes em grupos para facilitar o gerenciamento da segurana
da rede.
O Symantec Endpoint Protection Manager contm os seguintes grupos padro:
O grupo Minha empresa o grupo de nvel superior, ou pai. Contm uma rvore
simples de grupos filho.
222
Para gerenciar grupos de computadores-cliente

O Grupo padro um subgrupo de Minha empresa. Os clientes so primeiro

atribudos ao Grupo padro quando eles so registrados pela primeira vez
com o Symantec Endpoint Protection Manager, a menos que pertenam a um
grupo predefinido. Voc no pode criar subgrupos em Grupo padro.
Nota: Voc no pode renomear ou excluir os grupos padro.

Tabela 10-1
Aes de gerenciamento de grupo
Tarefa
Descrio
Adicionar grupos

Importar grupos existentes
Se sua organizao j tem uma estrutura de grupo existente,

possvel importar os grupos como unidades
organizacionais.
Nota: Voc no pode gerenciar unidades organizacionais

importadas da mesmas maneira que gerencia os grupos
criados no Symantec Endpoint Protection Manager.
Consulte Para importar grupos existentes e computadores
de um servidor Active Directory ou LDAP na pgina 225.
Desativar herana para
subgrupos
Os subgrupos herdam as mesmas configuraes de

segurana do grupo pai por padro. Voc pode desativar a
herana.
Consulte Como desativar e ativar a herana de um grupo
na pgina 233.
Criar locais dentro de grupos Voc pode configurar os clientes para alternar
automaticamente para uma poltica de segurana diferente
se o local fsico do cliente mudar.
Consulte Gerenciamento de locais para clientes remotos
na pgina 267.
Algumas configuraes de segurana so especficas de
grupo e outras so especficas do local. Voc pode
personalizar quaisquer configuraes que forem especficas
do local.
Consulte Configurao de definies de comunicao para
um local na pgina 277.

Tarefa
Descrio
Atribuir clientes a grupos

antes de instalar o
software-cliente
Consulte Atribuio de clientes a grupos antes de instalar

o software-cliente na pgina 232.
Gerenciar polticas de
segurana para grupos
Voc pode criar polticas de segurana baseadas nas

necessidades de cada grupo. Assim, voc poder atribuir
polticas diferentes a grupos ou locais diferentes.
Consulte Adio de poltica na pgina 317.
Consulte Atribuio de uma poltica a um grupo
na pgina 321.
Consulte Para executar as tarefas comuns a todas as
polticas de segurana na pgina 310.
Executar manuteno de
grupo bsica
Voc pode mover grupos para um gerenciamento mais fcil

e mover clientes entre grupos. Tambm possvel bloquear
a adio de clientes a um grupo especfico.
Consulte Para mover um computador-cliente para outro
grupo na pgina 235.
Consulte Para impedir que computadores-cliente sejam
adicionados a grupos na pgina 234.

Voc pode criar vrios grupos e subgrupos para que correspondam estrutura
organizacional de sua empresa. Voc pode embasar sua estrutura de grupo no
papel, na funo, na geografia ou em uma combinao de critrios.
Tabela 10-2
Critrios para criar grupos
Critrio
Descrio
Funo
Voc pode criar os grupos com base nos tipos de computadores a serem
gerenciados, como laptops, desktops e servidores. Como alternativa,
possvel criar vrios grupos que so baseados no tipo de uso. Por exemplo,
voc pode criar um grupo remoto para os computadores-cliente usados em
trnsito e um grupo local para os computadores-cliente que permanecem
no escritrio.
Funo
Voc pode criar grupos para funes de departamento, tais como vendas,
engenharia, finanas e marketing.
223
224

Adio de um grupo
Critrio
Descrio
Geografia
Voc pode criar os grupos com base nos escritrios, nas cidades, nos estados,
nas regies ou nos pases onde os computadores esto localizados.
Combinao Voc pode criar os grupos com base em uma combinao de critrios. Por
exemplo, possvel usar o papel e a funo.
Voc pode adicionar um grupo pai por atividade e adicionar subgrupos filhos
por funo, como no seguinte cenrio:
Vendas, com subgrupos de laptops, desktops e servidores.
Engenharia, com subgrupos de laptops, desktops e servidores.
Depois de organizar os computadores-cliente no grupo, voc poder aplicar a

quantidade apropriada de segurana a esse grupo.
Por exemplo, suponha que uma empresa tem departamentos de telemarketing e
de contabilidade. Esses departamentos tm funcionrios nos escritrios de Nova
York, Londres e Frankfurt da empresa. Todos os computadores de ambos os
departamentos so atribudos ao mesmo grupo de modo a receber atualizaes
das definies de vrus e de risco segurana da mesma origem. Porm, os
relatrios de TI indicam que o departamento de telemarketing mais vulnervel
a riscos que o departamento de contabilidade. Como resultado, o administrador
do sistema cria grupos separados de telemarketing e de contabilidade. Os clientes
de telemarketing compartilham as configuraes que limitam estritamente como
os usurios podem interagir com a proteo contra vrus e riscos segurana.
Se voc tiver clientes do Symantec Endpoint Protection e Symantec Network
Access Control instalados, mantenha-os em grupos separados.
Consulte o artigo da base de conhecimento Best Practices for Creating Group
Structure (em ingls).
na pgina 310.
Adio de um grupo
possvel adicionar grupos aps definir a estrutura de grupos da sua organizao.
As descries dos grupos podem ter at 1024 caracteres. Os nomes de grupo podem
conter qualquer caractere exceto os seguintes caracteres: [ / \ * ? < > | :] as
descries do grupo no so restritas.

Para importar grupos existentes e computadores de um servidor Active Directory ou LDAP
Nota: No possvel adicionar grupos ao Grupo padro.

Para adicionar um grupo
Em Clientes, selecione o grupo ao qual voc quer adicionar um novo subgrupo.
Na guia Clientes, sob Tarefas, clique em Adicionar grupo.
Na caixa de dilogo Adicionar grupo para nome de grupo, digite o nome do

grupo e uma descrio.
Clique em OK.
Para importar grupos existentes e computadores de

um servidor Active Directory ou LDAP
Se sua empresa usa um servidor Active Directory ou LDAP para gerenciar grupos,
voc poder importar a estrutura do grupo no Symantec Endpoint Protection
Manager. Voc pode ento gerenciar os grupos e os computadores do console de
gerenciamento.
A Tabela 10-3 relaciona as tarefas que voc deve executar para importar a estrutura
do grupo antes de gerenci-las.
Tabela 10-3
Etapa Tarefa
Etapa
1
Para importar grupos e computadores existentes

Descrio
Conecte o Symantec Endpoint Voc pode conectar o Symantec Endpoint Protection Manager a um servidor
Protection Manager ao
Active Directory ou LDAP-compatvel. Quando voc adicionar o servidor,
servidor de diretrio da sua
dever ativar a sincronizao.
empresa
Consulte Sobre a importao de unidades organizacionais do servidor de
diretrio na pgina 227.
Consulte Para conectar o Symantec Endpoint Protection Manager a um
servidor de diretrio na pgina 228.
Consulte Para conectar-se a um servidor de diretrio em um site replicado
na pgina 229.
225
226

Etapa Tarefa
Etapa
2
Descrio
Importe unidades
Voc pode importar a estrutura de grupo existente ou contas de computador
organizacionais inteiras,
ou contas de usurio individuais para os grupos do Symantec Endpoint
contas de computador ou
Protection Manager criados.
contas de usurio especficas
Consulte Para importar unidades organizacionais de um servidor de
Se voc quiser usar a estrutura do grupo do Symantec Endpoint Protection
Manager e no o servidor de diretrio, importe contas individuais.
Consulte Para pesquisar e importar contas especficas de um servidor de
Etapa
3
Mantenha o computador
Aps importar unidades organizacionais, voc poder fazer qualquer uma
importado ou as contas de
das seguintes aes:
usurio em seu prprio grupo
Manter as unidades organizacionais ou as contas importadas em seus
ou copie as contas importadas
prprios grupos. Aps importar unidades organizacionais ou contas
para grupos existentes
individuais, voc atribuir polticas unidade organizacional ou ao grupo.
Copie as contas importadas para grupos do Symantec Endpoint Protection
Manager existentes. As contas copiadas seguem a poltica do grupo do
Symantec Endpoint Protection Manager, e no da unidade organizacional
importada.
Consulte Atribuio de uma poltica a um grupo na pgina 321.
Etapa
4
Altere o mtodo de
autenticao para as contas
de administrador (opcional)
Para as contas de administrador que voc adicionou no Symantec Endpoint

Protection Manager, mude o mtodo de autenticao para autenticao de
servidor de diretrio em vez da autenticao padro do Symantec Endpoint
Protection Manager. possvel usar as contas de administrador para
autenticar as contas que voc importou. Quando um administrador faz logon
no Symantec Endpoint Protection Manager, o servidor de gerenciamento
recupera o nome de usurio do banco de dados e a senha do servidor de
diretrio.
Consulte Para mudar o mtodo de autenticao de contas de administrador
na pgina 294.
Consulte Melhores prticas para testar se um servidor de diretrio autentica
uma conta de administrador na pgina 298.

Sobre a importao de unidades organizacionais do servidor de

diretrio
Os servidores Active Directory e LDAP da Microsoft usam unidades organizacionais
para gerenciar contas de computadores e usurios. Voc pode importar uma
unidade organizacional e os dados de sua conta para o Symantec Endpoint
Protection Manager, e gerenciar os dados da conta no console de gerenciamento.
Como o Symantec Endpoint Protection Manager trata a unidade organizacional
como um grupo, voc poder ento atribuir uma poltica de segurana ao grupo
da unidade organizacional.
Voc pode igualmente mover contas das unidades organizacionais para um grupo
do Symantec Endpoint Protection Manager copiando-as. A mesma conta existe
ento no grupo e na unidade organizacional do Symantec Endpoint Protection
Manager. Como a prioridade do grupo do Symantec Endpoint Protection Manager
mais alta do que a unidade organizacional, as contas copiadas adotam a poltica
do grupo do Symantec Endpoint Protection Manager.
Se excluir uma conta do servidor de diretrio que voc copiou para um grupo do
Symantec Endpoint Protection Manager, o nome da conta ainda permanecer no
grupo do Symantec Endpoint Protection Manager. Voc deve remover a conta do
servidor de gerenciamento manualmente.
Se voc precisar modificar os dados da conta na unidade organizacional, dever
executar esta tarefa no servidor de diretrio, e no no Symantec Endpoint
Protection Manager. Por exemplo, voc pode excluir uma unidade organizacional
do servidor de gerenciamento, que no exclui permanentemente a unidade
organizacional no servidor de diretrio. Voc deve sincronizar o Symantec
Endpoint Protection Manager com o servidor do Active Directory, de modo que
estas mudanas sejam atualizadas automaticamente no Symantec Endpoint
Protection Manager. Ative a sincronizao quando configurar a conexo ao servidor
de diretrio.
Nota: A sincronizao somente possvel para servidores do Active Directory. O
Symantec Endpoint Protection no suporta a sincronizao com servidores LDAP.
Voc tambm pode importar usurios selecionados para um grupo do Symantec
Endpoint Protection Manager em vez de importar a unidade organizacional inteira.
Consulte Para conectar o Symantec Endpoint Protection Manager a um servidor
de diretrio na pgina 228.
227
228

Consulte Para importar unidades organizacionais de um servidor de diretrio

na pgina 230.
Consulte Para pesquisar e importar contas especficas de um servidor de diretrio
na pgina 231.
Para conectar o Symantec Endpoint Protection Manager a um servidor

de diretrio
Voc deve primeiramente conectar o Symantec Endpoint Protection Manager ao
servidor de diretrio da sua empresa para que seja possvel importar as unidades
organizacionais que contm contas de computador ou contas de usurio.
Voc no pode modificar as contas nas unidades organizacionais no servidor de
gerenciamento, somente no servidor de diretrio. Contudo, voc pode sincronizar
os dados de uma conta entre o servidor do Active Directory e o servidor de
gerenciamento. Qualquer alterao feita no servidor do Active Directory ser
atualizada automaticamente no Symantec Endpoint Protection Manager. Todas
as alteraes que voc realizar no servidor do Active Directory no sero exibidas
imediatamente na unidade organizacional importada para o servidor de
gerenciamento. O perodo de latncia depende da frequncia da sincronizao.
Ative a sincronizao e defina a frequncia da sincronizao quando configurar
a conexo.
Se voc excluir uma conexo do servidor de diretrio do Symantec Endpoint
Protection Manager, dever primeiramente excluir todas as unidades
organizacionais importadas que estejam associadas com essa conexo. Aps, voc
pode sincronizar dados entre os servidores.
Symantec Endpoint Protection no suporta a sincronizao com servidores LDAP.
Para conectar o Symantec Endpoint Protection Manager a um servidor de diretrio
Em Servidores e em Site local, selecione o servidor de gerenciamento.
Na caixa de dilogo Propriedades do servidor, na guia Servidores de

diretrios, clique em Adicionar.
Na caixa de dilogo Adicionar servidor de diretrio, digite um nome para o

servidor de diretrio.

Marque Active Directory ou LDAP e digite o endereo IP, o nome do host ou

o nome de domnio.
Se voc adicionar um servidor LDAP, mude o nmero da porta do servidor
LDAP se ele for diferente do que o valor padro.
Se voc quiser uma conexo criptografada, marque Usar conexo segura.
Clique em OK.
Na guia Servidores de diretrios, marque Sincronizar com servidores de

diretrios e em Agendamento, configure o agendamento da sincronizao.
10 Clique em OK.
na pgina 230.
na pgina 231.
Para conectar-se a um servidor de diretrio em um site replicado

Se um site usar um servidor replicado do Active Directory ou LDAP, voc poder
conectar o Symantec Endpoint Protection Manager ao servidor de diretrio
primrio e ao servidor replicado. Se o servidor de diretrio primrio for
desconectado, o servidor de gerenciamento ficar conectado ao servidor do
diretrio replicado.
O Symantec Endpoint Protection Manager pode ento autenticar contas de
administrador e sincronizar unidades organizacionais em todos os servidores do
Active Directory do site local e dos sites replicados.
Symantec Endpoint Protection no oferece suporte sincronizao com servidores
LDAP.
Para conectar-se a um servidor de diretrio em um site replicado
Em Servidores, selecione o servidor de gerenciamento.
229
230

Na caixa de dilogo Propriedades do servidor, na guia Servidores de

diretrios, clique em Adicionar.
Na caixa de dilogo Adicionar o servidor de diretrio, na guia Servidores

de replicao, clique em Adicionar.
Na caixa de dilogo Adicionar o servidor de replicao, digite o endereo IP,

o nome do host ou o nome de domnio do servidor de diretrio e clique em
OK.
Clique em OK.
Clique em OK.

Para importar unidades organizacionais de um servidor de diretrio

Quando voc importar contas de computador ou contas de usurio de um servidor
do Active Directory ou LDAP, elas sero importadas como unidades
organizacionais. Voc pode ento aplicar uma poltica de segurana unidade
organizacional. Voc pode igualmente copiar essas contas para um grupo do
Voc pode importar a unidade organizacional como um subgrupo de Minha
empresa ou de um grupo criado por voc, mas no o Grupo padro. Voc no
pode criar grupos como um subgrupo de uma unidade organizacional. Voc no
pode colocar uma unidade organizacional em mais de um grupo do Symantec
Se no quiser importar todas as contas de computador ou contas de usurio dentro
de um grupo, voc poder selecionar e importar contas especficas.
na pgina 231.
Nota: Antes de importar unidades organizacionais para o Symantec Endpoint
Protection Manager, voc dever converter alguns dos caracteres especiais que
precedem um nome de computador ou um nome de usurio. Voc executa esta
tarefa no servidor de diretrio. Se no quiser converter os caracteres especiais, o
servidor de gerenciamento no importar essas contas.
Voc deve converter os seguintes caracteres especiais:
Um espao ou um caractere hash (#) que ocorra no incio de uma entrada.
Um caractere de espao que ocorra no final de uma entrada.

Uma vrgula (,), o sinal de mais (+), aspas duplas ("), smbolos de menor que ou
maior que (< ou >), sinal de igual (=), ponto-e-vrgula (;), barra invertida (\).
Para permitir que um nome inclua estes caracteres a serem importados, ser
necessrio preceder cada caractere com um caractere da barra invertida (\).
Para importar unidades organizacionais de um servidor de diretrio
Conecte o Symantec Endpoint Protection Manager a um servidor de diretrio.

No console, clique em Clientes e, em Clientes, selecione o grupo a que voc

quer adicionar a unidade organizacional.
Em Tarefas, clique em Importar uma unidade organizacional ou um

container.
Na lista suspensa Domnio, escolha o nome do servidor de diretrio criado

na etapa 1.
Selecione o domnio ou um subgrupo.
Clique em OK.

Consulte Sobre a importao de unidades organizacionais do servidor de diretrio
na pgina 227.
Para pesquisar e importar contas especficas de um servidor de

diretrio
Voc pode importar contas de computador ou contas do usurio especficas em
vez de uma estrutura inteira do grupo de um servidor de diretrio para grupos do
Symantec Endpoint Protection Manager. Voc deve importar contas especficas
se quiser aplicar polticas de segurana diferentes para as contas em uma unidade
organizacional.
Por exemplo, convm manter computadores remotos em um grupo. Voc cria um
grupo para computadores remotos e atribui uma poltica de grupo personalizada
para computadores remotos nesse grupo. Voc pode ento pesquisar e importar
computadores da unidade organizacional diretamente para o grupo remoto.
Se voc no quiser importar contas especficas, poder importar todas as contas
em uma unidade organizacional.
231
232

Atribuio de clientes a grupos antes de instalar o software-cliente
Para pesquisar e importar contas especficas de um servidor de diretrio
Conecte-se a um servidor de diretrio.

Na guia Clientes, em Tarefas, clique em Importar usurios do Active

Directory ou do LDAP.
Na caixa de dilogo Importar usurios do Active Directory e do LDAP,

selecione o nome do servidor na lista suspensa Servidor de diretrio.
O nome de usurio e a senha do servidor aparecem automaticamente.
Se a opo Exibir apenas os usurios que no estejam includos em nenhum
grupo estiver marcada, somente as contas ainda no adicionadas sero
exibidas.
Clique em Relacionar usurios.

No campo Filtro LDAP, voc tambm pode digitar uma consulta de LDAP
para encontrar os nomes das contas que quer importar.
Para mais informaes, clique em Ajuda.
Para selecionar contas especficas, clique em Adicionar ou clique em

Adicionar tudo.
Clique em Fechar.

na pgina 230.
Atribuio de clientes a grupos antes de instalar o

software-cliente
Voc pode atribuir seus clientes aos seus grupos antes de instalar o
software-cliente. Se voc executar esta tarefa primeiro, ser possvel atribuir
polticas de segurana ao cliente separadamente da instalao. Neste caso, o cliente
no receber as polticas de segurana do grupo que est especificado no pacote
de instalao do cliente. Em vez disso, o cliente ser atribudo ao grupo que voc
especificou antes da instalao.
Voc adiciona o cliente baseado em um nome de usurio ou em um nome de
computador. Voc no pode adicionar o cliente a mais de um grupo.


Nota: Certifique-se de que o servidor de gerenciamento no bloqueie clientes novos
de serem adicionados a um grupo.
Consulte Para impedir que computadores-cliente sejam adicionados a grupos
na pgina 234.
Para atribuir clientes a grupos antes de instalar o software-cliente
Na pgina Clientes, em Clientes, localize o grupo ao qual voc deseja adicionar

um cliente.
Na guia Clientes, em Tarefas, realize uma das seguintes aes:
Para o modo do usurio, clique em Adicionar conta de usurio. Digite o

nome de usurio. Se o usurio fizer parte de um domnio do Windows,
digite o nome de domnio. Se o usurio fizer parte de um grupo de trabalho,
clique em Fazer login em computador local.
Para o modo do computador, clique em Adicionar conta de computador.

Digite o nome do computador e digite ento o nome de domnio do
Windows ou digite Grupo de trabalho.
Clique em OK.

Na estrutura do grupo, os subgrupos inicialmente e automaticamente herdam os
locais, as polticas e as configuraes do grupo pai. Por padro, a herana ativada
para cada grupo. Voc pode desativar a herana de modo que voc possa configurar
as definies de segurana separadas para um subgrupo. Se voc fizer mudanas
e depois ativar a herana, todas as mudanas realizadas nas configuraes do
subgrupo sero sobrescritas.
233
234

Para desativar ou ativar a herana de um grupo
Na pgina Clientes, em Clientes, selecione o grupo para o qual voc quer

desativar ou ativar a herana.
Voc pode selecionar qualquer grupo, exceto o grupo de nvel superior, Minha
empresa.
No painel nome do grupo, na guia Polticas, realize uma das seguintes tarefas:
Para desativar a herana, desmarque Herdar polticas e configuraes

do grupo pai "nome do grupo".
Para ativar a herana, marque Herdar polticas e configuraes do grupo

pai "nome do grupo" e clique em Sim quando for solicitado para continuar.
Para impedir que computadores-cliente sejam

adicionados a grupos
possvel configurar pacotes de instalao do cliente com suas associaes de
grupo j definidas. Se um grupo for definido no pacote, o computador-cliente ser
automaticamente adicionado ao grupo apropriado. O cliente adicionado na
primeira vez que se conectar ao servidor de gerenciamento.
possvel bloquear um cliente se voc no quiser que os clientes sejam adicionados
automaticamente a um grupo especfico quando se conectarem rede. possvel
impedir que um novo cliente seja adicionado ao grupo ao qual foi atribudo no
pacote de instalao do cliente. Nesse caso, o cliente ser adicionado ao grupo
padro. Voc pode manualmente mover um computador para um grupo bloqueado.
Em Clientes, clique com o boto direito do mouse em um grupo e clique em

Propriedades.
Na guia Detalhes, em Tarefas, clique em Editar propriedades do grupo.
Na caixa de dilogo Propriedades do grupo para nome do grupo, clique em

Bloquear novos clientes.
Clique em OK.


Se os computadores-cliente no estiverem no grupo correto, voc poder mov-los
para outro grupo.
Para mover o cliente dos vrios grupos para um nico grupo, voc pode
implementar o pacote de instalao do cliente novamente.
No console, clique em Computadores.
Na pgina Clientes, na guia Computadores, selecione um grupo.
Na guia Clientes, no grupo selecionado, selecione o computador e clique com

o boto direito do mouse em Mover.
Use a tecla Shift ou Control para selecionar vrios computadores.
Na caixa de dilogo Mover clientes, selecione o novo grupo.
Clique em OK.
235
236

Captulo
11
Para gerenciar clientes

Para gerenciar computadores-cliente
Para determinar se o cliente est conectado no console
Exibio do status de proteo de clientes e computadores-cliente
Para exibir quais clientes no tm o software-cliente instalado
Procura de informaes sobre computadores-cliente
Sobre como ativar e desativar a proteo quando voc precisar solucionar

problemas
Sobre comandos que voc pode executar em computadores-cliente
Para executar comandos no computador-cliente atravs do console
Para garantir que um cliente no seja reiniciado
Para alternar um cliente entre o modo de usurio e o modo de computador
Para configurar um cliente para detectar dispositivos no gerenciados
Sobre o acesso interface do cliente
Sobre o controle misto
Alterao do nvel de controle do usurio
Definio das configuraes da interface do usurio
Como coletar informaes do usurio
Proteo do cliente por senha
238


A Tabela 11-1 relaciona as tarefas que voc deve executar nos computadores
depois de instalar o software-cliente.
Tabela 11-1
Tarefa
Tarefas para gerenciar computadores-cliente
Descrio
Verificar se o
Voc pode exibir os computadores em cada grupo que no tenha o software-cliente
software-cliente est
instalado ainda.
instalado nos computadores
Consulte Para exibir quais clientes no tm o software-cliente instalado
na pgina 243.
Voc pode configurar um computador-cliente para detectar que outros dispositivos
no tm o software-cliente instalado. Alguns desses dispositivos podem ser
computadores desprotegidos. Voc pode instalar o software-cliente nesses
computadores.
Consulte Para configurar um cliente para detectar dispositivos no gerenciados
na pgina 253.
Voc pode adicionar um cliente a um grupo e instalar o software-cliente mais tarde.
Verificar se o cliente est
conectado ao servidor de
gerenciamento
Voc pode verificar os cones de status do cliente no console de gerenciamento e no

cliente. O cone de status mostra se o cliente e o servidor se comunicam.
Consulte Para determinar se o cliente est conectado no console na pgina 240.
Consulte Como determinar se o cliente est conectado e protegido na pgina 757.
Um computador pode ter o software-cliente instalado, mas um cliente no gerenciado.
Voc no pode gerenciar um cliente no gerenciado. Em vez disso, voc pode converter
o cliente no gerenciado em cliente gerenciado.
Consulte Por que eu preciso substituir o arquivo de comunicao servidor-cliente no
Configurar a conexo entre Aps a instalao do software-cliente, os computadores-cliente se conectam

o cliente e o servidor
automaticamente ao servidor de gerenciamento na prxima pulsao. Voc pode
mudar como o servidor se comunica com o computador-cliente.
Consulte Para gerenciar a conexo do servidor-cliente na pgina 756.
Voc pode solucionar problemas quaisquer problemas de conexo.
e o console ou o banco de dados na pgina 830.

Tarefa
Descrio
Verificar se os
Voc pode exibir o status de cada tecnologia de proteo em seus
computadores-cliente tm o
nvel correto de proteo
na pgina 242.
Voc poder executar relatrios ou exibir logs se precisar aumentar a proteo ou
melhorar o desempenho. Por exemplo, as verificaes podem causar falsos positivos.
Voc tambm pode identificar os computadores-cliente que precisam de proteo.
Voc pode modificar a proteo com base em atributos especficos do
software-cliente ou dos computadores-cliente.
Consulte Procura de informaes sobre computadores-cliente na pgina 244.
Ajustar a proteo em
Se decidir que os clientes no tm o nvel correto de proteo, voc poder ajustar as

configuraes da proteo.
Voc pode aumentar ou diminuir cada tipo de proteo com base nos resultados
nos relatrios e nos logs.
Voc poder desativar temporariamente a proteo nos computadores-cliente se
precisar diagnosticar um problema ou melhorar o desempenho.
na pgina 250.
Voc pode exigir uma senha no cliente.
Consulte Proteo do cliente por senha na pgina 262.
Mover endpoints de um
Para mudar o nvel de proteo de um computador-cliente, possvel mov-lo para
grupo a outro para modificar um grupo que fornea mais ou menos proteo.
a proteo (opcional)
Quando implementar um pacote de instalao do cliente, especifique em qual grupo
o cliente ser includo. possvel mover o cliente para um grupo diferente. Se o cliente
for excludo ou desconectado e em seguida adicionado e conectado novamente, ele
retornar ao grupo original. Para manter o cliente com o grupo para o qual ele foi
movido pela ltima vez, configure as preferncias de reconexo. Voc define estas
configuraes na caixa de dilogo Configuraes de comunicaes, na guia Clientes
> Polticas.
239
240

Tarefa
Descrio
Deixar que os usurios

controlem a proteo do
computador (opcional)
Voc pode especificar o tipo de controle que os usurios tm sobre a proteo em

Remover software-cliente
dos computadores
(opcionais)
Se um computador no for mais usado e voc desejar usar a licena para um

computador diferente, poder excluir o cliente do banco de dados aps um determinado
nmero de dias. Com a excluso de um cliente, voc tambm pode economizar espao
no banco de dados.
Para a Proteo contra vrus e spyware e a Proteo proativa contra ameaas, voc
pode bloquear ou desbloquear uma caixa de seleo para especificar se os usurios
podem alterar configuraes individuais.
Consulte Para bloquear e desbloquear configuraes de poltica do vrus e de
spyware na pgina 320.
Para a poltica de firewall, a poltica do IPS e para algumas configuraes da
interface do usurio do cliente, possvel mudar o nvel de controle do usurio
mais geralmente.
Se usurios precisarem de mais controle do cliente, voc poder instalar um cliente
no gerenciado.
Consulte Para desinstalar o cliente Windows na pgina 160.

Consulte Para desinstalar o cliente Mac na pgina 161.
Consulte Para gerenciar a proteo em computadores-cliente na pgina 62.
Para determinar se o cliente est conectado no

console
No Symantec Endpoint Protection Manager, voc pode usar os cones de status
do cliente para verificar se o cliente e o servidor se comunicam.
Tabela 11-2
cone
cones de status do cliente no console de gerenciamento

Descrio
Esse cone indica o seguinte status:
A instalao do software-cliente falhou.

cone
Descrio
O cliente pode comunicar-se com o Symantec Endpoint Protection
Manager.
O cliente est no modo computador.

O cliente no pode se comunicar com o Symantec Endpoint
Protection Manager.
O cliente pode ter sido adicionado atravs do console e talvez no

tenha um software-cliente da Symantec instalado.

Manager.
O cliente um detector no gerenciado.

Protection Manager.

Manager.
O cliente est no modo de usurio.

Protection Manager.
O cliente pode ter sido adicionado atravs do console e talvez no

tenha um software-cliente da Symantec instalado.

Manager em outro site.
241
242

Exibio do status de proteo de clientes e computadores-cliente
cone
Descrio


na pgina 242.
Voc tambm pode ver se o cliente est conectado ao servidor de gerenciamento.
Consulte Como determinar se o cliente est conectado e protegido na pgina 757.
Exibio do status de proteo de clientes e

Voc pode exibir as informaes sobre o status operacional e de proteo em tempo
real de clientes e computadores em sua rede.
Voc pode exibir:
Uma lista dos computadores-cliente gerenciados que no tm o cliente

instalado.
Voc pode exibir o nome do computador, do domnio e do usurio que est
conectado.
Se o cliente for uma mquina virtual em uma infraestrutura de VMware que

usa um Appliance de segurana virtual, o Appliance de segurana virtual ao
qual o cliente est associado.
Quais protees so ativadas e desativadas.
Qual computador-cliente tem as polticas e as definies mais recentes.
O nmero de srie da poltica do grupo e o nmero da verso do cliente.
As informaes sobre os componentes da rede do computador-cliente, como

endereo MAC da placa de rede usada pelo computador.

As informaes do sistema sobre o computador-cliente, como a quantidade de

espao livre em disco e do nmero de verso do sistema operacional.
Depois de conhecer o status de um cliente especfico, voc pode resolver quaisquer

problemas de segurana nos computadores-cliente. Voc pode solucionar muitos
problemas executando comandos em grupos. Por exemplo, possvel atualizar o
contedo ou ativar o Auto-Protect.
Nota: Se voc gerenciar clientes legados, algumas tecnologias de proteo mais
recentes podem ser listadas como no informadas. Esse comportamento
esperado. Isso no significa que voc precisa tomar ao nesses clientes.
na pgina 250.
Consulte Para exibir quais clientes no tm o software-cliente instalado
na pgina 243.
Para exibir o status de proteo dos computadores-cliente
Na pgina Clientes, em Clientes, localize o grupo que contm os clientes sobre

os quais voc deseja obter informaes.
Na guia Clientes, clique na lista suspensa Exibir. Em seguida, selecione uma

categoria.
Voc pode ir diretamente a uma pgina especfica digitando o nmero da
pgina na caixa de texto no canto direito inferior.
Para exibir quais clientes no tm o software-cliente

instalado
Voc pode exibir quais clientes em um grupo aparecero na guia Clientes, com
base nos seguintes critrios:
O software-cliente est instalado.
Os clientes executam computadores Windows ou Mac
Os clientes esto no modo computador ou no modo usurio .
Os clientes so no persistentes e esto off-line nas infraestruturas da rea de

trabalho virtual.
243
244

Voc tambm pode configurar quantos clientes aparecero em cada pgina para
facilitar o gerenciamento da lista.
Nota: O Symantec Endpoint Protection Manager retm a configurao do filtro
Exibio do cliente e a armazena com o nome de login do administrador individual
ou do administrador limitado. Se um administrador definir uma condio de filtro,
essa condio ser retida para esse administrador. Diferentes administradores
vero apenas os filtros que eles mesmos definiram.
na pgina 242.
No painel Clientes, selecione o grupo que voc deseja pesquisar.
Na guia Clientes, em Tarefas, clique em Definir filtro de exibio.
Na caixa de dilogo Definir filtro de exibio, selecione os critrios pelos

quais voc quer filtrar e exibir os computadores-cliente.
Para encurtar a lista, clique em Resultados por pgina e digite o nmero de

resultados para mostrar em cada pgina.
Os valores vlidos variam de 1 a 1000.
Clique em OK.

Voc pode pesquisar para obter informaes sobre clientes, computadores-cliente
e usurios para tomar decises sobre a segurana de sua rede. Por exemplo, voc
pode verificar que computadores no grupo Vendas executam o sistema operacional
mais recente. Voc pode verificar tambm que computadores-cliente no grupo
Finanas precisam das definies de antivrus mais recentes instaladas. possvel
exibir as informaes sobre cada cliente no grupo na pgina Clientes. Voc pode
restringir a pesquisa se houver muitos clientes.
na pgina 242.
Voc pode exportar os dados contidos na consulta para um arquivo de texto.

Sobre como ativar e desativar a proteo quando voc precisar solucionar problemas
Nota: Para pesquisar a maioria das informaes sobre os usurios, necessrio

coletar as informaes durante a instalao do software-cliente ou mais tarde.
Estas informaes do usurio so exibidas tambm na guia Geral e na guia
Informaes do usurio, na caixa de dilogo Editar propriedades do cliente.
Consulte Como coletar informaes do usurio na pgina 261.
Para pesquisar e obter informaes sobre computadores-cliente
Na guia Clientes, em Exibir clientes, escolha o grupo que voc quer pesquisar.
Em Tarefas, clique em Pesquisar clientes.
Na caixa de dilogo Procurar clientes, na lista suspensa Localizar, clique em

Computadores ou Usurios.
Clique em Procurar para selecionar um grupo que no seja o padro.
Na caixa de dilogo Selecionar grupo, selecione o grupo e clique em OK.
Em Critrios de pesquisa, clique no Campo de pesquisa para ver a lista

suspensa e selecione os critrios pelos quais voc quer procurar.
Clique na lista suspensa Operador de comparao e selecione um operador

de comparao.
possvel usar operadores booleanos padro nos critrios da pesquisa.
Na clula Valor, digite a string de pesquisa.
10 Clique em Pesquisar.
Voc pode exportar os resultados para um arquivo de texto.
11 Clique em Fechar.
Sobre como ativar e desativar a proteo quando voc

precisar solucionar problemas
Em geral, convm sempre manter as tecnologias de proteo ativadas em um
computador-cliente.
Talvez seja preciso desativar temporariamente todas as tecnologias de proteo
ou tecnologias de proteo individuais se voc tiver um problema com o
computador-cliente. Por exemplo, se um aplicativo no for executado corretamente
ou se no for executado de forma alguma, recomenda-se a desativao da Proteo
contra ameaas rede. Se voc ainda tiver o problema depois de desativar todas
as tecnologias de proteo, desinstale completamente o cliente. Se o problema
245
246

Sobre como ativar e desativar a proteo quando voc precisar solucionar problemas
persistir, voc saber que o problema no devido ao Symantec Endpoint

Protection.
Aviso: Certifique-se de ativar novamente qualquer uma das protees depois de
concluir a tarefa de soluo de problemas para assegurar-se de que seu computador
permanea protegido.
A Tabela 11-3 descreve as razes pelas quais convm desativar cada tecnologia
de proteo.
Tabela 11-3
Finalidade para desativar uma tecnologia de proteo
Tecnologia de
proteo
Finalidade para desativar a tecnologia de proteo
Proteo contra vrus

e spyware
Se desativar esta proteo, voc desativar o Auto-Protect apenas.

As verificaes agendadas ou de inicializao ainda sero executadas se voc ou o usurio
as configuraram para fazer isso.
Voc pode ativar ou desativar o Auto-Protect pelas seguintes razes:
O Auto-Protect pode impedi-lo de abrir um documento. Por exemplo, se abrir um
Microsoft Word que tenha uma macro, o Auto-Protect poder no permitir que voc o
abra. Se voc souber que o documento seguro, possvel desativar o Auto-Protect.
O Auto-Protect pode avis-lo sobre uma atividade semelhante a vrus que no
proveniente de um vrus. Por exemplo, voc poder receber avisos ao instalar novos
aplicativos de computador. Se voc planeja instalar mais aplicativos e deseja evitar o
aviso, possvel desativar temporariamente o Auto-Protect.
O Auto-Protect pode interferir na substituio de drivers do Windows.
O Auto-Protect pode tornar mais lento o computador-cliente.
Nota: Se desativar o Auto-Protect, voc desativar tambm o Download Insight, mesmo se

ele estiver ativado. O SONAR tambm no pode detectar ameaas heursticas. A deteco
do SONAR de alteraes no arquivo e no sistema de host continua a funcionar.
Consulte Para executar comandos no computador-cliente atravs do console na pgina 250.
Se o Auto-Protect causar um problema com um aplicativo, ser melhor criar uma exceo
do que desativar permanentemente a proteo.
Proteo proativa
contra ameaas
Convm desativar a Proteo proativa contra ameaas pelas seguintes razes:
Voc recebe avisos demais sobre ameaas que voc sabe que no so ameaas.
A Proteo proativa contra ameaas pode tornar mais lento o computador-cliente.
Consulte Para ajustar as configuraes do SONAR em seus computadores-cliente

na pgina 438.

Tecnologia de
proteo
Finalidade para desativar a tecnologia de proteo
Proteo contra
ameaas rede
Convm desativar a Proteo contra ameaas rede pelas seguintes razes:
Voc instala um aplicativo que pode fazer com que o firewall o bloqueie.
O firewall ou o Sistema de preveno contra intruses causa problemas relacionados

conectividade da rede.
O firewall pode tornar mais lento o computador-cliente.
Voc no pode abrir um aplicativo.
Se no tiver certeza de que a Proteo contra ameaas rede est causando o problema,
talvez seja preciso desativar todas as tecnologias de proteo.
Voc pode configurar a Proteo contra ameaas rede de modo que os usurios no possam
ativ-la ou desativ-la. Voc pode definir tambm os seguintes limites para quando e quanto
tempo a proteo ser desativada:
Se o cliente permitir todo o trfego ou somente todo o trfego de sada.
O perodo de tempo em que a proteo ser desativada.
Quantas vezes voc pode desativar a proteo antes de reiniciar o cliente.
Consulte Ativao ou desativao da preveno contra intruses na rede ou preveno

contra intruses no navegador na pgina 507.
Proteo contra
adulteraes
Geralmente voc deve manter a Proteo contra adulteraes ativada.

Convm desativar temporariamente a Proteo contra adulteraes se voc obtiver muitas
deteces de falsos positivos. Por exemplo, alguns aplicativos de terceiros podem fazer as
mudanas que tentam inadvertidamente modificar configuraes ou processos da Symantec.
Se voc tiver certeza de que um aplicativo seguro, poder criar uma exceo da Proteo
contra adulteraes para o aplicativo.
Consulte Para alterar as configuraes da Proteo contra adulteraes na pgina 450.
Sobre comandos que voc pode executar em

Voc pode executar comandos remotamente em clientes individuais ou em um
grupo inteiro atravs do console.
Voc pode ativar e desativar a proteo para solucionar problemas no
computador-cliente.
247
248

Tabela 11-4
Comandos que podem ser executados em computadores-cliente
Comandos
Descrio
Verificar
Executa a verificao sob demanda nos computadores-cliente.

Se voc executar o comando de verificao e selecionar uma
verificao Personalizada, a verificao usar as configuraes
de verificao do comando definidas na pgina Verificaes
definidas pelo administrador. O comando usa as configuraes
que esto na poltica de proteo contra vrus e spyware que
aplicada aos computadores-cliente selecionados.
Consulte Execuo de verificaes sob demanda nos
Atualizar contedo
Atualiza o contedo em clientes iniciando uma sesso do

LiveUpdate nos computadores-cliente. Os clientes recebem o
contedo mais recente do Symantec LiveUpdate.
Consulte Configurao do agendamento de download do
LiveUpdate para Symantec Endpoint Protection Manager
na pgina 613.
Atualizar contedo e
executar verificao
Atualiza o contedo iniciando uma sesso do LiveUpdate e executa

uma verificao sob demanda nos computadores-cliente.
Reiniciar
Reinicia os computadores-cliente.
Se os usurios estiverem conectados ao cliente, eles sero avisados
sobre a reinicializao com base nas opes de reinicializao que
o administrador configurou para esse cliente. Voc pode configurar
as opes de reinicializao do cliente na guia Configuraes
gerais.
Nota: Algumas opes de reinicializao se aplicam de maneiras

diferentes em clientes Mac e Windows.
Nota: Voc pode se assegurar de que um cliente no seja

reiniciado. Voc pode adicionar uma chave do registro ao cliente
que o impede de reiniciar, mesmo que um administrador emita
um comando de reinicializao.
Consulte Para garantir que um cliente no seja reiniciado
na pgina 250.

Comandos
Descrio
Ativar o Auto-Protect Ativa o Auto-Protect para o sistema de arquivos nos

Por padro, o Auto-Protect do sistema de arquivos ativado.
Poder ser necessrio ativar o Auto-Protect no console se voc
tiver permitido que os usurios alterem a configurao ou se
desativar o Auto-Protect. Voc pode bloquear a configurao para
que os usurios dos computadores-cliente no possam desativar
o Auto-Protect.
Consulte Para personalizar o Auto-Protect para clientes Windows
na pgina 408.
Consulte Para personalizar o Auto-Protect para clientes Mac
na pgina 410.
Se voc quiser ativar ou desativar o Auto-Protect para e-mail,
dever incluir a configurao na poltica de proteo contra vrus
e spyware.
Ativar a proteo
Ativa ou desativa o firewall e ativa a preveno contra intruses
contra ameaas rede nos computadores-cliente.
e Desativar a proteo Nota: Os computadores-cliente Mac no processam este comando.
contra ameaas rede
Ativar Download
Insight e Desativar
Download Insight
Ativa ou desativa o Download Insight nos computadores-cliente.
Nota: Os computadores-cliente Mac no processam este comando.

Consulte Para gerenciar deteces do Download Insight
na pgina 377.

na pgina 250.
Consulte Para executar comandos atravs do log de status do computador
na pgina 685.
Voc pode configurar um administrador limitado para que ele tenha direitos a
alguns desses comandos ou a nenhum.
Consulte Configurao dos direitos de acesso para um administrador limitado
na pgina 293.
249
250

Para executar comandos no computador-cliente

atravs do console
Em clientes gerenciados, os comandos que voc executa sobrepem-se aos
comandos que o usurio executa. A ordem em que as aes e os comandos so
processados no computador-cliente varia conforme o comando. Independentemente
de onde o comando for iniciado, os comandos e as aes so processados da mesma
forma.
Voc tambm pode executar esses comandos em clientes do log Status do
computador.
na pgina 685.
na pgina 247.
No console, clique em Clientes e em Computadores, selecione o grupo que

inclui os computadores nos quais deseja executar um comando.
Realize uma das seguintes aes:
No painel esquerdo, em Computadores, clique com o boto direito do

mouse no grupo no qual deseja executar o comando.
No painel direito, na guia Clientes, selecione e clique com o boto direito

do mouse nos computadores ou usurios nos quais deseja executar o
comando.
Clique em um dos comandos a seguir:
Executar comando no grupo > comando
Executar comando em clientes > comando
Na caixa de mensagem exibida, clique em OK.

Voc pode usar o seguinte procedimento para assegurar que nenhum
computador-cliente do Symantec Endpoint Protection seja reiniciado. Por exemplo,
convm definir este valor nos servidores que executam o cliente do Symantec
Endpoint Protection. Para definir esta chave de registro, garanta que o servidor
no seja reiniciado se um administrador emitir um comando Reiniciar o
computador em seu grupo atravs do console.

No computador-cliente, abra o editor do registro.
Navegue at HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec
Endpoint Protection\SMC.
Adicione a seguinte linha ao registro:

DisableRebootCommand
REG_DWORD
Para alternar um cliente entre o modo de usurio e

o modo de computador
Voc adiciona clientes para que estejam no modo de usurio ou no modo de
computador, baseado em como deseja aplicar as polticas aos clientes nos grupos.
Depois que um usurio ou computador adicionado a um grupo, ele assume a
poltica atribuda ao grupo.
Quando voc adicionar um cliente, o padro ser o modo de computador, que
prevalece sobre o modo de usurio. A Symantec recomenda que voc use o modo
de computador.
Modo
Descrio
Modo de
computador
O computador-cliente obtm as polticas do grupo de que o computador

um membro. O cliente protege o computador com as mesmas
polticas, independente do usurio que est conectado ao computador.
A poltica segue o grupo em que o computador est. O modo de
computador a configurao padro. Muitas organizaes configuram
uma maioria dos clientes no modo de computador. Baseado em seu
ambiente de rede, possvel querer configurar alguns clientes com
requisitos especiais como usurios.
Voc no pode alternar do modo do usurio para o modo do
computador se o nome de computador j estiver em outro grupo. A
mudana para o modo de computador exclui o nome de usurio do
cliente do grupo e adiciona o nome do computador do cliente ao grupo.
Clientes adicionados no modo de computador podem ser ativados
como detectores no gerenciados e usados para detectar dispositivos
no autorizados.
Consulte Para configurar um cliente para detectar dispositivos no
gerenciados na pgina 253.
251
252

Modo
Descrio
Modo de usurio
O computador-cliente obtm as polticas do grupo de que o usurio

um membro. A mudana de polticas, dependendo do usurio que est
conectado ao cliente. A poltica segue o usurio.
Voc no pode alternar do modo do computador para o modo do
usurio se o nome de logon do usurio e o nome de computador j
esto contidos em um grupo. A mudana para o modo de usurio exclui
o nome do computador do cliente no grupo. Depois, o nome de usurio
do cliente adicionado ao grupo.
Quando implementar um pacote de instalao do cliente, voc especificar em

que grupo colocar o cliente. Voc pode especificar mais tarde se o cliente estar
no modo de usurio ou de computador. Se o cliente mais tarde for excludo ou
desconectado e for, em seguida, adicionado e conectado novamente, o cliente
retornar ao grupo original. Contudo, voc pode configurar o cliente para ficar
no grupo para o qual foi movido por ltimo no modo de usurio ou modo de
computador. Por exemplo, um usurio novo pode fazer logon em um cliente
configurado no modo de usurio. O cliente fica no grupo em que o usurio anterior
estava.
Defina estas configuraes clicando em Clientes > Polticas e em Configuraes
de comunicaes.
Na pgina Clientes, em Clientes, selecione o grupo que contm o usurio ou

o computador.
Na guia Clientes, clique com o boto direito do mouse no computador ou no

nome de usurio na tabela e selecione Alternar para o modo de computador
ou Alternar para o modo de usurio.
Esse modo uma configurao de alternncia, dessa forma um deles sempre
ser exibido. As informaes na tabela sero alteradas para refletir a nova
configurao.
Consulte Atribuio de clientes a grupos antes de instalar o software-cliente

na pgina 232.

Para configurar um cliente para detectar dispositivos no gerenciados
Para configurar um cliente para detectar dispositivos

no gerenciados
Os dispositivos no autorizados podem conectar-se rede de vrias maneiras,
como acesso fsico em uma sala de conferncia ou em pontos de acesso sem fio
invasores. Para aplicar polticas em cada endpoint, necessrio poder detectar
rapidamente a presena de novos dispositivos na rede. Voc deve determinar se
os dispositivos so seguros. Voc pode ativar um cliente como um detector no
gerenciado para verificar dispositivos desconhecidos. Os dispositivos
desconhecidos so os dispositivos no gerenciados que no so executados no
software-cliente do Symantec Endpoint Protection. Se o dispositivo no gerenciado
for um computador, voc poder instalar o software-cliente do Symantec Endpoint
Protection.
Quando um dispositivo iniciado, o sistema operacional envia o trfego ARP
rede para permitir que outros computadores detectem a presena do dispositivo.
Um cliente ativado como detector no gerenciado coleta e envia as informaes
do pacote ARP para o servidor de gerenciamento. O servidor de gerenciamento
pesquisa o pacote ARP pelo endereo MAC e o endereo IP do dispositivo. O servidor
compara esses endereos lista de endereos MAC e IP existentes no banco de
dados do servidor. Se o servidor no puder encontrar um endereo correspondente,
ele registrar o dispositivo como novo. Voc pode ento decidir se o dispositivo
seguro. Como o cliente apenas transmite as informaes, ele no usa recursos
adicionais.
Voc pode configurar o detector no gerenciado para ignorar determinados
dispositivos, como impressoras. Voc tambm pode configurar notificaes de
e-mail para avis-lo quando o detector no gerenciado detectar um dispositivo
desconhecido.
Para configurar o cliente como um detector no gerenciado, necessrio fazer o
seguinte:
Ative a Proteo contra ameaas rede.

na pgina 250.
Alterne o cliente para o modo de computador.

Instale o cliente em um computador que esteja sempre em execuo.
Ative os clientes do Symantec Endpoint Protection como detectores no

gerenciados.
253
254

Um cliente do Symantec Network Access Control no pode ser um detector

no gerenciado.
Para configurar um cliente para detectar dispositivos no autorizados
Em Clientes, selecione o grupo que contm o cliente que voc deseja ativar
como um detector no gerenciado.
Na guia Clientes, clique com o boto direito do mouse no cliente que voc
deseja ativar como um detector no gerenciado e clique em Ativar detector
no gerenciado.
Para especificar um ou mais dispositivos para excluir da deteco do detector

no gerenciado, clique em Configurar detector no gerenciado.
Na caixa de dilogo Excees do detector no gerenciado para nome do

cliente, clique em Adicionar.
Na caixa de dilogo Adicionar exceo do detector no gerenciado, clique

em uma das seguintes opes:
Excluir a deteco de um intervalo de endereos IP e digite ento um

intervalo de endereos IP para diversos dispositivos.
Excluir deteco de um endereo MAC e digite ento o endereo MAC do

dispositivo.
Clique em OK.
Clique em OK.
Para exibir a lista de dispositivos no autorizados detectados pelo cliente
Na pgina Incio, na seo Status de segurana, clique em Mais detalhes.
Na caixa de dilogo Detalhes do status de segurana, encontre a tabela Falhas

desconhecidas no dispositivo.
Feche a caixa de dilogo.

Voc pode determinar o nvel de interao que deseja que os usurios tenham no
cliente do Symantec Endpoint Protection. Escolha que recursos esto disponveis
para serem configurados pelos usurios. Por exemplo, voc pode controlar o
nmero de notificaes exibidas e limitar a capacidade dos usurios de criar regras
de firewall e verificaes de vrus e spyware. Tambm pode conceder acesso total
interface do usurio aos usurios.

Os recursos que os usurios podem personalizar na interface do usurio so

chamados de configuraes gerenciadas. O usurio no tem acesso a todos os
recursos do cliente, como a proteo por senha.
Para determinar o nvel de interao do usurio, voc pode personalizar a interface
do usurio das seguintes maneiras:
Para configuraes de vrus e spyware, voc pode bloquear ou desbloquear as

opes.
Para configuraes de firewall, de Preveno contra intruses e para algumas

configuraes da interface de usurio do cliente, voc pode definir o nvel de
controle do usurio e tambm as configuraes associadas.
Consulte Definio de configuraes de firewall para controle misto
na pgina 460.
Voc pode proteger o computador-cliente com senha.


Para os clientes que esto no controle misto, voc pode determinar quais opes
gerenciadas deseja que os usurios configurem ou no. As opes gerenciadas
incluem as configuraes em uma poltica de firewall, uma poltica de Preveno
contra intruses e as configuraes da interface de usurio do cliente.
Para cada opo, voc pode atribu-la ao controle do servidor ou ao controle do
cliente. No controle do cliente, somente o usurio pode ativar ou desativar a
configurao. No controle do servidor, somente voc pode ativar ou desativar a
configurao. O controle do cliente o nvel de controle do usurio padro. Se
voc atribuir uma opo ao controle do servidor, voc dever definir ento a
configurao na pgina ou na caixa de dilogo correspondente no console do
Symantec Endpoint Protection Manager. Por exemplo, voc pode ativar as
configuraes do firewall na poltica de firewall. Voc pode configurar os logs na
caixa de dilogo Configuraes do log de cliente, na guia Polticas da pgina
Clientes.
Voc pode fazer as seguintes configuraes:
Configuraes da interface do usurio

Consulte Ativao ou desativao da preveno contra intruses na rede ou
preveno contra intruses no navegador na pgina 507.
255
256

Configuraes gerais da Proteo contra ameaas rede

Consulte Definio de configuraes de firewall para controle misto
na pgina 460.
Configuraes da poltica de firewall

Consulte Sobre o firewall do Symantec Endpoint Protection na pgina 454.
Configuraes da poltica de Preveno contra intruses


Voc pode determinar se certos recursos de tecnologia de proteo e configuraes
da interface do usurio do cliente estaro disponveis para usurios para
configurao no cliente do Symantec Endpoint Protection. Para determinar quais
configuraes estaro disponveis, voc deve especificar o nvel de controle do
usurio. Esse nvel determina se o cliente pode ser completamente invisvel, exibir
um conjunto parcial de recursos ou exibir uma interface do usurio completa.
Nas divulgaes do Symantec Endpoint Protection anteriores a 12.1, uma alterao
do controle do cliente para controle do servidor fazem com que todas as
configuraes, independentemente de seu status do fechamento, sejam revertidas
para seus valores padro de controle do servidor na prxima vez que as polticas
forem distribudas aos clientes. No 12.1, bloqueios esto em vigor em todos os
modos de controle. As configuraes desbloqueadas comportam-se da seguinte
forma em modos de controle do servidor e de controle do cliente:
No controle do servidor, alteraes podem ser feitas para desbloquear

configuraes, mas sero sobrescritas quando a prxima poltica for aplicada.
No controle do cliente, as configuraes modificadas pelo cliente prevalecem

sobre configuraes do servidor. Elas no sero sobrescritas quando a poltica
nova for aplicada, a menos que a configurao esteja bloqueada na poltica
nova.
Nota: O cliente do Symantec Network Access Control executado somente no

controle do servidor. Usurios no podem configurar configuraes da interface
do usurio.

Tabela 11-5
Nveis de controle do usurio
Nvel de controle do
usurio
Descrio
Controle do servidor
Disponibiliza aos usurios o mnimo de controle sobre o cliente. O controle do servidor

bloqueia as configuraes gerenciadas, de modo que os usurios no podem configur-las.
O controle do servidor apresenta as seguintes caractersticas:
Os usurios no podem definir nem ativar regras de firewall, configuraes especficas
de aplicativos, configuraes de firewall e configuraes de preveno contra intruses,
alm dos logs da Proteo contra ameaas rede e do Gerenciamento do cliente. Voc
configura todas as regras de firewall e configuraes de segurana para o cliente no
Os usurios podem exibir logs, o histrico do trfego do cliente e a lista de aplicativos
que o cliente executa.
Voc pode definir certas configuraes da interface do usurio e notificaes do firewall
para que sejam exibidas ou no no cliente. Por exemplo, voc pode ocultar a interface
de usurio do cliente.
Os parmetros que voc definir no controle do servidor podero ser exibidos acinzentados
ou no ser visveis na interface de usurio do cliente.
Quando voc cria um novo local, ele definido automaticamente ao controle do servidor.
Controle do cliente
Disponibiliza aos usurios o mximo de controle sobre o cliente. O controle do cliente

desbloqueia as configuraes gerenciadas, de modo que os usurios possam configur-las.
O controle do cliente apresenta as seguintes caractersticas:
Os usurios podem definir ou ativar regras de firewall, configuraes especficas de
aplicativos, notificaes de firewall, configuraes de firewall, configuraes e
Preveno contra intruses e configuraes da interface de usurio do cliente.
O cliente ignorar as regras de firewall que voc configurar para o cliente.
Voc pode conceder controle de cliente aos computadores-cliente que os funcionrios

usam em um local remoto ou em casa.
257
258

Nvel de controle do
usurio
Descrio
Controle misto
Disponibiliza ao usurio um controle misto sobre o cliente.

O controle misto apresenta as seguintes caractersticas:
Os usurios podem definir as regras de firewall e as configuraes especficas de
aplicativos.
Voc pode configurar as regras de firewall, as quais podero ou no sobrepor as regras
que os usurios configurarem. A posio das regras do servidor na lista Regras da
poltica de firewall determina se as regras do servidor sobreporo as regras do cliente.
Voc pode especificar certas opes para que estejam disponveis ou no no cliente e
os usurios possam ativ-las e configur-las. Essas opes incluem os logs da Proteo
contra ameaas rede, os logs de Gerenciamento de clientes, as configuraes de
firewall, as configuraes de preveno contra intruses e algumas configuraes da
interface do usurio.
Voc pode definir as configuraes de proteo contra vrus e spyware para sobrepor
a configurao do cliente, mesmo que essa configurao esteja desbloqueada. Por
exemplo, se desbloquear o recurso Auto-Protect e o usurio desativ-lo, voc poder
reativar o Auto-Protect.
As opes que voc definir para o controle do cliente estaro disponveis para o usurio.
Os parmetros que voc definir no controle do servidor podero ser exibidos acinzentados
ou no ser visveis na interface de usurio do cliente.
Consulte Sobre o controle misto na pgina 255.
Algumas configuraes gerenciadas tm dependncias. Por exemplo, os usurios

podem ter permisso para configurar regras de firewall, mas no ter acesso
interface do usurio do cliente. Como os usurios no tm acesso caixa de dilogo
Configurar regras de firewall, eles no podem criar regras.
Voc pode definir um nvel de controle de usurio diferente para cada local.
Nota: Os clientes executados em controle do cliente ou controle misto alternam
para controle do servidor quando o servidor aplica uma poltica de quarentena.
Para alterar o nvel de controle do usurio
Em Exibir clientes, selecione o grupo cujo local voc deseja modificar.
Clique na guia Polticas.
Em Polticas e configuraes especficas do local, no local que voc deseja

modificar, expanda Configuraes especficas de local.

direita de Configuraes de controle de interface de usurio cliente, clique

em Tarefas > Editar configuraes.
Na caixa de dilogo Configuraes de controle de interface de usurio cliente,

proceda de uma das seguintes maneiras:
Clique em Controle do servidor e clique em Personalizar.

Configure algumas das configuraes e clique em OK.
Clique em Controle do cliente.
Clique em Controle misto e clique em Personalizar.

Configure algumas das configuraes e clique em OK.
No cliente do Symantec Network Access Control, voc pode clicar em

Exibir cliente e Exibir o cone da rea de notificao.
Clique em OK.

Consulte Para criar uma poltica de quarentena para uma verificao de
integridade do host com falha na pgina 897.

Voc pode configurar opes da interface do usurio no cliente se executar
qualquer uma das seguintes tarefas:
Definir o nvel de controle de usurio do cliente para controle do servidor.
Definir o nvel de controle de usurio do cliente para controle misto e definir

o recurso pai, na guia Configuraes de controle do cliente/servidor como
Servidor.
Por exemplo, voc pode definir a opo Exibir/ocultar cone da rea de
notificao como Cliente. O cone da rea de notificao exibido no cliente e
o usurio pode optar por exibir ou ocultar o cone. Se voc definir a opo
Exibir/ocultar cone da rea de notificao como Servidor, poder optar se
exibe ou oculta o cone da rea de notificao no cliente.
Para definir as configuraes da interface do usurio no controle misto
Altere o nvel de controle do usurio para controle misto.

Na caixa de dilogo Configuraes de controle da interface do usurio do

cliente para nome do local, ao lado de Controle misto, clique em Personalizar.
259
260

Na caixa de dilogo Configuraes de controle misto da interface de usurio

do cliente, na guia Configuraes de controle de cliente/servidor, tome uma
das seguintes medidas:
Bloqueie uma opo de forma que voc s possa configur-la do servidor.

Para as opes que deseja bloquear, clique em Servidor.
As configuraes da proteo contra vrus e spyware definidas no Servidor
substituiro as configuraes no cliente.
Desbloqueie uma opo de forma que o usurio possa configur-la no

cliente. Para a opo que deseja bloquear, clique em Cliente. A seleo
padro para todas as configuraes, exceto as configuraes de vrus e
spyware Cliente.
Para as seguintes opes definidas em Servidor, clique na guia Configuraes

de interface de usurio do cliente para configur-las:
Exibir/ocultar cone da rea de
notificao
Exibir o cone da rea de notificao
Ativar/desativar a Proteo contra

ameaas rede
Permitir que os usurios ativem e desativem

a Proteo contra ameaas rede
Comando do menu Testar a segurana Permitir que os usurios executem um teste

da rede
de segurana
Configurar as configuraes de trfego Permitir o trfego de IP ou o trfego apenas
de IP no correspondentes
do aplicativo e alertar o usurio antes de
permitir o trfego do aplicativo
Exibir/ocultar notificaes da
Exibir notificaes da Preveno contra

intruses
Para obter informaes sobre onde configurar no console as demais opes

que voc definiu como Servidor, clique em Ajuda. Para ativar as configuraes
de firewall e as configuraes da preveno contra intruses, configure-as
na poltica de firewall e na poltica de preveno contra intruses.
Consulte Automaticamente permitir comunicaes para servios de rede
essenciais na pgina 459.
Consulte Deteco de ataques potenciais e tentativas de spoofing
na pgina 462.
Na guia Configuraes de interface de usurio do cliente, marque a caixa de

seleo da opo para que ela esteja disponvel no cliente.

Clique em OK.
Clique em OK.
Para definir as configuraes da interface do usurio no controle do servidor
Altere o nvel de controle do usurio para controle misto.

Na caixa de dilogo Configuraes de controle da interface do usurio do

cliente para nome do local, ao lado de Controle do servidor, clique em
Personalizar.
Na caixa de dilogo Configuraes de interface de usurio do cliente, marque

a caixa de seleo da opo para que ela seja exibida no cliente e usada pelo
usurio.
Clique em OK.
Clique em OK.

Voc pode solicitar que os usurios em computadores-cliente digitem informaes
pessoais durante o processo de instalao do software-cliente ou durante
atualizaes de polticas. possvel coletar informaes como o nmero de telefone
mvel do funcionrio, o cargo e o endereo de e-mail. Aps reunir essas
informaes, voc dever mant-las e atualiz-las manualmente.
Nota: Aps ativar a mensagem para que seja exibida pela primeira vez no
computador-cliente, e o usurio responder com as informaes solicitadas, a
mensagem no ser exibida novamente. Mesmo se voc editar alguns campos ou
desativar e reativar a mensagem, o cliente no mostrar uma nova mensagem.
Porm, o usurio poder editar as informaes em qualquer momento, e o servidor
de gerenciamento recuperar essas informaes.
Para coletar informaes do usurio
Em Exibir pacotes de instalao, clique em Pacotes de instalao do cliente.
No painel Pacotes de instalao do cliente, clique no pacote para o qual deseja

coletar informaes do usurio.
Em Tarefas, clique em Definir a coleta de informaes sobre o usurio.
261
262

Na caixa de dilogo Definir coleo de informaes sobre o usurio, marque

Coletar informaes do usurio.
Na caixa de texto Mensagem pop-up, digite a mensagem que deseja que os

usurios leiam quando as informaes forem solicitadas.
Se voc deseja que o usurio tenha a capacidade de adiar a coleta de

informaes, marque AtivarLembrar-medepois e defina o tempo em minutos.
Em Selecione os campos que sero exibidos para que o usurio insira dados
escolha o tipo de informaes que devem ser coletadas e clique em Adicionar.
Voc pode marcar um ou mais campos simultaneamente, pressionando a tecla
Shift ou a tecla Control.
Na coluna Opcional, marque a caixa de seleo ao lado de todos os campos

que deseja definir como opcionais para o preenchimento pelo usurio.
10 Clique em OK.

Voc poder aumentar a segurana corporativa exigindo proteo por senha no
computador-cliente sempre que os usurios executarem certas tarefas.
Voc pode exigir que os usurios digitem uma senha quando tentarem tomar uma
das seguintes aes:
Abrir a interface de usurio do cliente.
Interromper o cliente.
Importar e exportar a poltica de segurana.
Desinstalar o cliente.
Voc pode modificar as configuraes de proteo por senha somente para os

subgrupos que no herdam de um grupo pai.
Consulte Sobre o acesso interface do cliente na pgina 254.
Para proteger o cliente por senha
Em Clientes, selecione o grupo para o qual voc deseja configurar a proteo

por senha.
Na guia Polticas, em Polticas e configuraes independentes do local,

clique em Configuraes gerais.
Clique em Configuraes de segurana.

Na guia Configuraes de segurana, em Proteo por senha do cliente,

clique em qualquer uma das caixas de seleo.
Nas caixas de texto Senha e Confirmar senha, digite a senha.

A senha limitada a no mximo 15 caracteres.
Clique em OK.
263
264

Captulo
12

remotos
Gerenciamento de clientes remotos
Gerenciamento de locais para clientes remotos
Ativao da deteco de local para um cliente
Como adicionar um local para um grupo
Alterao de um local padro
Configurao de condies de deteco de local do Cenrio 1
Configurao de definies de comunicao para um local
Sobre o reforo das polticas de segurana para clientes remotos
Sobre como ativar notificaes para clientes remotos
Sobre a personalizao das configuraes de gerenciamento de log para clientes

remotos
Sobre como monitorar clientes remotos

Sua rede pode incluir alguns clientes que se conectam rede de locais diferentes.
Voc pode precisar gerenciar esses clientes diferentemente dos clientes que se
conectam somente de dentro da rede. Voc pode precisar gerenciar alguns clientes
266
Para gerenciar clientes remotos

que sempre se conectam remotamente por uma VPN ou clientes que se conectam
pelos vrios locais porque os funcionrios viajam. Voc tambm pode precisar
gerenciar a segurana de alguns computadores que esto fora de seu controle
administrativo. Por exemplo, pode ser permitido a clientes, prestadores de servio,
fornecedores ou parceiros de negcios ter acesso limitado rede. Alguns
funcionrios podem conectar-se sua rede usando seus prprios computadores
pessoais e voc pode precisar gerenciar esses clientes diferentemente.
Em todos esses casos, necessrio lidar com alto risco segurana. As conexes
podem ser menos seguras ou os computadores-cliente podem ser menos seguros
e voc pode ter menos controle sobre alguns clientes. Para minimizar esses riscos
segurana geral da rede, necessrio avaliar os tipos diferentes de acesso remoto
sua rede que os clientes possuem. Voc pode em seguida aplicar polticas de
segurana mais rigorosas com base em sua avaliao.
Para gerenciar os clientes que se conectam rede de maneira diferente devido
aos riscos segurana oferecidos, voc poder utilizar a Deteco de local do
Symantec Endpoint Protection&.
Voc aplica diferentes polticas aos clientes que oferecem um risco maior sua
rede com base em seu local. Um local no Symantec Endpoint Protection definido
como o tipo de conexo que um computador-cliente usa para se conectar sua
rede. Um local tambm pode incluir as informaes sobre se a conexo est
localizada dentro ou fora da rede da empresa.
Voc define locais para um grupo de clientes. Voc atribui polticas diferentes a
cada local. Algumas configuraes de segurana podem ser atribudas a todo o
grupo independentemente do local. Algumas configuraes so diferentes
dependendo do local.
Tabela 12-1
Tarefa
Descrio
Configurar grupos com base na avaliao do risco Consulte Para gerenciar grupos de
segurana
clientes na pgina 221.
Configurar locais para grupos de clientes
remotos
Consulte Gerenciamento de locais para

clientes remotos na pgina 267.
Configurar a comunicao para locais
Consulte Configurao de definies de

comunicao para um local
na pgina 277.
Reforar suas polticas de segurana
Consulte Sobre o reforo das polticas

de segurana para clientes remotos
na pgina 278.

Tarefa
Descrio
Ativar notificaes do cliente
Consulte Sobre como ativar notificaes

para clientes remotos na pgina 280.
Personalizar configuraes de gerenciamento

de log do cliente
Consulte Sobre a personalizao das

configuraes de gerenciamento de log
para clientes remotos na pgina 281.
Monitorar clientes remotos
Consulte Sobre como monitorar clientes

remotos na pgina 282.

Voc adiciona os locais depois de configurar os grupos de que voc precisa para
gerenciar. Caso sua estratgia de segurana exija, cada grupo poder ter locais
diferentes. No console do Symantec Endpoint Protection Manager, voc configura
as condies que acionam a troca automtica de polticas com base no local. A
deteco de local aplica automaticamente a poltica de segurana que voc
especifica para um cliente, com base nas condies do local que o cliente cumpre.
As condies do local podem ser baseadas em diversos critrios diferentes. Estes
critrios incluem endereos IP, tipo de conexo de rede, se o computador-cliente
pode se conectar ao servidor de gerenciamento e mais. Voc pode permitir ou
bloquear as conexes do cliente baseadas nos critrios que voc especificar.
Um local se aplica ao grupo para o qual voc o criou e para todos os subgrupos
que herdaram do grupo. Uma melhor prtica criar locais que todos os clientes
possam usar no nvel de grupo Minha empresa. Em seguida, crie locais para um
grupo especfico no nvel de subgrupo.
mais simples gerenciar suas polticas de segurana e configuraes se voc criar
menos grupos e locais. A complexidade de sua rede e de seus requisitos de
segurana, porm, podem exigir mais grupos e locais. Os nmeros de configuraes
de segurana, de configuraes relacionadas ao log, de configuraes de
comunicao e de polticas diferentes de que voc precisa determinam quantos
grupos e locais voc cria.
Algumas das opes de configurao que convm personalizar para seus clientes
remotos so independentes de local. Essas opes so herdadas do grupo pai ou
definidas independentemente. Se voc criar um nico grupo para conter todos os
clientes remotos, essas configuraes independentes de local sero as mesmas
para os clientes no grupo.
As seguintes configuraes so independentes de local:
Assinaturas da Preveno contra intruses personalizada
267
268

Configuraes do bloqueio do sistema
Configuraes de monitorao de aplicativos na rede
Configuraes da Poltica de contedo do LiveUpdate
Configuraes do log de cliente
Configuraes da comunicao cliente-servidor
Configuraes gerais relativas segurana, incluindo a deteco de local e a

Proteo contra adulteraes.
Para personalizar quaisquer configuraes independentes de local, por exemplo,

como os logs do cliente so controlados, necessrio criar grupos separados.
Algumas configuraes so especficas aos locais.
Como melhor prtica, voc no deve permitir que os usurios desativem as
seguintes protees:
Auto-Protect
SONAR
Para clientes legados, Verificaes proativas de ameaas TruScan
proteo contra adulteraes
As regras de firewall que foram criadas.
Tabela 12-2
Tarefas de deteco de local que voc pode executar
Tarefas
Descrio
Planejar locais
Voc deve considerar os diferentes tipos de polticas de

segurana dos quais voc precisa em seu ambiente para
determinar os locais que voc deve usar. Voc pode ento
determinar os critrios a serem usados para definir cada local.
uma melhor prtica planejar grupos e locais ao mesmo tempo.
Voc pode encontrar os seguintes exemplos teis:
Consulte Configurao de condies de deteco de local do
Cenrio 1 na pgina 273.
Consulte Configurao de condies de deteco de local do
Cenrio 2 na pgina 275.

Tarefas
Descrio
Ativar deteco de local Para controlar as polticas que so atribudas ao contingente de

clientes no local do qual os clientes se conectam, voc pode
ativar a deteco de local.
Consulte Ativao da deteco de local para um cliente
na pgina 269.
Adicionar locais
Voc pode adicionar locais a grupos.

Atribuir locais padres
Todos os grupos devem ter um local padro. Quando voc

instalar o console, haver um local apenas, chamado Padro.
Quando voc cria um grupo novo, seu local padro ser sempre
o Padro. possvel alterar o local padro mais tarde, aps
adicionar outros.
O local padro usado se um dos seguintes casos ocorre:
Um dos vrios locais atender a critrios de local e o ltimo
local no atender a esses critrios.
Ao usar a deteco de local, nenhum local atender aos
critrios.
O local renomeado ou alterado na poltica. O cliente retorna
ao local padro quando recebe a poltica nova.
Consulte Alterao de um local padro na pgina 272.

Configurar a
Voc tambm pode definir as configuraes de comunicao
comunicao para locais entre um servidor de gerenciamento e o cliente com base no
local.
Consulte Configurao de definies de comunicao para um
local na pgina 277.
Consulte o artigo da Base de conhecimento Best Practices for Symantec Endpoint

Protection Location Awareness (em ingls)..
Consulte Configurao de definies de comunicao para um local na pgina 277.
Consulte Gerenciamento de clientes remotos na pgina 265.

Para criar as polticas que so atribudas aos clientes dependendo do local de
conexo do cliente, possvel ativar a conscientizao de local para o cliente.
269
270


Se voc selecionar Lembrar o ltimo local, quando um cliente se conectar rede,
ele receber a poltica do ltimo local usado. Se a conscientizao de local estiver
ativada, o cliente alterna automaticamente para a poltica apropriada depois de
alguns segundos. A poltica associada a um local especfico determina a conexo
de rede do cliente. Se a conscientizao de local estiver desativada, o cliente poder
alternar manualmente entre os locais, mesmo quando ele estiver no controle do
servidor. Se um local de quarentena estiver ativado, o cliente poder alternar para
a poltica de quarentena depois de alguns segundos.
Se voc desmarcar Lembrar o ltimo local, quando um cliente se conectar rede,
ele receber a poltica do local padro. No possvel ao cliente conectar-se ao
ltimo local usado. Se a conscientizao de local estiver ativada, o cliente alterna
automaticamente para a poltica apropriada depois de alguns segundos. A poltica
associada a um local especfico determina a conexo de rede do cliente. Se a
conscientizao de local estiver desativada, o usurio poder alternar manualmente
entre os locais, mesmo quando o cliente estiver no controle do servidor. Se um
local de quarentena estiver ativado, o cliente poder alternar para a Poltica de
quarentena depois de alguns segundos.
Para ativar a conscientizao de local para um cliente
Na pgina Clientes, em Clientes, selecione o grupo para o qual voc quer

implementar a alternao automtica dos locais.
Na guia Polticas, desmarque Herdar polticas e configuraes do grupo pai

"nome do grupo".
Em Polticas e configuraes independentes do local, clique em

Configuraes gerais.
Na caixa de dilogo Configuraes gerais, na guia Configuraes gerais, em

Configuraes do local, marque Lembrar o ltimo local.
Por padro, essa opo fica ativada. O cliente atribudo inicialmente poltica
associada ao local de onde o cliente se conectou rede pela ltima vez.
Marque Ativar conscientizao de local.

Por padro, a conscientizao de local fica ativada. O cliente
automaticamente atribudo poltica associada ao local de onde o usurio
tenta conectar-se rede.
Clique em OK.


Quando voc adicionar um local a um grupo, voc especificar as condies que
acionam os clientes no grupo para alternar para o local. A deteco de local
apenas eficaz se voc aplicar tambm polticas e configuraes apropriadas para
cada local.
Consulte Sobre o reforo das polticas de segurana para clientes remotos
na pgina 278.
Para adicionar um local a um grupo
Na pgina Clientes, em Clientes, selecione o grupo para o qual deseja adicionar

um ou mais locais.

"nome do grupo".
Somente possvel adicionar locais a grupos que no herdam polticas de um
grupo pai.
Voc tambm pode clicar em Adicionar local para executar o Assistente de
Adio de local.
Na pgina Cliente, em Tarefas, clique em Gerenciar locais.
Na caixa de dilogo Gerenciar locais, em Locais, clique em Adicionar.
Na caixa de dilogo Adicionar local, digite o nome e a descrio do novo local

e clique em OK.
direita da caixa Alternar para esse local quando, clique em Adicionar.
Na lista Tipo, selecione uma condio e, em seguida, selecione a definio

apropriada para a condio.
Um computador-cliente alternado para o local se ele atender aos critrios
especificados.
Clique em OK.
10 Para adicionar mais condies, clique em Adicionar e selecione em seguida

Critrios E relao ou Critrios OU relao.
11 Repita as etapas de 8 a 9.
12 Clique em OK.
271
272


Quando o Symantec Endpoint Protection Manager for instalado inicialmente,
existir um local apenas, chamado padro. Nesse momento, o local padro de
todos os grupos ser Padro. Cada grupo deve ter um local padro. Quando voc
criar um grupo novo, o console do Symantec Endpoint Protection Manager tornar
Padro seu local automaticamente.
Voc poder especificar outro local para ser o local padro para um grupo depois
de adicionar outros locais. Se preferir, designe um local, como Residncia ou
Trnsito, como o local padro.
O local padro de um grupo ser usado se um dos seguintes casos ocorrer:
Um dos vrios locais atender a critrios de local e o ltimo local no atender

a esses critrios.
Ao usar a conscientizao de local, nenhum local atender aos critrios.
O local renomeado ou alterado na poltica. O cliente retorna ao local padro

quando recebe a poltica nova.
Para mudar um local padro
Na pgina Clientes, em Clientes, clique no grupo ao qual voc deseja atribuir

um local padro diferente.

"nome do grupo".
Em Tarefas, clique em Gerenciar locais.
Na caixa de dilogo Gerenciar locais, em Locais, selecione o local desejado

como local padro.
Em Descrio, marque Definir este local como local padro em caso de

conflito.
O local Padro estar definido at que voc atribua outro local ao grupo.
Clique em OK.

Configurao de condies de deteco de local do

Cenrio 1
Se voc tiver clientes remotos, no caso mais simples, uma prtica comum usar
o grupo Minha empresa e trs locais. Este o Cenrio 1.
Para gerenciar a segurana dos clientes neste cenrio, possvel criar os seguintes
locais no grupo Minha empresa para usar:
Clientes do escritrio que fazem logon no escritrio.
Os clientes remotos que fazem logon na rede da empresa remotamente em

uma VPN.
Os clientes remotos que fazem logon na Internet remotamente, mas no em

uma VPN.
Como o local remoto sem a conexo do VPN o menos seguro, ele tem as polticas
mais seguras. uma melhor prtica fazer sempre deste local o local padro.
Nota: Se voc desativar a herana do grupo Minha empresa e, em seguida, adicionar
grupos, os grupos adicionados no herdaro os locais que voc configurou para o
grupo Minha empresa.
As seguintes sugestes representam as melhores prticas para o Cenrio 1.
Para configurar o local do escritrio para os clientes localizados no escritrio
Na pgina Clientes, selecione o grupo ao qual voc deseja adicionar um local.
Na guia Polticas, em Tarefas, clique em Adicionar local.
No Assistente de Adio de local, clique em Avanar.
Digite um nome do local e, opcionalmente, adicione uma descrio e depois

clique em Avanar.
Na caixa de listagem, clique em O cliente pode se conectar ao servidor de

gerenciamento na lista e, em seguida, clique em Avanar.
Clique em Concluir e, em seguida, clique em OK.
Em Tarefas, clique em Gerenciar locais e selecione o local que voc criou.
Clique em Adicionar e, em seguida, clique em Critrios E relao.
Na caixa de dilogo Especificar critrio de local, na lista Tipo, clique em Tipo

de conexo de rede.
10 Clique em Se o computador-cliente no usa o tipo de conexo de rede

especificado abaixo.
273
274

11 Na caixa de listagem inferior, selecione o nome do cliente VPN que sua

organizao usa e, em seguida, clique em OK.
12 Clique em OK para sair da caixa de dilogo Gerenciar locais.

Para configurar o local remoto para os clientes que fazem logon em uma VPN

clique em Avanar.
Na caixa de listagem, clique em Tipo de conexo de rede.
Na caixa de listagem Tipo de conexo, selecione o nome do cliente VPN que

sua organizao usa e, em seguida, clique em Avanar.
Clique em Concluir.
Clique em OK.
Para configurar o local remoto para os clientes que no fazem logon em uma VPN

clique em Avanar.
Na caixa de listagem, deixe Nenhuma condio especfica e, em seguida,

clique em Avanar.
Usando estas configuraes, as polticas deste local, que devem ser as mais
restritas e seguras, sero usadas como as polticas de local padro.
Clique em Concluir e, em seguida, clique em OK.
Consulte Configurao de condies de deteco de local do Cenrio 2

na pgina 275.

Configurao de condies de deteco de local do

Cenrio 2
No Cenrio 2, voc usa os mesmos dois locais remotos como especificado no Cenrio
1 e dois locais do escritrio, para um total de quatro locais.
Voc adicionaria os seguintes locais do escritrio:
Clientes no escritrio que fazem logon em uma conexo Ethernet.
Clientes no escritrio que fazem logon em uma conexo sem fio.
Isso simplifica o gerenciamento de licenas para deixar todos os clientes no mesmo

modo de controle do servidor padro. Se desejar um controle mais detalhado sobre
o que seus usurios podem e no podem fazer, um administrador experiente poder
usar o controle misto. Uma configurao de controle misto d ao usurio final
algum controle sobre as configuraes de segurana, mas voc pode sobrescrever
suas mudanas, caso necessrio. O controle do cliente permite que os usurios
tenham mais controle sobre o que podem fazer e, assim, constitui-se em um maior
risco segurana da rede.
Ns sugerimos que voc use o controle do cliente apenas nas seguintes situaes:
Se seus usurios tiverem conhecimentos sobre segurana informtica.
Se voc tiver uma razo convincente para us-lo.
Nota: Voc pode ter alguns clientes que usem conexes Ethernet no escritrio
enquanto outros usam conexes sem fio. Por este motivo, voc define a ltima
condio no procedimento para clientes sem fio no escritrio. Esta condio
permite criar uma poltica de firewall do local de Ethernet para bloquear todo o
trfego sem fio quando ambos os tipos das conexes forem usados
simultaneamente.
Para configurar o local do escritrio para os clientes que esto conectados em
Ethernet
Em Tarefas, clique em Adicionar local.

clique em Avanar.
Na caixa de listagem, selecione O cliente pode se conectar ao servidor de

gerenciamento e clique em Avanar.
275
276

Clique em Concluir.
Clique em OK.
Ao lado de Alternar para esse local quando, clique em Adicionar e selecione

Critrios E relao.
10 Na caixa de dilogo Especificar critrio de local, na lista Tipo, clique em Tipo

de conexo de rede.


13 Clique em Adicionar e, em seguida, clique em Critrios E relao.

de conexo de rede.
15 Clique em Se o computador-cliente usar o tipo de conexo de rede

16 Na caixa de listagem inferior, selecione Ethernet e clique em OK.

Para configurar o local do escritrio para os clientes que esto em uma conexo
sem fio
Em Tarefas, clique em Adicionar local.

clique em Avanar.
Na caixa de listagem, clique em O cliente pode se conectar ao servidor de

gerenciamento e depois clique em Avanar.
Clique em Concluir.
Clique em OK.
Ao lado de Alternar para esse local quando, clique em Adicionar e depois em

Critrios E relao.

de conexo de rede.

Configurao de definies de comunicao para um local



de conexo de rede.

16 Na caixa de listagem inferior, clique em Ethernet e depois em OK.

de conexo de rede.
19 Clique em Se o computador-cliente usar o tipo de conexo de rede

20 Na caixa de listagem inferior, clique em Conexo sem fio e depois em OK.

Consulte Configurao de condies de deteco de local do Cenrio 1
na pgina 273.
Configurao de definies de comunicao para um

local
Por padro, voc configura definies de comunicao entre o servidor de
gerenciamento e o cliente em nvel de grupo. Porm, voc tambm pode definir
estas configuraes para locais individuais em um grupo. Por exemplo, voc pode
usar um servidor de gerenciamento separado para um local onde os
computadores-cliente conectem-se via VPN. Para minimizar o nmero de clientes
que se conectam ao servidor de gerenciamento ao mesmo tempo, voc pode
especificar uma pulsao diferente para cada local.
Voc pode definir as seguintes configuraes de comunicao para locais:
O modo de controle em que os clientes so executados.
A lista do servidor de gerenciamento que os clientes usam.
O modo de download em que os clientes so executados.
277
278

Se uma lista de todos os aplicativos executados em clientes deve ser coletada

e enviada para o servidor de gerenciamento.
Intervalo de pulsao que os clientes usam para download.
Se o servidor de gerenciamento torna aleatrio o download de contedo do

servidor de gerenciamento padro ou de um Provedor de atualizaes de grupo.
Nota: Apenas algumas destas configuraes podem ser definidas para clientes
Mac.
Para definir configuraes de comunicao para um local
Na pgina Clientes, selecione um grupo.
Na guia Polticas, em Polticas e configuraes especficas do local, em um

local, expanda Configuraes especficas de local.
direita de Configuraes de comunicaes, clique em Tarefas e, ento,

desmarque Usar as configuraes de comunicaes do grupo.
Clique em Tarefas novamente e, em seguida, clique em Editar configuraes.
Na caixa de dilogo Configuraes de comunicaes para nome do local,

modifique as configuraes apenas para o local especfico.
Clique em OK.
Consulte Configurao do modo de envio ou de instalao pull para atualizar

polticas e contedo do cliente na pgina 329.
Sobre o reforo das polticas de segurana para

clientes remotos
Quando voc gerenciar usurios remotos, adotar essencialmente uma das
seguintes posies:
Deixar as polticas padro em vigor, de modo a no impedir que usurios

remotos usem seus computadores.
Reforar suas polticas de segurana padro para fornecer mais proteo para
sua rede, mesmo que isso restrinja o que os usurios remotos podem fazer.

Na maioria das situaes, a prtica recomendada reforar as polticas de

segurana para clientes remotos.
Polticas podem ser criadas como compartilhadas ou no compartilhadas e
atribudas aos grupos ou aos locais. Uma poltica compartilhada aquela que se
aplica a todo o grupo e local e que pode ser herdada. Uma poltica no
compartilhada aquela que se aplica somente a um local especfico em um grupo.
Tipicamente, considera-se uma prtica recomendada a criao de polticas
compartilhadas, pois facilita a alterao de polticas em vrios grupos e locais.
Contudo, quando forem necessrias polticas exclusivas de um local especfico,
voc precisar cri-las como polticas no compartilhadas ou convert-las em
polticas no compartilhadas.
Melhores prticas para as configuraes da poltica de firewall

A Tabela 12-3 descreve cenrios e recomendaes de melhores prticas.
Tabela 12-3
Melhores prticas da poltica de firewall
Cenrio
Recomendao
Local remoto onde os

usurios fazem logon
sem uma VPN
Determine as polticas de segurana mais rigorosas para

clientes que fazem logon remotamente sem usar uma VPN.
Ative a proteo do NetBIOS.
Nota: No ativar a proteo do NetBIOS para o local onde um

cliente remoto est conectado na rede da empresa por meio
de uma VPN. Esta regra apropriada somente quando os
clientes remotos esto conectados Internet, no rede da
empresa.
Local remoto onde os

usurios fazem logon
atravs de uma VPN
Bloquear todo o trfego TCP local nas portas NetBIOS 135,

139 e 445 para aumentar a segurana.
Deixe sem alterao todas as regras que bloqueiam o trfego

em todos os adaptadores. No mude essas regras.
Deixe sem alterao a regra que permite o trfego VPN em
todos os adaptadores. No mude essa regra.
Altere a coluna Adaptador de Todos os adaptadores para o
nome do adaptador VPN que voc usa para todas as regras que
usam a ao Permitir.
Ative a regra que bloqueia todo o trfego restante.
Nota: Ser necessrio fazer todas essas mudanas se desejar

evitar a possibilidade de tnel dividido por meio da VPN.
279
280

Cenrio
Recomendao
Locais de escritrio
onde os usurios fazem
logon com as conexes
Ethernet ou sem fio
Use sua poltica de firewall padro. Para a conexo sem fio,

assegure-se de que a regra para permitir o EAPOL sem fio esteja
ativada. O 802.1x usa protocolo de autenticao extensvel sobre
rede local (EAPOL, Extensible Authentication Protocol over LAN)
para a autenticao da conexo.
Consulte Para criar uma poltica de firewall na pgina 455.

Sobre as melhores prticas para configuraes de poltica do

LiveUpdate
Se voc mantm o controle estrito sobre o contedo e as atualizaes de produtos
da Symantec para seus clientes, considere mudar a Poltica do LiveUpdate para
seus clientes remotos.
Para o local remoto onde os usurios fazem login sem uma VPN, sugerimos as
seguintes melhores prticas:
Alterar a configurao da Poltica do LiveUpdate para usar o servidor padro

do Symantec LiveUpdate. Esta configurao permite que os clientes remotos
faam a atualizao quando se conectam Internet.
Alterar a configurao de frequncia de agendamento do LiveUpdate para uma

hora para que seja mais provvel que os clientes atualizem sua proteo quando
se conectarem Internet.
Para todos os outros locais, uma melhor prtica usar o Symantec Endpoint
Protection Manager para distribuir atualizaes de software e de contedo. Um
pacote de atualizao distribudo atravs do console de gerenciamento
incremental em vez de um pacote completo. Estes pacotes de atualizao so
menores que os pacotes transferidos por download diretamente do servidor do

Para os clientes remotos que no esto conectados por VPN, uma prtica
recomendada ativar as notificaes do cliente para as seguintes situaes:
Deteco de intruses

Sobre a personalizao das configuraes de gerenciamento de log para clientes remotos
Voc pode ativar estas notificaes usando o servidor especfico do local ou

selecionando a opo Controle misto em Configuraes de controle de
interface de usurio cliente. Voc pode personalizar as configuraes na guia
Configuraes de interface de usurio do cliente.
Vrus e riscos segurana

possvel ativar estas notificaes na Poltica de proteo contra vrus e
spyware.
Ativar notificaes ajuda a garantir que os usurios remotos estejam cientes

quando um problema de segurana ocorre.
Sobre a personalizao das configuraes de

gerenciamento de log para clientes remotos
Convm personalizar as configuraes de gerenciamento de log para clientes
remotos. A personalizao pode ser particularmente til se os clientes estiverem
off-line por diversos dias.
As seguintes configuraes podem ajudar a reduzir a largura de banda e a carga
em seus servidores de gerenciamento:
Os clientes no transferem seus logs ao servidor de gerenciamento.
Os clientes apenas fazem upload dos log de segurana do cliente.
Filtrar eventos de log para fazer upload apenas de eventos especificados.

Eventos sugeridos para upload incluem atualizaes de definio ou falhas em
reparar efeitos colaterais.
Torne o tempo de reteno de log mais longo.

Perodos de reteno mais longos permitem verificar mais dados de eventos
antivrus e antispyware.
Nota: Algumas configuraes de log do cliente so especficas para um grupo. As

configuraes de log especficas do local fazem parte de uma poltica de proteo
contra vrus e spyware. Dependendo das configuraes de log que voc deseja
personalizar, possvel usar grupos, em vez de locais, para gerenciar seus clientes
remotos.
Consulte Exibio de logs na pgina 679.
281
282


Notificaes e logs so essenciais para manter um ambiente seguro. Geralmente,
necessrio monitorar seus clientes remotos da mesma maneira que seus outros
clientes so monitorados. Sempre deve verificar se suas protees esto atualizadas
e se a rede no est atualmente sob ataque. Se sua rede estiver sob ataque, voc
desejar saber quem est por trs do ataque e como eles atacaram.
Suas configuraes de preferncia de home page determinam o perodo de tempo
durante o qual o Symantec Endpoint Protection Manager exibe os dados. Por
padro, os dados na home page representam somente os clientes que se conectaram
nas ltimas 12 horas. Se muitos clientes estiverem frequentemente off-line, sua
melhor opo de monitoramento ser ir para os logs e os relatrios. Nos logs e
nos relatrios, voc pode filtrar os dados para incluir clientes off-line.
Mesmo se restringir alguns dos dados de log de cliente que so transferidos por
upload por clientes mveis, as seguintes telas podero ser verificadas.
Telas para monitorar a segurana do cliente remoto
Tabela 12-4
Tela
Descrio
Incio > Status do endpoint
Exibe se o contedo est atualizado ou para ver se alguma proteo est

desativada.
Voc pode verificar as seguintes condies do status:
Datas de contedo e nmeros de verso
Conexes de cliente
Protees ativadas e desativadas
Voc pode clicar em Detalhes para ver o status para cada cliente.
Incio > Status de segurana
Exibe a viso geral de segurana do sistema. Exibe o Resumo de atividades

de vrus e riscos para ver se sua rede est sob ataque.
Voc pode clicar em Detalhes para ver o status para cada tecnologia de
proteo de segurana.
Incio > Resumo de atividades de vrus Exibe a atividade de vrus e risco detectada e as aes tomadas, como limpo,
e riscos
bloqueado, ou colocado em quarentena.
Monitores > Tipo de resumo >
Exibe as informaes sobre tipos e fontes de ataques.
Captulo
13
Para gerenciar domnios

Sobre domnios
Adio de um domnio
Para alternar para o domnio atual
Sobre domnios
Quando voc instalar um servidor de gerenciamento, o console do Symantec
Endpoint Protection Manager incluir um domnio, que chamado Padro. Um
domnio um container estrutural no console usado para organizar uma hierarquia
de grupos, clientes, computadores e polticas. Voc configura domnios adicionais
para gerenciar seus recursos de rede.
Nota: Os domnios dentro do Symantec Endpoint Protection Manager no se
relacionam aos domnios da Microsoft.
Cada domnio que voc adiciona compartilha os mesmos servidores de
gerenciamento e banco de dados e fornece uma instncia adicional do console. Os
dados em cada domnio so completamente separados. Esta separao impede
que os administradores em um domnio vejam os dados em outros domnios. Voc
pode adicionar uma conta de administrador de modo que cada domnio tenha seu
prprio administrador. Estes administradores podem exibir e gerenciar apenas o
contedo de seu prprio domnio.
Se sua empresa for de grande porte, com sites em vrias regies, talvez seja
necessrio ter uma viso geral das informaes de gerenciamento. Voc pode
delegar a autoridade administrativa, separar fisicamente dados de segurana ou
ter maior flexibilidade no modo como os usurios, os computadores e as polticas
284

Sobre domnios
so organizados. Se voc um provedor de servios gerenciado (MSP, managed

service provider), talvez precise gerenciar vrias empresas independentes, bem
como provedores de servios da Internet. Para atender a essas necessidades, voc
pode criar vrios domnios. Por exemplo, voc pode criar um domnio separado
para cada pas, regio ou empresa.
Figura 13-1
Viso geral dos domnios do Symantec Endpoint Protection Manager

Cliente A
Cliente B
Cliente C
https
https
https
Console
do SEPM
Console
do SEPM
Console
do SEPM
Domnio A
Domnio B
Banco de dados do
SEPM (separado por
domnio e cliente)
Domnio C
Quando voc adicionar um domnio, o domnio estar vazio. Voc deve configurar
o domnio para que ele seja o domnio atual. Voc adiciona ento grupos, clientes,
computadores e polticas a esse domnio.
Voc pode copiar polticas e clientes de um domnio para outro. Para copiar
polticas entre domnios, exporte a poltica do domnio de origem e a importe para
o domnio de destino. Para copiar clientes entre domnios, voc usa a ferramenta
SylinkDrop. Esta ferramenta substitui o arquivo de comunicao em um cliente
para permitir que o cliente se comunique com um servidor de gerenciamento
diferente.
Voc poder desativar um domnio se no precisar mais dele. Assegure-se de que
no esteja definido como o domnio atual quando voc tentar desativ-lo.
Consulte Para recuperar configuraes de comunicao do cliente usando a
ferramenta SylinkDrop na pgina 828.
Consulte Para alternar para o domnio atual na pgina 285.

Adio de um domnio
Adio de um domnio
Voc cria um domnio para organizar uma hierarquia de grupos, usurios, clientes
e polticas em sua organizao. Por exemplo, convm adicionar domnios para
organizar usurios por diviso.
Nota: Voc pode usar um ID do domnio para a recuperao aps desastres. Se
todos os servidores de gerenciamento em sua organizao falharem, voc precisar
reconstruir o servidor de gerenciamento usando o mesmo ID que o servidor antigo.
Voc pode obter o antigo ID do domnio no arquivo sylink.xml em qualquer cliente.
Para adicionar um domnio
Em Tarefas, clique em Adicionar domnio.
Na caixa de dilogo Adicionar domnio, digite um nome de domnio, um nome

da empresa e as informaes de contato opcionais.
Se voc quer adicionar um ID do domnio, clique em Avanado e digite o valor

na caixa de texto.
Clique em OK.

O nome de domnio padro Padro e definido como o domnio atual. Quando
voc adicionar primeiro um novo domnio no console do Symantec Endpoint
Protection Manager, o domnio estar vazio. Para adicionar grupos, clientes,
polticas e administradores a um novo domnio, necessrio primeiro defini-lo
como o domnio atual. Quando um domnio for designado como o domnio atual,
o texto Domnio atual seguir o nome de domnio no ttulo. Se voc tiver muitos
domnios, ser necessrio percorrer a lista Domnios para exibir o domnio atual.
Se fizer logon no console como administrador do sistema, voc poder ver todos
os domnios, independente de qual domnio o atual. Porm, voc pode exibir
apenas os administradores e administradores limitados que foram criados no
domnio atual. Se voc fizer logon no console como administrador ou administrador
limitado, apenas sero exibidos os domnios aos quais voc tem acesso.
285
286

Se remover o domnio atual, voc ser desconectado pelo servidor de

gerenciamento. Voc pode somente remover um domnio que no seja o domnio
atual e o nico domnio.
Em Domnios, clique no domnio que deseja tornar o domnio atual.
Em Tarefas, clique em Administrar domnio.
Na caixa de dilogo Administrar domnio, para confirmar, clique em Sim.
Clique em OK.

Captulo
14
Para gerenciar contas de

administrador e senhas
Para gerenciar domnios e contas de administrador
Sobre funes e direitos de acesso da conta de administrador
Adio de uma conta de administrador
Configurao dos direitos de acesso para um administrador limitado
Para mudar o mtodo de autenticao de contas de administrador
Melhores prticas para testar se um servidor de diretrio autentica uma conta

de administrador
Para mudar a senha de uma conta de administrador
Permisso de administradores para redefinir senhas esquecidas
Para enviar uma senha temporria a um administrador
Para exibir as caixas de seleo Lembrar meu nome de usurio e Lembrar minha
senha na tela de logon

Voc pode usar contas de administrador para gerenciar o Symantec Endpoint
Protection Manager. Administradores fazem logon no console do Symantec
Endpoint Protection Manager para mudar configuraes de poltica, gerenciar
grupos, executar relatrios e instalar o software-cliente, assim como outras tarefas
de gerenciamento.
288
Para gerenciar contas de administrador e senhas

A conta padro uma conta do administrador do sistema que fornece acesso a

todos os recursos. Voc tambm pode adicionar uma conta de administrador mais
limitado, para os administradores que precisam executar um subconjunto de
tarefas.
Para uma empresa de pequeno porte, talvez voc precise de apenas um
administrador. Para uma empresa de grande porte, com vrios sites e domnios,
provvel que voc precise de vrios administradores, alguns dos quais com mais
direitos de acesso que outros.
Gerencie domnios e contas de administrador e suas senhas na pgina Admin.
Tabela 14-1
Administrao de contas e domnios
Tarefa
Descrio
Decidir se adiciona
vrios domnios
Decidir se adiciona domnios.

Consulte Para alternar para o domnio atual na pgina 285.
Adicionar contas de
administrador
Adicionar contas aos administradores que precisam de acesso ao console do Symantec

Aprender sobre as funes da conta de administrador que esto disponveis.
Consulte Sobre funes e direitos de acesso da conta de administrador na pgina 289.
Criar os tipos de contas de administrador de que voc precisa.
na pgina 293.
Alterar o mtodo que usado para autenticar as contas de administrador (opcional).
Por padro, o banco de dados do Symantec Endpoint Protection Manager autentica as
credenciais do administrador. Voc tambm pode usar o RSA SecurID, um servidor LDAP
ou um servidor do Microsoft Active Directory para a autenticao.
na pgina 294.
Desbloquear ou
Por padro, o Symantec Endpoint Protection Manager bloqueia um administrador depois
bloquear uma conta de que um usurio tenta fazer logon em demasia no Symantec Endpoint Protection Manager
administrador
usando a conta de administrador. Voc pode especificar estas configuraes para aumentar
o nmero de tentativas ou o tempo que o administrador bloqueado.
Consulte Para desbloquear uma conta de administrador aps vrias tentativas de logon
na pgina 109.

Tarefa
Descrio
Redefinir senhas
Voc pode executar as tarefas para senhas a seguir:

Alterar a senha para uma conta de administrador.
Consulte Para mudar a senha de uma conta de administrador na pgina 303.
Certifique-se de que o link Esqueceu sua senha?O link aparece de modo que os
administradores possam restaurar suas prprias senhas esquecidas.
Consulte Permisso de administradores para redefinir senhas esquecidas na pgina 304.
Enviar a um administrador uma senha provisria de modo que ele possa restaurar sua
senha.
Exibir as caixas de dilogo Lembrar meu nome de usurio e Lembrar minha senha na
tela de logon do servidor de gerenciamento.
Consulte Para exibir as caixas de seleo Lembrar meu nome de usurio e Lembrar
minha senha na tela de logon na pgina 306.
Configurar opes de Voc pode configurar as seguintes opes de logon para cada tipo de administrador:
logon para o Symantec
Indicar uma mensagem para que os administradores leiam antes que entrem.
Endpoint Protection
Consulte Para exibir uma mensagem aos administradores antes que faam logon no
Manager
Symantec Endpoint Protection Manager na pgina 106.
Permitir ou bloquear o acesso de logon ao console de gerenciamento, de modo que
determinados administradores possam ou no fazer logon remotamente.
Consulte Para permitir ou bloquear o acesso aos consoles remotos do Symantec Endpoint
Por padro, se um administrador tentar fazer logon no Symantec Endpoint Protection
Manager muitas vezes, ele ser bloqueado por 15 minutos. Voc pode definir estas
configuraes para cada administrador.
Consulte Para desbloquear uma conta de administrador aps vrias tentativas de logon
na pgina 109.

na pgina 103.
Sobre funes e direitos de acesso da conta de

administrador
Quando voc instalar o Symantec Endpoint Protection Manager, uma conta padro
de administrador do sistema ser criada, chamada admin. A conta de administrador
do sistema d acesso com direitos de administrador a todos os recursos do
Para ajud-lo a gerenciar a segurana, voc pode adicionar contas adicionais de
administrador do sistema, de administrador de domnio e de administrador
289
290

limitado. Os administradores de domnio e os administradores limitados tm

acesso a um subconjunto de recursos do Symantec Endpoint Protection Manager.
Voc escolhe as contas necessrias com base nos tipos de funes e de direitos de
acesso necessrios em sua empresa. Por exemplo, uma empresa de grande porte
pode usar os seguintes tipos de administradores:
Um administrador que instale o servidor de gerenciamento e os pacotes de

instalao do cliente. Depois que o produto estiver instalado, um administrador
responsvel pelas operaes assume o comando. Estes administradores so,
muito provavelmente, administradores do sistema.
Um administrador de operaes mantm os servidores, os bancos de dados e

instala patches. Se voc tiver um nico domnio, o administrador de operaes
poder ser um administrador de domnio inteiramente autorizado para
gerenciar sites.
Um administrador de antivrus, que cria e mantm as polticas de vrus e de

spyware, alm das polticas do LiveUpdate nos clientes. Este administrador ,
muito provavelmente, um administrador limitado.
Um administrador do desktop, responsvel pela segurana, que cria e mantm

as polticas de firewall e de preveno contra intruses para os clientes. Este
administrador , muito provavelmente, um administrador de domnio.
Um administrador do helpdesk que cria relatrios e tem acesso somente leitura

s polticas. O administrador de antivrus e o administrador do desktop leem
os relatrios enviados pelo administrador de helpdesk. O administrador do
helpdesk , muito provavelmente, um administrador limitado a quem so
concedidos direitos de gerao de relatrios e direitos de poltica.
A Tabela 14-2 descreve o tipo de conta e os direitos de acesso de cada funo.

Tabela 14-2
Funes e responsabilidades do administrador
Funo do
administrador
Responsabilidades
Administrador do
sistema
Os administradores do sistema podem fazer logon no console do Symantec Endpoint

Protection Manager com acesso completo e ilimitado a todos os recursos e tarefas.
Um administrador do sistema pode criar e gerenciar outras contas de administrador do
sistema, de administrador de domnio e de administrador limitado.
Um administrador do sistema pode executar as tarefas a seguir:
Administrador
Gerenciar todos os domnios.
Administrar licenas.
Exibir e gerenciar todas as configuraes do console.
Gerenciar os bancos de dados e os servidores de gerenciamento.
Gerenciar Enforcers.
Administradores so administradores de domnio que podem visualizar e gerenciar um

nico domnio. Um administrador de domnio tem os mesmos privilgios que um
administrador do sistema, mas somente para um nico domnio.
Por padro, o administrador de domnio tem direitos completos de administrador do
sistema para gerenciar um domnio, mas no um site. Voc deve explicitamente conceder
direitos do site em um nico domnio. Os administradores de domnio podem modificar
os direitos do site de outros administradores e de administradores limitados, embora no
possam modificar os direitos do site para si.
Um administrador de domnio pode executar as tarefas a seguir:
Criar e gerenciar contas de administrador e contas de administrador limitado dentro
de um nico domnio.
Os administradores de domnio no podem modificar seus prprios direitos do site. Os
administradores do sistema devem executar esta funo.
Executar relatrios, gerenciar sites e redefinir senhas. Voc deve explicitamente
configurar direitos de gerao de relatrios aos grupos migrados do Symantec AntiVirus
10.x.
No possvel administrar licenas. Somente os administradores do sistema podem
administrar licenas.
No possvel gerenciar Enforcers.
291
292

Funo do
administrador
Responsabilidades
Administrador
limitado
Os administradores limitados podem fazer logon no console do Symantec Endpoint

Protection Manager com acesso restrito. Os administradores limitados no tm direitos
de acesso por padro. Uma funo do administrador do sistema deve explicitamente
conceder direitos de acesso para permitir que um administrador limitado execute tarefas.
Partes da interface do usurio no estaro disponveis para administradores limitados
quando voc restringir os direitos de acesso. Por exemplo:
Os administradores limitados sem direitos gerao de relatrios no podem visualizar
as pginas Incio, Monitores ou Relatrios.
Os administradores limitados sem direitos de polticas no podem exibir ou modificar
a poltica. Alm disso, no podem aplicar, substituir ou retirar uma poltica.

na pgina 293.


Como um administrador do sistema, voc pode adicionar um outro administrador
do sistema, administrador ou administrador limitado. Como um administrador
dentro de um domnio, possvel adicionar outros administradores com direitos
de acesso iguais ou menos restritivos do que seus prprios. Os administradores
podem adicionar administradores limitados e configurar seu direitos de acesso.
Para adicionar uma conta de administrador
Em Tarefas, clique em Adicionar um administrador.
Na caixa de dilogo Adicionar administrador, na guia Geral, digite o nome

do usurio e o endereo de e-mail.

Configurao dos direitos de acesso para um administrador limitado
Nas guias Direitos de acesso e Autenticao, especifique a funo do

administrador, os direitos de acesso e o mtodo de autenticao.
na pgina 289.
na pgina 294.
Clique em Ajuda para obter mais informaes.
Clique em OK.
Configurao dos direitos de acesso para um

administrador limitado
Se voc adicionar uma conta de administrador limitado, ser necessrio tambm
especificar os direitos de acesso do administrador. As contas do administrador
limitado que no tem nenhum direito de acesso so criadas em um estado
desativado e o administrador limitado no poder fazer logon no servidor de
gerenciamento.
Nota: Os direitos de relatrios so necessrios para integrar o Symantec Endpoint
Protection Manager com o Symantec Protection Center verso 1. Assegure-se de
conceder direitos de gerao de relatrios a todos os administradores limitados
que usarem o Protection Center verso 1 para acessar o console do Symantec
Endpoint Protection Manager. Para obter mais informaes, consulte a ajuda do
Protection Center verso 1.
Para configurar os direitos de acesso para um administrador limitado
Selecione o administrador limitado.

Voc tambm pode configurar os direitos de acesso ao criar uma conta de
administrador limitado.
Em Tarefas, clique em Editar administrador.
293
294

Na guia Direitos de acesso, selecione uma opo e clique, em seguida, no

boto correspondente para definir os direitos de acesso. Clique em Ajuda
para obter mais informaes.
Se desejar autorizar o administrador limitado a criar apenas as polticas no

compartilhadas para um local, selecione Permitir apenas edio de poltica
especfica do local.
Clique em OK.

na pgina 289.
Para mudar o mtodo de autenticao de contas de

administrador
Aps adicionar uma conta de administrador, o nome de usurio e a senha so
armazenados no banco de dados do Symantec Endpoint Protection Manager.
Quando o administrador fizer logon no servidor de gerenciamento, o servidor de
gerenciamento verificar no banco de dados se o nome de usurio e a senha esto
corretos. Contudo, se sua empresa usar um servidor de terceiros para autenticar
nomes de usurio e senhas existentes, voc poder configurar o Symantec Endpoint
Protection Manager para autenticar no servidor.
A Tabela 14-3 exibe os mtodos de autenticao que o servidor de gerenciamento
pode usar para autenticar contas de administrador.
Tabela 14-3
Mtodos de autenticao
Autenticao de Symantec
Autentica os administradores com as credenciais do
Endpoint Protection Manager administrador que esto armazenadas no banco de dados
(padro)
Autenticao RSA SecurID
Autentica os administradores usando o token RSA SecurID

(no tokens de software RSA), o carto RSA SecurID ou o
teclado numrico do carto RSA (no cartes inteligentes
RSA).
Autenticao de servidor de Autentica os administradores em um servidor LDAP ou

diretrio
servidor do Microsoft Active Directory.

Para mtodos de autenticao de terceiros, o Symantec Endpoint Protection

Manager tem uma entrada no banco de dados para a conta de administrador, mas
o servidor de terceiros valida o nome de usurio e a senha.
Adicione uma conta de administrador

Na guia Autenticao, selecione o mtodo de autenticao.
Para autenticar os administradores que usam um mecanismo RSA SecurID,

primeiramente instale o servidor ACE da RSA e ative a autenticao
criptografada para RSA SecurID.
Consulte Configurao do servidor de gerenciamento para autenticar os
administradores que usam RSA SecurID para fazer logon na pgina 296.
Consulte Autenticao dos administradores que usam o RSA SecurID
para fazer logon no servidor de gerenciamento na pgina 297.
Para autenticar os administradores que usam um servidor de diretrio

Active Directory ou LDAP, voc precisa configurar uma conta no servidor
de diretrio. Voc deve tambm estabelecer uma conexo entre o servidor
de diretrio e o Symantec Endpoint Protection Manager. Se no estabelecer
uma conexo, voc no poder importar usurios de um Active Directory
ou sincronizar com eles.
Nota: A sincronizao somente possvel para servidores do Active
Directory. O Symantec Endpoint Protection no suporta a sincronizao
com servidores LDAP.
Voc pode verificar se o servidor de diretrio autentica o nome de uma
conta clicando em Testar conta.
Consulte Melhores prticas para testar se um servidor de diretrio
autentica uma conta de administrador na pgina 298.
Clique em OK.
Na caixa de dilogo Confirmar alterao, digite a senha que voc usa para
fazer logon no Symantec Endpoint Protection Manager e clique em OK.
Quando alternar entre mtodos de autenticao, voc dever digitar a senha
da conta de administrador.
295
296

Configurao do servidor de gerenciamento para autenticar os

administradores que usam RSA SecurID para fazer logon
Se sua rede da empresa inclui um servidor RSA, voc precisa instalar o software
para um agente RSA ACE no computador em que instalou o Symantec Endpoint
Protection Manager e configur-lo como um cliente de autenticao SecurID.
Para configurar o servidor de gerenciamento para autenticar os administradores
que usam RSA SecurID para fazer logon
Instale o software para o agente RSA ACE no mesmo computador em que voc
instalou o servidor de gerenciamento. Voc pode instalar o software
executando o arquivo.msi do Windows do disco do produto do agente de
autenticao RSA.
Copie os arquivos nodesecret.rec, sdconf.rec e agent_nsload.exe do servidor

RSA ACE para o computador em que voc instalou o servidor de
gerenciamento.
No prompt de comando, digite o seguinte comando:

agent_nsload -f nodesecret.rec -p senha
onde -p a senha para o arquivo nodesecret
Em Servidores, selecione o servidor de gerenciamento ao qual voc deseja

conectar um servidor proxy RSA.
Em Tarefas, clique em Configurar autenticao SecurID.
No painel Bem-vindoaoAssistentedeConfiguraodaautenticaoSecurID,
clique em Avanar.
No painel Qualificao, do painel do Assistente de Configurao da

autenticao SecurID, leia os pr-requisitos de forma que possa atender a
todos os requisitos.
Clique em Avanar.
10 No painel Transferir arquivo RSA por upload do painel Assistente de

Configurao da autenticao SecurID, procure a pasta na qual o arquivo
sdconf.rec reside.
Voc tambm pode digitar o nome do caminho.

12 Clique em Teste para testar a sua configurao.

13 Na caixa de dilogo Testar configurao, digite o nome de usurio e a senha
para a sua SecurID e, em seguida, clique em Teste.
Agora, a autenticao feita com xito.
Consulte Autenticao dos administradores que usam o RSA SecurID para fazer
logon no servidor de gerenciamento na pgina 297.
Autenticao dos administradores que usam o RSA SecurID para fazer

logon no servidor de gerenciamento
Se desejar autenticar os administradores que usam o Symantec Endpoint Protection
Manager com RSA SecurID, voc precisar ativar a autenticao criptografada,
executando o Assistente de Instalao do RSA.
Para autenticar os administradores que usam o RSA SecurID para fazer logon no
servidor de gerenciamento
Instale um servidor ACE RSA, caso necessrio.
Registre o computador em que voc instalou o servidor de gerenciamento

como um host vlido no servidor ACE RSA.
Crie um arquivo Node Secret para o mesmo host.
Certifique-se de que o arquivo sdconf.rec do servidor RSA ACE est acessvel

na rede.
Atribua um carto SecurID ou carto com sensor magntico sincronizado a

uma conta do servidor de gerenciamento; ative o nome de logon no servidor
ACE RSA.
Assegure-se de que o administrador tenha o PIN ou a senha do RSA disponvel.
A Symantec oferece suporte aos seguintes tipos de logon RSA:
Token RSA SecurID (no tokens de software da RSA)
Carto RSA SecurID
Carto de teclado numrico da RSA (no cartes inteligentes da RSA)
Para fazer logon no servidor de gerenciamento com o RSA SecurID, o administrador

precisa de um nome de logon, do token (hardware) e de um nmero de identificao.
Consulte Configurao do servidor de gerenciamento para autenticar os
administradores que usam RSA SecurID para fazer logon na pgina 296.
na pgina 294.
297
298

Melhores prticas para testar se um servidor de diretrio autentica uma conta de administrador
Melhores prticas para testar se um servidor de

diretrio autentica uma conta de administrador
Voc pode testar se um servidor Active Directory ou LDAP autentica o nome de
usurio e a senha para uma conta de administrador que criar. O teste tambm
garante que voc adicionou o nome de usurio e a senha corretamente.
Use o mesmos nome de usurio e senha para uma conta de administrador no
Symantec Endpoint Protection Manager como voc faz no servidor de diretrio.
Quando o administrador fizer logon no servidor de gerenciamento, o servidor de
diretrio autenticar o nome de usurio e a senha do administrador. O servidor
de gerenciamento usa a configurao de servidor de diretrio que voc adicionou
para pesquisar a conta no servidor do diretrio.
A opo Testar conta verifica se o nome da conta existe no servidor de diretrio.
Voc tambm pode testar se um servidor do Active Directory ou do LDAP autentica
uma conta de administrador sem nome de usurio e senha. Uma conta sem nome
de usurio ou senha acesso annimo. Voc deve criar uma conta de administrador
com acesso annimo de modo que os administradores nunca estejam bloqueados
se a senha for mudada no servidor de diretrio.
Nota: No servidor do Active Directory do Windows 2003, a autenticao annima
desativada por padro. Portanto, quando voc adicionar um servidor de diretrio
sem nome de usurio a uma conta de administrador e clicar em Testar conta, uma
mensagem de erro Falha na autenticao da conta ser exibida. Para contornar
este problema, crie duas entradas de servidor de diretrio, uma para teste e uma
para acesso annimo. O administrador ainda pode fazer logon no servidor de
gerenciamento usando um nome de usurio e uma senha vlidos.

Tabela 14-4
Etapa Tarefa
Etapas para testar a autenticao de servidor de diretrio para uma

conta de administrador
Descrio
Etapa Adicionar vrias conexes Para facilitar o teste para acesso annimo, adicione pelo menos duas entradas do
1
do servidor de diretrio
servidor de diretrio. Use uma entrada para testar a autenticao e a segunda
entrada para testar o acesso annimo. Estas entradas usam o mesmo servidor de
diretrio com configuraes diferentes.
Por padro, a maioria dos usurios reside em CN=Users a menos que movidos
para unidades organizacionais diferentes. Usurios no servidor de diretrio LDAP
so criados em CN=Users, DC=< dominio_de_amostra >, DC=local. Para encontrar
onde um usurio reside no LDAP, use ADSIEdit.
Use as seguintes informaes para configurar os servidores do diretrio para este
exemplo:
CN=John Smith
OU=test
DC=< dominio_de_amostra >
DC=local
O exemplo usa Active Directory padro LDAP (389) mas pode tambm usar LDAP
seguro (636).
Etapa Adicionar vrias contas
2
de administrador
Adicione vrias contas de administrador do sistema. A conta para acesso annimo

no usa nome de usurio ou senha.
Consulte Para adicionar as contas de administrador usando as entradas do
Para adicionar as conexes do servidor de diretrio para testar a autenticao de

servidor do Active Directory e do LDAP
No console, clique em Administrador > Servidores, selecione o servidor

padro e clique em Editar as propriedades do servidor.
Na guia Servidores de diretrios, clique em Adicionar.
Na guia Geral, adicione as seguintes configuraes do servidor de diretrio

e clique em OK.
Servidor de diretrio 1:
Nome: <dominio_de_amostra> Active Directory
Tipo de servidor: Active Directory
Nome ou endereo IP do servidor:

server01.<dominio_de_amostra>.local
Nome do usurio: <dominio_de_amostra>\administrador
299
300

Senha: < senha do servidor de diretrio >
Servidor de diretrio 2:
Nome: <dominio_de_amostra> LDAP com Nome de usurio
Tipo de servidor: LDAP

Porta LDAP: 389
BaseDN do LDAP: DC=<dominio_de_amostra>, DC=local
Nome do usurio: <dominio_de_amostra>\administrador
Senha: < senha do servidor de diretrio >
Servidor de diretrio 3 (para autenticao annima):
Nome: <dominio_de_amostra> LDAP sem Nome de usurio
Tipo de servidor: LDAP

Porta LDAP: 389
BaseDN do LDAP: <vazio>

Deixe este campo vazio quando usar o acesso annimo.
Nome do usurio: <vazio>
Senha: <vazio>
Aps clicar em OK, um aviso aparecer. Mas o servidor de diretrio ser
vlido.
Quando voc tentar adicionar um BaseDN sem nome de usurio e senha,
o aviso aparecer.

Para adicionar as contas de administrador usando as entradas do servidor de

diretrio
No console, clique em Admin > Administradores, e na guia Geral, adicione

as contas de administrador na etapa 2.
na pgina 294.
Aps adicionar cada conta de administrador e clicar na opo Testar conta,
voc ver uma mensagem. Em alguns casos, a mensagem parecer invalidar
a informao de conta. Mas o administrador poder fazer logon no Symantec
Conta de administrador 1:
Na guia Geral, digite as seguintes informaes:

Nome do usurio: john
Nome completo: John Smith
Endereo de e-mail john@<dominio_de_amostra>.local
Na guia Direitos de acesso, clique em Administrador do sistema.
Na guia Autenticao, clique em Autenticao de diretrio.

Na lista suspensa Servidor de diretrio, selecione <dominio_de_amostra>
Active Directory.
No campo Nome da conta, digite john.
Clique em Testar conta.
O administrador do sistema john poder fazer logon no Symantec Endpoint
Protection Manager com autenticao do diretrio.

LDAP com Nome do usurio.
No campo Nome da conta, digite john.
301
302


O administrador do sistema john no poder fazer logon no Symantec
Endpoint Protection Manager com autenticao do diretrio.

LDAP com Nome do usurio.
No campo Nome da conta, digite John Smith.
O administrador do sistema john poder fazer logon no Symantec Endpoint
Protection Manager com autenticao do diretrio.
Conta de administrador 4, para acesso annimo:

LDAP sem Nome do usurio.
No campo Nome da conta, digite John Smith.
A autenticao da conta falhar, mas o administrador do sistema John
Smith poder fazer logon no Symantec Endpoint Protection Manager.



Para fins de segurana, poder ser necessrio mudar a senha da conta de outro
administrador.
As seguintes regras se aplicam mudana de senhas:
Os administradores do sistema podem mudar a senha para todos os

administradores.
Os administradores de domnio podem mudar a senha para outros

administradores de domnio e administradores limitados dentro do mesmo
domnio.
Os administradores limitados somente podem mudar suas prprias senhas.
Nota: Quando voc configurar o servidor de gerenciamento no Assistente de

Configurao do servidor de gerenciamento, selecione o banco de dados
incorporado ou o banco de dados do Microsoft SQL Server. Se voc selecionar o
banco de dados incorporado, a senha digitada para a conta de administrador
padro admin tambm se transformar na senha do banco de dados. Se voc alterar
a senha padro do administrador, a senha do banco de dados no ser alterada.
Se a senha for redefinida para corrigir um bloqueio da conta do administrador, o
administrador ainda dever aguardar o perodo de bloqueio expirar. O perodo
padro de bloqueio de 15 minutos.
Consulte Para desbloquear uma conta de administrador aps vrias tentativas
de logon na pgina 109.
No console, clique em Admin > Administradores.
Em Administradores, selecione a conta de administrador e clique em Alterar

senha.
Digite sua senha e a nova senha do administrador.

A senha deve conter de seis a 20 caracteres. Os seguintes caracteres no so
permitidos: "/ \ [ ] : ; | = , + * ? < >
Clique em Alterar.
303
304

Permisso de administradores para redefinir senhas esquecidas
Permisso de administradores para redefinir senhas

esquecidas
Se tiver uma conta de administrador do sistema, voc poder permitir que seus
administradores redefinam as senhas. Se voc ativar este recurso, os
administradores podem clicar no link Esqueceu sua senha? no painel de logon
para solicitar uma senha temporria.
Nota: Voc pode permitir este mtodo de redefinio de senha apenas para as
contas de administrador que so autenticadas usando a autenticao do Symantec
Management Server. Este mtodo no funciona para nenhuma conta de
administrador que seja autenticada usando a autenticao RSA SecurID ou a
autenticao de diretrio.
Para permitir que os administradores redefinam senhas esquecidas
Na pgina Administrador, clique em Servidores.
Em Servidores, selecione o site local.

Voc controla esta configurao apenas para o site local.
Clique em Editar propriedades do site.
Na guia Senhas, selecione Permita que os administradores redefinam as

senhas.
Clique em OK.
Consulte Para enviar uma senha temporria a um administrador na pgina 304.

Consulte Para exibir as caixas de seleo Lembrar meu nome de usurio e Lembrar
minha senha na tela de logon na pgina 306.
Para enviar uma senha temporria a um

administrador
Se voc tiver uma conta de administrador do sistema, poder permitir que seus
administradores redefinam suas prprias senhas. Um e-mail que contenha um
link para ativar a senha temporria ser para enviado para o administrador. Voc
deve primeiramente certificar-se de que o link Esqueceu sua senha? aparece na
tela de login do Symantec Endpoint Protection Manager.

Para enviar uma senha temporria a um administrador
Por razes de segurana, o servidor de gerenciamento no armazena nem verifica

as senhas provisrias. Para verificar se o administrador restaurou a senha com
xito, confira se o administrador recebeu a mensagem de e-mail.
Um administrador pode pedir uma senha temporria no console de gerenciamento
somente uma vez por minuto.
Voc deve configurar o servidor de e-mail de modo que o servidor de e-mail envie
a notificao.
Voc pode usar este mtodo de redefinio de senha apenas para as contas de
administrador que so autenticadas usando a autenticao do Symantec
Management Server. Este mtodo no funciona para nenhuma conta de
administrador que seja autenticada usando a autenticao RSA SecurID ou a
autenticao de diretrio.
Para enviar uma senha provisria a um administrador
No computador do servidor de gerenciamento, clique em Iniciar > Todos os

Programas > Symantec Endpoint Protection Manager > Symantec Endpoint
Protection Manager.
Por padro, o link Esqueceu sua senha? aparece na tela de logon do servidor
de gerenciamento. Caso isso no ocorra, voc dever ativ-lo.
Consulte Para exibir as caixas de seleo Lembrar meu nome de usurio e
Lembrar minha senha na tela de logon na pgina 306.
Na tela Logon, clique em Esqueceu sua senha?
Na caixa de dilogo Esqueci a senha, digite o nome de usurio da conta para

a qual voc deseja redefinir a senha.
Para administradores de domnio e administradores limitados, digite o nome
de domnio da conta. Se voc no configurou domnios, deixe o campo de
domnio em branco.
Clique em Senha temporria.

Como uma medida de segurana, o administrador deve mudar a senha
temporria imediatamente depois de fazer logon.

na pgina 294.
305
306

Para exibir as caixas de seleo Lembrar meu nome de usurio e Lembrar minha senha na tela de logon
Para exibir as caixas de seleo Lembrar meu nome

de usurio e Lembrar minha senha na tela de logon
Voc pode exibir as caixas de seleo Lembrar meu nome de usurio e Lembrar
minha senha na tela de logon do Symantec Endpoint Protection Manager. Se voc
ativar este recurso, o nome de usurio e a senha do administrador sero
preenchidos previamente na tela de logon.
Para exibir as caixas de seleo Lembrar meu nome de usurio e Lembrar minha
senha na tela de logon
Em Domnios, selecione o domnio para o qual permitir que administradores

salvem as credenciais de logon.
Clique em Editar propriedades de domnio.
Na guia Senhas, selecione Permitir que os usurios salvem as credenciais

ao fazer logon.
Clique em OK.
Seo
Para gerenciar a proteo e

personalizar as polticas
Captulo 15. Para usar polticas para gerenciar a segurana
Captulo 16. Para gerenciar a proteo contra vrus e spyware
Captulo 17. Para personalizar verificaes
Captulo 18. Para gerenciar o SONAR
Captulo 19. Para gerenciar a Proteo contra adulteraes
Captulo 20. Para gerenciar a proteo de firewall
Captulo 21. Para gerenciar a preveno contra intruses
Captulo 22. Para gerenciar o controle de dispositivos e aplicativos
Captulo 23. Para gerenciar excees
Captulo 24. Para configurar atualizaes e atualizar a proteo do

computador-cliente
Captulo 25. Para monitorar a proteo com relatrios e logs
Captulo 26. Para gerenciar notificaes
308
Captulo
15
Para usar polticas para

gerenciar a segurana
Para executar as tarefas comuns a todas as polticas de segurana
Os tipos de polticas de segurana
Sobre polticas compartilhadas e no compartilhadas
Adio de poltica
Edio de uma poltica
Para copiar e colar uma poltica na pgina Polticas
Para copiar e colar uma poltica na pgina Clientes
Para bloquear e desbloquear configuraes de poltica do vrus e de spyware
Atribuio de uma poltica a um grupo
Para testar uma poltica
Substituio de uma poltica
Para exportar e importar polticas individuais
Converso de uma poltica compartilhada em uma poltica no compartilhada
Para retirar uma poltica de um grupo
Como os computadores-cliente obtm atualizaes da poltica
Configurao do modo de envio ou de instalao pull para atualizar polticas

e contedo do cliente
310
Para usar polticas para gerenciar a segurana

Para usar o nmero de srie da poltica para verificar a comunicao

cliente-servidor
Para atualizar manualmente polticas no cliente
Para monitorar os aplicativos e servios executados em computadores-cliente
Pesquisa das informaes sobre os aplicativos executados pelos computadores
Para executar as tarefas comuns a todas as polticas

de segurana
Suas polticas de segurana definem como as tecnologias de proteo protegem
seus computadores contra as ameaas conhecidas e desconhecidas.
Voc pode gerenciar suas polticas de segurana do Symantec Endpoint Protection
de vrias maneiras. Por exemplo, voc pode criar cpias das polticas de segurana
e personaliz-las para suas necessidades especficas. Voc pode bloquear e
desbloquear determinadas configuraes de modo que os usurios no as possam
mudar no computador-cliente.
A Tabela 15-1 descreve muitas das tarefas da poltica que voc pode executar.
Tabela 15-1
Tarefas comuns a todas as polticas
Tarefa
Descrio
Adicionar poltica
Se voc no quiser usar uma das polticas padro, possvel

adicionar uma poltica nova.
Voc pode adicionar polticas compartilhadas ou polticas no
compartilhadas.
Nota: Se voc adicionar ou editar polticas compartilhadas na

pgina Polticas, ser necessrio tambm atribuir as polticas
a um grupo ou local. Caso contrrio, essas polticas no entraro
em vigor.
Consulte Sobre polticas compartilhadas e no compartilhadas
na pgina 316.

Tarefa
Descrio
Bloquear e desbloquear
configuraes de
polticas
Voc pode bloquear e desbloquear algumas configuraes da

Poltica de proteo contra vrus e spyware. Os usurios do
computador no podem mudar as configuraes de poltica
bloqueadas. Um cone de cadeado aparece ao lado de uma
configurao de poltica que pode ser bloqueada.
Consulte Para bloquear e desbloquear configuraes de poltica
do vrus e de spyware na pgina 320.
Editar uma poltica
Se desejar alterar as configuraes em uma poltica existente,

poder edit-la. Voc pode aumentar ou diminuir a proteo em
seus computadores modificando suas polticas de segurana.
No necessrio atribuir novamente uma poltica modificada a
menos que voc altere a atribuio do grupo.
Consulte Edio de uma poltica na pgina 317.
Atribuir uma poltica
Para colocar uma poltica em uso, voc deve atribu-la a um ou

mais grupos ou locais.
Testar uma poltica
A Symantec recomenda que voc sempre teste uma poltica nova

antes de us-la em um ambiente de produo.
Consulte Para testar uma poltica na pgina 322.
Atualizar polticas em
clientes
Com base na largura de banda disponvel, possvel configurar

um cliente para usar o modo de envio ou o de instalao pull
como seu mtodo de atualizao.
Consulte Como os computadores-cliente obtm atualizaes
da poltica na pgina 328.
Consulte Configurao do modo de envio ou de instalao pull
para atualizar polticas e contedo do cliente na pgina 329.
Substituir uma poltica
Voc pode substituir uma poltica compartilhada por outra

poltica compartilhada. possvel substituir a poltica
compartilhada em todos os locais ou em apenas um local.
Consulte Substituio de uma poltica na pgina 323.
311
312

Tarefa
Descrio
Copiar e colar uma

poltica
Em vez de adicionar uma poltica nova, talvez convenha copiar

uma poltica existente para usar como a base da poltica nova.
Voc pode copiar e colar polticas na pgina Polticas ou na guia
Polticas da pgina Clientes.
Nota: Voc tambm pode copiar todas as polticas em um grupo

e col-las em outro grupo, da guia Polticas na pgina Clientes.
Consulte Para copiar e colar uma poltica na pgina Clientes
na pgina 319.
Consulte Para copiar e colar uma poltica na pgina Polticas
na pgina 318.
Converter uma poltica
compartilhada em uma
poltica no
compartilhada
Voc pode copiar o contedo de uma poltica compartilhada e

criar uma poltica no compartilhada desse contedo.
Consulte Sobre polticas compartilhadas e no compartilhadas
na pgina 316.
Uma cpia permite mudar o contedo de uma poltica
compartilhada em um local e no em todos os outros locais. A
cpia substitui a poltica no compartilhada existente.
Voc poder converter uma poltica compartilhada em uma
poltica no compartilhada se a poltica no mais se aplicar a
todos os grupos ou a todos os locais. Quando voc terminar a
converso, a poltica convertida com seu novo nome aparecer
em Polticas e configuraes especficas do local.
Consulte Converso de uma poltica compartilhada em uma
poltica no compartilhada na pgina 326.
Exportar e importar uma Voc poder exportar uma poltica existente se quiser us-la em
poltica
outro site ou servidor de gerenciamento. Voc pode, em seguida,
importar a poltica e aplic-la a um grupo ou local especfico.
Consulte Para exportar e importar polticas individuais
na pgina 324.
Voc pode tambm exportar e importar todas as polticas em
vez de uma poltica de cada vez. Se fizer o upgrade do servidor
de gerenciamento de uma verso anterior para uma verso mais
recente, voc dever exportar a importao de todas as polticas.
Consulte Exportao e importao de configuraes do servidor
na pgina 779.

Tarefa
Descrio
Retirar uma poltica
Se voc excluir uma poltica, o Symantec Endpoint Protection

remover a poltica do banco de dados. Se voc no desejar
excluir uma poltica, mas no quiser mais us-la, a poltica
poder ser retirada.
Voc pode retirar qualquer tipo de poltica exceto uma Poltica
de proteo contra vrus e spyware e uma Poltica de
configuraes do LiveUpdate.
Consulte Para retirar uma poltica de um grupo na pgina 327.
Excluir uma poltica
Se uma poltica for atribuda a um ou mais grupos e locais, voc

no poder exclu-la at que a desassocie de todos os grupos e
locais. Voc tambm pode substituir a poltica por outra poltica
Verificar se o cliente tem Voc pode verificar se o cliente tem a poltica mais recente. Se
a poltica mais recente no, voc poder manualmente atualizar a poltica no cliente.
Consulte Como os computadores-cliente obtm atualizaes
da poltica na pgina 328.
Consulte Para usar o nmero de srie da poltica para verificar
a comunicao cliente-servidor na pgina 331.
Consulte Para atualizar manualmente polticas no cliente
na pgina 332.

Voc usa vrios tipos diferentes de polticas de segurana para gerenciar a
segurana da rede. A maioria dos tipos de polticas criada automaticamente
durante a instalao. Voc pode usar as polticas padro ou personalizar polticas
para atender a seu ambiente especfico.
na pgina 310.
313
314

Tabela 15-2
Tipos de poltica de segurana
Tipo de poltica
Descrio
Poltica de proteo contra A Poltica de proteo contra vrus e spyware fornece a

vrus e spyware
seguinte proteo:
Detecta, remove e repara os efeitos colaterais dos riscos
segurana e vrus usando assinaturas.
Detecta as ameaas nos arquivos que os usurios tentam
obter por download usando dados de reputao do
Download Insight.
Detecta os aplicativos que apresentam comportamento
suspeito usando a heurstica e os dados de reputao do
SONAR.
A Poltica de proteo contra vrus e spyware encontra
anomalias no comportamento com sua tecnologia do
SONAR. Para clientes legados, encontra anomalias no
comportamento com as verificaes proativas de
ameaas TruScan.
Nota: O Download Insight e a tecnologia do SONAR esto

disponvel apenas para clientes Windows.
Consulte Para gerenciar verificaes em
Poltica de firewall
A Poltica de firewall fornece a seguinte proteo:

Impede que usurios no autorizados acessem os
computadores e as redes que se conectam Internet.
Detecta os ataques por hackers.
Elimina as fontes indesejveis de trfego na rede.
Nota: As polticas de firewall podem ser aplicadas apenas

a clientes Windows.
Consulte Para gerenciar a proteo de firewall
na pgina 451.
Poltica de preveno contra A Poltica de preveno contra intruses automaticamente
intruses
detecta e bloqueia ataques rede e ataques a navegadores.
Nota: As polticas de preveno contra intruses podem

ser aplicadas apenas a clientes Windows.
Consulte Para gerenciar a preveno contra intruses em
seu computador-cliente na pgina 501.

Tipo de poltica
Descrio
Poltica do LiveUpdate
A Poltica de Contedo do LiveUpdate e a Poltica de

configuraes do LiveUpdate contm as configuraes que
determinam como e quando os computadores-cliente fazem
o download das atualizaes de contedo do LiveUpdate.
Voc deve especificar os computadores que os clientes
contatam para verificar atualizaes e agendar quando e
com que frequncia os computadores-cliente buscam
atualizaes.
Consulte Para gerenciar atualizaes de contedo
na pgina 592.
Controle de dispositivos e
aplicativos
A Poltica de controle de dispositivos e aplicativos protege

os recursos de um sistema contra aplicativos e gerencia os
dispositivos perifricos que podem ser anexados a
computadores.
Consulte Configurao do controle de dispositivos e
aplicativos na pgina 524.
Nota: As polticas de controle de dispositivos e aplicativos

podem ser apenas aplicadas a clientes Windows.
Integridade do host
A Poltica de integridade do host fornece a capacidade de

definir, aplicar e restaurar a segurana de
computadores-cliente para manter as redes e os dados
corporativos seguros. Esta poltica usada para verificar se
os clientes que tm acesso rede executam o software
antivrus, patches e outros critrios de aplicativos definidos
por voc.
Consulte O que voc pode fazer com as Polticas de
integridade do host na pgina 882.
Poltica de excees
A Poltica de excees fornece a capacidade de excluir

aplicativos e processos da deteco pelas verificaes de
vrus e spyware e pelo SONAR.
Voc tambm pode excluir aplicativos do controle de
aplicativos.
Consulte Para gerenciar excees para o Symantec
315
316


As polticas so compartilhadas ou no compartilhadas. Uma poltica ser
compartilhada se for aplicada a mais de um grupo ou local. Se voc criar polticas
compartilhadas, poder facilmente editar e substituir uma poltica em todos os
grupos e locais que a utilizam. Voc pode aplicar polticas compartilhadas ao grupo
Minha empresa ou um nvel de grupo inferior e subgrupos podem herdar polticas.
possvel ter vrias polticas compartilhadas.
Se voc precisar de uma poltica especializada para um grupo ou local especfico,
crie uma poltica exclusiva. Voc atribui esta poltica exclusiva e no compartilhada
a um grupo ou local especfico. Voc pode ter apenas uma poltica de cada tipo
por local.
Por exemplo, aqui esto alguns cenrios possveis:
Um grupo de usurios do Financeiro precisa conectar-se a uma rede corporativa

usando locais diferentes no escritrio e em casa. Talvez seja necessrio aplicar
uma poltica diferente de firewall com seu prprio conjunto de regras e
configuraes para cada local para esse grupo.
Voc tem os usurios remotos que usam normalmente DSL e ISDN, para os
quais eles podem precisar de uma conexo VPN. Voc tem outros usurios
remotos que querem conexo discada ao se conectar rede corporativa. Porm,
os grupos de marketing e vendas tambm querem usar conexes sem fio. Cada
um desses grupos precisa de sua prpria Poltica de firewall para os locais de
onde se conecta rede corporativa.
Voc quer implementar uma poltica restritiva em relao instalao de

aplicativos no aprovados na maioria das workstations dos funcionrios para
proteger a rede corporativa contra ataques. O grupo de TI pode exigir acesso
a aplicativos adicionais. Portanto, o grupo de TI precisar de uma poltica de
segurana menos restritiva que os funcionrios em geral. Nesse caso, voc
pode criar uma Poltica de firewall diferente para o grupo de TI.
Normalmente, voc pode adicionar qualquer poltica que os grupos e os locais

compartilham na pgina Polticas, na guia Polticas. Entretanto, adicione qualquer
poltica que no seja compartilhada entre grupos e que somente se aplique a um
local especfico, na pgina Clientes. Se decidir adicionar uma poltica na pgina
Clientes, voc pode adicionar uma poltica usando qualquer um dos mtodos
abaixo:
Adicione uma poltica nova.

Copie uma poltica existente na qual a nova poltica ser baseada.

Consulte Para copiar e colar uma poltica na pgina Polticas na pgina 318.

Adio de poltica
Consulte Para copiar e colar uma poltica na pgina Clientes na pgina 319.
Importe uma poltica que foi exportada previamente de outro site.


na pgina 310.
Consulte Converso de uma poltica compartilhada em uma poltica no
compartilhada na pgina 326.
Adio de poltica
O Symantec Endpoint Protection Manager vem com uma poltica padro para
cada tipo de proteo. Se voc precisar personalizar uma poltica, adicione-a e
edite-a. Voc pode criar vrias verses de cada tipo de poltica.
A Symantec recomenda que voc teste todas as novas poltica antes de us-las em
um ambiente de produo.
Para adicionar uma nova poltica
No console, clique em Polticas.
Na pgina Polticas, selecione um tipo de poltica e clique no link para

adicionar uma poltica nova.
Modifique as configuraes da poltica para aumentar ou diminuir a proteo.
Clique em OK para salvar a poltica.
Opcionalmente, atribua a poltica nova a um grupo.

Voc pode atribuir uma poltica nova a um grupo durante ou aps a criao
de polticas. A poltica nova substitui a poltica atualmente atribuda do mesmo
tipo de proteo.
Consulte Para testar uma poltica na pgina 322.

na pgina 310.
Edio de uma poltica

Voc pode editar polticas compartilhadas e no compartilhadas na guia Polticas,
na pgina Clientes, e na pgina Polticas.
Os locais e os grupos podem compartilhar a mesma poltica. Voc deve atribuir
uma poltica compartilhada depois de edit-la.
317
318


na pgina 310.
Para editar uma poltica na pgina Polticas
Na pgina Polticas, em Polticas, clique no tipo da poltica.
No painel Polticas tipo de poltica, clique na poltica especfica que deseja

editar
Em Tarefas, clique em Editar a poltica.
No painel Viso geral da poltica tipo de poltica, edite o nome e a descrio

da poltica, se for necessrio.
Para editar a poltica, clique em qualquer uma das pginas Poltica tipo de
poltica para as polticas.
Para editar uma poltica na pgina Clientes
Na pgina Clientes, em Clientes, selecione o grupo para o qual deseja editar

uma poltica.

"nome do grupo".
Voc deve desativar a herana para este grupo. Se voc no desmarcar herana,
no poder editar uma poltica.
Em Polticas e configuraes especficas do local, role a barra de rolagem

para encontrar o nome do local cuja poltica deseja editar.
Localize a poltica especfica para o local que deseja editar.
direita da poltica selecionada, clique em Tarefas e clique em Editar poltica.
Realize uma destas tarefas:
Para editar uma poltica no compartilhada, v para a etapa 8.
Para editar uma poltica compartilhada, na caixa de dilogo Editar poltica,

clique em Editar compartilhadas para editar a poltica em todos os locais.
Voc pode clicar em um link para obter o tipo de poltica que deseja editar.

Voc pode copiar e colar uma poltica na pgina Polticas. Por exemplo, convm
editar um pouco as configuraes de poltica para serem aplicadas a outro grupo.


na pgina 310.
Para copiar uma poltica na pgina Polticas
Na pgina Polticas, em Polticas, clique no tipo de poltica que deseja copiar.

copiar.
Na pgina Polticas, em Tarefas, clique em Copiar a poltica.
Na caixa de dilogo Copiar poltica, selecione No mostrar esta mensagem

novamente se voc no quiser mais ser notificado sobre este processo. A
mensagem informa que a poltica foi copiada para a rea de transferncia e
est pronta para ser colada.
Clique em OK.
Para colar uma poltica na pgina Polticas
Na pgina Polticas, em Polticas, clique no tipo de poltica que deseja colar.
No painel PolticasTipo de poltica, clique especificamente na poltica que

deseja colar.
Na pgina Polticas, em Tarefas, clique em Colar uma poltica.

Voc pode copiar e colar uma poltica em vez de ter que adicionar uma poltica
nova. Voc pode copiar uma poltica compartilhada ou no compartilhada na
pgina Clientes.
na pgina 310.
Para copiar uma poltica na pgina Clientes
Na pgina Clientes, em Clientes, selecione o grupo para o qual deseja copiar

uma poltica.
Na guia Polticas, em Polticas e configuraes especficas do local, procure

o nome do local de onde voc quer copiar uma poltica.
Localize a poltica especfica do local que deseja copiar.
319
320

Para bloquear e desbloquear configuraes de poltica do vrus e de spyware
direita da poltica, clique em Tarefas e clique em Copiar.
Clique em OK.
Para colar uma poltica na pgina Clientes
Na pgina Clientes, em Clientes, selecione o grupo no qual deseja colar uma

poltica.

" nome do grupo".
no poder colar uma poltica.

para encontrar o nome do local cuja poltica deseja colar.
Localize a poltica especfica para o local que deseja colar.
direita da poltica, clique em Tarefas e clique em Colar.
Quando for solicitado a sobrescrever a poltica atual, clique em Sim.
Para bloquear e desbloquear configuraes de poltica

do vrus e de spyware
Voc pode bloquear e desbloquear algumas configuraes da poltica de proteo
contra vrus e spyware. Os usurios finais no podem alterar configuraes
bloqueadas. Um cone de cadeado exibido ao lado de uma configurao que pode
ser bloqueada.
Consulte Sobre o acesso interface do cliente na pgina 254.
na pgina 310.
Para bloquear e desbloquear uma configurao de poltica
No console, abra uma poltica de proteo contra vrus e spyware.
Selecione uma das pginas, como Auto-Protect.
Clique no cone de cadeado para bloquear ou desbloquear a configurao

correspondente.
Clique em OK.

Voc pode tambm bloquear e desbloquear configuraes da proteo contra

adulteraes, configuraes de envios e configuraes da preveno contra
intruses.
Consulte Para alterar as configuraes da Proteo contra adulteraes
na pgina 450.
Consulte Ativao ou desativao de envios de clientes para o Symantec Security
Response na pgina 387.

Atribua uma poltica a um computador-cliente atravs de um grupo. Cada grupo
sempre ter exatamente uma poltica de cada tipo de proteo que lhe atribudo.
Se voc tiver clientes Windows e Mac, ser possvel coloc-los em grupos separados
ou gerenci-los no mesmo grupo. Se voc coloc-los no mesmo grupo e aplicar
uma poltica, cada tipo de cliente aplicar as configuraes de poltica apropriadas.
Os computadores Windows ignoram as configuraes que se aplicam apenas a
computadores Mac e os computadores Mac ignoram as configuraes que se
aplicam apenas a computadores Windows.
As polticas no atribudas no so transferidas por download aos
computadores-cliente nos grupos e nos locais. Se voc no atribuir a poltica ao
adicion-la, poder atribuir a poltica aos grupos e aos locais mais tarde. Voc
tambm pode atribuir novamente uma poltica a um grupo ou local diferente.
Polticas so atribudas aos grupos de computadores da seguinte forma:
Na instalao inicial, as polticas de segurana padro da Symantec so

atribudas ao grupo pai Minha empresa.
As polticas de segurana no grupo pai de Minha empresa so atribudas

automaticamente a cada grupo filho recm-criado.
Substitua uma poltica em um grupo atribuindo outra poltica do mesmo tipo.

Voc pode substituir uma poltica atribuda ao grupo pai de Minha empresa
ou a qualquer grupo filho.
Os novos grupos sempre herdam caractersticas do grupo pai imediato. Se voc

criar uma hierarquia de subgrupos, cada um herda caractersticas de seu pai
imediato, em vez do pai de nvel superior.
A interface do usurio na caixa de dilogo Atribuir poltica transmite as seguintes
informaes adicionais:
Um cone da pasta indica um grupo.
321
322

Um cone redondo indica um local.
Em um cone do grupo, uma marca de seleo em um crculo verde indica que

esta poltica est atribuda a todos os locais no grupo.
Em um cone de local, uma marca de seleo em um crculo verde indica que

esta poltica foi atribuda a este local.
O texto esmaecido significa que o grupo ou o local herdam a poltica do grupo

pai.

na pgina 310.
Para atribuir uma poltica a um grupo
Na pgina Polticas, selecione uma poltica e clique em Atribuir a poltica.
Na caixa de dilogo Atribuir poltica, selecione os grupos e clique em Atribuir.
Clique em OK para confirmar.

A Symantec recomenda testar uma poltica antes de us-la em um ambiente de
produo.
na pgina 310.
Crie um grupo para usar para o teste da poltica.

Atribua a poltica do teste ao grupo de teste.


Identifique trs ou quatro computadores gerenciados para usar para o teste

da poltica.
Caso necessrio, instale o software-cliente nos computadores. Instale os
computadores como computadores gerenciados.
Mova os computadores de teste ao grupo de teste.

Verifique se os computadores de teste tm a poltica mais recente.

Consulte Como os computadores-cliente obtm atualizaes da poltica
na pgina 328.
Consulte Para usar o nmero de srie da poltica para verificar a comunicao
cliente-servidor na pgina 331.
Execute os computadores de teste para verificar se eles esto operando

corretamente.

Talvez voc queira substituir uma poltica compartilhada por outra. possvel
substituir a poltica compartilhada em todos os locais ou para locais individuais.
Quando voc substituir uma poltica para todos os locais, o servidor de
gerenciamento substituir somente a poltica para os locais que a tiverem. Por
exemplo, suponha que o grupo Vendas use a poltica de vendas para trs de seus
quatro locais. Se voc substituir a poltica de vendas pela poltica de mercado,
simplesmente aqueles trs locais recebero a poltica de mercado.
Convm que um grupo de clientes use as mesmas configuraes,
independentemente do local. Neste caso, possvel substituir uma poltica no
compartilhada por uma poltica compartilhada. Voc substitui uma poltica no
compartilhada por uma poltica compartilhada para cada local individualmente.
na pgina 310.
Para substituir uma poltica compartilhada para todos os locais
Na pgina Polticas, em Polticas, clique no tipo de poltica que deseja

substituir.
No painel Polticas tipo de poltica, clique na poltica.
323
324

Na pgina Polticas, em Tarefas, clique em Substituir poltica.
Na caixa de dilogo Substituir poltica tipo da poltica, na caixa de lista Nova

poltica tipo da poltica, selecione a poltica compartilhada que substituir
a antiga.
Selecione os grupos e os locais onde voc quer substituir a poltica existente.
Clique em Substituir.
Quando solicitado a confirmar a substituio da poltica para os grupos e

locais, clique em Sim.
Para substituir uma poltica compartilhada ou uma poltica no compartilhada para

um local
Na pgina Clientes, em Clientes, selecione o grupo para o qual deseja

substituir uma poltica.

"nome do grupo".
Voc deve desativar a herana para este grupo. Se a opo Herana no for
desmarcada, no ser possvel substituir a poltica.
Em Polticas e configuraes especficas do local, role para encontrar o local

que contm a poltica.
Ao lado da poltica que voc quer substituir, clique em Tarefas e em Substituir

poltica.
Na caixa de dilogo Substituir poltica, na caixa de listagem de Nova poltica,

selecione a poltica da substituio.
Clique em OK.

Voc pode exportar e importar polticas em vez de recri-las. Todas as
configuraes associadas poltica so exportadas automaticamente.
Talvez seja necessrio exportar uma poltica pelas seguintes razes:
Voc atualiza o servidor de gerenciamento de uma verso mais antiga para

uma mais nova. Voc quer atualizar o novo servidor de gerenciamento com as
polticas que voc personalizou previamente.
Voc quer exportar uma poltica para uso em um site diferente.
Voc pode exportar e importar polticas das seguintes maneiras:

Voc exporta e importa uma poltica de cada vez. Ao exportar um arquivo, voc
o importa e aplica a um grupo ou somente a um local. possvel exportar uma
poltica compartilhada ou no compartilhada para um local especfico na pgina
Clientes.
Voc exporta e importa todas as polticas usando o arquivo de propriedades

do servidor. O arquivo de propriedades do servidor inclui todas as polticas,
locais e configuraes do servidor. A Symantec recomenda este mtodo se voc
fizer o upgrade de uma verso legada do servidor de gerenciamento para a
verso atual do servidor de gerenciamento.

na pgina 310.
Para exportar uma nica poltica da pgina Polticas
Na pgina Polticas, em Polticas, clique no tipo de poltica que voc deseja

exportar.

exportar.
Na pgina Polticas, em Tarefas, clique em Exportar a poltica.
Na caixa de dilogo Exportar poltica, localize a pasta para onde deseja

exportar o arquivo de polticas e clique em Exportar.
Para exportar uma poltica compartilhada ou no compartilhada da pgina Clientes
Em Clientes, selecione o grupo para o qual voc quer exportar uma poltica.

"nome do grupo".
no poder exportar uma poltica.

para encontrar o nome do local cuja poltica deseja exportar.
Localize a poltica especfica para o local que deseja exportar.
direita da poltica, clique em Tarefas e clique em Exportar poltica.
Na caixa de dilogo Exportar poltica, procure a pasta para a qual deseja

exportar a poltica.
Na caixa de dilogo Exportar poltica, clique em Exportar.
325
326

Converso de uma poltica compartilhada em uma poltica no compartilhada
Para importar uma nica poltica
Na pgina Polticas, em Polticas, clique no tipo de poltica que deseja

importar.
No painel Polticas tipo de poltica, clique na poltica que deseja importar.
Na pgina Polticas, em Tarefas, clique em Importar uma poltica tipo de

poltica.
Na caixa de dilogo Importar poltica, procure o arquivo de polticas que

voc deseja importar e clique em Importar.
Converso de uma poltica compartilhada em uma

poltica no compartilhada
Voc pode copiar o contedo de uma poltica compartilhada e criar uma poltica
no compartilhada desse contedo. Uma cpia permite mudar o contedo de uma
poltica compartilhada em um local e no em todos os outros locais. A cpia
sobrescreve a poltica compartilhada existente.
Quando voc terminar a converso, a poltica convertida com seu novo nome
aparecer em Polticas e configuraes especficas do local.
Consulte Sobre polticas compartilhadas e no compartilhadas na pgina 316.
Consulte Para copiar e colar uma poltica na pgina Polticas na pgina 318.
Para converter uma poltica compartilhada em uma poltica no compartilhada
Na pgina Clientes, em Clientes, selecione o grupo ao qual deseja converter

uma poltica.
No painel associado ao grupo selecionado na etapa anterior, clique em

Polticas.
Na guia Polticas, desmarque o grupo Herdar polticas e configuraes do

grupo pai group_name.
Voc deve desativar a herana para este grupo. Se a opo Herana no for
desmarcada, no ser possvel substituir a poltica.
Em Polticas e configuraes especficas do local, role para encontrar o nome

do local e a poltica especfica que deseja converter.
Ao lado da poltica especfica, clique em Tarefas e, em seguida, clique em

Converter para poltica no compartilhada.

Na caixa de dilogo Viso geral, edite o nome e a descrio da poltica.
Modifique as outras configuraes de poltica como desejado.
Clique em OK.

na pgina 310.

Voc pode desejar retirar uma poltica de um grupo ou local sob certas
circunstncias.
Por exemplo, um grupo especfico pode ter enfrentado problemas depois de voc
ter introduzido uma nova poltica. Se desejar que a poltica permanea no banco
de dados, ser possvel retirar a poltica em vez de exclu-la. Se remover uma
poltica, ela ser automaticamente retirada dos grupos e locais aos quais voc a
atribuiu. O nmero de locais para os quais uma poltica usada aparece no painel
Polticas tipo da poltica na pgina Polticas.
Nota: Voc deve retirar ou substituir uma poltica de todos os grupos e locais antes
que possa exclu-la.
Voc pode retirar todas as polticas na pgina Polticas de um local ou grupo com
exceo das seguintes polticas:
Configuraes do LiveUpdate
Voc pode apenas substitu-las por outra Poltica de proteo contra vrus e
spyware ou Poltica do LiveUpdate.
Consulte Substituio de uma poltica na pgina 323.
Para retirar uma poltica compartilhada na pgina Polticas
Na pgina Polticas, em Polticas, clique no tipo de poltica que deseja retirar.
No painel Polticas tipo de poltica, clique na poltica especfica que voc

deseja retirar.
Na pgina Polticas, em Tarefas, clique em Retirar a poltica.
327
328

Como os computadores-cliente obtm atualizaes da poltica
Na caixa de dilogo Retirar a poltica, marque os grupos e locais dos quais

deseja retirar a poltica.
Clique em Retirar.
Quando solicitado a confirmar a retirada da poltica dos grupos e locais, clique

em Sim.
Para retirar uma poltica compartilhada ou no compartilhada na pgina Clientes
Na pgina Clientes, em Clientes, selecione o grupo do qual deseja retirar uma

poltica.

"nome do grupo".
Voc deve desativar a herana para este grupo. Se voc no desmarcar a
herana, no ser possvel retirar uma poltica.

para encontrar o nome do local do qual voc quer retirar uma poltica.
Localize a poltica para o local que voc deseja retirar.
Clique em Tarefas e em Retirar poltica.
Na caixa de dilogo Retirar poltica, clique em Sim.

na pgina 310.
Como os computadores-cliente obtm atualizaes

da poltica
Quando voc configurar polticas no servidor de gerenciamento, ser preciso fazer
o download das polticas atualizadas no cliente. No console, possvel configurar
os computadores-cliente para que usem um dos seguintes mtodos de atualizao:
Modo pull
O computador-cliente se conecta ao servidor de gerenciamento

periodicamente, dependendo da frequncia da configurao da
pulsao. O computador-cliente verificar o status do servidor de
gerenciamento quando o cliente se conectar.
Modo de envio
O computador-cliente estabelece uma conexo HTTP contnua com o

servidor de gerenciamento. Sempre que ocorrer uma alterao no
status do servidor de gerenciamento, o computador-cliente ser
notificado imediatamente.

Configurao do modo de envio ou de instalao pull para atualizar polticas e contedo do cliente
Em ambos os modos, o computador-cliente executar a ao correspondente com

base na alterao feita no status do servidor de gerenciamento. Como necessria
uma conexo contnua, o modo de envio exige uma grande largura de banda de
rede. Os computadores-cliente configurados para usar o modo de instalao pull
exigem menos largura de banda.
O protocolo de pulsao define a frequncia com que os computadores-cliente
fazem upload dos dados como entradas de log e polticas de download. A primeira
pulsao ocorre imediatamente depois que o cliente iniciado. A prxima pulsao
ocorre na frequncia de pulsao que voc definiu.
A frequncia de pulsao um fator chave no nmero de clientes que cada
Symantec Endpoint Protection Manager pode suportar. Se voc definir uma
frequncia de pulsao em 30 minutos ou menos, isso limitar o nmero total de
clientes que o Symantec Endpoint Protection Manager pode suportar. Para
implementaes de 1.000 clientes ou mais, a Symantec recomenda que voc defina
a frequncia de pulsao no perodo mximo de tempo possvel. A Symantec
recomenda que voc use o intervalo mais longo que atenda aos requisitos de
segurana de sua empresa. Por exemplo, se voc quiser atualizar as polticas de
segurana e coletar os logs diariamente, defina a frequncia de pulsao como 24
horas. Consulte os servios profissionais ou o suporte corporativo da Symantec
para avaliar a configurao, os componentes de hardware e a arquitetura de rede
apropriados, necessrios para seu ambiente de rede.
Nota: Voc tambm pode atualizar as polticas manualmente no
computador-cliente.
Configurao do modo de envio ou de instalao pull

para atualizar polticas e contedo do cliente
Voc pode especificar se o Symantec Endpoint Protection Manager impor a
poltica aos clientes ou se os clientes extrairo a poltica do Symantec Endpoint
Protection Manager. A configurao padro o modo de envio. Se voc selecionar
o modo pull, por padro, os clientes se conectaro ao servidor de gerenciamento
a cada 5 minutos, mas voc pode mudar este intervalo de pulsao padro.
329
330

Configurao do modo de envio ou de instalao pull para atualizar polticas e contedo do cliente

na pgina 328.
na pgina 310.
Voc pode definir o modo para um grupo ou para um local.
Nota: Se voc instalar o Symantec Endpoint Protection Manager em um servidor
Windows XP, note que o Windows XP suportar um nmero limitado de usurios
simultneos se os clientes estiverem no modo de envio. uma melhor prtica usar
o modo de instalao pull quando voc implementar polticas a at 100 clientes.
Para configurar o modo de envio ou de instalao pull para um grupo
Em Clientes, selecione o grupo para o qual voc deseja especificar para enviar
ou receber polticas.
Clique em Polticas.
Desmarque o "nome de grupo" Herdar polticas e configurao do grupo

pai.
No painel Polticas e configuraes independentes do local, em

Configuraes, clique em Configuraes de comunicaes.
Na caixa de dilogo Configuraes de comunicaes para nome do grupo,

em Download, verifique se Fazer o download de polticas e de contedo do
servidor de gerenciamento est marcado.
Clique em Modo de envio.
Clique em Modo de instalao pull e, em Intervalo de pulsao, defina o

nmero de minutos ou horas.
Clique em OK.
Para especificar o Modo de envio ou o Modo de instalao pull para um local
Em Clientes, selecione o grupo para o qual voc deseja especificar para enviar
ou receber polticas.
Clique em Polticas.
Desmarque o "nome de grupo" Herdar polticas e configurao do grupo

pai.

Para usar o nmero de srie da poltica para verificar a comunicao cliente-servidor
Em Polticas e configuraes especficas do local, em Polticas especficas

de local do local que voc quer modificar, expanda Configuraes especficas
de local.
Em Configuraes especificas de local, direita de Configuraes de

comunicao, clique em Tarefas e desmarque Usar as configuraes de
comunicaes do grupo.
direita de Configuraes de comunicaes, clique em Local - Push ou (

Local - Pull ).
Clique em Modo de envio.
Clique em Modo de instalao pull e, em Intervalo de pulsao, defina o

nmero de minutos ou horas.
Clique em OK.

na pgina 310.
Para usar o nmero de srie da poltica para verificar

a comunicao cliente-servidor
Para confirmar se o servidor e o cliente se comunicam, verifique o nmero de srie
da poltica no console e no cliente. Se o cliente se comunica com o servidor de
gerenciamento e recebe atualizaes regulares da poltica, os nmeros de srie
devem ser correspondentes.
Se os nmeros de srie da poltica no forem correspondentes, voc pode tentar
atualizar manualmente as polticas no computador-cliente e verificar os logs da
soluo de problemas.
na pgina 328.
331
332

Para exibir o nmero de srie da poltica no console
Em Clientes, selecione o grupo relevante.

O nmero de srie e a data da poltica aparecem no canto direito superior da
janela do programa.
Nota: O nmero de srie da poltica e a data da poltica tambm aparecem na
parte inferior da lista de detalhes na guia Detalhes.
Para exibir o nmero de srie da poltica no computador-cliente
No computador-cliente, no cliente, clique em Ajuda > Soluo de problemas.

Na guia Gerenciamento, consulte o nmero de srie da poltica.
O nmero de srie deve corresponder ao nmero de srie no console para o
grupo em que o computador-cliente est.

na pgina 310.

Voc poder atualizar manualmente as polticas no computador-cliente se acreditar
que no tem a poltica mais recente no cliente. Se o cliente no receber a
atualizao, poder haver um problema de comunicao.
Verifique o nmero de srie da poltica para verificar se seus computadores-cliente
gerenciados podem se comunicar com o servidor de gerenciamento.
Para atualizar manualmente polticas atravs do computador-cliente
No computador-cliente, na interface de usurio do cliente, clique em Ajuda

> Soluo de problemas.
Na caixa de dilogo Soluo de problemas, na coluna esquerda, clique em

Gerenciamento.
No painel Gerenciamento, em Perfil da poltica, clique em Atualizar.

Para atualizar polticas no console manualmente
Em Clientes, clique com o boto direito do mouse em um grupo que esteja

configurado para o modo de instalao pull e, em seguida, clique em Executar
comando no grupo.
Os computadores-cliente que esto configurados para o Modo de envio
recebem atualizaes da poltica imediatamente; assim, no preciso
atualiz-los manualmente.
Clique em Atualizar contedo.
Verifique os nmeros de srie da poltica no console e em um

computador-cliente para ver se os nmeros correspondem.

na pgina 310.
Para monitorar os aplicativos e servios executados

em computadores-cliente
O cliente do Windows Symantec Endpoint Protection monitora e coleta informaes
sobre os aplicativos e servios executados em cada computador. Voc pode
configurar o cliente para coletar as informaes em uma lista e enviar a lista para
o servidor de gerenciamento. A lista de aplicativos e de suas caractersticas
chamada de aplicativos conhecidos.
Voc pode usar essas informaes para descobrir quais aplicativos seus usurios
esto executando. Voc tambm poder us-las quando quiser informaes sobre
aplicativos nas seguintes reas:
Polticas de firewall
Polticas de controle de dispositivos e aplicativos
Tecnologia do SONAR
Para clientes legados, as verificaes proativas de ameaas TruScan
polticas de integridade do host
Monitoramento de aplicativo de rede
Listas de impresso digital de arquivos
333
334

Nota: O cliente Mac no monitora os aplicativos e os servios executados em

computadores Mac.
O cliente do Symantec Network Access Control no grava informaes sobre os
aplicativos que os clientes do Symantec Network Access Control executam. O
recurso de aplicativos conhecidos no est disponvel no console se voc instalar
somente o Symantec Network Access Control. Se voc integrar o Symantec Network
Access Control com o Symantec Endpoint Protection, poder usar a ferramenta
de aplicativos reconhecidos com as polticas de integridade do host. necessrio
instalar o mdulo de proteo contra ameaas rede e o mdulo de controle de
dispositivos e aplicativos no cliente para que esse recurso funcione.
Voc pode executar diversas tarefas para configurar e usar aplicativos
reconhecidos.
Tabela 15-3
Etapas para monitorar os aplicativos
Etapas
Descrio
Ativar aplicativos
reconhecidos
Configure o servidor de gerenciamento para recolher

informaes sobre os aplicativos executados pelos
Consulte Configurao do servidor de gerenciamento para
recolher informaes sobre os aplicativos executados pelos
Como procurar
aplicativos
Voc pode usar uma ferramenta de consulta para pesquisar a

lista de aplicativos executados pelos computadores-cliente. Voc
pode pesquisar critrios com base no aplicativo ou no
computador. Por exemplo, voc pode descobrir a verso do
Internet Explorer que cada computador-cliente usa.
Consulte Pesquisa das informaes sobre os aplicativos
executados pelos computadores na pgina 336.
Voc pode salvar os resultados de pesquisa de um aplicativo
para reviso.
Nota: Em alguns pases, pode no ser permitido pelas leis locais usar a ferramenta
de aplicativos conhecidos em determinadas circunstncias, como para obter
informaes de uso do aplicativo atravs de um laptop quando o funcionrio se
registrar na rede do seu escritrio em sua residncia usando um laptop. Antes de
usar essa ferramenta, confirme se o uso permitido para os seus fins na sua
jurisdio. Se no for permitido, siga as instrues para desativar a ferramenta.

Configurao do servidor de gerenciamento para recolher informaes

sobre os aplicativos executados pelos computadores-cliente
Voc pode ativar aplicativos reconhecidos para um grupo ou local. Os clientes
controlam todos os aplicativos executados e enviam esses dados ao servidor de
gerenciamento.
computadores Mac.
Voc tambm pode configurar uma notificao para ser enviada a seu endereo
de e-mail quando cada cliente em um grupo ou local executar um aplicativo.
Nota: possvel modificar essa configurao somente para os subgrupos que no
herdaram as polticas e configuraes de um grupo pai.
Para enviar a lista de aplicativos reconhecidos ao servidor de gerenciamento para
um grupo
Em Exibir clientes, selecione um grupo.
Na guia Polticas, clique em Configuraes de comunicao.
Na caixa de dilogo Configuraes de comunicaes de nome do grupo,

certifique-se de que Reconhecer aplicativos executados nos
computadores-cliente esteja selecionado.
Clique em OK.
Para enviar aplicativos reconhecidos ao servidor de gerenciamento para um local
Em Exibir clientes, selecione um grupo.
Em Polticas e configuraes especficas do local, selecione o local e expanda

Configuraes especficas de local.
direita de Configuraes de comunicaes, clique em Tarefas e, ento,

desmarque Usar as configuraes de comunicaes do grupo.
A seleo dessa configurao permite criar uma configurao do local em vez
de uma configurao do grupo.
Clique em Tarefas e, em seguida, em Editar configuraes.
335
336

Na caixa de dilogo Configuraes de comunicaes de nome do local,

selecione Reconhecer aplicativos executados nos computadores-cliente.
Clique em OK.
Consulte Para monitorar os aplicativos e servios executados em

na pgina 310.
Pesquisa das informaes sobre os aplicativos

executados pelos computadores
Depois que o servidor de gerenciamento receber a lista de aplicativos dos clientes,
ser possvel executar consultas para saber detalhes sobre os aplicativos. Por
exemplo, voc pode encontrar todos os computadores-cliente que usam um
aplicativo no autorizado. Em seguida, voc pode criar uma regra de firewall para
bloquear o aplicativo no computador-cliente. Ou voc pode fazer o upgrade de
todos os computadores-cliente para usar a verso mais recente do Microsoft Word.
Voc pode usar a tarefa Procurar aplicativos de qualquer tipo de poltica.
computadores Mac.
possvel procurar um aplicativo das seguintes maneiras:
Por aplicativo.
Voc pode limitar a pesquisa para aplicativos especficos ou detalhes do
aplicativo como nome, impresso digital do arquivo, caminho, tamanho, verso
ou ltima hora modificada.
Por cliente ou computador-cliente.

Voc pode procurar aplicativos que um usurio especfico ou um
computador-cliente especfico executa. Por exemplo, voc pode procurar no
endereo IP do computador.
Voc pode tambm procurar nomes de aplicativos para adicionar a uma regra de
firewall, diretamente na poltica de firewall.
Consulte Definio de informaes sobre aplicativos na pgina 475.

Nota: As informaes na caixa Pesquisar no so recolhidas at que voc ative os

recursos que controlam todos os aplicativos executados pelos clientes. Voc pode
acessar a pgina Clientes, na caixa de dilogo Configuraes de comunicao,
para cada grupo ou local para ativar este recurso.
Para pesquisar as informaes sobre os aplicativos executados pelos computadores
Na pgina Polticas, em Tarefas, clique em Procurar aplicativos.
Na caixa de dilogo Procurar aplicativos, direita do campo Procurar

aplicativos em, clique em Procurar.
Na caixa de dilogo Selecionar grupo ou local, selecione um grupo de clientes

dos quais voc deseja exibir os aplicativos e, em seguida, clique em OK.
Voc s pode especificar um grupo de cada vez.
Verifique se a opo Pesquisar subgrupos est selecionada.
Para procurar informaes por usurio ou computador, clique em Com

base em informaes do cliente/computador.
Para procurar por aplicativo, clique em Com base em aplicativos.
Clique na clula vazia em Campo de pesquisa e selecione o critrio de busca

na lista.
A clula de Campo de pesquisa exibe os critrios para a opo que voc
selecionou. Para obter detalhes sobre esses critrios, clique em Ajuda.
Clique na clula vazia em Operador de comparao e depois selecione um dos

operadores.
Clique na clula vazia em Valor e selecione ou digite um valor.

A clula Valor pode fornecer um formato ou um valor na lista suspensa,
dependendo do critrio selecionado na clula Campo de pesquisa.
10 Para acrescentar critrios adicionais de pesquisa, clique na segunda linha e,

em seguida, insira as informaes nas clulas Campo de pesquisa, Operador
de comparao e Valor.
Se voc inserir mais de uma linha de critrio de pesquisa, a consulta tentar
corresponder todas as condies.
11 Clique em Pesquisar.
12 Na tabela Resultados da consulta, execute uma das seguintes tarefas:
337
338

Clique nas setas de rolagem para exibir linhas e colunas adicionais.
Clique em Voltar e Avanar para visualizar as telas adicionais de

informao.
Selecione uma linha e, em seguida, clique em Exibir detalhes para

visualizar as informaes adicionais sobre o aplicativo.
Os resultados no so salvos a menos que voc os exporte para um arquivo.
13 Para remover os resultados da consulta, clique em Limpar tudo.

na pgina 310.
Captulo
16
Para gerenciar a proteo

contra vrus e spyware
Para impedir e controlar ataques de vrus e spyware nos computadores-cliente
Correo de riscos nos computadores de sua rede
Para gerenciar verificaes em computadores-cliente
Para configurar verificaes agendadas executadas em computadores Windows
Para configurar as verificaes agendadas executadas em computadores Mac
Execuo de verificaes sob demanda nos computadores-cliente
Para ajustar as verificaes para melhorar o desempenho do computador
Para ajustar verificaes para aumentar a proteo em seus

Para gerenciar deteces do Download Insight
Como o Symantec Endpoint Protection usa os dados de reputao para tomar

decises sobre arquivos
Como os recursos da poltica do Symantec Endpoint Protection funcionam em

conjunto
Sobre o envio de informaes sobre deteces para o Symantec Security

Response
Sobre a regulagem de envios
Ativao ou desativao de envios de clientes para o Symantec Security

Response
340
Para gerenciar a proteo contra vrus e spyware

Para especificar um servidor proxy para envios do cliente e outras

comunicaes externas
Para gerenciar a quarentena
Para gerenciar as notificaes de vrus e spyware que aparecem nos

Sobre as notificaes pop-up que aparecem nos clientes que executam o

Windows 8
Para ativar ou desativar as notificaes pop-up do Symantec Endpoint

Protection em clientes do Windows 8
Para gerenciar deteces do incio antecipado do antimalware (ELAM, Early

launch anti-malware)
Como ajustar as opes do incio antecipado do antimalware (ELAM, Early

launch anti-malware) do Symantec Endpoint Protection
Para impedir e controlar ataques de vrus e spyware

nos computadores-cliente
Voc pode impedir e controlar ataques de vrus e spyware em computadores-cliente
seguindo algumas diretrizes importantes.
Tabela 16-1
Para proteger computadores contra ataques de vrus e spyware
Tarefa
Descrio
Certificar-se de que seus

computadores tenham o
instalado
Todos os computadores em sua rede e todos os seus servidores devem ter o

Symantec Endpoint Protection instalado. Certifique-se de que o Symantec
Endpoint Protection esteja funcionando corretamente.
Manter as definies atuais
Certifique-se de que as definies mais recentes estejam instaladas nos

Voc pode verificar a data das definies na guia Clientes. Voc pode executar
um comando para atualizar as definies desatualizadas.
Voc tambm pode executar um relatrio de status do computador para verificar
a data das definies mais recentes.

Tarefa
Descrio
Executar verificaes regulares
Por padro, o Auto-Protect e o SONAR so executados nos computadores-cliente.

Uma verificao ativa padro agendada tambm executada em
Voc pode executar verificaes sob demanda. Voc pode personalizar as
configuraes da verificao.
Consulte Execuo de verificaes sob demanda nos computadores-cliente
na pgina 370.
Convm criar e personalizar verificaes agendadas.
Normalmente, convm criar uma verificao agendada completa para ser
executada uma ver por semana e uma verificao ativa para ser executada uma
vez por dia. Por padro, o Symantec Endpoint Protection gera uma verificao
ativa executada s 12:30. Nos computadores no gerenciados, o Symantec
Endpoint Protection inclui tambm uma verificao na inicializao padro que
est desativada.
Voc deve certificar-se de que esteja executando uma verificao ativa diariamente
nos computadores em sua rede. Recomenda-se agendar uma verificao completa
semanal ou mensal se voc suspeitar que tenha uma ameaa inativa em sua rede.
As verificaes completas consomem mais recursos do computador e podem
afetar seu desempenho.
Consulte Para configurar as verificaes agendadas executadas em computadores
Mac na pgina 369.
Verificar ou modificar
Por padro, as verificaes de vrus e spyware detectam, removem e reparam os
configuraes para oferecer mais efeitos colaterais de vrus e riscos segurana.
proteo
As configuraes padro da verificao otimizam o desempenho dos
computadores-cliente fornecendo um alto nvel de proteo. Voc pode aumentar
o nvel de proteo, porm.
Por exemplo, convm aumentar a proteo heurstica do Bloodhound.
Recomenda-se tambm ativar as verificaes das unidades de rede.
Consulte Para ajustar verificaes para aumentar a proteo em seus
Permitir que os clientes enviem
informaes sobre as deteces
Symantec
Os clientes podem enviar informaes sobre as deteces Symantec. As

informaes enviadas ajudam a Symantec a lidar com as ameaas.
341
342

Tarefa
Descrio
Executar a preveno contra

intruses
A Symantec recomenda que voc execute a preveno contra intruses em seus

computadores-cliente assim como a proteo contra vrus e spyware.
Consulte Para gerenciar a preveno contra intruses em seu
Corrigir infeces, caso

necessrio
Depois que as verificaes so executadas, os computadores-cliente podem ainda

ter infeces. Por exemplo, uma nova ameaa pode no ter uma assinatura, ou o
Symantec Endpoint Protection no foi capaz de remover completamente a ameaa.
Em alguns casos os computadores-cliente exigem uma reinicializao para que
o Symantec Endpoint Protection conclua o processo de limpeza.

Voc corrige riscos como parte do controle de ataques de vrus e spyware em seus
computadores.
Voc usa os recursos de Recursos e Monitores no console para determinar quais
computadores esto infectados e para exibir os resultados da correo.
Tabela 16-2
Correo de riscos em computadores-cliente
Etapa Tarefa
Descrio
Etapa
1
Voc pode obter informaes sobre computadores infectados e em risco atravs

do Symantec Endpoint Protection Manager. Na home page, verifique os totais de
Infectado recentemente e Ainda infectado em Resumo de atividades de vrus e
riscos. O total de Infectado(s) recentemente um subconjunto do total de Ainda
infectado(s). O total de Infectado(s) recentemente mostra o nmero de
computadores infectados e em risco durante o intervalo de tempo especificado no
resumo.
Identificar
computadores
infectados e em risco
Nota: As deteces no corrigidas do SONAR no so includas no total de Ainda

infectado. Elas fazem parte do total de Suspeito no resumo.
Os computadores sero considerados ainda infectados se uma verificao
subsequente detectar que esto infectados. Por exemplo, uma verificao agendada
pode parcialmente limpar um arquivo. Logo depois, o Auto-Protect detecta o
arquivo como um risco.
Os arquivos considerados ainda infectados sero verificados novamente quando
novas definies chegarem ou assim que o computador-cliente estiver ocioso.
Consulte Para identificar computadores infectados e em risco na pgina 344.

Etapa Tarefa
Descrio
Etapa
2
Voc deve certificar-se de que os clientes usam as definies mais recentes.
Atualizar definies e
verificar novamente
Para os clientes executados em computadores Windows, necessrio tambm

certificar-se de que suas verificaes agendadas e sob demanda usem o recurso
Pesquisa do Insight.
Voc pode verificar a data das definies no relatrio Computadores infectados e
vulnerveis. Voc pode executar o comando Atualizar contedo e verificar no log
de riscos.
Quando o Resumo de atividades de vrus e riscos na home page mostrar o total de
Ainda infectado(s) e Infectado(s) recentemente como zero, todos os riscos sero
eliminados.
Etapa
3
Verificar aes da
verificao e verificar
novamente
As verificaes podem ser configuradas para no fazer nada com o risco. Convm
editar a Poltica de proteo contra vrus e spyware e alterar a ao para a categoria
do risco. Na prxima vez em que a verificao for executada, o Symantec Endpoint
Protection aplicar a ao nova.
Voc define a ao na guia Aes para o tipo especfico de verificao (verificao
definida pelo administrador ou sob demanda ou Auto-Protect). Voc tambm pode
mudar a ao de deteco do Download Insight e do SONAR.
Consulte Para verificar a ao de verificao e para verificar novamente
computadores identificados na pgina 345.
Etapa
4
Reiniciar computadores Alguns computadores podem ainda estar vulnerveis ou infectados porque precisam
caso necessrio para
ser reiniciados para concluir a correo de um vrus ou risco segurana.
concluir a correo
Voc pode exibir o Log de riscos para determinar se algum computador exige a
reinicializao.
Voc pode executar um comando dos logs para reiniciar os computadores.
na pgina 685.
343
344

Etapa Tarefa
Descrio
Etapa
5
Se algum risco permanecer, ser necessrio investig-lo mais.
Investigar e limpar
riscos restantes
Voc pode consultar as pginas da Web do Symantec Security Response para obter
informaes atualizadas sobre vrus e riscos segurana.
http://www.symantec.com/pt/br/security_response/
No computador-cliente, voc tambm pode acessar o site do Security Response na
caixa de dilogo dos resultados da verificao.
O suporte tcnico da Symantec oferece tambm uma ferramenta, Threat Expert,
que rapidamente fornece anlise detalhada das ameaas. Voc tambm pode
executar uma ferramenta de anlise de ponto de carregamento que pode ajud-lo
a solucionar problemas.
Etapa
6
Verificar o log de status Exiba o log de status do computador para verificar se os riscos so corrigidos ou
do computador
removidos dos computadores-cliente.
Para obter mais informaes sobre como controlar vrus e epidemias em uma rede,
consulte o artigo da base de conhecimento, Best practices for troubleshooting
viruses on a network (em ingls).
Para identificar computadores infectados e em risco

Voc pode usar a home page do Symantec Endpoint Protection Manager e um
relatrio de risco para identificar os computadores que esto infectados e
vulnerveis.

Para identificar computadores infectados
No console, clique em Incio e exiba o Resumo de atividades de vrus e riscos.

Se voc for um administrador do sistema, ver o total de nmero de
computadores com status Infectado recentemente e Ainda infectado(s) em
seu local. Se voc for um administrador de domnio, ver o total de nmero
de computadores com status Infectado recentemente e Ainda infectado(s) em
seu domnio.
O valor de Ainda infectado(s) um subconjunto de Infectado recentemente
e o total de Ainda infectado reduzido medida que voc elimina os riscos
de sua rede. Os computadores so considerados ainda infectados se uma
verificao subsequente os registrar como infectados. Por exemplo, o
Symantec Endpoint Protection pode ter limpado um risco apenas parcialmente
em um computador; ento, o Auto-Protect ainda detecta o risco.
No console, clique em Relatrios.
Na caixa de listagem Tipo de relatrio, clique em Risco.
Na caixa de listagem Selecione um relatrio, clique em Computadores

infectados e vulnerveis.
Clique em Criar relatrio e observe as listas de computadores infectados e

em risco que so exibidas.
Para verificar a ao de verificao e para verificar novamente

computadores identificados
Se voc tiver computadores infectados ou vulnerveis, ser necessrio identificar
por que eles ainda esto assim. Verifique a ao que foi realizada para cada risco
nos computadores infectados ou vulnerveis. Uma das possibilidades que a ao
configurada e realizada foi Ignorado. Se a ao foi Ignorado, voc deve limpar o
risco do computador, remover o computador da rede ou aceitar o risco. Para
clientes Windows, convm editar a Poltica de proteo contra vrus e spyware e
mudar a ao de verificao.
345
346

Para identificar as aes que precisam ser alteradas e verificar novamente os

computadores identificados
No console, clique em Monitores.
Na guia Logs, selecione o log de riscos e clique em Exibir log.

Na coluna de eventos do log de riscos, voc pode verificar o que aconteceu e
a ao que foi realizada. Na coluna Nome do risco, pode-se ver os nomes dos
riscos que ainda esto ativos. Na coluna Usurio do grupo de domnio, voc
pode verificar de qual grupo o computador membro.
Se um cliente estiver vulnervel porque uma verificao executou a ao
Ignorado, poder ser necessrio alterar a Poltica de proteo contra vrus e
spyware do grupo. Na coluna Computador, voc pode ver os nomes dos
computadores que ainda possuem riscos ativos.
Consulte Para mudar a ao do Symantec Endpoint Protection quando fizer
uma deteco na pgina 421.
Se sua poltica estiver configurada para usar o Modo de envio, ela ser enviada
para os clientes do grupo na prxima pulsao.
na pgina 328.
Clique em Voltar.
Na guia Logs, selecione o Log de status do computador e clique em Exibir log.
Se voc alterou uma ao e enviou uma nova poltica, selecione os

computadores que precisam ser verificados novamente com as novas
configuraes.
Na caixa de listagem Comando, selecione Verificar e clique em Iniciar para

verificar novamente os computadores.
Voc pode monitorar o status do comando Verificar atravs da guia Status
do comando.

Algumas verificaes so executadas por padro, mas convm alterar as
configuraes ou configurar suas prprias verificaes agendadas. Voc tambm
pode personalizar as verificaes e alterar o quanto de proteo elas fornecem
em seus computadores-cliente.

Tabela 16-3
Tarefa
Descrio
Examinar os tipos de verificaes Verifique suas configuraes de verificao. Voc pode verificar os padres e
e configuraes padro
determinar se deseja fazer alteraes.
Consulte Sobre os tipos de verificaes e proteo em tempo real na pgina 349.
Consulte Sobre as configuraes padro de verificao da Poltica de proteo
contra vrus e spyware na pgina 360.
Criar verificaes agendadas e
executar verificaes sob
demanda
As verificaes agendadas e verificaes sob demanda so utilizadas para

suplementar a proteo fornecida pelo Auto-Protect. O Auto-Protect oferece
proteo ao ler e gravar arquivos. As verificaes agendadas e verificaes sob
demanda podem verificar qualquer arquivo existente nos computadores-cliente.
Elas tambm podem proteger a memria, pontos de carga e outros locais
importantes nos computadores-cliente.
Nota: No caso de clientes gerenciados, o Symantec Endpoint Protection oferece

uma verificao agendada padro que verifica todos os arquivos, as pastas e os
locais em computadores-cliente.
Mac na pgina 369.
Consulte Execuo de verificaes sob demanda nos computadores-cliente
na pgina 370.
Personalizar configuraes da
verificao para seu ambiente
Voc pode personalizar as configuraes do Auto-Protect assim como as opes

em verificaes definidas pelo administrador. Convm alterar as configuraes
da verificao para controlar deteces de falsos positivos, otimizar o desempenho
da verificao ou do computador ou alterar aes ou notificaes da verificao.
Para verificaes agendadas, voc tambm pode definir opes para verificaes
perdidas, verificaes escolhidas aleatoriamente e se as unidades de rede devem
ser verificadas ou no.
Consulte Para personalizar as verificaes de vrus e spyware executadas em
computadores Windows na pgina 406.
computadores Mac na pgina 407.
347
348

Tarefa
Descrio
Ajustar verificaes que para

melhorar o desempenho do
computador-cliente
Por padro, o Symantec Endpoint Protection fornece um alto nvel de segurana

e minimiza o efeito no desempenho dos computadores-cliente. Voc pode alterar
algumas configuraes, porm, para otimizar ainda mais o desempenho do
computador. A otimizao importante em ambientes virtualizados.
Nota: Quando voc ajustar as configuraes para otimizar o desempenho do

computador-cliente, poder diminuir a segurana em seus computadores-cliente.
Consulte Para ajustar as verificaes para melhorar o desempenho do
Ajustar verificaes para
aumentar a proteo em seus
As configuraes padro da verificao otimizam o desempenho dos

computadores-cliente fornecendo um alto nvel de proteo. Voc pode aumentar
o nvel de proteo, porm.
Consulte Para ajustar verificaes para aumentar a proteo em seus
Gerenciar deteces do Download O Download Insight verifica arquivos que os usurios tentam obter por download
Insight
atravs de navegadores da Web, clientes de mensagem de texto e outros portais.
O Download Insight usa informaes de reputao do Symantec Insight para
tomar decises sobre arquivos.
Consulte Para gerenciar deteces do Download Insight na pgina 377.
Gerenciar o SONAR
O SONAR faz parte da proteo proativa contra ameaas em seus

computadores-cliente. No entanto, as configuraes do SONAR fazem parte de
uma poltica de proteo contra vrus e spyware.
Consulte Para gerenciar o SONAR na pgina 431.
Configurar excees para

verificaes
Voc pode criar excees para os arquivos e aplicativos que voc sabe que so
seguros.
O Symantec Endpoint Protection exclui tambm alguns arquivos e pastas
automaticamente.
Consulte Para gerenciar excees para o Symantec Endpoint Protection
na pgina 574.
Consulte Sobre os arquivos e pastas que o Symantec Endpoint Protection exclui
das verificaes de vrus e spyware na pgina 357.
Gerenciar arquivos em
quarentena
Voc pode monitorar e excluir os arquivos colocados em quarentena em seus

Voc tambm pode especificar as configuraes da quarentena.
Consulte Para gerenciar a quarentena na pgina 391.

Tarefa
Descrio

Symantec
Por padro, os clientes enviam informaes sobre as deteces Symantec. Voc

pode desativar os envios ou escolher quais tipos de informaes que os clientes
enviam.
A Symantec recomenda que voc sempre permita que os clientes realizem os
envios. As informaes ajudam a Symantec a lidar com as ameaas.
Gerenciar as notificaes de vrus Voc pode decidir se as notificaes aparecem nos computadores-cliente para
e spyware que aparecem nos
eventos de vrus e spyware.
Consulte Para gerenciar as notificaes de vrus e spyware que aparecem nos
Sobre os tipos de verificaes e proteo em tempo real

O Symantec Endpoint Protection inclui tipos diferentes de verificaes e a proteo
em tempo real para detectar diferentes tipos de vrus, ameaas e riscos.
Por padro, o Symantec Endpoint Protection executa uma verificao ativa todos
os dias s 12:30. O Symantec Endpoint Protection executar tambm uma
verificao ativa quando as novas definies chegarem no computador-cliente.
Nos computadores no gerenciados, o Symantec Endpoint Protection inclui tambm
uma verificao padro de inicializao desativada.
Nota: Quando um computador-cliente estiver desativado ou em modo de hibernao
ou suspenso, o computador poder perder uma verificao agendada. Quando o
computador for iniciado ou ativado, a verificao ser repetidas por padro em
um intervalo especificado. Se o intervalo j tiver expirado, o Symantec Endpoint
Protection no executar a verificao e aguardar at a prxima verificao
agendada. Voc pode modificar as configuraes de verificaes agendadas
perdidas.
Voc deve certificar-se de que esteja executando uma verificao ativa diariamente
nos computadores em sua rede. Recomenda-se agendar uma verificao completa
semanal ou mensal se voc suspeitar que tenha uma ameaa inativa em sua rede.
As verificaes completas consomem mais recursos do computador e podem afetar
seu desempenho.
349
350

Tabela 16-4
Tipos de verificao
Tipo de verificao
Descrio
Auto-Protect
O Auto-Protect inspeciona continuamente dados de arquivos e e-mails conforme so

gravados ou lidos de um computador. O Auto-Protect automaticamente neutraliza ou
elimina vrus e riscos segurana detectados.
Nota: Clientes Mac suportam o Auto-Protect apenas para o sistema de arquivos.

Consulte Sobre os tipos de Auto-Protect na pgina 352.
Download Insight
O Download Insight aumentar a segurana das verificaes do Auto-Protect

inspecionando arquivos quando os usurios tentarem fazer o download por navegadores
e outros portais. Ele usa as informaes de reputao do Symantec Insight para permitir
ou bloquear tentativas de download.
O Download Insight funciona como parte do Auto-Protect e exige que o Auto-Protect
esteja ativado.
Consulte Como o Symantec Endpoint Protection usa os dados de reputao para tomar
decises sobre arquivos na pgina 382.

Tipo de verificao
Descrio
Verificaes definidas
pelo administrador
As verificaes definidas pelo administrador detectam vrus e riscos segurana

examinando todos os arquivos e processos no computador-cliente. As verificaes definidas
pelo administrador podem tambm verificar a memria e os pontos de carregamento.
Os seguintes tipos de verificaes definidos pelo administrador esto disponveis:
Verificaes agendadas
Uma verificao agendada executada nos computadores-cliente em horrios
designados. Todas as verificaes agendadas simultaneamente so executadas em
sequncia. Se um computador estiver desativado ou no modo de hibernao ou de
suspenso durante uma verificao agendada, a verificao no ser executada a
menos que esteja configurada para repetir verificaes perdidas. Quando o computador
for inicializado ou ativado, o Symantec Endpoint Protection repetir a verificao at
que a verificao inicie ou o intervalo de nova tentativa expirar. possvel agendar
uma verificao ativa, completa ou personalizada.
Nota: Apenas as verificaes personalizadas esto disponveis para clientes Mac.

