Guia de Implementação do Symantec Network Access Control Enforcer

Transcrição

1 Guia de Implementação do Symantec Network Access Control Enforcer

2 Guia de Implementação do Symantec Network Access Control Enforcer O software descrito neste livro é fornecido sob um contrato de licença e deve ser usado somente de acordo com os termos desse contrato. Versão da documentação Aviso legal Copyright 2008 Symantec Corporation. Todos os direitos reservados. Symantec, o logotipo da Symantec, LiveUpdate, Sygate, Symantec AntiVirus, TruScan, Bloodhound, Confidence Online, Digital Immune System e Norton são marcas comerciais ou marcas registradas da Symantec Corporation ou de suas afiliadas nos EUA e em outros países. Outros nomes podem ser marcas comerciais de seus respectivos proprietários. Este produto da Symantec pode conter software de terceiros para o qual são necessárias atribuições fornecidas pela Symantec a esses terceiros ("Programas de terceiros"). Alguns dos Programas de terceiros estão disponíveis sob licenças de software de código aberto ou livre. O contrato de licença que acompanha o software não altera nenhum direito ou obrigação que você possa ter sob essas licenças de software de código aberto ou livre. Consulte o Apêndice Aviso legal sobre terceiros para esta documentação ou o arquivo Leia-me TPIP que acompanha este produto da Symantec para obter mais informações sobre os Programas de terceiros. O produto descrito neste documento é distribuído sob licenças que restringem o uso, a cópia, a distribuição e a descompilação/engenharia reversa. Não está permitida de forma alguma a reprodução de qualquer seção deste documento sem a autorização prévia escrita da Symantec Corporation e dos concessores de licenças, se houver algum. A DOCUMENTAÇÃO É FORNECIDA "NO ESTADO EM QUE SE ENCONTRA" E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM PROPÓSITO EM PARTICULAR OU SEM VIOLAÇÃO, SÃO ISENTAS, EXCETO SE AS ISENÇÕES DE RESPONSABILIDADE FOREM CONSIDERADAS INVÁLIDAS JURIDICAMENTE. A SYMANTEC CORPORATION SE ISENTA DE RESPONSABILIDADE POR DANOS INCIDENTAIS OU CONSEQÜENTES RELATIVOS AO FORNECIMENTO, EXECUÇÃO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES DESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÃO SEM PRÉVIO AVISO. O Software licenciado e a documentação são considerados software comercial para computadores, conforme definido na FAR e sujeito a direitos restritos, conforme definido no artigo da FAR "Software comercial para computadores - Direitos restritos" e DFARS , "Direitos em Software comercial para computadores ou documentação de software comercial para computadores", conforme aplicável, e todas regulamentações sucessoras. Qualquer uso, modificação, reprodução, apresentação, exibição ou divulgação do Software licenciado e da documentação pelo governo dos EUA deve ser feita exclusivamente de acordo com os termos deste Contrato.

3 Symantec Corporation Stevens Creek Blvd. Cupertino, CA

4 Suporte técnico O suporte técnico da Symantec mantém centros de suporte globais. A função principal do Suporte técnico é responder a consultas específicas sobre recursos e funcionalidades do produto. A equipe de Suporte técnico cria também conteúdo para a Base de conhecimento on-line. A equipe de Suporte técnico trabalha em colaboração com as outras áreas funcionais dentro da Symantec para responder as suas perguntas de maneira oportuna. Por exemplo, a equipe de Suporte técnico trabalha com o Product Engineering e o Symantec Security Response para fornecer serviços de alerta e atualizações das definições de vírus. As ofertas de manutenção da Symantec incluem o seguinte: Uma variedade de opções de suporte que oferecem flexibilidade para selecionar a quantidade adequada de serviço para empresas de qualquer porte Suporte telefônico e com base na Web que fornece resposta rápida e informações atualizadas por minuto Garantia de upgrade que fornece proteção automática de upgrade de software Suporte global disponível às 24 horas do dia, 7 dias da semana Recursos avançados, incluindo Account Management Services (Serviços de gerenciamento de conta) Para obter informações sobre os programas de manutenção da Symantec, consulte nosso site no seguinte URL: Como contatar o Suporte técnico Os clientes com um contrato de manutenção atual podem acessar as informações do Suporte técnico no seguinte URL: Antes de contatar o Suporte técnico, certifique-se de satisfazer os requisitos do sistema relacionados na documentação do produto. Além disso, é necessário estar no computador em que o problema ocorreu, caso seja necessário replicar o problema. Quando contatar o Suporte técnico, tenha as seguintes informações disponíveis: Nível de versão do produto Informações de hardware Memória disponível, espaço em disco e informações do NIC Sistema operacional

5 Versão e nível de patch Topologia da rede Informações do roteador, gateway e do endereço IP Descrição do problema: Mensagens de erro e arquivos de log Soluções executadas antes de contatar a Symantec Mudanças de configuração do software e mudanças da rede recentes Licenciamento e registro Atendimento ao cliente Se seus produtos Symantec exigem registro ou um código de licença, acesse a página da Web do Suporte técnico no seguinte URL: As informações de atendimento ao cliente estão disponíveis no seguinte URL: O Atendimento ao cliente está disponível para ajudá-lo com os seguintes tipos de problemas: Perguntas referentes ao licenciamento ou à serialização do produto Atualizações do registro do produto, tais como alterações de endereço ou de nome Informações gerais sobre o produto (recursos, disponibilidade de idioma, revendedores locais) Informações mais recentes sobre atualizações do produto e upgrades Informações sobre contratos de garantia de upgrade e de manutenção Informação sobre o Symantec Buying Programs (Programas de compra da Symantec) Conselhos sobre as opções de suporte técnico da Symantec Perguntas não técnicas de pré-venda Problemas relacionados aos CD-ROMs ou manuais

6 Recursos do contrato de manutenção Se deseja contatar a Symantec a respeito de um contrato de manutenção existente, contate a equipe de administração do contrato de manutenção para sua região da seguinte forma: Pacífico-Asiático e Japão Europa, Oriente Médio e África America do Norte e América Latina [email protected] [email protected] [email protected] Serviços corporativos adicionais Symantec Early Warning Solutions (Soluções de alertas preventivos da Symantec) Managed Security Services (Serviços de segurança gerenciados) A Symantec oferece um conjunto abrangente de serviços que permitem maximizar seu investimento nos produtos Symantec e desenvolver seus conhecimentos, perícia e introspecção global, o que permite que você gerencie riscos comerciais de forma proativa. Os serviços corporativos disponíveis incluem: Essas soluções fornecem alertas preventivos de ataques pela Internet, análise de ameaça detalhada e medidas defensivas para impedir ataques antes que ocorram. Esses serviços removem a carga de gerenciar e monitorar dispositivos e eventos de segurança, garantindo resposta rápida a ameaças reais. Consulting Services (Serviços de consultoria) Educational Services (Serviços educacionais) Os Symantec Consulting Services (Serviços de consultoria da Symantec) fornecem a perícia técnica no local da Symantec e de seus parceiros confiáveis. Os Symantec Consulting Services (Serviços de consultoria da Symantec) oferecem uma variedade de opções prontas e personalizáveis que incluem recursos de avaliação, design, implementação