Voc pode salvar as configuraes da verificao agendada como um modelo. Voc
pode usar qualquer verificao salva como modelo como base para uma verificao
diferente. Os modelos de verificao podero economizar tempo quando voc
configurar vrias polticas. Um modelo de verificao agendada includo na poltica
por padro. A verificao agendada padro verifica todos os arquivos e diretrios.
Verificaes de inicializao e verificaes acionadas
As verificaes de inicializao sero executadas quando os usurios fizerem logon
nos computadores. As verificaes acionadas sero executadas quando for feito o
download de novas definies de vrus nos computadores.
Nota: As verificaes de inicializao e as verificaes acionadas esto disponveis

apenas para clientes Windows.
SONAR
Verificaes sob demanda

As verificaes sob demanda so as verificaes executadas imediatamente quando
voc seleciona o comando de verificao no Symantec Endpoint Protection Manager.
Voc pode selecionar o comando na guia Clientes ou atravs dos logs.
O SONAR oferece proteo em tempo real contra ataques de dia zero. O SONAR pode
interromper ataques mesmo antes que as definies tradicionais baseadas em assinaturas
detectem uma ameaa. O SONAR usa heurstica assim como os dados de reputao de um
arquivo para tomar decises sobre aplicativos ou arquivos.
Como verificaes proativas de ameaas, o SONAR detecta keyloggers, spyware e qualquer
outro aplicativo que possa ser malicioso ou potencialmente malicioso.
Nota: O SONAR suportado apenas em computadores Windows com o Symantec Endpoint

Protection verso 12.1 e superior.
351
352

Tipo de verificao
Descrio
Verificaes proativas
Suportado em computadores Windows que executam o Symantec Endpoint Protection
contra ameaas TruScan verso 11.x. O SONAR no suportado em nenhum computador que execute a verso
11.x.
As verificaes proativas contra ameaas TruScan fornecem proteo a clientes legados
contra ataques de dia zero. As verificaes proativas contra ameaas TruScan determinam
se um aplicativo ou processo apresenta caractersticas de ameaas conhecidas. Estas
verificaes detectam Cavalos de Troia, worms, keyloggers, adware e spyware e aplicativos
usados para finalidades maliciosas.
Diferentemente de SONAR, que executado em tempo real, as verificaes proativas
contra ameaas TruScan so executadas em uma frequncia definida.
Incio antecipado do
antimalware (ELAM,
Early launch
anti-malware)
Funciona com o driver do incio antecipado do antimalware do Windows. Suportado

somente no Windows 8.
O incio antecipado do antimalware fornece proteo para os computadores em sua rede
quando eles iniciam e antes que drivers de terceiros inicializem.
Consulte Para gerenciar deteces do incio antecipado do antimalware (ELAM, Early
launch anti-malware) na pgina 400.
Sobre os tipos de Auto-Protect

O Auto-Protect verifica arquivos, assim como determinados tipos de e-mail e de
anexos.
Por padro, so ativados todos os tipos de Auto-Protect. Se computadores-cliente
executarem outros produtos de segurana de e-mail, como o Symantec Mail
Security, possvel que voc no precise ativar o Auto-Protect para e-mail.
Os clientes Mac no suportam verificaes do Auto-Protect de e-mails.
Consulte Sobre os tipos de verificaes e proteo em tempo real na pgina 349.

Tabela 16-5
Tipos de Auto-Protect
Tipo de Auto-Protect
Descrio
Auto-Protect
Verifica continuamente os arquivos medida que eles so lidos ou gravados

no computador-cliente.
O Auto-Protect ativado por padro para o sistema de arquivos. Ele
carregado na inicializao do computador. Ele inspeciona todos os arquivos
em busca de vrus e riscos segurana e impede que os riscos segurana
sejam instalados. Opcionalmente, pode verificar arquivos pela extenso de
arquivo, verificar arquivos em computadores remotos e verificar disquetes
quanto a vrus de inicializao. Opcionalmente, pode fazer backup de
arquivos antes de tentar reparar os arquivos, cancelar processos e
interromper servios.
Voc pode configurar o Auto-Protect para que ele verifique somente as
extenses de arquivo selecionadas. Quando o Auto-Protect verificar as
extenses selecionadas, poder determinar um tipo de arquivo mesmo se
um vrus alterar sua extenso.
Para os clientes Mac ou Windows que no executam o Auto Protect para
e-mail, seus computadores-cliente ainda sero protegidos quando o
Auto-Protect for ativado. A maioria dos aplicativos de e-mail salva anexos
em uma pasta temporria quando os usurios iniciam anexos de e-mail. O
Auto-Protect verifica o arquivo enquanto ele gravado na pasta temporria
e detecta qualquer vrus ou risco segurana. O Auto-Protect tambm
detectar o vrus se o usurio tentar salvar um anexo infectado em uma
unidade local ou unidade da rede.
Auto-Protect para e-mail da Internet
Verifica e-mails (POP3 ou SMTP) e anexos da Internet em busca de vrus e

riscos segurana; executa tambm a verificao da heurstica de e-mails
de sada.
Por padro, o Auto-Protect para e-mail da Internet oferece suporte para
senhas criptografadas e e-mail em conexes POP3 e SMTP. Se voc usar
POP3 ou SMTP com SSL (Secure Sockets Layer), o cliente detectar conexes
seguras, mas no verificar mensagens criptografadas.
Nota: Por motivo de desempenho, no h suporte para o Auto-Protect para

e-mail da Internet para POP3 em sistemas operacionais de servidor. A
verificao de e-mails da Internet no suportada em computadores de 64
bits.
A verificao de e-mails no suporta e-mails com base em IMAP, AOL ou
HTTP, como Hotmail ou Yahoo! Mail.
353
354

Tipo de Auto-Protect
Descrio
Auto-Protect do Microsoft Outlook
Verifica e-mail (MAPI e Internet) e anexos do Microsoft Outlook em busca

de vrus e riscos segurana.
Suportado para Microsoft Outlook 98/2000/2002/2003/2007/2010 (MAPI
e Internet).
Se o Microsoft Outlook j estiver instalado no computador quando voc
realizar uma instalao de software-cliente, o software-cliente detectar
o aplicativo de e-mail. O cliente instala automaticamente o Auto-Protect
do Microsoft Outlook.
Se voc usar o Microsoft Outlook sobre MAPI ou o Microsoft Exchange
Client e tiver o Auto-Protect ativado para e-mail, os anexos sero verificados
quando o usurio abrir o anexo. Se um usurio fizer o download de um
anexo grande atravs de uma conexo lenta, o desempenho do e-mail poder
ser afetado. Recomenda-se desativar este recurso para os usurios que
recebem anexos grandes regularmente.
Nota: Em um servidor do Microsoft Exchange, o Auto-Protect do Microsoft

Outlook no dever ser instalado. Em vez disso, voc deve instalar o
Symantec Mail Security for Microsoft Exchange.
Auto-Protect do Lotus Notes
Verifica e-mail e anexos do Lotus Notes em busca de vrus e riscos

segurana.
Suportado para Lotus Notes 7.x ou superior.
Se o Lotus Notes j estiver instalado no computador quando voc realizar
uma instalao de software-cliente, o software-cliente detectar o aplicativo
de e-mail. O cliente instala automaticamente o Auto-Protect do Lotus Notes.
Sobre vrus e riscos segurana

O Symantec Endpoint Protection verifica a presena de vrus e de riscos
segurana. Os vrus e os riscos segurana podem chegar com mensagens de
e-mail ou programas de mensagens instantneas. Muitas vezes, o usurio faz
download de um risco inadvertidamente ao aceitar um Contrato de licena do
usurio final de programas de software.
Muitos vrus e riscos segurana so instalados como downloads no solicitados.
Estes downloads ocorrem geralmente quando os usurios acessam sites maliciosos
ou infectados e o carregador do aplicativo instalado atravs de uma
vulnerabilidade legtima no computador.
Em clientes Windows, possvel mudar a ao que o Symantec Endpoint Protection
toma quando detecta um vrus ou um risco segurana. As categorias dos riscos

segurana so dinmicas e mudam com o passar do tempo porque a Symantec

coleta informaes sobre riscos.
Consulte Para mudar a ao do Symantec Endpoint Protection quando fizer uma
deteco na pgina 421.
Voc pode exibir as informaes sobre o vrus especfico e os riscos segurana
no site do Symantec Security Response.
Tabela 16-6
Vrus e riscos segurana
Risco
Descrio
Vrus
Programas ou cdigos que anexam cpias de si mesmos a outros

programas ou arquivos ao serem executados. Quando o programa
infectado for executado, o programa de vrus anexado ser ativado
e se anexar a outros programas e arquivos.
Os seguintes tipos de ameaas so includos na categoria dos
vrus:
Adware
Bots da Internet maliciosos

Programas que executam tarefas automatizadas pela Internet.
Os bots podem ser usados para automatizar ataques em
computadores ou para coletar informaes em sites.
Worms
Programas que se duplicam sem infectar outros programas.
Alguns worms se espalham copiando a si mesmos de um disco
para outro, enquanto outros se duplicam na memria a fim
de reduzir o desempenho do computador.
Cavalos de Troia
Programas que se ocultam em algo confivel, como um jogo
ou um utilitrio.
Ameaas combinadas
Ameaas que combinam as caractersticas de vrus, worms,
Cavalos de Troia e cdigos a vulnerabilidades do servidor e
da Internet para iniciar, transmitir e disseminar ataques. As
ameaas combinadas usam vrios mtodos e tcnicas para se
disseminar rapidamente, causando danos generalizados.
Rootkits
Programas que se ocultam do sistema operacional de um
computador.
Programas que fornecem qualquer contedo de propaganda.
355
356

Risco
Descrio
Discadores
Programas que usam um computador, sem a permisso ou o

conhecimento do usurio, para discar para um nmero 900 ou
site FTP pela Internet. Em geral, esses nmeros so discados para
incorrer em custos.
Ferramentas para
hackers
Programas que hackers usam para ganhar o acesso no autorizado

ao computador de um usurio. Um exemplo de ferramenta para
hackers o keylogger, que rastreia e registra cada tecla
pressionada e envia essas informaes para o hacker. Assim, o
hacker ser capaz de verificar as portas ou as vulnerabilidades
dos computadores alheios. As ferramentas para hackers tambm
podem ser usadas para criar vrus.
Programas de
brincadeiras
Programas que alteram ou interrompem a operao de um

computador a fim de perturbar ou assustar o usurio. Por
exemplo, um programa de brincadeiras poder mover a lixeira
para longe do mouse quando o usurio tentar excluir um item.
Aplicativos enganosos
Aplicativos que deturpam intencionalmente o status de segurana

de um computador. Estes aplicativos normalmente disfaram-se
de notificaes de segurana para qualquer infeco falsificada
que deve ser removida.
Programas de controle
para pais
Programas que monitoram ou limitam o uso do computador. Os

programas podem ser executados sem ser detectados e geralmente
transmitem informaes de monitorao para outro computador.
Programas de acesso
remoto
Programas que permitem o acesso Internet atravs de outro

computador, visando obter informaes, atacar ou alterar o
computador de um usurio.
Ferramenta de
Programas que so usados para coletar informaes para acesso
avaliao de segurana no autorizado a um computador.
Spyware
Programas independentes que podem monitorar secretamente

a atividade do sistema, detectar senhas e outras informaes
confidenciais e envi-las a outro computador.
Trackware
Aplicativos independentes ou complementares capazes de

rastrear as atividades de um usurio na Internet e enviar
informaes ao controlador ou ao sistema do hacker.

Sobre os arquivos e pastas que o Symantec Endpoint Protection exclui

das verificaes de vrus e spyware
Quando o Symantec Endpoint Protection detectar a presena de determinados
aplicativos de terceiros e de alguns produtos Symantec, ele criar automaticamente
excluses para estes arquivos e estas pastas. O cliente exclui estes arquivos e estas
pastas de todas as verificaes.
Nota: O cliente no exclui as verificaes das pastas temporrias do sistema porque
assim a segurana do computador pode ficar muito vulnervel.
Para melhorar o desempenho de verificao ou reduzir deteces de falsos
positivos, possvel excluir arquivos adicionando uma exceo de arquivo ou
pasta a uma Poltica de excees. Voc tambm pode especificar as extenses de
arquivo ou as pastas que deseja incluir em uma verificao especfica.
Aviso: Os arquivos ou as pastas que voc exclui das verificaes no sero
protegidos contra vrus e riscos segurana.
Voc pode exibir as excluses que o cliente cria automaticamente.
Consulte nos seguintes locais do registro do Windows:
Nos computadores de 32 bits, consulte

HKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint
Protection\AV\Exclusions.
Nos computadores de 64 bits, consulte

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Symantec\Symantec
Endpoint Protection\AV\Exclusions.
Aviso: No edite este registro diretamente.
357
358

Tabela 16-7
Excluses de arquivo e pasta
Arquivos
Descrio
Microsoft Exchange
O software-cliente cria automaticamente excluses de verificao de arquivos e pastas

para as seguintes verses do servidor Microsoft Exchange:
Exchange 5,5
Exchange 6.0
Exchange 2000
Exchange 2003
Exchange 2007
Exchange 2007 SP1.
Exchange 2010
Para o Exchange 2007, consulte a documentao do usurio para obter informaes

sobre compatibilidade com o software antivrus. Em algumas circunstncias, talvez
seja preciso criar excluses da verificao para algumas pastas do Exchange 2007
manualmente. Por exemplo, em um ambiente em cluster, talvez seja preciso criar
algumas excluses.
O software-cliente verifica alteraes no local dos arquivos e pastas apropriados do
Microsoft Exchange em intervalos regulares. Se o Microsoft Exchange for instalado
em um computador onde o software-cliente j est instalado, as excluses sero
criadas quando o cliente verificar alteraes. O cliente exclui tanto os arquivos quanto
as pastas; se um nico arquivo for movido de uma pasta excluda, o arquivo
permanecer excludo.
Para obter mais informaes, consulte o artigo da base de conhecimento, Preventing
Symantec Endpoint Protection from scanning the Microsoft Exchange 2007 directory
structure (em ingls).
Microsoft Forefront
O cliente cria automaticamente excluses de arquivo e pasta para os seguintes

produtos do Microsoft Forefront:
Forefront Server Security para Exchange
Segurana do servidor do Forefront para SharePoint
Gateway de gerenciamento de ameaas do Forefront
Verifique o site da Microsoft para obter uma lista de excluses recomendadas.

Consulte tambm o artigo da base de conhecimento do suporte tcnico da Symantec,
Configuring Symantec Endpoint Protection exclusions for Microsoft Forefront (em
ingls).
Controlador de domnio do
Active Directory
O cliente cria automaticamente excluses de arquivos e pastas para o banco de dados,

os logs e os arquivos de trabalho do controlador de domnio do Active Directory. O
cliente monitora os aplicativos que so instalados no computador-cliente. Se o software
detecta o Active Directory no computador-cliente, ele cria automaticamente as
excluses.

Arquivos
Descrio
Produtos da Symantec
O cliente cria automaticamente excluses de verificao adequadas de arquivos e

pastas para determinados produtos Symantec quando eles so detectados.
O cliente cria excluses para os seguintes produtos Symantec:
Extenses selecionadas e
pastas Microsoft
Symantec Mail Security 4.0, 4.5, 4.6, 5.0 e 6.0 para Microsoft Exchange
Symantec AntiVirus/Filtering 3.0 para Microsoft Exchange
Norton AntiVirus 2.x para Microsoft Exchange
Banco de dados e logs integrados do Symantec Endpoint Protection Manager
Para cada tipo de verificao definida pelo administrador ou Auto-Protect, possvel

selecionar arquivos a serem includos por extenso. Para verificaes definidas pelo
administrador, tambm possvel selecionar arquivos para incluir por pasta. Por
exemplo, pode-se especificar que uma verificao agendada verifique apenas
determinadas extenses e que o Auto-Protect verifique todas as extenses.
Para arquivos executveis e arquivos do Microsoft Office, o Auto-Protect poder
determinar o tipo de um arquivo mesmo se um vrus mudar a extenso do arquivo.
Por padro, o Symantec Endpoint Protection verifica todas as extenses e pastas.
Todas as extenses ou pastas que voc desmarcar so excludas dessa verificao
especfica.
A Symantec no recomenda que voc exclua nenhuma extenso das verificaes. Se
voc decidir excluir arquivos por extenso e qualquer pasta Microsoft, porm,
necessrio considerar a quantidade de proteo que sua rede exige. Voc tambm
deve considerar a quantidade de tempo e os recursos que seus computadores-cliente
exigem para concluir as verificaes.
Nota: Todas as extenses de arquivo que voc excluir das verificaes do Auto-Protect
do sistema de arquivos tambm excluem as extenses do Download Insight. Se voc
estiver executando o Download Insight, ser necessrio incluir extenses para
programas e documentos comuns na lista de extenses que deseja verificar. Voc
tambm deve certificar-se de verificar arquivos .msi.
359
360

Arquivos
Descrio
Excees de arquivos e
pastas
Voc usa uma Poltica de excees para criar excees para os arquivos ou as pastas
que deseja que o Symantec Endpoint Protection exclua de todas as verificaes de
vrus e spyware.
Nota: Por padro, os usurios em computadores-cliente tambm podem criar excees

de arquivo e de pasta.
Por exemplo, recomendvel criar excluses de arquivo para uma caixa de entrada
do aplicativo de e-mail.
Se o cliente detectar um vrus no arquivo da caixa de entrada durante uma verificao
sob demanda ou agendada, o cliente colocar em quarentena a caixa de entrada inteira.
Voc pode criar uma exceo para excluir o arquivo da caixa de entrada. Se o cliente
detectar um vrus quando um usurio abrir uma mensagem de e-mail, porm, o cliente
ainda colocar a mensagem em quarentena ou a excluir.
Arquivos confiveis
As verificaes de vrus e spyware incluem um recurso chamado Insight que permite

que arquivos confiveis sejam ignorados pelas verificaes. Voc pode escolher o
nvel de confiana para os arquivos que deseja ignorar ou pode desativar a opo. Se
voc desativar a opo, ser possvel aumentar o tempo da verificao.
O Auto-Protect tambm pode ignorar os arquivos que so acessados por processos
confiveis, como o Windows Search.
Sobre as configuraes padro de verificao da Poltica de proteo

O Symantec Endpoint Protection Manager inclui trs polticas padro.
Poltica equilibrada de proteo contra vrus e spyware
Poltica de alta segurana de proteo contra vrus e spyware

A poltica de alta segurana a mais rigorosa de todas as polticas
pr-configuradas. Voc deve estar ciente de que ela pode afetar o desempenho
de outros aplicativos.
Poltica de alto desempenho de proteo contra vrus e spyware

A Poltica de alto desempenho fornece melhor desempenho do que a Poltica
de alta segurana, mas no fornece as mesmas protees. A poltica se baseia,
basicamente, na verificao de arquivos pelo Auto-Protect com extenses de
arquivo selecionadas para detectar ameaas.
A Poltica de proteo contra vrus e spyware bsica fornece um bom equilbrio

entre segurana e desempenho.

Tabela 16-8
Configuraes da verificao da poltica equilibrada de proteo

Configurao
Descrio
Auto-Protect para o
sistema de arquivos
Ativado
A sensibilidade para arquivos maliciosos do Download Insight
definida como nvel 5.
A ao do Download Insight para arquivos no comprovados
Ignorar.
O Auto-Protect inclui as seguintes configuraes:
Verifica todos os arquivos para vrus e riscos segurana.
Impede que os riscos segurana sejam instalados.
Limpa os arquivos infectados por vrus. Faz backup dos

arquivos antes de repar-los. Coloca em quarentena os arquivos
que no podem ser limpos.
Coloca em quarentena os arquivos com riscos segurana. Faz
login dos arquivos que no podem ser colocados em
quarentena.
Verifica todos os disquetes para vrus de inicializao. Registra
os vrus de inicializao.
Notifica os usurios de computador sobre vrus e riscos
segurana.
Auto-Protect para
e-mail
Ativado
Outros tipos de Auto-Protect incluem as seguintes configuraes:
Verifica todos os arquivos, incluindo os arquivos que esto
dentro de arquivos compactados.
Limpa os arquivos infectados por vrus. Coloca em quarentena
os arquivos que no podem ser limpos.
quarentena.
Envia uma mensagem para os usurios do computador sobre
os vrus detectados e os riscos segurana.
361
362

Configurao
Descrio
SONAR
Ativado para os clientes do Symantec Endpoint Protection 12.1 e

superior. Os clientes legados usam configuraes do TruScan. O
TruScan ser ativado quando o SONAR for ativado.
As deteces heursticas de alto risco so colocadas em quarentena
Registra em log todas as deteces heursticas de baixo risco
O modo agressivo desativado
Mostrar alerta na deteco ativado
As aes de deteco de alteraes no sistema so definidas como
Ignorar.
A deteco de comportamento suspeito bloqueia ameaas de alto
risco e ignora ameaas de baixo risco.
Verificaes definidas A verificao agendada inclui as seguintes configuraes padro:

pelo administrador
Executa uma verificao ativa a cada dia s 12:30. A verificao
escolhida aleatoriamente.
Verifica todos os arquivos e pastas, incluindo os arquivos que
esto contidos nos arquivos compactados.
Verifica a memria, locais comuns da infeco e locais
conhecidos do vrus e do risco segurana.
quarentena.
Repete verificaes perdidas no prazo de trs dias.
A Pesquisa do Insight est definida no nvel 5.
A verificao sob demanda fornece a seguinte proteo:

Verifica todos os arquivos e pastas, incluindo os arquivos que
esto contidos nos arquivos compactados.
Verifica a memria e os locais comuns da infeco.

quarentena.

A poltica padro contra vrus e spyware de segurana elevada fornece a segurana

de nvel elevado e inclui muitas das configuraes da poltica de proteo contra
vrus e spyware. A poltica fornece verificao aprimorada.
Tabela 16-9
Configuraes da poltica equilibrada de proteo contra vrus e

spyware
Configurao
Descrio
Auto-Protect para o
sistema de arquivos e
e-mail
Igual poltica equilibrada de proteo contra vrus e spyware
SONAR
Igual poltica equilibrada de proteo contra vrus e spyware,

mas com as seguintes mudanas:
O Auto-Protect tambm verifica arquivos nos computadores

remotos.
Bloqueia todos os eventos de alterao no sistema.

Configuraes globais O Bloodhound definido como Agressivo.
A poltica padro de alto desempenho contra vrus e spyware fornece desempenho

de nvel elevado. A poltica inclui muitas das configuraes da poltica de proteo
contra vrus e spyware. A poltica fornece segurana reduzida.
Tabela 16-10
Configuraes da poltica de alto desempenho de proteo contra

vrus e spyware
Configurao
Descrio
Auto-Protect para o
sistema de arquivos
Igual poltica equilibrada de proteo contra vrus e spyware,

mas com as seguintes mudanas:
Auto-Protect para
e-mail da Internet
A sensibilidade para arquivos maliciosos do Download Insight

definida como nvel 1.
Desativado
Auto-Protect do
Microsoft Outlook
Auto-Protect do Lotus
Notes
SONAR
Igual poltica de proteo contra vrus e spyware com as

seguintes mudanas:
Ignora todos os eventos de alterao no sistema.
Ignora todos os eventos comportamentais de imposio da poltica.
363
364

Configurao
Descrio
Verificaes definidas Igual poltica de proteo contra vrus e spyware, exceto pela
pelo administrador
seguinte configurao:
A Pesquisa do Insight est definida no nvel 1.
Como o Symantec Endpoint Protection controla as deteces dos vrus

e dos riscos segurana
O Symantec Endpoint Protection usa aes padro para controlar a deteco dos
vrus e dos riscos segurana. Voc pode mudar alguns dos padres.
Tabela 16-11
Como o Symantec Endpoint Protection controla a deteco de vrus

e de riscos segurana
Deteco
Descrio
Vrus
Por padro, o cliente Symantec Endpoint Protection tenta

primeiro limpar um arquivo infectado por um vrus.
Se o software-cliente no puder limpar o arquivo, ele
executar estas aes:
Move o arquivo para a Quarentena no computador
infectado
Nega qualquer acesso ao arquivo
Registra o evento

Deteco
Descrio
Riscos segurana
Por padro, o cliente move todos os arquivos que os riscos

segurana infectam para a Quarentena no computador
infectado. O cliente tambm tenta remover ou reparar os
efeitos colaterais do risco.
Se um risco segurana no puder ser colocado em
quarentena e reparado, a segunda ao ser registrar o risco
em log.
A Quarentena, por padro, contm um log de todas as aes
executadas pelo cliente. Voc pode retornar o
computador-cliente ao estado que existiu antes de o cliente
tentar a remoo e o reparo.
Nos computadores-cliente Windows, possvel desativar a
verificao de riscos segurana do Auto-Protect. Convm
desativar temporariamente a verificao de riscos
segurana do Auto-Protect, se a deteco de um risco
segurana puder comprometer a estabilidade de um
computador. As verificaes agendadas e sob demanda
continuam a detectar o risco.
As deteces feitas pelo SONAR so consideradas eventos suspeitos. Voc configura

aes para essas deteces como parte da configurao do SONAR.
Para computadores-cliente Windows, possvel atribuir uma primeira e segunda
ao para o Symantec Endpoint Protection realizar quando encontra riscos. Voc
pode configurar aes diferentes para vrus e riscos segurana. Voc pode usar
aes diferentes para verificaes agendadas, sob demanda ou do Auto-Protect.
Nota: Nos computadores-cliente Windows, a lista dos tipos de deteco para riscos
segurana dinmica e muda medida que a Symantec descobre categorias
novas. feito o download de novas categorias para o console ou para o
computador-cliente quando novas definies chegam.
Para computadores-cliente Mac, possvel especificar se o Symantec Endpoint
Protection repara os arquivos infectados que encontra. Voc tambm pode
especificar se o Symantec Endpoint Protection move para a Quarentena os arquivos
infectados que no consegue reparar. Voc pode definir as configuraes para
todas as verificaes definidas pelo administrador ou para verificaes do
Auto-Protect.
365
366

Como o Symantec Endpoint Protection executa deteces em

computadores Windows 8
O Symantec Endpoint Protection protege a interface do usurio estilo Windows
8 assim como a rea de trabalho do Windows 8. Contudo, as aes para as deteces
que so relacionadas a arquivos e aplicativos estilo Windows 8 funcionam
diferentemente das aes para outras deteces.
Os aplicativos hospedados na pgina Iniciar estilo Windows 8 so implementados
em containers que so isolados de outros processos do sistema operacional. O
Symantec Endpoint Protection no limpa nem coloca em quarentena as deteces
que afetam arquivos ou aplicativos estilo Windows 8. Nas deteces que
envolverem estes aplicativos e arquivos, Symantec Endpoint Protection somente
excluir ou registrar em log as deteces.
Para algumas deteces no relacionadas a arquivos e aplicativos estilo Windows
8, o Symantec Endpoint Protection poder colocar em quarentena e reparar as
deteces e as funes como faz tipicamente em qualquer outro sistema
operacional Windows.
Voc dever se lembrar da diferena ao configurar aes na Poltica de proteo
contra vrus e spyware e quando executar relatrios.
Consulte Sobre as notificaes pop-up que aparecem nos clientes que executam
o Windows 8 na pgina 398.
Consulte Como o Symantec Endpoint Protection controla as deteces dos vrus
e dos riscos segurana na pgina 364.
Para configurar verificaes agendadas executadas

em computadores Windows
Voc configura verificaes agendadas como parte de uma poltica de proteo
contra vrus e spyware. As configuraes da verificao so diferentes para clientes
Windows e para clientes Mac.
Voc pode salvar as configuraes da verificao agendada como um modelo. Os
modelos de verificao podero economizar tempo quando voc configurar vrias
polticas. Voc pode usar qualquer verificao salva como modelo como a base
para uma nova verificao em uma poltica diferente. Um modelo de verificao
agendada includo na poltica por padro. A verificao agendada padro verifica
todos os arquivos e pastas.
Consulte Para personalizar verificaes definidas pelo administrador para clientes
executados em computadores Windows na pgina 412.

Consulte Excluso de extenses de arquivo das verificaes de vrus e spyware

na pgina 584.
Considere os seguintes aspectos importantes quando voc configurar uma
verificao agendada:
Vrias verificaes
simultneas executadas em
srie
Se voc agendar vrias verificaes para que ocorram no

mesmo computador e estas iniciarem ao mesmo tempo, elas
sero executadas em srie. Quando uma verificao
terminar, outra iniciar. Por exemplo, voc pode agendar
trs verificaes diferentes no computador para que ocorram
s 13 horas. Cada verificao feita em uma unidade
diferente. Uma verificao feita na unidade C, outra na
unidade D e outra na unidade E. Nesse exemplo, a melhor
soluo criar uma verificao agendada que abranja as
unidades C, D e E.
As verificaes agendadas
perdidas podem no ser
executadas
Se o computador perder uma verificao agendada por

qualquer motivo, o Symantec Endpoint Protection, tentar,
por padro, executar a verificao at a sua inicializao ou
at um intervalo de tempo especfico expirar. Se o Symantec
Endpoint Protection no puder iniciar a verificao perdida
dentro do intervalo de tempo, a verificao no ser
executada.
O tempo da verificao
agendada pode variar
O Symantec Endpoint Protection poder no usar o horrio

agendado se a ltima execuo da verificao tiver ocorrido
em outro horrio devido durao da verificao ou perda
das configuraes de verificao agendada. Por exemplo,
voc pode configurar uma verificao semanal para ser
executada todos os domingos meia-noite e em um intervalo
de nova tentativa de um dia. Se o computador perder a
verificao e iniciar na segunda-feira s 6:00, a verificao
ser executada s 6:00. A prxima verificao executada
uma semana depois da segunda-feira s 6:00, em vez de ser
executada no prximo domingo meia-noite.
Se voc no tiver reiniciado seu computador at tera-feira
s 6:00, o que significa dois dias de atraso e excede o
intervalo da nova tentativa, o Symantec Endpoint Protection
no repetir a verificao. Ele aguardar at a meia-noite
do prximo domingo para tentar executar a verificao.
Em ambos os casos, se escolher aleatoriamente o horrio de
incio da verificao, voc poder mudar a hora da ltima
execuo da verificao.
367
368

Clique em Ajuda para obter mais informaes sobre as opes usadas nesse
procedimento.
Para configurar as verificaes agendadas executadas em computadores Windows
Em Configuraes Windows, clique em Verificaes definidas pelo

administrador.
Na guia Verificaes, em Verificaes agendadas, clique em Adicionar.
Na caixa de dilogo Adicionar verificao agendada, clique em Criar uma

nova verificao agendada.
Clique em OK.
Na caixa de dilogo Adicionar verificao agendada, na guia Detalhes da

verificao, digite um nome e uma descrio para essa verificao agendada.
Clique em Verificao ativa, Verificao completa ou Verificao

personalizada.
Se tiver selecionado Personalizada, em Verificao, voc poder especificar

os diretrios que deseja verificar.
Em Tipos de arquivo, clique em Verificar todos os arquivos ou Verificar

apenas extenses selecionadas.
Nota: As verificaes agendadas sempre verificam arquivos do container, a
menos que voc desative a opo Verificar arquivos dentro de arquivos
compactados, em Opes avanadas de verificao ou crie excees
especficas para as extenses de arquivo do container.
10 Em Aperfeioar a verificao verificando, marque ou desmarque Memria,

Locais comuns de infeco ou Locais de vrus e riscos segurana
conhecidos.
11 Na guia Agendamento, em Agendamento de verificao, defina a frequncia

e a hora em que a verificao deve ser executada.
A configurao de repetio em Verificaes agendadas perdidas muda
automaticamente conforme o que voc seleciona Diariamente, Semanal ou
Mensal.

Para configurar as verificaes agendadas executadas em computadores Mac
12 Em Verificaes agendadas perdidas, possvel desativar a opo para

executar uma verificao perdida ou voc pode alterar o intervalo de repetio.
Voc tambm pode especificar a durao mxima de uma verificao antes
que a verificao seja pausada. Voc tambm pode escolher aleatoriamente
a hora de incio da verificao.
13 Se voc quiser salvar essa verificao como um modelo, selecione Salvar uma
cpia como um modelo de verificao agendada.
14 Clique em OK.
Para configurar as verificaes agendadas executadas

em computadores Mac
Voc configura verificaes agendadas como parte de uma poltica de proteo
contra vrus e spyware. As configuraes da verificao so diferentes para clientes
Windows e para clientes Mac.
que so executados em computadores Mac na pgina 414.
Voc pode salvar as configuraes da verificao agendada como um modelo.
possvel usar qualquer verificao salva como modelo como a base para uma
poltica de proteo contra vrus e spyware. Os modelos da verificao podero
economizar tempo quando voc configurar novas polticas ou verificaes. Um
modelo de verificao agendada includo na poltica por padro. A verificao
agendada padro verifica todos os arquivos e diretrios.
Para configurar uma verificao agendada para clientes Mac
Em Configuraes do Mac, clique em Verificaes definidas pelo

administrador.
Na guia Verificaes, em Verificaes agendadas, clique em Adicionar.
Na caixa de dilogo Adicionar verificao agendada, clique em Criar uma

nova verificao agendada e em OK.
Na caixa de dilogo Adicionar verificao agendada, na guia Detalhes da

verificao, digite um nome e uma descrio para a verificao.
Em Verificar unidades e pastas especifique os itens para verificar.
Personalize quaisquer configuraes, incluindo a prioridade da verificao.
369
370

Execuo de verificaes sob demanda nos computadores-cliente
Na guia Agendamento, em Agendamento de verificao, defina a frequncia

e a hora em que a verificao deve ser executada.
Se voc quiser salvar essa verificao como um modelo, selecione Salvar uma
cpia como um modelo de verificao agendada.
10 Clique em OK.
Execuo de verificaes sob demanda nos

Voc pode executar uma verificao manual ou sob demanda em
computadores-cliente remotamente do console de gerenciamento. Convm executar
uma verificao sob demanda como parte de sua estratgia para impedir e controlar
ataques de vrus e spyware em seus computadores-cliente.
Por padro, uma verificao ativa executada automaticamente depois de voc
atualizar as definies. Voc pode configurar uma verificao sob demanda como
uma verificao completa ou personalizada e, em seguida, executar a verificao
sob demanda para uma verificao mais abrangente.
As configuraes de verificaes sob demanda so semelhantes s configuraes
de verificaes agendadas.
Para computadores-cliente Windows, possvel executar uma verificao sob
demanda personalizada, completa ou ativa.
Para computadores-cliente Mac, possvel executar apenas uma verificao sob
demanda personalizada.
A verificao personalizada usa as configuraes definidas para as verificaes
sob demanda na Poltica de proteo contra vrus e spyware.
Nota: Se voc emitir um comando de reinicializao no computador-cliente que
executa a verificao sob demanda, a verificao ser interrompida e o
computador-cliente ser reinicializado. A verificao no reinicializada.
Voc pode executar uma verificao sob demanda do log Status do computador
ou da guia Clientes no console.
possvel cancelar todas as verificaes em andamento e em fila para clientes
selecionados no log Status do computador. Se voc confirmar o comando, a tabela

ser atualizada e voc poder ver que o comando cancelar adicionado tabela
de status do comando.
na pgina 685.
na pgina 247.
Para executar uma verificao sob demanda em computadores-cliente
No console do Symantec Endpoint Protection Manager, clique em Clientes.
Em Clientes, clique com o boto direito do mouse nos clientes ou no grupo

que deseja verificar.
Clique em Executar comando no grupo > Verificar.
Clique em Executar comando nos clientes > Verificar.
Para clientes Windows, selecione Verificao ativa, Verificao completa

ou Verificao personalizada e clique em OK.
Para ajustar as verificaes para melhorar o

desempenho do computador
Por padro, as verificaes de vrus e spyware minimizam o efeito nos recursos
dos seus computadores-cliente. Voc pode mudar algumas configuraes de
verificao para otimizar o desempenho ainda mais. Muitas das tarefas sugeridas
aqui so teis nos ambientes que executam o Symantec Endpoint Protection nos
sistemas operacionais convidados em mquinas virtuais (VMs).
As configuraes que esto disponveis so diferentes para computadores Windows
e Mac.
371
372

Tabela 16-12
Ajuste das verificaes para melhorar o desempenho em

computadores Windows
Tarefa
Descrio
Modificar opes de ajuste e de

arquivos compactados para
verificaes agendadas e sob
demanda
Voc pode ajustar as seguintes opes para verificaes agendadas e sob demanda:
Alterar opes de ajuste
Voc pode alterar o ajuste de verificao para Melhor desempenho de
aplicativos. Quando voc configurar uma verificao com esta configurao,
ela poder ser iniciada, mas apenas sero executadas quando o
computador-cliente estiver ocioso. Se voc configurar uma verificao ativa
para ser executada quando novas definies chegarem, ela poder no ser
executada por at 15 minutos se o usurio estiver usando o computador.
Altere a quantidade de nveis para a verificao de arquivos compactados
O nvel padro 3. Convm alterar o nvel para 1 ou 2 para reduzir o tempo
de verificao.
Consulte Para personalizar verificaes definidas pelo administrador para

clientes executados em computadores Windows na pgina 412.
Usar verificaes de retorno
Para os computadores em sua rede que tm grandes volumes, as verificaes

agendadas podem ser configuradas como verificaes de retorno.
Uma opo de durao da verificao fornece um perodo especificado para
executar uma verificao. Se a verificao no for concluda at o fim da durao
especificada, ela ser reiniciada quando o prximo perodo de verificao agendada
ocorrer. A verificao ser reiniciada no ponto onde foi interrompida, at que o
volume inteiro seja verificado. Tipicamente, voc usa a opo de durao da
verificao em servidores.
Nota: No use uma verificao de retorno se voc suspeitar que o computador

est infectado. Voc deve executar uma verificao completa at que o computador
inteiro seja verificado. Voc tambm no dever usar uma verificao de retorno
se uma verificao puder ser concluda antes do intervalo especificado.

Tarefa
Descrio
Ajustar configuraes do
Auto-Protect
Voc pode ajustar algumas configuraes para verificaes do Auto-Protect do

sistema de arquivos que podem melhorar o desempenho de seus
Voc pode definir as seguintes opes:
Cache de arquivos
Certifique-se de que o cache de arquivo esteja ativado (o padro ativado).
Quando o cache de arquivo estiver ativado, o Auto-Protect memorizar os
arquivos limpos que verificou e no os verificar novamente.
Configuraes de rede
Quando as verificaes do Auto-Protect em computadores remotos forem
ativadas, certifique-se de que Apenas quando os arquivos forem executados
esteja ativado.

Permitir todas as verificaes
As verificaes de vrus e spyware incluem uma opo chamada Insight que ignora
para ignorar arquivos confiveis arquivos confiveis. o Insight est ativado por padro. Voc pode alterar o nvel
de confiana para os tipos de arquivos que as verificaes ignoram:
De confiana da comunidade e da Symantec
Este nvel ignora os arquivos que so de confiana da Symantec e da
comunidade da Symantec.
De confiana da Symantec
Este nvel ignora os arquivos apenas que so de confiana da Symantec.
Consulte Para modificar configuraes de verificao global para clientes

Escolher verificaes agendadas Em ambientes virtualizados, onde vrias mquinas virtuais (VMs) so
aleatoriamente
implementadas, verificaes simultneas criam problemas de recursos. Por
exemplo, um nico servidor pode executar 100 ou mais VMs. As verificaes
simultneas nessas VMs drenam recursos no servidor.
Voc pode escolher aleatoriamente as verificaes para limitar o impacto em seu
servidor.
Consulte Como escolher verificaes aleatoriamente para melhorar o desempenho
do computador em ambientes virtualizados na pgina 415.
373
374

Tarefa
Descrio
Usar o Cache de inteligncia

compartilhado em ambientes
virtualizados
O Cache de inteligncia compartilhado elimina a necessidade de verificar

novamente os arquivos que o Symantec Endpoint Protection determinou que
esto limpos. Voc pode usar o Cache de inteligncia compartilhado para
verificaes agendadas e manuais em seus computadores-cliente. O Cache de
inteligncia compartilhado um aplicativo separado que voc instala em um
servidor ou em um ambiente virtual.
Consulte Para ativar ou desativar o uso do Cache de inteligncia compartilhado
baseado na rede na pgina 713.
Desativar a deteco do incio

antecipado do antimalware
(ELAM, Early launch
anti-malware)
O ELAM do Symantec Endpoint Protection funciona com o ELAM do Windows

para fornecer proteo contra drivers maliciosos de inicializao.
Consulte Para gerenciar deteces do incio antecipado do antimalware (ELAM,
Early launch anti-malware) na pgina 400.
Tabela 16-13
Ajuste das verificaes para melhorar o desempenho em

computadores Mac
Tarefa
Descrio
Ajustar a prioridade da verificao
Aplica-se a verificaes agendadas em clientes

executados em computadores Mac.
A prioridade da verificao em computadores Mac
equivalente ao ajuste ou ao ajuste de
desempenho em computadores Windows. A
prioridade alta significa que a verificao
executada da maneira mais rpida possvel, mas
outros aplicativos podem ser executados mais
lentamente durante a verificao. A prioridade
baixa significa que outros aplicativos so
executados da maneira mais rpida possvel, mas
a verificao pode ser executada mais lentamente.
A prioridade mdia equilibra a velocidade em que
os aplicativos e as verificaes so executados.
Consulte Para personalizar verificaes definidas
pelo administrador para clientes que so
executados em computadores Mac na pgina 414.

Para ajustar verificaes para aumentar a proteo em seus computadores-cliente
Tarefa
Descrio
Modificar a configurao de arquivos

compactados
Aplica-se ao Auto-Protect e a verificaes sob

demanda.
Voc pode ativar ou desativar a opo, mas no
pode especificar o nvel dos arquivos compactados
para verificao.
Consulte Para personalizar o Auto-Protect para
clientes Mac na pgina 410.
Para ajustar verificaes para aumentar a proteo

em seus computadores-cliente
O Symantec Endpoint Protection fornece um alto nvel de segurana por padro.
Voc pode aumentar a proteo ainda mais. As configuraes so diferentes para
os clientes que so executados em computadores Windows e clientes executados
em computadores Mac.
Nota: Se voc aumentar a proteo em seu computador-cliente, poder impactar
o desempenho do computador.
Tabela 16-14
Para ajustar verificaes para aumentar a proteo em

Tarefa
Descrio
Bloquear configuraes de
verificao
Algumas configuraes so bloqueadas por padro; voc

pode bloquear configuraes adicionais de modo que os
usurios no possam mudar a proteo em seus
computadores.
375
376

Para ajustar verificaes para aumentar a proteo em seus computadores-cliente
Tarefa
Descrio
Modificar as configuraes para Voc deve marcar ou modificar as seguintes opes:

verificaes definidas pelo
Desempenho da verificao
administrador
Defina o ajuste da verificao para Melhor
desempenho de verificao. Porm, a configurao
pode afetar o desempenho de seu
computador-cliente. As verificaes so executadas
mesmo se o computador no estiver ocioso.
Durao da verificao agendada
Por padro, verificaes agendadas sero executadas
at que o intervalo de tempo especificado expire e
em seguida reinicie quando o computador-cliente
estiver ocioso. Voc pode definir a durao da
verificao para Verificar at a concluso.
Usar a Pesquisa do Insight
A Pesquisa do Insight usa o mais recente conjunto
de definies da nuvem e informaes do banco de
dados de reputao do Insight para verificar e tomar
decises sobre os arquivos. Voc deve certificar-se
de que a Pesquisa do Insight est ativada. As
configuraes da Pesquisa do Insight so
semelhantes s do Download Insight.
Consulte Para personalizar verificaes definidas pelo
administrador para clientes executados em
Especificar aes de deteco da Especifique aes de Quarentena, Excluir ou Encerrar
verificao mais slidas
para deteces.
Nota: Tenha cuidado quando voc usar Excluir ou

Encerrar para deteces de risco segurana. A ao
pode causar a perda de funcionalidade de alguns
aplicativos legtimos.
Consulte Para mudar a ao do Symantec Endpoint
Protection quando fizer uma deteco na pgina 421.
Aumentar o nvel de proteo do O Bloodhound localiza e isola as regies lgicas de um
Bloodhound
arquivo para detectar o comportamento prprio de vrus.
Voc pode mudar o nvel de deteco de Automtica
para Agressiva para aumentar a proteo em seus
computadores. Porm, provvel que a configurao
Agressiva produza mais falsos positivos.
Consulte Para modificar configuraes de verificao
global para clientes Windows na pgina 416.

Tarefa
Descrio
Ajustar configuraes do
Auto-Protect
Voc pode mudar as seguintes opes:

Cache de arquivos
Voc pode desativar o cache de arquivos de modo
que o Auto-Protect verifique novamente arquivos
vlidos.
Configuraes de rede
Por padro, os arquivos em unidades de rede so
verificados somente quando so executados. Voc
pode desativar esta opo.
Consulte Para personalizar o Auto-Protect para clientes

Tabela 16-15
Para ajustar verificaes para aumentar a proteo em

computadores Mac
Tarefa
Descrio
Bloquear configuraes de
verificao
Algumas configuraes so bloqueadas por padro; voc

pode bloquear configuraes adicionais de modo que os
usurios no possam mudar a proteo em seus
computadores.
Especificar aes de deteco da Especifique aes de Quarentena, Excluir ou Encerrar

verificao mais slidas
para deteces.
Nota: Tenha cuidado quando voc usar Excluir ou

Encerrar para deteces de risco segurana. A ao
pode causar a perda de funcionalidade de alguns
aplicativos legtimos.
Consulte Para mudar a ao do Symantec Endpoint
Protection quando fizer uma deteco na pgina 421.

O Auto-Protect inclui um recurso chamado Download Insight, que examina os
arquivos que os usurios tentam transferir por download atravs dos navegadores
da Web, clientes de mensagem de texto e outros portais.
Os portais suportados incluem Internet Explorer, Firefox, Microsoft Outlook,
Outlook Express, Google Chrome, Windows Live Messenger e Yahoo Messenger.
377
378

O Download Insight determina que um arquivo obtido por download pode ser um
risco com base em evidncias sobre a reputao do arquivo. O Download Insight
suportado apenas para os clientes executados em computadores Windows.
Nota: Se voc instalar o Auto-Protect para e-mail em seu computador-cliente, o
Auto-Protect verificar tambm os arquivos que os usurios recebem como anexos
de e-mail.
Tabela 16-16
Gerenciamento de deteces do Download Insight
Tarefa
Descrio
Saber como o Download Insight

usa dados de reputao para
tomar decises sobre arquivos
O Download Insight usa as informaes de reputao exclusivamente quando

toma decises sobre arquivos obtidos por download. Ele no usa assinaturas ou
heurstica para tomar decises. Se o Download Insight permitir um arquivo, o
Auto-Protect ou o SONAR verificar o arquivo quando o usurio abrir ou executar
o arquivo.

Tarefa
Descrio
Exibir o relatrio da distribuio

de risco de download para
visualizar as deteces do
Download Insight
Voc pode usar o relatrio da distribuio de risco de download para exibir os

arquivos que o Download Insight detectar em seus computadores-cliente. Voc
pode classificar o relatrio por URL, domnio da Web ou aplicativo. Voc tambm
poder ver se um usurio optar por permitir um arquivo detectado.
Nota: Os detalhes do risco para uma deteco do Download Insight mostram

apenas o primeiro aplicativo do portal que tentou o download. Por exemplo, um
usurio pode usar o Internet Explorer para tentar fazer o download de um arquivo
que o Download Insight detecta. Se o usurio usar em seguida o Firefox para
tentar fazer o download do arquivo, os detalhes do risco mostraro o Internet
Explorer como o portal.
Os arquivos permitidos pelo usurio que aparecem no relatrio podem indicar
deteces de falsos positivos.
Voc pode especificar tambm receber notificaes de e-mail sobre downloads
permitidos por novos usurios.
Os usurios podem permitir arquivos respondendo s notificaes que aparecem
para deteces.
Os administradores recebem o relatrio como parte de um relatrio semanal que
o Symantec Endpoint Protection Manager gera e envia por e-mail. Voc deve ter
especificado um endereo de e-mail para o administrador durante a instalao
ou configurado como parte das propriedades do administrador. Voc tambm
pode gerar o relatrio da guia Relatrios no console.
379
380

Tarefa
Descrio
Criar excees para arquivos ou

domnios da Web especficos
Voc pode criar uma exceo para um aplicativo que seus usurios obtm por
download. Voc tambm pode criar uma exceo para um domnio especfico da
Web que voc acredite ser confivel.
Consulte Para especificar como o Symantec Endpoint Protection gerencia
aplicativos monitorados na pgina 585.
Consulte Excluso de um domnio confivel da Web das verificaes
na pgina 586.
Nota: Se seus computadores-cliente usarem um proxy com autenticao, ser

necessrio especificar excees do domnio da Web confivel para os URLs da
Symantec. As excees permitem que seus computadores-cliente comuniquem-se
com o Symantec Insight e com outros sites importantes da Symantec.
Para obter informaes sobre excees recomendadas, consulte os seguintes
artigos relacionados da base de conhecimento:
How to test connectivity to Insight and Symantec licensing servers (em ingls)
Required exclusions for proxy servers to allow Symantec Endpoint Protection

to connect to Symantec reputation and licensing servers (em ingls)
Por padro, o Download Insight no examina arquivos que os usurios obtm por
download de um site confivel da Internet ou da intranet. Voc configura sites
confiveis e sites locais confiveis da intranet na guia Painel de controle do
Windows > Opes da Internet > Segurana. Quando a opo Confiar
automaticamente em qualquer arquivo obtido por download em um site da
intranet estiver ativada, o Symantec Endpoint Protection permitir qualquer
arquivo que um usurio transferir por download de qualquer sites nas listas.
O Symantec Endpoint Protection procura atualizaes da lista de sites confiveis
das Opes da Internet no logon do usurio e a cada quatro horas.
Nota: O Download Insight reconhece apenas sites confiveis explicitamente

configurados. Caracteres curingas so permitidos, mas faixas de endereo IP no
roteveis no so suportadas. Por exemplo, o Download Insight no reconhece
10.*.*.* como um site confivel. O Download Insight tambm no suporta os sites
descobertos pela opo Opes da Internet > Segurana > Detectar
automaticamente a rede intranet.
Certificar-se de que as buscas do O Download Insight exige dados de reputao do Symantec Insight para tomar
Insight estejam ativadas
decises sobre arquivos. Se voc desativar as buscas do Insight, o Download
Insight ser executado, mas detectar apenas os arquivos com as piores
reputaes. As buscas do Insight so ativadas por padro.

Tarefa
Descrio
Personalizar configuraes do
Download Insight
Convm personalizar as configuraes do Download Insight pelas seguintes

razes:
Aumentar ou diminuir o nmero de deteces do Download Insight.
Voc pode ajustar o regulador da sensibilidade a arquivos maliciosos para
aumentar ou diminuir o nmero de deteces. Em nveis mais baixos de
sensibilidade, o Download Insight detectar menos arquivos como maliciosos
e mais arquivos como no comprovados. Menos deteces so de falsos
positivos.
Em nveis mais altos de sensibilidade, o Download Insight detectar mais
arquivos como maliciosos e menos arquivos como no comprovados. Mais
deteces so de falsos positivos.
Mudar a ao para deteces de arquivos maliciosos ou no comprovados.
Voc pode mudar como o Download Insight controla arquivos maliciosos ou
no comprovados. A ao especificada afeta no apenas a deteco, mas
tambm se os usurios podem interagir com a deteco.
Por exemplo, possvel alterar a ao de arquivos no comprovados para
Ignorar. Ento, o Download Insight sempre permite arquivos no comprovados
e no alerta o usurio.
Alerte usurios sobre as deteces do Download Insight.
Quando as notificaes estiverem ativadas, a configurao de sensibilidade
de arquivos maliciosos afetar o nmero de notificaes que os usurios
recebem. Se voc aumentar a sensibilidade, aumentar o nmero de
notificaes do usurio porque o nmero total de deteces aumentar
tambm.
Voc pode desativar as notificaes para que os usurios no tenham como
escolher quando o Download Insight fizer uma deteco. Se voc mantiver as
notificaes ativadas, poder definir a ao para arquivos no comprovados
como Ignorar para que estas deteces sejam permitidas sempre e os usurios
no sejam notificados.
Independentemente da configurao de notificaes, quando o Download
Insight detectar um arquivo no comprovado e a ao for Solicitar, o usurio
poder permitir ou bloquear o arquivo. Se o usurio permitir o arquivo, o
arquivo ser executado automaticamente.
Quando as notificaes forem ativadas e o Download Insight colocar um
arquivo em quarentena, o usurio poder desfazer a ao de quarentena e
permitir o arquivo.
Nota: Se os usurios permitirem um arquivo em quarentena, o arquivo no

ser executado automaticamente. O usurio pode executar o arquivo da pasta
temporria Internet. Normalmente, o local da pasta unidade:\\Documents
and Settings\nome_de_usurio\Local Settings\Temporary Internet Files.
Consulte Personalizao de configuraes do Download Insight na pgina 420.
381
382

Como o Symantec Endpoint Protection usa os dados de reputao para tomar decises sobre arquivos
Tarefa
Descrio

de reputao Symantec
Por padro, os clientes enviam informaes sobre deteces de reputao para a

Symantec.
A Symantec recomenda que voc ative os envios para deteces de reputao. As
informaes ajudam a Symantec a lidar com as ameaas.
Como o Symantec Endpoint Protection usa os dados

de reputao para tomar decises sobre arquivos
A Symantec coleta informaes sobre arquivos de sua comunidade global de
milhes de usurios e de sua Rede de inteligncia global. As informaes coletadas
formam um banco de dados de reputao que a Symantec hospeda. Os produtos
da Symantec utilizam as informaes para proteger computadores-cliente das
ameaas novas, de destino e mutantes. Os dados so, s vezes, tratados como se
estivessem na nuvem, j que no residem no computador-cliente. O
computador-cliente deve solicitar ou consultar o banco de dados da reputao.
A Symantec usa uma tecnologia chamada Insight para determinar o nvel de risco
ou de classificao de segurana de cada arquivo.
O Insight determina a classificao de segurana de um arquivo examinando as
seguintes caractersticas do arquivo e de seu contexto:
A origem do arquivo
A idade do arquivo
O nvel de conhecimento do arquivo na comunidade
Outras mtricas de segurana: como o arquivo pode ser associado ao malware
Os recursos de verificao do Symantec Endpoint Protection utilizam o Insight

para tomar decises sobre arquivos e aplicativos. A Proteo contra vrus e spyware
inclui um recurso chamado Download Insight. O Download Insight depende das
informaes de reputao para fazer deteces. Se voc desativar as buscas do
Insight, o Download Insight ser executado mas no poder fazer deteces. Outros
recursos de proteo, tais como o Insight Lookup e o SONAR, usam as informaes
de reputao para fazer deteces; porm, esses recursos podem usar outras
tecnologias para fazerem deteces.
Por padro, um computador-cliente envia as informaes sobre as deteces de
reputao para o Symantec Security Response para fins de anlise. As informaes

Como os recursos da poltica do Symantec Endpoint Protection funcionam em conjunto
ajudam a refinar o banco de dados de reputao do Insight. Quanto mais clientes

enviarem informaes, mais til o banco de dados da reputao fica.
Voc pode desativar o envio das informaes de reputao. Porm, a Symantec
recomenda que voc mantenha os envios ativados.
Os computadores-cliente enviam tambm outros tipos de informaes sobre
deteces para o Symantec Security Response.
Consulte Como os recursos da poltica do Symantec Endpoint Protection
funcionam em conjunto na pgina 383.
Como os recursos da poltica do Symantec Endpoint

Protection funcionam em conjunto
Alguns recursos da poltica precisam uns dos outros para fornecer a proteo
completa em computadores-cliente Windows.
Aviso: A Symantec recomenda que voc no desative as Pesquisas do Insight.
Tabela 16-17
Como os recursos da poltica funcionam em conjunto
Recurso
Notas de interoperabilidade
Proteo de download
A proteo de download faz parte do Auto-Protect e d ao Symantec

Endpoint Protection a capacidade de rastrear os URLs. O controle do URL
necessrio para vrios recursos da poltica.
Se voc instalar o Symantec Endpoint Protection sem a proteo de
download, o Download Insight ter recursos limitados. A preveno contra
intruso no navegador e o SONAR exigem a proteo de download.
A opo Confiar automaticamente em qualquer arquivo transferido por
download de um site da intranet tambm exige a proteo de download.
383
384

Como os recursos da poltica do Symantec Endpoint Protection funcionam em conjunto
Recurso
Download Insight
O Download Insight tem as seguintes dependncias:

O Auto-Protect deve estar ativado
Se voc desativar o Auto-Protect, o Download Insight no funcionar
mesmo se estiver ativado.
As Pesquisas do Insight devem estar ativadas
A Symantec recomenda que voc mantenha a opo de Pesquisas do
Insight ativada. Se desativar a opo, voc desativar o Download Insight
completamente.
Nota: Se a Proteo de download bsica no estiver instalada, o Download

Insight ser executado no cliente no nvel 1. Qualquer nvel que voc definir
na poltica no ser aplicado. O usurio tambm no pode ajustar o nvel
de sensibilidade.
Mesmo se voc desativar o Download Insight, a opo Confiar
automaticamente em qualquer arquivo transferido por download de um
site da intranet continuar funcionando para a Pesquisa do Insight.
Pesquisa do Insight
Usa as Pesquisas do Insight

A Pesquisa do Insight usa as definies mais recentes da nuvem e do banco
de dados de reputao do Insight para tomar decises sobre os arquivos.
Se voc desativar as Pesquisas do Insight, a Pesquisa do Insight usar as
definies mais recentes apenas para tomar decises sobre os arquivos.
A Pesquisa do Insight usa tambm a opo Confiar automaticamente em
qualquer arquivo transferido por download de um site da intranet.
A Pesquisa do Insight no executa em verificaes de clique com o boto
direito do mouse de pastas ou unidades em seus computadores-cliente.
Contudo, a Pesquisa do Insight executada em verificaes com o boto
direito do mouse de arquivos selecionados.
Nota: A Pesquisa do Insight usa o valor configurado do nvel do regulador

da Pesquisa do Insight para avaliar os arquivos que foram obtidos por
download de um portal suportado. Se os arquivos no foram obtidos por
download de um portal suportado, a Pesquisa do Insight apenas detectar
os arquivos se esses tiverem a pior reputao (semelhante ao nvel 1).

Sobre o envio de informaes sobre deteces para o Symantec Security Response
Recurso
SONAR
O SONAR tem as seguintes dependncias:
A proteo de download deve estar instalada.
O Auto-Protect deve estar ativado.

Se o Auto-Protect estiver desativado, o SONAR perder parte da
funcionalidade de deteco e parecer no estar funcionando
corretamente no cliente. O SONAR pode detectar ameaas heursticas,
porm, mesmo se o Auto-Protect estiver desativado.
As Pesquisas do Insight devem estar ativadas.
Sem as Pesquisas do Insight, o SONAR pode ser executado, mas no
pode fazer deteces. Em alguns casos raros, o SONAR pode fazer
deteces sem as Pesquisas do Insight. Se o Symantec Endpoint
Protection tiver armazenado previamente em cache as informaes de
reputao sobre arquivos especficos, o SONAR poder usar as
informaes armazenadas em cache.
Preveno contra intruso no

navegador
A proteo de download deve estar instalada. O Download Insight pode

estar ativado ou desativado.
Exceo de domnio Web confivel
A exceo ser aplicada somente se a Proteo de download estiver

instalada.

na pgina 501.
Sobre o envio de informaes sobre deteces para

o Symantec Security Response
Voc pode configurar seu computador-cliente para enviar automaticamente
informaes sobre as deteces para o Symantec Security Response para fins de
anlise.
O Symantec Response e a Global Intelligence Network usam essas informaes
enviadas para rapidamente formular respostas a ameaas segurana, novas e
em desenvolvimento. Os dados que voc envia melhoram a capacidade da Symantec
de responder a ameaas e personalizar a proteo. A Symantec recomenda que
voc sempre permita envios.
385
386

Voc pode escolher enviar alguns dos seguintes tipos de dados:
Reputao do arquivo
As informaes sobre os arquivos que so detectados com base em sua
reputao. As informaes sobre esses arquivos contribuem para o banco de
dados de reputao do Symantec Insight a fim de ajudar a proteger seus
computadores contra riscos novos e emergentes.
Deteces antivrus
Informaes sobre deteces de verificao de vrus e spyware.
Deteces heursticas avanadas do antivrus

Informaes sobre possveis ameaas que so detectadas pelo Bloodhound e
por outras heursticas de verificao de vrus e spyware.
Estas deteces so silenciosas, pois no aparecem no Log de riscos. As
informaes sobre essas deteces so usadas para fins de anlise estatstica.
Deteces do SONAR
Informaes sobre as ameaas que o SONAR detecta, que incluem deteces
de baixo ou alto risco, eventos de mudana de sistema e comportamento
suspeito dos aplicativos confiveis.
Heurstica do SONAR
As deteces heursticas do SONAR so deteces silenciosas que no aparecem
no Log de riscos. Essas informaes so usadas para anlise estatstica.
No cliente, voc tambm pode enviar manualmente uma amostra para o Response
da exibio da Quarentena ou atravs do site da Symantec. Para enviar um arquivo
atravs do site da Symantec, contate o suporte tcnico da Symantec.
Consulte Sobre a regulagem de envios na pgina 386.

O Symantec Endpoint Protection regula envios do computador-cliente para
minimizar qualquer efeito em sua rede. O Symantec Endpoint Protection regula
os envios das seguintes maneiras:
Os computadores-cliente somente enviaro amostras quando o computador

estiver ocioso. O envio em perodo ocioso ajuda a escolher aleatoriamente o
trfego de envio atravs da rede.

Ativao ou desativao de envios de clientes para o Symantec Security Response
Os computadores-cliente enviam amostras somente para arquivos exclusivos.

Se a Symantec j conhecer o arquivo, o computador-cliente no enviar as
informaes.
O Symantec Endpoint Protection usa um arquivo de dados de controle de envio

(SCD, Submission Control Data). A Symantec publica o arquivo SCD e o inclui
como parte de um pacote do LiveUpdate. Cada produto da Symantec tem seu
prprio arquivo SCD.
O arquivo SCD controla as seguintes configuraes:
Quantos envios um cliente pode fazer por dia
Quanto tempo de espera antes que o software-cliente tente enviar novamente
Quantas vezes foram feitas novas tentativas de envios que falharam
Que endereo IP do servidor Symantec Security Response recebe o envio
Se o arquivo SCD tornar-se desatualizado, os clientes interrompero o envio. A

Symantec considera o arquivo SCD desatualizado quando um computador-cliente
no tiver recuperado o contedo do LiveUpdate em sete dias. O cliente
interromper os envios aps 14 dias.
Se os clientes interromperem a transmisso de envios, o software-cliente no
coletar as informaes nem as enviar depois. Quando os clientes reiniciarem a
transmisso dos envios, enviaro apenas as informaes sobre os eventos que
ocorrerem depois do reincio da transmisso.
Consulte Sobre o envio de informaes sobre deteces para o Symantec Security
Ativao ou desativao de envios de clientes para o

Symantec Security Response
O Symantec Endpoint Protection pode proteger computadores enviando
informaes sobre deteces ao Symantec Security Response. O Symantec Security
Response usa essas informaes para abordar ameaas novas e em mudana.
Todos os dados que voc envia melhoram a capacidade da Symantec de responder
s ameaas e personalizar a proteo para seus computadores. A Symantec
recomenda que voc envie todas as informaes de deteco possveis.
Consulte Sobre o envio de informaes sobre deteces para o Symantec Security
387
388

Ativao ou desativao de envios de clientes para o Symantec Security Response
Consulte Para especificar um servidor proxy para envios do cliente e outras

comunicaes externas na pgina 389.
Os computadores-cliente enviam anonimamente as informaes sobre deteces.
Voc pode especificar os tipos de deteces para as quais os clientes enviam
informaes. Voc tambm pode ativar ou desativar envios dos
computadores-cliente. A Symantec recomenda que voc sempre ative envios. Em
alguns casos, porm, convm impedir que seus clientes enviem tais informaes.
Por exemplo, suas polticas corporativas podem impedir que seus
computadores-cliente enviem todas as informaes da rede a entidades exteriores.
Para ativar ou desativar envios de clientes para o Symantec Security Response
No console, selecione Clientes e clique na guia Polticas.
No painel Configuraes, clique em Configuraesdecomunicaesexternas.
Clique na guia Envios.
Se desejar ativar seus computadores-cliente para enviar dados para a anlise,

selecione Deixar que os computadores encaminhem as informaes de
segurana annimas selecionadas automaticamente Symantec.
Para desativar envios para o cliente, desmarque Deixar que os computadores

encaminhem as informaes de segurana annimas selecionadas
automaticamente Symantec.
Se voc desativar envios para um cliente e bloquear as configuraes, o usurio
no poder configurar o cliente para enviar. Se voc ativar, selecionar seus
tipos de envios e bloquear as configuraes, o usurio no poder alterar suas
configuraes escolhidas. Se voc no bloquear suas configuraes, o usurio
poder mudar a configurao conforme desejado.
A Symantec recomenda que voc envie informaes de ameaas para ajud-la
a fornecer proteo contra ameaas personalizada. Porm, voc pode precisar
desativar esse recurso em resposta aos problemas de largura de banda da
rede ou uma restrio nos dados que saem do cliente. Voc poder verificar
a atividade do cliente para exibir a atividade de envio de logs, se precisar
monitorar o uso da largura de banda.
Selecione os tipos de informaes a serem enviadas:
Reputao do arquivo
As informaes sobre os arquivos que so detectados com base em sua
reputao. As informaes sobre estes arquivos contribuem para que o
banco de dados da reputao do Symantec Insight ajude a proteger seus
computadores contra riscos novos e emergentes.

Para especificar um servidor proxy para envios do cliente e outras comunicaes externas
Nota: Os clientes no gerenciados exigem uma licena paga para ativar o

envio de dados de reputao do arquivo.
Consulte Para licenciar um cliente no gerenciado na pgina 130.
Deteces antivrus
Informaes sobre deteces de verificao de vrus e spyware.
Deteces heursticas avanadas do antivrus

Informaes sobre as possveis ameaas que so detectadas pelo
Bloodhound e pela outra heurstica de verificao de vrus e spyware.
Estas deteces so as deteces silenciosas que no aparecem no log de
riscos. As informaes sobre essas deteces so usadas para fins de anlise
estatstica.
Deteces do SONAR
Informaes sobre as ameaas que o SONAR detecta, que incluem deteces
de alto ou baixo risco, eventos de alterao de sistema e comportamento
suspeito dos aplicativos confiveis.
Heurstica do SONAR
As deteces heursticas do SONAR so deteces silenciosas que no
aparecem no Log de riscos. Essas informaes so usadas para fins de
anlise estatstica.
Selecione a opo Permitir buscas do Insight para a deteco de ameaas

para permitir que o Symantec Endpoint Protection use o banco de dados da
reputao do Symantec Insight para tomar decises sobre ameaas.
As buscas do Insight so ativadas por padro. Voc poder desativar esta
opo se no quiser permitir que o Symantec Endpoint Protection consulte
o banco de dados da reputao do Symantec Insight.
O Download Insight, o Insight Lookup e o SONAR usam as buscas do Insight
para a deteco de ameaas. A Symantec recomenda que voc permita buscas
do Insight. Desativar as buscas desativa o Download Insight e pode danificar
a funcionalidade da heurstica do SONAR e do Insight Lookup.
Para especificar um servidor proxy para envios do

cliente e outras comunicaes externas
Voc pode configurar o Symantec Endpoint Protection Manager para usar um
servidor proxy para envios e outras comunicaes externas que seus clientes
Windows usam.
389
390

Para especificar um servidor proxy para envios do cliente e outras comunicaes externas
Para especificar um servidor proxy para envios do cliente e outras comunicaes

externas
No console, na pgina Clientes, selecione o grupo e clique em seguida em

Polticas.
Em Configuraes ou Configuraes especificas de local, clique em

Comunicaes externas.
Na guia Servidor proxy (Windows), em Configurao de proxy HTTPS,

selecione Usar configuraes personalizadas de proxy.
Digite as informaes sobre o servidor proxy que seus clientes usam. Consulte
a ajuda online para obter mais informaes sobre as opes.
Clique em OK.
Nota: Se seus computadores-cliente usarem um proxy com autenticao, talvez

seja preciso especificar excees para URLs da Symantec em sua configurao do
servidor proxy. As excees permitem que seus computadores-cliente
comuniquem-se com o Symantec Insight e com outros sites importantes da
Symantec.
Voc precisar incluir excees para URLs da Symantec em suas configuraes
do servidor proxy se usar as seguintes opes de configurao do proxy:
Voc usa um servidor proxy com autenticao.
Voc seleciona a opo Usar um servidor proxy especificado pelo meu

navegador cliente na caixa de dilogo Comunicao externa do Symantec
Use deteco e configurao automtica nas Opes da Internet do seu

navegador.
Voc no precisar especificar excees para URLs da Symantec em suas

configuraes do servidor proxy se no usar deteco ou configurao automtica.
Voc deve selecionar Usar configuraes personalizadas de proxy na caixa de
dilogo Comunicao externa e ento especificar as configuraes de autenticao.
Para obter informaes sobre excees recomendadas, consulte os seguintes
artigos da base de conhecimento:
How to test connectivity to Insight and Symantec licensing servers (em ingls)
Required exclusions for proxy servers to allow Symantec Endpoint Protection

to connect to Symantec reputation and licensing servers (em ingls)



Quando as verificaes de vrus e spyware detectarem uma ameaa ou o SONAR
detectar uma ameaa, o Symantec Endpoint Protection colocar os arquivos na
quarentena local do computador-cliente.
Tabela 16-18
Tarefa
Descrio
Monitorar arquivos na
quarentena
Voc deve verificar periodicamente os arquivos em quarentena para impedir o acmulo

de um grande nmero de arquivos. Verifique os arquivos em quarentena quando
aparecer uma nova epidemia de vrus na rede.
Deixe os arquivos com infeces desconhecidas na quarentena. Quando o cliente
receber definies novas, ele verificar novamente os itens na quarentena e poder
excluir ou reparar o arquivo.
Excluir arquivos na
quarentena
Voc poder excluir um arquivo em quarentena se um backup existir ou se tiver uma

cpia do arquivo de uma origem confivel.
Voc pode excluir um arquivo em quarentena diretamente no computador infectado
ou usando o log de riscos no console do Symantec Endpoint Protection.
Consulte Para usar o Log de riscos para excluir arquivos em quarentena em seu
Configurar como o Symantec

Endpoint Protection
verificar novamente os itens
na quarentena quando
chegarem definies novas
Por padro, o Symantec Endpoint Protection verifica novamente os itens na

quarentena quando definies novas chegam. Ele automaticamente repara e restaura
itens silenciosamente. Normalmente, voc deve manter a configurao padro, mas
possvel mudar a ao da nova verificao com base em suas necessidades.
Consulte Configurao de como a quarentena controla a nova verificao dos arquivos
depois que as definies novas so recebidas na pgina 395.
391
392

Tarefa
Descrio
Especificar como os clientes O Symantec Endpoint Protection permite que usurios enviem arquivos infectados
enviam as informaes sobre ou suspeitos e os efeitos colaterais relacionados para o Symantec Security Response
itens em quarentena
para uma anlise mais detalhada. Quando os usurios enviam as informaes, a
Symantec pode fazer uma deteco e um reparo mais detalhados.
Voc pode ativar deteces baseadas em assinaturas na quarentena para serem
encaminhadas da quarentena local para um Servidor da Quarentena central. As
deteces da reputao na quarentena local no podem ser enviadas para um Servidor
da Quarentena central. Voc poder configurar o cliente para que ele encaminhe os
itens se usar um Servidor da Quarentena central na rede de segurana. O Servidor
da Quarentena central pode enviar as informaes para o Symantec Security Response.
As informaes enviadas pelos clientes ajudam a Symantec a determinar se uma
ameaa detectada real.
Os arquivos enviados ao Symantec Security Response tornam-se propriedade da
Symantec Corporation. Em alguns casos, os arquivos podem ser compartilhados com
a comunidade antivrus. Se a Symantec compartilha arquivos, ela usa criptografia
padro do setor e pode tornar os dados annimos para proteger a integridade do
contedo e a sua privacidade.
Consulte Configurao de clientes para enviar itens em quarentena para um Servidor
da Quarentena central ou Symantec Security Response na pgina 394.
Gerenciar o armazenamento Por padro, a quarentena armazena arquivos de backup, reparados e em quarentena
de arquivos em quarentena em uma pasta padro. Ela exclui automaticamente os arquivos aps 30 dias.
Voc pode gerenciar o armazenamento dos itens em quarentena das seguintes
maneiras:
Especifique uma pasta local para armazenar arquivos em quarentena.
possvel usar a pasta padro ou uma pasta que voc escolher.
Consulte Especificao de uma pasta de quarentena local na pgina 392.
Especifique quando os arquivos forem excludos automaticamente.
A quarentena exclui automaticamente arquivos aps um nmero especificado de
dias. Voc tambm pode configurar a quarentena para excluir arquivos quando a
pasta onde os arquivos esto armazenados atingir um tamanho especificado. Voc
pode definir as configuraes individualmente para arquivos de backup, reparados
e em quarentena.
Consulte Especificar quando os arquivos em quarentena forem excludos
automaticamente na pgina 393.
Especificao de uma pasta de quarentena local

Se no desejar utilizar uma pasta padro de quarentena para armazenar arquivos
em quarentena nos computadores-cliente, voc poder especificar uma pasta local
diferente. Voc pode expandir o caminho utilizando o sinal de porcentagem. Por

exemplo, voc pode digitar %COMMON_APPDATA%. Os caminhos relativos no

so permitidos.
Para especificar uma pasta de quarentena local
Na pgina Poltica de proteo contra vrus e spyware, clique em Quarentena.
Na guia Miscelnea, em Opes locais de quarentena, clique em Especificar

a pasta de quarentena.
Na caixa de texto, digite o nome de uma pasta local nos computadores-cliente.

Voc pode expandir o caminho utilizando o sinal de porcentagem. Por exemplo,
voc pode digitar %COMMON_APPDATA%, mas os caminhos relativos no
so permitidos.
Se voc tiver concludo a configurao desta poltica, clique em OK.
Especificar quando os arquivos em quarentena forem excludos

automaticamente
O Symantec Endpoint Protection exclui automaticamente os arquivos na
quarentena quando excedem uma idade especificada. Voc poder configurar a
quarentena para tambm excluir arquivos quando a pasta onde eles esto
armazenados atingir um determinado tamanho.
Voc pode usar uma das configuraes ou utiliz-las juntas. Se voc escolher os
dois tipos de limites, todos os arquivos que ultrapassarem a data definida sero
eliminados primeiro. Se o tamanho da pasta ainda exceder o limite definido, os
arquivos mais antigos sero excludos um a um. Os arquivos so excludos at que
o tamanho da pasta fique abaixo do limite especificado.
Para configurar as opes de limpeza automtica
No console, abra uma poltica de proteo contra vrus e spyware e clique em

Quarentena.
Na guia Limpeza, em Arquivos reparados, marque ou desmarque Ativar a

excluso automtica dos arquivos reparados.
Na caixa Excluir aps, digite um valor ou clique em uma seta para selecionar
o intervalo de tempo em dias.
Marque Excluir os arquivos mais antigos para limitar o tamanho da pasta

e, em seguida, digite o tamanho mximo da pasta, em megabytes. A
configurao padro 50 MB.
393
394

Em Arquivos de backup, marque ou desmarque Ativar a excluso automtica

dos arquivos de backup.
Na caixa Excluir aps, digite ou clique em uma seta para selecionar o intervalo
de tempo em dias.
Marque a caixa de seleo Excluir os arquivos mais antigos para limitar o

tamanho da pasta e, em seguida, digite o tamanho mximo da pasta, em
megabytes. O padro 50 MB.
Em Arquivos em quarentena, marque ou desmarque Ativar a excluso

automtica dos arquivos em quarentena que no puderam ser reparados.
Na caixa Excluir aps, digite um valor ou clique em uma seta para selecionar
o intervalo de tempo em dias.
10 Marque Excluir os arquivos mais antigos para limitar o tamanho da pasta

e, em seguida, digite o tamanho mximo da pasta, em megabytes. O padro
50 MB.
11 Se voc tiver concludo a configurao desta poltica, clique em OK.
Configurao de clientes para enviar itens em quarentena para um

Servidor da Quarentena central ou Symantec Security Response
Os clientes podem enviar automaticamente itens em quarentena para um Servidor
da Quarentena central.
Voc tambm pode permitir usurios em computadores-cliente para enviar
manualmente itens em quarentena diretamente para o Symantec Security
Response.
Para configurar clientes para enviar itens em quarentena para um Servidor da
Quarentena central ou para o Symantec Security Response

Quarentena.
Em Itens em quarentena, faa um ou ambos dos seguintes procedimentos:
Selecione Permitir que os computadores-cliente enviem os itens em

quarentena automaticamente para um servidor de quarentena.
Digite o nome do servidor de quarentena.
Digite o nmero da porta a ser usada e selecione o nmero de segundos
para repetir conexo.

Selecione Permitir que os computadores-cliente enviem os itens em

quarentena manualmente para o Symantec Security Response.
Se voc tiver concludo a definio das configuraes desta poltica, clique

em OK.
Configurao de como a quarentena controla a nova verificao dos

arquivos depois que as definies novas so recebidas
Voc pode configurar as aes que deseja executar quando novas definies forem
recebidas nos computadores-cliente. O cliente verifica novamente os itens na
quarentena e repara e restaura automaticamente os itens no modo silencioso por
padro. Em geral, voc sempre deveria usar esta configurao.
Se voc criou uma exceo para um arquivo ou aplicativo na quarentena, o
Symantec Endpoint Protection restaura o arquivo depois que definies novas
so recebidas.
Para configurar como a quarentena controla a nova verificao dos arquivos depois
que as definies novas so recebidas

Quarentena.
Na guia Geral, em Quando novas definies de vrus forem recebidas, clique

em uma das seguintes opes:
Reparar e restaurar arquivos em quarentena no modo silencioso

automaticamente
Reparar arquivos em quarentena no modo silencioso sem restaur-los
Solicitar uma ao do usurio
Nenhuma ao
Para usar o Log de riscos para excluir arquivos em quarentena em seu

computador-cliente
Voc pode usar o Log de riscos no console do Symantec Endpoint Protection
Manager para excluir arquivos em quarentena em seu computador-cliente. Voc
executa o comando Excluir da quarentena do log para todo arquivo em quarentena
que deseja excluir.
395
396

Para gerenciar as notificaes de vrus e spyware que aparecem nos computadores-cliente

Se o Symantec Endpoint Protection detectar riscos em um arquivo compactado,
ele ser enviado inteiramente para a quarentena. Contudo, o Log de riscos contm
uma entrada separada para cada arquivo no arquivo compactado. Para excluir
com xito todos os riscos em um arquivo compactado, ser necessrio selecionar
todos os arquivos no arquivo compactado.
Para usar o Log de riscos para excluir arquivos da quarentena em seu
computador-cliente
Clique em Monitores.
Na guia Logs, da caixa de listagem Tipo de log, selecione o log Riscos e clique
em Exibir log.
Selecione uma entrada no log que tenha um arquivo em quarentena.
Selecione todas as entradas dos arquivos no arquivo compactado.

necessrio ter todas as entradas no arquivo compactado na exibio do
log. Use a opo Limite em Configuraes avanadas para aumentar o
nmero de entradas na exibio.
Na caixa de listagem Ao, selecione Excluir da quarentena.
Clique em Iniciar.
Na caixa de dilogo exibida, clique em Excluir.
Na caixa de dilogo de confirmao exibida, clique em OK.
Para gerenciar as notificaes de vrus e spyware que

aparecem nos computadores-cliente
Voc pode decidir se as notificaes aparecem nos computadores-cliente para
eventos de vrus e spyware. Voc pode personalizar as mensagens sobre deteces.

Para gerenciar as notificaes de vrus e spyware que aparecem nos computadores-cliente
Tabela 16-19
Tarefa
Tarefas para gerenciar as notificaes de vrus e spyware que

aparecem no computador-cliente
Descrio
Personalizar uma mensagem de Para computadores-cliente Windows, possvel configurar uma mensagem de
deteco da verificao
deteco para os seguintes tipos de verificaes:
Todos os tipos do Auto-Protect, incluindo o Download Insight
Verificaes agendadas e verificaes sob demanda

Para verificaes agendadas, possvel configurar uma mensagem separada
para cada verificao.
Nota: Se um processo fizer o download continuamente do mesmo risco

segurana para um computador-cliente, o Auto-Protect suspender o envio
automtico de notificaes aps trs deteces. O Auto-Protect para tambm de
registrar o evento em log. Em algumas situaes, porm, o Auto-Protect no
suspende o envio de notificaes e o registro em log dos eventos. O Auto-Protect
continuar a enviar notificaes e evento de log quando a ao para a deteco
for Ignorar (somente log).
Para computadores-cliente Mac, possvel configurar uma mensagem de deteco
que se aplica a todas as verificaes agendadas e uma mensagem que se aplica a
verificaes sob demanda.
clientes que so executados em computadores Mac na pgina 414.
Alterar configuraes para
Voc pode alterar o que os usurios das notificaes recebem sobre as deteces
notificaes do usurio sobre
do Download Insight.
deteces dos Download Insight
Alterar configuraes para
notificaes do usurio sobre
deteces do SONAR
Voc pode alterar o que os usurios das notificaes recebem sobre as deteces
do SONAR.
Escolher se a caixa de dilogo de Aplica-se apenas a computadores-cliente Windows.

resultados do Auto-Protect deve
Aplica-se ao Auto-Protect apenas para o sistema de arquivos.
ser exibida
397
398

Sobre as notificaes pop-up que aparecem nos clientes que executam o Windows 8
Tarefa
Descrio
Configurar as notificaes de
e-mail do Auto-Protect
Aplica-se apenas a computadores-cliente Windows.

Quando as verificaes de e-mail do Auto-Protect encontrarem um risco, o
Auto-Protect poder enviar notificaes de e-mail para alertar o remetente do
e-mail e qualquer outro endereo de e-mail que voc especificar. Voc tambm
pode inserir um aviso na mensagem de e-mail.
Para o Auto-Protect para e-mail da Internet, voc tambm poder especificar que
seja exibida uma notificao sobre o andamento da verificao quando o
Auto-Protect verificar um e-mail.
Consulte Para personalizar o Auto-Protect para verificaes de e-mail em
Permitir que os usurios vejam o Aplica-se apenas a computadores-cliente Windows.

andamento da verificao e
Voc pode configurar se a caixa de dilogo do andamento da verificao deve ser
iniciem ou interrompam
exibida. Voc pode configurar se os usurios podem pausar ou atrasar verificaes.
verificaes
Quando voc permitir que usurios visualizem o andamento da verificao, um
link para a caixa de dilogo do andamento da verificao aparecer nas pginas
principais da interface de usurio do cliente. Um link para reprogramar a prxima
verificao agendada aparece tambm.
Consulte Para permitir que usurios exibam o andamento das verificaes e
interajam com elas na pgina 423.
Configurar avisos, erros e
prompts
Aplica-se apenas a computadores-cliente Windows.

Voc pode ativar ou desativar vrios tipos de alertas que aparecem nos
computadores-cliente sobre eventos de proteo contra vrus e spyware.
Consulte Modificao de configuraes variadas para Proteo contra vrus e
spyware em computadores Windows na pgina 417.
Ativar ou desativar notificaes Aplica-se a clientes que so executados no Windows 8.

pop-up na interface do usurio
Voc pode ativar ou desativar as notificaes pop-up que aparecem na interface
estilo Windows 8
do usurio estilo Windows 8 para deteces e outros eventos crticos.
Consulte Para ativar ou desativar as notificaes pop-up do Symantec Endpoint
Protection em clientes do Windows 8 na pgina 399.
Sobre as notificaes pop-up que aparecem nos

clientes que executam o Windows 8
Em computadores Windows 8, notificaes pop-up de deteces do malware e o
outros eventos crticos do Symantec Endpoint Protection aparecero na interface
do usurio estilo Windows 8 e na rea de trabalho do Windows 8. As notificaes

Para ativar ou desativar as notificaes pop-up do Symantec Endpoint Protection em clientes do Windows 8
alertam o usurio sobre um evento ocorrido na interface do usurio estilo Windows

8 ou na rea de trabalho do Windows 8, independentemente de qual interface o
usurio est visualizando atualmente.
Voc pode ativar ou desativar as notificaes de pop-up em seus
Nota: A configurao do Windows 8 tambm inclui configuraes para mostrar
ou ocultar notificaes. As notificaes pop-up do Symantec Endpoint Protection
aparecero somente se o Windows 8 estiver configurado para mostr-las. Na
interface do usurio estilo Windows 8, o painel Configuraes ou a opo Alterar
configuraes do PC permitem mostrar ou ocultar as notificaes do aplicativo.
Consulte a documentao de usurio do Windows 8 para obter mais informaes.
Se o usurio clicar em uma notificao na interface do usurio estilo Windows 8,
a rea de trabalho do Windows 8 aparecer. Se o usurio clicar na notificao na
rea de trabalho do Windows 8, a notificao desaparecer. Para deteces de
malware ou de riscos segurana, o usurio pode exibir as informaes sobre as
deteces na caixa de dilogo Resultados da deteco na rea de trabalho do
Windows 8.
Quando o Symantec Endpoint Protection notificar o Windows 8 que detectou um
malware ou um risco segurana que afeta um aplicativo estilo Windows 8, um
cone de alerta aparecer na telha do aplicativo. Quando o usurio clicar no bloco,
a loja de aplicativos do Windows aparecer de modo que o usurio possa refazer
o download do aplicativo.
Consulte Para ativar ou desativar as notificaes pop-up do Symantec Endpoint
Protection em clientes do Windows 8 na pgina 399.
Consulte Como o Symantec Endpoint Protection executa deteces em
computadores Windows 8 na pgina 366.
Para ativar ou desativar as notificaes pop-up do

Symantec Endpoint Protection em clientes do
Windows 8
Por padro, as notificaes pop-up aparecem na interface do usurio estilo
Windows 8 e na rea de trabalho do Windows 8 para deteces de malware e outros
eventos crticos do Symantec Endpoint Protection.
O usurio pode visualizar a rea de trabalho do Windows para ver detalhes sobre
o evento que produziu a notificao. O usurio pode precisar executar uma ao,
399
400

Para gerenciar deteces do incio antecipado do antimalware (ELAM, Early launch anti-malware)
como fazer novo download de um aplicativo. Em alguns casos, contudo, possvel

ocultar estas notificaes pop-up dos usurios. Voc pode ativar ou desativar este
tipo de notificao na configurao do Symantec Endpoint Protection.
Nota: A configurao do Windows 8 tambm inclui configuraes para mostrar
ou ocultar notificaes. As notificaes do Symantec Endpoint Protection
aparecero somente se o Windows 8 estiver configurado para mostr-las. Na
interface do usurio estilo Windows 8, o painel Configuraes ou a opo Alterar
configuraes do PC permite mostrar ou ocultar notificaes de aplicativos.
Consulte a documentao de usurio do Windows 8 para obter mais informaes.
Para ativar ou desativar notificaes do Symantec Endpoint Protection em clientes
do Windows 8
No console, na guia Clientes, na guia Polticas, em Configuraes especificas

de local, ao lado de Configuraes de controle de interface de usurio-cliente,
clique em Controle do servidor.
Ao lado de Controle do servidor, clique em Personalizar.
Na caixa de dilogo Configuraes de interface do usurio cliente, em Geral,

marque ou desmarque Ativar notificaes Metro.
Clique em OK.
Consulte Sobre as notificaes pop-up que aparecem nos clientes que executam
o Windows 8 na pgina 398.
Para gerenciar deteces do incio antecipado do

antimalware (ELAM, Early launch anti-malware)
O incio antecipado do antimalware (ELAM) fornece proteo para os computadores
em sua rede quando eles iniciam e antes que drivers de terceiros inicializem.
Softwares maliciosos podem ser carregados como um driver ou rootkits podem
atacar antes que o sistema operacional seja totalmente carregado e o Symantec
Endpoint Protection inicie. Algumas vezes, rootkits podem se ocultar das
verificaes de vrus e spyware. O incio antecipado do antimalware detecta estes
rootkits e drivers invlidos na inicializao.
O Symantec Endpoint Protection fornece um driver ELAM que funciona com o
driver Windows ELAM para fornecer proteo. O driver Windows ELAM deve
estar ativado para que o driver Symantec ELAM tenha efeito.

Para gerenciar deteces do incio antecipado do antimalware (ELAM, Early launch anti-malware)
Voc usa o editor de polticas de grupo do Windows para exibir e modificar as

configuraes do Windows ELAM. Consulte sua documentao do Windows 8 para
obter mais informaes.
Tabela 16-20
Para gerenciar deteces do ELAM
Tarefa
Descrio
Exibir o status do ELAM em seus

Voc pode verificar se o ELAM do Symantec Endpoint Protection est

ativado no log de status do computador.
Exibir deteces do ELAM
Voc pode exibir deteces do incio antecipado do antimalware no log de

Risco.
Quando o ELAM do Symantec Endpoint Protection ELAM estiver
configurado para relatar deteces de drivers invlidos ou de drivers crticos
invlidos como desconhecidos ao Windows, o Symantec Endpoint Protection
registrar em log as deteces como Somente registrar em log. Por padro,
o Windows ELAM permite que drivers desconhecidos sejam carregados.
Ativar ou desativar o ELAM
Convm desativar o ELAM do Symantec Endpoint Protection para ajudar

a melhorar o desempenho do computador.
Consulte Como ajustar as opes do incio antecipado do antimalware
(ELAM, Early launch anti-malware) do Symantec Endpoint Protection
na pgina 402.
Ajustar as configuraes da deteco

do ELAM se voc obtiver falsos
positivos
As configuraes do ELAM do Symantec Endpoint Protection fornecem

uma opo para tratar drivers invlidos e drivers invlidos crticos como
desconhecidos. Os drivers invlidos crticos so drivers identificados como
malware, mas necessrios para a inicializao do computador. Convm
selecionar a opo de sobreposio se voc obtiver deteces de falso
positivo que bloqueiam um driver importante. Se voc bloquear um driver
importante, poder impedir que os computadores-cliente sejam iniciados.
Nota: O ELAM no suporta uma exceo especfica para um driver

individual. A opo de sobreposio aplicada globalmente s deteces
do ELAM.
Consulte Como ajustar as opes do incio antecipado do antimalware
(ELAM, Early launch anti-malware) do Symantec Endpoint Protection
na pgina 402.
401
402

Como ajustar as opes do incio antecipado do antimalware (ELAM, Early launch anti-malware) do Symantec Endpoint
Protection
Tarefa
Descrio
Executar a ferramenta do Power Eraser Em alguns casos, uma deteco do ELAM exige a ferramenta Symantec
nas deteces do ELAM que o Symantec Power Eraser, que faz parte do Symantec Diagnostic and Product Advisor.
Endpoint Protection no pode corrigir
Consulte Para solucionar problemas do computador com a ferramenta de
suporte do Symantec Endpoint Protection na pgina 819.
Como ajustar as opes do incio antecipado do

antimalware (ELAM, Early launch anti-malware) do
O Symantec Endpoint Protection fornece um driver do ELAM que funciona com
o driver do Microsoft ELAM para fornecer proteo para os computadores em sua
rede quando eles forem inicializados. As configuraes so suportadas no Microsoft
Windows 8.
O driver ELAM do Symantec Endpoint Protection um tipo especial de driver que
inicializado primeiro e verifica outros drivers de inicializao em busca de por
cdigos maliciosos. Quando o driver detectar um driver de inicializao, ele
determinar se o driver vlido, invlido ou desconhecido. O driver do Symantec
Endpoint Protection passar ento as informaes ao Windows para decidir
permitir ou bloquear o driver detectado.
Voc no pode criar excees para deteces ELAM individuais; contudo, poder
criar uma exceo global para registrar em log todos os drivers invlidos como
desconhecidos. Por padro, drivers desconhecidos tm permisso de carregar.
Para algumas deteces de ELAM que necessitem de correo, poder ser necessrio
executar o Power Eraser. O Power Eraser faz parte da ferramenta Symantec
Diagnostic and Product Advisor.
Nota: O Auto-Protect verifica todos os drivers que forem carregados.
Para ajustar as opes de ELAM do Symantec Endpoint Protection
No console do Symantec Endpoint Protection Manager, na guia Polticas,

abra uma poltica de proteo contra vrus e spyware.
Em Tecnologias de proteo, selecione Driver do incio antecipado do

antimalware.

Protection
Marque ou desmarque Ativar incio antecipado do antimalware.

O driver Windows ELAM deve estar ativado para que esta opo seja ativada.
Voc usa o editor de polticas de grupo do Windows para exibir e modificar
as configuraes do Windows ELAM. Consulte sua documentao do Windows
8 para obter mais informaes.
Se voc quiser registrar em log apenas as deteces, em Configuraes de

deteco, selecione Registrar em log a deteco como desconhecida para
que o Windows permita o carregamento do driver.
Clique em OK.
Consulte Para gerenciar deteces do incio antecipado do antimalware (ELAM,

Early launch anti-malware) na pgina 400.
Consulte Para solucionar problemas do computador com a ferramenta de suporte
do Symantec Endpoint Protection na pgina 819.
403
404

Protection
Captulo
17
Para personalizar
verificaes


computadores Mac
Para personalizar o Auto-Protect para clientes Windows
Para personalizar o Auto-Protect para clientes Mac
Para personalizar o Auto-Protect para verificaes de e-mail em computadores

Windows
Para personalizar verificaes definidas pelo administrador para clientes

executados em computadores Windows
Para personalizar verificaes definidas pelo administrador para clientes que

so executados em computadores Mac
Como escolher verificaes aleatoriamente para melhorar o desempenho do

computador em ambientes virtualizados
Para modificar configuraes de verificao global para clientes Windows
Modificao de configuraes variadas para Proteo contra vrus e spyware

em computadores Windows
Personalizao de configuraes do Download Insight
Para mudar a ao do Symantec Endpoint Protection quando fizer uma deteco
406
Para personalizar verificaes

Para personalizar as verificaes de vrus e spyware executadas em computadores Windows
Para permitir que usurios exibam o andamento das verificaes e interajam

com elas
Como o Symantec Endpoint Protection interage com a Central de Segurana

do Windows
Para personalizar as verificaes de vrus e spyware

executadas em computadores Windows
Voc pode personalizar opes para as verificaes definidas pelo administrador
(verificaes agendadas e sob demanda) que so executadas em computadores
Windows. Voc tambm pode personalizar opes para o Auto-Protect.
Personalizao de verificaes de vrus e spyware em computadores
Windows
Tabela 17-1
Tarefa
Descrio
Personalizar configuraes do
Auto-Protect
Voc pode personalizar o Auto-Protect de vrias maneiras, incluindo as

seguintes configuraes:
Os tipos de arquivos que o Auto-Protect verifica
As aes que o Auto-Protect executar quando fizer uma deteco
As notificaes do usurio para deteces do Auto-Protect
Voc tambm pode ativar ou desativar a caixa de dilogo Resultados da

verificao para verificaes de Auto-Protect do sistema de arquivos.
Consulte Para personalizar o Auto-Protect para clientes Windows
na pgina 408.
Consulte Para personalizar o Auto-Protect para verificaes de e-mail em
Personalizar verificaes definidas pelo Voc pode personalizar os seguintes tipos de opes para verificaes
administrador
agendadas e sob demanda.
Arquivos compactados
Opes de ajuste
Pesquisa do Insight
Opes avanadas de agendamento
Notificaes do usurio sobre deteces

Voc tambm pode personalizar aes de verificao.

Para personalizar as verificaes de vrus e spyware executadas em computadores Mac
Tarefa
Descrio
Ajustar as configuraes de ELAM
Convm ativar ou desativar a deteco do incio antecipado do antimalware

(ELAM, Early launch anti-malware) do Symantec Endpoint Protection se
voc acreditar que o ELAM est afetando o desempenho de seu computador.
Convm tambm sobrepor a configurao padro da deteco se voc obtiver
muitas deteces de falsos positivos do ELAM.
Consulte Para gerenciar deteces do incio antecipado do antimalware
(ELAM, Early launch anti-malware) na pgina 400.
Ajustar configuraes do Download

Insight
Convm ajustar a sensibilidade para arquivos maliciosos para aumentar

ou diminuir o nmero de deteces. Voc tambm pode modificar aes
para deteces e notificaes do usurio para deteces.
Consulte Personalizao de configuraes do Download Insight
na pgina 420.
Personalizar aes de verificao
Voc pode mudar a ao que o Symantec Endpoint Protection executa

quando faz uma deteco.
Consulte Para mudar a ao do Symantec Endpoint Protection quando
fizer uma deteco na pgina 421.
Personalizar configuraes de
verificao global
Convm personalizar as configuraes da verificao global para aumentar

ou diminuir a proteo em seu computador-cliente.
Consulte Para modificar configuraes de verificao global para clientes
Personalizar opes diversas de

proteo contra vrus e spyware
Voc pode especificar os tipos de eventos de risco que os clientes enviam

para o Symantec Endpoint Protection Manager. Voc tambm pode ajustar
como o Symantec Endpoint Protection interage com a Central de Segurana
do Windows.
Consulte Modificao de configuraes variadas para Proteo contra
vrus e spyware em computadores Windows na pgina 417.
Consulte Como o Symantec Endpoint Protection interage com a Central
de Segurana do Windows na pgina 425.
Para personalizar as verificaes de vrus e spyware

executadas em computadores Mac
Voc pode personalizar opes para as verificaes definidas pelo administrador
(verificaes agendadas e sob demanda) que so executadas em computadores
Mac. Voc tambm pode personalizar opes para o Auto-Protect.
407
408

Tabela 17-2

computadores Mac
Tarefa
Descrio
Personalizar Auto-Protect
Voc pode personalizar configuraes de Auto-Protect

para clientes executados em computadores Mac.
Consulte Para personalizar o Auto-Protect para clientes
Mac na pgina 410.
Personalizar verificaes
definidas pelo administrador
Voc pode personalizar configuraes e notificaes

comuns assim como verificar a prioridade.
Voc tambm poder ativar ou desativar um aviso para
alertar o usurio quando as definies estiverem
desatualizadas.
Consulte Para personalizar verificaes definidas pelo
administrador para clientes que so executados em
Para personalizar o Auto-Protect para clientes

Windows
Convm personalizar as configuraes do Auto-Protect para clientes Windows.
Para configurar o Auto-Protect para clientes Windows
Em Configuraes Windows, em Tecnologia de proteo, clique em

Auto-Protect.
Na guia Detalhes da verificao, marque ou desmarque Ativar o

Auto-Protect.
Nota: Se voc desativar o Auto-Protect, o Download Insight no funcionar
mesmo se estiver ativado.
Em Verificao, em Tipos de arquivos, selecione uma destas opes:
Verificar todos os arquivos

Esta opo padro e a opo mais segura.
Verificar apenas extenses selecionadas

possvel melhorar o desempenho da verificao selecionando esta opo;
porm, voc poder diminuir a proteo em seu computador.
Em Opes adicionais, marque ou desmarque Verificar riscos segurana.
Clique em Verificao e monitoramento avanados para mudar as opes

das aes que acionam verificaes do Auto-Protect e como o Auto-Protect
controla verificaes de disquetes.
Clique em OK.
Em Configuraes de rede, marque ou desmarque Verificar arquivos em

computadores remotos para ativar ou desativar verificaes do Auto-Protect
de arquivos de rede.
Por padro, o Auto-Protect verifica arquivos nos computadores remotos
apenas quando os arquivos so executados.
Convm desativar a verificao da rede para melhorar a verificao e o
desempenho de computador.
Quando as verificaes de arquivos em computadores remotos estiverem

ativadas, clique em Configuraes de rede para modificar opes de
verificao de rede.
10 Na caixa de dilogo Configuraes de rede, proceda de uma das seguintes

maneiras:
Ative ou desative o Auto-Protect para confiar em arquivos nos

computadores remotos que executam o Auto-Protect.
Configure as opes de cache da rede para as verificaes do Auto-Protect.
11 Clique em OK.
12 Na guia Aes, selecione qualquer uma das seguintes opes.
Voc tambm pode definir opes de correo para o Auto-Protect.
13 Na guia Notificaes, defina qualquer uma das opes de notificao.

Consulte Para gerenciar as notificaes de vrus e spyware que aparecem
nos computadores-cliente na pgina 396.
14 Na guia Avanado, defina qualquer uma destas opes:
Inicializao e desligamento
409
410

Opes de recarga
15 Em Opes adicionais, clique em Cache do arquivo ou em Rastreador de

riscos.
16 Configure o cache do arquivo ou as configuraes do rastreador de riscos e

clique em OK.

Convm personalizar as configuraes do Auto-Protect para clientes executados
em computadores Mac.
Em Configuraes do Mac, em Tecnologia de proteo, clique em

Auto-Protect do sistema de arquivos.
Na parte superior da guia Detalhes da verificao, clique no cone de bloqueio

para bloquear ou desbloquear todas as configuraes.
Selecione ou desmarque qualquer uma das seguintes opes:
Ativar o Auto-Protect do sistema de arquivos
Reparar automaticamente arquivos infectados
Colocar em quarentena os arquivos que no puderem ser reparados
Verificar arquivos compactados

Para personalizar o Auto-Protect para verificaes de e-mail em computadores Windows
Em Detalhes gerais da verificao especifique os arquivos que o Auto-Protect

verifica.
Nota: Para excluir arquivos da verificao, necessrio selecionar Verificar
em todos os locais, exceto nas pastas especificadas e adicionar uma Poltica
de excees para especificar os arquivos a serem excludos.
Em Detalhes da verificao de discos montados, selecione ou desmarque

algumas das opes disponveis.
Na guia Notificaes, defina algumas das opes de notificao e clique em

OK.
Para personalizar o Auto-Protect para verificaes

de e-mail em computadores Windows
Voc pode personalizar o Auto-Protect para verificaes de e-mail em
computadores Windows.
Para personalizar o Auto-Protect para verificaes de e-mail em computadores
Windows
Em Configuraes Windows, clique em uma das seguintes opes:
Auto-Protect para e-mail da Internet
Microsoft Outlook Auto-Protect
Auto-Protect do Lotus Notes
Na guia Detalhes da verificao, marque ou desmarque Ativar o Auto-Protect

para e-mail da Internet.
Em Verificao, em Tipos de arquivos, selecione uma destas opes:
Verificar todos os arquivos

Esta a opo padro e a mais segura.
Verificar apenas extenses selecionadas
411
412

Para personalizar verificaes definidas pelo administrador para clientes executados em computadores Windows
possvel melhorar o desempenho da verificao selecionando esta opo;

porm, voc poder diminuir a proteo em seu computador.
Marque ou desmarque Verificarosarquivosdentrodearquivoscompactados.
Na guia Aes, selecione qualquer uma das seguintes opes.

Na guia Notificaes, em Notificaes, marque ou desmarque Exibir uma

mensagem de notificao no computador infectado. A mensagem tambm
pode ser personalizada.
Em Notificaes de e-mail, marque ou desmarque qualquer uma das seguintes

opes:
Inserir um aviso na mensagem de e-mail
Enviar e-mail ao remetente
Enviar e-mail a outros
Voc pode personalizar a mensagem de texto e incluir um aviso. Para o

Auto-Protect para e-mail da Internet, voc tambm deve especificar o servidor
de e-mail.
Para o Auto-Protect para e-mail da Internet apenas, na guia Avanado, em

Conexes criptografadas, ative ou desative conexes criptografadas de POP3
ou de SMTP.
10 Em Heurstica de worms de e-mail em massa, marque ou desmarque

Heurstica de worms enviados.
Para personalizar verificaes definidas pelo

administrador para clientes executados em
Convm personalizar verificaes sob demanda ou agendadas para os clientes
executados em computadores Windows. Voc pode definir opes para verificaes
de arquivos compactados e otimizar a verificao para o desempenho da verificao
ou do computador.

Para personalizar verificaes definidas pelo administrador para clientes executados em computadores Windows

Para personalizar uma verificao definida pelo administrador para clientes
executados em computadores Windows
Em Configuraes Windows, clique em Verificaes definidas pelo

administrador.
Em Verificaes agendadas, selecione a verificao agendada que deseja

personalizar ou crie uma nova verificao agendada.
Em Verificao sob demanda do administrador, clique em Editar.
Na guia Detalhes da verificao, selecione Opes avanadas de verificao.
Na guia Arquivos compactados, possvel reduzir o nmero de nveis para

verificar arquivos compactados. Se voc reduzir o nmero de nveis, ser
possvel melhorar o desempenho do computador-cliente.
Na guia Ajuste, mude o nvel de ajuste para o melhor desempenho do

computador-cliente ou da verificao.
Clique em OK.
Na guia Pesquisa do Insight, mude algumas configuraes para ajustar como

a Pesquisa do Insight lida com deteces de reputao. As configuraes so
semelhantes s configuraes do Download Insight.
Somente para as verificaes agendadas, na guia Agendamento, defina

qualquer uma das seguintes opes:
Durao da verificao
Voc pode definir quanto tempo a verificao ser executada antes que
pause e aguarde at que o computador-cliente esteja ocioso. Voc tambm
pode escolher aleatoriamente a hora de incio da verificao.
Verificaes agendadas perdidas

Voc pode especificar um intervalo de repetio para verificaes perdidas.
10 Na guia Aes, mude qualquer uma das aes de deteco.

413
414

Para personalizar verificaes definidas pelo administrador para clientes que so executados em computadores Mac
11 Na guia Notificaes, ative ou desative uma notificao que aparecer em

computadores-cliente quando a verificao fizer uma deteco.
Consulte Para gerenciar as notificaes de vrus e spyware que aparecem
nos computadores-cliente na pgina 396.
12 Clique em OK.
Para personalizar verificaes definidas pelo

administrador para clientes que so executados em
computadores Mac
Voc personaliza verificaes agendadas e sob demanda separadamente. Algumas
das opes so diferentes.
Mac na pgina 369.
Para personalizar uma verificao agendada que executada em computadores
Mac
Em Configuraes do Mac, selecione Verificaes definidas pelo

administrador.
Em Verificaes agendadas, selecione a verificao agendada que deseja

personalizar ou crie uma nova verificao agendada.
Na guia Detalhes da verificao, em Verificar unidades e pastas, selecione

os itens que deseja verificar.
Defina a prioridade da verificao.
Clique em OK.
Editar os detalhes da verificao para qualquer outra verificao includa
nesta poltica.

Como escolher verificaes aleatoriamente para melhorar o desempenho do computador em ambientes virtualizados
Na guia Notificaes, ative ou desative mensagens de notificao sobre

deteces de verificao. A configurao se aplica a todas as verificaes
agendadas que voc inclui nesta poltica.
Na guia Configuraes comuns, defina qualquer uma destas opes:
Opes de verificao
Aes
Alertas
Estas opes se aplicam a todas as verificaes agendadas que voc inclui

nesta poltica.
Clique em OK.
Para personalizar verificaes sob demanda executadas em computadores Mac
Na pgina da Poltica de proteo contra vrus e spyware, em Configuraes

do Mac, selecione Verificaes definidas pelo administrador.
Em Verificao sob demanda do administrador, clique em Editar.
Na guia Detalhes da verificao, em Verificar unidades e pastas, selecione

os itens que deseja verificar.
Voc tambm pode especificar aes para deteces de verificao e ativar
ou desativar verificaes dos arquivos compactados.
Na guia Notificaes, ative ou desative notificaes para deteces. Voc

tambm pode especificar a mensagem que aparece.
Clique em OK.
Como escolher verificaes aleatoriamente para

melhorar o desempenho do computador em
ambientes virtualizados
Voc pode optar por escolher aleatoriamente as verificaes agendadas para
melhorar o desempenho em computadores-cliente Windows. A escolha aleatria
importante em ambientes virtualizados.
Por exemplo, possvel agendar as verificaes para que sejam executadas s
20:00. Se voc selecionar um intervalo de tempo de quatro horas, as verificaes
em computadores-cliente iniciaro em uma hora escolhida aleatoriamente entre
20:00 e 24:00.
415
416

Para modificar configuraes de verificao global para clientes Windows

Para escolher verificaes aleatoriamente para melhorar o desempenho do
computador em ambientes virtualizados

Verificaes definidas pelo administrador.
Crie uma nova verificao agendada ou selecione uma verificao agendada

existente para editar.
Na caixa de dilogo Adicionar verificao agendada ou Editar uma

verificao agendada, clique na guia de Agendamento.
Em Agendamento de verificao, selecione com que frequncia a verificao

deve ser executada.
Em Durao da verificao, selecione Verificar at e selecione o nmero de

horas. O nmero de horas controla o intervalo de tempo durante o qual as
verificaes so escolhidas aleatoriamente.
Certifique-se de ativar Escolher aleatoriamente o horrio de incio da

verificao dentro deste perodo (recomendado em mquinas virtuais)
Clique em OK.
Certifique-se de aplicar a poltica ao grupo que inclui os computadores que

executam mquinas virtuais.
Para modificar configuraes de verificao global

para clientes Windows
Voc pode personalizar configuraes globais para verificaes executadas em
computadores-cliente Windows. Convm modificar essas opes para aumentar
a segurana em seus computadores-cliente.
Nota: Se aumentar a proteo em seus computadores-cliente modificando essas
opes, voc poder afetar o desempenho do computador-cliente.

Modificao de configuraes variadas para Proteo contra vrus e spyware em computadores Windows
Para modificar configuraes da verificao global para clientes Windows
Em Configuraes Windows, clique em Opes de verificao global.
Configurar qualquer uma destas opes:
Insight
O Insight permite que as verificaes ignorem

arquivos vlidos confiveis. A verificao pode
ignorar os arquivos que a Symantec garante como
vlidos (mais seguros) ou que a comunidade
garante como vlidos (menos seguros).
Bloodhound
O Bloodhound isola e localiza as regies lgicas

de um arquivo para detectar um percentual alto
de vrus desconhecidos. O Bloodhound analisa
ento a lgica do programa quanto a
comportamentos tpicos de vrus. Voc pode
especificar o nvel de sensibilidade para a
deteco.
Senha para unidades de rede

mapeadas
Especifica se os clientes solicitaro ou no uma

senha aos usurios quando verificarem unidades
de rede.
Clique em OK.
Modificao de configuraes variadas para Proteo

contra vrus e spyware em computadores Windows
Cada Poltica de proteo contra vrus e spyware inclui as opes que se aplicam
a todas as verificaes de vrus e spyware que so executadas em
computadores-cliente Windows.
Consulte Como o Symantec Endpoint Protection interage com a Central de
Segurana do Windows na pgina 425.
417
418

Central de Segurana do Windows
Voc pode especificar como a Central de

Segurana do Windows funcionar com o
Proteo do navegador da Internet
Voc pode especificar um URL padro que o

Symantec Endpoint Protection usa quando repara
um risco segurana que alterou uma home page
do navegador.
Eventos de log de riscos
Clientes, por padro, sempre enviam

determinados tipos de eventos para o servidor de
gerenciamento (como Verificao interrompida
ou Verificao iniciada ). Voc pode optar por
enviar ou no outros tipos de eventos (como
Arquivo no verificado ).
Os eventos enviados por clientes para o servidor
de gerenciamento afetam as informaes em
relatrios e logs. Voc deve decidir quais tipos de
eventos deseja encaminhar para o servidor de
gerenciamento. Voc pode reduzir o tamanho dos
logs e a quantidade de informaes includa em
relatrios, caso selecione apenas determinados
tipos de eventos.
Voc tambm pode configurar por quanto tempo
o cliente ir manter os itens de log. Essa opo
no afeta nenhum evento que os clientes enviam
para o console de gerenciamento. Voc pode usar
a opo para reduzir o tamanho real do log nos
Voc tambm pode especificar com que frequncia
os computadores-cliente enviam eventos
agregados ao servidor de gerenciamento.

Notificaes variadas
possvel configurar estas notificaes:

Avisar os usurios quando as definies
estiverem desatualizadas ou ausentes
Voc poder exibir e personalizar as
mensagens de aviso que sero exibidas nos
computadores-cliente quando as definies de
vrus e riscos segurana estiverem
desatualizadas ou ausentes. Convm alertar
os usurios se no tiver agendado atualizaes
automticas.
Incluir um URL nas mensagens de erro que
aparecem durante verificaes
Em casos raros, os usurios podero ver erros
aparecendo em seu computador-cliente
durante verificaes. Por exemplo, o
computador-cliente poder deparar-se com
buffer excedido ou problemas de
descompactao.
Voc pode especificar um URL que conduza
ao site de suporte da Symantec ou a um URL
personalizado. Por exemplo, voc pode ter um
site interno que deseje especificar.
Nota: O URL tambm exibido no log de

eventos do sistema para o cliente no qual o
erro ocorreu.
Excees da imagem virtual
Voc pode exclui imagens virtuais do Auto-Protect

ou das verificaes definidas pelo administrador.
Voc deve criar as imagens da linha de base que
deseja excluir com a ferramenta de excluso de
imagem virtual.
Para modificar configuraes variadas para Proteo contra vrus e spyware
Em Configuraes do Windows, clique em Miscelnea.

Especifique opes para a Central de Segurana do Windows ou a Proteo
do navegador da Internet.
Na guia Manuseio de logs, defina as opes para a filtragem de eventos,

reteno e agregao de logs.
Na guia Notificaes, configure notificaes globais.
419
420

Na guia Imagens virtuais, configure excees da imagem virtual.
Clique em OK.

Convm personalizar as configuraes do Download Insight para diminuir as
deteces de falso positivo em computadores-cliente. Voc pode alterar a
sensibilidade do Download Insight para os dados de reputao do arquivo usados
para caracterizar arquivos maliciosos. Voc tambm poder alterar as notificaes
que o Download Insight exibir nos computadores-cliente quando fizer uma
deteco.
Para personalizar as configuraes do Download Insight
No console, abra uma poltica de proteo contra vrus e spyware e selecione

Proteo de download.
Na guia Download Insight, certifique-se de selecionar Ativar o Download

Insight para detectar possveis riscos em arquivos obtidos por download
com base na reputao do arquivo.
Se o Auto-Protect estiver desativado, o Download Insight no funcionar
mesmo ativado.
Mova o regulador da sensibilidade de arquivos maliciosos ao nvel apropriado.

Se voc definir o nvel mais alto, o Download Insight detectar mais arquivos
como maliciosos e menos arquivos como no comprovados. Configuraes
mais altas, porm, retornam mais falsos positivos.
Marque ou desmarque as seguintes opes para usar como critrios adicionais

para examinar arquivos no comprovados:
Arquivos com menos de x usurios
Arquivos conhecidos pelos usurios h menos de x dias
Quando os arquivos no comprovados atenderem a esses critrios, o Download

Insight detectar os arquivos como maliciosos.
Certifique-se de que a opo Confiar automaticamente em qualquer arquivo

transferido por download de um site da intranet esteja selecionada.
Na guia Aes, em Arquivos maliciosos especifique uma primeira ao e

uma segunda ao.

Em Arquivos no comprovados, especifique a ao.
Na guia Notificaes, possvel especificar se uma mensagem dever ser

exibida nos computadores-cliente quando o Download Insight fizer uma
deteco.
Voc tambm pode personalizar o texto de um mensagem de aviso que
aparecer quando um usurio permitir um arquivo que o Download Insight
detectar.
Clique em OK.
Para mudar a ao do Symantec Endpoint Protection

quando fizer uma deteco
Voc pode configurar a ao ou as aes que as verificaes praticaro quando
fizerem uma deteco. Cada verificao tem seu prprio conjunto de aes, tais
como Limpar, Colocar em quarentena, Excluir ou Ignorar (log apenas).
Em clientes Windows, cada categoria de deteco pode ser configurada com uma
primeira e uma segunda ao no caso de a primeira ao no ser possvel.
Consulte Para verificar a ao de verificao e para verificar novamente
computadores identificados na pgina 345.
Por padro, o Symantec Endpoint Protection tenta limpar um arquivo infectado
por vrus. Se o Symantec Endpoint Protection no puder limpar um arquivo, ele
executar as seguintes aes:
Move o arquivo para a quarentena no computador infectado e nega qualquer

acesso ao arquivo.
Registra o evento.
Por padro, o Symantec Endpoint Protection move qualquer arquivo infectado

por riscos segurana para a quarentena.
421
422

Se voc configurar a ao para fazer registro em log apenas, por padro se os

usurios criarem ou salvarem arquivos infectados, o Symantec Endpoint Protection
os excluir.
Em computadores Windows, voc tambm pode configurar aes de correo para
verificaes do administrador, sob demanda e do Auto-Protect do sistema de
arquivos.
Voc pode bloquear aes para que usurios no possam alterar a ao em
computadores-cliente que usem essa poltica.
Aviso: Para os riscos segurana, use a ao de excluso com cuidado. Em alguns
casos, excluir riscos segurana pode prejudicar a funcionalidade dos aplicativos.
Se voc configurar o cliente para excluir os arquivos afetados pelo risco
segurana, ele no poder restaur-los.
Para fazer backup dos arquivos afetados pelos riscos segurana, use a ao
Colocar em quarentena.
Para alterar a ao que o Symantec Endpoint Protection executar quando fizer
uma deteco em computadores Windows
No console, abra uma poltica de Proteo contra vrus e spyware e selecione

a verificao (qualquer verificao do Auto-Protect, do administrador ou sob
demanda).
Na guia Aes, em Deteco, selecione um tipo de malware ou risco

segurana.
Por padro, cada subcategoria configurada automaticamente para usar as
aes definidas para a categoria inteira.
Nota: As categorias mudam dinamicamente com o passar do tempo, enquanto
a Symantec obtm novas informaes sobre riscos.
Para configurar aes para uma subcategoria apenas, execute uma das
seguintes aes:
Marque Sobrepor aes configuradas para malware e defina em seguida

as aes para essa subcategoria apenas.
Nota: Pode haver uma nica subcategoria sob uma categoria, dependendo
de como a Symantec classifica riscos atualmente. Por exemplo, em
Malware, pode haver uma nica subcategoria chamada Vrus.

Para permitir que usurios exibam o andamento das verificaes e interajam com elas
Selecione Sobrepor aes configuradas para riscos segurana e defina

as aes para essa subcategoria apenas.
Em Aes para, selecione a primeira e a segunda aes que o software-cliente

executa ao detectar essa categoria de vrus ou risco segurana.
Para os riscos segurana, use a ao de excluso com cuidado. Em alguns
casos, excluir riscos segurana pode prejudicar a funcionalidade dos
aplicativos.
Repita essas etapas para cada categoria para a qual voc deseja definir aes
(vrus e riscos segurana).
Quando terminar de configurar essa poltica, clique em OK.
Para especificar a ao que o Symantec Endpoint Protection executar quando

fizer uma deteco em computadores Mac
Na Poltica de proteo contra vrus e spyware, em Configuraes do Mac,

selecione Verificaes definidas pelo administrador.
Para verificaes agendadas, selecione a guia Configuraes comuns.
Para verificaes sob demanda, na guia Verificaes, em Verificao sob

demanda do administrador, clique em Editar.
Em Aes, marque qualquer uma das seguintes opes:
Reparar automaticamente arquivos infectados
Colocar em quarentena os arquivos que no puderem ser reparados
Para verificaes sob demanda, clique em OK.
Quando terminar de configurar essa poltica, clique em OK.
Para permitir que usurios exibam o andamento das

verificaes e interajam com elas
Voc pode configurar se a caixa de dilogo andamento da verificao ser ou no
exibida em computadores-cliente. Se voc permitir que a caixa de dilogo seja
exibida em computadores-cliente, os usurios sempre tero permisso para pausar
ou atrasar uma verificao definida pelo administrador.
Quando voc permitir que usurios exibam o andamento da verificao, um link
aparecer nas pginas principais da interface do usurio do cliente para exibir o
andamento da verificao da verificao atualmente em execuo. Um link para
reprogramar a prxima verificao agendada aparece tambm.
423
424

Para permitir que usurios exibam o andamento das verificaes e interajam com elas
Quando voc permitir que os usurios exibam o andamento da verificao, as

seguintes opes aparecero nas pginas principais da interface do usurio do
cliente:
Quando uma verificao for executada, o link da mensagem Verificao em

andamento aparecer.
O usurio pode clicar no link para exibir o andamento da verificao.
Um link para reprogramar a prxima verificao agendada aparece tambm.

Voc pode permitir que os usurios interrompam uma verificao por completo.
Voc pode tambm configurar as opes para o usurio pausar ou atrasar as
verificaes.
Voc pode permitir que o usurio execute as seguintes aes de verificao:
Pausar
Quando o usurio pausa uma verificao, a caixa de dilogo Resultados

da verificao permanece aberta, aguardando que ele continue ou
anule a verificao. Se o computador for desligado, a verificao
pausada no continuar.
Pausar
Ao adiar uma verificao agendada, o usurio tem a opo de adi-la
intermitentemente por uma hora ou trs horas. O nmero de adiamentos configurvel.
Quando uma verificao pausada intermitentemente, a caixa de
dilogo Resultados da verificao fechada. Ela reaparecer quando
o perodo de pausa intermitente se encerrar e a verificao for
reiniciada.
Interromper
Quando o usurio interrompe a verificao, ela, em geral, para

imediatamente. Se o usurio interromper a verificao enquanto o
software-cliente verifica um arquivo compactado, a verificao no
ser interrompida imediatamente. Nesse caso, a verificao para assim
que o arquivo compactado verificado. As verificaes interrompidas
no so reiniciadas.
As verificaes pausadas so reiniciadas automaticamente aps um perodo

predeterminado.
Clique em Ajuda para obter mais informaes sobre as opes usadas nesse
procedimento.

Como o Symantec Endpoint Protection interage com a Central de Segurana do Windows
Para permitir que usurios exibam o andamento das verificaes e interajam com
elas

Verificaes definidas pelo administrador.
Na guia Avanado, em Opes de andamento da verificao, selecione

Mostrar andamento da verificao ou Mostrar andamento da verificao
se houver um risco detectado.
Para fechar automaticamente o indicador de andamento quando a verificao

for concluda, selecione Fechar a janela de andamento da verificao aps
a concluso.
Selecione Permitir que o usurio interrompa a verificao.
Clique em Opes de pausa.
Na caixa de dilogo Opes de pausa de verificao, proceda de uma das

seguintes maneiras:
Para limitar o tempo para a pausa de uma verificao, marque Limitar o

tempo de pausa da verificao e digite um nmero de minutos. A faixa
de 3 a 180.
Para limitar o nmero de vezes que o usurio pode atrasar (ou pausar
intermitentemente) uma verificao, na caixa Nmero mximo de
suspenses, digite um nmero entre 1 e 8.
Por padro, um usurio pode atrasar a verificao por uma hora. Para
alterar esse limite para 3 horas, marque Permitir que os usurios
suspendam a verificao por 3 horas.
Clique em OK.
Como o Symantec Endpoint Protection interage com

a Central de Segurana do Windows
A Central de Segurana do Windows fornecer alertas em seu computador-cliente
se algum software de segurana estiver desatualizado ou se as configuraes de
segurana precisarem ser reforadas. So includos no Windows XP Service Pack
2 ou superior e no Windows Vista. Voc pode usar Poltica de proteo contra
vrus e spyware para definir as configuraes da Central de Segurana do Windows
em seus computadores-cliente que executam o Windows XP Service Pack 2 ou
Service Pack 3. As configuraes no se aplicam aos clientes que executam o
Windows Vista.
425
426


executados em computadores Windows na pgina 412.
Nota: As configuraes no se aplicam Central de Segurana no Windows 7 e
Windows 8.
Tabela 17-3
Opes para configurar como a Central de Segurana do Windows

funciona com o cliente
Opo
Descrio
Desativar a Central de
Segurana do Windows
Permite desativar permanente ou

Desative a Central de Segurana do
temporariamente a Central de Segurana Windows permanentemente se voc no
do Windows nos computadores-cliente
quiser que seus usurios de cliente
recebam alertas de segurana que ele
Opes disponveis:
fornece. Os usurios do cliente ainda
Nunca. A Central de Segurana do
podem receber alertas do Symantec
Windows est sempre ativada no
computador-cliente.
Ative a Central de Segurana do Windows
Uma vez. A Central de Segurana do
permanentemente se voc quiser que os
Windows desativada apenas uma vez.
usurios do cliente recebam alertas de
Se um usurio o ativar, no ser
segurana que ele fornece. Voc pode
desativado novamente.
configurar a Central de Segurana do
Sempre. A Central de Segurana do
Windows para exibir alertas do Symantec
Windows desativada
permanentemente no
computador-cliente. Se um usurio o
ativar, ser desativado imediatamente.
Restaurar. A Central de Segurana do
Windows ser ativada caso tenha sido
previamente desativada pela poltica
de proteo contra vrus e spyware.
Exibir alertas de antivrus Permite definir que os alertas de antivrus

na Central de Segurana do do cliente do Symantec Endpoint
Windows
Protection apaream na rea de
notificao do Windows.
Quando usar
Ative esta configurao se desejar que

seus usurios recebam alertas do
Symantec Endpoint Protection com outros
alertas de segurana na rea de
notificao do Windows de seus
computadores.

Opo
Descrio
Quando usar
Exibir uma mensagem da

Central de Segurana do
Windows quando as
definies estiverem
desatualizadas
Permite definir o nmero de dias depois

dos quais a Central de Segurana do
Windows considera as definies
desatualizadas. Por padro, a Central de
Segurana do Windows envia esta
mensagem aps 30 dias.
Defina esta opo se deseja que a Central

de Segurana do Windows notifique seus
usurios de cliente sobre definies
desatualizados mais frequentemente do
que o tempo padro (30 dias).
Nota: Em computadores-cliente, o
Symantec Endpoint Protection verifica, a
cada 15 minutos, para comparar o tempo
de desatualizao, a data das definies e
a data atual. Em geral, nenhum status de
desatualizao relatado Central de
Segurana, pois as definies costumam
ser atualizadas automaticamente. Se voc
atualizar as definies manualmente,
talvez precise aguardar at 15 minutos
para exibir um status exato na Central de
Segurana do Windows.
427
428

Captulo
18
Para gerenciar o SONAR

Sobre o SONAR
Como controlar e impedir as deteces de falsos positivos do SONAR
Para ajustar as configuraes do SONAR em seus computadores-cliente
Monitoramento de resultados de deteco do SONAR para procurar falsos

positivos
Gerenciamento das verificaes proativas de ameaas TruScan de clientes

legados
Sobre o SONAR
O SONAR uma proteo em tempo real que detecta aplicativos potencialmente
maliciosos quando so executados em seus computadores. O SONAR fornece a
proteo do dia zero porque detecta ameaas antes que definies tradicionais
de deteco contra vrus e spyware sejam criadas para lidar com as ameaas.
O SONAR usa a heurstica, assim como os dados de reputao, para detectar
ameaas emergentes e desconhecidas. O SONAR fornece um nvel adicional de
proteo em seus computadores-cliente e complementa a proteo contra vrus
e spyware, a preveno contra intruses e a proteo de firewall existentes.
O SONAR usa um sistema de heurstica que utiliza a rede online de inteligncia
da Symantec com monitorao local proativa em seus computadores-cliente para
detectar ameaas emergentes. O SONAR detecta tambm mudanas ou
comportamento em seu computador-cliente que voc deve monitorar.
430

Sobre o SONAR
Nota: O Auto-Protect tambm utiliza um tipo de heurstica denominado Bloodhound

para detectar comportamento suspeito nos arquivos.
O SONAR pode introduzir um cdigo nos aplicativos que so executados no modo
de usurio do Windows para monitor-los em busca de atividade suspeita. Em
alguns casos, a introduo pode afetar o desempenho do aplicativo ou causar
problemas na execuo do aplicativo. Voc pode criar uma exceo para excluir
o arquivo, a pasta ou o aplicativo deste tipo de monitorao.
Nota: O SONAR no introduz cdigos em aplicativos em clientes do Symantec
Endpoint Protection 12.1 ou anteriores. Se voc usar o Symantec Endpoint
Protection Manager 12.1.2 para gerenciar clientes, uma exceo de arquivo do
SONAR em uma poltica de excees ser ignorada em seus clientes legados. Se
voc usar um Symantec Endpoint Protection Manager legado para gerenciar
clientes, a poltica legada no suportar excees de arquivos do SONAR em seus
clientes do Symantec Endpoint Protection 12.1.2. No entanto, voc pode impedir
a introduo de cdigo do SONAR em aplicativos nestes clientes, criando uma
exceo de Aplicativo para monitorao na poltica legada. Depois que o cliente
aprender o aplicativo, voc poder configurar uma exceo do aplicativo na poltica.
Os clientes do Symantec Endpoint Protection verso 12.0 ou anterior no suportam
o SONAR; contudo, os clientes legados usam verificaes de proteo proativa
contra ameaas TruScan para fornecer proteo contra ameaas de dia zero. As
verificaes proativas contra ameaas TruScan so executadas periodicamente
em vez de em tempo real.
O SONAR no faz deteces no tipo do aplicativo, mas em como um processo se
comporta. O SONAR atuar em um aplicativo apenas se esse aplicativo se
comportar de modo malicioso, independentemente de seu tipo. Por exemplo, se
um Cavalo de Troia ou um keylogger no atuarem de modo malicioso, o SONAR
no o detectar.
O SONAR detecta os seguintes itens:
Ameaas heursticas
O SONAR usa a heurstica para determinar se um arquivo

desconhecido se comporta de modo suspeito e pode ser de
alto ou de baixo risco. Usa tambm dados de reputao para
determinar se a ameaa de alto ou de baixo risco.
Mudanas de sistema
O SONAR detecta aplicativos ou os arquivos que tentam

modificar configuraes do DNS ou um arquivo do host em
um computador-cliente.

Aplicativos confiveis que

apresentam mau
comportamento
Alguns arquivos vlidos confiveis podem ser associados

ao comportamento suspeito. O SONAR detecta esses
arquivos como eventos de comportamento suspeito. Por
exemplo, um aplicativo conhecido de compartilhamento de
documentos pode criar arquivos executveis.
Se voc desativar o Auto-Protect, limitar a capacidade do SONAR de fazer

deteces de arquivos de alto e de baixo risco. Se voc desativar as buscas do
Insight (consultas de reputao), voc tambm limitar o recurso de deteco do
SONAR.
na pgina 574.

O SONAR faz parte da proteo proativa contra ameaas em seus
computadores-cliente. Voc gerencia as configuraes do SONAR como parte de
uma poltica de proteo contra vrus e spyware.
Defina configuraes do SONAR para os clientes que executam o Symantec
Endpoint Protection verso 12.1. Configuraes do SONAR tambm incluem
configuraes de verificao proativa de ameaas de TruScan para clientes legados.
Muitas das configuraes podem ser bloqueadas para que os usurios dos
computadores-cliente no possam alter-las.
Tabela 18-1
Tarefa
Descrio
Saiba como o SONAR funciona
Saiba como o SONAR detecta ameaas

desconhecidas. Informaes sobre como o SONAR
funciona podem ajud-lo a tomar decises sobre
como usar o SONAR em sua rede de segurana.
431
432

Tarefa
Descrio
Verificar se o SONAR est ativado
Para fornecer a mais completa proteo para seu

computador-cliente, voc deve ativar o SONAR.
O SONAR interopera com alguns outros recursos
do Symantec Endpoint Protection. O SONAR exige
o Auto-Protect.
Voc pode usar a guia Clientes para verificar se a
proteo proativa contra ameaas est ativada
Nota: Os clientes legados no relatam o status da

proteo proativa contra ameaas ao Symantec
Consulte Para ajustar as configuraes do SONAR
em seus computadores-cliente na pgina 438.
Verificar as configuraes padro do
SONAR
As configuraes do SONAR fazem parte de uma

poltica de proteo contra vrus e spyware.
Consulte Sobre as configuraes padro de
verificao da Poltica de proteo contra vrus e
Certifique-se de que as Pesquisas do

Insight estejam ativadas
O SONAR usa dados de reputao, alm de

heurstica, para fazer deteces. Se voc desativar
as Pesquisas do Insight, o SONAR far deteces
usando somente a heurstica. A taxa de falsos
positivos poder aumentar, e a proteo que o
SONAR fornece ser limitada.
Ative ou desative as Pesquisas do Insight na caixa
de dilogo Envios.
Consulte Ativao ou desativao de envios de
clientes para o Symantec Security Response
na pgina 387.

Tarefa
Descrio
Monitorar eventos do SONAR para

Voc pode usar o log do SONAR para monitorar
procurar deteces de falsos positivos eventos.
Voc tambm pode exibir o relatrio de resultados
de Deteco do SONAR (em Relatrios de risco)
para exibir informaes sobre deteces.
Consulte Monitoramento de resultados de
deteco do SONAR para procurar falsos
positivos na pgina 440.
Consulte Monitorao da proteo de endpoints
na pgina 657.
Ajustar configuraes do SONAR
Voc pode alterar a ao de deteco para alguns

tipos de ameaas que o SONAR detecta. Convm
mudar a ao de deteco para reduzir deteces
de falsos positivos.
Convm tambm ativar ou desativar notificaes
para deteces heursticas de alto ou baixo risco.
Consulte Como controlar e impedir as deteces
de falsos positivos do SONAR na pgina 436.
433
434

Tarefa
Descrio
Impedir que o SONAR detecte os

aplicativos que voc sabe que so
seguros
O SONAR pode detectar os arquivos ou aplicativos

que voc deseja executar em seus
computadores-cliente. possvel usar uma
poltica de excees para especificar excees para
arquivos, pastas ou aplicativos especficos que
voc deseja permitir. Para os itens que o SONAR
coloca em quarentena, possvel criar uma
exceo para o item em quarentena do log do
SONAR.
Tambm recomenda-se definir as aes do SONAR
para registrar em log e permitir deteces. Voc
pode usar a aprendizagem de aplicativo para que
o Symantec Endpoint Protection saiba quais so
os aplicativos legtimos em seu
computador-cliente. Depois que o Symantec
Endpoint Protection souber que aplicativos voc
usa em sua rede, ser possvel mudar a ao do
SONAR para Quarentena.
Nota: Se voc definir a ao para deteces de

alto risco como somente registrar em log, poder
permitir possveis ameaas em seu
computador-cliente.
Consulte Como controlar e impedir as deteces
de falsos positivos do SONAR na pgina 436.
Impea que o SONAR examine alguns
aplicativos
Em alguns casos, um aplicativo poder tornar-se

instvel ou no poder ser executado quando o
SONAR introduzir um cdigo no aplicativo para
examin-lo. Voc pode criar uma exceo de
arquivo, pasta ou aplicativo para o aplicativo.
Consulte Criao de excees para o Symantec

Tarefa
Descrio
Gerenciar a maneira com que o SONAR

detecta os aplicativos que fazem
alteraes no DNS ou no arquivo do
host
Voc pode usar as configuraes de poltica do

SONAR para ajustar globalmente a forma como
o SONAR gerencia deteces de alteraes de DNS
ou de arquivo do host. Voc pode usar a Poltica
de excees para configurar excees para
aplicativos especficos.
Consulte Para criar uma exceo para um
aplicativo que faz mudanas no DNS ou em
arquivo do host na pgina 587.
Gerenciar verificaes proativas de

ameaas TruScan de clientes legados
Os clientes do Symantec Endpoint Protection

verso 12.0 ou mais recente no suportam o
SONAR; estes clientes usam as verificaes de
proteo proativa contra ameaas TruScan.
possvel ajustar as configuraes da verificao
proativa de ameaas TruScan para alterar as
aes, a sensibilidade e a frequncia da
verificao. Convm ajustar as configuraes para
controlar deteces de falsos positivos em seus
computadores-cliente legados.
Consulte Sobre como ajustar as configuraes
do TruScan para clientes legados na pgina 442.
Consulte Para definir as configuraes da
verificao proativa contra ameaas TruScan para
clientes legados na pgina 446.

informaes sobre as deteces do
SONAR Symantec
A Symantec recomenda que voc ative os envios

em seus computadores-cliente. As informaes
que os clientes enviam sobre as deteces ajudam
a Symantec a lidar com as ameaas. Essas
informaes ajudam a Symantec a criar a melhor
heurstica, o que resulta em menos deteces de
falsos positivos.
Consulte Ativao ou desativao de envios de
clientes para o Symantec Security Response
na pgina 387.
435
436

Como controlar e impedir as deteces de falsos

positivos do SONAR
O SONAR pode fazer deteces de falsos positivos para determinados aplicativos
personalizados internos. Alm disso, se voc desativar as Pesquisas do Insight, o
nmero de falsos positivos do SONAR aumentar.
Voc pode mudar as configuraes do SONAR para diminuir as deteces de falsos
positivos em geral. Voc tambm poder criar excees para um arquivo ou
aplicativo especfico que o SONAR detectar como um falso positivo.
Voc pode tambm ajustar as configuraes e criar excees para as verificaes
de proteo proativa contra ameaas TruScan, que so executadas em clientes do
Symantec Endpoint Protection verso 12.0 ou anterior.Consulte Gerenciamento
das verificaes proativas de ameaas TruScan de clientes legados na pgina 441.
Aviso: Se voc definir a ao para deteces de alto risco como apenas registrar
em log, poder permitir possveis ameaas em seu computador-cliente.

Tabela 18-2
Controle de falsos positivos do SONAR
Tarefa
Descrio
Registrar em log as deteces

heursticas de alto risco do SONAR e
usar aprendizagem de aplicativo
Convm definir a aes de deteco para as

deteces heursticas de alto risco como Log por
um curto perodo de tempo. Deixe a aprendizagem
de aplicativo em execuo durante o mesmo
perodo de tempo. O Symantec Endpoint
Protection descobrir os processos legtimos
executados em sua rede. Algumas deteces
verdadeiras podem no ser colocadas em
quarentena, porm.
Consulte Configurao do servidor de
gerenciamento para recolher informaes sobre
os aplicativos executados pelos
Aps o perodo de tempo, necessrio definir a
ao de deteco de volta para Quarentena.
Nota: Se usar o modo agressivo para deteces

heursticas de baixo risco, voc aumentar a
probabilidade de deteces de falsos positivos. O
modo agressivo desativado por padro.
437
438

Tarefa
Descrio
Criar excees para que o SONAR

permita aplicativos seguros
Voc pode criar excees para o SONAR das

seguintes maneiras:
Usar o log do SONAR para criar uma exceo
para um aplicativo que foi detectado e
colocado em quarentena
Voc pode criar uma exceo de log do SONAR
para deteces de falsos positivos. Se o item
for colocado em quarentena, ele ser
restaurado pelo Symantec Endpoint Protection
depois de verificar novamente o item em
quarentena. Os itens em quarentena so
verificados novamente depois que o cliente
recebe as definies atualizadas.
Consulte Para criar excees de eventos de
log no Symantec Endpoint Protection
Consulte Configurao de como a quarentena
controla a nova verificao dos arquivos
depois que as definies novas so recebidas
na pgina 395.
Use a Poltica de excees para especificar uma
exceo para um nome de arquivo, um nome
de pasta ou um aplicativo especfico.
Voc pode excluir uma pasta inteira da
deteco do SONAR. Convm excluir as pastas
onde seus aplicativos personalizados residem.
Consulte Criao de excees para o
Para ajustar as configuraes do SONAR em seus

Convm alterar as aes do SONAR para reduzir a taxa de deteces de falsos
positivos. Tambm convm alterar as aes do SONAR para alterar o nmero de
notificaes de deteco que aparecem em seus computadores-cliente.
Nota: As configuraes das notificaes do SONAR so usadas tambm para
notificaes da verificao proativa contra ameaas TruScan.

Na poltica de proteo contra vrus e spyware, selecione SONAR.
Certifique-se de que Ativar o SONAR esteja selecionado.
Em Detalhes da verificao, altere as aes para ameaas heursticas de alto

ou baixo risco.
Voc pode ativar o modo agressivo para deteces de baixo risco. Essa
configurao aumenta a sensibilidade do SONAR para deteces de baixo
risco. Ela pode aumentar as deteces de falsos positivos.
Opcionalmente, altere as configuraes para as notificaes que aparecem

As configuraes do SONAR tambm controlam notificaes para verificaes
proativas contra ameaas TruScan.
Em Eventos de alterao do sistema, altere a ao para Detectada alterao

de DNS ou Detectada alterao no arquivo host.
Nota: A ao Avisar pode resultar em muitas notificaes em seus
computadores-cliente. Qualquer ao que no seja Ignorar pode resultar em
muitos eventos de log no console e notificaes de e-mail aos administradores.
Aviso: Se voc definir a ao para Bloquear, poder bloquear aplicativos

importantes nos computadores-cliente.
Por exemplo, se voc definir a ao Bloquear para Detectada alterao de
DNS, poder bloquear clientes VPN. Se voc definir a ao Bloquear para
Detectada alterao no arquivo host, poder bloquear aplicativos que
precisam acessar o arquivo do host. Voc pode usar DNS ou uma exceo de
mudana de arquivo no host para permitir que um aplicativo especfico faa
mudanas no DNS ou em arquivos do host.
Consulte Para criar uma exceo para um aplicativo que faz mudanas no
DNS ou em arquivo do host na pgina 587.
Em Deteco de comportamento suspeito, altere a ao para deteces de

alto ou baixo risco.
Clique em OK.

439
440

Monitoramento de resultados de deteco do SONAR para procurar falsos positivos
Monitoramento de resultados de deteco do SONAR

para procurar falsos positivos
O cliente coleta e faz o upload de resultados de deteco do SONAR para o servidor
de gerenciamento. Os resultados so salvos no log do SONAR.
Para determinar quais processos so legtimos e quais resultam em riscos
segurana, verifique as seguintes colunas no log:
Evento
O tipo de evento e a ao que o cliente tomou no processo, tal como

a limpeza ou o registro em log dele. Procure pelos seguintes tipos
de evento:
Um processo legtimo possvel listado como um evento de Risco
em potencial encontrado.
Um risco segurana provvel listado como um evento de Risco
segurana encontrado.
Aplicativo
O nome de processo.
Tipo de aplicativo
O tipo de malware detectado pelo SONAR ou por uma verificao

proativa de ameaas TruScan.
Arquivo/caminho
O nome do caminho de onde o processo foi iniciado.
A coluna Evento informa imediatamente se um processo detectado um risco

segurana ou um processo legtimo possvel. Porm, um possvel risco que
encontrado pode ou no pode ser um processo legtimo, e um risco segurana
que encontrado pode ou no pode ser um processo malicioso. Portanto, voc
precisa verificar o Tipo de aplicativo e as colunas Arquivo/caminho para obter
mais informaes. Por exemplo, possvel reconhecer o nome do aplicativo de
um aplicativo legtimo desenvolvido por uma empresa de terceiros.
Os clientes legados no oferecem suporte ao SONAR. Porm, os clientes legados
coletam eventos semelhantes das verificaes de proteo proativa TruScan e os
incluem no log do SONAR.
Para monitorar resultados da deteco do SONAR para verificar falsos positivos
No console, clique em Monitores> Logs.
Na guia Logs, na lista suspensa Tipo de log, clique em SONAR.
Selecione uma hora da caixa da lista de Intervalo de tempo mais prxima da

ltima vez que voc fez alteraes em uma configurao de verificao.
Clique em Configuraes avanadas.
Na lista suspensa Tipo de evento, selecione um dos seguintes eventos de log:

Gerenciamento das verificaes proativas de ameaas TruScan de clientes legados
Para exibir todos os processos detectados, certifique-se de que Todos

esteja selecionado.
Para exibir os processos que foram avaliados como riscos segurana,

clique em Risco segurana encontrado.
Para exibir os processos que foram avaliados e registrados como possveis

riscos, clique em Risco em potencial encontrado.
Clique em Exibir log.
Aps identificar os aplicativos legtimos e os riscos segurana, crie uma

exceo para eles em uma poltica de excees.
Voc pode criar a exceo diretamente no painel Logs do SONAR.
Consulte Para criar excees de eventos de log no Symantec Endpoint Protection

Gerenciamento das verificaes proativas de ameaas

TruScan de clientes legados
Voc pode gerenciar as verificaes proativas de ameaas TruScan usando duas
abordagens diferentes de implementao. Cada abordagem oferece as vantagens
relacionadas ao tamanho de sua rede, recursos de segurana e a carga de trabalho
que sua equipe de suporte tcnico enfrenta.
Com qualquer abordagem, voc precisa normalmente criar excees para deteces
de falsos positivos.
Consulte Sobre como ajustar as configuraes do TruScan para clientes legados
na pgina 442.
Consulte Para definir as configuraes da verificao proativa contra ameaas
TruScan para clientes legados na pgina 446.
441
442

Tabela 18-3
Gerenciamento das verificaes proativas de ameaas TruScan em

clientes legados
Tarefa
Descrio
Usar as configuraes padro da

Symantec
As configuraes padro da Symantec fornecem

um alto nvel de proteo e exigem um baixo nvel
de gerenciamento. Quando voc instalar o
Symantec Endpoint Protection Manager, use as
configuraes padro.
Usando os padres da Symantec, o
software-cliente determinar a ao e o nvel de
sensibilidade. O mecanismo de verificao
executado no computador-cliente coloca
automaticamente em quarentena os riscos
segurana e registra em log possveis riscos e
riscos desconhecidos.
Use as configuraes padro da Symantec durante
as primeiras duas a quatro semanas depois de
configurar o servidor de gerenciamento.
Ajuste as configuraes padro

manualmente.
Aps o perodo de adaptao inicial, durante o

qual voc se familiariza com a tecnologia, convm
ter mais controle. Se voc usar esta abordagem,
voc mesmo ajustar a ao de deteco e o nvel
de sensibilidade.
Quando voc desativar os padres da Symantec,
voc especificar uma nica ao de resposta para
as deteces, mesmo que no sejam riscos. Por
exemplo, uma verificao pode colocar em
quarentena todos os processos detectados ou
registrar em log todos os processos detectados,
mas no faz ambos.
Sobre como ajustar as configuraes do TruScan para clientes legados

Normalmente, necessrio usar padres da Symantec para as verificaes
proativas de ameaas do TruScan. Porm, na configurao de sua rede, convm
definir as configuraes manualmente.

Tabela 18-4
Como definir as configuraes do TruScan para clientes legados
Configurao
Descrio
Ao
Como melhor prtica, quando voc iniciar o gerenciamento

das verificaes, defina a ao como Log. Isto significa
que nem os riscos segurana nem os processos legtimos
usam a ao que voc deseja. Voc deseja que as
verificaes coloquem em quarentena ou encerrem os
riscos segurana e ignorem os processos legtimos.
Crie excees para qualquer deteco de falsos positivos.
As excees definiro o processo e a ao a tomar quando
uma verificao detectar um processo especificado.
443
444

Configurao
Sensibilidade
Descrio

Configurao
Descrio
Quando voc ajustar o nvel de sensibilidade de Cavalos
de Troia e worms, defina-o como 10. Quando o nvel de
sensibilidade for baixo, as verificaes detectaro menos
processos do que com o nvel de sensibilidade ajustado
como mais alto. A taxa de processos legtimos registrados
em log como possvel risco baixa. Aps executar o nvel
de sensibilidade como 10 por alguns dias e monitorar o
log de todos os aplicativos legtimos, possvel aumentar
o nvel de sensibilidade para 20. Durante um perodo de
60 a 90 dias, possvel aumentar gradualmente o nvel de
sensibilidade de 10 em 10 at 100. Para proteo mxima,
deixe o nvel de sensibilidade em 100.
Usando esta abordagem de adaptao gradual, os usurios
nos computadores-cliente no so sobrecarregados com
notificaes de deteco assim que voc implementa o
cliente. Em vez disso, possvel atribuir o tempo para
monitorar o aumento nas notificaes a cada nvel.
Para keyloggers, inicie o nvel de sensibilidade em Baixo.
medida que voc aumenta o nvel de sensibilidade, mais
processos sero detectados, maliciosos e legtimos. O nvel
de sensibilidade no afeta apreciavelmente a taxa de
processos legtimos registrados. Um nvel de sensibilidade
mais alto significa que uma verificao sinaliza uma
quantidade maior de processos que so riscos segurana
assim como processos legtimos. Mas a proporo de
processos maliciosos para legtimos permanece quase
constante, apesar do nvel de sensibilidade. Alm disso, o
nvel de sensibilidade no indica o nvel de certeza
associado a uma deteco. Por exemplo, uma verificao
pode detectar um processo no nvel de sensibilidade 10 e
detectar outro processo no nvel de sensibilidade 90. Mas
o nvel de sensibilidade no significa que um processo
representa uma ameaa maior do que o outro.
Aps mudar o nvel de sensibilidade das verificaes, use
o log do SONAR para determinar se o nvel de sensibilidade
muito baixo ou muito alto. Se o cliente relatar muitos
processos legtimos como riscos segurana, convm
definir um nvel de sensibilidade mais baixo. Voc pode
aumentar o nvel depois de criar excees para os
processos legtimos.
Nota: Aps ter adicionado todas as excees a uma poltica

de excees, provvel que todas as novas deteces sejam
445
446

Configurao
Descrio
riscos segurana. Para ter mais segurana, possvel
mudar a ao da resposta para todos os processos de volta
para Quarentena ou Encerrar. Continue monitorando o
log do SONAR caso a verificao detecte aplicativos
legtimos novos e coloc-los em quarentena.
Frequncia da verificao
A frequncia padro para verificaes uma hora. Se o

desempenho dos computadores-cliente se tornar muito
lento, diminua a frequncia da verificao.
Consulte Gerenciamento das verificaes proativas de ameaas TruScan de

Consulte Para definir as configuraes da verificao proativa contra ameaas
TruScan para clientes legados na pgina 446.
Para definir as configuraes da verificao proativa contra ameaas

TruScan para clientes legados
Os clientes legados no podem usar as configuraes do SONAR. Em vez disso, os
clientes usam o TruScan para detectar ameaas desconhecidas.
Por padro, as Verificaes proativas contra ameaas TruScan detectam Cavalos
de Troia, worms e keyloggers. Tambm por padro, a resposta e a sensibilidade
da deteco so determinadas pela Symantec. Por exemplo, um processo detectado
pode ser colocado em quarentena ou registrado em log. Se voc optar por configurar
as aes manualmente, voc definir uma nica ao para as deteces. Um
processo detectado seria sempre colocado em quarentena ou registrado em log,
dependendo da ao que voc escolher.
Voc tambm pode definir a ao para deteces de aplicativo comerciais.
Normalmente, voc no deve modificar as configuraes padro.
Nota: Voc controla as notificaes do usurio para deteces do TruScan na guia
do SONAR Detalhes da verificao.

Para definir as configuraes da verificao proativa contra ameaas TruScan para

clientes legados
Na poltica de proteo contra vrus e spyware, clique em SONAR.
Selecione Configuraes de cliente legado do TruScan.

Por padro, as configuraes Detalhes da verificao, Deteco de aplicativos
comerciais e Frequncia so ocultadas.
Clique no cone de seta para expandir as configuraes de Detalhes da

verificao.
Selecione ou desmarque Verificar Cavalos de Troia e worms e Verificar

keyloggers.
Para alterar as aes ou a sensibilidade de qualquer tipo de risco, desmarque

Usar os padres definidos pela Symantec.
As notificaes sero enviadas automaticamente se uma ao estiver definida
como Quarentena ou Encerrar. Use a ao Encerrar com cuidado. Em alguns
casos, voc pode fazer com que os aplicativos percam a funcionalidade.
Mova o regulador de sensibilidade para a esquerda ou direita para diminuir

ou aumentar a sensibilidade, respectivamente.
Clique em Baixa ou Alta.
Clique no cone de seta para expandir as configuraes de Deteco de

aplicativos comerciais.
Defina a ao para keyloggers comerciais ou programas de controle remoto

comerciais.
Clique na seta para expandir as configuraes de Frequncia de verificao.
10 Defina uma das opes a seguir:
Na frequncia de verificao padro

O software de mecanismo de verificao determina a frequncia da
verificao. Essa opo a configurao padro.
Em uma frequncia de verificao personalizada

Se voc ativar essa opo, poder especificar se o cliente deve verificar
novos processos imediatamente quando detect-los. Voc tambm poder
configurar o tempo de frequncia da verificao.
11 Clique em OK.
Consulte Gerenciamento das verificaes proativas de ameaas TruScan de
447
448

Consulte Sobre como ajustar as configuraes do TruScan para clientes legados

na pgina 442.
Captulo
19
Para gerenciar a Proteo

contra adulteraes
Sobre a proteo contra adulteraes
Para alterar as configuraes da Proteo contra adulteraes
Sobre a proteo contra adulteraes

A proteo contra adulteraes garante proteo em tempo real aos aplicativos
da Symantec executados em servidores e clientes. Ela evita que os processos que
no sejam Symantec, como worms, Cavalos de Troia, vrus e riscos segurana,
afetem os recursos da Symantec. Voc pode configurar o software para bloquear
ou registrar tentativas de modificar os recursos da Symantec.
Nota: A proteo contra adulteraes executada nos clientes Windows apenas.
Ela no executada em clientes Mac.
Por padro, a Proteo contra adulteraes ativada e definida como Bloquear,
mas no registrar em log. Voc poder mudar a configurao para Somente
registrar em log ou Bloquear e registrar em log se quiser monitorar as deteces
para falsos positivos. A Proteo contra adulteraes pode gerar muitas mensagens
de log, assim no convm registrar os eventos em log.
Se voc usar verificadores de riscos segurana de terceiros que detectam e
protegem contra adwares e spywares indesejveis, esses verificadores geralmente
afetaro os recursos da Symantec. Se voc definir a Proteo contra adulteraes
para registrar em log eventos de adulterao quando voc executar o verificador,
a Proteo contra adulteraes vai gerar um grande nmero entradas de log. Se
450
Para gerenciar a Proteo contra adulteraes

Para alterar as configuraes da Proteo contra adulteraes
voc decidir registrar em log os eventos da Proteo contra adulteraes, use a

filtragem de log para gerenciar o nmero de eventos.
Voc tambm pode criar excees para os aplicativos que a Proteo contra
adulteraes detectar.
na pgina 450.
Consulte Para criar uma exceo da Proteo contra adulteraes na pgina 586.
Para alterar as configuraes da Proteo contra

adulteraes
A Proteo contra adulteraes garante proteo em tempo real aos aplicativos
da Symantec executados em servidores e clientes. Impede que as ameaas e os
riscos segurana adulterem recursos da Symantec. Voc pode ativar ou desativar
a Proteo contra adulteraes. Voc pode tambm configurar a ao que a
Proteo contra adulteraes executar quando detectar uma tentativa de
adulterao nos recursos da Symantec em sua rede.
As configuraes da proteo contra adulteraes so configuradas globalmente
para um grupo selecionado.
Para alterar as configuraes da proteo contra adulteraes
Na guia Polticas, em Configuraes, clique em Configuraes gerais.
Na guia Proteo contra adulteraes, marque ou desmarque Proteger o

software de segurana da Symantec contra adulteraes ou desligamento.
Na caixa de listagem em Aes a serem tomadas se um aplicativo tentar

adulterar ou desligar o software de segurana da Symantec, selecione uma
das seguintes aes:
Somente registrar em log
Bloquear, mas no registrar em log
Bloquear e registrar em log
Clique no cone para bloquear ou desbloquear estas opes nos

computadores-cliente. Quando bloquear uma opo, voc impedir que o
usurio altere a opo.
Clique em OK.
Consulte Sobre a proteo contra adulteraes na pgina 449.
Captulo
20
Para gerenciar a proteo

de firewall
Para gerenciar a proteo de firewall
Para criar uma poltica de firewall
Para gerenciar regras de firewall
Para configurar regras de firewall

O firewall permite o trfego de entrada e de sada da rede que voc especifica na
poltica de firewall. A poltica de firewall do Symantec Endpoint Protection contm
regras e configuraes de proteo e a maior parte delas voc pode ativar ou
desativar e configurar.
A Tabela 20-1 descreve maneiras de gerenciar a proteo de firewall. Todas estas
tarefas so opcionais.
Tabela 20-1
Gerenciar a proteo de firewall
Tarefa
Descrio
Ler sobre a
proteo de
firewall
Antes de configurar sua proteo de firewall, necessrio familiarizar-se

com o firewall.
Consulte Sobre o firewall do Symantec Endpoint Protection
na pgina 454.
452

Tarefa
Descrio
Criar uma
poltica de
firewall
O Symantec Endpoint Protection instalado com uma poltica de firewall

padro. Voc pode modificar a poltica padro ou criar novas.
Voc deve criar uma poltica antes de definir regras de firewall e
configuraes de proteo de firewall para essa poltica.
Consulte Como ativar ou desativar uma poltica de firewall
na pgina 458.
Criar e
personalizar
regras de
firewall
As regras de firewall so os componentes da poltica que controlam como

o firewall protege computadores-cliente contra ataques maliciosos.
A poltica de firewall padro contm regras padro de firewall. E, quando
voc criar uma poltica nova, o Symantec Endpoint Protection fornecer
regras padro de firewall. Porm, possvel modificar as regras padro
ou criar novas.
Consulte Para gerenciar regras de firewall na pgina 467.
Consulte Para configurar regras de firewall na pgina 486.
Ativar
configuraes
de proteo de
firewall
Depois que o firewall concluir determinadas operaes, o controle ser

aprovado para vrios componentes. Cada componente projetado para
executar um tipo diferente de anlise do pacote.
Consulte Automaticamente permitir comunicaes para servios de
rede essenciais na pgina 459.
Consulte Bloqueio automtico de conexes a um computador invasor
na pgina 461.
Consulte Deteco de ataques potenciais e tentativas de spoofing
na pgina 462.
Consulte Como impedir a deteco de dissimulao na pgina 463.
Consulte Desativao do firewall do Windows na pgina 464.
Consulte Configurao da autenticao ponto a ponto na pgina 465.
Monitorar a
proteo de
firewall
Monitore regularmente o status da proteo de firewall em seus

computadores.

na pgina 250.
Consulte Definio de configuraes de firewall para controle misto na pgina 460.

Consulte o artigo da Base de conhecimento Symantec Endpoint Protection Network

Threat Protection (Firewall) Overview and Best Practices White Paper (em ingls).
Como um firewall funciona

Um firewall realiza todas as seguintes tarefas:
Impede que usurios no autorizados acessem os computadores e as redes em

sua organizao que se conectam Internet
Monitora a comunicao entre seus computadores e outros computadores na

Internet
Cria um escudo que permite ou bloqueia tentativas de acesso s informaes

em seu computador
Avisa-o sobre as tentativas de conexo de outros computadores
Avisa tambm sobre tentativas de conexo feitas por aplicativos em seu

computador que se conectam a outros computadores.
O firewall verifica os pacotes de dados que viajam atravs da Internet. Um pacote

uma parte de dados discreta que faz parte do fluxo de informaes entre dois
computadores. Os pacotes so remontados em seu destino para aparecer como
um fluxo de dados inteiro.
Os pacotes contm informaes sobre o seguinte:
Computadores que enviam
Destinatrios pretendidos
Como os dados de pacote so processados
Portas que recebem os pacotes
As portas so os canais que dividem o fluxo de dados que vm da Internet. Os

aplicativos que so executados em um computador escutam as portas. Os
aplicativos aceitam os dados que so enviados s portas.
Os ataques rede exploram pontos fracos em aplicativos vulnerveis. Os invasores
usam estes pontos fracos para enviar pacotes que contm cdigo de programao
malicioso para as portas. Quando os aplicativos vulnerveis escutam as portas, o
cdigo malicioso permite que os invasores acessem o computador.
Consulte Sobre o firewall do Symantec Endpoint Protection na pgina 454.
453
454

Sobre o firewall do Symantec Endpoint Protection

O firewall do Symantec Endpoint Protection usa polticas de firewall e regras para
permitir ou bloquear o trfego na rede. O Symantec Endpoint Protection inclui
uma poltica de firewall padro com regras de firewall e configuraes de firewall
padro para o ambiente de escritrio. Normalmente, o ambiente de empresas est
sob a proteo de firewalls corporativos, filtros de pacotes delimitadores ou
servidores antivrus. Portanto, ele normalmente mais seguro do que a maioria
dos ambientes domsticos, onde existe uma proteo limitada.
As regras de firewall controlam o modo como o cliente protege o
computador-cliente de trfego de entrada e de sada malicioso. Com base nessas
regras, o firewall verifica automaticamente todos os pacotes de entrada e de sada.
O firewall, ento, permite ou bloqueia os pacotes que se baseiam nas informaes
especificadas nas regras. Quando um computador tenta se conectar a outro
computador, o firewall compara o tipo de conexo com sua lista de regras de
firewall. O firewall usa tambm a inspeo com monitorao de estado de todo o
trfego na rede.
Quando voc instalar o console pela primeira vez, ele adicionar automaticamente
uma poltica de firewall padro a cada grupo.
Cada vez que voc adicionar um novo local, o console copiar uma poltica de
firewall para o local padro automaticamente.
Determine o nvel de interao com o cliente que deseja atribuir aos usurios,
permitindo ou bloqueando sua capacidade de configurar regras e configuraes
de firewall. Os usurios podem interagir com o cliente apenas quando ele os
notificar sobre conexes de rede novas e de possveis problemas. Ou eles podem
ter acesso completo interface do usurio.
Voc pode ativar ou desativar a proteo de firewall conforme a necessidade.
Voc pode instalar o cliente com configuraes de firewall padro. Na maioria dos
casos, voc no precisa alterar as configuraes. Entretanto, se voc tiver uma
boa compreenso de redes, poder efetuar alteraes no firewall do cliente para
melhorar a proteo do computador-cliente.
Consulte Como o firewall usa a inspeo com monitorao de estado na pgina 474.


O Symantec Endpoint Protection inclui uma poltica de firewall padro com regras
de firewall e configuraes de firewall padro para o ambiente de escritrio.
Normalmente, o ambiente de empresas est sob a proteo de firewalls
corporativos, filtros de pacotes delimitadores ou servidores antivrus. Portanto,
ele normalmente mais seguro do que a maioria dos ambientes domsticos, onde
existe uma proteo limitada.
Quando voc instalar o console pela primeira vez, ele adicionar automaticamente
uma poltica de firewall padro a cada grupo.
Cada vez que voc adicionar um novo local, o console copiar uma poltica de
firewall para o local padro automaticamente. Se a proteo padro no for
apropriada, voc poder personalizar a poltica de firewall para cada local como,
por exemplo, um site local ou o do cliente. Se voc no quiser a poltica de firewall
padro, poder edit-la ou substitu-la por outra poltica compartilhada.
Quando voc ativar a proteo de firewall, a poltica permitir todo o trfego na
rede de entrada com base em IP e todo o trfego na rede de sada com base em IP,
com as seguintes excees:
A proteo de firewall padro bloqueia o trfego IPv6 de entrada e de sada

com todos os sistemas remotos.
Nota: O IPv6 um protocolo de camada de rede usado na Internet. Se voc
instalar o cliente nos computadores que executam o Microsoft Vista, a lista
Regras conter vrias regras padro que bloqueiam o tipo IPv6 de protocolo
Ethernet. Se voc remover as regras padro, ser necessrio criar uma regra
que bloqueie o IPv6.
A proteo de firewall padro restringe as conexes de entrada para alguns

protocolos que so usados frequentemente em ataques (por exemplo, no
compartilhamento de arquivos do Windows).
As conexes internas de rede so permitidas e as redes externas so bloqueadas.
A Tabela 20-2 descreve as tarefas que voc pode executar para configurar uma
nova poltica de firewall. Voc deve primeiro adicionar uma poltica de firewall,
mas depois disso, as tarefas restantes so opcionais e possvel conclu-las em
qualquer ordem.
455
456

Tabela 20-2
Como criar uma poltica de firewall
Tarefa
Descrio
Adicionar uma poltica

de firewall
Quando voc criar uma poltica nova, dar a ela um nome e uma
descrio. Voc especifica tambm os grupos aos quais a poltica
aplicada.
Uma poltica de firewall ser ativada automaticamente quando
voc a criar. Mas voc poder desativ-la, se precisar.
Consulte Como ativar ou desativar uma poltica de firewall
na pgina 458.
Criar regras de firewall
As regras de firewall so os componentes da poltica que

controlam como o firewall protege os computadores-cliente
contra o trfego de entrada e aplicativos maliciosos. O firewall
verifica automaticamente todos os pacotes de entrada e de sada
em relao a estas regras. Ele permite ou bloqueia os pacotes
com base nas informaes especificadas nas regras. Voc pode
modificar as regras padro, criar regras novas ou desativar as
regras padro.
Quando voc criar uma poltica de firewall nova, o Symantec
Endpoint Protection fornecer regras padro de firewall.
As regras padro de firewall so ativadas por padro.
Ativar e personalizar as Voc pode enviar aos usurios uma notificao de que um
notificaes aos usurios aplicativo que eles querem acessar est bloqueado.
que acessam um
Estas configuraes so desativadas por padro.
aplicativo bloqueado
Consulte Notificao de usurios sobre o bloqueio do acesso a
um aplicativo na pgina 479.

Tarefa
Descrio
Ativar regras
automticas de firewall
Voc pode ativar as opes que permitem automaticamente a

comunicao entre determinados servios de rede. Estas opes
eliminam a necessidade de criar as regras que explicitamente
permitem esses servios. possvel tambm ativar as
configuraes de trfego para detectar e bloquear o trfego que
se comunica por meio de NetBIOS e anis de token.
Apenas os protocolos do trfego so ativados por padro.
Consulte Automaticamente permitir comunicaes para
servios de rede essenciais na pgina 459.
Se o cliente do Symantec Endpoint Protection detectar um ataque
rede, poder bloquear automaticamente a conexo para
assegurar que o computador-cliente fique protegido. O cliente
aciona uma resposta ativa, que bloqueia automaticamente toda
a comunicao recebida e enviada pelo computador invasor por
um perodo definido. O endereo IP do computador invasor
bloqueado para um nico local.
Essa opo est desativada por padro.
Consulte Bloqueio automtico de conexes a um computador
invasor na pgina 461.
Definir configuraes de Voc pode ativar configuraes para detectar e registrar em log
proteo e dissimulao ataques potenciais nas tentativas de spoofing do cliente e de
bloqueio.
Consulte Deteco de ataques potenciais e tentativas de
spoofing na pgina 462.
Voc pode ativar as configuraes que impedem que os ataques
externos detectem informaes sobre seus clientes.
Consulte Como impedir a deteco de dissimulao
na pgina 463.
Todas as opes da proteo e de dissimulao so desativadas
por padro.
457
458

Tarefa
Descrio
Integrar o firewall do
Symantec Endpoint
Protection com o firewall
do Windows
Voc pode especificar as condies em que o Symantec Endpoint

Protection desativa o firewall do Windows. Quando o Symantec
Endpoint Protection for desinstalado, o Symantec Endpoint
Protection restaurar a configurao do firewall do Windows
para o estado em que estava antes de o Symantec Endpoint
Protection ser instalado.
A configurao padro desativar o firewall do Windows uma
vez apenas e desativar a mensagem de Firewall do Windows
desativado.
Consulte Desativao do firewall do Windows na pgina 464.
Configurar a
autenticao ponto a
ponto
Voc pode usar a autenticao ponto a ponto para permitir que

um computador-cliente remoto (par) conecte-se a outro
computador-cliente (autenticador) dentro da mesma rede da
empresa. O autenticador bloqueia temporariamente o trfego
de entrada TCP e UDP do computador remoto at que este seja
aprovado na verificao da integridade do host.
Nota: Voc poder apenas exibir e ativar esta opo se instalar

e licenciar o Symantec Network Access Control.
Essa opo est desativada por padro.
Consulte Configurao da autenticao ponto a ponto
na pgina 465.

Consulte Melhores prticas para as configuraes da poltica de firewall
na pgina 279.
Como ativar ou desativar uma poltica de firewall

As polticas de firewall so ativadas automaticamente quando voc as cria. Voc
pode desativar uma poltica de firewall conforme a necessidade e depois ativ-la
novamente. Voc deve ativar uma poltica de firewall para que ela para seja ativa.
Convm desativar o firewall por qualquer uma das seguintes razes:
Voc instala um aplicativo que pode fazer com que o firewall o bloqueie.
Uma regra de firewall ou uma configurao de firewall bloqueia um aplicativo

devido ao erro de um administrador.
O firewall causa problemas relacionados conectividade da rede.

O firewall pode tornar o computador-cliente mais lento.
Voc deve ativar pelo menos a proteo de firewall padro para manter seus
computadores protegidos durante a instalao do cliente remoto.
Para ativar ou desativar uma poltica de firewall
Na pgina Polticas, selecione a poltica de firewall e clique com o boto direito

do mouse em Editar.
Na poltica, na pgina Viso geral, selecione Ativar esta poltica para ativar
a poltica; desmarque esta opo para desativar a poltica.
Clique em OK.

Automaticamente permitir comunicaes para servios de rede

essenciais
Voc pode ativar as opes que permitem automaticamente a comunicao entre
determinados servios de rede, assim, voc no tem que definir as regras que
permitem explicitamente aqueles servios. possvel tambm ativar as
configuraes de trfego para detectar e bloquear o trfego que se comunica por
meio de NetBIOS e anis de token.
Voc pode permitir solicitaes de sada e respostas de entrada para as conexes
de rede que esto configuradas para usar trfego DHCP, DNS e WINS.
Os filtros permitem que clientes DHCP, DNS ou WINS recebam um endereo IP
de um servidor. Protege tambm os clientes contra ataques da rede com as
seguintes condies:
Se o cliente enviar uma
solicitao ao servidor
O cliente aguardar cinco segundos para permitir uma

resposta de entrada.
Se o cliente no enviar uma

solicitao ao servidor
Cada filtro no permitir o pacote.
Quando voc ativar essas opes, o Symantec Endpoint Protection permitir o

pacote se uma solicitao for feita; no bloqueia pacotes. Voc deve criar uma
regra de firewall para bloquear pacotes.
459
460

Nota: Para fazer as configuraes no controle misto, voc tambm deve ativar
essas configuraes na caixa de dilogo Configuraes de controle misto da
interface de usurio do cliente.
Para permitir automaticamente comunicaes para servios de rede essenciais
No console, abra uma poltica de firewall.
Na pgina Poltica de firewall, clique em Regras integradas.
Marque as opes que voc deseja ativar.
Clique em OK.
Caso seja solicitado, atribua um local para a poltica.

Definio de configuraes de firewall para controle misto

Voc pode configurar o cliente de modo que os usurios no tenham nenhum
controle, controle total ou controle limitado sobre configuraes de firewall que
eles podem configurar.
Use as seguintes diretrizes quando voc configurar o cliente:
O usurio no pode criar nenhuma regra de firewall ou ativar

configuraes de firewall.
Controle do cliente
O usurio pode criar regras de firewall e ativar todas as

configuraes de firewall.
Controle misto
O usurio pode criar regras de firewall. Voc decide quais

configuraes de firewall o usurio pode ativar.
Para configurar definies de firewall para controle misto
Em Exibir clientes, selecione o grupo com o nvel de controle de usurio que

voc quer modificar.


em Tarefas > Editar configuraes.

Na caixa de dilogo Configuraes do modo controle, clique em Controle

misto e, em seguida, em Personalizar.
Na guia Configuraes de controle de cliente/servidor, sob a categoria

Poltica de firewall, execute um destes procedimentos:
Para disponibilizar uma configurao de cliente para configurao dos

usurios, clique em Cliente.
Para configurar uma configurao de cliente, clique em Servidor.
Clique em OK.
Clique em OK.
Para cada configurao de firewall que voc define para Servidor, ative ou
desative a configurao na poltica de firewall.

Consulte Deteco de ataques potenciais e tentativas de spoofing na pgina 462.
na pgina 250.
Bloqueio automtico de conexes a um computador invasor

Se o cliente do Symantec Endpoint Protection detectar um ataque rede, poder
bloquear automaticamente a conexo para assegurar que o computador-cliente
fique protegido. O cliente aciona uma resposta ativa, que bloqueia automaticamente
toda a comunicao recebida e enviada pelo computador invasor por um perodo
definido. O endereo IP do computador invasor bloqueado para um nico local.
O endereo IP do invasor registrado no Log de segurana. Voc pode desbloquear
um ataque cancelando um endereo IP especfico ou cancelando todas as respostas
ativas.
Se voc definir o cliente para controle misto, poder especificar se a configurao
estar disponvel no cliente para que o usurio a ative. Se no estiver disponvel,
voc ter de ativ-la na caixa de dilogo Configuraes de controle misto da
Assinaturas IPS atualizadas, assinaturas de negao de servio atualizadas,
verificaes de portas e spoofing de MAC tambm acionam a resposta ativa.
461
462

Para bloquear automaticamente conexes a um computador invasor
Na pgina Poltica de firewall no painel esquerdo, clique em Regras

integradas.
Em Outro, selecione Bloquear automaticamente um endereo IP de invasor
No campo de texto Nmero de segundos de durao do bloqueio ao endereo

IP ... segundos, especifique o nmero de segundos de bloqueio aos invasores
potenciais.
Voc pode digitar um valor de 1 at 999.999.
Clique em OK.

Deteco de ataques potenciais e tentativas de spoofing

Voc pode ativar as vrias configuraes que permitem que o Symantec Endpoint
Protection detecte e registre em log ataques potenciais no cliente e bloquear
tentativas de spoofing. Todas estas opes so desativadas por padro.
As configuraes que voc pode ativar so:
Ativar deteco de
verificao de portas
Quando esta configurao ativada, o Symantec Endpoint

Protection monitora todos os pacotes de entrada que
qualquer regra de segurana bloquear. Se uma regra bloquear
diversos pacotes diferentes em portas diferentes em um
perodo de tempo curto, o Symantec Endpoint Protection
criar uma entrada de log de segurana.
A deteco da verificao de portas no bloqueia nenhum
pacote. Voc deve criar uma poltica de segurana para
bloquear o trfego quando uma verificao de portas ocorrer.
Ativar deteco de negao A negao da deteco de servio um tipo de deteco de

de servio
intruses. Quando ativada, o cliente bloqueia o trfego se
detectar um teste padro das assinaturas conhecidas,
independentemente do nmero da porta ou do tipo de IP.

Ativar antispoofing de MAC Quando ativado, o Symantec Endpoint Protection permite

o trfego de entrada e de sada do protocolo de resoluo de
endereo (ARP) se um pedido do ARP foi feito quele host
especfico. Todos os outros trfegos inesperados do ARP so
bloqueados, e uma entrada gerada para o log de segurana.
Para detectar ataques potenciais e tentativas de spoofing
Na pgina Poltica de firewall, clique em Proteo e dissimulao.
Em Configuraes de proteo, marque qualquer uma das opes que voc

queira ativar.
Clique em OK.

Como impedir a deteco de dissimulao

Voc pode ativar as configuraes que impedem que os ataques externos detectem
informaes sobre seus clientes. Estas configuraes so desativadas por padro.
Para impedir a deteco de dissimulao
Na pgina Poltica de firewall, clique em Proteo e dissimulao.
463
464

Em Configuraes dissimuladas, selecione qualquer uma das opes que

voc queira ativar da seguinte forma:
Ativar navegao na Web Impede que os sites saibam qual sistema operacional e
no modo dissimulado
navegador seus clientes usam.
Ativar novo
sequenciamento de TCP
Escolhe aleatoriamente o nmero de sequenciamento do

TCP para evitar o registro de impresso digital e alguns
tipos de spoofing de IP do sistema operacional.
Ativar mascaramento de
impresso digital de SO
Impede que os programas detectem o sistema operacional

do computador no qual o firewall executado.
Clique em OK.

Desativao do firewall do Windows

Voc pode especificar as condies em que o Symantec Endpoint Protection
desativa o firewall do Windows. Quando o Symantec Endpoint Protection for
desinstalado, o Symantec Endpoint Protection restaurar a configurao do firewall
do Windows para o estado em que estava antes de o Symantec Endpoint Protection
ser instalado.
Nota: O Symantec Endpoint Protection no modifica nenhuma regra de poltica
ou excluses existentes de firewall do Windows.
As aes que o Symantec Endpoint Protection pode tomar so:
Nenhuma ao
No muda a configurao atual do firewall do Windows.
Desativar somente uma vez
O firewall do Windows ser desativado na inicializao

quando o Symantec Endpoint Protection detectar pela
primeira vez que o firewall do Windows est ativado. Em
inicializaes subsequentes, o Symantec Endpoint Protection
no desativar o firewall do Windows.
Essa a configurao padro

Desativar sempre
Desativa o firewall do Windows a cada inicializao e

reativar o firewall do Windows se o Symantec Client
Firewall for desinstalado.
Restaurar se desativado
Ativa o firewall do Windows na inicializao.
Tipicamente, um usurio do Windows receber uma notificao quando seu

computador reinicializar caso o firewall do Windows estiver desativado. O
Symantec Endpoint Protection desativa esta notificao por padro de forma que
seus usurios no so avisados quando o firewall do Windows estiver desativado.
Mas voc pode ativar a notificao, se desejado.
Para desativar o firewall do Windows
Em Polticas, clique em Firewall.
Criar uma nova poltica de firewall.
Na lista Polticas de firewall, clique duas vezes na poltica de firewall que

voc deseja modificar.
Em Poltica de firewall, clique em Integrao com o Windows.
Na lista suspensa Desativar Firewall do Windows, especifique quando voc

deseja que o firewall do Windows seja desativado.
A configurao padro Desativar somente uma vez.
Na lista suspensa Mensagem de firewall do Windows desativado, especifique

se voc deseja desativar a mensagem do Windows na inicializao para indicar
que o firewall est desativado.
A configurao padro Desativar, que significa que o usurio no recebe
uma mensagem sobre uma inicializao do computador indicando que o
firewall do Windows est desativado.
Clique em OK.

Configurao da autenticao ponto a ponto

Voc pode usar a autenticao ponto a ponto para permitir que um
computador-cliente remoto (par) conecte-se a outro computador-cliente
(autenticador) dentro da mesma rede da empresa. O autenticador bloqueia
465
466

temporariamente o trfego de entrada TCP e UDP do computador remoto at que

este seja aprovado na verificao de integridade do host.
Nota: Voc deve ter o Symantec Network Access Control instalado e licenciado
para exibir esta opo.
A verificao de integridade do host verifica as seguintes caractersticas do
computador remoto:
O computador remoto tem o Symantec Endpoint Protection e o Symantec

Network Access Control instalados.
O computador remoto cumpre os requisitos da poltica de integridade do host.
Se o computador remoto passar na verificao de integridade do host, o

autenticador permitir que o computador remoto conecte-se.
Se o computador remoto falhar na verificao de integridade do host, o
autenticador continuar a bloquear o computador remoto. Voc pode especificar
por quanto tempo o computador remoto ser bloqueado antes que possa tentar
conectar-se novamente ao autenticador. Voc pode tambm especificar que
determinados computadores remotos sempre sejam permitidos, mesmo se no
passarem na verificao de integridade do host. Se voc no ativar uma poltica
de integridade do host para o computador remoto, este ser aprovado na verificao
de integridade do host.
As informaes de autenticao ponto a ponto aparecem no log de conformidade
do cliente do Enforcer e no log de trfego da proteo contra ameaas rede.
Nota: A autenticao ponto a ponto funciona no controle do servidor e no controle
misto, mas no no controle do cliente.
Aviso: No ative a autenticao ponto a ponto para os clientes instalados no mesmo

computador do servidor de gerenciamento. Caso contrrio, o servidor de
gerenciamento no poder fazer o download de polticas para o computador remoto
se este falhar na verificao de integridade do host.
Para configurar a autenticao ponto a ponto
Na pgina Poltica de firewall, clique em Configuraes de autenticao

ponto a ponto.
No painel Configuraes de autenticao ponto a ponto, marque Ativar

autenticao ponto a ponto.

Configure os valores listados na pgina.

Para obter mais informaes sobre essas opes, clique em Ajuda.
Para permitir que os computadores remotos conectem-se ao

computador-cliente sem serem autenticados, marque Excluir hosts da
autenticao e clique em Hosts excludos.
O computador-cliente permite o trfego aos computadores na lista Host.
Na caixa de dilogo Hosts excludos, clique em Adicionar para adicionar os

computadores remotos que no precisam ser autenticados.
Na caixa de dilogo Host, defina o host pelo endereo IP, intervalo IP ou pela
sub-rede e clique em OK.
Na caixa de dilogo Hosts excludos, clique em OK.
Quando concluir a configurao dessa poltica, clique em OK.
10 Caso seja solicitado, atribua um local para a poltica.


As regras de firewall controlam como o firewall protege computadores contra o
trfego de entrada e os aplicativos maliciosos. O firewall verifica todos os pacotes
de entrada e de sada em relao s regras que voc ativa. Ele permite ou bloqueia
os pacotes com base nas condies que voc especifica na regra de firewall.
O Symantec Endpoint Protection instalado com uma poltica padro de firewall
que contm regras padro. Quando voc criar uma poltica de firewall nova, o
Symantec Endpoint Protection fornecer regras padro de firewall. Voc poder
modificar algumas das regras padro ou criar novas regras de firewall se seu
administrador a permitir ou se o cliente no for gerenciado.
Voc deve ter pelo menos uma regra em cada poltica. Mas voc pode ter tantas
regras quantas precisar. Voc pode ativar ou desativar regras conforme a
necessidade. Por exemplo, convm desativar uma regra para executar a soluo
de problemas e ativ-la quando tiver concludo.
A Tabela 20-3 descreve o que voc precisa saber para gerenciar regras de firewall.
467
468

Tabela 20-3
Assunto
Descrio
Aprender como as
regras de firewall
funcionam e o que
compe uma regra de
firewall
Antes de modificar as regras de firewall, voc dever entender as seguintes informaes

sobre como as regras de firewall funcionam.
Adicionar uma nova

regra de firewall
A relao entre o nvel de controle do usurio e sua interao com as regras de firewall.
A relao entre regras do servidor e regras do cliente.
Consulte Sobre regras do servidor de firewall e do cliente na pgina 469.
Como ordenar as regras para garantir que as mais restritas sejam avaliadas primeiro
e que as mais gerais sejam avaliadas por ltimo.
Consulte Sobre a regra de firewall, a configurao de firewall e a ordem de
processamento da preveno contra intruses na pgina 470.
As implicaes de herdar regras de um grupo pai e como as regras herdadas so
processadas.
Consulte Sobre regras herdadas de firewall na pgina 471.
O cliente usa a inspeo com monitorao de estado, que elimina a necessidade de voc
criar regras adicionais.
Os componentes do firewall que compem a regra de firewall.
Quando entender estes acionadores e como pode us-los melhor, voc poder
personalizar suas regras de firewall para proteger seus clientes e servidores.
Consulte Sobre acionadores do aplicativo de regras de firewall na pgina 474.
Consulte Sobre acionadores de host da regra de firewall na pgina 479.
Consulte Sobre os acionadores dos servios de rede da regra de firewall na pgina 483.
Consulte Sobre acionadores do adaptador de rede da regra de firewall na pgina 485.
Voc pode executar as tarefas a seguir para gerenciar regras de firewall:

Voc pode adicionar novas regras de firewall atravs do console usando vrios mtodos.
Um mtodo permite adicionar uma regra em branco que tenha configuraes padro.
O outro mtodo oferece um assistente que guia voc na criao de uma nova regra.
Consulte Para adicionar uma regra de firewall nova na pgina 487.
Voc pode personalizar uma regra padro ou uma regra que tenha criado mudando
alguns dos critrios da regra de firewall.
Exportar e importar regras de firewall
Outra maneira de adicionar uma regra de firewall exportar regras de firewall existentes
de outra poltica de firewall. Voc pode em seguida importar as regras de firewall e as
configuraes para no precisar cri-las novamente.
Consulte Importao e exportao de regras de firewall na pgina 489.
Copiar e colar regras de firewall
Voc pode economizar tempo ao criar uma regra de firewall nova copiando uma regra
existente que seja semelhante regra que voc deseja criar. Em seguida, voc pode
modificar a regra copiada para atender s suas necessidades.
Consulte Para copiar e colar regras de firewall na pgina 490.

Assunto
Descrio
Ativar ou desativar uma As regras de firewall so ativadas automaticamente. Contudo, voc poder precisar desativar
regra de firewall
temporariamente uma regra de firewall para test-la. O firewall no verifica regras
desativadas.
Personalizar uma regra Aps criar uma nova regra ou se desejar personalizar uma regra padro, possvel modificar
de firewall
alguns dos critrios da regra de firewall.
Sobre regras do servidor de firewall e do cliente

As regras so categorizadas como regras do servidor ou do cliente. As regras do
servidor so as regras que voc cria no Symantec Endpoint Protection Manager
e que so obtidas por download pelo cliente do Symantec Endpoint Protection. As
regras do cliente so aquelas criadas pelo usurio no cliente.
A Tabela 20-4 descreve a relao entre o nvel de controle do usurio e sua
interao com as regras de firewall.
Tabela 20-4
Nvel de controle do usurio e status de regras
Nvel de controle do
usurio
Interao do usurio
O cliente recebe regras do servidor, mas o usurio no pode

visualiz-las. O usurio no pode criar regras do cliente.
Controle misto
O cliente recebe regras do servidor. O usurio pode criar regras

do cliente, que so mescladas com as regras do servidor e com
as configuraes de segurana do cliente.
Controle do cliente
O cliente no recebe as regras do servidor. O usurio pode criar

regras do cliente. No possvel visualizar as regras do cliente.
A Tabela 20-5 relaciona a ordem em que o firewall processa as regras do servidor

e do cliente e as configuraes do cliente.
Tabela 20-5
Prioridade de processamento das regras do servidor e do cliente
Prioridade
Tipo de regra ou configurao
Primeira
Regras do servidor com nveis altos de prioridade (regras acima

da linha azul na lista Regras )
469
470

Prioridade
Tipo de regra ou configurao
Segunda
Regras do cliente
Terceira
Regras do servidor com nveis mais baixos de prioridade (regras

abaixo da linha azul na lista Regras )
No cliente, as regras do servidor abaixo da linha azul so
processadas depois das regras do cliente.
Quarta
Configuraes de segurana do cliente
Quinta
Configuraes do cliente de aplicativos especficos
No cliente, os usurios podem modificar uma regra do cliente ou uma configurao

de segurana, mas no podem modificar uma regra do servidor.
Aviso: Se o cliente estiver no controle misto, os usurios podem criar uma regra
do cliente que permita todo o trfego. Essa regra sobrepe todas as regras do
servidor abaixo da linha azul.
Consulte Para alterar a ordem das regras de firewall na pgina 473.
Sobre a regra de firewall, a configurao de firewall e a ordem de

processamento da preveno contra intruses
As regras de firewall so ordenadas sequencialmente, da prioridade mais alta at
a mais baixa na lista de regras. Se a primeira regra no especifica como controlar
um pacote, o firewall inspeciona a segunda regra. Esse processo continua at que
o firewall encontre uma correspondncia. Depois que o firewall encontra uma
correspondncia, ele realiza a ao especificada na regra. As regras subsequentes
de prioridade mais baixa no so inspecionadas. Por exemplo, se uma regra que
bloqueia todo o trfego for a primeira relacionada, seguida de uma regra que
permite todo o trfego, o cliente ir bloquear todo o trfego.
Voc pode solicitar regras de acordo com a exclusividade. As regras mais restritivas
so avaliadas primeiro e a maioria das regras gerais so avaliadas por ltimo. Por
exemplo, voc deve colocar as regras que bloqueiam o trfego perto do incio da
lista de regras. As regras que tm menor colocao na lista podero permitir o
trfego.
A lista Regras contm uma linha divisria azul. A linha divisria configura a
prioridade das regras nas seguintes situaes:

Quando um subgrupo herda regras de um grupo pai.
Quando o cliente configurado com controle misto. O firewall processa tanto

regras do servidor quanto do cliente.
A Tabela 20-6 mostra a ordem em que o firewall processa as regras, as

configuraes de firewall e as configuraes de preveno contra intruses.
Tabela 20-6
Ordem de processamento
Prioridade
Configurao
Primeira
Assinaturas IPS personalizadas
Segunda
Configuraes de Preveno contra intruses, configuraes de trfego

e configuraes dissimuladas
Terceira
Regras integradas
Quarta
Regras de firewall
Quinta
Verificaes de portas
Sexta
Assinaturas IPS obtidas por download por meio do LiveUpdate
Consulte Para alterar a ordem das regras de firewall na pgina 473.

Sobre regras herdadas de firewall

Uma poltica do subgrupo pode herdar somente as regras de firewall que estiverem
ativadas no grupo pai. Depois de herdar as regras, voc pode desativ-las, mas
no pode modific-las. medida que as novas regras so adicionadas poltica
do grupo pai, elas tambm so adicionadas automaticamente poltica de herana.
Quando as regras herdadas forem exibidas na lista Regras, elas sero sombreadas
na cor prpura. Acima da linha azul, as regras herdadas so adicionadas acima
das regras que voc criou. Abaixo da linha azul, as regras herdadas so adicionadas
abaixo das regras que voc criou.
Uma poltica de firewall tambm herda as regras padro; portanto, a poltica de
firewall do subgrupo pode ter dois conjuntos de regras padro. Voc pode excluir
um conjunto de regras padro.
Se quiser remover as regras herdadas, remova a herana em vez de exclu-las.
Voc deve remover todas as regras herdadas em vez das regras selecionadas.
471
472

Os processos do firewall herdaram regras de firewall na lista Regras como segue:

Acima da linha divisora azul As regras que a poltica herda tm precedncia sobre as
regras que voc cria.
Abaixo da linha divisria azul As regras que voc cria tm precedncia sobre as regras que
a poltica herda.
A Figura 20-1 exibe como a lista Regras ordena as regras quando um subgrupo
as herda de um grupo pai. Nesse exemplo, o grupo Vendas o grupo pai. O grupo
Vendas Europa herda as regras do grupo Vendas.
Figura 20-1
Grupo de
vendas
Um exemplo de como as regras de firewall herdam regras entre si

Grupo de
vendas na
Europa
As vendas na Europa herdam as

regras de firewall das Vendas
Regra 1
Grupo de
vendas na
Europa
Regra 1
Tem prioridade
Regra 3
Regra 3
Linha azul
Linha azul
Regra 2
Regra 4
Linha azul
Regra 4
Tem prioridade
Regra 2

Consulte Adio de regras herdadas de firewall de um grupo pai na pgina 472.
Adio de regras herdadas de firewall de um grupo pai

Voc pode adicionar regras de firewall a uma poltica de firewall herdando regras
de um grupo pai. Para herdar as regras de um grupo pai, a poltica de subgrupos
deve ser uma poltica no compartilhada.
Nota: Se o grupo herda todas as polticas de um grupo pai, esta opo est
indisponvel.

Para adicionar regras herdadas de firewall de um grupo pai
Na pgina Poltica de firewall, clique em Regras.
Na guia Regras, marque Herdar regras de firewall do grupo pai.

Para remover as regras herdadas, desmarque Herdar regras de firewall do
grupo pai.
Clique em OK.

Consulte Sobre regras herdadas de firewall na pgina 471.
Para alterar a ordem das regras de firewall

O firewall processa a lista de regras de firewall de cima para baixo. Voc pode
determinar como o firewall processa essas regras alterando a sua ordem.
A alterao da ordem afeta somente a ordem dos locais selecionados no momento.
Nota: Para obter melhor proteo, coloque as regras mais restritivas primeiro e
as menos restritivas depois.
Para alterar a ordem das regras de firewall
Na pgina Poltica de firewall, clique em Regras e selecione a regra que deseja

mover.
Para processar essa regra antes da regra anterior, clique em Mover para
cima.
Para processar essa regra aps a regra posterior, clique em Mover para
baixo.
Clique em OK.

473
474

Como o firewall usa a inspeo com monitorao de estado

A proteo de firewall usa a inspeo com monitorao de estado para controlar
conexes atuais. A inspeo com monitorao de estado controla os endereos IP
de origem e destino, as portas, os aplicativos e outras informaes de conexo.
Antes que o cliente inspecione as regras de firewall, ele decises sobre o fluxo de
trfego que so baseadas nas informaes de conexo.
Por exemplo, se uma regra de firewall permite que um computador se conecte a
um servidor da Web, o firewall registra informaes sobre a conexo. Quando o
servidor responde, o firewall descobre que uma resposta do servidor da Web ao
computador esperado. Ele permite que o trfego do servidor da Web flua para
o computador sendo iniciado sem inspecionar a base da regra. Uma regra deve
permitir o trfego inicial de sada antes que o firewall registre a conexo.
A inspeo com monitorao de estado elimina a necessidade de criar regras novas.
Para o trfego iniciado em uma direo, no ser necessrio criar regras que
permitam o trfego em ambas as direes. O trfego do cliente que iniciado em
uma direo inclui Telnet (porta 23), HTTP (porta 80) e HTTPS (porta 443). Os
computadores-cliente iniciam este trfego de sada; voc cria uma regra que
permita o trfego de sada para esses protocolos. A inspeo com monitorao de
estado permite automaticamente o trfego de retorno que responde ao trfego de
sada. Como o firewall faz naturalmente a monitorao de estado, apenas preciso
criar as regras que iniciam uma conexo, e no as caractersticas de um pacote
especfico. Todos os pacotes pertencentes a uma conexo permitida so
implicitamente permitidos, como se fossem parte integrante dessa mesma conexo.
A inspeo com monitorao de estado suporta todas as regras que direcionam o
trfego TCP.
Ela no oferece suporte para as regras que filtram o trfego ICMP. Para o trfego
ICMP, voc deve criar regras que permitam o trfego em ambas as direes. Por
exemplo, para que os clientes usem o comando ping e recebam respostas,
necessrio criar uma regra que permita o trfego ICMP em ambas as direes.
Sobre acionadores do aplicativo de regras de firewall

Quando o aplicativo o nico acionador definido em uma regra que permite
trfego, o firewall permite que o aplicativo execute qualquer operao de rede. O
aplicativo o valor significativo, no as operaes de rede realizadas por ele. Por
exemplo, suponha que seja dada permisso ao Internet Explorer e que nenhum
outro acionador seja definido. Os usurios podem acessar sites remotos que usem
HTTP, HTTPS, FTP, Gopher e qualquer outro protocolo suportado pelo navegador.

possvel definir acionadores adicionais para descrever protocolos e hosts de

rede especficos com os quais a comunicao permitida.
Pode ser difcil solucionar problemas de regras baseadas em aplicativos, pois um
aplicativo pode usar vrios protocolos. Por exemplo, se o firewall processa uma
regra que permite o Internet Explorer antes de uma regra que bloqueia o FTP, o
usurio ainda poder se comunicar com o FTP. O usurio pode inserir um URL
baseado em FTP no navegador, como, por exemplo, ftp://ftp.symantec.com.
Por exemplo, suponha que seja dada permisso ao Internet Explorer e que nenhum
outro acionador seja definido. Os usurios do computador podem acessar sites
remotos que usem HTTP, HTTPS, FTP, Gopher e qualquer outro protocolo aceito
pelo navegador da Web. possvel definir acionadores adicionais para descrever
os protocolos e hosts de rede com os quais a comunicao permitida.
No devem ser usadas regras de aplicativos para controlar o trfego no nvel da
rede. Por exemplo, uma regra que bloqueia ou limita o uso do Internet Explorer
no teria qualquer efeito se o usurio usasse um outro navegador da Web. O trfego
gerado por outro navegador da Web seria comparado a quaisquer outras regras,
com exceo da regra do Internet Explorer. Regras baseadas em aplicativos so
mais eficientes quando as regras so configuradas para bloquear os aplicativos
que enviam e recebem trfego.
Consulte Notificao de usurios sobre o bloqueio do acesso a um aplicativo
na pgina 479.
Consulte Bloqueio dos aplicativos em rede que podem estar sob ataque
na pgina 477.
Definio de informaes sobre aplicativos

Voc pode definir as informaes sobre os aplicativos que os clientes executam e
incluir essas informaes em uma regra de firewall.
Voc pode definir aplicativos das seguintes maneiras:
Digitar as informaes manualmente.

Consulte Para definir as informaes sobre aplicativos manualmente
na pgina 476.
Pesquisar o aplicativo na lista de aplicativos aprendidos.

Os aplicativos da lista de aplicativos reconhecidos so os que os
computadores-cliente de sua rede executam.
Consulte Para procurar aplicativos na lista de aplicativos reconhecidos
na pgina 476.
475
476

Para definir as informaes sobre aplicativos manualmente
Na pgina Polticas de firewall, clique em Regras.
Na guia Regras, na lista Regras, clique com o boto direito do mouse no campo
Aplicativo e clique em seguida em Editar.
Na caixa de dilogo Lista de aplicativos, clique em Adicionar.
Na caixa de dilogo Adicionar aplicativo, preencha um ou mais dos campos

a seguir:
Caminho e nome do arquivo
Descrio
Tamanho, em bytes
Data da ltima alterao do aplicativo
Impresso digital do arquivo
Clique em OK.
Clique em OK.
Para procurar aplicativos na lista de aplicativos reconhecidos
Na guia Regras, selecione uma regra, clique com o boto direito no campo
Aplicativo e clique em Editar.
Na caixa de dilogo Lista de aplicativos, clique em Adicionar de.
Na caixa de dilogo Procurar aplicativos, procure um aplicativo.
Na tabela Resultados da consulta, para adicionar o aplicativo lista

Aplicativos, selecione o aplicativo, clique em Adicionar e clique em seguida
em OK.
Clique em Fechar.
Clique em OK.


Bloqueio dos aplicativos em rede que podem estar sob ataque

O Monitoramento de aplicativo de rede rastreia o comportamento do aplicativo
no registro de segurana. Se o contedo de um aplicativo for modificado com
muita frequncia, ser provvel que ele tenha sido atacado por um Cavalo de Troia,
e o computador-cliente no estar seguro. Se o contedo de um aplicativo for
modificado raramente, ser provvel que um patch tenha sido instalado, e o
computador-cliente estar seguro. Voc pode usar estas informaes para criar
uma regra de firewall que permita ou bloqueie um aplicativo.
Voc pode configurar o cliente para detectar e monitorar qualquer aplicativo que
est sendo executado no computador-cliente e que est em rede. Os aplicativos
de rede enviam e recebem trfego. O cliente detecta se o contedo de um aplicativo
alterado.
Se houver suspeita de que um Cavalo de Troia atacou um aplicativo, voc poder
usar o monitoramento de aplicativo de rede para configurar o cliente para bloquear
o aplicativo. Tambm possvel configurar o cliente para perguntar aos usurios
se desejam permitir ou bloquear o aplicativo.
O contedo de um aplicativo alterado pelos seguintes motivos:
Um Cavalo de Troia atacou o aplicativo.
O aplicativo foi atualizado com uma nova verso ou com uma atualizao.
Voc pode adicionar aplicativos lista para que o cliente no os monitore. Voc
pode excluir os aplicativos que considere seguros contra um ataque de Cavalo de
Troia, mas que tenham atualizaes de patches frequentes e automticas.
Voc poder desativar o monitoramento de aplicativo de rede se estiver confiante
de que os computadores-cliente possuem a Proteo antivrus e antispyware
adequada. Voc tambm pode desejar minimizar o nmero de notificaes pedindo
aos usurios para permitir ou bloquear um aplicativo de rede.
Para bloquear os aplicativos em rede que podem estar sob ataque
Em Clientes, selecione um grupo e clique em seguida em Polticas.

clique em Monitoramento de aplicativo de rede.
Na caixa de dilogo Monitoramento de aplicativos de rede para nome do

grupo, clique em Ativar o monitoramento de aplicativo de rede.
477
478

Na lista suspensa Quando for detectada uma modificao no aplicativo,

selecione a ao que o firewall deve executar no aplicativo que est sendo
executado no cliente:
Solicitar
Solicita ao usurio permitir ou bloquear o aplicativo.
Bloquear o trfego
Bloqueia a execuo do aplicativo.
Permitir e registrar
Permite que o aplicativo seja executado e registra as

informaes no registro de segurana.
O firewall toma esta ao somente nos aplicativos que
tenham sido modificados.
Se voc selecionou Perguntar, clique em Texto adicional.
Na caixa de dilogo Texto adicional, digite o texto que deseja exibir na

mensagem padro e, depois, clique em OK.
Para excluir um aplicativo do monitoramento, na Lista de aplicativos no

monitorados, execute uma das seguintes aes:
Para definir um aplicativo
manualmente
Clique em Adicionar, preencha um ou mais campos e

clique em OK.
Para definir um aplicativo de Clique em Adicionar de.

uma lista de aplicativos
A lista de aplicativos reconhecidos monitora tanto
reconhecidos
aplicativos de rede quanto os no conectados. Voc
deve selecionar os aplicativos de rede somente da lista
de aplicativos reconhecidos. Depois de adicionar
aplicativos Lista de aplicativos no monitorados,
voc poder ativ-los, desativ-los, edit-los ou
exclu-los.
Selecione a caixa ao lado do aplicativo para ativ-lo; desmarque a caixa para

desativ-lo.
10 Clique em OK.
Consulte Notificao de usurios sobre o bloqueio do acesso a um aplicativo
na pgina 479.
Consulte Pesquisa das informaes sobre os aplicativos executados pelos
computadores na pgina 336.

Consulte Configurao do servidor de gerenciamento para recolher informaes

sobre os aplicativos executados pelos computadores-cliente na pgina 335.
Notificao de usurios sobre o bloqueio do acesso a um

aplicativo
Voc pode enviar aos usurios uma notificao de que um aplicativo que eles
querem acessar est bloqueado. Essa notificao exibida nos computadores dos
usurios.
Nota: A ativao de notificaes demais pode no apenas sobrecarregar seus
usurios, mas tambm alarm-los. Tenha cuidado ao ativar notificaes.
Para notificar os usurios sobre o bloqueio do acesso a um aplicativo
Na guia Notificaes, selecione as seguintes opes que voc quer aplicar:

Exibir notificao no
computador quando o
cliente bloquear um
aplicativo
Uma notificao exibida quando o cliente bloqueia

um aplicativo.
Adicionar texto
notificao
Clique em Definir texto adicional e personalize a

notificao.
A personalizao do texto da notificao opcional.
Clique em OK.

Consulte Como ativar ou desativar uma poltica de firewall na pgina 458.
Consulte Bloqueio dos aplicativos em rede que podem estar sob ataque
na pgina 477.
Sobre acionadores de host da regra de firewall

Voc especifica o host em ambos os lados da conexo de rede descrita quando
define os acionadores do host.
479
480

Normalmente, o que expressa a relao entre os hosts a origem ou o destino de

uma conexo de rede.
Voc pode definir a relao entre hosts de uma das seguintes maneiras:
Origem e destino
O host de origem e o host de destino dependem da direo do

trfego. Em um caso o computador-cliente local pode ser a
origem, enquanto em outro o computador remoto pode ser a
origem.
A relao entre a origem e o destino mais comumente usada
em firewalls baseados em rede.
Local e remoto
O host local sempre o computador-cliente local. O host remoto

sempre o computador remoto em outro local da rede. Esta
expresso do relacionamento do host independe da direo do
trfego.
A relao local-remoto usada mais comumente em firewalls
baseados em hosts e uma maneira mais simples de se observar
o trfego.
Voc pode definir vrios hosts de origem e vrios hosts de destino.

A Figura 20-2 ilustra a relao entre a origem e o destino com relao direo
de trfego.
Figura 20-2
A relao entre os hosts de origem e de destino
Origem
`
Destino
HTTP
Symantec.com
Cliente SEP
Origem
`
Cliente SEP
Destino
RDP
`
Outro cliente
A Figura 20-3 ilustra a relao entre o host local e o host remoto com relao
direo de trfego.

A relao entre os host locais e remotos
Figura 20-3
Local
`
Remota
HTTP
Symantec.com
Cliente SEP
Local
`
Remota
RDP
Cliente SEP
`
Outro cliente
As relaes so avaliadas pelos seguintes tipos de indicaes:

Os hosts que voc define em ambos os lados da conexo
(entre a fonte e o destino)
Expresso OR
Hosts selecionados
Expresso AND
Por exemplo, considere uma regra que define um nico host local e vrios hosts
remotos. Enquanto o firewall examina os pacotes, o host local deve corresponder
ao endereo IP de relevncia. Entretanto, os lados do endereo que se opem devem
corresponder a qualquer host remoto. Por exemplo, voc pode definir uma regra
que permita comunicao HTTP entre o host local e Symantec.com, Yahoo.com
ou Google.com. Essa nica regra equivale a trs regras.
Consulte Como adicionar grupos de hosts na pgina 481.
Consulte Bloqueio do trfego em um servidor especfico na pgina 493.
Como adicionar grupos de hosts

Um grupo de hosts uma coleo de: Nomes de domnio e de host DNS, endereos
IP, faixas de IP, endereos MAC ou sub-redes que so agrupados sob um nome. O
objetivo dos grupos de host de eliminar a necessidade de digitar novamente os
endereos e nomes de host. Por exemplo, voc pode adicionar vrios endereos
IP em uma regra de firewall, um por vez. Ou ento, pode adicionar vrios endereos
IP em um grupo de host e, ento, adicionar o grupo na regra de firewall.
481
482

medida que incorpora grupos de host, voc deve descrever onde os grupos so
usados. Se posteriormente voc decidir excluir um grupo de host, ser necessrio
primeiro remover o grupo de todas as regras de firewall que fazem referncia a
ele.
Quando um grupo de host for adicionado, ele ser exibido na parte inferior da
Lista Hosts. Voc pode acessar a Lista Hosts no campo Host em uma regra de
firewall.
Para adicionar grupos de hosts
Expanda Componentes das polticas e clique em Grupos de host.
Em Tarefas, clique em Adicionar um grupo de host.
Na caixa de dilogo Grupo de host, digite um nome e, em seguida, clique em

Adicionar.
Na caixa de dilogo Host, na lista suspensa Tipo, selecione um host.
Digite as informaes apropriadas para cada tipo de host.
Clique em OK.
Se necessrio, adicione mais hosts.
Clique em OK.
Definio das consultas do DNS baseadas no local

Voc pode definir com que frequncia voc deseja que um local especfico execute
uma consulta do DNS. Este recurso permite configurar um local para consulta do
servidor DNS com mais frequncia do que outros locais.
Por exemplo, suponha que voc tenha uma poltica para bloquear todo o trfego
fora de sua rede da empresa, exceto o trfego da VPN. E suponha que seus usurios
viajem e devam acessar sua rede com uma VPN de uma rede do hotel. Voc pode
criar uma poltica para uma conexo da VPN que use a resoluo do DNS. O
Symantec Endpoint Protection continua a enviar a consulta do DNS a cada 5
segundos at que alterne para este local. Desta maneira, seus usurios podem
mais rapidamente acessar sua rede.
Cuidado: Tome cuidado quando voc definir esta configurao para um valor muito
baixo. possvel que seu servidor DNS seja encerrado se todos os seus sistemas
acessarem o servidor a cada 5 segundos, por exemplo.

Para definir as consultas do DNS baseadas em local
Em Clientes, selecione o grupo ao qual se aplica o recurso.
Em Tarefas, clique em Gerenciar locais.
Assegure-se de que Loop de consulta do DNS em esteja marcado.
Clique na configurao e nos incrementos de tempo e os modifique como

desejado.
Voc pode definir o valor em segundos, minutos ou horas.
O valor padro de 30 minutos.
Clique em OK.

Sobre os acionadores dos servios de rede da regra de firewall

Os servios de rede permitem que computadores em rede enviem e recebam
mensagens, compartilhem arquivos e imprimam. Um servio de rede usa um ou
mais protocolos ou portas para passar por um determinado tipo de trfego. Por
exemplo, o servio HTTP usa portas 80 e 443 no protocolo TCP. possvel criar
uma regra de firewall que permita ou bloqueie os servios de rede. Um acionador
de servio de rede identifica um ou mais protocolos de rede significativos em
relao ao trfego na rede descrito.
Ao definir os acionadores de servio baseados em TCP ou UDP, voc identifica as
portas em ambos os lados da conexo de rede descrita. As portas normalmente
so atribudas como origem ou destino de uma conexo de rede.
Consulte Como adicionar servios de rede lista dos servios de rede padro
na pgina 483.
Consulte Para permitir que clientes procurem arquivos e impressoras na rede
na pgina 496.
Como adicionar servios de rede lista dos servios de rede

padro
mensagens, compartilhem arquivos e imprimam. possvel criar uma regra de
firewall que permita ou bloqueie os servios de rede.
483
484

A lista de servios de rede elimina a necessidade de redigitar protocolos e portas

para as regras de firewall que voc cria para bloquear ou permitir servios de rede.
Quando voc criar uma regra de firewall, ser possvel selecionar um servio de
rede de uma lista padro de servios de rede de uso geral. Voc pode adicionar
servios de rede lista padro. Porm, necessrio estar familiarizado com o tipo
de protocolo e as portas que ele usa.
Nota: IPv4 e IPv6 so os dois protocolos de camada de rede usados na Internet. O
firewall bloqueia os ataques que passam pelo IPv4, mas no pelo IPv6. Se voc
instalar o cliente nos computadores que executam o Microsoft Vista, a lista Regras
conter vrias regras padro que bloqueiam o tipo IPv6 de protocolo Ethernet. Se
voc remover as regras padro, ser necessrio criar uma regra que bloqueie o
IPv6.
Nota: Voc pode adicionar um servio de rede personalizado atravs de uma regra
de firewall. Entretanto, esse servio de rede no ser adicionado lista padro.
No possvel acessar o servio personalizado de rede de nenhuma outra regra.
Para adicionar servios de rede lista dos servios de rede padro
Expanda Componentes das polticas e clique em Servios de rede.
Em Tarefas, clique em Adicionar um servio de rede.
Na caixa de dilogo Servio de rede, digite um nome para o servio e clique

em Adicionar.
Selecione um protocolo da lista suspensa Protocolo.

As opes se alteram com base no protocolo que voc selecionou.
Digite nos campos apropriados e clique em OK.
Acrescente um ou mais protocolos adicionais, se for necessrio.
Clique em OK.

Consulte Sobre os acionadores dos servios de rede da regra de firewall
na pgina 483.
Consulte Como controlar se os computadores em rede podem compartilhar
mensagens, arquivos e impresso na pgina 495.
Consulte Para permitir que clientes procurem arquivos e impressoras na rede
na pgina 496.

Sobre acionadores do adaptador de rede da regra de firewall

Voc pode definir uma regra de firewall que bloqueie ou permita que o trfego
passe (seja transmitido ou recebido) por um adaptador de rede.
Quando definir um tipo particular de adaptador, saiba como esse adaptador deve
ser usado. Por exemplo, se uma regra permite trfego de sada HTTP de
adaptadores Ethernet, ento HTTP tem permisso em todos os adaptadores
instalados do mesmo tipo. A nica exceo ocorre quando voc tambm especificar
endereos de host locais. O computador-cliente pode usar servidores de vrios
NIC e estaes de trabalho que liguem dois ou mais segmentos de rede. No caso
de controle de trfego relativo a um adaptador particular, deve ser usado o esquema
de endereos de cada segmento em vez do adaptador por si s.
A lista de adaptadores de rede elimina a necessidade de digitar novamente os tipos
de adaptadores para regras de firewall. Em vez disso, quando voc criar uma regra
de firewall, ser possvel selecionar um adaptador de rede de uma lista padro de
adaptadores de rede de uso geral. Voc pode adicionar adaptadores de rede lista
padro.
Voc pode selecionar um adaptador de rede em uma lista padro compartilhada
pelas regras e polticas de firewall. Os adaptadores mais comuns so includos na
lista padro, na lista Componentes das polticas. Os adaptadores comuns incluem
VPNs, Ethernet, conexo sem fio, adaptadores Cisco, Nortel e Enterasys.
Nota: Voc pode adicionar um adaptador de rede personalizado usando uma regra
de firewall. Entretanto, esse adaptador de rede no ser adicionado lista padro.
No possvel acessar o adaptador de rede personalizado de nenhuma outra regra.
Consulte Como adicionar um adaptador de rede personalizado para a lista do
adaptador de rede na pgina 485.
Consulte Controle do trfego que passar por um adaptador de rede na pgina 499.
Como adicionar um adaptador de rede personalizado para a

lista do adaptador de rede
Voc pode aplicar uma regra de firewall separada para cada adaptador de rede.
Por exemplo, talvez voc queira bloquear trfego atravs de um VPN em um local
de escritrio, mas no em um local domstico.
Voc pode selecionar um adaptador de rede em uma lista padro compartilhada
pelas regras e polticas de firewall. Os adaptadores mais comuns so includos na
485
486

lista padro, na lista Componentes das polticas. Use a lista padro para que no
seja preciso digitar novamente cada adaptador de rede para cada regra criada.
A lista de adaptadores de rede elimina a necessidade de digitar novamente os
adaptadores para regras de firewall. Quando voc criar uma regra de firewall, ser
possvel selecionar um adaptador de rede de uma lista padro de adaptadores de
rede de uso geral. Voc pode adicionar adaptadores de rede lista padro.
Nota: Voc pode adicionar um adaptador de rede personalizado usando uma regra
de firewall. Entretanto, esse adaptador de rede no ser adicionado lista padro.
No possvel acessar o adaptador de rede personalizado de nenhuma outra regra.
Para adicionar um adaptador de rede personalizado para a lista do adaptador de
rede
No console, clique em Polticas > Componentes das polticas > Adaptadores

de rede.
Em Tarefas, clique em Adicionar um adaptador de rede.
Na caixa de dilogo Adaptador de rede, na lista suspensa Tipo de adaptador,

selecione um adaptador.
Opcionalmente, no campo Nome do adaptador, digite uma descrio.
Na caixa de texto Identificao do adaptador, digite o nome da marca do

adaptador, levando em conta as letras maisculas e minsculas.
Para localizar o nome da marca do adaptador, abra uma linha de comando
no cliente e, depois, digite o texto a seguir:
ipconfig/all.
Clique em OK.

Consulte Sobre acionadores do adaptador de rede da regra de firewall
na pgina 485.
Consulte Controle do trfego que passar por um adaptador de rede na pgina 499.

A Tabela 20-7 descreve como configurar novas regras de firewall.

Tabela 20-7
Etapa
Tarefa
Como configurar novas regras de firewall
Descrio
Etapa 1 Adicionar uma Voc pode adicionar novas regras de firewall atravs do console usando vrios mtodos.
nova regra de Um mtodo permite adicionar uma regra em branco que tenha configuraes padro. O
firewall
outro mtodo oferece um assistente que guia voc na criao de uma nova regra.
Consulte Para adicionar uma regra de firewall nova na pgina 487.
Outra maneira de adicionar uma regra de firewall exportar regras de firewall existentes
de outra poltica de firewall. Voc pode em seguida importar as regras de firewall e as
configuraes para no precisar cri-las novamente.
Consulte Importao e exportao de regras de firewall na pgina 489.
Voc pode economizar tempo ao criar uma regra de firewall nova copiando uma regra
existente que seja semelhante regra que voc deseja criar. Em seguida, voc pode
modificar a regra copiada para atender s suas necessidades.
Consulte Para copiar e colar regras de firewall na pgina 490.
Etapa 2 (Opcional)
Aps criar uma nova regra ou se desejar personalizar uma regra padro, possvel
Personalizar modificar alguns dos critrios da regra de firewall.
os critrios da
regra de
firewall
Para adicionar uma regra de firewall nova

Voc pode criar regras de firewall novas usando qualquer um dos seguintes
mtodos:
Regra vazia
Uma regra em branco permite todo o trfego.

Consulte Para adicionar uma regra de firewall vazia nova
na pgina 488.
Assistente de
Se voc adicionar regras com o Assistente de Adio de regra de
Adio de regra de firewall, certifique-se de ter configurado a regra. O assistente no
firewall
pode configurar regras novas com vrios critrios.
Consulte Para adicionar uma regra de firewall nova usando um
assistente na pgina 488.
Voc deve especificar o trfego de entrada e de sada na regra sempre que possvel.
No necessrio criar regras de entrada de trfego, como HTTP. O cliente do
Symantec Endpoint Protection usa a inspeo com monitorao de estado para o
487
488

trfego TCP. Portanto, no necessria uma regra para filtrar o trfego de retorno
que os clientes iniciam.
Quando voc criar uma regra de firewall nova, ela ser ativada automaticamente.
possvel desativar uma regra de firewall se for necessrio permitir o acesso
especfico a um computador ou programa. A regra desativada para todas as
polticas herdadas.
No caso de uma poltica compartilhada, a regra tambm desativada para todos
os locais e, no caso de uma poltica especfica de local, desativada apenas para
um local.
Nota: As regras devem ser ativadas para que o firewall as processe.
Para adicionar uma regra de firewall vazia nova
Na guia Regras, na lista Regras, clique em Adicionar regra em branco.
Opcionalmente, possvel personalizar os critrios da regra de firewall

conforme a necessidade.
Aps concluir a configurao da regra, clique em OK.
Para adicionar uma regra de firewall nova usando um assistente
Na guia Regras, na lista Regras, clique em Adicionar regra.
No Assistente de Adio de regra de firewall, clique em Avanar.
No painel Selecionar tipo de regra, selecione um dos tipos de regra.
Clique em Avanar.
Digite os dados em cada painel para criar o tipo de regra que voc selecionou.
Para aplicativos e hosts, clique em Adicionar mais para adicionar aplicativos

e servios adicionais.
Quando tiver terminado, clique em Concluir.
10 Opcionalmente, possvel personalizar os critrios da regra de firewall

conforme a necessidade.
11 Aps concluir a configurao da regra, clique em OK.



Importao e exportao de regras de firewall

possvel exportar e importar regras e configuraes de firewall de outra poltica
de firewall para que no seja necessrio cri-las novamente. Por exemplo, voc
pode importar um conjunto parcial de regras de uma poltica para outra. Para
importar regras, primeiro necessrio export-las para um arquivo .dat e ter
acesso ao mesmo.
As regras sero adicionadas na mesma ordem em que esto relacionadas na poltica
pai em relao linha azul. Depois, possvel alterar a ordem de processamento.
Para exportar regras de firewall
Na lista Regras, selecione as regras que deseja exportar, clique com o boto
direito do mouse e clique em Exportar.
Na caixa de dilogo Exportar poltica, localize um diretrio onde salvar o

arquivo .dat, digite um nome de arquivo e clique em Exportar.
Para importar regras de firewall
Clique com o boto direito do mouse na lista Regras e clique em Importar.
Na caixa de dilogo Importar poltica, localize o arquivo .dat que contm as

regras de firewall a serem importadas e clique em Importar.
Na caixa de dilogo Entrada, digite o novo nome para a poltica e clique em

OK.
Clique em OK.

489
490

Para copiar e colar regras de firewall

Economize tempo ao criar uma regra de firewall nova copiando uma regra existente
que seja semelhante regra nova que voc deseja criar. Em seguida, voc poder
modificar a regra copiada conforme a necessidade.
Voc pode copiar e colar regras da mesma poltica ou de outra.
Para copiar e colar regras de firewall
Na guia Regras, clique com o boto direito do mouse na regra que voc deseja
copiar e, em seguida, clique em Copiar regra.
Clique com o boto direito do mouse na linha onde deseja colar a regra e, em
seguida, clique em Colar regra.
Clique em OK.

Personalizao das regras de firewall

Quando uma Poltica de firewall criada, ela inclui vrias regras padro. Voc
pode modificar um ou vrios componentes da regra, conforme a necessidade.
Os componentes de uma regra de firewall so:
Aes
Os parmetros de ao especificam que aes o firewall realizar quando

uma regra for correspondida com xito. Se a regra for correspondida e
selecionada em resposta a um pacote recebido, o firewall realizar todas
as aes. O firewall permite ou bloqueia o pacote e realiza ou no seu log.
A regra especifica o acesso rede se o firewall permite o trfego. A regra
especifica que o trfego no tem acesso rede se o firewall bloquear o
trfego.
As aes so:
Permitir
O firewall permite a conexo de rede.
Bloquear
O firewall bloqueia a conexo de rede.

Acionadores
Quando o firewall avaliar a regra, todos os acionadores devero ser

verdadeiros para que ocorra uma correspondncia positiva. Se qualquer
acionador no for verdadeiro em relao ao pacote atual, o firewall no
poder aplicar a regra. possvel combinar as definies de acionamento
para formar regras mais complexas, como identificar um protocolo em
particular em relao a um endereo especfico de destino.
Os acionadores so:
Aplicativo
Quando o aplicativo for o nico acionador definido em uma regra de
trfego permitido, o firewall permitir que o aplicativo execute qualquer
operao de rede. O aplicativo o valor significativo, no as operaes
de rede realizadas por ele. possvel definir acionadores adicionais
para descrever protocolos e hosts de rede especficos com os quais a
comunicao permitida.
Consulte Sobre acionadores do aplicativo de regras de firewall
na pgina 474.
Host
Ao definir acionadores de host, voc especifica o host nos dois lados
da conexo da rede descrita.
Normalmente, o que expressa a relao entre os hosts a origem ou o
destino de uma conexo de rede.
Servios de rede
Um acionador de servio de rede identifica um ou mais protocolos de
rede significativos em relao ao trfego da rede descrito.
O computador-host local sempre possui a porta local e o computador
remoto sempre possui a porta remota. Esta expresso do
relacionamento da porta independe da direo do trfego.
Consulte Sobre os acionadores dos servios de rede da regra de
firewall na pgina 483.
Adaptador de rede
Se um acionador de adaptador de rede for definido, a regra ser
relevante somente para o trfego transmitido ou recebido usando o
tipo de adaptador especificado. possvel especificar qualquer
adaptador ou aquele que est atualmente associado ao
computador-cliente.
na pgina 485.
491
492

Condies
As condies da regra consistem no agendamento da regra e no estado da

proteo de tela.
Os parmetros condicionais no descrevem um aspecto de uma conexo
de rede. Em vez disso, os parmetros condicionais determinam o estado
de ao de uma regra. possvel definir um agendamento ou identificar
um estado de protetor de tela que dita quando a regra considerada ativa
ou inativa. Os parmetros condicionais so opcionais e, caso no sejam
configurados, eles no sero significativos. O firewall no avalia regras
inativas.
Notificaes
As configuraes de log permitem especificar se o servidor criar uma

entrada de log ou enviar uma mensagem de e-mail quando um evento do
trfego corresponder aos critrios que foram definidos para essa regra.
A configurao de gravidade permite especificar o nvel de gravidade da
violao da regra.
Personalizao das regras de firewall
Na guia Regras, na lista Regras, no campo Ativado, assegure-se de que a

caixa esteja selecionada para ativar a regra; desmarque a caixa para desativar
a regra.
O Symantec Endpoint Protection apenas processar as regras que voc ativar.
Todas as regras esto ativadas por padro.
Clique duas vezes no campo Nome e digite um nome exclusivo para a regra
de firewall.
Clique com o boto direito do mouse no campo Ao e selecione a ao que

voc deseja que o Symantec Endpoint Protection execute se a regra for
acionada.
No campo Aplicativo, defina um aplicativo.

No campo Host especifique um acionador do host.

Alm de especificar um acionador do host, voc tambm pode especificar o

trfego que tem permisso para acessar sua sub-rede local.
Consulte Como permitir trfego especfico apenas para a sub-rede local
na pgina 494.

No campo Servio, especifique um acionador do servio de rede.

Consulte Como controlar se os computadores em rede podem compartilhar
mensagens, arquivos e impresso na pgina 495.
10 No campo Log, especifique quando voc deseja que o Symantec Endpoint

Protection envie uma mensagem de e-mail para voc quando esta regra de
firewall for violada.
Consulte Configurao de notificaes para violaes da regra de firewall
na pgina 498.
11 Clique com o boto direito do mouse no campo Gravidade e selecione o nvel

de gravidade de violao da regra.
12 Na coluna Adaptador, especifique um acionador do adaptador para a regra.

Consulte Controle do trfego que passar por um adaptador de rede
na pgina 499.
13 Na coluna Hora, especifique os perodos de tempo em que esta regra ser

ativada.
Consulte Agendamento quando uma regra de firewall estiver ativa
na pgina 500.
14 Clique com o boto direito do mouse no campo Proteo de tela e especifique

o estado em que a proteo de tela deve estar para que a regra seja ativada.
O campo Criado em no editvel. Se a poltica for compartilhado, o termo
Compartilhado aparecer. Se a poltica no for compartilhada, o campo exibir
o nome do grupo ao qual a poltica no compartilhada est atribuda.
15 Clique com o boto direito do mouse no campo Descrio, clique em Editar,

digite uma descrio opcional para a regra e clique em OK.
16 Aps concluir a configurao da regra, clique em OK.

Bloqueio do trfego em um servidor especfico

Para bloquear o trfego em um servidor especfico, bloqueie o trfego pelo endereo
IP, e no pelo nome de domnio ou nome do host. Do contrrio, o usurio poder
acessar com o endereo IP equivalente ao nome do host.
Para bloquear o trfego em um servidor especfico
493
494

Na guia Regras, na lista Regras, selecione a regra que voc deseja editar,
clique com o boto direito do mouse no campo Host e clique em Editar.
Na caixa de dilogo Lista de hosts, tome uma das seguintes aes:
Clique em Origem/Destino.
Clique em Local/Remoto.

Para selecionar um Realize essas tarefas:
tipo de host na lista
Nas tabelas de Origem e destino ou Local e remoto, clique
suspensa Tipo
em Adicionar.
Na caixa de dilogo Host, selecione um tipo de host na lista
suspensa Tipo e digite as informaes apropriadas para cada
tipo de host.
Clique em OK.
O host que voc criou ativado automaticamente.
Para selecionar um
grupo de hosts
Na caixa de dilogo Lista de hosts, tome uma das seguintes

aes:
Clique em Origem/Destino.
Clique em Local/Remoto.
Em seguida, na caixa de dilogo Lista de hosts, selecione a caixa

na coluna Ativado para qualquer grupo de hosts que voc queira
adicionar regra.
Se necessrio, adicione mais hosts.
Clique em OK para retornar lista Regras.

Consulte Como adicionar grupos de hosts na pgina 481.
Como permitir trfego especfico apenas para a sub-rede local

Voc pode criar uma regra de firewall que permite trfego especfico apenas em
sua sub-rede local. Esta regra de firewall aplica-se sempre para seu endereo IP
local da sub-rede, independentemente do endereo. Portanto, mesmo se voc
mudar seu endereo IP local da sub-rede, voc nunca ter que modificar esta regra
para o endereo novo.

Por exemplo, possvel criar esta regra pra permitir trfego para a porta 80 apenas
na sub-rede local, independentemente do endereo IP local da sub-rede.
Para permitir trfego especfico apenas para a sub-rede local
Na guia Regras, na lista Regras, selecione a regra que deseja editar.
Na tabela Regras de firewall, na coluna Host, clique duas vezes na regra para
a qual voc deseja criar uma condio de trfego para a sub-rede local.
No tipo de hosts para os quais esta regra se aplica (Local ou Remoto), clique
em Adicionar.
Clique na lista suspensa Tipo de endereo e selecione Sub-rede local.
Clique em OK e clique em seguida em OK novamente para fechar a caixa de

dilogo Lista de hosts.

Como controlar se os computadores em rede podem

compartilhar mensagens, arquivos e impresso
mensagens, arquivos compartilhados e impresso. possvel criar uma regra de
firewall que permita ou bloqueie os servios de rede.
Voc pode adicionar um servio de rede personalizado atravs de uma regra de
firewall. Entretanto, esse servio de rede no ser adicionado lista padro. No
possvel acessar o servio personalizado de nenhuma outra regra.
Para controlar se os computadores em rede podem compartilhar mensagens,
arquivos e impresso
Na guia Regras, na lista Regras, selecione a regra que deseja editar, clique
com o boto direito do mouse no campo Servio e clique em Editar.
Na caixa de dilogo Lista de servios, selecione a caixa ao lado de cada servio

que voc deseja que acione a regra.
Para adicionar um servio adicional somente para a regra selecionada, clique

em Adicionar.
495
496

Na caixa de dilogo Protocolo, selecione um protocolo na lista suspensa

Protocolo.
Preencha os campos adequados.
Clique em OK.
Clique em OK.
10 Clique em OK.
Consulte Sobre os acionadores dos servios de rede da regra de firewall
na pgina 483.
Consulte Como adicionar servios de rede lista dos servios de rede padro
na pgina 483.
Para permitir que clientes procurem arquivos e impressoras

na rede
Voc pode ativar o cliente para compartilhar seus arquivos ou para procurar
arquivos e impressoras compartilhados na rede local. Para impedir ataques
baseados em rede, convm no desativar o compartilhamento de arquivos e
impressoras de rede.
Voc ativa o compartilhamento de arquivos e impressoras de rede adicionando
regras de firewall. As regras de firewall permitem o acesso s portas para procurar
e compartilhar arquivos e impressoras. Voc cria uma regra de firewall para que
o cliente possa compartilhar arquivos. Voc cria uma segunda regra de firewall
de modo que o cliente possa procurar outros arquivos e impressoras.
As configuraes funcionam de maneira diferente com base no tipo de controle
que voc especifica para seu cliente, da seguinte forma:
Controle do cliente ou
controle misto
Os usurios no cliente podem ativar estas configuraes

automaticamente configurando-as em Proteo contra ameaas
rede.
Controle misto
Uma regra de firewall do servidor que especifica este tipo de

trfego pode sobrepor estas configuraes.
Estas configuraes no esto disponveis no cliente.

Para permitir que clientes procurem arquivos e impressoras na rede
com o boto direito do mouse no campo Servio e clique em Editar.
Na caixa de dilogo Lista de servios, clique em Adicionar.
Na caixa de dilogo Protocolo, na lista suspensa Protocolo, clique em TCP e

em Local/Remoto.

Para permitir que
clientes procurem
arquivos e
impressoras na rede
Na lista suspensa Porta remota, digite 88, 135, 139, 445.
Para ativar outros

Na lista suspensa Porta local, digite 88, 135, 139, 445
computadores para
procurar arquivos no
cliente
Clique em OK.
Na caixa de dilogo Lista de servios, clique em Adicionar.
Na caixa de dilogo Protocolo, na lista suspensa Protocolo, clique em UDP.
10 Realize uma destas tarefas:

Para permitir que
Na lista suspensa Porta local, digite 137, 138.
clientes procurem
Na lista suspensa Porta remota, digite 88
arquivos e
impressoras na rede
Para ativar outros
Na lista suspensa Porta local, digite 88, 137, 138.
computadores para
procurar arquivos no
cliente
11 Clique em OK.
12 Na caixa de dilogo Lista de servios, certifique-se de que os dois servios
estejam ativados e clique em OK.
497
498

13 Na guia Regras, certifique-se de que o campo Ao esteja definido como

Permitir.
14 Aps concluir a configurao da poltica, clique em OK.

15 Caso seja solicitado, atribua um local para a poltica.
Configurao de notificaes para violaes da regra de firewall

Voc pode configurar o Symantec Endpoint Protection para enviar uma mensagem
de e-mail sempre que o firewall detectar uma violao de regra, um ataque ou um
evento. Por exemplo, voc pode ser informado quando um cliente bloquear o
trfego recebido de um endereo IP especfico.
Para configurar notificaes para violaes da regra de firewall
Na guia Regras, selecione uma regra, clique com o boto direito no campo
Registro em log e execute um ou mais dos seguintes procedimentos:
Para enviar uma mensagem Marque Enviar alerta de e-mail.
de e-mail quando uma regra
de firewall for acionada
Para gerar um evento de log Marque Gravar em log de trfego e Gravar em log de
quando uma regra de firewall pacote.
for acionada
Quando concluir a configurao dessa poltica, clique em OK.
Configure um alerta de segurana.
Configure um servidor de e-mails.
Clique em OK.


Controle do trfego que passar por um adaptador de rede

Quando voc definir um acionador do adaptador de rede, a regra ser relevante
apenas para o trfego que o adaptador especificado transmite ou recebe.
Voc pode adicionar um adaptador de rede personalizado usando uma regra de
firewall. Entretanto, esse adaptador no ser adicionado lista compartilhada.
No possvel acessar o adaptador personalizado de nenhuma outra regra.
Para controlar o trfego que passar por um adaptador de rede
com o boto direito do mouse no campo Adaptador e clique em Mais
adaptadores.
Na caixa de dilogo Adaptador de rede, execute uma das seguintes aes:

Para acionar a regra a qualquer adaptador Clique em Aplicar esta regra a todos os
(mesmo se no estiver listado)
adaptadores e, em seguida, v para a
etapa 7.
Para acionar a regra para adaptadores
selecionados
Clique em Aplicar esta regra aos

seguintes adaptadores.
Em seguida, selecione a caixa ao lado de
cada adaptador que voc queira que acione
a regra.
Para adicionar um adaptador personalizado apenas para a regra selecionada,

execute as tarefas a seguir:
Clique em Adicionar.
Na caixa de dilogo Adaptador de rede, selecione o tipo de adaptador e

digite o nome de sua marca no campo de texto Identificao do adaptador.
Clique em OK.
Clique em OK.
Clique em OK.

499
500


na pgina 485.
Agendamento quando uma regra de firewall estiver ativa

Voc pode especificar um perodo de tempo em que uma regra de firewall estar
ativa.
Para agendar quando uma regra de firewall estiver ativa
Na guia Regras, selecione a regra que voc deseja editar, clique com o boto
direito do mouse no campo Hora e, depois, clique em Editar.
Na caixa de dilogo Agendar lista, clique em Adicionar.
Na caixa de dilogo Adicionar agenda, configure a hora de incio e a hora de

trmino em que deseja que a regra esteja ativa ou no.
Na lista suspensa Ms, selecione Todos ou um ms especfico.
Selecione a caixa referente ao perodo de tempo que deseja.

Se voc selecionar Especificar dias, marque um ou mais dos dias relacionados.
Clique em OK.
Na lista Agendar, execute uma das seguintes aes:

Para manter a regra ativa
neste perodo
Desmarque a caixa na coluna Qualquer hora exceto.
Para fazer com que a regra

fique inativa neste perodo
Marque a caixa na coluna Qualquer hora exceto.
10 Clique em OK.
Captulo
21
Para gerenciar a preveno

contra intruses
Para gerenciar a preveno contra intruses em seu computador-cliente
Como a preveno contra intruses funciona
Sobre Symantec IPS signatures
Sobre as assinaturas IPS personalizadas
Ativao ou desativao da preveno contra intruses na rede ou preveno

contra intruses no navegador
Para criar excees para assinaturas IPS
Para configurar uma lista de computadores excludos
Configurao de notificaes da preveno contra intruses do cliente
Para gerenciar assinaturas de preveno contra intruses personalizada
Para gerenciar a preveno contra intruses em seu

computador-cliente
As configuraes padro da preveno contra intruses protegem os
computadores-cliente contra uma grande variedade de ameaas. possvel alterar
as configuraes padro da rede.
502
Para gerenciar a preveno contra intruses

Tabela 21-1
Tarefa
Descrio
Saber mais sobre a preveno contra

intruses
Saiba como a preveno contra intruses detecta e bloqueia ataques rede

e ao navegador.
Consulte Sobre Symantec IPS signatures na pgina 505.
Ativar ou desativar a preveno contra Convm desativar a preveno contra intruses para fins de soluo de
intruses
problemas ou se os computadores-cliente detectarem falsos positivos
excessivos. Porm, para manter seus computadores-cliente seguros,
normalmente voc no deve desativar a preveno contra intruses.
Voc pode ativar ou desativar os seguintes tipos de preveno contra
intruses na Poltica de preveno contra intruses:
Preveno contra intruses na rede
Preveno contra intruso no navegador
Consulte Ativao ou desativao da preveno contra intruses na rede

ou preveno contra intruses no navegador na pgina 507.
Voc tambm poder ativar ou desativar ambos os tipos de preveno contra
intruses, assim como o firewall, quando executar o comando Ativar
proteo contra ameaas rede ou Desativar proteo contra ameaas
rede.
Consulte Para executar comandos no computador-cliente atravs do
console na pgina 250.

Tarefa
Descrio
Criar excees o comportamento para

alterar o padro de assinaturas da
Preveno contra intruses na rede da
Symantec
Convm criar excees para alterar o comportamento padro das

assinaturas padro da preveno contra intruses rede da Symantec.
Algumas assinaturas bloqueiam o trfego por padro e outras assinaturas
permitem o trfego por padro.
Nota: Voc no pode mudar o comportamento de assinaturas da preveno

contra intruses no navegador.
Convm mudar o comportamento padro de algumas assinaturas da rede
pelas seguintes razes:
Reduzir o consumo em seu computador-cliente.
Por exemplo, talvez voc queira reduzir o nmero de assinaturas que
bloqueiam o trfego. Certifique-se, porm, de que uma assinatura de
ataque no oferea nenhuma ameaa antes de exclu-la do bloqueio.
Permitir algumas assinaturas de rede que a Symantec bloqueia por
padro.
Por exemplo, talvez voc queira criar excees para reduzir falsos
positivos quando a atividade benigna da rede corresponder a uma
assinatura de ataque. Se voc souber que a atividade da rede segura,
ser possvel criar uma exceo.
Bloquear algumas assinaturas que a Symantec permite.
Por exemplo, a Symantec inclui assinaturas para aplicativos ponto a
ponto e permite o trfego por padro. Voc pode criar excees para
bloquear o trfego.
Consulte Para criar excees para assinaturas IPS na pgina 508.

Voc pode usar o controle de aplicativos para impedir que os usurios
executem aplicativos ponto a ponto em seus computadores.
Consulte Regras tpicas do controle de aplicativos na pgina 531.
Se desejar bloquear as portas que enviam e recebem o trfego ponto a ponto,
use uma poltica de firewall.
Criar excees para ignorar assinaturas Voc pode criar excees para excluir assinaturas do navegador da
do navegador em computadores-cliente preveno contra intruso no navegador.
Talvez voc queira ignoras assinaturas do navegador se a preveno contra
intruso no navegador causar problemas com navegadores em sua rede.
503
504

Tarefa
Descrio
Excluir computadores especficos das

verificaes da preveno contra
intruses
Talvez voc queira excluir determinados computadores da preveno contra

intruses. Por exemplo, alguns computadores na sua rede interna podem
estar configurados para testes. possvel que voc queira que o Symantec
Endpoint Protection ignore o trfego que entra e sai desses computadores.
Quando excluir os computadores, voc tambm os excluir da proteo
contra negao de servio e da proteo da verificao de portas que o
firewall fornece.
Consulte Para configurar uma lista de computadores excludos
na pgina 509.
Configurar as notificaes da preveno Por padro, as mensagens aparecem nos computadores-cliente para
contra intruses
tentativas de intruso. Voc pode personalizar a mensagem.
Consulte Configurao de notificaes da preveno contra intruses do
Criar assinaturas de Preveno contra Voc pode gravar sua prpria assinatura de preveno contra intruses
intruses personalizada
para identificar uma ameaa especfica. Quando voc gravar sua prpria
assinatura, ser possvel reduzir a possibilidade de a assinatura causar um
falso positivo.
Por exemplo, convm usar assinaturas de Preveno contra intruses
personalizada para bloquear e registrar sites.
Consulte Para gerenciar assinaturas de preveno contra intruses
personalizada na pgina 512.
Monitorar a preveno contra intruses Verifique regularmente que a preveno contra intruses esteja ativada
nos computadores-cliente em sua rede.

A preveno contra intruses faz parte da Proteo contra ameaas rede.
A preveno contra intruses detecta e bloqueia automaticamente ataques rede
e ataques a navegadores. A preveno contra intruses a segunda camada de
defesa depois do firewall para proteger computadores-cliente. A preveno contra
intruses s vezes chamada de sistema de preveno contra intruses (IPS,
Intrusion Prevention System).
A preveno contra intruses intercepta dados na camada da rede. Ela usa
assinaturas para verificar pacotes ou fluxos de pacotes. Ela verifica cada pacote
individualmente procurando padres que correspondam a ataques rede ou ao

navegador. A preveno contra intruses detecta ataques a componentes do

sistema operacional e camada do aplicativo.
A preveno contra intruses fornece dois tipos de proteo.
Tabela 21-2
Tipos de preveno contra intruses
Tipo
Descrio
Preveno contra
intruses na rede
A preveno contra intruso na rede usa assinaturas para identificar ataques em

computadores-cliente. Para ataques conhecidos, a preveno contra intruses descartar
automaticamente os pacotes que corresponderem s assinaturas.
Voc tambm pode criar suas prprias assinaturas de rede personalizadas como parte de
uma Poltica de preveno contra intruses. Voc no pode criar assinaturas personalizadas
no cliente diretamente; porm, possvel importar assinaturas personalizadas para o
cliente.
Consulte Sobre Symantec IPS signatures na pgina 505.
Preveno contra
intruso no navegador
A preveno contra intruso no navegador monitora ataques no Internet Explorer e no

Firefox. A preveno contra intruso no navegador no suportada em nenhum outro
navegador.
O Firefox pode desativar o plug-in do Symantec Endpoint Protection, mas voc poder
reativ-lo.
Este tipo de preveno contra intruses usa assinaturas de ataque, assim como heurstica,
para identificar ataques a navegadores.
Para alguns ataques ao navegador, a preveno contra intruses exige que o cliente encerre
o navegador. Uma notificao aparecer no computador-cliente.
Veja o seguinte artigo da Base de conhecimento para obter as ltimas informaes sobre
os navegadores que a preveno contra intruso no navegador protege: Supported browser
versions for browser intrusion prevention (em ingls).

na pgina 501.

As assinaturas da Preveno contra intruses da Symantec so instaladas no
cliente por padro.
na pgina 501.
A preveno contra intruses usa as assinaturas da Symantec para monitorar
pacotes individuais ou fluxos de pacotes. Para os fluxos de pacotes, a preveno
505
506

contra intruses pode se lembrar da lista de padres ou de padres parciais dos

pacotes anteriores. Em seguida, ela pode aplicar essas informaes a inspees
de pacotes subsequentes.
As assinaturas da Symantec incluem assinaturas para a preveno contra intruses
na rede e no navegador.
Assinaturas da preveno
contra intruses na rede
As assinaturas de rede fazem a correspondncia de padres

de ataque que possam travar aplicativos ou explorar
sistemas operacionais em seus computadores-cliente.
Voc pode mudar se a assinatura de rede da Symantec
bloquear ou permitir o trfego. Voc tambm pode mudar
at mesmo se o Symantec Endpoint Protection registrar
em log uma deteco de uma assinatura no Log de segurana.
Assinaturas da Preveno
contra intruses no
navegador
As assinaturas de navegador fazem a correspondncia de

padres de ataque em navegadores suportados, como
arquivos de script que possam travar o navegador.
Voc no pode personalizar a configurao de ao ou log
para assinaturas de navegador, mas pode excluir uma
assinatura de navegador.

A equipe do Symantec Security Response fornece as assinaturas de ataque. O
mecanismo de preveno contra intruses e o conjunto correspondente de
assinaturas so instalados no cliente por padro. As assinaturas fazem parte do
contedo que voc atualiza no cliente.
Voc pode exibir as informaes sobre assinaturas IPS na seguinte pgina do site
da Symantec:
Assinaturas de ataque

Voc pode criar suas prprias assinaturas IPS da rede. Estas assinaturas so
baseadas em pacotes.
Diferentemente das assinaturas da Symantec, as assinaturas personalizadas
verificam somente atividades de pacotes nicos. Porm, as assinaturas
personalizadas podem detectar ataques na pilha TCP/IP antes das assinaturas da
Symantec.
As assinaturas baseadas em pacotes examinam um nico pacote que corresponda
a uma regra. A regra baseia-se em vrios critrios, como porta, protocolo, origem

Ativao ou desativao da preveno contra intruses na rede ou preveno contra intruses no navegador
ou endereo IP de destino, nmero que sinaliza o TCP ou aplicativo. Por exemplo,

uma assinatura personalizada pode monitorar os pacotes de informao recebidos
por uma string "phf" em GET / cgi-bin/phf? como um indicador de ataque a um
programa CGI. Cada pacote avaliado de acordo com esse padro especfico. Se
o pacote de trfego corresponder regra, o cliente permitir ou bloquear o pacote.
Voc pode especificar se o Symantec Endpoint Protection registra em log uma
deteco das assinaturas personalizadas no log de pacotes.
Consulte Para gerenciar assinaturas de preveno contra intruses personalizada
na pgina 512.
Ativao ou desativao da preveno contra

intruses na rede ou preveno contra intruses no
navegador
Voc pode ativar ou desativar qualquer tipo de preveno contra intruses.
Geralmente, voc no deve desativar qualquer tipo de preveno contra intruses.
na pgina 501.
Voc tambm pode excluir computadores especficos da preveno contra intruses
na rede.
Consulte Para configurar uma lista de computadores excludos na pgina 509.
Ativao ou desativao da preveno contra intruses na rede ou preveno contra
intruses no navegador
No console, abra uma poltica de preveno contra intruses.
Na pgina Poltica de preveno contra intruses, clique em Configuraes.
Selecione ou desmarque as seguintes opes:
Ativar preveno contra intruses na rede
Ativar Preveno contra intruses no navegador
507
508

Clique no cone para bloquear ou desbloquear estas opes nos

computadores-cliente. Quando bloquear uma opo, voc impedir que o
usurio altere a opo.
Clique em OK.

Voc pode criar excees para executar as seguintes aes:
Mudar o comportamento padro de assinaturas da rede IPS.
Especificar as assinaturas do navegador que os computadores-cliente devem

ignorar.
Voc poder alterar a ao executada pelo cliente quando o IPS reconhecer uma
assinatura de rede. Tambm possvel alterar se o cliente registrar o evento no
Log de segurana.
Voc no pode mudar o comportamento de assinaturas do navegador da Symantec;
diferentemente das assinaturas da rede, as assinaturas do navegador no permitem
configuraes personalizadas de ao e registro em log. Porm, possvel criar
uma exceo para uma assinatura do navegador de modo que os clientes ignorem
a assinatura.
Nota: Quando voc adicionar uma exceo da assinatura do navegador, o Symantec
Endpoint Protection Manager incluir a assinatura nas lista de excees e definir
automaticamente a ao para Permitir e a configurao de log para No bloquear.
Voc no pode personalizar a ao ou a configurao de log.
na pgina 501.
Nota: Para alterar o comportamento de uma assinatura IPS personalizada criada
ou importada, edite a assinatura diretamente.
Para alterar o comportamento das assinaturas de rede IPS da Symantec
Na pgina Poltica de preveno contra intruses, clique em Excees e, em

seguida, clique em Adicionar.
Na caixa de dilogo Adicionar excees de preveno contra intruses,

execute uma das aes a seguir para filtrar as assinaturas:

Para exibir as assinaturas de uma categoria especfica, selecione uma

opo na lista suspensa Exibir categoria.
Para exibir as assinaturas classificadas com uma gravidade especfica,

selecione uma opo na lista suspensa Exibir gravidade.
Selecione uma ou mais assinaturas.

Para tornar igual o comportamento de todas as assinaturas de rede, clique
em Selecionar tudo.
Clique em Avanar.
Na caixa de dilogo Ao da assinatura, defina a ao como Bloquear ou

Permitir.
Nota: A caixa de dilogo Ao da assinatura apenas se aplica a assinaturas
de rede.
Opcionalmente, defina a ao como Registrar o trfego ou No registrar o

trfego.
Clique em OK.
Se deseja voltar para o comportamento original da assinatura de rede,
selecione a assinatura e clique em Excluir.
Se desejar que os clientes usem a assinatura do navegador e no a ignorem,
selecione a assinatura e clique em Excluir.
Clique em OK.

possvel definir uma lista de computadores nos quais o cliente no compara
assinaturas de ataque, no procura verificaes de portas ou ataques de negao
de servio. O cliente permite todo o trfego de entrada e sada desses hosts,
independentemente das regras e configuraes de firewall ou das assinaturas IPS.
Convm configurar uma lista de computadores a excluir da preveno contra
intruses. Computadores podem executar algum software legtimo que a preveno
contra intruses detecta como uma ameaa. Por exemplo, possvel executar um
verificador de vulnerabilidade em sua rede. A preveno contra intruses bloqueia
o verificador de vulnerabilidade quando ele executado. Voc pode excluir o
endereo IP do verificador de vulnerabilidade da deteco de preveno contra
intruses.
509
510

Voc tambm pode excluir computadores para permitir que um provedor de

servios da Internet verifique as portas em sua rede para assegurar a conformidade
com seus contratos de servio. Ou voc pode ter computadores na sua rede interna
que deseja configurar para testes.
Nota: Tambm possvel configurar uma lista de computadores que permita todo
trfego de entrada e sada, exceto se uma assinatura IPS detectar um ataque. Nesse
caso, crie uma regra de firewall que permita todos os hosts.
Na pgina Poltica de preveno contra intruses, clique em Configuraes.
Se ainda no estiver marcado, marque Ativar hosts excludos e clique em

Hosts excludos.
Na caixa de dilogo Hosts excludos, marque Ativado ao lado de qualquer

grupo de hosts que voc queira excluir.
Para adicionar os hosts que deseja excluir, clique em Adicionar.
Na caixa de dilogo Host, na lista suspensa, selecione um destes tipos de host:
endereo IP
Faixa de IP
Sub-rede
Insira as informaes corretas associadas ao tipo de host selecionado.

Clique em OK.
Repita as etapas 5 e 8 para adicionar dispositivos e computadores adicionais

lista de computadores excludos.
10 Para editar ou excluir um dos hosts excludos, selecione uma linha e clique
em Editar ou Excluir.
11 Clique em OK.
12 Aps configurar a poltica, clique em OK.

Configurao de notificaes da preveno contra intruses do cliente
Configurao de notificaes da preveno contra

intruses do cliente
Por padro, as notificaes aparecem em computadores-cliente quando o cliente
detecta eventos de proteo contra intruses. Quando estas notificaes so
ativadas, elas exibem uma mensagem padro. Voc pode adicionar texto
personalizado mensagem padro.
Para configurar as notificaes da Preveno contra intruses de acordo com o
cliente
No console, clique em Clientes e, em Clientes, selecione um grupo.


em Tarefas e em Editar configuraes.
Na caixa de dilogo Configuraes de controle da interface do cliente para

nome do grupo, clique em Controle misto ou Controle do servidor.
Ao lado de Controle misto ou de Controle do servidor, clique em Personalizar.

Se voc clicar em Controle misto na guia Configuraes de controle de
cliente/servidor, ao lado de Exibir/ocultar notificaes da preveno contra
intruses, clique em Servidor. Depois clique na guia Configuraes de
Na caixa de dilogo ou guia Configuraes de interface de usurio do cliente,

clique em Exibir notificaes da Preveno contra intruses.
Para ativar um bipe quando a notificao for exibida, clique em Usar som ao
notificar os usurios.
No campo de texto Nmero de segundos para exibio das notificaes,

digite o nmero de segundos em que voc deseja que a notificao aparea.
Para adicionar texto notificao padro que exibida, clique em Texto

adicional.
10 Na caixa de dilogo Texto adicional, digite o texto adicional que voc deseja
que a notificao exiba e clique em OK.
11 Clique em OK.
12 Clique em OK.
na pgina 501.
511
512

Para gerenciar assinaturas de preveno contra

intruses personalizada
Voc pode gravar suas prprias assinaturas de preveno contra intruso na rede
para identificar uma intruso especfica e reduzir a possibilidade de que as
assinaturas criem um falso positivo. Quanto mais informaes voc puder adicionar
a uma assinatura personalizada, mais eficiente ela ser.
Aviso: Voc deve estar familiarizado com os protocolos TCP, UDP ou ICMP antes
de desenvolver as assinaturas de preveno contra intruses. Uma assinatura
formada incorretamente pode corromper a biblioteca de assinaturas personalizada
e danificar a integridade dos clientes.
Tabela 21-3
Tarefa
Para gerenciar assinaturas de preveno contra intruses

personalizada
Descrio
Criar uma biblioteca personalizada com Voc deve criar uma biblioteca personalizada para conter suas assinaturas
um grupo de assinaturas
personalizadas. Quando criar uma biblioteca personalizada, voc usar
grupos de assinatura para gerenciar as assinaturas mais facilmente. Voc
deve adicionar pelo menos um grupo de assinaturas a uma biblioteca de
assinaturas personalizadas antes de adicionar as assinaturas.
Consulte Criao de uma biblioteca IPS personalizada na pgina 513.
Adicionar assinaturas IPS
personalizadas a uma biblioteca
personalizada
Voc adiciona assinaturas IPS personalizadas a um grupo de assinaturas

em uma biblioteca personalizada.
Consulte Para adicionar assinaturas a uma biblioteca IPS personalizada
na pgina 514.
Atribuir bibliotecas a grupos de clientes Voc atribui bibliotecas personalizadas a grupos de clientes em vez de a
um local.
Consulte Atribuio de vrias bibliotecas IPS personalizadas a um grupo
na pgina 516.

Tarefa
Descrio
Alterar a ordem das assinaturas
A preveno contra intruses usa a primeira correspondncia de regra. O

Symantec Endpoint Protection verifica as assinaturas na ordem em que
esto listadas na lista de assinaturas.
Por exemplo, se voc adicionar um grupo de assinaturas para bloquear
trfego TCP nas duas direes na porta de destino 80, poder adicionar as
seguintes assinaturas:
Bloquear todo o trfego na porta 80.
Permitir todo o trfego na porta 80.
Se a assinatura Bloquear todo o trfego estiver listada primeiro, a assinatura

Permitir todo o trfego nunca ser executada. Se a assinatura Permitir todo
o trfego estiver listada primeiro, a assinatura Bloquear todo o trfego
nunca ser executada e todo trfego HTTP ser sempre permitido.
Nota: As regras de firewall tomam a precedncia sobre as assinaturas de

preveno contra intruses.
Consulte Alterao da ordem de assinaturas IPS personalizadas
na pgina 516.
Copiar e colar assinaturas
Voc pode copiar e colar as assinaturas entre os grupos e entre as

bibliotecas.
Consulte Para copiar e colar assinaturas IPS personalizadas na pgina 517.
Definir variveis para assinaturas
Ao adicionar uma assinatura personalizada, possvel usar variveis para

representar dados sujeitos a alteraes em assinaturas. Se os dados forem
alterados, voc poder editar a varivel em vez de editar as assinaturas da
biblioteca.
Consulte Definio de variveis para assinaturas IPS personalizadas
na pgina 518.
Testar assinaturas personalizadas
Voc deve testar as assinaturas de Preveno contra intruses personalizada

para se certificar de que funcionem.
Consulte Para testar assinaturas IPS personalizadas na pgina 519.
Criao de uma biblioteca IPS personalizada

Voc cria uma biblioteca IPS personalizada para conter suas assinaturas IPS
personalizadas.
na pgina 512.
513
514

Para criar uma biblioteca IPS personalizada
No console, clique em Polticas e, em seguida, clique em Preveno contra

intruses.
Em Tarefas, clique em Adicionar assinaturas de preveno contra intruses

personalizada.
Na caixa de dilogo Assinaturas de preveno contra intruses

personalizada, digite um nome e uma descrio opcional para a biblioteca.
O Grupo NetBIOS um grupo de assinatura de exemplo com uma assinatura
de amostra. Voc pode editar o grupo existente ou adicionar um novo grupo.
Para adicionar um novo grupo, na guia Assinaturas, na lista Grupos de

assinatura, clique em Adicionar.
Na caixa de dilogo Grupo de assinatura de preveno contra intruses,

digite um nome de grupo e descrio opcional e, em seguida, clique em OK.
O grupo ativado por padro. Se o grupo de assinatura estiver ativado, todas
as assinaturas no grupo sero ativadas automaticamente. Para reter o grupo
para referncia, mas desativ-lo, desmarque Ativar esse grupo.
Adicione uma assinatura personalizada.

Consulte Para adicionar assinaturas a uma biblioteca IPS personalizada
na pgina 514.
Para adicionar assinaturas a uma biblioteca IPS personalizada

Voc adiciona assinaturas da preveno contra intruses personalizada a uma
biblioteca IPS personalizada nova ou existente.
na pgina 512.
Para adicionar uma assinatura personalizada
Crie uma biblioteca IPS personalizada.

Consulte Criao de uma biblioteca IPS personalizada na pgina 513.
Na guia Assinaturas, em Assinaturas para esse grupo, clique em Adicionar.
Na caixa de dilogo Adicionar assinatura, digite um nome e descrio opcional

para a assinatura.
Na lista suspensa Gravidade, selecione um nvel.

Os eventos que corresponderem s condies de assinatura so registrados
com essa gravidade.

Na lista suspensa Direo, especifique a direo do trfego que deseja que a

assinatura verifique.
No campo Contedo, digite a sintaxe da assinatura.
515
Por exemplo, as assinaturas de alguns protocolos comuns usam a seguinte

sintaxe:
HTTP
rule tcp, dest=(80,443), saddr=$LOCALHOST,

msg="MP3 GET in HTTP detected",
regexpcontent="[Gg][Ee][Tt] .*[Mm][Pp]3 .*"
FTP
rule tcp, dest=(21), tcp_flag&ack, saddr=$LOCALHOST,

msg="MP3 GET in FTP detected",
regexpcontent="[Rr][Ee][Tt][Rr] .*[Mm][Pp]3\x0d\x0a"
Para obter mais informaes sobre a sintaxe, clique em Ajuda
Se deseja que um aplicativo acione a assinatura, clique em Adicionar.
Na caixa de dilogo Adicionar aplicativo, digite o nome de arquivo e uma

descrio opcional do aplicativo.
Por exemplo, para adicionar o aplicativo Internet Explorer, digite o nome do
arquivo como iexplore ou iexplore.exe. Se voc no especificar um nome de
arquivo, qualquer aplicativo pode acionar a assinatura.
Clique em OK.
O aplicativo adicionado ser ativado por padro. Se deseja desativar o
aplicativo mais tarde, desmarque a caixa de seleo na coluna Ativado.
10 Na caixa do grupo Ao, selecione a ao que deseja que o cliente realize

quando a assinatura detectar o evento:
Bloquear
Identifica e bloqueia o evento ou o ataque e o grava no Log de segurana
Permitir
Identifica e permite o evento ou o ataque e o grava no Log de segurana
11 Para gravar o evento ou o ataque no Log de pacotes, selecione Gravar em log

de pacote.
12 Clique em OK.
A assinatura adicionada ser ativada por padro. Se deseja desativar a
assinatura mais tarde, desmarque a caixa de seleo na coluna Ativado.
516

13 Voc pode acrescentar assinaturas adicionais. Aps concluir, clique em OK.

14 Se voc for solicitado, atribua as assinaturas IPS personalizadas a um grupo.
Voc tambm pode atribuir vrias bibliotecas IPS personalizadas a um grupo.
Consulte Atribuio de vrias bibliotecas IPS personalizadas a um grupo
na pgina 516.
Atribuio de vrias bibliotecas IPS personalizadas a um grupo

Aps criar uma biblioteca IPS personalizada, atribua a biblioteca a um grupo, em
vez de atribu-la a um local individual. Mais tarde, voc poder atribuir outras
bibliotecas IPS personalizadas ao grupo.
na pgina 512.
Para atribuir vrias bibliotecas IPS personalizadas a um grupo
Em Clientes, selecione o grupo ao qual voc quer atribuir as assinaturas

personalizadas.

clique em Preveno contra intruses personalizada.
Na caixa de dilogo Preveno contra intruses personalizada para nome

do grupo, marque a caixa de seleo na coluna Ativada de cada biblioteca
IPS personalizada que desejar atribuir quele grupo.
Clique em OK.
Alterao da ordem de assinaturas IPS personalizadas

O mecanismo IPS para assinaturas personalizadas verifica as assinaturas na ordem
em que esto relacionadas na lista de assinaturas. Apenas uma assinatura
acionada por pacote. Quando uma assinatura corresponder a um pacote de trfego
de entrada de sada, o mecanismo IPS interromper a verificao de outras
assinaturas. Para que o mecanismo IPS execute as assinaturas na ordem correta,
voc pode alterar a ordem delas na lista de assinaturas. Se vrias assinaturas
corresponderem, mova as de prioridade mais alta para o topo.
Por exemplo, se voc adicionar um grupo de assinaturas para bloquear trfego
TCP nas duas direes na porta de destino 80, poder adicionar as seguintes
assinaturas:
Bloquear todo o trfego na porta 80.
Permitir todo o trfego na porta 80.

Se a assinatura Bloquear todo o trfego estiver listada primeiro, a assinatura

Permitir todo o trfego nunca ser executada. Se a assinatura Permitir todo o
trfego estiver listada primeiro, a assinatura Bloquear todo o trfego nunca ser
executada e todo trfego HTTP ser sempre permitido.
Nota: As regras de firewall tomam a precedncia sobre as assinaturas de preveno
contra intruses.
na pgina 512.
Para alterar a ordem de assinaturas IPS personalizadas
Abra a biblioteca IPS personalizada.
Na guia Assinaturas, na tabela Assinaturas para esse grupo, selecione a

assinatura que voc deseja mover e execute uma das aes a seguir:
Para processar essa assinatura antes da que est acima dela, clique em
Mover para cima.
Para processar essa assinatura depois da que est abaixo dela, clique em
Mover para baixo.
Quando terminar de configurar essa biblioteca, clique em OK.
Para copiar e colar assinaturas IPS personalizadas

Voc pode copiar e colar assinaturas no mesmo grupo de assinaturas, entre grupos
de assinaturas, ou entre bibliotecas de assinaturas. Por exemplo, voc pode se dar
conta que adicionou uma assinatura ao grupo de assinaturas errado. Tambm
possvel que voc queira ter duas assinaturas quase idnticas.
na pgina 512.
Para copiar e colar assinaturas IPS personalizadas
Abra a biblioteca IPS personalizada.
Na caixa de dilogo Assinatura de preveno contra intruses personalizada,

na guia Assinaturas, na tabela Assinaturas para esse grupo, clique com o
boto direito do mouse na assinatura que deseja copiar e clique em Copiar.
Clique com o boto direito do mouse na lista de assinaturas e, em seguida,

clique em Colar.
Quando terminar de configurar esta biblioteca, clique em OK.
517
518

Definio de variveis para assinaturas IPS personalizadas

Ao adicionar uma assinatura IPS personalizada, possvel usar variveis para
representar dados sujeitos a alteraes em assinaturas. Se os dados forem
alterados, voc poder editar a varivel em vez de editar as assinaturas da
biblioteca.
na pgina 512.
Para usar as variveis na assinatura, voc precisar defini-las. As variveis
definidas na biblioteca de assinaturas personalizadas podem ser usadas em
qualquer assinatura dessa biblioteca.
Voc pode copiar e colar o contedo da varivel de amostra existente para comear
como uma base para criar contedo.
Para definir variveis para assinaturas IPS personalizadas
Crie uma biblioteca IPS personalizada.
Na caixa de dilogo Assinaturas de preveno contra intruses

personalizada, clique na guia Variveis.
Na caixa de dilogo Adicionar varivel, digite um nome e descrio opcional

para a varivel.
Adicione uma string de contedo de at 255 caracteres para o valor da varivel.

Ao inserir a string de contedo da varivel, siga as mesmas orientaes de
sintaxe que voc usa para inserir valores no contedo da assinatura.
Clique em OK.
Depois de adicionar a varivel tabela, voc poder us-la em qualquer
assinatura da biblioteca personalizada.
Para usar variveis em assinaturas IPS personalizadas
Na guia Assinaturas, adicione ou edite uma assinatura.
Na caixa de dilogo Adicionar assinatura ou em Editar assinatura, no campo

Contedo, digite o nome da varivel com um sinal de cifro ($) na frente.
Por exemplo, se voc criar uma varivel chamada HTTP para especificar
portas HTTP, digite o seguinte:
$HTTP
Clique em OK.
Quando terminar de configurar esta biblioteca, clique em OK.

Para testar assinaturas IPS personalizadas

Aps criar assinaturas IPS personalizadas, necessrio test-las para certificar-se
de que funcionam corretamente.
Tabela 21-4
Como testar assinaturas IPS personalizadas
Etapa
Ao
Descrio
Etapa 1
Certificar-se de que os
A prxima vez que o cliente receber a poltica, dever aplicar as
clientes usam a poltica atual novas assinaturas personalizadas.
de preveno contra
Consulte Como os computadores-cliente obtm atualizaes da
intruses
poltica na pgina 328.
Etapa 2
Testar o contedo da
assinatura no cliente
Voc deve testar o trfego que deseja bloquear nos

Por exemplo, se suas assinaturas IPS personalizadas bloquearem
arquivos MP3, tente fazer o download de alguns arquivos MP3
para os computadores-cliente. Se o download no ocorrer ou
atingir o tempo limite depois de muitas tentativas, as assinatura
IPS personalizadas ter xito.
Voc pode clicar em Ajuda para obter mais informaes sobre a
sintaxe que voc pode usar em assinaturas IPS personalizadas.
Etapa 3
Exibir eventos bloqueados no Voc pode exibir eventos nos logs do ataque proteo contra
Symantec Endpoint
ameaas rede. A mensagem que voc especifica na assinatura
Protection Manager
IPS personalizada aparece no log.

na pgina 512.
519
520

Captulo
22
Para gerenciar o controle

de dispositivos e aplicativos
Sobre o controle de dispositivos e aplicativos
Sobre Polticas de controle de dispositivos e aplicativos
Sobre a estrutura de uma poltica de controle de dispositivos e aplicativos
Configurao do controle de dispositivos e aplicativos
Ativao de um conjunto de regras de controle de aplicativos padro
Criao de regras personalizadas do controle de aplicativos
Configurao do bloqueio do sistema
Gerenciamento do controle de dispositivos

Voc pode usar o controle de dispositivos e aplicativos para monitorar e controlar
o comportamento dos aplicativos em computadores-cliente e gerenciar os
dispositivos de hardware que acessam os computadores-cliente. Voc tambm
pode controlar aplicativos configurando o bloqueio do sistema para permitir
apenas os aplicativos aprovados nos computadores-cliente.
Nota: O controle de aplicativos e o controle de dispositivos so suportados em
computadores de 32 bits e de 64 bits.
522
Para gerenciar o controle de dispositivos e aplicativos

Use uma Poltica de controle de dispositivos e aplicativos para configurar o controle

de aplicativos e de dispositivos em computadores-cliente. Use a guia Polticas na
pgina Clientes para configurar o bloqueio do sistema.
Aviso: O controle de aplicativos e o bloqueio do sistema so recursos de segurana
avanada que somente administradores experientes devem configurar.
Um resumo dos recursos do controle de dispositivos e aplicativos dado aqui.
Controle de aplicativos
Controle de dispositivos
Voc pode usar o controle de aplicativos para controlar

aplicativos das seguintes maneiras:
Impedir que malware assuma o controle de aplicativos
Restringir os aplicativos que podem ser executados
Impedir usurios de alterar arquivos de configurao
Proteger chaves do registro especficas
Proteger pastas especficas como WINDOWS\system
Voc pode usar o controle de dispositivos para controlar

dispositivos das seguintes maneiras:
Bloquear ou permitir tipos diferentes de dispositivos que
se conectam a computadores-cliente, como dispositivos
USB, infravermelho e FireWire
Bloquear ou permitir portas seriais e portas paralelas
Bloqueio do sistema
Voc pode usar o bloqueio do sistema para controlar

aplicativos das seguintes maneiras:
Controlar os aplicativos em seus computadores-cliente.
Bloquear virtualmente qualquer Cavalo de Troia, spyware

ou malware que tente ser executado ou carregado em
um aplicativo existente.
O bloqueio do sistema assegura que o seu sistema permanea

em um estado conhecido e confivel.
Nota: Se voc no implementar o bloqueio do sistema com

cuidado, poder causar problemas graves em sua rede. A
Symantec recomenda que voc implemente o bloqueio do
sistema em fases especficas.
Consulte Configurao do bloqueio do sistema
na pgina 541.
Consulte Sobre Polticas de controle de dispositivos e aplicativos na pgina 523.


Sobre Polticas de controle de dispositivos e aplicativos
Sobre Polticas de controle de dispositivos e

aplicativos
Voc pode implementar o controle de acesso ou de dispositivos em
computador-cliente usando uma Poltica de controle de dispositivos e aplicativos.
Voc pode atribuir somente uma Poltica de controle de dispositivos e aplicativos
de cada vez a um grupo ou a um local.
Por padro, h uma Poltica de controle de dispositivos e aplicativos no servidor
de gerenciamento. Porm, o driver da Poltica de controle de dispositivos e
aplicativos est desativado por padro no cliente. Para ativar o driver, necessrio
ativar uma regra existente ou adicionar e ativar uma nova regra na poltica. Depois
que a poltica for aplicada ao computador-cliente, um aviso solicitar que o usurio
reinicie o computador-cliente. O usurio deve reiniciar o computador para que a
poltica entre em vigor.
Se voc retirar ou desativar a Poltica de controle de dispositivos e aplicativos, o
driver ser desativado e o cliente no estar protegido. Quando voc reativar a
poltica, o usurio dever reiniciar o computador-cliente novamente.
Sobre a estrutura de uma poltica de controle de

dispositivos e aplicativos
O controle de aplicativos de uma poltica de controle de dispositivos e aplicativos
pode conter vrios conjuntos de regras, e cada conjunto de regras contm uma ou
mais regras. Voc pode configurar propriedades de um conjunto de regras, alm
de configurar propriedades, condies e aes para cada regra.
As regras controlam as tentativas de acesso a entidades do computador, como
arquivos ou chaves de registro do Windows, que o Symantec Endpoint Protection
monitora. Configure os diferentes tipos de tentativas como condies. Para cada
condio, voc pode configurar aes a serem tomadas quando a condio for
cumprida. Configure regras para aplicar somente a determinados aplicativos.
Voc pode, opcionalmente, configur-los para excluir outros aplicativos de ter a
ao aplicada.
Consulte Criao de regras personalizadas do controle de aplicativos
na pgina 527.
O controle de dispositivos consiste em uma lista de dispositivos bloqueados e uma
lista de dispositivos que so excludos do bloqueio. Voc pode adicionar a ambas
as listas e gerenciar seu contedo.
523
524

A Figura 22-1 ilustra os componentes do controle de dispositivos e aplicativos e

como eles se relacionam entre si.
Figura 22-1
Estrutura da poltica de controle de dispositivos e aplicativos

Voc pode configurar o controle de dispositivos e aplicativos executando algumas
tarefas tpicas.

Tabela 22-1
Tarefa
Descrio
Ativar conjuntos padro de regras do

controle de aplicativos
As polticas de controle de dispositivos e aplicativos contm conjuntos

padro de regras do controle de aplicativos. Os conjuntos de regras padro
so desativados. Voc pode ativar quaisquer conjuntos que precisar.
Nota: Se os conjuntos de regras padro no atenderem a seus requisitos,

crie conjuntos de regras personalizados.
Os conjuntos de regras padro so configurados em modo de produo em
vez de modo de teste. Porm, possvel mudar a configurao para o modo
de teste e testar as regras em sua rede de teste, antes que voc aplique-as
sua rede de produo.
Consulte Ativao de um conjunto de regras de controle de aplicativos
padro na pgina 526.
Nota: Os computadores-cliente exigem uma reinicializao quando voc

ativa regras de controle de aplicativos.
Criar e testar conjuntos personalizados Voc pode criar conjuntos personalizados de regras do controle de
de regras do controle de aplicativos
aplicativos. Normalmente, somente administradores avanados devem
executar esta tarefa.
na pgina 527.
Nota: Os computadores-cliente exigem uma reinicializao quando voc

ativa regras de controle de aplicativos.
Criar excees para o controle de
aplicativos
O controle de aplicativos poder causar problemas para alguns aplicativos

executados em sua rede. Voc pode excluir arquivos ou pastas do controle
de aplicativos. Voc usa uma Poltica de excees para especificar a exceo.
Nota: O Symantec Endpoint Protection 12.1 incluiu uma exceo separada

de controle de aplicativo. Na verso atual, uma exceo do controle de
aplicativo criada como parte da configurao das excees de arquivo ou
pasta.
Configurar o bloqueio do sistema de
configurao
O bloqueio do sistema controla os aplicativos em seus computadores-cliente.

Consulte Configurao do bloqueio do sistema na pgina 541.
525
526

Ativao de um conjunto de regras de controle de aplicativos padro
Tarefa
Descrio
Configurar o controle de dispositivos O controle de dispositivos especifica quais dispositivos de hardware so

para permitir ou bloquear dispositivos permitidos ou bloqueados em seus computadores-cliente.
de hardware
O Symantec Endpoint Protection Manager fornece uma lista de dispositivos
que voc pode usar na configurao de controle de dispositivos. Voc pode
adicionar dispositivos lista.
Exibir os logs de controle de aplicativos Voc pode exibir os eventos do controle de aplicativos e de dispositivos no
e de dispositivos
log de Controle de aplicativos e de Controle de dispositivos no Symantec
No computador-cliente, os eventos do controle de aplicativos e de
dispositivos aparecem no log de Controle.
Nota: Voc poder ver vrias entradas de log ou duplicadas de uma nica
ao de controle de aplicativos. Por exemplo, se o explorer.exe tentar copiar
um arquivo, ele define a gravao e excluir os bits da mscara de acesso do
arquivo. O Symantec Endpoint Protection registra o evento em log. Se a
ao da cpia falhar porque uma regra do controle de aplicativos bloquear
a ao, o explorer.exe tenta copiar o arquivo usando apenas o bit de excluso
na mscara de acesso. O Symantec Endpoint Protection registra em log
outro evento para a tentativa da cpia.
Impedir ou permitir usurios de ativar Voc pode impedir ou permitir os usurios de ativar ou desativar o controle
ou de desativar o controle de
de dispositivos e aplicativos no cliente. Use a configurao na caixa de
dilogo Configuraes de interface de usurio do cliente.
Ativao de um conjunto de regras de controle de

aplicativos padro
O controle de aplicativos de uma Poltica de controle de dispositivos e aplicativos
composto de conjuntos de regras de controle de aplicativos. Cada conjunto de
regras de controle de aplicativos composto de uma ou mais regras. Os conjuntos
de regras de controle de aplicativos padro so instalados com o Symantec
Endpoint Protection Manager. Os conjuntos padro de regras so desativados na
instalao.
Se voc quiser usar os conjuntos padro de regras em uma Poltica de controle de
dispositivos e aplicativos, ser necessrio ativ-los.

Para ativar um conjunto de regras de controle de aplicativos padro
No console, na poltica de controle de dispositivos e aplicativos a que deseja

adicionar um conjunto de regras padro do controle de aplicativo, clique em
Controle de aplicativos.
Para rever a configurao em um conjunto de regras de controle de aplicativos

padro, clique no nome em Conjunto de regras e, depois, clique em Editar.
Certifique-se de no fazer nenhuma mudana.
Quando voc concluir a verificao das regras e das configuraes de

condies, clique em Cancelar.
Marque a caixa de seleo ao lado de cada conjunto de regras que voc quer
ativar.
Por exemplo, ao lado do conjunto de regras Bloquear gravao em unidades
USB, marque a caixa de seleo da coluna Ativado.
Clique em OK.
Para testar o conjunto de regras Bloquear gravao em unidades USB
No computador-cliente, anexe a unidade USB.
Abra o Windows Explorer e clique duas vezes na unidade USB.
Clique com o boto direito do mouse na janela e clique em Novo > Pasta.
Se o controle do aplicativo estiver em vigor, uma mensagem de erro No

possvel criar a pasta aparecer.
Criao de regras personalizadas do controle de

aplicativos
Convm usar regras personalizadas do controle de aplicativos ao configurar o
controle de dispositivos e aplicativos.
527
528

Tabela 22-2
Etapa
Ao
Descrio
Etapa 1
Planejar o conjunto de regras
Um novo conjunto de regras de aplicativos contm uma ou mais

regras definidas pelo administrador. Cada conjunto de regras e
cada regra tem propriedades. Cada regra pode conter uma ou mais
condies para monitorar os aplicativos e o seu acesso a arquivos,
pastas, chaves de registro e processos especficos.
Voc deve verificar as melhores prticas antes de criar regras
personalizadas.
Consulte Sobre as melhores prticas para criar regras de controle
de aplicativos na pgina 529.
Voc tambm pode verificar a estrutura dos conjuntos de regras
padro para ver como elas so construdas.
Etapa 2
Criar o conjunto de regras e

adicionar regras
Voc pode criar vrias regras e adicion-las a um nico conjunto

de regras de controle de aplicativos. Voc pode excluir as regras
da lista e mudar sua posio na hierarquia do conjunto de regras
conforme necessrio. Voc pode tambm ativar e desativar
conjuntos de regras ou regras individuais dentro de um conjunto.
Consulte Criao de um conjunto de regras personalizadas e adio
de regras na pgina 534.
Voc pode copiar e colar conjuntos de regras ou regras individuais
na mesma poltica ou entre duas polticas. Convm copiar as regras
das polticas das quais voc fez o download da Symantec ou de
polticas de teste que contm as regras que voc deseja usar em
polticas da produo.
Consulte Como copiar conjuntos ou regras de aplicativos entre
polticas de controle de dispositivos e aplicativos na pgina 535.
Etapa 3
Aplicar uma regra a aplicativos

Toda regra deve ser aplicada a pelo menos um aplicativo. Voc
especficos e excluir determinados tambm pode excluir determinados aplicativos da regra. Especifique
aplicativos da regra
os aplicativos na guia Propriedades da regra.
Consulte Aplicao de uma regra a aplicativos especficos e
excluso de aplicativos de uma regra na pgina 536.

Etapa
Ao
Descrio
Etapa 4
Adicionar condies e aes a

regras
A condio especifica o que o aplicativo tenta fazer quando voc

deseja control-lo.
possvel definir qualquer uma das condies abaixo:
Tentativas de acesso a registros
Tentativas de acesso a arquivos e pastas
Iniciar tentativas de processo
Encerrar tentativas de processo
Carregar tentativas de DLL
Consulte Adio de condies e aes a uma regra personalizada

do controle de aplicativos na pgina 538.
Voc pode configurar qualquer uma das seguintes aes a serem
realizadas em um aplicativo quando ele cumprir a condio
configurada:
Continuar processando outras regras.
Permitir que o aplicativo acesse a entidade.
Bloquear o aplicativo de acessar a entidade.
Encerrar o aplicativo que tenta acessar uma entidade.
Nota: Lembre-se de que as aes se aplicam sempre ao processo

que est definido para a regra. Elas no se aplicam a um processo
definido em uma condio.
Etapa 5
Testar as regras
Voc deve testar suas regras antes de aplic-las sua rede da

produo.
Os erros de configurao nos conjuntos de regras usados em uma
Poltica de controle de dispositivos e aplicativos podem desativar
um computador ou servidor. O computador-cliente pode falhar ou
sua comunicao com o Symantec Endpoint Protection Manager
pode ser bloqueada.
Consulte Conjuntos de regras de controle de aplicativos de teste
na pgina 539.
Aps testar as regras, ser possvel aplic-las sua rede da
produo.
Sobre as melhores prticas para criar regras de controle de aplicativos

Voc deve planejar suas regras personalizadas de controle de aplicativos com
cuidado.
529
530


na pgina 527.
Quando voc criar regras de controle de aplicativos, mantenha em mente as
seguintes melhores prticas:
Tabela 22-3
Melhores prticas para regras de controle de aplicativos
Melhores prticas
Descrio
Exemplo
Use um conjunto de regras

por objetivo
Uma melhor prtica criar um conjunto

de regras que inclua todas as aes que
permitem, bloqueiam e monitoram uma
dada tarefa.
Voc deseja bloquear tentativas de

gravao em todas as unidades removveis
e deseja impedir que aplicativos interfiram
em um aplicativo especfico.
Para realizar estes objetivos, necessrio
criar dois conjuntos de regras diferentes.
Voc no deve criar todas as regras
necessrias para realizar ambos os
objetivos com um conjunto de regras.
Considere a ordem da regra
As regras do controle de aplicativos

funcionam de maneira semelhante
maioria das regras de firewall baseadas
em rede, pois ambas usam a primeira
regra correspondente. Quando vrias
condies forem verdadeiras, a primeira
regra ser a nica a ser aplicada, a menos
que a ao configurada para a regra seja
Continuar processando outras regras.
Voc deseja impedir que todos os usurios

movam, copiem e criem arquivos em
unidades USB.
Voc tem uma regra existente com uma
condio que permite o acesso de gravao
a um arquivo chamado Test.doc. Voc
adiciona uma segunda condio a este
conjunto de regras existente para bloquear
todas as unidades USB. Neste cenrio, os
usurios podem ainda criar e modificar o
arquivo Teste.doc em unidades USB. A
condio Permitir acesso para Test.doc
vem antes da condio Bloquear acesso
para unidades USB no conjunto de regras.
A condio Bloquearacesso para unidades
USB no ser processada quando a
condio que a preceder na lista for
verdadeira.

Melhores prticas
Descrio
Exemplo
Use a ao Encerrar processo A ao Encerrar processo encerra um

Voc deseja encerrar o Winword.exe
com cuidado
processo quando este atender condio sempre que um processo inici-lo.
configurada.
Voc cria e configura uma regra com a
Apenas administradores avanados devem condio Iniciar tentativas de processo
usar a ao Encerrar processo.
e a ao Encerrar processo. Voc aplica
Tipicamente, necessrio usar a ao
a condio ao Winword.exe e aplica a
Bloquear acesso.
regra a todos os processos.
Voc pode esperar que esta regra encerre
o Winword.exe, mas isso no o que a
regra faz. Se voc tentar iniciar o
Winword.exe pelo Windows Explorer, uma
regra com esta configurao encerrar o
Explorer.exe, no o Winword.exe.
Usurios ainda podero executar o
Winword.exe se o iniciarem diretamente.
Use a condio Encerrar
tentativas de processo para
proteger processos
A condio Encerrar tentativas de

processo permite ou bloqueia a
capacidade de um aplicativo de encerrar
um processo em um computador-cliente.
O Process Explorer uma ferramenta que

exibe os processos de DLL que foram
abertos ou carregados e quais recursos
so usados pelos processos.
A condio no permite nem impede que Convm encerrar o Process Explorer

os usurios interrompam um aplicativo quando ele tentar encerrar um aplicativo
pelos mtodos usuais, como clicar em Sair especfico.
no menu Arquivo.
Use a condio Encerrar tentativas de
processo e a ao Encerrar processo para
criar este tipo de regra. Voc aplica a
condio ao aplicativo Process Explorer.
Voc aplica a regra ao aplicativo ou aos
aplicativos que no quer que o Process
Explorer encerre.
Regras tpicas do controle de aplicativos

Convm criar regras personalizadas de controle de aplicativos para impedir que
usurios abram aplicativos, gravem ou compartilhem arquivos.
na pgina 527.
Voc pode verificar os conjuntos de regras padro para ajud-lo a determinar
como configurar suas regras. Por exemplo, possvel editar o conjunto de regras
Bloquear a execuo de aplicativos para verificar como usar uma condio Iniciar
tentativas de processo.
531
532

Consulte Ativao de um conjunto de regras de controle de aplicativos padro

na pgina 526.
Regras tpicas do controle de aplicativos
Tabela 22-4
Regra
Descrio
Impedir que os usurios abram um

aplicativo
Voc poder bloquear um aplicativo quando ele cumprir qualquer uma

destas condies:
Por exemplo, para impedir que usurios transfiram arquivos FTP,
possvel adicionar uma regra que bloqueie um usurio de iniciar um
cliente FTP do prompt de comando.
Por exemplo, se voc adicionar uma regra que bloqueie a Msvcrt.dll no
computador-cliente, os usurios no podero abrir o Microsoft WordPad.
A regra bloqueia tambm qualquer outro aplicativo que use a DLL.
Impedir que os usurios gravem em um possvel que voc queira deixar que usurios abram um arquivo, mas no
arquivo especfico
o modifiquem. Por exemplo, um arquivo pode incluir dados financeiros que
os funcionrios devem ver, mas no editar.
Voc pode criar uma regra para dar aos usurios o acesso somente leitura
para um arquivo. Por exemplo, possvel adicionar uma regra que permita
abrir um arquivo de texto no Bloco de Notas, mas no permite edit-lo.
Use a condio Tentativas de acesso a arquivos e pastas para criar este
tipo de regra.

Regra
Descrio
Bloquear compartilhamentos de
arquivo em computadores Windows
Voc pode criar uma regra personalizada que se aplique a todos os

aplicativos para desativar o compartilhamento de arquivos locais e de
impresso em computadores Windows.
Inclua as seguintes condies:
Adicione todas as chaves de registro relevantes de segurana e
compartilhamento do Windows.
Especifique o processo do servio do servidor (svchost.exe).
Especifique as DLLs das guias Segurana e Compartilhamento
(rshx32.dll, ntshrui.dll).
Especifique a DLL do servio do servidor (srvsvc.dll).
Voc define a ao de cada condio para Bloquear acesso.
Nota: Aps aplicar a poltica, ser necessrio reiniciar os

computadores-cliente para desativar completamente o compartilhamento
de arquivos.
Voc tambm pode usar regras de firewall para impedir ou permitir que os
computadores-cliente compartilhem arquivos.
Consulte Para permitir que clientes procurem arquivos e impressoras na
rede na pgina 496.
Impedir que os usurios executem
aplicativos ponto a ponto
Voc pode usar o controle de aplicativos para impedir que os usurios

executem aplicativos ponto a ponto em seus computadores.
Voc pode criar uma regra personalizada com uma condio Iniciar
tentativas de processo. Na condio, ser necessrio especificar todos os
aplicativos ponto a ponto que voc deseja bloquear, como LimeWire.exe ou
*.torrent. Voc pode definir a ao para a condio Bloquear acesso ou
Encerrar processo.
Use uma poltica de preveno contra intruses para bloquear o trfego na
rede dos aplicativos ponto a ponto. Use uma poltica de firewall para
bloquear as portas que enviam e recebem trfego de aplicativos ponto a
ponto.
Consulte Para gerenciar a preveno contra intruses em seu
533
534

Regra
Descrio
Bloquear tentativas de gravao em de Atualmente, o Symantec Endpoint Protection Manager no suporta um

DVD
conjunto de regras que especifique o bloqueio de tentativas de gravao
em unidades de DVD. Voc pode selecionar a opo na Poltica de controle
de dispositivos e aplicativos, porm, a opo no aplicada. Em vez disso,
voc pode criar uma Poltica de controle de dispositivos e aplicativos que
bloqueie os aplicativos especficos que gravam em unidades de DVD.
Voc tambm deve criar uma Poltica de integridade do host que defina a
chave do registro do Windows para bloquear tentativas de gravao em
unidades de DVD.
Criao de um conjunto de regras personalizadas e adio de regras

Voc pode criar vrias regras e adicion-las a um nico conjunto de regras de
controle de aplicativos. Crie tantas regras e tantos conjuntos de regras quanto
voc precisar para implementar a proteo desejada. Voc pode excluir as regras
da lista e mudar sua posio na hierarquia do conjunto de regras conforme
necessrio. Voc pode tambm ativar e desativar conjuntos de regras ou regras
individuais dentro de um conjunto.
Nota: Se voc criar uma regra personalizada que bloqueie o acesso a uma pasta
especfica de 32 bits (tal como o Windows\system32), as regras no funcionaro
em clientes de 64 bits. Voc tambm deve criar uma regra para bloquear o acesso
pasta Windows\syswow64.
na pgina 527.
Criao de um conjunto de regras personalizadas e adio de regras
No console, abra uma poltica de controle de dispositivos e aplicativos e clique

em Adicionar.
Na caixa de dilogo Adicionar conjunto de regras de controle de aplicativos,

desmarque Ativar log se voc no desejar registrar eventos sobre esse
conjunto de regras.
Na caixa de texto Nome de conjunto de regras, mude o nome padro do

conjunto de regras.
No campo Descrio, digite uma descrio.
Altere o nome padro da regra na caixa de texto Nome da regra e digite ento
uma descrio.

Desmarque Ativar essa regra se voc no quiser ativar a regra neste momento.
Na guia Propriedades, voc especifica os aplicativos aos quais esta regra se

aplica e que aplicativos devem ser excludos da regra.
Cada regra deve ter um aplicativo ao qual se aplique.
Consulte Aplicao de uma regra a aplicativos especficos e excluso de
aplicativos de uma regra na pgina 536.
Cada regra tambm deve ter condies e aes.
Consulte Adio de condies e aes a uma regra personalizada do controle
de aplicativos na pgina 538.
Para adicionar regras ao conjunto de regras, clique em Adicionar e clique em

seguida em Adicionar regra.
Clique em OK.
O novo conjunto de regras exibido e configurado para o modo de teste. Voc
deve testar novos conjuntos de regras antes de aplic-los nos
Consulte Conjuntos de regras de controle de aplicativos de teste
na pgina 539.
Como copiar conjuntos ou regras de aplicativos entre polticas de

controle de dispositivos e aplicativos
Voc pode copiar conjuntos de regras do controle de aplicativos ou regras
individuais entre duas polticas diferentes. Voc tambm pode copiar conjuntos
de regras ou regras na mesma poltica. Os procedimentos aqui abordados
descrevem como copiar conjuntos de regras ou regras entre duas polticas
diferentes.
na pgina 527.
Como copiar conjuntos de regras de aplicativos entre Polticas de controle de
No console, abra a poltica de controle de dispositivos e aplicativos que contm

os conjuntos de regras que voc deseja copiar.
Clique em Controle de aplicativos.
Na pgina Controle de aplicativos, em Conjuntos de regras de controle de

aplicativos, clique com o boto direito do mouse no conjunto de regras que
desejar copiar e selecione Copiar.
Clique em OK para fechar a poltica atual.
535
536

No console, em Polticas de controle de dispositivos e aplicativos, selecione

a poltica de destino.
Na poltica de destino, selecione Controle de aplicativos.
Em Conjuntos de regras do Controle de aplicativos, clique com o boto direito

do mouse e selecione Colar.
Como copiar regras do aplicativo entre polticas de controle de dispositivos e

aplicativos
No console, abra a Poltica de controle de dispositivos e aplicativos que contm

a regra que voc quer copiar.
Clique em Controle de aplicativos.
Selecione o conjunto de regras que voc quer copiar e clique em Editar.
Em Regras, clique com o boto direito do mouse na regra que deseja copiar
e selecione Cpia.
Clique em OK para fechar o conjunto de regras.
Clique em OK para fechar a poltica.
No console, em Polticas de controle de dispositivos e aplicativos, selecione

a poltica de destino.
Na poltica de destino, selecione Controle de aplicativos.
10 Selecione o conjunto de regras para o qual deseja copiar a regra e clique em

Editar.
11 Em Regras, clique com o boto direito do mouse e selecione Colar.
Aplicao de uma regra a aplicativos especficos e excluso de

aplicativos de uma regra
possvel aplicar uma regra aos aplicativos e excluir aplicativos das aes da
regra. Voc especifica uma lista que contenha os aplicativos aos quais a regra se
aplica (as incluses). Voc especifica uma outra lista que contenha os aplicativos
aos quais a regra no se aplica (as excluses). Para vincular uma regra a um
aplicativo especfico, defina esse aplicativo no campo de texto Aplicar essa regra
aos seguintes processos.
Se voc quer vincular a regra a todos os aplicativos, exceto a um conjunto de
aplicativos especfico, use as seguintes configuraes:

Na caixa de texto Aplicar essa regra aos seguintes processos, defina um

caractere curinga para todos os processos (*).
Na caixa de texto No aplicar essa regra aos seguintes processos, relacione os

aplicativos que precisam de uma exceo.
Voc pode definir tantos aplicativos quanto quiser para cada lista.
Nota: Cada regra deve ter pelo menos um aplicativo listado na caixa de texto
Aplicar essa regra aos seguintes processos.
Quando voc adiciona aplicativos a uma regra, possvel usar as seguintes
maneiras para especificar o aplicativo:
O nome de processo
Caracteres curingas
Expresses regulares
Impresses digitais de arquivos
Os tipos de unidade de onde o aplicativo foi iniciado
O ID do dispositivo

na pgina 527.
Para aplicar uma regra a aplicativos especficos e para excluir uma regra
Na caixa de dilogo Editar conjunto de regras do controle de aplicativos,

clique na regra que voc quer aplicar.
Se voc quer configurar um aplicativo para aplicar a regra, direita de Aplicar

essa regra aos seguintes processos, clique em Adicionar.
Na caixa de dilogo Adicionar definio de processo, configure os seguintes

itens:
Digite o nome do aplicativo que voc deseja que corresponda a esta regra.
Clique em Use a correspondncia de caracteres curinga (suporte a * e ?)

ou em Use a correspondncia de expresses regulares.
Se desejado, marque os tipos de unidades especficas que correspondem

ao processo.
Se desejado, marque Somente corresponder processos executados nos

seguintes tipos de identificao do dispositivo e digite um tipo de ID do
dispositivo no campo de texto ou clique em Selecionar para escolher um
tipo de ID do dispositivo da lista na caixa de dilogo Seleo de dispositivo
537
538

para somente corresponder processos executados em dispositivos desse

tipo de ID.
Se desejado, clique em Opes para corresponder processos baseados na

impresso digital do arquivo e para somente corresponder processos que
tenham um argumento designado. Voc pode optar por corresponder aos
argumentos exatamente ou usar a correspondncia de expresses
regulares.
Clique em OK.
Voc pode repetir etapas de 2 a 4 para adicionar tantos aplicativos quanto
desejar.
Se voc quiser configurar um ou mais aplicativos a serem excludos da regra,

direita do campo de texto No aplicar essa regra aos seguintes processos,
clique em Adicionar.
Repita a configurao dos aplicativos a excluir, conforme o desejado. Voc
tem as mesmas opes quando define um aplicativo a excluir e quando aplica
a regra a um aplicativo.
Quando voc tiver concludo a definio dos aplicativos, clique em OK.
Adio de condies e aes a uma regra personalizada do controle

de aplicativos
Aps definir a quais aplicativos uma regra personalizada se aplica, necessrio
definir as condies e as aes para uma regra. As propriedades de uma condio
especificam o que a condio procura. Suas aes definem o que acontece quando
a condio cumprida.
na pgina 527.
Adio de condies e aes a uma regra do controle de aplicativos
Na caixa de dilogo Adicionar conjunto de regras do controle de aplicativos

ou Editar conjunto de regras do controle de aplicativos, em Regras, clique
em Adicionar e em seguida em Adicionar condio.
Selecione uma das seguintes condies:
Tentativas de acesso a arquivos e pastas
Encerrar tentativas de processo

Na guia Propriedades para a condio, digite um nome e uma descrio para

a condio.
direita de Aplicar seguinte entidade, em que entidade representa chaves

de registro, arquivos e pastas, processos ou DLLs, clique em Adicionar.
Na caixa de dilogo Adicionar definio de entidade, digite a chave de

registro, o arquivo ou o nome de pasta, o nome do processo ou a DLL.
Nota: Quando voc aplica uma condio a todas as entidade em uma pasta
em particular, a melhor prtica usar nome_da_pasta\* ou nome_da_pasta\*\*.
Um asterisco inclui todos os arquivos e pastas na pasta nomeada. Use
nome_da_pasta\*\* para incluir cada arquivo e pasta na pasta nomeada, alm
de cada arquivo e pasta em cada subpasta.
Clique em OK.
direita de No aplicar aos seguintes processos, clique em Adicionar e

especifique as chaves de registro, os arquivos e as pastas, os processos ou as
DLLs.
Clique em OK.
Na guia Aes para a condio, selecione uma das seguintes aes:
Continuar processando outras regras
Permitir acesso
Bloquear acesso
Encerrar processo
Nas condies Tentativas de acesso a registros e Tentativas de acesso a

arquivos e pastas, voc pode configurar dois conjuntos de aes, um para
Tentativa de leitura e outro para Tentativa de criar, excluir ou gravar.
10 Marque Ativar registro de log e selecione um nvel de gravidade para atribuir

s entradas que esto registradas.
11 Selecione Notificar usurio e digite o texto que deseja que o usurio veja.
12 Clique em OK.
Conjuntos de regras de controle de aplicativos de teste

Aps criar regras personalizadas de controle de aplicativos, necessrio test-las
em sua rede.
539
540


na pgina 527.
Tabela 22-5
Conjuntos de regras de controle de aplicativos de teste
Etapa
Descrio
Configure o conjunto de regras para o Voc testa conjuntos de regras definindo o modo
Modo de teste e ative ou desative regras para Modo de teste (log apenas). O Modo de teste
cria uma entrada de log para indicar quando as
regras no conjunto de regras seriam aplicadas
sem realmente aplicar a regra.
Regras personalizadas usam o Modo de teste por
padro. Voc tambm pode testar conjuntos de
regras padro.
Convm testar regras dentro do conjunto
individualmente. Voc pode testar regras
individuais ativando ou desativando-as no
conjunto de regras.
Consulte Criao de um conjunto de regras
personalizadas e adio de regras na pgina 534.
Consulte Ativao de um conjunto de regras de
controle de aplicativos padro na pgina 526.
Aplique a poltica de controle de
dispositivos e aplicativos em sua rede
de teste
Se voc criar uma nova poltica de controle de

dispositivos e aplicativos, ser necessrio aplicar
a poltica nos clientes em sua rede de teste.
Consulte Atribuio de uma poltica a um grupo
na pgina 321.
Nota: Os computadores-cliente devero ser

reiniciados depois que voc aplicar uma nova
poltica de Controle de dispositivos e aplicativos
ou quando voc mudar a poltica padro.

Etapa
Descrio
Verificar o log de controle
Aps executar seus conjuntos de regras no Modo

de teste por um perodo de tempo, possvel
verificar qualquer erro nos logs do cliente.
Voc pode exibir o log do controle de aplicativos
no Symantec Endpoint Protection Manager.
Voc tambm pode exibir o log do controle no
computador-cliente.
Quando as regras funcionarem como voc espera,
ser possvel mudar o modo do conjunto de regras
para Modo de produo.

O bloqueio do sistema controla aplicativos em um grupo de computadores-cliente
bloqueando aplicativos no aprovados. Voc pode configurar o bloqueio do sistema
para permitir somente aplicativos em uma lista especificada (whitelist). A whitelist
abrange todos os aplicativos aprovados; todos os outros aplicativos so bloqueados
nos computadores-cliente. Ou voc pode configurar o bloqueio do sistema para
bloquear somente aplicativos em uma lista especificada (blacklist). A blacklist
abrange todos os aplicativos no aprovados; todos os outros aplicativos so
permitidos nos computadores-cliente.
Nota: Qualquer aplicativo que o bloqueio do sistema permite est sujeito a outros
recursos de proteo no Symantec Endpoint Protection.
Uma whitelist ou uma blacklist podem incluir listas de impresso digital do arquivo
e nomes de aplicativo especficos. Uma lista de impresses digitais de arquivos
uma lista de somas de verificao do arquivo e de locais do caminho do computador.
Voc pode usar a Poltica de controle de dispositivos e aplicativos para controlar
aplicativos especficos em vez do ou em adio ao bloqueio do sistema.
Voc configura o bloqueio do sistema para cada grupo ou local em sua rede.
541
542

Tabela 22-6
Etapas de bloqueio do sistema
Etapa
Ao
Descrio
Etapa 1
Criar listas de impresso digital

de arquivos
Voc pode criar uma lista de impresses digitais de arquivos que inclua
os aplicativos que so permitidos ou no permitidos para execuo
em seus computadores-cliente. Voc usa a lista de impresses digitais
de arquivos como parte de uma whitelist ou de uma blacklist no
bloqueio do sistema.
O Symantec Endpoint Protection fornece um utilitrio da soma de
verificao para criar uma lista de impresses digitais de arquivos. O
utilitrio instalado junto com o Symantec Endpoint Protection no
computador-cliente.
Voc pode usar o utilitrio para criar uma soma de verificao para
um aplicativo especfico ou todos os aplicativos em um caminho
especificado.
Nota: Quando voc executar o bloqueio do sistema no modo padro

ou de whitelist, precisar de uma lista de impresses digitais de
arquivos que inclua todos os aplicativos que voc quer que os usurios
possam executar em seus computadores. Por exemplo, sua rede pode
incluir clientes do Windows Vista de 32 bits, Windows Vista de 64 bits
e Windows XP SP2. possvel criar uma lista de impresses digitais
de arquivos para cada imagem do cliente que voc quer adicionar
whitelist.
Voc pode igualmente criar uma lista de impresses digitais de
arquivos com qualquer utilitrio de terceiros da soma de verificao.
Consulte Para criar uma lista de impresses digitais de arquivos com
o checksum.exe na pgina 549.
Etapa 2
Importar as listas de impresso

digital de arquivos para o
Manager
Aps criar as listas de impresses digitais de arquivos, voc dever

import-las para o Symantec Endpoint Protection Manager. Aps
importar as listas, elas estaro disponveis para adicionar
configurao do bloqueio do sistema.
Consulte Importao ou mesclagem de listas de impresses digitais
de arquivos no Symantec Endpoint Protection Manager na pgina 550.
Voc tambm pode exportar listas de impresses digitais de arquivos
existentes no Symantec Endpoint Protection Manager.

Etapa
Ao
Descrio
Etapa 3
Criar listas de nome de aplicativos possvel usar qualquer editor de texto para criar um arquivo de texto
para aplicativos aprovados ou no que inclua os nomes do arquivo dos aplicativos que voc quer adicionar
aprovados
whitelist ou blacklist. Ao contrrio das listas de impresses digitais
de arquivos, voc importa estes arquivos diretamente na configurao
do bloqueio do sistema. Aps voc importar os arquivos, os aplicativos
aparecem como entradas individuais na configurao do bloqueio do
sistema.
A opo de importao estar disponvel somente quando o modo de
blacklist estiver disponvel.
Voc tambm poder dar entrada manualmente com nomes individuais
do aplicativo na configurao do bloqueio do sistema.
Consulte Para fazer o modo blacklist para bloqueio do sistema
aparecer no Symantec Endpoint Protection Manager na pgina 547.
Nota: Um grande nmero de aplicativos nomeados poder afetar o

desempenho de computador-cliente quando o bloqueio do sistema for
ativado no modo blacklist.
Consulte Para criar uma lista de nomes de aplicativos para importao
na configurao de bloqueio do sistema na pgina 553.
543
544

Etapa
Ao
Descrio
Etapa 4
Configurar e testar a configurao No modo de teste, o bloqueio do sistema desativado e no bloqueia

do bloqueio do sistema
nenhum aplicativo. Todos os aplicativos no aprovados so registrados
em log, mas no so bloqueados. Voc usa a opo Registrar em log
apenas aplicativos no aprovados na caixa de dilogo Bloqueio do
sistema para testar a configurao inteira do bloqueio do sistema.
Para configurar e executar o teste, conclua as seguintes etapas:
Adicione listas de impresso digital de arquivos configurao do
No modo whitelist, as impresses digitais do arquivo so aplicativos
aprovados. No modo blacklist, as impresses digitais do arquivo
so aplicativos no aprovados.
Adicione listas individuais de nomes de aplicativo ou importe listas
de nomes de aplicativos de importao na configurao do bloqueio
do sistema.
A opo de importao estar disponvel somente quando o modo
de blacklist estiver disponvel.
Voc pode importar uma lista de nomes de aplicativo em vez de
digitar os nomes um por um na configurao do bloqueio do
sistema. No modo whitelist, os aplicativos so aplicativos
aprovados. No modo blacklist, os aplicativos so aplicativos no
aprovados.
Execute o teste por um perodo de tempo.
Execute o bloqueio do sistema no modo de teste o tempo suficiente
para que os clientes executem seus aplicativos normais. Um perodo
de tempo tpico pode ser uma semana.
Consulte Para configurar e testar a configurao do bloqueio do

sistema antes de ativar o bloqueio do sistema na pgina 559.
Etapa 5
Exibir os aplicativos no
aprovados e modificar a
configurao do bloqueio do
sistema caso necessrio
Aps executar o teste por um perodo de tempo, voc poder verificar

a lista de aplicativos no aprovados. Voc pode exibir a lista de
aplicativos no aprovados verificando o status na caixa de dilogo
Bloqueio do sistema.
Os eventos registrados em log igualmente aparecem no Log de controle
de aplicativos.
Voc poder decidir se adicionar mais aplicativos impresso digital
de arquivos ou lista de aplicativos. Voc pode igualmente adicionar
ou remover as listas de impresses digitais de arquivos ou os
aplicativos, caso necessrio, antes de ativar o bloqueio do sistema.

Etapa
Ao
Descrio
Etapa 6
Ativar o bloqueio do sistema
Por padro, o bloqueio do sistema fornece somente um modo whitelist.

Voc pode configurar o Symantec Endpoint Protection Manager de
modo que o bloqueio do sistema possa ser configurado no modo
whitelist ou blacklist.
Quando voc ativar o bloqueio do sistema no modo padro ou modo
whitelist, bloquear qualquer aplicativo que no estiver na lista
aprovada dos aplicativos. Quando voc ativar o bloqueio do sistema
no modo blacklist, bloquear qualquer aplicativo que estiver na lista
no aprovada de aplicativos.
Nota: Certifique-se de que voc teste sua configurao antes de ativar

o bloqueio do sistema. Se voc bloquear um aplicativo necessrio, seus
computadores-cliente no podero ser reinicializados.
Consulte Para ativar o bloqueio do sistema para executar no modo
whitelist na pgina 562.
Consulte Para ativar o bloqueio do sistema para ser executado no
modo blacklist na pgina 563.
545
546

Etapa
Ao
Descrio
Etapa 7
Atualizar as listas de impresso Com o passar do tempo, voc poder mudar os aplicativos executados
digital de arquivos para o bloqueio em sua rede. Voc pode atualizar suas listas de impresses digitais de
do sistema
arquivos ou remover as listas conforme a necessidade.
Voc pode atualizar listas de impresses digitais de arquivos de duas
maneiras:
Importar, anexar, substituir ou mesclar listas de impresses digitais
de arquivos manualmente.
Consulte Para atualizar manualmente uma lista de impresses
digitais de arquivos no Symantec Endpoint Protection Manager
na pgina 552.
Consulte Importao ou mesclagem de listas de impresses digitais
de arquivos no Symantec Endpoint Protection Manager
na pgina 550.
Atualize listas de impresses digitais de arquivos existentes
automaticamente quando os modos whitelist e blacklist estiverem
disponveis.
Tambm possvel atualizar automaticamente os aplicativos nas
listas de nomes do aplicativo que voc importa.
Consulte Para atualizar automaticamente whitelists ou blacklists
para bloqueio do sistema na pgina 554.
Consulte Para criar uma lista de nomes de aplicativos para
importao na configurao de bloqueio do sistema na pgina 553.
Nota: possvel reexaminar a configurao inteira do bloqueio do

sistema se voc adicionar computadores-cliente a sua rede. Voc pode
mover clientes novos para uma rede separada do grupo ou do teste
onde o bloqueio do sistema no seja ativado. Ou mantenha o bloqueio
do sistema ativado e teste impresses digitais de arquivos individuais
ou aplicativos como descrito na prxima etapa.

Etapa
Ao
Descrio
Etapa 8
Testar itens selecionados antes de

adicion-los ou remov-los,
quando o bloqueio do sistema
estiver ativado
Depois que o bloqueio do sistema estiver ativado, voc poder testar

impresses digitais individuais de arquivos, listas de nomes de
aplicativos ou aplicativos especficos antes de adicion-los ou
remov-los para a configurao do bloqueio do sistema.
possvel remover as listas de impresses digitais de arquivos se voc
tiver muitas listas e no usar mais algumas delas.
Nota: Seja cuidadoso quando adicionar ou remover uma lista de

impresses digitais de arquivos ou um aplicativo especfico do bloqueio
do sistema. Adicionar ou remover itens do bloqueio do sistema pode
ser arriscado. Voc pode bloquear aplicativos importantes em seus
Teste itens selecionados.
Use a opo Testar antes da remoo ou Testar antes de adicionar
para registrar em log listas de impresso digital de arquivos
especficos ou aplicativos especficos como no aprovados.
Quando voc executar este teste, o bloqueio do sistema ser ativado,
mas no bloquear nenhum aplicativo selecionado ou nenhum
aplicativo nas listas de impresses digitais de arquivos
selecionadas. Em vez disso, o bloqueio do sistema registra em log
os aplicativos como no aprovados.
Verifique o log de controle de aplicativos.
As entradas de log aparecem no log de controle de aplicativos. Se
o log no tiver nenhuma entrada para os aplicativos testados, voc
saber que seus clientes no usam aqueles aplicativos. Voc pode
remover com segurana a lista.
Consulte Para testar itens selecionados antes de adicion-los ou

remov-los quando o bloqueio do sistema j estiver ativado
na pgina 564.
Para fazer o modo blacklist para bloqueio do sistema aparecer no

Voc pode configurar o Symantec Endpoint Protection Manager de modo que o
bloqueio do sistema inclua uma opo de blacklist para bloquear uma lista
especificada de aplicativos no aprovados. Para usar o recurso de blacklist, voc
deve modificar o arquivo conf.properties para permitir que a opo do modo
blacklist aparea no console do Symantec Endpoint Protection Manager.
547
548

Nota: Um modo whitelist tambm estar disponvel quando o modo blacklist

estiver disponvel. O modo whitelist o mesmo da funcionalidade padro de
bloqueio do sistema que permite somente que uma lista de aplicativos aprovados
sejam executados em computadores-cliente.
possvel especificar um nmero mximo de aplicativos nomeados no arquivo
conf.properties.
Por padro, 512 o nmero mximo. Voc dever mudar a configurao se

quiser importar um grande nmero de nomes de aplicativo na configurao
do bloqueio do sistema no modo blacklist.
O nmero mximo aplicado ao nmero de aplicativos que voc especificar

em suas listas de nomes de aplicativos combinadas.
A configurao no se aplica s listas de impresses digitais de arquivos, que

no tm nenhuma limitao mxima no nmero de aplicativos que incluem.
Para fazer o modo blacklist para bloqueio do sistema aparecer no console do

Interrompa o servio do Symantec Endpoint Protection Manager.
Abra o arquivo conf.properties com qualquer editor de texto. O arquivo est

localizado tipicamente em C:\Arquivos de Programas\Symantec\Symantec
Endpoint Protection Manager\tomcat\etc.
Para permitir que as novas opes apaream, adicione a seguinte linha ao

arquivo:
scm.systemlockdown.blacklist.enabled=1
Para especificar um nmero mximo de aplicativos a colocar em uma lista

de nomes de aplicativos, adicione a seguinte linha ao arquivo:
scm.systemlockdown.max.count.extrafiles=max num of apps
Salve o arquivo.
Reinicie o servio do Symantec Endpoint Protection Manager.

Consulte Para criar uma lista de nomes de aplicativos para importao na
configurao de bloqueio do sistema na pgina 553.
na pgina 183.

549
Para criar uma lista de impresses digitais de arquivos com o

checksum.exe
Voc pode usar o utilitrio checksum.exe para criar uma lista de impresses digitais
de arquivos. A lista contm o caminho e o nome do arquivo e tambm a soma de
verificao correspondente de cada arquivo executvel ou DLL que reside em um
caminho especificado no computador. O utilitrio instalado com o Symantec
Endpoint Protection no computador-cliente.
Voc pode tambm usar um utilitrio de terceiros para criar uma lista de
impresses digitais de arquivos.
Voc importa a lista de impresses digitais de arquivos no Symantec Endpoint
Protection Manager para us-la em sua configurao de bloqueio do sistema.
O formato de cada linha soma_de_verificao_do_arquivo espao
nome_completo_do_caminho_do_exe_ou_DLL.
Um exemplo de resultado do checksum.exe mostrado aqui:
0bb018fad1b244b6020a40d7c4eb58b7
35162d98c2b445199fef95e838feae4b
4f3ef8d2183f927300ac864d63dd1532
dcd15d648779f59808b50f1a9cc3698d
2f276c59243d3c051547888727d8cc78
e6b635b6f204b9f2a43ba7df8780a7a6
0901d37ec3339ef06dba0a9afb0ac97c
a09eaad7f8c7c4df058bbaffd938cd4c
c:\dell\openmanage\remind.exe
c:\dell\pnp\m\co\HSFCI008.dll
c:\dell\pnp\m\co\HXFSetup.exe
c:\dell\pnp\m\co\MdmXSdk.dll
c:\Nokia Video Manager\QtCore4.dll
c:\Nokia Video Manager\QtNetwork4.dll
c:\Nokia Video Manager\QtXml4.dll
c:\Nokia Video Manager\VideoManager.exe
550

Para criar uma lista de impresses digitais de arquivos com o checksum.exe
Abra uma janela do prompt de comando no computador que contm a imagem

para a qual voc quer criar uma lista de impresses digitais de arquivos.
O computador deve ter o software-cliente Symantec Endpoint Protection
instalado.
Navegue at pasta que contm o arquivo checksum.exe. Por padro, este

arquivo situado na seguinte pasta:
C:\Arquivos de programas\Symantec\Symantec Endpoint Protection
Digite o seguinte comando:

checksum.exe arquivo_de_sadacaminho
onde =arquivo_de_sada o nome do arquivo de texto que contm as somas

de verificao de todos os executveis localizados na unidade especificada.
O arquivo de sada um arquivo de texto (arquivo_de_sada.txt).
O seguinte um exemplo da sintaxe que voc pode usar para criar uma lista de
impresses digitais para uma imagem:
checksum.exe cdrive.txt c:
Este comando cria um arquivo chamado cdrive.txt. Ele contm as somas de

verificao e os caminhos dos arquivos para todos os executveis e DLLs
encontrados na unidade C do computador-cliente no qual foi executado.
O seguinte um exemplo da sintaxe que voc pode usar para criar uma impresso
digital para uma pasta no computador-cliente:
checksum.exe blocklist.txt c:\Arquivos
Este comando cria um arquivo chamado blocklist.txt. Ele contm as somas de

verificao e os caminhos de arquivo de todos os executveis e DLLs encontrados
na pasta Arquivos.
Importao ou mesclagem de listas de impresses digitais de arquivos

Para que voc possa usar uma lista de impresses digitais de arquivos no bloqueio
do sistema, dever importar o arquivo no Symantec Endpoint Protection Manager.
Voc tambm pode mesclar listas de impresses digitais de arquivos.
Voc deve j ter criado a lista de impresses digitais de arquivos. Voc pode usar
o utilitrio checksum.exe ou um utilitrio de terceiros para criar a lista de

Consulte Para criar uma lista de impresses digitais de arquivos com o

checksum.exe na pgina 549.
Importao ou mesclagem de listas de impresses digitais de arquivos
Em Polticas, expanda Componentes das polticas e clique em Listas de

impresso digital de arquivos.
Em Tarefas, clique em Adicionar uma lista de impresses digitais de

arquivos.
Em Bem-vindo ao Assistente de Adio de impresso digital de arquivo,

clique em Avanar.
No painel Informaes sobre nova impresso digital de arquivo, digite um

nome e uma descrio para a nova lista mesclada.
Clique em Avanar.
No painel Criar uma impresso digital de arquivo, selecione uma das

seguintes opes:
Criar a impresso digital de arquivo importando um arquivo de

impresso digital
Criar a impresso digital de arquivo combinando vrias impresses

digitais de arquivos
Esta opo estar disponvel apenas se voc j tiver importado vrias listas
de impresses digitais de arquivos.
Clique em Avanar.
Especificar o caminho para a impresso digital do arquivo que voc criou.

Voc pode navegar para encontrar o arquivo.
Selecione as impresses digitais que deseja mesclar.
A lista importada ou mesclada da impresso digital aparece em Listas de
551
552

Para atualizar manualmente uma lista de impresses digitais de

arquivos no Symantec Endpoint Protection Manager
Convm atualizar suas listas de impresses digitais de arquivos depois de executar
o bloqueio do sistema por algum tempo. Voc pode anexar, substituir ou remover
entradas de uma lista de impresses digitais de arquivos existente. Voc no pode
editar diretamente uma lista existente de impresses digitais de arquivos no
Nota: Voc pode tambm exportar uma lista existente de impresses digitais de
arquivos.
Se desejar mesclar listas de impresso digital em uma nova lista com um nome
diferente, use o Assistente de Adio de impresso digital de arquivo.
Consulte Importao ou mesclagem de listas de impresses digitais de arquivos
Para atualizar manualmente uma lista de impresses digitais de arquivos no
Em Polticas, expanda Componentes das polticas e clique em Listas de

impresso digital de arquivos.
No painel Listas de impresses digitais de arquivos, selecione a lista de

impresses digitais que deseja editar.
Clique em Editar.
No Assistente de Edio de impresso digital de arquivo, clique em Avanar
Proceda de uma das seguintes maneiras:
Clique em Acrescentar um arquivo de impresso digital a esta impresso

digital de arquivo para adicionar um novo arquivo a um existente.
Clique em Anexar outro arquivo de impresso digital impresso digital

do arquivo para mesclar as lista de impresses digitais do arquivo que
voc j importou.
Clique em Substituir uma lista existente por nova lista de impresses

digitais de arquivo.
Clique em Remover impresses digitais de uma lista existente que

corresponda a impresses digitais em uma nova lista.

Clique em Procurar para encontrar o arquivo ou para digitar o caminho

completo da lista de impresses digitais de arquivos que voc quer anexar,
substituir ou remover.
Selecione as impresses digitais do arquivo que voc quer mesclar.
Clique em Avanar.
Clique em Fechar.
Para criar uma lista de nomes de aplicativos para importao na

configurao de bloqueio do sistema
possvel importar uma lista de nomes de aplicativos na configurao de bloqueio
do sistema quando o modo blacklist estiver disponvel. Convm importar uma
lista de nomes de aplicativos em vez de adicionar nomes de aplicativos
individualmente configurao de bloqueio do sistema.
Por padro, 512 o nmero mximo de aplicativos que voc pode incluir nas listas
de nomes de aplicativos combinadas. possvel alterar o nmero mximo no
arquivo conf.properties.
Voc pode criar um arquivo de lista de nomes de aplicativos com qualquer editor
de texto.
Cada linha do arquivo pode conter os seguintes itens separados por um espao:
O nome do arquivo
Se voc usar um nome de caminho, ele dever estar entre aspas.
O modo de teste
O valor deve ser 1 ou Y para ativado ou 0 ou N para desativado. Se voc deixar
o campo em branco, o modo de teste estar desativado. Ser necessrio incluir
um valor se voc quiser especificar o modo de correspondncia.
O modo de correspondncia (caractere curinga ou expresso regular)

O valor deve ser 1 ou Y para correspondncia de expresso regular ou 0 ou N
para correspondncia de caractere curinga. Se voc deixar o campo em branco,
a correspondncia de caractere curinga estar desativada.
Nota: O campo de modo de teste ativa ou desativa a opo Testar antes de adicionar
ou Testar antes de remover para cada aplicativo na lista. O campo de modo de
teste ser ignorado quando voc usar a opo Apenas registrar aplicativos para
testar a configurao completa de bloqueio do sistema.
Cada linha deve usar a seguinte sintaxe:
553
554

filename test_mode matching_mode
Por exemplo:
aa.exe
bb.exe 0 1
cc.exe 1
dd.exe 1 0
"c:\program files\ee.exe" 0 0
Quando voc importar essa lista no bloqueio do sistema, os aplicativos individuais

aparecero na configurao do sistema com as seguintes configuraes:
Tabela 22-7
Exemplo que corresponda s configuraes do modo
Nome do aplicativo
Testar antes de adicionar Modo de correspondncia

ou Testar antes de
remover
aa.exe
Desativado
Caractere curinga
bb.exe
Desativado
Expresso regular
cc.exe
Ativado
Caractere curinga
dd.exe
Ativado
Caractere curinga
c:\arquivos de
programas\ee.exe
Desativado
Caractere curinga
Consulte Para fazer o modo blacklist para bloqueio do sistema aparecer no

Para atualizar automaticamente whitelists ou blacklists para bloqueio

do sistema
O Symantec Endpoint Protection Manager pode atualizar automaticamente listas
de impresses digitais de arquivos e listas de nomes de aplicativos existentes que
o bloqueio do sistema usa no modo whitelist ou blacklist.
O Symantec Endpoint Protection Manager pode atualizar listas existentes. Ele
no pode fazer automaticamente o upload de uma nova whitelist ou blacklist.
Voc tambm pode atualizar manualmente impresses digitais do arquivo
existentes.

Tabela 22-8
Atualizao de whitelists ou blacklists para bloqueio do sistema
Etapa
Tarefa
Descrio
Etapa 1
Criar listas de impresses digitais de

arquivos ou listas de nome de
aplicativos atualizadas e compactar os
arquivos
Voc pode usar o utilitrio checksum.exe ou qualquer utilitrio

de terceiros para criar as listas atualizadas de impresses digitais
de arquivos. Voc pode usar qualquer editor de texto para
atualizar listas de nomes de aplicativos. As listas devem ter os
mesmos nomes que j existem no Symantec Endpoint Protection
Manager.
Consulte Para criar uma lista de impresses digitais de arquivos
com o checksum.exe na pgina 549.
O recurso de atualizaes automticas exige um arquivo
compactado (arquivo zip) da impresso digital de arquivos e das
listas de nomes de aplicativos. Voc pode usar o recurso de
compactao de arquivo no Windows ou qualquer utilitrio de
compactao para compactar os arquivos.
Etapa 2
Criar um arquivo index.ini
O arquivo index.ini especifica quais listas de impresses digitais

de arquivos e de nomes de aplicativo o Symantec Endpoint
Protection Manager deve atualizar.
Voc pode criar um arquivo index.ini com qualquer editor de
texto e copiar o arquivo no URL especificado.
Consulte Para criar um arquivo index.ini para atualizaes
automticas de whitelists e blacklists usadas para bloqueio do
sistema na pgina 556.
Etapa 3
Tornar o arquivo compactado e o

index.ini disponveis ao Symantec
O Symantec Endpoint Protection Manager usa UNC, FTP ou

HTTP/HTTPS para recuperar o arquivo index.ini e o arquivo zip
no URL especificado. O Symantec Endpoint Protection Manager
usa as instrues no arquivo index.ini para atualizar os arquivos
especificados. Quando voc ativar atualizaes automticas, o
Symantec Endpoint Protection Manager verificar
periodicamente o URL para obter arquivos atualizados com base
no agendamento que voc definiu.
Nota: Se no puder usar UNC, FTP ou HTTP/HTTPS, voc poder

copiar o index.ini e os arquivos atualizados das listas de
impresses digitais de arquivos e de nomes de aplicativos
diretamente na pasta: ..\Symantec Endpoint Protection
Manager\data\inbox\WhitelistBlacklist\content. Os arquivos
devem ser descompactados. O Symantec Endpoint Protection
Manager verificar esta pasta se no puder usar UNC, FTP ou
HTTP/HTTPS para atualizar os arquivos.
555
556

Etapa
Tarefa
Descrio
Etapa 4
Ativar as atualizaes automticas de

whitelists e blacklists no console de
gerenciamento
Voc deve ativar a atualizao automtica de whitelists ou

blacklists existentes no console do Symantec Endpoint Protection
Manager.
Use a caixa de dilogo Atualizao da impresso digital de
arquivos no Symantec Endpoint Protection Manager para ativar
o recurso de atualizao e especificar o agendamento e as
informaes do URL. O modo blacklist deve estar disponvel no
aparecer no Symantec Endpoint Protection Manager
na pgina 547.
Consulte Para ativar as atualizaes automticas de whitelists
e blacklists para bloqueio do sistema na pgina 558.
Etapa 5
Verificar o status de atualizaes

Voc pode se certificar de que o Symantec Endpoint Protection
automticas para whitelist ou blacklist Manager concluiu as atualizaes verificando o status no console.
Consulte Para verificar o status de atualizaes automticas de
whitelists ou blacklists para bloqueio do sistema na pgina 558.
Consulte Para atualizar manualmente uma lista de impresses digitais de arquivos

Para criar um arquivo index.ini para atualizaes automticas

de whitelists e blacklists usadas para bloqueio do sistema
O recurso de atualizaes automticas exige um arquivo index.ini. Voc pode criar
o arquivo com qualquer editor de texto.
Nota: Se voc usar caracteres que no sejam do ingls no arquivo de texto, dever
usar UTF-8 sem um caractere de marca de ordem de byte (BOM, Byte Order Mark)
para editar e salvar o arquivo.
O arquivo index.ini especifica os seguintes itens:
A reviso e o nome do arquivo compactado que inclui suas listas de impresso

digital de arquivos e listas de nomes de aplicativos atualizados.
Os nomes das listas de impresso digital de arquivos e das listas de nomes de

aplicativos que voc quer atualizar.
Os nomes dos grupos de clientes que usam as listas de nomes de aplicativos.

O atual grupo ou a lista de impresses digitais de arquivos deve existir atualmente

no Symantec Endpoint Protection Manager. O grupo de ter o bloqueio do sistema
ativado. As listas de impresso digital de arquivos e as listas de nomes de
aplicativos devem estar disponveis no arquivo compactado especificado.
Voc deve estruturar o arquivo index.ini com a seguinte sintaxe:
[Revision]
Revision=YYYYMMDD RXXX
SourceFile=zip file name
Description=optional description
[FingerprintList - domain name or Default]
existing fingerprint list="updated list" REPLACE/APPEND/REMOVE
[ApplicationNameList - domain name or Default]

existing group path="updated list" REPLACE/APPEND/REMOVE
Por exemplo, voc pode usar as seguintes linhas em um arquivo index.ini:

[Revision]
Revision=20111014 R001
SourceFile=20110901 R001.zip
Description=NewUpdates
[FingerprintList - Default]
FingerprintListName 1="FingerprintList1.txt" REPLACE
[ApplicationNameList - Default]
My Company\Group AA\Group AA 1="ApplicationNameList1.txt" REPLACE
[FingerprintList - DomainABC]
[ApplicationNameList - DomainABC]
Consulte Para atualizar automaticamente whitelists ou blacklists para bloqueio

do sistema na pgina 554.
557
558

Para ativar as atualizaes automticas de whitelists e

blacklists para bloqueio do sistema
Voc pode atualizar automaticamente as whitelists e blacklists usadas para
Para ativar as atualizaes automticas de whitelists e blacklists no console de
gerenciamento
No console, na guia Admin, clique em Servidores.
Clique com o boto direito do mouse no servidor relevante e selecione Editar

propriedades do servidor.
Na caixa de dilogo Propriedades do servidor, selecione a guia Atualizao

da impresso digital de arquivos.
A guia aparecer apenas se voc tiver configurado o console para executar o
modo whitelist e blacklist definindo scm.systemlockdown.blacklist.enabled=1
no arquivo conf.properties.
Na guia Atualizao de impresso digital de arquivos, selecione Atualizar

automaticamente a whitelist ou a blacklist.
Digite o URL do local do index.ini e do arquivo compactado.

Se voc quiser usar UNC ou FTP, dever especificar tambm um nome de
usurio e senha para o index.ini e o contedo.
Em Agendamento, possvel especificar a frequncia com que o Symantec

Endpoint Protection Manager deve tentar atualizar a whitelist ou a blacklist
ou se voc pode usar a configurao padro.
Clique em OK.

Para verificar o status de atualizaes automticas de

whitelists ou blacklists para bloqueio do sistema
Aps o Symantec Endpoint Protection Manager atualizar uma whitelist ou blacklist,
voc poder verificar o status da atualizao de diversas maneiras.
Para verificar o status das atualizaes automticas de whitelists ou blacklists
para bloqueio do sistema
No console, execute uma das seguintes aes:

Na guia Administrador, selecione o site. Uma mensagem ser exibida

semelhante a: Atualizao da whitelist e da blacklist para reviso
"20120528 R016 descrio" concluda com xito.
Na guia Monitores, veja Logs do sistema: Atividade do servidor. O tipo

de evento normalmente semelhante a Atualizao da impresso digital
de arquivos.
Na guia Polticas, em Componentes da poltica, verifique a descrio da

lista de impresso digital de arquivos. A descrio semelhante a Reviso:
20120528 R016 descrio.

Para configurar e testar a configurao do bloqueio do sistema antes

de ativar o bloqueio do sistema
Normalmente, voc executa o bloqueio do sistema no modo de teste por uma
semana ou tempo suficiente para clientes executarem seus aplicativos normais.
Aps determinar que suas configuraes do bloqueio do sistema no causaro
problemas para os usurios, voc poder ativar o bloqueio do sistema.
Quando voc executar o bloqueio do sistema no modo de teste, o bloqueio do
sistema ser desativado. O bloqueio do sistema no bloqueia nenhum aplicativo.
Em vez disso, aplicativos no aprovados so registrados em log, de modo que voc
possa verificar a lista antes de ativar o bloqueio do sistema. Voc pode exibir as
entradas de log no log de controle. Voc tambm pode exibir os aplicativos no
aprovados na caixa de dilogo Bloqueio do sistema.
Nota: Voc pode tambm criar regras de firewall para permitir aplicativos
aprovados no cliente.
Para configurar e testar a configurao do bloqueio do sistema antes de ativar o
bloqueio do sistema
No console, clique em Clientes e, em Clientes, localize o grupo no qual deseja

configurar o bloqueio do sistema.
Na guia Polticas, clique em Bloqueio do sistema.
559
560

Na caixa de dilogo Bloqueio do sistema para nome do grupo, se o console

for configurado para exibir o modo, selecione Ativar modo whitelist ou Ativar
modo blacklist.
Clique em Etapa 1: Apenas registrar em log aplicativos no aprovados para

executar o bloqueio do sistema no modo de teste.
Esta opo registra os aplicativos no aprovados que os clientes esto
executando atualmente.
Em Aplicativos aprovados, em Lista de impresses digitais de arquivos,

adicione ou remova as listas de impresses digitais de arquivos.
Em Aplicativos no aprovados, em Lista de impresses digitais de

arquivos, adicione ou remova as listas de impresses digitais de arquivos.
Para adicionar uma lista, a lista deve ser importada e estar disponvel no
Consulte Importao ou mesclagem de listas de impresses digitais de
arquivos no Symantec Endpoint Protection Manager na pgina 550.
Para adicionar aplicativos de uma lista de aplicativos, execute um destes

procedimentos:
Em Aplicativos aprovados, em Nome do arquivo, clique em Importar

para adicionar uma lista de nomes do aplicativo.
Em Aplicativos no aprovados, em Nome do arquivo, clique em Importar

para adicionar uma lista de nomes de aplicativo.
Especifique a lista de nomes do aplicativo que voc quer importar e clique

em Importar. Os aplicativos na lista aparecem como entradas individuais na
configurao do bloqueio do sistema.
Nota: A opo de importao estar disponvel somente se o modo blacklist
estiver disponvel. A lista de nome do aplicativo deve ser um arquivo de texto
que especifique o nome de arquivo, o modo de teste e o modo de
correspondncia.
Para adicionar um aplicativo individual, execute um destes procedimentos.

Em Aplicativos aprovados, em Nome do arquivo, clique em Adicionar

para adicionar um aplicativo individual.
Em Aplicativos no aprovados, em Nome do arquivo, clique em Adicionar

para adicionar um aplicativo individual.
Na caixa de dilogo Adicionar definio de arquivo, especifique o nome

completo do caminho do arquivo (.exe ou .dll).
Os nomes podem ser especificados usando uma string normal ou sintaxe de
expresso regular. Os nomes podem incluir caracteres curinga (* para qualquer
caractere e ? para um caractere). O nome tambm pode incluir variveis do
ambiente como %ProgramFiles% para representar o local do diretrio
Arquivos de programas ou %windir% para o diretrio de instalao do
Windows.
Selecione Use a correspondncia de caracteres curinga (suporte a * e ?) como

padro ou clique em Use a correspondncia de expresses regulares se voc
usou expresses regulares no nome do arquivo.
10 Se voc quer permitir o arquivo somente quando for executado em um tipo

especfico de unidade, clique em Somente corresponder arquivos nos
seguintes tipos de unidades.
Desmarque os tipos de unidades que voc no quer incluir. Todos os tipos de
unidades so selecionados por padro.
11 Se voc quer corresponder pelo tipo de ID do dispositivo, marque Somente

corresponder arquivos nos seguintes tipos de ID de dispositivos e clique
em Selecione.
12 Clique no dispositivo que voc quer na lista e clique em OK.

13 Clique em OK para comear o teste.
Aps um perodo de tempo, voc poder exibir a lista de aplicativos no aprovados.
Se voc abrir a caixa de dilogo Bloqueio do sistema para nome do grupo
novamente, ser possvel ver h quanto tempo o teste est em execuo.
Para exibir os aplicativos no aprovados que o teste registrou em log mas no
bloqueou
Na caixa de dilogo Bloqueio do sistema nome do grupo, clique em Exibir

aplicativos no aprovados.
Na caixa de dilogo Aplicativos no aprovados, examine os aplicativos.

Esta lista inclui informaes sobre a hora em que o aplicativo foi executado,
o nome do host do computador, o nome de usurio do cliente e o nome do
arquivo executvel.
561
562

Determine como voc deseja lidar com os aplicativos no aprovados.

No modo whitelist, voc pode adicionar os nomes dos aplicativos que quer
permitir lista de aplicativos aprovados. Para o modo de blacklist, possvel
remover os nomes dos aplicativos que voc quer permitir.
Na caixa de dilogo Aplicativos no aprovados, clique em Redefinir o teste

se voc tiver alterado as listas de impresses digitais de arquivos ou os
aplicativos individuais e quiser executar o teste novamente. Caso contrrio,
clique em Fechar.
Aps terminar o teste, voc poder ativar o bloqueio do sistema.

Para ativar o bloqueio do sistema para executar no modo whitelist

Voc pode ativar o bloqueio do sistema para permitir somente aplicativos
aprovados em seus computadores-cliente. Somente os aplicativos na lista aprovada
podem ser executados. Todos os outros aplicativos so bloqueados. A lista aprovada
chamada uma whitelist. Os aplicativos aprovados esto sujeitos a outros recursos
de proteo do Symantec Endpoint Protection.
Nota: Por padro, o bloqueio do sistema ser executado no modo whitelist quando
voc o ativar. Voc poder escolher um modo whitelist ou blacklist se configurar
o Symantec Endpoint Protection Manager para mostrar ambas as opes.
Voc deve configurar o bloqueio do sistema para executar no modo whitelist
somente depois que as seguintes condies forem verdadeiras:
Voc testou a configurao do bloqueio do sistema com a opo Registrar em

log apenas aplicativos no aprovados.
Voc tem certeza de que todos os aplicativos que seus computadores-cliente

precisam executar esto listados na lista de aplicativos aprovados.
Para ativar o bloqueio do sistema para executar no modo whitelist
Em Clientes, selecione o grupo no qual deseja configurar o bloqueio do sistema.

Se voc selecionar um subgrupo, o grupo pai dever ter a herana desativada.
Se voc configurar o Symantec Endpoint Protection Manager para exibir as

opes dos modos whitelist e blacklist, clique em Ativar modo whitelist.

Clique em Etapa 2: Permitir Bloqueio do sistema para bloquear todos os

aplicativos no aprovados que os clientes tentarem executar.
Em Aplicativos aprovados, certifique-se de ter includo todos os aplicativos

executados nos computadores-cliente.
Aviso: Voc deve incluir todos os aplicativos que seus computadores-cliente
executam na lista de aplicativos aprovados. Caso contrrio, possvel fazer
com que alguns computadores-cliente no possam reiniciar ou impedir que
usurios executem aplicativos importantes.
Para mostrar uma mensagem no computador-cliente quando o cliente bloquear

um aplicativo, selecione Notificar o usurio se um aplicativo estiver
bloqueado.
Clique em OK.

Consulte Para configurar e testar a configurao do bloqueio do sistema antes
de ativar o bloqueio do sistema na pgina 559.
Para ativar o bloqueio do sistema para ser executado no modo blacklist

Voc pode ativar o bloqueio do sistema para bloquear uma lista de aplicativos no
aprovados em seus computadores-cliente. Todos os aplicativos na lista de no
aprovados sero bloqueados. A lista de no aprovados chamada de blacklist.
Qualquer outro aplicativo ser permitido. Os aplicativos permitidos esto sujeitos
aos outros recursos de proteo do Symantec Endpoint Protection.
Nota: Voc poder escolher o modo whitelist ou blacklist se configurar o Symantec
Endpoint Protection Manager para mostrar ambas as opes.
Voc deve configurar o bloqueio do sistema para bloquear aplicativos no
aprovados somente aps as seguintes condies serem verdadeiras:
Voc testou a configurao do bloqueio do sistema com a opo Registrar em

logo apenas aplicativos no aprovados.
Voc est certo de que todos os aplicativos que seus computadores-cliente

devem bloquear esto listados na lista de aplicativos no aprovados.
563
564

Para ativar o bloqueio do sistema para ser executado no modo blacklist
Em Clientes, selecione o grupo no qual deseja configurar o bloqueio do sistema.

Se voc selecionar um subgrupo, o grupo pai dever ter a herana desativada.
Na guia Polticas, selecione Bloqueio do sistema.
Na caixa de dilogo Bloqueio do sistema, selecione Ativar modo Blacklist.
Clique em Etapa 2: Ativar Bloqueio do sistema. Esta etapa bloquear todos

os aplicativos no aprovados que os clientes tentarem executar nos
computadores-cliente no grupo selecionado.
Em Aplicativos no aprovados, certifique-se de que voc incluiu todos os

aplicativos que seus computadores-cliente devem bloquear.
Nota: Um nmero grande de aplicativos nomeados pode diminuir o
desempenho de seus computadores-cliente.
Para exibir uma mensagem no computador-cliente quando o cliente bloquear

um aplicativo, selecione Notificar o usurio se um aplicativo estiver
bloqueado.
Clique em OK.

Para testar itens selecionados antes de adicion-los ou remov-los

quando o bloqueio do sistema j estiver ativado
Depois que o bloqueio do sistema for ativado por um perodo de tempo, ser
possvel adicionar ou remover as listas de impresses digitais de arquivos ou
aplicativos especficos. Com o passar do tempo, voc poder acumular muitas
listas de impresses digitais de arquivos que no usa mais. Ou os aplicativos que
seus usurios podero alterar.
Voc testa itens especficos antes de adicion-los ou remov-los de modo que seus
computadores-cliente no bloqueiem aplicativos importantes. No modo blacklist,

o bloqueio do sistema bloqueia todos os itens novos que voc adicionar

configurao. No modo whitelist, o bloqueio do sistema bloqueia todos os itens
que voc remover. O bloqueio do sistema executado em modo whitelist por
padro. Os modos somente aparecem como opes no console se voc configur-lo
para mostrar as opes.
Nota: Quando voc testar itens individuais, o bloqueio do sistema ser ativado. O
bloqueio do sistema continua a bloquear os aplicativos que no so parte do teste.
Voc pode testar listas de impresses digitais de arquivos individuais para
certificar-se de que seus computadores-cliente no usam mais os aplicativos na
lista. Voc pode igualmente testar os aplicativos individuais que so especificados
na configurao do bloqueio do sistema.
Voc poder testar a configurao inteira do bloqueio do sistema, em vez de itens
especficos, quando o bloqueio do sistema for desativado.
Para testar itens selecionados antes de adicion-los ou remov-los quando o
bloqueio do sistema j estiver ativado
Em Clientes, localize o grupo no qual deseja remover itens do bloqueio do

sistema.

A configurao do bloqueio do sistema j deve estar ativada.
Para o modo whitelist, voc dever saber qual lista de impresses digitais
de arquivos existente ou o nome do aplicativo especfico que voc quer
testar.
Para o modo blacklist, voc dever adicionar uma nova lista de impresses
digitais de arquivos ou um novo nome de aplicativo que voc queira testar.
Consulte Para ativar o bloqueio do sistema para executar no modo whitelist

na pgina 562.
Consulte Para ativar o bloqueio do sistema para ser executado no modo
blacklist na pgina 563.
No modo whitelist, em Aplicativos aprovados, marque Testar antes da

remoo ao lado de uma lista de impresses digitais de arquivos existente
ou aplicativo que voc quer testar.
565
566

No modo blacklist, em Aplicativos no aprovados, marque Testar antes

de adicionar ao lado de uma lista de impresses digitais de arquivos nova
ou aplicativo que voc quer testar.
O bloqueio do sistema continua permitindo esses aplicativos, mas eles so

registrados em log como aplicativos no aprovados.
Se voc importar uma lista de nome do aplicativo, o campo Testar antes da
remoo ou Testar antes de adicionar j estar preenchido.
Clique em OK para comear o teste.
Se voc abrir a caixa de dilogo Bloqueio do sistema para nome do grupo

novamente, ser possvel ver h quanto tempo o teste est em execuo.
Normalmente, ser possvel executar este teste por uma semana ou mais.
Aps o teste, voc pode verificar o Log de controle de aplicativos. Se os aplicativos
que voc testar aparecerem no Log de controle de aplicativos, voc saber que
seus usurios executam os aplicativos. Voc pode decidir se mantm o item testado
como parte da configurao do bloqueio do sistema.
Se voc decidir que deseja bloquear os itens que testou, execute uma destas aes:
Na caixa de dilogo Bloqueio do sistema para nome de grupo, quando o modo

whitelist estiver ativado, selecione o item testado e clique em Remover.
Na caixa de dilogo Bloqueio do sistema para nome de grupo, quando o modo

blacklist estiver ativado, desmarque Testar antes de adicionar.
Aviso: No modo whitelist, o bloqueio do sistema bloqueia todos os aplicativos em

listas de impresses digitais de arquivos e os nomes de aplicativo especficos que
voc remover da configurao. No modo blacklist, o bloqueio do sistema bloqueia
todos os aplicativos em listas de impresses digitais de arquivos e os nomes de
aplicativo especficos que voc adicionar configurao.

A lista de dispositivos de hardware e uma Poltica de controle de dispositivos e
aplicativos so usadas para gerenciar o controle de dispositivos.


Consulte Sobre Polticas de controle de dispositivos e aplicativos na pgina 523.
Tabela 22-9
Ao
Descrio
Verificar a lista de dispositivos de

hardware padro no Symantec
Por padro, o Symantec Endpoint Protection

Manager inclui uma lista de dispositivos de
hardware. A lista aparece na guia Polticas do
Symantec Endpoint Protection Manager em
Componentes das polticas. Esta lista usada
para selecionar os dispositivos que voc deseja
controlar em seus computadores-cliente.
Se quiser controlar um dispositivo que no esteja
includo na lista, ser necessrio adicionar o
dispositivo primeiro.
Consulte Sobre a lista de dispositivos de
hardware na pgina 567.
Adicionar dispositivos lista de

Ao adicionar um dispositivo lista de dispositivos,
dispositivos de hardware (se necessrio) necessrio um ID da classe ou do dispositivo
para o dispositivo.
Consulte Adio de um dispositivo de hardware
lista Dispositivos de hardware na pgina 569.
Consulte Como obter um ID da classe ou do
dispositivo na pgina 568.
Configurar o controle de dispositivos
Especifique os dispositivos que deseja bloquear

ou excluir do bloqueio.
Consulte Configurao de controle de
dispositivos na pgina 570.
Sobre a lista de dispositivos de hardware

O Symantec Endpoint Protection Manager inclui uma lista de dispositivos de
hardware. Alguns dispositivos so includos na lista por padro. Os dispositivos
so usados ao configurar o controle de dispositivos.
Voc pode adicionar dispositivos lista. Voc no pode editar ou excluir nenhum
dispositivo padro.
567
568

Os dispositivos so identificados por um ID do dispositivo ou ID da classe. Use

qualquer um desses valores para adicionar um dispositivo lista.
Consulte Como obter um ID da classe ou do dispositivo na pgina 568.
ID da classe
O ID da classe refere-se ao Windows GUID. Cada tipo de dispositivo

tem uma classe e um ClassGuid associados a ele. O ClassGuid um
valor hexadecimal com o seguinte formato:
{00000000-0000-0000-0000-000000000000}
ID do dispositivo
Um ID do dispositivo o ID mais especfico para um dispositivo. A

sintaxe de um ID do dispositivo inclui algumas string descritivas que
tornam a leitura mais fcil do que o ID da classe.
Quando voc adiciona um ID do dispositivo, possvel usar a
identificao especfica de um dispositivo. Como alternativa, possvel
usar um caractere curinga na string do ID do dispositivo para indicar
um grupo menos especfico de dispositivos. Voc pode usar um
asterisco (*) para indicar caracteres zero ou mais adicionais ou um
ponto de interrogao (?) para indicar um nico caractere de qualquer
valor.
O item a seguir um ID do dispositivo para um dispositivo especfico
de USB ScanDisk:
USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER_MICRO&REV_2033
\0002071406&0
O item a seguir um ID do dispositivo com um caractere curinga que
indica qualquer dispositivo de USB SanDisk:
USBSTOR\DISK&VEN_SANDISK*
indica qualquer dispositivo de disco USB:
USBSTOR\DISK*
indica qualquer dispositivo de armazenamento USB:
USBSTOR*
Como obter um ID da classe ou do dispositivo

Voc pode usar a ferramenta Symantec DevViewer para obter o ID da classe (GUID)
ou do dispositivo e usar o Gerenciador de dispositivos do Windows para obter o
ID do dispositivo.
Depois que voc obtiver um ID do dispositivo, ser possvel modific-lo com um
caractere curinga para indicar um grupo menos especfico de dispositivos.

Para obter o ID da classe ou do dispositivo usando a ferramenta DevViewer
No disco do produto, localize a pasta \Tools\DevViewer e faa o download

da ferramenta DevViewer.exe no computador-cliente.
No computador-cliente, execute DevViewer.exe.
Expanda a rvore de dispositivo e localize o dispositivo do qual voc quer o

ID do dispositivo ou o GUID.
Por exemplo, expanda as unidades de DVD-ROM e selecione o dispositivo
dentro dessa categoria.
No painel direito, clique com o boto direito do mouse no ID do dispositivo

(inicia com [ID do dispositivo]) e clique em Copiar ID do dispositivo.
Clique em Sair.
No servidor de gerenciamento, cole o ID do dispositivo na lista de dispositivos

de hardware.
Para obter um ID do dispositivo do Painel de controle
Abra Gerenciador de dispositivos no Painel de Controle.

O caminho do Gerenciador de dispositivos depender do sistema operacional
Windows. Por exemplo, no Windows 7, clique em Iniciar > Painel de Controle
> Sistema > Gerenciador de dispositivos.
Na caixa de dilogo Gerenciador de dispositivos, clique com o boto direito

do mouse no dispositivo e depois clique em Propriedades.
Na caixa de dilogo Propriedades do dispositivo, na guia Detalhes, selecione

o ID do dispositivo
Por padro, o ID do dispositivo o primeiro valor mostrado.
Copie a string do ID.
Clique em OK.
Consulte Adio de um dispositivo de hardware lista Dispositivos de
hardware na pgina 569.
Adio de um dispositivo de hardware lista Dispositivos de hardware

Depois que voc obtiver um ID da classe ou um ID do dispositivo para um
dispositivo de hardware, poder adicionar o dispositivo de hardware lista
Dispositivos de hardware padro. Voc poder ento acessar essa lista padro na
parte do controle de dispositivo da poltica de controle de dispositivos e aplicativos.
Consulte Sobre a lista de dispositivos de hardware na pgina 567.
569
570

Para adicionar dispositivos de hardware lista Dispositivos de hardware
Em Polticas, expanda Componentes das polticas e clique em Dispositivos

de hardware.
Em Tarefas, clique em Adicionar um dispositivo de hardware.
Digite o nome do dispositivo que voc deseja adicionar.

Os IDs da classe e os IDs do dispositivo so colocados entre chaves por
conveno.
Selecione ID da classe ou ID do dispositivo e cole o ID que voc copiou do

Gerenciador de dispositivos do Windows ou da ferramenta DevViewer.
Voc pode usar caracteres curinga para definir um conjunto de IDs do

dispositivo. Por exemplo, possvel usar esta string: *IDE\DVDROM*.
Consulte Como obter um ID da classe ou do dispositivo na pgina 568.
Clique em OK.
Configurao de controle de dispositivos

Polticas de controle de dispositivos e aplicativos so usadas para configurar o
controle de dispositivos. Todos os dispositivos necessrios j foram adicionados
lista Dispositivos de hardware.
Configurao de controle de dispositivos
No console, abra uma poltica de controle de dispositivos e aplicativos.
Clique em Controle de dispositivos.
Em Dispositivos bloqueados, clique em Adicionar.
Na janela Seleo do dispositivo, selecione um ou mais dispositivos. Se voc

bloquear portas, certifique-se de excluir dispositivos caso seja necessrio.
Nota: Normalmente, voc nunca deve bloquear um teclado.
Clique em OK.
Em Dispositivos excludos do bloqueio, clique em Adicionar.
Na janela Seleo do dispositivo, selecione um ou mais dispositivos.

Selecione Notificar usurios quando os dispositivos forem bloqueados se

desejar notificar o usurio.
Clique em Especificar texto da mensagem para digitar a mensagem exibida

na notificao.
10 Clique em OK.
571
572

Captulo
23
Para gerenciar excees

Sobre excees ao Symantec Endpoint Protection
Para gerenciar excees para o Symantec Endpoint Protection
Criao de excees para o Symantec Endpoint Protection
Restrio dos tipos de excees que os usurios podem configurar em

Para criar excees de eventos de log no Symantec Endpoint Protection

Manager
Sobre excees ao Symantec Endpoint Protection

Normalmente, as excees so itens, tais como arquivos ou domnios da Web, que
voc deseja excluir de verificaes.
O Symantec Endpoint Protection exclui automaticamente alguns arquivos das
Tambm possvel usar excees para detectar um aplicativo ou mudar o
comportamento padro quando o Symantec Endpoint Protection detectar um
aplicativo ou quando o aplicativo for inicializado.
Convm usar excees para reduzir a quantidade de tempo em que as verificaes
so executadas. Por exemplo, possvel excluir arquivos, pastas e extenses das
verificaes. Se voc reduzir o tempo de verificao, poder aumentar o
desempenho do sistema em computadores-cliente.
574

Nota: Voc no pode criar excees para verificaes de um vrus individual e de

spyware. Por exemplo, se voc criar uma exceo de arquivo, o Symantec Endpoint
Protection aplicar a exceo a todas as verificaes de vrus e spyware
(Auto-Protect, Download Insight e qualquer verificao definida pelo administrador
ou usurio).
As excees se aplicam a um tipo especfico de cliente (Windows ou Mac). Voc
configura as excees separadamente. Por exemplo, se voc configurar uma
exceo de arquivo, ela se aplicar a clientes que executam em computadores
Windows ou clientes que executam em computadores Mac. Algumas excees no
esto disponveis para clientes Mac.
Tabela 23-1
Excees de verificao e tipo do cliente
Tipo do cliente
Exceo
Clientes Mac
Exceo de arquivo ou pasta
Clientes Windows
Voc pode configurar os seguintes tipos de excees:
Arquivo
Pasta
Risco conhecido
Extenso
Domnio Web confivel
Aplicativo para monitorao
Aplicativo
Proteo contra adulteraes
Consulte Sobre os arquivos e pastas que o Symantec Endpoint Protection exclui

das verificaes de vrus e spyware na pgina 357.
na pgina 574.
Para gerenciar excees para o Symantec Endpoint

Protection
Voc pode gerenciar excees para o Symantec Endpoint Protection no console

Tabela 23-2
Tarefa
Descrio
Identificar excees
As excees so usadas para excluir itens das

verificaes e da proteo em seus
Consulte Sobre excees ao Symantec Endpoint
Verificar os tipos de arquivos e pastas

que o Symantec Endpoint Protection
exclui automaticamente das
verificaes
O Symantec Endpoint Protection cria

automaticamente excees ou excluses para
alguns aplicativos de terceiros e alguns produtos
Symantec.
Voc tambm pode configurar verificaes
individuais para incluir apenas determinadas
extenses e ignorar todas as outras extenses.
Consulte Sobre os arquivos e pastas que o
Symantec Endpoint Protection exclui das
verificaes de vrus e spyware na pgina 357.
Criar excees para verificaes
As excees so adicionadas diretamente a uma

Poltica de excees. Ou possvel adicionar
excees de eventos de log na pgina Monitores.
Consulte Criao de excees para o Symantec
Consulte Para criar excees de eventos de log
na pgina 589.
Restrio dos tipos de excees que os Por padro, nos computadores-cliente, os usurios
usurios podem configurar em
tm direitos de configurao limitados para
excees. Voc pode restringir os usurios ainda
mais, de modo que no possam criar excees para
verificaes de vrus e spyware ou para o SONAR.
Usurios nunca podem forar a deteco de um
aplicativo e nunca tm permisso para criar
excees Proteo contra adulteraes.
Usurios tambm no podem criar excees de
arquivo para o controle de aplicativo.
Consulte Restrio dos tipos de excees que os
usurios podem configurar em
575
576

Tarefa
Descrio
Verificar os logs em busca de deteces Depois que o Symantec Endpoint Protection fizer
para as quais criar excees
uma deteco, voc poder criar uma exceo para
a deteco do evento de log.
Por exemplo, possvel criar uma exceo para
um arquivo que as verificaes detectam, mas do
qual seus usurios solicitam o download.
Consulte Para criar excees de eventos de log
na pgina 589.
Configurar excees da preveno
contra intruses
Voc pode especificar excees para a preveno

contra intruses.
Voc tambm pode configurar uma lista de host
excludos para a preveno contra intruses.
As excees da preveno contra intruses so
configuradas em uma Poltica de preveno contra
intruses.
Consulte Para gerenciar a preveno contra
intruses em seu computador-cliente
na pgina 501.
Criao de excees para o Symantec Endpoint

Protection
Voc pode criar diferentes tipos de excees para o Symantec Endpoint Protection.
Toda a exceo que voc criar prevalece sobre qualquer exceo que um usurio
possa definir. Nos computadores-cliente, os usurios no podem exibir as excees
que voc cria. Um usurio pode exibir apenas as excees que o usurio cria.

Nota: A Poltica de excees inclui uma exceo do caminho do arquivo SONAR

para impedir a introduo de cdigo do SONAR no aplicativo especificado. O
SONAR no introduz cdigos em aplicativos em clientes do Symantec Endpoint
Protection 12.1 ou anteriores. Se voc usar o Symantec Endpoint Protection
Manager 12.1.2 para gerenciar clientes, uma exceo de arquivo do SONAR em
uma poltica de excees ser ignorada em seus clientes legados. Se voc usar um
Symantec Endpoint Protection Manager legado para gerenciar clientes, a poltica
legada no suportar excees de arquivos do SONAR em seus clientes do Symantec
Endpoint Protection 12.1.2. No entanto, voc pode impedir a introduo de cdigo
do SONAR em aplicativos nestes clientes, criando uma exceo de Aplicativo para
monitorao na poltica legada. Depois que o cliente aprender o aplicativo, voc
poder configurar uma exceo do aplicativo na poltica.
As excees para verificaes de vrus e spyware tambm se aplicam ao Download
Insight.
Tabela 23-3
Tarefa
Descrio
Excluir um arquivo das verificaes
Suportado em clientes Windows e Mac.

Exclui um arquivo pelo nome das verificaes de vrus e spyware, do SONAR
ou do controle de aplicativo em clientes Windows.
Voc tambm pode excluir um arquivo das verificaes de vrus e spyware
em clientes Mac.
Excluir uma pasta das verificaes
Suportado em clientes Windows e Mac.

Exclui uma pasta das verificaes de vrus e spyware, do SONAR ou de todas
as verificaes em clientes Windows. Voc tambm pode excluir uma pasta
das verificaes de vrus e spyware em clientes Mac.
577
578

Tarefa
Descrio
Excluir um risco conhecido das

verificaes de vrus e spyware
Suportado em clientes Windows.

Exclui um risco conhecido das verificaes de vrus e spyware. As
verificaes ignoram o risco, mas voc pode configurar a exceo de modo
que as verificaes registrem em log a deteco. Em qualquer caso, o
software-cliente no notifica os usurios ao detectar os riscos especificados.
Se um usurio configurar as aes personalizadas de um risco conhecido
que voc configura para ignorar, as aes personalizadas sero ignoradas
pelo Symantec Endpoint Protection.
Consulte Excluso de riscos conhecidos das verificaes de vrus e spyware
na pgina 583.
As excees de riscos segurana no se aplicam ao SONAR.
Excluir extenses de arquivo das

verificaes de vrus e spyware

Exclui qualquer arquivo com as extenses especificadas das verificaes
de vrus e spyware.
Consulte Excluso de extenses de arquivo das verificaes de vrus e
As excees da extenso no se aplicam ao SONAR.
Monitorar um aplicativo para criar uma Suportado em clientes Windows.

exceo para o aplicativo
Use a exceo Aplicativo para monitorao para monitorar um aplicativo
especfico. Quando o Symantec Endpoint Protection reconhecer o aplicativo,
voc pode criar uma exceo para especificar como o Symantec Endpoint
Protection controlar o aplicativo.
Se voc desativar o reconhecimento de aplicativo, a exceo Aplicativo para
monitorao forar o reconhecimento do aplicativo especificado.
Consulte Para monitorar um aplicativo a fim de criar uma exceo
na pgina 584.

Tarefa
Descrio
Especificar como as verificaes

gerenciam os aplicativos monitorados
Use uma exceo do aplicativo para especificar uma ao para Symantec
Endpoint Protection para aplicar a um aplicativo monitorado. O tipo de
ao determina se o Symantec Endpoint Protection aplicar a ao quando
detectar o aplicativo ou quando o aplicativo for executado. O Symantec
Endpoint Protection aplica a ao Encerrar, Colocar em quarentena ou
Remover a um aplicativo quando ele for iniciado ou executado. Ele aplicar
a ao Somente registrar em log ou Ignorar quando detectar o aplicativo.
Ao contrrio de uma exceo do nome de arquivo, uma exceo do aplicativo
uma exceo baseada em hash. Os arquivos diferentes podem ter o mesmo
nome, mas um hash do arquivo identifica um aplicativo com exclusividade.
A exceo do aplicativo uma exceo baseada em hash SHA-2. As excees
legadas para as verificaes proativas contra ameaas do TruScan aparecem
como excees baseadas em hash SHA-1. Os clientes legados suportam
apenas excees SHA-1. A impresso digital do arquivo na lista de excees
precedida por 2 ou 1 respectivamente para indicar o tipo de hash do
arquivo.
Aplicativos para os quais voc pode criar excees aparecem na caixa de
dilogo Excees aps o Symantec Endpoint Protection reconhecer o
aplicativo. Voc pode pedir que o Symantec Endpoint Protection monitore
um aplicativo especfico para reconhec-lo.
Consulte Configurao do servidor de gerenciamento para recolher
informaes sobre os aplicativos executados pelos computadores-cliente
na pgina 335.
579
580

Tarefa
Descrio
Excluir um domnio da Web das

verificaes

O Download Insight verifica os arquivos que os usurios tentam transferir
por download de sites e outros portais. O Download Insight executado
como parte de uma verificao de vrus e spyware. possvel configurar
uma exceo para um domnio especfico da Web que voc sabe que seguro.
O Download Insight deve estar ativado para que a exceo entre em vigor.
Nota: Se seus computadores-cliente usarem um proxy com autenticao,

ser necessrio especificar excees do domnio da Web confivel para os
URLs da Symantec. As excees permitem que seus computadores-cliente
comuniquem-se com o Symantec Insight e com outros sites importantes
da Symantec.
Veja os seguintes artigos relacionados da base de conhecimento:
How to test connectivity to Insight and Symantec licensing servers (em
ingls)
Required exclusions for proxy servers to allow Symantec Endpoint
Protection to connect to Symantec reputation and licensing servers (em
ingls)
Consulte Excluso de um domnio confivel da Web das verificaes

na pgina 586.
Criar excees do arquivo para Proteo Suportado em clientes Windows.
contra adulteraes
A Proteo contra adulteraes protege os computadores-cliente dos
processos que adulteram processos e objetos internos da Symantec. Quando
a Proteo contra adulteraes detectar um processo que poderia modificar
as configuraes da Symantec ou os valores do registro do Windows, ela
bloquear o processo.
Alguns aplicativos de terceiros tentam inadvertidamente modificar
processos ou configuraes da Symantec. Talvez seja preciso permitir que
um aplicativo seguro modifique configuraes da Symantec. Talvez voc
queira interromper a Proteo contra adulteraes para certas reas do
registro ou certos arquivos do computador-cliente.
Em alguns casos, a Proteo contra adulteraes pode bloquear um leitor
de tela ou algum outro aplicativo de tecnologia de auxlio. Voc pode criar
uma exceo de arquivo de modo que o aplicativo possa ser executado em
computadores-cliente. As excees de pasta no so suportadas para a
Proteo contra adulteraes.
Consulte Para criar uma exceo da Proteo contra adulteraes
na pgina 586.

Tarefa
Descrio
Permitir que aplicativos faam

alteraes no DNS ou no arquivo do
host
Suportado em clientes Windows

Voc pode criar uma exceo para que um aplicativo faa alteraes no
DNS ou no arquivo do host. O SONAR tipicamente impede mudanas no
sistema como alteraes no DNS ou no arquivo de host. Talvez seja preciso
fazer uma exceo para um aplicativo VPN, por exemplo.
Consulte Para criar uma exceo para um aplicativo que faz mudanas no
DNS ou em arquivo do host na pgina 587.

na pgina 574.
Excluso de um arquivo ou pasta das verificaes

Voc adiciona excees para arquivos ou pastas individualmente. Se quiser criar
excees para mais de um arquivo, repita o procedimento.
Voc pode configurar excees de arquivo ou de pasta em clientes Windows e Mac.
Em clientes Windows, excees de arquivo podem se aplicar s verificaes de
vrus e spyware, ao SONAR e ao controle de aplicativo. As excees de pasta se
aplicam s verificaes de vrus e spyware e ao SONAR.
Para excluir um arquivo das verificaes em clientes Windows
Na pgina Poltica de excees, clique em Excees.
Em Excees, clique em Adicionar > Excees do Windows > Arquivo
Na caixa suspensa Varivel de prefixo, selecione uma pasta comum.

Selecione [NENHUM] para digitar o caminho absoluto e o nome do arquivo.
Quando voc selecionar um prefixo, a exceo pode ser usada em sistemas
operacionais Windows diferentes.
Na caixa de texto Arquivo, digite o nome do arquivo.

Se voc selecionar uma varivel de prefixo, o caminho dever ser relativo ao
prefixo. Se voc selecionar [NENHUM], digite o nome do caminho completo.
Nota: Os caminhos devem ser denotados usando uma barra inversa.
581
582

Em Especificar os tipos de verificaes que excluiro esse arquivo, selecione

o tipo de verificao ( Risco segurana, SONAR ou Controle de aplicativos
).
Voc deve selecionar pelo menos um tipo.
Para verificaes de risco segurana, em Especifique o tipo de verificao

de risco segurana, selecione Auto-Protect, Agendado e sob demanda ou
Todas as verificaes.
Clique em OK.
Para excluir uma pasta das verificaes em clientes Windows
Em Excees, clique em Adicionar > Excees do Windows > Pasta
Na caixa suspensa Varivel de prefixo, selecione uma pasta comum.

Na caixa de texto Pasta, digite o nome da pasta.

Nota: Os caminhos devem ser denotados usando uma barra inversa.
Em Especificar os tipos de verificaes que excluiro esse arquivo, selecione

o tipo de verificao ( Risco segurana, SONAR, Controle de aplicativos
ou Todos )
Voc deve selecionar pelo menos um tipo.
Para verificaes de risco segurana, em Especifique o tipo de verificao

de risco segurana, selecione Auto-Protect, Agendado e sob demanda ou
Todas as verificaes.
Clique em OK.
Para excluir um arquivo ou pasta em clientes Mac
Na pgina Poltica de excees, clique em Excees centralizadas.
Em Excees, clique em Adicionar > Excees Mac > Excees de riscos

segurana para Arquivo ou pasta.

Em Exceo de arquivo ou pasta de riscos segurana, na caixa suspensa

Varivel de prefixo, selecione uma pasta comum.
Na caixa de texto Arquivo ou Pasta, digite o nome da pasta.

Nota: Os caminhos de pastas devem ser denotados usando uma barra.
Clique em OK.
Excluso de riscos conhecidos das verificaes de vrus e spyware

Os riscos segurana detectados pelo software-cliente so exibidos na caixa de
dilogo Excees de riscos segurana conhecidos.
A lista de riscos segurana conhecidos inclui informaes sobre a gravidade do
risco.
Para excluir riscos conhecidos das verificaes de vrus e spyware
Em Excees, clique em Adicionar > Excees do Windows > Riscos

conhecidos.
Na caixa de dilogo Adicionar Excees de riscos segurana conhecidos,

selecione um ou mais riscos segurana que voc queira excluir das
Marque Registrar quando o risco segurana for detectado se quiser

registrar a deteco.
Se essa opo no for marcada, o cliente ignorar o risco quando detectar os
riscos selecionados. Portanto, o cliente no registrar a deteco.
Clique em OK.
583
584

Excluso de extenses de arquivo das verificaes de vrus e spyware

possvel adicionar vrias extenses de arquivos a uma exceo. Depois de criar
a exceo, no possvel criar outras excees de extenso para a mesma poltica.
preciso editar a exceo existente.
Somente possvel adicionar uma extenso por vez. Se vrias extenses forem
inseridas na caixa de texto Adicionar, a poltica tratar a entrada como um nome
de extenso nico.
Para excluir extenses de arquivo das verificaes de vrus e spyware
Em Excees, clique em Adicionar > Excees do Windows > Extenses.
Na caixa de texto, digite a extenso a ser excluda e clique em Adicionar.
Adicione todas as outras extenses exceo.
Clique em OK.
Para monitorar um aplicativo a fim de criar uma exceo

Quando o Symantec Endpoint Protection reconhecer um aplicativo monitorado,
ele aparecer na caixa de dilogo Exceo de aplicativo. Voc pode criar uma ao
de exceo para o aplicativo na Poltica de excees. O aplicativo aparece tambm
no log relevante, e voc pode criar uma exceo do log.
Se voc desativar o reconhecimento de aplicativo, a exceo Aplicativo para
monitorao forar o reconhecimento do aplicativo especificado.
Para monitorar um aplicativo a fim de criar uma exceo
Clique em Adicionar > Excees do Windows > Aplicativo para monitorao.

Na caixa de dilogo, digite o nome do aplicativo.

Por exemplo, poderia ser digitado o nome de um arquivo executvel, como
segue:
foo.exe
Para especificar como o Symantec Endpoint Protection gerencia

aplicativos monitorados
Voc pode monitorar um aplicativo especfico de modo a criar uma exceo para
como o Symantec Endpoint Protection controla o aplicativo. Quando o Symantec
Endpoint Protection reconhecer o aplicativo, e o console de gerenciamento receber
o evento, o aplicativo aparecer na lista do aplicativo na caixa de dilogo Exceo
de aplicativo. A lista de aplicativos aparecer vazia se os computadores-cliente
de sua rede ainda no tiverem reconhecido nenhum aplicativo.
A lista dos aplicativos inclui os aplicativos que voc monitora, assim como os
arquivos obtidos por download por seus usurios. O Symantec Endpoint Protection
aplicar a ao quando o Symantec Endpoint Protection detectar o aplicativo ou
o aplicativo for executado.
Os aplicativos tambm aparecem na lista de Exceo de alterao de DNS e arquivo
do host.
Consulte Para monitorar um aplicativo a fim de criar uma exceo na pgina 584.
Consulte Para criar uma exceo para um aplicativo que faz mudanas no DNS
ou em arquivo do host na pgina 587.
Para especificar como o Symantec Endpoint Protection gerencia aplicativos
monitorados
Clique em Adicionar > Excees do Windows > Aplicativo.
Na lista suspensa Exibir, selecione Todos, Aplicativos monitorados ou

Aplicativos permitidos pelo usurio.
Selecione os aplicativos para os quais deseja criar uma exceo.
585
586

Na caixa suspensa Ao, selecione Ignorar, Somente registrar em log, Colocar

em quarentena, Encerrar ou Remover.
As aes Ignorar e Somente registrar em log se aplicam quando as
verificaes detectam o aplicativo. As aes Encerrar, Colocar em quarentena
e Remover sero aplicadas quando o aplicativo for inicializado.
Clique em OK.
Excluso de um domnio confivel da Web das verificaes

Voc pode excluir um domnio Web das verificaes de vrus e spyware e do SONAR.
Voc pode especificar apenas um domnio Web de cada vez. Voc deve especificar
um URL de HTTP ou HTTPS ou um endereo IP quando especificar uma exceo
confivel do domnio da Web. Os URL FTP no so suportados na configurao
de excees. Voc deve especificar um endereo IP para um local FTP. Voc no
pode usar um nmero de porta.
Nota: Se o Download Insight ou o Auto-Protect forem desativados, as excees do
domnio Web confivel sero desativadas tambm.
Para excluir um domnio confivel da Web das verificaes
Na pgina Poltica de excees, clique em Adicionar > Excees do Windows

> Domnio Web confivel.
Na caixa de dilogo Adicionar Exceo de domnio confivel da Web, digite

o site de HTTP ou HTTPS ou o endereo IP que voc deseja excluir.
Clique em OK.
Repetir o procedimento para adicionar mais excees de domnio Web.
Para criar uma exceo da Proteo contra adulteraes

Voc pode criar excees de arquivos para a proteo contra adulteraes. Convm
criar uma exceo de proteo contra adulteraes se a proteo contra
adulteraes interferir com um aplicativo seguro conhecido em seus
computadores-cliente. Por exemplo, a Proteo contra adulteraes pode bloquear
um aplicativo de tecnologia de auxlio, como um leitor de tela.
Voc precisa saber o nome do arquivo associado ao aplicativo da tecnologia de
auxlio. Ento voc pode criar uma exceo para permitir que o aplicativo seja
executado.

Nota: A Proteo contra adulteraes no suporta excees de pasta.

Para criar uma exceo da Proteo contra adulteraes
Clique em Adicionar > Excees do Windows > Exceo de proteo contra

adulteraes.
Na caixa de dilogo Adicionar exceo de proteo contra adulteraes, na

caixa suspensa Varivel de prefixo, selecione uma pasta comum.
Selecione [NENHUM] se deseja digitar o caminho absoluto e o nome do
arquivo.
Na caixa de texto Arquivo, digite o nome do arquivo.

Se voc selecionou um prefixo, o caminho dever ser relativo ao prefixo. Se
voc selecionou [NENHUM] para o prefixo, digite o nome do caminho
completo.
Voc deve especificar um nome de arquivo. A Proteo contra adulteraes
no suporta excees de pasta. Se voc digitar um nome de pasta, a Proteo
contra adulteraes no excluir todos os arquivos de uma pasta com esse
nome. Ela excluir somente um arquivo com aquele nome especificado.
Clique em OK.
Para criar uma exceo para um aplicativo que faz mudanas no DNS
ou em arquivo do host
Voc pode criar uma exceo para um aplicativo especfico que faa mudanas no
DNS ou no arquivo do host. O SONAR pode impedir mudanas de sistema como
mudanas no DNS ou arquivo do host. Talvez seja preciso fazer uma exceo para
um aplicativo VPN, por exemplo.
Voc pode monitorar um aplicativo especfico de modo que possa criar uma exceo
de mudana no DNS ou no arquivo do host. Quando o Symantec Endpoint
Protection detectar o aplicativo, e o console de gerenciamento receber o evento,
o aplicativo aparecer na lista do aplicativo. A lista de aplicativos aparecer vazia
se os computadores-cliente de sua rede ainda no tiverem reconhecido nenhum
aplicativo.
587
588

Restrio dos tipos de excees que os usurios podem configurar em computadores-cliente
Use as Configuraes do SONAR para controlar como o SONAR detecta mudanas

no DNS ou no arquivo do host.
Para criar uma exceo para um aplicativo que faa mudana no DNS ou no arquivo
do host
Clique em Adicionar > Excees do Windows > Exceo na alterao do DNS

ou do arquivo de host.
Selecione os aplicativos para os quais deseja criar uma exceo.
Na caixa suspensa Ao, selecione Ignorar, Somente registrar em log, Aviso

ou Encerrar.
As aes se aplicam quando as verificaes detectam o aplicativo que faz
mudanas no DNS ou no arquivo do host.
Clique em OK.

Consulte Para ajustar as configuraes do SONAR em seus computadores-cliente
na pgina 438.
Restrio dos tipos de excees que os usurios

podem configurar em computadores-cliente
Voc pode configurar restries de modo que os usurios em computadores-cliente
no possam criar excees para verificaes de vrus e spyware ou para o SONAR.
Por padro, os usurios tm permisso para configurar excees.
Nos computadores-cliente, os usurios nunca podem criar excees para a proteo
contra adulteraes, independentemente das configuraes de restrio.
Usurios tambm no podem criar excees de arquivo para o controle de
aplicativo.
na pgina 574.

Para criar excees de eventos de log no Symantec Endpoint Protection Manager
Para restringir os tipos de excees que os usurios podem configurar em

Na pgina Poltica de excees, clique em Restries de clientes.
Em Restries de clientes, desmarque qualquer exceo a qual voc no

deseja que os usurios configurem em computadores-cliente.
Para criar excees de eventos de log no Symantec

Voc pode criar excees de eventos de log para verificaes de vrus e spyware,
SONAR, controle de aplicativos e proteo contra adulteraes.
Nota: Voc no pode criar excees dos eventos de log para deteces de incio
antecipado do antimalware.
Tabela 23-4
Excees e tipos de log
Tipo de exceo
Tipo de log
Arquivo
Log de riscos
Pasta
Log de riscos
Log do SONAR
Risco conhecido
Log de riscos
Extenso
Log de riscos
Aplicativo
Log de riscos
Log do SONAR
Domnio Web confivel
Log de riscos
Log do SONAR
Log do Controle de aplicativos
Mudana no DNS ou no arquivo do host Log do SONAR
589
590

O Symantec Endpoint Protection j deve ter detectado o item para o qual voc
deseja criar uma exceo. Quando voc usar um evento de log para criar uma
exceo, especifique a Poltica de excees que deve incluir a exceo.
na pgina 574.
Na guia Monitores, clique na guia Logs.
Na lista suspensa Tipo de log, selecione o log de riscos, o log do SONAR ou o

log de controle de dispositivos e aplicativos.
Se voc selecionou Controle de dispositivos e aplicativos, selecione Controle

de aplicativos na caixa de listagem Contedo do log.
Ao lado de Intervalo de tempo, selecione o intervalo de tempo para filtrar o

log.
Selecione a entrada ou as entradas para as quais deseja criar uma exceo.
Ao lado de Ao, selecione o tipo de exceo que deseja criar.

O tipo de exceo que voc selecionar dever ser vlido para o item ou os itens
selecionados.
Clicar em Aplicar ou Iniciar.
Na caixa de dilogo, remova todos os itens que voc no quer incluir na

exceo.
10 Para riscos segurana, marque Registrar quando o risco segurana for

detectado, se quiser que o Symantec Endpoint Protection registre a deteco.
11 Selecione todas as Polticas de excees que devem usar a exceo.

12 Clique em OK.
Captulo
24
Para configurar
atualizaes e atualizar a
proteo do
computador-cliente
Para gerenciar atualizaes de contedo
Configurao de um site para fazer o download de atualizaes de contedo
Configurao do agendamento de download do LiveUpdate para Symantec

Download do contedo do LiveUpdate manualmente para o Symantec Endpoint

Protection Manager
Verificao da atividade do servidor do LiveUpdate
Para configurar o Symantec Endpoint Protection Manager para se conectar a

um servidor proxy a fim de acessar a Internet e fazer download de contedo
do Symantec LiveUpdate
Especificao de um servidor proxy que os clientes usem para se comunicar

com o Symantec LiveUpdate ou um servidor interno do LiveUpdate
Como ativar e desativar o agendamento do LiveUpdate para

Como configurar os tipos de contedos usados para atualizar

592
Para configurar atualizaes e atualizar a proteo do computador-cliente


Configurao da quantidade de controle que os usurios tm sobre o LiveUpdate
Para configurar as revises de contedo usadas pelos clientes
Configurao do espao em disco usado para downloads do LiveUpdate
Sobre a escolha aleatria de downloads simultneos de contedo
Como escolher aleatoriamente downloads do contedo do servidor de

gerenciamento padro ou de um Provedor de atualizaes de grupo
Como escolher aleatoriamente o download de contedo de um servidor do

LiveUpdate
Configurao das atualizaes do cliente a serem executadas quando os

computadores-cliente estiverem ociosos
Configurao de atualizaes do cliente para serem executadas quando as

definies forem antigas ou o computador tiver sido desconectado
Configurao de um servidor externo do LiveUpdate
Configurao de um servidor interno do LiveUpdate
Para usar Provedores de atualizaes de grupo para distribuir contedo aos

clientes
Para usar arquivos do Intelligent Updater para atualizar definies de vrus e

de riscos segurana do cliente
Como usar ferramentas de distribuio de terceiros para atualizar


Os produtos da Symantec dependem das informaes atuais para proteger
computadores das ameaas com a mais recente tecnologia de proteo contra
ameaas. Os computadores-cliente e os servidores precisam de atualizaes
peridicas do contedo de proteo como definies de spyware e vrus, assinaturas
do sistema de proteo contra intruses e software do produto. O LiveUpdate
fornece estas atualizaes da Symantec atravs de uma conexo com a Internet.
O cliente do LiveUpdate as verifica para se assegurar de que as atualizaes venham
da Symantec e no tenham sido adulteradas de nenhuma maneira.

O Symantec Endpoint Protection suporta os protocolos HTTPS, HTTP e FTP para

se conectar aos servidores internos do LiveUpdate. Ele suporta conexes ao
servidor do Symantec LiveUpdate via HTTP, com FTP como mtodo de backup.
Embora o HTTPS no seja suportado para conexo ao servidor do Symantec
LiveUpdate, o contedo assinado digitalmente. A vantagem do HTTP que a
maioria dos clientes pode se conectar ao servidor do LiveUpdate sobre HTTP,
sendo geralmente mais rpido.
Nota: O LiveUpdate que o Symantec Endpoint Protection usa no atualiza o
contedo em outros produtos da Symantec. Se voc usou previamente uma nica
instncia do LiveUpdate para atualizaes de contedo em vrios produtos, dever
agora ativar o agendador do LiveUpdate nesses outros produtos da Symantec.
Para configurar atualizaes para clientes, voc usa as seguintes polticas:
Poltica de configuraes do LiveUpdate
Poltica de contedo do LiveUpdate
A poltica de configuraes do LiveUpdate especifica os servidores de contedo

contatados pelos computadores-cliente para verificar atualizaes e com que
frequncia as atualizaes so buscadas pelos clientes. A poltica de contedo do
LiveUpdate especifica os tipos de contedo do qual seus computadores-cliente
fazem download. Voc tambm pode configurar alguns dos tipos de contedo que
so obtidos por download do servidor de gerenciamento na guia LiveUpdate da
caixa de dilogo Propriedades do site.
Se voc usar um servidor do LiveUpdate, a Poltica de configuraes do LiveUpdate
fornecer Configuraes avanadas para as seguintes reas:
O grau de controle do usurio sobre o LiveUpdate

Voc pode permitir que usurios iniciem o LiveUpdate manualmente de seus
computadores-cliente. Esta configurao est desativada por padro. Se voc
ativar essa configurao, os usurios podem iniciar o LiveUpdate e fazer o
download das definies de vrus, atualizaes de componentes e atualizaes
de produtos mais recentes. Dependendo do tamanho da populao de usurios,
talvez voc no queira deixar que os usurios faam o download de todo o
contedo sem antes conduzir testes. Alm disso, podem ocorrer conflitos se
duas sesses do LiveUpdate forem executadas simultaneamente em
Voc pode igualmente escolher permitir que usurios mudem seu agendamento
de LiveUpdate e alterem suas configuraes de proxy.
Download das atualizaes do produto
593
594

Por padro, no permitido aos usurios fazer download de atualizaes do

produto de um servidor do LiveUpdate, mas voc poder mudar esta
configurao.
Uso de cabealhos padro de HTTP

O LiveUpdate usa s vezes os cabealhos no padronizados que um firewall
pode bloquear. Voc pode usar esta configurao para fazer o Symantec
Endpoint Protection Manager exigir cabealhos HTTP padro do LiveUpdate.
Esta configurao aplica-se apenas a downloads para clientes de um servidor
interno ou externo do LiveUpdate.
Voc pode impedir usurios de executar o LiveUpdate somente em clientes

Windows. Usurios em clientes Mac sempre podem executar o LiveUpdate. As
atualizaes do produto de um servidor do LiveUpdate, porm, podem ser restritas
em clientes Mac e Windows. Se voc restringir as atualizaes do produto do
LiveUpdate em um cliente Mac, ser necessrio fornec-las manualmente. Os
clientes Mac no podem obter atualizaes do servidor de gerenciamento.
A Tabela 24-1 descreve algumas das tarefas que voc pode executar para gerenciar
atualizaes de contedo. Como voc pode usar os padres para atualizaes,
todas as tarefas so opcionais.
Tabela 24-1
Tarefa
Tarefas para gerenciar atualizaes de contedo
Descrio
Executar o LiveUpdate Aps instalar o Symantec Endpoint Protection Manager, ele configurado para
aps a instalao
periodicamente atualizar o contedo de maneira automtica. Porm, possvel executar o
LiveUpdate imediatamente ou em qualquer momento para fazer o download das mais
recentes atualizaes do produto e de segurana.
Consulte Download do contedo do LiveUpdate manualmente para o Symantec Endpoint

Tarefa
Descrio
Definir as
configuraes de
download do
LiveUpdate para o
servidor de
gerenciamento
Configure o servidor de gerenciamento para receber atualizaes regulares de contedo.

Estas atualizaes de contedo podem ser distribudas a computadores-cliente.
Quando voc configurar um site para fazer download de contedo do LiveUpdate para o
Symantec Endpoint Protection Manager, voc precisar tomar as seguintes decises:
Com que frequncia o site procura atualizaes de contedo do LiveUpdate.
Que tipos de contedo para obter por download para o site.
Os idiomas para os tipos de atualizaes a serem obtidas por download.
O servidor do LiveUpdate fornece o contedo ao site.
O nmero de revises de contedo a ser mantido e se os pacotes de clientes devem ser

armazenados descompactados.
Consulte Configurao de um site para fazer o download de atualizaes de contedo

na pgina 609.
Consulte Configurao do espao em disco usado para downloads do LiveUpdate
na pgina 622.
Consulte Configurao do agendamento de download do LiveUpdate para Symantec
Consulte Verificao da atividade do servidor do LiveUpdate na pgina 614.
Configurar uma
conexo para permitir
que um servidor proxy
se conecte ao servidor
do Symantec
LiveUpdate
Estabelea comunicao entre um servidor proxy e o Symantec Endpoint Protection Manager

para que ele possa se conectar a servios de assinatura da Symantec. Um servidor proxy
pode fornecer um nvel adicional de proteo entre seu site e um servidor externo do
Especificar
configuraes de proxy
para comunicao do
cliente a um servidor
interno do LiveUpdate
Voc pode especificar configuraes de proxy para clientes que se conectam a um servidor
interno do LiveUpdate para obter atualizaes. As configuraes de proxy so somente
para atualizaes. Elas no se aplicam a outros tipos de comunicao externa que os clientes
usam. Configure o proxy para outros tipos de comunicao externa de clientes
separadamente.
Consulte Para configurar o Symantec Endpoint Protection Manager para se conectar a um

servidor proxy a fim de acessar a Internet e fazer download de contedo do Symantec
LiveUpdate na pgina 615.
Consulte Especificao de um servidor proxy que os clientes usem para se comunicar com
o Symantec LiveUpdate ou um servidor interno do LiveUpdate na pgina 615.
595
596

Tarefa
Descrio
Decidir como os
Os computadores-cliente podem automaticamente fazer o download de definies de
computadores-cliente segurana e outras atualizaes do produto do Symantec Endpoint Protection Manager,
obtm atualizaes
mas diversos outros mtodos de distribuio do contedo esto disponveis. Por exemplo,
possvel permitir que os usurios viajem com computadores portteis para usar uma
conexo com a Internet para obter atualizaes diretamente de um servidor do Symantec
LiveUpdate.
Algumas instalaes que tm um grande nmero de clientes podem configurar um ou vrios
Provedores de atualizaes de grupo para reduzir a carga no servidor de gerenciamento.
Voc tambm pode configurar uma lista explcita de Provedores de atualizaes de grupo
que os clientes podem usar para se conectar aos Provedores de atualizaes de grupo que
esto em sub-redes diferentes da prpria sub-rede do cliente.
Nota: Os clientes Mac obtm atualizaes apenas de um servidor interno ou externo do

LiveUpdate.
Consulte Sobre os tipos do contedo que o LiveUpdate pode fornecer na pgina 597.
Consulte Como os computadores-cliente recebem atualizaes de contedo na pgina 602.
Consulte Configurao do agendamento de download do LiveUpdate para
Configurar a
quantidade de controle
que ser dada a
usurios sobre pelo
LiveUpdate
Voc pode decidir quanto controle para dar a seus usurios sobre suas atualizaes de
contedo.
Consulte Configurao da quantidade de controle que os usurios tm sobre o LiveUpdate
na pgina 620.
Ajustar parmetros de Para diminuir o efeito dos downloads na largura de banda da rede, possvel fazer o
download do cliente
download do contedo aleatoriamente de modo que nem todos os clientes obtenham
atualizaes ao mesmo tempo.
Consulte Sobre a escolha aleatria de downloads simultneos de contedo na pgina 623.
Para diminuir o efeito dos downloads no desempenho de computadores-cliente, possvel
fazer com que o download das atualizaes de contedo dos computadores-cliente seja feito
quando os computadores-cliente estiverem ociosos.
Consulte Configurao das atualizaes do cliente a serem executadas quando os
computadores-cliente estiverem ociosos na pgina 626.
Configurar um mtodo Os computadores-cliente fazem automaticamente o download das definies de vrus e
alternativo de
outras atualizaes de contedo do Symantec Endpoint Protection Manager, mas h diversos
distribuio
mtodos de distribuio alternativos que voc pode usar.
Consulte Como os computadores-cliente recebem atualizaes de contedo na pgina 602.

Sobre os tipos do contedo que o LiveUpdate pode fornecer

Os tipos de contedo que o LiveUpdate pode fornecer incluem definies de vrus
e spyware, assinaturas do Sistema de preveno contra intruses e atualizaes
de produtos. Para controlar os tipos de contedo que seus computadores-cliente
obtm por download, voc usa uma poltica de contedo do LiveUpdate. Para
controlar os tipos de contedo que o servidor de gerenciamento padro obtm
por download para distribuir aos clientes, voc define as configuraes das
propriedades do site. Se o contedo estiver selecionado em uma poltica do
LiveUpdate, mas no tiver sido selecionado nas propriedades do site esse contedo
no ser fornecido aos clientes.
Nota: Normalmente, no necessrio restringir o contedo que o Symantec
Endpoint Protection Manager obtm por download. Cuide para desativar somente
o tipo de contedo que voc est certo de que no precisa.
As atualizaes do LiveUpdate incluem definies e outros tipos de contedo. Ele
no inclui atualizaes de polticas. O Symantec Endpoint Protection Manager
atualizar polticas em clientes quando voc atribuir uma nova poltica a um grupo
ou editar uma poltica existente.
A Tabela 24-2 relaciona os tipos de contedo que voc pode configurar no Symantec
Endpoint Protection Manager para fazer o download aos clientes.
597
598

Tabela 24-2
Os tipos de contedo que voc pode configurar para o download

aos clientes
Tipo de contedo
Descrio
Atualizaes do produto
As atualizaes de produtos so melhorias ao software-cliente instalado. Essas

atualizaes de produto so criadas geralmente para estender a compatibilidade do
sistema operacional ou do hardware, para ajustar problemas de desempenho ou
corrigir erros do produto. As atualizaes do produto so lanadas de acordo com a
necessidade. Os clientes podem receber atualizaes do produto diretamente de um
servidor do LiveUpdate. Os clientes gerenciados tambm podem receber atualizaes
do produto do Symantec Endpoint Protection Manager.
O parmetro Configuraes de atualizao do produto em Configuraes
avanadas de uma poltica de configuraes do LiveUpdate permite controlar as
verses do software-cliente. Esta escolha no configurada em uma poltica de
contedo do LiveUpdate. Quando esta configurao estiver ativada, o
software-cliente poder ser atualizado com o LiveUpdate.
O Symantec Endpoint Protection Manager faz o download de atualizaes do
cliente por meio do LiveUpdate por padro. Esta configurao pode ser desativada
nas propriedades do site para o Symantec Endpoint Protection Manager. Quando
for feito o download de uma atualizao, ela aparecer no painel Pacotes de
instalao do cliente. Voc pode ento selecionar o pacote e usar o recurso Fazer
upgrade de clientes com o pacote para os clientes Windows.
Voc pode usar o Assistente de Implementao de Cliente para atualizar seus clientes
Mac. Link da Web e e-mail cria um pacote e envia o URL do download aos destinatrios
pretendidos do e-mail. Salvar pacote cria e exporta um pacote de instalao. Este
pacote pode ento ser implementado com uma ferramenta de terceiros ou colocado
em um local de rede para download e instalao manual.
Definies de vrus e spyware Pacotes separados da definio de vrus esto disponveis para as plataformas x86 e
x64. Este tipo de contedo igualmente inclui a lista do portal do Auto-Protect.
Assinaturas heursticas do
SONAR
Proteger contra ameaas de ataque de dia zero.
Lista de aplicativos
Inclui os aplicativos comerciais legtimos que geraram falsos positivos no passado.
comerciais da Verificao
Estes sero usados para a compatibilidade com verses anteriores quando voc
proativa de ameaas TruScan gerenciar clientes legados.
Assinaturas de preveno
contra intruses
Protege contra ameaas rede e suporta a preveno contra intruses e os mecanismos

de deteco.
Assinaturas de controle de
envio
Controla o fluxo dos envios ao Symantec Security Response.
Configuraes de reputao
Inclui as atualizaes para os dados de reputao usados na proteo.

Tipo de contedo
Descrio
Contedo de integridade do
host
Inclui os modelos de requisitos predefinidos que aplicam patches atualizados e medidas

de segurana no computador-cliente. O LiveUpdate faz o download dos modelos para
os computadores que executam sistemas operacionais Windows e Mac.
Consulte Para adicionar um requisito da integridade do host atravs de um modelo
na pgina 891.
Nota: Essa opo somente aparecer na caixa de dilogo Propriedades do site quando
voc instalar o Symantec Network Access Control.
Nota: Voc no pode excluir todos os tipos de contedo. Por exemplo, Assinaturas
e atributos de arquivo estendido, usados para controlar certificados-raiz e
informaes do signatrio, so sempre obtidos por download.
Consulte Como os computadores-cliente recebem atualizaes de contedo
na pgina 602.
Consulte Como configurar os tipos de contedos usados para atualizar
A Tabela 24-3 relaciona os recursos que precisam de atualizaes regulares e os
tipos de contedo de que cada recurso precisa.
599
600

Tabela 24-3
Recursos e o contedo de atualizao necessrio
Quando voc instalar um

cliente no gerenciado
Quando voc fizer a atualizao, precisar fazer download desses tipos de

contedo

spyware
Definies de vrus e spyware
Definies do SONAR
Quando voc configurar tipos de contedo para download em Propriedades do
site, isso se chamar assinaturas heursticas do SONAR.
Whitelist da Symantec
Quando voc configurar um site para fazer download do contedo, esse tipo de
contedo ser chamado de lista de aplicativos comerciais da verificao proativa
de ameaas TruScan.
Dados de revogao (download por padro, no configurado no Symantec Endpoint
Protection Manager)
Configuraes de reputao centralizada
site, esse tipo de contedo ser chamado de Configuraes de reputao.
Assinaturas de controle de envio
Lista do portal do Auto-Protect
Definies do SONAR
de ameaas TruScan.
Protection Manager)
Assinaturas de preveno contra intruses
Quando voc selecionar essa opo para fazer o download, ela incluir atualizaes
s assinaturas de preveno contra intruses e aos mecanismos de preveno
contra intruses.
Proteo antivrus e
antispyware > Proteo de
download



contedo

spyware > Verificador do
Outlook
Definies do SONAR
de ameaas TruScan.
Protection Manager)
Definies do SONAR
de ameaas TruScan.
Protection Manager)

spyware > Verificador do
Notes

ameaas > SONAR
Definies do SONAR
Quando voc configurar tipos de contedo para download no Symantec Endpoint
Protection Manager, isso se chamar assinaturas heursticas do SONAR.

ameaas > Controle de
601
602



contedo

rede > Preveno contra
intruses
Assinaturas de preveno contra intruses

Nota: Quando voc selecionar essa opo para fazer o download, ela incluir
atualizaes s assinaturas de preveno contra intruses e aos mecanismos de
preveno contra intruses.
rede > Firewall
Controle de acesso rede
Contedo de integridade do host

Nota: Voc no pode configurar Assinaturas e atributos de arquivo estendido e

Assinaturas de controle de envio. Elas so instaladas sempre.
Como os computadores-cliente recebem atualizaes de contedo

Os computadores-cliente podem usar o LiveUpdate para fazer automaticamente
o download de definies de segurana e outras atualizaes do produto, mas voc
tambm pode usar diversos outros mtodos de distribuio de contedo para
atualizar os clientes.
As configuraes de agendamento do servidor do LiveUpdate so definidas em
Propriedades do site na pgina Administrador. As configuraes de agendamento
do cliente LiveUpdate so definidas na poltica de configuraes do LiveUpdate.
Ao adicionar e aplicar uma Poltica de configuraes do LiveUpdate, necessrio
planejar com que frequncia voc deseja que os computadores-cliente verifiquem
as atualizaes. A configurao padro a cada quatro horas. Voc tambm deve
saber de onde deseja que os computadores-cliente verifiquem e obtenham
atualizaes. Se possvel, voc deseja que os computadores-cliente procurem e
obtenham atualizaes do Symantec Endpoint Protection Manager. Aps criar
sua poltica, atribua a poltica a um ou mais grupos e locais.
Os mtodos de distribuio do contedo que voc usa dependem dos seguintes
fatores:
Como voc configura sua rede.
Quantos computadores-cliente voc gerencia.

Por exemplo, se voc tiver um nmero muito grande de clientes, poder usar
provedores de atualizaes de grupo para facilitar a carga em seus servidores

de gerenciamento. Voc pode at mesmo configurar os servidores internos do

LiveUpdate que usam o administrador do LiveUpdate, caso necessrio.
Se voc gerenciar computadores-cliente Windows e Mac.

Por exemplo, os computadores-cliente Mac obtm atualizaes apenas de um
servidor interno ou externo do LiveUpdate. Apenas computadores-cliente
Windows podem obter atualizaes do servidor de gerenciamento ou do
Provedor de atualizaes de grupo.
Se os computadores-cliente conectam-se regularmente sua rede.

Por exemplo, alguns usurios podem viajar com computadores portteis que
se conectam intermitentemente ou no se conectam sua rede. Neste caso,
possvel permitir que os computadores-cliente obtenham atualizaes
diretamente de um servidor do Symantec LiveUpdate usando a Internet.

Tabela 24-4
Mtodo
Mtodos de distribuio de contedo e quando us-los
Descrio
Symantec Endpoint
O servidor de gerenciamento padro pode
Protection Manager para atualizar os computadores-cliente que
gerencia. Voc pode ter vrios servidores de
gerenciamento na rede do Symantec
(Padro)
Endpoint Protection Manager. O site que
inclui os servidores de gerenciamento recebe
o contedo do LiveUpdate.
Quando us-lo
Nota: Apenas computadores-cliente
Windows podem obter atualizaes do
servidor de gerenciamento. Os
computadores-cliente Mac devem
atualmente obter suas atualizaes de um
servidor do Symantec LiveUpdate ou
manualmente.
Consulte Para usar arquivos do Intelligent
Updater para atualizar definies de vrus
e de riscos segurana do cliente
na pgina 647.
Este mtodo configurado por padro aps
a instalao do servidor de gerenciamento.
Tambm possvel combinar esse mtodo
com um Provedor de atualizaes de grupo.
603
604

Mtodo
Descrio
Provedor de atualizaes Um Provedor de atualizaes de grupo um

de grupo para
computador-cliente que recebe atualizaes
de um servidor de gerenciamento. Em
seguida, encaminha as atualizaes para os
outros computadores-cliente no grupo. Um
Provedor de atualizaes de grupo pode
atualizar vrios grupos.
Observe que os Provedores de atualizaes
de grupo distribuem todos os tipos de
contedo do LiveUpdate, exceto atualizaes
de software-cliente. Os provedores de
atualizaes de grupo tambm no podem
ser usados para atualizar polticas.
Quando us-lo
Configurar um Provedor de atualizaes de
grupo mais fcil do que configurar um
servidor interno do LiveUpdate. Os
provedores de atualizaes de grupo
utilizam recursos com menor intensidade
e, assim, reduzem a carga nos servidores de
gerenciamento.
Este mtodo particularmente til para
grupos em locais remotos com largura de
banda mnima.
Consulte Para usar Provedores de
atualizaes de grupo para distribuir
contedo aos clientes na pgina 632.

Mtodo
Descrio
Servidor interno do
LiveUpdate para
Os computadores-cliente podem fazer o

download de atualizaes diretamente de
um servidor interno do LiveUpdate que
recebe suas atualizaes de um servidor do
Quando us-lo
Voc pode usar um servidor interno do

LiveUpdate em redes muito grandes para
reduzir a carga no Symantec Endpoint
Protection Manager. Voc deve primeiro
considerar se os provedores de atualizaes
de grupo cumprem as necessidades de sua
Voc usa o utilitrio de administrao do
organizao. Os provedores de atualizaes
LiveUpdate para fazer o download das
de grupo so mais fceis de configurar e
atualizaes de definio do servidor do
tambm reduzem a carga nos servidores de
Symantec LiveUpdate. O utilitrio coloca os
gerenciamento.
pacotes em um servidor da Web, em um site
FTP ou em um local designado com um
Use um servidor interno do LiveUpdate se
caminho UNC. Voc configura seus
voc tiver clientes Mac e no quiser que se
servidores de gerenciamento e
conectem ao Servidor do Symantec
computadores-cliente para fazer o download LiveUpdate pela Internet.
de suas atualizaes de definies por este
Um servidor interno do LiveUpdate tambm
local.
ser til se sua organizao executar vrios
Caso necessrio, possvel configurar vrios produtos da Symantec que tambm usam o
servidores internos do LiveUpdate e
LiveUpdate para atualizar os
distribuir a lista a computadores-cliente.
Para obter mais informaes sobre a
configurao do servidor do LiveUpdate,
consulte o Guia de Usurio Administrador
do LiveUpdate.
Normalmente, voc usa um servidor interno

do LiveUpdate em grandes redes de mais de
10.000 clientes.
O guia est disponvel no disco do produto

Ferramentas e no site do Suporte da
Symantec.
Endpoint Protection Manager e um servidor

interno do LiveUpdate no mesmo hardware
ou mquina virtual fsica. A instalao no
mesmo computador pode causar problemas
significativos de desempenho no servidor.
Nota: Voc no deve instalar o Symantec
Para obter mais informaes, consulte o

artigo da Base de conhecimento: LiveUpdate
Administrator 2.x e Symantec Endpoint
Protection Manager no mesmo computador..
Consulte Configurao de um servidor
interno do LiveUpdate na pgina 629.
605
606

Mtodo
Descrio
Servidor do Symantec
LiveUpdate a
pela Internet
Os computadores-cliente podem receber

Utilize um servidor externo do Symantec
atualizaes diretamente de um servidor do LiveUpdate para os computadores-cliente
que no esto sempre conectados rede da
Nota: Os computadores-cliente Mac devem empresa.
usar este mtodo.
Quando us-lo
O Symantec Endpoint Protection Manager

e as atualizaes agendadas esto ativados
por padro, assim como as opes para
executar apenas atualizaes agendadas
quando a conexo com o Symantec Endpoint
Protection Manager for perdida e as
definies de vrus e spyware forem mais
antigas do que um determinado tempo. Com
as configuraes padro, os clientes sempre
obtm atualizaes do Symantec Endpoint
Protection Manager, a no ser quando o
Symantec Endpoint Protection Manager no
estiver respondendo durante um longo
perodo.
Nota: No configure grandes nmeros de

clientes gerenciados conectados rede para
obter atualizaes de um servidor externo
do Symantec LiveUpdate. Essa configurao
consome quantidades desnecessrias de
largura de banda da Internet.
Consulte Configurao de um servidor
externo do LiveUpdate na pgina 628.
Distribuio de
Ferramentas de terceiros, como Microsoft
ferramentas de terceiros SMS, permitem distribuir arquivos de
atualizao especficos para clientes.
Use esse mtodo quando quiser testar

arquivos de atualizao antes de
distribu-los. Use esse mtodo se voc tem
uma infraestrutura de distribuio de
ferramentas de terceiros e deseja
aproveit-la.
Consulte Distribuio do contedo usando
ferramentas de distribuio de terceiros
na pgina 653.

Mtodo
Descrio
Quando us-lo
Intelligent Updater
Os arquivos do Intelligent Updater contm

o contedo de risco segurana e vrus que
voc pode usar para atualizar clientes
manualmente. Voc pode fazer o download
dos arquivos com extrao automtica do
Intelligent Updater no site da Symantec.
Voc pode usar arquivos do Intelligent

Updater se no quiser usar o Symantec
LiveUpdate ou se o LiveUpdate no estiver
disponvel.
Consulte Para usar arquivos do Intelligent
Updater para atualizar definies de vrus
e de riscos segurana do cliente
na pgina 647.
Para atualizar outros tipos de contedo,
necessrio configurar um servidor de
gerenciamento para fazer o download e
preparar os arquivos de atualizao.
Consulte Como usar ferramentas de
distribuio de terceiros para atualizar
A Figura 24-1 mostra um exemplo de arquitetura de distribuio para redes

menores.
607
608

Figura 24-1
Exemplo de arquitetura de distribuio para redes menores
Symantec LiveUpdate
Grupo de clientes
Servidor de
gerenciamento
Grupos de
clientes
Servidor de
gerenciamento
Provedor de
atualizaes de
grupo Cliente
Clientes
Grupo de clientes
A Figura 24-2 mostra um exemplo de arquitetura de distribuio para redes

maiores.

Figura 24-2
Exemplo de arquitetura de distribuio para redes maiores
Symantec LiveUpdate
Servidor
Servidor
Servidor de gerenciamento
Grupos de clientes
Grupos de clientes
Configurao de um site para fazer o download de

atualizaes de contedo
Quando voc configurar um site para fazer o download de contedo do LiveUpdate,
ter que tomar vrias decises.
Tabela 24-5
Deciso
Decises sobre o download do contedo
Descrio
Com que frequncia meu site O agendamento padro de que o Symantec Endpoint Protection Manager execute o
deve procurar atualizaes LiveUpdate a cada quatro horas uma melhor prtica.
de contedo do LiveUpdate?
609
610

Deciso
Descrio
De que tipo de contedo devo Certifique-se de que o site faa o download de todas as atualizaes de contedo
fazer download?
especificadas nas Polticas de contedo do LiveUpdate do cliente.
Consulte Sobre os tipos do contedo que o LiveUpdate pode fornecer na pgina 597.
Consulte Como configurar os tipos de contedos usados para atualizar
Quais idiomas devem ser
transferidos por download
para as atualizaes do
produto?
Esta configurao na caixa de dilogo Propriedades do site se aplica apenas s

atualizaes do produto; as atualizaes de contedo so apropriadas para todos os
idiomas.
Qual servidor do LiveUpdate Voc pode especificar um servidor do Symantec LiveUpdate (recomendado) externo
deve servir o contedo ao
ou um ou mais servidores internos do LiveUpdate que foram previamente instalados
site?
e configurados.
Consulte Configurao de um servidor externo do LiveUpdate na pgina 628.
Voc no deve instalar o Symantec Endpoint Protection Manager e um servidor
interno do LiveUpdate no mesmo hardware ou mquina virtual fsica. A instalao
no mesmo computador pode causar problemas significativos de desempenho no
servidor.
Se voc decidir usar um ou mais servidores internos do LiveUpdate, ser recomendvel
adicionar o servidor pblico do Symantec LiveUpdate como a entrada mais recente.
Se seus clientes no puderem atingir nenhum servidor na lista, ento eles ainda
podero atualizar pelo servidor do Symantec LiveUpdate.
Nota: Se voc usar a verso 1.x do Administrador do LiveUpdate para gerenciar seu
servidor interno do LiveUpdate, ser necessrio fazer uma alterao se voc tiver
aplicado pacotes personalizados de resposta. Os clientes do LiveUpdate que usam a
verso atual no podem autenticar pacotes personalizados de resposta. Voc deve
remover todos os pacotes personalizados do servidor central do LiveUpdate.
Consulte Configurao de um servidor interno do LiveUpdate na pgina 629.

Deciso
Descrio
Quantas revises de
contedo o site deve
armazenar e os pacotes do
cliente devem ser
armazenados
descompactados?
Uma boa razo para armazenar vrias revises de um nico tipo de contedo fornecer
a capacidade de criar e distribuir deltas aos clientes. Quando o Symantec Endpoint
Protection Manager e o cliente tiverem uma reviso de contedo em comum, o
Symantec Endpoint Protection Manager poder us-la como uma base para um delta
a ser enviado para clientes. Os clientes podem aplicar o delta para a mesma base
localmente a fim de obter o contedo mais recente. Os deltas so, tipicamente, muito
menores do que os pacotes completos, o que resulta em grande economia de largura
de banda.
Voc tambm poder armazenar revises de contedo porque convm testar o
contedo mais recente antes de implement-lo em todos os clientes. Talvez voc
deseje manter verses anteriores do contedo caso seja necessrio reverter a
implementao.
Nota: Quando voc mantm um grande nmero revises, mais espao em disco
necessrio no Symantec Endpoint Protection Manager.
na pgina 622.
Consulte Para configurar as revises de contedo usadas pelos clientes na pgina 621.
Para configurar um site para fazer o download de atualizaes
Em Servidores, clique com o boto direito do mouse em Site local e clique

em seguida em Editar propriedades.
Na guia LiveUpdate, na caixa de grupo Agendamento de download, clique

em Editar agendamento, defina as opes para a frequncia com que o
servidor deve procurar atualizaes.
Clique em OK.
Em Tipos de contedo para download, inspecione a lista de tipos de

atualizao que so obtidas por download.
Para adicionar um tipo de atualizao, clique em Alterar seleo, modifique

a lista e, ento, clique em OK.
A lista deve corresponder lista de tipos de contedo que voc inclui na
Poltica de contedo do LiveUpdate para seus computadores-cliente.
Em Idiomas para download, inspecione a lista de idiomas dos tipos de

atualizao obtidos por download.
Para adicionar um idioma, clique em Alterar seleo, modifique a lista e,

ento, clique em OK.
611
612

Em Plataformas para download, clique em Mudar plataformas e verifique

a lista de plataformas. Desmarque as plataformas para as quais voc no
deseja fazer download do contedo.
10 Em Servidores de origem do LiveUpdate, clique em Editar servidores de

origem e inspecione o servidor do LiveUpdate atual que usado para atualizar
o servidor de gerenciamento. Este servidor o servidor do Symantec
LiveUpdate por padro. Ento, execute um destes procedimentos:
Para usar o servidor de origem do LiveUpdate, clique em OK.
Para usar um servidor interno do LiveUpdate, clique em Usar um servidor

interno especificado do LiveUpdate e em Adicionar.
11 Se voc selecionou Usar um servidor interno especificado do LiveUpdate,

na caixa de dilogo Adicionar servidor do LiveUpdate, preencha as caixas
com as informaes que identificam o servidor do LiveUpdate e, em seguida,
clique em OK.
Voc pode adicionar mais de um servidor para fins de failover. Se um servidor
ficar off-line, o outro servidor fornecer suporte. Voc tambm pode adicionar
o servidor pblico do Symantec LiveUpdate como o ltimo servidor na lista.
Se voc adicionar o servidor pblico, use
http://liveupdate.symantecliveupdate.com como o URL.
Nota: Se voc usar um servidor UNC, o LiveUpdate exigir que voc use o
domnio ou o grupo de trabalho como parte do nome de usurio.
Se o computador estiver em um domnio, use o formato
domain_name\user_name.
Se o computador estiver em um grupo de trabalho, use o formato
computer_name\user_name.
12 Na caixa de dilogo Servidores do LiveUpdate, clique em OK.

13 Em Gerenciamento de espao em disco para downloads, digite o nmero de
revises de contedo do LiveUpdate a ser mantido.
Mais espao em disco necessrio para o armazenamento de um grande
nmero de revises de contedo. Os pacotes de clientes que so armazenados
no formato expandido tambm exigem mais espao em disco.

Configurao do agendamento de download do LiveUpdate para Symantec Endpoint Protection Manager
14 Marque ou desmarque Armazenar pacotes de cliente descompactados para

fornecer melhor desempenho de rede para upgrades.
Nota: Desativar esta opo tambm desativar a capacidade do Symantec
Endpoint Protection de construir deltas entre revises de contedo e poder,
adversamente, afetar o desempenho de rede para atualizaes.
15 Clique em OK.
Configurao do agendamento de download do

LiveUpdate para Symantec Endpoint Protection
Manager
Voc pode ajustar o agendamento que o Symantec Endpoint Protection Manager
usa para fazer o download das atualizaes de contedo do LiveUpdate para o
servidor de gerenciamento. Por exemplo, voc pode alterar a frequncia padro
do agendamento do servidor de a cada hora para dirio a fim de economizar largura
de banda.
Para configurar o agendamento de downloads do LiveUpdate para o Symantec
Selecione o site e, em Tarefas, clique em Editar propriedades do site.
Na caixa de dilogo Propriedades do servidor, na guia LiveUpdate, clique

em Editar agendamento.
Mude a frequncia e quaisquer outras configuraes que desejar mudar.
Clique em OK.
613
614

Download do contedo do LiveUpdate manualmente para o Symantec Endpoint Protection Manager
Download do contedo do LiveUpdate manualmente

para o Symantec Endpoint Protection Manager
Voc no precisa aguardar os download agendado do LiveUpdate. Voc pode fazer
o download de atualizaes de contedo manualmente para o Symantec Endpoint
Protection Manager. Voc pode usar qualquer um dos seguintes procedimentos.
Para fazer o download de atualizaes de contedo manualmente para o Symantec
Na Home page, selecione Tarefas comuns e, em seguida, selecione Executar

o LiveUpdate.
Clique em Fazer download.
Para fazer o download de atualizaes de contedo manualmente para o Symantec

A pgina Administrador, clique em Servidores e selecione o site.
Clique em Fazer o download de contedo do LiveUpdate.
Na caixa de dilogo Fazer o download de contedo do LiveUpdate, verifique

as propriedades e clique em Fazer download.
Se voc precisar mudar as propriedades, clique em Cancelar e mude as
propriedades primeiro.
Consulte Configurao de um site para fazer o download de atualizaes de
contedo na pgina 609.
Verificao da atividade do servidor do LiveUpdate

Voc pode relacionar os eventos que se referem ao Symantec Endpoint Protection
Manager e ao LiveUpdate. Atravs desses eventos, voc pode determinar quando
o contedo foi atualizado.
Para verificar a atividade do servidor do LiveUpdate
Na pgina Administrador, em Tarefas, clique em Servidores e selecione o

site.
Clique em Mostrar o status do LiveUpdate.
Clique em Fechar.

Para configurar o Symantec Endpoint Protection Manager para se conectar a um servidor proxy a fim de acessar a
Internet e fazer download de contedo do Symantec LiveUpdate
Para configurar o Symantec Endpoint Protection

Manager para se conectar a um servidor proxy a fim
de acessar a Internet e fazer download de contedo
do Symantec LiveUpdate
Se desejar que o Symantec Endpoint Protection Manager passe por um servidor
proxy para se conectar Internet, ser necessrio configurar o Symantec Endpoint
Protection Manager para se conectar ao servidor proxy. Um servidor proxy pode
adicionar uma camada de segurana porque apenas ele est conectado diretamente
Internet.
Para configurar o Symantec Endpoint Protection Manager para se conectar a um
servidor proxy, acessar a Internet e fazer download de contedo do Symantec
LiveUpdate
Em Servidores, selecione o servidor de gerenciamento ao qual deseja conectar

um servidor proxy.
Na guia Servidor proxy, em Configuraes de proxy HTTP ou Configuraes

de proxy FTP, para Uso de proxy, selecione Usar configuraes
personalizadas de proxy.
Tipo nas configuraes de proxy.

Para obter mais informaes sobre essas configuraes, clique em Ajuda
Clique em OK.
Especificao de um servidor proxy que os clientes

usem para se comunicar com o Symantec LiveUpdate
ou um servidor interno do LiveUpdate
Voc pode especificar um servidor proxy que seus clientes usam para se comunicar
com um servidor interno do LiveUpdate. As configuraes de proxy no afetam
as configuraes dos provedores de atualizaes do grupo.
615
616

Como ativar e desativar o agendamento do LiveUpdate para computadores-cliente

Nota: Defina as configuraes de proxy para outras comunicaes do cliente
separadamente.
Para especificar um servidor proxy que os clientes em computadores Windows
usam para se comunicar com o Symantec LiveUpdate ou um servidor interno do
LiveUpdate
Em Polticas, clique em LiveUpdate e na guia Configuraes do LiveUpdate.
Clique com o boto direito do mouse na poltica que voc deseja e selecione
Editar.
Em Configuraes Windows, clique em Configuraes do servidor.
Em Configuraes de proxy do LiveUpdate, clique em Configurar opes de

proxy.
Na guia HTTP ou HTTPS ou na guia FTP, selecione as opes desejadas.

Consulte a ajuda online para obter mais informaes sobre as opes.
Clique em OK na caixa de dilogo.
Clique em OK.
Para especificar um servidor proxy que os clientes em computadores Mac usam

para se comunicar com o Symantec LiveUpdate ou um servidor interno do LiveUpdate
No console, clique em Clientes > Polticas.
Em Polticas e configuraes independentes do local, em Configuraes,

clique em Configuraes de comunicaes externas.
Na guia Servidor proxy (Mac), selecione as opes desejadas.

Consulte a ajuda online para obter mais informaes sobre as opes.
Clique em OK.
Como ativar e desativar o agendamento do LiveUpdate

para computadores-cliente
Se voc ativar o LiveUpdate para computadores-cliente, os computadores obtero
atualizaes de contedo atravs do LiveUpdate , com base no agendamento
padro ou em um agendamento que voc especificar.

Como configurar os tipos de contedos usados para atualizar computadores-cliente
Se voc desativar o LiveUpdate para computadores-cliente, os computadores no

obtero atualizaes de contedo diretamente do servidor do Symantec LiveUpdate.
Para ativar o agendamento do LiveUpdate para computadores-cliente
Na guia Configuraes do LiveUpdate, clique com o boto direito do mouse

na poltica que deseja e clique em Editar.
Em Configuraes do Windows, clique em Agendamento.
Selecione Ativar o agendamento do LiveUpdate.
Especifique a frequncia e a janela de repetio.
Clique em OK.
Para desativar o agendamento do LiveUpdate para computadores-cliente

Desmarque Ativar o agendamento do LiveUpdate.
Clique em OK.
Como configurar os tipos de contedos usados para

atualizar computadores-cliente
A Poltica de contedo do LiveUpdate especifica os tipos de contedo que os clientes
tm permisso para verificar e instalar. Reverter o contedo para uma reviso
antiga pode ser til em situaes de soluo de problemas.
Nota: Use este recurso com muito cuidado. Desmarcar um tipo de contedo significa
que o recurso no mantido atualizado no cliente. Isto pode colocar seus clientes
em risco.
617
618

Configurao do agendamento de download do LiveUpdate para computadores-cliente
Para configurar o contedo de atualizao para computadores-cliente
Em Polticas, clique em LiveUpdate e clique na guia Contedo do LiveUpdate.
Clique com o boto direito do mouse na poltica de contedo que deseja e

clique em Editar.
Em Configuraes do Windows, clique em Definies de segurana.
Selecione os tipos de atualizaes de contedo que deseja que os clientes

obtenham por download e instalem e desmarque os tipos que voc no quer.
Nota: Se voc tiver clientes Mac, eles podero instalar apenas atualizaes
para as definies de spyware e de vrus. Esta opo, em Configuraes do
Mac, Definies de segurana, ativada por padro.
Opcionalmente, para cada atualizao, possvel usar o mais recente contedo

disponvel ou selecionar uma reviso especfica de uma lista de verses
disponveis.
Clique em OK.
Se voc j no tiver atribudo essa poltica a grupos e locais, voc dever
atribuir a poltica para que ela entre em vigor.

Consulte Para configurar as revises de contedo usadas pelos clientes
na pgina 621.
Configurao do agendamento de download do

LiveUpdate para computadores-cliente
As configuraes de agendamento do cliente LiveUpdate so definidas na poltica
de configuraes do LiveUpdate.
Para economizar largura de banda, os clientes do Symantec Endpoint Protection
podero ser configurados para somente executarem LiveUpdates agendados do
Servidor do Symantec LiveUpdate, se uma das seguintes condies for atendida:
As definies de vrus e spyware em um computador-cliente tm mais de dois

dias.

Configurao do agendamento de download do LiveUpdate para computadores-cliente
Um computador-cliente for desconectado do Symantec Endpoint Protection

Manager por mais de oito horas.
Se voc marcar ambas as opes, o LiveUpdate agendado de um computador-cliente

da Symantec ser executado apenas se cumprir ambos os critrios.
Para configurar o agendamento para downloads do LiveUpdate para
computadores-cliente Windows
Clique em Polticas e em seguida clique em LiveUpdate.

Selecione Ativar o agendamento do LiveUpdate.
Especifique a frequncia.
Se voc selecionar Diariamente, defina tambm a hora do dia em que ser
executada. Se voc selecionar Semanalmente, defina tambm a hora do dia
e o dia da semana em que ser executada.
Se voc selecionar qualquer frequncia a no ser Continuamente, especifique

a Janela de repetio.
A Janela de repetio o nmero de horas ou de dias que o computador-cliente
tentar executar o LiveUpdate se houver falha no LiveUpdate agendado por
qualquer motivo.
Defina as opes adicionais, se desejado.
Clique em OK.
Consulte Como escolher aleatoriamente o download de contedo de um servidor

do LiveUpdate na pgina 625.
Para configurar o agendamento para downloads do LiveUpdate para
computadores-cliente Mac
Clique em Polticas e em seguida clique em LiveUpdate.
Na guia Poltica de configuraes do LiveUpdate, clique com o boto direito

do mouse na poltica que desejar e clique em Editar.
Em Configuraes do Mac, clique em Agendamento.
Especifique a frequncia.
Se voc selecionar Diariamente, defina tambm a hora do dia em que ser
executada. Se voc selecionar Semanalmente, defina tambm a hora do dia
e o dia da semana em que ser executada.
Clique em OK quando concluir.
619
620

Configurao da quantidade de controle que os usurios tm sobre o LiveUpdate
Configurao da quantidade de controle que os

usurios tm sobre o LiveUpdate
Convm permitir que os usurios que viajam usem uma conexo Internet para
obter atualizaes diretamente de um servidor do Symantec LiveUpdate. Voc
tambm pode permitir que os usurios modifiquem o agendamento configurado
do LiveUpdate para download do contedo.
Nota: Se um cliente no gerenciado tiver uma Poltica de configuraes do
LiveUpdate atribuda a ele quando um pacote de instalao for criado, as
configuraes de poltica tero prioridade sobre as mudanas de um usurio
quando o usurio reiniciar o computador. Para instalar um cliente no gerenciado
que retenha as mudanas de um usurio feitas nas configuraes do LiveUpdate
depois que o computador for reiniciado, instale o cliente usando o disco do produto.
No use um pacote de instalao do cliente que tenha sido exportado do Symantec
Para configurar a quantidade de controle que os usurios tm sobre o LiveUpdate

Em Configuraes do Windows, clique em Configuraes avanadas.
No painel Configuraes do usurio, selecione Permitir que o usurio inicie

manualmente o LiveUpdate.
Opcionalmente, selecione Permitir que o usurio modifique o agendamento

do LiveUpdate.
Opcionalmente, em Configuraes de atualizao do produto, selecione

Fazer download das atualizaes do produto Symantec Endpoint Protection
usando um servidor do LiveUpdate. Ative esta opo apenas se voc no
precisar manter o controle restrito das revises do software-cliente que seus
clientes usam.
Consulte Para configurar as revises de contedo usadas pelos clientes

na pgina 621.

Para configurar as revises de contedo usadas pelos clientes

Para configurar as revises de contedo usadas pelos

clientes
Se voc armazenar vrias verses de contedo no Symantec Endpoint Protection
Manager, convm especificar uma reviso especfica em sua Poltica de contedo
do LiveUpdate. Por exemplo, voc pode testar a reviso mais recente antes
implement-la nos clientes.
Nota: Se desejar manter o controle restrito das revises do software-cliente usadas
pelos clientes, no as ative para fazer download de atualizaes de produto.
Consulte Configurao da quantidade de controle que os usurios tm sobre o
LiveUpdate na pgina 620.
Em alguns casos, a verso que especificada na poltica no corresponde s verses
armazenadas no Symantec Endpoint Protection Manager. Por exemplo, voc pode
importar uma poltica que referencie uma reviso que no existe no servidor ou
ainda replicar polticas, mas no replicar o contedo do LiveUpdate de outro site.
Em ambos os casos, a poltica mostra que a reviso no est disponvel. Mesmo
que a reviso no esteja disponvel no servidor, os clientes que usam a poltica
ainda esto protegidos. Os clientes usam a reviso de contedo mais recente.
Para configurar clientes, use uma verso de contedo especfica
Clicar na guia Contedo do LiveUpdate.
Clique com o boto direito do mouse na Poltica de contedo do LiveUpdate

que deseja e clique em Editar.
Em Configuraes do Windows, clique em Definies de segurana.
No tipo de contedo que deseja restabelecer, clique em Selecionar uma verso.
Clique em Editar e selecione a reviso que deseja restabelecer da lista suspensa

Reviso.
Clique em OK.
621
622

Configurao do espao em disco usado para downloads do LiveUpdate
Configurao do espao em disco usado para

downloads do LiveUpdate
Se voc selecionar 500 clientes ou menos durante a instalao do Symantec
Endpoint Protection Manager, por padro, o Symantec Endpoint Protection
Manager armazenar trs revises de contedo do LiveUpdate para cada tipo de
contedo. Se voc selecionar 500 para 1.000 clientes, o Symantec Endpoint
Protection Manager armazenar 10 revises por padro. Se voc selecionar mais
de 1.000 clientes, o Symantec Endpoint Protection Manager armazenar 30 revises
por padro. Por exemplo, se voc selecionar 500 clientes ou menos, o Symantec
Endpoint Protection Manager armazenar trs revises.
Para reduzir o espao em disco e o tamanho do banco de dados, possvel reduzir
o nmero de revises de contedo mantidas no servidor. Voc deve estar ciente,
porm, de que reduzir o nmero de revises de contedo afeta tambm a capacidade
de um servidor fazer deltas entre as atualizaes de contedo. Um delta uma
atualizao que contm apenas as alteraes incrementais desde a ltima reviso
completa de contedo. Os arquivos delta so normalmente muito menores do que
os arquivos de atualizaes completas.
Quanto mais revises de contedo voc mantiver, maior a capacidade do servidor
de criar deltas entre revises de contedo. O nmero de revises de contedo que
voc mantm ser particularmente importante se voc tiver alguns
computadores-cliente que ficam off-line por alguns dias ao mesmo tempo. A
Symantec libera normalmente 3 ou 4 revises de contedo de vrus e spyware por
dia. Manter pelo menos 10 revises garante que os computadores que se
desconectaram na sexta-feira podero usar um delta para fazer a atualizao
segunda-feira de manh. As atualizaes delta levam menos tempo e ocupam
menos largura de banda do que fazer o download de uma reviso completa de
contedo.
Para configurar o espao em disco usado para downloads do LiveUpdate
Clique em Servidores e selecione o site que voc deseja configurar.
Em Tarefas, clique em Editar propriedades do site e, em seguida, em

LiveUpdate.
Em Gerenciamento de espao em disco para downloads, digite o nmero de

downloads do contedo que deseja armazenar.

Sobre a escolha aleatria de downloads simultneos de contedo
Se desejar reduzir a quantidade de espao em disco usada, desmarque a opo

Armazenar pacotes de cliente descompactados para fornecer melhor
desempenho de rede para upgrades.
Nota: Desativar esta opo tambm desativa a capacidade do Symantec
Endpoint Protection Manager para construir deltas entre revises de contedo
e pode adversamente afetar o desempenho de rede para atualizaes.
Clique em OK.

Sobre a escolha aleatria de downloads simultneos

de contedo
O Symantec Endpoint Protection Manager suporta a escolha aleatria de downloads
simultneos de contedo em clientes do servidor de gerenciamento padro ou de
um Provedor de atualizaes de grupo. Ele suporta tambm a escolha aleatria
de downloads de contedo de um servidor do LiveUpdate em clientes. A escolha
aleatria reduz o pico do trfego na rede e est ativada por padro.
Voc pode ativar ou desativar a funo de escolha aleatria. A configurao padro
ativada. Voc tambm pode configurar uma janela de escolha aleatria. O servidor
de gerenciamento usa a janela de escolha aleatria para balancear o sincronismo
dos downloads de contedo. Normalmente, voc no precisa alterar as
configuraes padro de escolha aleatria.
Em alguns casos, porm, convm aumentar o valor da janela de escolha aleatria.
Por exemplo, voc pode executar o cliente do Symantec Endpoint Protection em
vrias mquinas virtuais no mesmo computador fsico que executa o servidor de
gerenciamento. O valor mais elevado da escolha aleatria melhora o desempenho
do servidor, mas atrasa as atualizaes de contedo nas mquinas virtuais.
Voc tambm pode querer aumentar a janela de escolha aleatria quando tiver
muitos computadores-cliente fsicos que se conectam a um nico servidor que
execute o servidor de gerenciamento. Em geral, quanto mais elevada a razo
cliente-para-servidor, maior ser a janela de escolha aleatria que poder ser
configurada por voc. O valor mais elevado de escolha aleatria diminui a carga
mxima no servidor, mas atrasa as atualizaes de contedo nos
623
624

Como escolher aleatoriamente downloads do contedo do servidor de gerenciamento padro ou de um Provedor de
atualizaes de grupo
Em um cenrio com poucos clientes em que voc queira uma rpida distribuio
de contedo, possvel definir a janela de escolha aleatria em um valor mais
baixo. O valor mais baixo de escolha aleatria aumenta a carga mxima no servidor,
mas fornece uma distribuio mais rpida de contedo aos clientes.
Para downloads do servidor de gerenciamento padro ou de um Provedor de
atualizaes de grupo, defina as configuraes da escolha aleatria na caixa de
dilogo Configuraes de comunicao para o grupo selecionado. As configuraes
no so parte da poltica de configuraes do LiveUpdate.
Para downloads de um servidor do LiveUpdate para clientes, defina a configurao
da escolha aleatria como parte da poltica de configuraes do LiveUpdate.
Como escolher aleatoriamente downloads do

contedo do servidor de gerenciamento padro ou
de um Provedor de atualizaes de grupo
Seu servidor de gerenciamento ou seus provedores de atualizaes de grupo padro
podero ter o desempenho reduzido quando vrios computadores-cliente tentarem
fazer download de contedo deles simultaneamente. Voc pode definir uma janela
de escolha aleatria nas configuraes de comunicao para o grupo ao qual os
computadores-cliente pertencem. Cada computador-cliente tenta fazer download
do contedo em um hora aleatria que ocorre dentro dessa janela.
Nota: As configuraes de comunicao no controlam as configuraes de escolha
aleatria para os computadores-cliente que fazem o download do contedo de um
servidor do LiveUpdate. Voc pode mudar as configuraes de escolha aleatria
daqueles computadores na poltica de configuraes do LiveUpdate.

Como escolher aleatoriamente o download de contedo de um servidor do LiveUpdate
Para escolher aleatoriamente downloads do contedo do servidor de gerenciamento

padro ou de um Provedor de atualizaes de grupo
Em Clientes, clique no grupo que deseja.
Na guia Polticas, em Polticas e configuraes independentes do local, em

Configuraes, clique em Configuraes de comunicao.
Na caixa de dilogo Configuraes de comunicao, em Download aleatrio,

selecione Ativar escolha aleatria.
Opcionalmente, altere a durao da janela de escolha aleatria.
Clique em OK.
Consulte Sobre a escolha aleatria de downloads simultneos de contedo

na pgina 623.
Como escolher aleatoriamente o download de

contedo de um servidor do LiveUpdate
Sua rede poder ter problemas de congestionamento de trfego quando vrios
computadores-cliente tentarem fazer o download de contedo de um servidor do
LiveUpdate. Voc pode configurar o agendamento da atualizao para incluir uma
janela da escolha aleatria. Cada computador-cliente tenta fazer download do
contedo em um hora aleatria que ocorre dentro dessa janela.
Nota: As configuraes do agendamento na poltica de configuraes do LiveUpdate
no controlam a escolha aleatria para os computadores-cliente que fazem o
download do contedo pelo servidor de gerenciamento padro ou por um Provedor
de atualizaes de grupo. Voc pode alterar as configuraes da escolha aleatria
para aqueles computadores na caixa de dilogo Configuraes de comunicao
para o grupo ao qual pertencem.
Para escolher aleatoriamente os downloads do contedo do cliente de um servidor
do LiveUpdate
Clique em Polticas.
625
626

Configurao das atualizaes do cliente a serem executadas quando os computadores-cliente estiverem ociosos

na poltica que deseja editar e clique em Editar.
Em Opes de download aleatrio, selecione Escolher aleatoriamente a hora

inicial para ser + ou - (em horas).
Nota: Esta configurao estar em dias, se voc tiver selecionado a opo
Semanal.
Opcionalmente, altere a durao da hora inicial escolhida aleatoriamente.
Clique em OK.
Consulte Sobre a escolha aleatria de downloads simultneos de contedo

na pgina 623.
Configurao das atualizaes do cliente a serem

executadas quando os computadores-cliente
estiverem ociosos
Para reduzir os problemas de desempenho do computador-cliente, ser possvel
configurar os downloads de contedo para serem executados quando os
computadores-cliente estiverem ociosos. Essa configurao est ativada por
padro. Diversos critrios, tais como usurio, CPU e aes do disco, so usados
para determinar quando o computador est ocioso.
Se a Deteco de ociosidade estiver ativada, quando uma atualizao estiver
vencendo, as seguintes condies podero atrasar a sesso:
O usurio no est ocioso.
O computador est na carga da bateria.
A CPU est ocupada.
A E/S do disco est ocupada.
Nenhuma conexo de rede est presente.
Aps uma hora, o conjunto de bloqueio reduzido para CPU ocupada, E/S de disco
ocupada ou nenhuma conexo de rede existe. Quando a atualizao agendada
estiver atrasada por duas horas, a menos que haja uma conexo de rede, o
LiveUpdate agendado ser executado independentemente do status ocioso.

Configurao de atualizaes do cliente para serem executadas quando as definies forem antigas ou o computador
tiver sido desconectado
Para configurar as atualizaes do cliente a serem executadas quando os

computadores-cliente estiverem ociosos
Clique em Polticas.

Marque Adie o LiveUpdate agendado at que o computador esteja ocioso.

As sesses atrasadas sero executadas incondicionalmente.
Clique em OK.

Consulte Configurao de atualizaes do cliente para serem executadas quando
as definies forem antigas ou o computador tiver sido desconectado na pgina 627.
Configurao de atualizaes do cliente para serem

executadas quando as definies forem antigas ou o
computador tiver sido desconectado
Voc pode garantir que os clientes faam atualizaes quando as definies
estiverem antigas ou o computador tiver sido desconectado da rede por uma
quantidade de tempo especificada.
Nota: Se voc marcar ambas as opes disponveis, o computador-cliente dever
cumprir ambas as condies.
Para configurar atualizaes do cliente quando as definies estiverem antigas ou
os computadores estiverem desconectados do gerenciador
Clique em Polticas.

627
628

Selecione O LiveUpdate apenas ser executado se as definies de vrus e

spyware forem anteriores a: e em seguida defina o nmero de horas ou de
dias.
Selecione O LiveUpdate apenas ser executado se o cliente for desconectado

do Symantec Endpoint Protection por mais de: e em seguida defina o nmero
de minutos ou de horas.
Clique em OK.

Consulte Configurao das atualizaes do cliente a serem executadas quando
os computadores-cliente estiverem ociosos na pgina 626.

A maioria das organizaes deve usar o servidor padro de gerenciamento para
atualizar os clientes, mas voc pode usar um servidor do Symantec LiveUpdate.
Nota: Os computadores-cliente Mac no podem obter atualizaes do servidor de
gerenciamento padro.
Para configurar um servidor externo do LiveUpdate para clientes Windows
Clique em Polticas.

Em Configuraes do Windows, clique em Configuraes do servidor.
Clique em Usar o servidor padro do Symantec LiveUpdate.
Clique em OK.
Para configurar um servidor externo do LiveUpdate para clientes Mac
Clique em Polticas.

Em Configuraes do Mac, clique em Configuraes do servidor.
Clique em Usar o servidor padro do Symantec LiveUpdate.

Se o servidor interno do LiveUpdate usar o FTP, clique em Configuraes do

Advanced Server.
Clique no modo FTP que o servidor usa, Ativo ou Passivo.
Clique em OK.

Por padro, o cliente obtm suas atualizaes do servidor de gerenciamento atravs
do Symantec Endpoint Protection Manager. A maioria das organizaes deve usar
o servidor de gerenciamento padro para atualizaes do cliente. Se voc selecionar
o servidor de gerenciamento padro e seu ambiente contiver computadores Mac
e Windows, os clientes Mac obtero suas atualizaes do servidor do LiveUpdate
padro. Para organizaes com muitos clientes, convm usar provedores de
atualizaes de grupo (GUPs, Group Update Providers). Os GUPs reduzem a carga
no servidor de gerenciamento e so mais fceis de serem configurados do que um
servidor interno do LiveUpdate.
Consulte Para usar Provedores de atualizaes de grupo para distribuir contedo
aos clientes na pgina 632.
Se voc no quiser usar o servidor de gerenciamento padro ou os provedores de
atualizaes de grupo para atualizaes do cliente, poder
Configurar um servidor interno do LiveUpdate.
Usar um Servidor do Symantec LiveUpdate externo sua rede.
Para usar um servidor interno do LiveUpdate, necessrio executar as tarefas a

seguir:
Instalar o servidor interno do LiveUpdate.

Se voc fornecer atualizaes de clientes de um servidor da verso 1.x do
Administrador do LiveUpdate , dever ir para Configuraes do Advanced
Server em Poltica de configuraes do LiveUpdate e ativar o suporte. Voc
deve selecionar a caixa de seleo para ativar o suporte do Utilitrio de
administrao do LiveUpdate 1.x. O suporte para o LiveUpdate Administrator
2.x e superior ativado sempre.
Para obter mais informaes sobre o uso de um servidor interno do LiveUpdate,
consulte o Guia do Administrador do LiveUpdate.
629
630

Nota: Se voc usar a verso 1.x do Administrador do LiveUpdate para gerenciar

seu servidor interno do LiveUpdate, ser necessrio fazer uma alterao se
voc tiver pacotes personalizados de resposta aplicados. Os clientes do
LiveUpdate que usam a verso atual no podem autenticar pacotes
personalizados de resposta. Voc deve remover todos os pacotes personalizados
do servidor central do LiveUpdate.
Use a poltica de configuraes do LiveUpdate para configurar seus clientes

para que usem o servidor interno do LiveUpdate.
Para configurar os clientes Windows para que usem um servidor interno do

LiveUpdate

No painel Configuraes do servidor, selecione Usar um servidor do

LiveUpdate.
Clique em Usar um servidor interno especificado do LiveUpdate e clique

em Adicionar.
Na caixa de dilogo Adicionar servidor do LiveUpdate, digite as informaes

que voc precisa para identificar e se comunicar com o servidor que deseja
usar.
Por exemplo, para o URL:
Se voc usar o mtodo FTP (recomendado), digite o endereo FTP do

servidor. Por exemplo: ftp://myliveupdateserver.com
Se voc usar o mtodo HTTP, digite o URL do servidor. Por exemplo:

http://myliveupdateserver.com or 2.168.133.11/Export/Home/LUDepot
Se voc usar o mtodo LAN, digite o nome do caminho UNC do servidor.

Por exemplo, \\Myserver\LUDepot
Se necessrio, digite um nome de usurio e senha para o servidor.

Nota: Se voc usar um servidor UNC o LiveUpdate exigir que voc use o
domnio ou o grupo de trabalho alm do nome de usurio. Se o computador
fizer parte de um domnio, use o formato domain_name\user_name
Se o computador fizer parte de um grupo de trabalho, use o formato
computer_name\user_name

Em Poltica do LiveUpdate, clique em Agendamento para configurar um

agendamento para atualizaes atravs do LiveUpdate.
Clique em OK.
10 Clique em Configuraes avanadas.

Decida se as configuraes padro do usurio, as configuraes de atualizao
do produto e as configuraes no padronizadas do cabealho sero mantidas
ou alteradas. Geralmente, no se permite que os usurios modifiquem as
configuraes de atualizao. Entretanto, voc pode permitir que os usurios
iniciem sesses do LiveUpdate manualmente se no houver suporte a centenas
ou milhares de clientes.
Consulte Configurao da quantidade de controle que os usurios tm sobre
o LiveUpdate na pgina 620.
11 Clique em OK.
Para configurar os clientes Mac para que usem um servidor interno do LiveUpdate

Em Configuraes do Mac, clique em Configuraes do servidor.
Clique em Usar um servidor interno especificado do LiveUpdate e clique

em Adicionar.
Na caixa de dilogo Adicionar servidor do LiveUpdate, digite as informaes

que voc precisa para identificar e se comunicar com o servidor que deseja
usar.
Por exemplo, para o URL:
Se voc usar o mtodo FTP (recomendado), digite o endereo FTP do

servidor. Por exemplo: ftp://myliveupdateserver.com
Se voc usar o mtodo HTTP, digite o URL do servidor. Por exemplo:

http://myliveupdateserver.com or 2.168.133.11/Export/Home/LUDepot
Se necessrio, digite em um nome de usurio e senha para o servidor e clique

em OK.
Se seu servidor usar FTP, clique em Configuraes do Advanced Server.
Clique no modo FTP que o servidor usa, Ativo ou Passivo e clique em OK.
631
632

Para usar Provedores de atualizaes de grupo para distribuir contedo aos clientes
Se voc usar a verso 1.x do Administrador do LiveUpdate em vez da verso

atual, clique em Ativar suporte para a verso 1.x do Administrador do
LiveUpdate.
10 Em Configuraes do Mac, clique em Configuraes avanadas.

Se desejar permitir que os computadores-cliente obtenham configuraes de
atualizao do produto atravs do LiveUpdate, clique em Fazer download
das atualizaes do produto Symantec Endpoint Protection usando um
servidor do LiveUpdate.
11 Clique em OK.
na pgina 602.
Para usar Provedores de atualizaes de grupo para

distribuir contedo aos clientes
Um Provedor de atualizaes de grupo um computador-cliente que voc designa
para distribuir localmente as atualizaes de contedo aos clientes. Um Provedor
de atualizaes de grupo faz o download das atualizaes de contedo do servidor
de gerenciamento e distribui as atualizaes a ele mesmo e aos outros clientes.
Uma vantagem do uso do Provedor de atualizaes de grupo que ele ajuda a
conservar a largura de banda, descarregando o poder de processamento do servidor
ao Provedor de atualizaes de grupo. Um Provedor de atualizaes de grupo
ideal para fornecer atualizaes de contedo aos clientes que tm acesso de rede
limitado ao servidor. Voc pode usar um Provedor de atualizaes de grupo para
preservar a largura de banda nos clientes em um local remoto que tenham um
link lento. Configurar um Provedor de atualizaes de grupo mais fcil do que
configurar um servidor interno do LiveUpdate. Os Provedores de atualizaes de
grupo utilizam recursos com menor intensidade e, assim, reduzem a carga nos
Voc usa Poltica de configuraes do LiveUpdate para configurar Provedores de
atualizaes de grupo.

Tabela 24-6
Tarefas para configurar e usar Provedores de atualizaes de grupo
Etapa
Ao
Descrio
Etapa 1
Entender as diferenas entre

os tipos de Provedores de
atualizaes de grupo que
voc pode configurar
Um nico Provedor de atualizaes de grupo um computador-cliente

dedicado que fornece o contedo para um ou mais grupos de clientes. Vrios
Provedores de atualizaes de grupo usam um conjunto de regras ou
critrios de modo que sirvam grupos de clientes na sub-rede. Uma lista
explcita de Provedores de atualizaes de grupo permite que os clientes
se conectem aos provedores de atualizaes de grupo que esto em sub-redes
diferentes da prpria sub-rede do cliente. Voc usa a lista explcita para
mapear um nico Provedor de atualizaes de grupo e vrios Provedores
de atualizaes de grupo sub-redes do cliente.
Os tipos de Provedor de atualizaes de grupo que voc escolhe configurar
dependem de sua rede e dos clientes nessa rede.
Consulte Sobre os tipos de Provedores de atualizaes de grupo
na pgina 634.
Consulte Sobre os efeitos de configurar mais de um tipo de provedor de
atualizaes de grupo em sua rede na pgina 639.
Consulte Sobre como configurar regras para vrios Provedores de
Etapa 2
Verificar a comunicao do
cliente
Antes que voc configure Provedores de atualizaes de grupo, verifique

se os clientes podem receber atualizaes de contedo do servidor. Resolva
quaisquer problemas de comunicao cliente-servidor.
Voc pode exibir a atividade de servidor-cliente nos logs do sistema na guia
Logs, na pgina Monitores.
Consulte Soluo de problemas de comunicao entre o servidor de
gerenciamento e o cliente na pgina 821.
Etapa 3
Configurar Provedores de
atualizaes de grupo em
uma ou vrias polticas de
Os Provedores de atualizaes de grupo so configurados especificando as

Configuraes do servidor na Poltica de configuraes do LiveUpdate.
Voc pode configurar um nico Provedor de atualizaes de grupo, uma
lista explcita de Provedores de atualizaes de grupo ou vrios Provedores
de atualizaes de grupo.
Consulte Para configurar Provedores de atualizaes de grupo
na pgina 643.
633
634

Etapa
Ao
Descrio
Etapa 4
Atribuir a Poltica de
A Poltica de configuraes do LiveUpdate atribuda aos grupos que usam
configuraes do LiveUpdate os Provedores de atualizaes de grupo. Tambm possvel atribuir a
aos grupos
poltica ao grupo em que o Provedor de atualizaes de grupo reside.
Para um nico Provedor de atualizaes de grupo, atribuda uma Poltica
de configuraes do LiveUpdate por grupo por site.
Para vrios Provedores de atualizaes de grupo e listas explcitas de
Provedores de atualizaes de grupo, voc atribui uma poltica de
configuraes do LiveUpdate a vrios grupos nas sub-redes.
Etapa 5
Verificar se os clientes esto Voc pode exibir os computadores-cliente que so designados como
designados como Provedores Provedores de atualizaes de grupo. Voc pode procurar
de atualizaes de grupo
computadores-cliente para exibir uma lista de Provedores de atualizaes
de grupo. Voc tambm pode clicar em um computador-cliente na pgina
Clientes e exibir suas propriedades para ver se um Provedor de
Consulte Pesquisa dos clientes que atuam como Provedores de atualizaes
de grupo na pgina 647.
Sobre os tipos de Provedores de atualizaes de grupo

Voc pode configurar diversos tipos diferentes de Provedores de atualizaes de
grupo na poltica de configuraes do LiveUpdate: um nico Provedor de
atualizaes de grupo, uma lista explcita de provedores de atualizaes de grupo
e vrios provedores de atualizaes de grupo. Os tipos de Provedor de atualizaes
de grupo no so mutuamente exclusivos. Voc pode configurar um ou vrios
tipos de Provedor de atualizaes de grupo por poltica.
nico Provedor de atualizaes de grupo

Um nico Provedor de atualizaes de grupo um computador-cliente dedicado
que fornece o contedo para um ou mais grupos de clientes. Um nico Provedor
de atualizaes de grupo pode ser um computador-cliente em qualquer grupo.
Para configurar um nico Provedor de atualizaes de grupo, especifique o
endereo IP ou o nome do host do computador-cliente que deseja designar
como o Provedor de atualizaes de grupo. Um nico Provedor de atualizaes
de grupo um Provedor de atualizaes de grupo esttico.
A configurao de um nico Provedor de atualizaes de grupo transforma
um nico cliente em um Provedor de atualizaes de grupo.
Lista de Provedores de atualizaes de grupo explcitos

Voc pode configurar uma lista explcita de Provedores de atualizaes de
grupo que os clientes podem usar para se conectar aos Provedores de

atualizaes de grupo que esto em sub-redes diferentes da sub-rede do cliente.

Os clientes que mudarem de local frequentemente podero mover-se para o
Provedor de atualizaes de grupo mais prximo na lista.
Uma lista explcita dos Provedores de atualizaes de grupo no transforma
clientes em Provedores de atualizaes de grupo. Voc usa uma lista explcita
de Provedores de atualizao do grupo para mapear os endereos de rede da
sub-rede do cliente aos Provedores de atualizaes de grupo. Voc identifica
os Provedores de atualizaes de grupo de uma das seguintes maneiras:
Endereo IP
Nome do host
Sub-rede
Os Provedores de atualizaes de grupo explcitos podem ser estticos ou

dinmicos, dependendo de como voc configur-los. Se voc usar um endereo
IP ou um nome de host para configurar o Provedor de atualizaes de grupo
explcito, esse ser um Provedor de atualizaes de grupo esttico. Essa
diferena afeta como os Provedores de atualizaes de grupo atuam em redes
que misturam clientes e gerenciadores de verses legadas e atuais.
Se voc usar uma sub-rede para designar um Provedor de atualizaes de
grupo, ele ser dinmico, porque os clientes buscam um Provedor de
atualizaes de grupo nessa sub-rede.
Nota: Esta sub-rede o endereo de rede da sub-rede do Provedor de
atualizaes de grupo, que algumas vezes tambm chamado de prefixo da
rede ou ID da rede.
Lista de vrios Provedores de atualizaes de grupo

Vrios Provedores de atualizaes de grupo usam um conjunto de regras ou
critrios de modo que sirvam grupos de clientes em suas prprias sub-redes.
Para configurar vrios Provedores de atualizaes de grupo, especifique os
critrios que os computadores-cliente devem atender para que se qualifiquem
como um Provedor de atualizaes de grupo. Voc pode usar um nome de host
ou endereo IP, chaves do registro ou o sistema operacional como critrios. Se
um computador-cliente cumprir os critrios, o Symantec Endpoint Protection
Manager adicionar o cliente sua lista global de Provedores de atualizaes
de grupo. O Symantec Endpoint Protection Manager disponibiliza ento a lista
global a todos os clientes na rede. Os clientes verificam a lista e escolhem os
Provedores de atualizaes de grupo que esto situados em sua prpria
sub-rede. Vrios Provedores de atualizaes de grupo so Provedores de
atualizaes de grupo dinmicos.
635
636

A configurao de vrios Provedores de atualizaes de grupo transforma

vrios clientes em Provedores de atualizaes de grupo.
Nota: Voc no pode usar vrios Provedores de atualizaes de grupo com os
clientes legados que executam verses do Symantec Endpoint Protection
anteriores verso 11.0.5 (RU5).
A configurao de um ou vrios Provedores de atualizaes de grupo em uma
Poltica de configuraes do LiveUpdate executa as seguintes funes:
Especifica quais clientes com esta poltica devem atuar como Provedores de
Especifica quais Provedores de atualizaes de grupo devem ser usados com

essa poltica pelos clientes para atualizaes de contedo.
A configurao de uma lista de Provedores de atualizao do grupo explcito

executa somente uma funo:
Especifica quais provedores devem ser usados pelos clientes com esta poltica
para atualizaes de contedo. Mapeia os Provedores de atualizaes de grupo
nas sub-redes para serem usados pelos clientes em diferentes sub-redes.
No especifica nenhum cliente como Provedores de atualizaes de grupo.
Embora isso no transforme clientes em Provedores de atualizaes de grupo,

voc ainda pode configurar e aplicar uma poltica que contenha somente uma lista
de provedores explcitos. Contudo, voc deve ter um nico Provedor de atualizaes
de grupo ou vrios Provedores de atualizaes de grupo configurados em outra
poltica no Symantec Endpoint Protection Manager. Voc pode tambm ter ambos
os tipos configurados em outras polticas.
Nota: Como o Symantec Endpoint Protection Manager cria uma lista global, todos
os Provedores de atualizaes de grupo configurados em qualquer uma das polticas
em um Symantec Endpoint Protection Manager esto potencialmente disponveis
para o uso dos clientes. Os clientes em uma sub-rede diferente podero usar um
Provedor de atualizaes de grupo que voc configurou como nico provedor
esttico se o mapeamento da sub-rede configurado em uma lista explcita de outra
poltica corresponder a ele.
Consulte Sobre os efeitos de configurar mais de um tipo de provedor de
atualizaes de grupo em sua rede na pgina 639.

Se um cliente no puder obter sua atualizao nos Provedores de atualizaes de

grupo, ele poder ento, opcionalmente, tentar atualizar atravs do Symantec
Tabela 24-7
Como o tipo explcito de Provedor de atualizaes de grupo pode

ser usado com base nas verses de software na rede
Verso do
Symantec
Endpoint
Protection
Manager
Verses do
cliente
Verso do
Tipos de Provedores de atualizaes de grupo que voc
cliente do
pode usar
Provedor de
atualizaes
de grupo
12.1.2 ou posterior
12.1.2 ou
posterior
11.0.5 ou
posterior
12.1.2 ou posterior
12.1.2 ou
posterior
11.0.0 a 11.0.4 Voc pode configurar um computador-cliente 11.0.4 como

um nico Provedor de atualizaes de grupo. Voc pode ento
us-lo em uma lista de Provedores de atualizao do grupo
explcito como um Provedor de atualizaes de grupo esttico.
12.1.2 ou posterior
12.1.1 e
anterior
Qualquer
Voc pode configurar um nico ou vrios Provedores de

atualizaes de grupo, mas no Provedores de atualizaes
de grupo explcitos, pois os clientes no os suportam.
12.1.1 e anterior
Qualquer
Qualquer
Voc pode configurar um nico ou vrios Provedores de

atualizaes de grupo, mas nenhum tipo de Provedor de
atualizaes de grupo explcito, pois no esto disponveis
Voc pode configurar Provedores de atualizaes de grupo

explcitos estticos e dinmicos.
Os tipos de Provedores de atualizaes de grupo que voc configurar dependero

de como sua rede configurada e se a rede inclui clientes legados.
Nota: Um cliente legado um computador que executa uma verso do Symantec
Endpoint Protection anterior verso 11.0.5.
637
638

Tabela 24-8
Quando usar tipos especficos de Provedor de atualizaes de grupo
Tipo de Provedor de Quando usar

atualizaes de grupo
nico
Use um nico Provedor de atualizaes de grupo quando sua rede incluir alguns dos
seguintes cenrios:
Sua rede inclui clientes legados
Os clientes legados podem obter o contedo de um nico Provedor de atualizaes de
grupo; os clientes legados tambm podem ser designados como um Provedor de
Os clientes legados no suportam vrios Provedores de atualizaes de grupo.
Deseja usar o mesmo Provedor de atualizaes de grupo para todos os seus
Voc pode usar uma nica Poltica de configuraes de contedo do LiveUpdate para
especificar um endereo IP esttico ou um nome de host para um nico Provedor de
atualizaes de grupo. Contudo, voc dever mudar o endereo IP na poltica se os
clientes que servem como nico Provedor de atualizaes de grupo mudarem de local.
Se desejar usar diferentes Provedores de atualizaes de grupo em grupos diferentes,
voc dever criar uma Poltica de configuraes do LiveUpdate separada para cada
grupo.
Lista explcita
Use uma lista explcita de Provedores de atualizaes de grupo quando voc quiser que os
clientes possam se conectar aos Provedores de atualizaes de grupo que esto nas
sub-redes diferentes da sub-rede do cliente. Os clientes que mudarem de local podero
mover-se para o Provedor de atualizaes de grupo mais prximo na lista.
Nota: Clientes de divulgaes anteriores a esta verso no suportam o uso de listas de

Provedores de atualizaes de grupo explcitos. Clientes que se comunicam com o Symantec
Endpoint Protection Manager verses 12.1 e anterior no recebero nenhuma informao
sobre listas de Provedores de atualizao de grupo explcitos.

Tipo de Provedor de Quando usar

atualizaes de grupo
Vrios
Use vrios Provedores de atualizaes de grupo quando sua rede incluir alguns dos
seguintes cenrios:
Os computadores-cliente em sua rede no so clientes legados.
Vrios Provedores de atualizaes de grupo so suportados nos computadores que
executam o software do Symantec Endpoint Protection 11.0.5 (RU5) ou uma verso
posterior. Voc no pode usar vrios Provedores de atualizaes de grupo com os
clientes legados que executam verses do Symantec Endpoint Protection anteriores
verso 11.0.5 (RU5). Os clientes legados no podem obter o contedo de vrios
Provedores de atualizaes de grupo. Um cliente legado no poder ser designado como
um Provedor de atualizaes de grupo, mesmo se atender aos critrios para vrios
Provedores de atualizaes de grupo.
Voc pode criar uma Poltica de configuraes do LiveUpdate separada e configurar
um nico Provedor de atualizaes de grupo esttico para um grupo de clientes legados.
Voc tem vrios grupos e quer usar Provedores de atualizaes de grupo diferentes
para cada grupo
Voc pode usar uma poltica que especifique regras para a eleio de vrios Provedores
de atualizaes de grupo. Se os clientes mudarem os locais, voc no ter que atualizar
a Poltica de configuraes do LiveUpdate. O Symantec Endpoint Protection Manager
combina vrios Provedores de atualizaes de grupo atravs de sites e domnios. Ele
disponibiliza a lista para todos os clientes em todos os grupos em sua rede.
Vrios Provedores de atualizaes de grupo podem funcionar como um mecanismo de
failover. O uso de Vrios Provedores de atualizaes de grupo assegura uma
probabilidade mais alta de que pelo menos um Provedor de atualizaes de grupo esteja
disponvel em cada sub-rede.

Consulte Sobre como configurar regras para vrios Provedores de atualizaes
de grupo na pgina 641.
Consulte Para configurar Provedores de atualizaes de grupo na pgina 643.
Sobre os efeitos de configurar mais de um tipo de provedor de

atualizaes de grupo em sua rede
Quando voc configurar provedores nicos ou mltiplos de atualizaes de grupo
nas polticas, o Symantec Endpoint Protection Manager criar uma lista global
de todos os provedores inscritos. Por padro, em sistemas operacionais de 32 bits,
este arquivo est em \Arquivos de Programas\Symantec\Symantec Endpoint
Protection Manager\data\outbox\agent\gup\globallist.xml. O Symantec Endpoint
Protection Manager fornece esta lista global a qualquer cliente que solicit-la de
639
640

modo que o cliente possa determinar qual provedor de atualizaes de grupo deve
usar. Devido a este processo, clientes que tenham polticas com somente provedores
de atualizaes de grupo explcitos ou mltiplos configurados podero tambm
usar provedores nicos de atualizaes de grupo, se o provedor nico atender ao
critrio explcito de mapeamento. Este fenmeno pode ocorrer porque os
provedores nicos so uma parte da lista global de provedores que os clientes
obtm do Symantec Endpoint Protection Manager.
Assim, todos os provedores de atualizaes de grupo que so configurados em
algumas das polticas em um Symantec Endpoint Protection Manager esto
potencialmente disponveis para uso pelos clientes. Se voc aplicar uma poltica
que contenha somente uma lista de provedores de atualizao do grupo explcita
aos clientes em um grupo, todos os clientes do grupo tentaro usar os provedores
de atualizaes de grupo que esto na lista global do provedor de atualizaes de
grupo do Symantec Endpoint Protection Manager que atender aos critrios
explcitos de mapeamento.
Nota: Um cliente do Symantec Endpoint Protection pode ter vrios endereos IP.
O Symantec Endpoint Protection vai considerar todos os endereos IP quando
corresponderem a um provedor de atualizaes de grupo. Assim, o endereo IP
ao qual a poltica corresponde no sempre vinculado interface que o cliente
usa para se comunicar com o Symantec Endpoint Protection Manager e o provedor
Se todos os tipos de provedores de atualizaes de grupo forem configurados nas
polticas em um Symantec Endpoint Protection Manager , os clientes tentaro
conectar-se aos provedores de atualizaes de grupo na lista global na seguinte
ordem:
Provedores na lista Vrios Provedores de atualizaes de grupo, em ordem
Provedores na lista Provedores de atualizaes de grupo explcitos, em ordem
O provedor que estiver configurado como nico provedor de atualizaes de

grupo
Voc pode configurar os seguintes tipos de critrios explcitos de mapeamento:
Endereo IP: os clientes na sub-rede A devem usar o provedor de atualizaes

de grupo que tem o endereo IP x.x.x.x.
Nome do host: os clientes na sub-rede A devem usar o provedor de atualizaes

de grupo que tem o nome do host xxxx.
Endereo de rede da sub-rede: os clientes na sub-rede A devero usar qualquer

provedor de atualizaes de grupo que residir em sub-rede B.

Os vrios critrios de mapeamento podem ser usados em uma lista de provedores

de atualizao do grupo explcita em uma nica poltica. A Symantec recomenda
que voc seja muito cuidadoso em como configurar vrios critrios de mapeamento
para evitar consequncias indesejadas. Por exemplo, voc pode isolar seus clientes
sem meios de obter atualizaes se configurar incorretamente um mapeamento
explcito.
Considere um cenrio com os seguintes critrios mltiplos explcitos de
mapeamento configurados em uma nica poltica:
Se um cliente estiver na sub-rede 10.1.2.0, usar o provedor de atualizaes

de grupo que tenha o endereo IP 10.2.2.24

de grupo que tenha o endereo IP 10.2.2.25

de grupo que tenha o nome de host algum_computador
Se um cliente estiver na sub-rede 10.1.2.0, usar qualquer provedor de

atualizaes de grupo na sub-rede 10.5.12.0
Se um cliente estiver na sub-rede 10.6.1.0, usar qualquer provedor de

atualizaes de grupo na sub-rede 10.10.10.0
Com esta poltica explcita do provedor de atualizaes de grupo, se um cliente

estiver na sub-rede 10.1.2.0, as primeiras quatro regras sero aplicveis; a quinta
regra, no. Se o cliente estiver em uma sub-rede para a qual nenhum mapeamento
foi especificado, como 10.15.1.0, nenhuma das regras se aplicar a esse cliente. A
poltica deste cliente diz para usar uma lista de provedores de atualizao do grupo
explcita, mas no h nenhum mapeamento que o cliente pode usar com base
nestas regras. Se voc tambm tiver desativado a capacidade deste cliente fazer
o download de atualizaes do Symantec Endpoint Protection Manager e do
servidor do Symantec LiveUpdate, ento esse cliente no ter nenhum mtodo
til de atualizao.
Sobre como configurar regras para vrios Provedores de atualizaes

de grupo
Os vrios Provedores de atualizaes de grupo usam regras para determinar que
computadores-cliente atuam como um Provedor de atualizaes de grupo.
As regras so estruturadas da seguinte forma:
Conjuntos de regras
Um conjunto de regras inclui as regras a que um cliente deve corresponder
para atuar como um Provedor de atualizaes de grupo.
Regras
641
642

As regras podem especificar endereos IP, nomes do host, chaves de registro

do cliente Windows ou sistemas operacionais do cliente. Voc pode incluir um
de cada tipo de regra em um conjunto de regras.
Condies da regra
Uma regra especifica uma condio a que um cliente deva corresponder para
atuar como um Provedor de atualizaes de grupo. Se uma regra especifica
uma condio com vrios valores, o cliente deve corresponder a um dos valores.
Tabela 24-9
Tipos de regra
Tipo de regra
Descrio
Endereo IP ou nome
do host
Esta regra especifica endereos IP ou nomes do host do cliente.
Chaves do registro
Esta regra especifica chaves do registro do cliente Windows.
Sistema operacional
Esta regra especifica sistemas operacionais do cliente.
As regras so correspondidas com base nos operadores lgicos OU e E da seguinte

forma:
Vrios conjuntos de regras so do operador OU.

Um cliente deve corresponder a pelo menos um conjunto de regras para atuar
como um Provedor de atualizaes de grupo.
Vrias regras so do operador E.

Um cliente deve corresponder a cada regra especificada em um conjunto de
regras para atuar como um Provedor de atualizaes de grupo.
Vrios valores para uma condio de regra so do operador OU.

Um cliente deve corresponder a um dos valores em uma condio de regra
para atuar como um Provedor de atualizaes de grupo.
Por exemplo, possvel criar o conjunto de regras 1 que inclui uma regra do
endereo IP com diversos endereos IP. Voc cria ento o conjunto de regras 2
que inclui uma regra do nome do host e uma regra do sistema operacional, cada
uma com vrios valores. Um computador-cliente deve corresponder ao conjunto
de regras 1 ou conjunto de regras 2. Um cliente corresponder ao conjunto de
regras 1 se tiver qualquer um dos endereos IP. Um cliente corresponder ao
conjunto de regras 2 apenas se tiver um dos nomes do host e se executar um dos
sistemas operacionais especificados.
Consulte Sobre os tipos de Provedores de atualizaes de grupo na pgina 634.

Consulte Para configurar Provedores de atualizaes de grupo na pgina 643.
Para configurar Provedores de atualizaes de grupo

Voc configura Provedores de atualizaes de grupo em Poltica de configuraes
do LiveUpdate.
Voc pode configurar a poltica de configuraes do LiveUpdate de modo que os
clientes apenas obtenham atualizaes do Provedor de atualizaes de grupo e
nunca do servidor. Voc pode especificar quando os clientes devem ignorar o
Provedor de atualizaes de grupo. Voc pode configurar definies para fazer o
download e armazenar atualizaes de contedo no computador do Provedor de
atualizaes de grupo. Voc pode tambm configurar tipos diferentes de Provedores
Voc pode configurar a quantidade mxima de tempo durante o qual os clientes
tentam fazer o download de atualizaes de um Provedor de atualizaes de grupo
antes de tentarem obter atualizaes pelo servidor de gerenciamento padro. Se
voc definir esse tempo como 15 minutos, isto significar que o computador-cliente
dever tentar o download continuamente por 15 minutos sem sucesso.
Nota: Se o Provedor de atualizaes de grupo executar um firewall que no seja
da Symantec, talvez seja preciso modificar o firewall para permitir que a porta
TCP receba comunicaes do servidor. Por padro, o Symantec Firewall Policy
configurado corretamente.
Voc s pode configurar um nico Provedor de atualizaes de grupo por poltica
de configuraes do LiveUpdate por grupo. Para criar um nico Provedor de
atualizaes de grupo para vrios sites, voc deve criar um grupo por site e uma
poltica de configuraes do LiveUpdate por site.
Voc pode configurar vrios Provedores de atualizaes de grupo especificando
os critrios que os clientes usam para determinar se eles so qualificados para
atuar como Provedores de atualizaes de grupo.
Voc pode configurar uma lista explcita de Provedores de atualizaes de grupo
para que os clientes em roaming usem.
Consulte Sobre os tipos de Provedores de atualizaes de grupo na pgina 634.
Para configurar um Provedor de atualizaes de grupo
643
644


Na janela Poltica de configuraes do LiveUpdate, clique em Configuraes

do servidor.
Em Servidor interno ou externo do LiveUpdate, selecione Use o servidor de

Em Provedor de atualizaes de grupo, marque Usar o Provedor de

Clique em Provedor de atualizaes de grupo.
Siga as etapas em Para configurar um nico Provedor de atualizaes de

grupo.
Siga as etapas em Para configurar vrios Provedores de atualizaes de

grupo.
Nota: Os clientes legados podem usar apenas um nico Provedor de

atualizaes de grupo. Os clientes legados no suportam vrios Provedores
Na caixa de dilogo Provedor de atualizaes de grupo, configure as opes

para controlar como o contedo obtido por download e armazenado no
computador do Provedor de atualizaes de grupo.
Clique em Ajuda para obter informaes sobre downloads de contedo.
10 Clique em OK.
Para configurar um nico Provedor de atualizaes de grupo
Na caixa de dilogo Provedor de atualizaes de grupo, em Seleo de

Provedor de atualizaes de grupo para o cliente, clique em Endereo IP ou
nome do host exclusivo do Provedor de atualizaes de grupo.
Na caixa Endereo IP ou nome do host exclusivo do Provedor de atualizaes

de grupo, digite o endereo IP ou o nome do host do computador-cliente que
atua como o nico Provedor de atualizaes de grupo.
Clique em Ajuda para obter informaes sobre o endereo IP ou o nome do
host.
Retorne ao procedimento para configurar um Provedor de atualizaes de

grupo.

Para configurar vrios Provedores de atualizaes de grupo

Provedor de atualizaes de grupo para o cliente, clique em Vrios
Provedores de atualizaes de grupo.
Clique em Configure a lista de Provedores de atualizaes de grupo.
Na caixa de dilogo Lista de Provedores de atualizaes de grupo, selecione

o n Provedor de atualizaes de grupo da rvore.
Clique em Adicionar para adicionar um conjunto de regras.
Na caixa de dilogo Especificar critrios de regra do Provedor de atualizaes

de grupo, na lista suspensa Verificar, selecione uma das seguintes opes:
Endereo IP ou nome do host do computador
Chaves do Registro
Sistema operacional
Se voc selecionou Endereo IP ou nome do host do computador ou Chaves

de registro, clique em Adicionar.
Digite ou selecione o endereo IP ou o nome do host, a chave de registro do

Windows ou as informaes do sistema operacional.
Clique em Ajuda para obter informaes sobre como configurar regras.
Consulte Sobre como configurar regras para vrios Provedores de
Clique em OK at retornar para a caixa de dilogo Lista do Provedor de

atualizaes de grupo, na qual voc poder adicionar mais conjuntos de
regras.
Clique em OK.
10 Retorne ao procedimento para configurar um Provedor de atualizaes de

grupo.
Quando configurar uma lista explcita de Provedores de atualizaes de grupo,
voc poder especificar que os clientes do Symantec Endpoint Protection com
endereos IP em uma sub-rede especfica devem usar um Provedor de atualizaes
de grupo especfico. Observe que um cliente pode ter vrios endereos IP e que o
Symantec Endpoint Protection considerar todos os seus endereos IP quando
corresponder ao Provedor de atualizaes de grupo que ser usado. Assim, o
endereo IP ao qual a poltica corresponde no necessariamente vinculado
interface que o cliente usa para a comunicao com o Provedor de atualizaes
de grupo.
645
646

Por exemplo, suponha que um cliente tenha o endereo IP A, que ele usa para se
comunicar com o Symantec Endpoint Protection Manager e com o Provedor de
atualizaes de grupo. Este mesmo cliente tambm tem o endereo IP B, que
aquele que corresponde ao Provedor de atualizaes de grupo explcito que voc
configurou na poltica de configuraes do LiveUpdate para este cliente. O cliente
pode escolher usar um Provedor de atualizaes de grupo baseado no endereo
B, mesmo que aquele no seja o endereo que usado para se comunicar com o
Para configurar uma lista explcita de Provedores de atualizaes de grupo
Na guia Configuraes do LiveUpdate, clique em Adicionar uma poltica de

configuraes do LiveUpdate ou clique com o boto direito do mouse na
poltica que deseja e clique em Editar.
Na janela Poltica de configuraes do LiveUpdate, clique em Configuraes

do servidor.
Em Servidor interno ou externo do LiveUpdate, selecione Use o servidor de

Em Provedor de atualizaes de grupo, marque Usar o Provedor de

Clique em Provedor de atualizaes de grupo.

Provedor de atualizao de grupo para o cliente, clique em Provedores de
atualizaes de grupo explcitos para clientes em roaming e clique em
Configurar a lista de Provedores de atualizaes de grupo explcitos.
10 Na caixa de dilogo Adicionar Provedor de atualizaes de grupo explcito,

digite a sub-rede do cliente para a qual voc quer mapear estes Provedores
11 Em Configuraes do provedor de grupo explcito, selecione o Tipo de

mapeamento que voc quer configurar: baseado no endereo IP, no nome do
host ou no endereo de rede do Provedor de atualizaes de grupo.
12 Digite as configuraes necessrias para o tipo de mapeamento selecionado

e clique em OK.

Para usar arquivos do Intelligent Updater para atualizar definies de vrus e de riscos segurana do cliente
Pesquisa dos clientes que atuam como Provedores de atualizaes de

grupo
Voc pode verificar se clientes esto disponveis como Provedores de atualizaes
de grupo. Voc pode exibir uma lista de Provedores de atualizaes de grupo
pesquisando-os na guia Clientes.
Nota: Voc tambm pode verificar as propriedades de um cliente. As propriedades
incluem um campo que indica se o cliente um Provedor de atualizaes de grupo.
Para pesquisar pelos clientes que atuam como Provedores de atualizaes de grupo
Na guia Clientes, na caixa Exibir, selecione Status do cliente.
No painel Tarefas, clique em Procurar clientes.
Na lista suspensa Localizar, selecione Computadores.
Na caixa No grupo especificar o nome do grupo.
Em Critrios de pesquisa, clique na coluna Campo de pesquisa e selecione

Em Critrios de pesquisa, clique na coluna Operador de comparao e

selecione =.
Em Critrios de pesquisa, clique na coluna Valor e selecione Verdadeiro.

Clique em Ajuda para as informaes nos critrios de pesquisa.
Clique em Pesquisar.

Para usar arquivos do Intelligent Updater para

atualizar definies de vrus e de riscos segurana
do cliente
A Symantec recomenda que os computadores-cliente usem o LiveUpdate para
atualizar definies de vrus e riscos segurana. Porm, se voc no quiser usar
o LiveUpdate ou se o LiveUpdate no estiver disponvel, poder usar um arquivo
do Intelligent Updater para atualizar clientes. Os arquivos Intelligent Updater.exe
so projetados para atualizar clientes apenas. Os arquivos do Intelligent Updater
no contm as informaes que um Symantec Endpoint Protection Manager ou
647
648

Como usar ferramentas de distribuio de terceiros para atualizar computadores-cliente
um servidor-pai legado do Symantec AntiVirus precisam para atualizar seus

clientes gerenciados.
Um arquivo do Intelligent Updater um arquivo autoexecutvel que contm
atualizaes das definies de vrus e spyware. Um arquivo do Intelligent Updater
no fornece atualizaes de nenhum outro tipo de contedo. Depois de fazer o
download do arquivo, possvel usar seu mtodo de distribuio preferido para
distribuir as atualizaes a seus clientes.
Nota: O Intelligent Updater no suporta os atributos de arquivo estendido, as
assinaturas ou a lista do portal do Auto-Protect.
Para fazer o download de um arquivo do Intelligent Updater
Usando seu navegador da Web, v para um dos seguintes sites:

http://www.symantec.com/business/security_response/definitions/download/
detail.jsp?gid=savce
ftp://ftp.symantec.com/AVDEFS/symantec_antivirus_corp/
No site da Web ou no site FTP, clique no arquivo do produto apropriado com

a extenso .exe.
Quando voc for solicitado a fornecer o local onde deseja salvar o arquivo,
selecione uma pasta em sua unidade de disco rgido.
Distribua o arquivo para os computadores-cliente usando seu mtodo de

distribuio preferido.
Para instalar os arquivos de definies de vrus e de risco segurana em um

computador-cliente
No computador-cliente, localize o arquivo do Intelligent Updater que foi

distribudo ao cliente.
Clique duas vezes no arquivo .exe e siga as instrues na tela.

na pgina 602.
Como usar ferramentas de distribuio de terceiros

para atualizar computadores-cliente
Algumas grandes empresas dependem de ferramentas de distribuio de terceiros,
como IBM Tivoli ou Microsoft SMS, para distribuir as atualizaes de contedo
aos computadores-cliente. O Symantec Endpoint Protection suporta o uso de
ferramentas de distribuio de terceiros para atualizar os clientes gerenciados e

no gerenciados que executam sistemas operacionais Windows. Os clientes Mac

podem apenas receber atualizaes de contedo de servidores internos ou externos
do LiveUpdate.
A Tabela 24-10 resume as tarefas que voc precisa executar para usar uma
ferramenta de distribuio de terceiros.
Nota: Antes de configurar o uso de ferramentas de distribuio de terceiros,
necessrio j ter instalado o Symantec Endpoint Protection Manager e os
computadores-cliente que voc deseja atualizar.
Tabela 24-10
Tarefas para configurar o uso de ferramentas de distribuio de

terceiros para atualizaes
Tarefa
Descrio
Configure o Symantec
Voc pode configurar o servidor de gerenciamento para
Endpoint Protection Manager receber atualizaes de contedo automaticamente ou
para receber atualizaes de manualmente.
contedo.
Consulte Configurao de um site para fazer o download
de atualizaes de contedo na pgina 609.
Consulte Para gerenciar atualizaes de contedo
na pgina 592.
Configure a poltica de
do grupo para permitir a
distribuio da atualizao
de contedo de terceiros.
Se desejar usar ferramentas de distribuio de terceiros

para atualizar clientes gerenciados, ser necessrio
configurar a poltica de configuraes do LiveUpdate do
grupo para permiti-las.
Consulte Configurao de uma poltica de configuraes
do LiveUpdate para permitir a distribuio de contedo de
terceiros a clientes gerenciados na pgina 650.
Preparar clientes no
Se desejar usar ferramentas de distribuio de clientes para
gerenciados para receber
atualizar clientes no gerenciados, ser necessrio primeiro
atualizaes das ferramentas criar uma chave do registro em cada cliente no gerenciado.
de distribuio de terceiros
Consulte Preparao de clientes no gerenciados para
receber as atualizaes das ferramentas de distribuio de
terceiros na pgina 651.
649
650

Tarefa
Descrio
Localize, copie e distribua o

contedo.
Cada grupo de clientes do Symantec Endpoint Protection

Manager tem um arquivo index2.dax localizado no
computador que executa o Symantec Endpoint Protection
Manager. Esses arquivos esto localizados nas subpastas
da unidade:\Arquivos de Programas\Symantec\Symantec
Endpoint Protection Manager\data\outbox\agent folder.
Para atualizar clientes, voc precisa usar os arquivos
index2.dax.
Consulte Configurao de um site para fazer o download
de atualizaes de contedo na pgina 609.
Consulte Distribuio do contedo usando ferramentas de
distribuio de terceiros na pgina 653.
Configurao de uma poltica de configuraes do LiveUpdate para

permitir a distribuio de contedo de terceiros a clientes gerenciados
Se desejar usar ferramentas de distribuio de terceiros para atualizar clientes
gerenciados, ser necessrio configurar a poltica de configuraes do LiveUpdate
do grupo de clientes para permiti-las. Voc pode optar por desativar a capacidade
de usurios do cliente de executar manualmente o LiveUpdate.
Quando voc tiver concludo este procedimento, uma pasta aparecer nos
computadores-cliente do grupo nos seguintes locais:
Sistemas operacionais anteriores ao Vista, clientes legados do Symantec

Endpoint Protection 11.x:
unidade:\Documents and Settings\All Users\Application
Data\Symantec\Symantec Endpoint Protection\inbox
Sistemas operacionais Vista, clientes legados do Symantec Endpoint Protection

11.x:
unidade:\Program Data\Symantec\Symantec Endpoint Protection\inbox
Sistemas operacionais Pre-Vista, clientes da verso 12.1 do Symantec Endpoint

Protection
Data\Symantec\CurrentVersion\inbox
Sistemas operacionais Vista, clientes da verso 12.1 do Symantec Endpoint

Protection
unidade:\ProgramData\Symantec\Symantec Endpoint
Protection\CurrentVersion\inbox

Para ativar a distribuio de contedo de terceiros para clientes gerenciados com

uma poltica do LiveUpdate
Na guia Configuraes do LiveUpdate, em Tarefas, clique em Adicionar uma

poltica de configuraes do LiveUpdate.
Na janela Poltica do LiveUpdate, nas caixas de texto Nome da poltica e

Descrio, digite um nome e uma descrio.
Em Gerenciamentodeterceiros, marque Ativargerenciamentodecontedos

de terceiros.
Desmarque todas as outras opes de origem do LiveUpdate.
Clique em OK.
Na caixa de dilogo Atribuir poltica, clique em Sim.

Voc tambm pode cancelar este procedimento e atribuir a poltica
posteriormente.
10 Na caixa de dilogo Atribuir poltica do LiveUpdate, marque um ou mais

grupos para os quais deseja atribuir esta poltica e clique em Atribuir.
Preparao de clientes no gerenciados para receber as atualizaes

das ferramentas de distribuio de terceiros
Se voc instalar clientes no gerenciados do disco do produto, no poder usar
imediatamente ferramentas de distribuio de terceiros para distribuir a eles o
contedo ou as atualizaes da poltica do LiveUpdate. Como uma medida de
segurana, por padro estes computadores-cliente no confiam nem processam
o contedo que as ferramentas de distribuio de terceiros lhes fornecem.
Para utilizar com xito as ferramentas de distribuio de terceiros de modo a
fornecer atualizaes, necessrio primeiro criar uma chave de registro do
Windows em cada um dos clientes no gerenciados. A chave permite usar a pasta
da caixa de entrada em clientes no gerenciados para distribuir o contedo e as
atualizaes da poltica do LiveUpdate usando ferramentas de distribuio de
terceiros.
A pasta da caixa de entrada aparece em clientes no gerenciados nos seguintes
locais:
651
652

Sistemas operacionais Pre-Vista, clientes legados:

Data\Symantec\Symantec Endpoint Protection\inbox
Sistemas operacionais Vista, clientes legados:

unidade:\Program Data\Symantec\Symantec Endpoint Protection\inbox
Sistemas operacionais Pre-Vista, clientes da verso 12.1 do Symantec Endpoint

Protection
unidade:\Documents and Settings\All Users\Application Data\Symantec\
CurrentVersion\inbox
Sistemas operacionais Vista, clientes da verso 12.1 do Symantec Endpoint

Protection
unidade:\ProgramData\Symantec\Symantec Endpoint Protection\
CurrentVersion\inbox
Quando voc criar a chave do registro, ser possvel usar uma ferramenta de
distribuio de terceiros para copiar atualizaes de contedo e polticas para
esta pasta. Em seguida, o software-cliente do Symantec Endpoint Protection confia
e processa as atualizaes.
Para preparar clientes no gerenciados para receber atualizaes das ferramentas
de distribuio de terceiros
Em cada computador-cliente, use regedit.exe ou outra ferramenta de edio

de registro do Windows para criar uma das seguintes chaves de registro do
Windows:
Nos clientes que executam o Symantec Endpoint Protection 12.1, crie

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint
Protection\SMC\SPE\TPMState
Nos clientes que executam o Symantec Endpoint Protection 11.x, crie

HKLM\Software\Symantec\Symantec Endpoint
Protection\SMC\TPMState
Defina o valor da chave de registro para hexadecimal 80, da seguinte maneira:

0x00000080 (128)
Nota: O valor do tipo DWORD.
Salve a chave de registro e saia em seguida da ferramenta de edio de registro.
Consulte Como usar ferramentas de distribuio de terceiros para atualizar


Consulte Distribuio do contedo usando ferramentas de distribuio de

terceiros na pgina 653.
Distribuio do contedo usando ferramentas de distribuio de

terceiros
Para usar as ferramentas de distribuio de terceiros para distribuir contedo
para computadores-cliente, voc precisar usar o arquivo index2.dax. O contedo
relacionado ao LiveUpdate no arquivo index2 inclui um conjunto de GUIDs
chamados de identificadores de objetos de contedo e seus nmeros de sequncia
associados. Cada identificador de contedo corresponde a um tipo de contedo
especfico. Cada nmero de sequncia no arquivo index2 corresponde a uma
reviso de um tipo de contedo especfico. Dependendo dos recursos de proteo
que voc instalou, voc precisar determinar qual dos tipos de contedo voc
precisa.
Consulte Sobre os tipos do contedo que o LiveUpdate pode fornecer
na pgina 597.
Content moniker mapping for updating legacy clients (em ingls)
exceo das definies de vrus e spyware, que so compatveis com verses
anteriores do Symantec Endpoint Protection 11.x, este contedo para clientes
com a divulgao atual do Symantec Endpoint Protection em execuo. Se voc
tiver clientes legados para atualizar com outros tipos de contedo, ser necessrio
usar o contedo legado para atualiz-los. Este mtodo de usar ferramentas de
gerenciamento de terceiros no pode ser usado para atualizar clientes com verses
do Symantec AntiVirus ou Symantec Client Security anteriores ao Symantec
Endpoint Protection 11.x em execuo.
Nota: Os identificadores de contedo normalmente mudam para cada verso
importante. s vezes, tambm podem mudar para uma verso menos importante.
A Symantec normalmente no muda os identificadores para atualizaes de verso
ou patches de manuteno.
possvel consultar um mapeamento do identificador com o seu tipo de contedo
atravs do arquivo ContentInfo.txt. O arquivo ContentInfo.txt est localizado
normalmente na pasta unidade:\Program Files\Symantec\Symantec Endpoint
Protection Manager\Inetpub\content.
Por exemplo, possvel ver a seguinte entrada:
{535CB6A4-441F-4e8a-A897-804CD859100E}: SESC Virus Definitions
Win32 v11 - MicroDefsB.CurDefs - SymAllLanguages
653
654

Cada grupo de clientes do Symantec Endpoint Protection Manager tem seu prprio
arquivo index2. O arquivo index2 para cada grupo de clientes encontrado em
uma pasta para esse grupo. As pastas para grupos de clientes podem sejam
encontradas em unidade:\Arquivos de programas\Symantec\Symantec Endpoint
Protection Manager\data\outbox\agent. O nome de pasta para um grupo de clientes
corresponde ao nmero de srie da poltica de grupo. Voc pode encontrar o
nmero de srie na caixa de dilogo Propriedades do grupo ou na pgina Clientes
guia Detalhes. Os primeiros quatro valores hexadecimais de cada nmero de srie
da poltica de grupo correspondem aos primeiros quatro valores hexadecimais da
pasta desse grupo.
O arquivo index2.dax usado pelos clientes gerenciados criptografado. Para
verificar o contedo do arquivo, abra o arquivo index2.xml que est disponvel
na mesma pasta. O arquivo index2.xml fornece uma lista dos identificadores de
contedo e de seus nmeros de sequncia (reviso). Por exemplo, possvel ver a
seguinte entrada:
<File Checksum="191DEE487AA01C3EDA491418B53C0ECC" DeltaFlag="1"
FullSize="30266080" LastModifiedTime="1186471722609" Moniker=
"{535CB6A4-441F-4e8a-A897-804CD859100E}" Seq="80806003"/>
A Poltica de contedo do LiveUpdate para um grupo especifica uma reviso

especfica do contedo ou o contedo mais recente. O nmero de sequncia no
arquivo index2 deve corresponder ao nmero de sequncia que corresponde
especificao do contedo na Poltica de contedo do LiveUpdate do grupo. Por
exemplo, se a poltica for configurada para Usar disponvel mais recente para
todos os tipos de contedo em seguida, o nmero de sequncia para cada tipo ser
o contedo disponvel mais recente. Neste exemplo, a distribuio somente
trabalhar se o arquivo index2 mostrar os nmeros de sequncia (revises) que
correspondem reviso do contedo mais recente. A distribuio falhar se os
nmeros de sequncia corresponderem a qualquer outra reviso.
Nota: Voc deve usar o comando Copiar para colocar arquivos na pasta \inbox do
cliente. Usar o comando Mover no aciona a o processamento de atualizao e a
atualizao falha. Se voc compactar o contedo em um nico arquivo morto para
distribuio, voc no dever descompact-lo diretamente na pasta \inbox.
Se voc distribuir o contedo de vrus e spyware aos clientes legados que usam o
Symantec Endpoint Protection 11.x, o esquema do identificador ser alterado.
Voc pode usar as definies da verso 12.x para atualizar clientes legados, mas
deve renomear o identificador de destino antes de distribu-lo.

Para distribuir contedo para clientes usando ferramentas de distribuio de

terceiros
No computador que executa o Symantec Endpoint Protection Manager, crie

uma pasta de trabalho, como \Work_Dir.
Para um cliente gerenciado, no console, na guia Clientes, clique com o

boto direito do mouse no grupo a ser atualizado e clique em seguida em
Propriedades.
Para um cliente no gerenciado, no console, na guia Clientes, clique com

o boto direito do mouse em Minha empresa e clique em seguida em
Propriedades.
Anote os primeiros quatro valores hexadecimais do Nmero de srie da

poltica, tal como 7B86.
Navegue para a seguinte pasta:

\\Arquivos de programas\Symantec\Symantec Endpoint Protection
Manager\dados\outbox\agente
Localize a pasta que contm os primeiros quatro valores hexadecimais que

correspondem ao Nmero de srie da poltica.
Abra essa pasta e copie em seguida o arquivo index2.dax para sua pasta de
trabalho.
Navegue para a seguinte pasta:

\\\Arquivos de programas\SymantecSymantec Endpoint Protection
Manager\Inetpub\contedo
Abra e leia ContentInfo.txt para descobrir o contedo que cada pasta

identificador de destino contm.
O contedo de cada diretrio identificador de destino\nmero de
sequncia\full.zip|full.
Copie o contedo de cada pasta \identificador de destino para a pasta de

trabalho, como \Work_Dir.
10 Para distribuir o contedo das definies de vrus e spyware aos clientes

legados do Symantec Endpoint Protection 11.x, necessrio executar as
seguintes etapas:
Para computadores de 32 bits, copie o contedo do

{535CB6A4-441F-4e8a-A897-804CD859100E}\nmero de sequncia\full.zip.
655
656

Renomeie o contedo para o

{C60DC234-65F9-4674-94AE-62158EFCA433}\nmero de
sequncia\full.zip e copie o contedo para sua pasta de trabalho.
Para computadores de 64 bits, copie o contedo do

{07B590B3-9282-482f-BBAA-6D515D385869}\nmero de
sequncia\full.zip.
Renomeie o contedo para o
{1CD85198-26C6-4bac-8C72-5D34B025DE35}\nmero de
sequncia\full.zip e copie o contedo para sua pasta de trabalho.
11 Exclua todos os arquivos e pastas de cada \identificador de destino para que

somente esta estrutura de pastas e arquivos permanea no diretrio de
trabalho:
\\Work_Dir\identificador de destino\nmero de sequncia mais recente\full.zip
A pasta de trabalho agora contm a estrutura de pastas e os arquivos a serem
distribudos aos seus clientes.
12 Use suas ferramentas de distribuio de terceiros para distribuir o contedo

da pasta de trabalho para a pasta \\Symantec Endpoint Protection\inbox\ em
cada um dos clientes.
O resultado final deve ter esta aparncia:
\\Symantec Endpoint Protection\inbox\index2.dax
\\Symantec Endpoint Protection\inbox\identificador de destino\nmero de
sequncia mais recente\full.zip
Os arquivos processados com xito so excludos em seguida. Os arquivos
que no so processados com xito so movidos para uma subpasta de nome
Invlida. Se voc identificar arquivos em uma pasta Invlida na pasta caixa
de entrada, voc dever tentar novamente com aqueles arquivos.
Consulte Preparao de clientes no gerenciados para receber as atualizaes
das ferramentas de distribuio de terceiros na pgina 651.
Captulo
25
Para monitorar a proteo

com relatrios e logs
Monitorao da proteo de endpoints
Configurao das preferncias de relatrio
Logon no relatrio atravs de um navegador da Web autnomo
Sobre os tipos dos relatrios
Execuo e personalizao de relatrios rpidos
Salvamento e excluso de relatrios personalizados
Criao de relatrios agendados
Edio do filtro usado para um relatrio agendado
Como imprimir e salvar a cpia de um relatrio
Exibio de logs
Para executar comandos atravs do log de status do computador

O Symantec Endpoint Protection coleta informaes sobre os eventos de segurana
em sua rede. Voc pode usar o log e os relatrios para exibir estes eventos e pode
usar notificaes para permanecer informado sobre os eventos enquanto eles
ocorrem.
658
Para monitorar a proteo com relatrios e logs

Voc pode usar os relatrios e os logs para determinar as respostas aos seguintes
tipos de perguntas:
Que computadores esto infectados?
Que computadores precisam de verificao?
Que riscos foram detectados na rede?
Nota: O Symantec Endpoint Protection extrai automaticamente os eventos que

aparecem nos relatrios dos logs de eventos em seus servidores de gerenciamento.
Os logs de eventos contm carimbos de hora com os fusos horrios dos
computadores-cliente. Quando o servidor de gerenciamento recebe os eventos,
ele converte os carimbos de hora do evento no horrio do Meridiano Greenwich
(GMT) para a insero no banco de dados. Quando criar relatrios, o software do
relatrio exibir informaes sobre os eventos na hora local do computador no
qual voc exibe os relatrios.

Tabela 25-1
Tarefas para monitorar a proteo do endpoint
Tarefa
Descrio
Rever o status de
segurana de sua rede
A seguinte lista descreve algumas das tarefas que voc pode executar para monitorar o
status de segurana de seu computador-cliente.
Obter uma contagem de vrus detectados e de outros riscos segurana e exibir detalhes
para cada vrus e risco segurana.
Consulte Exibio de riscos na pgina 664.
Obter uma contagem de computadores desprotegidos em sua rede e exibir detalhes
para cada um.
Consulte Exibio da proteo do sistema na pgina 663.
Exibir o nmero de computadores com definies atualizadas de vrus e spyware.
Exibir o status operacional em tempo real de seus computadores-cliente.
na pgina 242.
Exibir o nmero de computadores que esto off-line.
Consulte Para encontrar computadores off-line na pgina 663.
Rever os processos que so executados em sua rede.
Consulte Monitoramento de resultados de deteco do SONAR para procurar falsos
positivos na pgina 440.
Localizar quais computadores esto atribudos a cada grupo.
Exibir uma lista de verses do software Symantec Endpoint Protection que esto
instaladas nos clientes e nos servidores do Symantec Endpoint Protection Manager em
sua rede.
Consulte Para gerar uma lista de verses do Symantec Endpoint Protection instaladas
nos clientes e servidores em sua rede na pgina 667.
Exibir as informaes de licenciamento nos computadores-cliente, o que inclui o nmero
de estaes vlidas, de estaes implementadas excessivamente, de estaes expiradas
e a data de vencimento.
Consulte Para exibir o status de computadores-cliente implementados na pgina 666.

Consulte Exibio de um relatrio de status dirio ou semanal na pgina 662.
659
660

Tarefa
Descrio
Localizar quais
precisam de proteo
Voc pode executar as tarefas a seguir para exibir ou encontrar quais computadores
precisam de proteo adicional:
Proteger seu
Exibir o nmero de computadores com o Symantec Endpoint Protection desativado.

Exibir o nmero de computadores com definies desatualizadas de vrus e spyware.
Encontrar os computadores que no foram verificados recentemente.
Consulte Como encontrar computadores no verificados na pgina 664.
Exibir destinos e origens do ataque.
Consulte Exibio de destinos e origens do ataque na pgina 666.
Exibir logs de eventos.
Voc pode executar comandos do console para proteger os computadores-cliente.

Consulte Para executar comandos atravs do log de status do computador na pgina 685.
Por exemplo, possvel eliminar riscos segurana em computadores-cliente.
Consulte Para verificar a ao de verificao e para verificar novamente computadores
identificados na pgina 345.
Configurar notificaes Voc pode criar e configurar notificaes a serem acionadas quando certos eventos
para alert-lo quando
relacionados segurana ocorrerem. Por exemplo, possvel definir uma notificao para
eventos de segurana
ocorrer quando uma tentativa de intruso ocorre em um computador-cliente.
ocorrerem
Criar relatrios rpidos
personalizados e
agendados para
monitoramento
contnuo
Voc pode criar e gerar relatrios rpidos personalizados e pode agendar relatrios
personalizados para que sejam executados regularmente com as informaes que deseja
ver.
Consulte Salvamento e excluso de relatrios personalizados na pgina 674.
Consulte Configurao das preferncias de relatrio na pgina 668.

Tarefa
Descrio
Minimizar a quantidade Para finalidades de segurana, convm reter registros de log por mais tempo. No entanto,
de espao que os logs do se voc tiver um grande nmero de clientes, poder ter um grande volume de dados de log
cliente ocupam
dos clientes.
Se seu servidor de gerenciamento ficar pouco espao, convm diminuir o tamanho do log
e a quantidade de tempo durante o qual o banco de dados mantm os logs.
Voc pode reduzir o volume de dados do log executando as tarefas a seguir:
Fazer upload somente de alguns logs do cliente para o servidor e altere a frequncia
com a qual o upload dos logs do cliente feito.
Consulte Especificao do tamanho do log do cliente e de quais fazer upload para o
servidor de gerenciamento na pgina 792.
Especificar quantas entradas de log o computador-cliente pode manter no banco de
dados e por quanto tempo pode mant-las.
Consulte Como especificar por quanto tempo as entradas de log devem ser mantidas
no banco de dados na pgina 793.
Filtrar os eventos de risco e de sistema menos importantes para que menos dados sejam
encaminhados ao servidor.
Consulte Modificao de configuraes variadas para Proteo contra vrus e spyware
em computadores Windows na pgina 417.
Reduzir o nmero de clientes que cada servidor de gerenciamento gerencia.
Reduzir a frequncia da pulsao, que controla a frequncia com que feito o upload
dos logs dos clientes para o servidor.
Reduzir a quantidade de espao no diretrio onde os dados de log so armazenados
antes de serem inseridos no banco de dados.
Consulte Sobre aumentar o espao em disco no servidor para dados de log de clientes
na pgina 794.
661
662

Tarefa
Descrio
Exportar dados de log

para um local
centralizado
A exportao de dados do log til se voc deseja reunir todos os logs da rede em um local
centralizado. A exportao de dados de log tambm til quando voc deseja usar um
programa de terceiros, como uma planilha eletrnica para organizar ou manipular os
dados. Convm tambm exportar os dados dos seus logs antes de excluir os dados gravados
no log.
possvel exportar os dados em alguns logs para um arquivo de texto delimitado por
vrgulas. Voc pode exportar dados de outros logs para um arquivo de texto delimitado
por tabulao, chamado arquivo de despejo, ou para um servidor Syslog.
Consulte Exportao de dados de log para um arquivo de texto na pgina 789.
Consulte Exportao de dados para um servidor Syslog na pgina 788.
Consulte Exportao de dados do log para um arquivo de texto delimitado por vrgulas
na pgina 791.
Consulte Exibio de logs de outros sites na pgina 685.
Solucionar problemas
com relatrios e logs
Voc pode solucionar alguns problemas com a gerao de relatrios.

Consulte Soluo de problemas de gerao de relatrios na pgina 835.
Exibio de um relatrio de status dirio ou semanal

O relatrio de status dirio fornece as seguintes informaes:
A deteco de vrus abrange aes limpas, suspeitas, bloqueadas, em

quarentena, excludas, recm-infectadas e ainda infectadas.
Linha de tempo da distribuio de definies de vrus
10 principais riscos e infeces
Os relatrios de status semanais fornecem as seguintes informaes:
Status do computador
Deteco de vrus
Captura de imagem do status de proteo
Linha de tempo da distribuio de definies de vrus
Distribuio de riscos por dia
10 principais riscos e infeces

Para exibir o relatrio de status dirio
Na pgina Incio, no painel Relatrios favoritos, clique em Status dirio do

Symantec Endpoint Protection ou em Status semanal do Symantec Endpoint
Protection.
Exibio da proteo do sistema

A proteo do sistema abrange as seguintes informaes:
O nmero de computadores com definies de vrus atualizadas.
O nmero de computadores com definies de vrus desatualizadas.
O nmero de computadores que esto off-line.
O nmero de computadores que esto desativados.

Para exibir a proteo do sistema

A proteo do sistema exibida no painel Status do endpoint.
No painel Status do endpoint, clique em Exibir detalhes para exibir mais

informaes sobre a proteo de sistema.
Para encontrar computadores off-line

Voc pode listar os computadores que esto off-line.
Um cliente pode estar off-line por vrios motivos. Voc pode identificar os
computadores que esto off-line e corrigir esses problemas de vrias formas.
Para encontrar computadores off-line
Na pgina Incio, no painel Status do Endpoint, clique no link que representa

o nmero de computadores off-line.
Para obter mais informaes sobre computadores off-line, clique no link

Exibir detalhes.
663
664

Para exibir computadores-cliente off-line no log de status do computador
Na guia Logs, na caixa de listagem Tipo de log, clique em Status do

computador.
Clique em Configuraes avanadas.
Na caixa de dilogo Status online, clique em Off-line.

Por padro, ser exibida uma lista dos computadores que ficaram off-line
durante as ltimas 24 horas. A lista inclui o nome de cada computador, o
endereo IP e a ltima vez que ele acessou o servidor. Voc pode ajustar o
intervalo de tempo para exibir computadores off-line para qualquer intervalo
de tempo que deseja verificar.
Como encontrar computadores no verificados

Voc pode relacionar os computadores que precisam de verificao.
Para encontrar computadores no verificados
Na guia Relatrios rpidos, especifique as seguintes informaes:
Tipo de relatrio
Selecione Verificar.
Relatrio selecionado
Selecione Computadores no verificados.
Clique em Criar relatrio.
Exibio de riscos
Voc pode obter informaes sobre os riscos em sua rede.

Para exibir computadores infectados e vulnerveis
Tipo de relatrio
Risco
Computadores infectados e vulnerveis
Para melhor entender os benefcios e os riscos de no ativar determinados recursos,

voc poder executar o relatrio de Distribuio de riscos por tecnologia de
proteo. Este relatrio fornece as seguintes informaes:
Deteces baseadas em assinaturas de vrus e de spyware
Deteces do SONAR
Deteces do Download Insight
Preveno contra intruses e deteces da proteo do navegador
Para exibir os riscos detectados pelos tipos de tecnologia de proteo
Tipo de relatrio
Risco
Distribuio de riscos por tecnologia de proteo
Para exibir riscos recm-detectados
Tipo de relatrio
Risco
Novos riscos detectados na rede
665
666

Para exibir um relatrio abrangente do risco

Tipo de relatrio
Risco
Selecione um relatrio Relatrio de risco abrangente
Para exibir o status de computadores-cliente implementados

Voc pode confirmar o status de seus computadores-cliente implementados.
Para exibir o status de computadores-clientes implementados

Tipo de relatrio Status do computador
Selecione um
relatrio
Detalhes sobre o inventrio do cliente
Exibio de destinos e origens do ataque

Voc pode exibir os destinos e as origens do ataque.
Para exibir os principais destinos atacados
Tipo de relatrio
Selecione Proteo contra ameaas rede.
Selecionar um
relatrio
Selecione Principais alvos atacados.

Para exibir as principais origens do ataque
Tipo de relatrio
Selecionar um
relatrio
Selecione Principais ocorrncias de ataques, por origem.
Um relatrio completo contm as seguintes estatsticas:
Principais tipos de ataque
Principais destinos de ataque
Principais ocorrncias de ataques, por origem
Principais notificaes de trfego
Para exibir um relatrio completo sobre destinos e origens de ataque
Tipo de relatrio
Selecionar um
relatrio
Selecione Relatrio completo.
opo Configurar
Opcionalmente, voc pode selecionar os relatrios para incluir

nos relatrios completos.
Para gerar uma lista de verses do Symantec Endpoint Protection

instaladas nos clientes e servidores em sua rede
Voc pode executar um relatrio rpido do Symantec Endpoint Protection Manager
que fornece uma lista de verses do software Symantec Endpoint Protection que
esto instaladas nos clientes e nos servidores do Symantec Endpoint Protection
Manager em sua rede. Esta lista poder ser til quando voc quiser fazer o upgrade
ou migrar seu software de uma verso anterior do Symantec Endpoint Protection.
A lista inclui computadores locais e remotos.
667
668

Voc pode salvar o relatrio usando o formato de arquivo morto da pgina da Web
MHTML.
Consulte Como imprimir e salvar a cpia de um relatrio na pgina 678.
Se voc usar o Symantec Network Access Control, aquelas verses de software
sero tambm includas no relatrio.
Para gerar um relatrio que relacione as verses do software Symantec Endpoint
Protection
Em Tipo de relatrio, selecione Status do computador.
Em Selecione um relatrio, selecione Verses do produto Symantec Endpoint

Protection.

possvel configurar as preferncias de relatrio:
As opes de exibio das pginas Incio e Monitores
Os limites do Status de segurana
As opes de exibio utilizadas para os logs e relatrios, bem como o upload

do arquivo de log herdado
Os limites do status de segurana que voc definir determinaro quando a

mensagem Status de segurana na pgina de Incio do Symantec Endpoint
Protection Manager ser considerada deficiente. Os limites so expressos como
um percentual e refletem quando a sua rede considerada como no estando em
conformidade com as suas polticas de segurana.
Por exemplo, voc pode definir o percentual de computadores com definies de
vrus desatualizados que aciona um status de segurana insatisfatrio. Voc
tambm pode definir quantos dias as definies precisam ser qualificadas como
desatualizadas. O Symantec Endpoint Protection determina que atual quando
calcula se as assinaturas ou definies esto desatualizadas da seguinte forma.
Seu padro so as definies de vrus mais atuais e as datas de assinatura IPS
disponveis no servidor de gerenciamento no qual o console executado.
Nota: Se voc tiver apenas o Symantec Network Access Control instalado, voc
no ter a guia Status de segurana para configurar os limites de segurana.

Logon no relatrio atravs de um navegador da Web autnomo
Para obter informaes sobre as opes de preferncia definidas, voc pode clicar
em Ajuda em cada guia na caixa de dilogo Preferncias.
Para configurar as preferncias de relatrio
No console, na pgina Incio, clique em Preferncias.
Clique nas seguintes guias, dependendo do tipo de preferncias que deseja

definir:
Pgina inicial e monitores
Status de segurana
Logs e relatrios
Defina os valores para as opes que deseja alterar.
Clique em OK.
Logon no relatrio atravs de um navegador da Web

autnomo
Voc pode acessar as pginas Incio, Monitores e Relatrios em um navegador
da Web independente que esteja conectado ao servidor de gerenciamento.
Entretanto, todas as outras funes do console no estaro disponveis ao usar
um navegador autnomo.
As pginas de relatrios e logs so sempre exibidas no idioma do servidor de
gerenciamento instalado. Para exibir essas pginas quando voc usa um console
remoto ou navegador, voc dever ter a fonte apropriada instalada no computador
usado.
Para acessar o relatrio a atravs de um navegador da Web, voc dever ter as
O nome do host do servidor de gerenciamento.

Nota: Quando voc digitar o URL do relatrio independente do HTTPS em seu
navegador, o navegador poder exibir um aviso. O aviso exibido porque o
certificado usado pelo servidor de gerenciamento autoassinado. Para
contornar esse problema, possvel instalar o certificado no armazenamento
de certificados confiveis do seu navegador. O certificado suporta os nomes
do host apenas; portanto, use o nome do host no URL. Se voc usar o localhost,
o endereo IP ou o nome de domnio totalmente qualificado, ainda ser exibido
um aviso.
669
670

O nome de usurio e a senha do servidor de gerenciamento.
Nota: Voc deve ter o Internet Explorer 6.0 ou superior instalado. Outros
navegadores da Web no so suportados.
Para fazer logon no relatrio atravs de um navegador da Web autnomo
Abra um navegador da Web.
Digite o URL do relatrio padro na caixa de texto do endereo no formato a

seguir:
https://nome do host do servidor de gerenciamento:8445/reporting
Nota: O URL de relatrios padro do Symantec Endpoint Protection verso
11 http://endereo do servidor de gerenciamento:8014/reporting. Se voc
migrar da verso 11, ser necessrio atualizar os marcadores do seu
navegador.
Quando for exibida a caixa de dilogo do logon, digite o nome de usurio e a

senha e clique em Fazer logon.
Se voc tiver mais de um domnio, na caixa de texto Domnio, digite seu nome
de domnio.

As seguintes categorias de relatrios esto disponveis:
Relatrios rpidos, que voc executa sob demanda.
Relatrios agendados, que so executados automaticamente com base em um

agendamento que voc configura.
Os relatrios incluem os dados de evento que so coletados de seus servidores de

gerenciamento, assim como dos computadores-cliente que se comunicam com
aqueles servidores. Voc pode personalizar relatrios para fornecer as informaes
que deseja ver.
Os relatrios rpidos so predefinidos, mas voc pode personaliz-los e salvar os
filtros usados para criar os relatrios personalizados. Voc pode usar os filtros
personalizados para criar relatrios agendados personalizados. Quando voc
agendar um relatrio para execuo, ser possvel configur-lo para ser enviado
por e-mail a um ou mais destinatrios.

Um relatrio agendado sempre executado por padro. Voc pode alterar as

configuraes de qualquer relatrio que ainda no foi executado. Voc tambm
pode excluir um ou todos ou relatrios agendados.
Voc tambm pode imprimir e salvar relatrios.
A Tabela 25-2 descreve os tipos de relatrios disponveis.
Tabela 25-2
Tipos de relatrio disponveis como relatrios rpidos e relatrios

agendados
Tipo de relatrio
Descrio
Auditoria
Exibe informaes sobre as polticas usadas pelos clientes

e pelos locais atualmente. Contm informaes sobre
atividades de modificao de polticas, como os tipos e as
horas dos eventos, modificaes de polticas, domnios, sites,
administradores e descries.
aplicativos
Exibe informaes sobre eventos onde algum tipo de

comportamento foi bloqueado. Estes relatrios contm
informaes sobre alertas de segurana de aplicativos,
destinos e dispositivos bloqueados. Os destinos bloqueados
podem ser chaves de registro, dlls, arquivos e processos.
Conformidade
Exibe informaes sobre o status de conformidade da rede.

Estes relatrios contm informaes sobre servidores do
Enforcer, clientes do Enforcer, trfego do Enforcer e
conformidade do host.
status do computador
Exibe informaes sobre o status operacional dos

computadores na rede, por exemplo, quais computadores
tm os recursos de segurana desativados. Estes relatrios
contm informaes sobre verses, clientes que no foram
registrados no servidor, inventrio do cliente e status online.

rede
Exibe informaes sobre preveno contra intruses,

ataques no firewall, trfego do firewall e pacotes.
Os relatrios da Proteo contra ameaas rede permitem
rastrear as atividades de um computador e sua interao
com outros computadores e redes. Eles registram
informaes sobre as tentativas de entrada e sada de trfego
dos computadores por meio das suas conexes de rede.
671
672

Tipo de relatrio
Descrio
Risco
Exibe informaes sobre eventos de riscos nos servidores

de gerenciamento e seus clientes. Inclui informaes sobre
verificaes do SONAR e, se voc tiver clientes legados em
sua rede, sobre verificaes de proteo proativa de ameaas
TruScan.
Verificar
Exibe as informaes sobre a atividade de verificao de

vrus e spyware.
Sistema
Exibe informaes sobre horas de eventos, tipos de evento,

sites, domnios, servidores e nveis de gravidade. Os
relatrios de sistema contm informaes teis para
solucionar problemas no cliente.
Se voc tiver vrios domnios na rede, muitos relatrios permitiro exibir os dados
de todos os domnios ou de um ou alguns sites. O padro de todos os relatrios
rpidos a exibio de todos os domnios, grupos, servidores e assim por diante,
conforme apropriado para o relatrio que voc selecionar.
Nota: Alguns relatrios predefinidos contm informaes que so obtidas do
Symantec Network Access Control. Se voc no tiver adquirido esse produto, mas
executar um de seus relatrios, o relatrio estar vazio. Se voc tem instalado o
Symantec Network Access Control apenas, um nmero significativo de relatrios
estar vazio. Os relatrios Controle de dispositivos e aplicativos, Proteo contra
ameaas rede, Risco e Verificao no contero dados. Os relatrios
Conformidade e Auditoria contero dados, assim como alguns dos relatrios
Status do computador e Sistema.

Os relatrios rpidos so predefinidos e personalizveis. Esses relatrios incluem
dados de evento coletados de seus servidores de gerenciamento assim como de
computadores-cliente que se comunicam com esses servidores. Os relatrios
rpidos fornecem informaes sobre eventos especficos s configuraes do
relatrio. Voc pode salvar as configuraes do relatrio para executar o mesmo
relatrio em outro momento, alm de poder imprimir e salvar relatrios.

Os relatrios rpidos so estticos, fornecem informaes especficas ao perodo

de tempo que voc especifica para o relatrio. Como alternativa, possvel
monitorar eventos em tempo real usando os logs.
Para executar um relatrio rpido
Na guia Relatrios rpidos, na caixa de listagem Tipo de relatrio, selecione

o tipo de relatrio que deseja executar.
Na caixa de listagem Selecionar um relatrio, selecione o nome do relatrio

que voc deseja executar.
Para personalizar um relatrio rpido
Na guia Relatrios rpidos, na caixa de listagem Tipo de relatrio, selecione

o tipo de relatrio que deseja personalizar.
Na caixa de listagem Selecionar um relatrio, selecione o nome do relatrio

que voc deseja personalizar.
Para o relatrio de Status de conformidade da rede e o relatrio Status de
conformidade, na caixa de listagem Status, selecione uma configurao de
filtro salvo que voc queira usar ou deixe o filtro padro.
Para o relatrio Correlao das principais deteces de riscos, possvel
selecionar valores para que as caixas de listagem Eixo X e Eixo Y especifiquem
como voc deseja exibir o relatrio.
Para o relatrio Verificao do histograma de estatsticas da verificao,
possvel selecionar valores para Largura do compartimento e Nmero de
compartimentos.
Para alguns relatrios, possvel especificar como agrupar os resultados do
relatrio na caixa de listagem Grupo. Para outros relatrios, possvel
selecionar um destino no campo Destino no qual filtrar resultados do relatrio.
Na caixa de listagem Utilizar um filtro salvo, selecione uma configurao de

filtro salva ou mantenha o filtro padro.
Na caixa de listagem Intervalo de tempo, em Quais configuraes de filtro

voc gostaria de usar?, selecione o intervalo de tempo do relatrio.
673
674

Se voc selecionar Definir datas especficas, use as caixas de listagem Data

de incio e Data de trmino. Essas opes definem o intervalo de tempo sobre
o qual voc deseja exibir informaes.
Quando voc gerar um relatrio de status do computador e selecionar Definir
datas especficas, especifique que deseja ver todas as entradas que envolvem
um computador que no acessou o servidor desde o horrio que voc
especificou no campo de hora e data.
Se voc desejar definir configuraes adicionais para a configurao do

relatrio, clique em Configuraes avanadas e defina as opes desejadas.
Voc pode clicar em Mais informaes para ver descries das opes do
filtro na ajuda contextual.
Nota: As caixas de texto das opes de filtro que aceitam caracteres curinga
e que pesquisam correspondncias no diferenciam maisculas de minsculas.
O asterisco ASCII o nico que pode ser usado como um caractere curinga.
possvel salvar as definies de configurao do relatrio se voc acreditar
que desejar executar esse relatrio novamente no futuro.


Voc pode salvar as configuraes de relatrios personalizados em um filtro para
gerar novamente o mesmo relatrio em outro momento. Quando voc salva as
configuraes, elas so salvas no banco de dados. O nome do filtro aparece na
caixa de listagem Utilizar um filtro salvo para esse tipo de log e de relatrio.
Nota: As definies de configurao de filtros que voc salvar ficam disponveis
somente na sua conta de usurio. Outros usurios com privilgios de relatrio
no podem acessar as configuraes que voc salvar.
Consulte Edio do filtro usado para um relatrio agendado na pgina 677.
Voc pode excluir qualquer configurao de relatrio que criar. Quando excluir
uma configurao, o relatrio no estar mais disponvel. O nome da configurao

padro do relatrio aparecer na caixa de listagem Usar relatrio salvo e a tela

ser preenchida novamente com as configuraes padro.
Nota: Se voc excluir um administrador do servidor de gerenciamento, voc ter
a opo de salvar os relatrios que forem criados pelo administrador excludo. A
posse dos relatrios alterada, bem como os nomes dos relatrios. O nome novo
do relatrio est no formato "OriginalName('AdminName')". Por exemplo, um
relatrio criado pelo administrador JSmith, chamado de Monday_risk_reports,
seria renomeado para Monday_risk_reports(JSmith).
na pgina 289.
Para salvar um relatrio personalizado
Na guia Relatrios rpidos, selecione um tipo de relatrio da caixa de listagem.
Altere quaisquer configuraes bsicas ou avanadas do relatrio.
Clique em Salvar filtro.
Na caixa de texto Nome do filtro, digite um nome descritivo para o filtro de

relatrio. Apenas os 32 primeiros caracteres do nome que voc der sero
exibidos quando o filtro for adicionada lista Utilizar um filtro salvo.
Clique em OK.
Quando a caixa de dilogo de confirmao for exibida, clique em OK.

Depois que um filtro salvo, ele exibido na caixa de listagem Utilizar um
filtro salvo dos relatrios e logs associados.
Para excluir um relatrio personalizado
Na guia Relatrios rpidos, selecione um tipo de relatrio.
Na caixa de listagem Utilizar um filtro salvo, selecione o nome do filtro que

deseja excluir.
Clique no cone Excluir ao lado da caixa de listagem Utilizar um filtro salvo.
Quando a caixa de dilogo de confirmao for exibida, clique em Sim.
675
676


Os relatrios agendados so os relatrios executados automaticamente com base
no agendamento que voc configurar. Os relatrios agendados so enviados por
e-mail aos destinatrios; portanto, voc deve incluir o endereo de e-mail de pelo
menos um destinatrio. Aps a execuo de um relatrio, o mesmo enviado aos
destinatrios definidos, como um arquivo .mht anexo.
Os dados exibidos nos relatrios agendados so atualizados no banco de dados de
hora em hora. Quando o servidor de gerenciamento enviar um relatrio agendado
por e-mail, os dados no relatrio sero os que foram atualizados na ltima hora.
Os outros relatrios que contm dados em funo do tempo so atualizados no
banco de dados com base no intervalo de upload configurado para os logs do
cliente.
Consulte Especificao do tamanho do log do cliente e de quais fazer upload para
o servidor de gerenciamento na pgina 792.
Nota: Se voc tiver vrios servidores em um site que compartilha um banco de
dados, apenas o servidor instalado primeiramente executar os relatrios
agendados para o site. Esse padro assegura que nenhum dos servidores no site
executar as mesmas verificaes agendadas simultaneamente. Se voc deseja
designar um servidor diferente para execuo dos relatrios agendados, pode
configurar essa opo nas propriedades do site local.
Para criar um relatrio agendado
Na guia Relatrios agendados, clique em Adicionar.
Na caixa de texto Nome de relatrio, digite um nome descritivo e, se desejar,

uma descrio mais detalhada.
Embora seja possvel colar mais do que 255 caracteres na caixa de texto da
descrio, apenas 255 sero salvos.
Se voc no quiser que esse relatrio seja executado at a prxima vez,

desmarque a caixa de seleo Ativar este relatrio agendado.
Selecione o tipo de relatrio que deseja agendar na caixa de listagem.
Selecione o nome do relatrio especfico que deseja agendar na caixa de

listagem.
Selecione o nome do filtro salvo que deseja usar na caixa de listagem.

Na caixa de texto Executar a cada, selecione o intervalo de tempo em que

voc deseja enviar por e-mail o relatrio (horas, dias, semanas, meses). Ento,
digite o valor do intervalo de tempo selecionado. Por exemplo, se voc deseja
que o relatrio seja enviado a voc um dia sim, um dia no, selecione dias e
digite 2.
Na caixa de texto Iniciar aps, digite a data ou clique no cone do calendrio

e selecione a data em que deseja iniciar a execuo dos relatrios. Ento,
selecione a hora e os minutos nas caixas de listagem.
10 Em Destinatrios do relatrio, digite um ou mais endereos de e-mail

separados por vrgulas.
Voc j dever ter configurado as propriedades do servidor de e-mails para
que as notificaes por e-mail funcionem.
11 Clique em OK para salvar a configurao do relatrio agendado.

Voc pode alterar as configuraes de qualquer relatrio que j esteja agendado.
Na prxima vez em que o relatrio for executado, ele usar as novas configuraes
de filtro. Voc tambm pode criar relatrios agendados adicionais, que podem ter
como base um filtro de relatrio salvo anteriormente.
O armazenamento do filtro baseia-se, em parte, no criador, para que no ocorram
problemas quando dois usurios diferentes criam um filtro com o mesmo nome.
Entretanto, um usurio individual ou dois usurios que fizeram logon na conta
padro do administrador no devero criar filtros com o mesmo nome.
Se os usurios criarem filtros com o mesmo nome, poder ocorrer um conflito sob
duas condies:
Dois usurios fazem logon na conta padro do administrador em sites diferentes

e os dois criam um filtro com o mesmo nome.
Um usurio cria um filtro, faz logon em um site diferente e cria imediatamente

um filtro com o mesmo nome.
Se uma das condies ocorrer antes da replicao do site, o usurio ver em seguida
dois filtros com o mesmo nome na lista de filtros. Somente um dos filtros poder
ser utilizado. Se esse problema ocorrer, a prtica recomendada ser excluir o filtro
utilizvel e recri-lo com um nome diferente. Ao excluir o filtro utilizvel, voc
tambm excluir o filtro inutilizvel.
677
678

Nota: Quando voc associar um filtro salvo a um relatrio agendado, certifique-se

de que o filtro no contenha datas personalizadas. Se o filtro especificar uma data
personalizada, voc obter o mesmo relatrio cada vez que ele for executado.
Para editar o filtro usado para um relatrio agendado
Clique em Relatrios agendados.
Na lista de relatrios, clique no relatrio agendado que deseja editar.
Clique em Editar filtro.
Faa as alteraes que desejar no filtro.

Se desejar manter o filtro original do relatrio, d um novo nome a esse filtro
editado.
Clique em OK.
Quando a caixa de dilogo de confirmao for exibida, clique em OK.

Voc pode imprimir um relatrio ou salvar uma cpia de um relatrio rpido. No
possvel imprimir relatrios agendados. Um arquivo salvo ou um relatrio
impresso fornece uma captura de imagem dos atuais dados no banco de dados da
gerao de relatrios para que voc possa manter um log do histrico.
Nota: O Internet Explorer no imprime as cores e imagens do segundo plano por
padro. Se a opo de impresso estiver desativada, o relatrio impresso poder
parecer diferente do relatrio criado por voc. Voc pode alterar as configuraes
no navegador para imprimir as cores e imagens do segundo plano.
Para imprimir a cpia de um relatrio
Na janela do relatrio, clique em Imprimir.
Na caixa de dilogo Impresso, selecione a impressora desejada e, se

necessrio, clique em Imprimir.

Exibio de logs
Ao salvar um relatrio, voc salva uma captura de imagem do ambiente de

segurana com base nos dados atuais no banco de dados de relatrios. Se executar
o mesmo relatrio em outro momento, com base na mesma configurao de filtro,
o novo relatrio mostrar outros dados.
Para salvar a cpia de um relatrio
Na janela do relatrio, clique em Salvar.
Na caixa de dilogo Download do arquivo, clique em Salvar.
Na caixa de dilogo Salvar como, na caixa de seleo Salvar em, procure o

local no qual deseja salvar o arquivo.
Na caixa de listagem Nome do arquivo, altere o nome padro do arquivo, se

desejar.
Clique em Salvar.
O relatrio salvo no formato de arquivo morto MHTML da pgina da Web
no local que voc selecionou.
Na caixa de dilogo Download concludo, clique em Fechar.
Exibio de logs
Voc pode gerar uma lista de eventos para exibir dos logs baseados em uma coleo
de configuraes de filtro selecionadas por voc. Cada tipo de log e de contedo
tem uma configurao padro de filtro que pode ser usada como est ou ser
modificada. Voc pode tambm criar e salvar novas configuraes de filtro. Esses
novos filtros podem basear-se no filtro padro ou em um filtro existente criado
previamente. Se voc salvar a configurao do filtro, poder gerar a mesma exibio
do log mais tarde, sem precisar definir as configuraes cada vez. possvel excluir
configuraes personalizadas de filtro se voc no precisar mais delas.
Nota: Se forem gerados erros no banco de dados ao exibir os logs que incluem uma
grande quantidade de dados, voc poder alterar os parmetros do tempo limite
do banco de dados.
Se surgirem erros CGI ou de processos concludos, convm alterar outros
parmetros do tempo limite.
Consulte Alterao de parmetros do tempo limite para verificar relatrios e
logs na pgina 837.
Como os logs contm algumas informaes coletadas em intervalos, voc pode
atualizar as exibies dos logs. Para configurar a taxa de atualizao do log, exiba
679
680

Exibio de logs
o log e selecione-o na caixa de listagem Atualizar automaticamente, na parte

superior direita dessa exibio do log.
Nota: Se voc exibir dados de log usando datas especficas, os dados permanecero
os mesmos quando voc clicar em Atualizar automaticamente.
Relatrios e logs so sempre exibidos no idioma em que o servidor de
gerenciamento foi instalado. Para exibi-los quando voc usar um console remoto
do Symantec Endpoint Protection Manager ou navegador, voc dever ter a fonte
apropriada instalada no computador usado.
Consulte O que voc pode fazer nos logs na pgina 681.
Consulte Como salvar e excluir logs personalizados usando-se filtros
na pgina 683.
Para exibir um log
Na janela principal, clique em Monitores.
Na guia Logs, da caixa de listagem Tipo de log, selecione o tipo de log que
voc deseja exibir.
Para alguns tipos de logs, a caixa de listagem Contedo do log exibida. Se

for exibida, selecione o contedo do log que voc deseja exibir.
Na caixa de listagem Usar filtro salvo, selecione um filtro salvo ou use o valor
Padro.
Selecione uma hora da caixa de listagem Intervalo de tempo ou use o valor

padro. Se voc selecionar Definir datas especficas, ento defina a data ou
datas e a hora das entradas que voc deseja exibir.
Clique em Configuraes avanadas para limitar o nmero de entradas que

voc deseja exibir.
Voc tambm pode definir quaisquer outras Configuraes avanadas
disponveis para o tipo de log selecionado.
Nota: Os campos de opes de filtro que aceitam caracteres curinga e
pesquisam correspondncias no diferenciam maisculas de minsculas. O
asterisco ASCII o nico que pode ser usado como um caractere curinga.
Aps definir a configurao de exibio que voc deseja, clique em Exibir log.
A exibio do log aparece na mesma janela.

Exibio de logs
O que voc pode fazer nos logs

Os logs contm registros sobre alteraes na configurao do cliente, atividades
relativas segurana e erros. Estes logs so denominados eventos. Os logs exibem
esses eventos com todas as informaes adicionais relevantes. As atividades
relativas segurana incluem as informaes sobre deteces de vrus, status do
computador e trfego de entrada e sada do computador-cliente.
Os logs so um mtodo importante de rastrear as atividades do computador-cliente
e a interao com outros computadores e redes. Voc pode usar estes dados para
analisar o status geral de segurana da rede e modificar a proteo nos
computadores-cliente. Voc pode acompanhar as tendncias que se relacionam
aos vrus, aos riscos segurana e aos ataques. Se o mesmo computador for usado
por vrias pessoas, voc poder identificar qual delas introduz os riscos e, assim,
ajud-la a usar precaues mais eficientes.
Voc pode exibir os dados de log na guia Logs da pgina Monitores.
O servidor de gerenciamento faz upload regularmente das informaes nos logs
dos clientes ao servidor de gerenciamento. Voc pode exibir estas informaes
nos logs ou nos relatrios. Como os relatrios so estticos, e eles no contm
tantos detalhes como os logs, talvez voc prefira monitorar a rede com os logs.
Nota: Caso voc tenha apenas o Symantec Network Access Control instalado,
somente alguns logs contero dados; outros logs estaro vazios. Os logs de
auditoria, de conformidade, de status do computador e do sistema contm dados.
Se tiver apenas o Symantec Endpoint Protection instalado, os logs de conformidade
e do Enforcer estaro vazios, mas todos os outros logs contero dados.
Alm de usar os logs para monitorar sua rede, voc poder tomar as seguintes
aes dos vrios logs:
Executar comandos nos computadores-cliente.

na pgina 685.
Adicionar diversos tipos de excees.

Consulte Para criar excees de eventos de log no Symantec Endpoint
Excluir arquivos da Quarentena.

Consulte Para usar o Log de riscos para excluir arquivos em quarentena em
A Tabela 25-3 descreve os diferentes tipos de contedo que podem ser exibidos e
as aes que podem ser realizadas atravs de cada log.
681
682

Exibio de logs
Tabela 25-3
Tipos de log
Tipo de log
Contedos e aes
Auditoria
O Log de auditoria contm informaes sobre atividade de modificao de poltica.

As informaes disponveis incluem a hora e o tipo de evento; a poltica modificada;
o domnio, local e nome de usurio envolvido, e uma descrio.
Nenhuma ao est associada a esse log.
aplicativos
Os logs do Controle de aplicativos e do Controle de dispositivos contm informaes

sobre eventos em que algum tipo de comportamento foi bloqueado.
Os seguintes logs do Controle de dispositivos e aplicativos esto disponveis:
Controle de aplicativos, que inclui informaes sobre a Proteo contra
adulteraes.
Controle de dispositivos
A informaes disponveis incluem o horrio em que o evento ocorreu, a ao tomada,

alm do domnio e do computador envolvidos. Tambm so includos o usurio
envolvido, a gravidade, a regra envolvida, o processo do chamador e o destino.
Voc pode criar um controle de aplicativos ou uma exceo da proteo contra
adulteraes do log de controle de aplicativos.
Consulte Para especificar como o Symantec Endpoint Protection gerencia aplicativos
monitorados na pgina 585.
Conformidade
Os logs de conformidade contm informaes sobre o servidor Enforcer, seus clientes

e seu trfego, e sobre a conformidade do host.
Nenhuma ao est associada a esses logs.
Status do computador
O Log de status do computador contm informaes sobre o status operacional em

tempo real dos computadores-cliente na rede.
As informaes disponveis incluem o nome do computador, o endereo IP, o status
de infectado, as tecnologias de proteo, o status do Auto-Protect, as verses e as
datas de definies. Tambm so includos o usurio, o horrio da ltima verificao,
a poltica, o grupo, o domnio e o status de reincio necessrio.
Nesse log, tambm possvel limpar o status infectado dos computadores.
Nota: Este log contm informaes que so coletadas dos clientes Windows e Mac.

Exibio de logs
Tipo de log
Contedos e aes

rede
Os logs da Proteo contra ameaas rede contm informaes sobre ataques ao

firewall e preveno contra intruses. So disponibilizadas informaes sobre ataques
de negao de servio, verificao de portas e mudanas efetuadas em arquivos
executveis. Os logs tambm contm informaes sobre conexes efetuadas por meio
do firewall (trfego) e os pacotes de dados que passam por ele. Esses logs contm
ainda algumas das mudanas operacionais que so efetuadas nos computadores,
como aplicativos de rede e configurao de software.
SONAR
O log do SONAR contm informaes sobre as ameaas que foram detectadas durante
a verificao de ameaas do SONAR. Estas so verificaes em tempo real que detectam
aplicativos potencialmente maliciosos quando so executados em seu
computador-cliente.
As informaes incluem itens como a hora da ocorrncia, a ao real do evento, o
nome de usurio, o domnio da Web, o aplicativo, o tipo de aplicativo, o arquivo e o
caminho.
Se voc tiver clientes legados em sua rede, o log do SONAR poder tambm conter as
informaes das Verificaes proativas de ameaas TruScan legadas.
Risco
O Log de riscos contm informaes sobre eventos de risco. As informaes disponveis

incluem a hora do evento, a ao real do evento, o nome de usurio, o computador e
domnio, a fonte e o nome do risco, a contagem, o arquivo e o caminho.
Verificar
O log de verificaes contm informaes sobre a atividade da verificao de vrus e

spyware dos clientes Windows e Mac.
As informaes disponveis incluem itens como o incio da verificao, computador,
endereo IP, status, durao, deteces, verificados, omitidos e domnio.
Sistema
Os logs do sistema contm informaes sobre eventos, como quando um servio

iniciado ou interrompido.
Como salvar e excluir logs personalizados usando-se filtros

Voc pode gerar filtros personalizados com a opo Configuraes bsicas e
Configuraes avanadas para alterar as informaes que voc deseja visualizar.
possvel salvar as configuraes de filtro para o banco de dados a fim de gerar
novamente a mesma exibio no futuro. Quando voc salva as configuraes, elas
683
684

Exibio de logs
so salvas no banco de dados. O nome do filtro aparece na caixa de listagem Utilizar

um filtro salvo para esse tipo de log e relatrio.
Nota: Se selecionar ltimas 24 como o intervalo de tempo de um filtro de log, o
intervalo de tempo de 24 horas comear quando voc selecionar o filtro. Se voc
atualizar a pgina, o incio do intervalo de 24 horas no ser redefinido. Se voc
selecionar o filtro e aguardar para exibir um log, o intervalo de tempo comear
quando voc selecionar o filtro. Ele no comea quando voc exibe o log.
Se voc deseja verificar se o intervalo de ltimas 24 horas comea agora, selecione
um intervalo de tempo diferente e selecione novamente ltimas 24 horas.
Para salvar um log personalizado usando um filtro
Na janela principal, clique em Monitores.
Na guia Logs, selecione o tipo de exibio de log para o qual deseja configurar
o filtro na caixa de listagem Tipo de log.
Para alguns tipos de logs, a caixa de listagem Contedo do log exibida. Se

ela for exibida, selecione o contedo do log para o qual deseja configurar o
filtro.
Na caixa de listagem Utilizar um filtro salvo, selecione o filtro do qual voc

deseja comear. Por exemplo, selecione o filtro padro.
Em Quais configuraes de filtro voc gostaria de usar?, clique em

Configuraes avanadas.
Altere quaisquer configuraes.
Na caixa de dilogo exibida, na caixa Nome do filtro, digite o nome que voc
deseja usar para essa configurao de filtro de log. Somente os primeiros 32
caracteres do nome so exibidos quando o filtro salvo adicionado lista de
filtros.
Clique em OK e o novo nome do filtro ser adicionado caixa de listagem

Utilizar um filtro salvo.
10 Quando a caixa de dilogo de confirmao for exibida, clique em OK.

Para excluir um filtro salvo
Na caixa de listagem Utilizar um filtro salvo, selecione o nome do filtro de

log que voc deseja excluir.
Ao lado do caixa de listagem Utilizar um filtro salvo, clique no cone Excluir.
Quando solicitado a confirmar se deseja excluir o filtro, clique em Sim.

Exibio de logs de outros sites

Se desejar exibir os logs de outro site, voc deve fazer logon em um servidor no
site remoto do console do Symantec Endpoint Protection Manager. Se voc tiver
uma conta em um servidor no site remoto, poder fazer logon remotamente e
exibir os logs desse site.
Se voc tiver configurado parceiros de replicao, poder escolher que todos os
logs dos parceiros de replicao sejam copiados para o parceiro local e vice-versa.
Se escolher replicar logs, por padro voc ver as informaes tanto do seu site
como dos sites replicados, ao exibir um log. Se voc quiser ver um nico site, ser
preciso filtrar os dados para limit-los ao local que deseja exibir.
Nota: Se escolher replicar logs, certifique-se de ter suficiente espao em disco
para os logs adicionais em todos os parceiros de replicao.
Para exibir os logs de outro site
Abra um navegador da Web.
Digite o nome ou o endereo IP do servidor e o nmero da porta, 9090, na

caixa de texto do endereo como segue:
http://192.168.1.100:9090
O console faz o download. Voc deve fazer logon de um computador que tenha
o Java 2 Runtime Environment (JRE) instalado. Se no estiver instalado, voc
ser solicitado a fazer o download e a instalao. Siga os avisos para instalar
o JRE.
Na caixa de dilogo de logon do console, digite o nome de usurio e a senha.
Na caixa de texto Servidor, se no for preenchida automaticamente, digite o

nome ou o endereo IP do servidor e o nmero da porta, 8443, como segue:
http://192.168.1.100:8443
Para executar comandos atravs do log de status do

computador
No log Status do computador, voc pode tomar os seguintes tipos de aes em
computadores-cliente:
685
686

Executar ou cancelar verificaes.
Reiniciar computadores.
Atualizar contedo.
Ativar ou desativar diversas tecnologias de proteo.
Tambm possvel clicar com o boto direito do mouse diretamente em um grupo

da pgina Clientes do console do Symantec Endpoint Protection Manager para
executar comandos.
na pgina 247.
na pgina 250.
Na guia Status do comando, possvel exibir o status dos comandos executados
do console e seus detalhes. Voc poder tambm cancelar uma verificao
especfica nesta guia se a verificao estiver em andamento.
Voc pode cancelar todas as verificaes em andamento e enfileiradas para clientes
selecionados. Se confirmar o comando, a tabela ser atualizada e voc poder ver
que o comando cancelar adicionado tabela de status do comando.
Nota: Se voc executar o comando de verificao e selecionar uma verificao
Personalizada, a verificao usar as configuraes de verificao do comando
definidas na pgina Verificao definida pelo administrador. O comando usa as
configuraes que esto na poltica de proteo contra vrus e spyware que
aplicada aos computadores-cliente selecionados.
Se voc executar o comando Reiniciar computador-cliente de um log, o comando
ser enviado imediatamente. Se os usurios estiverem conectados ao cliente, eles
sero avisados sobre a reinicializao com base nas opes que o administrador
configurou para esse cliente.
Voc pode configurar as opes de reinicializao do cliente na guia Configuraes
gerais.
Para executar um comando no Log de status do computador
Na guia Logs, na caixa de listagem Tipo de log, selecione Status do

computador.

Selecione um comando na caixa de listagem Ao.
Clique em Iniciar.
Se houver opes de configurao para o comando selecionado, uma nova
pgina ser exibida onde voc poder configurar as configuraes adequadas.
Aps concluir a configurao, clique em Sim ou em OK.
Na caixa de mensagem de confirmao do comando exibida, clique em Sim.
Na caixa de dilogo Mensagem, clique em OK.

Se o comando no for colocado em fila com xito, poder ser necessrio repetir
esse procedimento. Voc pode verificar se o servidor est inativo. Se o console
perdeu conectividade com o servidor, faa logoff do console e ento faa login
novamente para ver se isso ajuda.
Para exibir detalhes sobre o status do comando
Na guia Status do comando, selecione um comando na lista e ento clique

em Detalhes.
Para cancelar uma verificao especfica em andamento
Na guia Status do comando, clique no cone Cancelar verificao na coluna

Comando do comando de verificao que deseja cancelar.
Quando a confirmao de que o comando foi colocado em fila com xito for
exibida, clique em OK.
Para cancelar todas as verificaes em andamento ou em fila
Na guia Logs, na caixa de listagem Tipo de log, selecione Status do

computador.
Selecione um ou mais computadores na lista e selecione Cancelar todas as

verificaes na lista de comandos.
Clique em Iniciar.
Quando a caixa de dilogo de confirmao for exibida, clique em Sim para

cancelar todas as verificaes em andamento e em fila para os computadores
selecionados.
Quando a confirmao de que o comando foi colocado em fila com xito for
exibida, clique em OK.
687
688

Captulo
26
Para gerenciar notificaes

Gerenciamento de notificaes
Estabelecimento de comunicao entre o servidor de gerenciamento e os

servidores de e-mail
Exibio e reconhecimento de notificaes
Como salvar e excluir filtros administrativos de notificao
Configurao de notificaes do administrador
Como os upgrades de outra verso afetam as condies de notificao
As notificaes alertam os administradores e os usurios de computadores sobre
problemas de segurana em potencial.
Alguns tipos de notificao contm os valores padro quando voc as configura.
Essas orientaes oferecem razoveis pontos de partida, dependendo do tamanho
do seu ambiente, mas podem precisar de ajustes. Pode ser necessrio o mtodo de
tentativa e erro para encontrar o correto equilbrio entre muitas ou poucas
notificaes para seu ambiente. Configure o limite em um nvel inicial e espere
alguns dias. Aps alguns dias, possvel ajustar as configuraes das notificaes.
Para deteco de eventos de firewall, riscos segurana e vrus, digamos que voc
tenha menos de 100 computadores em uma rede. Um ponto de partida razovel
nessa rede configurar uma notificao quando dois eventos de risco forem
detectados dentro de um minuto. Se voc tiver de 100 a 1.000 computadores, a
deteco de cinco eventos de risco dentro de um minuto pode ser um ponto de
partida mais til.
690

Gerencie notificaes na pgina Monitores. Voc pode usar a pgina Incio para
determinar o nmero de notificaes desconhecidas que precisam de sua ateno.
A Tabela 26-1 lista as tarefas que voc pode executar para gerenciar notificaes.
Tabela 26-1
Tarefa
Descrio
Saiba mais sobre as

notificaes
Aprenda como funcionam as notificaes.

Consulte Como as notificaes funcionam na pgina 690.
Confirme que o servidor de As notificaes enviadas por e-mail exigem que o Symantec
e-mail est para
Endpoint Protection Manager e servidor de e-mail estejam
configurado para ativar
configurados corretamente.
notificaes de e-mail
Consulte Estabelecimento de comunicao entre o servidor
de gerenciamento e os servidores de e-mail na pgina 696.
Verifique as notificaes
pr-configuradas
Verifique as notificaes pr-configuradas fornecidas pelo

Exiba as notificaes no
confirmadas
Exiba e responda a notificaes no confirmadas.
Configure novas
notificaes
Opcionalmente, crie notificaes para lembrar voc e outros

administradores sobre problemas importantes.
Consulte Exibio e reconhecimento de notificaes

na pgina 697.
Consulte Configurao de notificaes do administrador

na pgina 699.
Consulte Sobre como ativar notificaes para clientes
remotos na pgina 280.
Crie filtros de notificao
Opcionalmente, crie filtros que para expandir ou limitar a

exibio de todas as notificaes que foram acionadas.
Consulte Como salvar e excluir filtros administrativos de
notificao na pgina 698.
Como as notificaes funcionam

As notificaes alertam os administradores e os usurios sobre possveis problemas
de segurana. Por exemplo, uma notificao pode alertar os administradores sobre
uma licena expirada ou uma infeco por vrus.
Os eventos acionam uma notificao. Um novo risco segurana, uma mudana
de hardware em um computador-cliente ou uma expirao de licena trialware
podem acionar uma notificao. As aes podero, ser tomadas pelo sistema

quando uma notificao for acionada. Uma ao pode gravar a notificao em um

log, executar um arquivo de lote ou um arquivo executvel ou enviar um e-mail.
Nota: As notificaes de e-mail exigem que as comunicaes entre o Symantec
Endpoint Protection Manager e o servidor de e-mail estejam configuradas
corretamente.
Voc pode definir um perodo do amortecedor para notificaes. O perodo do
amortecedor especifica quanto tempo deve passar antes que a condio da
notificao seja verificada em busca de dados novos. Quando uma condio de
notificao tiver um perodo do amortecedor, a notificao ser apenas emitida
na primeira ocorrncia da condio do acionador nesse perodo. Por exemplo,
suponha que um ataque de vrus em grande escala ocorra e que haja uma condio
de notificao configurada para enviar um e-mail sempre que cinco computadores
forem infectados por vrus na rede. Se voc definir um perodo do amortecedor
de uma hora para essa condio de notificao, o servidor enviar apenas um
e-mail de notificao a cada hora durante o ataque.
Consulte O que so os tipos de notificaes e quando so enviados? na pgina 691.
O que so os tipos de notificaes e quando so enviados?

O Symantec Endpoint Protection Manager fornece notificaes para
administradores. Voc pode personalizar a maioria destas notificaes para
cumprir com suas necessidades especficas. Por exemplo, possvel adicionar
filtros para limitar uma condio de acionamento apenas para computadores
especficos. Ou voc pode definir que as notificaes tomem aes especficas
quando forem acionadas.
Por padro, algumas dessas notificaes sero ativadas quando voc instalar o
Symantec Endpoint Protection Manager. As notificaes ativadas por padro so
configuradas para conectarem-se ao servidor e enviar um e-mail aos
administradores do sistema.
Consulte Como os upgrades de outra verso afetam as condies de notificao
na pgina 700.
691
692

Tabela 26-2
Notificaes pr-configuradas
Notificao
Descrio
Falha de autenticao
Um nmero configurvel de falhas de logon em um

perodo de tempo definido aciona a notificao de Falha
de autenticao. Voc pode definir o nmero de falhas
de logon e o perodo de tempo no qual devem ocorrer
para que a notificao seja acionada.
Lista de clientes alterada
Esta notificao ser acionada quando houver uma

mudana na lista existente de clientes. Esta condio
de notificao ativada por padro.
As mudanas na lista de clientes podem incluir:
A adio de um cliente
Uma mudana no grupo de um cliente
Uma mudana no nome de um cliente
A excluso de um cliente
Uma mudana no hardware de um cliente
Uma mudana no status Detector no gerenciado

de um cliente
Uma alterao no modo do cliente
Essa notificao fica ativada por padro.

Alerta de segurana do cliente
Esta notificao ser acionada com qualquer um dos

seguintes eventos de segurana:
Eventos de conformidade
Eventos da Proteo contra ameaas rede
Eventos de trfego
Eventos do pacote
Eventos de controle de dispositivos
Eventos do controle de aplicativos
Voc pode modificar esta notificao para especificar

o tipo, a gravidade e a frequncia de eventos que
determinam quando essas notificaes so acionadas.
Alguns desses tipos de ocorrncias tambm requerem
a ativao do log na poltica associada.
Contedo de proteo de
download desatualizado
Alerta os administradores sobre o contedo

desatualizado da proteo de download. Voc pode
especificar a idade em que as definies acionam a
notificao.

Notificao
Descrio
O Enforcer est desligado
Esta notificao ser acionada quando o appliance

Enforcer estiver off-line. A notificao informa o nome,
o grupo e a hora do ltimo status de cada Enforcer.
Aplicativo forado detectado
Esta notificao ser acionada quando um aplicativo

na lista de aplicativos comerciais for detectado ou
quando um aplicativo na lista de aplicativos
monitorados pelo administrador for detectado.
Assinatura IPS desatualizada
Alerta os administradores sobre assinaturas IPS

desatualizadas. Voc pode especificar a idade em que
as definies acionam a notificao.
Problema de licenciamento
Esta notificao alerta administradores e,

opcionalmente, parceiros sobre licenas pagas que
expiraram ou que esto para expirar.
Expirao da licena paga

Implementao excessiva
Esta notificao alerta administradores e,

opcionalmente, parceiros sobre licenas pagas
implementadas excessivamente.
Vencimento da licena de teste
Esta notificao alerta administradores sobre licenas

de teste expiradas e as licenas de teste que devem
expirar em 60, 30 e 7 dias.
Esta notificao ser ativada por padro se houver uma
licena de teste. Ela no ser ativada por padro se sua
licena estiver vencida devido a um upgrade ou se tiver
sido paga.
Novo aplicativo reconhecido
Essa notificao acionada quando a aprendizagem

de aplicativo detecta um novo aplicativo.
Novo risco detectado
Esta notificao sempre acionada quando as

verificaes de vrus e spyware detectarem um risco
novo.
693
694

Notificao
Descrio
Novo pacote de software
Esta notificao ser acionada quando for feito o

download de um novo pacote de software ou o seguinte
ocorrer:
O LiveUpdate faz o download de um pacote de
cliente.
realizado o upgrade do servidor de gerenciamento.
O console importa manualmente pacotes de cliente.
Voc pode especificar se a notificao acionada

apenas pelas novas definies de segurana, apenas
por novos pacotes de cliente ou ambos. Por padro, a
opo de configurao Pacote de cliente ativada e a
opo Definies de segurana desativada para esta
condio.
A notificao Novo software-cliente ativada por
padro.
Novo download permitido pelo
usurio
Esta notificao ser acionada quando um

computador-cliente permitir um aplicativo detectado
pelo Download Insight. Um administrador pode usar
esta informao para ajudar a avaliar se o aplicativo
deve ser permitido ou bloqueado.
Epidemia de risco
Essa notificao alerta os administradores sobre

epidemias de risco segurana. Voc define o nmero
e o tipo de ocorrncias de riscos novos e o perodo de
tempo no qual devem ocorrer para acionar a
notificao. Os tipos incluem ocorrncias em qualquer
computador, ocorrncias em um nico computador ou
ocorrncias em computadores distintos.
Esta condio de notificao ativada por padro.
Appliance de segurana virtual

off-line
Esta notificao alertar os administradores quando

o Appliance de segurana virtual ficar off-line. Os
appliances virtuais de segurana somente so
executados em infraestruturas do vShield de VMware.
Integridade do servidor
Os problemas de integridade do servidor acionam a

notificao. A notificao lista o nome do servidor, o
status de integridade, a razo e o mais recente status
online/off-line.

Notificao
Descrio
Evento com risco nico
Essa notificao acionada na deteco de um evento

com risco nico e fornece detalhes sobre o risco. Os
detalhes incluem o usurio e o computador envolvidos,
e as aes executadas pelo servidor de gerenciamento.
Definio desatualizada do
SONAR
Alerta administradores sobre definies de SONAR

Evento do sistema
Esta notificao ser acionada quando ocorrerem

determinados eventos do sistema e fornece o nmero
de tais eventos detectados.
Os eventos do sistema incluem os seguintes eventos:
Computadores no gerenciados
Atividades do servidor
Atividades do Enforcer
Falhas na replicao
Erros do sistema
Esta notificao ser acionada quando o servidor de

gerenciamento detectar computadores no gerenciados
na rede. A notificao fornece os detalhes incluindo o
endereo IP, o endereo MAC e o sistema operacional
de cada computador no gerenciado.
Expirao da licena de upgrade Os upgrades das verses anteriores do Symantec

Endpoint Protection Manager para a verso atual
recebem uma licena de upgrade. Essa notificao
acionada quando a licena de upgrade estiver prestes
a expirar.
Nota: A notificao de Expirao da licena de

upgrade aparece somente depois de um upgrade do
Definies de vrus
desatualizadas
Alerta administradores sobre definies de vrus

Sobre notificaes do parceiro

Quando o servidor de gerenciamento detectar que os clientes pagaram as licenas
que esto para expirar ou que expiraram, uma notificao poder ser enviada para
o administrador do sistema. De maneira semelhante, o servidor de gerenciamento
695
696

Estabelecimento de comunicao entre o servidor de gerenciamento e os servidores de e-mail
poder enviar uma notificao para o administrador quando detectar que as

licenas foram implementadas em excesso.
Porm, em ambos os casos, a resoluo do problema pode exigir a compra de novas
licenas ou renovaes. Em muitas instalaes o administrador do servidor pode
no ter a autoridade para fazer tais compras, mas confia em um parceiro da
Symantec para executar esta tarefa.
O servidor de gerenciamento fornece a capacidade de manter as informaes de
contato para o parceiro. Estas informaes podero ser fornecidas quando o
servidor for instalado. O administrador do sistema tambm pode fornecer ou
editar as informaes do parceiro a qualquer momento aps a instalao no painel
Licenas do console.
Quando as informaes de contato do parceiro estiverem disponveis ao servidor
de gerenciamento, as notificaes relacionadas s licenas pagas e as notificaes
de licena implementadas em excesso sero enviadas automaticamente ao
administrador e ao parceiro.
Estabelecimento de comunicao entre o servidor de

gerenciamento e os servidores de e-mail
Para que o servidor de gerenciamento envie notificaes de e-mail automticas,
necessrio configurar a conexo entre o servidor de gerenciamento e o servidor
de e-mail.
Para estabelecer a comunicao entre o servidor de gerenciamento e os servidores
de e-mail
Em Exibir servidores, selecione o servidor de gerenciamento para o qual voc

deseja estabelecer uma conexo ao servidor de e-mails.
Na caixa de dilogo Propriedades do servidor, clique na guia Servidor de

e-mails.
Digite as configuraes do servidor de e-mail.

Para obter detalhes sobre a configurao de opes nessa caixa de dilogo,
clique em Ajuda.
Clique em OK.


Voc pode exibir notificaes no confirmadas ou todas as notificaes. Voc pode
reconhecer uma notificao no confirmada. Voc pode exibir todas as condies
de notificao que esto configuradas atualmente no console.
O painel Status de segurana na pgina Incio indica o nmero de notificaes
no confirmadas que ocorreram durante as ltimas 24 horas.
Para exibir notificaes recentes no confirmadas
Na pgina Incio, no painel Status de segurana, clique em Visualizar

notificaes.
Uma lista de notificaes recentes aparece no confirmadas aparece na guia
Notificaes.
Opcionalmente, na lista de notificaes, na coluna Relatrio, clique no cone

do documento, se existir.
O relatrio da notificao exibido em uma janela separada do navegador.
Se no houver um cone de documento, todas as informaes sobre a
notificao aparecero na coluna Mensagem, na lista de notificaes.
Para exibir todas as notificaes
No console, clique em Monitores e, em seguida, na guia Notificaes.
Opcionalmente, na guia Notificaes, do menu Utilizar um filtro salvo,

selecione um filtro salvo.
Consulte Como salvar e excluir filtros administrativos de notificao
na pgina 698.
Opcionalmente, na guia Notificaes, do menu Intervalo de tempo, selecione

um intervalo de tempo.
Na guia Notificaes, clique em Visualizar notificaes.
Para reconhecer uma notificao
Exiba as notificaes.
Consulte Para exibir notificaes recentes no confirmadas na pgina 697.
Consulte Para exibir todas as notificaes na pgina 697.
Na guia Notificaes, na lista de notificaes, na coluna Conf, clique no cone

vermelho para reconhecer a notificao.
697
698

Como salvar e excluir filtros administrativos de notificao
Para exibir todas as condies de notificao configuradas
Na pgina Monitores, na guia Notificaes, clique em Condies de

notificao.
Todas as condies de notificaes configuradas no console so mostradas.
Voc pode filtrar a lista selecionando um tipo de notificao no menu Mostrar
tipos de notificaes.
Como salvar e excluir filtros administrativos de

notificao
Voc pode usar filtros para expandir ou limitar a exibio de notificaes
administrativas no console. Voc pode salvar filtros novos e excluir filtros
previamente salvos.
Voc pode criar um filtro salvo que use qualquer combinao dos seguintes
critrios:
Intervalo de tempo
Status de confirmao
Tipo de notificao
Criado por
Nome da notificao
Por exemplo, possvel criar um filtro que exiba apenas as notificaes de epidemia
de riscos no confirmadas publicadas nas ltimas 24 horas.
Para adicionar um filtro de notificao
Na pgina Monitores, na guia Notificaes, clique em Configuraes

avanadas.
No cabealho Quais configuraes de filtro voc deseja usar?, defina os

critrios do filtro.
Na guia Notificaes, na caixa Nome do filtro, digite o nome de um filtro e

clique em OK.

Para excluir um filtro de notificao salvo
A pgina Monitores, na guia Notificaes, no menu Utilizar um filtro salvo

escolha um filtro.
direita do menu Utilizar um filtro salvo, clique no cone de X.
Na caixa de dilogo Excluir filtro, clique em Sim.

Voc pode configurar as notificaes para alertarem voc e outros administradores
quando tipos especficos de eventos ocorrerem. Voc tambm pode adicionar as
condies que acionam notificaes para lembr-lo de executar tarefas
importantes. Por exemplo, possvel adicionar uma condio de notificao para
inform-lo quando uma licena tiver expirado ou quando um risco segurana
for detectado.
Quando acionada, uma notificao pode executar aes especficas, como:
Registrar a notificao no banco de dados.
Enviar um e-mail para um ou mais indivduos.
Executar um arquivo de lote.
Nota: Para enviar notificaes de e-mail, necessrio configurar um servidor de

e-mail para comunicar-se com o servidor de gerenciamento.
Escolha a condio de notificao em uma lista de tipos de notificao disponveis.
Depois de escolher o tipo de notificao, configure-o em seguida da seguinte forma:
Especifique filtros.
Nem todos os tipos de notificaes fornecem filtros. Quando fornecem,
possvel usar os filtros para limitar as condies que acionam a notificao.
Por exemplo, possvel restringir que uma notificao seja acionada apenas
quando os computadores em um grupo especfico forem afetados.
Especifique configuraes.
Todos os tipos de notificao fornecem configuraes, mas as configuraes
especficas variam de acordo com o tipo. Por exemplo, uma notificao de risco
699
700

pode permitir que voc especifique que tipo de verificao acionar a

notificao.
Especifique aes.
Todos os tipos de notificao fornecem aes que voc pode especificar.
Para configurar uma notificao do administrador
Na pgina Monitores, na guia Notificaes, clique em Condies de

notificao.
Na guia Notificaes, clique em Adicionar e, em seguida, clique em um tipo

de notificao.
Na caixa de dilogo Adicionar condies de notificao, fornea as seguintes

informaes:
Na caixa de texto Nome da notificao, digite um nome para identificar

a condio de notificao.
Na rea Quais configuraes de filtro voc gostaria de usar?, se estiver

presente, especifique as configuraes do filtro para a condio de
notificao.
Na rea Que configuraes voc deseja para esta notificao?, especifique

as condies que acionam a notificao.
Na rea O que deve ocorrer quando esta notificao for acionada?,

especifique as aes que so executadas quando a notificao acionada.
Clique em OK.

Como os upgrades de outra verso afetam as

condies de notificao
Quando o Symantec Endpoint Protection instalado em um servidor novo, muitas
condies pr-configuradas de notificao esto ativas por padro. Um upgrade
para o Symantec Endpoint Protection de uma verso anterior, porm, poder
afetar que as condies de notificao estejam ativas por padro. Pode tambm
afetar suas configuraes padro.
As seguintes condies de notificao esto ativas por padro em uma instalao
nova do Symantec Endpoint Protection:

Lista de clientes alterada
Novo software-cliente
Problema com implementao em excesso
Problema com licena paga
Epidemia de risco
Integridade do servidor
Expirao da licena do trialware
Definio de vrus desatualizada
Quando um administrador fizer upgrade do software de uma verso anterior,

todas as condies existentes de notificao da verso anterior sero preservadas.
Porm, as condies existentes de notificao Novo pacote de software se tornaro
condies de notificao Novo software-cliente. A condio Novo software-cliente
tem duas configuraes que no esto presentes na condio Novo pacote de
software : Pacote de cliente e Definies de segurana. Quando o software receber
upgrade, as duas configuraes estaro ativas para as condies de notificao
deste tipo que forem preservadas no upgrade. As notificaes Novo
software-cliente que forem condies criadas depois do upgrade, porm, tero a
configurao Pacote de cliente ativa e a configurao Definies de segurana
inativa por padro.
Nota: Quando a configurao Definies de segurana na condio de notificao
Novo software-cliente estiver ativa, isso poder causar o envio de um grande
nmero notificaes. Esta situao poder ocorrer quando houver muitos clientes
ou atualizaes de definio da segurana agendadas frequentemente. Se voc
no quiser receber notificaes frequentes sobre atualizaes de definio da
segurana, edite a condio de notificao para desativar a configurao Definies
de segurana
Diversas condies de notificao pode ter uma configurao nova que no aparecia
nas verses anteriores: Enviar e-mail aos administradores do sistema. Se essa
configurao for nova para uma condio de notificao, ela estar inativa por
padro para todas as condies existentes desse tipo que sucedam o upgrade.
Quando um tipo padro de condio de notificao no tiver sido adicionado em
uma instalao anterior, essa condio de notificao ser adicionada na instalao
com upgrade. Porm, o processo de upgrade no poder determinar que condies
padro de notificao teriam sido excludas deliberadamente pelo administrador
na instalao anterior. Com uma exceo, portanto, todas as configuraes
seguintes de ao estaro inativas em cada condio padro de notificao em
701
702

uma instalao com upgrade: Enviar e-mail aos administradores do sistema,

Registrar em log a notificao, Executar arquivo de lote e Enviar e-mail para.
Quando todas estas quatro aes estiverem inativas, a condio de notificao
no ser processada, mesmo que a prpria condio esteja presente. Os
administradores podem editar as condies de notificao para ativar algumas
ou todas estas configuraes.
Nota que a condio de notificao Novo software-cliente uma exceo: ela
poder produzir notificaes por padro quando for adicionada durante o processo
de upgrade. Diferentemente de outras condies de notificao padro, as
configuraes das aes Registrar em log a notificao e Enviar um e-mail aos
administradores do sistema estaro ativas para esta condio.
Se a verso anterior do software no suportar licenas, uma condio de notificao
Expirao da licena de upgrade estar ativa.
Alguns tipos de condio de notificao no esto disponveis nas verses
anteriores do software. Essas condies de notificao sero ativadas por padro
quando o software receber upgrade.
Seo
Para gerenciar a proteo em

ambientes virtuais
Captulo 27. Viso geral do Symantec Endpoint Protection e infraestruturas

virtuais
Captulo 28. Para instalar e usar um Cache de inteligncia compartilhado

baseado em rede
Captulo 29. Para instalar o Appliance de segurana virtual e usar um Cache

de inteligncia compartilhado ativado para vShield
Captulo 30. Para usar a Exceo de imagem virtual
Captulo 31. Infraestruturas da rea de trabalho virtual no persistentes
704
Captulo
27
Viso geral do Symantec

Endpoint Protection e
infraestruturas virtuais
Para usar o Symantec Endpoint Protection nas infraestruturas virtuais
Sobre o Cache de inteligncia compartilhado
Sobre a ferramenta Exceo de imagem virtual
Para usar o Symantec Endpoint Protection nas

infraestruturas virtuais
O Symantec Endpoint Protection fornece o Cache de inteligncia compartilhado
e recursos da Exceo de imagem virtual para infraestruturas virtuais, que podem
ser ativadas para melhorar o desempenho. Voc precisa executar algumas tarefas
de instalao e configurao adicionais para ativar estes recursos.
706
Viso geral do Symantec Endpoint Protection e infraestruturas virtuais

Para usar o Symantec Endpoint Protection nas infraestruturas virtuais
Recursos da infraestrutura virtual e seu uso
Tabela 27-1
Recurso e uso
Descrio
Use o Cache de inteligncia

compartilhado para ignorar a
verificao dos arquivos sabidamente
limpos.
O Cache de inteligncia compartilhado controla os arquivos sabidamente

limpos. O Cache de inteligncia compartilhado pode reduzir a carga da
verificao eliminando a necessidade de verificar novamente esses arquivos.
Voc pode configurar os seguintes tipos de Cache de inteligncia
compartilhado:
Cache de inteligncia compartilhado ativado para vShield
Os clientes virtuais em uma infraestrutura do VMware vShield podem
usar o Cache de inteligncia compartilhado ativado para vShield para
reduzir as cargas da verificao.
Cache de inteligncia compartilhado baseado na rede
Os clientes virtuais que usam qualquer tipo da infraestrutura virtual
podem usar um Cache de inteligncia compartilhado baseado na rede
para reduzir as cargas da verificao.
Nota: A Symantec suporta o uso de Cache de inteligncia compartilhado

ativado para vShield somente para infraestruturas VMware.
Consulte Sobre o Cache de inteligncia compartilhado na pgina 707.
Consulte O que preciso fazer para usar o Cache de inteligncia
compartilhado ativado para vShield? na pgina 726.
Consulte O que preciso fazer para usar o Cache de inteligncia
compartilhado baseado na rede? na pgina 710.
Use a ferramenta Exceo de imagem
virtual de modo que os clientes possam
ignorar a verificao de arquivos de
imagem base.
A ferramenta Exceo de imagem virtual permite marcar arquivos de

imagem base como seguros para que as verificaes ignorem esses arquivos
e reduzam as cargas da verificao.
Nota: A Symantec no suporta o uso da ferramenta Exceo de imagem

virtual em um ambiente fsico.
Consulte Sobre a ferramenta Exceo de imagem virtual na pgina 708.
Configure o recurso de infraestruturas Os clientes do Symantec Endpoint Protection tm uma configurao para
de rea de trabalho virtual no
indicar que so clientes virtuais no persistentes. Voc pode configurar
persistente.
um perodo de durao separado para as GVMs off-line em infraestruturas
de rea de trabalho virtual no persistente. O Symantec Endpoint Protection
Manager remove clientes GVM no persistentes que estiverem off-line por
mais tempo do que o perodo especificado.
Consulte Para configurar um intervalo separado de apagamento para
clientes VDI off-line no persistentes na pgina 752.
As tecnologias de proteo no Symantec Endpoint Protection Manager e no

Symantec Endpoint Protection funcionam tipicamente da mesma maneira em

infraestruturas virtuais e em infraestruturas fsicas. Voc pode instalar, configurar

e usar clientes do Symantec Endpoint Protection Manager e do Symantec Endpoint
Protection em infraestruturas virtuais da mesma maneira que em infraestruturas
fsicas.

O uso do Cache de inteligncia compartilhado melhora o desempenho em
infraestruturas virtuais. Arquivos que os clientes do Symantec Endpoint Protection
determinaram ser limpos so adicionados ao cache. As verificaes subsequentes
que usam a mesma verso das definies de vrus podem ignorar os arquivos que
esto no Cache de inteligncia compartilhado. O Cache de inteligncia
compartilhado usado somente para verificaes agendadas e manuais.
O Cache de inteligncia compartilhado executado como um servio Web
independente do cliente do Symantec Endpoint Protection. O Cache de inteligncia
compartilhado usa um sistema de votao. Aps um cliente usar o contedo mais
recente para verificar um arquivo e determinar se est limpo, o cliente enviar
um voto ao cache. Se o arquivo no estiver limpo, o cliente no enviar um voto.
Quando a contagem de votos para um arquivo for superior ou igual ao limite de
contagem de votos, o Cache de inteligncia compartilhado considerar o arquivo
limpo. Quando outro cliente precisar subsequentemente verificar o mesmo arquivo,
esse cliente consultar primeiramente o Cache de inteligncia compartilhado. Se
o arquivo for marcado como limpo para seu contedo atual, o cliente no verificar
esse arquivo.
Quando um cliente enviar um voto ao Cache de inteligncia compartilhado, o
cache verificar a verso do contedo que o cliente usou para verificar o arquivo.
Se o cliente no tiver o contedo mais recente, o Cache de inteligncia
compartilhado ignorar o voto. Se um contedo mais novo estiver disponvel, esse
contedo ser transformado em contedo conhecido mais recente e o Insight
compartilhado redefinir a contagem de votos como um.
Para manter o tamanho do cache gerencivel, o Cache de inteligncia
compartilhado usa um algoritmo de remoo. O algoritmo remover primeiramente
as entradas mais antigas do cache, que so aquelas com o carimbo de hora mais
antigo. Este algoritmo assegura que o tamanho do cache no exceda o limite de
uso da memria.
Consulte O que preciso fazer para usar o Cache de inteligncia compartilhado
baseado na rede? na pgina 710.
Consulte O que preciso fazer para instalar um Appliance de segurana virtual?
na pgina 727.
707
708


ativado para vShield? na pgina 726.
na pgina 705.

A ferramenta Exceo de imagem virtual permite aos clientes ignorar a verificao
dos arquivos de imagem base para ameaas. Este recurso reduz a carga de recursos
na E/S do disco e na CPU.
O Symantec Endpoint Protection suporta o uso de Excees de imagem virtual
para clientes gerenciados e clientes no gerenciados.
Nota: A Symantec no suporta o uso da ferramenta Exceo de imagem virtual
em ambientes fsicos.
Consulte Para usar a ferramenta Exceo de imagem virtual em uma imagem
base na pgina 745.
na pgina 705.
Captulo
28
Para instalar e usar um

Cache de inteligncia
compartilhado baseado em
rede
O que preciso fazer para usar o Cache de inteligncia compartilhado baseado

na rede?
Requisitos do sistema para implementar o Cache de inteligncia compartilhado

baseado na rede
Para instalar e desinstalar um Cache de inteligncia compartilhado baseado

em rede
Para ativar ou desativar o uso do Cache de inteligncia compartilhado baseado

na rede
Para personalizar as configuraes baseadas em rede do Cache de inteligncia

compartilhado
Para interromper e iniciar o servio do Cache de inteligncia compartilhado
Para exibir eventos de log do Cache de inteligncia compartilhado baseado na

rede
Para monitorar contadores de desempenho do Cache de inteligncia

compartilhado baseado na rede
Soluo de problemas no Cache de inteligncia compartilhado
710
Para instalar e usar um Cache de inteligncia compartilhado baseado em rede

O que preciso fazer para usar o Cache de inteligncia compartilhado baseado na rede?
O que preciso fazer para usar o Cache de inteligncia

compartilhado baseado na rede?
Voc pode usar o Cache de inteligncia compartilhado baseado na rede para
melhorar o desempenho da verificao.
Tabela 28-1
Tarefas para instalar e usar o Cache de inteligncia compartilhado

baseado na rede
Etapa
Tarefa
Etapa 1
Instale o Cache de inteligncia compartilhado.

Consulte Requisitos do sistema para implementar o Cache de inteligncia
compartilhado baseado na rede na pgina 710.
Consulte Para instalar e desinstalar um Cache de inteligncia compartilhado
baseado em rede na pgina 711.
Etapa 2
Na poltica do vrus e spyware no Symantec Endpoint Protection Manager, ative

seus clientes virtuais para usar o Cache de inteligncia compartilhado.
Consulte Para ativar ou desativar o uso do Cache de inteligncia compartilhado
Aps instalar o Cache de inteligncia compartilhado, voc poder opcionalmente

fazer as tarefas a seguir:
Personalizar as configuraes de servio, cache ou log do Cache de inteligncia

compartilhado.
Consulte Para personalizar as configuraes baseadas em rede do Cache de
inteligncia compartilhado na pgina 715.
Exibir eventos relacionados no log.

Consulte Para exibir eventos de log do Cache de inteligncia compartilhado
Usar o Gerenciador de desempenho do Windows para monitorar o desempenho.

Consulte Para monitorar contadores de desempenho do Cache de inteligncia
Requisitos do sistema para implementar o Cache de

inteligncia compartilhado baseado na rede
A Tabela 28-2 descreve os requisitos mnimos do sistema de que uma infraestrutura
virtual precisa para executar o Cache de inteligncia compartilhado.

Para instalar e desinstalar um Cache de inteligncia compartilhado baseado em rede
Tabela 28-2
Requisitos do sistema do Cache de inteligncia compartilhado

baseado na rede
Requisito
Descrio
Software
Windows Server 2003/2008
.NET Framework 4
CPU
O Cache de inteligncia compartilhado deve ser instalado em um servidor

ou mquina virtual dedicado.
Memria
Mnimo de 2 GB
Espao livre em
disco
Mnimo de 100 MB

Consulte Para instalar e desinstalar um Cache de inteligncia compartilhado
baseado em rede na pgina 711.
Para instalar e desinstalar um Cache de inteligncia

compartilhado baseado em rede
Antes de instalar o Cache de inteligncia compartilhado, assegure-se de que
cumpriu todos os requisitos do sistema e que fez logon como administrador do
Windows.
Consulte Requisitos do sistema para implementar o Cache de inteligncia
Nota:
Para instalar o Cache de inteligncia compartilhado baseado na rede
Em Ferramentas, no disco do produto Symantec Endpoint Protection, navegue

at a pasta Virtualization/SharedInsightCache.
Clique duas vezes no seguinte arquivo para iniciar o programa de instalao:

SharedInsightCacheInstallation.msi
Nota: Ou voc pode digitar o comando a seguir, para iniciar o mesmo programa
de instalao:
msiexec /i SharedInsightCacheInstallation.msi
711
712

Para instalar e desinstalar um Cache de inteligncia compartilhado baseado em rede
No painel do assistente ConfiguraodoCachedeintelignciacompartilhado,

clique em Avanar.
Leia o acordo de licena de software da Symantec, marque Aceito os termos

do contrato de licena e depois clique em Avanar.
No painel Pasta de destino, realize uma das seguintes tarefas:
Clique em Avanar para aceitar o local padro para o Cache de inteligncia

compartilhado.
Clique em Alterar, procure e selecione uma pasta de destino diferente,

clique em OK e clique em Avanar.
No painel Configuraes do Cache de inteligncia compartilhado, especifique

as seguintes configuraes do Cache de inteligncia compartilhado:
Uso do cache (% da memria fsica)
O tamanho mximo do cache.

Quando o cache exceder este limite, o Cache
de inteligncia compartilhado cortar o
tamanho do cache.
Porta de escuta
A porta na qual o servidor faz a escuta.
Porta de escuta do status
A porta que o servidor usa para comunicar

o status no sistema.
Clique em Instalar.
Quando a instalao estiver concluda, clique em Concluir.

Desinstalar o Cache de inteligncia compartilhado tem o mesmo efeito que
interromper o servio do Cache de inteligncia compartilhado. Se no tiver certeza
de que deseja desinstalar permanentemente o Cache de inteligncia compartilhado,
ser possvel interromper o servio.
Consulte Para interromper e iniciar o servio do Cache de inteligncia
compartilhado na pgina 719.

Para ativar ou desativar o uso do Cache de inteligncia compartilhado baseado na rede
Nota: Para desinstalar o Cache de inteligncia compartilhado, use o painel de

controle do Windows apropriado, tal como Adicionar ou Remover Programas.
Voc deve ter direitos de administrador do Windows para desinstalar o Cache de
inteligncia compartilhado.
Se voc desinstalar o Cache de inteligncia compartilhado, convm desativ-lo
no Symantec Endpoint Protection Manager. Desativar o Cache de inteligncia
compartilhado impede que o log de eventos do Windows receba notificaes cada
vez que os clientes no puderem contatar o cache.
Para ativar ou desativar o uso do Cache de

inteligncia compartilhado baseado na rede
Para uma comunicao atravs da rede, por padro o Cache de inteligncia
compartilhado no usa nenhuma autenticao e nenhum SSL. A configurao
padro da senha nula. Ou seja, a senha est vazia. Se mudar as configuraes
do Cache de inteligncia compartilhado com autenticao SSL ou Bsica sem SSL,
voc dever especificar um nome de usurio e uma senha que possam acessar o
Cache de inteligncia compartilhado.
Voc tambm pode mudar uma senha de autenticao definida pelo usurio. Mas,
se voc alter-la, ser necessrio especificar o nome de usurio e a senha de
autenticao no Symantec Endpoint Protection Manager para que os clientes
possam se comunicar com o Cache de inteligncia compartilhado.
Para ativar o uso do Cache de inteligncia compartilhado baseado na rede
No console do Symantec Endpoint Protection Manager, abra a Poltica de

proteo contra vrus e spyware apropriada e clique em Miscelnea.
Clique na guia Cache de inteligncia compartilhado.
Selecione Ativar Cache de inteligncia compartilhado.
Clique em Cache de inteligncia compartilhado usando a rede.
713
714

Para ativar ou desativar o uso do Cache de inteligncia compartilhado baseado na rede
Se voc tiver ativado o SSL como parte das configuraes do servidor do Cache
de inteligncia compartilhado no arquivo de configurao, clique em Exigir
SSL.
Se ativar o SSL, voc dever tambm configurar seus clientes para se
comunicarem com o Cache de inteligncia compartilhado adicionando o
certificado de servidor do Cache de inteligncia compartilhado ao
armazenamento confivel de autoridades de certificado confivel para o
computador local. Caso contrrio, a comunicao entre os clientes e o Cache
de inteligncia compartilhado falhar.
Para obter informaes sobre como adicionar um certificado de servidor,
consulte a documentao do Active Directory.
Na caixa Nome do host, digite o nome do host no qual voc instalou o Cache
de inteligncia compartilhado.
Na caixa Porta, digite o nmero da porta do Cache de inteligncia

compartilhado.
Opcionalmente, se voc configurou a autenticao para o Cache de inteligncia

compartilhado, na caixa Nome de usurio, digite o nome de usurio.
Opcionalmente, se voc configurou a autenticao para o Cache de inteligncia

compartilhado, clique em Alterar senha para alterar a senha padro (nula)
pela senha criada para a autenticao.
10 Nas caixas de dilogo Nova senha e Confirmar senha, digite a nova senha.
Deixe esses campos vazios se no quiser usar uma senha.
11 Clique em OK.
Para desativar a utilizao do Cache de inteligncia compartilhado baseado na rede

Clique na guia Cache de inteligncia compartilhado.
Desmarque Ativar Cache de inteligncia compartilhado.
Clique em OK.

Para personalizar as configuraes baseadas em rede do Cache de inteligncia compartilhado
Para personalizar as configuraes baseadas em rede

do Cache de inteligncia compartilhado
Depois de instalar o Cache de inteligncia compartilhado, ser possvel personalizar
suas configuraes no arquivo de configurao.
O arquivo de configurao um arquivo XML que segue os padres de configurao
de aplicativos .NET Framework. O Cache compartilhado do Insight no ser iniciado
se houver uma configurao invlida, como XML invlido, tipos incorretos de
valor ou ausncia de valores necessrios.
Para obter mais informaes, clique no seguinte link:
Configuration Editor Tool (SvcConfigEditor.exe)
A Tabela 28-3 descreve as opes que voc pode configurar.
Tabela 28-3
Opes de configurao do Cache de inteligncia compartilhado
Opo e valor padro Descrio e comentrios

Porta de escuta do
servio do cache
O valor padro 9005.
Porta que o servio monitora.

Se a faixa no estiver entre 0 - 65535, o servio no ser iniciado.
O servio no ser iniciado se no puder monitorar a porta especificada.
<endpoint address="http://localhost:9005/1"
Por padro, o servidor do Cache de inteligncia compartilhado monitora todos os endereos
IP. Para configurar os endereos IP de escuta para servios HTTP ou HTTPS, necessrio
usar HttpCfg.exe (Windows 2003) ou Netsh.exe (Windows 2008). O Cache de inteligncia
compartilhado escuta nos endereos IP que voc especificou na Lista de escuta de IP
modificada por essas ferramentas.
O Netsh.exe includo no Windows 2008. Voc pode instalar o HttpCfg.exe atravs do
disco de instalao do Windows 2003. O instalador est localizado no seguinte caminho:
\Support\Tools\Suptools.msi
Para obter mais informaes, clique no link:
Configuring HTTP and HTTPS
Porta de escuta do
servio do status
O valor padro 9006.
Porta que o servio monitora.

O servio no comear se a faixa no estiver entre 0 e 65535.
O servio no ser iniciado se no puder monitorar a porta especificada.
715
716


Contagem de votos
O valor padro 1.
Nmero dos clientes que devem verificar se o arquivo est limpo antes que o Cache de
inteligncia compartilhado use os resultados.
O valor deve ser inferior ou igual a 15. Se o valor for superior a 15, o servidor usar o valor
padro.
<cache.configuration vote.count="1"
Tamanho do corte
O valor padro 10.
Porcentagem do uso da memria a ser removida do cache quando este atingir o limite de
uso da memria.
O valor deve estar entre 10 e 100. Se o valor no estiver entre 10 e 100, o servidor usar o
valor padro.
Nota: A Symantec recomenda que voc mantenha o tamanho de remoo padro.

prune.size="10"
Uso da memria
O valor padro 50.
A porcentagem do tamanho do cache antes que o Cache de inteligncia compartilhado

comece a remover o cache.
Deve ser superior ou igual a 10.
mem.usage="50"
Arquivo de log
Um arquivo para o log do Cache de inteligncia compartilhado.
O valor padro
install_folder/
CacheServer.log
<filevalue="CacheServer.log" />


Nvel de log
ALL
O valor padro ERRO. DEBUG

INFO
WARN
ERROR
FATAL
OFF
Um valor OFF indica que o Cache de inteligncia compartilhado no registrou em log
nenhuma mensagem.
<level value="ERROR" />
Consulte Para exibir eventos de log do Cache de inteligncia compartilhado baseado na
rede na pgina 719.
Tamanho do log
O valor padro 10000.
O tamanho do log (em bytes) at que o Cache de inteligncia compartilhado sobreponha

o log.
<maximumFileSizevalue="10000" />
Backups do log
Nmero de logs sobrepostos a serem mantidos antes que o log mais antigo seja excludo.
O valor padro 1.
Um valor de 0 indica que o Cache compartilhado do Insight no retm nenhum backup.

Um valor negativo indica que o Cache de inteligncia compartilhado retm um nmero
ilimitado de backups.
<maxSizeRollBackupsvalue="1" />
717
718


Ativar SSL
Ativar autenticao
Por padro, o Cache de inteligncia compartilhado configurado sem autenticao e sem

SSL. Ele pode ser alterado para autenticao bsica com SSL, sem autenticao com SSL
ou autenticao bsica sem SSL.
<webHttpBinding>
<bindingname="CacheServerBinding">
<!-Uncomment the appropriate section to get
the desired security.
If enabling ssl modify the uri to use https.
A cert will also have to be installed and
registered for the ip/port.
-->




<securitymode="None">
<transportclientCredentialType="Basic"/>
</security>
</binding>
</webHttpBinding>
Consulte Para ativar ou desativar o uso do Cache de inteligncia compartilhado baseado
na rede na pgina 713.
Para personalizar as configuraes do Cache de inteligncia compartilhado
Encontre e abra o seguinte arquivo:

Pasta de instalao\SharedInsightCacheInstallation.exe.config
Faa as alteraes conforme a necessidade.

Salve suas alteraes e feche o arquivo.
Reinicie o servio do Cache de inteligncia compartilhado.

Voc deve reiniciar o servio do Cache de inteligncia compartilhado para
mudanas em todas as configuraes, exceto no nvel de log, para que entrem
em vigor.
compartilhado na pgina 719.

Para interromper e iniciar o servio do Cache de

inteligncia compartilhado
Talvez seja necessrio interromper o servio do Cache de inteligncia
compartilhado temporariamente para solucionar um problema. Uma vez resolvido
o problema, possvel reiniciar o servio. Voc pode iniciar e interromper o servio
do Gerenciador de controle de servio.
Desinstalar o Cache de inteligncia compartilhado tem o mesmo efeito que
interromper o servio do Cache compartilhado do Insight. Se no tiver certeza de
que deseja desinstalar permanentemente o Cache de inteligncia compartilhado,
ser possvel interromper o servio.
Voc dever ter direitos de administrador do Windows para interromper o servio
do Cache de inteligncia compartilhado.
Consulte Soluo de problemas no Cache de inteligncia compartilhado
na pgina 722.
Para exibir eventos de log do Cache de inteligncia

compartilhado baseado na rede
Voc pode exibir o arquivo de log do Cache de inteligncia compartilhado para
visualizar todos os eventos que o Cache de inteligncia compartilhado criar. O
arquivo de log situado na pasta de instalao e nomeado CacheServer.log.
O Cache de inteligncia compartilhado gera logs no seguinte formato:
[|] %thread | %d{MM/dd/yyyyHH:mm:ss} | %level | %logger{2} | %message [-]%newline
Por exemplo:
719
720

Para exibir eventos de log do Cache de inteligncia compartilhado baseado na rede
[|] 4 | 12/15/2010 10:51:37 | INFO | CacheServerService.Service | Started service [-]
Modifique o arquivo de configurao para especificar o nvel do log que voc deseja
usar para o Cache de inteligncia compartilhado.
A Tabela 28-4 descreve os nveis que voc pode definir.
Tabela 28-4
Nveis de log do Cache de inteligncia compartilhado baseado na

rede
Nvel de log
Descrio
OFF
OFF indica que nenhum incidente foi registrado em log.
FATAL
As mensagens FATAL exigem executar uma ao. Essas mensagens so

os erros que causam a interrupo do Cache de inteligncia compartilhado.
Por exemplo, uma mensagem FATAL pode indicar que o endereo IP do
servidor no est disponvel, o que significa que o Cache de inteligncia
compartilhado no pode ser executado.
ERROR
As mensagens ERROR exigem executar uma ao, mas o processo continua

a ser executado. So erros no sistema que fazem o Cache de inteligncia
compartilhado falhar ou perder funcionalidade.
Voc tambm recebe todas as entradas de log de mensagens FATAL.
Este nvel padro do registro em log.
WARN
Mensagens WARN indicam um comportamento do Cache de inteligncia

compartilhado que pode ser indesejvel, mas no o far falhar.
Voc tambm recebe todas as entradas de log de mensagens FATAL e de
mensagens ERROR.
INFO
As mensagens INFO descrevem as aes gerais ou fornecem as informaes

sobre o Cache de inteligncia compartilhado. Podem indicar o estado do
sistema e ajudar a validar o comportamento ou localizar problemas. Porm,
no tm a funo de relatar itens que exijam ao.
Por exemplo, uma mensagem informativa pode indicar que o corte do
cache foi concludo. A mensagem no detalha um problema. Ela apenas
registra em log o comportamento.
Voc tambm recebe todas as entradas de log de mensagens FATAL, de
mensagens ERROR e de mensagens WARN.
DEBUG
ALL
As mensagens de nvel de log DEBUG e ALL apresentam os mesmos

resultados. Estes nveis de log so projetados para dar suporte soluo
de problemas com o Cache compartilhado do Insight.
Voc recebe tambm todas as entradas de log para todos os outros nveis
de log.

Para monitorar contadores de desempenho do Cache de inteligncia compartilhado baseado na rede
Aumente o nvel de log apenas quando for necessrio solucionar problemas no

Cache de inteligncia compartilhado. Quando aumentar o nvel de log, voc passar
a aumentar significativamente o tamanho de seu arquivo de log. Quando voc
solucionar o problema, retorne para o nvel de log ERROR.
Para exibir eventos do Cache de inteligncia compartilhado no log
V para o seguinte local:

Pasta de instalao/CacheServer.log

Para monitorar contadores de desempenho do Cache

de inteligncia compartilhado baseado na rede
Voc pode exibir estatsticas do Cache de inteligncia compartilhado baseado na
rede no Monitor de desempenho do Windows. O servio de Cache de inteligncia
compartilhado deve estar em execuo para exibir os contadores do desempenho.
Tabela 28-5
Estatsticas do Cache de inteligncia compartilhado
Estatstica
Descrio
O nmero de itens no cache
Este nmero representa o nmero atual de itens

no cache.
O nmero de itens no cache que foram Este nmero representa o nmero atual de itens
votados como limpos
no cache, que receberam votos de limpos.
Nmero de solicitaes do cache
O nmero de solicitaes de cache que foram

feitas ao servio do Cache de inteligncia
compartilhado.
Este apenas o nmero de solicitaes vlidas
que receberam uma resposta 200. Este contador
no persiste atravs das reinicializaes do
servio.
Nmero de solicitaes de atualizao O nmero de solicitaes de atualizao que foram

feitas ao servio.
Este nmero refere-se apenas s solicitaes
vlidas que receberam uma resposta 200. Este
contador no persiste atravs das reinicializaes
do servio.
721
722

Para monitorar contadores de desempenho do Cache de inteligncia compartilhado

baseado na rede
No prompt de comando, digite o seguinte comando:

perfmon
Na janela Desempenho, clique com o boto direito do mouse no grfico.
Selecione Adicionar contadores.
Na lista suspensa Objeto de desempenho, selecione Cache de inteligncia

compartilhado.
Selecione os contadores que deseja exibir e clique em Adicionar.
Clique em Fechar.
Os contadores do Cache de inteligncia compartilhado que voc selecionou
aparecem no grfico de desempenho.
Para obter mais informaes sobre como usar o monitor de desempenho do
Windows, consulte a documentao do Windows.
Consulte Soluo de problemas no Cache de inteligncia compartilhado

na pgina 722.
Soluo de problemas no Cache de inteligncia

compartilhado
A Tabela 28-6 fornece sugestes para como para solucionar problemas com o
Cache de inteligncia compartilhado.
Tabela 28-6
Soluo de problemas do Cache de inteligncia compartilhado
Problema
Explicao/soluo
Problemas com os
resultados do cache
Reinicie o servio.
Consulte Para interromper e iniciar o servio do Cache de

Problema
Explicao/soluo
O Cache de
inteligncia
compartilhado
retorna uma resposta
nenhum resultado
O Cache de inteligncia compartilhado no retorna nenhuma

resposta do resultado quando falha para executar com xito uma
consulta do cache. Se o cliente solicitar uma consulta do cache, a
inexistncia de resultados significar que o arquivo dever ser
submetido a uma verificao de vrus.
Nota: O Cache de inteligncia compartilhado retornar uma

resposta de xito mesmo quando falhar para executar com xito
uma atualizao do cache. O motivo que o cliente no precisa
executar uma ao diferente quando uma falha ocorre.
Problemas suspeitos Exiba o log de erros do trfego de HTTP. Os erros do trfego de
com trfego de HTTP HTTP so registrados em log no seguinte local:
%Windir%\System32\Logfiles\HTTPERR
Consulte Para exibir eventos de log do Cache de inteligncia compartilhado

Consulte Para monitorar contadores de desempenho do Cache de inteligncia
723
724

Captulo
29
Para instalar o Appliance de

segurana virtual e usar um
Cache de inteligncia
compartilhado ativado para
vShield
O que preciso fazer para usar o Cache de inteligncia compartilhado ativado

para vShield?
O que preciso fazer para instalar um Appliance de segurana virtual?
Sobre o Appliance de segurana virtual do Symantec Endpoint Protection
Requisitos do software VMware para instalar o Appliance de segurana virtual

da Symantec
Requisitos do software de VMware para mquinas virtuais convidadas
Para configurar o arquivo de configuraes de instalao do Appliance de

segurana virtual do Symantec Endpoint Protection
Para instalar o Appliance de segurana virtual do Symantec Endpoint Protection
Para ativar clientes do Symantec Endpoint Protection para usar o Cache de

inteligncia compartilhado ativado para vShield
726
Para instalar o Appliance de segurana virtual e usar um Cache de inteligncia compartilhado ativado para vShield
O que preciso fazer para usar o Cache de inteligncia compartilhado ativado para vShield?

ativado para vShield
Comandos de servio para o Cache de inteligncia compartilhado ativado para

vShield
Configuraes do arquivo de configurao para um Cache de inteligncia

compartilhado ativado para vShield
Sobre o log de eventos do Cache de inteligncia compartilhado ativado para

vShield
Para desinstalar o Appliance de segurana virtual do Symantec Endpoint

Protection
O que preciso fazer para usar o Cache de inteligncia

compartilhado ativado para vShield?
Um Cache de inteligncia compartilhado ativado para vShield executado no
Appliance de segurana virtual do Symantec Endpoint Protection. As mquinas
virtuais convidadas (GVMs, Guest Virtual Machines) baseadas em Windows usam
o VMware vShield Endpoint para acessar o Cache de inteligncia compartilhado.
Nota: A Symantec suporta o uso de um Cache de inteligncia compartilhado ativado
para vShield somente em infraestruturas de VMware ESX/ESXi.
Tabela 29-1
Tarefas que voc precisa executar para usar um Cache de

Etapa
Tarefa
Etapa 1
Instalar o Appliance de segurana virtual em um host de ESX/ESXi.

Consulte O que preciso fazer para instalar um Appliance de segurana
virtual? na pgina 727.
Etapa 2
Instalar o driver de VMware EPSEC em cada GVM de modo que possam se

comunicar com o Appliance de segurana virtual.
Consulte Requisitos do software de VMware para mquinas virtuais
convidadas na pgina 730.
O que preciso fazer para instalar um Appliance de segurana virtual?
Etapa
Tarefa
Etapa 3
Ativar as GVMs (clientes) para usar o Cache de inteligncia compartilhado.

Execute esta tarefa da Poltica de proteo contra vrus e spyware no
Consulte Para ativar clientes do Symantec Endpoint Protection para usar
o Cache de inteligncia compartilhado ativado para vShield na pgina 737.
Aps ativar os clientes da GVM para usar um Cache de inteligncia compartilhado

ativado para vShield, voc poder opcionalmente configurar notificaes do
administrador para os Appliances de segurana virtual que ficam off-line.
O que preciso fazer para instalar um Appliance de

segurana virtual?
Um Cache de inteligncia compartilhado ativado para vShield executado no
Appliance de segurana virtual do Symantec Endpoint Protection. Voc deve
instalar o appliance de modo que as Mquinas virtuais convidadas (GVMs, Guest
Virtual Machines) com base no Windows possam usar o Endpoint vShield da
VMware para acessar o Cache de inteligncia compartilhado.
Nota: A Symantec suporta o uso do Appliance de segurana virtual somente em
infraestruturas VMware ESX/ESXi.
Tabela 29-2
Tarefas que voc precisa executar para instalar o Appliance de

segurana virtual do Symantec Endpoint Protection
Etapa
Tarefa
Etapa 1
Instale e configure o software VMware de pr-requisito de que voc precisa.

Consulte Requisitos do software VMware para instalar o Appliance de
segurana virtual da Symantec na pgina 729.
Para obter informaes sobre como instalar e configurar o software de
VMware, consulte sua documentao de VMware.
727
728
Sobre o Appliance de segurana virtual do Symantec Endpoint Protection
Etapa
Tarefa
Etapa 2
No Symantec Endpoint Protection Manager, exporte o arquivo de

configuraes de comunicao do grupo de clientes que voc planeja usar
em suas Mquinas virtuais convidadas (GVMs, Guest Virtual Machines).
Voc deve ter este arquivo para instalar o Appliance de segurana virtual.
Consulte Para exportar manualmente o arquivo de comunicao
Etapa 3
Atualize o arquivo de configuraes da instalao com as informaes que

o executvel de instalao exige para instalar o Appliance de segurana
virtual no host de ESXi.
Consulte Para configurar o arquivo de configuraes de instalao do
Appliance de segurana virtual do Symantec Endpoint Protection
na pgina 731.
Etapa 4
Instale o Appliance de segurana virtual no host de ESX/ESXi.

Consulte Para instalar o Appliance de segurana virtual do Symantec
Aps instalar o Appliance de segurana virtual, voc poder ativar um Cache de

inteligncia compartilhado ativado para vShield para suas GVMs usarem.
Sobre o Appliance de segurana virtual do Symantec

Endpoint Protection
O Appliance de segurana virtual do Symantec Endpoint Protection um appliance
virtual baseado em Linux voc instala em um servidor VMware ESX/ESXi. O
Appliance de segurana virtual integra-se ao vShield Endpoint da VMware. O
Cache de inteligncia compartilhado executado no appliance e permite que
mquinas virtuais convidadas (GVMs, Guest Virtual Machines) baseadas em
Windows compartilhem os resultados da verificao. Os arquivos idnticos so
confiados e, consequentemente, ignorados em todas as GVMs no host ESX/ESXi.
O Cache de inteligncia compartilhado melhora o desempenho da verificao
completa reduzindo a E/S do disco e o uso da CPU.
Nota: Voc dever instalar o Appliance de segurana virtual em cada host ESX/ESXi
se quiser que as GVMs acessem o Cache de inteligncia compartilhado.
Requisitos do software VMware para instalar o Appliance de segurana virtual da Symantec
Figura 29-1
Shared
Insight
Cache
Arquitetura do Appliance de segurana virtual do Symantec Endpoint

Protection
Symantec
Endpoint
Protection
Client
Symantec
Endpoint
Protection
Client
Symantec
Endpoint
Protection
Client
Guest
Virtual
Machine
Guest
Virtual
Machine
VMware vShield
Security
Virtual
Appliance
Guest
Virtual
Machine
VMware ESXi Host

O appliance estar concludo e pronto para uso assim que voc o instalar. O
appliance inclui o Cache de inteligncia compartilhado.
Consulte Requisitos do software VMware para instalar o Appliance de segurana
virtual da Symantec na pgina 729.
na pgina 727.
Requisitos do software VMware para instalar o

Appliance de segurana virtual da Symantec
A Tabela 29-3 descreve os componentes do VMware que voc deve ter instalados
para que seja possvel instalar o Appliance de segurana virtual. Depois de instalar
o appliance, voc poder ativar o Cache de inteligncia compartilhado ativado
para vShield para que as mquinas virtuais convidadas possam us-lo.
729
730
Requisitos do software de VMware para mquinas virtuais convidadas
Tabela 29-3
Requisito
Requisitos e pr-requisitos do software VMware para instalar um

Appliance de segurana virtual
Descrio
Software-servidor Uma das seguintes verses:

do VMware ESXi
ESX 4.1, com patch ESX410-201107001
ESXi 5.0 Atualizao 1
Software do
VMware vShield Manager 5.0 Atualizao 1
produto vShield da VMware vShield Endpoint 5.0 Atualizao 1
VMware
Nota: Voc deve usar o vShield Manager 5.0 Atualizao 1 para
implementar o vShield Endpoint 5.0 Atualizao 1 em cada host que
quer gerenciar.
Para obter mais informaes sobre como usar o VMware vShield
Endpoint 5.0 Atualizao 1, veja a seguinte pgina da Web:
Using vShield Endpoint 5.0 and vShield Data Security 5.0 with vSphere
4.1 (em ingls)
Nota: O Java Runtime Environment 7 ou superior necessrio para executar a

ferramenta de instalao do Appliance de segurana virtual.
Consulte Para instalar o Appliance de segurana virtual do Symantec Endpoint
na pgina 727.
Consulte Requisitos do software de VMware para mquinas virtuais convidadas
na pgina 730.
Requisitos do software de VMware para mquinas

virtuais convidadas
A Tabela 29-4 descreve os requisitos de mquinas virtuais convidadas para usar
o Cache de inteligncia compartilhado do Insight com base no vShield no Appliance
de segurana virtual da Symantec.
Para configurar o arquivo de configuraes de instalao do Appliance de segurana virtual do Symantec Endpoint
Protection
Tabela 29-4
Requisito
Requisitos de VMware para mquinas virtuais convidadas

Descrio
Mquinas virtuais O driver EPSEC 2.0 deve ser instalado em todas as GVMs.
convidadas (GVMs,
Em GVMs hospedadas pelo ESX 4.1 com patch ESX410-201107001
Guest Virtual
aplicado, faa o download do driver EPSEC localmente e execute o
Machines)
instalador na mquina virtual
Nas GVMs hospedadas pelo ESXi 5.0 atualizao 1, execute um destes
procedimentos:
Faa o download do driver EPSEC localmente e execute o instalador
na mquina virtual ou
Use o instalador das ferramentas de VMware para instalar o driver
EPSEC.
Nota: Execute uma instalao personalizada e selecione os drivers do

vShield em Drivers do dispositivo VMware/Drivers VMCI ou execute
uma instalao completa.

Para configurar o arquivo de configuraes de

instalao do Appliance de segurana virtual do
necessrio configurar o arquivo SVA_InstallSettings.xml para instalar o
Appliance de segurana virtual. Este arquivo situado na pasta
Virtualization\SecurityVirtualAppliance do disco do produto Ferramentas.
Nota: Todas as configuraes so obrigatrias para a instalao, a menos que
explicitamente marcadas como opcional.
731
732
Protection
Tabela 29-5
Configuraes do arquivo de instalao do Appliance de segurana

virtual
Configurao
Descrio
Informaes do VMware
vCenter
Defina o endereo IP, o nome de usurio e a senha do VMware vCenter para a

instalao do Appliance de segurana virtual.
Endereo IP
Nome do usurio
Senha
<vCenter>
<ip_address>192.168.x.x</ip_address>
<username>username</username>
<!-<password>password</password>
-->
</vCenter>
Nota: O nome de usurio e a senha do administrador do vCenter so necessrios

para instalar Appliance de segurana virtual. Se voc no configurar a senha nesse
arquivo de configuraes, a instalao solicitar a senha.
Observe que para instalar ou desinstalar o Appliance de segurana virtual, a conta
de administrador do vCenter que voc usar dever ter permisses nas seguintes
categorias de privilgios:
Armazenamento de dados (todos os privilgios)
Rede (todos os privilgios)
vApp (todos os privilgios)
Mquina virtual (todos os privilgios)
Global > Cancelar tarefa
Voc no pode definir estas permisses no arquivo de configuraes de instalao

do Appliance de segurana virtual do Symantec Endpoint Protection.
Informaes do Gerenciador Defina o endereo IP, o nome de usurio e a senha do VMware vShield Manager para
do VMware vShield
a instalao do Appliance de segurana virtual.
Endereo IP
Nota: As credenciais de administrador do vShield so necessrias para instalar o
Nome do usurio
Senha
Appliance de segurana virtual. Se voc no configurar a senha nesse arquivo de

configuraes, a instalao solicitar a senha.
<vShield>
<ip_address>192.168.x.y</ip_address>
<username>admin</username>
<!-<password>default</password>
-->
</vShield>
Protection
Configurao
733
Descrio
Configuraes da instalao Fornea informaes que guiem a instalao do Appliance de segurana virtual.
O local do arquivo OVA do
Appliance de segurana
virtual do Symantec
Endpoint Protection
Endereo IP do host ESXi
Local do arquivo
sylink_xml
O pacote de instalao o arquivo OVA do Appliance de segurana virtual do Symantec

Endpoint Protection que voc obtm por download no File Connect, em
https://fileconnect.symantec.com. Para acessar o File Connect, voc precisa do nmero
de srie de ativao que faz parte de seu certificado de licena disponvel.
O arquivo sylink.xml contm as configuraes de comunicao do grupo de clientes
que voc exportou do Symantec Endpoint Protection Manager.
Consulte Para exportar manualmente o arquivo de comunicao cliente-servidor

Prompt do
na pgina 762.
armazenamento de dados
Voc poder mudar o prompt do armazenamento de dados para zero se quiser instalar
automaticamente no primeiro armazenamento de dados do host ESXi.
<Installation>
<location_of_package>caminho do arquivo OVA</location_of_package>
<esx_ip_address>192.168.x.z</esx_ip_address>
<sylink_xml>./sylink.xml</sylink_xml>
<datastore_prompt>1</datastore_prompt>
</Installation>
734
Configurao
Descrio
Informaes do Appliance de Defina o nome do host do Appliance de segurana virtual. O nome do host deve ser
segurana virtual
exclusivo no vCenter. O nome do host limitado a caracteres alfanumricos e ao
caractere hfen.
Nome do host SVA
Senha do administrador O nome de uma conta de login do Appliance de segurana virtual admin.
do SVA
Configuraes de rede do
SVA
(Opcional)
Endereo IP
Gateway
Sub-rede
DNS
Nota: Se voc no configurar a senha da conta de administrador nesse arquivo de

configuraes, a instalao solicitar a senha.
Opcionalmente, voc pode definir as configuraes de rede do Appliance de segurana
virtual. Por padro, as configuraes de rede so comentadas e a instalao tem como
padro o uso de DHCP. Voc no precisa usar as configuraes de rede para instalar
o Appliance de segurana virtual.
Nota: Se quiser especificar uma das configuraes de rede do Appliance de segurana

virtual, voc dever desfazer os comentrios e especificar todos os quatro. Se voc
especificar somente de uma a trs das configuraes de rede, a instalao falhar.
<sva>
<hostname>Symantec-SVA</hostname>
<admin_password>symantec</admin_password>
<!-<ip_address>192.168.x.w</ip_address>
<gateway>192.168.x.v</gateway>
<subnet>255.255.255.0</subnet>
<dns>192.168.x.u</dns>
-->
</sva>
Consulte Para instalar o Appliance de segurana virtual do Symantec Endpoint

na pgina 727.
Para instalar o Appliance de segurana virtual do

Aps cumprir os pr-requisitos, voc poder instalar o Appliance de segurana
virtual. Voc usa a ferramenta de instalao do Appliance de segurana virtual
pela linha de comando. Voc dever instalar o Appliance de segurana virtual em
cada host ESXi se quiser que as GVMs no host usem o Cache de inteligncia
compartilhado ativado para vShield.
Para instalar ou desinstalar o Appliance de segurana virtual, a conta de
administrador do vCenter que voc usar dever ter permisses nas seguintes
Nota: Como parte do processo de instalao, o Appliance de segurana virtual e

seu host ESXi associado registram-se no vShield Manager. Por este motivo, voc
no deve usar o vMotion com o Appliance de segurana virtual. A melhor prtica
usar o utilitrio sva_install.jar para desinstalar e reinstalar o Appliance de
segurana virtual.
Nota: O Java Runtime Environment 7 ou superior necessrio para executar a
ferramenta de instalao do Appliance de segurana virtual.
Para instalar o Appliance de segurana virtual
Em Ferramentas do disco do produto, encontre a pasta

Virtualization\SecurityVirtualAppliance.
Copie o contedo inteiro da pasta SecurityVirtualAppliance em um diretrio

local.
Para convenincia, convm copiar os arquivos no mesmo local que o arquivo
sylink.xml que voc exportou do Symantec Endpoint Protection Manager.
735
736
Configure o arquivo SVA_InstallSettings.xml.

O nome padro do arquivo de comunicao que voc exportou do Symantec
Endpoint Protection Manager nome do grupo_sylink.xml. Certifique-se
de mudar o nome do caminho <sylink_xml> no arquivo
SVA_InstallSettings.xml para que corresponda ao nome do arquivo
exportado.
Consulte Para configurar o arquivo de configuraes de instalao do
Appliance de segurana virtual do Symantec Endpoint Protection
na pgina 731.
Faa uma captura de imagem do vShield Manager. Durante a instalao, o

Appliance de segurana virtual registra-se no vShield Manager. Uma captura
de imagem assegura que voc poder reverter ao estado anterior, caso ocorra
algum problema da instalao do Appliance de segurana virtual.
Na linha de comando, digite o seguinte comando:

java -jar Symantec_SVA_Install.jar -s
nome_do_caminho/SVA_InstallSettings.xml
Por padro, se houver mais de um armazenamento de dados disponvel, a

instalao solicitar que voc selecione um. Se houver mais de uma rede, a
instalao solicitar que voc selecione uma.
Os erros e outros resultados da instalao so gravados no arquivo
SVA_Install.log. Este arquivo de log criado no mesmo diretrio onde voc
executou o comando de instalao.
Nota: Em algumas instncias, a gravao nesse diretrio poder falhar. Nestes
casos, o arquivo gravado no diretrio /temp e nomeado SVA_Installxxx.log, onde
o sistema substitui xxx por um nmero aleatrio.
Voc pode executar as seguintes aes para recuperar-se de uma instalao
incompleta ou anulada do Appliance de segurana virtual.
Para recuperar-se de uma instalao incompleta ou anulada
Verifique se o Appliance de segurana virtual est relacionado no host ESXi.
Se estiver relacionado, desative o Appliance de segurana virtual e exclua-o

do disco.
Reverta o vShield Manager captura de imagem que voc tomou antes de

tentar instalar o Appliance de segurana virtual.
Reinstale o Appliance de segurana virtual.
Para ativar clientes do Symantec Endpoint Protection para usar o Cache de inteligncia compartilhado ativado para
vShield
Quando tiver instalado o Appliance de segurana virtual, voc poder fazer login
com a conta do administrador.
Para ativar clientes do Symantec Endpoint Protection

para usar o Cache de inteligncia compartilhado
Para permitir que clientes usem um Cache de inteligncia compartilhado ativado
para vShield

Na pgina Miscelnea, clique em Cache de inteligncia compartilhado.
Selecione Ativar Cache de inteligncia compartilhado.
Clique em Cache de inteligncia compartilhado usando VMware vShield.
Clique em OK.

Para interromper e iniciar o servio do Cache de

Aps ter instalado um Appliance de segurana virtual, o servio Cache de
inteligncia compartilhado ser iniciado automaticamente. Se voc quiser mudar
as configuraes no arquivo de configurao do Cache de inteligncia
compartilhado, dever interromper o servio antes de editar o arquivo.
Para interromper o servio do Cache de inteligncia compartilhado ativado para
vShield
Faa login no Appliance de segurana virtual como administrador com a

senha que voc atribuiu no arquivo de configuraes da instalao.
Na linha de comando, digite o comando a seguir:

sudo stop vsic
737
738
Comandos de servio para o Cache de inteligncia compartilhado ativado para vShield
Para iniciar o servio do Cache de inteligncia compartilhado ativado para vShield
Faa login no Appliance de segurana virtual como administrador com a

senha que voc atribuiu no arquivo de configuraes da instalao.

sudo start vsic
Consulte Configuraes do arquivo de configurao para um Cache de inteligncia

compartilhado ativado para vShield na pgina 739.
Comandos de servio para o Cache de inteligncia

Para enviar comandos de servio, voc deve fazer logon no Appliance de segurana
virtual usando a conta do administrador. A senha padro symantec, mas voc
foi alertado a mudar a senha na primeira vez em que fez logon.
A Tabela 29-6 resume os comandos que voc pode usar.
Tabela 29-6
Comandos de servio para o Cache de inteligncia compartilhado

Comando
Descrio
sudo start vsic
Inicia o servio Cache de inteligncia compartilhado ativado para

vShield.
sudo stop vsic
Interrompe o servio Cache de inteligncia compartilhado ativado

para vShield.
sudo restart vsic
Se o servio Cache de inteligncia compartilhado ativado para

vShield estiver em execuo, interrompa o servio Cache de
inteligncia compartilhado ativado para vShield e inicie-o
novamente.
sudo status vsic
Retorna o status do servio Cache de inteligncia compartilhado

ativado para vShield.

Configuraes do arquivo de configurao para um Cache de inteligncia compartilhado ativado para vShield
Configuraes do arquivo de configurao para um

Cache de inteligncia compartilhado ativado para
vShield
O arquivo de configurao para um Cache de inteligncia compartilhado ativado
para vShield um arquivo XML que segue o padro de configurao de aplicativos
.NET. O Cache de inteligncia compartilhado no ser iniciado se houver qualquer
configurao invlida, o que inclui XML invlido, tipos de valor incorretos ou
valores necessrios ausentes.
O arquivo de configurao nomeado SharedInsightCacheService.exe.config
e est localizado no diretrio /etc/symantec.
Nota: A Symantec testou e otimizou as configuraes padro nesse arquivo para
desempenho e escalabilidade. A Symantec recomenda que voc no modifique
essas configuraes. Se sentir que tem uma razo convincente para faz-lo,
recomendamos primeiramente entrar em contato com o Suporte da Symantec,
antes de fazer qualquer mudana.
Antes de fazer qualquer mudana no arquivo de configurao, crie uma cpia de
backup do arquivo. Voc tambm deve lembrar-se de reiniciar o servio do Cache
de inteligncia compartilhado ativado para vShield depois de salvar as mudanas.
Tabela 29-7
Opes de configurao
Opo e valor padro
Descrio e comentrios
Tamanho de corte do Cache
Porcentagem de uso da memria a ser removida do cache quando este atingir o

limite de uso da memria.
prune.size="10"
O valor deve estar entre 10 e 100. Se o valor no estiver entre 10 e 100, o servidor
usar o valor padro de 10.
Nota: Evite modificar esta configurao.

Uso da memria do Cache
mem.usage="50"
A porcentagem mxima de memria fsica permitida ao uso do servio. Aps

este valor ser atingido, o servio cortar o cache.
Este valor deve ser 10 ou superior.
Intervalo de remoo do cache

clean.interval="10"
O intervalo em segundos em que o servio verifica para ver se o cache deve ser
cortado.
739
740
Opo e valor padro
Ativar registro em log das

estatsticas de desempenho
Definir como falso para desativar.
Nota: O atributo intervalo pode substituir esta configurao.
enabled="true"
Arquivo de log das estatsticas de O local do arquivo que coleta dados de desempenho.
desempenho
file="/data/Symantec/vSIC/
vSIC_Perf.csv"
Intervalo das estatsticas de
desempenho
O intervalo, em segundos, em que as estatsticas so registradas. Se definido

para 0, este atributo desativar a gravao e substituir o atributo enabled=true.
interval="10"
Tamanho mximo do arquivo de
maxSize="1MB"
O tamanho mximo em bytes que permitido ao arquivo de sada alcanar antes

de ser enviado a um arquivo de backup. Voc tambm pode especificar o tamanho
mximo em kilobytes, megabytes ou gigabytes. O valor 10 KB interpretado
como 10.240 bytes.
Nmero de backups do arquivo das Se definido como zero, no haver arquivos de backup e o arquivo de log ser
truncado quando alcanar o tamanho mximo (atributo maxSize). Se este
atributo for definido como um nmero negativo, nenhuma excluso ser feita.
maxBackups="1"
Nota: Quando voc reiniciar o servio depois de fazer uma mudana no atributo
maxBackups, os arquivos de backup existentes sero sobrescritos. A Symantec
recomenda que voc mova os arquivos de backup existentes para um novo local
antes de reiniciar o servio.
Tabela 29-8
Descrio das opes de configurao do registro em log
Opo e valor padro
Arquivo de log
O arquivo em que o servio registra em log as

informaes sobre o Appliance de segurana virtual
e o Cache de inteligncia compartilhado ativado para
vShield.
file value="/data/log/Symantec/vSIC.log"
Opo e valor padro
Nmero de arquivos de backup que devem ser mantidos
Se este atributo for definido como zero, no haver

arquivos de backup e o arquivo de log ser truncado
quando atingir o valor do atributo maxSize.
maxSizeRollBackups value="1"
Nota: Quando voc reiniciar o servio depois de fazer

uma mudana no atributo maxBackups, os arquivos
de backup existentes sero sobrescritos. A Symantec
recomenda que voc mova os arquivos de backup
existentes para um novo local antes de reiniciar o
servio.
Tamanho do log
maximumFileSize value="10MB"
Ativar a opo local ou remota de registro em log
appender-ref ref="LocalSyslogAppender"
appender-ref ref="RemoteSyslogAppender"
Endereo IP para o registro em log remoto

remoteAddress value="192.168.x.y"
Tamanho do log (em bytes) antes do log mais antigo

ser excludo.
Voc pode ativar o registro em log do Syslog local ou
remoto desfazendo os comentrios de uma das opes.
O Syslog no est ativado por padro.
Se voc quiser registrar em log remotamente, tenha
certeza de definir o endereo IP do
RemoteSyslogAppender.
Voc precisar definir este endereo se ativar o
registro em log remoto.
Nvel de log
ALL
level value="ERROR"
DEBUG
INFO
WARN
ERROR
FATAL
OFF
Cada nvel inclui tambm as mensagens dos nveis
mais crticos. Por exemplo, ERROR registra em log as
mensagens de nvel ERROR e as mensagens FATAL.
O nvel INFO inclui todas as mensagens exceto as
mensagens de depurao.
Nota: Defina o valor como OFF se voc quiser

desativar registrar em log inteiramente.
741
742
Sobre o log de eventos do Cache de inteligncia compartilhado ativado para vShield

Para obter informaes sobre o padro da configurao do aplicativo .NET, veja
a seguinte pgina da Web:
Configuration Editor Tool (SvcConfigEditor.exe)
Para obter mais informaes sobre a configurao de log4net, veja a seguinte
pgina da Web:
Apache Logging Services
Sobre o log de eventos do Cache de inteligncia

O Symantec Endpoint Protection registra em log os eventos de um Cache de
inteligncia compartilhado integrado ao Endpoint vShield da VMware no arquivo
vSIC.log por padro. Este arquivo criado no diretrio /data/log/Symantec por
padro.
O registro em log est ativado por padro e o nvel definido para ERROR. Voc
pode mudar o nvel de registro em log e outros atributos do registro em log no
arquivo de configurao do Cache de inteligncia compartilhado.
Para desinstalar o Appliance de segurana virtual do

Voc deve usar a ferramenta de instalao de linha de comando que a Symantec
fornece para desinstalar o Appliance de segurana virtual.
Nota: No remova manualmente o Appliance de segurana virtual do Symantec
Endpoint Protection. Use a ferramenta de instalao do Appliance de segurana
virtual da Symantec para desinstalar o Appliance de segurana virtual. Se voc
remover manualmente o Appliance de segurana virtual, ele no cancelar o
registro do Appliance de segurana virtual do VMware vShield Manager. Esta
falha ao cancelar o registro causar problemas se voc tentar posteriormente
reinstalar o Appliance de segurana virtual.
Para desinstalar o Appliance de segurana virtual do Symantec Endpoint Protection
Para instalar ou desinstalar o Appliance de segurana virtual, a conta de

administrador do vCenter que voc usar dever ter permisses nas seguintes
Para desinstalar os Appliances de segurana virtual
Navegue at o diretrio onde voc chamou a ferramenta

Symantec_SVA_Install.jar para instalar o Appliance de segurana virtual.

java -jar Symantec_SVA_Install.jar -s
nome_do_caminho/SVA_InstallSettings.xml -uninstall
Os erros e outros resultados de comando so gravados no arquivo de log

SVA_Install.log. Este arquivo criado no mesmo diretrio no qual voc executou
o comando do arquivo Symantec_SVA_Install.jar.
Nota: Em algumas instncias, a gravao nesse diretrio poder falhar. Nestes
casos, o arquivo ser gravado no diretrio /temp e nomeado SVA_Installxxx.log,
onde o sistema substituir xxx por um nmero aleatrio.
Consulte Sobre o log de eventos do Cache de inteligncia compartilhado ativado
para vShield na pgina 742.
743
744
Para desinstalar o Appliance de segurana virtual do Symantec Endpoint Protection
Captulo
30
Para usar a Exceo de

imagem virtual
Para usar a ferramenta Exceo de imagem virtual em uma imagem base
Requisitos do sistema para a ferramenta Exceo de imagem virtual
Para executar a ferramenta Exceo de imagem virtual
Para configurar o Symantec Endpoint Protection para ignorar a verificao

de arquivos de imagem base
Para usar a ferramenta Exceo de imagem virtual

em uma imagem base
Voc pode usar a ferramenta Exceo de imagem virtual em uma imagem base
antes de criar suas mquinas virtuais. A ferramenta Exceo de imagem virtual
permite que seus clientes ignorem a verificao de ameaas em arquivos de imagem
base, o que reduz a carga de recursos na E/S do disco. Isso tambm melhora o
desempenho do processo de verificao da CPU em sua infraestrutura de rea de
trabalho virtual.
O Symantec Endpoint Protection suporta o uso da ferramenta Exceo de imagem
virtual em clientes gerenciados e no gerenciados
Nota: Voc no pode usar a ferramenta Exceo de imagem virtual em um ambiente
no virtual.
746
Para usar a Exceo de imagem virtual

Requisitos do sistema para a ferramenta Exceo de imagem virtual
Tabela 30-1
Processo para usar a ferramenta Exceo de imagem virtual em

uma imagem base.
Etapa
Ao
Etapa 1
Na imagem base, execute uma verificao completa em todos os arquivos para

verificar se os arquivos esto limpos.
Se o cliente do Symantec Endpoint Protection colocar em quarentena arquivos
infectados, ser necessrio reparar ou excluir os arquivos em quarentena para
remov-los da quarentena.
Consulte Especificar quando os arquivos em quarentena forem excludos
automaticamente na pgina 393.
Etapa 2
Certifique-se de que a quarentena do cliente esteja vazia.

Consulte Para usar o Log de riscos para excluir arquivos em quarentena em
Etapa 3
Execute a ferramenta Exceo de imagem virtual da linha de comando para

marcar os arquivos de imagem base.
Consulte Para executar a ferramenta Exceo de imagem virtual na pgina 747.
Consulte vietool na pgina 1208.
Etapa 4
Ative o recurso no Symantec Endpoint Protection Manager de modo que seus

clientes saibam que devem procurar e ignorar os arquivos marcados quando
uma verificao for executada.
Consulte Para configurar o Symantec Endpoint Protection para ignorar a
verificao de arquivos de imagem base na pgina 747.
Etapa 5
Remova a ferramenta Exceo de imagem virtual da imagem base.
A ferramenta Exceo de imagem virtual suporta unidades locais fixas. Ela funciona
com arquivos que esto em conformidade com o Padro do sistema de arquivos
de nova tecnologia (NTFS, New Technology File System).
Consulte Requisitos do sistema para a ferramenta Exceo de imagem virtual
na pgina 746.
Requisitos do sistema para a ferramenta Exceo de

imagem virtual
A ferramenta Exceo de imagem virtual suportada para uso em VMware ESX,
Microsoft Hyper-V e plataformas Citrix Zen Desktop.
O cliente deve atender a todos os seguintes requisitos:

O cliente deve estar instalado em um dos ambientes virtuais suportados.
O cliente deve executar o software-cliente do Symantec Endpoint Protection

verso 12.1 ou superior.
Para obter as informaes mais atualizadas sobre requisitos e plataformas

suportadas, consulte a seguinte pgina da Web:
Release Notes and System Requirements for all versions of Symantec Endpoint
Protection and Symantec Network Access Control (em ingls)
base na pgina 745.
Para executar a ferramenta Exceo de imagem

virtual
Antes de executar a ferramenta Exceo de imagem virtual, certifique-se de que
voc tenha atendido a todos os requisitos do sistema.
Consulte Requisitos do sistema para a ferramenta Exceo de imagem virtual
na pgina 746.
Atravs das Ferramentas do Symantec Endpoint Protection, no disco do

produto, faa o download do seguinte arquivo para a imagem base:
/Virtualization/VirtualImageException/vietool.exe
Abra um prompt de comando com privilgios de administrador.
Execute a ferramenta Exceo de imagem virtual com os argumentos

apropriados.
Por exemplo, digite: vietool c: --generate
Consulte vietool na pgina 1208.
Para configurar o Symantec Endpoint Protection para

ignorar a verificao de arquivos de imagem base
Aps executar a ferramenta Exceo de imagem virtual em arquivos de imagem
base, voc poder ativar o uso das Excees de imagem virtual no Symantec
Endpoint Protection Manager. Quando o recurso estiver ativado, os clientes virtuais
procuraro pelo atributo que a ferramenta inseriu. O Symantec Endpoint Protection
ignora ento a verificao dos arquivos de imagem base que contm o atributo.
747
748

Para configurar o Symantec Endpoint Protection para ignorar a verificao de arquivos de imagem base
Voc pode ignorar a verificao de arquivos de imagem base inalterados em

verificaes do Auto-Protect ou verificaes definidas pelo administrador (como
verificaes manuais ou agendadas).
Para configurar o Symantec Endpoint Protection para usar a Exceo de imagem
virtual para ignorar a verificao de arquivos de imagem base
No console, abra a Poltica de proteo contra vrus e spyware apropriada.
Em Opes avanadas, clique em Miscelnea.
Na guia Imagens virtuais, marque as opes que voc queira ativar.
Clique em OK.

base na pgina 745.
Captulo
31
Infraestruturas da rea de
trabalho virtual no
persistentes
Para usar o Symantec Endpoint Protection em infraestruturas da rea de

trabalho virtual no persistentes
Para configurar a imagem base para mquinas virtuais convidadas no

persistentes em infraestruturas da rea de trabalho virtual
Para criar uma chave de registro para marcar as mquinas virtuais convidadas
(GVMs) de imagem base como clientes no persistentes
Para configurar um intervalo separado de apagamento para clientes VDI off-line

no persistentes
Para usar o Symantec Endpoint Protection em

infraestruturas da rea de trabalho virtual no
persistentes
Voc pode configurar o cliente do Symantec Endpoint Protection em sua imagem
base para indicar que um cliente virtual no persistente. Voc pode ento
configurar um intervalo separado de apagamento no Symantec Endpoint Protection
para as mquinas virtuais convidadas (GVMs, Guest Virtual Machines) off-line
em infraestruturas da rea de trabalho virtual no persistentes. O Symantec
Endpoint Protection Manager remove os clientes GVM no persistentes que
750
Infraestruturas da rea de trabalho virtual no persistentes

Para configurar a imagem base para mquinas virtuais convidadas no persistentes em infraestruturas da rea de
trabalho virtual
estiveram off-line por um tempo maior que o perodo especificado. Este recurso
torna mais simples gerenciar as GVMs no Symantec Endpoint Protection Manager.
Tabela 31-1
Tarefas para usar o Symantec Endpoint Protection em

infraestruturas da rea de trabalho virtual no persistentes
Etapa
Descrio
Etapa 1
Configure a imagem base.

Consulte Para configurar a imagem base para mquinas virtuais convidadas
no persistentes em infraestruturas da rea de trabalho virtual
na pgina 750.
Etapa 2
No Symantec Endpoint Protection Manager, configure um intervalo

separado de apagamento para clientes VDI off-line no persistentes.
Consulte Para configurar um intervalo separado de apagamento para
clientes VDI off-line no persistentes na pgina 752.
Para configurar a imagem base para mquinas virtuais

convidadas no persistentes em infraestruturas da
rea de trabalho virtual
Voc pode definir sua imagem base para torn-la mais simples de usar o Symantec
Endpoint Protection Manager para gerenciar GVMS em infraestruturas da rea
de trabalho virtual no persistentes.
Tabela 31-2
Para configurar a imagem base para mquinas virtuais convidadas

no persistentes em infraestruturas da rea de trabalho virtual
Etapa
Descrio
Etapa 1
Instale o Symantec Endpoint Protection na imagem base.

Etapa 2
No Symantec Endpoint Protection Manager, desative a Proteo contra

adulteraes de modo que voc possa modificar o registro.
na pgina 450.

Para criar uma chave de registro para marcar as mquinas virtuais convidadas (GVMs) de imagem base como clientes
no persistentes
Etapa
Descrio
Etapa 3
Crie uma chave de registro na imagem base para marcar as GVMs como
clientes no persistentes.
Consulte Para criar uma chave de registro para marcar as mquinas
virtuais convidadas (GVMs) de imagem base como clientes no persistentes
na pgina 751.
Etapa 4
No Symantec Endpoint Protection Manager, ative a Proteo contra

adulteraes novamente.
na pgina 450.
Aps ter concludo a configurao da imagem base, voc poder configurar um

intervalo separado de apagamento para clientes no persistentes no Symantec
Consulte Para configurar um intervalo separado de apagamento para clientes
VDI off-line no persistentes na pgina 752.
Consulte Para usar o Symantec Endpoint Protection em infraestruturas da rea
de trabalho virtual no persistentes na pgina 749.
Para criar uma chave de registro para marcar as

mquinas virtuais convidadas (GVMs) de imagem base
como clientes no persistentes
Voc deve criar uma chave de registro na imagem base para marcar as mquinas
virtuais convidadas (GVMs, Guest Virtual Machines) como clientes no
persistentes.
Para criar uma chave de registro para marcar GVMs de imagem base como clientes
no persistentes
Aps instalar o cliente do Symantec Endpoint Protection e desativar a Proteo

contra adulteraes, abra o editor de registro na imagem base.
Navegue at HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec
Endpoint Protection\SMC\.
Crie uma nova chave chamada Virtualizao.
Em Virtualizao, crie uma chave do tipo DWORD chamada IsNPVDIClient

e ajuste-a a um valor de 1.
751
752

Para configurar um intervalo separado de apagamento para clientes VDI off-line no persistentes
Consulte Para configurar a imagem base para mquinas virtuais convidadas no

persistentes em infraestruturas da rea de trabalho virtual na pgina 750.
Para configurar um intervalo separado de apagamento

para clientes VDI off-line no persistentes
Com o passar do tempo, os clientes obsoletos podem se acumular no banco de
dados do Symantec Endpoint Protection Manager. Os clientes obsoletos so aqueles
que no se conectaram ao Symantec Endpoint Protection Manager por 30 dias. O
Symantec Endpoint Protection Manager apaga clientes obsoletos a cada 30 dias
por padro.
Se voc no quiser aguardar o mesmo nmero de dias para apagar clientes
obsoletos no persistentes, poder configurar um intervalo separado para eles.
Se voc no configurar um intervalo separado, os clientes VDI off-line no
persistentes sero apagados no mesmo intervalo que os clientes obsoletos no
virtuais.
Nota: Os clientes online no persistentes contam para o nmero de licenas
implementadas; os clientes off-line no persistentes no o fazem.
Voc tambm pode ocultar os clientes off-line no persistentes filtrando-os na
pgina Clientes.
Para configurar o intervalo de apagamento para clientes VDI off-line no persistentes
No console do Symantec Endpoint Protection Manager, na pgina Admin,

clique em Domnios.
Na rvore Domnios, clique no domnio desejado.
Na guia Editar propriedades de domnio > Geral, marque a caixa de seleo

Excluir clientes VDI no persistentes que no tenham se conectado por um
perodo especfico e mude o valor de dias para o nmero desejado.
A opo Excluir clientes que no se conectaram por um perodo especificado
deve ser marcada para acessar a opo para clientes VDI off-line no
persistentes.
Clique em OK.
Consulte Para usar o Symantec Endpoint Protection em infraestruturas da rea

de trabalho virtual no persistentes na pgina 749.
Seo
Para configurar e gerenciar

o Symantec Endpoint
Protection Manager
Captulo 32. Para gerenciar a conexo entre o servidor de gerenciamento e os

Captulo 33. Para configurar o servidor de gerenciamento
Captulo 34. Para gerenciar banco de dados
Captulo 35. Para gerenciar failover e balanceamento de carga
Captulo 36. Para preparar a recuperao aps desastres
754
Captulo
32
Para gerenciar a conexo

entre o servidor de
gerenciamento e os
Para gerenciar a conexo do servidor-cliente
Como determinar se o cliente est conectado e protegido
Por que eu preciso substituir o arquivo de comunicao servidor-cliente no

computador-cliente?
Como substituo o arquivo de comunicao cliente-servidor no

computador-cliente?
Para restaurar as comunicaes cliente-servidor usando um pacote de

instalao do cliente
Para exportar manualmente o arquivo de comunicao cliente-servidor
Para importar configuraes de comunicao cliente-servidor no cliente
Para configurar o SSL entre o Symantec Endpoint Protection Manager e os

clientes
Aprimoramento de desempenho do cliente e do servidor
Sobre certificados de servidor
756
Para gerenciar a conexo entre o servidor de gerenciamento e os computadores-cliente

Melhores prticas para atualizar certificados de servidor e manter a conexo

do servidor-cliente

Depois que voc instala o cliente, o servidor de gerenciamento se conecta
automaticamente ao computador-cliente. Talvez voc precise verificar se o cliente
e o servidor se comunicam.
Voc tambm pode querer configurar a conexo entre o servidor e o cliente.
A Tabela 32-1 relaciona as tarefas que voc pode executar para exibir e gerenciar
como o servidor de gerenciamento se conecta aos clientes.
Tabela 32-1
Tarefas para gerenciar conexes entre o servidor de gerenciamento

e os clientes
Ao
Descrio
Verificar se o cliente est

gerenciamento
Voc pode verificar o cone de status no cliente e no console de gerenciamento.

O cone de status mostra se o cliente e o servidor se comunicam.
Um computador pode ter o software-cliente instalado, mas no ter o arquivo de
comunicao correto.
Consulte Como substituo o arquivo de comunicao cliente-servidor no
Verificar se o cliente obtm

atualizaes da poltica
Certifique-se de que os computadores-cliente obtenham as atualizaes mais

recentes da poltica verificando o nmero de srie da poltica no cliente e no
console de gerenciamento. O nmero de srie da poltica deve ser correspondente
se o cliente puder se comunicar com o servidor e receber atualizaes regulares
da poltica.
Pode ser executada uma atualizao manual de poltica e comparados os nmeros
de srie da poltica entre si.

Ao
Descrio
Alterar qual mtodo usar para

fazer o download de polticas e
de contedo para os clientes
Voc pode configurar o servidor de gerenciamento para impor as polticas ao

cliente ou para que os clientes extraiam automaticamente as polticas do servidor
de gerenciamento.
Decidir se a lista de servidores de Voc pode trabalhar com uma lista alternativa de servidores de gerenciamento
gerenciamento padro deve ser para fazer failover e balanceamento de carga. A lista de servidores de
usada
gerenciamento fornece uma lista de vrios servidores de gerenciamento a que os
clientes podem conectar.
Consulte Configurao de uma lista de servidores de gerenciamento
na pgina 801.
Definir configuraes de
comunicao para um local
Voc pode definir configuraes separadas de comunicao para locais e grupos.
Solucionar problemas de
conectividade do servidor de
gerenciamento
Se o servidor de gerenciamento e o cliente no se conectam, possvel solucionar

problemas de conexo.
Consulte Configurao de definies de comunicao para um local na pgina 277.

Se tiver instalado o Symantec Network Access Control, voc tambm poder

configurar a conexo entre o servidor de gerenciamento e Enforcers.
Para obter mais informaes sobre as portas que o Symantec Endpoint Protection
usa, consulte o artigo da Base de conhecimento: Which Communications Ports
does Symantec Endpoint Protection use? (em ingls)
Como determinar se o cliente est conectado e

protegido
Voc pode verificar o cone da rea de notificao no cliente para determinar se
o cliente est conectado a um servidor de gerenciamento e adequadamente
protegido.
O cone est situado no canto inferior direito da rea de trabalho do
computador-cliente. Voc pode tambm clicar com o boto direito do mouse neste
cone para mostrar comandos frequentemente usados.
757
758

Tabela 32-2
cones de status do cliente do Symantec Endpoint Protection
cone Descrio
O cliente executado sem problemas. Est off-line ou no gerenciado. Os clientes
no gerenciados no so conectados a um servidor de gerenciamento. O cone
um escudo amarelo.
O cliente executado sem problemas. Est conectado e comunica-se com o servidor.
Todos os componentes da poltica de segurana protegem o computador. O cone
um escudo amarelo com um ponto verde.
O cliente tem um problema menor. Por exemplo, as definies de vrus podem
estar desatualizadas. O cone um escudo amarelo com um ponto amarelo fraco
que contm um ponto de exclamao preto.
O cliente no executado, tem um problema importante ou tem pelo menos uma
tecnologia de proteo desativada. Por exemplo, a Proteo contra ameaas rede
pode estar desativada. O cone um escudo amarelo com um ponto branco
contornado de vermelho e uma linha vermelha cruzando o ponto.
A Tabela 32-3 exibe os cones de status do cliente do Symantec Network Access

Control que aparecem na rea de notificao.
Tabela 32-3
cones de status do cliente do Symantec Network Access Control
cone Descrio
O cliente executado sem problemas e foi aprovado na verificao da integridade
do host e atualizou a poltica de segurana. Est off-line ou no gerenciado. Os
clientes no gerenciados no so conectados a um servidor de gerenciamento. O
cone uma chave dourada.
O cliente executado sem problemas e foi aprovado na verificao da integridade
do host e atualizou a poltica de segurana. Comunica-se com o servidor. O cone
uma chave dourada com um ponto verde.
O cliente falhou na verificao da integridade do host ou no atualizou a poltica
de segurana. O cone uma chave dourada com um ponto vermelho que contm
um "x" branco.
Voc pode tambm verificar o servidor de gerenciamento para exibir o status da

conexo dos computadores.
na pgina 666.

Por que eu preciso substituir o arquivo de comunicao servidor-cliente no computador-cliente?
Por que eu preciso substituir o arquivo de

comunicao servidor-cliente no computador-cliente?
O Symantec Endpoint Protection Manager se conecta ao cliente com um arquivo
de comunicao chamado Sylink.xml. O arquivo Sylink.xml inclui as configuraes
de comunicao, como o endereo IP do servidor de gerenciamento e do intervalo
de pulsao. Aps voc instalar um pacote de instalao do cliente nos
computadores-cliente, o cliente e o servidor se comunicaro automaticamente.
Normalmente voc no precisa substituir o arquivo Sylink.xml. Contudo, voc
pode precisar substituir o arquivo Sylink.xml existente no computador-cliente
nas seguintes situaes:
O cliente e o servidor no se comunicam. Se os clientes perderam a comunicao

com o servidor de gerenciamento, ser necessrio substituir o antigo arquivo
Sylink.xml por um arquivo novo.
Voc quer converter um cliente no gerenciado a um cliente gerenciado. Se

um usurio instalar um cliente do disco do produto, o cliente ser no
gerenciado e no se comunicar com o servidor de gerenciamento. Voc pode
igualmente reinstalar o software-cliente no computador como um computador
gerenciado.
Voc quer gerenciar um cliente previamente rfo. Por exemplo, se a unidade

de disco rgido onde o servidor de gerenciamento est instalado for corrompida,
voc dever reinstalar o servidor de gerenciamento. Voc pode atualizar o
arquivo Sylink.xml para restabelecer uma comunicao com todos os seus
clientes rfos.
Consulte Para desativar ou ativar comunicaes seguras entre o servidor e o
Voc quer mover um grande nmero de clientes de vrios grupos para um

nico grupo. Por exemplo, convm mover os computadores-cliente em um
grupo remoto e em um grupo do laptop para um grupo de teste. Normalmente,
voc precisar mover um grupo de computadores-cliente por vez.
Para instalar o Appliance de segurana virtual em um ambiente do vShield de

VMware. Para instalar o Appliance de segurana virtual, voc deve exportar
o arquivo de comunicaes manualmente.
759
760

Como substituo o arquivo de comunicao cliente-servidor no computador-cliente?

na pgina 727.
Consulte Como substituo o arquivo de comunicao cliente-servidor no
Como substituo o arquivo de comunicao

cliente-servidor no computador-cliente?
Se voc precisar substituir o arquivo de comunicao cliente-servidor (Sylink.xml)
no computador-cliente, poder usar os seguintes mtodos:
Crie um novo pacote de instalao do cliente e implemente-o nos

computadores-cliente. Use este mtodo se manualmente importar o Sylink.xml
em ambiente grande no fisicamente possvel e exige o acesso administrativo.
Grave um script que execute a ferramenta SylinkDrop, situada na pasta

/Ferramenta do disco do produto de ferramentas. A Symantec recomenda este
mtodo para um grande nmero de clientes. Voc deve igualmente usar a
ferramenta SylinkDrop se usar uma ferramenta de gerenciamento de software
para fazer o download do software-cliente aos computadores. A vantagem da
ferramenta de gerenciamento de software que ela faz o download do arquivo
Sylink.xml assim que o usurio final ativa o computador-cliente. Em
comparao, o pacote de instalao do cliente far o download do novo arquivo
Sylink.xml somente depois que o computador-cliente se conectar ao servidor
de gerenciamento.
Consulte Para recuperar configuraes de comunicao do cliente usando a
ferramenta SylinkDrop na pgina 828.
Exporte o arquivo Sylink.xml ao computador-cliente e importe-o no

computador-cliente manualmente. A Symantec recomenda este mtodo se
voc quiser usar uma ferramenta de gerenciamento de software como Altiris.
Com uma ferramenta de gerenciamento de software, a tarefa colocada na
fila e concluda sempre que os usurios ativarem seu computador. Com os
outros mtodos, o computador-cliente deve estar online.
A Tabela 32-4 exibe o processo para exportar e importar o arquivo Sylink.xml

Para restaurar as comunicaes cliente-servidor usando um pacote de instalao do cliente
Tabela 32-4
Etapa Tarefa
Etapas para exportar e importar o arquivo de comunicao

Descrio
Etapa Exporte um arquivo que inclua

O nome padro do arquivo nome do grupo _sylink.xml.
1
todas as configuraes de
comunicao para o grupo em que
deseja que o cliente esteja.
Etapa Implemente o arquivo no
2
computador-cliente.
Voc pode salvar o arquivo em um local da rede ou envi-lo a um usurio

individual no computador-cliente.
Etapa Importe o arquivo no

3
computador-cliente.
Voc ou o usurio podem importar o arquivo no computador-cliente.

Consulte Para importar configuraes de comunicao cliente-servidor
no cliente na pgina 764.
Os clientes no gerenciados no so protegidos por senha, assim, voc
no precisa de uma senha no cliente. Contudo, se voc tentar importar
um arquivo em um cliente gerenciado protegido por senha, dever digitar
uma senha. A senha a mesma que usada para importar ou exportar
uma poltica.
Voc no precisa reiniciar o computador-cliente.
Etapa Verifique a comunicao entre o

4
cliente e o servidor no cliente.
O cliente conecta-se imediatamente ao servidor de gerenciamento. O

servidor de gerenciamento coloca o cliente no grupo especificado no
arquivo de comunicao. O cliente atualizado com as polticas e
configuraes do grupo. Depois que o cliente e o servidor de
gerenciamento se comunicarem, o cone da rea de notificao com o
ponto verde aparecer na barra de tarefas do computador-cliente.
Consulte Para determinar se o cliente est conectado no console
na pgina 240.
Consulte Arquivos de comunicao de cliente e servidor na pgina 833.

Para restaurar as comunicaes cliente-servidor

usando um pacote de instalao do cliente
Se as comunicaes cliente-servidor forem rompidas, voc poder restaur-las
rapidamente substituindo o arquivo Sylink.xml no computador-cliente. Voc pode
substituir o arquivo Sylink.xml reimplementando um pacote de instalao do
cliente. Use este mtodo para um nmero grande de computadores, para
761
762

computadores que voc no pode facilmente acessar fisicamente ou computadores

que exijam acesso administrativo.
Para restaurar as configuraes das comunicaes cliente-servidor usando um
pacote de instalao do cliente
Na pgina Incio, na lista suspensa Tarefas comuns, clique em Instalar cliente

de proteo nos computadores.
No Assistente de Implementao de cliente, clique em Atualizar as

configuraes do Symantec Endpoint Protection para comunicao com o
Symantec Endpoint Protection Manager e ento clique em Avanar.
Selecione o grupo de computadores no qual voc quer implementar o pacote

de instalao do cliente e clique em Avanar.
Escolha um dos seguintes mtodos de implementao e clique em Avanar :
Clique em Instalao remota por envio e v para a etapa 5 no

procedimento seguinte.
Consulte Para implementar clientes usando a instalao remota por
envio na pgina 144.
Clique em Salvar pacote e v para a etapa 5 no procedimento seguinte.

Consulte Para implementar clientes usando a opo Salvar pacote
na pgina 147.
Certifique-se de que os usurios de computador tenham instalado o pacote

de instalao personalizada.
Voc ou os usurios de computador devem reiniciar os computadores-cliente.
na pgina 666.
Para exportar manualmente o arquivo de comunicao

cliente-servidor
Se o cliente e o servidor no se comunicarem, poder ser necessrio reinstalar o
arquivo Sylink.xml no computador-cliente para restaurar a comunicao. Voc
pode exportar manualmente o arquivo Sylink.xml do Symantec Endpoint Protection
Manager com base em grupos.
As razes mais comuns para substituir o Sylink.xml so:

Converter um cliente no gerenciado em um cliente gerenciado.
Reconectar um cliente previamente rfo ao servidor de gerenciamento.

Instalar um Appliance de segurana virtual em um ambiente vShield de

VMware.
na pgina 727.

Se voc precisar atualizar a comunicao cliente-servidor para um grande nmero
de clientes, reimplemente o pacote de instalao do cliente em vez de usar este
mtodo.
Para exportar o arquivo de comunicao cliente-servidor manualmente
Em Exibir clientes, selecione o grupo no qual voc deseja que o cliente aparea.
Clique com o boto direito do mouse no grupo e clique em Exportar

configuraes de comunicao.
Na caixa de dilogo Exportar configuraes de comunicao para nome do

grupo, clique em Procurar.
Na caixa de dilogo Selecionar arquivo de exportao, localize a pasta para

onde voc deseja exportar o arquivo .xml e clique em OK.
Na caixa de dilogo Exportar configuraes de comunicao para nome do

grupo, selecione uma das seguintes opes:
Para aplicar as polticas do grupo do qual o computador membro, clique

em Modo de computador.
Para aplicar as polticas do grupo do qual o usurio membro, clique em

Modo de usurio.
Clique em Exportar.
Se o nome do arquivo j existir, clique em OK para sobrescrev-lo ou em
Cancelar para salvar o arquivo com um novo nome de arquivo.
Para terminar a converso, voc ou um usurio devem importar a configurao
de comunicao no computador-cliente.
763
764

Para importar configuraes de comunicao cliente-servidor no cliente
Consulte Para importar configuraes de comunicao cliente-servidor no cliente

na pgina 764.
Para importar configuraes de comunicao

cliente-servidor no cliente
Aps exportar configuraes de comunicao cliente-servidor, voc poder
import-las em um cliente. possvel us-las para converter um cliente no
gerenciado em um cliente gerenciado ou reconectar um cliente previamente rfo
a um Symantec Endpoint Protection Manager.
Para importar o arquivo de configuraes da comunicao cliente-servidor no
cliente
Abra o Symantec Endpoint Protection no computador que voc deseja

converter em um cliente gerenciado.
No canto direito superior, clique em Ajuda e clique em Soluo de problemas.
Na caixa de dilogo Soluo de problemas, no painel Gerenciamento, clique

em Importar.
Na caixa de dilogo Importar Configuraes registro de grupo, localize o

arquivo nome do grupo_sylink.xml e clique em Abrir.
Clique em Fechar para fechar a caixa de dilogo Soluo de problemas.

Depois que voc importar o arquivo de comunicao e o cliente e o servidor
de gerenciamento se comunicarem, o cone da rea de notificao aparecer
na barra de tarefas do computador. O ponto verde indica que o cliente e o
servidor de gerenciamento esto em comunicao um com o outro.
Consulte Para exportar manualmente o arquivo de comunicao cliente-servidor

na pgina 762.
Para configurar o SSL entre o Symantec Endpoint

Protection Manager e os clientes
O Symantec Endpoint Protection Manager usa um site Apache para comunicar-se
com os clientes e proporcionar servios de gerao de relatrios. O site usa HTTP
para todas as comunicaes. HTTP um protocolo descriptografado e no fornece
a confidencialidade ou a integridade das comunicaes. Voc pode configurar o
site Apache do Symantec Endpoint Protection Manager para usar um certificado
SSL para assinar e criptografar dados usando uma conexo HTTPS.

Para configurar o SSL entre o Symantec Endpoint Protection Manager e os clientes
Tabela 32-5
Etapa Ao
Para configurar a comunicao SSL com o cliente
Descrio
Verificar se a
Em algumas redes, a porta 433 j pode estar vinculada a outro aplicativo ou servio. Para
porta SSL padro ativar a comunicao SSL, necessrio verificar se a porta padro (433) est disponvel.
est disponvel
Consulte Verificao da disponibilidade de portas na pgina 765.
Altere a porta
SSL padro
conforme a
necessidade
Se a porta 433 no estiver disponvel, escolha uma porta no utilizada no intervalo de

portas superiores (49152 a 65535). Ajuste a configurao de servidor para usar a nova
porta.
Ativar a
comunicao
SSL com o
cliente
Edite o arquivo httpd.config do Apache para permitir a comunicao SSL com o cliente.
Por padro, o trfego SSL usa a porta 433. Poder ser necessrio mudar a porta padro
se ela j estiver sendo usada.
Consulte Para alterar a atribuio da porta SSL na pgina 766.
Consulte Ativao da comunicao SSL entre o servidor de gerenciamento e o cliente

na pgina 767.

na pgina 190.
Verificao da disponibilidade de portas

Algumas configuraes do Symantec Endpoint Protection Manager exigem que
voc mude uma atribuio de porta padro para evitar um conflito com outros
aplicativos ou servios. Antes de atribuir uma porta nova, necessrio verificar
se a porta nova no est sendo usada.
Para verificar a disponibilidade da porta
Abra um prompt de comando e execute o comando:

netstat -an
Na coluna Endereo local, procure uma entrada que termine com o nmero
da porta que voc deseja verificar.
Por exemplo, verifique se a porta 443 est disponvel, procure na coluna
Endereo local uma entrada que termine em 443. Se nenhuma entrada
terminar em 443, a porta estar disponvel.
Consulte Para configurar o SSL entre o Symantec Endpoint Protection Manager

e os clientes na pgina 764.
765
766

Para configurar o SSL entre o Symantec Endpoint Protection Manager e os clientes
Para alterar a atribuio da porta SSL

Poder ser necessrio mudar a atribuio padro da porta SSL se a porta SSL
padro no estiver disponvel.
Voc deve primeiramente verificar se a nova porta SSL escolhida no est sendo
utilizada.
Consulte Verificao da disponibilidade de portas na pgina 765.
Para mudar a atribuio da porta SSL
Em um editor de texto, abra o seguinte arquivo:

%SEPM%\apache\conf\ssl\sslForClients.conf
Edite a string, Listen 443 com o nmero da nova porta. Por exemplo, se o
novo nmero da porta for 53300, a string editada se tornar Listen 53300.
Salve o arquivo e feche o editor de texto.
Reinicie o Symantec Endpoint Protection Manager.
Para verificar se a porta nova funciona corretamente, em um navegador da

Web, entre no seguinte URL:
https://ServerHostName:<new port
number>/secars/secars.dll?hello.secars.
No URL, ServerHostName o nome de computador do Symantec Endpoint

Protection Manager. Se a palavra "hello" for exibida, a mudana da porta ter
sido bem-sucedida. Se um erro de pgina for exibido, repita as primeiras
etapas e verifique se a string foi formatada corretamente. Verifique tambm
se o URL foi digitado corretamente.
No console, na guia Polticas, clique em Componentes das polticas > Listas

de servidores de gerenciamento.
Na lista de servidores de gerenciamento, clique no servidor de gerenciamento

sendo configurado para usar SSL e clique em Editar.
Na janela Editar servidor de gerenciamento, clique em Personalizar porta

HTTPS e digita o nmero da nova porta.
Clique em OK.
Consulte Ativao da comunicao SSL entre o servidor de gerenciamento

Ativao da comunicao SSL entre o servidor de gerenciamento e o

cliente
Edite o arquivo httpd.config para ativar a comunicao SSL entre o Symantec
Endpoint Protection Manager e os clientes.
Ativao da comunicao SSL entre o servidor de gerenciamento e o cliente
Em um editor de texto, abra o arquivo %SEPM%\apache\conf\httpd.conf.
Localize a seguinte entrada:

#Include conf/ssl/sslForClients.conf
Remova a marca # da string de texto e salve o arquivo.
Reinicie o Symantec Endpoint Protection Manager.

na pgina 183.
Consulte Interrupo e inicializao do servidor Web Apache na pgina 825.

Consulte Para configurar o SSL entre o Symantec Endpoint Protection Manager
e os clientes na pgina 764.
Aprimoramento de desempenho do cliente e do

servidor
O Symantec Endpoint Protection Manager inclui vrios recursos que permitem
aumentar o desempenho do cliente e do servidor ao mesmo tempo em que mantm
um alto nvel de segurana.
767
768

Tabela 32-6
Tarefas para melhorar o desempenho no servidor e no cliente
Tarefa
Descrio
Alterar configuraes de
comunicao de
servidor-cliente
Use o modo de instalao pull em vez do modo de envio para controlar com que
frequncia o servidor de gerenciamento faz o download de polticas e atualizaes
de contedo nos computadores-cliente. No modo de instalao pull, o servidor de
gerenciamento pode suportar mais clientes.
Aumente o intervalo de pulsao de modo que o cliente e o servidor se comuniquem
menos frequentemente. Para menos de 100 clientes por servidor, aumente a pulsao
para 15 a 30 minutos. Para 100 a 1.000 clientes, aumente a pulsao para 30 a 60
minutos. As redes maiores podem precisar de um intervalo de pulsao mais longo.
Aumente o download aleatrio entre uma e trs vezes o intervalo de pulsao.
Para obter mais informaes sobre como definir intervalos de pulsao, consulte o
informe oficial Symantec Endpoint Sizing and Scalability Best Practices (em ingls).
Escolher aleatoriamente e
reduzir o nmero de
atualizaes de contedo
As atualizaes de contedo variam no tamanho e na frequncia, dependendo do tipo

de contedo e da disponibilidade. Voc pode reduzir o efeito de fazer download e
importar um conjunto completo de atualizaes de contedo usando os seguintes
mtodos:
Distribua a carga do cliente atravs dos vrios servidores de gerenciamento.
Consulte Configurao de uma lista de servidores de gerenciamento na pgina 801.
Use mtodos alternativos para distribuir o contedo, como um provedor de
atualizaes de grupo ou ferramentas de distribuio de terceiros.
Um provedor de atualizaes de grupo o ajuda a conservar a largura de banda
descarregando poder de processamento do servidor para um cliente que faz
download do contedo.
Escolha aleatoriamente a hora em que o LiveUpdate faz download do contedo
nos computadores-cliente.
Faa download das atualizaes de contedo quando os usurios no estiverem
usando ativamente o computador-cliente.

Tarefa
Descrio
Ajustar verificaes para

melhorar o desempenho do
computador
Voc pode alterar algumas configuraes da verificao para melhorar o desempenho

dos computadores sem reduzir a proteo.
Por exemplo, possvel configurar as verificaes para ignorar arquivos confiveis
ou para serem executadas quando o computador estiver ocioso.
Consulte Para ajustar as verificaes para melhorar o desempenho do computador
na pgina 371.
Reduzir o volume do log do

cliente do banco de dados
Voc pode configurar as opes do registro em log para otimizar requisitos de

armazenamento e atender as polticas da empresa que controlam a reteno de dados
em log.
O banco de dados recebe e armazena um fluxo constante de entradas nos arquivos
de log. Voc deve gerenciar os dados armazenados no banco de dados para que eles
no consumam todo o espao livre em disco. O excesso de dados pode causar falha
no computador no qual o banco de dados executado.
Fazer upload somente de alguns logs do cliente para o servidor e altere a frequncia
com a qual o upload dos logs do cliente feito.
Especificar quantas entradas de log o computador-cliente pode manter no banco
de dados e por quanto tempo pode mant-las.
Consulte Como especificar por quanto tempo as entradas de log devem ser
mantidas no banco de dados na pgina 793.
Filtrar os eventos de risco e de sistema menos importantes para que menos dados
sejam encaminhados ao servidor.
Consulte Modificao de configuraes variadas para Proteo contra vrus e
spyware em computadores Windows na pgina 417.
Reduzir a frequncia da pulsao, que controla a frequncia com que feito o
upload dos logs dos clientes para o servidor.
Aumente a quantidade do espao em disco rgido no diretrio em que os dados de
log so armazenados antes de serem gravados no banco de dados.
Consulte Sobre aumentar o espao em disco no servidor para dados de log de
769
770

Tarefa
Descrio
Executar tarefas de
manuteno do banco de
dados
Para aumentar a velocidade da comunicao entre o cliente e o servidor, necessrio

agendar tarefas regulares de manuteno do banco de dados.
Consulte Agendamento de tarefas automticas de manuteno do banco de dados
na pgina 786.

Os certificados so o padro do setor para autenticar e criptografar dados
confidenciais. Para impedir a leitura de informaes medida que elas passam
atravs dos roteadores na rede, os dados devero ser criptografados.
Para se comunicar com os clientes, o servidor de gerenciamento usa um certificado
de servidor. Para que o servidor de gerenciamento identifique e se autentique com
um certificado de servidor, o Symantec Endpoint Protection Manager criptografa
os dados por padro. Contudo, h situaes em que voc deve desativar a
criptografia entre o servidor e o cliente.
Consulte Melhores prticas para atualizar certificados de servidor e manter a
conexo do servidor-cliente na pgina 771.
Voc pode igualmente querer fazer backup do certificado como uma precauo
de segurana. Se o servidor de gerenciamento for danificado ou voc esquecer a
senha do armazenamento de chave, poder recuper-la facilmente.
Consulte Backup do certificado de servidor na pgina 808.
Consulte Para atualizar ou restaurar um certificado de servidor na pgina 773.
O servidor de gerenciamento suporta os seguintes tipos de certificado:
Arquivo de armazenamento de chave JKS (.jks) (padro)

Uma ferramenta Java denominada keytool.exe gera o arquivo de
armazenamento de chave. O formato Java Cryptography Extension (.jceks)
requer uma verso especfica do Java Runtime Environment (JRE). O servidor
de gerenciamento suporta apenas um arquivo de armazenamento de chave
.jceks gerado com a mesma verso do Java Development Kit do servidor de
gerenciamento.
O arquivo de armazenamento de chave deve conter um certificado e uma chave
privada. A senha do armazenamento de chave deve ser a mesma senha da
chave. Voc pode encontrar a senha no seguinte arquivo:

Melhores prticas para atualizar certificados de servidor e manter a conexo do servidor-cliente
Unidade:\\Arquivos de programas\Symantec\ Symantec Endpoint

Protection Manager\Server Private Key Backup\recovery_timestamp.zip.
A senha aparece na linha keystore.password=.
Arquivo de armazenamento de chave PKCS12 (.pfx e .p12)
Certificado e arquivo da chave privada (formato .der e .pem)

A Symantec suporta certificados e chaves privadas descriptografados no
formato .der ou .pem. As chaves privadas criptografadas Pkcs8 no so
suportadas.
Melhores prticas para atualizar certificados de

servidor e manter a conexo do servidor-cliente
Poder ser necessrio atualizar o certificado de segurana nas seguintes situaes:
Voc restaura um certificado de segurana anterior que os clientes j usam.
Voc quer usar um certificado de segurana diferente do certificado padro

(.jks).
Quando os clientes usam uma comunicao com o servidor, o certificado de servidor

trocado entre o servidor e os clientes. Essa troca estabelece uma relao de
confiana entre o servidor e os clientes. Quando o certificado mudar no servidor,
a relao de confiana ser quebrada e os clientes no podero mais se comunicar.
Esse problema chamado de clientes rfos.
Nota: Use esse processo para atualizar um servidor de gerenciamento ou vrios
servidores de gerenciamento ao mesmo tempo.
A Tabela 32-7 relaciona as etapas para fazer o upgrade do certificado sem deixar
os clientes que o servidor gerencia rfos.
Tabela 32-7
Etapa Tarefa
1
Etapas para atualizar certificados de servidor
Descrio
Desativar a verificao Desative as comunicaes seguras entre o servidor e os clientes. Quando voc desativar
do certificado de
a verificao, os clientes ficaro conectados enquanto o servidor atualizar o certificado
servidor
de servidor.
Consulte Para desativar ou ativar comunicaes seguras entre o servidor e o cliente
na pgina 772.
771
772

Etapa Tarefa
Descrio
O processo de implementao da poltica atualizada pode levar uma semana ou mais,

dependendo dos seguintes fatores:
Aguardar para que

todos os clientes
recebam a poltica
atualizada
O nmero de clientes que se conectam ao servidor de gerenciamento. Instalaes

grandes podem demorar vrios dias para concluir o processo porque os
computadores gerenciados devem estar online para receber a nova poltica.
Alguns usurios podem estar em frias com seus computadores off-line.

3
Atualizar o certificado Atualizar o certificado de servidor. Se voc migrar ou fizer upgrade do servidor de
de servidor
gerenciamento, faa o upgrade do certificado primeiramente.
Ativar novamente a
Ative novamente as comunicaes seguras entre o servidor e os clientes.
verificao do
Consulte Para desativar ou ativar comunicaes seguras entre o servidor e o cliente
certificado do servidor
na pgina 772.
Aguardar para que

todos os clientes
recebam a poltica
atualizada
Restaurar a relao de Se o servidor que voc atualizou for replicado em outros servidores de gerenciamento,
replicao (opcional) restaure a relao de replicao.
Os computadores-cliente devem receber as alteraes de poltica da etapa anterior.
Para desativar ou ativar comunicaes seguras entre o servidor e o

cliente
Para autenticar a comunicao entre o servidor de gerenciamento e o cliente, o
servidor usa um certificado. Se o certificado estiver corrompido ou invlido, o
cliente no poder se comunicar com o servidor. Se voc desativar comunicaes
seguras, os clientes ainda podero se comunicar com o servidor. Contudo, os
clientes no autenticam comunicaes do servidor de gerenciamento.
Voc deve temporariamente desativar comunicaes seguras entre os clientes e
o servidor pelas seguintes razes:
Para movimentar um grande nmero de clientes de um site para outro sem

precisar usar o arquivo sylink.xml.

Consulte Por que eu preciso substituir o arquivo de comunicao

servidor-cliente no computador-cliente? na pgina 759.
Para atualizar um certificado corrompido ou invlido. Voc pode atualizar

vrios servidores de gerenciamento ao mesmo tempo. Como melhor prtica,
voc deve executar a recuperao aps desastres.
Certifique-se de que tenha definido esta configurao para os grupos que no

herdam de um grupo pai.
Aps mover os clientes ou atualizar o certificado, reative as comunicaes seguras.
Para desativar ou ativar comunicaes seguras entre o servidor e o cliente
No console, clique em Clientes > Polticas > Configuraes gerais.
Na guia Configuraes de segurana, marque ou desmarque Ativar

comunicaes seguras entre o servidor de gerenciamento e os clientes
usando certificados digitais para autenticao.
Clique em OK.
Consulte Sobre certificados de servidor na pgina 770.

Para atualizar ou restaurar um certificado de servidor

O certificado de servidor criptografa e descriptografa arquivos entre o servidor e
o cliente. O cliente se conecta ao servidor com uma chave de criptografia, faz o
download de um arquivo e descriptografa a chave para verificar sua autenticidade.
Se voc mudar o certificado no servidor sem manualmente atualizar o cliente, a
conexo criptografada entre o servidor e o cliente ser interrompida.
Voc deve atualizar o certificado de servidor nas seguintes situaes:
Reinstale o Symantec Endpoint Protection Manager sem usar o arquivo de

recuperao. Atualize o certificado para restaurar um certificado anterior que
os clientes j usem.
na pgina 99.
Substitua um servidor de gerenciamento por outro servidor de gerenciamento

e use o mesmo IP e nome do servidor.
Aplique o certificado de servidor errado (.JKS) aps a recuperao aps

desastres.
773
774

Voc comprou um certificado diferente e quer us-lo em vez do certificado

padro .JKS.
Faa upgrade de um servidor de gerenciamento 11.x.


Para atualizar ou restaurar um certificado de servidor
Sob Servidores, em Site local, clique no servidor de gerenciamento para o

qual voc quer atualizar o certificado de servidor.
Em Tarefas, clique em Gerenciar certificado de servidor e, em seguida, clique

em Avanar.
No painel Gerenciar certificado de servidor, clique em Atualizar o certificado

de servidor, em Avanar e em Sim.
Para manter a conexo de servidor-cliente, desative as conexes seguras.
Consulte Para desativar ou ativar comunicaes seguras entre o servidor e
o cliente na pgina 772.
No painel Atualizar o certificado de servidor, escolha o certificado que voc

quer atualizar e clique em Avanar :
Para cada tipo de certificado, siga as instrues nos painis e clique em

Concluir.
Os certificados de servidor de backup esto em Unidade:\\Arquivos de
programas\Symantec\Symantec Endpoint Protection Manager\Server
Private Key Backup\recovery_timestamp.zip. Voc pode encontrar a
senha para o arquivo armazenamento de chave no arquivo

settings.properties dentro do mesmo arquivo .zip. A senha aparece na
linha keystore.password=.
Voc deve fazer logoff e reiniciar o servidor de gerenciamento para que o

certificado se torne eficaz.
na pgina 183.
Captulo
33
Para configurar o servidor

de gerenciamento
Para gerenciar os servidores do Symantec Endpoint Protection Manager e de

terceiros
Sobre os tipos de servidores do Symantec Endpoint Protection
Exportao e importao de configuraes do servidor
Para ativar ou desativar os servios da Web do Symantec Endpoint Protection

Manager
Para gerenciar os servidores do Symantec Endpoint

Protection Manager e de terceiros
Voc pode configurar o Symantec Endpoint Protection Manager para integrar-se
com muitos dos diferentes tipos de servidores em seu ambiente de rede.
Tabela 33-1
Gerenciamento do servidor
Tarefa
Descrio
Saber mais sobre

servidores
Decida quais os tipos de servidores que voc precisa configurar.

Consulte Sobre os tipos de servidores do Symantec Endpoint
776
Para configurar o servidor de gerenciamento

Para gerenciar os servidores do Symantec Endpoint Protection Manager e de terceiros
Tarefa
Descrio
Definir permisses de Voc pode permitir ou negar o acesso ao console remoto. Gerencie
comunicao do
o acesso adicionando excees baseadas no endereo IP de um
servidor
nico computador ou de um grupo de computadores.
Consulte Para permitir ou bloquear o acesso aos consoles remotos
do Symantec Endpoint Protection Manager na pgina 107.
Modificar
configuraes do
servidor
Para modificar configuraes do banco de dados ou restaurar o

banco de dados em um computador diferente, possvel modificar
as configuraes do servidor.
Consulte Reinstalao ou reconfigurao do Symantec Endpoint
Configurar o servidor
de e-mail
Para trabalhar com um servidor de e-mail especfico em sua rede,

voc precisa configurar o servidor de e-mail.
Consulte Estabelecimento de comunicao entre o servidor de
gerenciamento e os servidores de e-mail na pgina 696.
Gerenciar servidores
de diretrios
Voc pode integrar o Symantec Endpoint Protection aos servidores

de diretrio para ajudar a gerenciar as contas de administrador
ou criar unidades organizacionais.
Consulte Para conectar o Symantec Endpoint Protection Manager
a um servidor de diretrio na pgina 228.
Definir configuraes
de proxy se voc usar
um servidor proxy
para se conectar a
servidores do
Symantec LiveUpdate
Para configurar o Symantec Endpoint Protection Manager para

se conectar Internet atravs de um servidor proxy, necessrio
configurar a conexo do servidor proxy.
Importar ou exportar
propriedades do
servidor
Voc pode exportar configuraes do servidor em um arquivo xml

e importar novamente as mesmas configuraes.
Consulte Para configurar o Symantec Endpoint Protection

Manager para se conectar a um servidor proxy a fim de acessar a
Internet e fazer download de contedo do Symantec LiveUpdate
na pgina 615.
Consulte Exportao e importao de configuraes do servidor

na pgina 779.

Para gerenciar os servidores do Symantec Endpoint Protection Manager e de terceiros
Tarefa
Descrio
Gerenciar certificados O servidor do Symantec Endpoint Protection Manager usa um

de servidor
certificado de servidor para criptografar dados para a comunicao
entre todos os servidores, clientes e Enforcers opcionais em uma
rede. O servidor identifica e autentica-se sozinho com um
certificado de servidor. Voc pode precisar fazer backup, atualizar
ou gerar um certificado de servidor novo.
Consulte Para atualizar ou restaurar um certificado de servidor
na pgina 773.
Consulte Para gerar um novo certificado de servidor
na pgina 815.
Configurar a
autenticao SecurID
para um servidor
Se voc optar por autenticar as contas de administrador usando

o RSA SecurID, dever tambm configurar o servidor de
gerenciamento para que ele se comunique com o servidor da RSA.
Consulte Configurao do servidor de gerenciamento para
autenticar os administradores que usam RSA SecurID para fazer
logon na pgina 296.
Mover o servidor para Voc pode precisar mover o software do servidor de gerenciamento
um computador
de um computador para outro pelas seguintes razes:
diferente
Voc deve mover o servidor de gerenciamento de um ambiente
de teste para um ambiente de produto.
O computador no qual o servidor de gerenciamento executado
tem uma falha de hardware.
Voc pode mover o software do servidor de gerenciamento das
seguintes maneiras:
Instale o servidor de gerenciamento em outro computador e
realize a replicao.
Consulte Para readicionar um parceiro de replicao que voc
excluiu previamente na pgina 211.
Instale o servidor de gerenciamento em outro computador
usando o arquivo de recuperao.
Consulte Reinstalao ou reconfigurao do Symantec
777
778

Sobre os tipos de servidores do Symantec Endpoint Protection
Tarefa
Descrio
Iniciar e interromper o O servidor de gerenciamento executado como um servio

servidor de
automtico. Voc deve interromper o servio do servidor de
gerenciamento
gerenciamento quando fizer o upgrade ou executar a recuperao
aps desastres.
Consulte Para interromper e iniciar o servio do servidor de
gerenciamento na pgina 183.
Sobre os tipos de servidores do Symantec Endpoint

Protection
As seguintes definies podem ser teis para entender quando gerenciar servidores:
Site
Um site consiste em um ou vrios servidores de gerenciamento e em um banco
de dados (o banco de dados incorporado ou Microsoft SQL Server) situados
tipicamente em conjunto no mesmo local comercial. O site ao qual voc est
conectado o site local; portanto, possvel modific-lo diretamente. Todos
os outros sites, exceto o local, so referidos como sites remotos. Voc conecta
sites usando a replicao.
Servidor de gerenciamento
O computador no qual o software do Symantec Endpoint Protection Manager
est instalado. possvel criar e atribuir polticas a diferentes grupos
organizacionais atravs do servidor de gerenciamento. Voc pode monitorar
clientes, exibir relatrios, logs e alertas e configurar servidores e contas de
administrador. Vrios servidores de gerenciamento em um nico site fornecem
recursos de failover e balanceamento de carga.
Servidor de banco de dados

O banco de dados usado pelo Symantec Endpoint Protection Manager. H um
banco de dados por site. O banco de dados poder estar no mesmo computador
que o servidor de gerenciamento ou em um computador diferente se voc usar
um banco de dados do SQL Server.
Symantec Network Access Control Enforcer

Um Enforcer usado pelo Symantec Network Access Control para permitir ou
negar o acesso rede corporativa. O Symantec Network Access Control inclui

os seguintes tipos de Enforcers: Gateway Enforcer, LAN Enforcer e Integrated

Enforcer.
Consulte Sobre o Symantec Network Access Control na pgina 844.
Parceiro de replicao
Uma relao criada entre dois sites para ativar a replicao de dados entre
eles.

O arquivo de propriedades do servidor inclui as configuraes do servidor para o
Symantec Endpoint Protection Manager. Voc pode precisar exportar e importar
o arquivo de propriedades do servidor nas seguintes situaes:
Use o arquivo de recuperao aps desastres para reinstalar o Symantec

O arquivo de recuperao aps desastres no inclui as configuraes do
servidor. Quando voc reinstalar o Symantec Endpoint Protection Manager,
perder quaisquer configuraes padro do servidor que tenham sido alteradas
previamente. Voc pode usar o arquivo de propriedades exportado do servidor
para reimportar as configuraes alteradas do servidor.
Instale o Symantec Endpoint Protection Manager em um ambiente de teste e

mais tarde instale o servidor de gerenciamento em um ambiente de produo.
Voc pode importar o arquivo de propriedades exportado do servidor ao
ambiente de produo.
Faa upgrade do servidor de gerenciamento de uma verso anterior a uma

verso mais recente; voc precisar importar todas as polticas e locais.
Voc quer exportar todas as polticas em vez das polticas individuais de um

servidor de gerenciamento para outro.
O arquivo de propriedades do servidor inclui todas as polticas, locais e

configuraes do servidor e usa um formato .xml.
Consulte Para gerenciar os servidores do Symantec Endpoint Protection Manager
e de terceiros na pgina 775.
Para exportar as configuraes do servidor
Em Servidores, expanda Site local (site nome do site) e selecione em seguida

o servidor de gerenciamento que deseja exportar.
Clique em Exportar propriedades do servidor.
779
780

Para ativar ou desativar os servios da Web do Symantec Endpoint Protection Manager
Selecione um local onde salvar o arquivo e especifique um nome para o mesmo.
Clique em Exportar.
Para importar as configuraes do servidor
Em Servidores, expanda Site local (site nome do site) e selecione em seguida

o servidor de gerenciamento para o qual deseja importar configuraes.
Clique em Importar propriedades do servidor.
Selecione o arquivo que voc quer importar e clique em Importar.
Clique em Sim.
Para ativar ou desativar os servios da Web do

O Symantec Endpoint Protection proporciona dois conjuntos de servios da Web
no servidor de gerenciamento. Um conjunto foi gravado para fornecer a integrao
com o Symantec Protection Center. O outro conjunto foi gravado para fornecer
suporte para o desenvolvimento de aplicativos de gerenciamento remoto.
Ambos os conjuntos de servios da Web so ativados por padro. Voc pode ativar
ou desativar qualquer conjunto de servios da Web executando um script includo
com o produto.
Para ativar ou desativar os servios da Web do Symantec Endpoint Protection
Manager
Em uma janela de comando, execute o seguinte arquivo de lote:

Symantec_Endpoint_Protection_Manager_installation_folder/ToolsConfigSEPM.bat
Defina qualquer uma das opes a seguir:

-RmmWS:ON
Ativa servios da Web para gerenciamento remoto.
-RmmWS:OFF
Desativa servios da Web para gerenciamento remoto.
-SpcWS:ON
Ativa servios da Web para ferramentas internas da Symantec

(Symantec Protection Center).
-SpcWS:OFF
Desativa servios da Web para ferramentas internas da

Symantec (Symantec Protection Center).
Captulo
34
Para gerenciar banco de

dados
Manuteno do banco de dados
Agendamento de backups automticos do banco de dados
Agendamento de tarefas automticas de manuteno do banco de dados
Exportao de dados para um servidor Syslog
Exportao de dados de log para um arquivo de texto
Exportao de dados do log para um arquivo de texto delimitado por vrgulas
Especificao do tamanho do log do cliente e de quais fazer upload para o

Como especificar por quanto tempo as entradas de log devem ser mantidas no
banco de dados
Sobre aumentar o espao em disco no servidor para dados de log de clientes
Como remover dados de log do banco de dados manualmente

O Symantec Endpoint Protection suporta um banco de dados interno e o banco
de dados do Microsoft SQL Server. Se voc tiver mais de 5.000 clientes, ser
necessrio usar o banco de dados do Microsoft SQL Server.
782
Para gerenciar banco de dados

O Symantec Endpoint Protection Manager instala automaticamente um banco de

dados interno. O banco de dados contm informaes sobre polticas de segurana,
configuraes, dados do ataque, logs e relatrios.
Depois de instalar o Symantec Endpoint Protection Manager, o servidor de
gerenciamento comear a ficar mais lento aps algumas semanas ou meses. Para
melhorar o desempenho do servidor de gerenciamento, talvez seja necessrio
reduzir o espao de armazenamento do banco de dados e agendar vrias tarefas
de manuteno do banco de dados.
Tabela 34-1
Tarefas de gerenciamento do banco de dados
Tarefa
Descrio
Agendar backups
regulares do banco
de dados
Voc deve agendar os backups regulares do banco de dados caso o banco de dados seja
corrompido.
Consulte Agendamento de backups automticos do banco de dados na pgina 785.
Opcionalmente, para impedir uma varredura automtica do banco de dados aps a ocorrncia
de um backup,voc poder varrer manualmente os dados do banco de dados.
Consulte Como remover dados de log do banco de dados manualmente na pgina 795.
Agendar tarefas de
manuteno do
banco de dados
Voc pode acelerar o tempo de interao entre o servidor de gerenciamento e o banco de

dados agendando tarefas de manuteno do banco de dados. Voc pode agendar o servidor
de gerenciamento para executar as seguintes tarefas de manuteno imediatamente ou
quando os usurios no estiverem nos computadores-cliente.
Remova dados no utilizados do registro de transao.
Reconstrua os ndices da tabela de banco de dados para melhorar os recursos de

classificao e pesquisa do banco de dados.

na pgina 786.
Verificar
Se voc usar o banco de dados do Microsoft SQL Server em vez do banco de dados interno,
periodicamente o
certifique-se de que o banco de dados no atinja o tamanho mximo do arquivo.
tamanho de arquivos
Consulte Aumento do tamanho do arquivo do banco de dados do Microsoft SQL Server
do banco de dados
na pgina 788.

Tarefa
Descrio
Calcular o espao de Para decidir como reduzir a quantidade do espao de armazenamento, calcule a quantidade
armazenamento do total de espao em disco necessria.
banco de dados
O armazenamento do banco de dados baseados nos seguintes fatores:
necessrio
Tamanho do log e perodo de tempo do vencimento.
O nmero de computadores-cliente.
O nmero mdio de vrus por ms.
O nmero de eventos que voc precisa reter para cada log.
O nmero de atualizaes de contedo.

As atualizaes de contedo exigem aproximadamente 300 MB cada uma.
na pgina 622.
Consulte Para configurar as revises de contedo usadas pelos clientes na pgina 621.
O nmero de verses do cliente que voc precisa reter para cada idioma.
Por exemplo, se voc tiver clientes de 32 e 64 bits, precisar de duas vezes o nmero de
verses de idiomas.
O nmero de backups que voc precisa manter.
O tamanho do backup de aproximadamente 75% do tamanho do banco de dados,
multiplicados pelo nmero de cpias de backup que voc mantm.
Para obter mais informaes sobre como calcular o espao que voc precisa no disco rgido,
consulte o informe oficial da Symantec, Sizing and Scalability Recommendations for Symantec
Endpoint Protection (em ingls).
783
784

Tarefa
Descrio
Reduzir o volume de O banco de dados recebe e armazena um fluxo constante de entradas nos arquivos de log.
dados do log
Voc deve gerenciar os dados armazenados no banco de dados para que eles no consumam
todo o espao livre em disco. O excesso de dados pode causar falha no computador no qual o
banco de dados executado.
Exportar dados de
log para outro
servidor
Fazer upload somente de alguns logs do cliente para o servidor e altere a frequncia com
a qual o upload dos logs do cliente feito.
Consulte Especificao do tamanho do log do cliente e de quais fazer upload para o
Especificar quantas entradas de log o computador-cliente pode manter no banco de dados
e por quanto tempo pode mant-las.
Consulte Como especificar por quanto tempo as entradas de log devem ser mantidas no
banco de dados na pgina 793.
Filtrar os eventos de risco e de sistema menos importantes para que menos dados sejam
encaminhados ao servidor.
Consulte Modificao de configuraes variadas para Proteo contra vrus e spyware
em computadores Windows na pgina 417.
Reduzir a quantidade de espao no diretrio onde os dados de log so armazenados antes
de serem inseridos no banco de dados.
Consulte Sobre aumentar o espao em disco no servidor para dados de log de clientes
na pgina 794.
Reduzir a frequncia da pulsao, que controla a frequncia com que feito o upload dos
logs dos clientes para o servidor.
Consulte Configurao do modo de envio ou de instalao pull para atualizar polticas e
contedo do cliente na pgina 329.
Por motivos de segurana, talvez seja necessrio reter o nmero de registros de log por um
perodo de tempo mais longo. Para manter o volume de dados de log do cliente baixo, voc
pode exportar os dados de log para outro servidor.
Criar pacotes de
instalao do cliente
com apenas a
proteo de que voc
precisa
Quanto mais recursos de proteo voc instalar com o cliente, mais espao ser ocupado no
banco de dados pela informaes do cliente. Crie o pacote de instalao do cliente com apenas
o nvel apropriado de proteo de que o computador-cliente precisa. Quanto mais grupos
voc adicionar, mais espao ser ocupado no banco de dados pelas informaes do cliente.
Consulte Para configurar recursos do pacote de instalao do cliente na pgina 153.

Agendamento de backups automticos do banco de dados
Tarefa
Descrio
Usar o provedor de
atualizaes de
grupo para fazer
download do
contedo
Se voc tiver pouca largura de banda ou mais de 100 computadores-cliente, use os Provedores
de atualizaes de grupo para fazer download do contedo. Por exemplo, 2.000 clientes que
usam um Provedor de atualizaes de grupo equivalem a usar de quatro a cinco servidores
de gerenciamento para fazer download do contedo.
Consulte Para usar Provedores de atualizaes de grupo para distribuir contedo aos clientes
na pgina 632.
Para reduzir o espao em disco e o tamanho do banco de dados, voc pode reduzir o nmero
de revises de contedo que so mantidas no servidor.
na pgina 622.
Restaurar o banco de Voc pode recuperar um banco de dados corrompido restaurando o banco de dados no mesmo
dados
computador em que foi instalado originalmente. Ou voc pode instalar o banco de dados em
um computador diferente.
Consulte Restaurao do banco de dados na pgina 816.
Consulte Verificao da conexo com o banco de dados na pgina 831.

As informaes no banco de dados so armazenadas em tabelas, tambm chamadas
de esquemas de bancos de dados. Voc pode precisar dos esquemas para gravar
consultas para relatrios personalizados. Para obter mais informaes, consulte
Referncia do esquema do banco de dados de Symantec Endpoint Protection Manager
no seguinte local: Symantec Endpoint Protection documentation site (em ingls).
Agendamento de backups automticos do banco de

dados
Voc pode agendar o backup do banco de dados para ocorrer num momento em
que menos usurios estejam conectados rede.
Voc tambm pode fazer backup do banco de dados a qualquer momento.
Para agendar backups automticos do banco de dados
No console, clique em Admin e, em seguida, em Servidores.
Em Servidores, clique no cone que representa o banco de dados para

armazenar em backup.
Em Tarefas, clique em Editar propriedades do banco de dados.
785
786

Na caixa de dilogo Propriedades do banco de dados, na guia Configuraes

de backup, faa as tarefas a seguir.
Na lista suspensa Servidor de backup, especifique em que servidor de

gerenciamento voc deseja salvar o backup.
Marque Fazer backup dos logs se precisar salvar uma cpia dos logs para
fins de segurana ou da poltica de empresa.
Caso contrrio, deixe esta opo desativada, pois os logs usam muito espao
em disco.
Especifique o nmero de backups se sua poltica da empresa o exigir.
Certifique-se de que Agendar backups esteja marcado e defina o agendamento.
Clique em OK.
Agendamento de tarefas automticas de manuteno

do banco de dados
Aps a instalao do servidor de gerenciamento, o espao no banco de dados cresce
continuamente. O servidor de gerenciamento fica mais lento aps algumas semanas
ou meses. Para reduzir o tamanho do banco de dados e melhorar o tempo de
resposta com o banco de dados, o servidor de gerenciamento executa as seguintes
tarefas de manuteno do banco de dados:
Trunca o registro de transao.

O registro de transao grava praticamente todas as mudanas ocorridas no
banco de dados. O servidor de gerenciamento remove os dados no utilizados
do registro de transao.
Reconstri o ndice.
O servidor de gerenciamento desfragmenta os ndices da tabela do banco de
dados para melhorar o tempo necessrio para classificar e pesquisar o banco
de dados.
Por padro, o servidor de gerenciamento executa essas tarefas com base em um

agendamento. Voc pode executar as tarefas de manuteno imediatamente ou
ajustar o agendamento para que ele ocorra quando os usurios no estiverem nos
computadores.

Nota: Voc tambm pode executar as tarefas de manuteno do banco de dados

no Microsoft SQL Server Management Studio. Porm, necessrio executar essas
tarefas no Symantec Endpoint Protection Manager ou no Management Studio,
mas no em ambos. Consulte o artigo da Base de conhecimento: Create database
maintenance plans in MS SQL Server 2005 using SQL Server Integration Services
(SSIS) (em ingls).
Para executar as tarefas de manuteno do banco de dados sob demanda
No console, clique em Admin e, em seguida, em Servidores.
Em Servidores, clique no cone que representa o banco de dados.
Em Tarefas, selecione qualquer uma das seguintes opes:
Truncar registro de transao agora
Reconstruir ndices agora
Clique em Executar.
Aps a concluso da tarefa, clique em Fechar.
Para agendar as tarefas de manuteno do banco de dados para que sejam

executadas automaticamente
Na guia Geral, selecione uma ou ambas as seguintes opes e clique em

Agendar tarefa e especifique o agendamento de cada tarefa.
Truncar os logs de transaes do banco de dados. O agendamento padro

para essa tarefa a cada quatro horas.
Reconstruir ndices. O agendamento padro para essa tarefa todo

domingo s 14:00.
Aviso: Se voc executar essas tarefas no SQL Server Management Studio,

desmarque essas opes.
787
788

Aumento do tamanho do arquivo do banco de dados do Microsoft SQL

Server
Se voc usar o banco de dados do Microsoft SQL Server, verifique periodicamente
o tamanho do banco de dados para certificar-se de que o banco de dados no atinja
o tamanho mximo. Se possvel, aumente o tamanho mximo do banco de dados
do Microsoft SQL Server.
na pgina 786.
Para aumentar o tamanho do banco de dados do Microsoft SQL Server
No servidor de gerenciamento, localize o caminho de instalao do Microsoft

SQL Server.
O caminho padro :
C:\Arquivos de programas\Microsoft SQL Server\MSSQL.1\MSSQL\Data.
Expanda a pasta de dados, clique com o boto direito do mouse em sem5 e

clique em Propriedades.
Na caixa de dilogo Propriedades do Banco de Dados, selecione Arquivos.
Em Arquivos do banco de dados, selecione sem5_log1 e role para a direita

para exibir a coluna Aumento automtico.
Na coluna Aumento Automtico, clique no boto .
Na caixa de dilogo Alterar Aumento Automtico para sem5_log1, clique

em Aumento de Arquivo Irrestrito e em OK.
Clique em OK.

Para aumentar o espao no banco de dados, possvel configurar o servidor de
gerenciamento para enviar os dados de log a um servidor Syslog.
Quando os dados de log forem exportados para um servidor Syslog, ser necessrio
configurar o servidor Syslog para receber esses logs.
Para exportar dados de log para um servidor Syslog
Clique em Servidores.
Clique no site local ou remoto do qual voc deseja exportar o log.

Clique em Configurar log externo.
Na guia Geral, na caixa de listagem Frequncia de atualizao, selecione

com que frequncia enviar os dados de log ao arquivo.
Na caixa de listagem Servidor mestre de registro em log, selecione o servidor

de gerenciamento a quem enviar os logs.
Se voc usar o SQL Server e conectar vrios servidores de gerenciamento ao
banco de dados, especifique somente um servidor como Servidor mestre de
registro em log.
Marque Ativar a transmisso de logs para um servidor Syslog.
Fornea as seguintes informaes:
Servidor Syslog
Digite o endereo IP ou nome do domnio do servidor Syslog que voc
deseja que receba dados de log.
Porta de destino
Selecione o protocolo a ser usado e digite a porta de destino que o servidor
do syslog usa para escutar mensagens de Syslog.
Recurso de log
Digite o nmero do recurso de log que voc deseja que o arquivo de
configurao Syslog use ou use o padro. Os valores vlidos variam de 0
a 23.
Na guia Filtro de log, marque os logs a exportar.
10 Clique em OK.

Quando voc exporta dados dos logs para um arquivo de texto, os arquivos so
colocados por padro em uma pasta. O caminho da pasta unidade:\Arquivos de
programas\Symantec\Symantec Endpoint Protection Manager\data\dump. As
entradas so colocadas em um arquivo .tmp at que os logs sejam transferidos
para o arquivo de texto.
Se voc no instalou o Symantec Network Access Control, alguns destes logs no
existiro.
Nota: No possvel restaurar o banco de dados usando os dados do log exportados.
789
790

A Tabela 34-2 mostra a correspondncia entre os tipos de dados do log e os nomes

dos arquivos de dados do log exportados. Os nomes dos logs no correspondem
diretamente aos nomes dos logs usados na guia Logs da pgina Monitores.
Tabela 34-2
Nomes de arquivos de texto de log para o Symantec Endpoint

Protection
Dados do log
Nome do arquivo de texto
Administrao do servidor
scm_admin.log
agt_behavior.log
Cliente do servidor
scm_agent_act.log
Poltica do servidor
scm_policy.log
Sistema do servidor
scm_system.log
Pacote do cliente
agt_packet.log
Proteo proativa contra ameaas do

cliente
agt_proactive.log
Risco do cliente
agt_risk.log
Verificao do cliente
agt_scan.log
Segurana do cliente
agt_security.log
Sistema do cliente
agt_system.log
Trfego do cliente
agt_traffic.log
A Tabela 34-3 mostra a correspondncia entre os tipos de dados do log e os nomes

dos arquivos de dados do log exportados para os logs do Enforcer.
Tabela 34-3
Nomes do arquivo de texto do log para os logs do Enforcer
Dados do log
Nome do arquivo de texto
Atividade do Enforcer do servidor
scm_enforcer_act.log
Atividade do cliente do Enforcer
enf_client_act.log
Sistema do Enforcer
enf_system.log
Trfego do Enforcer
enf_traffic.log

Exportao de dados do log para um arquivo de texto delimitado por vrgulas
Nota: Ao exportar para um arquivo de texto, o nmero de logs exportados pode

ser diferente do nmero estabelecido na caixa de dilogo Log externo. Essa situao
ocorre quando o servidor de gerenciamento reiniciado. Aps reiniciar o servidor
de gerenciamento, a contagem de entrada de log retorna a zero, mas podem j
existir entradas nos arquivos de log temporrios. Nessa situao, o primeiro
arquivo *.log de cada tipo que gerado aps a reinicializao contm mais entradas
que o valor especificado. Qualquer arquivo subsequentemente exportado contm
o nmero correto de entradas.
Para exportar dados do log para um arquivo de texto
Clique no site local ou remoto para o qual voc deseja configurar o log externo.
Clique em Configurar log externo.
Na guia Geral, selecione com que frequncia voc deseja que os dados de log
sejam enviados ao arquivo.
Na caixa de listagem Servidor mestre de registro, selecione o servidor ao

qual voc deseja enviar os logs.
Caso voc use o Microsoft SQL com mais de um servidor de gerenciamento
conectado ao banco de dados, apenas um deles precisar ser um servidor
mestre de log.
Selecione Exportar logs para um arquivo de despejo.
Se necessrio, selecione Limitar os registros de arquivo de despejo e digite

um nmero de entradas que deseja enviar por vez ao arquivo de texto.
Na guia Filtro de log, selecione todos os logs que deseja enviar para os arquivos
de texto.
Se o tipo de log selecionado permitir selecionar o nvel de gravidade, selecione
os nveis de gravidade que voc deseja exportar.
10 Clique em OK.
Exportao de dados do log para um arquivo de texto

delimitado por vrgulas
Voc pode exportar os dados nos logs para um arquivo de texto delimitado por
vrgulas.
791
792

Especificao do tamanho do log do cliente e de quais fazer upload para o servidor de gerenciamento
Para exportar logs para um arquivo de texto delimitado por vrgulas
Na guia Logs, selecione o log que voc deseja exportar.
Clique em Exportar.
Na caixa de dilogo Download do arquivo, clique em Salvar.
Especifique o nome do arquivo e o local e clique em seguida em Salvar.
Clique em Fechar.
Especificao do tamanho do log do cliente e de quais

fazer upload para o servidor de gerenciamento
A poltica da empresa pode exigir que voc aumente o tempo e o tipo de eventos
de log que o banco de dados mantm. Voc pode especificar o nmero de entradas
mantidas nos logs e o nmero de dias que cada entrada mantida no cliente.
Voc pode configurar se vai ou no fazer upload de cada tipo de log do cliente no
servidor e o tamanho mximo dos uploads. Se voc optar por no fazer upload
dos logs do cliente, isso ter as seguintes consequncias:
Voc no pode exibir os dados do log do cliente atravs do console do Symantec

Endpoint Protection Manager usando a guia Logs, na pgina Monitores.
Voc no poder fazer backup dos logs do cliente quando fizer o backup do
banco de dados.
Voc no poder exportar os dados do log do cliente para um arquivo ou para

um servidor de log centralizado.
Nota: Algumas configuraes do log do cliente so especficas de grupos e algumas

so definidas na poltica de proteo contra vrus e spyware, que pode seja aplicada
a um local. Se desejar que todas as configuraes do log do cliente remoto e do
log do cliente do escritrio difiram, ser necessrio usar grupos em vez de locais
para gerenciar clientes remotos.

Como especificar por quanto tempo as entradas de log devem ser mantidas no banco de dados
Para especificar o tamanho do log do cliente e de quais fazer upload para o servidor
de gerenciamento
No console, clique em Clientes e selecione um grupo.

clique em Configuraes do log de cliente.
Na caixa de dilogo Configuraes do log de cliente para nome do grupo,

configure o tamanho mximo do arquivo e o nmero de dias para manter as
entradas de log.
Marque Fazer upload para o servidor de gerenciamento para todos os logs

que voc queira que os clientes encaminhem para o servidor.
Para os logs de Segurana e de Trfego, defina o perodo do amortecedor e

o perodo ocioso do amortecedor.
Essas configuraes determinam com que frequncia os eventos da Proteo
contra ameaas rede so includos.
Clique em OK.
Como especificar por quanto tempo as entradas de

log devem ser mantidas no banco de dados
Para ajudar a controlar o espao no disco rgido, possvel diminuir o nmero de
entradas de log que o banco de dados mantm. Tambm possvel configurar o
nmero de dias durante os quais as entradas so mantidas.
Nota: As informaes de log no console do Symantec Endpoint Protection Manager,
na guia Logs, pgina Monitores, apresentada em grupos lgicos para voc
visualizar. Os nomes de log na guia Configuraes de registro de propriedades
do site correspondem ao contedo do log em vez de aos tipos de log na guia Logs
da pgina Monitores.
Para especificar por quanto tempo as entradas de log devem ser mantidas no banco
de dados
No console, clique em Admin.
Em Servidores expanda Site local e clique no banco de dados.
793
794

Sobre aumentar o espao em disco no servidor para dados de log de clientes
Na guia Configuraes de log, configure o nmero de entradas e o nmero

de dias para manter as entradas de log para cada tipo de log.
Clique em OK.
Sobre aumentar o espao em disco no servidor para

dados de log de clientes
Uma configurao que faz upload de um grande volume de dados de log de clientes
para o servidor em intervalos frequentes pode causar problemas de espao em
disco no servidor. Se voc precisar fazer upload de um grande volume de dados
de log do cliente, talvez tenha que ajustar alguns valores padro para evitar esses
problemas de espao. medida que voc implementar para os clientes, dever
monitorar o espao do diretrio de insero de log no servidor e ajustar esses
valores conforme necessrio.
O diretrio padro em que os logs so convertidos para arquivos .dat e gravados
no banco de dados est no seguinte local:
unidade:\Program Files\Symantec\Symantec Endpoint Protection Manager\
data\inbox\log.
Para ajustar os valores que controlam o espao disponvel no servidor, voc deve
alter-los no registro do Windows. As chaves de registro do Windows de que voc
necessita para a alterao esto localizadas no servidor, em
Protection\SEPM.
A Tabela 34-4 relaciona as chaves de registro e seus valores padro e descreve o
que elas fazem.
Tabela 34-4
As chaves de registro que contm as configuraes de upload do

log
Nome do valor
Descrio
MaxInboxSpace
Especifica o espao que destinado ao diretrio

onde os arquivos do log so convertidos em
arquivos .dat antes de serem armazenados no
banco de dados.
O valor padro de 8 GB.

Nome do valor
Descrio
MinDataFreeSpace
Especifica a quantidade mnima de espao que se

deve manter livre nesse diretrio. Essa chave
til para assegurar que outros aplicativos que
usam o mesmo diretrio tenham espao suficiente
para que sejam executados sem prejudicar o
desempenho.
O valor padro de 200 MB.
IntervalOfInboxSpaceChecking
Especifica quanto tempo o servidor de

gerenciamento aguarda antes de verificar a
quantidade de espao na caixa de entrada
disponvel para os dados de log.
O valor padro 30 segundos.
Como remover dados de log do banco de dados

manualmente
Voc pode realizar uma varredura manual de log aps fazer backup do banco de
dados, caso prefira usar esse mtodo como parte da manuteno de rotina do
banco de dados.
Se voc permitir que uma varredura automtica ocorra, poder perder alguns
dados de log, caso seus backups do banco de dados no ocorram com frequncia
suficiente. Se voc realizar uma varredura manual de log regularmente, depois
de ter feito um backup do banco de dados, ela garantir a manuteno de todos
os seus dados de log. Esse procedimento muito til, se voc mantiver seus logs
por um perodo de tempo relativamente longo, como um ano, por exemplo. Voc
pode limpar os logs manualmente, mas esse procedimento opcional e
desnecessrio.
Para remover manualmente os dados de log do banco de dados
Para impedir uma varredura automtica do banco de dados at que ocorra

um backup, aumente o tamanho de log de um site para os valores mximos.
Faa o backup, conforme for apropriado.
795
796

No computador onde est instalado o gerenciador, abra um navegador da

Web e digite o seguinte URL:
https://localhost:8443/servlet/ConsoleServlet?ActionType=ConfigServer&action
=SweepLogs
Depois de voc ter executado essa tarefa, as entradas de log de todos os tipos
de logs so salvas na tabela de banco de dados alternativa. A tabela original
mantida at que a prxima remoo seja iniciada.
Para esvaziar tudo, menos as entradas mais atuais, realize uma segunda
remoo. A tabela original limpa e, a seguir, as entradas comeam a ser
novamente armazenadas nela.
Retorne as configuraes na guia Configuraes de log da caixa de dilogo

Propriedades do site a suas configuraes preferidas.
Captulo
35
Para gerenciar failover e

Configurao do failover e balanceamento de carga
Sobre o failover e o balanceamento de carga
Configurao de uma lista de servidores de gerenciamento
Atribuio de uma lista de servidores de gerenciamento a um grupo ou local
Configurao do failover e balanceamento de carga

Os computadores-cliente devem sempre poder se conectar a um servidor de
gerenciamento para fazer o download da poltica de segurana e para receber
eventos de log.
O failover usado para manter a comunicao com o Symantec Endpoint Protection
Manager quando o servidor de gerenciamento se tornar indisponvel. O
balanceamento de carga usado para distribuir o gerenciamento de clientes entre
os vrios servidores de gerenciamento.
Voc pode configurar o failover e o balanceamento de carga se usar um Banco de
dados do Microsoft SQL Server. Voc pode configurar o failover com o banco de
dados incorporado, mas somente se usar replicao. Quando voc usar a replicao
com um banco de dados incorporado, a Symantec recomenda no configurar o
balanceamento de carga, pois isto pode resultar em inconsistncia e perda de
dados.
Para configurar o failover e o balanceamento de carga, voc adiciona vrios
servidores de gerenciamento ou Enforcers a uma lista de servidores de
gerenciamento.
798
Para gerenciar failover e balanceamento de carga

A Tabela 35-1 lista as tarefas que voc deve executar para configurar o failover e
o balanceamento de carga.
Tabela 35-1
Processo para configurar o failover e o balanceamento de carga
Tarefas
Descrio
Ler sobre o failover e o Voc deve entender se e quando necessrio definir um failover
balanceamento de
e configuraes do balanceamento de carga.
carga.
Consulte Sobre o failover e o balanceamento de carga
na pgina 798.
Adicionar servidores
de gerenciamento a
uma lista de servidores
de gerenciamento.
Voc pode usar a lista de servidores de gerenciamento padro ou

adicionar servidores de gerenciamento para obter uma lista de
servidores de gerenciamento nova. Uma lista de servidores de
gerenciamento inclui os endereos IP ou os nomes do host dos
servidores de gerenciamento aos quais os clientes e Enforcers
podem se conectar.
Consulte Configurao de uma lista de servidores de
Atribuir a lista de
servidores de
gerenciamento
personalizado a um
grupo.
Depois que voc criar uma lista de servidores de gerenciamento

personalizado, ser necessrio atribuir a lista de servidores de
gerenciamento a um grupo.
Consulte Atribuio de uma lista de servidores de gerenciamento
a um grupo ou local na pgina 802.
Corrigir problemas de Se o servidor de gerenciamento estiver off-line ou o cliente e o

comunicao com o
servidor de gerenciamento no se comunicarem, ser necessrio
servidor de
tambm solucionar o problema.
gerenciamento.
Consulte Soluo de problemas de comunicao entre o servidor
de gerenciamento e o cliente na pgina 821.

Voc pode instalar dois ou mais servidores de gerenciamento que se comuniquem
com um banco de dados do Microsoft SQL Server e configur-los para failover ou
balanceamento de carga. Como voc pode instalar somente um Symantec Endpoint
Protection Manager para comunicar-se com o banco de dados incorporado, poder
configurar o failover somente se replicar com outro site. Quando voc usar a
replicao com um banco de dados incorporado, a Symantec recomenda que voc

no configure o balanceamento de carga, porque poder resultar em inconsistncia

e perda dos dados.
Uma lista de servidores de gerenciamento uma lista priorizada de servidores de
gerenciamento que atribuda a um grupo. Voc deve adicionar pelo menos dois
servidores de gerenciamento a um site para distribuir automaticamente a carga
entre eles. Voc pode instalar mais servidores de gerenciamento do que necessrio
para controlar seus clientes para proteger contra a falha de um servidor de
gerenciamento individual. Em uma lista de servidores de gerenciamento
personalizados, atribudo um nvel de prioridade a cada servidor. Um cliente
que entra na rede seleciona um servidor de prioridade um para se conectar
aleatoriamente. Se o primeiro servidor que ele tentar estiver indisponvel e houver
outros servidores de prioridade um na lista, ele tentar aleatoriamente se conectar
a outro. Se nenhum servidor de prioridade um estiver disponvel, em seguida o
cliente tentar se conectar a um dos servidores de prioridade dois na lista. Este
mtodo de distribuir conexes do cliente distribui aleatoriamente a carga do cliente
entre seus servidores de gerenciamento.
A Figura 35-1 mostra componentes em sub-redes diferentes. Os servidores de
gerenciamento e os servidores de banco de dados podem estar nas mesmas
sub-redes. Os servidores so identificados com os nmeros 1 e 2, que significam
uma configurao de failover.
799
800

Figura 35-1
Configurao de failover
Clientes
1
Symantec Endpoint
Protection Manager
Symantec Endpoint
Protection Manager
Microsoft SQL Server
Em uma configurao de failover, todos os clientes enviam e recebem trfego do

servidor 1. Se o servidor 1 ficar off-line, todos os clientes enviaro e recebero
trfego do servidor 2 at que o servidor 1 volte a ficar online. O banco de dados
ilustrado como uma instalao remota, mas ele tambm pode ser instalado em
um computador que execute o Symantec Endpoint Protection Manager.
Voc tambm poder considerar o failover para atualizaes de contedo, se
pretender usar servidores locais. Todos os componentes que executam o
LiveUpdate tambm podem usar uma lista priorizada de fontes de atualizao.
Os servidores de gerenciamento podem usar um servidor local do LiveUpdate e
um failover para servidores LiveUpdate em outros locais fsicos.
Nota: O uso dos servidores internos do LiveUpdate, dos provedores de atualizaes
de grupo e da replicao do site no fornece a funcionalidade de balanceamento
de carga. Voc no deve configurar vrios sites para o balanceamento de carga.

Configurao de uma lista de servidores de gerenciamento

Configurao de uma lista de servidores de

gerenciamento
Por padro, os servidores de gerenciamento so atribudos com a mesma prioridade
quando configurados para failover e balanceamento de carga. Se voc deseja mudar
a prioridade padro aps a instalao, ser possvel fazer isso usando o console
do Symantec Endpoint Protection Manager. O failover e o balanceamento de carga
podero ser configurados somente quando um local incluir mais de um servidor
de gerenciamento.
Para fornecer balanceamento de carga e em roaming:
Ative o DNS e coloque um nome de domnio como a nica entrada em uma

lista do servidor de gerenciamento personalizada.
Ative o recurso de deteco de local do Symantec Endpoint Protection e use

uma lista do servidor de gerenciamento personalizada para cada local. Crie
pelo menos um local para cada um de seus sites.
Use um dispositivo de hardware que fornea o failover ou o balanceamento de

carga. Muitos destes dispositivos oferecem tambm uma configurao para
roaming.
Consulte Sobre o failover e o balanceamento de carga na pgina 798.

Para configurar uma lista de servidores de gerenciamento
Expanda Componentes das polticas e, em seguida, clique em Listas de

Em Tarefas, clique em Adicionar uma lista de servidores de gerenciamento.
Na caixa de dilogo Listas de servidores de gerenciamento, clique em

Adicionar > Novo servidor.
Na caixa de dilogo Adicionar servidor de gerenciamento, na caixa Endereo

do servidor, digite o nome de domnio totalmente qualificado ou o endereo
IP de um servidor de gerenciamento ou de um Enforcer.
Se voc digitar um endereo IP, certifique-se de que seja esttico e de que
todos os clientes possam resolv-lo.
Clique em OK.
Adicione os demais servidores, se houver.
801
802

Para configurar o balanceamento de carga com outro servidor de

gerenciamento, clique em Adicionar > Nova prioridade.
Para mudar a prioridade de um servidor para o balanceamento de carga,

selecione um servidor e, em seguida, execute uma destas tarefas:
Para fazer com que os clientes se conectem primeiro a esse servidor

especfico, clique em Mover para cima.
Para dar uma prioridade mais baixa ao servidor, clique em Mover para
baixo.
10 Clique em OK.
Voc deve ento aplicar a lista de servidores de gerenciamento a um grupo.
Consulte Atribuio de uma lista de servidores de gerenciamento a um grupo
ou local na pgina 802.
Atribuio de uma lista de servidores de

gerenciamento a um grupo ou local
Aps adicionar uma poltica, ser necessrio atribu-la a um grupo, local ou ambos.
Voc tambm pode usar a lista de servidores de gerenciamento para mover um
grupo de clientes de um servidor de gerenciamento para outro.
necessrio concluir a adio ou edio de uma lista de servidores de
gerenciamento para que ela possa ser atribuda.
Para atribuir uma lista de servidores de gerenciamento a um grupo e local
Na pgina Polticas expanda Componentes das polticas e clique em Listas

de servidores de gerenciamento.
No painel Listas de servidores de gerenciamento, selecione a lista do servidor

de gerenciamento que voc quer atribuir.
Em Tarefas, selecione Atribuir a lista.
Na caixa de dilogo Aplicar lista de servidores de gerenciamento, marque

os grupos e os locais aos quais voc quer aplicar a lista do servidor de
gerenciamento.
Clique em Atribuir.
Clique em Sim.

Para atribuir uma lista de servidores de gerenciamento a um grupo ou local na

pgina Clientes
No console, clique em Clientes > Polticas
Na guia Polticas, selecione o grupo e desmarque em seguida Herdar polticas

e configuraes do grupo pai.
No ser possvel configurar a comunicao de um grupo a menos que o
mesmo no mais herde polticas e configuraes de um grupo-pai.
Em Polticas e configuraes independentes do local, clique em

Configuraes de comunicao.
Na caixa de dilogo Configuraes de comunicaes do nome do grupo, em

Lista de servidores de gerenciamento, selecione a respectiva lista.
O grupo previamente selecionado usar essa lista de servidores de
gerenciamento ao comunicar-se com o servidor de gerenciamento.
Clique em OK.
803
804

Captulo
36
Para preparar a
Para preparar a recuperao aps desastres
Backup de logs e banco de dados
Backup do certificado de servidor

Em caso de falha de hardware ou corrupo do banco de dados, voc dever fazer
backup das informaes que sero coletadas aps a instalao do Symantec
Endpoint Protection Manager. Em seguida, copie esses arquivos para outro
computador.
Tabela 36-1
Etapas de nvel elevado para preparar-se para recuperao aps

desastres
Etapa
Ao
Descrio
Etapa 1
Fazer backup do banco de dados
Faa backup do banco de dados regularmente, de preferncia

semanalmente.
Por padro, a pasta de backup do banco de dados salva ao seguinte
local:
Unidade: \\Arquivos de programas\Symantec\Symantec
Endpoint Protection Manager\data\backup.
O arquivo de backup denominado data_carimbo_de_hora.zip.
806

Etapa
Ao
Descrio
Etapa 2
Fazer backup do arquivo de

O arquivo de recuperao inclui a senha de criptografia, o ID do

domnio dos arquivos de armazenamento de chave, os arquivos de
certificado, os arquivos de licena e os nmeros da porta. Por padro,
o arquivo est localizado no seguinte diretrio:
Atualizar ou fazer backup do

certificado de servidor (opcional)
Unidade:\\Arquivos de programas\Symantec\Symantec
Endpoint Protection Manager\Server Private Key
Backup\recovery_timestamp.zip
Nota: O arquivo de recuperao armazena somente o ID padro do

domnio. Se voc tiver vrios domnios, o arquivo de recuperao
no armazenar essas informaes. Se voc precisar executar a
recuperao aps desastres, ser necessrio adicionar novamente
os domnios.
Se voc atualizar o certificado autoassinado para um tipo diferente
de certificado, o servidor de gerenciamento criar um novo arquivo
de recuperao. Como o arquivo de recuperao tem um carimbo
de hora, ser possvel dizer qual arquivo o mais recente.
Consulte Para atualizar ou restaurar um certificado de servidor
na pgina 773.
Etapa 3
Salvar o endereo IP e o nome do host Se voc tiver uma falha de hardware catastrfica, ser necessrio
do servidor de gerenciamento em um reinstalar o servidor de gerenciamento que usa o endereo IP e o
arquivo de texto (opcional)
nome do host do servidor de gerenciamento original.
Adicionar o endereo IP e o nome do host a um arquivo de texto,
como: Backup.txt.
Etapa 4
Copiar os arquivos dos quais fez

backup nas etapas anteriores em
outro computador
Copie os arquivos armazenados em backup em um computador em

um local seguro.

Consulte Backup dos arquivos de licena na pgina 127.
Consulte o artigo da Base de conhecimento Best Practices for Disaster Recovery
with the Symantec Endpoint Protection Manager (em ingls).


A Symantec recomenda fazer backup do banco de dados, pelo menos,
semanalmente. Voc deve armazenar o arquivo de backup em outro computador.
Por padro, o arquivo de backup salvo na seguinte pasta: Unidade:\Arquivos
de Programas\Symantec\Symantec Endpoint Protection Manager\data\backup.
Os backups so colocados em um arquivo.zip. Por padro, o arquivo de backup do

banco de dados nomeado data_carimbodehora.zip, a data em que o backup ocorre.
Nota: Evite salvar o arquivo de backup no diretrio de instalao do produto. Caso
contrrio, o arquivo de backup ser removido quando o produto for desinstalado.
Os dados de logs no so armazenados em backup a menos que voc configure o
Symantec Endpoint Protection Manager para faz-lo. Se voc no fizer backup
dos logs, apenas as suas opes de configurao de log sero salvas durante um
backup. Voc pode usar o backup para restaurar o banco de dados, mas os logs do
banco de dados esto vazios de dados quando eles so restaurados.
Voc pode manter at 10 verses de backup do site. Voc deve verificar se tem
espao em disco suficiente para manter todos os dados se optar por manter vrias
verses.
O backup do banco de dados pode levar alguns minutos para ser concludo. Voc
pode verificar o log do sistema, assim como a pasta de backup para verificar o
status durante e aps o backup.
Voc pode fazer backup do banco de dados imediatamente ou agendar o backup
para que ocorra automaticamente. Voc pode fazer backup de um banco de dados
interno ou de um banco de dados do Microsoft SQL Server configurado como o
banco de dados do Symantec Endpoint Protection Manager.
Para fazer backup do banco de dados e dos logs
No computador que executa o Symantec Endpoint Protection Manager, no

menu Iniciar, clique em Todososprogramas>SymantecEndpointProtection
Manager > Symantec Endpoint Protection Manager Tools > Database Back
Up and Restore.
Na caixa de dilogo Database Backup and Restore, clique em Fazer backup.
Na caixa de dilogo Fazer backup do banco de dados, selecione Logs de backup

e clique em Sim.
807
808

Clique em OK.
Quando o backup do banco de dados for concludo, clique em Sair.
Copie o arquivo do banco de dados de backup em outro computador.
Para fazer backup do banco de dados e dos logs dentro do console
Em Tarefas, clique em Fazer backup do banco de dados agora.
Na caixa de dilogo Fazer backup do banco de dados, selecione Logs de backup

e clique em Sim.
Clique em OK.
Clique em Fechar.

Caso o computador no qual o servidor de gerenciamento foi instalado for
corrompido, voc dever fazer o backup da chave privada e do certificado.
Ser feito o backup do arquivo de armazenamento de chave JKS durante a
instalao inicial. Tambm ser feito o backup de um arquivo chamado
server_carimbo_de_hora.xml. O arquivo Armazenamento de chave JKS inclui o
par de chaves privada e pblica do servidor e o certificado autoassinado.
Para fazer backup do certificado de servidor
Em Servidores, clique no servidor de gerenciamento de cujo certificado de

servidor voc deseja fazer backup.

em Avanar.
No painel Gerenciar certificado de servidor, clique em Fazer backup do

certificado de servidor e em Avanar.
No painel Fazer o backup do certificado de servidor, clique em Procurar

para especificar uma pasta de backup e clique em seguida em Abrir.
Observe que voc far o backup do certificado de servidor de gerenciamento
na mesma pasta.
No painel Fazer o backup do certificado de servidor, clique em Avanar.
Clique em Concluir.

809
810

Seo
Soluo de problemas do
Symantec Endpoint
Protection
Captulo 37. Para executar a recuperao aps desastres
Captulo 38. Soluo de problemas de instalao e de comunicao
Captulo 39. Soluo de problemas de gerao de relatrios
812
Captulo
37
Para executar a
Para executar a recuperao aps desastres
Reinstalao ou reconfigurao do Symantec Endpoint Protection Manager
Para gerar um novo certificado de servidor
Restaurao do banco de dados

A Tabela 37-1 relaciona as etapas para recuperar o ambiente do Symantec Endpoint
Protection no caso de falha de hardware ou corrupo do banco de dados.
Nota: Este tpico supe que voc se preparou para a recuperao aps desastres
e criou arquivos de backup e de recuperao.
814

Reinstalao ou reconfigurao do Symantec Endpoint Protection Manager
Processo para executar a recuperao aps desastres
Tabela 37-1
Etapa
Ao
Etapa 1
Reinstalar o Symantec Endpoint Protection Manager usando um arquivo de

recuperao aps desastres.
Reinstalando o servidor de gerenciamento, possvel recuperar os arquivos
que foram salvos aps a instalao inicial.
Consulte Reinstalao ou reconfigurao do Symantec Endpoint Protection
Se voc reinstalar o Symantec Endpoint Protection Manager em um
computador diferente e sem usar o arquivo de recuperao aps desastres,
dever gerar um certificado de servidor novo.
Consulte Para gerar um novo certificado de servidor na pgina 815.
Etapa 2
Restaurar o banco de dados.


Consulte o artigo da Base de conhecimento: Perform a disaster recovery when the
database backup/restore process fails using the "Database Backup/Restore Wizard"
for an Embedded Database (em ingls).
Reinstalao ou reconfigurao do Symantec Endpoint

Protection Manager
Se voc precisar reinstalar ou reconfigurar o servidor de gerenciamento, poder
importar todas as configuraes usando um arquivo de recuperao aps desastres.
Voc pode reinstalar o software no mesmo computador e no mesmo diretrio de
instalao.
Voc tambm pode usar este procedimento para instalar um site adicional para
replicao.
O Symantec Endpoint Protection Manager cria um arquivo de recuperao durante
a instalao. O arquivo de recuperao selecionado por padro durante o processo
de reinstalao.

Para reinstalar o servidor de gerenciamento
Desinstale o servidor de gerenciamento existente.
Instale o servidor usando o disco do produto.

na pgina 99.
No painel Bem-vindo, certifique-se de que a opo Usar um arquivo de

recuperao esteja selecionada e clique em Avanar.
Por padro, o arquivo de recuperao est localizado em: Unidade:\Arquivos
de Programa\Symantec\Symantec Endpoint Protection Manager\Server
Private Key Backup.
Siga as instrues em cada painel. As configuraes padro funcionam para

a maioria de casos. Se o servidor reinstalado se conectar a um banco de dados
existente, altere as configuraes do banco de dados para aquelas do banco
de dados existente.
Voc tambm pode restaurar o banco de dados, caso seja necessrio. Porm, se o
banco de dados do Symantec Endpoint Protection Manager for hospedado em
outro computador ou no for afetado, voc no precisar restaurar o banco de
dados.
Para reconfigurar o servidor de gerenciamento
Para reconfigurar o servidor de gerenciamento, clique em Iniciar > Todos os

Programas > Symantec Endpoint Protection Manager > Ferramentas do
Symantec Endpoint Protection Manager > Assistente de Configurao do
Para instalar um servidor de gerenciamento para replicao, clique em

Instalar um site adicional.
Siga as instrues em cada painel.

Se reinstalar o Symantec Endpoint Protection Manager em um computador
diferente, voc dever gerar um novo certificado de servidor.
Se o computador original estiver corrompido ou voc fizer o upgrade do servidor
de gerenciamento de uma verso anterior, ser necessrio reinstalar o Symantec
Endpoint Protection Manager em um computador diferente. Para reinstalar o
Symantec Endpoint Protection Manager em um computador diferente, instale o
815
816

servidor de gerenciamento como se fosse pela primeira vez, em vez de usar o

arquivo de recuperao.
Voc reinstala as configuraes do banco de dados em um computador diferente
usando o backup do banco de dados e restaura o utilitrio. Contudo, o certificado
de servidor usado pelo novo servidor de gerenciamento no corresponde ao
certificado de servidor existente no banco de dados restaurado. Como a
comunicao servidor-cliente usa o certificado de servidor, voc dever gerar um
novo certificado de servidor.
Consulte Reinstalao ou reconfigurao do Symantec Endpoint Protection
Em Servidores, clique no servidor de gerenciamento.

em Avanar.
No painel Gerenciar certificado de servidor, clique em Gerar novo certificado

de servidor e em Avanar.
Clique em Salvar e em Avanar.
Aps fazer logon no Symantec Endpoint Protection Manager, voc ser solicitado
a confiar no novo certificado.
na pgina 103.

Se o banco de dados for corrompido ou voc precisar executar a recuperao aps
desastres, ser possvel restaurar o banco de dados. Para restaurar o banco de
dados, necessrio primeiro ter feito o backup.
Voc deve restaurar o banco de dados usando a mesma verso do Symantec
Endpoint Protection Manager que usou para fazer o backup do banco de dados.
Voc pode restaurar o banco de dados no mesmo computador em que foi instalado
originalmente ou em um computador diferente.
A restaurao do banco de dados pode levar alguns minutos para ser concluda.

Para restaurar o banco de dados
Interrompa o servio do servidor de gerenciamento.

na pgina 183.
No menu Iniciar, clique em Todos os programas > Symantec Endpoint

Protection Manager > Symantec Endpoint Protection Manager Tools >
Database Back Up and Restore.
Na caixa de dilogo Database Backup and Restore, clique em Restaurar.
Clique em Sim para confirmar a restaurao do banco de dados.
Na caixa de dilogo Restaurar site, selecione o arquivo de backup do banco

de dados e clique em OK.
Localize a cpia do arquivo de backup do banco de dados feita quando voc
fez backup do banco de dados. Por padro, o arquivo de backup do banco de
dados nomeado data_carimbo_de_hora.zip.
Clique em OK.
Clique em Sair.
Reinicie o servio do servidor de gerenciamento.
817
818

Captulo
38
instalao e de
comunicao
Para solucionar problemas do computador com a ferramenta de suporte do

Identificao do ponto de falha de uma instalao
Soluo de problemas de comunicao entre o servidor de gerenciamento e o

cliente
Soluo de problemas de comunicao entre o servidor de gerenciamento e o

console ou o banco de dados
Arquivos de comunicao de cliente e servidor
Para solucionar problemas do computador com a

ferramenta de suporte do Symantec Endpoint
Protection
Voc pode fazer o download de um utilitrio que diagnostica problemas comuns
encontrados na instalao e uso do Symantec Endpoint Protection Manager ou
do cliente do Symantec Endpoint Protection.
A ferramenta de suporte ajuda a resolver os seguintes problemas:
Permite identificar problemas conhecidos de forma rpida e precisa.
820
Soluo de problemas de instalao e de comunicao

Quando a ferramenta reconhecer um problema, redirecionar voc aos recursos

para que voc mesmo resolva o problema.
Quando um problema no for resolvido, a ferramenta permitir enviar dados

ao suporte facilmente para diagnsticos adicionais.
Para solucionar problemas do computador com a ferramenta de suporte do

Consulte o artigo da Base de conhecimento:The Symantec Diagnostic and

Product Advisor (em ingls).
No console, clique em Ajuda > Ferramenta de suporte de download
Siga as instrues na tela.

O Windows Installer e o Assistente de Implementao por envio criam arquivos
de log que podem ser usados para verificar se uma instalao foi bem-sucedida
ou no. Os arquivos de log relacionam os componentes que foram instalados com
xito e oferecem mais detalhes relacionados com o pacote de instalao. Use o
arquivo de log para ajudar a identificar o componente ou a ao que causou a falha
na instalao. Se voc no pode determinar a razo da falha na instalao, retenha
o arquivo de log. Envie-o ao Suporte Tcnico da Symantec se for necessrio.
Nota: Sempre que o pacote de instalao for executado, o arquivo de log ser
sobrescrito.
Para identificar o ponto de falha de uma instalao
Em um editor de texto, abra o arquivo de log gerado pela instalao.
Para encontrar falhas, pesquise a seguinte entrada:

Value 3
A ao anterior da linha que contm essa entrada provavelmente a ao

que causou a falha. As linhas exibidas aps essa entrada so componentes de
instalao que foram revertidos, pois a instalao no foi bem-sucedida.

Soluo de problemas de comunicao entre o servidor de gerenciamento e o cliente
Soluo de problemas de comunicao entre o

servidor de gerenciamento e o cliente
Se h problemas com a comunicao entre o cliente e o servidor, verifique primeiro
se no h problemas de rede. Tambm deve ser verificada a conectividade de rede
antes de chamar o suporte tcnico da Symantec.
possvel testar a comunicao entre o cliente e o servidor de gerenciamento de
diversas maneiras.
Tabela 38-1
Verificao da conexo entre o cliente e o servidor de gerenciamento
O que verificar
Soluo
Consulte o cliente para ver se Voc pode fazer o download e exibir o arquivo de soluo
ele se conecta ao servidor de de problemas no cliente para verificar as configuraes de
gerenciamento
comunicao.
Consulte Como determinar se o cliente est conectado e
protegido na pgina 757.
Consulte Para verificar a conexo ao servidor de
gerenciamento no computador-cliente na pgina 823.
Consulte Investigao de problemas da proteo usando o
arquivo da soluo de problemas no cliente na pgina 823.
Teste a conectividade entre
o cliente e o servidor de
gerenciamento
Voc pode executar diversas tarefas para verificar a

conectividade entre o cliente e o servidor de gerenciamento.
Consulte Ativao e exibio do log de acesso para
verificar se o cliente se conectar ao servidor de
Fazer ping no servidor de gerenciamento no
computador-cliente.
Consulte Uso do comando ping para testar a
conectividade com o servidor de gerenciamento
na pgina 826.
Usar um navegador da Web no computador-cliente para
se conectar ao servidor de gerenciamento.
Consulte Para usar um navegador para testar a
conectividade ao Symantec Endpoint Protection Manager
no cliente do Symantec Endpoint Protection
na pgina 826.
821
822

O que verificar
Soluo
Verifique se o servidor de
gerenciamento usa o
certificado de servidor
correto
Se voc reinstalar o Symantec Endpoint Protection Manager,

certifique-se de que o certificado de servidor correto seja
aplicado. Se o servidor de gerenciamento usar um certificado
de servidor diferente, o servidor ainda far o download do
contedo, mas o cliente no poder l-lo.. Se o servidor de
gerenciamento usar o certificado de servidor errado, voc
dever atualiz-lo.
Consulte Para atualizar ou restaurar um certificado de
servidor na pgina 773.
Consulte Melhores prticas para atualizar certificados de
servidor e manter a conexo do servidor-cliente
na pgina 771.
Voc pode conferir se o servidor de gerenciamento usa o
certificado de servidor errado verificando os seguintes itens:
O cliente no exibe o ponto verde na barra de tarefas, o
que indica que ele no se comunica com o servidor de
gerenciamento.
Consulte Para determinar se o cliente est conectado
no console na pgina 240.
O cliente no recebe atualizaes da poltica do servidor
de gerenciamento.
O servidor de gerenciamento mostra que h conexo
com o cliente.
Consulte Como determinar se o cliente est conectado
e protegido na pgina 757.
Procure quaisquer problemas Deve ser analisado se no h algum problema de rede,

de rede
verificando os seguintes itens:
Teste a conectividade entre o cliente e o servidor de
gerenciamento primeiro. Se o computador-cliente no
puder fazer ping ou executar o Telnet no servidor de
gerenciamento, ser necessrio verificar o servio DNS
do cliente.
Verifique o caminho de roteamento do cliente.
Verifique se o servidor de gerenciamento no tem um

problema de rede.
Verifique se o firewall do Symantec Endpoint Protection
(ou algum firewall de terceiros) no causa problema de
rede.

O que verificar
Soluo
Verifique os logs de
depurao no cliente
Pode ser usado o log de depurao no cliente para

determinar se o cliente tem problemas de comunicao.
Consulte Verificao de logs de depurao no
Consulte Verificao dos logs da caixa de entrada no
Recupere a comunicao
perdida do cliente
Se os clientes perderam a comunicao com um servidor de

gerenciamento, possvel usar uma ferramenta para
recuperar o arquivo de comunicao.
Consulte Para recuperar configuraes de comunicao do
cliente usando a ferramenta SylinkDrop na pgina 828.
Se o Symantec Endpoint Protection Manager exibir erros de registro em log ou

cdigos de erro de HTTP, consulte o seguinte artigo da Base de conhecimento:
Soluo de problemas de comunicao do Symantec Endpoint Protection Manager.
Para verificar a conexo ao servidor de gerenciamento no

computador-cliente
Se voc tiver um cliente gerenciado, poder verificar sua conexo ao servidor de
gerenciamento. Se voc no estiver conectado ao servidor de gerenciamento,
poder pedir que seu cliente se conecte.
Para verificar a conexo ao servidor de gerenciamento no computador-cliente
Na pgina Status, clique em Ajuda > Soluo de problemas.
Na caixa de dilogo Soluo de problemas, clique em Status de conexo.
No painel Status da conexo, voc poder ver a ltima tentativa de conexo

e a conexo bem-sucedida mais recente.
Para restabelecer uma conexo com o servidor de gerenciamento, clique em

Conectar agora.
Investigao de problemas da proteo usando o arquivo da soluo

de problemas no cliente
Para investigar problemas do cliente, voc pode examinar o arquivo
Troubleshooting.txt no computador-cliente. O arquivo Troubleshooting.txt
823
824

contm informaes sobre polticas, definies de vrus e outros dados relacionados

ao cliente.
O Suporte Tcnico da Symantec pode pedir que voc envie o arquivo
Troubleshooting.txt por e-mail.
Para exportar o arquivo da soluo de problemas no cliente
No computador-cliente, abra o cliente.
No cliente, clique em Ajuda > Soluo de problemas.
No painel Gerenciamento, em Dados de soluo de problemas, clique em

Exportar.
Na caixa de dilogo Salvar como, aceite o nome padro do arquivo de soluo

de problemas ou digite um novo nome de arquivo e clique em Salvar.
Voc pode salvar o arquivo na rea de trabalho ou em uma pasta de sua
escolha.
Usando um editor de texto, abra o Troubleshooting.txt para examinar o

contedo.
Ativao e exibio do log de acesso para verificar se o cliente se

conectar ao servidor de gerenciamento
Voc poder exibir o logon de acesso do servidor HTTP Apache no servidor de
gerenciamento para verificar se o cliente se conectar ao servidor de
gerenciamento. Se o cliente se conectar, o problema de conexo do cliente
provavelmente no ser um problema de rede. Os problemas de rede incluem o
firewall que bloqueia o acesso ou as redes que no se conectam entre si.
Voc deve primeiro ativar o log de acesso do servidor HTTP Apache para poder
exibir o log.
Nota: Desative o log depois que voc o exibir porque ele usa recursos da CPU e
espao no disco rgido desnecessrios.

Para ativar o log de acesso do servidor HTTP Apache
Em um editor de texto, abra o arquivo unidade:\Arquivos de

programas\Symantec\Symantec Endpoint Protection
Manager\Apache\conf\httpd.conf.
No arquivo httpd.conf, remova a marca de hash (#) da seguinte string de

texto e salve em seguida o arquivo:
#CustomLog "logs/access.log" combined
Interrompa e reinicie o servio do Symantec Endpoint Protection Manager e

o servidor HTTP Apache:
na pgina 183.
Consulte Interrupo e inicializao do servidor Web Apache na pgina 825.
Para exibir o log de acesso do servidor HTTP Apache
No servidor de gerenciamento, abra unidade:\Arquivos de

programas\Symantec\Symantec Endpoint Protection
Manager\apache\logs\access.log
Procure pelo endereo IP ou pelo nome do host de um computador-cliente

que indique que os clientes se conectaram ao servidor HTTP Apache.
Desative o log de acesso do servidor HTTP Apache.
Interrupo e inicializao do servidor Web Apache

Quando voc instalar o Symantec Endpoint Protection Manager, ele instalar o
servidor Web Apache. O servidor Web Apache executado como um servio
automtico. Pode ser necessrio interromper e reiniciar o servidor da Web para
ativar o log de acesso do servidor HTTP Apache.
Consulte Ativao e exibio do log de acesso para verificar se o cliente se
conectar ao servidor de gerenciamento na pgina 824.
Para interromper o servidor Web Apache

net stop semwebsrv
Para iniciar o servidor Web Apache

net start semwebsrv
825
826

Uso do comando ping para testar a conectividade com o servidor de

gerenciamento
possvel tentar fazer ping no servidor de gerenciamento no computador-cliente
para testar a conectividade.
Para usar o comando ping para testar a conectividade com o servidor de
gerenciamento
No cliente, abra um prompt de comando.
Digite o comando ping. Por exemplo:

ping nome
onde o nome o nome do computador do servidor de gerenciamento. Voc
pode usar o endereo IP do servidor no lugar do nome do computador. Em
ambos os casos, o comando deve retornar o endereo IP correto do servidor.
Se o comando ping no retornar o endereo correto, verifique o servio DNS
para o cliente e verifique seu caminho de roteamento.
Para usar um navegador para testar a conectividade ao Symantec

Endpoint Protection Manager no cliente do Symantec Endpoint
Protection
Voc pode usar um navegador da Web no computador-cliente para testar a
conectividade entre o cliente e o servidor de gerenciamento. Este mtodo ajuda a
determinar se o cliente tem um problema com a conexo ou a rede ou um problema
com o cliente.
Voc tambm pode verificar a conexo entre o servidor de gerenciamento no
computador-cliente usando os seguintes mtodos:
Para verificar se o cone de status do cliente do Symantec Endpoint Protection

mostra um ponto verde.
Consulte Como determinar se o cliente est conectado e protegido
na pgina 757.
Para verificar o status de conexo no cliente do Symantec Endpoint Protection.


Para usar um navegador para testar a conectividade ao Symantec Endpoint

Protection Manager no cliente do Symantec Endpoint Protection
No computador-cliente, abra um navegador da Web, como o Internet Explorer.
Na linha de comando do navegador, digite o comando a seguir:

http://endereo do servidor de
gerenciamento:8014/secars/secars.dll?hello,secars
onde endereo do servidor de gerenciamento o nome do DNS, nome do NetBios
ou endereo IP do servidor de gerenciamento.
Quando a pgina da Web for exibida, procure um dos seguintes resultados:
Se a palavra OK exibida, o computador-cliente conectar o servidor de

gerenciamento. Verifique a existncia de problemas no cliente.
Se a palavra OK no for exibida, o computador-cliente no se conectar

ao servidor de gerenciamento. Verifique as conexes de rede do cliente e
se os servios de rede esto sendo executados no computador-cliente.
Verifique o servio DNS para o cliente e seu caminho de roteamento.
Verificao de logs de depurao no computador-cliente

possvel verificar o log de depurao no cliente. Se o cliente tem problemas de
comunicao com o servidor de gerenciamento, as mensagens de status sobre o
problema de conexo aparecem no log.
Voc pode verificar o log de depurao usando os seguintes mtodos:
No cliente, no menu Ajuda e suporte, na caixa de dilogo Soluo de problemas,

clique em Editar configuraes do log de depurao e digite um nome para o
log. Clique ento em Exibir log.
possvel usar o registro do Windows para ativar a depurao no cliente.

A chave do registro do Windows pode ser encontrada no seguinte local:
Protection\SMC\smc_debuglog_on
Verificao dos logs da caixa de entrada no servidor de gerenciamento

possvel usar uma chave de registro do Windows para gerar logs sobre a atividade
na caixa de entrada do servidor de gerenciamento. Quando a chave de registro do
827
828

Windows for modificada, os logs (ersecreg.log e exsecars.log) sero gerados pelo

servidor de gerenciamento. Estes logs podem ser exibidos para solucionar
problemas de comunicao do cliente e do servidor.
Consulte Verificao de logs de depurao no computador-cliente na pgina 827.
Para verificar os logs da caixa de entrada no servidor de gerenciamento
No servidor de gerenciamento, em
Protection\SEPM, defina o valor de DebugLevel para 3.
Tipicamente, a caixa de entrada aparece no seguinte local no computador do
servidor de gerenciamento:
\Program Files\Symantec\Symantec Endpoint Protection Manager\data\
inbox\log
Abra o log com o Bloco de Notas.
Para recuperar configuraes de comunicao do cliente usando a

ferramenta SylinkDrop
O arquivo Sylink.xml inclui configuraes de comunicao entre o cliente e um
servidor do Symantec Endpoint Protection Manager. Se os clientes perderam a
comunicao com um servidor de gerenciamento, necessrio substituir o antigo
arquivo Sylink.xml por um arquivo novo. A ferramenta SylinkDrop substitui
automaticamente o arquivo Sylink.xml no computador-cliente por um novo arquivo
Sylink.xml.
Nota: Voc pode tambm substituir o arquivo Sylink.xml reimplementando um
pacote de instalao do cliente. Use este mtodo para um nmero grande de
computadores, para computadores que voc no pode facilmente acessar
fisicamente ou computadores que exijam acesso administrativo.Consulte Para
restaurar as comunicaes cliente-servidor usando um pacote de instalao do
Quando voc executa a ferramenta SylinkDrop, tambm pode executar as tarefas
a seguir:
Migrar ou mover clientes para um novo domnio ou servidor de gerenciamento.

Restaurar as rupturas de comunicao do cliente que no podem ser corrigidas

no servidor de gerenciamento.
Mover um cliente de um servidor para outro que no seja um parceiro de

replicao.
Mover um cliente de um domnio para outro.
Converte um cliente no gerenciado em um cliente gerenciado.
Converter um cliente gerenciado em um cliente no gerenciado.
Voc pode gravar um script com a ferramenta para modificar as configuraes

de comunicao de um grande nmero de clientes.
Nota: Voc deve desativar a Proteo contra adulteraes para usar a ferramenta
SylinkDrop.exe. Voc pode tambm criar uma exceo de Proteo contra
adulteraes para a ferramenta SylinkDrop.exe.
na pgina 450.
Consulte Para criar uma exceo da Proteo contra adulteraes na pgina 586.
Para recuperar as configuraes de comunicao do servidor do cliente usando a
ferramenta SylinkDrop
No console, exporte o arquivo de comunicaes do grupo que est conectado

ao servidor de gerenciamento ao qual voc deseja que o computador-cliente
se conecte. O arquivo de comunicaes o arquivo Sylink.xml.
Copie o arquivo de comunicao no computador-cliente.

Voc pode salvar o arquivo em um local de rede, envi-lo por e-mail ao usurio
no computador-cliente ou copi-lo para a mdia removvel.
No disco do produto das ferramentas, localize

\Tools\SylinkDrop\SylinkDrop.exe.
829
830

Soluo de problemas de comunicao entre o servidor de gerenciamento e o console ou o banco de dados
No computador que executa o servidor de gerenciamento, localize

unidade:\Arquivos de programas (x86)\Symantec\Symantec Endpoint
Protection\nmero da verso\Bin\SylinkDrop.exe
Voc pode executar a ferramenta remotamente ou salv-la e execut-la no

computador-cliente. Se voc usar a ferramenta na linha de comando, leia o
arquivo SylinkDrop.txt para ter acesso a uma lista dos parmetros de comando
da ferramenta.
Na caixa de dilogo Sylink Drop, clique em Procurar e localize o arquivo .xml

implementado no computador-cliente na etapa 2.
Clique em Atualizar Sylink.
Se uma caixa de dilogo de confirmao for exibida, clique em OK.
Na caixa de dilogo Sylink Drop, clique em Sair.
Soluo de problemas de comunicao entre o

servidor de gerenciamento e o console ou o banco de
dados
Se voc tiver um problema de conexo com o console ou o banco de dados, poder
ver um dos seguintes sintomas:
O servio do servidor de gerenciamento (semsrv) interrompido.
O servio do servidor de gerenciamento no permanece em estado iniciado.
As pginas Incio, Monitores e Relatrios exibem um erro de HTTP.
As pginas Incio, Monitores e Relatrios esto em branco.
As pginas Incio, Monitores e Relatrios exibem uma barra de andamento

continuamente carregando, sem exibir nenhum contedo.
Todos estes problemas exibem um erro Java -1 no log de eventos do Windows.

Para encontrar a causa especfica para o erro Java -1, verifique o log do scm-server.
O log do scm-server est localizado normalmente no seguinte local:
C:\Arquivos de programa\Symantec\Symantec Endpoint Protection
Manager\tomcat\logs\scm-server-0.log

Tabela 38-2
Verificao da comunicao com o console ou o banco de dados
O que verificar
Descrio
Teste a conectividade entre Voc pode verificar se o servidor de gerenciamento e o banco

o banco de dados e o
de dados se comunicam corretamente.
Consulte Verificao da conexo com o banco de dados
na pgina 831.
Verifique se o tamanho da Voc pode precisar ajustar o tamanho da pilha de forma que
memria do servidor de
seja apropriado para o sistema operacional do servidor de
gerenciamento est correto. gerenciamento. Se voc no conseguir fazer login no console
remoto do servidor de gerenciamento ou se visualizar uma
mensagem avisando que est sem memria no log do
scm-server, poder ser necessrio aumentar a memria. O
tamanho padro da memria para o Symantec Endpoint
Protection Manager 256 MB.
Verifique se o servidor de
gerenciamento no tem
vrias verses do PHP em
execuo.
Voc pode verificar se o servidor de gerenciamento executa

vrios pacotes de software que usam verses diferentes do
PHP. O PHP procura um arquivo de configurao global
(php.ini). Se houver vrios arquivos de configurao, ser
necessrio forar cada produto a usar seu prprio intrprete.
Quando cada produto usar a verso correta do PHP associado
a ele, o servidor de gerenciamento funcionar corretamente.
Verifique os requisitos do
sistema.
Voc pode verificar se o cliente e o servidor de gerenciamento

executam os requisitos do sistema recomendados ou o
mnimo.
Para verificar os requisitos do sistema mais atuais, consulte:
Release Notes and System Requirements for all versions of
Symantec Endpoint Protection and Symantec Network Access
Control (em ingls)
Verificao da conexo com o banco de dados

O servidor de gerenciamento e o banco de dados podem no se comunicar
corretamente. Voc deve verificar se o banco de dados executa e testa em seguida
a conexo entre o servidor e o banco de dados.
Se o servidor de gerenciamento executar o banco de dados Sybase incorporado,
execute as seguintes etapas:
Verifique se o servio incorporado de banco de dados da Symantec est em

execuo e se o processo dbsrv9.exe escuta a porta TCP 2638.
Teste a conexo de ODBC.
831
832

Se o servidor de gerenciamento executar o banco de dados remoto do SQL, execute

as seguintes aes:
Verifique se voc especificou uma instncia nomeada quando o Symantec

Endpoint Protection Manager foi instalado e configurado.
Verifique se SQL Server est em execuo e foi configurado corretamente.
Verifique se a conexo de rede entre o servidor de gerenciamento e o banco de

dados do SQL est correta.
Teste a conexo de ODBC.
Para verificar a comunicao com o banco de dados incorporado
No servidor de gerenciamento, clique em Iniciar > Painel de controle >

Ferramentas administrativas.
Na caixa de dilogo Ferramentas administrativas, clique duas vezes em Fontes

de dados (ODBC).
Na caixa de dilogo Administrador da fonte de dados de ODBC, clique em DSN

do sistema.
Na guia DSN do sistema, clique duas vezes em

SymantecEndpointSecurityDSN.
Na guia ODBC, verifique se a lista suspensa do nome da fonte de dados

SymantecEndpointSecurityDSN e digite uma descrio opcional.
Clique em Login.
Na guia Login, na caixa de texto ID do usurio, digite dba.
Na caixa de texto Senha, digite a senha para o banco de dados.

Esta senha a que voc digitou para o banco de dados quando o servidor de
gerenciamento foi instalado.
Clique em Banco de dados.
10 Na guia Banco de dados, na caixa de texto Nome do servidor, digite

<\\servername\instancename>.
Se voc usar a verso em ingls do Symantec Endpoint Protection Manager,
digite o padro, sem5. Caso contrrio, deixe a caixa de texto Nome do servidor
em branco.
11 Na guia ODBC, clique em Testar conexo e verifique se obteve xito.

12 Clique em OK.
13 Clique em OK.

Para verificar a comunicao com o banco de dados do SQL
No servidor de gerenciamento, clique em Iniciar > Painel de controle >

Ferramentas administrativas.
Na caixa de dilogo Ferramentas administrativas, clique duas vezes em Fontes

de dados (ODBC).
Na caixa de dilogo Administrador da fonte de dados de ODBC, clique em DSN

do sistema.
Na guia DSN do sistema, clique duas vezes em

SymantecEndpointSecurityDSN.
Na lista suspensa Servidor, verifique se o servidor e a instncia corretos foram

selecionados.
Clique em Avanar.
Para o ID de login, digite sa.
Na caixa de texto Senha, digite a senha para o banco de dados.

Esta senha a que voc digitou para o banco de dados quando o servidor de
gerenciamento foi instalado.
Clique em Avanar e certifique-se de que sem5 esteja selecionado para o banco

de dados padro.
12 Clique em Testar fonte de dados e procure o resultado que indica:
TESTES CONCLUDOS COM XITO!

As configuraes de comunicao entre o cliente e o servidor e outras configuraes
do cliente so armazenadas em arquivos no computador-cliente.
Tabela 38-3
Arquivos do cliente
Nome do arquivo Descrio

SerDef.dat
Um arquivo criptografado que armazena configuraes de

comunicao por local. Sempre que o usurio mudar os locais, o
arquivo SerDef.dat ser lido e as configuraes apropriadas de uma
comunicao do novo local sero aplicadas ao cliente.
833
834

Nome do arquivo Descrio

sylink.xml
Armazena as configuraes de comunicao globais. Este arquivo

para uso interno somente e no deve ser editado. Contm configuraes
do Symantec Endpoint Protection Manager. Se voc editar este arquivo,
a maioria das configuraes ser sobrescrita pelas configuraes do
servidor de gerenciamento da prxima vez que o cliente conectar-se
ao servidor de gerenciamento.
SerState.dat
Um arquivo criptografado que armazena informaes sobre a interface

do usurio, como o tamanho da tela do cliente, se o console do cliente
de Proteo contra ameaas rede aparecer e se os servios do
Windows aparecerem. Quando o cliente comear, ele ler este arquivo
e retornar ao mesmo estado da interface do usurio anterior
interrupo.
Captulo
39
gerao de relatrios
Soluo de problemas de gerao de relatrios
Alterao de parmetros do tempo limite para verificar relatrios e logs
Acesso a pginas de relatrios quando o uso de endereos do loopback estiver

desativado
Sobre a recuperao de um log de sistemas do cliente em computadores de 64

bits

Voc deve conhecer as seguintes informaes ao usar os relatrios:
Os carimbos de hora, incluindo horrios de verificao do cliente, nos relatrios

e nos logs so fornecidos no horrio local do usurio. O banco de dados de
relatrios contm eventos no horrio do Meridiano de Greenwich (GMT).
Quando voc cria um relatrio, os valores do GMT so convertidos na hora
local do computador no qual voc exibe os relatrios.
Se os clientes gerenciados estiverem em um fuso horrio diferente do servidor

de gerenciamento e voc usar a opo do filtro Definir datas especficas, podem
ser exibidos resultados inesperados. A preciso dos dados e do horrio no
cliente e no servidor de gerenciamento pode ser afetada.
Se voc alterar o fuso horrio no servidor, faa logoff do console e faa o logon
novamente para ver os horrios exatos nos logs e relatrios.
836

Em alguns casos, os dados do relatrio no tm uma correspondncia direta

com a informao exibida nos produtos de segurana. Essa falta de
correspondncia ocorre porque o software do relatrio adiciona eventos de
segurana.
Voc pode usar SSL com funes de relatrio para aumentar a segurana. O
SSL oferece confidencialidade, integridade de seus dados e autenticao entre
o cliente e o servidor.
Consulte o artigo da Base de conhecimento: Configuring Secure Sockets Layer
(SSL) to work with the Symantec Endpoint Protection reporting functions on
Windows Server 2003. (em ingls)
As informaes sobre a categoria de riscos so obtidas no site do Symantec

Security Response. At que o console do Symantec Endpoint Protection
Manager possa recuperar essas informaes, todos os relatrios que voc gerar
mostraro Desconhecido nos campos da categoria do risco.
Os relatrios gerados fornecem uma viso precisa dos computadores

comprometidos na rede. Eles esto baseados nos dados de logs, em vez de usar
os dados do registro do Windows.
Se forem gerados erros no banco de dados ao executar um relatrio que inclui

uma grande quantidade de dados, convm alterar os parmetros do tempo
limite do banco de dados.
Consulte Alterao de parmetros do tempo limite para verificar relatrios
e logs na pgina 837.

parmetros do tempo limite.
Para obter mais informaes, consulte o seguinte documento no artigo da Base
de conhecimento: SAV Reporting Server or SEPM Reporting does not respond
or shows a timeout error message when querying large amounts of data. (em
ingls)
Se voc desativar os endereos de loopback no computador, as pginas de

gerao de relatrios no sero exibidas.
Consulte Acesso a pginas de relatrios quando o uso de endereos do loopback
estiver desativado na pgina 839.
Se o log do Sistema for corrompido em um cliente de 64 bits, ser possvel ver

uma mensagem de erro no especificada nos logs do Sistema no console do
Consulte Sobre a recuperao de um log de sistemas do cliente em
computadores de 64 bits na pgina 840.
As seguintes informaes so importantes se voc tem computadores na rede que

executam verses legadas do Symantec AntiVirus:

Ao usar filtros de relatrios e logs, os grupos de servidores so categorizados

como domnios. Os grupos de clientes so categorizados como grupos e os
servidores pai, como servidores.
Se voc gerar um relatrio que inclui computadores legados, os campos de

endereo IP e endereo MAC exibiro Nenhum.
As funes de gerao de relatrios usam uma pasta temporria, unidade:\

Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Temp.
Convm agendar suas prprias tarefas automatizadas para limpar
periodicamente esta pasta temporria. Se voc fizer isso, no exclua o arquivo
LegacyOptions.inc, se ele existir. Se esse arquivo for excludo, voc perder os
dados de entrada dos logs do cliente do Symantec AntiVirus legado.
Alterao de parmetros do tempo limite para

verificar relatrios e logs
Se forem gerados erros no banco de dados ao exibir relatrios ou logs que
contenham uma grande quantidade de dados, voc poder fazer as seguintes
alteraes:
Alterar o tempo limite de conexo do servidor Microsoft SQL
Alterar o tempo limite dos comandos do servidor Microsoft SQL
Os padres de relatrios para esses valores so:
O tempo limite da conexo de 300 segundos (5 minutos).
O tempo limite dos comandos de 300 segundos (5 minutos).
Para mudar valores de tempo limite do Microsoft SQL Server em Reporter.php
Procure a seguinte pasta no servidor do Symantec Endpoint Protection

Manager:
unidade:\Arquivos de programas\Symantec\Symantec Endpoint Protection
Manager\Inetpub\Gerao de relatrios\Recursos
Abra o arquivo Reporter.php com um editor de texto simples, tal como Bloco
de Notas.
Encontre a linha $CommandTimeout e aumente o valor (em segundos). Se a

linha no existir, crie-a. Por exemplo, para aumentar o perodo de tempo
limite para 10 minutos, mude a linha para o seguinte valor:
$CommandTimeout = 600;
837
838

Encontre a linha $ConnectionTimeout e aumente o valor (em segundos). Se

a linha no existir, crie-a. Por exemplo, para aumentar o perodo de tempo
limite para 10 minutos, mude a linha para o seguinte valor:
$ConnectionTimeout = 600;
Salve e feche o arquivo Reporter.php.
Nota: Se o valor especificado for zero, ou se os campos forem deixados em branco,

as configuraes padro sero usadas.
parmetros do tempo limite:
parmetro max_execution_time no arquivo Php.ini
Os parmetros de tempo limite de Apache, FcgidIOTimeout, FcgidBusyTimeout

e FcgidIdleTimeout, no arquivo httpd.conf
Para mudar os valores de tempo limite em Php.ini
Procure a unidade:\Arquivos de programas\Symantec\Symantec Endpoint

Protection Manager\Diretrio PHP.
Clique com o boto direito do mouse no arquivo Php.ini e clique em

Propriedades.
Na guia Geral, desmarque Somente leitura.
Clique em OK.
Abra o arquivo Php.ini com um editor de texto simples, tal como Bloco de
Notas.
Localize a entrada max_execution_time e aumente o valor (em segundos).

Por exemplo, para aumentar o tempo limite para 10 minutos, mude a linha
para o seguinte valor:
max_execution_time=600
Salve e feche o arquivo Php.ini.
Clique com o boto direito do mouse no arquivo Php.ini e clique em

Propriedades.
Na guia Geral, marque Somente leitura.
10 Clique em OK.

Acesso a pginas de relatrios quando o uso de endereos do loopback estiver desativado
Para mudar valores de tempo limite em httpd.conf
Procure a unidade:\Arquivos de programas\Symantec\Symantec Endpoint

Protection Manager\Apache\Diretrio conf.
Abra o arquivo httpd.conf com um editor de texto simples, tal como Bloco de
Notas.
Localize as seguintes linhas e aumente os valores (em segundos):
FcgidIOTimeout 1800
FcgidBusyTimeout 1800
FcgidIdleTimeout 1800
Salve e feche o arquivo httpd.conf.
Acesso a pginas de relatrios quando o uso de

endereos do loopback estiver desativado
Se voc desativar os endereos de loopback no computador, as pginas de gerao
de relatrios no sero exibidas. Se voc tentar fazer logon no console do Symantec
Endpoint Protection Manager ou acessar as funes de gerao de relatrios, voc
ver a seguinte mensagem de erro:
No possvel se comunicar com o componente de relatrios
As pginas Incio, Monitores e Relatrios estaro vazias; as pginas Polticas,
Clientes e Administrador tero o aspecto e o funcionamento normais.
Para fazer com que os componentes de Relatrios sejam exibidos quando voc
desativar endereos de loopback, necessrio associar a palavra localhost ao
endereo IP do seu computador. Voc pode editar o arquivo hosts do Windows
para associar o localhost a um endereo IP.
Consulte Logon no relatrio atravs de um navegador da Web autnomo
na pgina 669.
Para associar o host local ao endereo IP em computadores que executam Windows
Altere o diretrio para o local do arquivo hosts.

Por padro, o arquivo hosts est localizado em %SystemRoot%\system32\
drivers\etc
Abra o arquivo hosts com um editor.
839
840

Sobre a recuperao de um log de sistemas do cliente em computadores de 64 bits
Adicione a seguinte linha ao arquivo hosts:

xxx.xxx.xxx.xxx localhost #para fazer logon nas funes de relatrios
onde voc substitui xxx.xxx.xxx.xxx pelo endereo IP do seu computador. Voc
pode adicionar qualquer comentrio que desejar aps o smbolo de cerquilha
(#). Por exemplo, possvel digitar a seguinte linha:
192.168.1.100 localhost # esta entrada para meu computador do console
Salve e feche o arquivo.
Sobre a recuperao de um log de sistemas do cliente

em computadores de 64 bits
Se o log do Sistema for corrompido em um cliente de 64 bits, ser possvel ver
uma mensagem de erro no especificada nos logs do Sistema no console do
Symantec Endpoint Protection Manager. Se estiver corrompido, voc no poder
visualizar os dados do log no cliente e no ser feito o upload dos dados para o
console. Esta condio pode afetar dados no console de logs e relatrios de Status
do computador, Risco e Verificao.
Para corrigir essa condio, voc pode excluir o arquivo de log corrompido e o
arquivo serialize.dat no cliente. Esses arquivos esto localizados no cliente em
Unidade:\Documents and Settings\All Users\Dados de aplicativos\Symantec\
Symantec AntiVirus Corporate Edition\7.5\Logs\data.Log. Depois que esses
arquivos so excludos, o arquivo de log recriado e inicia o log de entradas
corretamente.
Seo
Para gerenciar o Symantec

Captulo 40. Introduo ao Symantec Network Access Control
Captulo 41. Para instalar o Symantec Network Access Control
Captulo 42. Para fazer upgrade e recriar imagem de todos os tipos de imagens
do appliance Enforcer
Captulo 43. Para personalizar as polticas de integridade do host
Captulo 44. Para adicionar requisitos personalizados poltica de integridade

do host
Captulo 45. Para realizar tarefas bsicas no console de todos os tipos de

appliances Enforcer
Captulo 46. Para planejar a instalao do appliance Gateway Enforcer
Captulo 47. Para configurar o appliance Symantec Gateway Enforcer atravs

do Symantec Endpoint Protection Manager
Captulo 48. Planejamento da instalao para o appliance LAN Enforcer
Captulo 49. Para configurar o appliance LAN Enforcer no Symantec Endpoint

Protection Manager
842
Captulo 50. Para configurar Enforcers no Symantec Endpoint Protection

Manager
Captulo 51. Introduo do Symantec Integrated Enforcer
Captulo 52. Para instalar o Symantec Network Access Control Integrated

Enforcer for Microsoft DHCP Servers
Captulo 53. Para configurar os Symantec Integrated Enforcers no console do

Enforcer
Captulo 54. Para configurar o Symantec Network Access Control Integrated

Enforcer para o servidor DHCP da Microsoft no Symantec Endpoint Protection
Manager
Captulo 55. Para instalar o Symantec Integrated Enforcer for Microsoft

Network Access Protection

Enforcer for Microsoft Network Access Protection em um console do Enforcer

Enforcer for Microsoft Network Access Protection no Symantec Endpoint
Protection Manager
Captulo 58. Para configurar conexes temporrias para clientes do Symantec

Network Access Control sob demanda
Captulo 59. Soluo de problemas do appliance Enforcer
Captulo
40
Introduo ao Symantec
Sobre o Symantec Network Access Control
Sobre os tipos de imposio no Symantec Network Access Control
Como funciona o Symantec Network Access Control
Como funciona a autoimposio
Sobre os appliances Enforcer do Symantec Network Access Control
Como os appliances do Symantec Network Access Control Enforcer funcionam

com polticas de integridade do host
Como funciona o appliance Gateway Enforcer
Como funciona o appliance LAN Enforcer
Como funciona o Integrated Enforcer for Microsoft DHCP Servers
Como um Integrated Enforcer for Microsoft Network Access Protection funciona

com um Microsoft Network Policy Server (NPS)
Como funciona o cliente On-Demand
O que voc pode fazer com appliances do Symantec Enforcer
O que voc pode fazer com os Symantec Integrated Enforcers
O que voc pode fazer com clientes On-Demand
844
Introduo ao Symantec Network Access Control


O Symantec Network Access Control garante que os computadores-cliente da
empresa esto em conformidade com as polticas de segurana da empresa antes
que tenham permisso para acessar a rede.
Quando os controles de aplicao no estiverem em vigor, os dados de sua
organizao estaro vulnerveis a perdas intencionais ou inadvertidas. A
recuperao de dados pode resultar em tempo ocioso e em perdas financeiras
associadas perda de produtividade. Para impedir essas perdas, o Symantec
Network Access Control controla o acesso local e remoto aos recursos da rede da
empresa. O Symantec Network Access Control fornece uma soluo completa de
controle de acesso rede.
O Symantec Network Access Control usa uma poltica de integridade do host e
um Symantec Enforcer opcional para descobrir e avaliar que computadores esto
em conformidade. Os clientes no compatveis so dirigidos a um servidor de
correo. O servidor de correo faz o download de software, patches, atualizaes
das definies de vrus etc. necessrios para tornar o computador-cliente
compatvel. O Symantec Network Access Control tambm monitora continuamente
os endpoints em busca de mudanas em seu status de conformidade.
O Symantec Network Access Control um complemento do Symantec Endpoint
Protection. Ambos os produtos incluem o Symantec Endpoint Protection Manager,
que fornece a infraestrutura para instalar e gerenciar o Symantec Network Access
Control e os clientes do Symantec Endpoint Protection.
Consulte Sobre o Symantec Endpoint Protection na pgina 43.
na pgina 844.
Consulte Como funciona a autoimposio na pgina 847.
Sobre os tipos de imposio no Symantec Network

Access Control
O Symantec Network Access Control fornece mtodos diferentes de imposio
para controlar o acesso a sua rede.
A Tabela 40-1 descreve as diferenas entre imposies baseadas em host e baseadas
em rede.

Sobre os tipos de imposio no Symantec Network Access Control
Tabela 40-1
Tipos de imposies
Tipo de imposio
Descrio
Autoimposio
baseada em host
Permite que os computadores-cliente obtenham e executem o

software de que precisam para corrigir automaticamente falhas
de conformidade. Quando o computador-cliente estiver corrigido,
ele poder acessar a rede com segurana. Uma imposio com
base em host usa o firewall da Symantec para permitir ou bloquear
o acesso. O firewall est includo com o produto Symantec
A imposio baseada em host inclui os seguintes mtodos:
A autoimposio usa o firewall da Symantec para policiar o
acesso rede, fornecendo uma opo de implementao de
imposio mais fcil e rpida. Voc poder implementar a
autoimposio de maneira mais fcil se a organizao j tiver
implementado o produto do Symantec Endpoint Protection.
A imposio ponto a ponto garante que a comunicao cliente
a cliente ocorra apenas entre computadores da empresa e entre
computadores de fora da empresa que estejam em
conformidade. Os computadores que no esto em
conformidade tm a mais recente poltica de segurana da
empresa.
Consulte Sobre a correo da Integridade do host na pgina 895.

Imposio com base na Usa os appliances do Symantec Enforcer e os Enforcers do software
rede
integrado para permitir que voc controle o acesso rede. A
aplicao baseada em rede autentica e permite o acesso rede
apenas aos clientes que cumprem os requisitos na poltica de
integridade do host. A aplicao baseada em rede verifica tambm
se a poltica atual.
Adicionalmente, se sua implementao incluir um appliance
Gateway Enforcer, ser possvel permitir que convidados sem
software em conformidade acessem temporariamente a rede. Esses
Enforcers permitem o acesso do convidado, instalando clientes
On-Demand em computadores convidados e desfazendo-os quando
os convidados fazem logoff. O acesso convidado trabalha com
clientes Windows e Mac. Esta imposio exige um appliance
Enforcer.
Consulte Como funciona o Symantec Network Access Control na pgina 846.

Consulte Para implementar o Symantec Network Access Control na pgina 863.
845
846


O Symantec Network Access Control realiza a conformidade do endpoint
executando as seguintes etapas:
Tabela 40-2
Processo que o Symantec Network Access Control usa para verificar

e corrigir a conformidade em computadores-cliente
Etapa Ao
Descrio
Descobre todas as
tentativas de acesso
sua rede.
O endpoint conecta-se rede. O Enforcer determina a

configurao do endpoint.
Verifica a
conformidade da
configurao em
relao poltica.
Verifica se todos os computadores-cliente que acessam sua

rede cumprem os requisitos da poltica de segurana.
Age com base no

Para os computadores-cliente que no cumprem os
resultado da
requisitos, um Enforcer:
verificao da poltica.
Faz a correo por meio do download, da instalao e
da execuo do software exigido.
Permite o acesso limitado.
Monitora o endpoint
para assegurar a
conformidade
contnua.
Permite o acesso completo e registra em log todas as

tentativas de acesso rede.
Monitora e gera relatrios sobre o status dos Enforcers, do

trfego do sistema e da conformidade.
A Figura 40-1 mostra como o Symantec Endpoint Protection Manager impe a

poltica de segurana em um computador-cliente gerenciado.

Figura 40-1
arquitetura do Symantec Network Access Control

Consulte Como funciona o appliance Gateway Enforcer na pgina 852.
Consulte Como funciona o appliance LAN Enforcer na pgina 853.
Consulte Como funciona o Integrated Enforcer for Microsoft DHCP Servers
na pgina 855.
Consulte Como um Integrated Enforcer for Microsoft Network Access Protection
funciona com um Microsoft Network Policy Server (NPS) na pgina 857.
Consulte Como funciona o cliente On-Demand na pgina 857.

Durante a verificao da integridade do host, o cliente segue os requisitos definidos
na poltica de integridade do host. Examina aplicativos ativos, a data e o tamanho
de um arquivo e outros parmetros. Se estes itens cumprirem os requisitos da
poltica de integridade do host, o cliente poder acessar a rede. Se no cumprir, o
cliente gerar automaticamente uma entrada detalhada da mensagem no log de
segurana para todos os requisitos com falha. O cliente segue em seguida as etapas
de correo que voc projetou em sua poltica de integridade do host. Voc pode
ter definido uma poltica em que o cliente possa acessar a rede, mesmo se a
verificao da integridade do host falhar. O caso mais provvel que voc
configurou etapas de correo para deixar o cliente em conformidade com suas
Se o computador-cliente no cumprir os requisitos, o cliente poder ser definido
para se conectar silenciosamente a um servidor de correo. De l, ele poder
847
848

fazer o download e instalar o software necessrio. O software pode incluir um

patch, um hotfix, uma atualizao nas definies de vrus etc. O cliente pode
oferecer ao usurio a opo de fazer o download imediatamente ou adi-lo. A
poltica pode ser definida de modo que o computador no possa se conectar rede
corporativa at que o software seja instalado.
Consulte O que voc pode fazer com as Polticas de integridade do host
na pgina 882.
Sempre que um cliente receber uma nova poltica de segurana, ele realizar
imediatamente outra verificao da integridade do host.
O cliente pode configurar automaticamente o download e a instalar as mais
recentes polticas de integridade do host, predefinidas ou personalizadas, no
Symantec Endpoint Protection Manager. Se o cliente no puder se conectar ao
console, o cliente sob demanda do Windows ou do Macintosh obter a poltica de
integridade do host do appliance Enforcer quando fizer o primeiro download.
Aps, ele obter a poltica de integridade do host no Symantec Endpoint Protection
Manager.
Voc pode considerar alguns dos seguintes exemplos quando configurar os
requisitos para a imposio da integridade do host:
O cliente executa um software antivrus atualizado.
A verificao da integridade do host feita somente quando o cliente tenta se

conectar rede por meio de um Enforcer.
A verificao aciona as aes que ocorrem silenciosamente no cliente.
Voc pode tambm usar um Enforcer para aplicar estas polticas. O Enforcer um
aplicativo do software ou um appliance opcional do hardware que negocia a
conectividade do cliente rede. A maioria dos seguintes exemplos mostra o uso
de um Enforcer.
O Enforcer pode ser configurado para fazer automaticamente o seguinte:
Verificar se um cliente foi instalado no computador de um usurio.
Solicitar a um cliente para que obtenha polticas de segurana atualizadas, se

disponveis.
Solicitar que o cliente execute a verificao de integridade do host.
Primeiro, o cliente verifica se o software antivrus mais recente est instalado e

em execuo. Se tiver sido instalado, mas no estiver em execuo, o cliente inicia
o aplicativo antivrus silenciosamente. Se no estiver instalado, o cliente faz o
download do software usando um URL especificado no requisito da integridade
do host. A seguir, o cliente instala e inicia o software.

Sobre os appliances Enforcer do Symantec Network Access Control
Depois o cliente verifica se os arquivos de assinatura do antivrus so atuais. Se

os arquivos antivrus no forem atuais, o cliente obtm e instala silenciosamente
os arquivos antivrus atualizados.
O cliente realiza a verificao da integridade do host novamente e aprovado. O
Enforcer recebe os resultados e concede ao cliente o acesso rede corporativa.
Nesse exemplo, os seguintes requisitos devem ser satisfeitos:
O servidor de arquivos usado para atualizaes da integridade do host possui

os arquivos mais recentes instalados.
O cliente obtm aplicativos atualizados do servidor de arquivos. Voc pode
configurar um ou mais servidores de correo que estejam conectados rede
corporativa. Com os servidores de correo, os usurios podem copiar ou fazer
download automaticamente dos patches e hotfixes necessrios para qualquer
aplicativo exigido.
Se um servidor de correo falhar, a correo da integridade do host tambm
falhar. Se o cliente tentar se conectar por meio de um Enforcer, este bloquear
o cliente, caso haja falha na integridade do host. Se o cliente est conectado a
Symantec Endpoint Protection Manager, voc poder definir o console para
ser aprovado na verificao de integridade do host, mesmo se a verificao
falhar. Neste caso, o Enforcer poder bloquear o cliente. As informaes sobre
a falha na verificao da integridade do host so gravadas no Log de segurana
do cliente.
O servidor de gerenciamento deve ser configurado de modo que as atualizaes

da poltica de segurana sejam enviadas automaticamente a qualquer
computador que execute o cliente.
Se o Enforcer bloquear o cliente, o cliente tentar se recuperar. A poltica de

integridade do host configurada para atualizar arquivos antes de permitir que
o cliente se conecte rede. O usurio , em seguida, notificado que uma atualizao
precisa ser fornecida. Um indicador de andamento acompanha a atualizao.
Consulte Adio de requisitos da integridade do host na pgina 887.
Sobre os appliances Enforcer do Symantec Network

Access Control
Os appliances Enforcer da Symantec so os componentes opcionais da rede que
funcionam com os clientes Symantec Network Access Control.
O Symantec Network Access Control vem com as seguintes imagens do Enforcer
baseadas em Linux que voc instala nos appliances Symantec Enforcer:
Imagem do appliance Symantec Network Access Control Gateway Enforcer
849
850

Como os appliances do Symantec Network Access Control Enforcer funcionam com polticas de integridade do host
Imagem do appliance Symantec Network Access Control LAN Enforcer
Alm disso, todo os Symantec Enforcers baseados no Windows trabalham com

clientes gerenciados para proteger sua rede. Estes clientes incluem o cliente do
Symantec Endpoint Protection e o cliente do Symantec Network Access Control.
Consulte Instalao de um appliance Enforcer na pgina 867.
Consulte Planejamento da instalao para um appliance Gateway Enforcer
na pgina 929.
Como os appliances do Symantec Network Access

Control Enforcer funcionam com polticas de
integridade do host
As polticas de segurana de que todos os appliances Enforcer direcionam clientes
do Symantec Network Access Control ou do Symantec Endpoint Protection para
serem executados nos computadores-cliente so chamadas Polticas de integridade
do host. Voc cria e gerencia polticas de integridade do host no console do
As polticas de integridade do host especificam o software necessrio para ser
executado em um cliente. Por exemplo, voc pode especificar que o seguinte
software de segurana localizado em um computador-cliente deve estar em
conformidade com determinados requisitos:
Software antivrus
Software antispyware
Software de firewall
Patches
Service packs
Quando um cliente tenta conectar-se rede, ele executa uma verificao de

integridade do host e envia os resultados a um appliance Enforcer. possvel
configurar clientes para executar verificaes de integridade do host em vrios
momentos.
Geralmente, o appliance Enforcer configurado para, antes de conceder acesso
rede ao cliente, verificar se ele passa na verificao de integridade do host. Se o
cliente passar na verificao de integridade do host, ele estar em conformidade
com a Poltica de integridade do host da empresa. Entretanto, cada tipo de
appliance Enforcer define os critrios de acesso rede de maneira diferente.

Como os appliances do Symantec Network Access Control Enforcer funcionam com polticas de integridade do host
Comunicao entre um appliance Enforcer e um Symantec Endpoint

Protection Manager
O appliance Enforcer permanece conectado ao Symantec Endpoint Protection
Manager. Em intervalos regulares (a pulsao), o appliance Enforcer recupera
configuraes do servidor de gerenciamento. Estas configuraes controlam como
o appliance Enforcer opera. Quando so realizadas alteraes no servidor de
gerenciamento, que afetam o appliance Enforcer, ele receber a atualizao durante
a prxima pulsao. O appliance Enforcer transmite suas informaes de status
ao servidor de gerenciamento. Ele pode registrar os eventos que encaminha a esse
servidor de gerenciamento. Desta forma, as informaes aparecero nos logs do
O Symantec Endpoint Protection Manager mantm uma lista de servidores de
gerenciamento com informaes de banco de dados replicadas. Ele transfere por
download a lista de servidores de gerenciamento para Enforcers conectados e
gerenciados, bem como clientes convidados. Se o appliance Enforcer perder a
comunicao com um servidor de gerenciamento, ele poder conectar-se a outro
servidor que esteja includo na lista de servidores de gerenciamento. Se o appliance
Enforcer for reiniciado, ele usar a lista de servidores de gerenciamento para
restabelecer a conexo com um deles.
Quando um cliente tenta se conectar rede por meio do appliance Enforcer, o
appliance Enforcer autentica o Identificador global exclusivo (GUID) do cliente.
O appliance Enforcer envia o GUID ao servidor de gerenciamento e recebe uma
resposta de aceitao ou de rejeio.
Se um appliance Enforcer estiver configurado para autenticar o GUID, ele poder
recuperar as informaes do servidor de gerenciamento. O appliance Enforcer
pode, ento, determinar se o perfil do cliente foi atualizado com as polticas de
segurana mais recentes. Se as informaes do cliente mudarem no servidor de
gerenciamento, o servidor de gerenciamento poder enviar as informaes ao
appliance Enforcer. O appliance Enforcer poder executar novamente a
autenticao do host no cliente.
Consulte Alterao de configuraes do appliance Gateway Enforcer no Symantec
Consulte Alterao das configuraes do LAN Enforcer no Symantec Endpoint
851
852

Comunicao entre o appliance Enforcer e os clientes

A comunicao entre o appliance Enforcer e um cliente comea quando o cliente
tenta se conectar rede. O appliance Enforcer pode detectar se um cliente est
em execuo. Se um cliente estiver em execuo, o Enforcer iniciar o processo
de autenticao com o cliente. O cliente responder executando uma verificao
de integridade do host e enviando os resultados, juntamente com suas informaes
de perfil, ao Enforcer.
O cliente tambm envia seu Identificador global exclusivo (GUID, Globally Unique
Identifier), que o Enforcer transmite ao servidor de gerenciamento para
autenticao. O appliance Enforcer usa as informaes do perfil para verificar se
o cliente est atualizado com as polticas de segurana mais recentes. Se no
estiver, o appliance Enforcer notificar o cliente a atualizar seu perfil.
Aps o appliance Gateway Enforcer permitir que o cliente se conecte, ele continuar
a se comunicar com o cliente em intervalos predefinidos regulares. Essa
comunicao permite que o appliance Enforcer continue a autenticar o cliente.
No appliance LAN Enforcer, o alternador 802.1x trata dessa autenticao peridica.
Por exemplo, o alternador 802.1 iniciar uma nova sesso de autenticao quando
o momento de reautenticao chegar.
O appliance Enforcer precisa ser executado sempre. Caso contrrio, os clientes
que tentam se conectar rede corporativa tentaro ser bloqueados.
Consulte Para criar e testar uma Poltica de integridade do host na pgina 883.

Os appliances Gateway Enforcer realizam verificaes unidirecionais. Eles
verificam os clientes que tentam se conectar rede da empresa por meio da NIC
externa do appliance Gateway Enforcer.
Um appliance Gateway Enforcer usa os seguintes processos para verificar
computadores-cliente e determinar se eles podem acessar a rede:
O appliance Gateway Enforcer verifica informaes do cliente e se o cliente

foi aprovado na verificao de Integridade do host.
Consulte Como os appliances do Symantec Network Access Control Enforcer
funcionam com polticas de integridade do host na pgina 850.
Se o cliente satisfaz os requisitos para o acesso, o appliance Gateway Enforcer

conecta o cliente rede.
Se um cliente no satisfizer os requisitos para acesso, configure o appliance

Gateway Enforcer para realizar as seguintes aes:
Monitorar e registrar determinados eventos.

Bloquear usurios se houver falha na verificao de integridade do host.
Exibir uma mensagem pop-up no cliente.
Fornecer ao cliente acesso limitado rede para permitir o uso de recursos

da rede para correo.
Para fornecer acesso limitado, voc redireciona as solicitaes de HTTP do
cliente a um servidor da Web com informaes de correo. Por exemplo,
este servidor da Web poder incluir instrues sobre onde obter o software
de correo. Ou, poder permitir que o cliente possa fazer download do
software-cliente Symantec Network Access Control.
Permite que o cliente possa acessar a rede mesmo que falhe na verificao
de Integridade do host.
O appliance Gateway Enforcer tem os seguintes recursos opcionais de
configurao:
Permitir que os computadores-cliente com endereos IP confiveis acessem

a rede imediatamente.
Voc pode configurar quais endereos IP do cliente sero verificados e quais
endereos IP so confiveis. Aos clientes com endereos IP confiveis so
concedidos o acesso sem autenticao adicional.
Permitir aos computadores que no executam Windows acessar a rede.

Neste caso, o appliance Gateway Enforcer funciona como uma ponte em
vez de um roteador. Assim que o cliente autenticado, o appliance Gateway
Enforcer encaminha os pacotes para permitir ao cliente o acesso rede.
Consulte About the LAN Enforcer appliance installation na pgina 849.
Consulte O que voc pode fazer com appliances do Symantec Enforcer
na pgina 858.
Consulte Sobre a instalao de um appliance Enforcer na pgina 866.

O appliance LAN Enforcer oferece a opo de autenticao EAP (Extensible
Authentication Protocol) 802.1x juntamente com a execuo de uma verificao
da integridade do host pelo cliente.
Nota: Para obter detalhes sobre o EAP, consulte o RFC 2284 do IETF em PPP
Extensible Authentication Protocol (EAP). Para obter mais detalhes sobre o padro
IEEE 802.1x, consulte o texto do padro no seguinte URL: IEEE8021-PAE-MIB
Definitions.
Voc pode implementar o LAN Enforcer usando um dos seguintes modos:
853
854

Modo transparente: Verifica se o cliente compatvel com a poltica de

segurana da integridade do host, mas no verifica o nome de usurio e a senha.
O modo transparente no usa um servidor RADIUS, mas exige um alternador
compatvel com 802.1x.
Modo 802.1x completo: Autentica as credenciais do usurio (nome de usurio

e senha) alm de fazer com que o cliente verifique a autenticao do host. Os
clientes incompatveis so roteados a uma VLAN convidada que sua organizao
definiu para correo da segurana do cliente. A autenticao 802.1x completa
exige um servidor Radius, um ponto de acesso sem fio ou um alternador
compatvel com 802.1x e software requerente (cliente).
No modo transparente, um appliance LAN Enforcer usa os seguintes mtodos para

processar pedidos do computador-cliente para acessar a rede:
O computador-cliente conecta-se e envia o logon, a conformidade da

autenticao do host e os dados da poltica com o EAP.
O alternador ou o ponto de acesso sem fio encaminham os dados do

computador-cliente ao appliance LAN Enforcer.
O appliance LAN Enforcer verifica se o cliente passou por uma verificao de

integridade do host.
Consulte Como os appliances do Symantec Network Access Control Enforcer
funcionam com polticas de integridade do host na pgina 850.
Se o cliente tiver passado por uma verificao de integridade do host, o Enforcer

abrir uma parte do alternador e permitir o acesso completo rede.
Se o cliente for reprovado na verificao da integridade do host, o Enforcer

atribuir o cliente VLAN de quarentena onde recursos de correo podem
ser acessados.
No modo 802.1x completo, um appliance LAN Enforcer faz o seguinte para

processar pedidos do computador-cliente para acessar a rede:
O computador-cliente conecta-se e envia o logon, a conformidade da

autenticao do host e os dados da poltica com o EAP.
O requerente no computador-cliente pede ao usurio seu nome de usurio e

senha.
O alternador encaminha o nome de usurio e a senha ao LAN Enforcer.
O LAN Enforcer encaminha o nome de usurio e a senha ao servidor Radius.
O servidor Radius gera um estmulo EAP (nome de usurio e senha).
O LAN Enforcer recebe o estmulo EAP e adiciona a verificao de integridade

do host.

O LAN Enforcer verifica se o cliente passou pela verificao de integridade do

host.
O LAN Enforcer verifica os resultados da integridade do host e encaminha-os

ao servidor Radius.
O servidor RADIUS executa a autenticao EAP e envia o resultado ao LAN

Enforcer.
O LAN Enforcer recebe os resultados da autenticao e encaminha os resultados

e a ao a ser tomada ao alternador.
Se o cliente tiver passado pelo estmulo EAP e de integridade do host, o

alternador permitir o acesso rede.
Se o cliente no tiver passado pelos estmulos, ser roteado pelo alternador a

uma VLAN alternativa onde poder acessar recursos de correo.
O appliance LAN Enforcer tem os seguintes recursos opcionais adicionais de

configurao. Voc pode:
Usar um alternador ou um ponto de acesso sem fio para direcionar o cliente a

uma VLAN de correo. (Recomendado)
Configurar as possveis respostas de falha, dependendo de voc usar a

autenticao EAP ou a verificao da integridade do host.
Conectar vrios appliances LAN Enforcer a um alternador para o failover do

LAN Enforcer.
Configurar vrios servidores Radius para o failover do servidor Radius.
Consulte O que voc pode fazer com appliances do Symantec Enforcer

na pgina 858.
Como funciona o Integrated Enforcer for Microsoft

DHCP Servers
O Integrated Enforcer for Microsoft DHCP Servers verifica instalaes do Symantec
Endpoint Protection ou instalaes do cliente do Symantec Network Access Control
nos clientes do DHCP gerenciados pelo servidor DHCP. Ele aplica, ento, as polticas
nos clientes conforme configurado no Symantec Endpoint Protection Manager.
O Integrated Enforcer for Microsoft DHCP Servers tambm autentica o cliente
para:
A existncia de um agente.
Um identificador global exclusivo (GUID, Globally Unique Identifier).
855
856

Conformidade da integridade do host.
A verso do perfil de cada poltica configurada.
O Integrated Enforcer for Microsoft DHCP Servers um componente de software

que interage com o Microsoft DHCP Server. Embora ambos devam ser instalados
no mesmo computador, o Integrated Enforcer for Microsoft DHCP Servers no
dependente do servidor DHCP. Quando o Integrated Enforcer for Microsoft DHCP
Servers reside no mesmo computador que o servidor DHCP, ele elimina a
necessidade de hardware adicional.
Nota: Interromper o servidor DHCP no interrompe o Integrated Enforcer for
Microsoft DHCP Servers. Interromper o Integrated Enforcer for Microsoft DHCP
Servers no interrompe o servidor DHCP.
O Symantec Endpoint Protection Manager usado para configurar as polticas de
segurana. Porm, o Integrated Enforcer for Microsoft DHCP Servers aplica as
O Integrated Enforcer for Microsoft DHCP Servers autentica os
computadores-cliente, verificando a resposta a respeito dos seguintes critrios:
O cliente do Symantec Endpoint Protection ou o cliente do Symantec Network

Access Control so executados em um computador-cliente?
O cliente do Symantec Endpoint Protection ou o cliente do Symantec Network

Access Control tm o identificador global exclusivo (GUID, Globally Unique
Identifier) correto?
O GUID um nmero hexadecimal de 128 bits? Este nmero atribudo a um
computador-cliente que executa o cliente do Symantec Endpoint Protection
ou o cliente do Symantec Network Access Control. O servidor de gerenciamento
gera um GUID quando o cliente conectado inicialmente.
O cliente cumpre a Poltica de integridade do host mais recente que o

administrador configurou no console do Symantec Endpoint Protection
Manager?
O cliente recebeu a poltica de segurana mais recente?
Se o Integrated Enforcer for Microsoft DHCP Servers no puder autenticar o

cliente, ele fornecer o acesso a uma rea em quarentena. A rea de quarentena
fornece recursos de rede limitados ao cliente. A rea de quarentena configurada
no mesmo computador do Integrated Enforcer for Microsoft DHCP Servers e do
Servidor DHCP da Microsoft.

Como um Integrated Enforcer for Microsoft Network Access Protection funciona com um Microsoft Network Policy
Server (NPS)
Tambm possvel configurar o acesso a um servidor de correo. O servidor de

correo fornece aos clientes os links para o software que permite que eles se
tornem compatveis com suas polticas de segurana.
Consulte Sobre o Symantec Network Access Control Integrated Enforcer for
Microsoft DHCP Servers na pgina 1065.
Como um Integrated Enforcer for Microsoft Network

Access Protection funciona com um Microsoft
Network Policy Server (NPS)
O Integrated Enforcer for Microsoft Network Access Protection funciona
permitindo que voc amplie os recursos do Microsoft Network Access Protection
(NAP), incluindo:
Verificao da aderncia s polticas de segurana do endpoint. Os clientes

que se conectam podem usar as mesmas polticas ou polticas diferentes.
Controle do acesso do convidado.
Para autenticar usurios finais.
Quando voc configurar um servidor de poltica da rede (NPS, Network Policy

Server) como um servidor de polticas NAP, ele avaliar as indicaes de integridade
(SoH, statements of health) enviadas por clientes compatveis com NAP. Se os
clientes estiverem ntegros, eles podero se conectar rede.
Voc pode configurar polticas de NAP no NPS, que permite que os
computadores-cliente atualizem suas configuraes para que se tornem
compatveis com a poltica de segurana de sua organizao. Configure essas
polticas seguindo as instrues na documentao do NPS.
Consulte Sobre o Symantec Network Access Control Integrated Enforcer for
Microsoft Network Access Protection na pgina 1065.
Como funciona o cliente On-Demand

O cliente sob demanda verificar a conformidade de seu computador se voc tentar
conect-lo a uma rede protegida como um convidado. Se o computador-cliente
cumprir todos os requisitos, uma conexo entre o computador-cliente e o Symantec
Endpoint Protection Manager ser estabelecida automaticamente. Se o cliente
cumprir todos os requisitos de segurana, o cliente poder acessar a rede protegida.
Nesse ponto, o computador-cliente em conformidade com a segurana poder
executar todas as tarefas que o administrador ativar para este grupo no Symantec
857
858

Endpoint Protection Manager. Se o computador-cliente no cumprir todos os

requisitos, uma conexo entre o computador-cliente e a rede protegida no ser
estabelecida automaticamente. O usurio precisa corrigir todos os requisitos que
no estiverem em conformidade no computador-cliente fazendo o download dos
arquivos de correo como configurado pelo administrador. At que a correo
esteja concluda, o cliente no pode acessar a rede protegida como um convidado.
Seu computador deve passar ou falhar na verificao do status de conformidade
quando tentar se conectar rede protegida de uma empresa. Portanto, o status
do acesso rede protegida de uma empresa o seguinte:
Permitido Voc pode se conectar rede. No modo Permitido, no h

comunicao com um Enforcer ou um Enforcer no est instalado na rede.
Aprovado Voc foi aprovado para se conectar rede pelo Symantec Network
Access Control.
Colocar em quarentena O Symantec Network Access Control colocou voc

em uma rea de quarentena porque seu status de conformidade falhou ou a
poltica no a mais recente.
Consulte Ativao de clientes sob demanda do Symantec Network Access Control

para se conectarem temporariamente a uma rede na pgina 1139.
O que voc pode fazer com appliances do Symantec

Enforcer
O appliance Enforcer instalado nos endpoints da rede para clientes externos ou
internos.
Por exemplo, possvel instalar um appliance Enforcer entre a rede e um servidor
VPN. Ele tambm pode ser instalado para aplicao nos computadores-cliente que
se conectam rede por um alternador compatvel com 802.1x ou ponto de acesso
sem fio.
Um appliance Enforcer executa a autenticao do host, em vez da autenticao
em nvel de usurio. Ele assegura que os computadores-cliente que tentam se
conectar rede empresarial estejam em conformidade com as polticas de
segurana da empresa. Voc pode configurar polticas de segurana especficas
Se o cliente no estiver em conformidade com as polticas de segurana, o appliance
Enforcer poder efetuar as seguintes aes:
Bloquear o acesso rede.
Permitir acesso somente a recursos limitados.

Permite o acesso quando o cliente incompatvel e registra essa ao em log.
O appliance Enforcer pode redirecionar o cliente para a rea de quarentena com

um servidor de correo. O cliente pode ento obter o software, os aplicativos, os
arquivos de assinatura ou os patches necessrios no servidor de correo.
Por exemplo, parte da rede pode j estar configurada para os clientes que se
conectam rede local por meio de comutadores compatveis com 802.1x. Se esse
for o caso, voc pode usar um appliance LAN Enforcer para estes clientes.
Voc tambm pode usar um appliance LAN Enforcer para os clientes que se
conectam atravs de um ponto de acesso sem fio compatvel com 802.1x.
Consulte Planejamento da instalao de um appliance LAN Enforcer
na pgina 985.
Se houver funcionrios que trabalhem remotamente, conectando-se por meio de
uma VPN, ser possvel usar o appliance Gateway Enforcer para esses clientes.
Voc tambm pode usar o appliance Gateway Enforcer se um ponto de acesso sem
fio no for compatvel com 802.1x.
Consulte Planejamento da instalao para um appliance Gateway Enforcer
na pgina 929.
Se for necessria alta disponibilidade, dois ou mais appliances Gateway ou LAN
Enforcer podero ser instalados no mesmo local para fornecer failover.
Consulte Planejamento de failover para appliances Gateway Enforcer
na pgina 938.
Consulte Planejamento de failover para appliances LAN Enforcer e servidores
Radius na pgina 989.
Se quiser implementar alta disponibilidade para appliances LAN Enforcer, voc
dever instalar vrios appliances LAN Enforcer e o alternador compatvel com
802.1x. A alta disponibilidade pode ser alcanada pela adio do alternador
compatvel com 802.1x. Se forem instalados vrios appliances LAN Enforcer sem
um alternador compatvel com 802.1x, a alta disponibilidade falhar. possvel
configurar um alternador compatvel com 802.1x para alta disponibilidade.
Para obter informaes sobre a configurao de um alternador compatvel com
802.1x para alta disponibilidade, consulte a documentao que acompanha o
alternador.
Em algumas configuraes de rede, um cliente pode conectar-se a uma rede atravs
de mais de um appliance Enforcer. Depois que o primeiro appliance Enforcer
859
860

O que voc pode fazer com os Symantec Integrated Enforcers
fornecer a autenticao ao cliente, os appliances Enforcer restantes autenticaro

o cliente para que este possa conectar-se rede.
O que voc pode fazer com os Symantec Integrated

Enforcers
Os Symantec Network Access Control Integrated Enforcers opcionais so Enforcers
fornecidos como componentes de software. Voc pode configur-los para garantir
que os clientes que tentam se conectar rede cumpram as polticas de segurana
configuradas pela sua organizao.
Use o Symantec Network Access Control Integrated Enforcer for DHCP Servers
para garantir que os clientes de um servidor DHCP da Microsoft cumpram as
Use o Symantec Network Access Control Integrated Enforcer for Microsoft

Network Access Protection para garantir que os clientes cumpram as polticas
de integridade do cliente Microsoft. Alm das polticas de integridade da
Microsoft, voc tambm pode usar o agente de integridade da Symantec para
verificar polticas de integridade da Symantec.
Voc pode executar as seguintes tarefas-chave com os Integrated Enforcers:
Certifique-se de que os computadores-cliente que tentam se conectar rede

cumpram as polticas de segurana definidas no Symantec Endpoint Protection
Manager.
Configurar uma conexo ao Symantec Endpoint Protection Manager.
Iniciar e interromper o servio do Enforcer.
Visualizar o status da conexo.
Exibir os logs de segurana e do sistema no Symantec Endpoint Protection

Manager.
Consulte Como funciona o Integrated Enforcer for Microsoft DHCP Servers

na pgina 855.

Quando os usurios no podem se conectar sua rede porque no tm o software
de conformidade necessrio, possvel fornecer a eles os clientes On-Demand.
Quando um cliente On-Demand instalado, ele autentica o usurio e assegura-se

de que o computador seja aprovado na verificao de conformidade antes que

possa acessar a rede. Os clientes On-Demand permanecem em vigor at que o
convidado faa logoff. Esto disponveis para computadores convidados Windows
e Macintosh.
Os clientes On-Demand protegem as informaes confidenciais da empresa na
sua rede contra a perda de dados. Com um Cliente sob demanda, os convidados e
a equipe remota podem se conectar sua rede com os aplicativos ativados para
Web sem introduzir spywares, keyloggers e outros malwares que podem infectar
sua rede.
O processo de provisionamento exige:
Um Gateway Enforcer configurado para fornecer clientes sob demanda.
O download e a instalao do cliente On-Demand em computadores convidados
Consulte Ativao de clientes sob demanda do Symantec Network Access Control

para se conectarem temporariamente a uma rede na pgina 1139.
Consulte Configurao da autenticao no console do Gateway Enforcer para
clientes do Symantec Network Access Control sob demanda na pgina 1142.
861
862

Captulo
41
Para instalar o Symantec

Para implementar o Symantec Network Access Control
Para fazer upgrade do Symantec Endpoint Protection Manager para incluir o

Symantec Network Access Control
Sobre a instalao de um appliance Enforcer
Instalao de um appliance Enforcer
Sobre os indicadores e os controles do appliance Enforcer
Configurao de um appliance Enforcer
Logon em um appliance Enforcer
Para configurar um appliance Enforcer
Para implementar o Symantec Network Access

Control
melhor implementar o Symantec Network Access Control em fases. Esta
abordagem permite que sua organizao desenvolva uma implementao que se
ajuste s suas necessidades. Voc aproveita cada fase anterior em vez de refazer
completamente sua infra-estrutura de segurana para fazer mudanas ou
aprimoramentos.
864

Para implementar o Symantec Network Access Control
Tabela 41-1
Fases para implementar o Symantec Network Access Control
Fase
Ao
Descrio
Fase 1
Instale clientes do Symantec Endpoint

Protection Manager e do Symantec
Network Access Control. Use o Symantec
Endpoint Protection Manager para
configurar as polticas de integridade do
host.
Voc pode controlar o acesso a laptop, desktops e servidores

que sua organizao gerencia com autoimposio. Com a
autoimposio, os computadores podem obter o software de
que precisam para cumprir sua poltica de segurana.
Consulte Para executar o Symantec Endpoint Protection pela
primeira vez na pgina 54.
Consulte Para criar e testar uma Poltica de integridade do
host na pgina 883.
Consulte Para fazer upgrade do Symantec Endpoint Protection
Manager para incluir o Symantec Network Access Control
na pgina 865.
Fase 2
Instale e configure um appliance Gateway Para a proteo parcial da rede, controle o acesso com e sem
Enforcer.
fio rede para clientes gerenciados e no gerenciados e para
computadores convidados.
Os clientes gerenciados so aqueles que executam o cliente do
Os clientes no gerenciados so aqueles que:
No esto executando o software-cliente do Symantec
Network Access Control.
Esto executando o software-cliente do Symantec Network
Access Control, mas no tm as atualizaes da poltica
mais recentes.
Os clientes convidados so os laptop, os desktops e os

servidores que no cumprem seus requisitos da segurana para
itens como o software instalado e senhas protegidas. Estes so
dispositivos pertencentes a convidados, como fornecedores,
consultores e parceiros. Voc pode permitir que estes clientes
convidados se conectem com segurana e temporariamente a
sua rede com clientes sob demanda.
Consulte Sobre a instalao de um appliance Enforcer
na pgina 866.
Consulte Como funciona o appliance Gateway Enforcer
na pgina 852.

Para fazer upgrade do Symantec Endpoint Protection Manager para incluir o Symantec Network Access Control
Fase
Ao
Descrio
Fase 3
Instale e configure um appliance LAN

Enforcer.
Para proteo completa da rede, possvel controlar o acesso

LAN para computadores-cliente e computadores convidados.
Para clientes gerenciados, use um appliance do LAN
Enforcer.
Para clientes no gerenciados, use appliances LAN ou
Gateway Enforcer.

na pgina 866.
Consulte Como funciona o appliance LAN Enforcer
na pgina 853.

na pgina 844.
Para fazer upgrade do Symantec Endpoint Protection

Manager para incluir o Symantec Network Access
Control
Se voc j tiver instalado o Symantec Endpoint Protection, poder fazer upgrade
do Symantec Endpoint Protection para incluir o Symantec Network Access Control.
O Symantec Network Access Control inclui dois componentes separados: o
Symantec Endpoint Protection Manager e o cliente do Symantec Network Access
Control.
Se voc j tiver instalado o Symantec Endpoint Protection Manager para Symantec
Endpoint Protection, poder fazer o upgrade da instalao do Symantec Endpoint
Protection Manager e instalar o cliente do Symantec Network Access Control.
Para fazer upgrade do Symantec Endpoint Protection Manager para incluir o
Insira o disco do produto para o Symantec Network Access Control.

Se o programa de instalao no comear imediatamente, abra o disco e clique
em duas vezes em setup.exe.
Na caixa de dilogo Instalao do Symantec Endpoint Protection, clique em

Instalar o Symantec Network Access Control.
Na prxima caixa de dilogo Instalao do Symantec Endpoint Protection,

clique em Instalar o Symantec Endpoint Protection Manager.
865
866

Na caixa de dilogo Bem-vindo ao Assistente de Upgrade de servidor de

gerenciamento, clique em Avanar.
Aps a concluso do assistente, na caixa de dilogo Resumo da instalao do

console e do servidor de gerenciamento, clique em Avanar e clique em
Concluir.
Aps o upgrade, a caixa de dilogo Bem-vindo ao Assistente de Configurao

do servidor de gerenciamento aparece. Fornea os valores apropriados, clique
em Avanar e em concluir.
Implemente o cliente do Symantec Network Access Control.


Selecione o tipo de appliance Enforcer que deseja usar durante o processo de
instalao. Antes de voc iniciar a instalao dos appliance Enforcers:
Familiarize-se com os locais dos componentes em sua rede.
Localize o Disco 2 da instalao do Symantec Network Access Control Enforcer.

Este disco contm o software para todos os tipos de appliances do Symantec
Network Access Control Enforcer.
Identifique o nome do host que deseja atribuir ao appliance Enforcer. O nome

de host padro Enforcer. Convm mudar este nome para facilitar a
identificao de cada appliance Enforcer em uma rede.
Identifique os endereos IP das placas de interface de rede (NICs) no appliance

Enforcer.
Identifique o endereo IP, nome do host ou ID de domnio do Servidor de nomes

de domnio (DNS, Domain Name Server), se aplicvel. Somente os servidores
DNS podem resolver nomes de host.
Se desejar que o appliance Enforcer se conecte ao Symantec Endpoint Protection
Manager usando um nome do host, ele precisar se conectar a um servidor
DNS.
Voc pode configurar o endereo IP do servidor DNS durante a instalao.
Porm, voc pode usar o comando de configurao de DNS para mudar o
endereo IP de um servidor DNS do console do Enforcer com o comando
Configurar DNS.


A Tabela 41-2 relaciona as etapas para instalar todos os tipos de appliances
Enforcer.
Tabela 41-2
Resumo da instalao de um appliance Enforcer
Etapa
Ao
Descrio
Etapa 1
Aprenda onde colocar

Enforcers em sua rede.
Os Enforcers devem ser colocados em locais especficos

em sua rede para garantir que todos os endpoints
cumpram sua poltica de segurana.
Consulte Planejamento da instalao para um
appliance Gateway Enforcer na pgina 929.
Consulte Onde colocar appliances LAN Enforcer
na pgina 986.
Etapa 2
Configure o appliance.
Conecte o appliance Enforcer sua rede.

na pgina 866.
Consulte Sobre os indicadores e os controles do
appliance Enforcer na pgina 867.
Consulte Configurao de um appliance Enforcer
na pgina 869.
Etapa 3
Configure o appliance.
Faa logon e configure o appliance Enforcer usando a

linha de comando do Enforcer.
Consulte Logon em um appliance Enforcer
na pgina 870.
Consulte Para configurar um appliance Enforcer
na pgina 871.
Sobre os indicadores e os controles do appliance

Enforcer
O appliance Enforcer instalado em um chassi montvel em rack 1U com suporte
para trilhos fixos.
A Figura 41-1 mostra os controles, os indicadores e os conectores localizados atrs
do painel opcional no painel frontal.
867
868

Sobre os indicadores e os controles do appliance Enforcer
Figura 41-1
Painel frontal do appliance Enforcer
Unidade de DVD-ROM
Boto Liga/desliga
cone de redefinio
Portas USB
Luz da unidade de disco rgido
Monitor
Reservado; no use
A Figura 41-2 mostra o painel traseiro do sistema.

Figura 41-2
Painel traseiro do appliance Enforcer (modelo de falha aberta

exibido)
Conector do cabo de alimentao
Conector do mouse
Conector do teclado
Portas USB
Porta serial
Monitor
Reservado; no use
Portas de rede reservadas; no use
Porta de rede eth0

10
Porta de rede eth1
Use a porta e o cabo seriais fornecidos para conectar outro sistema conectado a
um monitor e teclado. Como alternativa, possvel conectar o monitor ou teclado
diretamente. Se voc se conectar usando a porta serial, a taxa de transmisso
padro que definida no Enforcer ser de 9.600 bps. Voc deve configurar a
conexo no outro sistema para correspondncia. A conexo pela porta serial o
mtodo preferencial. Para solucionar problemas, ela permite transferir arquivos,
como as informaes de depurao, ao computador conectado.
Consulte Configurao de um appliance Enforcer na pgina 869.

Configure o hardware do appliance Enforcer conectando-o sua rede, ativando-o
e fazendo o logon na linha de comando.
Consulte Sobre os indicadores e os controles do appliance Enforcer na pgina 867.
Remova o appliance Enforcer da embalagem.
Monte o appliance Enforcer em um rack ou coloque-o em uma superfcie

nivelada.
Consulte as instrues de montagem em rack que acompanham o appliance
Enforcer.
Conecte-o uma tomada eltrica.
Conecte o appliance Enforcer usando um destes mtodos:
Conecte outro computador ao appliance Enforcer usando a porta serial.

Use um cabo de modem nulo com conector DB9 (fmea). necessrio usar
software de terminal, como HyperTerminal, CRT ou NetTerm, para acessar
o console do Enforcer. Configure o software de terminal para 9600 bps, 8
bits de dados, sem paridade, 1 bit de parada, sem controle de fluxo.
Conecte um teclado e um monitor VGA diretamente ao appliance Enforcer.
869
870

Conecte os cabos Ethernet s portas de interface de rede, conforme descrito

abaixo:
Appliance Gateway Enforcer Conecte dois cabos Ethernet. Um cabo conecta-se
porta eth0 (NIC interna). O outro cabo conecta-se
porta eth1 (NIC externa) na parte traseira do appliance
Enforcer.
A NIC interna conectada rede protegida e ao
Symantec Endpoint Protection Manager. A NIC externa
conectada aos endpoints.
Appliance LAN Enforcer
Conecte um cabo de ethernet porta eth0 na parte

traseira do appliance Enforcer. Esse cabo se conecta
rede interna. A rede interna se conecta a um alternador
compatvel com 802.1x e a todos os alternadores
compatveis com 802.1x adicionais na rede.
Ligue a alimentao.
O appliance Enforcer iniciado.
Consulte Logon em um appliance Enforcer na pgina 870.

Consulte Para configurar um appliance Enforcer na pgina 871.

Quando voc ativar ou reiniciar o appliance Enforcer, o prompt de logon do console
ser exibido:
Fazer login no Enforcer
Os seguintes nveis de acesso esto disponveis:

Superusurio
Acesso a todos os comandos
Normal
Acesso apenas aos comandos clear, exit, help e show para cada nvel
de hierarquia do comando
Nota: Aps 90 segundos de inatividade, o appliance Enforcer desconectar

automaticamente os usurios.

Para fazer logon em um appliance Enforcer com acesso a todos os comandos
Na linha de comando, fazer logon em um appliance Enforcer com acesso a

todos os comandos digitando o comando a seguir:
root
Digite a senha que voc criou durante a instalao inicial.

A senha padro symantec.
O prompt de comando do console para raiz Enforcer#.
Para fazer logon em um appliance Enforcer com acesso limitado aos comandos
Se voc quiser fazer logon em um appliance Enforcer com acesso limitado

aos comandos, digite o comando a seguir na linha de comando:
admin
Digite a senha na linha de comando.

A senha padro symantec.
O prompt de comando do console para admin Enforcer$.

Aps fazer logon no appliance Enforcer, voc pode configurar o appliance na
interface de linha de comando do Enforcer.
871
872

Especifique o tipo de appliance Enforcer da seguinte forma, respondendo aos

prompts do Enforcer:
1. Select Enforcer mode
[G] Gateway [L] LAN
Onde:
Appliance Gateway Enforcer
appliance LAN Enforcer
Altere o nome do host do appliance Enforcer ou pressione Enter para deixar

o nome do host do appliance Enforcer inalterado.
O nome padro do host do appliance Enforcer Enforcer. O nome do appliance
Enforcer registrado automaticamente no Symantec Endpoint Protection
Manager durante a prxima pulsao.
No prompt, digite o comando a seguir se desejar mudar o nome do host do
appliance Enforcer:
2. Set the host name
Note:
1) Input new hostname or press "Enter" for no change. [Enforcer]:
nome do host nome do host
onde nome do host o novo nome de host do appliance Enforcer.

Certifique-se de registrar o nome do host do appliance Enforcer no servidor
de nomes de domnio.
Digite o comando a seguir para confirmar o novo nome de host do appliance

Enforcer:
show hostname
Digite o endereo IP do servidor DNS e pressione Enter.

Digite a nova senha raiz no prompt, digitando, primeiramente, o seguinte

comando:
password
Senha antiga: nova senha
necessrio alterar a senha raiz usada para fazer login no appliance Enforcer.
O acesso remoto ser ativado somente aps a alterao da senha. A nova
senha deve ter pelo menos nove caracteres e conter uma letra minscula,
uma letra maiscula, um dgito e um smbolo.
Digite a nova senha admin.
Defina o fuso horrio seguindo estes prompts.

Set the time zone
Current time zone is [+0000]. Change it? [Y/n]
If you click 'Y', follow the steps below:
1) Select a continent or ocean
2) Select a country
3) Select one of the time zone regions
4) Set the date and time
Enable the NTP feature [Y/n]
Set the NTP server:
Note: We set up the NTP server as an IP address
Defina a data e a hora.
Defina as configuraes de rede e conclua a instalao, seguindo os prompts

do Enforcer.
Enter network settings
Configure eth0:
Note: Input new settings.
IP address []:
Subnet mask []:
Set Gateway? [Y/n]
Gateway IP[]:
Apply all settings [Y/N]:

Consulte Sobre a hierarquia de comandos da CLI do appliance Enforcer
na pgina 928.
873
874

Captulo
42
Para fazer upgrade e recriar

imagem de todos os tipos
de imagens do appliance
Enforcer
Sobre como fazer upgrade e gerar imagens do appliance Enforcer
Matriz de compatibilidade de hardware do Enforcer
Como determinar a verso atual de uma imagem do appliance Enforcer
Upgrade de imagens do appliance Enforcer
Gerao de imagens do appliance Enforcer
Sobre como fazer upgrade e gerar imagens do

appliance Enforcer
Determine a verso do software appliance Enforcer antes de planejar o upgrade
ou a recriao de imagem de qualquer software do appliance Enforcer.
Consulte Como determinar a verso atual de uma imagem do appliance Enforcer
na pgina 877.
Voc pode precisar fazer upgrade da imagem de um appliance Enforcer para a
verso atual se desejar conectar-se verso mais atual do Symantec Endpoint
Protection Manager. O upgrade permite aproveitar-se dos novos recursos que o
876
Para fazer upgrade e recriar imagem de todos os tipos de imagens do appliance Enforcer
appliance Symantec Network Access Control Enforcer oferece. Os appliances

Enforcer funcionam com o Symantec Endpoint Protection Manager 11.0 e todas
as verses e atualizaes subsequentes.
Voc pode selecionar alguns dos seguintes mtodos para fazer upgrade da imagem
do appliance Enforcer:
Fazer upgrade da imagem atual do appliance Enforcer.

Consulte Upgrade de imagens do appliance Enforcer na pgina 877.
Instalar uma imagem diferente do appliance Enforcer sobre uma imagem

anterior do appliance Enforcer.
Consulte Gerao de imagens do appliance Enforcer na pgina 878.

A Matriz de compatibilidade de hardware do Enforcer relaciona as verses da
imagem do appliance do Symantec Network Access Control e seu nvel de teste e
de suporte para os modelos de hardware do appliance Enforcer Dell.
Tabela 42-1
Verso da imagem
Dell PE 850
Dell PE 860
Dell R200
Dell R210
Verso da imagem 12,1
No suportada
Testada
parcialmente e
suportada
inteiramente
Testada
inteiramente e
suportada
inteiramente
Testada
inteiramente e
suportada
inteiramente
Verso da imagem 11.0.6100 e

superior (RU6 MP1 e superior)
Testada
parcialmente e
suportada
inteiramente
Testada
parcialmente e
suportada
inteiramente
Testada
inteiramente e
suportada
inteiramente
Testada
inteiramente e
suportada
inteiramente
Verso da imagem 11.0.6
Testada
inteiramente e
suportada
inteiramente
Testada
inteiramente e
suportada
inteiramente
Testada
inteiramente e
suportada
inteiramente
No suportada
Verses da imagem 11.0.2, 11.0.3,

11.0.4 e 11.0.5
Testada
inteiramente e
suportada
inteiramente
Testada
inteiramente e
suportada
inteiramente
Testada
inteiramente e
suportada
inteiramente
No suportada
Verso da imagem 11.0.0, 11.0.1
Testada
inteiramente e
suportada
inteiramente
Testada
inteiramente e
suportada
inteiramente
No suportada
No suportada
Como determinar a verso atual de uma imagem do appliance Enforcer
Como determinar a verso atual de uma imagem do

appliance Enforcer
Voc deve determinar a verso atual da imagem que suportada no appliance
Enforcer. Voc dever tentar fazer upgrade se no tiver a verso mais recente.
Para verificar a verso atual de uma imagem do appliance Enforcer, digite o
comando a seguir na interface de linha de comando de um appliance Enforcer:
show version
na pgina 928.
Upgrade de imagens do appliance Enforcer

Voc pode usar alguns dos seguintes mtodos para atualizar uma imagem do
appliance Enforcer imagem a mais recente:
Faa o upgrade da imagem do appliance Enforcer da verso 5.1.x para a atual

com um disco USB.
Faa upgrade da imagem do appliance Enforcer da verso 5.1.x para a atual

de um servidor TFTP.
Para fazer upgrade da imagem do appliance Enforcer da verso 5.1.x com um disco
USB
Copie os dois arquivos de atualizao, initrd-Enforcer.img.gpg e lista

de pacotes, para um disco USB.
Digite o comando a seguir para atualizar automaticamente o appliance

Enforcer:
Enforcer# update
Para fazer upgrade da imagem do appliance Enforcer da verso 5.1.x com um

servidor TFTP
Faa o upload de dois arquivos de atualizao, initrd-Enforcer.img.gpg e

lista de pacotes para um protocolo TFTP ao qual o appliance Enforcer
pode se conectar.
Execute o comando a seguir no console do appliance Enforcer:

Enforcer:# update tftp://endereo IP do servidor TFTP
Selecione Y quando voc for solicitado a iniciar a nova imagem.
877
878
Selecione 1 para reiniciar o appliance Enforcer aps ter aplicado a nova

imagem.
No inicie a imagem nova sem reiniciar o appliance Enforcer.
Faa o logon no appliance Enforcer.

na pgina 928.

O appliance Enforcer fornecido com o software de gerao de imagens para todos
os appliances Enforcer: Gateway e LAN. O software de gerao de imagens inclui
o sistema operacional Linux de alta segurana e o software appliance Enforcer
para a substituio de uma imagem do appliance Enforcer.
Ao iniciar a instalao pelo Disco 2, o processo de gerao de imagens apagar a
configurao existente no appliance Enforcer. Os arquivos novos so instalados
sobre os arquivos existentes. Todas as configuraes previamente definidas no
appliance Enforcer so perdidas.
possvel instalar um tipo diferente de appliance Enforcer se quiser mudar o tipo
que est atualmente em uso. Se voc mudar o tipo de imagem do appliance
Enforcer, isso poder envolver o remanejamento de um appliance Enforcer na
rede da empresa.
Quando voc recriar uma imagem de um Enforcer, ser necessrio tambm
descartar todas as informaes do grupo relacionadas ao Enforcer que estava
armazenado no Symantec Endpoint Protection Manager. Voc est comeando
do inicio com o novo tipo de Enforcer. O Enforcer descarta todas as informaes
do grupo Symantec Endpoint Protection Manager anterior completamente. Voc
deve criar uma nova chave de compartilhamento e as informaes do grupo
Symantec Endpoint Protection Manager devem ser reconfiguradas manualmente
conforme a necessidade para garantir a coordenao apropriada.
Para recriar imagens de um appliance Enforcer
Insira o disco do produto 2 na unidade do disco do appliance Enforcer.

Enforcer:# reboot
Esse comando reinicia o appliance Enforcer.
No menu Configurar, selecione Instalar o Symantec Enforcer do CD-ROM.

Se voc no usar o menu Configurar, o appliance Enforcer ser inicializado
atravs do disco rgido em vez de pelo disco do produto. Para recriar a imagem,
reinicie pelo disco.
Instale e configure o appliance Enforcer.

879
880
Captulo
43
Para personalizar as
polticas de integridade do
host
O que voc pode fazer com as Polticas de integridade do host
Para criar e testar uma Poltica de integridade do host
Sobre requisitos da integridade do host
Adio de requisitos da integridade do host
Integridade do host para Mac
Para ativar, desativar e excluir polticas de integridade do host
Alterao da sequncia dos requisitos de integridade do host
Para adicionar um requisito da integridade do host atravs de um modelo
Sobre configuraes para verificaes da integridade do host
Como permitir que a verificao de integridade do host seja aprovada se um

requisito falhar
Configurao de notificaes para verificaes da integridade do host
Sobre a correo da Integridade do host
Para criar uma poltica de quarentena para uma verificao de integridade do

host com falha
Especificao do perodo de tempo que o cliente espera pela correo
882
Para personalizar as polticas de integridade do host

O que voc pode fazer com as Polticas de integridade do host
Permisso para que os usurios adiem ou cancelem a correo da integridade

do host
O que voc pode fazer com as Polticas de integridade

do host
Use as Polticas de integridade do host para certificar-se de que os
computadores-cliente que acessam sua rede atendam poltica de segurana de
sua organizao. Por exemplo, possvel usar as Polticas de integridade do host
para assegurar-se de que os computadores-cliente:
Esto executando aplicativos da proteo antivrus e contra spyware. Caso

negativo, permitem a correo atravs do download e da instalao dos
aplicativos de proteo contra vrus e spyware necessrios.
Tenha verificaes de proteo antivrus aprovadas feitas pelo Symantec

Endpoint Protection em plataformas Windows. Se o Symantec Endpoint
Protection no estiver instalado, essa verificao ser relatada como falha da
integridade do host e aparecer no registro de segurana.
Tenham as definies de vrus mais recentes. Caso negativo, fazem

automaticamente o download das atualizaes das definies de vrus.
Tenham os patches e os service packs mais recentes. Caso negativo, permitem

a correo atravs do download e da instalao do patch ou do service pack
necessrio.
Usem senhas complexas e que essas sejam modificadas com a frequncia

necessria.
Fique mais protegido em geral. Por exemplo, desativando o acesso remoto

rea de trabalho se necessrio, controlando a adio e remoo de programas,
controlando o uso de ferramentas de registro, etc.
Tenham o software de backup instalado. Caso negativo, permitem a correo

atravs do download e da instalao do software de backup necessrio.
Tenham o software que permite que voc execute instalaes remotas. Caso
contrrio, permita que isso seja corrigido atravs do download e instalao do
software necessrio de instalao remota, possivelmente usando um script
personalizado criado pelo administrador.


A Poltica de integridade do host a base do Symantec Network Access Control.
A poltica criada para este teste serve apenas como demonstrao. Ela detecta a
existncia de um sistema operacional e, ao detect-lo, gera um evento de falha.
Normalmente, os eventos de falha so gerados por outros motivos.
Nota: Se voc adquiriu e instalou o Symantec Network Access Control e o Symantec
Endpoint Protection, pode criar uma poltica de firewall para os
computadores-cliente que falham na integridade do host. Se executar o Symantec
Enforcer com o Symantec Network Access Control, ser possvel isolar os clientes
que falharam na integridade do host em segmentos de rede especficos. Esse
isolamento impede a autenticao do cliente e o acesso ao domnio.
Execute as seguintes etapas para testar a Poltica de integridade do host:
Faa o download do contedo mais recente de integridade do host da Symantec.
Crie uma poltica de integridade do host para testar.
Teste a poltica de integridade do host que voc criou.
Para fazer o download do contedo mais recente de integridade do host da Symantec
No console de gerenciamento, clique em Admin > Servidores e clique em

Site local.
Em Tarefas, clique em Editar propriedades do site.
Na caixa de dilogo Propriedades do site para Site local, na guia LiveUpdate,

clique em Editar servidores de origem.
Na caixa de dilogo Servidores do LiveUpdate, verifique se o servidor de

gerenciamento usa o servidor do LiveUpdate correto e clique em OK.
Voc pode usar o servidor do Symantec LiveUpdate padro ou usar um servidor
interno do LiveUpdate especificado. Se voc usar um servidor interno do
LiveUpdate, assegure-se de que o contedo de integridade do host para os
sistemas operacionais Windows ou Mac esteja presente e disponvel.
Em Tipos de contedo para download, clique em Alterar seleo.
Na caixa de dilogo Tipos de contedo para download, certifique-se de que

a caixa de seleo Contedo de integridade do host esteja marcada e, em
seguida, clique em OK.
Clique em OK.
883
884

Em Tarefas, clique em Download de contedo do LiveUpdate e clique em

Download.
Na caixa de dilogo Exibir status do LiveUpdate, depois que todo o contedo

novo for obtido por download no servidor de gerenciamento, clique em Fechar.
Voc pode agora acessar os modelos na poltica de integridade do host.
Para criar uma Poltica de integridade do host
No console, clique em Polticas > Integridade do host.
Em Tarefas, clique em Adicionar uma poltica de integridade do host.
Na guia Nome da poltica, digite um nome de poltica e clique em Requisitos.
No painel Requisitos, certifique-se de que Sempre fazer a verificao de

integridade do host esteja selecionado e clique em Adicionar.
Na caixa de dilogo Adicionar requisito, em Selecione o requisito, clique em

Requisito personalizado e clique em OK.
Na caixa Nome, digite um nome para o Requisito personalizado.
Na caixa de dilogo Requisito personalizado, em Script de requisitos

personalizados, clique com o boto direito do mouse em Inserir instrues
abaixo e clique ento em Adicionar > IF .. THEN.
No painel direito, no menu suspenso Selecionar uma condio, clique em

Utilitrio: O sistema operacional .
Em Sistema operacional, selecione um ou vrios sistemas operacionais

executados pelos seus computadores-cliente e que voc pode testar.
10 Em Script de requisitos personalizados, clique com o boto direito do mouse

em THEN //Inserir instrues aqui e, em seguida, clique em Adicionar >
Funo > Utilitrio: Exibir caixa de dilogo de mensagens.
11 Na Legenda da caixa de mensagem, digite um nome a ser exibido no ttulo da

mensagem.
12 No Texto da caixa de mensagem, digite o texto a ser exibido na mensagem.

Para exibir informaes sobre as configuraes de personalizao de
mensagem, clique em Ajuda.
13 No painel esquerdo, em Script de requisitos personalizados, clique em

Aprovado.
14 No painel direito, em Como resultado do requisito, retorne, marque Falha

e, em seguida, clique em OK.

15 Clique em OK.
16 No prompt Atribuir poltica, clique em Sim e atribua a poltica a um grupo.
Nota: Uma poltica de integridade do host pode ser atribuda a vrios grupos,
enquanto um grupo pode ter apenas uma nica poltica de integridade do
host. Voc pode substituir uma poltica existente por uma poltica diferente.
Para testar uma Poltica de integridade do host
No console, clique em Clientes > Clientes.
Em Clientes, clique e destaque o grupo que contm os computadores-cliente

aos quais voc aplicou a Poltica de integridade do host.
Em Tarefas, clique em Executar comando no grupo > Atualizar contedo e

clique em OK.
Faa logon em um computador-cliente que execute o Symantec Network

Access Control e observe a caixa de mensagem que exibida.
Como a regra acionou o teste de falha, a caixa de mensagem exibida. Aps
o teste, desative ou exclua a poltica de teste.

na pgina 882.

Ao planejar os requisitos de integridade do host, voc deve considerar as seguintes
questes:
Qual software (aplicativos, arquivos, patches etc.) deseja exigir para a segurana
empresarial?
O que ocorre se um requisito no for atendido? Por exemplo:
O cliente pode se conectar a um servidor e restaurar o software para cumprir

o requisito.
A verificao da integridade do host pode ser aprovada mesmo que o

requisito falhe.
A verificao da integridade do host pode falhar e o acesso rede pode ser

bloqueado.
Uma mensagem pode notificar o usurio sobre o que fazer a seguir.
885
886

Considere as seguintes reas com mais detalhes:
Que aplicativos antivrus, antispyware, firewall, patches ou atualizaes so

necessrios no computador do usurio quando esse se conecta rede?
Normalmente, voc cria um requisito separado para cada tipo de software. Os
requisitos de integridade do host predefinidos permitem que voc configure
facilmente esses requisitos normalmente usados.
Voc pode conceder aos usurios o direito de escolher quais aplicativos de

firewall, antispyware ou antivrus eles desejam executar em seus computadores.
Os requisitos predefinidos permitem especificar como aceitvel um aplicativo
especfico ou uma lista de aplicativos suportados. Voc pode criar um requisito
personalizado que inclua os aplicativos aceitveis em sua empresa.
Como voc controlar a restaurao do computador de um usurio para uma

configurao que cumpra os requisitos? Normalmente, voc precisa configurar
um servidor de correo com o software necessrio. Quando voc configurar
o requisito, dever especificar o URL atravs do qual o cliente poder fazer
download e instalar o software necessrio.
Alguns patches exigem que o usurio reinicie o computador. As atualizaes

so concludas em uma ordem especfica para que todas as atualizaes sejam
aplicadas antes que o usurio precise reiniciar. Como parte da Poltica de
integridade do host, voc pode definir a ordem em que os requisitos so
verificados e que a correo tentada.
Voc tambm deve considerar o que ocorre se um requisito falhar e no puder

ser restaurado. Para cada requisito, voc tem a opo de permitir que a
verificao da integridade do host seja aprovada, mesmo que o requisito falhe.
Como parte da Poltica de integridade do host geral, voc tambm pode
configurar mensagens. O cliente exibe essas mensagens ao usurio, caso haja
falha na verificao da integridade do host ou caso ela seja aprovada depois
de uma falha anterior. Convm planejar instrues adicionais para o usurio
nessas mensagens. Alm disso, voc pode configurar uma poltica de quarentena
para ser ativada se houver falha na integridade do host.
Consulte Para criar uma poltica de quarentena para uma verificao de
integridade do host com falha na pgina 897.
Voc pode simplificar o gerenciamento dos aplicativos necessrios, incluindo

aplicativos semelhantes em um requisito personalizado. Por exemplo, voc
pode incluir navegadores da Internet, como o Internet Explorer e o Firefox,
em um nico requisito.
Como parte de um requisito personalizado, voc pode especificar se vai permitir

que a verificao da integridade do host seja aprovada, caso o requisito falhe.
Quando voc planejar o nmero de condies que vai verificar em um nico
script, lembre-se de que essa configurao se aplica ao script dos requisitos

personalizados como um todo. Esse aspecto da configurao pode afetar o fato

de voc querer criar vrios requisitos personalizados pequenos ou apenas um
maior que inclua vrias etapas.
Talvez voc ache til configurar uma planilha eletrnica que represente os
requisitos de aplicao da integridade do host de sua empresa.
A Poltica de integridade do host inclui os seguintes tipos de requisitos:
Os requisitos predefinidos cobrem os tipos mais comuns de verificaes da

integridade do host e permitem que voc escolha dentre os seguintes tipos:
Requisito de antivrus
Requisito de antispyware
Requisito de firewall
Requisito de patch
Requisito de Service Pack
Requisitos personalizados, que voc define usando o Editor de requisitos

personalizado.
Consulte Gravao de um script de requisitos personalizados na pgina 912.
Modelos de requisito da integridade do host, que so atualizados como parte

do Symantec Enterprise Protection LiveUpdate.
Consulte Para adicionar um requisito da integridade do host atravs de um
modelo na pgina 891.
Quando voc adiciona um novo requisito, pode selecionar um desses tipos de

requisitos predefinidos. exibida uma caixa de dilogo com o conjunto de
configuraes predefinidas que voc pode definir. Se as configuraes predefinidas
no atenderem s suas necessidades, voc poder criar um requisito personalizado.
Voc pode mudar a posio dos requisitos. A posio de um requisito determina
a ordem em que executado.
Consulte Alterao da sequncia dos requisitos de integridade do host
na pgina 891.

Uma poltica de integridade do host define os requisitos dos firewalls, antivrus,
antispyware, patches, service packs ou outros aplicativos necessrios nos
887
888

Cada poltica de integridade do host inclui requisitos e configuraes gerais. Os

requisitos especificam os seguintes itens:
Que condies verificar
Quais aes (como downloads e instalaes) o cliente executa em resposta

condio
Quando voc especificar requisitos da integridade do host, poder escolher um

dos tipos a seguir: requisitos predefinidos, personalizados ou modelos. Os requisitos
de modelo esto disponveis por meio do servio LiveUpdate da poltica de
integridade do host. Voc pode copiar e colar, bem como exportar e importar
requisitos entre polticas.
As configuraes gerais permitem configurar quando e com que frequncia o
cliente executa uma verificao da integridade do host, as opes da correo e
as notificaes.
Voc pode criar uma nova Poltica de integridade do host, compartilhada ou no
compartilhada. Depois de criar uma nova poltica, voc poder adicionar um
requisito predefinido, um requisito personalizado ou ambos.
Consulte Sobre requisitos da integridade do host na pgina 885.
Para adicionar um requisito da integridade do host
No console, abra uma Poltica de integridade do host. (opcional) Clique em

Viso geral e edite Nome da poltica e Descrio para a poltica. A integridade
do host vem com uma poltica padro criada automaticamente durante a
instalao do produto.
Na pgina Poltica de integridade do host, clique em Requisitos.

Na pgina Requisitos, selecione uma das seguintes opes para determinar

quando as verificaes da integridade do host devem ser executadas no cliente:
Sempre fazer a verificao da
integridade do host
Essa a opo padro. Uma verificao da

integridade do host sempre ser realizada
neste local com a frequncia que voc
especificar.
Faa somente a verificao da

integridade do host por meio do
Gateway ou DHCP Enforcer
Uma verificao da integridade do host ser

realizada neste local somente quando o
cliente for autenticado atravs de um
Gateway ou um DHCP Enforcer.
Somente fazer a verificao da

integridade do host quando estiver
gerenciamento
Uma verificao da integridade do host ser

realizada neste local somente quando o
cliente estiver conectado a um servidor de
gerenciamento.
Nunca fazer a verificao da

integridade do host
Nunca ser realizada uma verificao da

integridade do host nesse local.
Na seo Exigncias de Integridade do host da caixa de dilogo, clique em

Adicionar.
Na caixa de dilogo Adicionar uma exigncia de Integridade do host, selecione

um dos tipos de requisito e clique em OK.
Defina as configuraes para o requisito.

Na pgina Configuraes avanadas, defina as configuraes para a

verificao, a correo e as notificaes da integridade do host.
Para mais informaes, clique em Ajuda.
Consulte Sobre configuraes para verificaes da integridade do host
na pgina 892.
Quando concluir a configurao da poltica, clique em OK.
10 Atribua a poltica aos grupos ou locais.

A integridade do host para Mac semelhante verso que est disponvel para
Windows. Todas as escolhas so claramente descritas na interface do usurio.
889
890

Para ativar, desativar e excluir polticas de integridade do host
Nota: Quando for feita a migrao de verses do Enforcer anteriores verso

atual, o processo de upgrade no transportar as polticas de integridade do host
para o Mac. Voc dever digit-las novamente.
Para ativar, desativar e excluir polticas de

integridade do host
Ao criar requisitos para uma poltica de integridade do host, voc cria requisitos
para uso futuro. Desative-os at que seja necessrio us-los. Voc pode desativar
um requisito temporariamente, enquanto testa sua poltica de integridade do host.
Para ativar e desativar os requisitos de integridade do host
No console, abra uma poltica de integridade do host.
Na pgina Requisitos, selecione um requisito e execute uma das seguintes

tarefas:
Para ativar um requisito, marque a caixa de seleo Ativar para o requisito

selecionado.
Para desativar um requisito, desmarque a caixa de seleo Ativar para o

requisito selecionado.
Para excluir polticas de integridade do host
Em polticas, clique em Integridade do host.
Selecione a poltica de integridade do host que voc deseja excluir no painel

direito. Quando voc seleciona uma poltica, ela destacada em amarelo.
Em Tarefas no painel esquerdo, clique em Excluir a poltica.
Na caixa de dilogo Excluir poltica, clique em Sim.

Nota: Voc no pode excluir uma poltica que esteja em uso. Para excluir uma
poltica que esteja em uso, primeiro necessrio retirar a poltica dos locais
atribudos.

na pgina 882.

Alterao da sequncia dos requisitos de integridade do host
Alterao da sequncia dos requisitos de integridade

do host
Voc pode mudar a posio dos requisitos. Ao alterar a posio, voc determina
em que ordem eles sero executados. A posio pode ser importante quando voc
faz o download de software que exige uma reinicializao depois da instalao.
Voc define a ordem para garantir que os requisitos que exigem uma reinicializao
para correo sejam executados por ltimo.
Para mudar a sequncia de requisitos de integridade do host
No console, abra uma Poltica de integridade do host.
Na pgina Requisitos, selecione o requisito que voc deseja mover e clique

em Mover para cima ou Mover para baixo.
Para adicionar um requisito da integridade do host

atravs de um modelo
Voc pode adicionar requisitos predefinidos de Integridade do host dos modelos
existentes. Voc pode usar o LiveUpdate para importar contedo de Integridade
do host no servidor de gerenciamento e para adicionar ento os modelos Poltica
Se voc importar um requisito pela segunda vez e j existir um requisito com o
mesmo nome, o requisito importado no sobrescrever o existente. Ao contrrio,
o requisito importado ser exibido com o nmero 2 ao lado do nome, na tabela
Requisitos.
Para adicionar um requisito de integridade do host atravs de um modelo
Na pgina Integridade do host, clique em Requisitos.
Na pgina Requisitos, clique em Adicionar.
Na caixa de dilogo Adicionar requisito, selecione Plataforma do cliente e

Usar modelos existentes e clique em seguida em OK.
891
892

Sobre configuraes para verificaes da integridade do host
Na caixa de dilogo Atualizao online da integridade do host, expanda

Modelos e selecione uma categoria de modelo.
Ao lado de cada modelo que voc quer adicionar, clique em Adicionar.
Clique em Importar.
Clique em OK.
Sobre configuraes para verificaes da integridade

do host
Ao configurar as polticas de integridade do host, voc poder selecionar dentre
vrias configuraes. As configuraes referem-se ao modo de realizar a verificao
da integridade do host e de tratar os resultados.
Se voc alterar uma Poltica de integridade do host, ela ser transferida por
download para o cliente na prxima pulsao. Depois, o cliente executa uma
verificao da integridade do host.
Se o usurio alternar para um local com uma poltica de integridade do host
diferente enquanto uma verificao da integridade do host estiver em andamento,
o cliente interromper a verificao. A interrupo incluir tentativas de correo,
se for exigido pela poltica. O usurio poder receber uma mensagem de tempo
limite se uma conexo com o servidor de correo no estiver disponvel no novo
local. Quando a verificao estiver concluda, os resultados sero descartados pelo
cliente. Imediatamente o cliente executar uma nova verificao da integridade
do host baseada na nova poltica para o local.
Se a poltica for a mesma no novo local, o cliente manter todas as configuraes
de horrio da integridade do host. O cliente executar uma nova verificao da
integridade do host quando for exigido pelas configuraes da poltica.
A Tabela 43-1 exibe as configuraes para verificaes da integridade do host.
Tabela 43-1
Configurao
Configuraes de verificao da integridade do host

Descrio
Verificar integridade do host Especifica a frequncia das verificaes da integridade do

a cada
host.

Como permitir que a verificao de integridade do host seja aprovada se um requisito falhar
Configurao
Descrio
Manter os resultados das

verificaes por
Define a durao da manuteno dos resultados da

Voc pode definir a quantidade de horas que um cliente
retm o resultado de uma verificao anterior da integridade
do host. O cliente manter o resultado mesmo que o usurio
tome uma ao que normalmente resultaria em uma nova
verificao da integridade do host. Por exemplo, o usurio
pode fazer download de um software novo ou mudar um
local.
Continuar a verificao de
Especifica que o cliente continua a verificar os requisitos
requisitos aps a falha de um mesmo que um deles falhe. O cliente de fato interrompe a
deles
verificao da integridade do host at que o requisito falho
seja restaurado.
O cliente verificar os requisitos de integridade do host na
ordem especificada na Poltica de integridade do host.
Se voc ativar essa configurao, a verificao da integridade
do host falhar, mas poder tentar outras aes de correo,
se for necessrio.
Voc pode permitir que a verificao da integridade do host
passe mesmo se um requisito falhar. Essa configurao
encontrada na caixa de dilogo Requisitos para cada tipo
de requisito. A configurao aplicada separadamente para
cada requisito.
Como permitir que a verificao de integridade do

host seja aprovada se um requisito falhar
Alm de ativar ou desativar um requisito em sua Poltica de integridade do host
para determinar se o cliente executa ou no um script de requisitos, voc pode
fazer com que o cliente execute o script de requisitos e registre mas ignore os
resultados. Voc pode deixar a verificao de integridade do host ser aprovada se
o requisito falhar ou no. Um requisito pode ser aprovado mesmo se a condio
de requisitos no for cumprida.
Permitir que a verificao de integridade do host seja aprovada seja ativada
mesmo se o requisito falhar na caixa de dilogo de um requisito especfico. Se
desejar aplicar esta configurao a todos os requisitos, voc dever ativ-la em
cada requisito separadamente. A configurao fica desativada por padro.
893
894

Configurao de notificaes para verificaes da integridade do host
Se voc ativar a configurao para permitir que a verificao de integridade do

host seja aprovada mesmo se o requisito falhar, ser exibida a seguinte mensagem
na janela do cliente quando o evento ocorrer:
Host Integrity failed but reported as pass
Para permitir que a verificao de integridade do host seja aprovada se um requisito

falhar
Na pgina Integridade do host, clique em Requisitos.
Na pgina Requisitos, clique em Adicionar, adicione um requisito predefinido

ou um requisito personalizado e, em seguida, clique em OK.
Na caixa de dilogo do requisito, marque Permitir que a verificao de

integridade do host passe mesmo se este requisito falhar.
Clique em OK.
Configurao de notificaes para verificaes da

integridade do host
Quando o cliente executa uma verificao de integridade do host, voc pode
configurar as notificaes para que sejam exibidas quando ocorrerem as seguintes
condies:
Uma verificao da integridade do host falha.
Uma verificao da integridade do host aprovada depois de falhar

anteriormente.
Os resultados da verificao da integridade do host aparecem no Log de segurana

do cliente. Eles so transferidos para o log de conformidade, na pgina Monitores
do servidor de gerenciamento.
O Log de segurana do cliente contm diversos painis. Se voc selecionar um tipo
de evento da verificao da integridade do host, o painel inferior esquerdo
informar se o requisito individual passou ou falhou. O painel inferior direito
relaciona as condies do requisito. Voc pode configurar o cliente para omitir as
informaes no painel inferior direito. Embora voc possa precisar dessas
informaes para solucionar problemas, talvez no deseje que os usurios vejam
as informaes. Por exemplo, voc pode gravar um requisito personalizado que

especifique um valor do registro ou um nome de arquivo. Os detalhes ainda esto

gravados no Log de segurana.
Voc tambm pode ativar uma notificao que d ao usurio a opo de fazer o
download do software imediatamente ou de adiar a correo.
Consulte Permisso para que os usurios adiem ou cancelem a correo da
integridade do host na pgina 898.
Para configurar notificaes para verificaes da integridade do host
Na pgina Integridade do host, clique em Configuraes avanadas.
Na pgina Configuraes avanadas, em Notificaes, para exibir as

informaes detalhadas do requisito, marque Exibir log detalhado de
O painel inferior direito do Log de segurana do cliente exibe informaes
completas sobre um requisito da integridade do host.
Marque qualquer uma destas opes:
Exibir uma mensagem de notificao quando houver falha na verificao

Exibir uma mensagem de notificao quando uma verificao da

integridade do host for aprovada aps falhas anteriores.
Para adicionar uma mensagem personalizada, clique em Definir texto

adicional, digite at 512 caracteres de texto adicional, e clique em OK.

Se a verificao da Integridade do host do cliente mostrar que os requisitos da
Integridade do host no so cumpridos, o cliente poder tentar restaurar os
arquivos necessrios para cumprir os requisitos. O computador-cliente precisar
ento passar na verificao da Integridade do host. O cliente faz o download,
instala arquivos ou executa os aplicativos necessrios. Ao instalar as Polticas de
integridade do host, especifique o que acontece durante o processo de correo.
Voc pode especificar no somente onde o cliente vai para fazer o download dos
arquivos de correo, mas tambm como o processo de correo implementado.
Voc pode permitir que o usurio cancele o download do software. Voc tambm
pode definir o nmero de vezes que o usurio pode adiar um download e durante
quanto tempo. As configuraes aplicam-se a todos os tipos de requisitos na
895
896

poltica, exceto queles em que voc desativou o cancelamento da correo. Os

usurios podem cancelar apenas os requisitos predefinidos.
Consulte Sobre os aplicativos de correo e arquivos de Integridade do host
na pgina 896.
Sobre os aplicativos de correo e arquivos de Integridade do host

Ao configurar a correo para um requisito, especifique o local de um pacote de
instalao ou arquivos a serem obtidos por download e instalados.
Ao especificar o local do pacote de instalao ou arquivo a ser obtido por download,
use qualquer um seguintes formatos:
UNC
\\servername\sharename\dirname\filename
A restaurao UNC no funciona se Procura em ambiente de rede estiver
desativado no cliente-alvo. Certifique-se de que Procura em ambiente de
rede no foi desativado se usar caminhos UNC para a correo.
FTP
FTP://ftp.ourftp.ourcompany.com/folder/filename
HTTP
HTTP://www.ourwww.ourcompany.com/folder/filename
Os pacotes de instalao ou arquivos so sempre transferidos por download para

o diretrio temporrio. Qualquer caminho relativo refere-se a esse diretrio. O
diretrio temporrio definido na varivel de ambiente TMP, ou na varivel de
ambiente TEMP, se existentes. O diretrio padro est no diretrio do Windows.
Para a execuo do arquivo, o atual diretrio de trabalho sempre definido no
diretrio temporrio do Windows. As variveis de ambiente so substitudas antes
da execuo. O caminho do diretrio do Windows substitui o comando %windir%.
Voc pode usar %F% (o padro) para executar o arquivo especificado no campo
URL de download. A varivel %F% representa o ltimo arquivo obtido por download.
Aps o download, a instalao ou a execuo de um comando para restaurar um
requisito, o cliente sempre testa novamente o requisito. O cliente tambm registra
o resultado como aprovao ou falha.
Configuraes de correo de integridade do host e do Enforcer

Quando voc definir requisitos de integridade do host, poder especificar que, se
eles no forem cumpridos, o cliente dever atualizar o computador-cliente com
o que for solicitado atravs da conexo a um servidor de correo. Se voc aplicar
esses requisitos a clientes que se conectam rede atravs de um Enforcer, voc

Para criar uma poltica de quarentena para uma verificao de integridade do host com falha
deve assegurar que o cliente, apesar de estar bloqueado para acesso regular rede,
possa acessar o servidor de correo. Caso contrrio, o cliente no restaurar a
integridade do host e continuar a descumprir o requisito de integridade do host.
A forma de cumprir essa tarefa depende do tipo de Enforcer. A lista abaixo oferece
alguns exemplos:
Para o Gateway Enforcer, voc pode configur-lo para reconhecer o servidor

de correo como um endereo IP interno e confivel.
Para um LAN Enforcer, se voc estiver usando um alternador com capacidade

de VLAN dinmica, poder configurar a VLAN com acesso ao servidor de
correo.
Para criar uma poltica de quarentena para uma

verificao de integridade do host com falha
A poltica de quarentena uma poltica para o cliente do Symantec Network Access
Control que executa a verificao de integridade do host. Se os requisitos da poltica
de integridade do host no forem atendidos, o cliente tentar uma correo. Se a
correo falhar, o cliente alternar automaticamente para uma poltica de
quarentena. Uma poltica de quarentena pode ser qualquer uma das polticas
existentes, tais como Poltica de proteo contra vrus e spyware ou Poltica de
firewall.
Voc pode configurar e atribuir uma poltica de quarentena a um local.
Para criar uma poltica de quarentena para uma verificao de integridade do host
com falha
Na pgina Clientes, em Clientes, selecione o grupo para o qual deseja criar

uma poltica.
Na guia Polticas, ao lado de Polticas de quarentena quando a integridade

do host falha, clique em Adicionar uma poltica.
Na caixa de dilogo Adicionar poltica de quarentena, escolha um tipo de

poltica e clique em Avanar.
Escolha se deseja adicionar uma poltica existente, criar uma poltica nova
ou importar um arquivo de polticas e clique em Avanar.
Na caixa de dilogo Adicionar poltica, escolha a poltica e clique em OK.
897
898

Especificao do perodo de tempo que o cliente espera pela correo
Na caixa de dilogo Tipo de poltica, configure a poltica e clique em OK.
Na caixa de dilogo Importar poltica, encontre o arquivo .dat e clique

em Importar.

Especificao do perodo de tempo que o cliente

espera pela correo
Voc pode especificar o perodo de tempo que o cliente aguardar antes de tentar
instalar e iniciar o download da correo novamente. Independentemente do
tempo especificado, sempre que uma nova verificao de integridade do host for
iniciada, o cliente tentar corrigir novamente o computador-cliente.
Para especificar o perodo de tempo que o cliente espera pela correo

e clique em OK.
Na caixa de dilogo dos requisitos predefinidos, marque Instalar nome do

requisitose este no tiver sido instalado no cliente.
Marque Fazer o download do pacote de instalao.

Para o requisito de antivrus, marque Fazer o download do pacote de
instalao.
Marque Especifique o tempo de espera para tentar o download novamente

em caso de falhas.
Especifique o perodo de tempo de espera em minutos, horas ou dias.
Permisso para que os usurios adiem ou cancelem

a correo da integridade do host
Se um requisito especificar uma ao de correo, voc poder permitir que o
usurio cancele a correo. Ou poder permitir que o usurio adie a correo para
uma hora mais conveniente. Os exemplos de aes de correo incluem a instalao

Permisso para que os usurios adiem ou cancelem a correo da integridade do host
de um aplicativo ou uma atualizao de arquivo de assinatura. Voc pode definir

um limite do nmero de vezes em que a correo poder ser cancelada e por quanto
tempo o usurio poder adi-la. Os limites definidos por voc determinaro as
selees disponveis ao usurio na janela de mensagem exibida pelo cliente quando
a correo for necessria. Voc tambm pode adicionar texto janela de mensagem.
As configuraes de mnimo e mximo de vezes determinam o intervalo de escolhas
disponveis na janela de mensagem. A janela de mensagem exibida ao usurio
quando um requisito falhar. O intervalo ser exibido na forma de lista ao lado do
cone Lembre-me depois, na mensagem.
Se o usurio selecionar para o adiamento um perodo menor que a frequncia da
verificao da integridade do host, a seleo do usurio sobreposta. A janela de
mensagem no aparece novamente at que o cliente execute outra verificao da
integridade do host. Se o usurio tiver optado por ser lembrado em 5 minutos,
mas a verificao da integridade do host for executada a cada 30 minutos, a janela
de mensagem de correo apenas ser exibida depois de transcorridos 30 minutos.
Para evitar confuso para o usurio, voc poder sincronizar a configurao de
tempo mnimo com a configurao de frequncia de verificao da integridade do
host.
Se o usurio adiar a correo, o cliente registra o evento. A integridade do host
exibe falha, j que o requisito no foi cumprido. O usurio pode executar
manualmente uma nova verificao da integridade do host a qualquer momento,
atravs da interface de usurio do cliente.
Se o usurio tiver adiado uma ao de correo e, nesse nterim, o cliente receber
uma poltica atualizada, o perodo de tempo disponvel para correo restaurado
para o mximo especificado.
Para permitir aos usurios adiar a correo da integridade do host
Na pgina Poltica de integridade do host, clique em Configuraes

avanadas.
Na pgina Configuraes avanadas, em Opes da caixa de dilogo de

correo, defina um limite de tempo mnimo e mximo que um usurio poder
adiar a correo.
Digite o nmero mximo de vezes que o usurio pode cancelar a correo.
Para adicionar uma mensagem personalizada no computador-cliente, clique

em Definir texto adicional.
A mensagem digitada ser exibida na janela de correo do cliente se o usurio
clicar na opo Detalhes. Se voc no especificar um texto adicional, o texto
padro da janela ser repetido na rea Detalhes se o usurio clicar na mesma.
899
900

Permisso para que os usurios adiem ou cancelem a correo da integridade do host
Na caixa de dilogo Inserir texto adicional, digite uma mensagem

personalizada de at 512 caracteres e clique em OK.
Para permitir que os usurios cancelem a correo da integridade do host

e clique em OK.
Na caixa de dilogo dos requisitos predefinidos, marque Instalar nome do

requisito se este no tiver sido instalado no cliente.
Marque Fazer o download do pacote de instalao.

Para o requisito de antivrus, marque Fazer o download do pacote de
instalao.
Marque Permitir que o usurio cancele o download para a correo de

Captulo
44
Para adicionar requisitos

personalizados poltica de
integridade do host
Sobre os requisitos personalizados
Sobre condies
Sobre funes
Sobre a lgica de requisito personalizado
Gravao de um script de requisitos personalizados
Exibio de uma caixa de dilogo de mensagens
Download de um arquivo
Definio de um valor do registro
Incremento de um valor DWORD do registro
Execuo de um programa
Execuo de um script
Definio do carimbo de hora de um arquivo
Especificao de um tempo de espera para o script de requisitos personalizado
902
Para adicionar requisitos personalizados poltica de integridade do host


Os requisitos personalizados verificam um computador-cliente para quaisquer
critrios selecionados ou definidos pelo administrador. Voc pode gravar requisitos
personalizados para corrigir quaisquer problemas de conformidade identificados.
Voc pode criar um script de requisitos complexo ou simples usando selees e
campos predefinidos.
Os campos e as listas disponveis nas caixas de dilogo de requisitos predefinidos
ficam disponveis quando voc cria requisitos personalizados. Entretanto, os
requisitos personalizados oferecem mais flexibilidade. Nos requisitos
personalizados, voc pode adicionar os aplicativos que no esto includos nas
listas de aplicativos predefinidas. Tambm possvel criar subconjuntos de listas
predefinidas adicionando cada aplicativo individualmente.
Consulte Sobre condies na pgina 902.
Consulte Sobre funes na pgina 909.
Consulte Sobre a lgica de requisito personalizado na pgina 910.
Sobre condies
As condies so as verificaes que podem ser desempenhadas dentro de um
script de requisito personalizado para detectar problemas de conformidade.
Voc pode escolher entre as seguintes categorias de condies:
Verificaes de proteo antivrus

Consulte Sobre condies do antivrus na pgina 903.
Verificaes de proteo contra spyware

Consulte Sobre as condies do antispyware na pgina 903.
Verificaes de firewall
Consulte Sobre as condies do firewall na pgina 904.
Verificaes e operao de arquivo

Consulte Sobre as condies do arquivo na pgina 905.
Verificaes e operao de registro

Consulte Sobre as condies do registro na pgina 907.
Utilitrios
Voc pode especificar as condies como presentes ou ausentes (NO). Voc pode
incluir vrias instrues de condio usando as palavras-chave AND ou OR.

Sobre condies
Sobre condies do antivrus

Em um requisito personalizado, voc pode especificar aplicativos de proteo
antivrus e informaes do arquivo de assinatura para verificao como parte da
instruo da condio IF-THEN.
Voc pode verificar as seguintes condies:
A proteo antivrus est instalada
A proteo antivrus est em execuo
O arquivo de assinatura da proteo antivrus est atualizado
A proteo antivrus no relatou uma infeco. Isto se aplica somente a

computadores Windows, e somente se o Symantec Endpoint Protection for o
programa antivrus. Se voc selecionar esta circunstncia, apenas o Symantec
Endpoint Protection poder ser especificado como o programa antivrus.
Ao verificar aplicativos e arquivos de assinatura como parte de um requisito

personalizado, especifique as mesmas informaes que ao criar um requisito
predefinido. Os nomes das opes podem variar um pouco.
Se voc selecionar Qualquer produto antivrus, todos os aplicativos na lista
suspensa cumpriro o requisito. Voc pode incluir um subconjunto de aplicativos,
selecionando-os com a palavra-chave OU.
Ao especificar as informaes do arquivo de assinatura, selecione uma ou ambas
as opes para verificar se o arquivo de assinatura est atualizado. Se voc
selecionar ambas, as seguintes condies devem ser cumpridas para atender ao
requisito:
Selecione Verificar se o arquivo de assinatura menor e digite um nmero

de dias.
Um arquivo com data anterior ao nmero de dias que voc especificou est
desatualizado.
Selecione Verificar se a data do arquivo de assinatura e selecione antes,

depois, igual a ou diferente de e especifique uma data no formato
"mm/dd/yyyy". Opcionalmente, especifique hora e minuto; o padro 00:00.
A ltima data de modificao do arquivo determina o prazo do arquivo de
assinatura.
Sobre as condies do antispyware

Em um requisito personalizado de integridade do host, voc pode especificar
aplicativos antispyware e informaes do arquivo de assinatura para verificao
como parte da instruo da condio IF THEN.
903
904

Sobre condies
Um aplicativo antispyware foi instalado
O antispyware est em execuo
O arquivo de assinatura do antispyware foi atualizado
Ao verificar aplicativos e arquivos de assinatura como parte de um requisito

personalizado, especifique as mesmas informaes que ao criar um requisito
predefinido. Os nomes das opes podem variar um pouco.
Se voc selecionar Qualquer produto antispyware, todos os aplicativos na lista
suspensa cumpriro o requisito.
Ao especificar as informaes do arquivo de assinatura, selecione uma ou ambas
as opes para verificar se o arquivo de assinatura est atualizado. Se voc
selecionar ambas as opes, as seguintes condies devero ser satisfeitas para
cumprir o requisito:
Selecione Verificar arquivo de assinatura para especificar a idade do arquivo.

Digite o nmero de dias que a idade mxima do arquivo.
Um arquivo com data anterior ao nmero de dias que voc especificou est
desatualizado.
Selecione Verificar se a data do arquivo de assinatura inferior a e selecione

antes, depois, igual a ou diferente de e especifique uma data no formato
"mm/dd/yyyy". Opcionalmente, especifique hora e minuto; o padro 00:00.
A ltima data de modificao do arquivo determina o prazo do arquivo de
assinatura.
Sobre as condies do firewall

aplicativos de firewall para verificao como parte da instruo da condio
IF-THEN.
O firewall est instalado
O firewall est em execuo
Se voc deseja selecionar qualquer aplicativo na lista suspensa, selecione Qualquer

produto de Firewall. Voc pode incluir um subconjunto de aplicativos,
selecionando-os com a palavra-chave OU.

Sobre condies
Sobre as condies do arquivo

Em um requisito personalizado da integridade do host, voc pode verificar um
aplicativo ou arquivo como parte da instruo da condio IF-THEN.
Voc pode especificar as seguintes opes para verificar as informaes de arquivo
em um requisito personalizado da integridade do host:
Arquivo: Comparar o tempo Especifique um nmero de dias ou semanas e selecione
de existncia do arquivo com maior ou menor que.
Arquivo: Comparar a data do Especifique a data no formato mm/dd/aaaa. Opcionalmente,
arquivo com
especifique uma hora e minuto. A hora padro 00:00.
Selecione igual a, diferente de, antes ou depois.
Arquivo: Comparar o
tamanho do arquivo com
Especifique o nmero de bytes. Selecione igual a, diferente

de, menor ou maior que.
Arquivo: Comparar a verso Especifique a verso do arquivo no formato x.x.x.x, onde x

do arquivo com
representa um nmero decimal de 0 a 65535. Selecione igual
a, diferente de, menor ou maior que.
Arquivo: O arquivo existe
Especifique o nome do arquivo a ser verificado.
Arquivo: A impresso digital Geralmente, essas informaes so obtidas selecionando

do arquivo igual a
um aplicativo, usando Procurar aplicativos. Voc deve
especificar a impresso digital do arquivo.
Nota: Voc pode pesquisar a impresso digital do arquivo

em uma lista de computadores-cliente.
Especifique um nmero
Ao selecionar uma opo, os campos adicionais so exibidos
hexadecimal (at 32 dgitos) na caixa de dilogo. Para cada opo, especifique o caminho
e o nome do arquivo e insira as informaes adicionais
necessrias.
Arquivo: Download do
arquivo concludo
possvel fazer o download de um arquivo de um local para

um diretrio especificados por voc, fazendo o download
por FTP, UNC ou HTTP. Se for necessria a autenticao
para acessar o local do arquivo, especifique a senha e o nome
de usurio.
Nota: Se voc quer que os usurios faam download do

arquivo de um compartilhamento de arquivo por FTP ou
UNC, ser necessrio configurar a pasta de
compartilhamento ou o servidor FTP para permitir o acesso
annimo.
905
906

Sobre condies
Use variveis do sistema, valores do registro ou uma combinao deles para

especificar o caminho e o nome do arquivo. Ao selecionar uma das opes do
arquivo, a caixa de dilogo mostra exemplos de formas de inserir o caminho e o
nome do arquivo.
Voc pode localizar os aplicativos que foram gravados usando o recurso Procurar
aplicativos. Ao especificar as opes de arquivo no script de requisitos
personalizados, a opo Procurar aplicativos fornece acesso mesma ferramenta
de pesquisa que a ferramenta Procurar aplicativos. Voc pode navegar nos grupos
definidos no servidor de gerenciamento para filtrar os aplicativos, digitar uma
consulta de pesquisa e exportar os resultados para um arquivo.
Para pesquisar usando as variveis de ambiente do sistema ou os valores do
registro:
Para usar a varivel de
ambiente do sistema
Para especificar o arquivo denominado cmd.exe localizado no

diretrio especificado na varivel de ambiente WINDIR, digite
o seguinte comando:
%WINDIR%\cmd.exe
Para usar o valor do

registro
Para ler o valor HKEY_LOCAL_MACHINE\Software\

Symantec\\AppPath como o caminho do arquivo sem.exe,
digite o comando:
#HKEY_LOCAL_MACHINE\Software\Symantec\AppPath#\sem.exe
Para usar a varivel

combinada do registro e
do ambiente do sistema
Utilize o seguinte exemplo para usar a varivel combinada do

valor do registro e do ambiente do sistema:
%SYSTEMDIR%\#HKEY_LOCAL_MACHINE\Software\Symantec\\AppPath#.
Sobre as condies do sistema operacional

informaes do sistema operacional para verificao como parte da instruo da
condio IF-THEN. Ao selecionar uma opo, os campos adicionais so exibidos
na caixa de dilogo.
Utilitrio: O sistema operacional
Especifique um sistema operacional. Ao atualizar

um patch, ser necessrio selecionar as verses
exatas que exigem aquele patch. Voc pode usar
a palavra-chave OR para especificar mais de um
sistema operacional.

Sobre condies
Utilitrio: O idioma do sistema

operacional
A funo detecta a verso do idioma do sistema

operacional do cliente. Se a verso do idioma no
est relacionada na caixa de dilogo Requisito
personalizado, voc poder adicionar idiomas
digitando os identificadores no campo
Identificadores de idioma. Para adicionar vrios
identificadores, use uma vrgula para separar cada
ID, como 0405,0813. Consulte a tabela
Identificadores de idiomas para obter a Ajuda
contextual da lista de identificadores.
Patch: Compare o service pack atual

com uma verso especificada
Digite o nmero do service pack que voc deseja

procurar, como 2. O nmero para limitado a dois
caracteres. Voc pode verificar as seguintes
condies: igual a, diferente de, menor do que ou
maior do que.
Um nmero seguido por uma letra considerado
maior que um nmero sozinho. Por exemplo, o
service pack nmero 6a considerado maior que
6. Certifique-se de aplicar um patch de cada vez.
Patch: O patch est instalado
Digite o nome do patch que deseja verificar. Por

exemplo: KB12345. possvel digitar somente
nmeros e letras nesse campo.
Certifique-se de corresponder o nome do patch e o nmero do service pack com

a verso correta do sistema operacional. Se voc especificar um sistema operacional
que no corresponder ao patch ou service pack, o requisito falhar.
Sobre as condies do registro

Em um requisito personalizado da integridade do host, especifique as configuraes
do registro do Windows que devem ser verificadas como parte da instruo da
condio IF-THEN. Tambm possvel especificar formas de alterar os valores
do registro. Apenas HKEY_CLASSES_ROOT, HKEY_CURRENT_USER,
HKEY_LOCAL_MACHINE, HKEY_USERS, e HKEY_CURRENT_CONFIG so
configuraes de registro suportadas
As seguintes selees esto disponveis para verificar configuraes do registro:
Registro: A chave de registro existe
Especifique o nome da chave de registro para

verificar sua existncia.
907
908

Sobre condies
Registro: O valor do registro igual a
Especifique o nome da chave de registro e o nome

do valor e especifique com que dados comparar o
valor.
Registro: O valor de registro existe
Especifique o nome da chave de registro para

verificar se j tiver o nome do valor especificado.
Registro: xito na definio do valor de Especifique um valor para designar chave

registro
especificada. Se a chave no existir, ele criar a
chave. Esta seleo substitui um valor existente,
independentemente se ou no do mesmo tipo.
Se o valor existente um valor DWORD, mas voc
especifica um valor de string, o DWORD ser
substitudo com o valor de string.
Registro: xito no aumento do valor
DWORD do registro
Especifique um valor DWORD. Esta seleo

permite executar contagens, como permitir que
um computador sem patches atenda aos requisitos
no mais que n vezes.
Quando voc especificar chaves de registro, lembre-se das seguintes consideraes:
O nome da chave est limitado a 255 caracteres.
Se a chave de registro tiver uma barra invertida (\) no final, ela ser
interpretada como uma chave de registro. Por exemplo:
HKEY_LOCAL_MACHINE\SOFTWARE\
Se a chave de registro no tiver uma barra invertida no final, ento ela ser
interpretada como um nome de registro. Por exemplo:
HKEY_LOCAL_MACHINE\SOFTWARE\ActiveTouch
Quando voc especificar os valores do registro, lembre-se das seguintes

consideraes:
O nome do valor est limitado a 255 caracteres.
Verifique valores como DWORD (decimal), binrio (hexadecimal) ou string.
Para valores DWORD, verifique se o valor menor, igual, diferente ou maior

que o valor especificado.
Para valores de string, verifique se os dados de valor so iguais a ou contm

uma determinada string. Se voc desejar que a comparao de strings diferencie
maisculas de minsculas, marque a caixa de seleo Diferenciar maisculas
de minsculas.
Para valores binrios, verifique se os dados de valor so iguais a ou contm

uma determinada parte de dados binrios. Os Bytes hexadecimais representam
os dados. Se voc especificar o valor contido, tambm poder especificar o

Sobre funes
deslocamento para esses dados. Se o deslocamento for deixado em branco, ele

buscar o valor para os dados binrios. Os valores permitidos para a caixa de
edio so de 0 at 9 e de a at f.
Os seguintes exemplos so valores do registro:
DWORD
12345 (decimal)
Binrio
31 AF BF 69 74 A3 69 (hexadecimal)
String
ef4adf4a9d933b747361157b8ce7a22f
Sobre funes
Voc usa funes para definir as aes que so executadas quando uma expresso
condicional avaliada como verdadeira ou falsa.
Uma condio de requisito personalizado pode verificar a instalao de produtos
antivrus especficos, mas no pode ser configurada para instalar o produto como
ao de correo. Quando voc grava requisitos personalizados, necessrio
explicitamente definir as aes de correo serem executadas usando instrues
da funo.
As funes aparecem dentro das instrues THEN e ELSE ou podem aparecer ao
final na parte superior de um script de requisito personalizado. Para conseguir
um resultado desejado de correo, talvez seja necessrio especificar um grande
nmero de funes. Cada funo executa tarefas muito especficas, como fazer o
download de um arquivo ou executar um arquivo. Voc no define funes
individuais para fornecer aes de correo especficas, como instalar produtos
antivrus especficos. Para fazer o download de produtos antivrus especficos,
necessrio usar a funo geral de download.
A Tabela 44-1 exibe as seguintes funes em um script de requisito personalizado:
Tabela 44-1
Funes do requisito personalizado
Funo
Descrio
download de um arquivo
Fazer o download de um arquivo que seja denominado por

um URL ou por uma UNC ao computador-cliente. Se um
URL for usado, HTTP e FTP sero suportados.
909
910

Funo
Descrio
Definir o valor do registro
Cria e define ou incrementa um valor do registro do

Windows dentro de uma chave do registro especificada.
Aumentar o valor DWORD do

registro
mensagem de log
Especifica uma mensagem personalizada a ser adicionada

ao Log de segurana do cliente e ao registro.
execuo de um programa
Executa um programa que j reside no computador-cliente.

Voc pode especificar que o programa seja executado
independentemente de o usurio fazer logon.
execuo de um script
Executa um script personalizado no computador-cliente.

Voc pode usar o editor de texto integrado para criar
contedo do script. O script pode ser um arquivo de lote,
um arquivo INI ou qualquer formato executvel reconhecido
pelo Windows. Alm disso, o script pode conter parmetros
apenas para serem fornecidos a um outro programa.
definio do carimbo de hora Carimba um arquivo especificado no computador-cliente

com a hora e a data atuais.
exibio da caixa de dilogo
de mensagens
Exibe uma janela da caixa de dilogo da mensagem no

computador-cliente com uma opo OK. O tempo limite
padro pode ser especificado.
como aguardar
Pausa a execuo do script do requisito personalizado por

um perodo especificado.

Voc grava os requisitos personalizados usando a lgica tpica de scripts. As regras
usam a lgica IF..THEN..ELSE de uma lista de condies e aes predefinidas.
Consulte Sobre a instruo RETURN na pgina 911.
Consulte Sobre as instrues IF, THEN e ENDIF na pgina 911.
Consulte Sobre a instruo ELSE na pgina 911.
Consulte Sobre a palavra-chave NOT na pgina 912.
Consulte Sobre as palavras-chave AND e OR na pgina 912.

Sobre a instruo RETURN

Voc pode adicionar uma instruo RETURN para especificar o resultado geral
da integridade do host do requisito. A instruo RETURN inclui a palavra-chave
PASS e a palavra-chave FAIL. Todos os requisitos personalizados devem incluir
uma instruo RETURN ao final.
Diferentemente de um requisito predefinido, um requisito personalizado deve
especificar explicitamente o resultado da verificao de integridade do host. Em
alguns casos, a avaliao de um conjunto de condies como sendo verdadeira
deve ser interpretada como o requisito personalizado aprovando a avaliao da
integridade do host. Em outros casos, convm a mesma avaliao ser interpretada
como falha pela avaliao da integridade do host.
Sobre as instrues IF, THEN e ENDIF

Voc pode definir a estrutura lgica primria de um requisito personalizado por
uma ou mais instrues IF, THEN e ENDIF. Uma instruo IF, THEN e ENDIF:
Define uma estrutura em que as condies especficas so verificadas (IF).
As aes que so tomadas quando aquelas condies forem avaliadas como

sendo verdadeiras (THEN).
Voc pode aninhar instrues IF, THEN e ENDIF para formar requisitos
personalizados mais complexos. Voc deve aninhar as instrues IF, THEN e
ENDIF sempre que uma condio for verdadeira antes que uma outra condio
possa ser avaliada.
Consulte Adio de uma instruo IF THEN na pgina 914.
Sobre a instruo ELSE

Uma instruo IF, THEN e ENDIF um conjunto de condies e de aes que so
executadas quando as condies so avaliadas como sendo verdadeiras. Em muitos
casos, talvez seja necessrio especificar uma ou mais aes a serem tomadas para
executar a ao de correo desejada. Voc pode adicionar uma instruo ELSE
para identificar as aes a serem tomadas sempre que as condies especificadas
forem avaliadas como sendo falsas.
Consulte Adio de uma instruo ELSE na pgina 915.
911
912

Sobre a palavra-chave NOT

Voc pode usar a palavra-chave NOT para rever uma avaliao lgica de uma
condio em particular. Depois que uma condio foi adicionada ao script de
requisito personalizado, clique com o boto direito do mouse na condio e
selecione Toggle NOT (NO alternar) para no reverter a lgica da condio. O
uso da palavra-chave NOT no altera a avaliao geral de verdadeiro e falso da
instruo IF. Ela reverte somente o estado verdadeiro e falso de uma condio em
particular.
Sobre as palavras-chave AND e OR

Voc pode especificar vrias condies dentro de uma instruo IF, THEN ou
ENDIF; porm, as palavras-chave adicionais devem ser adicionadas para a
instruo. Dentro de qualquer instruo IF, voc pode adicionar as palavras-chave
AND e OR logicamente associadas s vrias condies. A associao lgica das
condies afeta diretamente a avaliao geral de verdadeiro ou falso da instruo
IF. Se voc usar a palavra-chave AND em uma instruo IF, todas as condies na
instruo IF devem ser avaliadas como verdadeiras para que a instruo IF seja
verdadeira. Se voc usar a palavra-chave OR, somente uma das condies na
instruo IF deve ser avaliada para que a instruo IF seja verdadeira.
Quando voc especifica um grande nmero de condies, necessrio interpretar
a associao lgica das condies para antecipar se a avaliao certa deve ser
verdadeira ou falsa. O script personalizado do requisito no exibe a expresso
com um formato de parntese, mas com as palavras-chave e ns aninhados. A
primeira expresso inicia sempre com a primeira condio especificada e continua
enquanto a mesmo palavra-chave do operador lgico usado. Por exemplo, voc
pode usar a palavra-chave OR para associar trs condies diferentes. Enquanto
voc usa a palavra-chave OR, todas as condies esto contidas dentro da mesma
expresso lgica.

Para criar um requisito personalizado, adicione uma ou mais instrues IF..THEN..
ao script. Quando voc executa o script, a verificao da integridade do host
procura a condio listada em n IF. Dependendo da condio, a ao relacionada
em n THEN executada. O resultado (aprovao ou falha) retornado.
O script exibe uma estrutura de rvore no painel esquerdo e uma lista suspensa
de condies ou funes no painel direito.

Como parte de um requisito personalizado, voc pode especificar se vai permitir

que a verificao da integridade do host seja aprovada, caso o requisito falhe.
Quando voc planejar quantas condies diferentes verificar em um script,
lembre-se que esta configurao se aplica a todo o script de requisitos
personalizados. Talvez isso afete a escolha de criar diversos pequenos requisitos
personalizados ou um requisito personalizado maior que contenha vrias etapas.
Para gravar um script de requisito personalizado
Adicione um requisito personalizado.

Na caixa de dilogo Requisito personalizado, digite um nome para o requisito.

O nome do requisito pode ser exibido no computador-cliente. O nome notifica
o usurio se o requisito foi aprovado, falhou ou solicita o usurio a fazer
download do software.
Para adicionar uma condio, em Script de requisitos personalizados, clique

em Adicionar e em IF..THEN...
Com a condio vazia em realce em n IF, no painel direito, selecione uma

condio.
A verificao da integridade do host procura a condio no
computador-cliente.
Na lista suspensa Selecione uma condio, especifique as informaes

adicionais necessrias.
Em Script de requisitos personalizados, clique em THEN e em Adicionar.

A instruo THEN fornece a ao que deve ser tomada se a condio for
verdadeira.
Clique em qualquer uma destas opes:
IF.. THEN
Use uma instruo IF.. THEN.. aninhada para fornecer condies e aes
adicionais.
Consulte Adio de uma instruo IF THEN na pgina 914.
Funo
Use uma funo para definir a ao de correo.
Consulte Sobre funes na pgina 909.
Return
Use uma instruo return para especificar se os resultados da avaliao
da condio foram aprovados ou falharam. Os requisitos personalizados
devem terminar com uma instruo de aprovao ou falha.
913
914

Comentrio
Use um comentrio para explicar a funcionalidade das condies, funes
ou indicaes que voc est adicionando.
Consulte Adio de um comentrio na pgina 915.
No painel direito, defina os critrios que voc adicionou.

Para adicionar mais instrues, condies ou funes aninhadas, em Script

de requisitos personalizados, clique com o boto direito do mouse no n e,
em seguida, clique em Adicionar.
10 Repita as etapas de 7 a 9 conforme necessrio.

11 Para permitir que a verificao da integridade do host seja aprovada
independentemente do resultado, marque Permitir que a verificao de
integridade do host passe mesmo se este requisito falhar.
12 Quando concluir a configurao do requisito, clique em OK.
Adio de uma instruo IF THEN

Adicione uma instruo IF THEN a um script personalizado para definir condies
de verificao e aes para tomar se a condio for avaliada como verdadeira.
Para adicionar uma instruo IF THEN
Gravao de um script de requisito personalizado.

Em Script de requisitos personalizados, selecione um dos seguintes itens:
Para adicionar a primeira instruo IF THEN, selecione o n superior.
Para adicionar uma instruo IF THEN no mesmo nvel de uma existente,

selecione END IF.
Para adicionar uma instruo IF THEN aninhada, selecione a linha abaixo

daquela em que deseja adicionar.
Clique em IF..THEN.
Alternncia entre as instrues IF e IF NOT

Talvez voc precise alternar entre verificar a presena ou a ausncia de uma
condio.

Para alternar entre a instruo IF e a instruo IF NOT

Clique com o boto direito do mouse na condio e clique em Toggle NOT.
Adio de uma instruo ELSE

Voc pode adicionar uma instruo ELSE para identificar as aes a serem tomadas
sempre que as condies especificadas forem avaliadas como falsas.
Para adicionar uma instruo ELSE

Em Script de requisitos personalizados, clique em EM SEGUIDA.
Clique em Adicionar e em ELSE.
Adio de um comentrio
Para fins informativos, possvel escolher adicionar um comentrio a uma
instruo.
Para adicionar um comentrio
Grave um script de requisito personalizado.

Em Script de requisitos personalizados, selecione qualquer instruo que

voc j adicionou e clique em Adicionar.
Clique em Comentrio.
Clique em //Inserir instrues aqui e no painel direito, no campo de texto

Comentrio, insira seus comentrios.
Como copiar e colar instrues IF, condies, funes e comentrios

possvel copiar e colar instrues ou ns IF THEN inteiros em ou entre requisitos
personalizados. Convm copiar e colar estes elementos se desejar mov-los para
uma outra parte do script ou para repetir a funcionalidade.
915
916

Para copiar e colar uma instruo IF

Em Script de requisitos personalizados, clique com o boto direito do mouse

no elemento do script e clique em Copiar.
Clique com o boto direito do mouse em uma linha de instruo vazia e clique
em Colar
Excluso de uma instruo, condio ou funo

Voc pode excluir instrues, condies ou funes a qualquer momento. Se houver
somente uma instruo de condio em um n IF, sua excluso eliminar a
instruo IF THEN inteira.
Para excluir uma instruo, condio ou funo

Em Script de requisitos personalizados, selecione o elemento do requisito

que voc deseja excluir.
Clique em Excluir.
Quando voc for solicitado para confirmar a excluso, clique em Sim.

Voc pode especificar uma funo ou uma condio no requisito personalizado
de integridade do host que cria uma mensagem que o cliente exibe ao usurio. A
funo ou condio retorna verdadeira se o usurio clicar em OK ou Sim. Caso
contrrio, ela retorna falsa.
Para exibir uma caixa de dilogo de mensagens
Grave um script de requisitos personalizados.


personalizados, selecione o n onde voc deseja adicionar a funo.
Clique em Adicionar e em Funo.

Clique em Utilitrio: Exibir caixa de dilogo de mensagens.

Para inserir uma condio, selecione IF...Then e a ramificao apropriada.
Em seguida, selecione Utilitrio: A caixa de dilogo de mensagem retorna
um valor igual a .
Digite uma legenda de at 64 caracteres para a caixa de mensagens.
Digite um texto de at 480 caracteres para a caixa de mensagens.
Selecione um dos seguintes cones a serem exibidos: Informaes, Pergunta,

Aviso ou Erro.
O cone e o texto aparecem.
Selecione o conjunto de opes que aparecem na caixa de dilogo:
OK
OK e Cancelar
Sim e No
Selecione a opo padro para cada conjunto de opes.
10 Para fechar a caixa de mensagens e retornar a um valor padro aps um

determinado tempo sem interao do usurio, marque Ao a ser tomada
para eliminar a caixa de mensagem aps o tempo de espera mximo e
especifique o tempo de espera.
O valor de tempo deve ser maior que 0.
Para um requisito personalizado, voc pode especificar que um arquivo seja obtido
por download no computador-cliente.
Para fazer o download de um arquivo


Clique em Arquivo: Fazer o download de um arquivo.
917
918

Digite o local do URL de onde feito o download do arquivo e a pasta no

computador-cliente na qual o arquivo ser salvo.
Voc pode especificar o local pelo URL ou UNC. Se voc usar URL, HTTP e
FTP so aceitos.
Se voc escolher HTTP, selecione Autenticao exigida somente para HTTP.
Digite o nome de usurio e a senha para a autenticao.
Marque Exibir a caixa de dilogo de processo de download para que os

usurios possam observar o download do arquivo enquanto o mesmo salvo
Se voc quiser que o usurio possa cancelar o download do arquivo, marque

Permitir ao usurio cancelar a Integridade do host para este requisito.
Os usurios podero perder o trabalho se o download do arquivo for efetuado
no momento errado.

Para um requisito personalizado, possvel definir um valor do registro do
Windows como um valor especfico. A funo de definio do valor do registro
criar um valor caso j no exista um definido.
Para definir um valor do registro


Clique em Registro: Definir o valor de registro. O valor do registro contm

o nome e o tipo do valor que sero verificados.
Digite a chave do registro no campo Chave do registro.
Digite um nome do valor a ser verificado no campo Nome do valor.
Em Especificar tipo e dados, escolha um do seguintes valores e tipos de

contedo:
Valor DWORD
Valor de string
Valor binrio


Para um requisito personalizado, possvel incrementar o valor DWORD do
registro do Windows. A funo do valor de incremento do registro DWORD cria
a chave, caso ela j no exista.
Para incrementar o valor DWORD do registro



Clique em Registro: Incrementar o valor DWORD do registro.
Digite a chave do registro a ser verificada no campo Chave do registro.
Digite um nome do valor a ser verificado no campo Nome do valor.
Execuo de um programa
Para um requisito personalizado de integridade do host, especifique uma funo
para que o cliente inicie um programa.
Para executar um programa


Clique em Utilitrio: Executar um programa.
No campo de texto do comando, digite o comando para executar o script.

As variveis de ambiente so substitudas antes da execuo. Por exemplo,
%windir% substitui o caminho de diretrio do Windows.
Em Executar o programa, selecione uma das seguintes opes:
no contexto do sistema
no contexto de usurio conectado
919
920

Execuo de um script
O comando Executar deve incluir o caminho completo do arquivo,

mostrando quem o usurio que efetuou login. Se nenhum usurio estiver
conectado, o resultado apresentar falha.
Para especificar o perodo de tempo para permitir que o comando executar

seja concludo, selecione uma das seguintes opes:
No aguardar
A ao retorna verdadeira se a execuo for bem-sucedida, mas no espera
at que a execuo seja concluda.
Aguardar at que a execuo esteja completa
Inserir tempo mximo

Inserir tempo em segundos. Se o comando Executar no for concludo no
tempo especificado, a execuo do arquivo ser interrompida.
Desmarque opcionalmente Exibir nova janela de processo, caso voc no

queira ver uma janela que mostre o requisito executando o programa.
Execuo de um script
No requisito personalizado da Integridade do host, especifique uma funo para
que o cliente execute um script. Voc pode usar uma linguagem de script, tal como
JScript ou VBScript, que possa ser executada com o host de scripts do Microsoft
Windows.
Para executar um script


Clique em Utilitrio: Executar um script.
Digite um nome de arquivo para o script, como myscript.js.
Digite o contedo do script.
No campo de texto Executar o comando, digite o comando para executar o

script.
Use %F para especificar o nome do arquivo de script. O script executado no
contexto do sistema.

Para especificar o perodo de tempo para permitir que o comando executar

seja concludo, selecione uma das seguintes opes:
No aguardar
A ao retorna verdadeira se a execuo for bem-sucedida, mas no espera
at que a execuo seja concluda.
Aguardar at que a execuo esteja completa
Inserir tempo mximo

Inserir tempo em segundos. Se o comando Executar no for concludo no
tempo especificado, a execuo do arquivo ser interrompida.
Desmarque opcionalmente Excluir o arquivo temporrio aps a concluso

ou trmino da sua execuo, caso ele no seja mais necessrio.
Esta opo desativada e no estar disponvel se a opo No aguardar
estiver selecionada.
10 Desmarque opcionalmente Exibir nova janela de processo, caso voc no

queira ver uma janela que mostre o requisito executando o script.

No requisito personalizado de integridade do host, voc pode especificar a funo
Definir carimbo de hora para criar uma configurao de registro do Windows para
armazenar a data e a hora atuais. Use a condio Verificar carimbo de hora para
descobrir se um perodo de tempo especfico foi aprovado desde que o carimbo de
hora foi criado.
Por exemplo, se a verificao de integridade do host for executada a cada 2 minutos,
voc poder especificar uma ao para ocorrer em um intervalo mais longo, como
um dia. Neste caso, o valor de hora armazenado removido:
Quando o cliente tiver recebido um novo perfil.
Quando o usurio tiver executado manualmente uma verificao de integridade

do host.
Para definir o carimbo de hora de um arquivo


921
922

Especificao de um tempo de espera para o script de requisitos personalizado
Clique em Utilitrio: Definir um carimbo de hora.
Digite um nome de at 256 caracteres de extenso para a configurao de

registro que armazena as informaes sobre data e hora.
Para comparar a hora atual ao valor de tempo armazenado


personalizados, selecione o n onde voc deseja adicionar a condio.
Clique em Adicionar e em IF..THEN...
Clique em Utilitrio: Verificar carimbo de hora.
Digite o nome digitado na configurao do registro da hora armazenada.
Especifique uma quantidade de tempo em minutos, horas, dias ou semanas.

Se a quantidade especfica de tempo foi aprovada ou se o valor da configurao
do registro estiver vazio, a funo Definir um carimbo de hora retornar um
valor verdadeiro.
Especificao de um tempo de espera para o script

de requisitos personalizado
No requisito personalizado da integridade do host, especifique uma funo que
faa com que o script personalizado do requisito aguarde um determinado perodo
de tempo antes de ser executado.
Para especificar um tempo de espera para o script


Clique em Utilitrio: Aguardar.
Digite o nmero de segundos para aguardar.
Captulo
45
Para realizar tarefas

bsicas no console de todos
os tipos de appliances
Enforcer
Sobre a execuo de tarefas bsicas no console de um appliance Enforcer
Configurao de uma conexo entre um appliance Enforcer e um Symantec

Verificao do status de comunicao de um appliance Enforcer no console do

Enforcer
Acesso remoto a um appliance Enforcer
Sobre a hierarquia de comandos da CLI do appliance Enforcer
Sobre a execuo de tarefas bsicas no console de

um appliance Enforcer
Voc j deve ter configurado os seguintes parmetros durante a instalao do
appliance Enforcer:
Nome do host do appliance Enforcer
Nome do grupo do appliance Enforcer do qual um appliance Enforcer especfico

membro
924
Para realizar tarefas bsicas no console de todos os tipos de appliances Enforcer

Configurao de uma conexo entre um appliance Enforcer e um Symantec Endpoint Protection Manager
Endereos IP das placas de interface de rede internas e externas (NICs)
Endereo IP do servidor DNS, se aplicvel
Endereo IP do servidor NTP, se aplicvel
Porm, necessrio ainda configurar uma conexo entre um appliance Enforcer

e um Symantec Endpoint Protection Manager. Voc executa o comando spm no
console do appliance Enforcer para configurar esta conexo. No possvel
continuar a usar um appliance Enforcer a menos que voc conclua esta tarefa.
Consulte Configurao de uma conexo entre um appliance Enforcer e um
Aps inicialmente instalar e configurar um appliance Enforcer, ser possvel
executar tarefas administrativas do console do Enforcer ou do Symantec Endpoint
Protection Manager. Se voc administra vrios appliances Enforcer, conveniente
administr-los de um local centralizado.
Todos os appliances Enforcer tm uma interface de linha de comando (CLI) com
a qual voc pode executar comandos para alterar o nmero de parmetros.
na pgina 928.
Configurao de uma conexo entre um appliance

Enforcer e um Symantec Endpoint Protection Manager
Voc deve estabelecer comunicao entre o appliance Enforcer e o Symantec
Endpoint Protection Manager no console do Enforcer. Voc deve tambm concluir
a instalao do appliance Enforcer e a configurao das NIC internas e externas
no appliance Enforcer.
Se desejar estabelecer comunicao entre um appliance Enforcer e o Symantec
Endpoint Protection Manager em um console do Enforcer, voc precisa das
Endereo IP do Symantec Endpoint Protection Manager

Verifique com o administrador do servidor no qual o Symantec Endpoint
Protection Manager foi instalado para obter o endereo IP.
Nome de grupo do Enforcer ao qual voc deseja atribuir o appliance Enforcer

Depois de terminar de configurar o nome do grupo Enforcer para o appliance
Enforcer, o nome do grupo registrado automaticamente no Symantec Endpoint
Protection Manager.

O nmero da porta no Symantec Endpoint Protection Manager que usado

para se comunicar com o appliance Enforcer.
O nmero da porta padro 8014.
A senha criptografada que foi criada durante a instalao inicial do Symantec

Para configurar uma conexo entre um appliance Enforcer e um Symantec Endpoint

Protection Manager
Na linha de comando, no console de um appliance Enforcer, digite configure.

spm ip endereo_ip group nome do grupo do Enforcer http nmero
da porta key senha criptografada
Consulte Sobre o comando configure spm na pgina 925.

Voc pode usar o seguinte exemplo como uma diretriz:
spm ip 192.168.0.64 group CorpAppliance
http 8014 key symantec
Esse exemplo configura o appliance Enforcer para comunicar-se com o

Symantec Endpoint Protection Manager que tem um endereo IP 192.168.0.64
no grupo CorpAppliance. Ele usa o protocolo HTTP na porta 8014 com a senha
criptografada ou o segredo pr-compartilhado Symantec.
Verifique o status da comunicao do appliance Enforcer e do Symantec

Consulte Verificao do status de comunicao de um appliance Enforcer
no console do Enforcer na pgina 927.
Configure, implemente e instale ou faa download do software-cliente se voc

ainda no o fez.
Para permitir que convidados (computadores-cliente no gerenciados) faam
download automaticamente de clientes sob demanda do Symantec Network
Access Control, configure um Gateway Enforcer para gerenciar
automaticamente o processo de download automtico.
Consulte Ativao de clientes sob demanda do Symantec Network Access
Control para se conectarem temporariamente a uma rede na pgina 1139.
Sobre o comando configure spm

O comando configure do SPM define a conexo entre o appliance Enforcer e o
925
926

necessrio digitar todos os valores se algum deles for alterado. Para aqueles que
no estiverem especificados, sero usados valores padro automaticamente.
O comando configure spm usa a seguinte sintaxe:
configure spm {[ip <ipaddress>] | [group
<group-name>] | [http <port-number>] | https
<port-number>] | [key <key-name>]} | [del key
<shared-key>]
onde:
ip <endereo_ip>
Permite que voc adicione o endereo IP do Symantec Endpoint

Protection Manager.
del key
Exclui a chave secreta compartilhada.
<chave-compartilhada>
group
Permite especificar um nome de grupo preferencial para o appliance
<nome-do-grupo> Enforcer. Portanto, recomenda-se que seja atribudo um nome de
grupo exclusivo para diferenciar os appliances Enforcer no console
http
Permite que voc especifique o protocolo HTTP e o nmero da porta
<nmero-da-porta> para comunicar-se com o Symantec Endpoint Protection Manager.
O protocolo padro HTTP. O nmero da porta padro para o protocolo
HTTP 80.
https
Permite que voc especifique o protocolo HTTPS e o nmero da porta
<nmero-da-porta> para comunicar-se com o Symantec Endpoint Protection Manager.
Voc dever usar este comando apenas se o Symantec Endpoint
Protection Manager tiver sido configurado para usar o protocolo
HTTPS.
O nmero da porta padro para o protocolo HTTPS 443.
key
Permite que voc especifique a senha criptografada exigida se o
<nome-da-chave> Symantec Endpoint Protection Manager tiver sido instalado com uma.
O seguinte exemplo descreve como configurar um appliance Enforcer para

comunicar-se com o Symantec Endpoint Protection Manager no endereo IP
192.168.0.64 em um grupo de Enforcer chamado CorpAppliance. Ele usa o protocolo
HTTP na porta 80 com uma senha criptografada de "segurana".
configure spm ip 192.168.0.64 group CorpAppliance http 80 key security

na pgina 928.

Verificao do status de comunicao de um appliance Enforcer no console do Enforcer
Verificao do status de comunicao de um

appliance Enforcer no console do Enforcer
Voc pode verificar o status de comunicao de um appliance Enforcer no console
do Enforcer.
Para verificar o status de comunicao de um appliance Enforcer no console do
Enforcer
Faa logon no console do Enforcer se voc ainda no est conectado.

Digite este comando: show status

Voc pode exibir as informaes sobre o status atual da conexo.
O seguinte exemplo indica que o appliance Enforcer est online e conectado
ao Symantec Endpoint Protection Manager com o endereo IP 192.168.0.1 e
a porta de comunicao 8014:
Enforcer#: show status
Enforcer Status:
Policy Manager Connected:
Policy Manager:
Packets Received:
Packets Transmitted:
Packet Receive Failed:
Packet Transfer Failed:
Enforcer Health:
Enforcer Uptime:
Policy ID:
ONLINE(ACTIVE)
YES
192.168.0.1 HTTP 8014
3659
3615
0
0
EXCELLENT
10 days 01:10:55
24/03/2010 21:31:55
Acesso remoto a um appliance Enforcer

Para comunicar-se de forma segura com o Enforcer e obter acesso linha de
comando, use um dos mtodos a seguir:
Alternador KVM em rede ou dispositivo similar
Cliente SSH que oferece suporte ao servidor de Console de terminal SSH v2
Cabo serial
927
928

Sobre a hierarquia de comandos da CLI do appliance Enforcer
Sobre a hierarquia de comandos da CLI do appliance

Enforcer
O appliance Enforcer usa uma interface de linha de comando (CLI) organizada nos
seguintes grupos:
capture
configure
console
debug
mab
monitor
on-demand
snmp
Para uma lista completa dos comandos e grupos de comandos da interface da linha
de comando, consulte o Guia de Referncia da Linha de Comando do Symantec
Network Access Control Enforcer em:
http://www.symantec.com/business/support/
documentation.jsp?language=english&view=manuals&pid=52788
Captulo
46

do appliance Gateway
Enforcer
Planejamento da instalao para um appliance Gateway Enforcer
Configuraes de NIC do appliance Gateway Enforcer
Planejamento de failover para appliances Gateway Enforcer
Planejamento de fail-open e fail-closed para um appliance Gateway Enforcer
Planejamento da instalao para um appliance

Gateway Enforcer
O appliance Gateway Enforcer geralmente usado em linha como uma ponte
segura de aplicao de polticas para proteger uma rede corporativa contra intrusos
externos. Antes de instalar um appliance Gateway Enforcer, necessrio analisar
seu posicionamento correto na rede. Os appliances Gateway Enforcer podem ser
colocados por toda a empresa para garantir que os limites de rede estejam em
conformidade com a poltica de segurana.
Outro uso do appliance Gateway Enforcer hospedar clientes sob demanda para
usurios convidados. Esses clientes so fornecidos com acesso temporrio ao
Enforcer, suas credenciais de segurana so verificadas e recebem a permisso
para entrar na rede.
Consulte Sobre os clientes do Symantec Network Access Control On-Demand
na pgina 1132.
930
Para planejar a instalao do appliance Gateway Enforcer

Neste caso, o Gateway Enforcer no est aprovando pacotes, mas est atuando
como um host. Este recurso no usado frequentemente e feito na linha de
comando do Enforcer.
configure > advanced > guest-enf enable

na pgina 928.
Nota: Se voc estiver fazendo upgrade dos clientes do Symantec Sygate Endpoint
Protection 5.1, dever fazer upgrade do Symantec Endpoint Protection Manager
primeiro, em seguida dos Enforcers e depois dos clientes, movendo-os para a
verso 12.1 primeiro. Depois que o Symantec Endpoint Protection Manager e os
Enforcers estiverem na verso 11.x, ser necessrio selecionar Permitir clientes
legados no menu Enforcer, se voc tiver clientes anteriores verso 11.x antes
de realizar a etapa final. Em seguida, conclua o upgrade para a verso atual.
Os appliances Gateway Enforcer so geralmente usados nestes locais de rede:
VPN
Ponto de acesso sem fio (WAP)
Dial-up (servidor de acesso remoto [RAS, Remote Access Server])
Segmentos de Ethernet (rede de rea local [LAN, Local Area Network])
H diversos tipos de informaes de planejamento que podem ajudar a implementar

appliances Gateway Enforcer em uma rede.
Colocao geral:
Consulte Onde colocar o appliance Gateway Enforcer na pgina 931.
Consulte Diretrizes para endereos IP em um appliance Gateway Enforcer

na pgina 933.
Consulte Sobre dois appliances Gateway Enforcer em srie na pgina 933.
reas especficas da rede:
Consulte Proteo do acesso VPN atravs de um appliance Gateway Enforcer

na pgina 934.
Consulte Proteo de pontos de acesso sem fio atravs de um appliance

Gateway Enforcer na pgina 934.
Consulte Proteo dos servidores atravs de um appliance Gateway Enforcer

na pgina 934.

Consulte Proteo de servidores e de clientes que no sejam Windows atravs

de um appliance Gateway Enforcer na pgina 935.
Consulte Requisitos para a permisso de clientes que no sejam Windows

sem autenticao na pgina 936.
Onde colocar o appliance Gateway Enforcer

possvel posicionar os Gateway Enforcers em locais pelos quais todo o trfego
dever passar antes que um cliente possa realizar as seguintes aes:
Conectar-se rede da empresa.
Acessar reas seguras de uma rede.

na pgina 933.
Voc geralmente pode colocar appliances Gateway Enforcer nos seguintes locais:
VPN
Entre concentradores de rede virtual privada (VPN, virtual private

network) e a rede da empresa
Ponto de acesso sem fio Entre um ponto de acesso sem fio (WAP, Wireless Access Point)
(WAP)
e a rede da empresa
Servidores
Em frente a servidores corporativos
Organizaes maiores podem precisar de um appliance Gateway Enforcer para

proteger todos os pontos de entrada da rede. Os Gateway Enforcers esto
geralmente localizados em sub-redes diferentes. Na maioria dos casos, possvel
integrar appliances Gateway Enforcer a uma rede da empresa sem precisar realizar
alteraes na configurao do hardware.
Os appliances Gateway Enforcer devem usar duas placas de interface de rede
(NICs).
A Figura 46-1 mostra como colocar appliances Gateway Enforcer na configurao
de rede geral.
931
932

Disposio de appliances Gateway Enforcer
Figura 46-1
Clientes remotos
VPN
Empresa externa
Internet
Conexo sem fio
Empresa interna
Clientes internos
Firewall
corporativo
Clientes internos
sem fio
Ponto de
acesso
sem fio
Servidor
VPN
NIC externa
NIC externa
NIC interna
Gateway
Enforcer
NIC interna
NIC externa
NIC interna
Gateway
Enforcer
Gateway
Enforcer
Backbone corporativo
Clientes internos
NIC externa
NIC interna
Gateway
Enforcer
Servidores protegidos
Symantec Endpoint
Protection Manager
Outro local onde o appliance Gateway Enforcer protege uma rede em um Servidor
de acesso remoto (RAS, Remote Access Server). Os clientes podem discar para se
conectar a uma rede da empresa. Clientes RAS dial-up so configurados de maneira

similar a clientes sem fio (wireless) e VPN. A NIC externa se conecta ao servidor
RAS e a NIC externa se conecta rede.
Diretrizes para endereos IP em um appliance Gateway Enforcer

Siga estas diretrizes ao configurar o endereo do NIC interno de um appliance
Gateway Enforcer:
O NIC interno de um appliance Gateway Enforcer deve poder comunicar-se

com o Symantec Endpoint Protection Manager. Por padro, o NIC interno deve
enfrentar um Symantec Endpoint Protection Manager.
Os clientes devem ser capazes de se comunicar com o endereo IP interno do

appliance Gateway Enforcer. O servidor VPN ou o AP sem fio podem estar em
uma sub-rede diferente. Isso funcionar se os clientes puderem ser roteados
mesma sub-rede que o endereo IP interno do appliance Gateway Enforcer.
Em um appliance Gateway Enforcer que protege servidores internos, a NIC

interna conecta-se VLAN, que, por sua vez, conecta-se aos servidores.
Se voc usar um grande nmero de appliances Gateway Enforcer em uma

configurao de failover, o endereo IP da NIC interna em cada appliance
Gateway Enforcer deve ter seu prprio endereo IP.
O Gateway Enforcer gerar um endereo falso do NIC externo, com base no

endereo interno do NIC. No necessrio configurar este endereo novamente
se voc instalar outro Gateway Enforcer.
Sobre dois appliances Gateway Enforcer em srie

Se a rede suportar dois appliances Gateway Enforcer em srie, de maneira que
um cliente se conecte rede por meio de mais de um appliance Gateway Enforcer,
ser preciso definir o appliance Enforcer mais prximo do Symantec Endpoint
Protection Manager como um endereo IP interno e confivel do outro appliance
Gateway Enforcer. Caso contrrio, um atraso de 5 minutos poder ocorrer antes
que o cliente possa se conectar rede.
Esse atraso pode ocorrer quando o cliente executar uma verificao de integridade
do host, e a mesma falhar. Como parte da correo da integridade do host, o cliente
faz o download das atualizaes de software necessrias. Ento, o cliente executa
novamente a verificao de integridade do host. Nesse momento, a verificao de
integridade do host aprovada, mas o acesso sofre um atraso.
Consulte Adio de um endereo IP interno e confivel para clientes em um
933
934

Proteo do acesso VPN atravs de um appliance Gateway Enforcer

A proteo do acesso VPN a razo primeira e mais comum para se usar um
appliance Gateway Enforcer. Tambm podem ser colocados appliances Gateway
Enforcer em pontos de entrada de VPN para proteger o acesso a uma rede
corporativa. O appliance Gateway Enforcer colocado entre o servidor VPN e a
rede corporativa. Ele somente permitir acesso a usurios autorizados e bloquear
o acesso a outros usurios.
Proteo de pontos de acesso sem fio atravs de um appliance Gateway

Enforcer
Os appliances Enforcer protegem a rede da empresa nos pontos de acesso sem fio
(WAP). O appliance Gateway Enforcer garante que qualquer usurio que se conectar
rede por meio de tecnologia sem fio estar executando o cliente e atender aos
requisitos de segurana.
Aps atender a essas condies, o cliente tem o acesso rede concedido. O
appliance Gateway Enforcer colocado entre o WAP e a rede da empresa. A NIC
externa aponta em direo ao WAP e a NIC interna aponta em direo rede da
empresa.
Proteo dos servidores atravs de um appliance Gateway Enforcer

Os appliances Gateway Enforcer podem proteger os servidores corporativos que
contm informaes confidenciais na rede da empresa. Uma organizao pode
colocar dados importantes em servidores localizados em uma sala de computadores
trancada. Somente os administradores de sistemas podem ter o acesso a essa sala.
O appliance Gateway Enforcer atua como um cadeado adicional na porta,
permitindo que apenas os usurios que atendam a seus critrios tenham acesso
aos servidores protegidos. Nessa configurao, os servidores localizam a NIC
interna. Entretanto, os usurios que tentarem obter acesso devero passar por
meio da NIC externa.
Para proteger estes servidores, possvel limitar o acesso somente aos clientes
com endereos IP designados e configurar regras estritas de integridade do host.
Por exemplo, um appliance Gateway Enforcer pode ser configurado para proteger
os servidores em uma rede. Um appliance Gateway Enforcer pode estar localizado

entre os clientes em uma LAN corporativa e os servidores que est protegendo. A

NIC externa aponta para a LAN corporativa, dentro da empresa, e a NIC interna
aponta na direo dos servidores protegidos. Essa configurao impede que
usurios ou clientes no autorizados tenham acesso aos servidores.
Proteo de servidores e de clientes que no sejam Windows atravs

de um appliance Gateway Enforcer
Voc pode instalar os servidores e os clientes em um sistema operacional diferente
do Microsoft Windows. Porm, o appliance Gateway Enforcer no pode autenticar
servidores e clientes que no so executados em um computador que no suporte
Microsoft Windows.
Se a organizao incluir servidores e clientes com sistemas operacionais nos quais
o software-cliente no est instalado, voc dever decidir qual dos seguintes
mtodos ser usado:
Implementar suporte por meio de um appliance Gateway Enforcer.
Consulte Implementao de suporte para clientes que no sejam Windows

por meio de um appliance Gateway Enforcer na pgina 935.
Implementar suporte sem um appliance Gateway Enforcer.

Consulte Implementao do suporte para clientes no Windows sem um
Implementao de suporte para clientes que no sejam

Windows por meio de um appliance Gateway Enforcer
possvel implementar o suporte para clientes que no sejam Windows
configurando o appliance Gateway Enforcer para permitir que todos esses clientes
acessem a rede. Se configurar o appliance Gateway Enforcer desta maneira, ele
realizar a deteco do sistema operacional para identificar os clientes que
executam sistemas operacionais que no sejam Windows.
Implementao do suporte para clientes no Windows sem um

appliance Gateway Enforcer
Tambm possvel implementar o suporte para clientes que no sejam Windows
permitindo que eles acessem a rede por meio de um ponto de acesso separado.
935
936

Os clientes que aceitam sistemas operacionais que no sejam Windows podem ser
conectados por meio de um servidor VPN separado:
Um servidor VPN pode oferecer suporte a clientes que tm o software-cliente

instalado. Os computadores-cliente baseados em Windows podem conectar-se
rede corporativa atravs de um appliance Gateway Enforcer.
Outro pode aceitar outros clientes que executem sistemas operacionais que
no sejam Windows. O computador-cliente que no seja baseado em Windows
pode ento conectar-se rede corporativa sem um appliance Gateway Enforcer.

Requisitos para a permisso de clientes que no sejam Windows sem

autenticao
possvel configurar o appliance Gateway Enforcer para permitir clientes que
no sejam Windows sem autenticao.
Consulte Requisitos para clientes no Windows na pgina 937.
Quando um cliente tenta acessar a rede corporativa por meio de um appliance
Gateway Enforcer, o appliance Enforcer verificar primeiro se o software-cliente
est instalado no computador-cliente. Se o software-cliente no for executado e
a opo de permisso para clientes no Windows estiver definida, o appliance
Gateway Enforcer verificar o sistema operacional.
Ele verifica o sistema operacional enviando pacotes de informao para examinar
o cliente e detectar o tipo de sistema operacional que ele est executando. Se o
cliente estiver executando um sistema operacional que no seja Windows, ele ter
acesso normal rede.
Requisitos para clientes Windows

Quando um appliance Gateway Enforcer configurado para permitir que clientes
que no sejam Windows conectem-se a uma rede, ele tenta primeiro determinar
o sistema. Se o sistema operacional um sistema operacional baseado em Windows,
o appliance Gateway Enforcer autentica o cliente. Caso contrrio, o appliance
Gateway Enforcer permite que o cliente se conecte rede sem autenticao.
O appliance Gateway Enforcer detectar corretamente o sistema operacional
Windows se o cliente Windows cumprir os seguintes requisitos:
A opo Client for Microsoft Networks deve estar instalada e ativada no cliente.
Consulte a documentao do Windows.

A porta 137 UDP deve estar aberta no cliente. Ela deve ser acessvel para o
Gateway Enforcer.
Se um cliente Windows no cumprir estes requisitos, o appliance Gateway Enforcer

poder interpretar o cliente Windows como sendo um cliente que no seja
Windows. Consequentemente, o appliance Gateway Enforcer poder permitir que
o cliente que no seja Windows se conecte rede sem autenticao.
Consulte Permisso para que clientes que no sejam Windows se conectem
rede sem autenticao na pgina 962.
Requisitos para clientes no Windows

O appliance Gateway Enforcer deve atender os seguintes requisitos antes de
permitir que um cliente Mac se conecte a uma rede:
O compartilhamento do Windows deve estar ligado.

Essa configurao fica ativada por padro.
O firewall integrado do Mac deve estar desativado.

Essa a configurao padro
O Gateway Enforcer tem o seguinte requisito para permitir um cliente Linux:
O sistema Linux deve executar o servio Samba.
Consulte Permisso para que clientes que no sejam Windows se conectem


As placas de interface de rede (NICs) em um appliance Gateway Enforcer so
configuradas por padro de modo que eth0 seja usado para o NIC interno. O NIC
interno deve ser conectado ao Symantec Endpoint Protection Manager.
Use o comando configure interface-role se precisar alterar a NIC interna ou
externa.
Nota: Se voc usar o Gateway Enforcer para fazer o download dos clientes sob
demanda e tiver ativado o trunking 801.Q no comutador, verifique a velocidade
de conexo da NIC. Para fazer o download com xito do cliente sob demanda,
ambas as NICs devem se conectar ao comutador com a mesma velocidade de
conexo.
na pgina 928.
937
938

Planejamento de failover para appliances Gateway

Enforcer
Uma empresa poder suportar dois appliances Gateway Enforcer que esto
configurados para continuar as operaes quando um dos appliances Gateway
Enforcer falhar. Se um appliance Gateway Enforcer falhar em uma rede que no
esteja configurada para failover, o acesso rede nesse local ser bloqueado
automaticamente. Se um appliance Gateway Enforcer falhar em uma rede que
no proporciona capacidade de failover, os clientes podero no mais conectar-se
rede. Os clientes continuaro a ser bloqueados de conectar-se rede at que o
problema com o appliance Gateway Enforcer seja corrigido.
Para um appliance Gateway Enforcer, o failover implementado atravs do prprio
appliance Gateway Enforcer, em vez dos alternadores de terceiros. Se a
configurao estiver configurada corretamente, o Symantec Endpoint Protection
Manager sincronizar automaticamente as configuraes para os appliances
Gateway Enforcer do failover.
Nota: Os recursos de failover no sero possveis se o Enforcer estiver definido
no modo fail-open. Opte por ter recursos de failover ou fail-open. As escolhas so
mutuamente exclusivas.
Consulte Configurao de appliances do Gateway Enforcer para failover
na pgina 942.
Consulte Planejamento de fail-open e fail-closed para um appliance Gateway
Enforcer na pgina 942.
Como o failover funciona com os appliances Gateway Enforcer na rede

O appliance Gateway Enforcer que estiver operacional chamado de appliance
Gateway Enforcer ativo. O appliance Gateway Enforcer do backup chamado de
appliance Gateway Enforcer em modo de espera. O appliance Gateway Enforcer
ativo conhecido tambm como o appliance Gateway Enforcer principal. Se o
appliance Gateway Enforcer ativo falhar, o appliance Gateway Enforcer em modo
de espera assumir as tarefas da imposio.
A sequncia em que os dois appliances Gateway Enforcer so iniciados a seguinte:
Quando o primeiro appliance Gateway Enforcer iniciado, ele executado no

modo de espera. Enquanto estiver no modo de espera, ele consultar a rede
para determinar se um outro appliance Gateway Enforcer est em execuo.
Ele envia trs consultas para pesquisar um outro Gateway Enforcer.

Consequentemente, ele pode levar alguns minutos para mudar seu status para
on-line.
Se o primeiro appliance Gateway Enforcer no detectar um outro appliance

Gateway Enforcer, o primeiro appliance Gateway Enforcer ser o appliance
Gateway Enforcer ativo.
Enquanto o appliance Gateway Enforcer ativo estiver em execuo, ele

transmitir pacotes de failover para as redes internas e externas. Ele continuar
transmitindo pacotes de failover.
Assim que o segundo appliance Gateway Enforcer for iniciado, ele ser
executado no modo de espera. Ele consulta a rede para determinar se um outro
appliance Gateway Enforcer est em execuo.
O segundo appliance Gateway Enforcer detecta ento o appliance Gateway

Enforcer ativo que est em execuo e permanece, consequentemente, no modo
de espera.
Se o appliance Gateway Enforcer ativo falhar, ele interromper parar a

transmisso de pacotes de failover. O appliance Gateway Enforcer em espera
no detectar um appliance Gateway Enforcer ativo. Consequentemente,
transforma-se no appliance Gateway Enforcer ativo que controla as conexes
de rede e a segurana neste local.
Se voc iniciar o outro appliance Gateway Enforcer, ele permanecer sendo o

appliance Gateway Enforcer em modo de espera, pois detectar que um outro
appliance Gateway Enforcer est ativo.

na pgina 942.
Onde colocar um ou mais appliances Gateway Enforcer para failover

em uma rede com uma ou mais VLANs
Um appliance Gateway Enforcer configurado para failover por seu local fsico
e pela configurao que voc determina no Symantec Endpoint Protection Manager.
Se voc usar um hub que oferea suporte a um grande nmero de VLANs, ser
possvel usar somente uma VLAN, a menos que voc integre um alternador
compatvel com 802.1q em vez de um hub.
O appliance Gateway Enforcer para failover deve ser configurado no mesmo
segmento de rede. Um roteador ou gateway no pode ser instalado entre os dois
appliances Gateway Enforcer. O roteador ou gateway no encaminha o pacote de
failover. As NICs internas devem conectar-se rede interna com o mesmo
alternador ou hub. As NICs externas devem conectar-se ao servidor VPN externo
ou ao ponto de acesso com o mesmo alternador ou hub.
939
940

Voc usa processos semelhantes para configurar appliances Gateway Enforcer

para failover em um AP sem fio, RAS dial-up ou outros pontos de acesso. As NICs
externas de ambos appliances Gateway Enforcer se conectam rede externa
atravs de um servidor AP sem fio ou RAS. As NICs internas se conectam rede
interna ou rea protegida.
A Figura 46-2 mostra como configurar dois appliances Gateway Enforcer para
failover, a fim de proteger o acesso rede em um concentrador do VPN.

Figura 46-2
Disposio de dois appliances Gateway Enforcer

Clientes remotos
VPN
Fora da empresa
Internet
Dentro da empresa
Firewall
corporativa
Clientes
internos
Servidor
VPN
NIC externa
NIC externa
NIC interna
Gateway
Enforcer 1
Hub/VLAN
NIC interna
Hub/VLAN
Gateway
Enforcer 2
Clientes internos
Symantec Endpoint
Protection Manager

na pgina 942.
941
942

Planejamento de fail-open e fail-closed para um appliance Gateway Enforcer
Configurao de appliances do Gateway Enforcer para failover

Voc deve familiarizar-se com os conceitos que esto envolvidos no failover do
appliance Gateway Enforcer antes de configurar Enforcers em modo de espera.
Consulte Como o failover funciona com os appliances Gateway Enforcer na rede
na pgina 938.
Para configurar appliances Gateway Enforcer para failover
Coloque os computadores na rede.

Consulte Onde colocar um ou mais appliances Gateway Enforcer para failover
em uma rede com uma ou mais VLANs na pgina 939.
Configure as NIC internas.

As NIC internas em um grande nmero de appliances Gateway Enforcer devem
cada uma ter um endereo IP diferente.
na pgina 933.
Planejamento de fail-open e fail-closed para um

O fail-open est disponvel para modelos do appliance Gateway Enforcer com uma
NIC fail-open. O fail-open uma alternativa ao failover que fornece a
disponibilidade da rede quando o servio do Enforcer no est disponvel.
Nota: A partir do Symantec Network Access Control verso 11.0 RU6 MP1, os
Enforcers sero fornecidos com uma placa NIC Silcom configurada em modo
fail-open. Para configurar o Enforcer no modo fail-close, emita o seguinte comando
CLI:
configure interface failopen disable
Nota: Os recursos de failover no sero possveis se o Enforcer estiver definido

no modo fail-open. Opte por ter recursos de failover ou fail-open. As escolhas so
mutuamente exclusivas.
na pgina 938.
Captulo
47
Para configurar o appliance

Symantec Gateway Enforcer
atravs do Symantec
Endpoint Protection
Manager
Sobre como configurar o appliance Symantec Gateway Enforcer no Console

do Symantec Endpoint Protection Manager
Alterao de configuraes do appliance Gateway Enforcer no Symantec

Sobre configuraes gerais em um appliance Gateway
Sobre configuraes de autenticao em um appliance Gateway
Configuraes de intervalo de autenticao
Sobre configuraes avanadas do appliance Gateway Enforcer
944
Para configurar o appliance Symantec Gateway Enforcer atravs do Symantec Endpoint Protection Manager
Sobre como configurar o appliance Symantec Gateway Enforcer no Console do Symantec Endpoint Protection Manager
Sobre como configurar o appliance Symantec Gateway

Enforcer no Console do Symantec Endpoint Protection
Manager
Voc pode adicionar ou editar as configuraes do appliance Gateway Enforcer
no Console do Symantec Endpoint Protection Manager.
Para continuar, conclua as seguintes tarefas:
Instale o software do Symantec Endpoint Protection Manager em um

computador.
na pgina 99.
instalado chamado tambm como servidor de gerenciamento.
Conectar o appliance Symantec Gateway Enforcer rede.

Configurar o appliance Symantec Gateway Enforcer no console local do Gateway

Enforcer durante a instalao.
Aps concluir essas tarefas, possvel especificar todas as definies adicionais

de configurao do appliance Gateway Enforcer em um servidor de gerenciamento.
Ao instalar um appliance Gateway Enforcer, uma srie de configuraes e portas
padro so definidas automaticamente. As configuraes padro para o appliance
Gateway Enforcer no Symantec Endpoint Protection Manager permitiro que
todos os clientes se conectem rede se o cliente passar na verificao de
integridade do host. O appliance Gateway Enforcer age como uma ponte. Portanto,
possvel concluir o processo de configurao do appliance Gateway Enforcer e
implementar clientes sem bloquear o acesso rede.
Porm, voc precisa alterar as configuraes padro no Symantec Endpoint
Protection Manager para limitar quais clientes podem acessar sem autenticao.
Como alternativa, h outras configuraes padro do Enforcer para o appliance
Gateway Enforcer que voc talvez queira personalizar antes de iniciar a imposio.
Alterao de configuraes do appliance Gateway

Enforcer no Symantec Endpoint Protection Manager
possvel alterar as definies de configurao do appliance Gateway Enforcer
em um servidor de gerenciamento. O download das definies de configurao
Alterao de configuraes do appliance Gateway Enforcer no Symantec Endpoint Protection Manager
feito automaticamente do servidor de gerenciamento para o appliance Gateway

Enforcer durante a prxima pulsao.
Para mudar configuraes do appliance Gateway Enforcer no Symantec Endpoint
Protection Manager

Administrador.
Em Servidores, selecione o grupo de Enforcers do qual o appliance Gateway

Enforcer membro.
O grupo do Enforcer deve incluir o appliance Gateway Enforcer em que as
configuraes devem ser alteradas.
Selecione o appliance Gateway Enforcer para o qual as configuraes devem

ser alteradas.
945
946
Em Tarefas, clique em Editar propriedades do grupo.
Na caixa de dilogo Configuraes, altere qualquer configurao.

A caixa de dilogo Configuraes do Gateway Enforcer fornece as seguintes
categorias de definies de configurao:
Geral
Configuraes para a descrio e a lista de servidores de

gerenciamento do grupo do Enforcer.
Consulte Sobre configuraes gerais em um appliance
Gateway na pgina 948.
Autenticao
Configuraes para uma variedade de parmetros que

afetam o processo de autenticao do cliente.
Se um endereo correspondente no for localizado, o
appliance Gateway Enforcer iniciar a sesso de
autenticao e o envio do pacote de desafio.
Consulte Sobre configuraes de autenticao em um
appliance Gateway na pgina 952.
Intervalo de
autenticao
Configuraes que especificam um endereo IP individual

para um cliente ou intervalos de endereos IP para vrios
clientes que precisam ser autenticados. Voc pode tambm
especificar um endereo IP individual ou intervalos de
endereos IP para os clientes que tm permisso para se
conectar a uma rede sem autenticao.
Consulte Configuraes de intervalo de autenticao
na pgina 967.
Avanado
Configuraes para os parmetros do tempo limite de

autenticao e tempos limite de mensagem do appliance
Gateway Enforcer:
Configuraes para os endereos MAC dos hosts confiveis
que o appliance Gateway Enforcer permite conectar sem
autenticao (opcional).
Configuraes do spoofing de DNS e da autenticao local.
Configuraes de protocolos permitidos sem bloqueio de
clientes.
Consulte Sobre configuraes avanadas do appliance
947
948
Configuraes de log
Configuraes para ativar os logs do servidor, os logs de

atividades do cliente e para especificar os parmetros de
arquivos de log.
Consulte Sobre relatrios e logs do Enforcer na pgina 1057.
Consulte Definio das configuraes do log do Enforcer
na pgina 1058.

Voc pode adicionar ou editar a descrio de um appliance Gateway Enforcer ou
de um grupo do appliance Gateway Enforcer no Symantec Endpoint Protection
Manager.
Consulte Adio ou edio da descrio de um grupo do appliance Gateway
Consulte Adio ou edio da descrio de um appliance Gateway Enforcer
na pgina 949.
Voc no pode adicionar ou editar o nome de um grupo do appliance Gateway
Enforcer no Symantec Endpoint Protection Manager. Voc no pode adicionar ou
editar o endereo IP ou o nome do host de um appliance Gateway Enforcer no
Symantec Endpoint Protection Manager. Em vez disso, execute essas tarefas no
console do Enforcer.
Entretanto, voc pode adicionar ou editar o endereo IP ou nome do host de um
appliance Gateway Enforcer em uma lista de servidores de gerenciamento.
Consulte Adio ou edio do endereo IP ou nome do host de um appliance
Voc tambm pode adicionar ou editar o endereo IP ou o nome do host de um
Symantec Endpoint Protection Manager em uma lista de servidores de
gerenciamento.
Consulte Estabelecimento de comunicao entre um appliance Gateway Enforcer
e um Symantec Endpoint Protection Manager atravs de uma lista de servidores
de gerenciamento e o arquivo conf.properties na pgina 950.
Adio ou edio da descrio de um grupo do appliance Gateway

Enforcer
possvel adicionar ou editar a descrio de um grupo do Enforcer do qual um
appliance Symantec Gateway Enforcer membro. Voc pode executar esta tarefa
no console do Symantec Endpoint Protection Manager em vez do console do

Enforcer.
Consulte Sobre como configurar o appliance Symantec Gateway Enforcer no
Console do Symantec Endpoint Protection Manager na pgina 944.
Consulte Sobre configuraes gerais em um appliance Gateway na pgina 948.
Para adicionar ou editar a descrio de um grupo do appliance Gateway Enforcer

Administrador.
Selecione e expanda o grupo do appliance Gateway Enforcer cuja descrio

voc deseja adicionar ou editar.
Na caixa de dilogo Configuraes, na guia Geral, adicione ou edite uma

descrio para o grupo do appliance Gateway Enforcer no campo Descrio.
Clique em OK.
Adio ou edio da descrio de um appliance Gateway Enforcer

possvel adicionar ou editar a descrio de um appliance Gateway Enforcer. Voc
pode executar esta tarefa no console do Symantec Endpoint Protection Manager
em vez do console do Enforcer. Aps concluir essa tarefa, a descrio ser exibida
no campo Descrio do painel Servidor de gerenciamento.
Para adicionar ou editar a descrio de um appliance Gateway Enforcer

Administrador.
Selecione e expanda o grupo do appliance Gateway Enforcer cuja descrio

voc deseja adicionar ou editar.
Selecione o appliance Gateway Enforcer cuja descrio voc deseja adicionar

ou editar.
Em Tarefas, clique em Editar propriedades do Enforcer.
949
950
Na caixa de dilogo Propriedades do Enforcer, adicione ou edite uma descrio

para o appliance Gateway Enforcer no campo Descrio.
Clique em OK.
Adio ou edio do endereo IP ou nome do host de um appliance

Gateway Enforcer
Somente possvel alterar o endereo IP ou o nome do host de um appliance
Gateway Enforcer no console do Enforcer durante a instalao. Se voc quiser
mudar posteriormente o endereo IP ou o nome de host de um appliance Gateway
Enforcer, poder fazer isso no console do Gateway Enforcer.
na pgina 928.
Estabelecimento de comunicao entre um appliance Gateway Enforcer

e um Symantec Endpoint Protection Manager atravs de uma lista de
servidores de gerenciamento e o arquivo conf.properties
Os appliances Gateway Enforcer devem poder conectar-se aos servidores em que
o Symantec Endpoint Protection Manager est instalado. O Symantec Endpoint
Protection Manager inclui um arquivo que ajuda a gerenciar o trfego entre
clientes, servidores de gerenciamento e Enforcers opcionais, como o appliance
Gateway Enforcer.
Esse arquivo conhecido como uma lista de servidores de gerenciamento. A lista
de servidores de gerenciamento especifica a qual Symantec Endpoint Protection
Manager um Gateway Enforcer conecta-se. Especifica tambm a qual Symantec
Endpoint Protection um Gateway Enforcer conecta-se em caso de falha de um
Uma lista de servidores de gerenciamento padro criada automaticamente para
cada site durante a instalao inicial. Todos os servidores de gerenciamento
disponveis nesse site so adicionados automaticamente lista de servidores de
Uma lista de servidores de gerenciamento padro inclui os endereos IP ou os
nomes do host do servidor de gerenciamento ao qual os appliances Gateway
Enforcer podem se conectar aps a instalao inicial. Voc deve criar uma lista
de servidores de gerenciamento personalizada antes de implementar quaisquer
appliances Gateway Enforcer. Se voc criar uma lista de servidores de

gerenciamento personalizada, ser possvel especificar a prioridade com a qual
um appliance Gateway Enforcer pode se conectar a servidores de gerenciamento.
Se um administrador criou vrias listas de servidores de gerenciamento, possvel
selecionar a lista especfica que inclui os endereos IP ou nomes de host dos
servidores de gerenciamento aos quais deseja conectar o appliance Gateway
Enforcer. Se houver apenas um servidor de gerenciamento em um site, ser possvel
selecionar a lista de servidores de gerenciamento padro. Voc tambm pode
selecionar a lista de servidores de gerenciamento nos quais voc quer que um
grupo do Enforcer transite, fazendo escolhas na mesma caixa de dilogo.
Para estabelecer comunicao entre um Gateway Enforcer e um Symantec Endpoint
Protection Manager

Administrador.
Selecione e expanda o grupo de Enforcers.

O grupo do Enforcer deve incluir o appliance Gateway Enforcer para o qual
deseja modificar o endereo IP ou nome do host na lista de servidores de
gerenciamento.
Na caixa de dilogo Configuraes, na guia Geral, em Comunicao, selecione

a lista de servidores de gerenciamento que voc deseja que este appliance
Gateway Enforcer use.
Clique em Selecionar.
possvel visualizar os endereos IP e os nomes de host de todos os servidores
de gerenciamento disponveis, assim como as prioridades atribudas.
Na caixa de dilogo Lista de servidores de gerenciamento, clique em Fechar.
Na caixa de dilogo Configuraes, clique em OK.
Voc pode ativar e desativar a opo de escuta do servidor de gerenciamento,

mudando uma linha no arquivo conf.properties.
951
952
Para configurar o servidor de gerenciamento para escutar o segmento do Enforcer

editando o arquivo conf.properties
Abra o arquivo conf.properties em um editor de texto simples, como o Bloco

de Notas.
O arquivo conf.properties est localizado na seguinte pasta: C:\Arquivos
de Programas\Symantec\Symantec Endpoint Protection
Manager\tomcat\etc.
Encontre a linha que inicia com scm.radius.port.enabled
Para desativar o segmento do Enforcer, adicione =0 linha, tendo por resultado

scm.radius.port.enabled=0
Para ativar o segmento do Enforcer, adicione =1 linha, tendo por resultado

scm.radius.port.enabled=1
Sobre configuraes de autenticao em um appliance

Gateway
possvel especificar uma srie de definies de autenticao para uma sesso
de autenticao do appliance Gateway Enforcer. Quando essas alteraes forem
aplicadas, elas sero enviadas automaticamente para o appliance Gateway Enforcer
selecionado durante a prxima pulsao.
Consulte Configuraes de autenticao em um appliance Gateway na pgina 952.
Configuraes de autenticao em um appliance Gateway

Talvez voc queira implementar algumas configuraes de autenticao para
proteger ainda mais a rede.
A Tabela 47-1 fornece mais informaes sobre as opes da guia Autenticao.
Tabela 47-1
Definies de configurao de autenticao para o appliance

Gateway Enforcer
Opo
Descrio
Nmero mximo de pacotes A quantidade mxima de pacotes de desafio que o appliance

por sesso autenticada
Gateway Enforcer envia em cada sesso de autenticao.
O nmero padro 10 pacotes. O intervalo de 2 a 100
pacotes.
Consulte Especificao do nmero mximo de pacotes de
desafio durante uma sesso de autenticao na pgina 957.
Perodo de tempo entre
pacotes em sesso de
autenticao (segundos)
O tempo em segundos entre cada pacote de desafio que o

Enforcer envia.
O valor padro 3 segundos. O intervalo de 3 a 10.
Consulte Especificao da frequncia de envio dos pacotes
de desafio aos clientes na pgina 958.
Perodo de tempo durante o

qual o cliente rejeitado ser
bloqueado (segundos)
O perodo de tempo em segundos durante o qual um cliente

bloqueado aps a autenticao falhar.
A configurao padro 30 segundos. O intervalo de 10 a
300 segundos.
Consulte Especificao do perodo de tempo durante o qual
um cliente bloqueado depois de a autenticao falhar
na pgina 959.
Perodo de tempo durante o

qual o cliente autenticado
ser permitido (segundos)
O perodo de tempo em segundos durante o qual um cliente

tem permisso para reter sua conexo de rede sem se
autenticar novamente.
A configurao padro 30 segundos. O intervalo de 10 a
300 segundos.
Consulte Especificao do perodo de tempo durante o qual
um cliente tem permisso para reter sua conexo de rede
sem nova autenticao na pgina 960.
953
954
Opo
Descrio
Permitir todos os clientes,

mas continuar a registrar
quais clientes no so
autenticados
Se essa opo estiver ativada, o appliance Gateway Enforcer

autenticar todos os usurios, verificando se eles executam
o cliente. O appliance Gateway Enforcer tambm verifica se
o cliente foi aprovado na verificao de integridade do host.
Se o cliente for aprovado na verificao de integridade do
host, o appliance Gateway Enforcer registrar os resultados.
Ele, ento, encaminha a solicitao do gateway para receber
uma configurao de rede normal em vez de uma
configurao de rede de quarentena, caso as verificaes
sejam aprovadas ou falhem.
A configurao padro no ativada.
Consulte Permisso para todos os clientes com registro em
log contnuo de clientes no autenticados na pgina 960.
Todos os clientes com

sistemas operacionais que
no sejam Windows
Se essa opo estiver ativada, o Gateway Enforcer verificar

o sistema operacional do cliente. O appliance Gateway
Enforcer, ento, permitir que todos os clientes que no
executam sistemas operacionais Windows recebam uma
configurao de rede normal sem ser autenticados
novamente. Se essa opo no estiver ativada, os clientes
recebero uma configurao de rede de quarentena.
Consulte Permisso para que clientes que no sejam
Windows se conectem rede sem autenticao
na pgina 962.
Verificar o nmero de srie

da poltica do cliente antes
de permitir a entrada do
cliente na rede

verificar se o cliente recebeu as polticas de segurana mais
recentes do servidor de gerenciamento. Se o nmero de srie
da poltica no for o mais recente, o Gateway Enforcer
notificar o cliente para que ele atualize sua poltica de
segurana. O cliente encaminhar a solicitao do gateway
para receber uma configurao de rede de quarentena.
Se essa opo no estiver ativada e se as verificaes de
integridade do host tiverem xito, o appliance Gateway
Enforcer encaminhar a solicitao do gateway para receber
uma configurao de rede normal. O Gateway Enforcer
encaminhar a solicitao mesmo se o cliente no tiver a
poltica de segurana mais recente.
Consulte Verificao do nmero de srie da poltica em um
Opo
Descrio
Ativar mensagem pop-up

Se essa opo estiver ativada, uma mensagem ser exibida
para o cliente se o cliente no aos usurios nos computadores com Windows sem que um
estiver sendo executado
cliente que tente conectar-se a uma rede empresarial seja
executado. A mensagem padro est configurada para ser
exibida apenas uma vez. Ela informa aos usurios que eles
esto impedidos de acessar a rede porque um cliente no
est em execuo, avisando-os para instal-lo. Para editar
a mensagem ou alterar a frequncia com que exibida, clique
em Mensagem. O tamanho mximo da mensagem de 128
caracteres.
A configurao padro ativada.
Nota: As mensagens pop-up no aparecem em clientes Mac.

Consulte Envio de uma mensagem de no-conformidade
de um appliance Gateway Enforcer a um cliente
na pgina 964.
Ativar o redirecionamento
HTTP para o cliente se o
cliente no estiver sendo
executado
Se essa opo estiver ativada, o Gateway Enforcer pode

redirecionar os clientes para um site de correo.
redirecionar as solicitaes de HTTP para um servidor da
Web interno, caso o cliente no esteja em execuo.
Esta opo no pode ser ativada sem especificar um URL.
A configurao padro ativada, com o valor
http://localhost.
Consulte Redirecionamento de solicitaes HTTP para uma
pgina da Web na pgina 966.
URL de redirecionamento
HTTP
possvel especificar um URL de at 255 caracteres ao

redirecionar clientes para um site de correo.
A configurao padro para o URL redirecionado
http://localhost.
Porta de redirecionamento
HTTP
possvel especificar um nmero de porta que no seja 80

ao redirecionar clientes para um site de correo.
A configurao padro do servidor da Web a porta 80.
955
956
Sobre as sesses de autenticao em um Gateway Enforcer appliance

Quando um cliente tentar acessar a rede interna, o Gateway Enforcer estabelecer
com ele uma sesso de autenticao. Uma sesso de autenticao um conjunto
de pacotes de desafio enviado ao cliente por um appliance Gateway Enforcer.
Durante a sesso de autenticao, o appliance Gateway Enforcer envia um pacote
de desafio ao cliente em uma frequncia especificada. A configurao padro a
cada 3 segundos. Ele continua enviando pacotes at receber uma resposta do
cliente ou at que tenha enviado a quantidade mxima especificada de pacotes.
O nmero padro de 10 pacotes.
Se o cliente responder e aprovar a autenticao, o appliance Gateway Enforcer
permitir que a rede interna seja acessada por um nmero especificado de
segundos. O padro 30 segundos. O appliance Gateway Enforcer inicia uma nova
sesso de autenticao durante a qual o cliente deve responder para reter a conexo
com a rede interna. O appliance Gateway Enforcer desconecta os clientes que no
respondem ou que so rejeitados por falharem na autenticao.
Caso o cliente no responda ou a autenticao falhe, o appliance Gateway Enforcer
bloqueia o cliente por um nmero especificado de segundos. O padro 30
segundos. Se outro cliente tentar fazer logon usando o mesmo endereo IP, ele
dever ser autenticado novamente.
possvel configurar a sesso de autenticao para cada appliance Gateway
Enforcer no servidor de gerenciamento.
Consulte Alterao de configuraes do appliance Gateway Enforcer no Symantec
Sobre a autenticao do cliente em um Gateway Enforcer appliance

O appliance Gateway Enforcer autentica clientes remotos antes de permitir o
acesso rede. A autenticao do cliente no Gateway Enforcer executa as seguintes
funes:
Determina se autentica o cliente ou lhe d permisso sem autenticao.

Voc pode especificar clientes individuais ou intervalos de endereos IP para
confiar ou autenticar na guia Intervalo de autenticao.
Efetua a sesso de autenticao.

Defina as configuraes para a sesso de autenticao na guia de Autenticao.
Cada Gateway Enforcer mantm as seguintes listas de endereos IP confiveis

que so permitidas para conectar-se rede por meio do Gateway Enforcer:
Uma lista esttica.
Os endereos IP externos e confiveis configurados para o Enforcer na guia

Intervalo de autenticao.
Uma lista dinmica.

Os endereos IP confiveis adicionais que podem ser adicionados e removidos
medida que os clientes so autenticados, com permisso para conectar-se
rede e, finalmente, desconectados.
Quando o trfego chega de um novo cliente, o appliance Gateway Enforcer

determina se o cliente est na lista de endereos IP de clientes confiveis. Se o
cliente tiver um endereo IP confivel, ele ter permisso para acessar a rede sem
autenticao adicional.
Se faltar um endereo IP confivel para o cliente, o appliance Gateway Enforcer
verificar se o endereo IP confivel est dentro do intervalo de endereos de IP
do cliente para os clientes que devero ser autenticados. Se o endereo IP do cliente
estiver dentro do intervalo de endereos IP do cliente, o appliance Gateway
Enforcer iniciar uma sesso de autenticao.
Durante a sesso de autenticao, o cliente envia seu nmero de ID exclusivo, os
resultados da verificao de integridade do host e o nmero de srie da poltica.
O nmero de srie da poltica identifica se as polticas de segurana do cliente
esto atualizadas.
O appliance Gateway Enforcer verifica os resultados. Ele pode tambm verificar
o nmero de srie da poltica. Se os resultados forem vlidos, o appliance Gateway
Enforcer fornecer ao cliente um status de autenticado, permitindo o acesso
rede. Se os resultados no forem vlidos, o appliance Gateway Enforcer impedir
o cliente de se conectar rede.
Quando um cliente autenticado, o endereo IP desse cliente adicionado lista
dinmica com um temporizador. O intervalo padro do timer de 30 segundos.
Depois de esgotado o intervalo do timer, o appliance Gateway Enforcer inicia uma
nova sesso de autenticao com o cliente. Se o cliente no responder ou falhar
na autenticao, o endereo IP do cliente ser excludo da lista. O endereo IP
bloqueado tambm por um intervalo especificado. A configurao padro 30
segundos. Quando outro cliente tentar fazer logon usando esse mesmo endereo
IP, ele dever ser autenticado novamente.
Especificao do nmero mximo de pacotes de desafio durante uma

sesso de autenticao
de desafio para o cliente com uma frequncia especificada.
957
958
O appliance Gateway Enforcer continua enviando pacotes at que sejam atendidas

as seguintes condies:
O appliance Gateway Enforcer receba uma resposta do cliente
O appliance Gateway Enforcer tenha enviado o nmero mximo especificado

de pacotes.
A configurao padro do nmero mximo de pacotes de desafio durante uma

sesso de autenticao for 10. O intervalo de 2 a 100 pacotes.
Consulte Sobre configuraes de autenticao em um appliance Gateway
na pgina 952.
Para especificar o nmero mximo de pacotes de desafio durante uma sesso de
autenticao
Em Symantec Endpoint Protection Manager, clique em Administrador.

deseja especificar o nmero mximo de pacotes de desafio durante uma sesso
de autenticao.
Na caixa de dilogo Configuraes do gateway, na guia Autenticao, em

Parmetros de autenticao, digite a quantidade mxima de pacotes de
desafio que voc deseja permitir durante uma sesso de autenticao no
campo Nmero mximo de pacotes por sesso autenticada.
A configurao padro 10 segundos. O intervalo de 2 a 100 pacotes.
Clique em OK.

clientes
de desafio para o cliente com uma frequncia especificada.
O appliance Gateway Enforcer continua enviando pacotes at que sejam atendidas
as seguintes condies:
O appliance Gateway Enforcer receba uma resposta do cliente
O appliance Gateway Enforcer tenha enviado o nmero mximo especificado

de pacotes.
A configurao padro a cada trs segundos. O intervalo de 3 a 10 segundos.

na pgina 952.
Para especificar a frequncia de pacotes de desafio a serem enviados aos clientes

Administrador.

voc quer especificar a frequncia de pacotes de desafio que sero enviados
aos clientes.
Em Tarefas, clique em Editar parmetros do grupo.
Na caixa de dilogo Configuraes, na guia Autenticao, em Parmetros

de autenticao, digite o nmero mximo de pacotes de desafio que voc
deseja que o appliance Gateway Enforcer continue enviando a um cliente
durante uma sesso de autenticao no campo Perodo de tempo entre pacotes
em sesso de autenticao.
A configurao padro 3 segundos. O intervalo de 3 a 10 segundos.
Na caixa de dilogo Configuraes, na guia Autenticao, clique em OK.
Especificao do perodo de tempo durante o qual um cliente

bloqueado depois de a autenticao falhar
Voc pode especificar o perodo de tempo durante o qual um cliente bloqueado
depois de a autenticao falhar.
na pgina 952.
Para especificar o perodo de tempo durante o qual um cliente bloqueado depois
de a autenticao falhar

Administrador.

deseja especificar o tempo de bloqueio para um cliente cuja autenticao
falhe.
959
960

de autenticao, digite o nmero de segundos durante o qual um cliente
dever ser bloqueado aps sua autenticao falhar no campo Perodo de
tempo durante o qual o cliente rejeitado ser bloqueado (segundos).
Clique em OK.
Especificao do perodo de tempo durante o qual um cliente tem

permisso para reter sua conexo de rede sem nova autenticao
possvel especificar o perodo de tempo, em segundos, durante o qual permitido
a um cliente reter sua conexo de rede sem uma nova autenticao.
na pgina 952.
Para especificar o perodo de tempo durante o qual um cliente tem permisso para
reter sua conexo de rede sem nova autenticao

Administrador.
Em Servidores, selecione e expanda o grupo de Enforcers.

deseja especificar o tempo de bloqueio para um cliente cuja autenticao
falhe.

de autenticao, digite o nmero de segundos durante o qual permitido a
um cliente reter sua conexo de rede sem nova autenticao no campo Perodo
de tempo durante o qual o cliente autenticado ser permitido (segundos).
Clique em OK.
Permisso para todos os clientes com registro em log contnuo de

clientes no autenticados
Pode levar algum tempo para implementar todo o software-cliente. Talvez voc
deseje configurar o appliance Gateway Enforcer para permitir a conexo de todos
os clientes rede at que tenha terminado de distribuir o pacote de cliente a todos

os usurios. O appliance Gateway Enforcer bloqueia todos os clientes que no
executam o cliente. Como o cliente no executado em sistemas operacionais que
no sejam Windows, como Linux ou Solaris, o appliance Gateway Enforcer bloqueia
esses clientes. H a opo de permitir que todos os clientes que no sejam Windows
conectem-se rede.
Se um cliente no autenticado com essa configurao, o appliance Gateway
Enforcer detecta o tipo de sistema operacional. Consequentemente, os clientes
Windows so bloqueados e os clientes que no sejam Windows tm o acesso rede
permitido.
Use as seguintes diretrizes quando aplicar as definies de configurao:
Essa configurao deve ser uma medida temporria, uma vez que torna a rede
menos segura.
Enquanto essa configurao estiver ativa, voc poder analisar os logs do

Enforcer. possvel descobrir os tipos de clientes que tentam se conectar
rede naquele local.
Por exemplo, o Log de atividades do cliente pode ser analisado para verificar
se h algum cliente sem o software-cliente instalado. Depois, voc pode
certificar-se de que o software-cliente esteja instalado nesses clientes antes
de desativar essa opo.

na pgina 952.
Para permitir todos os clientes com registro em log contnuo de clientes no
autenticados

Administrador.

deseja permitir todos os clientes enquanto continua com o registro em log de
clientes no autenticados.
961
962
Na caixa de dilogo Configuraes, na guia Autenticao, selecione Permitir

todos os clientes, mas continuar a registrar quais clientes no so
autenticados.

rede sem autenticao
O appliance Gateway Enforcer no pode autenticar um cliente que executa um
sistema operacional que no seja Windows. Portanto, os clientes que no sejam
Windows no podem se conectar rede, a menos que seja permitido,
especificamente, que se conectem rede sem autenticao.
possvel usar um dos seguintes mtodos para ativar os clientes que oferecem
suporte a plataformas que no sejam Windows para conectar-se rede:
Especificar cada cliente que no seja Windows como host confivel.
Todos os clientes com sistemas operacionais que no sejam Windows.
O appliance Gateway Enforcer detecta o sistema operacional do cliente e autentica

clientes Windows. Entretanto, ele no permite que clientes que no sejam Windows
conectem-se ao appliance Gateway Enforcer sem autenticao.
Se voc precisar de clientes que no sejam Windows conectados rede, ser
necessrio definir configuraes adicionais no Console do Symantec Endpoint
Protection Manager.
Consulte Requisitos para a permisso de clientes que no sejam Windows sem
autenticao na pgina 936.
na pgina 952.
Para permitir que clientes que no sejam Windows conectem-se a uma rede sem
autenticao

Administrador.

deseja permitir que todos os clientes que no sejam Windows se conectem
rede.
Na caixa de dilogo Configuraes, na guia Autenticao, selecione Todos

os clientes com sistemas operacionais que no sejam Windows.
Clique em OK.
Verificao do nmero de srie da poltica em um cliente

O Symantec Endpoint Protection Manager atualiza um nmero de srie da poltica
sempre que a poltica de segurana do cliente modificada. Quando um cliente
conecta-se ao Symantec Endpoint Protection Manager, ele recebe as polticas de
segurana e o nmero de srie mais recentes da poltica.
Quando um cliente tentar conectar-se rede atravs do appliance Gateway
Enforcer:
Recupera o nmero de srie da poltica do Symantec Endpoint Protection

Manager.
O nmero de srie da poltica ser comparado quele recebido do cliente.
Se os nmeros de srie da poltica forem idnticos, o appliance Gateway

Enforcer confirmar que o cliente est executando uma poltica de segurana
atualizada.
O valor padro para essa configurao no ativado.

As seguintes diretrizes se aplicam:
Se estiver selecionada a opo Verificar o nmero de srie da poltica do

cliente antes de permitir a entrada do cliente na rede, o cliente dever ter a
poltica de segurana mais recente antes de poder conectar-se rede pelo
appliance Gateway Enforcer. Se o cliente no tiver a poltica de segurana mais
recente, ele ser avisado para fazer o download dessa poltica. Depois, o
appliance Gateway Enforcer encaminhar sua solicitao de gateway para
receber uma configurao de rede de quarentena.
Se a opo Verificar o nmero de srie da poltica do cliente antes de permitir

a entrada do cliente na rede no estiver selecionada e a verificao de
integridade do host tiver xito, o cliente poder se conectar rede. Ele poder
se conectar atravs do appliance Gateway Enforcer, mesmo que sua poltica
de segurana no esteja atualizada.
963
964

na pgina 952.
Para fazer com que o appliance Gateway Enforcer verifique o nmero de srie da
poltica em um cliente

Administrador.
Selecione e expanda o grupo de appliances Gateway Enforcer.

O grupo do Enforcer deve incluir o appliance Gateway Enforcer que verifica
o nmero de srie da poltica em um cliente.
Na caixa de dilogo Configuraes, na guia Autenticao, selecione Verificar

o nmero de srie da poltica do cliente antes de permitir a entrada do cliente
na rede.
Clique em OK.
Envio de uma mensagem de no-conformidade de um appliance

Gateway Enforcer a um cliente
Voc pode enviar uma mensagem pop-up do Windows para informar a um usurio
que ele no pode se conectar rede. A mensagem diz normalmente ao usurio
que um cliente no pode se conectar rede porque ele no executa o Cliente
A maioria dos administradores digita uma instruo breve sobre a necessidade
de executar o cliente do Symantec Endpoint Protection ou o do Symantec Network
Access Control. A mensagem pode incluir informaes sobre um site de download
de onde usurios podem fazer o download do software-cliente necessrio. Tambm
podem ser fornecidos um nmero de telefone para contato e outras informaes
relevantes.
Essa configurao fica ativada por padro. Ela se aplica apenas a clientes que no
executam o cliente do Symantec Endpoint Protection ou o cliente do Symantec
Aps concluir essa tarefa, a mensagem pop-up aparecer no cliente, se o servio
Windows Messenger estiver em execuo no cliente.
Nota: As mensagens pop-up no aparecem em clientes Mac.
na pgina 952.
Como enviar uma mensagem sobre no-conformidade de um appliance Gateway

Enforcer a um cliente

Administrador.
Na caixa de dilogo Configuraes, na guia Autenticao, selecione Ativar

mensagens pop-up em clientes Windows se o cliente no estiver em execuo.
Clique em Mensagem.
Na caixa de dilogo Configuraes de mensagem pop-up, selecione com que

frequncia deseja que a mensagem aparea em um cliente da lista A seguinte
mensagem ser exibida.
possvel selecionar qualquer um dos seguintes perodos de tempo:
Uma vez
O valor padro uma vez.
A cada 30 segundos
A cada minuto
A cada 2 minutos
A cada 5 minutos
A cada 10 minutos
Digite a mensagem que deseja exibir na caixa de texto.

O nmero mximo de caracteres, incluindo espaos e pontuao, 125.
A mensagem padro :
You are blocked from accessing the network because you
do not have the Symantec Client running. You will need to
install it.
Clique em OK.
10 Na caixa de dilogo Configuraes, na guia Autenticao, clique em OK.
965
966
Redirecionamento de solicitaes HTTP para uma pgina da Web

O appliance Gateway Enforcer oferece a opo de redirecionar solicitaes HTTP
para um servidor da Web interno caso o cliente tente acessar um site interno por
meio de um navegador e no houver um cliente sendo executado no cliente. Se
um URL no for especificado, uma mensagem pop-up do appliance Gateway
Enforcer ser exibida como um corpo HTML para a primeira pgina HTML. Talvez
voc deseje conectar usurios a uma pgina da Web que voc configurou. Os
clientes podem fazer download de um software de correo desse site. O appliance
Gateway Enforcer pode redirecionar a solicitao HTTP GET para um URL que
seja especificado.
Essa configurao fica ativada por padro.
Por exemplo, possvel redirecionar uma solicitao a um servidor da Web do
qual o cliente possa fazer download do software-cliente, dos patches ou das verses
atualizadas dos aplicativos.
na pgina 952.
Para redirecionar solicitaes HTTP para uma pgina da Web

Administrador.
Na caixa de dilogo Configuraes do gateway, na guia Autenticao,

selecione Ativar redirecionamento HTTP para o cliente se o cliente no
estiver sendo executado.
Digite o URL no campo URL de redirecionamento HTTP.

O host do URL de redirecionamento deve ser Symantec Endpoint Protection
Manager ou um endereo IP que seja listado como parte do intervalo de
endereo IP confivel interno.
O URL pode ter at 255 caracteres.
Se desejar especificar o nome de um servidor da Web, ative tambm Permitir
todos os pacotes de solicitaes DNS na guia Avanado.
Se voc deixar o campo URL vazio e clicar em OK, a seguinte mensagem ser
exibida:
The HTTP redirect URL must be a valid URL.
Ele tambm usar a mensagem pop-up do Gateway Enforcer como o corpo

HTML da primeira pgina HTML enviada de volta ao cliente.
Na caixa de dilogo Configuraes do gateway, na guia Autenticao, clique

em OK.

possvel fazer estas configuraes:
Endereos IP do cliente que o appliance Gateway Enforcer autentica.

Consulte Adio de intervalos de endereo IP do cliente lista de endereos
que necessitam de autenticao na pgina 971.
Endereos IP externos que o appliance Gateway Enforcer no autentica

Consulte Especificao de endereos IP externos e confiveis na pgina 975.
Endereos IP internos aos quais o Gateway Enforcer permite acesso.

Aps aplicar as configuraes, as alteraes sero enviadas ao appliance Gateway

Enforcer selecionado durante a prxima pulsao. Tenha em mente as seguintes
informaes:
A opo Somente autentique clientes com esses endereos IP selecionada

automaticamente por padro. Se mantiver essa opo selecionada, mas no
especificar endereos IP para autenticar, o appliance Gateway Enforcer atuar
como uma ponte de rede e permitir o acesso de todos os clientes.
Para Endereos do intervalo de endereos IP externos e confiveis, deve ser

adicionado o endereo IP do servidor VPN corporativo, assim como quaisquer
outros endereos IP que tm permisso de acesso rede da empresa sem
967
968
executar um cliente. Tambm possvel desejar incluir os dispositivos que

normalmente tm acesso rede e executam um sistema operacional diferente
do Windows.
Para Endereos do intervalo de endereos IP internos e confiveis, preciso

especificar endereos tais como um servidor de atualizaes, um servidor de
arquivos contendo arquivos de assinatura antivrus, um servidor usado para
correo ou um servidor DNS ou WINS necessrio para resolver nomes de
domnio ou de host.
Se voc especificar que o appliance Gateway Enforcer verifique se o perfil do

cliente est atualizado, os clientes podero precisar se conectar ao Symantec
Endpoint Protection Manager para fazer o download das polticas de segurana
mais recentes. Se usar essa opo ao consultar o Symantec Endpoint Protection
Manager por DNS ou nome de host, adicione o endereo IP do servidor DNS
ou do servidor WINS lista de IPs internos e confiveis.
Intervalos de endereos IP do cliente comparados a endereos IP

externos e confiveis
O Intervalo de endereos IP do cliente semelhante ao que se chama blacklist.
Voc pode especificar os endereos IP do cliente que dizem ao appliance Gateway
Enforcer para verificar somente endereos IP especficos para ver se esto sendo
executados no cliente e se cumprem as polticas de segurana necessrias. Se um
cliente no est na lista de IP do Cliente, como se ele tivesse atribudo um
endereo IP confivel.
Ao contrrio do intervalo de endereos IP do cliente, os endereos IP externos e
confiveis so semelhantes ao que se chama de whitelist. Se voc selecionar
Atribuio de endereos IP externos e confiveis, o appliance Gateway Enforcer
validar o cliente que tentar se conectar do lado externo, exceto clientes com
endereos IP externos e confiveis. Este processo o oposto do intervalo de
endereos IP do cliente, que comunica ao appliance Gateway Enforcer para somente
validar os clientes no intervalo de endereos IP do cliente.
Consulte Adio de intervalos de endereo IP do cliente lista de endereos que
necessitam de autenticao na pgina 971.
Quando usar os intervalos de endereos IP de cliente

O intervalo de endereos IP do cliente permite aos administradores especificar
um intervalo de endereos IP que represente os computadores que o appliance
Gateway Enforcer dever autenticar. Os computadores com endereos fora do
intervalo de endereos IP do cliente tm permisso para passar pelo appliance
Gateway Enforcer sem requerer o software-cliente ou outra autenticao.
As razes para usar o intervalo de endereos IP do cliente incluem:
Permitir acesso rede pelos sites externos
Autenticao de um subconjunto de clientes

Permitir acesso rede pelos sites externos

Uma razo para usar os intervalos de endereos IP do cliente permitir que sites
externos tenham acesso rede de dentro de sua rede interna. Se uma organizao
tem computadores na rede corporativa que acessam site na Internet atravs do
appliance Gateway Enforcer, como Symantec ou Yahoo, os clientes internos podem
consultar a Internet. Porm, o appliance Gateway Enforcer tenta autenticar os
sites que tentam responder solicitao do cliente.
Portanto, clientes internos que se conectem Internet por meio do appliance
Gateway Enforcer no sero capazes de acessar a Internet, a no ser que seja
configurado o intervalo de endereos IP do cliente.
O intervalo de endereos IP do cliente pode ser composto de todos os endereos
IP que um servidor VPN atribuiria a qualquer cliente.
Por exemplo, um cliente interno pode acessar a Internet se o intervalo de endereos
IP do cliente estiver configurado. Quando um usurio interno entrar em contato
com um site, o site poder responder ao cliente porque endereo IP est fora do
intervalo de endereos do cliente IP. Conseqentemente, o usurio interno no
precisa ser autenticado.
Autenticao de um subconjunto de clientes

Convm usar endereos IP do cliente para fazer com que o appliance Gateway
Enforcer autentique um subconjunto limitado de clientes em uma empresa.
possvel fazer o appliance Gateway Enforcer verificar apenas os clientes que se
conectam atravs de uma subrede onde j tenha sido instalado o cliente em todos
os computadores. Outros clientes que acessem a rede corporativa deste local tm
permisso para passar, sem requerer autenticao. Enquanto o cliente instalado
em outros clientes, voc pode adicionar seus endereos ao intervalo de endereos
IP do cliente ou usar uma estratgia de autenticao diferente.
969
970
Sobre os endereos IP confiveis

Voc trabalha com os seguintes tipos de endereos IP confiveis em um Gateway
Enforcer:
Endereos IP externos e confiveis

Um endereo IP externo e confivel o endereo IP de um computador externo
que tem permisso para acessar a rede da empresa sem executar o cliente.
Endereos IP internos e confiveis

Um endereo IP interno e confivel o endereo IP de um computador dentro
da rede da empresa que qualquer cliente externo pode acessar de fora.
Voc pode adicionar endereos IP confiveis de ambos os tipos no console do

Symantec Endpoint Protection Manager. O trfego para o console sempre
permitido atravs do appliance Gateway Enforcer.
Endereos IP externos e confiveis

Uma das principais responsabilidades de um appliance Gateway Enforcer verificar
se todos os computadores que tentam acessar a rede esto executando o cliente.
Alguns computadores podem no executar o sistema operacional Windows ou
podem no executar o cliente.
Por exemplo, os servidores sem fio ou VPN geralmente no executam o cliente.
Alm disso, uma configurao de rede pode incluir dispositivos que normalmente
acessam a rede e executam um sistema operacional diferente do Windows. Se
esses computadores precisarem ignorar um appliance Gateway Enforcer,
necessrio certificar-se de que o appliance Gateway Enforcer tenha informaes
sobre eles. Voc pode realizar esse objetivo criando um intervalo de endereos IP
externos e confiveis. Alm disso, necessrio tambm atribuir um endereo IP
do intervalo de endereo IP a um cliente.
Endereos IP internos e confiveis

Um endereo IP interno e confivel representa o endereo IP de um computador
dentro da rede corporativa que clientes externos podem acessar de fora. possvel
transformar certos endereos IP internos em endereos IP internos e confiveis.
Quando voc especifica endereos IP internos confiveis, os clientes podem obter
esse endereo IP fora da rede corporativa, independentemente das seguintes
situaes:
O software-cliente foi instalado no computador-cliente
O cliente est em conformidade com uma poltica de segurana
Os endereos IP internos e confiveis so endereos IP que voc deseja que pessoas

que esto fora da empresa possam acessar.
Exemplos de endereos internos que convm especificar como endereos IP
confiveis so:
Um servidor de atualizao
Um servidor de arquivos contendo arquivos de assinatura antivrus
Um servidor usado para correo
Um servidor DNS ou um servidor WINS solicitado para resolver o domnio ou

os nomes do host
Quando um cliente tenta acessar a rede interna e no obtm autenticao do

appliance Gateway Enforcer, o cliente poder ser colocado em quarentena nas
seguintes circunstncias:
O cliente no est executando o software-cliente no computador-cliente
A verificao de integridade do host falhou
O cliente no tem uma poltica atualizada
O cliente ainda tem permisso para acessar certos endereos IP, que so os
endereos IP internos e confiveis.
Por exemplo, o conceito de endereos IP internos e confiveis pode incluir um
cliente externo que necessite acessar a rede corporativa para chegar ao cliente
ou ao software de que precisa. O appliance Gateway Enforcer permite que o cliente
externo chegue a um computador que est na lista de endereos IP internos e
confiveis.
Adio de intervalos de endereo IP do cliente lista de endereos

que necessitam de autenticao
Voc pode especificar aqueles clientes com endereos IP para os quais o appliance
Gateway Enforcer faz a autenticao.
Voc deve ficar informado a respeito dos seguintes assuntos:
Marque a opo Ativar, localizada prxima ao endereo ou intervalo de IP, se

voc deseja que o endereo seja autenticado. Se voc deseja desativar
971
972
temporariamente a autenticao de um endereo ou intervalo, desmarque

Ativar.
Se digitar um endereo IP invlido, receber uma mensagem de erro quando

tentar adicion-lo lista de IP do cliente.
Consulte Quando usar os intervalos de endereos IP de cliente na pgina 968.

Para restringir o acesso de um cliente rede apesar da autenticao

Administrador.
Selecione e expanda os grupos do appliance Gateway Enforcer.
Na caixa de dilogo Configuraes de gateway, na guia Intervalo de

autenticao, na rea Autenticar intervalo de endereos IP do cliente,
marque Somente autentique clientes com esses endereos IP.
Se voc no marcar esta opo, os endereos IP listados sero ignorados.
Consequentemente, os clientes que tentam conectar-se rede sero
autenticados. Se voc marcar esta opo, o appliance Gateway Enforcer
autenticar somente os clientes com endereos IP que forem adicionados
lista.
Na caixa de dilogo Adicionar endereo IP individual, selecione Endereo

IP individual, Intervalo de IP ou Sub-rede.
Os campos mudam para permitir que voc insira as informaes apropriadas.
Selecione se adicionar:
Um endereo IP individual
Um intervalo de endereo IP
Um endereo IP e uma mscara de sub-rede
Digite um endereo IP individual, um endereo inicial e endereo final de um

intervalo, ou um endereo IP e uma mscara de sub-rede.
10 Clique em OK.
As informaes de endereo inseridas so adicionadas tabela de intervalo
de endereos IP do cliente, com a opo Ativar selecionada.
11 Continue clicando em Adicionar e especifique qualquer endereo ou intervalo

de IP de endereos que deseja que o Gateway Enforcer autentique.
12 Clique em OK.
Edio de intervalos de endereo IP de cliente na lista de endereos

possvel que voc tenha que editar os intervalos de endereo IP de cliente que
deseja autenticar.
Para editar intervalos de endereo IP de cliente na lista de endereos que necessitam
de autenticao
Selecione o grupo de Enforcers no qual deseja editar os intervalos de endereo

IP do cliente na lista de endereos que necessitam de autenticao.

autenticao, na rea Intervalo de endereos IP do cliente, clique em
qualquer parte da coluna de endereos IP e clique em Editar tudo.
Clique em OK.
Na caixa de dilogo Configuraes de gateway, clique em OK.
Remoo de intervalos de endereo IP do cliente da lista de endereos

Talvez seja necessrio remover os intervalos de endereo IP do cliente.
Para remover intervalos de endereo IP do cliente da lista de endereos que
necessitam de autenticao

Administrador.
973
974
Selecione o grupo do appliance Gateway Enforcer no qual deseja editar os

intervalos de endereo IP do cliente na lista de endereos que necessitam de
autenticao.

autenticao, na rea Intervalo de endereos IP do cliente, clique na linha
que contm o endereo IP que deseja remover.
Clique em Remover.
Clique em OK.
Adio de um endereo IP interno e confivel para clientes em um

A tabela de IP interno e confivel tem uma lista dos endereos IP internos com os
quais os clientes externos podem comunicar-se, independentemente de um cliente
estar em execuo ou ter sido aprovado na verificao de integridade do host.
Se voc executar dois appliances Gateway Enforcer em srie para que um cliente
se conecte por meio de mais de um appliance Gateway Enforcer, o appliance
Gateway Enforcer mais prximo ao Symantec Endpoint Protection Manager
precisar ser especificado como um endereo de IP interno e confivel do outro
appliance Gateway Enforcer. Se um cliente falhar na verificao de integridade
do host e, em seguida, for aprovado, voc poder ter at 5 minutos de atraso antes
que o cliente possa se conectar rede.
Consulte Sobre os endereos IP confiveis na pgina 970.
Para adicionar um endereo IP interno e confivel para clientes em um servidor de
gerenciamento

Administrador.
Selecione o grupo do appliance Gateway Enforcer no qual deseja editar os

intervalos de endereo IP do cliente na lista de endereos que necessitam de
autenticao.
Na caixa de dilogo Configuraes do gateway, na guia Intervalo de

autenticao, na rea Intervalo de endereos IP confivel, selecione
Intervalo de endereos IP interno e confivel na lista suspensa.
Na caixa de dilogo Configuraes de endereo IP, digite um endereo IP ou

um intervalo de endereos.
Clique em OK.
O endereo IP adicionado lista e uma marca de seleo exibida na coluna
Ativar.
10 Na caixa de dilogo Configuraes, clique em OK.
Especificao de endereos IP externos e confiveis

Se endereos IP externos e confiveis forem adicionados, o appliance Gateway
Enforcer permitir que os clientes nesses endereos IP conectem-se rede mesmo
sem executar um software-cliente.
Como o cliente no instalado em servidores VPN, preciso adicionar o IP do
servidor lista de IPs confiveis se voc tiver um servidor VPN que requer acesso
rede por meio de um Gateway Enforcer.
Se inserir um endereo IP vlido, voc receber uma mensagem de erro.
Nota: Primeiro, necessrio adicionar o endereo IP interno do servidor VPN no
campo Endereos IP externos e confiveis.
Para especificar endereos IP externos e confiveis

Administrador.
Selecione o grupo de Enforcers para o qual deseja especificar os endereos

IP externos e confiveis.

autenticao, na rea Intervalo de endereos IP confiveis, selecione
Intervalo de endereos IP externos e confiveis na lista suspensa.
Na caixa de dilogo Configuraes de endereo IP, digite um endereo IP ou

um intervalo de endereos.
975
976
Clique em OK.
O endereo IP adicionado lista e uma marca de seleo exibida na coluna
Ativar.
Edio de endereo IP interno e confivel ou endereo IP interno e

confivel
Talvez seja necessrio editar endereos IP internos e confiveis, bem como
endereos IP externos e confiveis.
Para editar um endereo IP interno e confivel ou um endereo IP externo e confivel

Administrador.
Selecione o grupo de Enforcers para o qual deseja editar um endereo IP

interno e confivel ou um endereo IP externo e confivel.

Intervalo de endereos IP internos e confiveis ou Intervalo de endereos
IP externos e confiveis na lista suspensa.
Os endereos para o tipo selecionado so exibidos na tabela.
Na tabela Intervalo de endereos IPs confiveis, clique em qualquer parte

da coluna de endereos IP e depois em Editar tudo.
Na caixa de dilogo Editor de endereo IP, localize os endereos que deseja

modificar e edite-os.
Clique em OK.
Remoo de um endereo IP interno e confivel ou um endereo IP

externo e confivel
Se voc no deseja mais permitir que usurios externos que no estejam totalmente
autenticados tenham acesso a um local interno determinado, remova o endereo
IP da tabela Endereo IP interno e confivel.
Para remover um endereo IP interno e confivel ou um endereo IP externo e
confivel

Administrador.
Selecione e expanda o grupo do appliance Gateway Enforcer.
Selecione o grupo de appliances Gateway Enforcer do qual deseja remover

um endereo IP interno e confivel ou um endereo IP externo e confivel.

Intervalo de endereos IP internos e confiveis ou Intervalo de endereos
IP externos e confiveis na lista suspensa.
Os endereos para o tipo selecionado so exibidos na tabela.
Na tabela, clique na linha que contm o endereo IP que deseja remover.
Clique em Remover.
Na caixa de dilogo Configuraes, clique em OK.
Ordem de verificao do intervalo de endereos IP

Se o intervalo de endereos IP do cliente e os endereos IP internos e confiveis
estiverem em uso, o appliance Gateway Enforcer verificar os endereos dos
clientes na ordem a seguir, quando um pacote de um cliente for recebido:
Se o intervalo de endereos IP do cliente estiver ativado, o appliance Gateway

Enforcer verificar a tabela de intervalo de endereos IP do cliente para
encontrar um endereo que corresponda ao IP de origem do cliente.
Se o intervalo de endereos IP do cliente no incluir um endereo IP para esse

cliente, o appliance Gateway Enforcer permitir o cliente sem autenticao.
977
978
Se o intervalo de endereos IP do cliente incluir um endereo IP para esse

cliente, o appliance Gateway Enforcer verificar, em seguida, o intervalo de
endereos IP externos e confiveis para um endereo correspondente.
Caso um endereo que corresponda ao cliente seja encontrado no intervalo de

endereos IP externos e confiveis, o appliance Gateway Enforcer permitir o
cliente.
Se nenhum endereo correspondente for encontrado no intervalo de endereos

IP externos e confiveis, o appliance Gateway Enforcer verificar em seguida
o endereo de destino em relao lista de intervalo de endereos IP internos
confiveis e lista de instncias do Symantec Endpoint Protection Manager.
Se um endereo correspondente no for localizado, o appliance Gateway
Enforcer iniciar a sesso de autenticao e o envio do pacote de desafio.

Sobre configuraes avanadas do appliance Gateway

Enforcer
possvel definir as seguintes configuraes avanadas do appliance Gateway
Enforcer:
Permitir todos os pacotes de solicitaes DHCP.
Permitir todos os pacotes de solicitaes DNS.
Permitir todos os pacotes de solicitaes ARP.
Permitir outros protocolos alm de IP e ARP.

Voc pode especificar os tipos de protocolos que deseja permitir no campo
Filtro.
Consulte Especificao dos tipos de pacote e protocolos na pgina 979.
Permitir clientes legados

Consulte Permisso para um cliente legado se conectar rede com um
Ativar a autenticao local

Consulte Ativao da autenticao local em um appliance Gateway Enforcer
na pgina 981.
Ativar atualizaes de horrio do sistema para clientes do appliance Gateway

Enforcer
Consulte Ativao das atualizaes de horrio do sistema para o appliance

Gateway Enforcer usando o Network Time Protocol na pgina 981.
Usar o Gateway Enforcer como um servidor da Web

Consulte Uso do appliance Gateway Enforcer como um servidor da Web
na pgina 982.
Usar o Gateway Enforcer como um servidor de spoofing de DNS

Consulte Uso do Gateway Enforcer como um servidor de spoofing de DNS
na pgina 983.
Quando essas configuraes forem aplicadas, as mudanas realizadas sero

enviadas ao appliance Gateway Enforcer selecionado durante a prxima pulsao.
Especificao dos tipos de pacote e protocolos

possvel especificar se o appliance Gateway Enforcer aceita que certos tipos de
pacotes passem sem solicitar execuo ou autenticao do cliente.
Consulte Sobre configuraes avanadas do appliance Gateway Enforcer
na pgina 978.
Para especificar os tipos de pacote e protocolos
No Symantec Endpoint Protection Manager, clique em Administrador.
Selecione e expanda o grupo do appliance Gateway Enforcer.
Selecione o grupo de appliances Gateway Enforcer para o qual voc quer

especificar os tipos de pacote e protocolos.
Na caixa de dilogo Configuraes de gateway, na guia Avanado, marque

ou desmarque os tipos de pacotes ou protocolos a seguir:
Permitir todos os pacotes de solicitaes DHCP

Quando ativado, o appliance Gateway Enforcer encaminha todas as
solicitaes DHCP da rede externa para a rede interna. Visto que a
desativao dessa opo impede que o cliente obtenha um endereo IP e
j que o cliente requer um endereo IP para se comunicar com um appliance
Gateway Enforcer, recomenda-se deixar essa opo ativada.
Permitir todos os pacotes de solicitaes DNS

Quando ativado, o Enforcer encaminha todas as solicitaes DNS da rede
externa para a rede interna. Esta opo dever ser ativada se o cliente for
configurado para se comunicar com o Symantec Endpoint Protection
979
980
Manager pelo nome em vez de pelo endereo IP. Essa opo tambm dever
ser ativada se desejar usar a opo Solicitaes de redirecionamento
HTTP na guia Autenticao.
Permitir todos os pacotes de solicitaes ARP

Quando essa opo ativada, o appliance Gateway Enforcer permite todos
os pacotes ARP da rede interna. Do contrrio, o appliance Gateway Enforcer
trata o pacote como um pacote IP normal e usa o IP do remetente como
IP de origem e o IP alvo como o IP de destino ao efetuar o processo de
autenticao.
Permitir outros protocolos alm de IP e ARP

Quando essa opo ativada, o appliance Gateway Enforcer encaminha
todos os pacotes com outros protocolos. Caso contrrio, eles so
eliminados.
A configurao padro desativada.
Se voc marcou Permitir outros protocolos alm de IP e ARP, convm
preencher o campo Filtro. Voc pode focalizar o campo para ver exemplos,
alguns dos quais esto a seguir.
Exemplos: permitir 800, 224.12.21, 900-90d,
224.21.20-224-12.21.100; bloquear 810, 224.12.21.200
Clique em OK.
Permisso para um cliente legado se conectar rede com um appliance

Gateway Enforcer
Voc pode ativar um appliance Gateway Enforcer para se conectar aos clientes
legados 5.1.x. Se sua rede oferecer suporte a um Symantec Endpoint Protection
Manager 11.0.2, um appliance Symantec Gateway Enforcer, e precisar oferecer
suporte aos clientes legados 5.1.x, voc poder ativar o suporte de clientes legados
5.1.x no console do servidor de gerenciamento para que o appliance Symantec
Gateway Enforcer no os bloqueie.
na pgina 978.
Para permitir que um cliente legado se conecte rede com um appliance Gateway
Enforcer

Administrador.
Na caixa de dilogo Configuraes, na guia Avanado, marque Permitir

cliente legado.
Clique em OK.
Ativao da autenticao local em um appliance Gateway Enforcer

Com a autenticao local ativada, o appliance Gateway Enforcer perde sua conexo
com o servidor em que o Symantec Endpoint Protection Manager est instalado.
Portanto, o appliance Gateway Enforcer autentica um cliente localmente.
na pgina 978.
Para ativar a autenticao local em um appliance Gateway Enforcer
Na caixa de dilogo Configuraes, na guia Avanado, selecione Ativar a

autenticao local.
Clique em OK.
Ativao das atualizaes de horrio do sistema para o appliance

Gateway Enforcer usando o Network Time Protocol
Com o Network Time Protocol (NTP) ativado, os relgios do appliance Gateway
Enforcer podem ser atualizados para o horrio correto. Esta configurao
desativada por padro, mas pode ser substituda se estiver especificada em uma
poltica de grupo.
na pgina 978.
Para ativar atualizaes do horrio para o appliance Gateway Enforcer do Symantec
Em Servidores, selecione e expanda o grupo de appliances Gateway Enforcer.
981
982
Na guia Avanado, selecione Ativar o Network Time Protocol.
Digite o endereo IP ou o nome de domnio totalmente qualificado do servidor

NTP.
Clique em OK.
No console do Enforcer, possvel temporariamente mudar esta configurao

para ajudar a solucionar problemas de sincronizao de hora. Na linha de comando
do console do Enforcer, digite Enforcer (configure)# ntp.
Uso do appliance Gateway Enforcer como um servidor da Web

Voc pode usar o appliance Gateway Enforcer como um servidor da Web que se
comunique com o Symantec Endpoint Protection Manager e que sirva os agentes
On-Demand. Como um servidor da Web, o Enforcer interrompe o encaminhamento
de trfego que no seja do Enforcer da rede interna e externa, mas continua a
comunicar-se com o Symantec Endpoint Protection Manager. A capacidade de
atuar como um servidor da Web particularmente til em ambientes 802.1x
quando voc quer implementar o Enforcer em uma VLAN e servir clientes
On-Demand aos usurios convidados
Para usar o appliance Gateway Enforcer como um servidor da Web, desative a
imposio de convidado. Voc poder ativar a imposio de convidado quando
desejar voltar a usar o appliance Gateway Enforcer para aplicar o acesso do
convidado.
na pgina 978.
Para usar o appliance Gateway Enforcer como um servidor da Web
Faa logon no appliance Gateway Enforcer como superusurio.
Digite este comando:

Enforcer#configure advanced

Enforcer (advanced)#guest-enf disable
Para ativar a imposio de convidado, digite o comando a seguir:

Enforcer(advanced)# guest_enf enable
Para verificar o status da imposio de convidado, digite o comando a seguir:
Enforcer(advanced)# show status
O status pode ser OFFLINE ou ONLINE com um status ACTIVE, STANDBY ou

GUEST ENFORCEMENT.
Uso do Gateway Enforcer como um servidor de spoofing de DNS

Quando uma imposio de convidado ativada, o Gateway Enforcer fornece a
funcionalidade de spoofing de DNS. Voc no pode usar este recurso a menos que
a aplicao do convidado esteja ativada.
O modo ativado faz o roteamento dos pedidos de URL para o Gateway Enforcer
em vez de rote-los para um site de correo. Para ativar esta funcionalidade,
necessrio fornecer um endereo IP como resposta em um pacote de resposta do
DNS.
Consulte Estabelecimento de comunicao entre um appliance Gateway Enforcer
e um Symantec Endpoint Protection Manager atravs de uma lista de servidores
de gerenciamento e o arquivo conf.properties na pgina 950.
Para usar o Gateway Enforcer como um servidor de spoofing de DNS
Faa logon no appliance Gateway Enforcer como superusurio.

Enforcer#configure advanced

Enforcer (avanado)# ativar spoofing de dns |usar_ip_local |
ip_de_spoofing_de_dns
Voc pode usar o endereo IP do Gateway Enforcer ou definir um endereo

IP personalizado.
Para usar o endereo IP do Gateway
Enforcer
Enforcer (advanced)# dns-spoofing

use-local-ip enable
Para definir um endereo IP

personalizado
Enforcer (advanced)#
dns-spoofing-ipENDEREO IP
Onde:
ENDEREO IP seu endereo IP selecionado
Para desativar o spoofing de DNS, digite o comando a seguir:

Enforcer (advanced)# dns-spoofing disable
Para verificar o status do spoofing de DNS, digite o comando a seguir:
Enforcer (advanced)# show
983
984
O status mostra o recurso de spoofing de DNS como ENABLED ou DISABLED.
Captulo
48
Planejamento da instalao
para o appliance LAN
Enforcer
Planejamento da instalao de um appliance LAN Enforcer
Planejamento de failover para appliances LAN Enforcer e servidores Radius
Planejamento da instalao de um appliance LAN

Enforcer
O appliance LAN Enforcer pode executar a autenticao do host e agir como um
pseudo-servidor RADIUS (mesmo sem um servidor RADIUS). O cliente do Enforcer
atua como suplicante 802.1x. Ele responde com o status de Integridade do host e
com as informaes do nmero da poltica ao estmulo do Extensible
Authentication Protocol (EAP) do alternador. O endereo IP do servidor RADIUS
definido para 0 nesse caso e nenhuma autenticao de usurio EAP tradicional
executada. O appliance LAN Enforcer verifica a Integridade do host. Ele poder
permitir, bloquear ou atribuir dinamicamente uma VLAN, de acordo com os
resultados da verificao de Integridade do host.
Uma outra configurao tambm est disponvel. possvel usar um appliance
LAN Enforcer com um servidor RADIUS para aplicar a autenticao 802.1x EAP
internamente em uma rede corporativa. Se um appliance LAN Enforcer for usado
nesta configurao, ser necessrio posicion-lo de modo que ele possa se
comunicar com o servidor RADIUS.
986
Planejamento da instalao para o appliance LAN Enforcer

Se o alternador oferecer suporte para alternao dinmica de VLAN, ser possvel

configurar VLANs adicionais e acess-las no appliance LAN Enforcer. O alternador
pode colocar dinamicamente o cliente em uma VLAN, de acordo com a resposta
do appliance LAN Enforcer. possvel adicionar VLANs para quarentena e correo.
H diversos tipos de informaes de planejamento que podem ajudar a implementar
appliances LAN Enforcer em uma rede.
Nota: Nota: se estiver fazendo o upgrade de clientes Symantec Sygate Endpoint
Protection 5.1, voc dever primeiro fazer upgrade do Symantec Endpoint
Protection Manager, depois dos Enforcers e s ento dos clientes, movendo-os
primeiro para a verso 11.x. Depois que o Symantec Endpoint Protection Manager
e os Enforcers estiverem na verso 11.x, ser necessrio selecionar a opo
Permitir clientes legados no menu Enforcer antes de realizar a etapa final. Em
seguida, conclua o upgrade para a verso atual.
Consulte Onde colocar appliances LAN Enforcer na pgina 986.
Onde colocar appliances LAN Enforcer

Um appliance LAN Enforcer atua como um proxy RADIUS. Os administradores
geralmente usam o appliance LAN Enforcer com um servidor RADIUS para aplicar
o protocolo de autenticao extensvel (EAP, Extensible Authentication Protocol)
802.1x em uma rede da empresa. Se voc usar um appliance LAN Enforcer nesta
configurao, ele dever ser capaz de se comunicar com o servidor RADIUS.
Por exemplo, possvel conectar um appliance LAN Enforcer a um alternador de
LAN compatvel com 802.1x em uma VLAN interna com um Symantec Endpoint
Protection Manager, um servidor RADIUS e clientes. O computador que no tiver
o software-cliente no poder se conectar rede. No entanto, o cliente direcionado
ao servidor de correo do qual pode obter o software de que necessita para estar
em conformidade.
A Figura 48-1 mostra um exemplo de onde se pode colocar o appliance LAN
Enforcer na configurao geral da rede interna.

Figura 48-1
Colocao de appliances LAN Enforcer
Clientes
VLAN de correo
Alternador
compatvel com
802.1x com portas
com dot1x ativado
para clientes
internos
Servidor
RADIUS
VLAN de correo
Appliance LAN
Enforcer (proxy
RADIUS)
Se o alternador oferecer suporte para alternao dinmica de VLAN, ser possvel

configurar VLANs adicionais no alternador compatvel com 802.1x e acess-las
no appliance LAN Enforcer. O alternador compatvel com 802.1x pode colocar
dinamicamente o cliente em uma VLAN depois de receber uma resposta do servidor
RADIUS. Alguns alternadores compatveis com 802.1x tambm incluem um recurso
987
988

VLAN padro ou convidado (guest VLAN). Se um cliente no tiver suplicante

802.1x, o alternador compatvel com 802.1x pode colocar o cliente na VLAN padro.
possvel instalar o appliance LAN Enforcer para que possa ativar a autenticao
EAP em toda a rede com equipamentos que j foram implementados. Os appliances
LAN Enforcer podem operar com os servidores RADIUS, suplicantes 802.1x e
alternadores compatveis com 802.1x existentes. Eles executam a autenticao
em nvel de computador. Ele certifica a conformidade do cliente com relao s
Por exemplo, ele verifica se o software antivrus est atualizado com as atualizaes
mais recentes do arquivo de assinatura e dos patches de software necessrios. O
suplicante 802.1x e o servidor Radius executam a autenticao em nvel de usurio.
Ele verifica se os clientes que tentam se conectar rede so aqueles que dizem
ser.
Como alternativa, o appliance LAN Enforcer tambm pode operar em modo
transparente, eliminando a necessidade de um servidor RADIUS. Em modo
transparente, o cliente passa informaes de integridade do host para o alternador
compatvel com 802.1x em resposta ao estmulo EAP. O alternador encaminha as
informaes para o LAN Enforcer. O appliance LAN Enforcer envia os resultados
da autenticao de volta ao alternador compatvel com 802.1x. As informaes
que o appliance LAN Enforcer envia so baseadas nos resultados da validao de
integridade do host. Portanto, o appliance LAN Enforcer no necessita
comunicar-se com o servidor RADIUS.
As seguintes configuraes esto disponveis para um appliance LAN Enforcer:
Modo 802.1x completo

Essa configurao exige um servidor RADIUS e um suplicante 802.1x de
terceiros. Tanto a autenticao de usurio EAP tradicional quanto a validao
de integridade do host Symantec so executadas.
Modo transparente
Essa configurao no exige um servidor RADIUS nem a utilizao de
suplicantes 802.1x de terceiros. Apenas a validao de integridade do host
realizada.
Voc pode considerar os seguintes problemas:
Voc tem clientes como impressoras e telefones IP que no tm suplicantes

802.1x sendo executados?
Considere usar a autenticao MAB.
Voc tem clientes como impressoras e telefones IP que no tm suplicantes

802.1x personalizados sendo executados?
Considere configurar a opo para ignorar a verificao do Symantec NAC
Client.

Voc pensa em instalar um suplicante 802.1x em cada computador?

Se voc planejar ter um suplicante 802.1x instalado em cada computador,
poder usar o modo 802.1x completo.
Voc deseja executar uma autenticao em nvel de usurio, alm da verificao

da integridade do host?
Se voc desejar executar uma autenticao em nvel de usurio, alm da
verificao da integridade do host, ser necessrio usar o modo 802.1x
completo.
Voc pensa em utilizar um servidor RADIUS na configurao da rede?

Se voc planejar usar o servidor RADIUS na configurao de rede, poder usar
o modo 802.1x completo ou o modo transparente. Se no pensa em usar um
servidor RADIUS na configurao da rede, use o modo transparente.
Planejamento de failover para appliances LAN

Enforcer e servidores Radius
Se voc instalou dois appliances LAN Enforcer em uma rede, o failover controlado
atravs do alternador compatvel com 802.1x. Um alternador compatvel com
802.1x pode suportar um grande nmero de appliances LAN Enforcer. Voc pode
facilmente sincronizar as configuraes de appliances LAN Enforcer no Symantec
Endpoint Protection Manager com o uso de configuraes de sincronizao.
Se voc quiser sincronizar as configuraes de um appliance LAN Enforcer com
outro appliance LAN Enforcer, especifique o mesmo nome de grupo no console
do Enforcer.
Se voc usar um servidor RADIUS em sua rede, faa com que o servidor RADIUS
fornea a capacidade de failover, configurando o appliance LAN Enforcer para se
conectar a diversos servidores RADIUS. Se todos os servidores RADIUS que esto
configurados para esse appliance LAN Enforcer forem desativados, o alternador
presumir que o appliance LAN Enforcer est desativado. Consequentemente, o
alternador compatvel com 802.1x se conectar a um appliance LAN Enforcer
diferente que fornea o suporte adicional de failover.
Onde colocar servidores Radius para fazer failover em uma rede

A Figura 48-2 descreve como fornecer failover para appliances LAN Enforcer.
989
990

Figura 48-2
Colocao de dois servidores Radius
Clientes
VLAN de correo
Servidor de
correo
Alternador
compatvel
com 802.1x
com portas
com dot1x
ativado para
clientes
internos
Servidor
RADIUS
Appliance LAN
Enforcer (proxy
RADIUS)
Symantec Endpoint
Protection Manager
Servidor
RADIUS
sobressalente

Consulte Planejamento de failover para appliances LAN Enforcer e servidores

Radius na pgina 989.
991
992

Captulo
49
Para configurar o appliance

LAN Enforcer no Symantec
Endpoint Protection
Manager
Sobre como configurar o Symantec LAN Enforcer no console do Symantec

Sobre a configurao de servidores RADIUS em um appliance LAN Enforcer
Sobre a configurao de pontos de acesso sem fio 802.1x em um appliance LAN

Enforcer
Alterao das configuraes do LAN Enforcer no Symantec Endpoint Protection

Manager
Uso das configuraes gerais
Uso das configuraes de grupo do servidor RADIUS
Uso das configuraes do alternador
Uso das configuraes avanadas do appliance LAN Enforcer
Configurao de endereos MAC e desvio da autenticao MAC (MAB) no LAN

Enforcer
Uso da autenticao 802.1x
994
Para configurar o appliance LAN Enforcer no Symantec Endpoint Protection Manager

Sobre como configurar o Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager
Sobre como configurar o Symantec LAN Enforcer no

console do Symantec Endpoint Protection Manager
Voc pode adicionar ou editar as configuraes do LAN Enforcer no console do
Symantec Endpoint Protection Manager. O Symantec Endpoint Protection Manager
chamado tambm de servidor de gerenciamento.
Para continuar, conclua as seguintes tarefas:
Instale o software do Symantec Endpoint Protection Manager em um

computador.
na pgina 99.
instalado chamado tambm como servidor de gerenciamento.
Conectar o appliance Symantec LAN Enforcer rede.

Configurar o appliance Symantec LAN Enforcer no console local do LAN

Enforcer durante a instalao.
Aps concluir essas tarefas, ser possvel especificar todas as definies adicionais
de configurao do appliance LAN Enforcer em um servidor de gerenciamento.
Sobre a configurao de servidores RADIUS em um

possvel modificar as definies do LAN Enforcer no console do Symantec
Endpoint Protection. O Enforcer deve estar instalado e conectado ao Symantec
Endpoint Protection Manager antes que voc possa configur-lo para aplicar
polticas de integridade do host no cliente.
Podero ser configuradas as seguintes opes para o LAN Enforcer:
Definir a descrio do grupo do Enforcer, a porta de escuta e a lista do servidor

de gerenciamento.
Configure o grupo de servidor RADIUS. Voc configura o nome do host ou o

endereo IP, a porta de autenticao, o tempo limite, o segredo compartilhado
e o nmero de retransmisses. Se estiverem configurados vrios servidores
no grupo e um deles falhar, o LAN Enforcer se conectar ao prximo servidor
da lista.

Sobre a configurao de pontos de acesso sem fio 802.1x em um appliance LAN Enforcer
Configurar um alternador ou grupo de alternadores.
Configurar para ativar logs e especificar parmetros de arquivos de log.
Ativar e desativar a autenticao local e os clientes legados.
Configurar o LAN Enforcer que funcione como um cliente NTP.
Se uma configurao se referir a um alternador compatvel com 802.1x, as mesmas

instrues se aplicaro configurao dos pontos de acesso sem fio.
Consulte Sobre a configurao de pontos de acesso sem fio 802.1x em um
appliance LAN Enforcer na pgina 995.
Sobre a configurao de pontos de acesso sem fio

802.1x em um appliance LAN Enforcer
O appliance LAN Enforcer oferece suporte a vrios protocolos sem fio, que incluem
WEP 56, WEP 128 e WPA/WPA2 com 802.1x.
Voc poder configurar um LAN Enforcer para que ele proteja o ponto de acesso
(AP) sem fio da mesma maneira que ele protege um comutador se as seguintes
condies forem atendidas:
A rede incluir um appliance LAN Enforcer sem fio com 802.1x.
Os clientes sem fio executam um suplicante que oferece suporte a um desses

protocolos.
O AP sem fio suporta um destes protocolos.
Para conexes sem fio, o autenticador a porta LAN lgica no AP sem fio.
Configure um AP sem fio para 802.1x e para alternadores da mesma maneira.
Inclua os APs sem fio s configuraes do LAN Enforcer como parte de um perfil
do alternador. Sempre que uma instruo ou parte da interface do usurio se
referir a um alternador, use a terminologia similar de AP sem fio. Por exemplo,
caso for orientada a seleo de um modelo de alternador, selecione o de um AP
sem fio. Se o fornecedor do AP sem fio estiver listado, selecione-o para o modelo.
Se o fornecedor no estiver relacionado, escolha Outros.
A configurao de AP sem fio para 802.1x e para alternadores inclui as seguintes
diferenas:
Apenas a configurao bsica suportada.

O modo transparente no suportado.
Pode haver diferenas no suporte a VLANs, dependendo do AP sem fio.
995
996

Alterao das configuraes do LAN Enforcer no Symantec Endpoint Protection Manager
Alguns alternadores dinmicos da VLAN podem solicitar que se configure o

AP com vrios SSIDs (Service Set Identifiers). Cada SSID associado a uma
VLAN.
Consulte a documentao que acompanha o alternador dinmico da VLAN.
Dependendo do modelo de AP sem fio usado, ser possvel usar uma das seguintes
opes de controle de acesso em vez de uma VLAN:
listas de controle de Alguns APs sem fio tm suporte para ACLs que permitem ao
acesso (ACLs, Access administrador de rede definir polticas para o gerenciamento do
Control Lists)
trfego na rede. possvel usar a opo genrica no LAN Enforcer
ao selecionar o nome do fornecedor do AP sem fio. Como alternativa,
possvel selecionar Outros para o modelo de alternador compatvel
com 802.1x (se no estiver relacionado).
A opo genrica envia um identificador de atributo genrico com
o ID ou o nome de VLAN para o ponto de acesso. Assim, possvel
personalizar o ponto de acesso. Agora o ponto de acesso pode ler o
identificador de atributo genrico para o ID da VLAN e
correspond-la com o ID da ACL do WAP sem fio. A tabela de aes
do alternador pode ser usada como uma tabela de aes da ACL.
Pode ser necessria uma configurao adicional no AP sem fio ou
no controlador de AP. Por exemplo, talvez seja preciso mapear o
identificador de RADIUS que enviado ao AP sem fio no controlador
de AP.
Consulte a documentao do AP sem fio para obter mais detalhes.
MAC nvel 802.1x
possvel conectar o AP sem fio a um alternador que oferea suporte

a MAC nvel 802.1x. Para essa implementao, desative o 802.1x no
AP sem fio. possvel us-lo apenas no alternador. O alternador
ento autentica os clientes sem fio pelo reconhecimento dos novos
endereos MAC. Aps autenticar um endereo MAC, ele coloca esse
endereo MAC na VLAN especificada, e no em toda a porta. Cada
novo endereo MAC deve ser autenticado. Essa opo no to
segura, mas permite que se use o recurso de alternao da VLAN.

Alterao das configuraes do LAN Enforcer no

possvel alterar as definies de configurao do LAN Enforcer em um servidor
de gerenciamento. O download das definies de configurao feito

Alterao das configuraes do LAN Enforcer no Symantec Endpoint Protection Manager
automaticamente do servidor de gerenciamento para o appliance LAN Enforcer

durante a prxima pulsao.
Para alterar as configuraes do LAN Enforcer no Symantec Endpoint Protection
Manager

Administrador.
Selecione o grupo de Enforcers do qual o appliance do LAN Enforcer membro.

O grupo do Enforcer deve incluir o LAN Enforcer cujas definies de
configurao precisam ser alteradas.
Selecione o appliance LAN Enforcer cujas configuraes precisam ser

alteradas.

A caixa de dilogo Configuraes do LAN Enforcer fornece as seguintes
categorias de definies de configurao:
Geral
Essa guia fornece as seguintes configuraes do LAN Enforcer:
Nome do grupo para appliances LAN Enforcer
Porta de escuta
Descrio do grupo do appliance LAN Enforcer
Seleo da lista de servidores de gerenciamento usada pelo

LAN Enforcer
Consulte Uso das configuraes gerais na pgina 998.

Grupo de servidor Essa guia fornece as seguintes configuraes do LAN Enforcer:
RADIUS
Nome do grupo de servidor RADIUS
Nome do host ou endereo IP do servidor RADIUS
Nmero de porta do servidor RADIUS
Nome amigvel do servidor RADIUS
Consulte Uso das configuraes de grupo do servidor RADIUS

na pgina 1003.
997
998

Alternador
Essa guia fornece as seguintes configuraes do LAN Enforcer:
Ativar a poltica de switch
O nome da poltica de switch
O modelo do alternador, selecionado de uma lista de

alternadores suportados
O segredo compartilhado
O grupo de servidor RADIUS
O perodo de tempo limite da reautenticao
Se o alternador encaminha outros protocolos alm do EAP

(Extensible Authentication Protocol).
Endereo do alternador
A VLAN no alternador
Ao
Consulte Uso das configuraes do alternador na pgina 1011.

Avanado
Essa guia fornece as seguintes configuraes avanadas do LAN

Enforcer:
Configurar desvio da autenticao MAC (MAB)
Especificar endereos MAC e VLANs
Permitir cliente legado
Ativar a autenticao local
Configurar o protocolo de tempo de rede
Consulte Uso das configuraes avanadas do appliance LAN

Configuraes de
log
Configuraes para ativar os logs do servidor, os logs de

atividades do cliente e para especificar os parmetros de arquivos
de log.
Consulte Definio das configuraes do log do Enforcer
na pgina 1058.

Voc pode adicionar ou editar a descrio de um appliance LAN Enforcer ou de
um grupo do appliance LAN Enforcer no Console do Symantec Endpoint Protection
Manager.
Consulte Adio ou edio da descrio de um grupo do Enforcer com um LAN

Consulte Adio ou edio da descrio de um LAN Enforcer na pgina 1001.

Estabelea uma porta de escuta usada para a comunicao entre o alternador de
VLAN e o appliance LAN Enforcer.
Consulte Especificao de uma porta de escuta para a comunicao entre um
alternador VLAN e um LAN Enforcer na pgina 1000.
Porm, voc no pode adicionar ou editar o nome de um grupo do appliance LAN
Enforcer no Console do Symantec Endpoint Protection Manager. Voc no pode
adicionar ou editar o endereo IP ou o nome do host de um appliance LAN Enforcer
no Console do Symantec Endpoint Protection Manager. Em vez disso, execute
essas tarefas no console do Enforcer.
Consulte Adio ou edio do nome de um grupo do appliance LAN Enforcer com
um LAN Enforcer na pgina 999.
Entretanto, possvel modificar o endereo IP ou o nome do host de um LAN
Enforcer no console do Enforcer somente durante a instalao. Se em outro
momento desejar modificar o endereo IP ou nome do host de um LAN Enforcer,
ser possvel faz-lo no console do LAN Enforcer.
Consulte Adio ou edio do endereo IP ou nome do host de um LAN Enforcer
na pgina 1001.
No entanto, voc pode adicionar ou editar o endereo IP ou o nome do host de um
Symantec Endpoint Protection Manager em uma lista de servidores de
gerenciamento.
Consulte Como conectar o LAN Enforcer a um Symantec Endpoint Protection
Adio ou edio do nome de um grupo do appliance LAN Enforcer

com um LAN Enforcer
Voc no pode adicionar ou editar o nome de um grupo do appliance LAN Enforcer
do qual o appliance LAN Enforcer membro. Essas tarefas so executadas no
console do Enforcer durante a instalao. Se em outro momento voc desejar
modificar o nome de um grupo do appliance LAN Enforcer, ser possvel faz-lo
no console do Enforcer.
Todos os Enforcers de um grupo compartilham as mesmas configuraes.
999
1000

Especificao de uma porta de escuta para a comunicao entre um

alternador VLAN e um LAN Enforcer
Ao definir as configuraes para um LAN Enforcer, especificam-se as seguintes
portas de escuta:
A porta de escuta usada para a comunicao entre um alternador de VLAN e

um LAN Enforcer.
O alternador de VLAN envia um pacote RADIUS porta UDP.
A porta de escuta usada para a comunicao entre o LAN Enforcer e um servidor

RADIUS.
Especifica-se essa porta ao determinar um servidor RADIUS.
Se o servidor RADIUS estiver instalado no servidor de gerenciamento, ele no

deve ser configurado para usar a porta 1812. Os servidores RADIUS so
configurados para usar a porta 1812 como a configurao padro. Como o servidor
de gerenciamento tambm usa a porta 1812 para se comunicar com o LAN Enforcer,
haver um conflito.
Para especificar uma porta de escuta usada para a comunicao entre um alternador
de VLAN e um LAN Enforcer

Administrador.
Em Servidores, selecione o grupo do Enforcer.
Na caixa de dilogo Configuraes de LAN Enforcer, na guia Geral, digite o

nmero da porta UDP que voc deseja atribuir no campo Porta de escuta.
A configurao padro para a porta 1812. O intervalo de 1 a 65535.
Clique em OK.
Adio ou edio da descrio de um grupo do Enforcer com um LAN

Enforcer
appliance Symantec LAN Enforcer membro. Voc pode executar esta tarefa no
console do Symantec Endpoint Protection Manager em vez do console do LAN
Enforcer.

Para adicionar ou editar a descrio de um grupo do Enforcer com um LAN Enforcer

Administrador.
Selecione e expanda o grupo do Enforcer cuja descrio voc deseja adicionar

ou editar.

descrio para o grupo do Enforcer no campo Descrio.
Clique em OK.
Adio ou edio do endereo IP ou nome do host de um LAN Enforcer

possvel modificar o endereo IP ou nome do host de um LAN Enforcer no console
do Enforcer somente durante a instalao. Se em outro momento desejar modificar
o endereo IP ou nome do host de um LAN Enforcer, ser possvel faz-lo no
console do LAN Enforcer.
Adio ou edio da descrio de um LAN Enforcer

possvel adicionar ou editar a descrio de um LAN Enforcer. Voc pode executar
esta tarefa no console do Symantec Endpoint Protection Manager em vez do
console do LAN Enforcer. Aps concluir essa tarefa, a descrio ser exibida no
campo Descrio do painel Servidor de gerenciamento.
Para adicionar ou editar a descrio de um LAN Enforcer

Administrador.
Selecione e expanda o grupo de Enforcer que inclui o LAN Enforcer cuja

descrio voc deseja adicionar ou editar.
Selecione o LAN Enforcer cuja descrio voc quer adicionar ou editar.
1001
1002


para o LAN Enforcer no campo Descrio.
Clique em OK.
Como conectar o LAN Enforcer a um Symantec Endpoint Protection

Manager
Os Enforcers devem poder conectar-se aos servidores em que o Symantec Endpoint
Protection Manager est instalado. O Symantec Endpoint Protection Manager usa
uma lista de servidores de gerenciamento para ajudar a gerenciar o trfego entre
clientes, servidores de gerenciamento e Enforcers opcionais, como o LAN Enforcer.
A lista de servidores de gerenciamento especifica a qual Symantec Endpoint
Protection Manager um LAN Enforcer conecta-se. Especifica tambm a qual
Symantec Endpoint Protection Manager um LAN Enforcer conecta-se em caso de
falha de um servidor de gerenciamento.
Se um administrador tiver diversas listas de servidores de gerenciamento,
possvel selecionar a lista de servidores de gerenciamento especfica que inclui
os endereos IP ou nomes do host desses servidores de gerenciamento aos quais
deseja que o LAN Enforcer se conecte. Se houver apenas um servidor de
gerenciamento em um site, ser possvel selecionar a lista de servidores de
gerenciamento padro. Voc tambm pode selecionar a lista de servidores de
gerenciamento nos quais voc quer que um grupo do Enforcer transite, fazendo
escolhas na mesma caixa de dilogo.
Para conectar o LAN Enforcer a um Symantec Endpoint Protection Manager

Administrador.

O grupo de Enforcer deve incluir o LAN Enforcer para o qual voc quer mudar
a lista de servidores de gerenciamento.

a lista de servidores de gerenciamento que voc deseja que este LAN Enforcer
use.

Na guia Geral, em Comunicao, clique em Selecionar.

Clique em OK.

possvel configurar o LAN Enforcer para que se conecte a um ou mais servidores
RADIUS.
necessrio especificar servidores RADIUS como parte de um grupo de servidor
RADIUS. Cada grupo pode conter um ou mais servidores RADIUS. O objetivo de
um grupo de servidor RADIUS o de fazer com que servidores RADIUS
proporcionem capacidade de failover. Se um servidor RADIUS no grupo de servidor
RADIUS se torna indisponvel, o LAN Enforcer tenta se conectar com outro que
faa parte do grupo de servidor RADIUS.
Voc pode adicionar editar e excluir o nome de um grupo de servidor RADIUS no
Console do Symantec Endpoint Protection Manager.
Consulte Adio de um nome do grupo de servidor RADIUS e de um servidor
RADIUS na pgina 1004.
Consulte Edio do nome de um grupo de servidor RADIUS na pgina 1006.
Consulte Excluso do nome de um grupo de servidor RADIUS na pgina 1010.
O nome, o nome do host, o endereo IP, o nmero da porta de autenticao e o
segredo compartilhado de um servidor RADIUS podem ser adicionados, editados
e excludos no console do Symantec Endpoint Protection Manager.
Consulte Adio de um nome do grupo de servidor RADIUS e de um servidor
RADIUS na pgina 1004.
Consulte Edio do nome amigvel de um servidor RADIUS na pgina 1006.
Consulte Edio do nome do host ou endereo IP de um servidor RADIUS
na pgina 1007.
Consulte Edio do nmero da porta de autenticao de um servidor RADIUS
na pgina 1007.
Consulte Edio do segredo compartilhado de um servidor RADIUS na pgina 1008.
Consulte Excluso de um servidor RADIUS na pgina 1010.
1003
1004

Adio de um nome do grupo de servidor RADIUS e de um servidor

RADIUS
possvel adicionar um nome de grupo de servidor RADIUS e um servidor RADIUS
ao mesmo tempo.
Consulte Uso das configuraes de grupo do servidor RADIUS na pgina 1003.
Para adicionar um nome de grupo de servidor RADIUS e um servidor RADIUS
No Symantec Endpoint Protection Manager, clique em Admin.
Selecione o grupo de Enforcer.
Na caixa de dilogo Configuraes de LAN Enforcer, na guia Grupo de

servidor RADIUS, clique em Adicionar.
O nome do grupo de servidor RADIUS e o endereo IP de um servidor RADIUS
existente aparecem na tabela.
Na caixa de dilogo Adicionar grupo de servidor RADIUS, digite o nome do

grupo de servidor RADIUS na caixa de texto Grupo.
O nome do grupo de servidor RADIUS, o nome do host ou o endereo IP de
um servidor RADIUS existente e o nmero da porta do servidor RADIUS so
exibidos na tabela.

Na caixa de dilogo Adicionar servidor RADIUS, digite o seguinte:

No campo: Nome amigvel do servidor
RADIUS
Digite um nome que identifique facilmente

o nome do servidor RADIUS quando ele
for exibido na lista de servidores desse
grupo.
No campo: Nome do host ou endereo IP
Digite o nome do host ou o endereo IP do

servidor RADIUS.
No campo: Porta de autenticao
Digite a porta de rede no servidor RADIUS

para onde o LAN Enforcer envia o pacote
de autenticao do cliente.
A configurao padro 1812.
No campo: Tempo limite do switch (em

segundos)
Digite o valor de tempo limite do switch.

O padro 3 segundos.
No campo: Retransmisses do switch
Digite o valor de retransmisso do switch.

O padro um.
No campo: Segredo compartilhado
Digite o segredo compartilhado usado para

comunicao criptografada entre o
servidor RADIUS e o LAN Enforcer. O
segredo compartilhado entre um servidor
RADIUS e um LAN Enforcer pode ser
diferente do segredo compartilhado entre
um alternador compatvel com 802.1x e
um LAN Enforcer. O segredo
compartilhado diferencia maisculas de
minsculas.
No campo: Confirmar segredo

compartilhado
Digite o segredo compartilhado

novamente.
Clique em OK.
O nome, o nome do host ou o endereo IP e a porta para o servidor RADIUS
que foram adicionados so exibidos na lista Grupo de servidor RADIUS na
caixa de dilogo Adicionar o grupo de servidor RADIUS.
10 Na caixa de dilogo Adicionar grupo de servidor RADIUS, clique em OK.

11 Na caixa de dilogo Configuraes de LAN Enforcer, clique em OK.
1005
1006

Edio do nome de um grupo de servidor RADIUS

possvel alterar o nome do grupo de servidor RADIUS em qualquer momento,
se assim for necessrio.
Para editar o nome de um grupo de servidor RADIUS

Administrador.
Selecione o grupo de Enforcer de que o LAN Enforcer um membro.

servidor RADIUS, clique no grupo de servidor RADIUS cujo nome deseja
mudar.
Clique em Editar.
Na caixa de dilogo Adicionar servidor RADIUS, edite o nome do grupo de

servidor RADIUS no campo Nome do grupo.
Clique em OK.

servidor RADIUS, clique em OK.
Edio do nome amigvel de um servidor RADIUS

possvel alterar o nome amigvel do servidor RADIUS em qualquer momento,
Para editar o nome amigvel de um servidor RADIUS

Administrador.

servidor RADIUS, clique no grupo de servidor RADIUS cujo nome amigvel
voc deseja mudar.

Clique em Editar.
Na caixa de dilogo Adicionar um servidor RADIUS, edite o nome amigvel

do servidor RADIUS no campo Nome amigvel do servidor RADIUS.
Clique em OK.

Edio do nome do host ou endereo IP de um servidor RADIUS

possvel alterar o nome do host ou endereo IP do servidor RADIUS em qualquer
momento, se assim for necessrio.
Para editar o nome do host ou endereo IP de um servidor RADIUS

Administrador.
Na caixa de dilogo LAN Enforcer Settings, na guia Grupo de servidor

RADIUS, clique no grupo de servidor RADIUS que inclui o servidor RADIUS
cujo nome do host ou endereo IP voc deseja mudar.
Clique em Editar.
Na caixa de dilogo Adicionar um servidor RADIUS, edite o nome do host

ou endereo IP do servidor RADIUS no campo Nome do host ou endereo IP.
Clique em OK.

Edio do nmero da porta de autenticao de um servidor RADIUS

possvel alterar o nmero da porta de autenticao do servidor RADIUS em
qualquer momento, se assim for necessrio.
1007
1008

Para editar o nmero da porta de autenticao de um servidor RADIUS

Administrador.
Na caixa de dilogo LAN Enforcer Settings, na guia Grupo de servidor

RADIUS, clique no grupo de servidor RADIUS cujo nmero da porta de
autenticao voc deseja mudar.
Clique em Editar.
Na caixa de dilogo Adicionar um servidor RADIUS, edite o nmero da porta

de autenticao do servidor RADIUS no campo Porta de autenticao.
Clique em OK.

Edio do segredo compartilhado de um servidor RADIUS

possvel alterar o segredo compartilhado do servidor RADIUS em qualquer
Para editar o segredo compartilhado de um servidor RADIUS

Administrador.

servidor RADIUS, clique no grupo de servidor RADIUS cujo segredo
compartilhado voc deseja mudar.

servidor RADIUS, clique em Editar.

Na caixa de dilogo Adicionar servidor RADIUS, edite o segredo

compartilhado do servidor RADIUS no campo Segredo compartilhado.
O segredo compartilhado usado para comunicao criptografada entre o
servidor RADIUS e o LAN Enforcer. O segredo compartilhado entre um
servidor RADIUS e um LAN Enforcer pode ser diferente do segredo
compartilhado entre um alternador compatvel com 802.1x e um LAN Enforcer.
O segredo compartilhado diferencia maisculas de minsculas.
Edite o segredo compartilhado do servidor RADIUS no campo Confirmar

segredo compartilhado.
Clique em OK.
10 Na caixa de dilogo Configuraes de LAN Enforcer, na guia Grupo de

Ativao do suporte para o Servidor de polticas da rede (NPS) do

Windows no LAN Enforcer
Quando voc usar o Microsoft Windows Server como um servidor RADIUS, ele
ter usado, anteriormente, o servidor de autenticao da Internet (IAS). Com o
Windows Server 2008, o IAS foi substitudo pelo Servidor de polticas da rede
(NPS). Se voc estiver usando o Server 2008, ser necessrio especificar que voc
est usando o NPS.
Nota: Ativar o suporte para o Windows NPS exige que os clientes e os LAN
Enforcers executem a verso 11.0 RU6 MP2 ou superior (incluindo 12.1) Symantec
Endpoint Protection . Se voc ativar esta opo nos LAN Enforcers com clientes
legados, a funcionalidade do Symantec Network Access Control no ser suportada.
Para ativar o suporte para o Servidor de polticas de rede do Windows
Na tela Servidores, selecione o LAN Enforcer.
Na caixa de dilogo Configuraes do LAN Enforcer, clique na guia Grupo

do servidor RADIUS.
Na parte inferior da tela, clique em Ativar o suporte para o Servidor de

polticas de rede (NPS) do Windows.
Voc ver uma nota de aviso semelhante Nota acima. Esteja certo que seus
clientes e os LAN Enforcers estejam executando a verso 11.0 RU6 MP2 ou
superior.
Clique em OK para salvar as configuraes.
1009
1010

Excluso do nome de um grupo de servidor RADIUS

possvel excluir o nome do grupo de servidor RADIUS em qualquer momento,
Para excluir o nome de um grupo de servidor RADIUS

Administrador.

servidor RADIUS, clique no grupo de servidor RADIUS cujo nome deseja
excluir.
Clique em Remover.

Excluso de um servidor RADIUS

possvel excluir um servidor RADIUS em qualquer momento, se assim for
necessrio.
Para excluir um servidor RADIUS

Administrador.
Em Servidores, selecione o grupo do Enforcer do qual o LAN Enforcer

membro.

servidor RADIUS, clique no grupo de servidor RADIUS do qual o servidor
RADIUS que voc deseja excluir membro.

servidor RADIUS, clique em Editar.

Na caixa de dilogo Adicionar servidor RADIUS, clique no servidor RADIUS

que deseja excluir.
Clique em Remover.
Clique em OK.
10 Na caixa de dilogo Configuraes de LAN Enforcer, na guia Grupo de


Configure uma poltica de switch quando especificar as configuraes do LAN
Enforcer para alternadores. Uma poltica de switch uma coleo de configuraes
que se aplica a um grupo de alternadores do mesmo fabricante ou modelo. A nica
informao que necessita ser inserida separadamente para os alternadores
individuais o endereo IP do alternador.
Consulte Adio de uma poltica de alternador compatvel com 802.1x a um
appliance LAN Enforcer com assistente na pgina 1015.
Consulte Edio de informaes bsicas sobre a poltica de switch e o switch
compatvel com 802.1x na pgina 1024.
Configuraes do alternador
necessrio especificar as seguintes informaes bsicas antes que os appliances
LAN Enforcer, os servidores de gerenciamento, os clientes e os alternadores
compatveis com 802.1x funcionem juntos:
Um nome de sua escolha para a poltica de alternador.
O fabricante e o modelo do alternador.

Selecione o modelo do alternador na lista de alternadores compatveis.
A senha criptografada ou o segredo compartilhado
O grupo de servidor RADIUS usado.
O perodo de tempo limite para nova autenticao do alternador compatvel

com 802.1x.
A configurao padro 30 segundos.
Se o alternador encaminha outros protocolos alm do EAP (Extensible

Authentication Protocol).
A configurao padro encaminhar outros protocolos.

1011
1012

Consulte Edio de informaes bsicas sobre a poltica de switch e o switch

Voc precisa especificar as seguintes informaes para o conjunto de alternadores
compatvel com 802.1x ao qual a poltica de alternadores se aplica:
Um nome de alternador amigvel da sua escolha
Endereo IP, intervalo de endereos ou sub-rede

Consulte Edio de informaes sobre o alternador compatvel com 802.1x
na pgina 1029.
necessrio especificar as informaes de VLAN a seguir:
ID da VLAN
Nome VLAN
Como opo, podem ser especificados os atributos RADIUS personalizados no

formato hexadecimal.

Consulte Edio de informaes VLAN para a poltica de alternador na pgina 1031.
Se um alternador compatvel com 802.1x aceitar a alternao dinmica da VLAN,
ser possvel especificar que o cliente deve se conectar a uma VLAN especfica.
necessrio especificar as aes que o alternador compatvel com 802.1x necessita
executar quando certos critrios so satisfeitos:
Resultado da autenticao do host: Aprovado, Falha, No disponvel ou Ignorar

resultado
Resultado da autenticao do usurio: Aprovado, Falha, No disponvel ou

Ignorar resultado
Resultado da verificao da poltica: Aprovado, Falha, No disponvel ou Ignorar

resultado

Sobre o suporte a atributos dos modelos de alternador

Ao configurar o appliance LAN Enforcer, especifique o modelo do alternador
compatvel com 802.1x. Alternadores compatveis com 802.1x distintos procuram
diferentes atributos para determinar quais clientes podem acessar a VLAN. Alguns

alternadores identificam VLANs pelo ID da VLAN e outros pelo Nome VLAN.

Alguns dispositivos tm suporte limitado VLAN ou nenhum suporte.
O appliance LAN Enforcer encaminha atributos do servidor RADIUS para o
alternador. No entanto, se necessrio, ele modifica ou anexa o atributo de VLAN
com base no tipo de alternador ao usar valores compatveis. Se existir um conflito
entre as informaes de atributo especficas do fornecedor que o servidor RADIUS
envia e as informaes de atributo da VLAN especficas do fornecedor que o LAN
Enforcer utiliza, o LAN Enforcer remover as informaes especficas do fornecedor
que o servidor RADIUS enviar.
O LAN Enforcer ento substitui essas informaes com as informaes que aparece
em Tabela 49-1.
Se desejar manter os atributos do servidor RADIUS, selecione a ao denominada
Abrir porta. Com essa ao, o LAN Enforcer encaminha todos os atributos do
servidor RADIUS para o alternador compatvel com 802.1x sem nenhuma
modificao.
O modelo do alternador compatvel com 802.1x pode usar o ID da VLAN ou Nome
VLAN para executar atribuies dinmicas da VLAN. Especifique o ID da VLAN e
o nome VLAN ao fornecer informaes da VLAN ao LAN Enforcer, com exceo
do alternador Aruba.
A Tabela 49-1 descreve os modelos e os atributos do alternador compatvel com
802.1x.
Tabela 49-1
Suporte a atributos dos modelos de alternador
Modelo do
alternador
Atributos adicionados pelo LAN Enforcer
Comentrios
Controlador sem
fio Airespace
O cdigo do fornecedor 14179.
O Nome VLAN usado. Ele diferencia

maisculas de minsculas.
O nmero do atributo conferido pelo fornecedor 5.

O formato do atributo "string".
Alcatel
Vendor Specific (#26)

O ID do fornecedor de Alcatel 800. Todos os atributos
do tipo "Vendor Specific" do RADIUS com um ID de
800 so removidos em caso de conflito.
O ID da VLAN usado.
1013
1014

Modelo do
alternador
Aruba
Comentrios
Tanto o nome VLAN quanto o ID da

VLAN podem ser usados. De modo
O ID do fornecedor do Aruba 14823. O atributo
alternativo, se pode usar apenas um
Aruba-User-Role permite que configure os IDs da VLAN
nome VLAN ou apenas um ID da VLAN.
ou os nomes VLAN.
Um ID da VLAN vlido varia de 1 a
4094.
O nome VLAN no pode ter mais de 64
bytes.
Cisco Aironet
Series
Depende do uso do controle de acesso SSID (Service

Set IDentifier).
O ID da VLAN usado.
Atributos do usurio RADIUS usados para atribuio

de VLAN-ID:
IETF 64 (Tunnel Type): Defina esse atributo como
"VLAN"
IETF 65 (Tunnel Medium Type): Defina esse atributo
como "802"
IETF 81 (Tunnel Private Group ID): defina esse atributo
como VLAN-ID
Os atributos do usurio RADIUS usados para controle
de acesso SSID:
Atributo Cisco IOS/PIX RADIUS, 009\001 cisco-av-pair
Cisco Catalyst
Series
Tunnel Type (#64)

Tunnel Medium Type (#65)
Tunnel Private Group ID (#81)
Tunnel Type definido como 13 (VLAN)
Tunnel Medium Type definido como 6 ( mdia 802)
Tunnel Private Group ID definido como Nome VLAN.
Todos os atributos com esses trs tipos do servidor
RADIUS so removidos em caso de conflito. Quaisquer
atributos com tipo "Vendor Specific" cujo ID do
fornecedor seja 9 (Cisco) tambm so removidos.
O Nome VLAN usado. Ele diferencia


Modelo do
alternador
Comentrios
Foundry, HP,
Nortel, 3com,
Huawei
Tunnel Type (#64)
O ID da VLAN usado.
Tunnel Medium Type (#65)

Tunnel Private Group ID (#81)
Tunnel Type definido como 13 (VLAN)
Tunnel Medium Type definido como 6 ( mdia 802)
Tunnel Private Group ID definido como ID da VLAN.
Todos os atributos com esses trs tipos do servidor
RADIUS so removidos em caso de conflito.
Enterasys
ID do filtro (#11)
O ID do filtro definido como
Enterasys :
O Nome VLAN usado e representa

"Nome de funo" no alternador
Enterasys. O nome diferencia
version=1:
mgmt=su:
policy=NAME
Todos os atributos "Filter ID" do servidor RADIUS so
removidos em caso de conflito.
Extreme

O ID do fornecedor do Extreme 1916. O VLAN Name
adicionado depois do ID do fornecedor. Todos os
atributos especficos do fornecedor do servidor RADIUS
com um ID de 1916 so removidos em caso de conflito.
O Nome VLAN usado. O nome

diferencia maisculas de minsculas.
Adio de uma poltica de alternador compatvel com 802.1x a um

appliance LAN Enforcer com assistente
possvel adicionar vrios alternadores compatveis com 802.1x para usar com
um appliance LAN Enforcer como parte de uma poltica de alternador. Insira as
informaes necessrias para configurar a interao do appliance LAN Enforcer
com o alternador.
Consulte Uso das configuraes do alternador na pgina 1011.
1015
1016

Para adicionar uma poltica de alternador compatvel com 802.1x a um appliance

LAN Enforcer com assistente
Na caixa de dilogo Configuraes de LAN Enforcer, na guia Alternar, clique

em Adicionar.
No painel Bem-vindo ao Assistente de Configurao de poltica de alternador

do Assistente de Configurao de poltica de alternador, clique em Avanar.
No painel Informaes bsicas do Assistente de Configurao de poltica

de alternador, conclua as seguintes tarefas:
Nome da poltica de
switch
Digite um nome de sua escolha que identifique a poltica de

alternador.
Por exemplo, possvel usar o nome do fabricante e o modelo
como o nome da poltica de alternador.

Modelo de alternador
O LAN Enforcer usa o modelo de alternador para determinar

o atributo do servidor RADIUS especfico do fornecedor.
Selecione um dos seguintes modelos compatveis com 802.1x
na lista de alternadores suportados:
Outro
Se o modelo no estiver relacionado, selecione Outro
para usar um atributo genrico do servidor RADIUS.
3Com
Alternador Alcatel
Cisco Catalyst Series
Enterasys Matix Series
Extreme Summit Series
Foundry Networks
HP Procurve Series
Nortel BayStack Series
Cisco Aironet Series
Alternadores Aruba
Controlador sem fio Airespace
Nortel Wireless
Controlador sem fio Enterasys
Alternadores Allied Telesis
Alternadores HuaWei a partir de fevereiro de 2009
Nota: Para os alternadores HuaWei, se o administrador

escolher o modo transparente no alternador, ele dever
configurar a poltica para usar o modo transparente no
cliente, em vez de deixar o usurio selecion-lo.
Segredo compartilhado O segredo compartilhado usado para comunicao entre o
alternador compatvel com 802.1x e o appliance LAN
Enforcer. O segredo compartilhado diferencia maisculas
de minsculas.
Confirmar segredo
compartilhado
Voc deve digitar o segredo compartilhado novamente.
Grupo de servidor
RADIUS
Se voc usar o appliance LAN Enforcer com um servidor

RADIUS, selecione o grupo de servidor RADIUS na lista de
grupo de servidor RADIUS disponvel.
1017
1018

Perodo de nova
Digite o perodo de tempo em segundos durante o qual o
autenticao (segundos) cliente deve ser autenticado novamente. Caso contrrio, o
cliente removido da lista de clientes conectados no LAN
Enforcer.
Deve ser definido o perodo de nova autenticao pelo menos
para o dobro do perodo de tempo do intervalo da nova
autenticao no alternador.
Por exemplo, se o intervalo de nova autenticao no
alternador for de 30 segundos, o perodo de nova
autenticao no appliance LAN Enforcer deve ser de, pelo
menos, 60 segundos. Do contrrio, o appliance LAN Enforcer
supe que o cliente alcanou o tempo limite. Portanto, o
cliente no libera nem renova seu endereo IP.
Encaminhar protocolos possvel selecionar esta opo para permitir que o
alm de EAP
appliance LAN Enforcer encaminhe os pacotes RADIUS que
contenham outros protocolos de autenticao alm de EAP.
Outros protocolos incluem Challenge Handshake
Authentication Protocol (CHAP) e PAP.
No painel Informaes bsicas do Assistente de Configurao de poltica

de alternador, clique em Avanar.
No painel Lista de alternadores do Assistente de Configurao de poltica

de alternador, clique em Adicionar.

10 Conclua as tarefas a seguir:

Nome
Na caixa de dilogo Adicionar endereo IP interno

individual, digite um nome amigvel para a poltica de
alternador para identificar o alternador compatvel com
802.1x no campo Nome.
Endereo IP individual
Na caixa de dilogo Adicionar endereo IP interno

individual, clique em Endereo IP individual. Em seguida,
digite o endereo IP do alternador compatvel com 802.1x
no campo Endereo IP.
Intervalo de endereos
IP
Na caixa de dilogo Adicionar o intervalo de endereo IP

interno, clique em Intervalo de endereos IP. Digite o
endereo IP inicial do alternador compatvel com 802.1x no
campo Endereo IP inicial. Digite o endereo IP final do
intervalo de endereos IP do alternador compatvel com
802.1x no campo IP final.
Sub-rede
Na caixa de dilogo Adicionar a sub-rede do endereo IP

interno, clique em Sub-rede. Digite o endereo IP da
sub-rede no campo endereo IP e a sub-rede no campo
Mscara de sub-rede.
Ao especificar uma poltica de alternador para um appliance LAN Enforcer,

possvel associar a poltica de alternador a um ou mais alternadores
compatveis com 802.1x.
11 Na caixa de dilogo Adicionar endereo IP interno, clique em OK..

12 No painel Lista de alternadores do Assistente de Configurao de poltica
de alternador, clique em Avanar.
13 No painel Alternar configurao de VLAN do Assistente de Configurao

de poltica de alternador, clique em Adicionar.
1019
1020

14 Na caixa de dilogo Adicionar VLAN, conclua as seguintes tarefas:

ID da VLAN
Digite um nmero inteiro que pode ir de 1 a 4094 no campo

ID da VLAN.
O ID da VLAN deve ser igual ao configurado no alternador
compatvel com 802.1x, exceto para o alternador Aruba.
Se planeja adicionar informaes VLAN sobre um alternador
Aruba, talvez queira configurar a VLAN e as informaes
de funo de maneira diferente da configurada para os
outros alternadores 802.1x.
Consulte Configurao de VLAN e informaes de funo
no alternador Aruba compatvel com 802.1x na pgina 1033.
Nome VLAN
Digite um nome para a VLAN.

Esse nome pode ter at 64 caracteres e diferencia maisculas
de minsculas.
O nome VLAN deve ser igual ao configurado no alternador
compatvel com 802.1x, exceto para o alternador Aruba.
Se planeja adicionar informaes VLAN sobre o alternador
Aruba, talvez queira configurar a VLAN e as informaes
de funo de maneira diferente da configurada para os
outros alternadores 802.1x.
Consulte Configurao de VLAN e informaes de funo
no alternador Aruba compatvel com 802.1x na pgina 1033.
Enviar atributos
Marque Enviar atributos RADIUS personalizados para o
RADIUS personalizados alternador se deseja que o LAN Enforcer envie um atributo
para o alternador
RADIUS personalizado para o alternador compatvel com
802.1x. Uma lista de controle de acesso (ACL, Access Control
List) pode ser um atributo.
Consulte Sobre o suporte a atributos dos modelos de
alternador na pgina 1012.
Atributos
personalizados em
formato hexadecimal
Digite o atributo RADIUS em formato hexadecimal.

O tamanho deve ser par.
Ao especificar uma poltica de alternador para um LAN Enforcer, use a guia

VLAN para adicionar as informaes para cada VLAN configurada no
alternador. Voc deseja que a poltica de alternador esteja disponvel para
ser usada pelo LAN Enforcer como uma ao. As melhores prticas so
especificar, pelo menos, uma correo de VLAN.
15 Clique em OK.

16 No painel Alternar configurao de VLAN do Assistente de Configurao

de poltica de alternador, clique em Avanar.
17 No painel Alternar configurao de ao do Assistente de Configurao de

poltica de alternador, clique em Adicionar.
18 Na caixa de dilogo Adicionar ao do alternador, conclua as seguintes

tarefas:
Autenticao do host
Clique em qualquer uma destas condies:
Passou
Falhou
No disponvel
Ignorar resultado
A situao mais comum em que uma verificao de

integridade do host se torna indisponvel quando o cliente
no est em execuo. Se definir Autenticao do host como
No disponvel, defina tambm Verificao de poltica como
No disponvel.
1021
1022

Autenticao do usurio Clique em qualquer uma destas condies:

Passou
O cliente foi aprovado na autenticao do usurio.
Falhou
O cliente no foi aprovado na autenticao do usurio.

No disponvel
O resultado da autenticao do usurio ser sempre "no
disponvel" se a autenticao do usurio no for realizada
no modo transparente. Se o LAN Enforcer for usado no
modo transparente, crie uma ao para a condio No
disponvel.
Se a configurao bsica for usada, tambm pode desejar
configurar-se uma ao para a autenticao do usurio
como uma condio de erro. Por exemplo, caso um
suplicante 802.1x usar um mtodo incorreto de
autenticao do usurio ou se o servidor RADIUS falhar
no meio da transao de autenticao.
A condio "No disponvel" para a autenticao do
usurio tambm pode ocorrer em alguns servidores
RADIUS se o nome de usurio no existir no banco de
dados RADIUS. Por exemplo, esse problema pode ocorrer
com o Microsoft IAS. Portanto, pode ser que voc queira
testar a condio de um nome de usurio ausente com o
servidor RADIUS. Convm verificar se isso coincide com
as condies Falhou ou No disponvel da autenticao
do usurio.
Ignorar resultado
A situao mais comum em que uma verificao de

integridade do host se torna indisponvel quando o cliente
no est em execuo. Se voc definir Verificao de poltica
como No disponvel, defina tambm Autenticao do host
como No disponvel.

Verificao de poltica
Clique em qualquer uma destas condies:

Passou
O cliente foi aprovado na verificao de poltica.
Falhou
O cliente no foi aprovado na verificao de poltica.

No disponvel
O resultado "No disponvel" da poltica pode ocorrer
nas seguintes condies:
Se o cliente tiver um identificador invlido, o LAN
Enforcer no poder obter informaes de poltica
do servidor de gerenciamento. Esse problema pode
ocorrer se o servidor de gerenciamento que
implementou a poltica do cliente no estiver mais
disponvel.
Se o cliente exportado e instalado pela primeira vez
antes de se conectar ao servidor de gerenciamento e
receber sua poltica.
Ignorar resultado
Ao
possvel selecionar abaixo as aes que o alternador

compatvel com 802.1x executa quando as condies so
satisfeitas:
Abrir porta
O alternador compatvel com 802.1x permite acesso
rede na VLAN padro ao qual a porta normalmente
atribuda. Tambm permite acesso rede na VLAN que
especificada em um atributo enviado do servidor
RADIUS. Portanto, o suporte a usurios que tm acesso
VLAN se baseia no ID do usurio e na funo do usurio.
A ao padro Abrir porta.
Alternar para teste de VLAN.
Permite acesso VLAN especificada. As VLANs
disponveis para seleo so aquelas configuradas
anteriormente.
Fechar porta
Nega acesso rede na VLAN padro ou na VLAN
especfica do RADIUS. Em alguns modelos de alternador,
conforme a configurao, a porta atribuda a uma VLAN
convidada.
Para o alternador Aruba, possvel restringir o acesso de

acordo com uma funo especificada, assim como uma VLAN
especificada. As restries dependem de como as
informaes VLAN foram configuradas para a poltica de
alternador.
1023
1024

19 Na caixa de dilogo Adicionar ao do alternador, clique em OK.

20 No painel Alternar configurao de ao do Assistente de Configurao de
poltica de alternador, na tabela Ao do alternador, clique na poltica de
ao do alternador cuja prioridade voc deseja mudar.
O LAN Enforcer verifica os resultados da autenticao com as entradas na
tabela de ao do alternador na ordem de cima para baixo da tabela. Aps
encontrar um conjunto de condies correspondentes, o LAN Enforcer orienta
o alternador compatvel com 802.1x a aplicar a ao. possvel modificar a
sequncia na qual as aes so aplicadas ao modificar a ordem em que esto
listadas na tabela.
21 Clique em Mover para cima ou em Mover para baixo.

23 No painel Concluir a configurao de poltica de alternador do Assistente
de Configurao de poltica de alternador, clique em Concluir.
Edio de informaes bsicas sobre a poltica de switch e o switch

compatvel com 802.1x
possvel alterar os seguintes parmetros da poltica de switch e do switch
compatvel com 802.1x:
Nome da poltica de switch

Consulte Edio do nome de uma poltica de switch na pgina 1025.
Modelo de alternador
Consulte Seleo de um modelo de switch diferente para a poltica de switch
na pgina 1025.
Segredo compartilhado
Consulte Edio de uma senha criptografada ou de um segredo compartilhado
na pgina 1026.
Grupo de servidor RADIUS

Consulte Seleo de um grupo de servidor RADIUS diferente na pgina 1027.
Perodo de tempo para nova autenticao

Consulte Edio do perodo de nova autenticao na pgina 1028.
Encaminhamento de protocolos alm de EAP

Consulte Ativao de protocolos diferentes de EAP na pgina 1029.

Edio do nome de uma poltica de switch

possvel editar o nome da poltica de switch em qualquer momento, se assim for
necessrio.
Consulte Configuraes do alternador na pgina 1011.
Para editar o nome de uma poltica de switch
Na caixa de dilogo Configuraes de LAN Enforcer, na guia Alternador, na

tabela Poltica de switch, clique na poltica de alternador que deseja modificar.
Clique em Editar.
Na caixa de dilogo Editar poltica de switch para nome da poltica de

alternador, na guia Informaes bsicas, edite o nome da poltica de
alternador no campo Nome da poltica de switch.
Clique em OK.
Na caixa de dilogo Configuraes de LAN Enforcer, na guia Alternador,

clique em OK.
Seleo de um modelo de switch diferente para a poltica de

switch
possvel selecionar um modelo de switch diferente para a poltica de switch em
Para selecionar um modelo de switch diferente para a poltica de switch
Na caixa de dilogo Configuraes de LAN Enforcer, na guia Switch, na tabela

Poltica de switch, clique na poltica de alternador cujo modo de alternador
Clique em Editar.
1025
1026

Na caixa de dilogo Editar poltica de switch para nome da poltica de switch,

na guia Informaes bsicas, selecione um modelo de switch diferente na
lista de modelos de switches a seguir:
Outro
Se o modelo no estiver relacionado, selecione Outro para usar um atributo
genrico do servidor RADIUS.
3Com
Alternador Alcatel
Cisco Catalyst Series
Enterasys Matix Series
Extreme Summit Series
Foundry Networks
HP Procurve Series
Nortel BayStack Series
Cisco Aironet Series
Alternadores Aruba
Controlador sem fio Airespace
Nortel Wireless
Controlador sem fio Enterasys
Alternador HuaWei
Se o administrador escolher o modo transparente no alternador HuaWei,
a poltica dever ser configurada para usar o modo transparente no cliente,
em vez de deixar o usurio selecion-lo.
Clique em OK.

clique em OK.
Edio de uma senha criptografada ou de um segredo

compartilhado
possvel editar o segredo compartilhado em qualquer momento, se assim for
necessrio.

Para editar uma senha criptografada ou um segredo compartilhado
Na caixa de dilogo Configuraes do LAN Enforcer, na guia Alternador, na

tabela Poltica de alternador, clique na poltica de alternador cujo segredo
compartilhado voc deseja modificar.
Clique em Editar.

na guia Informaes bsicas, edite o nome do segredo compartilhado no
campo Segredo compartilhado.
Edite o nome do segredo compartilhado no campo Confirmar segredo

compartilhado.
Clique em OK.
10 Na caixa de dilogo Configuraes de LAN Enforcer, na guia Alternador,

clique em OK.
Seleo de um grupo de servidor RADIUS diferente

possvel selecionar um grupo de servidor RADIUS diferente em qualquer
Para selecionar um grupo de servidor RADIUS diferente

Administrador.

tabela Poltica de alternador, clique na poltica de alternador cujo segredo
compartilhado voc deseja modificar.

Poltica de switch, clique em Editar.
1027
1028


na guia Informaes bsicas, selecione um grupo de servidor RADIUS
diferente na lista do grupo de servidor RADIUS.
necessrio adicionar mais de um grupo de servidores RADIUS para
selecionar outro grupo de servidores RADIUS.
Clique em OK.

clique em OK.
Edio do perodo de nova autenticao

possvel editar o perodo de nova autenticao em qualquer momento, se assim
for necessrio.
Especifique o perodo de tempo em segundos durante o qual o cliente deve ser
autenticado novamente. Caso contrrio, o cliente ser removido da lista de clientes
conectados e ser desconectado da rede.
Deve ser definido o perodo de nova autenticao pelo menos para o dobro do
perodo de tempo do intervalo da nova autenticao no alternador.
Por exemplo, se o intervalo da nova autenticao no alternador for de 30 segundos,
o perodo de nova autenticao no LAN Enforcer deve ser de, pelo menos, 60
segundos. Do contrrio, o LAN Enforcer supe que o cliente alcanou o tempo
limite. Portanto, o cliente no libera nem renova seu endereo IP.
Para editar o perodo de nova autenticao

Administrador.
Clique em Editar propriedades do grupo.

Clique em Editar.

na guia Informaes bsicas, edite o perodo da nova autenticao no campo
Perodo de nova autenticao em segundos.

Clique em OK.

clique em OK.
Ativao de protocolos diferentes de EAP

possvel permitir que o LAN Enforcer encaminhe os pacotes RADIUS que
contenham outros protocolos de autenticao alm de EAP.
Outros protocolos incluem:
Challenge Handshake Authentication Protocol (CHAP)
PAP

Para ativar protocolos diferentes de EAP

Administrador.
Clique em Editar propriedades do grupo.


Poltica de switch, clique em Editar.

na guia Informaes bsicas, marque Ativar protocolos alm de EAP.
possvel encaminhar os seguintes protocolos:
Challenge Handshake Authentication Protocol (CHAP)
PAP
Clique em OK.

clique em OK.
Edio de informaes sobre o alternador compatvel com 802.1x

possvel alterar os seguintes parmetros do alternador compatvel com 802.1x:
1029
1030

Modificao do endereo IP, do nome do host ou da sub-rede para um alternador

Consulte Edio do endereo IP, nome do host ou sub-rede de um alternador
Remoo de um alternador compatvel com 802.1x da lista do alternador

Consulte Excluso de um alternador compatvel com 802.1x da lista do
alternador na pgina 1031.
Edio do endereo IP, nome do host ou sub-rede de um

alternador compatvel com 802.1x
possvel modificar o endereo IP, o nome do host ou a sub-rede de um alternador
compatvel com 802.1x em qualquer momento, se assim for necessrio.
Consulte Sobre o suporte a atributos dos modelos de alternador na pgina 1012.
Para editar o endereo IP, o nome do host ou a sub-rede de um alternador compatvel
com 802.1x

Administrador.

Clique em Editar.

na guia Endereo do switch, selecione Editar tudo.
Na caixa de dilogo Editar endereos IP, adicione ou edite endereos IP,

nomes de host ou sub-redes para o alternador compatvel com 802.1x.
O formato do texto :
Endereo IP individual
nome: endereo
Intervalo de endereo IP
nome: endereo inicial-endereo final
Sub-rede
nome: endereo inicial-mscara de

sub-rede

Clique em OK.

clique em OK.
Excluso de um alternador compatvel com 802.1x da lista do

alternador
possvel excluir um alternador compatvel com 802.1x da lista do alternador em
Consulte Sobre o suporte a atributos dos modelos de alternador na pgina 1012.
Para excluir um alternador compatvel com 802.1x

Administrador.

Poltica de switch, clique no switch compatvel com 802.1x que deseja excluir
da lista de switches.

clique em Remover.
Clique em OK.
Edio de informaes VLAN para a poltica de alternador

possvel alterar os seguintes parmetros de VLANs no alternador compatvel
com 802.1x:
Modificar o ID da VLAN e o nome VLAN de um alternador compatvel com

802.1x
Consulte Edio do ID da VLAN e do nome VLAN de um alternador compatvel
com 802.1x na pgina 1032.
Configurar VLAN e informaes de funo no alternador Aruba compatvel

com 802.1x
Consulte Configurao de VLAN e informaes de funo no alternador Aruba
Remoo de VLANs em um alternador compatvel com 802.1x

Consulte Excluso de VLANs em um alternador compatvel com 802.1x
na pgina 1033.
1031
1032

Edio do ID da VLAN e do nome VLAN de um alternador

possvel modificar o ID da VLAN e o nome VLAN de um alternador compatvel
com 802.1x em qualquer momento, se assim for necessrio.
Alguns alternadores, como o alternador Cisco, tm o recurso de VLAN convidado.
Normalmente, a VLAN convidada usada em caso de falha na autenticao EAP
do usurio. Se a autenticao EAP falhar, o alternador conecta o cliente VLAN
convidada automaticamente.
Se voc utiliza o LAN Enforcer para alternao de VLAN, recomenda-se no usar
a VLAN convidada reservada ao configurar VLANs e aes no LAN Enforcer. Do
contrrio, o suplicante 802.1x pode responder como se a autenticao EAP tivesse
falhado.
Ao configurar VLANs, certifique-se de que todas as VLANs possam se comunicar
com o servidor de gerenciamento.
Para editar o ID da VLAN e o nome VLAN de um alternador compatvel com 802.1x

Administrador.

tabela Poltica de alternador, clique na poltica de alternador cujas
informaes VLAN deseja modificar.
Clique em Editar.

na guia Endereo do switch, selecione a VLAN que deseja editar.
Na guia VLAN, selecione Editar.
Na caixa de dilogo Editar VLAN, edite o ID da VLAN no campo ID VLAN.
10 Editar o nome VLAN no campo Nome da VLAN.

Se planeja editar informaes VLAN de um alternador Aruba, talvez queira
configurar a VLAN e as informaes de funo de maneira diferente da feita
para os outros alternadores 802.1x.
Consulte Configurao de VLAN e informaes de funo no alternador
Aruba compatvel com 802.1x na pgina 1033.

11 Na caixa de dilogo Editar poltica de switch para nome da poltica de switch,

na guia VLAN, clique em OK.

clique em OK.
Excluso de VLANs em um alternador compatvel com 802.1x

possvel excluir as VLANs em um alternador compatvel com 802.1x em qualquer
Para excluir VLANs em um alternador compatvel com 802.1x

Administrador.
clique em Servidores.

Poltica de switch, clique na poltica de switch cujas informaes de VLAN
voc deseja excluir.
Clique em Editar.

na guia Endereo do switch, selecione a VLAN que voc deseja excluir.
Na guia VLAN, selecione Remover.
Clique em OK.

clique em OK.
Configurao de VLAN e informaes de funo no alternador

Aruba compatvel com 802.1x
Se voc utiliza um alternador Aruba, possvel deixar os campos ID VLAN e Nome
VLAN em branco. No entanto, para outros alternadores, insira informaes em
ambos os campos. Para o alternador Aruba, possvel usar esses campos para
especificar um VLAN ou uma funo, ou ambos, como segue:
Para especificar um VLAN, digite o ID da VLAN no campo ID da VLAN.
Para especificar uma funo, digite o nome da funo no campo Nome VLAN.
1033
1034

Para o alternador Aruba, tambm possvel usar essa caixa de dilogo para
configurar separadamente aes de alternador para diversas funes em uma
VLAN ou diversas VLANs para uma funo.
Para configurar VLAN e informaes de funo no alternador Aruba compatvel
com 802.1x
Se voc tem um ID da VLAN 1 com funo A e funo B, preencha o ID da

VLAN como 1 e o nome VLAN como A. Clique em OK.
Clique em Adicionar novamente. Na caixa de dilogo Adicionar VLAN,

preencha o ID da VLAN como 1 e o nome VLAN como B e clique em OK.
Tornam-se disponveis duas opes distintas para a configurao na tabela
de ao do alternador.
Edio de informaes de ao para a poltica de alternador

possvel alterar os seguintes parmetros de VLANs no alternador compatvel
com 802.1x:
Definir a ordem de verificao da condio

Consulte Configurao da ordem de verificao da condio na pgina 1035.
Selecionar uma condio diferente de Autenticao do host, Autenticao do

usurio ou Verificao de poltica
Consulte Seleo de uma condio diferente de Autenticao do host,
Autenticao do usurio ou Verificao de poltica na pgina 1036.
Selecionar diferentes aes

Consulte Seleo de diferentes aes na pgina 1037.
Sobre temas relacionados com a poltica de alternador,

condies associadas e aes
Ao configurar polticas de switch, observe o seguinte:
A tabela Ao do alternador deve conter pelo menos uma entrada.
Se no for selecionada uma ao para uma determinada combinao de

resultados, a ao padro Abrir porta ser executada.
Para especificar uma ao padro para qualquer combinao de resultados

possvel, selecione Ignorar resultado para todos os trs resultados.
Ao adicionar aes tabela, possvel editar qualquer clula ao clicar no canto

direito de uma coluna e linha para exibir uma lista suspensa.

Alguns alternadores, como o alternador Cisco, tm o recurso de VLAN

convidado. Normalmente, a VLAN convidada para ser usada em caso de falha
na autenticao do usurio. Ou seja, se a autenticao do usurio falhar, o
alternador conecta o cliente VLAN convidada automaticamente.
Se voc utiliza o LAN Enforcer para alternao de VLAN, recomenda-se no
usar o VLAN convidado reservado ao configurar VLANs e aes no LAN
Enforcer. Do contrrio, o suplicante 802.1x pode responder como se a
autenticao tivesse falhado.
Se implementar clientes e no estiver pronto para implementar os recursos

completos do LAN Enforcer, possvel especificar uma ao para permitir o
acesso rede interna que se baseia na condio Ignorar resultado para a
verificao de integridade do host e para a verificao de poltica. Caso deseje
desconsiderar os resultados da autenticao do usurio e permitir acesso
rede independentemente dos resultados, possvel faz-lo com a condio
Ignorar resultados da autenticao do usurio.
Consulte Configurao da ordem de verificao da condio na pgina 1035.

Consulte Seleo de uma condio diferente de Autenticao do host, Autenticao
do usurio ou Verificao de poltica na pgina 1036.
Consulte Seleo de diferentes aes na pgina 1037.
Configurao da ordem de verificao da condio

possvel modificar uma condio diferente de Autenticao do host, Autenticao
do usurio ou Verificao de poltica para uma poltica de switch em qualquer
Pode ser adicionada uma entrada na tabela Ao do alternador para cada uma das
combinaes possveis dos resultados de autenticao.
Ao configurar as condies a serem verificadas, lembre-se de que a nica
circunstncia na qual todos os trs resultados podem ser Passar ou Falha na
configurao bsica. Na configurao bsica, o cliente executa um suplicante
802.1x que fornece informaes sobre a autenticao do usurio e um cliente que
fornece informaes sobre a integridade do host e o nmero de srie da poltica.
Se voc executar somente o suplicante 802.1x sem um cliente, os resultados da
verificao de integridade do host e da verificao de poltica sero sempre "No
disponveis". Se voc executar em modo transparente sem uma verificao de
autenticao do usurio, o resultado da autenticao do usurio ser sempre "No
disponvel".
O LAN Enforcer verifica os resultados da autenticao com as entradas na tabela
na ordem de cima para baixo. Aps encontrar um conjunto de condies
correspondentes, o LAN Enforcer orienta o alternador compatvel com 802.1x
1035
1036

para aplicar a ao. possvel modificar a sequncia na qual as aes so aplicadas

ao modificar a ordem em que esto listadas na tabela.
Se um LAN Enforcer no puder localizar entradas que correspondam condio
atual, a ao FECHAR PORTA ser executada.
Consulte Sobre temas relacionados com a poltica de alternador, condies
associadas e aes na pgina 1034.
Para definir a ordem de verificao da condio

Administrador.

Poltica de switch, clique na poltica de switch cuja ordem de verificao das
condies voc deseja modificar.
Clique em Editar.

na guia Ao, selecione a poltica de switch cuja ordem de verificao das
condies voc deseja modificar.
Clique em Mover para cima ou em Mover para baixo.
Clique em OK.

clique em OK.
Seleo de uma condio diferente de Autenticao do host,

Autenticao do usurio ou Verificao de poltica
possvel selecionar uma condio diferente de Autenticao do host, Autenticao
do usurio ou Verificao de poltica para uma poltica de switch em qualquer

Para selecionar uma condio de Autenticao do host, Autenticao do usurio

ou Verificao de poltica

Administrador.

Poltica de switch, clique na poltica de switch cujas condies de autenticao
Clique em Editar.
Na caixa de dilogo Editar a poltica de switch para nome da poltica de

switch, na guia Ao, clique em qualquer uma das condies de autenticao
que deseja modificar em qualquer uma das colunas a seguir:
Autenticao do host
Autenticao do usurio
Verificao de poltica
Selecione algumas das seguintes aes que o alternador compatvel com

802.1x precisa tomar quando determinados critrios forem cumpridos:
Resultado da autenticao do host: Aprovado, Falha, No disponvel ou

Ignorar resultado
Resultado da autenticao do usurio: Aprovado, Falha, No disponvel

ou Ignorar resultado
Resultado da verificao da poltica: Aprovado, Falha, No disponvel ou

Ignorar resultado
Clique em OK.

clique em OK.
Seleo de diferentes aes

Voc pode selecionar as diferentes aes que o alternador compatvel com 802.1x
poder tomar quando determinados critrios forem cumpridos:
1037
1038

Para selecionar uma condio de Autenticao do host, Autenticao do usurio

ou Verificao de poltica

Administrador.

Poltica de switch, clique na poltica de switch cujas aes voc deseja
modificar.
Clique em Editar.
Na guia Ao, clique em qualquer uma das aes que voc deseja mudar na
coluna Ao.
Selecione algumas das seguintes aes que o alternador compatvel com

802.1x precisa tomar quando determinados critrios forem cumpridos:
Abrir porta
O alternador compatvel com 802.1x permite acesso rede na VLAN padro
ao qual a porta normalmente atribuda. Tambm permite acesso rede
na VLAN que especificada em um atributo enviado do servidor RADIUS.
Portanto, o suporte a usurios que tm acesso VLAN se baseia no ID do
usurio e na funo do usurio.
A ao padro Abrir porta.
Alternar para teste de VLAN.

Permite acesso VLAN especificada. As VLANs disponveis para seleo
so aquelas configuradas anteriormente.
Fechar porta
Nega acesso rede na VLAN padro ou na VLAN especfica do RADIUS.
Em alguns modelos de alternador, conforme a configurao, a porta
atribuda a uma VLAN convidada.
Clique em OK.

clique em OK.

Uso das configuraes avanadas do appliance LAN

Enforcer
possvel definir as seguintes configuraes avanadas do appliance LAN Enforcer:
Permitir um cliente legado.

Consulte Permisso para um cliente legado se conectar rede com um
appliance LAN Enforcer na pgina 1039.
Ativar a autenticao local.

Consulte Ativao da autenticao local no appliance LAN Enforcer
na pgina 1040.
Adicione/Edite/Remova/Importe/Exporte endereos MAC VLAN associadas

para o MAC Authentication Bypass.
Consulte Configurao de endereos MAC e desvio da autenticao MAC (MAB)
no LAN Enforcer na pgina 1041.
Ativando o protocolo SNTP e o servidor que fornece o servio.
Ativando o perodo de intervalo e a verificao de integridade do servidor de

gerenciamento.
Detalhes sobre a implementao de cada uma dessas configuraes so exibidos

na pgina de ajuda contextual das configuraes avanadas do appliance LAN
Enforcer.
Permisso para um cliente legado se conectar rede com um appliance

LAN Enforcer
Voc pode permitir que um appliance LAN Enforcer se conecte aos clientes legados
5.1.x. Se sua rede oferecer suporte a um Symantec Endpoint Protection Manager
11.0.2, um appliance Symantec LAN Enforcer, e precisar oferecer suporte aos
clientes legados 5.1.x, voc poder ativar o suporte de clientes legados 5.1.x no
console do servidor de gerenciamento para que o appliance Symantec LAN Enforcer
no os bloqueie.
Consulte Uso das configuraes avanadas do appliance LAN Enforcer
na pgina 1039.
Para permitir que um cliente legado se conecte rede com um appliance LAN
Enforcer
Selecione e expanda o grupo de appliances LAN Enforcer.
1039
1040

Na caixa de dilogo Configuraes, na guia Avanado, selecione Permitir

clientes legados.
Clique em OK.
Ativao da autenticao local no appliance LAN Enforcer

Se um appliance LAN Enforcer perder sua conexo com o computador no qual o
Symantec Endpoint Protection Manager est instalado, o appliance LAN Enforcer
poder autenticar o cliente localmente.
na pgina 1039.
Para ativar a autenticao local no appliance LAN Enforcer

Administrador.
Selecione e expanda o grupo de appliances LAN Enforcer.
Selecione o grupo do appliance LAN Enforcer para o qual voc quer ativar a
autenticao local.
Na caixa de dilogo Configuraes de LAN, na guia Avanado, selecione

Ativar a autenticao local.
Clique em OK.
Ativao das atualizaes do horrio do sistema para o appliance

Enforcer usando o Network Time Protocol
Com o Network Time Protocol (NTP) ativado, os relgios do appliance Enforcer
podem ser atualizados para o horrio correto. Esta configurao desativada por
padro, mas pode ser substituda se estiver especificada em uma poltica de grupo.
na pgina 1039.
Para ativar atualizaes do horrio para o appliance LAN Enforcer do Symantec

Configurao de endereos MAC e desvio da autenticao MAC (MAB) no LAN Enforcer
Em Servidores, selecione e expanda o grupo de appliances LAN Enforcer.
Na guia Avanado, selecione Ativar o Network Time Protocol.
Digite o endereo IP ou o nome de domnio totalmente qualificado do servidor

NTP.
Clique em OK.
No console do Enforcer, possvel temporariamente mudar esta configurao

para ajudar a solucionar problemas de sincronizao de hora. Na linha de comando
do console do Enforcer, digite
Enforcer (configure)# ntp.
Nota: Se voc havia ativado o NTP em uma verso anterior do Symantec Endpoint
Protection, essa configurao ser perdida quando voc fizer upgrade. Voc deve
ativar o NTP novamente.
Configurao de endereos MAC e desvio da

autenticao MAC (MAB) no LAN Enforcer
Voc pode alterar as configuraes de autenticao do MAC em um servidor de
gerenciamento. O download das configuraes feito automaticamente do servidor
de gerenciamento para o appliance LAN Enforcer durante a prxima pulsao.
Para configurar endereos MAC e o desvio da autenticao do MAC no LAN Enforcer
Selecione o LAN Enforcer.
Abra a guia Avanado.
Na lista suspensa esquerda, selecione Desvio da autenticao MAC e clique

em Ativar.
Na caixa de dilogo Configuraes, na guia Avanado, em Endereo MAC,

1041
1042

Na caixa de dilogo Adicionar host confivel, digite o endereo MAC do

cliente ou do host confivel no campo Endereo MAC do host.
Ao especificar um endereo MAC, possvel usar um caractere curinga, mas
somente se digit-lo em todos os trs campos direita.
Por exemplo, 11-22-23-*-*-* representa o uso correto do caractere curinga.
No entanto, 11-22-33-44-*-66 no representa o uso correto do caractere
curinga.
Um conjunto de endereos MAC pode ser copiado de um arquivo de texto.
Nota: A Symantec suporta o seguinte formato para importaes: endereo
MAC nico e endereo MAC com mscara.
Para importar endereos MAC, clique em Importar. Especifique o arquivo na
caixa de dilogo Importar endereo MAC do arquivo.
Para exportar endereos MAC, destaque diversos endereos MAC e clique em
Exportar. Especifique o arquivo na caixa de dilogo Exportar endereo MAC
para o arquivo.
10 Clique em OK.

Se a rede da empresa usar um LAN Enforcer para autenticao, voc dever
configurar o computador-cliente para executar a autenticao IEEE 802.1x.
O processo de autenticao 802.1x abrange as seguintes etapas:
Um cliente no autenticado ou suplicante de terceiros envia as informaes

do usurio e de conformidade a um alternador de rede 802.11 gerenciado.
O alternador de rede retransmite as informaes para o appliance LAN Enforcer.

O appliance LAN Enforcer envia as informaes do usurio para o servidor de
autenticao para que esta ocorra. O servidor RADIUS o servidor de
autenticao.
Se o cliente falhar na autenticao em nvel de usurio ou no estiver em

conformidade com a Poltica de integridade do host, o Enforcer poder bloquear
o acesso rede. O appliance LAN Enforcer coloca o computador-cliente que
no est em conformidade na rede, de acordo com a tabela Ao do alternador
onde o computador pode ser reparado.
Aps o cliente corrigir o computador e deix-lo em conformidade, o protocolo

802.1x autentica novamente o computador e concede ao mesmo acesso rede.

Para trabalhar com o appliance LAN Enforcer, o cliente pode usar um suplicante
de terceiros ou integrado.
A Tabela 49-2 descreve os tipos de opes que voc pode configurar para a
autenticao 802.1x.
Tabela 49-2
Opes da autenticao 802.1x
Opo
Descrio
Suplicante de
terceiros
Usa um suplicante 802.1x de terceiros.

O appliance LAN Enforcer funciona com um servidor RADIUS e
suplicantes 802.1x de terceiros para fazer a autenticao dos usurios.
O suplicante 802.1x solicita as informaes do usurio, que o LAN
Enforcer transmite para o servidor RADIUS para autenticao em
nvel do usurio. O cliente envia o perfil do cliente e o status de
integridade do host ao appliance LAN Enforcer de modo que
computador seja autenticado.
Nota: Se voc deseja usar um cliente do Symantec Network Access

Control com um suplicante de terceiros, necessrio instalar o mdulo
de Proteo contra ameaas rede do cliente Symantec Network Access
Control.
Para usar um suplicante 802.1x de terceiros voc deve:
Configurar o alternador 802.1x para usar o appliance LAN Enforcer
como o servidor RADIUS para que o alternador encaminhe os
pacotes de autenticao para o appliance LAN Enforcer.
Adicionar o appliance LAN Enforcer como um cliente do servidor
RADIUS para que ele aceite solicitaes do appliance LAN Enforcer.
No console, voc deve especificar as informaes do servidor
RADIUS e ativar a autenticao 802.1x para os clientes.
1043
1044

Opo
Descrio
Modo transparente Usa o cliente para ser executado como suplicante 802.1x.
Use esse mtodo se no quiser usar um servidor RADIUS para fazer
a autenticao do usurio. O appliance LAN Enforcer executado no
modo transparente e atua como pseudo-servidor RADIUS.
O modo transparente significa que o suplicante no solicitar
informaes do usurio. No modo transparente, o cliente atua como
suplicante 802.1x. O cliente responder ao estmulo EAP do alternador
com o perfil do cliente e o status da integridade do host. O alternador,
por sua vez, encaminhar as informaes ao appliance LAN Enforcer,
que atuar como pseudo-servidor RADIUS. O appliance LAN Enforcer
valida a integridade do host e as informaes do perfil do cliente
provenientes do alternador e pode permitir, bloquear ou atribuir
dinamicamente um VLAN, conforme adequado.
Nota: Para usar um cliente como suplicante 802.1x, voc dever

desinstalar ou desativar suplicantes 802.1x de terceiros no
computador-cliente.
No modo transparente, voc pode deixar em branco as informaes
sobre o servidor RADIUS na caixa de dilogo de configuraes do LAN
Enforcer. O endereo IP do servidor RADIUS definido como 0 e
nenhuma autenticao de usurio EAP tradicional executada.
Suplicante
integrado
Usa o suplicante 802.1x integrado do computador-cliente.

Os protocolos de autenticao integrados incluem Smart Card, PEAP
ou TLS. Aps ativar a autenticao 802.1x, voc ou os usurios devero
especificar qual protocolo de autenticao ser usado.
Aviso: Voc deve saber se a rede da empresa utiliza o servidor RADIUS como
servidor de autenticao. Se voc configurar a autenticao 802.1x incorretamente,
a conexo rede pode ser interrompida.
Nota: Para permitir que o usurio configure a autenticao de 802.1x no cliente,

necessrio definir cliente para controle do cliente.
Para configurar o cliente para usar o modo transparente ou um suplicante integrado
Em Exibir clientes, selecione o grupo de clientes que voc deseja que execute
a autenticao 802.1x.

Na guia Configuraes de segurana, marque Ativar autenticao 802.1x.
Selecione Usar o cliente como suplicante 802.1x.
Para selecionar o modo transparente, selecione Usar modo transparente

Symantec.
Para permitir que o usurio configure um suplicante integrado, selecione

Permitir que o usurio selecione o protocolo de autenticao.
Os usurios escolhem o protocolo de autenticao para a conexo com a
rede.
Clique em OK.
Para configurar o cliente para usar um suplicante de terceiros
Em Exibir clientes, selecione o grupo de clientes que voc deseja que execute
a autenticao 802.1x.
Na guia Configuraes de segurana, marque Ativar autenticao 802.1x.
Clique em OK.
possvel configurar o cliente para usar o suplicante integrado. Ative o cliente
para autenticao 802.1x e como suplicante 802.1x.
Sobre a reautenticao no computador-cliente

Se o computador-cliente aprovou a verificao de integridade do host mas o
Enforcer bloqueia o computador, os usurios podero precisar reautenticar seus
computadores. Em circunstncias normais, os usurios nunca deveriam precisar
reautenticar o computador.
O Enforcer poder bloquear o computador quando ocorrer um dos seguintes
eventos:
O computador-cliente falhou na autenticao do usurio porque os usurios

digitaram o nome do usurio ou a senha incorretamente.
O computador-cliente est na VLAN incorreta.
O computador-cliente no obtm uma conexo de rede. A conexo de rede

quebrada geralmente ocorre porque a alternncia entre o computador-cliente
e o LAN Enforcer no autenticou o nome de usurio e a senha.
1045
1046

Os usurios precisam conectar-se a um computador-cliente que tenha

autenticado um usurio anterior.
O computador-cliente falhou na verificao de conformidade.
Os usurios podem reautenticar o computador somente se voc configurou o

computador com um suplicante integrado. O menu de atalho no cone da rea de
notificao do computador-cliente exibe um comando de reautenticao.
Consulte Uso da autenticao 802.1x na pgina 1042.
Captulo
50
Para configurar Enforcers

no Symantec Endpoint
Protection Manager
Sobre o gerenciamento de Enforcers no console do servidor de gerenciamento
Sobre o gerenciamento de Enforcers na pgina Servidores
Sobre os grupos do Enforcer
Sobre as informaes do Enforcer que so exibidas no console do Enforcer
Exibio das informaes sobre o Enforcer no console de gerenciamento
Alterao do nome e da descrio de um Enforcer
Excluso de um Enforcer ou de um grupo do Enforcer
Exportao e importao das configuraes do grupo do Enforcer
Mensagens pop-up para clientes bloqueados
Sobre as configuraes do cliente e o Enforcer
Configurao de clientes para usar uma senha a fim de interromper o servio

do cliente
Sobre relatrios e logs do Enforcer
Definio das configuraes do log do Enforcer
1048
Para configurar Enforcers no Symantec Endpoint Protection Manager

Sobre o gerenciamento de Enforcers no console do servidor de gerenciamento
Sobre o gerenciamento de Enforcers no console do

As configuraes do Symantec Enforcer no console do servidor de gerenciamento
ajudam a configurar o Enforcer, suas interaes de autenticao e interaes de
aplicao com os clientes. Antes de definir as configuraes do Enforcer no console,
conclua a instalao e a configurao do Enforcer no computador ou appliance
Enforcer.
As configuraes do Enforcer no console do Symantec Endpoint Protection
Manager dependem do tipo de appliance Enforcer que voc configura: Gateway
ou LAN. Portanto, as configuraes de cada um sero tratadas separadamente.
A maior parte da configurao e administrao do Enforcer feita no console.
Muitas configuraes do Enforcer podem ser alteradas somente no console.
Entretanto, algumas configuraes do Enforcer exigem a edio de um arquivo
do Enforcer no computador e no no console. Quase todas as configuraes dos
Enforcers so feitas na pgina Servidores no console. O LAN Enforcer tem algumas
configuraes adicionais necessrias na pgina Polticas.
Se voc administrar vrios Enforcers e for responsvel por outras tarefas, ser
mais conveniente administr-los em um local centralizado. O console oferece esse
recurso. possvel fazer login em um console para exibir informaes sobre todos
os Enforcers.
necessrio executar algumas tarefas no computador no qual o Enforcer est
instalado. As tarefas incluem o uso do console local do Enforcer em vez das tarefas
do console de gerenciamento e das tarefas de manuteno. Por exemplo, os
problemas de conexo entre o Enforcer e um console so solucionados no prprio
Enforcer. Para definir o problema, poder ser necessrio verificar fisicamente o
status do hardware do computador com o Enforcer ou alterar a conexo de rede.
Esse captulo no inclui informaes sobre como configurar o cliente do Symantec
Enforcer, que um componente isolado do Enforcer.
Sobre o gerenciamento de Enforcers na pgina

Servidores
A pgina Servidores no console de gerenciamento relaciona os Enforcers
instalados, alm de servidores e consoles conectados, no painel Exibir servidores.
Todos os Enforcers so relacionados sob um nome de grupo. Edite as propriedades
do Enforcer no nvel do grupo.

Consulte Alterao do nome e da descrio de um Enforcer na pgina 1052.

So necessrios privilgios totais de administrador do sistema para exibir a pgina
Servidores.

A configurao do Enforcer no console feita em nvel de grupo e no em nvel
individual. Os Enforcers so relacionados sob um nome de grupo na pgina
Servidores do console.
Os grupos do Enforcer so uma maneira de sincronizar configuraes do Enforcer.
Todos os Enforcers de um grupo compartilham as mesmas configuraes
(propriedades). Para atualizar as propriedades do Enforcer, ser necessrio
selecionar o nome do grupo no painel Servidores e editar as propriedades do
grupo.
Consulte Configurao de um nome de grupo do Enforcer no console do Symantec
Integrated Enforcer for Microsoft Network Access Protection na pgina 1122.
Como o console determina o nome do grupo do Enforcer

Durante a configurao da conexo do console no console local do Enforcer,
possvel especificar um nome de grupo. O Enforcer se registrar no console aps
estabelecer a conexo. O console atribuir automaticamente o Enforcer ao grupo
especificado e o relacionar sob o nome do grupo no painel Servidores) do console.
Se um nome no for especificado durante a configurao, o console atribuir o
Enforcer a um grupo de Enforcers padro. O console usar o nome de grupo do
computador com o Enforcer.
Consulte Configurao de um nome de grupo do Enforcer no console do Symantec
Integrated Enforcer for Microsoft Network Access Protection na pgina 1122.
Sobre os grupos de failover do Enforcer

O novo Enforcer identifica-se no console como Enforcer de failover em espera.
Esta identificao acontece se voc adicionar um Gateway Enforcer do failover
que se conecte por um hub ou por um alternador mesma sub-rede. Em seguida,
o console atribui o novo Enforcer de failover em modo de espera ao mesmo grupo
do Enforcer ativo. A atribuio ocorrer independentemente de voc ter
especificado um nome para o grupo durante a instalao no console local. Essa
ao assegura que o Gateway Enforcer do failover tenha exatamente as mesmas
configuraes que o Enforcer principal.
1049
1050


na pgina 938.
Nos LAN Enforcers, o failover tratado por meio do alternador, e no por meio
do Enforcer. Dessa maneira a atribuio automtica no mesmo grupo no ocorre.
possvel garantir que vrios LAN Enforcers compartilhem configuraes.
Especifique o mesmo nome do grupo no console local do Enforcer, na caixa de
dilogo Configuraes do console.
Consulte Planejamento da instalao de um appliance LAN Enforcer
na pgina 985.
Sobre a alterao de um nome de grupo

No possvel alterar o nome do grupo do Enforcer no console. Entretanto,
possvel especificar um novo nome para o grupo no console local do Enforcer. O
Enforcer ser movido para o novo grupo. Poder ser necessrio atualizar a tela
do console para ver a alterao.
Consulte Como o console determina o nome do grupo do Enforcer na pgina 1049.
Sobre a criao de um grupo do Enforcer

Geralmente, necessrio criar um novo grupo do Enforcer somente se voc
adiciona um Enforcer que exija configuraes diferentes que as dos Enforcers
existentes.
possvel criar um grupo do Enforcer no console local do Enforcer especificando
o novo nome na caixa de dilogo Configuraes do console. O novo grupo ter as
configuraes padro do Enforcer
possvel deixar o campo com o nome do grupo em branco ao conectar o novo
Enforcer no console local. Nesse caso, o console atribuir o Enforcer a um novo
grupo. Esse grupo adotar o nome do computador com o Enforcer e suas
configuraes padro.
possvel usar o mesmo mtodo para mover um Enforcer para outro grupo.
Especifique o nome desejado para o grupo no console local do Enforcer. O Enforcer
adotar as configuraes do grupo para o qual foi movido.
Consulte Adio ou edio do nome de um grupo do appliance LAN Enforcer com
um LAN Enforcer na pgina 999.
Consulte Adio ou edio do nome de um grupo do Enforcer para o Symantec
Network Access Control Integrated Enforcer na pgina 1093.

Sobre as informaes do Enforcer que so exibidas no console do Enforcer
Sobre as informaes do Enforcer que so exibidas

no console do Enforcer
possvel exibir informaes sobre o Enforcer no console do Enforcer.
possvel alterar as configuraes das placas de interface de rede somente no
appliance Enforcer, no no console de gerenciamento. Se forem feitas alteraes
na configurao da NIC no appliance Enforcer, as novas configuraes sero
transferidas ao console de gerenciamento durante a prxima pulsao.
Consulte Exibio das informaes sobre o Enforcer no console de gerenciamento
na pgina 1052.
A Tabela 50-1 descreve o tipo de informao que pode ser exibida.
Tabela 50-1
Informaes sobre o appliance Enforcer no console de

gerenciamento
Campo
Descrio
Nome
Igual ao campo Nome do host.
Descrio
Breve descrio do Enforcer. A descrio a nica informao que

pode ser editada no console de gerenciamento.
Verso
Verso do software do Enforcer executada no computador Enforcer

selecionado.
Hostname
Nome do computador em que o Enforcer est instalado.
Sistema
operacional
Sistema operacional em execuo no computador em que o Enforcer

selecionado est instalado.
Status on-line
On-line: o servio est em execuo e o Enforcer ativo principal.

Off-line: o servio foi interrompido.
Status de failover
(Somente Gateway Enforcer) Se o Enforcer estiver ativo ou em modo

de espera.
IP interno
Endereo IP da placa de rede interna.
IP externo
(Somente Gateway Enforcer) Endereo IP da placa de interface de rede

externa.
MAC interno
O endereo MAC da placa de interface de rede interna.
MAC externo
(Somente Gateway Enforcer) O endereo MAC da placa de interface

de rede externa.
1051
1052

Exibio das informaes sobre o Enforcer no console de gerenciamento
Campo
Descrio
NIC interna
Fabricante e modelo da placa de rede interna
NIC externa
(Somente Gateway Enforcer) Fabricante e modelo da placa de interface

de rede externa.
Exibio das informaes sobre o Enforcer no console

de gerenciamento
Voc pode exibir informaes sobre o Enforcer por meio de um console de
gerenciamento.
Consulte Sobre as informaes do Enforcer que so exibidas no console do
Para exibir as informaes sobre o Enforcer no console de gerenciamento
No Console do Symantec Endpoint Protection Manager, na pgina

Administrador, clique em Servidores.
Em Servidores, clique no nome do Enforcer do qual voc deseja exibir

informaes.
As informaes sobre o appliance LAN Enforcer no so exibidas nos campos
referentes ao NIC externo porque o appliance LAN Enforcer somente exige
um NIC interno. O status de failover no exibido porque um alternador
gerencia o failover do LAN Enforcer.
Alterao do nome e da descrio de um Enforcer

O nome do Enforcer sempre o nome do host do appliance ou do computador em
que est instalado. O nome do Enforcer pode ser alterado somente por meio da
alterao do nome de host do computador.
possvel alterar a descrio do Enforcer no console. Por exemplo, convm inserir
uma descrio para identificar o local do Enforcer.
Para alterar a descrio de um Enforcer

Em Servidores, clique no nome do Enforcer e, em seguida, em Tarefas, clique

em Editar propriedades do Enforcer. A caixa de dilogo Propriedades ser
exibida. O campo Nome no editvel.

Insira o texto desejado na caixa de texto Descrio.
Clique em OK.
Tambm possvel editar a descrio do Enforcer clicando com o boto direito
do mouse no nome do Enforcer e selecionando Propriedades.

Voc pode excluir Enforcer no console de gerenciamento. Quando um Enforcer
excludo, ele libera uma licena porque o computador no est mais executando
um Enforcer. No ser possvel excluir um Enforcer no console enquanto ele
estiver online. possvel desligar o Enforcer e exclu-lo. Quando o computador
com o Enforcer reiniciado, o Enforcer reconecta-se ao console. O Enforcer
registra-se e exibido novamente na pgina Servidores. Para excluir um Enforcer
definitivamente do console, primeiro desinstale-o do computador.
Para excluir um grupo do Enforcer depois de desinstal-lo de um computador do
Enforcer
Desligue ou desinstale o Enforcer do computador.

Em Servidores, clique no nome do Enforcer e, em seguida, em Tarefas, clique

em Excluir Enforcer. Uma caixa de mensagem solicitar a confirmao da
excluso.
Para confirmar a excluso, clique em Sim.

Se no houver Enforcers relacionados no grupo do Enforcer e voc no quiser
mais usar esse grupo, poder exclu-lo. O grupo no deve mais conter nomes
de Enforcers para que seja possvel excluir. Ao excluir um grupo do Enforcer,
voc exclui todas as configuraes personalizadas do grupo.
Para excluir um grupo do Enforcer
No console do Symantec Endpoint Protection, clique em Admin.

Em Servidores, clique no nome do grupo do Enforcer.
Clique em Excluir grupo.

Uma caixa de mensagem solicitar a confirmao da excluso.
Para confirmar a excluso, clique em Sim.
1053
1054

Exportao e importao das configuraes do grupo do Enforcer
Exportao e importao das configuraes do grupo

do Enforcer
possvel exportar ou importar configuraes em um grupo do Enforcer. As
configuraes so exportadas para um arquivo no formato .xml. Ao importar
configuraes, preciso import-las para um grupo existente do Enforcer,
sobrescrevendo as configuraes do grupo selecionado.
Para exportar configuraes do grupo do Enforcer

Em Servidores, clique no nome do grupo do Enforcer e, em seguida, em

Exportar propriedades do grupo.
Selecione um local onde salvar o arquivo e especifique um nome para o mesmo.
Clique em Salvar.
Para importar configuraes do grupo do Enforcer

Em Servidores, clique no nome do grupo do Enforcer cujas configuraes

voc deseja sobrescrever e clique em Importar propriedades do grupo.
Selecione o arquivo que voc quer importar e clique em Abrir.

Voc ser solicitado a confirmar a substituio das propriedades atuais do
grupo do Enforcer.
Clique em Sim.

Quando um Enforcer bloquear um cliente que tentar conectar-se rede, estes dois
tipos de mensagens pop-up podem ser configurados:
Mensagem dos computadores que executam um cliente
Mensagem dos computadores com Windows que no esto executando um

cliente (somente Gateway Enforcer)
Mensagens dos computadores que executam o cliente

Pode haver vrias razes para que o Enforcer bloqueie computadores, mesmo que
eles estejam executando um cliente. O bloqueio pode ocorrer porque uma

1055
verificao de integridade do host falhou ou porque a poltica do cliente no est

atualizada. Quando esses eventos ocorrem, possvel especificar que uma
mensagem pop-up seja exibida no cliente. Essa mensagem notifica o usurio de
que o Enforcer bloqueou todo o trfego do cliente e porque ele foi bloqueado. Por
exemplo, a mensagem a seguir ser exibida se o cliente no passar na verificao
de integridade do host:
Symantec Enforcer has blocked all traffic from the client because
the client failed Host Integrity. (O Symantec Enforcer bloqueou todo o trf
possvel adicionar texto mensagem padro. Por exemplo, voc pode informar
ao usurio do computador o que fazer para corrigir a situao. Configure essa
mensagem como parte das configuraes da poltica de grupo de clientes em vez
das configuraes do Enforcer.
Mensagens dos computadores com Windows que no esto executando

o cliente (somente Gateway Enforcer)
Em alguns casos, os clientes tentam conectar-se rede empresarial sem executar
o cliente. O Gateway Enforcer fornece uma mensagem pop-up para informar aos
usurios de computadores com Windows sobre a necessidade de instalao do
software-cliente. A mensagem informar aos clientes que eles esto impedidos
de acessar a rede porque o cliente da Symantec no est em execuo. possvel
configurar o contedo da mensagem na guia Autenticao da caixa de dilogo
Enforcer Settings (Configuraes do Enforcer). Use a opo Ativar mensagem
pop-up no cliente se ele no estiver sendo executado.
Nota: Uma alternativa mensagem pop-up a opo redirecionamento HTTP. A
opo HTTP Redirect (Redirecionamento do HTTP) conectar o cliente a um site
com instrues ou recursos para correo.
Para que o Enforcer faa com que o cliente exiba uma mensagem, as portas UDP
137 e 138 devero estar abertas para a transmisso da mesma.
O Windows Messaging, tambm denominado Messenger, deve estar em execuo
nos sistemas baseados em Windows NT (Windows NT 4.0, 2000, XP e Windows
Server 2003) para que o computador exiba mensagens pop-up. Se o cliente estiver
em execuo, o Windows Messaging no ser necessrio para exibio de
mensagens pop-up do cliente.
1056

Configurao das mensagens do Enforcer

Voc pode configurar as mensagens do Enforcer que so exibidas nos clientes
quando o Enforcer bloqueia os clientes.
Nota: possvel modificar as configuraes somente dos grupos no herdados de
um grupo-pai.
Para configurar as mensagens do Enforcer
No Console do Symantec Endpoint Protection Manager, na pgina Clientes,

selecione a guia Polticas.
No painel Exibir polticas, selecione o grupo para o qual deseja especificar

uma mensagem pop-up.
Em Configuraes, selecione Configuraes gerais. A caixa de dilogo

Configuraes de grupo ser exibida com a guia Configuraes gerais
selecionada.
Na guia Configuraesdesegurana, selecione Exibirumamensagemquando

um cliente estiver bloqueado por um Symantec Enforcer.
Se voc quiser adicionar texto na mensagem padro, clique em Definir texto

adicional, digite o texto e clique em OK.
Clique em OK.

Os clientes da Symantec trabalham com o Enforcer sem configuraes especiais.
A exceo est em algumas configuraes da autenticao 802.1x requerida para
o LAN Enforcer.
Configurao de clientes para usar uma senha a fim

de interromper o servio do cliente
O cliente pode passar inicialmente na autenticao do Enforcer, enquanto o cliente
est em execuo e receber uma configurao normal de rede e endereo IP. Se o
cliente no falhar na autenticao mais tarde, o Enforcer enviar uma mensagem
ao cliente. Esta falha faz com que o cliente libere e renove o endereo IP. No
entanto, se o usurio final interromper o cliente no computador-cliente, o Enforcer
ser desativado para aplicar a verso e renovao. Para garantir que o Enforcer
possa continuar a colocar em quarentena ou bloquear clientes, talvez voc queira

restringir os usurios que podem interromper um cliente. Voc pode restringir

os usurios ao exigir uma senha para o usurio final interromper o cliente.
Para configurar clientes para usar uma senha a fim de interromper o servio do
cliente
No Console do Symantec Endpoint Protection Manager, na pgina Cliente,

selecione o grupo do cliente.
Na guia Configuraes de segurana, em Proteo por senha do cliente,

selecione Exigir uma senha para interromper o servio do cliente e
especifique a senha.
Clique em OK.

Os relatrios e logs do Enforcer permitem exibir atividades do cliente do Enforcer
e a forma como os Enforcers circulam em seu sistema. Para obter informaes
detalhadas acerca dos relatrios e logs de tipos e como exibi-los, consulte a Ajuda
A pgina Relatrios no console do Symantec Endpoint Protection Manager fornece
relatrios predefinidos e personalizados. Voc pode exibir Relatrios rpidos
predefinidos que contm informaes sobre Enforcers na pgina Relatrios.
Estes relatrios do Enforcer esto disponveis:
O relatrio do sistema denominado Enforcers principais que geram erros

contm informaes sobre os Enforcers que geraram erros e avisos.
O relatrio do sistema denominado Status do site contm informaes sobre

a taxa de transferncia do sistema Enforcer, trfego e log de pacotes.
Os relatrios de conformidade contm informaes sobre o status de

conformidade dos clientes.
Os logs do Enforcer incluem os dados que voc pode usar para monitorar e
solucionar problemas de atividade do sistema:
Os seguintes tipos de log do Enforcer esto disponveis:
Log do servidor do Enforcer Este log contm as informaes relacionadas ao

funcionamento de um Enforcer.
Log do cliente do Enforcer. Este log contm as informaes sobre as interaes

entre um Enforcer e os clientes que tentam se conectar rede.
1057
1058

Log de trfego do Enforcer (somente Gateway Enforcer) Este log registra todo
o trfego que entra pelo adaptador externo e sai pelo adaptador interno do
appliance Gateway Enforcer.
Log de atividade do Enforcer Este log contm as informaes sobre eventos,

como quando Enforcers so iniciados e quando se conectam ao Symantec
Os logs do Enforcer so armazenados por padro no mesmo computador em que

o software Enforcer instalado ou no prprio appliance Enforcer. Voc pode fazer
com que os logs sejam enviados automaticamente do appliance Enforcer ou do
computador em que voc instalou o Integrated Enforcer ao console do Symantec
Endpoint Protection Manager. Porm, necessrio ativar o envio dos logs no
Os dados de log so enviados do Enforcer para o Symantec Endpoint Protection
Manager e armazenados no banco de dados. Voc pode modificar as configuraes
de log do Enforcer, exibir logs do Enforcer e gerar relatrios sobre os Enforcers
no console do Symantec Endpoint Protection Manager. As atividades so
registradas no mesmo log do servidor do Enforcer para todos os Enforcers em um
site.
Para obter informaes detalhadas acerca dos tipos de relatrios e logs e sobre
como exibi-los, consulte a Ajuda do Symantec Endpoint Protection Manager.
Consulte Definio das configuraes do log do Enforcer na pgina 1058.

Voc pode configurar definies para os logs do Enforcer na caixa de dilogo Nome
do EnforcerConfiguraes, na guia Registrar em log. As alteraes sero enviadas
para o Enforcer selecionado durante a prxima pulsao.
Para configurar os logs do Enforcer

Administrador.
Em Servidores, selecione o grupo do Enforcer no qual voc deseja mudar as

configuraes de log.
Na caixa de dilogo Nome do EnforcerConfiguraes, na guia Registro em

log, mude qualquer um dos seguintes itens:

Desativar o registro em log do Enforcer Desmarque Ativar registro de log para cada
no console do Symantec Endpoint
log que voc deseja desativar.
Protection Manager
Ativar o envio dos logs do Enforcer de Selecione Enviar o log ao servidor de
um Enforcer para o Symantec Endpoint gerenciamento.
Protection Manager
Configurar o tamanho e a idade dos logs Em cada um dos campos Tamanho mximo
do arquivo de log, especifique o nmero de
kilobytes de dados que sero mantidos em
cada log.
No campo A entrada de log vai expirar aps,
especifique o nmero de dias que a entrada
permanecer no banco de dados antes de ser
removida. A faixa de 1 a 365 dias.
Filtrar o log de trfego do Enforcer
Selecione uma das opes de filtro a seguir:

Todo o trfego para registrar em log todo
o trfego, incluindo o trfego permitido
e o descartado.
Somente trfego bloqueado para
registrar em log apenas os clientes
bloqueados pelo Enforcer.
Somente trfego permitido para
registrar em log apenas o trfego
permitido pelo Enforcer.
Clique em OK.
Como desativar o registro em log do Enforcer no console do Symantec

O registro em log do Enforcer ativado por padro. Voc pode desativ-lo no
console do Symantec Endpoint Protection Manager. Se os logs estiverem
desativados, possvel ativ-los nesse mesmo local.
Para desativar o registro em log do Enforcer no console do Symantec Endpoint
Protection Manager

Administrador.
1059
1060

Em Servidores, selecione o grupo do Enforcer no qual deseja desativar o

registro em log do Enforcer.
Na caixa de dilogo Configuraes do nome do Enforcer, na guia Registro em

log, desmarque Ativar log em todos os logs que queira desativar.
Clique em OK.
Como ativar o envio dos logs do Enforcer de um Enforcer para o

Por padro, todos os logs so enviados automaticamente do appliance Enforcer
ou do computador em que voc instalou qualquer software baseado no Integrated
Enforcer para o Symantec Endpoint Protection Manager. Assim que voc ativar
o envio dos logs, ser possvel exibir todos os logs da Symantec em um local central
no console do Symantec Endpoint Protection Manager.
Para ativar o envio dos logs do Enforcer de um Enforcer ao Symantec Endpoint
Protection Manager

Administrador.
Em Servidores, selecione o grupo do Enforcer para o qual voc deseja ativar

o envio de logs do Enforcer de um Enforcer a um Symantec Endpoint
Protection Manager.

log, marque Enviar o log ao servidor de gerenciamento.
Voc pode ativar o envio de cada tipo de log de um appliance Enforcer ou de
um computador em que voc instalou qualquer software baseado no Integrated
Enforcer para o Symantec Endpoint Protection Manager.
Clique em OK.
Configurao do tamanho e do prazo dos logs do Enforcer

possvel especificar o tamanho mximo dos arquivos de log do Enforcer e por
quantos dias as entradas sero armazenadas.

Para configurar o tamanho e a idade de logs do Enforcer

Administrador.
Em Servidores, selecione o grupo do Enforcer no qual deseja definir o tamanho

e a idade dos log do Enforcer.

log, em cada um dos campos Tamanho mximo do arquivo de log, especifique
o nmero de KB de dados a serem mantidos em cada log.
Voc pode digitar um tamanho entre 64 KB e 2 GB. A configurao padro
512 KB.
No campo A entrada de log vai expirar aps, especifique o nmero de dias

que a entrada permanecer no banco de dados antes de ser removida.
O intervalo de 1 dia a 365 dias, com o padro de 30 dias.
Clique em OK.
Filtragem dos logs de trfego de um Enforcer

Se houver muitos clientes conectando-se por um Enforcer, ele poder gerar um
extenso log de trfego. possvel filtrar o tipo de dados registrados pelo Enforcer
no log de trfego e assim reduzir o tamanho mdio do mesmo. A lista de filtros
permite filtrar o trfego que logs do Enforcer fazem antes que os dados sejam
retidos.
Para filtrar os logs de trfego de um Enforcer

Administrador.
Em Servidores, selecione o grupo do Enforcer no qual voc deseja filtrar logs

de trfego.
1061
1062


log, na lista Filtros do log de trfego, selecione uma das seguintes opes de
filtro:
Todo o trfego
Registra todo o trfego, incluindo o que permitido e

o que removido
Somente trfego bloqueado
Registra somente os clientes bloqueados pelo Enforcer
Somente trfego permitido
Registra somente o trfego permitido pelo Enforcer
Clique em OK.
Para usar o servidor do syslog para monitorar o Enforcer

Voc pode usar o recurso do syslog para registrar em log as mensagens do Enforcer.
Voc pode especificar os seguintes aspectos:
Endereo IP do servidor do syslog
Nvel da entrada do syslog
Limite de falha na autenticao
Intervalo de mensagens ativas
Para ativar mensagens de registro em log no syslog para um Enforcer
Em Servidores, selecione o grupo do Enforcer para o qual voc quer ativar o

registro em log ao syslog.

Na guia Registro em log, na seo Syslog, selecione entre as seguintes opes:

Servidor Syslog
Especifique o endereo IP do servidor

Syslog.
Nvel
O nvel padro de entrada do Syslog

Informaes. Os nveis incluem: Aviso e
Informaes. Todos os logs mais srios do
que o nvel especificado so transferidos
por upload ao servidor de logs.
Limite de falha na autenticao
Este parmetro definido em termos do

nmero de vezes multiplicado pelo
nmero de segundos. Quando a
autenticao falhar mais frequentemente
do que especificado, as seguintes
mensagens sero registradas em log.
Intervalo de mensagens ativas
O Enforcer envia uma mensagem "viva"

ao servidor do Syslog em um intervalo
especificado em segundos. O valor padro
1.800 segundos.
Clique em OK.
1063
1064

Captulo
51
Introduo do Symantec
Integrated Enforcer
Sobre o Symantec Network Access Control Integrated Enforcer for Microsoft

DHCP Servers
Sobre o Symantec Network Access Control Integrated Enforcer for Microsoft

Sobre o Symantec Network Access Control Integrated

O Integrated Enforcer para servidores DHCP da Microsoft do Symantec Network
Access Control funciona em conjunto com o servidor do Protocolo de configurao
dinmica de hosts (DHCP) da Microsoft. Ele verifica se os clientes que tentam se
conectar rede esto em conformidade com as polticas de segurana configuradas.
O Integrated Enforcer for Microsoft DHCP Servers obtm segurana por meio da
interceptao e verificao de mensagens DHCP de cada cliente que recebe um
endereo IP dinmico por meio do servidor DHCP. Ele, ento, agrupa computadores
no protegidos em uma classe de quarentena e fornece recursos limitados
disponveis, de acordo com as configuraes de poltica estabelecidas.
Sobre o Symantec Network Access Control Integrated

Enforcer for Microsoft Network Access Protection
O Integrated Enforcer for Microsoft Network Access Protection (NAP) funciona
de acordo com o Microsoft Windows Network Policy Server (NPS) em um Microsoft
1066
Introduo do Symantec Integrated Enforcer

Sobre o Symantec Network Access Control Integrated Enforcer for Microsoft Network Access Protection
Windows Server 2008 e Windows Server 2008 R2. O Symantec Integrated NAP
Enforcer garante que os clientes que tentam se conectar rede cumpram as
polticas de segurana configuradas.
O NAP restringe o acesso s redes criando um ambiente controlado. Ele verifica
a postura da segurana de um cliente antes que o cliente possa conectar-se rede
corporativa. Se um cliente no estiver em conformidade, o NAP corrigir a postura
de segurana ou limitar o acesso aos endpoints que no cumprirem a poltica de
segurana de uma empresa.
O Network Access Protection uma tecnologia de criao, imposio e correo
de "poltica de integridade de segurana" do cliente que est includa no sistema
operacional Windows Server 2008. Os administradores de sistemas podem criar
e automaticamente aplicar polticas de segurana. Estas polticas de integridade
de segurana podem incluir requisitos do software, requisitos da atualizao de
segurana, configuraes de computador necessrias e outras configuraes. Aos
computadores-cliente que no esto em conformidade com uma poltica de
integridade de segurana pode ser fornecido acesso restrito rede. Quando sua
configurao estiver atualizada e em conformidade com uma poltica, os clientes
tero acesso total rede. Dependendo de como voc implementar o NAP, os clientes
que no estiverem em conformidade podem automaticamente ser atualizados de
modo que os usurios recuperem o acesso total rede, sem atualizar ou
reconfigurar seus computadores manualmente.
Nota: A Microsoft usa a poltica de integridade de segurana em sua
documentao para o Network Access Protection. A Symantec usa a poltica de
segurana e a poltica de integridade do host significando a mesma coisa.
Captulo
52

Integrated Enforcer for
Microsoft DHCP Servers
Processo de instalao de um Symantec Network Access Control Integrated

Requisitos do sistema para o Integrated Enforcer para Microsoft DHCP Servers
Componentes para um Integrated Enforcer for Microsoft DHCP Servers
Requisitos de colocao para o Integrated Enforcer for Microsoft DHCP Servers
Noes bsicas sobre a instalao de um Integrated Enforcer for Microsoft

DHCP Servers
Instalao do Integrated Enforcer for Microsoft DHCP Servers
Processo de instalao de um Symantec Network

Access Control Integrated Enforcer for Microsoft
DHCP Servers
A Tabela 52-1 relaciona as etapas para instalar o Symantec Network Access Control
Integrated Enforcer for Microsoft DHCP Servers.
1068
Para instalar o Symantec Network Access Control Integrated Enforcer for Microsoft DHCP Servers
Requisitos do sistema para o Integrated Enforcer para Microsoft DHCP Servers
Tabela 52-1
Resumo da instalao do Symantec Network Access Control

Integrated Enforcer for Microsoft DHCP Servers
Etapa
Ao
Descrio
Etapa 1
Leia os requisitos do sistema e de

instalao.
Identifica os componentes de hardware,

software e do Symantec Network Access
Control que voc precisa obter para
executar o Enforcer e ajuda a planejar
sua colocao na rede.
Consulte Requisitos do sistema para o
Integrated Enforcer para Microsoft
Consulte Componentes para um
Servers na pgina 1069.
Etapa 2
Instale o Symantec Endpoint Protection Instala o aplicativo que voc usa para
Manager.
suportar o Enforcer em sua rede.
Etapa 3
Instala e configura o Symantec Network Instala os componentes do Symantec

Access Control Integrated Enforcer for Network Access Control Integrated
Microsoft DHCP Servers.
Enforcer for Microsoft DHCP Servers.
Consulte Instalao do Integrated
na pgina 1073.
Requisitos do sistema para o Integrated Enforcer para

A Tabela 52-2 resume os requisitos mnimos para os computadores em que voc
instala o Integrated Enforcer para servidores DHCP da Microsoft.
Componentes para um Integrated Enforcer for Microsoft DHCP Servers
Tabela 52-2
Requisitos do sistema do Integrated Enforcer para Microsoft DHCP

Servers
Componente
Requisito
Hardware
Para instalaes de at 10.000 usurios, use os seguintes

requisitos recomendados:
Pentium III 750 MHz
256 MB de memria
120 MB de espao em disco
Adaptadores de rede Fast Ethernet
Uma placa de interface de rede (NIC, Network Interface

Card) com TCP/IP instalado
Para instalaes de 10.000 ou mais usurios, use os seguintes

Sistema operacional
Pentium 4 2,4 GHz
512 MB de memria
Adaptadores de rede de 1 GB
Monitor de resoluo 800 x 600 com 256 cores (mnimo)

O Integrated Enforcer exige que o servidor DHCP da Microsoft

e os seguintes sistemas operacionais de 32 e 64 bits estejam
instalados:
Windows Server 2003 Service Pack
Windows Server 2003 Service Pack 1
Windows Server 2003 x64
Windows Server 2008
Windows Server 2008 x64
Windows Server 2008 R2
Componentes para um Integrated Enforcer for

O Integrated Enforcer for Microsoft DHCP Servers funciona com o servidor DHCP
da Microsoft, o Symantec Endpoint Protection Manager e o cliente Symantec
Network Access Control. Ele verifica se os clientes que tentam se conectar rede
esto em conformidade com as polticas de segurana configuradas.
1069
1070
A Tabela 52-3 mostra os componentes que so necessrios para usar o Integrated

Enforcer for Microsoft DHCP Servers:
Tabela 52-3
Componentes para o Symantec Network Access Control Integrated

Componente
Descrio
Symantec Endpoint Protection Manager Cria polticas de segurana em um local

centralizado e as atribui para os clientes.
Cliente do Symantec Network Access
Control
Protege usurios finais aplicando as polticas de

segurana fornecidas pelo Integrated Enforcer
para servidores DHCP da Microsoft.
Servidor DHCP da Microsoft
Fornece endereos DHCP aos clientes.
Integrated Enforcer for Microsoft DHCP Autentica clientes e aplica polticas de segurana.
Servers (instalado no mesmo
computador que o servio DHCP)
Requisitos de colocao para o Integrated Enforcer

for Microsoft DHCP Servers
A Figura 52-1 ilustra como colocar o Integrated Enforcer for Microsoft DHCP
Servers, o servidor DHCP da Microsoft e o Symantec Endpoint Protection Manager,
bem como clientes internos ou remotos, em uma rede.
Figura 52-1
Colocao do Symantec Network Access Control Integrated Enforcer

Symantec Endpoint
Protection Manager
Clientes
Agente de
retransmisso
Servidores
protegidos
Backbone da
empresa
Hub/Switch
Servidor DHCP com

o Integrated Enforcer
1071
1072
Noes bsicas sobre a instalao de um Integrated Enforcer for Microsoft DHCP Servers
Noes bsicas sobre a instalao de um Integrated

A documentao descreve como instalar, configurar e usar o Integrated Enforcer
for Microsoft DHCP Servers. Para comear, realize as seguintes tarefas:
Tabela 52-4
Processo de instalao de um Integrated Enforcer for Microsoft

DHCP Servers
Etapa
Ao
Descrio
Etapa 1
Localize os componentes da instalao Descreve os componentes necessrios

do Symantec Network Access Control. para a instalao de um Integrated
Consulte Componentes para um
Servers na pgina 1069.
Etapa 2
Obtenha o hardware necessrio.
Relaciona os requisitos de hardware

para um Integrated Enforcer for
Consulte Requisitos do sistema para o
Integrated Enforcer para Microsoft
Etapa 3
Obtenha o sistema operacional

necessrio.
Relaciona os requisitos do sistema

operacional para um Integrated
Etapa 4
Coloque o Integrated Enforcer for

Microsoft DHCP Servers em sua rede.
Explica onde colocar um Integrated

em uma rede.
Consulte Requisitos de colocao para
o Integrated Enforcer for Microsoft
Etapa 5
Instale um Integrated Enforcer para

servidores DHCP da Microsoft.
Explica como instalar um Integrated

na pgina 1073.
Etapa
Ao
Descrio
Etapa 6
Configure o Integrated Enforcer for

Explica como definir as conexes e

configuraes de um Integrated
em um console do Enforcer.
Consulte Sobre a configurao do
Integrated Enforcers em um console do
Instalao do Integrated Enforcer for Microsoft DHCP

Servers
Voc deve instalar o Integrated Enforcer for Microsoft DHCP Servers no mesmo
computador em que voc instalou o sistema operacional Microsoft Windows Server
e o servio DHCP. Faa login como administrador ou como um usurio do grupo
de administradores.
Nota: Aps instalar o servidor DHCP da Microsoft, necessrio configurar o
Integrated Enforcer for Microsoft DHCP Servers. O Integrated Enforcer para
servidores DHCP da Microsoft pode, ento, conectar-se ao Symantec Endpoint
Protection Manager.
Para instalar o Integrated Enforcer for Microsoft DHCP Servers com um assistente
Insira o disco do produto.

Se a instalao no iniciar automaticamente, clique duas vezes em:
IntegratedEnforcerInstaller86.exe(para sistemas operacionais x86).
Voc dever sair da instalao e instalar o servidor DHCP se visualizar a

seguinte mensagem:
You must have the DHCP server on this machine
to install this product. To install the DHCP server,
in the Control Panel, use the Add/Remove Windows
Components Wizard.
Se o servidor DHCP j estiver instalado, ser exibida a mensagem Bem-vindo

ao Assistente de Instalao do Symantec Integrated Enforcer.
No painel Bem-vindo, clique em Avanar.
1073
1074
No painel Contrato de licena, clique em Aceito este contrato de licena.
Clique em Avanar.
Se quiser aceitar a pasta de destino padro, clique em Avanar.
Clique em Procurar, localize e selecione uma pasta de destino, clique em

OK e em Avanar.
Se o painel Seleo de funes for exibido, selecione Aplicao do DHCP

para servidor DHCP da Microsoft e clique em Avanar.
O painel Seleo de funes apenas ser exibido se mais de um tipo de
Symantec Network Access Control Integrated Enforcer puder ser instalado
com base nos servios que esto em execuo no servidor.
No painel Pronto para instalar o aplicativo, clique em Avanar.
Quando solicitada a reinicializao do servidor DHCP, realize uma das

seguintes tarefas:
Para reiniciar o servidor DHCP imediatamente, clique em Sim.
Para reiniciar manualmente o servidor DHCP mais tarde, clique em No.

Se for reiniciar o servidor DHCP mais tarde, ele dever ser interrompido
e, ento, reiniciado.
Voc deve reiniciar o servidor DHCP para que o Symantec Integrated Enforcer
funcione.
Consulte Interrupo e inicializao manual do servidor DHCP da Microsoft
na pgina 1076.
Clique em Concluir.
Se precisar reinstalar o Integrated Enforcer, ser necessrio, primeiro,
desinstal-lo.
Consulte Desinstalao do Symantec Network Access Control Integrated
Enforcer for Microsoft DHCP Servers na pgina 1075.
Para instalar o Integrated Enforcer for Microsoft DHCP Servers pela linha de
comando
Abra um prompt de comando do DOS para iniciar a instalao pela linha de

comando.
O processo de instalao pela linha de comando usa somente configuraes
padro.
Na linha de comando, especifique o diretrio no qual o instalador do Integrated

Enforcer est localizado.
O local de instalao padro um dos seguintes:
C:\Arquivos de Programa\Symantec\Symantec Endpoint

Protection\Integrated Enforcer para sistemas operacionais x86.
C:\Arquivos de Programa (x86)\Symantec\Symantec Endpoint

Digite IntegratedEnforcerInstaller86.exe /qr (para sistemas operacionais

x86) ou IntegratedEnforcerInstaller64.exe /qr (para sistemas
operacionais x64) na linha de comando e digite: Enter.
Desinstalao do Symantec Network Access Control Integrated Enforcer

Voc pode desinstalar o Symantec Network Access Control Integrated Enforcer
for Microsoft DHCP Servers usando a barra de tarefas do Windows ou a linha de
comando.
Para desinstalar o Integrated Enforcer for Microsoft DHCP Servers
Na barra de tarefas do Windows, clique em Iniciar > Painel de controle >

Adicionar ou remover programas.
Clique em Symantec NAC Integrated Enforcer e em Remover.
Quando solicitado a confirmar se deseja excluir o software, clique em Sim.
Quando solicitada a reinicializao do servidor DHCP, realize uma das

seguintes tarefas:
Para reiniciar o servidor DHCP imediatamente, clique em Sim.
Para reiniciar manualmente o servidor DHCP mais tarde (padro), clique

em No.
Se voc reiniciar o servidor DHPC
mais tarde, ser necessrio encerr-lo e, em seguida, inici-lo.
O servidor DHCP dever ser reiniciado para desinstalar o Symantec
Integrated Enforcer completamente.
Para desinstalar o Integrated Enforcer for Microsoft DHCP Servers usando a linha
de comando
Abra um prompt de comando do DOS.
No prompt de comando, digite:

misexec.exe /qn /X <nome do arquivo > O nome do arquivo deve ficar
em Arquivos de Programas\Common Files\Wise Installation Wizard.
1075
1076
Upgrade do Integrated Enforcer for Microsoft DHCP Servers

As seguintes etapas detalham como fazer upgrade do Symantec Network Access
Control Integrated Enforcer for Microsoft DHCP Servers:
Tabela 52-5
Etapas para o upgrade do Integrated Enforcer for Microsoft DHCP

Servers
Etapa
Ao
Descrio
Etapa 1
Desinstale a verso antiga.
Desinstale a verso atual do Integrated

Enforcer.
Consulte Desinstalao do Symantec
Network Access Control Integrated
na pgina 1075.
Etapa 2
Instale a nova verso.
Instale a nova verso do Integrated

Enforcer.
na pgina 1073.
Nota: A migrao no suportada. Voc deve desinstalar a verso antiga e instalar

uma nova.
Interrupo e inicializao manual do servidor DHCP da

Microsoft
Interrompa o servidor DHCP da Microsoft manualmente para fazer o upgrade
para uma nova verso do Integrated Enforcer for Microsoft DHCP Servers. Voc
dever reinici-lo aps concluir o upgrade.
Para interromper e reiniciar o servidor DHCP da Microsoft manualmente
Na barra de tarefas do Windows, clique em Iniciar > Painel de Controle >

Ferramentas Administrativas > Servios.
Clique com o boto direito do mouse em Servidor DHCP e clique em

Interromper.
Clique em Iniciar.
Captulo
53
Para configurar os
Symantec Integrated
Enforcers no console do
Enforcer
Sobre a configurao do Integrated Enforcers em um console do appliance

Enforcer
Para estabelecer ou alterar uma comunicao entre o Integrated Enforcer para

servidores DHCP da Microsoft e o Symantec Endpoint Protection Manager
Configurao da quarentena automtica
Como editar uma conexo do Symantec Endpoint Protection Manager
Definio de configuraes de comunicao do Integrated Enforcer no Symantec

Configurao de uma lista de fornecedor confivel
Exibio de logs do Enforcer no console
Como interromper e iniciar os servios de comunicao entre o Integrated

Enforcer e um servidor de gerenciamento
Configurao de uma mscara de sub-rede segura
Criao de excees do escopo do DHCP
1078
Para configurar os Symantec Integrated Enforcers no console do Enforcer

Sobre a configurao do Integrated Enforcers em um console do appliance Enforcer
Sobre a configurao do Integrated Enforcers em um

console do appliance Enforcer
Depois de concluir a instalao do Symantec Network Access Control Integrated
Enforcer, h duas etapas de configurao. Primeiro, defina as configuraes no
console do appliance Integrated Enforcer. Em seguida, v para o Symantec
Endpoint Protection Manager para fazer as mudanas desejadas nas configuraes
do grupo ao qual pertence o Integrated Enforcer.
A Tabela 53-1 descreve estas tarefas.
Tabela 53-1
Resumo da configurao do console do Enforcer
Etapa
Ao
Descrio
Etapa 1
Estabelea uma conexo entre o

Servers e um servidor de
gerenciamento.
Use o console do Integrated Enforcer

para configurar a conexo entre o
Integrated Enforcer para servidores
DHCP da Microsoft e o Symantec
Consulte Para estabelecer ou alterar
uma comunicao entre o Integrated
Enforcer para servidores DHCP da
Microsoft e o Symantec Endpoint
Etapa 2
Defina o servidor DHCP com uma

configurao de quarentena.
Use um de dois mtodos para

configurar uma classe de usurio de
quarentena para correo.
Consulte Configurao da quarentena
automtica na pgina 1082.
Etapa 3
Reinicie o servio DHCP.
Interrompa e inicie manualmente o

servio DHCP no servidor DHCP.
Consulte Interrupo e inicializao
manual do servidor DHCP da Microsoft
na pgina 1076.

Sobre a configurao do Integrated Enforcers em um console do appliance Enforcer
Etapa
Ao
Descrio
Etapa 4
Opcionalmente, mude as configuraes Adicione ou edite descries para o

bsicas do Integrated Enforcer.
Integrated Enforcer ou grupo de
Integrated Enforcers, ou para o
endereo IP ou nomes de host do
Integrated Enforcer.
Consulte Configuraes bsicas do
Integrated Enforcer na pgina 1092.
Etapa 5
Conectar o Integrated Enforcer a

Manager.
Conectar o Integrated Enforcer a um

servidor no qual Symantec Endpoint
Protection Manager est instalado.
Consulte Para conectar o Integrated
Enforcer do Symantec Network Access
Control a um Symantec Endpoint
Etapa 6
Conforme necessrio, atualize a

conexo para o Symantec Endpoint
Protection Manager.
Atualizar a conexo para o endereo do

servidor Symantec Endpoint Protection
e a informao de porta, caso
necessrio.
Consulte Como editar uma conexo do
Etapa 7
Se necessrio, configure uma lista de

fornecedores confiveis.
Configure uma lista de fornecedores

confiveis para dispositivos em sua
rede, como impressoras ou telefones IP.
Esses so os dispositivos que o
Integrated Enforcer no precisa
autenticar.
Consulte Configurao de uma lista de
fornecedor confivel na pgina 1086.
Etapa 8
Opcionalmente, defina onde voc deseja Configure os logs para exibir no console
exibir os logs.
do Enforcer ou no Symantec Endpoint
Protection Manager.
Consulte Exibio de logs do Enforcer
no console na pgina 1087.
Consulte Configurao de logs para o
1079
1080

Para estabelecer ou alterar uma comunicao entre o Integrated Enforcer para servidores DHCP da Microsoft e o
Etapa
Ao
Descrio
Etapa 9
Opcionalmente, defina as configuraes Configure como voc deseja autenticar

de autenticao para sua rede.
clientes, servidores e dispositivos.
Consulte Especificao do nmero
mximo de pacotes de desafio durante
uma sesso de autenticao
na pgina 1101.
Consulte Especificao da frequncia
de envio dos pacotes de desafio aos
Consulte Permisso para todos os
clientes com registro em log contnuo
de clientes no autenticados
na pgina 1103.
Consulte Permisso para que clientes
que no sejam Windows se conectem
Consulte Ativao de servidores,
clientes e dispositivos para que se
conectem rede como hosts confiveis
sem autenticao na pgina 1096.
Etapa
10
Opcionalmente, confirme se os clientes Confirme se os clientes tm as polticas

esto executando polticas atualizadas. mais recentes, comparando o nmero
de srie da poltica que voc recebeu do
cliente com o nmero de srie da
poltica no Symantec Endpoint
Protection Manager.
Para estabelecer ou alterar uma comunicao entre

o Integrated Enforcer para servidores DHCP da
Microsoft e o Symantec Endpoint Protection Manager
Voc deve especificar o Symantec Endpoint Protection Manager para o qual o
Integrated Enforcer pode se conectar. Aps configurar a lista de servidores de
gerenciamento, configure a conexo com a senha criptografada, o nome do grupo
e o protocolo de comunicao. A senha criptografada era previamente conhecida
como uma chave pr-compartilhada.
Depois que o Integrated Enforcer conecta-se a um servidor de gerenciamento, ele
se registra automaticamente.

Para estabelecer ou alterar uma comunicao entre o Integrated Enforcer para servidores DHCP da Microsoft e o

Para estabelecer comunicao entre o console do Integrated Enforcer e o Symantec
Na barra de tarefas do Windows, no computador do Integrated Enforcer,

clique em Iniciar > Programas > Symantec Endpoint Protection > Symantec
Integrated NAP Enforcer.
O console de configurao do Symantec Network Access Control Integrated
Enforcer aparece. Esta pgina principal mostra o status da conexo entre o
Integrated Enforcer e o Symantec Endpoint Protection Manager. A luz verde
indica que o Integrated Enforcer est ativamente conectado ao servidor de
gerenciamento. A luz vermelha indica que no h conexo.
No painel esquerdo, clique em Symantec Integrated Enforcer > Configurar

> Servidor de gerenciamento.
Na caixa de dilogo Servidor de gerenciamento, digite o endereo IP ou o

nome do Symantec Endpoint Protection Manager no campo de texto Endereo
do servidor.
possvel digitar um endereo IP, um nome de host ou um nome de domnio.
Se desejar usar um nome de host ou um nome de domnio, assegure-se de que
o nome corretamente solucionado pelo Servidor de nomes de domnio
(servidor DNS).
Na caixa de dilogo Servidor de gerenciamento, edite o nmero da porta que

o Integrated Enforcer usa para se comunicar com o Symantec Endpoint
Protection Manager.
O nmero da porta padro 8014 para o protocolo HTTP e 443 para o
protocolo HTTPS. O protocolo HTTPS deve ser configurado de forma idntica
no Symantec Endpoint Protection Manager e no Integrated Enforcer.
Na caixa de texto Senha de criptografia, digite a senha do Symantec Endpoint

Protection Manager para sua conexo.
O Symantec Endpoint Protection Manager e o Integrated Enforcer devem
usar a mesma senha criptografada para comunicao.
Para exibir as letras e os nmeros da chave pr-compartilhada em vez de
asteriscos, selecione Usar valor de hash. Se a opo Usar valor de hash estiver
ativada, a senha de criptografia dever ter 32 caracteres e usar somente
nmeros hexadecimais.
1081
1082

Na caixa de texto de grupo Preferencial, digite um nome para o grupo do

Se voc no especificar um nome de grupo, o Symantec Endpoint Protection
Manager atribuir o Integrated Enforcer do Symantec Network Access Control
a um grupo padro do Enforcer com configuraes padro. O nome padro
do grupo I-DHCP. Porm, o Symantec Network Access Control Integrated
Enforcer para servidores NAP da Microsoft e os enforcers baseados em
appliances devem estar em um grupo separado.
Voc pode exibir as configuraes do grupo do console do Symantec Endpoint
Protection Manager na pgina Servidores.
Para especificar o protocolo que o Symantec Network Access Control

Integrated Enforcer usa para se comunicar com o Symantec Endpoint
Protection Manager, selecione HTTP ou HTTPS.
Voc poder usar apenas o protocolo HTTPS se o Symantec Endpoint
Protection Manager estiver executando o protocolo SSL.
Se voc selecionar o HTTPS e quiser exigir a verificao do certificado do
servidor de gerenciamento com uma autoridade de certificao externa
confivel, selecione Verificar o certificado quando usar o protocolo HTTPS.
Clique em Salvar.
Depois que o Integrated Enforcer se conectar ao Symantec Endpoint Protection
Manager, ser possvel mudar a maioria das configuraes no console do
Symantec Endpoint Protection Manager. Porm, o segredo pr-compartilhado
ou a senha criptografada devem ser idnticos no Integrated Enforcer e no
Symantec Endpoint Protection Manager para que eles se comuniquem.

Os clientes que tentam conectar-se rede enviam uma solicitao DHCP a um
servidor DHCP.
O Symantec Network Access Control Integrated Enforcer pode executar a
configurao da quarentena baseada em endereos IP permitidos ou voc pode
configurar uma classe de usurio de quarentena e adicionar recursos para cada
sub-rede no interior do servidor DHCP. O Integrated Enforcer insere a classe de
usurio de quarentena em todas as mensagens do DHCP provenientes de clientes
que no sejam conhecidos ou que no estejam em conformidade. Ele renova
tambm as solicitaes do cliente para o servidor DHCP. Clientes confiveis
recebem imediatamente um endereo IP normal, no sendo colocados em
quarentena. Se a autenticao for efetuada com xito, clientes no conhecidos ou

no confiveis so colocados em quarentena, autenticados e renovados, e, em

seguida, recebem um endereo IP normal.
O acesso com base nas configuraes da poltica de integridade do host e do
grupo que so definidas no Symantec Endpoint Protection Manager.
Digite uma lista de endereos IP que computadores em quarentena podero acessar,
mesmo em caso de falha na autenticao.
Para configurar a quarentena automtica para um Symantec Network Access Control
Integrated Enforcer


> Configurao da quarentena automtica.
Na pgina Configurao da quarentena automtica do Integrated Enforcer,

clique em Adicionar para iniciar a criao de uma lista de endereos IP.
Digite um endereo IP permitido e clique em OK para adicion-lo lista.
Clique novamente em Adicionar para continuar adicionando endereos IP

lista.
Modifique a lista de Endereos IP clicando em Editar, Remover, Remover

tudo, Mover para cima ou Mover para baixo.
Quando todos os endereos IP tiverem sido listados ou modificados, clique

em OK na parte inferior da pgina para salvar suas configuraes.
Para definir uma configurao de quarentena em um servidor DHCP (tarefa opcional

avanada)
No servidor DHCP, clique em Iniciar > Ferramentas administrativas > DCHP.

Para renovar a solicitao com uma configurao de quarentena, o Integrated
Enforcer insere dinamicamente uma classe de usurio de quarentena DHCP
s mensagens provenientes de clientes que no esto em conformidade. A
classe de usurio de quarentena ser definida quando for adicionado um ID
chamado. Em seguida, sero atribudos vrios recursos da classe de usurio,
incluindo o endereo IP do gateway, perodo de concesso, um servidor DNS
e rotas estticas suficientes para correo.
Na rvore da caixa de dilogo DHCP, clique com o boto direito do mouse no

servidor DHCP, e clique em Definir classes de usurio.
Na caixa de dilogo Classes de usurio DHCP, clique em Adicionar.
1083
1084

Como editar uma conexo do Symantec Endpoint Protection Manager
Na caixa de dilogo Nova classe, digite um nome de exibio que identifique

essa classe de usurio de quarentena como a configurao de quarentena e
uma descrio opcional.
Por exemplo, possvel identificar uma classe de usurio de quarentena, como
QUARENTENA.
Para definir uma nova classe de usurio, clique na coluna ASCII e digite
SYGATE_ENF em letras maisculas.
Clique em OK.
Clique em Fechar.
Para configurar opes de escopo em um servidor DHCP (tarefa opcional avanada)
Na rvore, clique com o boto direito do mouse em Opes de servidor.
Clique em Configurar opes...
Na guia Geral, selecione 003 Roteador e configure o endereo IP do roteador

que est associado ao cliente de retransmisso DHCP.
Na guia Avanado, na lista suspensa Classe de fornecedor, clique em Opes

padro DHCP.
Na guia Avanado, na lista suspensa Classe de usurio, clique em

SNAC_QUARANTINE.
Marque 003 Roteador.
No campo endereo IP, digite 127.0.0.1 (recomendado). Entretanto, cabe ao

administrador decidir qual IP de roteador deve ser atribudo aos clientes em
quarentena.
Marque 051 Concesso.
Digite o valor hexadecimal do perodo de concesso em segundos.

Por exemplo, para 2 minutos, digite 0x78.
10 Clique em OK.
11 Clique em Arquivo > Sair.
Como editar uma conexo do Symantec Endpoint

Protection Manager
Voc pode atualizar o endereo IP do Symantec Endpoint Protection Manager e
mover as informaes em caso de necessiddade.

Definio de configuraes de comunicao do Integrated Enforcer no Symantec Endpoint Protection Manager
Para editar uma conexo do Symantec Endpoint Protection Manager
Na barra de tarefas do Windows do computador do Enforcer, clique em Iniciar

> Programas > Symantec Endpoint Protection > Symantec Integrated
Enforcer.
No painel esquerdo, expanda Symantec Integrated Enforcer.
Expanda Configurar.
Clique em Servidores de gerenciamento.
No painel Servidores de gerenciamento, clique em Editar na coluna de cones

que est direita da lista de servidores de gerenciamento.
Na caixa de dilogo Adicionar/editar servidor de gerenciamento, digite o

endereo IP ou o nome do Symantec Endpoint Protection Manager no campo
de texto Endereo do servidor.
Se quiser usar um nome de host ou de domnio, o Symantec Network Access
Control Integrated Enforcer dever conectar-se a um servidor de nomes de
domnio (DNS).
Clique em OK.
Definio de configuraes de comunicao do

Integrated Enforcer no Symantec Endpoint Protection
Manager
A configurao do Symantec Network Access Control Integrated Enforcer um
processo de duas etapas. Primeiro, configure o Integrated Enforcer no console
Integrated Enforcer. Em segundo lugar, conclua as tarefas de configurao do
Symantec Endpoint Protection Manager para configurar totalmente as
comunicaes entre o Enforcer e o servidor de gerenciamento. As configuraes
sero obtidas por download automaticamente do servidor de gerenciamento para
o Integrated Enforcer durante a prxima pulsao.
Consulte Sobre a configurao do Integrated Enforcers em um console do
Para configurar as definies de comunicao do Integrated Enforcer no Symantec
1085
1086

Em Servidores, selecione o grupo de Enforcers do qual o Integrated Enforcer

membro.
Selecione o Integrated Enforcer cujas configuraes precisam ser alteradas.

A caixa de dilogo Configuraes fornece as seguintes categorias com guias
de configuraes:
Geral
Configuraes do nome de grupo Enforcer, descrio do

grupo Enforcer e lista de servidores de gerenciamento.
Consulte Configuraes bsicas do Symantec Network
Access Control Integrated Enforcer na pgina 1092.
Autenticao
Configuraes para uma variedade de parmetros que

afetam o processo de autenticao do cliente.
Consulte Configurao de autenticao do Symantec
Avanado
Configuraes dos parmetros do tempo limite de

autenticao e do tempo limite de mensagem do DHCP: essas
opes so exibidas, mas no momento no esto disponveis
para a configurao do Symantec Network Access Control
Configuraes para endereos MAC de hosts confiveis que
o appliance Integrated Enforcer permite conectar sem
autenticao (opcional).
Configuraes da autenticao local.
Consulte Configuraes avanadas do Symantec Network
Configuraes de log
Configuraes de logs do servidor, logs de atividade do

cliente e especificao de parmetros do arquivo de log.
Consulte Configurao de logs para o Symantec Network

Os agentes no podem ser instalados em alguns dispositivos de rede, como
impressoras ou telefones IP. Para que isso seja possvel, voc pode configurar uma
lista de fornecedores confiveis. Se o nome do fornecedor for considerado confivel,

o Symantec Network Access Control Integrated Enforcer no autenticar o

dispositivo. Os dispositivos obtero endereos IP normais do servidor DHCP.
Para configurar uma lista de fornecedores confiveis

No painel esquerdo, clique em Symantec Integrated Enforcer > Configure

(Configurar) > DHCP Trusted Vendors Configuration (Configurao de
fornecedores de DHCP confiveis).
Para ativar a lista de fornecedores confiveis, marque Turn on Trusted

Vendors (Ativar fornecedores confiveis).
Quando a caixa Turn on Trusted Vendors (Ativar fornecedores confiveis)
estiver marcada, a integridade do host no ser aplicada para o trfego DHCP
dos fornecedores confiveis selecionados.
Selecione os fornecedores que voc quer definir como fornecedores confiveis.
Clique em Save (Salvar).

O Symantec Network Access Control Integrated Enforcer registra automaticamente
as mensagens no log do Cliente do Enforcer e no log do Sistema do Enforcer. Estes
logs do Enforcer foram transferidos por upload para o Symantec Endpoint
Protection Manager. O log do cliente fornece informaes sobre conexes de
clientes e comunicaes com o Integrated Enforcer. O log do sistema grava
informaes relacionadas ao prprio Integrated Enforcer, como ocorrncias de
incio e interrupo do servio do Enforcer.
No Symantec Endpoint Protection Manager, possvel ativar e desativar o registro
em log e definir parmetros do arquivo de log do Integrated Enforcer. Todos os
logs so ativados e enviados para o Symantec Endpoint Protection Manager por
padro.
Para exibir os logs do Enforcer no console
No painel esquerda, expanda Symantec NAC Integrated Enforcer.
Expanda Exibir logs e clique em Log do sistema ou clique em Log do cliente.
Para visualizar quaisquer alteraes realizadas no log desde a ltima vez em

que foi aberto, clique em Atualizar.
Clique em OK.
1087
1088

Como interromper e iniciar os servios de comunicao entre o Integrated Enforcer e um servidor de gerenciamento
Como interromper e iniciar os servios de

comunicao entre o Integrated Enforcer e um
Para fins de soluo de problemas, possvel interromper e iniciar o servio do
Enforcer ou o servio (SNACLink.exe) que se comunica com o Symantec Endpoint
Protection Manager. Se voc interromper o servio do Enforcer, o Integrated
Enforcer remover as informaes de conformidade para clientes existentes. Ele
tambm interromper a coleta de informaes para clientes novos. Entretanto,
ele continuar a se comunicar com o Symantec Endpoint Protection Manager.
Se o Symantec Endpoint Protection Manager estiver indisponvel, o Integrated
Enforcer ainda aplicar a verso da poltica e o GUID para todos os clientes
autenticados. O mesmo processo ser seguido se voc interromper a conexo ao
Symantec Endpoint Protection Manager. Estas informaes so armazenadas no
cache local (somente se o cache estiver ativado). Ele autentica novos clientes
automaticamente (baseado no status da integridade do host), mas ignora a
verificao da GUID e das polticas.
Assim que a comunicao ao Symantec Endpoint Protection Manager for
restabelecida, o Integrated Enforcer atualizar a verso da poltica. Ele tambm
autentica os clientes que foram adicionados desde a perda da conexo.
Nota: possvel configurar o Symantec Network Access Control Integrated
Enforcer para colocar novos clientes em quarentena, em vez de autentic-los
enquanto a conexo do Symantec Endpoint Protection Manager estiver
indisponvel. Esse objetivo pode ser alcanado alterando o valor padro da chave
DetectEnableUidCache no registro do Windows.
A interrupo do Integrated Enforcer no interrompe o servidor DHCP. Se o
Integrated Enforcer for interrompido, o servidor DHCP funcionar como se no
houvesse nenhum Enforcer instalado. Se o servidor DHCP ficar indisponvel, o
Integrated Enforcer interromper a coleta de status de conformidade de novos
clientes. Porm, ele continuar a comunicar-se com os clientes existentes e a
registrar as mudanas do status. O servidor DHCP pode ficar indisponvel por
motivos de manuteno e por outros problemas.
Para interromper e iniciar os servios de comunicao entre o Integrated Enforcer
e um servidor de gerenciamento:
Inicie o Symantec Network Access Control Integrated Enforcer.
Clique em Symantec NAC Integrated Enforcer.

Voc pode interromper ou iniciar o servio do Enforcer (IntegratedEnf.exe)

ou o servio (SNACLink.exe) que se comunica com o Symantec Endpoint
Protection Manager.
Realize uma ou ambas as tarefas a seguir:
Na caixa de dilogo Grupo de servio do Enforcer, clique em Interromper.

Esta opo interrompe o servio do Enforcer.
Na caixa de dilogo Grupo de servio de comunicao do servidor de

gerenciamento, clique em Interromper.
Esta opo interrompe o servio do Enforcer que se conecta para o
Se o status estiver definido como Interrompido, o servio no ser executado.
Para reiniciar qualquer servio, clique em Iniciar.

Se voc desligar ou reiniciar o computador ao qual um Symantec Network
Access Control Integrated Enforcer estiver conectado, o servio do Enforcer
reiniciar automaticamente, juntamente com o computador.
Se o servio de comunicao do servidor for interrompido e, em seguida,
reiniciado, o Symantec Network Access Control Integrated Enforcer tentar
conectar-se ao Symantec Endpoint Protection Manager ao qual se conectou
por ltimo. Se esse Symantec Endpoint Protection Manager estiver
indisponvel, o Integrated Enforcer vai conectar-se ao primeiro servidor de
gerenciamento relacionado na lista de servidores de gerenciamento.

A pgina de configurao Configuraes avanadas do Integrated Enforcer permite
que os usurios configurem uma mscara de sub-rede segura para clientes em
quarentena.
Para configurar uma mscara de sub-rede segura
A pgina de configurao Configuraes avanadas, marque a opo Usar

mscara de sub-rede segura (255.255.255.255) para o endereo IP em
quarentena ou clique para limpar a configurao. Se voc limpar a
configurao, usar a mscara de sub-rede do DHCP normal.
Clique em OK para salvar as configuraes.
1089
1090

Nota: A opo de mscara de sub-rede segura (255.255.255.255) est disponvel

somente com o Symantec Network Access Control Integrated Enforcer para
servidores DHCP Microsoft. Se essa opo estiver ativada, 255.255.255.255 ser
usado para clientes em quarentena. Se estiver desativada, a mscara de sub-rede
padro do escopo atual ser usada.

A pgina de configurao Configuraes avanadas do Integrated Enforcer permite
aos usurios manipular a mscara de sub-rede para ignorar a quarentena. A
configurao padro na instalao que todos os escopos do DHCP sero impostos
para a quarentena.
Para selecionar sub-redes para a dispensa da quarentena
Na pgina de configurao Configuraes avanadas, marque a opo Use

a mscara de sub-rede segura (255.255.255.255) para o endereo IP em
quarentena
Em Selecionar escopos a serem impostos, clique para limpar os intervalos

de endereo IP que voc deseja dispensar. Os endereos IP pertencentes aos
escopos do DHCP que forem marcados sero impostos.
Quando um escopo do DHCP for alterado para dispensar um escopo (clicando
para limpar o intervalo de endereo IP), os endereos IP que j tiverem sido
atribudos aos clientes ainda sero impostos. Para limpar a imposio, libere
e renove os endereos IP.
Nota: Se o escopo novo for criado ou adicionado depois que Enforcer tiver
sido instalado, o escopo novo no ser imposto at que esteja selecionado na
interface do usurio na pgina de configurao Configuraes avanadas.
Quando voc estiver satisfeito com suas configuraes, clique em OK para

salvar a configurao.
Captulo
54
Para configurar o Symantec

Integrated Enforcer para o
servidor DHCP da Microsoft
no Symantec Endpoint
Protection Manager
Sobre a configurao do Symantec Network Access Control Integrated Enforcer

para o servidor DHCP da Microsoft no Symantec Endpoint Protection Manager
Configuraes bsicas do Symantec Network Access Control Integrated Enforcer
Configuraes avanadas do Symantec Network Access Control Integrated

Enforcer
Configurao de autenticao do Symantec Network Access Control Integrated

Enforcer
Configurao de logs para o Symantec Network Access Control Integrated

Enforcer
1092
Para configurar o Symantec Network Access Control Integrated Enforcer para o servidor DHCP da Microsoft no Symantec
Sobre a configurao do Symantec Network Access Control Integrated Enforcer para o servidor DHCP da Microsoft no
Sobre a configurao do Symantec Network Access

Control Integrated Enforcer para o servidor DHCP da
Microsoft no Symantec Endpoint Protection Manager
Se desejar suportar o Symantec Integrated Enforcer para o servidor DHCP da
Microsoft em um ambiente de rede, ser necessrio ter o servidor DHCP
configurado e em execuo. A maioria das configuraes ocorre no console do
Enforcer. Uma vez instalado, ser possvel configurar as seguintes reas do
Configurao bsica e avanada

Consulte Configuraes bsicas do Symantec Network Access Control
Consulte Configuraes avanadas do Symantec Network Access Control
Autenticao
Consulte Configurao de autenticao do Symantec Network Access Control
Logs
Consulte Configurao de logs para o Symantec Network Access Control
Configuraes bsicas do Symantec Network Access

Control Integrated Enforcer
Voc pode adicionar ou editar a descrio de um Symantec Network Access Control
Integrated Enforcer ou de um grupo do Integrated Enforcer no Symantec Endpoint
Protection Manager. Tambm possvel adicionar ou editar no console do
Consulte Adio ou edio da descrio de um grupo do Enforcer com um
Symantec Network Access Control Integrated Enforcer na pgina 1093.
Consulte Adio ou edio da descrio de um Symantec Network Access Control
Porm, voc no pode adicionar ou editar o nome de um grupo do Integrated
Enforcer no Console do Symantec Endpoint Protection Manager. Voc no pode
adicionar ou editar o endereo IP ou o nome do host de um Integrated Enforcer
no Console do Symantec Endpoint Protection Manager. Em vez disso, execute
essas tarefas no console do Enforcer.
Consulte Adio ou edio do nome de um grupo do Enforcer para o Symantec

Voc deve conectar o Integrated Enforcer a um Symantec Endpoint Protection
Manager.
Consulte Para conectar o Integrated Enforcer do Symantec Network Access
Control a um Symantec Endpoint Protection Manager na pgina 1094.
Adio ou edio do nome de um grupo do Enforcer para o Symantec

Network Access Control Integrated Enforcer
possvel adicionar ou editar o nome de um grupo do Enforcer do qual um
Integrated Enforcer membro. Essas tarefas so executadas no console do Enforcer
durante a instalao. Se, mais tarde, desejar modificar o nome de um grupo do
Enforcer, ser possvel faz-lo no console do Enforcer.
Consulte Para estabelecer ou alterar uma comunicao entre o Integrated Enforcer
para servidores DHCP da Microsoft e o Symantec Endpoint Protection Manager
na pgina 1080.
Todos os Enforcers de um grupo compartilham as mesmas configuraes.

Symantec Network Access Control Integrated Enforcer
Symantec Network Access Control Integrated Enforcer membro. Voc pode
executar esta tarefa no console do Symantec Endpoint Protection Manager em
vez do console do Integrated Enforcer.
Para adicionar ou editar a descrio de um grupo do Enforcer com um Symantec
Network Access Control Integrated Enforcer

Administrador.
Em Servidores, selecione e expanda o grupo do Enforcer cujo nome voc

deseja adicionar ou editar.

descrio para o grupo do Enforcer no campo Descrio.
Clique em OK.
1093
1094
Adio ou edio da descrio de um Symantec Network Access Control

Integrated Enforcer
possvel adicionar ou editar a descrio de um Symantec Network Access Control
Integrated Enforcer. Voc pode executar esta tarefa no console do Symantec
Endpoint Protection Manager em vez do console do Integrated Enforcer. Aps
concluir essa tarefa, a descrio ser exibida no campo Descrio do painel
Servidor de gerenciamento.
Para adicionar ou editar a descrio de um Symantec Network Access Control
Integrated Enforcer

Administrador.
Selecione e expanda o grupo de Enforcer que inclui o Integrated Enforcer

cuja descrio voc deseja adicionar ou editar.
Selecione o Integrated Enforcer cuja descrio voc quer adicionar ou editar.

para o Integrated Enforcer no campo Descrio.
Clique em OK.
Para conectar o Integrated Enforcer do Symantec Network Access

Control a um Symantec Endpoint Protection Manager
Os Enforcers devem poder conectar-se aos servidores em que o Symantec Endpoint
Protection Manager est instalado. O servidor de gerenciamento inclui um arquivo
que ajuda a gerenciar o trfego entre clientes, servidores de gerenciamento e
Enforcers opcionais como o Integrated Enforcer. Esse arquivo conhecido como
uma lista de servidores de gerenciamento.
A lista de servidores de gerenciamento especifica a qual Symantec Endpoint
Protection Manager um Integrated Enforcer conecta-se. Especifica tambm a qual
Symantec Endpoint Protection um Integrated Enforcer conecta-se em caso de
falha de um servidor de gerenciamento.
Uma lista de servidores de gerenciamento padro criada automaticamente para
cada site durante a instalao inicial. Todos os servidores de gerenciamento
disponveis nesse site so adicionados automaticamente lista de servidores de
Configuraes avanadas do Symantec Network Access Control Integrated Enforcer
Uma lista de servidores de gerenciamento padro inclui os endereos IP ou nomes

do host do servidor de gerenciamento aos quais os Integrated Enforcers podem
se conectar aps a instalao inicial. Voc deve criar uma lista de servidores de
gerenciamento personalizada antes de implementar quaisquer Enforcers. Se criar
uma lista de servidores de gerenciamento personalizada, ser possvel especificar
a prioridade com a qual um Integrated Enforcer pode se conectar a servidores de
gerenciamento.
possvel selecionar a lista de servidores de gerenciamento especfica que inclui
os endereos IP ou nomes do host desses servidores de gerenciamento aos quais
voc deseja que o Integrated Enforcer se conecte. Se houver apenas um servidor
de gerenciamento em um site, ser possvel selecionar a lista de servidores de
Para selecionar a lista de servidores de gerenciamento para o Symantec Network
Access Control Integrated Enforcer

Administrador.

O grupo do Enforcer deve incluir o Integrated Enforcer para o qual deseja
modificar o endereo IP ou nome do host na lista de servidores de
gerenciamento.

a lista de servidores de gerenciamento que voc deseja que este Integrated
Enforcer use.
Na guia Geral, em Comunicao, clique em Selecionar.

Na caixa de dilogo Geral, clique em OK.
Configuraes avanadas do Symantec Network

possvel definir as seguintes configuraes avanadas do Integrated Enforcer:
1095
1096
Parmetros do tempo limite, tempo limite de autenticao e tempo limite de

mensagem do DHCP
Embora essas opes sejam exibidas, elas no esto disponveis atualmente
na configurao do Symantec Network Access Control Integrated Enforcer.
Endereos MAC ds hosts confiveis que o Integrated Enforcer permite se

conectar ao servidor DHCP normal sem autenticao
Ativao da autenticao local
Verificao de integridade do Symantec Endpoint Protection Manager
Quando essas configuraes forem aplicadas, as alteraes sero enviadas para

o Symantec Network Access Control Integrated Enforcer selecionado durante a
prxima pulsao.
Consulte Ativao de servidores, clientes e dispositivos para que se conectem
rede como hosts confiveis sem autenticao na pgina 1096.
Consulte Ativao da autenticao local no Integrated Enforcer na pgina 1097.
Ativao de servidores, clientes e dispositivos para que se conectem

rede como hosts confiveis sem autenticao
Um host confivel geralmente um servidor que no pode instalar o
software-cliente, como um servidor que no seja Windows, ou um dispositivo,
como uma impressora. Talvez queira tambm identificar os clientes que no sejam
Windows como hosts confiveis porque o Integrated Enforcer no pode autenticar
clientes que no executem o cliente do Symantec Endpoint Protection ou o cliente
do Symantec Network Access Control.
possvel usar endereos MAC para designar certos servidores, clientes e
dispositivos como hosts confiveis.
Quando voc designar servidores, clientes e dispositivos como hosts confiveis,
o Integrated Enforcer aprova todas as mensagens do DHCP vindas do host confivel
sem autentic-lo.
Para ativar servidores, clientes e dispositivos para que se conectem rede como
hosts confiveis sem autenticao

Administrador.
Selecione o Integrated Enforcer que permite que servidores, clientes e

dispositivos que foram designados como hosts confiveis se conectem rede
sem autenticao.
Na caixa de dilogo Configuraes, na guia Avanado, em Endereo MAC,

Na caixa de dilogo Adicionar host confivel, digite o endereo MAC do

cliente ou do host confivel no campo Endereo MAC do host.
Ao especificar um endereo MAC, possvel usar um caractere curinga, mas
somente se digit-lo em todos os trs campos direita.
Por exemplo, 11-22-23-*-*-* representa o uso correto do caractere curinga.
No entanto, 11-22-33-44-*-66 no representa o uso correto do caractere
curinga.
Um conjunto de endereos MAC pode ser copiado de um arquivo de texto.
Nota: A Symantec suporta o seguinte formato para importaes: endereo
MAC nico e endereo MAC com mscara.
Para importar endereos MAC, clique em Importar. Especifique o arquivo na
caixa de dilogo Importar endereo MAC do arquivo.
Para exportar endereos MAC, destaque diversos endereos MAC e clique em
Exportar. Especifique o arquivo na caixa de dilogo Exportar endereo MAC
para o arquivo.
Clique em OK.
Ativao da autenticao local no Integrated Enforcer

Com a autenticao local ativada, se o Integrated Enforcer perder sua conexo
com o cliente no qual o Symantec Endpoint Protection Manager est instalado, o
Integrated Enforcer autenticar os clientes localmente. Nesse caso, o Integrated
Enforcer considera o cliente como vlido e verifica somente o seu status de
Nota: Se o Integrated Enforcer no perder sua conexo com Symantec Endpoint
Protection Manager, ele sempre pedir que o servidor de gerenciamento verifique
o GUID do cliente independentemente de a autenticao local estar ativada ou
desativada.
1097
1098
Configurao de autenticao do Symantec Network Access Control Integrated Enforcer
Para ativar a autenticao local no Integrated Enforcer

Administrador.
Em Servidores, selecione e expanda o grupo de Integrated Enforcers.
Na caixa de dilogo Configuraes, na guia Avanado, selecione Ativar a

autenticao local.
Clique em OK.
Configurao de autenticao do Symantec Network

possvel especificar vrias configuraes de autenticao para uma sesso de
autenticao de um Integrated Enforcer. Quando essas alteraes forem aplicadas,
sero enviadas automaticamente para o Integrated Enforcer selecionado durante
a prxima pulsao.
Sobre o uso das configuraes de autenticao

Talvez voc queira implementar algumas configuraes de autenticao para
proteger ainda mais a rede.
A Tabela 54-1 fornece mais informaes sobre as opes da guia Autenticao.
Tabela 54-1
Opo
Configuraes de autenticao para um Symantec Network Access

Control Integrated Enforcer
Descrio
Nmero mximo de pacotes A quantidade mxima de pacotes de desafio que o Integrated

por sesso autenticada
Enforcer envia em cada sesso de autenticao.
O nmero padro 15.
Consulte Especificao do nmero mximo de pacotes de
desafio durante uma sesso de autenticao na pgina 1101.
Opo
Descrio
Perodo de tempo entre

pacotes em sesso de
autenticao
O perodo de tempo (em segundos) entre cada pacote de

desafio que o Enforcer envia.
O valor padro 4 segundos.
Consulte Especificao da frequncia de envio dos pacotes
de desafio aos clientes na pgina 1102.
Permitir todos os clientes,

mas continuar a registrar
quais clientes no so
autenticados
Se essa opo estiver ativada, o Enforcer autenticar todos

os usurios, verificando se eles esto executando um cliente.
Ele encaminhar a solicitao para receber uma
configurao de rede normal em vez de uma configurao
de rede de quarentena, caso as verificaes forem aprovadas
ou no.
Consulte Permisso para todos os clientes com registro em
log contnuo de clientes no autenticados na pgina 1103.
Todos os clientes com

sistemas operacionais que
no sejam Windows
Se essa opo estiver ativada, o Integrated Enforcer

verificar o sistema operacional do cliente. O Integrated
Enforcer permite que todos os clientes que no executam
os sistemas operacionais Windows recebam uma
configurao de rede normal sem ser autenticados. Se essa
opo no estiver ativada, os clientes recebero uma
configurao de rede de quarentena.
Consulte Permisso para que clientes que no sejam
Windows se conectem rede sem autenticao
na pgina 1104.
1099
1100
Opo
Descrio
Verificar o nmero de srie

da poltica do cliente antes
de permitir a entrada do
cliente na rede
Se essa opo estiver ativada, o Integrated Enforcer

verificar se o cliente recebeu as polticas de segurana mais
recentes do servidor de gerenciamento. Se o nmero de srie
da poltica no for o mais recente, o Integrated Enforcer
notificar o cliente para que ele atualize a poltica de
segurana. O cliente encaminhar a solicitao para receber
uma configurao de rede de quarentena.
Se essa opo no estiver ativada e se a verificao da
integridade do host tiver xito, o Integrated Enforcer
encaminhar a solicitao do Integrated para receber uma
configurao de rede normal. O Integrated Enforcer
encaminhar o pedido do Integrated mesmo se o cliente no
tiver a poltica de segurana mais recente.
Consulte Como fazer com que o Symantec Network Access
Control Integrated Enforcer verifique o nmero de srie da
poltica em um cliente na pgina 1104.
Sobre as sesses de autenticao

Quando um cliente tentar acessar a rede interna, o Symantec Network Access
Control Integrated Enforcer verificar primeiramente se o cliente est executando
um cliente Symantec Endpoint Protection. Caso esteja, o Enforcer encaminha a
mensagem do DHCP do cliente para o servidor DHCP, a fim de obter um endereo
IP de quarentena com um tempo de concesso curto. Esse processo usado
internamente pelo Integrated Enforcer para o processo de autenticao.
O Integrated Enforcer inicia, ento, uma sesso de autenticao com o cliente. A
sesso de autenticao um conjunto de pacotes de desafio que o Integrated
Enforcer envia para cada cliente.
Durante uma sesso de autenticao, o Enforcer envia um pacote de desafio para
o cliente a uma frequncia especificada. A configurao padro a cada trs
segundos.
O Integrated Enforcer continua a enviar pacotes at que uma das seguintes
condies tenham sido satisfeitas:
O Integrated Enforcer receba uma resposta do cliente
O Integrated Enforcer envie o nmero mximo de pacotes especificados.

A configurao padro 15.
Os tempos de frequncia (4 segundos) vezes o nmero de pacotes (15) o valor

que usado para a pulsao do Enforcer. A pulsao o intervalo que o Integrated
Enforcer permite que o cliente continue conectado antes de iniciar uma nova
sesso de autenticao. A configurao padro quatro segundos.
O cliente envia informaes que contm os seguintes itens para o Integrated
Enforcer:
identificador global exclusivo (GUID)
O nmero de srie do perfil atual
Os resultados da verificao de integridade do host
O Integrated Enforcer verifica o GUID do cliente e o Nmero de srie da poltica

com o Symantec Endpoint Protection Manager. Se o cliente foi atualizado com as
ltimas polticas de segurana, o nmero de srie da poltica corresponder ao
que o Integrated Enforcer recebeu do servidor de gerenciamento. Os resultados
da verificao de integridade do host mostram se o cliente est ou no em
conformidade com as polticas atuais de segurana.
Aps o intervalo de pulsao, ou sempre que o cliente tentar renovar seu endereo
IP, o Integrated Enforcer comea uma nova sesso de autenticao. O cliente deve
responder para manter a conexo rede interna.
O Integrated Enforcer desconecta os clientes que no responderem.
Para os clientes que foram autenticados previamente mas que agora no passam
na autenticao, o Integrated Enforcer atualiza o status interno para o cliente.
Em seguida, ele envia um pacote de desafio ao cliente solicitando que o cliente
renove seu endereo IP. Quando o cliente envia a solicitao de "renovao" DHCP,
o Integrated Enforcer atribui um endereo IP de quarentena ao cliente.
Especificao do nmero mximo de pacotes de desafio durante uma

sesso de autenticao
Durante uma sesso de autenticao, o Integrated Enforcer envia um pacote de
desafio para o cliente a uma frequncia especificada.
O Integrated Enforcer continua a enviar pacotes at que as seguintes condies
tenham sido satisfeitas:
A configurao padro do nmero mximo de pacotes de desafio durante uma

sesso de autenticao 15.
1101
1102
Para especificar o nmero mximo de pacotes de desafio durante uma sesso de

autenticao

Administrador.

especificar o nmero mximo de pacotes de desafio durante uma sesso de
autenticao.
Na guia Autenticao, digite o nmero mximo de pacotes de desafio que

deseja permitir durante uma sesso de autenticao no campo Nmero
mximo de pacotes por sesso autenticada.

clientes
Durante uma sesso de autenticao, o Integrated Enforcer envia um pacote de
desafio para o cliente a uma frequncia especificada.
O Integrated Enforcer continua a enviar pacotes at que as seguintes condies
tenham sido satisfeitas:
A configurao padro a cada quatro segundos.

Para especificar a frequncia de pacotes de desafio a serem enviados aos clientes

Administrador.

especificar a frequncia de pacotes de desafio a serem enviados aos clientes.
Na guia Autenticao, em Parmetros de autenticao, digite o nmero

mximo de pacotes de desafio que deseja que o Integrated Enforcer continue
a enviar a um cliente durante uma sesso de autenticao no campo Perodo
de tempo entre pacotes em sesso de autenticao.
Permisso para todos os clientes com registro em log contnuo de

clientes no autenticados
Pode levar algum tempo para implementar todo o software-cliente. Voc pode
configurar o Integrated Enforcer para permitir que todos os clientes se conectem
rede at que voc tenha concludo a distribuio do pacote de cliente para todos
os usurios. Todos os usurios se conectam a um servidor DHCP no local do
O Integrated Enforcer ainda autentica todos os usurios, verificando se esto
executando um cliente, efetuando a verificao de integridade do host e registrando
em log os resultados. Esse processo ocorre independentemente da aprovao ou
falha das verificaes de integridade do host.
Use as seguintes diretrizes quando aplicar as definies de configurao:
Essa configurao deve ser uma medida temporria, uma vez que torna a rede
menos segura.
Enquanto essa configurao estiver ativa, voc poder analisar os logs do

Enforcer. possvel descobrir os tipos de clientes que tentam se conectar
rede naquele local.
Por exemplo, o log de atividades do cliente pode ser analisado para verificar
se algum dos clientes no tem o software-cliente instalado. Depois, voc pode
certificar-se de que o software-cliente esteja instalado nesses clientes antes
de desativar essa opo.
Para permitir todos os clientes com registro em log contnuo de clientes no

autenticados

Administrador.

O grupo do Enforcer deve incluir o Integrated Enforcer para o qual voc deseja
permitir todos os clientes enquanto continua a registrar os clientes no
autenticados.
1103
1104
Na caixa de dilogo Configuraes, na guia Autenticao, selecione Permitir

todos os clientes, mas continuar a registrar quais clientes no so
autenticados.

rede sem autenticao
O Integrated Enforcer no pode autenticar um cliente que oferea suporte para
um sistema operacional que no seja Windows. Portanto, os clientes que no sejam
Windows no podem se conectar rede, a menos que seja permitido,
especificamente, que se conectem rede sem autenticao.
possvel usar um dos seguintes mtodos para ativar os clientes que oferecem
suporte a plataformas que no sejam Windows para conectar-se rede:
Especificar cada cliente que no seja Windows como host confivel.
Todos os clientes com sistemas operacionais que no sejam Windows.
Para permitir que clientes que no sejam Windows conectem-se a uma rede sem
autenticao

Administrador.

O grupo do Enforcer deve incluir o Integrated Enforcer para o qual voc deseja
permitir que todos os clientes que no sejam Windows se conectem a uma
rede.
Na caixa de dilogo Configuraes, na guia Autenticao, selecione Todos

os clientes com sistemas operacionais que no sejam Windows.
Clique em OK.
Como fazer com que o Symantec Network Access Control Integrated

Enforcer verifique o nmero de srie da poltica em um cliente
O Symantec Endpoint Protection Manager atualiza um nmero de srie da poltica
sempre que a poltica de segurana do cliente modificada. Quando um cliente
conecta-se ao Symantec Endpoint Protection Manager, ele recebe as polticas de

segurana e o nmero de srie mais recentes da poltica.
Quando um cliente tenta conectar-se rede com o Integrated Enforcer, este
recupera o nmero de srie da poltica atravs do Symantec Endpoint Protection
Manager. O Integrated Enforcer compara o nmero de srie da poltica com o
nmero que recebeu do cliente. Se o nmero de srie da poltica coincidir, o
Integrated Enforcer validou que o cliente est executando uma poltica de
segurana atualizada.
O valor padro para essa configurao no ativado.
As seguintes diretrizes se aplicam:

a entrada do cliente na rede estiver selecionada, o cliente dever ter a poltica
de segurana mais recente antes de poder se conectar rede por meio do
servidor DHCP normal. Se o cliente no tiver a poltica de segurana mais
recente, ele ser avisado para fazer o download dessa poltica. Em seguida, o
Integrated Enforcer encaminhar a solicitao DHCP para receber uma
configurao de rede de quarentena.

a entrada do cliente na rede no estiver selecionada e a verificao de
integridade do host tiver xito, o cliente poder se conectar rede. O cliente
poder se conectar por meio do servidor DHCP normal, mesmo se a poltica de
segurana no estiver atualizada.
Para fazer com que o Symantec Network Access Control Integrated Enforcer
verifique o nmero de srie da poltica em um cliente

Administrador.

O grupo do Enforcer deve incluir o Integrated Enforcer que verifica o nmero
de srie da poltica em um cliente.
Na caixa de dilogo Configuraes, na guia Autenticao, selecione Verificar

o nmero de srie da poltica do cliente antes de permitir a entrada do cliente
na rede.
Clique em OK.
1105
1106
Configurao de logs para o Symantec Network Access Control Integrated Enforcer
Configurao de logs para o Symantec Network

Os logs do Symantec Network Access Control Integrated Enforcer esto
armazenados no mesmo computador no qual voc instalou o Symantec Network
Access Control Integrated Enforcer. Os logs do Enforcer so gerados por padro.
Se desejar exibir logs do Enforcer no console do Symantec Endpoint Protection
Manager, ser necessrio ativar o evnio de logs no console do Symantec Endpoint
Protection Manager. Se esta opo estiver ativada, os dados de log sero enviados
do Integrated Enforcer ao Symantec Endpoint Protection Manager e armazenados
em um banco de dados.
Voc pode modificar as configuraes de log para o Integrated Enforcer no Console
do Symantec Endpoint Protection Manager. As atividades so registradas no
mesmo log do servidor do Enforcer para todos os Enforcers em um site.
Voc pode definir as configuraes para os seguintes logs que o Integrated Enforcer
gera:
Log do servidor do Enforcer

O log do servidor do Enforcer fornece as informaes que esto relacionadas
ao funcionamento de um Enforcer.
Log do cliente do Enforcer

O log do cliente fornece as informaes sobre as interaes entre o Integrated
Enforcer e os clientes que tentaram se conectar rede. Ele fornece informaes
sobre autenticao, falha de autenticao e desconexo.
Captulo
55

Microsoft Network Access
Protection
Antes de instalar o Symantec Integrated Enforcer for Microsoft Network Access

Protection
Processo para instalar o Symantec Network Access Control Integrated Enforcer

for Microsoft Network Access Protection
Requisitos do sistema para um Integrated Enforcer for Microsoft Network

Access Protection
Componentes de um Symantec Integrated Enforcer for Microsoft Network

Access Protection
Instalao do Integrated Enforcer for Microsoft Network Access Protection
Antes de instalar o Symantec Integrated Enforcer for

Microsoft Network Access Protection
Antes de instalar o Symantec Integrated Enforcer for Microsoft Network Access
Protection, necessrio ter concludo as seguintes tarefas de instalao e
configurao:
1108
Para instalar o Symantec Integrated Enforcer for Microsoft Network Access Protection
Processo para instalar o Symantec Network Access Control Integrated Enforcer for Microsoft Network Access Protection
Nota: Recomenda-se que voc instale o Symantec Endpoint Protection Manager

antes de instalar o Symantec Integrated Enforcer for Network Access
Protection. O Symantec Endpoint Protection Manager deve estar instalado
antes que o Symantec Integrated Enforcer for Microsoft Network Access
Protection possa funcionar corretamente.
na pgina 99.
Verificao de requisitos do hardware e do software para o computador em

que voc planeja instalar os seguintes componentes:
Servio do servidor DHCP
Servio do Network Access Protection Server
Controlador de domnio
Symantec Integrated Enforcer for Microsoft Network Access Protection
Consulte Componentes de um Symantec Integrated Enforcer for Microsoft

Network Access Protection na pgina 1111.
Processo para instalar o Symantec Network Access

Control Integrated Enforcer for Microsoft Network
Access Protection
A Tabela 55-1 relaciona as etapas para instalar o Symantec Network Access Control
Integrated Enforcer for Microsoft Network Access Protection.
Requisitos do sistema para um Integrated Enforcer for Microsoft Network Access Protection
Tabela 55-1
Resumo da instalao do Symantec Network Access Control

Integrated Enforcer for Microsoft Network Protection
Etapa
Ao
Descrio
Etapa 1
Leia os requisitos do sistema e de

instalao.
Identifica os componentes de hardware,

software e do Symantec Network Access
Control que voc precisa obter para
executar o Enforcer e planejar sua
colocao na rede.
Consulte Requisitos do sistema para
um Integrated Enforcer for Microsoft
na pgina 1109.
Consulte Componentes de um
Symantec Integrated Enforcer for
na pgina 1111.
Etapa 2
Instale o Symantec Endpoint Protection Instala o aplicativo que voc usa para
Manager.
suportar o Enforcer em sua rede.
Consulte Para instalar o Symantec
na pgina 99.
Etapa 3
Instale o Symantec Network Access

Control Integrated Enforcer for
Microsoft Network Access Protection.
Instala os componentes do Symantec

Network Access Control Integrated
Enforcer for Microsoft Network Access
Protection.
Enforcer for Microsoft Network Access
Requisitos do sistema para um Integrated Enforcer

A Tabela 55-2 resume os requisitos mnimos para os computadores nos quais voc
instala o Integrated Enforcer for Microsoft Network Access Protection.
1109
1110
Requisitos do sistema para um Integrated Enforcer for Microsoft Network Access Protection
Tabela 55-2
Requisitos do sistema do Integrated Enforcer for Microsoft Network

Access Protection
Componente
Requisito
Hardware
Nota: As escolhas de hardware so afetadas pelo tipo de

aplicao NAP que voc planeja. Veja as diretrizes a seguir.
Para instalaes de at 10.000 usurios, use os seguintes
Pentium III 750 MHz
256 MB de memria
Adaptadores de rede Fast Ethernet

Para instalaes de 10.000 ou mais usurios, use os seguintes

Pentium 4 2,4 GHz
512 MB de memria
Adaptadores de rede de 1 GB
Monitor de resoluo 800 x 600 com 256 cores (mnimo)

Componentes de um Symantec Integrated Enforcer for Microsoft Network Access Protection
Componente
Requisito
Sistema operacional
Assegure-se de que os seguintes sistema operacional e servios

sejam instalados:
Windows Server 2008 Standard Edition
Windows Server 2008 Enterprise Edition, verses x86 e

x64
Windows 2008 R2
Selecione uma das seguintes configuraes:

Servio DHCP do Windows Server 2008, se voc planeja
usar aplicao de DHCP.
O servio DHCP do Windows Server 2008 deve estar no
mesmo computador que o Network Policy Server do
Windows Server 2008.
Servio DHCP do Windows, se voc planeja usar a
aplicao de 802.1x.
O servio DHCP do Windows deve estar no mesmo
computador que o Network Policy Server do Windows
Server 2008. Voc tambm pode configurar o servio
DHCP em um computador separado que tenha sido
configurado como um servidor DHCP do Windows 2008
ou do Windows 2003.
Servio do servidor Network Policy Server (NPS) do
Windows Server 2008
Componentes de um Symantec Integrated Enforcer

O Symantec Integrated Enforcer for Microsoft Network Access Protection funciona
com o servidor DHCP da Microsoft, o Symantec Endpoint Protection Manager e
o cliente do Symantec Network Access Control com a proteo de acesso rede
ativada. O Symantec Integrated Enforcer for Microsoft Network Access Protection
verifica se os clientes cumprem as polticas de segurana configuradas para que
os clientes possam se conectar a uma rede.
Os seguintes componentes devem estar instalados para que seja possvel usar o
Symantec Integrated Enforcer for Network Access Protection:
Symantec Endpoint Protection Manager Necessrio para criar polticas de segurana em
verso 12.1
um local centralizado e atribu-las aos clientes.
1111
1112
Servidor Windows 2008
Instalao necessria do Microsoft Windows

Server com o servio do servidor DHCP e o servio
O servio do servidor DHCP, bem como
do Network Policy Server. Esses dois servios
o servio do Network Policy Server
devem ser instalados e configurados para que seja
(NPS), deve tambm ser instalado no
possvel instalar o Symantec Network Access
mesmo computador
Protection Integrated Enforcer.
Controlador de domnio
Instalao necessria do Controlador de domnio

no mesmo computador que o Symantec Endpoint
Protection Manager ou em um computador
diferente que suporte o Microsoft Windows Server
2003.

Necessrio para a autenticao de clientes e para

a aplicao de polticas de segurana.

Control
Instalao necessria do cliente do Symantec

Instalao do Integrated Enforcer for Microsoft

Voc deve instalar o Integrated Enforcer for Microsoft Network Access Protection
no mesmo computador no qual j instalou o Microsoft Network Policy Server.
Faa login como administrador ou como um usurio do grupo de administradores.
Nota: Aps concluir a instalao do Symantec Integrated NAP Enforcer,
necessrio conectar-se ao Symantec Endpoint Protection Manager.
Para instalar Integrated Enforcer for Microsoft Network Access Protection com o
Assistente de Instalao
Insira o disco do produto para Symantec Network Access Control na unidade

de DVD para iniciar automaticamente a instalao.
Se a instalao no iniciar automaticamente, clique duas vezes em:
Voc deve sair da instalao e instalar o servidor NPS caso ele ainda no esteja
instalado.
Se o servio do servidor NAP j estiver instalado, ser exibida a mensagem

Bem-vindo ao Assistente de Instalao do Symantec Integrated NAP
Enforcer.
No painel Contrato de licena, clique em Aceito este contrato de licena.
Clique em Avanar.
Se quiser aceitar a pasta de destino padro, clique em Avanar.

O local de instalao padro um dos seguintes:
C:\Arquivos de Programa\Symantec\Symantec Endpoint

C:\Arquivos de Programa (x86)\Symantec\Symantec Endpoint

Clique em Procurar, localize e selecione uma pasta de destino, clique em

OK e em Avanar.
Se o painel Role Selection (Seleo de funes) for exibido, selecione NAP

Enforcement (Aplicao do NAP) e clique em Next (Avanar).
O painel Seleo de funes apenas ser exibido se mais de um tipo de
Symantec NAC Integrated Enforcer puder ser instalado com base nos servios
que esto em execuo no servidor.
No painel Pronto para instalar o aplicativo, clique em Avanar.

Se voc precisar modificar algumas das configuraes anteriores, clique em
Voltar.
Clique em Concluir.
Se voc precisar reinstalar o Symantec Integrated NAP Enforcer, dever,
primeiro, desinstal-lo.
Clique em Iniciar > Programas > Symantec Endpoint Protection Manager

> Symantec NAC Integrated Enforcer.
Desinstalao do Integrated Enforcer for Microsoft Network Access

Protection
Voc pode desinstalar o Integrated Enforcer for Microsoft Network Access
Protection usando a barra de tarefas do Windows ou a linha de comando.
1113
1114
Para desinstalar o Integrated Enforcer for Microsoft Network Access Protection

Adicionar ou remover programas.
Clique em Symantec NAC Integrated Enforcer e em Remover.
Para responder ao prompt que pergunta se voc deseja remover o software,

clique em Sim.
Para responder ao prompt que pergunta se voc desejar reiniciar o servidor

NPS, execute um destes procedimentos:
Para reiniciar o servidor NPS imediatamente, clique em Sim.
Para reiniciar manualmente o servio NPS mais tarde (padro), clique em

No.
Se o servio NPS for reiniciado mais tarde, ele dever ser interrompido e,
ento, reiniciado.
O servio NPS dever ser reiniciado para desinstalar o Symantec Integrated
Enforcer completamente.
Para desinstalar o Integrated Enforcer for Microsoft Network Access Protection

pela linha de comando
Abra uma janela de comando do DOS.
No prompt de comando, digite uma das seguintes alternativas:
MsiExec.exe /qn/X{A145EB45-0852-4E18-A9DC-9983A6AF2329} para
x86
MsiExec.exe /qn/X{977BF644-A8FF-484f-8AF7-C1AF40F38DEA} para
x64
Reinicie o servidor NPS.
Interrupo e inicializao manual do Network Access Protection

Interrompa o servidor NAP (Network Access Protection) manualmente para fazer
o upgrade para uma nova verso do Integrated Enforcer for Microsoft Network
Access Control. Voc dever reinici-lo aps concluir o upgrade.
Para interromper e reiniciar o servidor NAP manualmente

Ferramentas administrativas > Servios.
Clique em Servidor NAP.
Clique com o boto direito do mouse e, em seguida, clique em Interromper.
Clique em Iniciar.
1115
1116
Captulo
56

Protection em um console
do Enforcer
Sobre como configurar o Symantec Integrated Enforcer for Microsoft Network

Access Protection em um console do Enforcer
Como conectar um Symantec Integrated Enforcer for Microsoft Network Access

Protection a um servidor de gerenciamento em um console do Enforcer
Criptografia de comunicao entre o Symantec Integrated Enforcer for

Microsoft Network Access Protection e um servidor de gerenciamento
Configurao de um nome de grupo do Enforcer no console do Symantec

Integrated Enforcer for Microsoft Network Access Protection
Configurao de um protocolo de comunicao HTTP no console do Symantec

Integrated Enforcer for Microsoft Network Access Protection
1118
Para configurar o Symantec Network Access Control Integrated Enforcer for Microsoft Network Access Protection em um
console do Enforcer
Sobre como configurar o Symantec Integrated Enforcer for Microsoft Network Access Protection em um console do
Enforcer
Sobre como configurar o Symantec Integrated

Enforcer for Microsoft Network Access Protection em
um console do Enforcer
Depois de concluir a instalao do Symantec Integrated NAP Enforcer, necessrio
executar as tarefas a seguir antes que o Symantec Integrated Enforcer for Microsoft
Network Access Protection possa se tornar operacional.
Tabela 56-1
Resumo da configurao do console do Enforcer
Etapa
Ao
Descrio
Etapa 1
Conecte o Integrated Enforcer a um Symantec

Especifique o Symantec Endpoint Protection

Manager ao qual o Symantec Integrated Enforcer
for Microsoft Network Access Protection pode se
conectar.
Inclua o nome de host ou o endereo IP do Symantec
Endpoint Protection Manager em um arquivo que
chamado de lista de servidores de gerenciamento.
O Symantec NAC Integrated Enforcer deve
conectar-se a um endereo IP ou nome de host de
um Symantec Endpoint Protection Manager. Caso
contrrio, a configurao falhar.
Consulte Como conectar um Symantec Integrated
a um servidor de gerenciamento em um console do
Etapa 2
Criptografar a comunicao entre Integrated

Enforcer e o servidor de gerenciamento.
Adicione uma senha criptografada ou um segredo

pr-compartilhado que voc configurou durante a
instalao do Symantec Endpoint Protection
Manager.
A senha criptografada era previamente conhecida
como uma chave pr-compartilhada.
Consulte Criptografia de comunicao entre o
Symantec Integrated Enforcer for Microsoft Network
Access Protection e um servidor de gerenciamento
na pgina 1121.
console do Enforcer
Como conectar um Symantec Integrated Enforcer for Microsoft Network Access Protection a um servidor de
gerenciamento em um console do Enforcer
Etapa
Ao
Descrio
Etapa 3
Nomear o grupo do Enforcer.
Configure um nome de grupo do Enforcer

Consulte Configurao de um nome de grupo do
Enforcer no console do Symantec Integrated
na pgina 1122.
Etapa 4
Configure um protocolo de comunicao HTTP ou

HTTPS.
Estabelea comunicao HTTP ou HTTPS entre o

Symantec Integrated Enforcer for Microsoft Network
Access Protection e o Symantec Endpoint Protection
Manager.
Consulte Configurao de um protocolo de
comunicao HTTP no console do Symantec
Integrated Enforcer for Microsoft Network Access
Como conectar um Symantec Integrated Enforcer for

Microsoft Network Access Protection a um servidor
de gerenciamento em um console do Enforcer
preciso conectar um Symantec Integrated Enforcer for Microsoft Network Access
Protection (NAP Enforcer) a um servidor de gerenciamento no console do Network
Access Protection Enforcer.
Para estabelecer comunicao entre o console do Integrated Enforcer e o Symantec

O console de configurao do Symantec Network Access Control Integrated
Enforcer aparece. Esta pgina principal mostra o status da conexo entre o
Integrated Enforcer e o Symantec Endpoint Protection Manager. A luz verde
indica que o Integrated Enforcer est ativamente conectado ao servidor de
gerenciamento. A luz vermelha indica que no h conexo.

> Servidor de gerenciamento.
1119
1120
console do Enforcer
Como conectar um Symantec Integrated Enforcer for Microsoft Network Access Protection a um servidor de
gerenciamento em um console do Enforcer
Na caixa de dilogo Servidor de gerenciamento, digite o endereo IP ou o

nome do Symantec Endpoint Protection Manager no campo de texto Endereo
do servidor.
Se desejar usar um nome de host ou um nome de domnio, assegure-se de que
o nome corretamente solucionado pelo Servidor de nomes de domnio
(servidor DNS).
Na caixa de dilogo Servidor de gerenciamento, edite o nmero da porta que

o Integrated Enforcer usa para se comunicar com o Symantec Endpoint
Protection Manager.
O nmero da porta padro 8014 para o protocolo HTTP e 443 para o
protocolo HTTPS. Voc poder usar apenas o protocolo HTTPS se tiver sido
configurado da mesma maneira no Symantec Endpoint Protection Manager.
Na caixa de texto Senha de criptografia, digite a senha do Symantec Endpoint

Protection Manager para sua conexo.
O Symantec Endpoint Protection Manager e o Integrated Enforcer devem
usar a mesma senha criptografada para comunicao.
Para exibir as letras e os nmeros da chave pr-compartilhada em vez de
asteriscos, selecione Usar valor de hash. Se a opo Usar valor de hash estiver
ativada, a senha de criptografia dever ter 32 caracteres e usar somente
Na caixa de texto de grupo Preferred (Preferencial), digite um nome para o

grupo do Integrated Enforcer.
Se voc no especificar um nome de grupo, o Symantec Endpoint Protection
Manager atribuir o Symantec Network Access Control Integrated Enforcer
a um grupo padro do Enforcer com configuraes padro. O nome padro
do grupo I-DHCP. Porm, o Symantec Network Access Control Integrated
Enforcer para servidores NAP da Microsoft e os enforcers baseados em
appliances devem estar em um grupo separado.
Voc pode exibir as configuraes do grupo do console do Symantec Endpoint
Protection Manager na pgina Servidores.
console do Enforcer
Criptografia de comunicao entre o Symantec Integrated Enforcer for Microsoft Network Access Protection e um
Para especificar o protocolo que o Symantec Network Access Control

Integrated Enforcer usa para se comunicar com o Symantec Endpoint
Protection Manager, selecione HTTP ou HTTPS.
Voc poder usar apenas o protocolo HTTPS se o Symantec Endpoint
Protection Manager executar o protocolo SSL.
Se voc selecionar o HTTPS e quiser exigir a verificao do certificado do
servidor de gerenciamento com uma autoridade de certificao externa
confivel, selecione Verificar o certificado quando usar o protocolo HTTPS.
Clique em Salvar.
Depois que o Integrated Enforcer conectar ao Symantec Endpoint Protection
Manager, voc poder alterar a maior parte das configuraes no console do
Symantec Endpoint Protection Manager. Porm, o segredo pr-compartilhado
ou a senha criptografada devem ser idnticos no Integrated Enforcer e no
Symantec Endpoint Protection Manager para que eles se comuniquem.
Para remover o Symantec Endpoint Protection Manager de uma lista de servidores

de gerenciamento em um console do Symantec Integrated NAP Enforcer
Na barra de tarefas do Windows, no computador do Enforcer, clique em Iniciar

> Programas > Symantec Endpoint Protection > Symantec Integrated NAP
Enforcer.
No painel esquerdo, expanda Symantec NAP Enforcer.
Expanda Configurar.
Para remover um Symantec Endpoint Protection Manager, clique em Remover

ou Remover tudo na coluna de cones.
Criptografia de comunicao entre o Symantec

Protection e um servidor de gerenciamento
Se voc quiser adicionar outra camada de segurana, poder proteger a
comunicao entre o Symantec NAC Integrated Enforcer e o Symantec Endpoint
Protection Manager por meio de criptografia. Uma comunicao criptografada
exige o uso do protocolo HTTPS em vez do protocolo HTTP. Voc precisa tambm
comprar de um fornecedor um certificado de terceiros.
Voc normalmente configura uma senha criptografada durante a instalao do
Symantec Endpoint Protection Manager pela primeira vez. A mesma senha deve
ser configurada no Symantec Integrated NAP Enforcer. Se as senhas criptografadas
1121
1122
console do Enforcer
Configurao de um nome de grupo do Enforcer no console do Symantec Integrated Enforcer for Microsoft Network
Access Protection
no corresponderem, a comunicao entre o Symantec Integrated NAP Enforcer

e o Symantec Endpoint Protection Manager falhar.
Para criptografar a comunicao entre o Symantec NAC Integrated Enforcer e um

Enforcer.
Expanda Configurar.
Digite a senha criptografada na caixa de texto Senha criptografada no console

do Symantec Integrated NAP Enforcer.
O Symantec Integrated NAP Enforcer deve usar a mesma senha criptografada
para comunicao com o Symantec Endpoint Protection Manager. A senha
criptografada sempre configurada durante a instalao do Symantec
Selecione Usar valor de hash. Se a opo Usar valor de hash estiver

selecionada, a senha de criptografia dever ter 32 caracteres e usar somente
As letras e os nmeros da senha criptografada agora so exibidos em lugar
dos asteriscos.
Clique em OK.
Configurao de um nome de grupo do Enforcer no

console do Symantec Integrated Enforcer for
Voc deve adicionar um nome para o grupo do Enforcer. Depois que o Symantec
NAC Integrated Enforcer se conecta ao Symantec Endpoint Protection Manager,
ele registra o nome do grupo do Enforcer automaticamente no servidor de
gerenciamento.
console do Enforcer
Configurao de um protocolo de comunicao HTTP no console do Symantec Integrated Enforcer for Microsoft Network
Access Protection
Para configurar um nome de grupo do Enforcer no console do Symantec NAC

Integrated Enforcer

Enforcer.
Expanda Configurar.
No painel direito, digite o nome de grupo do Enforcer na caixa de texto Grupo

preferido no console do Symantec Integrated NAP Enforcer.
Se voc no adicionar um nome para o grupo do Integrated Enforcer no console
Enforcer, todos os Integrated Enforcers se tornaro automaticamente parte
do grupo temporrio do servidor de gerenciamento. Se voc adicionar o nome
do grupo de Integrated Enforcer no console Enforcer, o nome do grupo de
Enforcer ser registrado automaticamente no servidor de gerenciamento.
Clique em OK.
Configurao de um protocolo de comunicao HTTP

no console do Symantec Integrated Enforcer for
Voc precisa estabelecer um protocolo de comunicao entre o Symantec Integrated
Enforcer for Microsoft Network Access Protection e o Symantec Endpoint
Protection Manager. Caso contrrio, a comunicao entre Symantec Integrated
Enforcer for Microsoft Network Access Protection e o Symantec Endpoint
Protection Manager falha.
Voc pode configurar um protocolo HTTP ou HTTPS. Se voc selecionar o protocolo
HTTPS, voc precisar comprar um certificado de outro fornecedor.
Para configurar um protocolo de comunicao HTTP no Symantec Integrated

> Programas > Symantec Endpoint Protection > Symantec NAC Integrated
Enforcer.
Expanda Configure (Configurar).
Clique em Management Servers (Servidores de gerenciamento).
1123
1124
console do Enforcer
Configurao de um protocolo de comunicao HTTP no console do Symantec Integrated Enforcer for Microsoft Network
Access Protection
No painel direito do console do Symantec Integrated NAP Enforcer, clique

em HTTP.
Se desejar configurar comunicao criptografada entre o Symantec Integrated
NAP Enforcer e o Symantec Endpoint Protection Manager, voc dever usar
o protocolo HTTPS.
Se voc precisar verificar o certificado por usar o protocolo HTTPS, marque

VerifycertificatewhenusingHTTPSprotocol(Verificarocertificadoquando
usar o protocolo HTTPS).
Clique em OK.
Captulo
57

Protection no Symantec
Endpoint Protection
Manager
Sobre como configurar o Symantec Integrated Enforcer for Microsoft Network

Access Protection no Symantec Endpoint Protection Manager
Ativao da imposio do NAP para clientes
Como verificar se o servidor de gerenciamento gerencia o cliente
Verificao das polticas do Validador da integridade de segurana
Verificao de clientes que passaram na verificao de integridade do host
Configurao de logs para o Symantec Integrated Enforcer for Network Access

Protection
1126
Para configurar o Symantec Network Access Control Integrated Enforcer for Microsoft Network Access Protection no
Sobre como configurar o Symantec Integrated Enforcer for Microsoft Network Access Protection no Symantec Endpoint
Protection Manager
Sobre como configurar o Symantec Integrated

Enforcer for Microsoft Network Access Protection no
Se desejar suportar o Symantec Integrated Enforcer for Microsoft Network Access
Protection em um ambiente de rede, ser necessrio ativar a imposio de NAP
no Symantec Endpoint Protection Manager. Caso contrrio, o Enforcer funciona
incorretamente.
Voc precisa tambm definir um ou mais critrios para os requisitos da poltica
do Validador da integridade de segurana. Por exemplo, voc pode verificar se a
poltica do Validador da integridade de segurana do cliente a mais recente que
foi instalada em um cliente. Se no for a poltica mais recente do Validador da
integridade de segurana, o cliente ser bloqueado e, consequentemente, incapaz
de conectar-se rede.
Tabela 57-1
Resumo da configurao do Symantec Endpoint Protection Manager
Etapa
Ao
Descrio
Etapa 1
Ative a imposio de Network Access

Protection para clientes.
Ative a imposio de Network Access

Protection para clientes de modo que o
Integrated Enforcer possa executar
polticas do Validador da integridade
da segurana.
Consulte Ativao da imposio do
NAP para clientes na pgina 1127.
Etapa 2
Opcionalmente, verifique se o Symantec

Endpoint Protection Manager est
gerenciando o cliente do Symantec
Network Access Control ou o cliente do
Configure uma verificao para

assegurar-se de que o servidor de
gerenciamento gerencie o cliente do
Symantec Network Access Control ou
o cliente do Symantec Endpoint
Protection.
Consulte Como verificar se o servidor
de gerenciamento gerencia o cliente
na pgina 1128.
Etapa
Ao
Descrio
Etapa 3
Opcionalmente, verifique se as polticas

do Validador da integridade de
segurana mais recentes esto
instaladas.
Verifique se o cliente do Symantec

Network Access Control e o cliente do
Symantec Endpoint Protection tm as
polticas mais recentes do Validador da
integridade de segurana instaladas
Consulte Verificao das polticas do
Validador da integridade de segurana
na pgina 1128.
Etapa 4
Opcionalmente, verifique se os clientes Verifique se os clientes esto em

passaram na verificao de integridade conformidade com a Poltica de
do host
Consulte Verificao de clientes que
passaram na verificao de integridade
do host na pgina 1129.
Etapa 5
Opcionalmente, configure logs para

exibio no Symantec Endpoint
Protection Manager.
Ative o envio de dados de log para o

Manager.
Consulte Configurao de logs para o
na pgina 1130.

Voc deve ativar a imposio de NAP (Network Access Protection) para os clientes
do Symantec Endpoint Protection e do Symantec Network Access Control. Se voc
no ativar a imposio do NAP para clientes, o Symantec Integrated Enforcer for
Microsoft Network Access Protection no poder implementar nenhuma poltica
do Validador da integridade de segurana.
Para ativar a imposio NAP para clientes
No console do Symantec Endpoint Protection Manager, clique em Clientes.
Na pgina Clientes, em Exibir grupos, selecione o grupo para o qual voc

quer ativar a imposio de NAP.
Na guia Polticas, clique em Configuraes gerais.
Na caixa de dilogo Configuraes, clique em Configuraes de segurana.
1127
1128
Como verificar se o servidor de gerenciamento gerencia o cliente
Na guia Configurao de segurana, na rea Aplicar cliente, selecione Ativar

imposio de NAP.
A configurao Ativar imposio de NAP est desativada por padro.
Clique em OK.
Como verificar se o servidor de gerenciamento

gerencia o cliente
Voc pode configurar uma verificao para assegurar-se de que o Symantec
Endpoint Protection Manager gerencie o cliente do Symantec Endpoint Protection
ou o cliente do Symantec Network Access Control.
Para verificar se o servidor de gerenciamento gerencia o cliente

Administrador.
Em Exibir, selecione o grupo de Enforcer para o qual deseja verificar se o

servidor de gerenciamento gerencia o cliente.
Clique com o boto direito do mouse no grupo do Enforcer e selecione Editar

propriedades.
Na rea Informaes do cliente, na guia Configuraes NAP da caixa de

dilogo Configuraes do I-DHCP, marque Verificar se o servidor de
gerenciamento gerencia o cliente.
A configurao Verificar se o servidor de gerenciamento gerencia o cliente
desativada por padro.
Clique em OK.
Verificao das polticas do Validador da integridade

de segurana
Voc pode certificar-se de que o Symantec Endpoint Protection e os clientes do
Symantec Network Access Control tm as polticas mais recentes do Validador da
integridade de segurana instaladas.
Verificao de clientes que passaram na verificao de integridade do host
Para verificar polticas do Validador da integridade de segurana

Administrador.
Em Exibir , selecione o grupo no qual voc deseja configurar polticas do

Validador da integridade de segurana.

propriedades.
Na rea Informaes do cliente na guia Configuraes NAP da caixa de dilogo

Configuraes do I-DHCP, marque Verificar se a poltica do Validador da
integridade est atualizada.
A configurao Verificar se a poltica do Validador da integridade est
atualizada desativada por padro.
Clique em OK.
Verificao de clientes que passaram na verificao

de integridade do host
Voc pode configurar uma verificao de conformidade para clientes no Symantec
Para verificar clientes que passaram na verificao de integridade do host

Administrador.
Em Exibir, selecione o grupo Enforcer no qual deseja verificar se o cliente

passou na verificao de integridade do host.

propriedades.
Na rea Status de integridade do host na guia Configurao do NAP da caixa

de dilogo Configuraes do I-DHCP, selecione Verificar se o cliente passou
na verificao de integridade do host.
A configurao Verificar se o cliente passou na verificao de integridade
do host desativada por padro.
Clique em OK.
1129
1130
Configurao de logs para o Symantec Integrated Enforcer for Network Access Protection
Configurao de logs para o Symantec Integrated

Enforcer for Network Access Protection
Os logs do Symantec Integrated Network Access Protection (NAP) Enforcer so
armazenados no mesmo computador em que voc instalou o Symantec Integrated
NAP Enforcer. Os logs do Enforcer so gerados por padro.
Se desejar exibir logs do Enforcer no console do Symantec Endpoint Protection
Manager, ser necessrio ativar o evnio de logs no console do Symantec Endpoint
Protection Manager. Se esta opo estiver ativada, os dados de log sero enviados
do Symantec Integrated NAP Enforcer ao Symantec Endpoint Protection Manager
e armazenados em um banco de dados.
Voc pode modificar as configuraes de log para o Symantec Integrated NAP
Enforcer no console do Symantec Endpoint Protection Manager. As atividades
so registradas no mesmo log do servidor do Enforcer para todos os Enforcers em
um site.
Voc pode definir configuraes dos seguintes logs gerados pelo Symantec
Integrated NAP Enforcer:
Log do servidor do Enforcer

O log do servidor do Enforcer fornece as informaes que esto relacionadas
ao funcionamento de um Enforcer.
Log do cliente do Enforcer

O log do cliente fornece as informaes sobre as interaes entre o Integrated
Enforcer e os clientes que tentaram se conectar rede. Ele fornece informaes
sobre autenticao, falha de autenticao e desconexo.
Captulo
58
Para configurar conexes

temporrias para clientes
do Symantec Network
Access Control sob
demanda
Sobre os clientes do Symantec Network Access Control On-Demand
Para configurar clientes sob demanda do Symantec Network Access Control

em um console de um Gateway Enforcer
Configurao do desafio de acesso do convidado usando o Integrated Enforcer

DHCP do Symantec Network Access Control
Ativao de clientes sob demanda do Symantec Network Access Control para

se conectarem temporariamente a uma rede
Como desativar o cliente do Symantec Network Access Control On-Demand
Configurao da autenticao no console do Gateway Enforcer para clientes

do Symantec Network Access Control sob demanda
Edio do banner na pgina Bem-vindo
1132
Para configurar conexes temporrias para clientes do Symantec Network Access Control sob demanda
Sobre os clientes do Symantec Network Access Control On-Demand
Sobre os clientes do Symantec Network Access

Control On-Demand
Os usurios finais precisam freqentemente conectar-se temporariamente a uma
rede corporativa, mesmo que seus computadores no tenham o software aprovado.
Se uma rede corporativa incluir um appliance Gateway Enforcer, o Enforcer poder
instalar clientes sob demanda em computadores de modo que eles sejam
compatveis. Assim que o Enforcer tiver instalado um cliente On-Demand, se
conectar temporariamente a uma rede de empresa como convidado.
O administrador pode configurar o appliance Gateway Enforcer para que faa
download automaticamente dos clientes do Symantec Network Access Control
sob demanda em plataformas Windows e Mac. Assim que o cliente do Symantec
Network Access Control On-Demand for transferido por download para um
computador-cliente, o cliente tentar se conectar rede da empresa.
Consulte O que voc pode fazer com clientes On-Demand na pgina 860.
Para configurar clientes sob demanda do Symantec

Network Access Control em um console de um
Gateway Enforcer
Para que voc possa definir o download automtico dos clientes sob demanda do
Symantec Network Access Control para Windows e Macintosh, necessrio j ter
concludo as tarefas a seguir:
Ter instalado o software do Symantec Network Access Control que est

localizado no disco do produto. Este software inclui o software do Symantec
Endpoint Protection Manager que voc deve instalar.
Ter anotado o nome da senha criptografada que voc implementou durante a

instalao do software Network Access Control.
Ter instalado e configurado um appliance Gateway Enforcer.

Quando voc instala e configura um appliance Enforcer pela primeira vez, ele
atribui um nome ao grupo do Enforcer durante o processo de instalao. Voc
deve planejar a atribuio dos endereos IP, nomes de host e tambm a
configurao das placas de interface de rede (NICs). Se as NICs forem
configuradas incorretamente, a instalao falhar ou se comportar de maneira
inesperada.
Para configurar clientes sob demanda do Symantec Network Access Control em um console de um Gateway Enforcer
O nome do grupo do Enforcer aparece automaticamente no console do Symantec

Endpoint Protection Manager, no painel Servidor associado a cada appliance
Enforcer.
Voc tambm pode configurar o acesso convidado com o DHCP Integrated
Enforcer.
Consulte Configurao do desafio de acesso do convidado usando o Integrated
Enforcer DHCP do Symantec Network Access Control na pgina 1135.
Verificao do status da conexo entre o appliance Enforcer e o servidor de

gerenciamento no console do appliance Enforcer.
Consulte Verificao do status de comunicao de um appliance Enforcer no
console do Enforcer na pgina 927.
na pgina 928.
Ativado um redirecionamento HTTP ou spoofing de DNS no console do

O redirecionamento HTTP ou spoofing de DNS o endereo IP da NIC interna
(eth0) que est localizado no appliance Gateway ou DHCP Enforcer.
Consulte Redirecionamento de solicitaes HTTP para uma pgina da Web
na pgina 966.
Para o redirecionamento HTTP, voc adiciona o URL na pgina Administrador
no Symantec Endpoint Protection Manager. Aps exibir a pgina
Administrador, ser necessrio exibir o painel Servidores e selecionar o grupo
do Enforcer em Exibir servidores. Se voc selecionar o grupo do Enforcer do
qual o Gateway Enforcer membro, clique em Editar propriedades do grupo
em Tarefas. Na caixa de dilogo Configuraes do Enforcer, selecione a guia
Autenticao e digite o URL no campo URL de redirecionamento HTTP.
Voc deve criar o grupo de clientes como um subgrupo do grupo Minha empresa
com direitos de acesso total.
Adicione o grupo de clientes na pgina Clientes como um subgrupo do grupo
Minha empresa no Symantec Endpoint Protection Manager.
Certifique-se de que voc escreveu o nome do grupo de clientes do Enforcer
que gerencia clientes sob demanda do Symantec Network Access Control. Se
voc no criar um grupo separado, o grupo padro no Symantec Endpoint
Protection Manager assumir o gerenciamento dos clientes sob demanda do
Criado um local opcional separado para um grupo de cliente do Enforcer no

Se voc no criar um local separado para o grupo que gerencia os clientes
convidados ou clientes do Symantec Network Access Control On-Demand, o
local padro ser atribudo automaticamente aos clientes convidados. As
melhores prticas so criar um local separado para o grupo de cliente do
1133
1134
Para configurar clientes sob demanda do Symantec Network Access Control em um console de um Gateway Enforcer
Enforcer no Symantec Endpoint Protection Manager. Outra prtica

recomendada usar grupos diferentes para clientes Windows e Mac. Os
recursos so diferentes. Por exemplo, os clientes sob demanda do Windows
podem ser configurados para ter mensagens pop-up. Os clientes Mac no
podem.
Os critrios de localizao ajudam a definir os critrios que podem identificar
os clientes convidados ou clientes do Symantec Network Access Control
On-Demand por seu endereo IP, endereo MAC, nome de host ou outros
critrios. A melhor prtica criar um local separado ao qual todos os clientes
convidados ou clientes do Symantec Network Access Control On-Demand sero
atribudos automaticamente caso queiram conectar-se a uma rede temporria
sem as credenciais corretas.
Voc pode adicionar e atribuir um local ao grupo de clientes do Enforcer na
pgina Clientes, em Tarefas, no Symantec Endpoint Protection Manager.
Adicionado e atribudo uma poltica opcional de integridade do host para o

grupo e o local de cliente do Enforcer no console do Symantec Endpoint
Protection Manager.
opcional adicionar e atribuir uma poltica de integridade do host ao grupo e
ao local do cliente do Enforcer no console do Symantec Endpoint Protection
Manager, mas so as melhores prticas para especificar os seguintes critrios:
A frequncia com que a verificao de integridade do host executada
Tipo da Poltica de integridade do host que voc quer implementar
Voc pode adicionar e atribuir uma poltica de integridade do host opcional a

um grupo de clientes e um local do Enforcer na pgina Polticas, em Tarefas,
Ativou uma mensagem pop-up opcional para clientes Windows. Configure essa
opo no console do Symantec Endpoint Protection Manager.
Obtido o nmero de ID do domnio localizado no console do Symantec Endpoint

Protection Manager.
Voc deve ter o ID do domnio por perto porque precisar configurar o ID do
domnio no Gateway ou no DHCP Enforcer com o comando sob demanda
spm-domain.
Consulte Ativao de clientes sob demanda do Symantec Network Access
Control para se conectarem temporariamente a uma rede na pgina 1139.
Configurao do desafio de acesso do convidado usando o Integrated Enforcer DHCP do Symantec Network Access
Control
Configurao do desafio de acesso do convidado

usando o Integrated Enforcer DHCP do Symantec
O acesso do convidado e o Integrated Enforcer DHCP exigem um Gateway Enforcer
e um servidor DNS, porque o Integrated DHCP Enforcer no suporta o spoofing
de DNS.
A primeira etapa para ativar esta soluo configurar um servidor DNS separado
e um Gateway Enforcer na rede de quarentena. O endpoint convidado recebe um
endereo IP restrito e em quarentena com este servidor DNS. Este servidor DNS
de quarentena resolve todas as solicitaes do DNS no Gateway Enforcer. O
endpoint do convidado que recebe a resoluo do DNS envia todas as solicitaes
do HTTP para o Gateway Enforcer. O Gateway Enforcer redireciona em seguida
a solicitao ao servidor da Web sob demanda para o download do cliente sob
demanda. Aps concluir o download para o endpoint, a verificao de integridade
do host ser executada, e o resultado (da poltica configurvel) determinar o
acesso para o endpoint. Se as etapas de verificao da integridade do host forem
aprovadas, o endpoint ter concedido um endereo IP normal com o servidor DNS
normal. Se a integridade do host falhar, o endpoint permanecer com um endereo
IP em quarentena com o servidor DNS em quarentena.
1135
1136
Control
Figura 58-1
Diagrama de rede do Integrated Enforcer DHCP configurado para

impedir o spoofing de DNS
Endereo IP
normal da rede:
192.168.100.22
Mscara de sub-rede:
255.255.255.0
DNS/WINS: 192.168.100.1
DHCP/DNS/WINS normal
SEPM (Win2k3)
(Win2k3)
192.168.100.2
DHCP Integrated Enforcer instalado
192.168.100.1
Convida
do
Endereo IP
da rede de quarentena:
192.168.100.22
Mscara de sub-rede:
255.255.255.255
DNS/WINS: 192.168.100.3
DNS/WINS de quarentena
(Win2k3)
102.168.100.3
Gateway Enforcer
Eth0: 192.168.100.4
Para configurar o Integrated Enforcer DHCP
Configure o Integrated Enforcer DHCP para se conectar ao seu Symantec

Configure o DHCP Integrated Enforcer para usar uma mscara de sub-rede

segura para endereos IP em quarentena.
Consulte Configurao de uma mscara de sub-rede segura na pgina 1089.
Configure o Integrated Enforcer DHCP para adicionar rotas estticas aos

endereos IP em quarentena no Servidor DHCP. As rotas estticos incluem
os servidores DHCP (192.168.100.1), DNS (192.168.100.3), SEPM
(192.168.100.2) e o endereo IP interno do Gateway Enforcer (192.168.100.4)
Verifique se as rotas estticas foram adicionadas ao servidor DHCP. A

configurao feita no console do Enforcer: clique em Opes de escopo e
assegure-se de que Opo de rota esttica 033 esteja selecionada para cada
rota.
Adicione um servidor DNS. Clique com o boto direito do mouse em Opes

de escopo e clique em seguida em Configurar opes.
Na guia Avanado, selecione Opes padro DHCP como Classe do

fornecedor e Classe do usurio Padro como Classe do usurio.
Control
Na caixa de rolagem Opes disponveis, clique para selecionar Servidores

DNS 006.
Na caixa de preenchimento Endereo IP, adicione o endereo IP normal do

servidor DNS (192.168.100.1).
Clique em Aplicar.
10 Adicione um servidor WINS usando seus procedimentos usuais.

11 Defina as configuraes do escopo do endereo IP em quarentena.
12 Clique com o boto direito do mouse em Opes de escopo e clique em seguida
em Configurar opes.
13 Na guia Avanado, selecione Opes padro DHCP como Classe do

fornecedor e SNAC_QUARANTINE como Classe do usurio.
14 Na caixa de rolagem Opes disponveis, clique para selecionar Servidores

DNS 006.
15 Na caixa de preenchimento Endereo IP, adicione o endereo IP em

quarentena do servidor DNS (192.168.100.3).
16 Clique em Aplicar.
17 Adicione um servidor WINS da quarentena, com o endereo de quarentena
de 192.168.100.3.
18 Clique em Aplicar.
A seguir, voc configura o Gateway Enforcer.
Para configurar o Gateway Enforcer como um appliance convidado
Conecte eth0 rede e defina o endereo IP para 192.168.100.4.
Desconecte eth1.
Defina configuraes para o Symantec Endpoint Protection Manager usando

a interface de linha de comando no Gateway Enforcer:
configure
spm ip 192.168.100.2 key sygate group Gateway
1137
1138
Control
Assegure-se de que o Enforcer esteja conectado ao Symantec Endpoint

Protection Manager emitindo o comando show status.
Ative sob demanda, usando a interface de linha de comando:

On-demand
Spm-domain name <domain name>
Client-group <client group full path>
Enable
Show
A seguir, voc define uma configurao do Windows DNS em quarentena para

redirecionamento HTTP.
Para configurar um redirecionamento HTTP do Windows DNS em quarentena
Abra o console de gerenciamento do DNS no servidor DNS em quarentena

(192.168.100.3).
Clique com o boto direito do mouse em Zonas de pesquisa direta e selecione

Nova zona. O Assistente da Nova zona aparece.
No Assistente da Nova zona, clique em Avanar.
Selecione Zona primria e clique em Avanar.
Digite um ponto (.) como Nome da zona e clique em Avanar.
Selecione Criar um novo arquivo com este nome, digite root.dns e clique em
Avanar.
Selecione No permitir atualizaes dinmicas e clique Avanar.
Clique em Concluir).
Crie um host novo na zona .(root) que voc criou recentemente.

Para criar um host novo na zona .(root)
Clique com o boto direito do mouse na zona . (root) e selecione em seguida

Novo host.
Digite um asterisco (*) como Nome e o endereo IP do Gateway Enforcer

(192.168.100.4) como o endereo IP para o host novo.
Clique em Adicionar host.
Mude o prprio endereo IP do servidor DNS de pesquisa.
Ativao de clientes sob demanda do Symantec Network Access Control para se conectarem temporariamente a uma
rede
Para mudar o endereo IP do servidor DNS
Clique duas vezes no nome de servidor DNS no painel direito.
Mude o endereo IP para o endereo IP do Enforcer (192.168.100.4) e clique

em OK.
Opcional: Convm configurar o servidor WINS para resoluo da mesma forma

que o servidor DNS. Os nomes do computador so resolvidos pelo servidor WINS.
Se o endpoint no estiver registrado em um domnio, ele resolver seu nome de
computador atravs do servidor WINS. Voc pode optar por configurar um servidor
WINS separado em quarentena para resolver todos os nomes de computador na
rede interna para o Gateway Enforcer eth0 (192.168.100.4).
Voc deve testar sua configurao.
Para testar sua configurao
No prompt de comando no computador-cliente, digite

ipconfig /release
ipconfig /renew
O cliente deve obter um endereo IP em quarentena com 255.255.255.255

como mscara de sub-rede e 192.168.100.3 como servidor DNS
Limpe o cache do DNS. Digite ipconfig /flushdns
Abra um navegador da Web e digite www.yahoo.com.

Voc deve ser redirecionado ao site sob demanda do Gateway Enforcer.
Faa o download do cliente sob demanda e faa a verificao da integridade

do host.
emitido um endereo IP normal para seu cliente e 192.168.100.1 como o

servidor DNS.
Ativao de clientes sob demanda do Symantec

Network Access Control para se conectarem
temporariamente a uma rede
Se voc quer ativar o download automtico de um cliente sob demanda do Symantec
Network Access Control em um computador-cliente nas plataformas Windows e
Macintosh, necessrio j ter concludo vrias tarefas de configurao.
Consulte Para configurar clientes sob demanda do Symantec Network Access
Control em um console de um Gateway Enforcer na pgina 1132.
1139
1140
rede
necessrio configurar os comandos a seguir para ativar clientes sob demanda

do Symantec Network Access Control para se conectarem a uma rede:
Execute o comando spm-domain.
Execute o comando client-group.
Execute o comando enable.
Execute o comando authentication enable. Esse comando opcional.
Para ativar os clientes sob demanda do Symantec Network Access Control para se
conectar temporariamente a uma rede
Faa logon no console do appliance Gateway Enforcer como superusurio.

No console de um appliance Gateway Enforcer, digite o comando a seguir:

Enforcer #on-demand

Enforcer (on-demand)# spm-domain
onde:
spm-domnio representa uma string que exibida no Enforcer
automaticamente.
Consulte Para configurar clientes sob demanda do Symantec Network Access
Control em um console de um Gateway Enforcer na pgina 1132.
rede

Enforcer (on-demand)# client-group "My Company/nome do grupo de
clientes do Enforcer"
onde:
nome do grupo de clientes do Enforcer representa o nome do grupo de clientes
do Enforcer que voc j configurou na pgina Clientes, em Exibir clientes, no
console do Symantec Endpoint Protection Manager. Voc j deve ter
configurado este grupo de clientes do Enforcer como um subgrupo do grupo
Minha empresa com direitos de acesso total. Se voc no definiu o grupo de
clientes do Enforcer no console de um Symantec Endpoint Protection Manager,
o Enforcer se registrar no grupo padro. As informaes sobre o grupo de
clientes do Enforcer enviada automaticamente durante a prxima pulsao.
Voc pode agora configurar a autenticao para os clientes no Symantec
Network Access Control On-Demand.
Consulte Configurao da autenticao no console do Gateway Enforcer para
clientes do Symantec Network Access Control sob demanda na pgina 1142.

Enforcer (on-demand)#enable
Voc tambm pode definir o perodo durante o qual o cliente sob demanda estar
ativo usando o comando persistence.
Para tornar os clientes sob demanda do Symantec Network Access Control
persistentes

No console de um appliance Gateway Enforcer, digite o comando a seguir:

Enforcer #on-demand
Digite este comando

Enforcer (on-demand)# persistence duration days 10
onde:
duration days 10 indica que voc deseja que o cliente persista por 10 dias.
1141
1142
Como desativar o cliente do Symantec Network Access Control On-Demand
Como desativar o cliente do Symantec Network

Access Control On-Demand
Se desejar interromper a permisso do acesso do convidado, possvel desativ-la.
Para ativar clientes do Symantec Network Access Control On-Demand para

No console de um appliance Gateway Enforcer, digite on-demand.
Digite disable.
Digite exit.
Digite exit para fazer logoff.
Configurao da autenticao no console do Gateway

Enforcer para clientes do Symantec Network Access
Control sob demanda
Voc pode autenticar os usurios finais com os clientes sob demanda ativando
um dos seguintes mtodos de autenticao.
O banco de dados local do appliance Gateway Enforcer.

Consulte Configurao da autenticao do usurio com um banco de dados
local na pgina 1143.
Um Active Directory do Microsoft Windows Server 2003 configurado para

gerenciar a autenticao dos usurios finais com o appliance Gateway Enforcer.
Consulte Configurao da autenticao de usurio com o Microsoft Windows
2003 Server Active Directory na pgina 1143.
Um servidor Radius configurado para gerenciar a autenticao dos usurios

finais com o appliance Gateway Enforcer.
Consulte Configurao da autenticao de usurio com um servidor Radius
na pgina 1144.
Assim que a autenticao for ativada, adicione nomes de usurio e uma senha
para cada usurio final autenticado.
Configurao da autenticao no console do Gateway Enforcer para clientes do Symantec Network Access Control
sob demanda
Configurao da autenticao do usurio com um banco de dados local

Voc pode configurar at 1.000 usurios no banco de dados integrado local do
Consulte Comandos on-Demand authentication local-db na pgina 1152.
Para configurar a autenticao com um banco de dados local

Em um console do appliance Gateway Enforcer, digite o comando a seguir:

Enforcer# on-demand

Enforcer (on-demand)# authentication

Enforcer (authentication)# local-db add user name nome de usurio
password senha

Enforcer (authentication)# local-db enable

Enforcer (authentication)# enable
Configurao da autenticao de usurio com o Microsoft Windows

2003 Server Active Directory
O appliance Gateway Enforcer estabelecem uma conexo com o Microsoft Windows
2003 Server atravs do nome de domnio, em vez do endereo IP. Portanto, voc
deve ter configurado na rede um DNS que possa determinar o nome do domnio.
Consulte Comandos on-demand authentication ad na pgina 1149.
Para configurar a autenticao com um servidor Active Directory


Enforcer #on-demand
1143
1144
sob demanda


Enforcer (autenticao) # ad domain domnio name nome de alias

Enforcer (authentication)# ad enable

Enforcer (authentication)# enable
Configurao da autenticao de usurio com um servidor Radius

Voc pode instalar e configurar um ou mais servidores Radius para a autenticao.
Por exemplo, convm ter vrios servidores Radius para o balanceamento de carga.
Consulte Comandos on-demand authentication RADIUS server na pgina 1151.
Nota: Observe que os certificados precisam ser importados para o Enforcer em
clientes PEAP e TLS.
Para configurar o cliente On-Demand para a autenticao com um servidor Radius


Enforcer# on-demand


Enforcer (authentication)# radius add name nome de alias server
endereo do servidor RADIUSsecret segredo compartilhadoauth_method
mtodo de autenticao
onde:
O nome de alias representa o nome exibido para o mtodo de autenticao

do RADIUS listado em Servidor de autenticao, na caixa de dilogo do
logon.
sob demanda
O endereo do servidor Radius representa o servidor Radius e a porta. A

porta um nmero opcional entre 1 e 65535. Se voc no especificar um
nmero de porta, o Enforcer usar a porta 1812 como padro.
O segredo compartilhado o segredo compartilhado no servidor Radius.
O mtodo de autenticao PAP, CHAP, MS-CHAP-V1 ou MS-CHAP-V2.

Enforcer (authentication)# radius enable
Enforcer (authentication#enable
Alm de adicionar o nome e dos comandos de ativao do RADIUS, possvel

executar outros comandos RADIUS para gerenciar o servidor RADIUS.
na pgina 1144.
Configurao do cliente sob demanda no Windows para autenticao

com o protocolo dot1x-tls
O appliance Gateway Enforcer pode se conectar s portas com dot1.x- ativado
usando o protocolo tls.
Para configurar o cliente sob demanda no Windows para autenticao com o
protocolo dot1x-tls
No console do Enforcer, digite: Enforcer#on-demand
Digite o seguinte comando: Enforcer(on-demand)# dot1x
Digite o seguinte comando: Enforcer(dot1x)# protocol tls
Digite o seguinte comando: Enforcer (tls)# show protocol

O protocolo deve ser definido como tls. Por exemplo, Protocolo ativo: TLS
Digite o seguinte comando: Enforcer (tls)# validate-svr enable
Digite o seguinte comando: Enforcer (cert-svr)# exit
1145
1146
sob demanda
Digite o seguinte comando: Enforcer (tls)# show tls

Certifique-se de que o certificado de servidor de tls esteja ativado. Por exemplo:
TLS Validate Server Certificate:
ENABLED
TLS Certificate Server:

TLS Certificate Server:
ENABLED
127.0.0.1
Digite o seguinte comando: Enforcer (dot1x)# certificate import tftp

10.34.68.69 password symantec username janedoe user-cert qa.pfx
root-cert qa.ce
onde:
10.34.68.69 o servidor tftp do qual o appliance Enforcer pode importar o
certificado por tftp.

symantec a senha do certificado do usurio
janedoe o nome de usurio com o qual voc faz logon no cliente.
qa.pfx o nome do certificado do usurio.
qa.cer o nome do certificado-raiz
Configurao do cliente sob demanda no Windows para autenticao

com o protocolo dot1x-peap
O appliance Gateway Enforcer pode estabelecer uma conexo com o protocolo
peap.
Para configurar o cliente On-Demand no Windows para autenticao com o protocolo
peap
No console do Enforcer, digite: Enforcer#on-demand
Digite este comando: Enforcer(on-demand)# dot1x
Digite este comando: Enforcer(dot1x)# protocol peap
Digite este comando: Enforcer (peap)# show protocol

Certifique-se de que o certificado de servidor peap esteja ativado; por exemplo:
PEAP
PEAP
PEAP
PEAP
Validate Server Certificate:

Certificate Server:
Certificate Server:
Fast Reconnected:
ENABLED
DISABLED
127.0.0.1
DISABLED
sob demanda
1147
Se a validao do servidor for necessria, digite:

Enforcer (peap) cert-svr host snac
onde snac o computador que o servidor CA no nome do certificado peap.

Em seguida, digite:
Enforcer (peap) exit
Enforcer (dot1x certificate import tftp 10.34.68.69 root-cert qa.cer
Se a validao do servidor no for necessria, digite:

Enforcer (peap) validate_svr disable
Comandos on-demand authentication

Configure a autenticao do usurio para clientes do Symantec Network Access
Control sob demanda no console do appliance Gateway Enforcer.
Se voc quer autenticar clientes do Symantec Network Access Control On-Demand
nas plataformas Windows e Macintosh, possvel usar qualquer um dos seguintes:
O banco de dados local que residente em um appliance Gateway Enforcer.

Voc pode optar por usar o banco de dados integrado local para adicionar
nomes de usurio e senhas para usurios individuais.
O servidor Active Directory configurado para funcionar com o appliance

Gateway Enforcer.
Voc deve poder se conectar ao Active Directory do Microsoft Windows Server
2003 configurado para funcionar com um appliance Gateway.
Servidor RADIUS
Voc deve poder se conectar a um ou mais servidores RADIUS.
A Tabela 58-1 fornece informaes sobre o comando on-demand authentication.

Tabela 58-1
Argumentos on-demand authentication
Comando
Descrio
ad
Ativa a autenticao com o uso de um servidor Active Directory, em vez

do banco de dados local integrado no appliance Gateway Enforcer.
Consulte Comandos on-demand authentication ad na pgina 1149.
1148
sob demanda
Comando
Descrio
disable
Desativa a autenticao dos clientes do Symantec Network Access

Control sob demanda no Gateway Enforcer. Os usurios finais podem
acionar o download automtico dos clientes do Symantec Network Access
Control On-Demand em um computador-cliente sem autenticao.
Consulte Comando on-demand authentication disable na pgina 1151.
default
Define os mtodos de autenticao (Active Directory, banco de dados

local integrado ou servidor RADIUS) que os usurios podem selecionar
quando fazem logon.
Consulte Comando on-demand authentication default na pgina 1148.
enable
Desativa a autenticao dos clientes do Symantec Network Access

Control sob demanda nos appliances Gateway Enforcer. Depois de
ativ-la, um usurio final deve passar na autenticao (inserir nome de
usurio e senha corretos) antes de fazer o download dos clientes
Symantec Network Access Control On-Demand.
Consulte Comando on-demand authentication enable na pgina 1150.
local-db
Ativa a autenticao com o uso do banco de dados local integrado no

Consulte Comandos on-Demand authentication local-db na pgina 1152.
radius
Ativa a autenticao atravs de um servidor RADIUS.

Consulte Comandos on-demand authentication RADIUS server
na pgina 1151.
show
Lista as informaes de status sobre as opes e argumentos diferentes

do comando de autenticao.
upload
Faz upload dos arquivos relacionados autenticao para um servidor.
Comando on-demand authentication default

O comando on-demand authentication default fornece aos usurios um ou mais
mtodos de autenticao para fazer logon como convidados. Configure o Active
Directory, o banco de dados local ou um ou mais mtodos do servidor Radius
usando o comando on-demand default. Quando mais de um mtodo estiver
configurado, os usurios selecionaro um mtodo da lista suspensa Auth Server
(Servidor de autenticao), na tela Welcome (Bem-vindo) do download do cliente
On-Demand.
O comando on-demand authentication default usa a seguinte sintaxe:
on-demand authentication default ad | radius | local-db index
sob demanda
Onde:
ad, radius e local-db representam o mtodo de autenticao e ndice representa o
ndice do servidor Radius.
O seguinte exemplo descreve como especificar os mtodos do Active Directory e
do servidor Radius:
Enforcer# on-demand
Enforcer (authentication)# default ad | radius radiusAuthServerIndex
Comandos on-demand authentication ad

Se uma rede corporativa tiver suporte para o Active Directory do Microsoft
Windows Server 2003, voc poder autenticar usurios com um servidor Active
Directory. Caso contrrio, voc deve configurar o banco de dados integrado ou
um servidor RADIUS para autenticar usurios.
Comando on-demand authentication ad disable

O comando on-demand authentication ad disable usa a seguinte sintaxe para
desativar a autenticao dos clientes no Active Directory do Microsoft Windows
Server 2003:
Voc dever fazer logon no console do appliance Gateway Enforcer como um
superusurio para executar este comando.
O seguinte exemplo descreve como desativar a autenticao para um cliente
On-Demand com um Active Directory do Microsoft Windows Server 2003:
on-demand authentication ad disable
Comando on-demand authentication ad domain

O comando on-demand authentication ad domain usa a seguinte sintaxe para
especificar o ID do domnio ou o endereo do ID do domnio do Active Directory
do Microsoft Windows Server 2003:
on-demand authentication ad domain
Nome do Domnio do Active Directory |
nome nome de alias
onde:
1149
1150
sob demanda
Nome do Domnio do Active Directory
Representa o nome de domnio do Active

Directory do Microsoft Windows Server
2003.
nome de alias
Representa o nome que exibido para o

mtodo de autenticao do Active Directory
listado em Servidordeautenticao na caixa
de dilogo Logon.
O seguinte exemplo descreve como especificar o ID de domnio do Active Directory

do Microsoft Windows Server 2003:
Enforcer# on-demand
Enforcer (authentication)# ad domain symantec.com name symantec
onde:
symantec.com representa o nome de alias exibido para o Servidor de autenticao
na caixa de dilogo Logon.
Comando on-demand authentication ad enable

O comando on-demand authentication ad enable usa a seguinte sintaxe para ativar
a autenticao de usurios finais no Active Directory do Microsoft Windows Server
2003:
on-demand authentication ad enable
O seguinte exemplo descreve como ativar a autenticao para um cliente

On-Demand no Active Directory do Microsoft Windows Server 2003:
Enforcer# on-demand
Enforcer (authentication)# ad enable
Comando on-demand authentication enable

possvel iniciar o processo de autenticao (auth-daemon) em um console do
appliance Gateway para um cliente sob demanda do Symantec Network Access
Control.
O comando on-demand authentication enable usa a seguinte sintaxe:
on-demand authentication enable
Voc deve fazer logon no console do appliance Gateway Enforcer como um

superusurio para que possa executar este comando.
sob demanda

O seguinte exemplo descreve como ativar a autenticao para um cliente sob
demanda do Symantec Network Access Control no console de um appliance
Gateway Enforcer:
Enforcer# on-demand
Enforcer (on-demand)# authentication enable
Comando on-demand authentication disable

possvel interromper o processo de autenticao (auth-daemon) em um console
do appliance Gateway ou DHCP para um cliente sob demanda do Symantec Network
Access Control.
O comando on-demand authentication disable usa a seguinte sintaxe:
on-demand authentication disable
Voc deve fazer logon no console do appliance Gateway Enforcer como um

superusurio para que possa executar este comando.
O seguinte exemplo descreve como desativar a autenticao para um cliente sob
demanda do Symantec Network Access Control no console de um appliance
Gateway Enforcer:
Enforcer# on-demand
Enforcer (on-demand)# authentication disable
Comandos on-demand authentication RADIUS server

Para autenticar usurios convidados com os servidores RADIUS, necessrio
adicionar uma configurao de servidor RADIUS em um appliance Gateway
Enforcer. Aps adicionar servidores Radius, ser possvel personalizar os atributos
do RADIUS ou exclu-los.
na pgina 1144.
1151
1152
sob demanda
Comando on-demand authentication radius server add

A sintaxe do comando on-demand radius authentication adiciona uma configurao
de servidor RADIUS a um appliance Gateway Enforcer. Este comando usa a seguinte
sintaxe:
on-demand authentication radius add name alias_name server
RADIUS server address secret shared secret
auth method
onde:
nome de alias
O nome que exibido para o mtodo de

autenticao do RADIUS listado em Servidor de
autenticao, na caixa de dilogo do logon
Endereo do servidor Radius
O endereo e a porta do servidor Radius no

formato IP: porta ou host: porta. Voc pode aceitar
a porta 1812 padro ou especificar um nmero de
porta entre 1 e 65535.
O nome de alias do servidor Radius.
segredo compartilhado
O segredo compartilhado no servidor Radius.
mtodo de autenticao
Um dos seguintes mtodos de autenticao:
PAP (Password Authentication Protocol)
CHAP (Challenge Handshake Authentication)
MS-CHAP-1 (Microsoft CHAP, verso 1)
MS-CHAP-V2 (Microsoft CHAP, verso 2)
Os seguintes exemplos descrevem como adicionar um servidor Radius:

Enforcer# on-demand
Enforcer (authentication)# radius add name guests server
IP:1812 shared secret8d#>9fq4bV)H7%a3-zE13sW CHAP
Comandos on-Demand authentication local-db

Sua empresa pode optar por autenticar usurios com o banco de dados integrado
que voc pode configurar em um appliance Gateway Enforcer.
sob demanda
Comando on-demand authentication local-db add

Se voc optar por autenticar usurios com o banco de dados integrado, ser
necessrio adicionar contas de usurio para cada cliente em um appliance Gateway
Enforcer.
Consulte Configurao da autenticao do usurio com um banco de dados local
na pgina 1143.
O comando on-demand local-db authentication add usa a seguinte sintaxe para
adicionar uma conta do usurio ao banco de dados integrado que voc configura
em um appliance Gateway Enforcer.
on-demand authentication local-db add user username
onde:
nome_de_usurio representa uma conta de usurio que voc pode adicionar ao
banco de dados integrado.
O seguinte descreve como adicionar ao local-db:
Enforcer# on-demand
Enforcer (authentication)# local-db add user jim
Comando on-demand authentication local-db enable

O comando on-demand local-db authentication enable usa a seguinte sintaxe para
ativar o banco de dados integrado que voc pode configurar em um appliance
Gateway Enforcer:
on-demand authentication local-db enable
O seguinte exemplo descreve como ativar o local-db:

Enforcer# on-demand
Enforcer (authentication)# local-db enable
Comando on-demand authentication local-db disable

O comando on-demand local-db authentication disable usa a seguinte sintaxe para
desativar o banco de dados integrado que voc pode configurar em um appliance
Gateway Enforcer:
1153
1154
sob demanda
on-demand authentication local-db disable
O seguinte exemplo descreve como desativar o local-db:

Enforcer# on-demand
Enforcer (authentication)# local-db disable
Comandos on-demand authentication local-db username

Os comandos on-demand local-db authentication username permitem adicionar,
excluir e editar os nomes de usurio:
local-db
local-db
local-db
local-db
add username string password string

delete username string
edit username string password string
enable |disable | clear
onde:
add
Cria uma nova conta de usurio no banco de dados local
clear
Limpa todas as contas de usurio do banco de dados local
delete
Remove um usurio existente do banco de dados local
disable
Desativa a autenticao do banco de dados local
edit
Modifica uma conta de usurio existente
enable
Ativa a autenticao do banco de dados local
O seguinte exemplo descreve como configurar a autenticao do banco de dados

local para um cliente do Symantec Network Access Control sob demanda no console
de um appliance Gateway Enforcer:
Enforcer# on-demand
Enforcer(on-demand)#authentication
Enforcer(authentication)# local-db disable
Local database authentication is disabled.
Enforcer(authentication)# local-db enable
Local database authentication is enabled.
Enforcer(authentication)# local add username test password test
Enforcer(authentication)# local-db delete username test
Your action will delete the user account "test" permanently.

Please confirm. [Y/N]y
Enforcer(authentication)# local-db edit username test password b
Enforcer(authentication)# local-db clear
Notice that your action will remove ALL user account permanently!
Please confirm. [Y/N]y

Voc pode editar o texto padro do banner na pgina Bem-vindo do cliente do
Symantec Network Access Control On-Demand.
Para editar o banner na pgina Bem-vindo

Digite o comando a seguir no console de um appliance Gateway Enforcer:

Enforcer# on-demand

Enforcer(on-demand)# banner
Pressione Enter.
Na janela pop-up, digite a mensagem que deseja exibir aos usurios na pgina
Bem-vindo no cliente do Symantec Network Access Control On-Demand.
Voc pode digitar at 1.024 caracteres.
1155
1156
Captulo
59
Soluo de problemas do
appliance Enforcer
Soluo de problemas de comunicao entre um appliance Enforcer e o

Soluo de problemas de um appliance Enforcer
Perguntas frequentes sobre os appliances Enforcer
Soluo de problemas de conexo entre o Enforcer e clientes On-Demand
Soluo de problemas de comunicao entre um

appliance Enforcer e o Symantec Endpoint Protection
Manager
Se os Enforcers e o servidor de gerenciamento no se comunicarem, verifique as
seguintes razes e solues possveis.
1158
Soluo de problemas do appliance Enforcer

Soluo de problemas de comunicao entre um appliance Enforcer e o Symantec Endpoint Protection Manager
Tabela 59-1
Soluo de problemas de comunicao entre Enforcers e o servidor

de gerenciamento
Problema
Soluo
O Enforcer no pode
registrar-se com o
Symantec Endpoint
Protection Manager
Verificar a configurao do servidor de gerenciamento no

Enforcer usando o comando configure show spm.
Certifique-se de que voc configurou o endereo IP do
servidor de gerenciamento, o nmero da porta e o segredo
pr-compartilhado corretamente. O nmero da porta
padro 8014.
Se o tipo do Enforcer for reconfigurado ou alterado, exclua
o grupo de Enforcer no servidor de gerenciamento ou
mova-o para um grupo diferente. Por exemplo, o tipo do
Enforcer pode ter sido alterado de Gateway Enforcer a LAN
Enforcer.
A lista de servidores de gerenciamento para o Enforcer
pode ter um servidor de gerenciamento que o Enforcer no
pode alcanar ou ter vrias interfaces de um servidor de
gerenciamento. Talvez seja preciso adicionar uma lista de
servidores de gerenciamento com apenas um servidor de
gerenciamento que pode se conectar ao Enforcer. O
servidor de gerenciamento deve ter um endereo IP.
Atrase a conexo rede

Se voc usar um Enforcer Fail-Open, verifique a configurao
atravs de um Enforcer ou do alternador. Certifique-se de que PortFast esteja ativado em
dos clientes de bloqueios ambas as portas a que o Enforcer se conectar.
do appliance Gateway
Enforcer
Os eventos desconectados Se os clientes frequentemente suspenderem e no
do cliente no log de cliente responderem aos pedidos da reautenticao (EAP de 802.1x)
do appliance LAN Enforcer do alternador, poder ser necessrio diminuir o tempo limite
de reautenticao do alternador.
O appliance LAN Enforcer Verifique se o modelo selecionado do comutador na
no alterna clientes para a
configurao corresponde ao alternador em uso.
VLAN correta
Verifique se os nomes VLAN correspondem exatamente
ao que foi configurado no alternador.
Verifique se as atribuies de VLAN da tabela de ao esto
corretas para o alternador no console do servidor de
gerenciamento.
Consulte Perguntas frequentes sobre os appliances Enforcer na pgina 1159.

Consulte Soluo de problemas de um appliance Enforcer na pgina 1159.


A Tabela 59-2 exibe os possveis problemas e solues que voc pode ter com um
appliance Enforcer.
Tabela 59-2
Problemas e solues de um appliance Enforcer
Sintoma
Soluo
A senha raiz do Enforcer

exibida como invlida
quando definida usando a
interface de linha de
comando
Limite as senhas a 128 caracteres. Use uma senha com

menos caracteres.
A mudana de memria no
R200 causa erros de
hardware
Os erros so devido codificao dos IRQs. Remova a

memria adicional ou reinstale o Enforcer aps a mudana
de hardware. Nossos testes mostraram que a memria
adicional no faz uma diferena significativa.
Consulte Sobre a hierarquia de comandos da CLI do

Consulte Instalao de um appliance Enforcer

na pgina 867.
Algumas configuraes
Um retorno aos padres pode aparecer no upgrade, mas no
(Nvel de depurao, Captura) aparecer depois disso.
retornam ao padro quando
Consulte Upgrade de imagens do appliance Enforcer
se faz upgrade do Enforcer
na pgina 877.
Aparecem problemas ao
executar o SNMP com o
Enforcer e o HP OpenView
Resolva este problema configurando o HP OpenView:

Carregue o arquivo Symantec MIB, selecionando Opo
> Carregar/descarregar o MIB
Usando Opo > Configurao de eventos, escolha
OnDemandTraps (.1.3.6.1.4.1.393.588) e modifique cada
trap, conforme necessrio. Por exemplo, em Mensagem
de eventos, escolha Registrar e exibir na categoria. Em
seguida, selecione uma categoria na lista suspensa.
Defina Mensagem do log de eventos como $1.
Consulte Soluo de problemas de comunicao entre um appliance Enforcer e

o Symantec Endpoint Protection Manager na pgina 1157.

Os seguintes problemas fornecem respostas sobre problemas de imposio no
appliance Gateway Enforcer ou no appliance LAN Enforcer:
1159
1160

Consulte Que proteo antivrus e software antivrus so gerenciados pela

integridade do host? na pgina 1160.
Consulte As polticas de integridade do host podem ser definidas em nvel de

grupo ou em nvel global? na pgina 1160.
Consulte Voc pode criar uma mensagem personalizada de integridade do

host? na pgina 1160.
Consulte O que acontece se os appliances Enforcer no puderem se comunicar

com o Symantec Endpoint Protection Manager? na pgina 1161.
Consulte necessrio ter um servidor RADIUS quando um appliance LAN

Enforcer executado no modo transparente? na pgina 1162.
Consulte Como a aplicao gerencia computadores sem clientes?

na pgina 1163.
Que proteo antivrus e software antivrus so gerenciados pela

integridade do host?
A integridade do host permite que voc adicione requisitos personalizados para
detectar e gerenciar o software de proteo antivrus. Em um requisito
personalizado, voc pode especificar aplicativos de proteo antivrus e
informaes do arquivo de assinatura para verificao como parte da instruo
da condio IF-THEN. Os produtos que so suportados aparecem em uma lista
suspensa na caixa de dilogo do requisito personalizado.
Consulte Sobre condies do antivrus na pgina 903.
na pgina 882.
As polticas de integridade do host podem ser definidas em nvel de

grupo ou em nvel global?
Voc pode atribuir polticas de integridade do host por grupo e por local no console
Voc pode criar uma mensagem personalizada de integridade do host?

O Symantec Network Access Control pode criar mensagens personalizadas de
integridade do host para cada regra de integridade do host. Voc pode personalizar
a mensagem, incluindo o cone e o ttulo. Essa personalizao pode ser feita por
meio de uma regra personalizada de integridade do host.

Consulte Exibio de uma caixa de dilogo de mensagens na pgina 916.
O que acontece se os appliances Enforcer no puderem se comunicar

com o Symantec Endpoint Protection Manager?
Se voc planeja usar Enforcers com o Symantec Endpoint Protection,
recomendamos que voc tenha servidores de gerenciamento redundantes. Se o
Symantec Endpoint Protection Manager estiver indisponvel, o Enforcer bloquear
o trfego dos clientes.
Os servidores redundantes de gerenciamento tm maior preferncia. O Enforcer
envia um pacote UDP na porta 1812, usando o protocolo RADIUS, ao Symantec
Endpoint Protection Manager para verificar o GUID dos clientes. Se um firewall
bloquear esta porta ou se o Symantec Endpoint Protection Manager estiver
indisponvel, os clientes sero bloqueados em seguida.
Uma opo no Enforcer permitir ao cliente acesso rede quando o Symantec
Endpoint Protection Manager estiver indisponvel. Se esta opo estiver ativada
e o Symantec Endpoint Protection Manager estiver indisponvel, a verificao do
GUID e as verificaes de perfil no sero executadas. Apenas a verificao de
integridade do host poder ser executada no cliente quando o Symantec Endpoint
Protection Manager estiver indisponvel.
possvel usar o comando advanced local-auth para ativar ou desativar a
autenticao do Enforcer de um cliente.
Consulte Advanced local-auth na pgina 1161.
Advanced local-auth
O comando advanced local-auth ativa ou desativa a autenticao do Enforcer do
cliente. Use este comando para a soluo de problemas.
Por padro, a autenticao do cliente est ativada.
O comando advanced local-auth usa a seguinte sintaxe:
advanced local-auth {disable | enable}
onde:
Desativar
Verifica o agente com o servidor de gerenciamento. Isso bloqueia o

agente caso ele no possa se conectar a um servidor de gerenciamento.
A configurao padro da autenticao do cliente est desativada.
Ativar
Desativa a verificao do agente e executa a validao somente da

1161
1162

Por padro, o appliance Gateway Enforcer verifica o identificador global exclusivo

(GUID, Globally Unique Identifier) do cliente com o Symantec Endpoint Protection
Manager. Se o Gateway Enforcer no puder se conectar com um Symantec Endpoint
Protection Manager para verificar o GUID, ele bloquear o cliente. Apesar de no
ser recomendado como uma etapa de soluo de problemas, voc pode fazer com
que o appliance Gateway Enforcer interrompa a verificao do GUID.
Por padro, o appliance Gateway Enforcer verifica o GUID. Ao invs disso, o
appliance Gateway Enforcer realiza somente a verificao de integridade do host.
Certifique-se de reativar esta configurao se deseja que o appliance Gateway
Enforcer verifique o GUID.
Consulte Comunicao entre um appliance Enforcer e um Symantec Endpoint
necessrio ter um servidor RADIUS quando um appliance LAN

Enforcer executado no modo transparente?
Os requisitos de servidor Radius dependem de como o alternador configurado
e de como voc usa o alternador para autenticar.
Estes so alguns itens que devem ser observados:
Alternadores que utilizam servidores RADIUS no somente para a autenticao

dos usurios de 802.1x.
Por exemplo, quando se faz login no alternador, devem ser digitados nome de
usurio e senha. O servidor RADIUS geralmente faz a autenticao desse login.
Quando o appliance LAN Enforcer est instalado, essa autenticao enviada
para o appliance LAN Enforcer. Se a autenticao for enviada para o appliance
LAN Enforcer, ser necessrio configurar o endereo IP do servidor RADIUS
no appliance LAN Enforcer. necessrio configurar o appliance LAN Enforcer
para encaminhar todas as solicitaes que no sejam EAP diretamente para o
servidor RADIUS.
Instalao de um suplicante 802.1x em um sistema do cliente. Se houver um

suplicante 802.1x em um sistema do cliente, o appliance LAN Enforcer tentar
autentic-lo com o servidor RADIUS. A autenticao de 802.1x ativada por
padro no Windows XP. Se ativar o cliente para funcionar no modo
transparente, ele no desativar automaticamente o suplicante 802.1x interno.
necessrio certificar-se de que nenhum suplicante 802.1x executado em
nenhum dos computadores-cliente.
Configurao do Enforcer para ignorar a solicitao RADIUS de qualquer

computador-cliente que inclua um suplicante 802.1x de terceiros. possvel
fazer essa configurao usando um endereo IP de 0.0.0.0 para o servidor
RADIUS. possvel usar essa configurao se quiser executar um LAN Enforcer

em modo transparente. Pode ser que alguns clientes tenham um suplicante

802.1.x. Nesse caso, possvel especificar que o appliance LAN Enforcer no
envie trfego para um servidor RADIUS.
Como a aplicao gerencia computadores sem clientes?

O Symantec Network Access Control pode aplicar polticas de segurana somente
para os sistemas que tm clientes Symantec instalados. A segurana de outros
fornecedores no pode ser aplicada. Quaisquer aplicaes de outros fornecedores
podem causar interrupes na rede.
Os seguintes mtodos de aplicao esto disponveis:
Autoaplicao
A autoaplicao pelo firewall do cliente no tem efeito

em sistemas sem clientes na rede.
Consulte Como funciona a autoimposio
na pgina 847.
Aplicao do gateway
Nas redes que utilizam aplicao no gateway, os

sistemas sem clientes no podem passar pelo gateway.
O local onde o Gateway Enforcer colocado na rede
crtico; ele pode bloquear o acesso a recursos vitais da
rede aos quais outros sistemas requerem acesso.
possvel criar excees para endereos IP confiveis
para que possam trafegar interna ou externamente pelo
gateway sem um cliente. Do mesmo modo, o gateway
tambm pode isentar da aplicao os sistemas
operacionais que no sejam Microsoft. Um projeto de
rede pode ser o de colocar os servidores no crticos no
mesmo lado do gateway. Essa configurao simplifica
o projeto da rede sem comprometer seriamente a
segurana.
Consulte Como funciona o appliance Gateway Enforcer
na pgina 852.
1163
1164

Aplicao de DHCP
A aplicao de DHCP restringe os computadores que

no esto em conformidade ou os sistemas sem clientes.
Ela restringe esses sistemas a um espao de endereo
separado ou fornece aos mesmos um subconjunto de
rotas na rede. Essa restrio reduz os servios de rede
desses dispositivos. De modo semelhante, aplicao
de gateway, possvel criar excees para endereos
MAC confiveis e sistemas operacionais que no sejam
Microsoft.
Consulte Como funciona o Integrated Enforcer for
Microsoft DHCP Servers na pgina 855.
Aplicao de LAN
A aplicao de LAN usa o protocolo 802.1x para

autenticao entre o comutador e os sistemas dos
clientes que se conectam rede. Para usar esse mtodo
de aplicao, o software comutador deve ser suportado
pelo protocolo 802.1x e sua configurao deve estar
correta. O software suplicante de 802.1x tambm ser
necessrio se o administrador quiser verificar a
identidade dos usurios, bem como o status NAC do
host. A configurao do comutador, em vez das
configuraes da Symantec, deve lidar com as excees
dos sistemas sem clientes.
Existem diversas maneiras de definir essa configurao
do comutador. Os mtodos variam de acordo com o tipo
de comutador e com a verso do software que ele
executa. Um mtodo comum implementa o conceito de
uma VLAN convidada. Os sistemas sem clientes so
atribudos a uma rede que tem nvel menor de
conectividade. Outro mtodo envolve basear as excees
em endereos MAC.
possvel desativar o protocolo 802.1x nas portas
selecionadas. Entretanto, desativ-lo nas portas
selecionadas permite que qualquer pessoa conecte-se
usando a porta, portanto isso no recomendado.
Muitos fornecedores tm provises especiais para
telefones de VoIP, que podem mudar automaticamente
esses dispositivos para VLANs de voz especiais.
Consulte Como funciona o appliance LAN Enforcer
na pgina 853.
API de aplicao universal
Quando se usa a API de aplicao universal, a

implementao da API do fornecedor terceirizado
controla as excees.

Aplicao usando o Cisco NAC
Quando se usa a soluo Symantec para fazer interface

com o Cisco NAC, a arquitetura do Cisco NAC controla
todas as excluses.
Sobre a transferncia de informaes de depurao na rede

Quando houver problemas no appliance Enforcer, um log de depurao ser criado
no Enforcer (kernel.log). Se for preciso transferir informaes de depurao na
rede, use um destes comandos debug para transferir os logs:
debug upload
Para transferir um arquivo para um servidor tftp
A transferncia de arquivos na rede exige uma conexo serial entre um computador

e o appliance Enforcer.
O exemplo a seguir representa uma sada de transferncia de arquivos executada
pelo HyperTerminal:
<date>
<Time>
<File Name>
2008-08-01 16:32:26
user.log
2008-08-01 16:32:24
kernel.log
2008-08-01 14:30:03
ServerSylink[04-05-2010-14-30-03].xml
2008-08-01 14:29:59
ServerProfile[04-05-2010-14-29-59].xml
Enforcer(debug)# upload tftp 10.1.1.1 filename kernel.log

na pgina 928.
Soluo de problemas de conexo entre o Enforcer e

clientes On-Demand
H diversas reas e problemas conhecidos que voc pode verificar para solucionar
problemas de conexo entre clientes do Enforcer e do On-Demand.
1165
1166

Tabela 59-3
Sintoma
Soluo de problemas de conexo
Soluo
O firewall est bloqueando o

H diversas solues possveis:
funcionamento do cliente
Altere as configuraes do firewall para desbloquear a porta 39999 de UDP.
quando o usurio faz download
Adicione uma rota esttica rota do Enforcer tabela de rotas do Enforcer. Por
do agente com PPTP VPN,
exemplo:
CheckPoint VPN ou Juniper
VPN.
route add IP netmask NM device eth0
onde IP e NM so o endereo IP e a mscara de rede do pool do endereo IP do
cliente. Este pool configurado na VPN pelo administrador.
A durao de download , s
vezes, longa.
Algumas vezes, o cliente envia trfego ao VeriSign, o que reduz a velocidade de

download. Uma soluo alternativa permitir que o admin adicione o VeriSign
lista de IPs confiveis.
A primeira verificao de
Uma verificao de integridade do host demorada significa um problema na
integridade do host , s vezes, resoluo do DNS e no deve aparecer aps a primeira verificao de integridade
longa.
do host.
O firewall no cliente est
Os usurios devem mudar as configuraes de firewall para desbloquear a porta
bloqueando o funcionamento UDP 39999. Como alternativa, configure o firewall com o seguinte: cclientctl.exe
do cliente On-Demand quando
o usurio no tem direitos de
Admin
O upgrade do Enforcer no
contm inicialmente o pacote
de instalao manual.
Isto devido ao tamanho dos pacotes tomados em conjunto. A soluo alternativa

fazer o upgrade do Enforcer e importar primeiro o Pacote de instalao manual
do cliente no Symantec Endpoint Protection Manager e depois ativar a
funcionalidade sob demanda no Enforcer. Isso adiciona os arquivos de instalao
manual.
O URL de redirecionamento no O problema de sobrescrever o URL apenas acontece quando o recurso On-Demand
Enforcer sobrescrever um
ativado no Enforcer. Este comportamento esperado.
URL de redirecionamento
anterior no Symantec Endpoint
Protection Manager.
Os clientes do Vista s vezes
no recebem um endereo IP
do servidor DHCP.
Este um problema de sincronismo. Altere a configurao de tempo limite do DHCP

para 12 segundos ou mais.
Um usurio normal no poder A soluo alternativa assegurar-se de que o JRE esteja instalado. Caso contrrio,
instalar o agente se o JRE no somente os usurios Admin podero instalar o JRE.
estiver instalado.

Sintoma
Soluo
O servio sem fio ser

O usurio deve reiniciar a conexo sem fio.
desconectado quando o cliente
On-Demand for instalado e
encerrado quando a
autenticao 802.1x for usada
Os sistemas que executam o
Norton 360 v. 2.x tm
problemas para receber o
cliente
Para resolver este problema, siga o link de download manual para fazer o download
e instalar o cliente.
Com o Firefox, no possvel A instalao do plug-in do NP exige direitos de Admin.

fazer download do cliente e do
plug-in do NP somente com
direitos de usurio
Algumas vezes, ocorre falha na Para resolver este problema, pode ser necessrio instalar o patch KB893803 da
instalao manual.
Microsoft. Esse patch est includo na instalao manual e dever ser instalado
antes da instalao do cliente. So necessrios privilgios de administrador.
A autenticao 802.1x falha
O agente precisa instalar um driver para funcionar. Se o usurio precisar de

autenticao 802.1x no Windows Vista, necessitar abrir o navegador com o mtodo
"Executar como administrador" ou desativar o UAC para garantir que o agente
funcione com privilgios de administrador.
A mensagem "Verso antiga do Voc deve excluir o ActiveX existente clicando em Ferramentas -> Gerenciar
ActiveX detectada" aparece
complementos -> Ativar ou desativar complementos -> Controles ActiveX obtidos
por download e excluir Classe HodaAgt.
O navegador notifica o usurio possvel que o cliente j esteja em execuo. Como um recurso de segurana, voc
de que no pode exibir a pgina no pode fazer download de um novo cliente dentro de uma sesso do cliente em
da Web e o cliente no pode
execuo.
fazer download com xito
O navegador Firefox s vezes Este problema acontecer quando o Firefox for executado primeiro. As primeiras
no consegue fazer o download reinicializaes do Firefox so necessrias para que sua configurao seja concluda.
do cliente.
Em seguida, o cliente On-Demand deve fazer download.
Os computadores que
Esse parece ser um problema dessa verso do Mac OS. As verses 10.5 e superior
executam Mac OS 10.4 s vezes no tm o problema. A soluo alternativa para a verso 10.4 definir o nome do
no autenticam corretamente host em /etc/hostconfig/.
devido a uma mudana no
nome do host.
1167
1168

Sintoma
Soluo
As verificaes de integridade Isso por causa da natureza transitria de %temp%. A soluo alternativa apontar
do host personalizadas que
para locais diferentes.
dependem da varivel do
sistema %temp% no
funcionam.
As regras personalizadas de
integridade do host que
apontam para valores de
registro do Windows no
funcionam corretamente.
Isto por causa da natureza transitria das sesses de usurio.
A instalao do software Panda O Panda exclui um arquivo importante do Symantec Network Access Control. Esse
Titanium 2007 ou Panda
arquivo reinstalado automaticamente e voc no precisa executar nenhuma ao.
Internet Security 2007 ou 2008
faz com que a mensagem
"Aguarde enquanto o Windows
configura o Symantec Network
Access Control" aparea.
A autenticao dot1x de modo O cliente sob demanda Mac no compatvel com a autenticao de PEAP. Se o Mac
transparente do cliente Mac
estiver configurado para a autenticao de PEAP, ser necessrio desativ-la mas
falha s vezes
propriedades de conexo de rede do Mac. A autenticao dot1x de modo transparente
funcionar.
No Windows Vista, o cliente
Esse problema especfico do uso de uma autenticao PEAP e VSA personalizada
sob demanda no realiza a
no Windows Vista. A soluo usar uma forma de autenticao diferente.
autenticao corretamente ao
usar PEAP e um VSA
personalizado
Apndice
Diferenas entre recursos

do Mac e do Windows
Este Apndice contm os tpicos a seguir:
Recursos de proteo do cliente por plataforma
Recursos de gerenciamento por plataforma
Configuraes da Poltica de proteo contra vrus e spyware disponveis para

Windows e Mac
Configuraes de poltica do LiveUpdate disponveis para Windows e Mac
Recursos de proteo do cliente por plataforma

A Tabela A-1 explica as diferenas nos recursos de proteo disponveis nas
diferentes plataformas dos computadores-cliente.
Tabela A-1
Proteo do cliente do Symantec Endpoint Protection
Recurso do cliente
Windows XP
(SP2),
Windows
Vista,
Windows 7,
Windows 8,
32 bits
Windows XP
(SP2),
Windows
Vista,
Windows 7,
Windows 8,
64-bit
Windows
Server 2003,
Windows
Server 2008,
32 bits
Windows
Mac
Server 2003,
Windows
Server 2008,
Windows
Server 2012,
64 bits
Linux
Verificaes agendadas
Sim
Sim
Sim
Sim
Sim
Sim
Verificaes sob demanda
Sim
Sim
Sim
Sim
Sim
Sim
1170
Diferenas entre recursos do Mac e do Windows

Recurso do cliente
Windows XP
(SP2),
Windows
Vista,
Windows 7,
Windows 8,
32 bits
Windows XP
(SP2),
Windows
Vista,
Windows 7,
Windows 8,
64-bit
Windows
Server 2003,
Windows
Server 2008,
32 bits
Windows
Mac
Server 2003,
Windows
Server 2008,
Windows
Server 2012,
64 bits
Linux
Auto-Protect para o sistema Sim

de arquivos
Sim
Sim
Sim
Sim
Sim
Auto-Protect para e-mail da Sim

Internet
Sim
No
No
No
No
Auto-Protect do Microsoft
Outlook
Sim
Sim
Sim
Sim
No
No
Auto-Protect do Lotus Notes Sim
Sim
Sim
Sim
No
No
SONAR
Sim
Sim
Sim
Sim
No
No
Firewall
Sim
Sim
Sim
Sim
No
No
Sim
Sim
Sim
Sim
No
No
aplicativos
Sim
Sim
Sim
Sim
No
No
Integridade do host
Sim
Sim
Sim
Sim
No
No
Sim, mas com

limitaes
Sim
Sim, mas com

limitaes
No
No
proteo contra adulteraes Sim
Consulte Recursos de gerenciamento por plataforma na pgina 1170.

Consulte Configuraes da Poltica de proteo contra vrus e spyware disponveis
para Windows e Mac na pgina 1172.
Consulte Configuraes de poltica do LiveUpdate disponveis para Windows e
Mac na pgina 1173.

A Tabela A-2 explica os recursos de gerenciamento que esto disponveis para as
plataformas de clientes Windows e Mac.

Comparao dos recursos do Symantec Endpoint Protection Manager

para Windows e Mac
Tabela A-2
Recurso
Windows
Mac
Implementar o cliente
remotamente por meio do
Manager
Sim
No
Gerenciar cliente por meio do

Manager
Sim
Sim
Atualizar definies de vrus e

produto pelo servidor de
gerenciamento
Sim
No
Executar comandos do servidor

de gerenciamento
Verificao
Verificao
Atualizar contedo
Atualizar contedo
Atualizar contedo e verificao
Atualizar contedo e verificao
Reiniciar computadores-cliente
Ativar o Auto-Protect
Ativar a Proteo contra ameaas

rede
Desativar a Proteo contra
ameaas rede
Fornecer atualizaes usando

Provedores de atualizaes de
grupo
Sim
No
Executar o Intelligent Updater
Sim
Sim
Atualizaes de pacotes para

ferramentas de terceiros no
Sim
No*
Definir verificaes aleatrias
Sim
No
Definir atualizaes aleatrias
Sim
Sim
*Voc pode executar o Intelligent Updater para obter atualizaes de contedo

Mac. Voc pode, ento, enviar as atualizaes aos clientes Mac usando uma
ferramenta de terceiros como o Apple Remote Desktop.
1171
1172

Configuraes da Poltica de proteo contra vrus e spyware disponveis para Windows e Mac
Consulte Para usar arquivos do Intelligent Updater para atualizar definies de

vrus e de riscos segurana do cliente na pgina 647.
Mac na pgina 1173.
Configuraes da Poltica de proteo contra vrus e

spyware disponveis para Windows e Mac
A Tabela A-3 exibe as diferenas nas configuraes de poltica disponveis para
clientes Windows e Mac.
Tabela A-3
Configuraes de polticas de Proteo contra vrus e spyware

(apenas Windows e Mac)
Configurao de poltica
Windows
Definir aes para

verificaes
Voc poder especificar a primeira e a

Voc pode especificar uma das seguintes
segunda aes quando diferentes tipos de aes:
vrus ou riscos forem encontrados. Voc
Reparar automaticamente arquivos
pode especificar as seguinte aes:
infectados
Limpar
Colocar em quarentena os arquivos
que no podem ser reparados
Quarentena
Excluir
Ignorar
Mac
Especificar a correo se um Voc pode especificar as seguintes aes A correo associada automaticamente
vrus ou um risco for
de correo:
s aes.
encontrado
Fazer backup dos arquivos antes do
reparo
Encerrar processos
Interromper servios
Definir o tipo de verificao Ativa, Completa, Personalizada
Personalizada apenas
Repetir verificaes
agendadas
No
Sim

Windows
Mac
Definir verificaes para

verificar locais adicionais
(aperfeioamento da
verificao)
Sim
No
Configurar as verificaes de Sim

migrao do armazenamento
No
Configurar excees de
verificao
Sim
Sim
Verificar na montagem
No
No

Mac na pgina 1173.
Configuraes de poltica do LiveUpdate disponveis

para Windows e Mac
A Tabela A-4 exibe as opes da Poltica de configuraes do LiveUpdate suportadas
por clientes Windows e Mac.
Configuraes da poltica do LiveUpdate (Windows e Mac apenas)
Tabela A-4
Windows
Mac
Usar o servidor de gerenciamento

padro
Sim
No
Usar um servidor do LiveUpdate

(interno ou externo)
Sim
Sim
Usar um Provedor de atualizaes de Sim

grupo
No
1173
1174

Windows
Mac
Ativar gerenciamento de contedo de Sim

terceiros
No
Configuraes de proxy do LiveUpdate Sim
Sim, mas no definida na poltica

do LiveUpdate. Para definir esta
configurao, clique em Clientes >
Polticas e em seguida clique em
Configuraes de comunicaes
externas.
Agendamento do LiveUpdate
Sim
Sim, para as opes de Frequncia e

Download aleatrio ; mas no para
todas as outras opes de
agendamento
Configuraes do usurio
Sim
No
Configuraes de atualizao do
produto
Sim
Sim
Cabealhos de HTTP
Sim
No
Porm, voc pode executar o

Intelligent Updater para obter
atualizaes de contedo Mac. Voc
pode, ento, enviar as atualizaes
aos clientes Mac usando uma
ferramenta de terceiros como o
Apple Remote Desktop.
Consulte Para usar arquivos do Intelligent Updater para atualizar definies de

vrus e de riscos segurana do cliente na pgina 647.
Apndice
Para personalizar e
implementar a instalao
do cliente usando-se
ferramentas de terceiros
Para instalar o software-cliente usando ferramentas de terceiros
Sobre os recursos e as propriedades de instalao do cliente
Propriedades de instalao do cliente do Symantec Endpoint Protection
Recursos do cliente do Symantec Endpoint Protection
Parmetros do Windows Installer
Propriedades da Central de Segurana do Windows
Exemplos de linha de comando para instalar o cliente
Sobre como instalar e implementar o software-cliente com o Symantec

Management Agent
Para instalar clientes com o Microsoft SMS 2003
Para instalar clientes com o objeto de poltica de grupo do Active Directory
Para desinstalar o software-cliente com o objeto de poltica de grupo do Active

Directory
1176
Para personalizar e implementar a instalao do cliente usando-se ferramentas de terceiros

Para instalar o software-cliente usando ferramentas

de terceiros
Voc pode instalar o cliente que usa ferramentas de terceiros em vez de
ferramentas que so instaladas com o servidor de gerenciamento. Se voc tiver
uma grande rede, provavelmente se beneficiar mais usando essas opes para
instalar software-cliente da Symantec.
Voc pode instalar o cliente usando vrios produtos de terceiros. Estes produtos
incluem o Microsoft Active Directory, Tivoli, Microsoft Systems Management
Server (SMS) e Novell ZENworks. O Symantec Endpoint Protection suporta Novell
ZENworks, Microsoft Active Directory e Microsoft SMS.
A Tabela B-1 exibe ferramentas e software de terceiros que voc pode usar para
instalar o cliente

Tabela B-1
Ferramentas de terceiros para instalar o cliente
Ferramenta
Descrio
Ferramentas da linha de comando Os pacotes de instalao de software-cliente da

.msi do Windows
Symantec so arquivos do Windows Installer (.msi)
que voc pode configurar usando as opes padro do
Windows Installer. Voc pode usar as ferramentas de
gerenciamento de ambiente que oferecem suporte
implementao de .msi, como o Active Directory ou o
Tivoli, para instalar clientes na rede. Voc pode
configurar como a Central de Segurana do Windows
interage com o cliente no gerenciado.
Consulte Sobre os recursos e as propriedades de
Consulte Sobre a configurao das strings de comando
MSI na pgina 1179.
Consulte Sobre a configurao do Setaid.ini
na pgina 1179.
Consulte Recursos do cliente do Symantec Endpoint
Consulte Propriedades de instalao do cliente do
Consulte Parmetros do Windows Installer
na pgina 1183.
Consulte Exemplos de linha de comando para instalar
o cliente na pgina 1186.
Consulte Propriedades da Central de Segurana do
Agente Altiris ou Symantec
Management Agent
Voc pode instalar o cliente usando o Symantec

Integration Component.
Consulte Sobre como instalar e implementar o
software-cliente com o Symantec Management Agent
na pgina 1186.
Microsoft SMS 2003
Voc pode instalar o cliente usando o Microsoft

Systems Management Server.
Consulte Para instalar clientes com o Microsoft SMS
2003 na pgina 1187.
1177
1178

Ferramenta
Descrio
Windows Active Directory
Voc pode usar o objeto de poltica de grupo do Active

Directory do Windows 2000/2003/2008 se os
computadores-cliente forem membros de um domnio
do Active Directory do Windows 2000/2003/2008. Os
computadores-cliente devem tambm usar um sistema
operacional Windows suportado.
Consulte Para instalar clientes com o objeto de poltica
de grupo do Active Directory na pgina 1189.
Consulte Para desinstalar o software-cliente com o
objeto de poltica de grupo do Active Directory
na pgina 1196.
Software de virtualizao
Voc pode instalar o cliente em ambientes virtuais.

Consulte Produtos de virtualizao e instalaes
virtuais suportados na pgina 87.
Sobre os recursos e as propriedades de instalao do

cliente
Os recursos e as propriedades de instalao aparecem como strings nos arquivos
de texto e nas linhas de comando. Os arquivos de texto e as linhas de comando
so processados durante todas as instalaes do software-cliente. Os recursos de
instalao controlam quais componentes so instalados. As propriedades de
instalao controlam quais subcomponentes so ativados ou desativados aps a
instalao. Os recursos e as propriedades de instalao esto disponveis apenas
no software-cliente do Symantec Endpoint Protection, e tambm esto disponveis
no sistema operacional Windows. Os recursos e as propriedades da instalao no
esto disponveis para o software-cliente Symantec Network Access Control ou
para instalaes do Symantec Endpoint Protection Manager.
Os recursos e as propriedades de instalao so especificados de duas maneiras:
como linhas no arquivo Setaid.ini e como valores nos comandos Windows Installer
(MSI). Os comandos MSI podem ser especificados em strings do Windows Installer
e no vpremote.dat para implementao personalizada do Assistente de
Implementao por envio. Os comandos do Windows Installer e o Setaid.ini so
sempre processados em todas as instalaes gerenciadas do software-cliente. Se
valores diferentes forem especificados, os valores no Setaid.ini sempre tero
prioridade.

Sobre a configurao das strings de comando MSI

O software de instalao Symantec Endpoint Protection usa os pacotes do Windows
Installer (MSI) 3.1 ou posterior para a instalao e a implementao. Se voc usar
linha de comando para implementar um pacote, poder personalizar a instalao.
Voc pode usar parmetros padro do Windows Installer e as propriedades e os
recursos especficos da Symantec.
Para usar o Windows Installer, preciso ter privilgios elevados. A instalao
pode falhar sem notificaes se voc tentar a instalao sem esses privilgios.
Para obter a lista mais atualizada da instalao dos comandos e parmetros da
Symantec, consulte o artigo da Base de conhecimento do Suporte da Symantec,
MSI command line reference for Symantec Endpoint Protection (em ingls).
Nota: A funo de anncio do Windows Installer no suportada. Os recursos e
as propriedades especificados de Setaid.ini prevalecem em relao aos recursos
e propriedades especificados de MSI. Os nomes de recursos e propriedades nos
comandos MSI diferenciam maisculas de minsculas.
Consulte Sobre a configurao do Setaid.ini na pgina 1179.
Sobre a configurao do Setaid.ini

Setaid.ini aparece em todos os pacotes de instalao e controla muitos dos aspectos
da instalao, como quais os recursos que sero instalados. O Setaid.ini sempre
tem prioridade sobre qualquer configurao que possa ser exibida em uma string
de comando MSI, usada para dar incio instalao. O Setaid.ini aparece no mesmo
diretrio do setup.exe. Se voc exportar para um nico arquivo .exe, no poder
configurar o Setaid.ini. No entanto, o arquivo ser automaticamente configurado
quando exportar os arquivos de instalao do cliente do Symantec Endpoint
Protection atravs do console.
As seguintes linhas mostram algumas das opes que voc pode configurar no
Setaid.ini.
[CUSTOM_SMC_CONFIG]
InstallationLogDir=
DestinationDirectory=
[FEATURE_SELECTION]
Core=1
SAVMain=1
Download=1
OutlookSnapin=1
1179
1180

Propriedades de instalao do cliente do Symantec Endpoint Protection
Pop3Smtp=0
NotesSnapin=0
PTPMain=1
DCMain=1
TruScan=1
Nota: Os recursos esto recuados para mostrar hierarquia. Os recursos no esto

recuados dentro do arquivo Setaid.ini. Os nomes de recursos no Setaid.ini
diferenciam maisculas de minsculas.
Os valores de recursos definidos para 1 instalam os recursos. Os valores de recursos
definidos para 0 no instalam os recursos. Voc deve especificar e instalar os
recurso pai para instalar com xito os recursos do cliente.
Consulte Recursos do cliente do Symantec Endpoint Protection na pgina 1181.
Voc tambm deve estar ciente das seguintes configuraes adicionais do setaid.ini
que so mapeadas para as propriedades MSI da instalao do cliente do Symantec
Endpoint Protection:
DestinationDirectory mapeado para PRODUCTINSTALLDIR
KeepPreviousSetting mapeado para MIGRATESETTINGS
AddProgramIntoStartMenu mapeado para ADDSTARTMENUICON
Propriedades de instalao do cliente do Symantec

Endpoint Protection
Estas propriedades da instalao so para uso com instalaes da linha de comando
de MSI.

Tabela B-2
Propriedades de instalao do cliente do Symantec Endpoint

Protection
Propriedade
Descrio
RUNLIVEUPDATE =val
Determina se o LiveUpdate executado como parte da instalao, na qual val um dos

seguintes valores:
1: executa o LiveUpdate durante a instalao (padro).
0: no executa o LiveUpdate durante a instalao.
Por padro, todos os clientes Symantec Endpoint Protection em um grupo recebem as

verses mais recentes de todas as atualizaes de contedo e de produtos. Se estiverem
configurados para obter atualizaes de um servidor de gerenciamento, os clientes
recebero somente as atualizaes que o servidor obtiver por download. Se a Poltica de
contedo do LiveUpdate permitir todas as atualizaes, mas o servidor de gerenciamento
no fizer o download delas, os clientes recebero somente as atualizaes que o servidor
obtiver por download.
ENABLEAUTOPROTECT=val Determina se o Auto-Protect do sistema de arquivos ativado aps a concluso da
instalao, na qual val um dos seguintes valores:
1: ativa o Auto-Protect aps a instalao (padro).
0: desativa o Auto-Protect aps a instalao.
SYMPROTECTDISABLED=val Determina se a Proteo contra adulteraes ativada como parte da instalao, na qual
val um dos seguintes valores:
1: desativa a Proteo contra adulteraes aps a instalao.
0: ativa a Proteo contra adulteraes aps a instalao (padro)

A Tabela B-3 relaciona os recursos do Symantec Endpoint Protection que podem
ser instalados especificando-os em arquivos Setaid.ini e em comandos MSI. A
maioria dos recursos tem uma relao pai e filho. Se voc quiser instalar um
recurso filho que tem um recurso pai, necessrio instalar tambm o recurso pai.
Para o setaid.ini e o MSI, se voc especificar um recurso filho, mas no especificar
seu recurso pai, o recurso filho ser instalado. No entanto, o recurso no funciona
porque o recurso pai no est instalado. Por exemplo, se voc especificar para
instalar o recurso Firewall, mas no especificar para instalar o NTPMain, o Firewall
no ser instalado.
1181
1182

Tabela B-3
Recurso
Descrio
Recursos pai necessrios
Core
Instala os arquivos que so usados nenhum

na comunicao entre clientes e o
Manager. Este recurso obrigatrio.
SAVMain
Instala a proteo de download

Core
bsica e contra vrus e spyware. Os
sub-recursos instalam proteo
extra.
Download
Instala a proteo completa para

arquivos obtidos por download.
Inclui verificao inteiramente
funcional da reputao pelo
Download Insight.
SAVMain
NotesSnapin
Instala o recurso de e-mail do

Auto-Protect do Lotus Notes.
SAVMain
OutlookSnapin
Instala o recurso de e-mail do

Auto-Protect do Microsoft
Exchange.
SAVMain
Pop3Smtp
Instala a proteo para e-mail de

SAVMain
POP3 e de SMTP. Disponvel apenas
em sistemas de 32 bits.
PTPMain
Instala os componentes da Proteo Core

proativa contra ameaas.
TruScan
Instala o recurso de verificao do

SONAR.
PTPMain
DCMain
Instala o recurso de controle de

dispositivos e aplicativos.
PTPMain
NTPMain
Instala os componentes da Proteo Core

contra ameaas rede.
ITPMain
Instala o recurso de preveno

contra intruso na rede e de
preveno contra intruso no
navegador.
NTPMain
Firewall
Instala o recurso de firewall.
NTPMain

Recurso
Descrio
Recursos pai necessrios
LANG1033
Instala recursos em portugus.
Core

Os pacotes de instalao do cliente do Symantec Endpoint Protection usam os
parmetros padro do Windows Installer, bem como um conjunto de extenses
para a instalao e implementao na linha de comando.
Consulte a documentao do Windows Installer para obter mais informaes sobre
o uso de parmetros padro do Windows Installer. Voc tambm pode executar o
msiexec.exe usando uma linha de comando para ver a lista completa de parmetros.
Tabela B-4
Parmetro
Descrio
Sep.msi (32 bits)
O arquivo de instalao .msi para o cliente do Symantec Endpoint Protection. Se

algum arquivo .msi contiver espaos, coloque o nome do arquivo entre aspas ao us-lo
com /I e /x.
Sep64.msi (64 bits)
Obrigatrio
Msiexec
Executvel do Windows Installer.

Obrigatrio
/I "nome do arquivo .msi"
Instala o arquivo .msi especificado. Se o nome do arquivo contiver espaos, coloque-o

entre aspas. Se o arquivo .msi no estiver no mesmo diretrio em que voc executa
o Msiexec, especifique o nome do caminho. Se o nome do caminho contiver espaos,
coloque-o entre aspas. Por exemplo, msiexec.exe /I "C: caminho para Sep.msi"
Obrigatrio
/qn
Instala no modo silencioso.
Nota: Quando uma implementao silenciosa for usada, os aplicativos ligados ao

Symantec Endpoint Protection, tal como o Microsoft Outlook e o Lotus Notes, devero
ser reiniciados aps a instalao.
/x "nome do arquivo .msi"
Desinstala os componentes especificados.

Opcional
/qb
Instala com uma interface do usurio bsica que mostra o andamento da instalao.
Opcional
1183
1184

Parmetro
Descrio
/l*v nome_do_arquivo_de_log Cria um arquivo de log detalhado, no qual nome_de_arquivo_de_log o nome do

arquivo de log a ser criado.
Opcional
PRODUCTINSTALLDIR=
caminho
Designa um caminho personalizado no computador de destino, no qual caminho o

diretrio de destino especificado. Se o caminho incluir espaos, coloque-o entre aspas.
Nota: O diretrio padro C:\Arquivos de Programas\Symantec\Symantec Endpoint

Protection
Opcional
REBOOT=valor
Controla o reincio do computador aps a instalao, no qual valor um argumento

vlido.
Os argumentos vlidos incluem:
Force: exige a reinicializao do computador. necessrio para a desinstalao.
Suppress: evita a maioria das reinicializaes.
ReallySuppress: evita todas as reinicializaes como parte do processo de

instalao, mesmo uma instalao silenciosa.
Opcional
Nota: Use a funo ReallySuppress para suprimir a inicializao ao executar a

desinstalao silenciosa do cliente do Symantec Endpoint Protection.
ADDLOCAL= recurso
Seleciona recursos personalizados a serem instalados, nos quais recurso um

componente ou uma lista de componentes especificados. Se esta propriedade no for
usada, todos os recursos aplicveis sero instalados por padro e os clientes de e-mail
do Auto-Protect sero instalados somente para programas de e-mail detectados.
Para adicionar todos os recursos adequados para instalaes de clientes, use o comando
ALL como em ADDLOCAL=ALL.
Consulte Recursos do cliente do Symantec Endpoint Protection na pgina 1181.
Nota: Quando especificar um novo recurso para ser instalado, ser necessrio incluir
os nomes dos recursos que j esto instalados e que voc deseja manter. Se voc no
especificar os recursos a serem mantidos, o Windows Installer os remover.
Especificando recursos existentes, voc no sobrescreve os recursos instalados. Para
desinstalar um recurso existente, use o comando REMOVE.
Opcional

Parmetro
Descrio
REMOVE=recurso
Desinstala o programa previamente instalado ou um recurso especfico do programa

instalado, no qual recurso um destes itens:
Recurso: desinstala o recurso ou a lista de recursos do computador de destino.
ALL: desinstala o programa e todos os recursos instalados. All ser o padro se

um recurso no for especificado.
Opcional

Voc pode personalizar as propriedades da Central de Segurana do Windows
(WSC, Windows Security Center) durante a instalao do cliente do Symantec
Endpoint Protection. Estas propriedades se aplicam a clientes no gerenciados
apenas. O Symantec Endpoint Protection Manager controla estas propriedades
para os clientes gerenciados.
Nota: Estas propriedades aplicam-se ao Windows XP com Service Pack 2 ou Service
Pack 3. No se aplicam aos clientes que executam Windows Vista e no se aplicam
Central de Aes do Windows no Windows 7 e Windows 8.
Tabela B-5
Propriedade
Descrio
WSCCONTROL=val
Controla a Central de Segurana do Windows, na qual val um dos seguintes valores:
WSCAVALERT=val
0: no controlar (padro).
1: desativar uma vez na primeira deteco.
2: desativar sempre.
3: restaurar se desativado.
Configura alertas de antivrus para a Central de Segurana do Windows, na qual val um

dos seguintes valores:
0: ativar.
1: desativar (padro).
2: no controlar.
1185
1186

Propriedade
Descrio
WSCFWALERT=val
Configura alertas de firewall para a Central de Segurana do Windows, na qual val um

dos seguintes valores:
0: ativar.
1: desativar (padro).
2: no controlar.
WSCAVUPTODATE=val Configura o tempo de desatualizao da Central de Segurana do Windows para definies

de antivrus, na qual val um dos seguintes valores:
1 - 90: nmero de dias (o padro 30).
DISABLEDEFENDER=val Define se o Windows Defender ser desativado durante a instalao, se val for um dos
seguintes valores:
1: desativa o Windows Defender (padro).
0: no desativa o Windows Defender.

Tabela B-6
Exemplos de linha de comando
Tarefa
Linha de comando
Instala de modo silencioso todos os componentes do

cliente do Symantec Endpoint Protection com
configuraes padro ao diretrio C:\SFN.
msiexec /I "SEP.msi" PRODUCTINSTALLDIR=C:\SFN

REBOOT=ReallySuppress /qn /l*v c:\temp\msi.log
Suprime o reincio do computador e cria um arquivo de

log detalhado.
Instala de modo silencioso o cliente do Symantec Endpoint msiexec /I "SEP.msi"
Protection com a Proteo contra vrus e spyware e a
ADDLOCAL=Core,SAVMain,EMailTools,OutlookSnapin,
Proteo contra ameaas rede.
Pop3Smtp,ITPMain,Firewall /qn /l*v c:\temp\msi.log
Cria um arquivo de log detalhado.
O computador deve ser reiniciado para implementar a
Proteo contra ameaas rede.
Sobre como instalar e implementar o software-cliente

com o Symantec Management Agent
Voc pode instalar e implementar o software-cliente da Symantec em computadores
Windows usando o software Altiris, agora chamado Symantec Management Agent.

O Symantec Endpoint Protection fornece um componente integrado gratuito do

Symantec Endpoint Protection que inclui capacidades de instalao padro,
gerenciamento do cliente integrado e relatrios de alto nvel.
O Symantec Management Agent permite que as organizaes de tecnologia da
informao gerenciem, protejam e prestem servio de manuteno a ativos
heterogneos de TI. Tambm oferece suporte para entrega de software,
gerenciamento de patches e muitos outros recursos de gerenciamento. O software
da Altiris ajuda a TI a alinhar servios para atingir objetivos de negcios, entregar
segurana pronta para auditoria, automatizar tarefas e reduzir os custos e a
complexidade do gerenciamento.
Para a documentao e o arquivo de instalao do Symantec Endpoint Protection
Integration Component, veja o diretrio Tools/SEPIntegrationComponent no
disco do produto.
Para obter informaes sobre a famlia de produtos Altiris, v para o seguinte
URL:
http://www.symantec.com/configuration-management

Voc pode utilizar o Microsoft Systems Management Server (SMS) para instalar
o software-cliente da Symantec. Presumimos que os administradores de sistemas
que usam o SMS j tenham instalado anteriormente o software com o SMS.
Consequentemente, presumimos que voc no precise de informaes detalhadas
sobre a instalao do software-cliente da Symantec usando o SMS.
Nota: Este tpico aplica-se tambm ao Microsoft System Center Configuration
Manager (SCCM).
O software de instalao do cliente da Symantec exige que o Microsoft Installer
3.1 ou superior esteja presente nos computadores-cliente antes da instalao. Este
software ser instalado automaticamente se no estiver presente em
computadores-cliente, mas somente quando voc implementar com um nico
setup.exe executvel. Este software no ser instalado automaticamente se voc
implementar com o arquivo.msi. Os computadores que executam o Windows
Server 2003 com o Service Pack 2 e o Windows Vista incluem o Windows Installer
3.1 ou superior. Caso necessrio, implemente primeiramente o
WindowsInstaller-x86.exe contido no disco do produto do Symantec Network
Access Control e Symantec Endpoint Protection. Fazer upgrade para a verso do
Windows Installer tambm exige uma reinicializao do computador.
1187
1188

Nota: Esta nota se aplica ao SMS verso 2.0 e anteriores: Se voc usar SMS, desative
o recurso Mostrar o status do cone na barra de ferramentas de todas as
atividades do sistema nos clientes no Monitor de programas anunciados. Em
alguns casos, o Setup.exe talvez precise atualizar um arquivo compartilhado que
se encontra em uso no monitor de programas anunciados. Se o arquivo estiver
sendo usado, a instalao no ter xito.
A Symantec recomenda que os pacotes de SMS/SCCM iniciem o Setup.exe em vez
do MSI diretamente. Este mtodo garante que o mecanismo de MSI possa ser
atualizado para a verso mnima recomendada e permite tambm o registro em
log do instalador. Use o recurso de criao de pacotes personalizados no SMS/SCCM
para criar pacotes personalizados em vez do recurso do Assistente de Pacotes.
Aviso: Voc deve incluir um arquivo de Sylink.xml nos pacotes de instalao do
cliente que criou usando os arquivos no disco do produto. Voc dever incluir um
arquivo Sylink.xml criado depois de instalar e usar o Symantec Endpoint Protection
Manager. O arquivo Sylink.xml identifica o servidor de gerenciamento para o qual
clientes relatam. Se voc no incluir esse arquivo, o cliente ser instalado como
um cliente no gerenciado. Como resultado, todos os clientes sero instalados
com configuraes padro e no se comunicaro com o servidor de gerenciamento.
A Tabela B-7 relaciona as tarefas para criar e distribuir o software-cliente da
Symantec com SMS 2003.
Tabela B-7
Processo para instalar o cliente que usa o Microsoft Systems

Management Server
Etapa
Descrio
Etapa 1
Crie um pacote de instalao do software com o Symantec Endpoint Protection

Manager que contm o software e as polticas para instalar em seu
computador-cliente. Alm disso, esse pacote de instalao do software deve
conter um arquivo nomeado como Sylink.xml, que identifica o servidor que
gerencia os clientes.
Etapa 2
Crie um diretrio de origem e copie os arquivos de instalao do cliente da

Symantec para esse diretrio de origem. Por exemplo, voc cria um diretrio
de origem que contm os arquivos de instalao para o software-cliente da
Symantec.
Etapa 3
Crie um pacote, nomeie-o e identifique o diretrio de origem como parte do

pacote.

Etapa
Descrio
Etapa 4
Configure a caixa de dilogo Programa para o pacote a fim de especificar o

executvel que inicia o processo de instalao e especifique o MSI com os
parmetros.
Etapa 5
Distribua o software em colees especficas com anncios.
Para obter mais informaes sobre como usar o SMS/SCCM, consulte a

documentao da Microsoft que apropriada para sua verso.
Para instalar clientes com o objeto de poltica de

grupo do Active Directory
Voc pode instalar o cliente usando um objeto de poltica de grupo do Active
Directory do Windows 2000/2003/2008. Os procedimentos supem que voc
instalou este software e que usou o Windows Active Directory para instalar o
software-cliente com o objeto de poltica de grupo do Active Directory.
O software de instalao exige que os computadores-cliente contenham e possam
executar o Windows Installer 3.1 ou posterior. Os computadores j satisfazem a
esse requisito quando executam o Windows XP com Service Pack 2 ou superior,
o Windows Server 2003 com Service Pack 1 ou superior e Windows
Vista/7/8/Server 2008/Server 2012. Se os computadores-cliente no satisfazem
essa exigncia, todos os outros mtodos instalam automaticamente o Windows
Installer 3.1 inicializando os arquivos de instalao.
Por razes de segurana, o objeto de poltica de grupo do Windows no permite a
inicializao para o arquivo executvel WindowsInstaller*.exe dos arquivos de
instalao. Consequentemente, para instalar o software do cliente da Symantec,
voc deve executar este arquivo nos computadores sem Windows Installer 3.1 ou
superior. Voc pode executar esse arquivo com um script de inicializao do
computador. Se voc usar um GPO como um mtodo de instalao, ser necessrio
decidir como atualizar os computadores-cliente com Windows Installer 3.1 ou
superior.
A instalao do cliente da Symantec usa arquivos .msi padro do Windows Installer.
Como resultado, voc pode personalizar a instalao do cliente com as propriedades
do .msi.
Consulte Sobre a configurao das strings de comando MSI na pgina 1179.
Confirme se seu servidor DNS est configurado corretamente antes da
implementao. A configurao correta necessria, pois o Active Directory
depende do servidor DNS para realizar a comunicao entre computadores. Para
1189
1190

testar a configurao, envie o comando ping para o computador com Windows

Active Directory e, em seguida, envie o comando ping na direo oposta. Use o
nome de domnio totalmente qualificado. O uso do nome de computador sozinho
no requer uma nova pesquisa de DNS. Use o seguinte formato:
ping nome_do_computador.nome_completo_do_domnio.com
Tabela B-8
Etapas para instalar o software-cliente usando o Objeto de poltica

de grupo do Active Directory
Etapa
Ao
Etapa 1
Crie a imagem de instalao administrativa.

Consulte Para criar a imagem de instalao administrativa na pgina 1190.
Etapa 2
Copie o arquivo Sylink.xml para os arquivos de instalao.

Consulte Para copiar um arquivo Sylink.xml aos arquivos de instalao
para fazer clientes gerenciados na pgina 1195.
Etapa 3
Organize a imagem de instalao administrativa.
Etapa 4
Crie uma distribuio de software de GPO.

Voc tambm deve testar a instalao de GPO com um nmero pequeno
de computadores antes da implementao de produo. Se o DNS no
estiver configurado adequadamente, as instalaes de GPO podero levar
uma hora ou mais.
Consulte Criao de uma distribuio de software de GPO na pgina 1191.
Etapa 5
Crie um script de inicializao para instalar o Windows Installer 3.1 (ou

superior). Se seus computadores j cumprirem este requisito, voc pode
ignorar esta etapa.
Consulte Para criar um script de inicializao para instalar Windows
Installer 3.1 ou superior na pgina 1193.
Etapa 6
Adicione computadores unidade organizacional.

Consulte Adio de computadores unidade organizacional e ao software
de instalao na pgina 1194.
Consulte Para desinstalar o software-cliente com o objeto de poltica de grupo

do Active Directory na pgina 1196.
Para criar a imagem de instalao administrativa

As instalaes do objeto de poltica de grupo que usam o Windows Installer 3.0 e
anterior exigem as imagens administrativas dos arquivos de instalao do cliente.

Essa imagem no uma exigncia para as instalaes do 3.1 e superior e opcional.

Se voc no criar a imagem administrativa, dever mesmo assim copiar o contedo
do disco do produto para seu computador antes da instalao usando o objeto de
poltica de grupo.
Consulte Para instalar clientes com o objeto de poltica de grupo do Active
Directory na pgina 1189.
Para criar a imagem de instalao administrativa
Copie o contedo do disco do produto para seu computador.
De um prompt de comando, navegue para a pasta SEP e digite

msiexec /a "Sep.msi"
No painel Localizao de rede, digite o local onde deseja criar a imagem de

instalao administrativa e clique em Instalar.
Clique em Concluir.
Criao de uma distribuio de software de GPO

O procedimento pressupe que voc j tenha instalado o Group Policy Management
Console da Microsoft com o Service Pack 1 ou posterior. O procedimento tambm
pressupe que voc tenha computadores no grupo de computadores ou em algum
outro grupo no qual voc quer instalar o software-cliente. Voc pode arrastar
esses computadores para um novo grupo que voc criar.
Nota: Se o Controle da conta do usurio (UAC) estiver ativado, ser necessrio
ativar Sempre instalar com alto privilgio para Configurao do computador e
Configurao do usurio para instalar o software-cliente da Symantec com um
GPO. Voc define essas opes para permitir que todos os usurios do Windows
instalem o software-cliente da Symantec.
Para criar um pacote GPO
Na barra de tarefas do Windows, clique em Iniciar> Programas > Ferramentas

administrativas > Gerenciamento de poltica de grupo.
Na janela Usurios e Computadores do Active Directory, na rvore do console,

clique com o boto direito do mouse no domnio e, em seguida, clique em
Usurios e Computadores do Active Directory.
1191
1192

Na janela Usurios e computadores do Active Directory, clique com o boto

direito do mouse em Domnio e, em seguida, clique em Novo > Unidade
organizacional.
Na caixa de dilogo Novo objeto, na caixa Nome, digite um nome para a

unidade organizacional e clique em OK.
Na janela Usurios e Computadores do Active Directory, clique em Arquivo

>Sair.
Na janela Gerenciamento de poltica de grupo, na rvore do console, clique

com o boto direito do mouse na unidade organizacional que voc criou e, em
seguida, clique em Criar e vincular um GPO aqui.
Voc pode precisar atualizar o domnio para ver sua nova unidade
organizacional.
Na caixa de dilogo GPO, na caixa Nome, digite um nome para o seu GPO e
clique em OK.
No painel direito, clique com o boto direito do mouse no GPO que voc criou
e clique em Editar.
Na janela Editor do objeto de poltica de grupo, no painel esquerdo, em

Configurao do computador, expanda Configuraes do software.
10 Clique com o boto direito do mouse em Instalao de software e clique em

Novo > Pacote.
11 Na caixa de dilogo Abrir, digite o caminho da Conveno de nomenclatura

universal (UNC) que aponta para e contm o pacote MSI.
Use o formato de acordo com o exemplo a seguir:
\\nome do servidor\SharedDir\Sep.msi
12 Clique em Abrir.
13 Na caixa de dilogo Implementar software, clique em Atribudo e em OK.
O pacote exibido no painel direito da janela Editor do objeto de poltica de
grupo se voc selecionar Instalao de software.
Para configurar modelos para o pacote
Na janela Editor do objeto de poltica de grupo, na rvore do console, exiba e

ative as seguintes configuraes:
Configurao do computador > Modelos administrativos > Sistema > Logon

> Sempre esperar pela rede ao iniciar o computador e fazer logon
Configurao do computador > Modelos administrativos > Sistema >

Poltica de grupo > Processamento de poltica de instalao de software

Configurao do usurio > Modelos administrativos > Componentes do

Windows > Windows Installer > Sempre instalar com alto privilgio
Feche a janela Editor do objeto de poltica de grupo.
Na janela Gerenciamento de poltica de grupo, no painel esquerdo, clique com

o boto direito do mouse no GPO que voc editou e depois clique em Aplicado.
No painel direito, em Filtragem de segurana, clique em Adicionar.
Na caixa de dilogo, em Digite o nome do objeto a ser selecionado, digite

Computadores do domnio e clique em OK.
Para criar um script de inicializao para instalar Windows Installer

3.1 ou superior
Voc deve instalar o Windows Installer 3.1 nos computadores que contm e
executam verses anteriores do Windows Installer. Voc pode exibir verses do
Windows Installer executando msiexec /? em um prompt de comando. O Windows
Installer 3.1 ou superior necessrio para o pacote de instalao de GPO. Nos
computadores que exigem a instalao do Windows Installer 3.1 ou superior, como
voc instala sua escolha.
Nota: Os usurios restritos no podem executar o Windows Installer 3.1, e os
usurios restritos com privilgios elevados no podem executar o Windows
Installer 3.1. Os usurios restritos so definidos com a poltica de segurana local.
Uma maneira de instalar o Windows Installer usando um script de inicializao
do computador de GPO. Os scripts de inicializao so executados antes dos
arquivos de instalao .msi do GPO quando os computadores reiniciam. Se utilizar
essa abordagem, saiba que o script de inicializao executa e reinstala o Windows
Installer a cada vez que o computador reiniciado. Se voc instal-lo em modo
silencioso, contudo, os usurios experimentaro um leve atraso antes de ver a tela
de logon. O software-cliente da Symantec somente instalado uma vez usando o
GPO.
1193
1194

Para instalar o Windows Installer 3.1 ou superior com um script de inicializao
Na janela Gerenciamento de poltica de grupo, na rvore do console, expanda

a unidade organizacional, clique com o boto direito do mouse no pacote e,
em seguida, clique em Editar.
Na janela Editor de objeto de poltica de grupo, na rvore do console, expanda

Configurao do computador > Configuraes Windows e clique em Scripts
(Iniciar/Desligar).
No painel direito, clique duas vezes em Iniciar.
Na caixa de dilogo Propriedades de inicializao, clique em Mostrar

arquivos.
Em uma janela nova, copie o arquivo WindowsInstaller-.exe da pasta do

arquivo de instalao do GPO na janela e pasta Iniciar.
Exiba novamente a caixa de dilogo Propriedades de inicializao e clique

em Adicionar.
Na caixa de dilogo Adicionar um script, clique em Procurar.
Na caixa de dilogo Procurar, selecione o arquivo executvel do Windows

Installer e clique em Abrir.
Na caixa de dilogo Adicionar um script, na caixa Parmetros de script, digite

/quiet /norestart e clique em OK.
10 Na caixa de dilogo Propriedades de inicializao, clique em OK.

11 Feche a janela Gerenciador do objeto de poltica de grupo.
Adio de computadores unidade organizacional e ao software de

instalao
Voc pode adicionar computadores a uma unidade organizacional. Quando os
computadores so reiniciados, o processo de instalao do software-cliente tem
incio. Quando os usurios fazem logon nos computadores, o processo de instalao
do software-cliente concludo. A atualizao da poltica de grupo, no entanto,
no instantnea; portanto, pode levar um tempo para que essa poltica se
propague. O procedimento, contudo, contm os comandos que voc pode executar
nos computadores-cliente para atualizar a poltica por solicitao.

Para adicionar computadores unidade organizacional e ao software de instalao
Na barra de tarefas do Windows, clique em Iniciar > Programas > Ferramentas

administrativas > Usurios e computadores do Active Directory.
Na janela Usurios e computadores do Active Directory da rvore de console,

localize um ou mais computadores para adicionar unidade organizacional
que voc criou para a instalao de GPO.
Os computadores aparecem primeiro na unidade organizacional
Computadores.
Arraste e solte os computadores na unidade organizacional que voc criou

para a instalao.
Feche a janela Usurios e computadores do Active Directory.
Para aplicar as alteraes rapidamente aos computadores-cliente (para teste),

abra um prompt de comando nos computadores-cliente.
Digite um dos comandos a seguir e, ento, pressione Enter.
Em computadores que executam o Windows 2000, digite secedit

/refreshpolicy machine_policy.
Em computadores que executam o Windows XP e posteriores, digite

gpupdate.
Clique em OK.
Para copiar um arquivo Sylink.xml aos arquivos de instalao para

fazer clientes gerenciados
Quando voc instalar o Symantec Endpoint Protection Manager, ele criar um
arquivo nomeado Sylink.xml para cada grupo de clientes. Os clientes do Symantec
Endpoint Protection leem o contedo deste arquivo para saber qual servidor de
gerenciamento gerencia o cliente. Se voc no copiar esse arquivo nos arquivos
de instalao antes de instalar o software-cliente, os clientes sero instalados
como no gerenciados. Voc deve criar pelo menos um grupo novo com o console
de gerenciamento antes de copiar o arquivo. Caso contrrio, o arquivo Sylink.xml
far com que os clientes sejam exibidos no grupo padro.
Nota: Os pacotes que so exportados com o console do Symantec Endpoint
Protection Manager incluem um arquivo Sylink.xml.
1195
1196

Para desinstalar o software-cliente com o objeto de poltica de grupo do Active Directory
Para copiar o arquivo Sylink.xml nos arquivos de instalao
Se voc ainda no fez isso, instale o Symantec Endpoint Protection Manager.

na pgina 99.
Exporte um arquivo Sylink.xml do grupo de clientes correto.

Copie o Sylink.xml em um dos seguintes locais:
Se voc criar uma imagem do arquivo de instalao administrativo,

sobrescreva o arquivo Sylink.xml na pasta
install_directory\CommonAppData\Symc\Name\Version\Data\Config\.
A pasta install_directory representa o local que voc escolheu durante a
criao da imagem do arquivo.
Consulte Para criar a imagem de instalao administrativa na pgina 1190.
Se voc no criar uma imagem administrativa do arquivo de instalao,

copie a pasta SEP ou SEPx64 do disco do produto em uma pasta de seu
computador. Ento, para criar um cliente gerenciado, copie o arquivo
Sylink.xml nessa pasta de destino.
Para desinstalar o software-cliente com o objeto de

poltica de grupo do Active Directory
Voc pode desinstalar o software-cliente que instalou com o Active Directory.
Consulte Para desinstalar o cliente Windows na pgina 160.
Para desinstalar o software-cliente com o Objeto de poltica de grupo do Active
Directory
Na barra de tarefas do Windows, clique em Iniciar> Programas > Ferramentas

administrativas > Gerenciamento de poltica de grupo.
A verso do Windows que voc usa pode exibir Todos os programas, em vez
de Programas, no menu Iniciar.
Na janela Gerenciamento de polticas de grupo na rvore do console, expanda

o domnio e Configurao do computador, expanda Configuraes do
software, clique com o boto direito do mouse em Instalao do software e
clique em Propriedades.
Na guia Avanado, marque Desinstalar este aplicativo quando ele ficar fora
do escopo do gerenciamento e, em seguida, clique em OK.

No painel direito, clique com o boto direito do mouse no pacote de software

e clique em Remover.
Na caixa de dilogo Remover software, marque Desinstalar imediatamente

o software dos usurios e computadores e, em seguida, clique em OK.
Feche a janela Editor de objeto de poltica de grupo e, em seguida, a janela

Gerenciamento de poltica de grupo.
O software desinstalado quando os computadores-cliente so reiniciados.
1197
1198

Apndice
Opes da linha de
comando para o cliente
Para executar comandos do Windows para o servio do cliente
Cdigos de erro
Digitao de um parmetro caso o cliente esteja protegido por senha
Para executar comandos do Windows para o servio

do cliente
possvel manipular o cliente diretamente na linha de comando no
computador-cliente Windows usando o comando smc do servio do cliente.
possvel usar esse comando em um script que execute os parmetros de maneira
remota. Por exemplo, se for necessrio interromper o cliente para instalar um
aplicativo em vrios clientes, possvel interromper e reiniciar todos os servios
do cliente.
O servio do cliente deve ser executado para que voc use os parmetros da linha
de comando, exceto o parmetro smc -start. Os parmetros da linha de comando
no diferenciam maisculas e minsculas.
A Tabela C-1 descreve os parmetros que podero ser executados se os usurios
forem membros de qualquer grupo de usurios do Windows.
1200
Opes da linha de comando para o cliente

Tabela C-1
Parmetros que todos os membros do Windows podem usar
Parmetro
Descrio
smc -checkinstallation
Verifica se o servio smc do cliente est instalado.

Retorna 0, -3
smc -checkrunning
Verifica se o servio smc do cliente est em execuo.

Retorna 0, -4
smc -disable -ntp
Desativa o firewall do Symantec Endpoint Protection e o Sistema de preveno contra

intruses
Se o agente for protegido por senha, digite: smc -disable -ntp -p senha
Consulte Digitao de um parmetro caso o cliente esteja protegido por senha
na pgina 1205.
smc -dismissgui
Fecha a interface de usurio do cliente do Symantec Endpoint Protection ou Symantec

Network Access Control, incluindo o cone da rea de notificao.
O cliente ainda ser executado e proteger o computador-cliente.
Retorna 0
smc -enable -ntp
Ativa o firewall do Symantec Endpoint Protection e o Sistema de preveno contra

intruses.
Se o agente for protegido por senha, digite: smc -enable -ntp -p senha
Consulte Digitao de um parmetro caso o cliente esteja protegido por senha
na pgina 1205.

Parmetro
Descrio
smc -exportlog
Exporta todo o contedo de um log para um arquivo .txt.

Para exportar um log, use a seguinte sintaxe:
smc -exportlog tipo_de_log0 -1 arquivo_de_sada
onde:
log_type :
0 = Log do sistema
1 = Log de segurana
2 = Log de trfego
3 = Log de pacotes
4 = Log de controle
Por exemplo, voc pode digitar a seguinte sintaxe:
smc -exportlog 2 0 -1 c:\temp\TrafficLog
Onde:
0 o comeo do arquivo
-1 o final do arquivo
S possvel exportar os logs de controle, de pacotes, de segurana, de sistema e de
trfego.
output_file o nome do caminho e do arquivo que voc atribuiu ao arquivo exportado.

Retorna 0, -2, -5
smc -runhi
Se o Symantec Network Access Control estiver instalado, executar uma verificao da

Retorna 0
smc -showgui
Exibe a interface de usurio do cliente do Symantec Endpoint Protection ou do Symantec

Retorna 0
smc -updateconfig
Inicia uma comunicao de cliente e servidor para assegurar-se de que o arquivo de

configurao do cliente esteja atualizado.
Se o arquivo de configurao do cliente estiver desatualizado, o updateconfig far o
download do arquivo mais recente e substituir o existente, que serdef.dat.
Retorna 0
A Tabela C-2 exibe os parmetros que voc poder executar somente se as seguintes
circunstncias forem atendidas:
O cliente executar Windows 2003/XP/Vista ou Windows Server 2008 e os

usurios forem membros do grupo de administradores do Windows.
1201
1202

O cliente executar Windows 2003/XP e os usurios forem membros do grupo

de usurios avanados.
Se o cliente executar o Windows Vista e o controle de conta de usurio estiver

ativado, o usurio automaticamente se tornar membro dos grupos de
Administradores e Usurios. Para usar estes parmetros, o usurio deve ser
membro somente do grupo Administradores.
Tabela C-2
Parmetros que os membros do grupo de administradores podem

usar
Parmetro
Descrio
smc -exportconfig
Exporta o arquivo de configurao do cliente para um arquivo .xml. O arquivo de

configurao inclui todas as configuraes do servidor de gerenciamento, comas polticas,
grupos, configuraes do log, configuraes de segurana e configuraes da interface
de usurio.
necessrio especificar o nome do caminho e do arquivo. Por exemplo, possvel digitar
o seguinte comando:
smc -exportconfig C:\Meus documentos\MyCompanyprofile.xml
Retorna 0, -1, -5, -6
smc -importconfig
Substitui o contedo do arquivo de configurao atual do cliente por um arquivo de

configurao importado e atualiza a poltica do cliente. O cliente deve estar em execuo
para importar o contedo do arquivo de configurao.
o seguinte comando:
smc -importconfig C:\Meus documentos\MyCompanyprofile.xml.
Retorna 0, -1, -5, -6

Parmetro
Descrio
smc -exportadvrule
Exporta regras de firewall do cliente para um arquivo .sar. As regras exportadas podem
somente ser importadas para um cliente no gerenciado ou um cliente gerenciado no
modo de controle de cliente ou no modo misto. O cliente gerenciado ignora estas regras
no modo de controle de servidor.
o seguinte comando:
smc -exportadvrule C:\myrules.sar
Retorna 0, -1, -5, -6
Ao importar arquivos de configurao e regras de firewall, observe se estas regras se
aplicam:
No possvel importar arquivos de configurao ou de regras de firewall diretamente
de uma unidade de rede mapeada.
O cliente no suporta caminhos UNC (Universal Naming Convention).
smc -importadvrule
Adiciona as regras de firewall importadas lista de regras de firewall do cliente. Essas

regras no sobrescrevem as existentes. O cliente relaciona as regras existentes e
importadas, mesmo que todas tenham o mesmo nome e parmetros.
Voc pode importar somente regras de firewall para um cliente no gerenciado ou para
um cliente gerenciado no modo de controle de cliente ou no modo misto. O cliente
gerenciado ignora estas regras no modo de controle de servidor.
Para importar regras de firewall, importe um arquivo .sar. Por exemplo, possvel digitar
o seguinte comando:
smc -importadvrule C:\myrules.sar
Uma entrada ser adicionada ao log do sistema aps a importao das regras.
Retorna 0, -1, -5, -6
smc -start
Inicia o servio do cliente do Symantec Endpoint Protection ou Symantec Network Access

Control.
Retorna 0, -1
smc -stop
Interrompe o servio do cliente do Symantec Endpoint Protection ou Symantec Network

Access Control e o descarrega da memria.
Retorna 0, -1
Para executar comandos do Windows para o servio do cliente:
Clique em Iniciar > Executar e digite o comando.
1203
1204

Cdigos de erro
Em uma janela de prompt do DOS, digite o caminho de instalao do servio

smc antes do comando.
Por exemplo, em um sistema Windows de 64 bits, digite:
C:\Program Files (x86)\Symantec\Symantec Endpoint
Protection\smc.exe
Cdigos de erro
A Tabela C-3 exibe os cdigos de erro retornados pelo comando smc quando os
parmetros necessrios so invlidos ou esto ausentes.
Tabela C-3
Cdigos de erro de smc
Cdigo do erro
Descrio
O comando foi bem-sucedido.
-1
O usurio no est no grupo Administradores nem no grupo Usurios

avanados do Windows. Se o cliente executa o Windows Vista, o usurio
no membro do grupo Administradores do Windows.
-2
Parmetro invlido.
Talvez voc tenha digitado o parmetro incorretamente ou adicionado
uma chave incorreta depois do parmetro.
-3
smc o servio do cliente no est instalado.
-4
smc o servio do cliente no est em execuo.
-5
Arquivo de entrada invlido.

Por exemplo, os parmetros importconfig, exportconfig,
updateconfig, importadv, exportadvrule e exportlog exigem
o nome do caminho e o nome do arquivo corretos.
-6
O arquivo de entrada no existe.

Por exemplo, os parmetros importconfig, updateconfig e
importadvrule exigem o nome do caminho, o nome do arquivo de
configurao (.xml) ou o nome do arquivo das regras de firewall (.sar)
corretos.

Digitao de um parmetro caso o cliente esteja

protegido por senha
Voc poder configurar a proteo por senha no cliente se voc ou outro usurio
interromper o servio do cliente ou importar ou exportar o arquivo de configurao.
Digite a senha se o cliente for protegido por senha para os seguintes parmetros:
-stop
O cliente pede uma senha antes de voc ou o usurio interromp-lo.
-importconfig
O cliente pede uma senha antes que voc possa importar o arquivo de
configurao.
-exportconfig
O cliente pede uma senha antes que voc possa exportar o arquivo de
configurao.

Nota: A senha limitada a no mximo 15 caracteres.
Para digitar um parmetro caso o cliente seja protegido por senha
No computador-cliente, na barra de tarefas, clique em Iniciar >Executar.
Na caixa de dilogo Executar, digite cmd
No prompt MS-DOS do Windows, digite um dos seguintes parmetros:

smc -parameter -p password
smc -p password -parameter
Onde:
parmetro -stop, -importconfig ou -exportconfig.
senha a senha especificada no console.
Por exemplo, voc pode digitar qualquer uma das seguintes sintaxes:
smc -exportconfig c:\profile.xml -p senha ou
smc -p senha -exportconfig c:\profile.xml
Feche o prompt de comando.
1205
1206

Apndice
Opes da linha de
comando para a ferramenta
Exceo de imagem virtual
vietool
1208
Opes da linha de comando para a ferramenta Exceo de imagem virtual

vietool
vietool
vietool Executa a ferramenta de exceo da imagem virtual
Sinopse
vietool.exe volume: --generate|clear|verify|hash [options ...]
DESCRIO
O comando vietool marca os arquivos de imagem base no volume que voc
especificar adicionando um atributo.
OPES
--generate
Executa a ferramenta de exceo da imagem virtual em todos os arquivos no

volume especificado. Voc no pode usar essa opo com --clear.
Por exemplo: vietool c: --generate
--verify
Verifica se a exceo da imagem virtual est definida em todos os arquivos

no volume especificado. Voc no pode usar essa opo com --clear.
Por exemplo: vietool c: --verify
--clear
Remove a exceo da imagem virtual em todos os arquivos no volume

especificado.
Por exemplo: vietool.exe c: --clear
Para excluir um arquivo especfico: vietool.exe
c:\Users\Administrator\target.file --clear
Voc pode usar um caminho totalmente qualificado no lugar do identificador

de volume para limpar a exceo da imagem virtual em um nico arquivo ou
no contedo de uma pasta. Apenas um nome de arquivo, nome de pasta ou
identificador de volume so permitidos por linha de comando. Voc no pode
usar esse comando com --generate, --verify ou --hash.
necessrio reiniciar o cliente depois que voc executar o comando --clear.
--hash
Gera o valor de hash em todos os arquivos no volume especificado.

vietool
O cliente compartilha o valor de hash com o Cache compartilhado do Insight.

A ferramenta de exceo da imagem virtual no gera o valor de hash a menos
que seja necessrio. Voc no pode usar essa opo com --clear.
Por exemplo: vietool.exe c: --generate --hash
--volume arg
Especifica o volume no qual ferramenta far a verificao.

Essa opo pode ser um arquivo quando voc usa a opo --clear. Voc deve
especificar o volume; ele pode ser especificado com o indicador do volume ou
sozinho. Por exemplo, com o indicador vietool.exe --volume c:
--generate ou sozinho vietool.exe c: --generate.
--verbose
Envia para o console a quantidade mxima de informaes de execuo de

programas.
--stop
Interrompe o processo no primeiro erro que a ferramenta encontrar. Caso

contrrio, a ferramenta grava as informaes do erro no console e continua.
--help
Exibe esta mensagem de ajuda.
1209
1210

vietool
Apndice
Sintaxe para assinaturas de

personalizada e regras de
controle de aplicativo
Expresses regulares no Symantec Endpoint Protection Manager
Sobre sintaxe e convenes das assinaturas
Argumentos do tipo de protocolo
Argumentos do protocolo TCP
Argumentos do protocolo UDP
Argumentos do protocolo ICMP
Argumentos do protocolo IP
Argumentos de Msg
Argumentos de contedo
Argumentos de contedo opcionais
Diferenciao entre maisculas e minsculas
Decodificao HTTP
Deslocamento e profundidade
1212
Sintaxe para assinaturas de Preveno contra intruses personalizada e regras de controle de aplicativo
Argumentos Streamdepth
Operadores suportadas
Exemplo de sintaxe personalizada da assinatura IPS
Expresses regulares no Symantec Endpoint

Protection Manager
Voc pode usar expresses regulares nas regras de contedo de assinatura IPS e
de controle de aplicativos. Por padro, as expresses regulares diferenciam
Para o IPS, expresses regulares usam o seguinte formato:
regexpcontent="string value" (offset , depth)opt
deslocamento
Especifica o incio dos bytes nos dados do pacote, dos quais o

mecanismo IPS faz a correspondncia do padro da assinatura.
profundidade
Especifica o tamanho dos dados do pacote, nos quais o mecanismo

IPS faz a correspondncia do padro da assinatura.
opt
Inclui as opes C e H.
A opo C faz com que a expresso no diferencie maisculas
de minsculas.
A opo H especifica a decodificao de HTTP.
Se no houver opo, todo o pacote de dados ser comparado.
Para o IPS e o controle de aplicativo, as expresses regulares suportam as seguintes

caratersticas:
Regexpcontent mltiplo
Formato binrio. O formato \x ou \X com dois dgitos hexadecimais, como

\xA9.
Tabela E-1
Sintaxe das expresses regulares
Smbolo
Descrio
Caractere
Corresponde a si mesmo, a menos que seja um dos seguintes caracteres

especiais (metacaracteres):
.\[]*+^$
Smbolo
Descrio
Corresponde a qualquer caractere e significa um ou mais.
Corresponde ao caractere posterior, exceto se seguido de:
Abertura ou fechamento de parnteses.
Um sinal de maior ou menor.
Um dgito de 1 a 9.
O caractere \ usado como caractere de escape para todos os demais

metacaracteres, bem como para si mesmo. Quando for usada em um
conjunto ([4]), \ ser tratado como um caractere comum.
[set] [^set]
Corresponde a um dos caracteres no conjunto.

Se o primeiro caractere no conjunto for "^", corresponder a um
caractere que NO est no conjunto, isto , complementar o conjunto.
A forma abreviada S-E usada para especificar um conjunto de
caracteres de S a E, inclusive. Os caracteres especiais "]" e "-" no tero
significado especial se aparecerem como os primeiros caracteres do
conjunto.
Por exemplo:
[a-z]: Corresponde a qualquer caractere alfabtico
[^]-]: Corresponde a qualquer caractere, exceto ] e -
[^A-Z]: Corresponde a qualquer caractere, exceto alfabticos
[a-z A-Z]: Corresponde a qualquer caractere alfabtico. o mesmo

que [a-z] ou [A-Z]
Qualquer expresso regular de [1] a [4] seguida por um caractere de

encerramento (*) que corresponda a zero ou mais correspondncias
dessa forma.
O mesmo que *, exceto que + corresponde a um ou mais
$form$
Uma expresso regular na sintaxe suportada, delimitada por $form$,

corresponde ao que form corresponder. A delimitao marca a forma
a ser usada com \<dgito de 1 a 9.> para a substituio padro. As
formas marcadas so numeradas em ordem comeando no incio da
sintaxe.
Por exemplo:
$xxx$[1-3] corresponde a xxx1 ou xxx2 ou xxx3
1213
1214
Smbolo
Descrio
\<dgito de 1 a 9.>
Corresponde ao que uma expresso regular previamente marcada

$form$ corresponder. O dgito indica qual forma marcada deve ser
correspondida.
No primeiro exemplo aqui $xxx $ marcado como 1. No segundo
exemplo $yy$ marcado como 1, (zz\) marcado como 2.
\<
\>
$xxx$[1-3]\1 corresponde a xxx1xxx ou xxx2xxx ou xxx3xxx
$yy$X$zz$[1-3]\2\1 corresponde a yyXzz1zzyy ou yyXzz2zzyy

ou yyXzz3zzyy
Uma expresso regular que comea com \< e/ou termina com \>
restringe o padro que corresponde ao comeo de uma palavra e/ou
ao fim de uma palavra. Uma palavra definida como uma string de
caracteres que se inicia e/ou termina com os caracteres A-Z a-z 0-9 e
_. Ela tambm deve ser precedida ou seguida por qualquer caractere
alm desses mencionados.
Por exemplo, a sintaxe: *\<Symantec.\>.* corresponde a ...ABC
Symantec 123....
N/D
Uma expresso regular composta de xy, onde x e y esto na forma de

[1] a [10] corresponde correspondncia mais longa de x seguida de
uma correspondncia para y.
N/D
Uma expresso regular que inicia com o caractere ^ e/ou terminando

com o caractere $, restringe o padro de correspondncia ao incio ou
fim da linha [ncoras]. Fora do padro, ^ e $ so tratados como
caracteres comuns.
^
$

Ao criar o contedo de cada assinatura IPS, voc deve usar esta sintaxe:
rule protocol-type, [protocol-options,] [ip-protocol options,] "msg",
"content"...
necessrio iniciar cada assinatura com a palavra-chave regra, seguida do

argumento do tipo de protocolo, opes do protocolo, opes do protocolo IP,
argumentos msg e argumentos de contedo. Os argumentos opcionais so
colocados entre colchetes. Digite somente as informaes dentro de colchetes,
no insira os colchetes. Os argumentos seguidos por reticncias podem ser
repetidos. Fornea as informaes dos argumentos usando operadores suportados
e expresses regulares.
Consulte Argumentos do tipo de protocolo na pgina 1215.
Consulte Argumentos do protocolo IP na pgina 1219.

Consulte Argumentos de Msg na pgina 1222.
Consulte Argumentos de contedo na pgina 1223.
Consulte Operadores suportadas na pgina 1226.
Consulte Expresses regulares no Symantec Endpoint Protection Manager
na pgina 1212.

Essa parte da assinatura define o tipo de protocolo usando esta sintaxe:
tipo de protocolo
onde tipo de protocolo um destes parmetros:
tcp
udp
icmp
O tipo do protocolo deve vir imediatamente aps a palavra regra.

Por exemplo:
regra udp
Cada tipo de protocolo, tcp, udp e icmp oferece suporte a seu prprio conjunto de
argumentos opcionais.
Consulte Argumentos do protocolo TCP na pgina 1215.
Consulte Argumentos do protocolo UDP na pgina 1217.
Consulte Argumentos do protocolo ICMP na pgina 1218.

Para obter detalhes adicionais sobre o protocolo TCP, consulte RFC 793.
1215
1216
Tabela E-2
Atributo
Descrio
Sintaxe
origem
Porta TCP de origem
operador de origem (valor)

onde valor um nmero de 16 bits no
assinado de 0 a 65535.
Exemplo:
origem=(180,2100)
O valor deve estar entre parnteses. O
valor 0 (zero) indica todas as portas.
Voc pode especificar um intervalo de
portas usando um hfen entre dois
valores de portas (por exemplo 3-5
inclui as portas 3, 4 e 5). Vrias portas
podem ser especificadas, separadas por
vrgulas.
dest
Porta TCP de destino
operador dest (valor)

onde valor um nmero de 16 bits no
assinado de 0 a 65535.
Por exemplo:
dest=(120.125)
valor deve estar entre parnteses. O
valor 0 (zero) indica todas as portas.
Um intervalo de portas pode ser
especificado usando um hfen entre dois
valores de portas (por exemplo 3-5
inclui as portas 3, 4 e 5). Vrias portas
podem ser especificadas, separadas por
vrgulas.
Atributo
Descrio
Sintaxe
tcp_flag
Indicadores de TCP presentes tcp_flag operator

no pacote
flag|[flag]...
onde indicador um destes
parmetros:
fin: fim dos dados
syn: sincronizar nmeros da

sequncia
rst: redefinir conexo
psh: funo enviar
ack: significativo do campo de

confirmao
urg: significativo do campo de
ponteiro urgente
0: corresponder todos os indicadores
Por exemplo:
tcp_flag&ack|ps
A maioria dos testes de tcp_flag usa o
operador & (lgica binria e) como
mscara (que significa que um pacote
deve ter os indicadores especificados,
mas que tambm podem ter outros
indicadores definidos).
possvel especificar vrios indicadores
em um teste inserindo uma barra
vertical (|) entre os indicadores.
Editar local
Tamanho da janela TCP
tamanho do operador janela

onde tamanho do operador um
nmero de 16 bits no assinado de 0 a
65535.
Por exemplo:
janela=16384

Para obter detalhes adicionais sobre o protocolo UDP, consulte RFC 768.
1217
1218
Tabela E-3
Atributo
Descrio
Sintaxe
origem
Porta UDP de origem
operador de origem (valor)

onde valor um nmero de 16
bits no assinado de 0 a 65535.
Por exemplo:
origem=(180,2100)
O valor deve estar entre
parnteses. O valor 0 (zero) indica
todas as portas.
especificado usando um hfen
entre dois valores de portas (por
exemplo 3-5 inclui as portas 3, 4 e
5). Vrias portas podem ser
especificadas, separadas por
vrgulas.
dest
Porta UDP de destino
operador dest (valor)

em que valor um nmero de 16
bits no assinado de 0 a 65535.
Por exemplo:
dest=(120)
O valor deve estar entre
parnteses. O valor 0 (zero) indica
todas as portas.
especificado usando um hfen
entre dois valores de portas (por
exemplo 3-5 inclui as portas 3, 4 e
5). Vrias portas podem ser
especificadas, separadas por
vrgulas.

Consulte os RFCs 792 e 1256 para obter descries detalhadas de tipos de
protocolos ICMP vlidos e combinaes de cdigos.
Tabela E-4
Atributo
Descrio
Sintaxe
tipo
Tipo do protocolo ICMP
valor do operador tipo

onde valor um nmero de 8 bits
no assinado de 0 a 255.
Por exemplo: type=0
cdigo
Tipo do protocolo ICMP
valor do operador cdigo

onde valor um nmero de 8 bits
no assinado de 0 a 255.
Por exemplo:
cdigo<=10
Os argumentos do protocolo IP so independentes dos argumentos do tipo do
protocolo e so vlidos para os protocolos TCP, UDP e ICMP.
Para obter detalhes adicionais sobre o protocolo IP, consulte RFC 791.
1219
1220
Tabela E-5
Atributo
Descrio
Sintaxe
saddr
Endereo IP de origem
saddr=(value/CIDR)
onde:
valor um endereo IP de 32
bits padro ou a varivel
$LOCALHOST, que especifica
o endereo IP do
computador-cliente.
CIDR uma representao de
roteamento entre domnios
sem classe que indica quantos
bits sero usados para o
prefixo da rede.
Por exemplo:
saddr=(127.0.0.0/25)
Aqui, 25 bits so usados para
identificar a rede exclusiva e os
bits restantes que identificam o
host.
daddr
Endereo IP de destino
daddr=(value/CIDR)
onde:
valor um endereo IP ou a
varivel $LOCALHOST, que
especifica o endereo IP do
computador que executa o
cliente.
CIDR uma representao de
roteamento entre domnios
sem classe que indica quantos
bits sero usados para o
prefixo da rede.
Por exemplo:
daddr=(128.0.0.0/4)
Aqui, quatro bits so usados para
identificar a rede exclusiva e os
bits restantes que identificam o
host.
Atributo
Descrio
Sintaxe
tos
Tipo de indicador de servio

presente no pacote
valor do operador tos

onde valor uma constante
numrica no formato decimal,
hexadecimal ou octal.
Por exemplo:
tos=0x4
Para exibir valores tos de IPs
vlidos, consulte Tabela E-6.
Para testar vrios valores tos de
IP em um pacote, o argumento tos
deve ser a soma dos valores a
serem testados. Geralmente, o
operador = ou &. Esses
indicadores no podem ser
combinados com uma barra
vertical (|), como em tcp_flags.
tot_len
Tamanho total do pacote
valor do operador tot_len

onde valor um nmero de 16
bits de 0 a 65535 que especifica o
tamanho total do pacote.
Por exemplo:
tot_len>1445
Ao especificar o valor, o tipo de
protocolo da regra deve ser
considerado para calcular
corretamente o tamanho a ser
testado. Para auxiliar no clculo
de tot_len de cada tipo de
protocolo suportado, o tamanho
dos cabealhos so assim:
TCP: De 20 a 60 bytes
UDP: 8 bytes
ICMP: De 8 a 20 bytes
ttl
Tempo de vida (TTL) do pacote
valor do operador ttl

onde valor um valor de 8 bits
de 0 a 255 que especifica o tempo
de vida caracterstico do pacote.
1221
1222
Argumentos de Msg
Atributo
Descrio
Sintaxe
ip_flag
Valor de deslocamento da
fragmentao do pacote
valor do operador ip_flag

onde valor um valor de 13 bits
que especifica o valor de
deslocamento fragmentado no
pacote.
Os deslocamentos de
fragmentao de IP ocorrem em
limites de 8 bytes; portanto, cada
valor de bit no deslocamento de
fragmentao representa trs bits.
Tabela E-6
Valores tos do IP
Dez.
Hex
Opo
0x2
Minimizar custos
0x4
Maximizar confiabilidade
0x8
Maximizar taxa de transferncia
24
0x18
Minimizar atrasos
Argumentos de Msg
Quando uma assinatura IPS corresponde com xito o contedo do pacote s
condies de teste da regra, a mensagem especificada no argumento msg. O
argumento msg aparece no log de segurana no cliente e no servidor. Somente
um argumento msg pode ser includo em cada assinatura IPS.
Sintaxe:
msg="mensagem de alerta"
A mensagem de alerta deve estar entre aspas duplas e no pode conter pontuao.
Aspas nicas no so permitidas. O objetivo da mensagem de alerta permitir a
identificao fcil de um evento na rede por meio da verificao do registro de
segurana. Portanto, todas as assinaturas IPS devem conter mensagens de alerta
concisas, mas descritivas no argumento msg.
Exemplo:
msg="Vulnerabilidade transversal unicode do IIS"
O argumento do contedo especifica um padro a ser procurado em um pacote.
O argumento de contedo pode aparecer vrias vezes em uma assinatura IPS. O
valor do contedo deve ser colocado entre aspas duplas ( "). Aspas nicas (' ') no
so permitidas.
Sintaxe:
content="value"
onde value um padro especificado como literal de string ou literal binrio que
deve estar entre aspas.
Um literal de string um grupo de caracteres consecutivos, incluindo espaos.
Uma string pode conter quaisquer caracteres, exceto aspas ("), barra invertida (\)
ou sequncia de escape de caractere de linha nova (\n). Exemplo:
content="system32"
Um literal binrio um grupo de bytes consecutivos expressos no formato

hexadecimal onde a sequncia de escape \x precede cada byte. Exemplo:
content="\x04\x20\x20\x20\xBF"
Este exemplo especifica o contedo como o literal binrio "\x04\x20\x20\x20\xBF".

Os literais de sequncia podem ser combinados com os literais binrios para criar
padres complexos. Exemplo:
content="\x0DLocation\x3A"
Argumentos de contedo opcionais

possvel usar argumentos de contedo adicionais e opcionais para melhor
qualificar o contedo destas maneiras:
Decodificao HTTP
Profundidade e deslocamento

possvel especificar um indicador opcional de diferenciao entre maisculas e
minsculas da letra C em cada argumento de contedo. Quando o indicador segue
um argumento de contedo, o padro contido no argumento de contedo
1223
1224
Decodificao HTTP
corresponder somente se as maisculas/minsculas dos caracteres na sequncia

corresponderem quelas dos dados do pacote.
Por exemplo, possvel usar esta sintaxe:
content="value"C
content="\x0DLocation\x3A"C
Decodificao HTTP
possvel usar o indicador de decodificao opcional HTTP H em cada argumento
de contedo. Se voc usar o indicador de decodificao HTTP H, os caracteres
codificados sero convertidos em literais binrios antes de tentarem uma
correspondncia de padres. Tambm possvel usar o indicador HTTP H aps o
indicador de diferenciao entre maisculas e minsculas. As URIs de HTTP usam
caracteres codificados. Quando a correspondncia de padres tentada e
normalizada, os dados normalizados so comparados aos literais binrios ou de
string no argumento de contedo. Na maioria das circunstncias, o indicador H
usado somente para as regras de TCP relacionadas a aplicativos que usem o
protocolo HTTP.
content="value"H
content="\x6f\x6e\x4c\x6f\x61\x64\x3d\x22\x61\x6c\x65\x72\x74\x28"H
Deslocamento e profundidade
possvel usar os valores de deslocamento e profundidade como argumentos
opcionais no contedo. O valor de deslocamento especificado primeiro, seguido
pelo valor de profundidade.
content="value"(deslocamento,profundidade)
Sintaxe
Descrio
valor
Um padro que especificado como literal da string ou literal binrio

que deve estar entre aspas.
Sintaxe
Descrio
deslocamento
Um nmero inteiro positivo em representao decimal.

O deslocamento especifica um local alternativo para iniciar uma
correspondncia de padro. O deslocamento tambm especifica
quantos bytes sero ignorados antes que a assinatura tente padronizar
a correspondncia.
Quando um argumento de deslocamento no est presente ou tem
valor 0, o padro do argumento de contedo tenta encontrar uma
correspondncia. O padro tenta corresponder o contedo no incio
da atividade do pacote ou no trecho do pacote aps o cabealho do
protocolo no primeiro argumento de contedo. Cada argumento de
contedo sucessivo automaticamente inicia o teste de correspondncias
de padro que segue o fim da correspondncia do padro com xito
anterior.
profundidade
Um nmero inteiro positivo em representao decimal. A profundidade

especifica o nmero mximo de bytes a ser pesquisado durante a
tentativa de correspondncia de um padro em um argumento de
contedo.
Quando um argumento de profundidade tem valor 0, o padro contido
no argumento de contedo tenta encontrar uma correspondncia do
deslocamento at o fim do pacote. O valor especificado para o
argumento de profundidade no pode ser inferior ao nmero de bytes
especificado como padro para corresponder ao argumento de
contedo.
content="\x04\x20\x20\x20\xBF"(4,5)
Esse exemplo ignora quatro bytes alm da correspondncia do padro anterior

ou do incio da atividade do pacote e compara os prximos cinco bytes com o literal
binrio contido no argumento de contedo.
Voc pode usar o argumento Streamdepth para limitar o comprimento do fluxo
no qual a regra da preveno contra intruses procura uma assinatura. Convm
usar o Streamdepth para melhorar o desempenho de suas regras da preveno
contra intruses personalizada. O argumento Streamdepth opcional.
Sintaxe:
streamdepth=valor
Por exemplo, voc pode suspeitar que uma assinatura existe nos primeiros 10 KB
de um fluxo de 1 MB. Voc pode usar a seguinte sintaxe:
1225
1226
streamdepth=10240
No arquivo de download, a regra da preveno contra intruses com este valor de

Streamdepth interromper a busca pela assinatura aps 10 KB. Limitando a
verificao, o desempenho do download melhorado.
Se voc definir o Streamdepth como 0, a preveno contra intruses aplicar a
regra ao fluxo inteiro.
Muitos argumentos na sintaxe da assinatura requerem um operador que indique
o tipo de teste a ser executado para verificar esse tipo de tentativa.
A Tabela E-7 descreve os operadores suportados.
Tabela E-7
Operadores suportados usados nas assinaturas IPS
Operador
Descrio
<
menor que
>
maior que
igual a
&
lgica binria e
Na biblioteca de assinaturas, o caractere de unio & algumas vezes
representado por meio do uso do seu equivalente de HTML &
<=
menor ou igual a
>=
maior ou igual a

Voc pode criar exemplos de assinaturas IPS personalizados para detectar uma
tentativa de acessar e fazer o download de arquivos MP3 com um navegador da
Web ou FTP.
O formato de um arquivo MP3 dificulta a deteco de um arquivo MP3 no trfego
na rede. Porm, possvel exibir os pacotes TCP para encontrar os comandos e
protocolos usado para recuperar os arquivos MP3. Voc pode em seguida usar
estas informaes para criar a sintaxe de uma assinatura IPS personalizada.
Para detectar um arquivo MP3 e bloquear o acesso a ele, voc grava duas
assinaturas. Uma assinatura detecta um arquivo MP3 atravs do servio HTTP.
A segunda assinatura detecta arquivos MP3 atravs do servio FTP.
Quando voc criar uma assinatura IPS personalizada, ser necessrio digitar o
contedo da assinatura usando o seguinte formato:
rule protocol-type, [protocol-options,] [ip-protocol
option,] msg, content...
Durante uma sesso de HTTP ou FTP, o servidor e o cliente trocam informaes.

As informaes so contida nos pacotes TCP destinados para o servio apropriado
no servidor. O servio HTTP usa a porte 80 e o servio FTP, porta 21. Os pacotes
TCP contm as informaes necessrias em um componente de atividade.
Os navegadores da Web usam o comando HTTP GET para fazer o download de
arquivos MP3. O cliente FTP usa o comando FTP RETR para fazer o download de
arquivos. O comando FTP ser usado tambm quando vrios arquivos forem
recuperados usando o comando MGET. O nome de arquivo e a respectiva extenso
mp3 esto presentes em ambos os pedidos. Ambos os protocolos inserem caracteres
[CR] [LF] para marcar o final da solicitao
A sintaxe da assinatura tambm deve conter vrios parmetros, incluindo uma
expresso regular que identifique os comandos especficos que devem ser
bloqueados. As expresses regulares so padres dos caracteres comparados ao
contedo do pacote. Os comandos que deseja bloquear so contidos nestes pacotes.
Se voc no souber o nome de um arquivo especfico, poder usar o caractere
curinga (*) para corresponder ao nmero desconhecido de caracteres entre o
comando e o nome de arquivo. O comando deve estar em minsculas, mas a
extenso do arquivo pode estar em maisculas ou minsculas.
Consulte Expresses regulares no Symantec Endpoint Protection Manager
na pgina 1212.
O contedo da assinatura de HTTP contm a seguinte sintaxe:
rule tcp, dest=(80,443), saddr=$LOCALHOST,
msg="MP3 GET in HTTP detected",
regexpcontent="[Gg][Ee][Tt] .*[Mm][Pp]3 .*"
O contedo da assinatura de FTP contm a seguinte sintaxe:

rule tcp, dest=(21), tcp_flag&ack, saddr=$LOCALHOST,
msg="MP3 GET in FTP detected",
regexpcontent="[Rr][Ee][Tt][Rr] .*[Mm][Pp]3\x0d\x0a"
A Tabela E-8 explica a sintaxe da assinatura do HTTP e a assinatura do FTP.
1227
1228
Tabela E-8
Sintaxe da assinatura de HTTP e de FTP
Use a seguinte sintaxe:
Para executar a seguinte tarefa
Para a assinatura de HTTP:
Diz ao mecanismo com base no pacote qual

trfego pesquisar. Dessa maneira, o mecanismo
no procura trfego desnecessrio e no esgota
os recursos do sistema. Quanto mais
informaes detalhadas voc fornecer, melhor
o desempenho do mecanismo com base no
pacote.
rule tcp dest=(80,443)

Para a assinatura de FTP:
rule tcp dest=(21)
Este argumento limita as portas de destino para

80 e 443 para o servio de HTTP e 21 para o
servio de FTP.
Reduz os falsos positivos.
tcp_flag&ack
saddr=$LOCALHOST
Garante que a solicitao origine-se no host.
O nome da assinatura ser exibido quando a

assinatura for acionada. O nome aparece no log
de segurana. Use uma string descritiva de
modo que possa facilmente identificar a
assinatura acionada no log.
msg="MP3 GET in HTTP"

msg="MP3 GET in FTP"

regexpcontent="[Gg][Ee][Tt]
.*[Mm][Pp]3 .*"
Corresponde a esta string no trfego de HTTP

ou no trfego de FTP atividade nos pacotes de
TCP. Para reduzir falsos positivos, use este
argumento com cuidado.
A string corresponde ao texto ASCII do pacote

de TCP, que GET [.*].mp3[CR][LF] para a
regexpcontent="[Rr][Ee][Tt][Rr] assinatura de HTTP e RETR [. *] .mp3 [CR] [LF]
.*[Mm][Pp]3\x0d\x0a"
para a assinatura de FTP.
A string gravada de modo que o texto no
diferencie maisculas e minsculas.
ndice
Smbolos
802.1x
autenticao 1042
configurao da autenticao 1044
configurao do alternador 1032
pontos de acesso sem fio 995
suplicante 1162
A
Acesso remoto 927
acionadores
adaptador de rede 485
aplicativo 474
host 479
servio de rede 483
acionadores de aplicativos
regras de firewall 474
acionadores de host
aes
deteces da verificao 421
Active Directory
para importar 230
adaptadores. Consulte adaptadores de rede
adaptadores de rede
acionadores 485
adio lista padro 485
adio a uma regra 499
adio
um administrador 292
um grupo 224
administrao de
domnios 285
administrador
adio 292
alterao da senha 303
como configurar a autenticao 294
como renomear 292
sobre 289
tipos de 289
administrador do sistema
sobre 289
administrador limitado
configurao de direitos de acesso 293
sobre 289
adware 355
agendamento
backup automtico de bancos de dados 785
agendamentos
ajuste 852
alterao da senha
administrador 303
alternador de VLAN
appliance LAN Enforcer 1011
e LAN Enforcer 1000
ameaas
combinadas 355
ameaas combinadas 355
anel de trfego em token 459
antispyware. Consulte proteo contra spyware
antivrus. Consulte proteo antivrus
software 1160
Apache
log 824
aplicao de polticas 1163
aplicativo
para monitorar 584
para usar uma exceo para detectar 584
para usar uma exceo para permitir ou
bloquear 585
aplicativos 475
ver tambm aplicativos reconhecidos
definio 475
fazendo a correo para a Integridade do
host 896
monitoramento de aplicativos de rede 477
opes em requisitos da integridade do host 905
pesquisar 336, 475
aplicativos enganosos 356
1230
ndice
aplicativos reconhecidos 475

ver tambm aplicativos
ativao 335
lista 475
pesquisar 336
sobre 333
appliance de segurana virtual 705, 728729
arquivo de configuraes de instalao 731
desinstalar 742
instalar 727, 734
servio do cache de inteligncia
compartilhado 737
usar arquivo de script para instalar 734
Appliance Enforcer
exibio do status 927
fazer login 870
finalidade 858
gerao de imagens 878
polticas de integridade do host 850
soluo de problemas 1157
uso 858
verificao do status de comunicao 927
appliance Enforcer
comunicao com Symantec Endpoint Protection
Manager 851
conectores 867
configurao 871
controles 867
indicadores 867
painel frontal 867
painel traseiro 868
Appliance Gateway Enforcer
autenticao 852
como funciona 852
NIC 937
appliance ativo 938
appliance de backup 938
appliance em espera 938
appliance primrio 938
cliente que no seja Windows 935
endereo IP 933
failover 933, 938
instalao 866
outros protocolos 979
pacote de solicitaes ARP 979
pacote de solicitaes DHCP 979
pacote de solicitaes DNS 979
planejamento da instalao 929
ponto de acesso sem fio (WAP) 931

pontos de acesso sem fio (WAP) 934
proteo de servidores 934
servidor que no seja Windows 935
VPN 934
Appliance LAN Enforcer
modo transparente 1162
planejamento da instalao 985
802.1x 1042
alternao dinmica de VLAN 995
como funciona 853
configuraes 996
configuraes do alternador 1011
failover 989
instalao 866
modelo do alternador compatvel 1012
pontos de acesso sem fio de 802.1x 995
arquitetura de rede 89
arquivo de armazenamento de chave JKS 770
arquivo de comunicao
para substituir 760
arquivo index.ini 556
arquivos
compartilhamento 496
fazendo a correo para a Integridade do
host 896
logs do Enforcer 1060
opes em requisitos da integridade do host 905
arquivos de definies
configurao de aes para novas definies 395
Assinaturas IPS
personalizadas
como alterar a ordem 516
assinaturas IPS
biblioteca personalizada 513
excees para 508
personalizadas
atribuio de bibliotecas a um grupo 516
bibliotecas 516
copiar e colar 517
expresses regulares 1212
variveis 518
assinaturas IPS personalizadas
teste 519
ataques
bloqueio 461
atualizao
cliente 187
ndice
definies 592
atualizao automtica
cliente 186
auditoria
log 682
autenticao 857, 969
Appliance Gateway Enforcer 852
appliance Gateway Enforcer 952, 981
comandos 1161
como configurar para administradores 294
configuraes de intervalo 967
contas de administrador 298
e clientes no autenticados 960, 1103
e clientes que no sejam Windows 962, 1104
e hosts confiveis 1095
e Integrated Enforcer 1078
e nova autenticao 960
falha 959
Integrated Enforcer 10971098, 1100
Servers 1065
intervalo confivel 967
local 1095
nova autenticao 1045
poltica de switch 1036
ponto a ponto 465
processo 852
Gateway Enforcer 956
para o cliente 852
reautenticao 1028
tipos de 850
autenticao local 1095
autenticao ponto a ponto 465
Autenticao SecurID
configurar no servidor de gerenciamento 296
Auto-Protect
ativao ou desativao 246
Download Insight 246
para o sistema de arquivos
ativao 249
personalizao para clientes Windows 408
personalizao para computadores Mac 410
personalizao para verificaes de e-mail 411
Auto-Protect do sistema de arquivos. Consulte
Auto-Protect
B
definido 798
banco de dados
alterao de parmetros do tempo limite 837
backup 785, 807
erros 837
erros CGI 838
erros de processos concludos 838
manuteno 781
restaurao 816
banco de dados interno
configuraes da instalao 91
bancos de dados
disponibilidade 798
banner de logon
adio 106
blacklist
atualizar automaticamente 554, 558
atualizar para bloqueio do sistema 558
Bloodhound
modificao de configuraes 416
bloqueio
clientes dos grupos 234
computadores invasores 461
bloqueio de trfego
bloqueio do sistema 541
execuo no modo de teste 559
executar no modo blacklist 563
lista de nomes de aplicativos 553
para ativar o modo whitelist 562
para testar itens selecionados 564
sobre 521
verificar o status de atualizaes
automticas 558
bots 355
bots da Internet 355
C
Cache de inteligncia compartilhado
ativado para vShield 729
baseado na rede
contadores de desempenho 721
exibir eventos 719
interromper e iniciar o servio 719
log 719
nenhuma resposta de resultado 722
personalizar configuraes 715
1231
1232
ndice
requisitos do sistema 710

resultados do cache, problemas 722
cache de inteligncia compartilhado 705, 707
ativado para vShield 726
arquivo de configurao 739
ativar 737
baseado na rede 710
configurar clientes da rede 713
desinstalao 711
instalao 711
caixa de entrada do aplicativo de e-mail
excluso para 360
Cavalos de Troia 355, 477
Central de Segurana do Windows 425
central de segurana do Windows 417
certificado
arquivo de armazenamento de chave 771
arquivo de armazenamento de chave JKS 770
atualizao 773
gerar novo 815
cliente 210, 851
ver tambm replicao
atualizaes
ferramentas de distribuio de
terceiros 648
Intelligent Updater 647
autenticao 956, 1065, 1078, 1103
comandos 1199
conformidade 1065, 1078
em quarentena 852, 1065, 1078
implementao 142, 144, 147
interface do usurio
acesso 254
configurao 256, 259
mensagens em caso de bloqueio 1054
proteo por senha 262
regras 469
replicao de pacotes 210
sem fio 995
Symantec Network Access Control 1065
cliente do Symantec Enforcer 1048
cliente legado
conexo ao appliance Gateway Enforcer 980
conexo ao appliance LAN Enforcer 1039
cliente Mac
migraes suportadas 194
cliente On-Demand 860
autenticao 857
cliente que no seja Windows

appliance Gateway Enforcer 935
clientes
como desativar proteo em 245
para apagar em infraestruturas da rea de
trabalho virtual no persistentes 752
clientes do Symantec Endpoint Protection
propriedades do MSI 1180
recursos de MSI 1181
clientes legados 634
clientes no gerenciados
distribuio de atualizaes com ferramentas
de terceiros 651
clientes remotos
monitorao 282
coleta de informaes do usurio 261
comando configure
advanced local authentication 1161
spm 925
comando on-demand authentication 1147
disable 1151
enable 1150
comando on-demand authentication ad 1149
ad domain 1149
disable 1149
enable 1150
comando on-demand authentication local-db
add 1153
disable 1153
enable 1153
comando smc 1199
comando spm 925
comandos 1208
cliente 1199
execuo de logs 250
execuo em clientes atravs do console 250
comandos on-Demand authentication local-db 1152
como procurar aplicativos
requisitos personalizados 906
como retirar uma poltica 327
compartilhamento de impressoras 496
compartilhar arquivos e impressoras 496
componentes
produto 75
computador-cliente
Assistente de Implementao de cliente 140
Assistente de Migrao 199
atribuio de grupos 235
atualizaes da poltica 328
ndice
configuraes da instalao 152

desativado 663
fazer upgrade para uma nova verso 168
gerenciado 158
implementao 140
implementao remota 136
instalao personalizada 140
instalao remota por envio 140
migrao 190, 192, 199
modos 251
mover para agrupar 235
no gerenciado 158
no gerenciado no Mac 160
no gerenciado no Windows 159
no verificados 664
notificao de e-mail 140
off-line 663
online 663
para desinstalar no Mac 161
para desinstalar no Windows 160
preparao para a instalao 134
proteo de sistema 663
riscos 664
status 662
computadores
atualizao da proteo em 592
exibir 244
pesquisa por 244
computadores infectados 344
comunicao
problemas com o servidor e o console ou o banco
de dados 830
problemas entre o cliente e o servidor 821
comunicao cliente-servidor
para corrigir 760
comunicao e portas requeridas 137
condies do sistema operacional
requisitos da integridade do host 906
conectividade
comunicao entre o cliente e o servidor 821
uso de um navegador para testar 826
uso do ping para teste 826
verificao da comunicao com o banco de
dados 831
conectores
appliance Enforcer 867
conexo do cliente. Consulte estado de integridade
cone de status 240
configurao
appliance Gateway Enforcer no console 944
appliance LAN Enforcer no console do
appliance 994
clientes sob demanda 1139
conexo entre o appliance Enforcer e o Symantec
Endpoint Protection Manager 924
configuraes de autenticao do Integrated
Enforcer 1098
grupos do Enforcer 1093
Integrated Enforcer for Microsoft Access
Protection 1118
Access Protection 1126
Integrated Enforcer para servidores DHCP da
Microsoft 1092
lista de fornecedores confiveis 1086
pontos de acesso sem fio de 802.1x em um
proteo da mscara de sub-rede no Integrated
Enforcer for Microsoft DHCP Servers 1089
proteo da mscara de sub-rede no Integrated
Enforcer para servidores DHCP da
Microsoft 1090
quarentena automtica 1082
Servidor Radius em um appliance LAN
Enforcer 994
configuraes
firewall 454, 463
Proteo contra ameaas rede 460
configuraes de comunicao
cliente e servidor 833
configuraes de comunicao cliente-servidor
exportar 762
importar 764
configuraes de dissimulao 463
mascaramento de impresso digital de SO 463
novo sequenciamento de TCP 463
configuraes de verificao global 416
configuraes gerenciadas
configurao no cliente 255
conformidade
logs 682
relatrio 1057
console
exibio de informaes sobre o Enforcer 1052
sobre 110
1233
1234
ndice
tempo limite 110

console de gerenciamento. Consulte console
console do Enforcer
gerenciamento do Enforcer 1048
informaes sobre 1051
pgina Servidores 1048
consoles remotos
conceder o acesso 107
consultas do DNS
baseada no local 482
conta
para bloquear ou desbloquear 109
conta de administrador
para bloquear ou desbloquear 109
sobre 287
contagem de votos 707
contas de administrador
teste de autenticao 298
contedo
como os clientes recebem atualizaes 602
escolha aleatria 623
para gerenciar atualizaes 592
revises que no so a verso mais recente 621
sobre armazenamento de revises 611
controle de aplicativos
adio de regras 534
configurao 524
conjuntos de regras padro 526
criao de regras personalizadas 527
criao de um conjunto de regras
personalizadas 534
melhores prticas 529
regras para aplicativos especficos 536
regras personalizadas 538
regras tpicas 531
sobre 521
teste 539
controle de dispositivos
configurao 524, 570
lista de dispositivos de hardware 567
sobre 521
controle de dispositivos e aplicativos
logs 682
controle do cliente 257
controle do servidor 257
controle misto 258
configuraes da Proteo contra ameaas
rede 460
sobre 255
controles
correo
integridade do host 895
adiamento 898
aplicativos 896
arquivos 896
tempo de espera 898
correo de integridade do host
cancelar 898
credenciais
clientes On-Demand 857
para autenticao do LAN Enforcer 853
criptografia
senha 1026, 1078
Symantec Integrated NAP Enforcer 1121
D
dados de reputao 382
dados do cliente
pesquisa por 244
definies
atualizao 592
definies de vrus 882
atualizao 592
delta
sobre 187
dependncias dos recursos 383
depurao
comandos 1165
log 1165
desativar
Auto-Protect 246
Proteo proativa contra ameaas 246
desinstalao
do software-cliente com o GPO do Active
Directory 1196
desinstalar
remoo de software de segurana 154
deteces do incio antecipado do antimalware
deteces 400
direitos de acesso 289
discadores 356
disco do produto 878
disponibilidade
para bancos de dados e servidores de
gerenciamento 798
ndice
distribuio de contedo de terceiros

ativao com uma Poltica do LiveUpdate 650
como usar com clientes no gerenciados 651
para clientes gerenciados 650
Requisito de chave do registro do Windows para
no gerenciado 651
sobre 648
domnio
banner de logon 106
domnio atual 285
domnio Web confivel
criao de uma exceo para 586
domnios
adio 285
atual 285
como copiar clientes e polticas 284
desativao 284
para gerenciar 287
sobre 283
Download Insight
aes 420
dados de reputao 382
gerenciar deteces 377
interao com o Auto-Protect 246
notificaes 420
personalizao de configuraes 420
E
ELAM. Consulte incio antecipado do antimalware
desativar para melhorar o desempenho do
computador 371
endereo de sub-rede 871
Integrated Enforcer 1078
segurana 1065
endereo IP
confivel 968, 970
Gateway Enforcer 956
Endereo MAC
hosts confiveis 1095
Enforcer
configuraes 1048
console
gerenciamento 1048
edio da descrio 1052
edio do nome 1052
failover de LAN 1050
relatrio 1057
uso de grupos de Enforcers 1049
Enforcers
autenticao do cliente com o GUID 851
correo da Integridade do host 896
Gateway 944
envios 385, 387
bloqueio e desbloqueio das configuraes 320
itens em quarentena 394
erros CGI
banco de dados 838
erros de processos concludos
banco de dados 838
escolha aleatria
download de contedo 623625
Escopo do DHCP
criao de excees 1090
estado de integridade
exibio 240
estrutura do grupo
sobre 223
exceo de domnio Web confivel
excees 573
criao 576
dos eventos de log 590
excluso de um arquivo ou pasta 581
extenses de arquivos 584
mudana no DNS ou no arquivo do host 587
para gerenciar 574
proteo contra adulteraes 586
restries de clientes 588
riscos conhecidos 583
excluses
criado automaticamente 357
excluses automticas
de produtos Symantec 359
para servidor Microsoft Exchange 358
sobre 357
exportao
configuraes do grupo do Enforcer 1054
pacotes de instalao do cliente 149
polticas 324
argumentos de contedo 1223
argumentos de mensagem 1222
argumentos do protocolo ICMP 1218
argumentos do protocolo IP 1219
1235
1236
ndice
argumentos do protocolo TCP 1215

argumentos do protocolo UDP 1217
argumentos Streamdepth 1225
assinaturas IPS personalizadas 1214
exemplo de sintaxe da assinatura IPS 1226
F
fail-open
failover
appliance Gateway Enforcer 933, 938
definido 798
failover e balanceamento de carga
configurao 801
ferramenta de avaliao de segurana 356
ferramenta Exceo de imagem virtual 705, 747
executar 747
usar em uma imagem base 745
ferramentas para hacker 356
filtros
como salvar nos logs 683
firewall
ativao 458
configuraes de trfego 462463
desativao 458
desativao do firewall do Windows 464
inspeo com monitorao de estado 474
notificao 479
regras 490
sobre 451, 453454, 490
fornecedores confiveis 1086
funes
como aguardar 922
definio de um valor do registro do
Windows 918
definio do carimbo de hora 921
download de um arquivo 917
execuo de um programa 919
execuo de um script 920
exibio da caixa de dilogo de mensagens 916
G
Gateway Enforcer
e configurao do Symantec Endpoint Protection
Manager 944
locais de rede 931

vrias instalaes 974
gerao de imagens
Appliance Enforcer 878
Gerenciadores redundantes 1161
gerenciamento de verificaes proativas de ameaas
TruScan 441
gerenciamento do Enforcer
alterao do nome de grupo 1050
configuraes do cliente 1056
console 1051
criao de um grupo 1050
excluso de um Enforcer 1053
exibio das informaes 1052
exportao das configuraes do grupo 1054
failover 1049
failover de Gateway 1049
importao das configuraes do grupo 1054
nome de grupo 1049
restrio da interrupo do cliente 1056
grupo
atribuio do computador 235
bloqueio 234
como adicionar 224
servidor RADIUS 1003, 1027
grupo Minha empresa 221
grupo padro 221
grupo pai. Consulte herana
grupos
atribuio de uma lista de servidores de
gerenciamento 802
definio 223
herana 233
padro 223
para importar de um servidor de diretrio 227,
230
pesquisa por 244
grupos de host
criao 481
H
herana 273
ativao 233
ndice
hosts
excluso da preveno contra intruses 510
local e remoto 479
origem e destino 479
hosts confiveis
configurao 1095
hosts excludos 510
I
cone da rea de notificao
sobre 757
cone da bandeja do sistema 757
cone de escudo 757
cone de status. Consulte conexo do cliente
cones
escudo 757
ID do dispositivo
obteno 568
identificador global exclusivo (GUID) 852
autenticao do cliente 1100
autenticao do Enforcer para o cliente 851
imagem base
para configurar para infraestruturas da rea de
trabalho virtual 750
imagens do arquivo de base 747
imagens virtuais
excees 417
importao
configuraes do grupo do Enforcer 1054
polticas 324
requisitos da poltica de integridade do host
modelos e 891
unidades organizacionais 230
index.ini
atualizao automtica das whitelists e
blacklists 554
indicadores
informaes de usurio
coleta 261
incio antecipado do antimalware
ajustar opes 402
Insight 360, 382
modificao de configuraes 416
inspeo com monitorao de estado 474
instalao

banco de dados incorporado 91
cliente por meio do Active Directory 1189
configuraes do Microsoft SQL Server 93
exemplos da linha de comando MSI 1186
firewalls do cliente 137
internacionalizao 83
planejamento 71, 89
por meio do Objeto de poltica de grupo do Active
Directory 1189
portas de comunicao 137
propriedades da Central de Segurana do
Windows do MSI 1185
remota 882
software de terceiros 1176
Symantec Integrated NAP Enforcer 1107
uso de comandos msi 1179
instalao remota e porta TCP 139 137
instalar
clientes 142, 144, 147
instruo de condio IF 916
Instrues ELSE 915
instrues IF THEN 914
Integrated Enforcer for Microsoft DHCP Servers 860
Control 1065
componente necessrio 1069
planejamento 1070
Protection 860
componente necessrio 1111
requisitos do sistema operacional 1111
Integrated Enforcers 860, 1078
conexo ao servidor de gerenciamento 1094
configuraes de comunicao 1080
e comunicao do servidor de
gerenciamento 1080
e verificao do nmero de srie da poltica 1104
fornecedores confiveis 1086
Servers 855
Access Protection 857, 1066
quarentena 1082
integridade do host
mensagem 1160
perguntas frequentes 1160
1237
1238
ndice
servidor RADIUS 994

software suportado 1160
status 852
verificao 850
interface do usurio
configurao 256, 259
sobre 254
interoperabilidade
de recursos da poltica 383
IPv4 483
IPv6 483
L
leitor de tela
aplicativo bloqueado pela Proteo contra
adulteraes 580
licena
adicional 120
ativao 120
backup 127
compra 118
expirado 125
implementado 125
implementado excessivamente 125
Portal de licenciamento da Symantec 124
renovao 125
renovada 120
requisitos 85
sobre 116
trialware 120
verificao do status 125
linha de comando 1208
lista de dispositivos de hardware 567
lista de impresses digitais de arquivos
atualizar manualmente 552
exportar 552
importao ou mesclagem 550
lista de nomes de aplicativos 553
lista de servidores de gerenciamento 950
atribuio para grupo e local 802
lista Dispositivos de hardware
adio de um dispositivo 569
uso com o controle de dispositivos 570
listas de controle de acesso (ACLs, Access Control
Lists) 996
LiveUpdate
administrador do LiveUpdate 605
assinaturas e definies 597
ativao para clientes 616

atualizao de definies e contedo 597
atualizaes de contedo 592
atualizar whitelists e blacklists 558
como configurar o contedo de atualizao para
clientes 617
como configurar um servidor externo do
LiveUpdate 617, 628
configurao da frequncia de download do
servidor 613
configurao de um servidor interno do
LiveUpdate 629
configurao de um site para fazer o download
de atualizaes 609
configuraes de proxy do cliente para o servidor
interno do LiveUpdate 615
desativao para clientes 616
download para o servidor 614
Mac 602
polticas
configurao 617, 628629
Provedor de atualizaes de grupo 643
provedor de atualizaes de grupo 632
revises de contedo 611
sobre 602
tipos de atualizaes 597
uso de ferramentas de distribuio de terceiros
em vez de 648
verificao da atividade do servidor 614
viso geral 592
whitelists e blacklists para bloqueio do
sistema 554
locais
associada s consultas do DNS 482
local authentication
ativao no appliance Gateway Enforcer 981
ativao no appliance LAN Enforcer 1040
ativao no Integrated Enforcer 1097
comando 1161
log externo 789
log files
depurao 1165
logon
normal 870
superusurio 870
logs 681
acesso remoto 685
Apache 824
ndice
atualizao 680
auditoria 682
como excluir definies de configurao 684
como salvar as configuraes de filtro 683
conformidade 682
controle de dispositivos e aplicativos 682
envio do Enforcer para o Symantec Endpoint
Protection Manager 1058
erros no banco de dados 679
execuo de comandos de 250
exibio 679
exibio remota 685
exportao de dados 662
filtragem 683
filtragem de dados do log de trfego do
Enforcer 1061
filtro de ltimas 24 horas 684
limpeza do banco de dados 795
local de 1058
reduo do espao no banco de dados 769, 784
replicao 685
Risco 683
risco
excluir arquivos da Quarentena 395
servidor
configurao do tamanho 793
Sistema 683
SONAR 440
status do computador 682
tipos 681
verificao de logs de depurao no cliente 827
verificao dos logs da caixa de entrada 828
Verificaes proativas de ameaas TruScan 440
Verificar 683
logs de depurao. Consulte logs
logs de eventos 679
filtro de ltimas 24 horas 684
logs do Enforcer
configurao 1058
desativao 1059
envio ao console de gerenciamento 1060
filtragem do log de trfego 1061
reteno 1060
reteno de 1060
tamanho 1060
M
mquina virtual
ajuste de verificaes para 371
escolha aleatria de downloads simultneos de
contedo 623
mascaramento de impresso digital de SO 463
mensagem de no-conformidade 964
mensagens
Enforcer 1054
exibio 1056
modificao 1056
mensagens de e-mail
para regras de firewall 498
Microsoft Active Directory
configurao de modelos 1192
criao da imagem de instalao
administrativa 1190
instalao do software-cliente usando o objeto
de poltica de grupo 1189
Microsoft Network Access Protection 857
Microsoft Network Policy Server 857
Microsoft SMS
instalao de arquivos de definio de
pacote 1187
Microsoft SQL Server
configuraes do banco de dados 93
migrao. Consulte computador-cliente
cliente Mac 194
Symantec AntiVirus e Client Security 190
modelo do alternador 1012
modelos para verificaes agendadas 366, 369
modo blacklist
ativar para bloqueio do sistema 563
opo no bloqueio do sistema 547
modo de computador 251
modo de usurio 251
modo transparente 995
modo whitelist
bloqueio do sistema em execuo em 562
modos
computador-cliente 251
monitoramento de aplicativo de rede 477
MSI
Exemplos de linha de comando 1186
instalao usando parmetros de linha de
comando 1179
processamento de prioridade no setaid.ini 1179
recursos e propriedades 1178
1239
1240
ndice
MSP
quando usado para atualizar o
software-cliente 187
N
NetBIOS 459
Network Access Control Scanner
Servers 1065
NIC. Consulte placa de interface de rede
nveis de controle 256
nveis de controle do usurio 256
notificao
como salvar filtros 698
criao de filtros 698
excluso de filtros 698
exibio 697
padro 691
perodo do amortecedor 690
pr-configuradas 691
reconhecimento 697
sobre 690
tipos 690
notificaes
clientes remotos 280
criao 699
eventos de vrus e spyware nos
computadores-cliente 396
licenciamento 695
parceiro 695
sobre 689
upgrades de outra verso 700
verificaes da integridade do host 894
nova autenticao 1045
novo sequenciamento de TCP 463
nmero de srie. Consulte nmero de srie da poltica
nmero de srie da poltica
exibio no cliente 331
O
opes da proteo antivrus
opes de aguardar
correo de integridade do host 898
opes de registro do Windows
pacotes de desafio 956, 1100

especificao 957
especificao da frequncia de 958, 1102
especificao do nmero mximo 1101
pacotes de instalao do cliente
adicionar atualizaes 164
coleta de informaes do usurio 261
configurao 153
exportao 149
sobre 162
pacotes de solicitaes
ARP 979
DHCP 979
DNS 979
para bloquear
conta de administrador 109
para converter um cliente no gerenciado em um
cliente gerenciado 759
para desbloquear
conta de administrador 109
para evitar uma reinicializao 250
para implementar
clientes 142, 144, 147
para importar
grupos 230
parmetros do tempo limite
banco de dados 837
console 110
Pesquisa do DNS 459
Pesquisa do Insight
pesquisa por
grupos, usurios e computadores 244
placa de interface de rede
Appliance Gateway Enforcer 937
planejamento
Servers 1070
planejamento da instalao
Appliance LAN Enforcer 985
poltica
atribuio a um grupo 321
bloqueios de usurio 320
compartilhado 316
Controle de dispositivos e aplicativos 313
criao 317
edio 317
ndice
Excees 313
exportar compartilhada
pgina Polticas 324
Firewall 313
herana 233
importao 324
LiveUpdate 313, 616
no compartilhada 316
Preveno contra intruses 313
proteo contra vrus e spyware 313
retirada 327
sobre 313
teste 322
Poltica de proteo contra vrus e spyware
verificaes agendadas 366
poltica de proteo contra vrus e spyware
poltica de segurana
API de aplicao universal 1163
atualizaes de nmero de srie 1104
autoaplicao 1163
Cisco NAC 1163
conformidade 1065, 1078
LAN 1163
no Symantec 1163
poltica de switch 1025
condies e aes 1034
polticas
atualizao de clientes remotos 279280
Polticas de controle de dispositivos e aplicativos 51
estrutura 523
Polticas de firewall
sobre 454
Polticas de integridade do host
requisitos
sequenciamento 891
polticas de Integridade do host
requisitos personalizados
download de um arquivo 917
polticas de integridade do host 882
autoimposio 847
correo da Integridade do host 896
Configuraes do Enforcer 896
correo da integridade do host
adiamento 898
criao 887
compartilhado 888
definio de um valor do registro do

Windows 918
nvel de grupo 1160
nvel global 1160
requisitos
aprovao mesmo quando a condio no
for cumprida 893
ativao e desativao 890
definio 885
excluso 890
exemplo 848
modelos 891
tipos 888
caixa de mensagens 916
condies da proteo antivrus 903
condies da proteo contra spyware 903
condies do firewall 904
condies do sistema operacional 906
definio do carimbo de hora 921
execuo de um programa 919
execuo de um script 920
gravao 912
opo aguardar 922
opes de registro 907
opes do arquivo 905
sobre 902
restaurao da Integridade do host 895, 898
sobre 887
teste 883
pontos de acesso sem fio (WAP)
porta de escuta
LAN Enforcer 1000
Portal de licenciamento da Symantec. Consulte
licena
portas
requisitos de comunicao 137
requisitos de instalao 137
preveno contra intruso na rede
sobre 504
preveno contra intruso no navegador
sobre 504
preveno contra intruses 501
assinaturas 505
ativao ou desativao na poltica de preveno
contra intruses 507
bloquear e desbloquear configuraes 320
1241
1242
ndice
bloqueio de um computador invasor 461

como funciona 504
desativar em computadores especificados 510
notificaes 511
para gerenciar assinaturas personalizadas 512
teste de assinaturas personalizadas 519
problemas com a licena
notificaes de 691
problemas conhecidos 1165
produto
componentes 75
Produtos Symantec
excluses automticas 359
programas de acesso remoto 356
programas de brincadeiras 356
programas de controle para pais 356
proteo
atualizao 592
Proteo contra adulteraes
desativao 247
alterao de configuraes 450
sobre 449
configurao para controle misto 460
criao de notificaes 511
logs 683
proteo contra spyware
opes 903
proteo contra vrus e spyware 882
impedir ataques 340
proteo de download
proteo de endpoints
monitorao 662, 664
status 663664
proteo de servidores
proteo do navegador da Internet 417
proteo por senha
cliente 262
parmetros 1205
sobre 51
protocolos
adio 483
protocolos sem fio 995, 1029
Provedor de atualizaes de grupo
pesquisar 647
nico 643
vrias 643
provedor de atualizaes de grupo
clientes legados 634
controle de downloads do contedo 643
gerenciar 632
lista explcita 634, 643
tipos 634
nico 634
vrias 634, 641
proxy
comunicao externa do cliente 389
conexo do Symantec Endpoint Protection
Manager com o Symantec LiveUpdate 615
envios do cliente 389
excees necessrias ao usar a autenticao 380
pulsao
entre Symantec Endpoint Protection Manager
e Enforcer 851
Q
Quarentena
opes de limpeza 393
pasta local 393
quarentena
e Integrated Enforcer 1078, 1082, 1100
excluir arquivos 395
gerenciar 391
Servers 1065
quarentena automtica
configurao 1082
R
preparar para 805
reinstalao do servidor 814
sobre o processo 813
rede confivel 1065, 1078
redirecionamento
de solicitaes HTTP 966
ndice
regras de controle de aplicativos

acionadores de adaptador de rede 485
acionadores de servio de rede 483
adaptadores de rede
adio 485, 499
adio
utilizao de regras em branco 487
agendamentos
adio 500
aplicativos 474
adio 475
cliente 469
como colar 490
como copiar 490
como herdar 471472
como permitir trfego para a sub-rede local 494
configurao 486
exportao 489
grupos de host
adio 493
criao 481
hosts 479
importao 489
mensagens de e-mail 498
ordem de processamento
alterao 473
sobre 470
servios de rede
adio 483, 495
servidor 469
sobre 467, 469
regras do controle de aplicativos
como copiar entre polticas 535
regras em branco 487
regras integradas 459
reinicializao
comando 250
para evitar 250
relatrio
carimbos de hora 835
Computadores infectados e vulnerveis 664
Computadores no verificados 664
conformidade 1057
Enforcer 1057
favorito 662
idioma 835
logs 681
Novos riscos detectados na rede 664

Principais alvos atacados 666
Principais Enforcers geradores de erros 1057
principais notificaes de trfego 666
Principais ocorrncias de ataques, por
origem 666
risco abrangente 664
Sistema 1057
SSL 835
Status dirio 662
Status do site 1057
status semanal 662
Symantec AntiVirus legado 835
relatrios
como excluir definies de configurao 674
como imprimir 678
como salvar 678
como salvar definies de configurao 674
tipos 670
viso geral 670
relatrios agendados
criao 676
modificao 676
relatrios rpidos
criao 673
replicao
adicionar parceiro de replicao 211
agendamento sob demanda 208
definido 203
frequncia 209
pacote do cliente 210
viso geral 201
requisitos do sistema
cache de inteligncia compartilhado baseado na
rede 710
Servers 1068
comentrios 915
condies 902
cpia de instrues 915
excluso de instrues 916
funes 909
gravao 912
Instruo ELSE 915
instruo ELSE 911
instruo RETURN 911
instrues IF, THEN, ENDIF 911
1243
1244
ndice
palavra-chave NOT 912

palavras-chave AND e OR 912
sobre 902
resposta ativa
configurao 461
risco
logs 683
excluir arquivos da Quarentena 395
riscos
correo 342
riscos segurana
deteces de 364
rootkits 355
S
segredo compartilhado 1008
edio 1026
senha 882
arquivo de armazenamento de chave .jks 771
criptografia 1026
padro 871
proteo
cliente 1056
Enforcers 1056
redefinir 304
substituio 871
service pack 882
servios
adio 483
servios de rede
acionadores 483
adio lista padro 483
servidor
conexo com 757
configurao 101
desinstalao 102
gerenciamento 775
logs 793
pulsao 328
regras 469
servidor de e-mail
link para o servidor de gerenciamento 696
servidor de gerenciamento 851, 1065, 1078. Consulte
legado 1078
para desinstalar 102
servidor DHCP
como servidor de quarentena 1100
e clientes no autenticados 1103
Servers 1065
servidor do Active Directory
conectar a 228
importao das informaes de usurio 225
servidor Microsoft Exchange
excluses automticas 358
servidor que no seja Windows
Servidor RADIUS 1162
servidor RADIUS
e LAN Enforcer 1003
nome amigvel 1006
poltica de integridade do host 994
segredo compartilhado 1008
Servidor RSA
configurao da autenticao SecurID 296
uso com o Symantec Endpoint Protection
Manager 297
Servidor Web Apache
interrupo e inicializao 825
servidores
servidor de diretrio 228
servidores de diretrio
conectar a 228
servidores de diretrio LDAP
conectar a 228
servidores de diretrios LDAP
importao de unidades organizacionais 230
servidores de gerenciamento
sites 203
setaid.ini
configurao 1179
processamento de prioridade com recursos e
propriedades msi 1179
Sistema
logs 683
Sistema operacional Linux 878
sites
definido 203
viso geral 201
sobre
unidades organizacionais 227
software de backup 882
ndice
software de terceiros
instalao de software-cliente 1176
software-cliente instalado
exibir 244
solicitao de cache 707
controle de conta de usurio no Vista e
GPO 1191
ferramenta de suporte 819
problemas do cliente 823
solucionar problemas
rede 722
SONAR
ajuste de configuraes 438
falsos positivos 436
monitorao de eventos de verificao 440
para a introduo de cdigo 430, 577
para gerenciar 431
sobre 429
sobre deteces 430
spyware 356
status
clientes e computadores 242
status do cliente
exibio 242
status do computador
exibio 242
logs 682
superusurio
logon 870
Sylink.xml
converso de um cliente em um cliente
gerenciado 1195
sylink.xml
para converter um cliente no gerenciado em
um cliente gerenciado 759
Symantec AntiVirus
migrao 190
Symantec Client Security
migrao 190
sobre 43
comando configure SPM 925
comunicao com o Enforcer 851, 1161
e Gateway Enforcer 950

endereo IP confivel 974
Servers 1065
Symantec Integrated NAC Enforcer
configurao no console do NAP Enforcer 1118
Symantec Integrated NAP Enforcer
conexo ao servidor de gerenciamento 1119
instalao 1107
nome de grupo 1122
protocolo de comunicao HTTP 1123
protocolo HTTP 1121
protocolo HTTPS 1121
remoo da lista de servidores de
gerenciamento 1121
senha criptografada 1121
configurao e teste 883
implementaes 863
Symantec Security Response 344
envios 387
T
tamanho do log
Enforcer 1060
tecnologia de auxlio
criao de excees para 580
tela de logon
tempo limite 110
testar conta
autenticar administradores 298
trackware 356
trfego
configuraes 462463
trfego da sub-rede local 494
trfego DHCP 459
trfego DNS 459
trfego WINS 459
trialware
licena 85, 125
U
unidades organizacionais
importao 225, 230
sobre 227
1245
1246
ndice
usurios
pesquisa por 244
V
variveis em assinaturas 518
verificao definida pelo administrador
personalizao 412
verificao do nmero de srie da poltica 1104
e Gateway Enforcer 963
verificaes 416, 441. Consulte TruScan
adiadas 424
configuraes variadas 417
eventos de log de riscos 417
execuo sob demanda 370
interrompidas 424
opes de andamento da verificao 424
para gerenciar 346
pausadas 424
personalizao de definies pelo
administrador 412
sobre 349
verificaes agendadas
adio a uma poltica 366, 369
Clientes Mac 369
sobre salvar como modelo 366, 369
vrias 367
verificaes perdidas 367
verificaes ativas
quando executar 349
verificaes completas
quando executar 349
verificaes da integridade do host
alterao de poltica 892
como forar aprovao 893
configuraes 892
detalhes do registro em log 894
notificaes 894
verificaes definidas pelo administrador 406407
ver tambm verificaes agendadas
ver tambm verificaes sob demanda
em computadores Mac 407
em computadores Windows 406
Verificaes proativas contra ameaas TruScan
comparado ao SONAR 430
verificaes proativas de ameaas. Consulte
Verificaes proativas de ameaas TruScan
verificaes sob demanda

execuo 370
Verificar
logs 683
virtualizao 705, 707
appliance de segurana virtual 728729
cache de inteligncia compartilhado ativado para
vShield 737
rede 713
como escolher verificaes aleatoriamente 415
ferramenta Exceo de imagem virtual 745, 747
para ajustar verificaes para 371
suportados 87
vrus 355
deteces de 364
viso geral
replicao 203
sites 203
sites e replicao 201
VLAN
pontos de acesso sem fio 995
VPN
conexo do cliente On-Demand ao Enforcer 1165
W
whitelist
atualizar automaticamente 554, 558
atualizar para bloqueio do sistema 558
Windows 8
deteces no 366
notificaes 399
notificaes pop-up 400
Windows Installer
comandos 1179
criao de um script de inicializao 1193
parmetros 1183
recursos e propriedades 1178
worms 355

Installation and Administration Guide SEP12.1.2

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Installation and Administration Guide SEP12.1.2

Hochgeladen von

Copyright:

Verfügbare Formate

Guia de Instalao e

Guia de Instalao e Administrao do Symantec

regulamentaes sucessoras. Qualquer uso, modificao, verso de reproduo, apresentao,

Vrias opes de suporte que lhe proporcionam flexibilidade para selecionar

Garantia de upgrade que fornece upgrades de software

Suporte global adquirido em um horrio comercial regional ou 24 horas por

Ofertas de servios Premium que incluem Servios de gerenciamento de conta

Para obter mais informaes sobre as ofertas de suporte da Symantec, acesse

Contato com o suporte tcnico

Nvel de verso do produto

Memria disponvel, espao em disco e informaes do NIC

Verso e nvel de patch

Roteador, gateway e informaes do endereo IP

Mensagens de erro e arquivos de log

Solues de problemas executadas antes de entrar em contato com a

Mudanas de configurao recentes do software e mudanas da rede

Perguntas a respeito do licenciamento ou da serializao do produto

Atualizaes de registro do produto, como alteraes de endereo ou de nome

Informaes gerais sobre o produto (recursos, disponibilidade de idiomas,

Informaes mais recentes sobre atualizaes e upgrades do produto

Informaes sobre a garantia de upgrade e os contratos de suporte

Informaes sobre os programas de compra da Symantec

Recomendaes sobre as opes de suporte tcnico da Symantec

Perguntas no tcnicas do pr-vendas

Problemas relacionados aos CD-ROMs, DVDs ou manuais

Recursos do contrato de suporte

Europa, Oriente Mdio e frica

America do Norte e Amrica Latina

Suporte tcnico ................................................................................................... 4

Introduo ao Symantec Endpoint Protection .............. 43

Instalao do Symantec Endpoint

Para planejar a instalao ................................................. 71

Instalao do Symantec Endpoint Protection

Para instalar o Symantec Endpoint Protection Manager ...................... 99

Para gerenciar licenas do produto ............................... 115

Para instalar o cliente do Symantec Endpoint

Para fazer o upgrade do Symantec Endpoint

Para interromper e iniciar o servio do servidor de

Para migrar para o Symantec Endpoint

Para gerenciar sites e replicao ................................... 201

Como especificar que dados replicar .............................................. 210

Para gerenciar o Symantec Endpoint Protection no

Para gerenciar grupos, clientes e

Para gerenciar grupos de

Para impedir que computadores-cliente sejam adicionados a

Para gerenciar clientes ..................................................... 237

Para gerenciar clientes remotos ..................................... 265

Sobre as melhores prticas para configuraes de poltica do

Para gerenciar domnios .................................................. 283

Para gerenciar contas de administrador e

Para gerenciar a proteo e personalizar

Para usar polticas para gerenciar a segurana .......... 309

Para gerenciar a proteo contra vrus e

Para verificar a ao de verificao e para verificar novamente

Configurao de como a quarentena controla a nova verificao

Para personalizar verificaes ........................................ 405

Como o Symantec Endpoint Protection interage com a Central de

Para gerenciar o SONAR .................................................. 429

Para gerenciar a Proteo contra adulteraes .......... 449

Para gerenciar a proteo de firewall ........................... 451

Sobre regras herdadas de firewall ............................................

Para gerenciar a preveno contra intruses .............. 501

Para gerenciar o controle de dispositivos e

Para testar itens selecionados antes de adicion-los ou remov-los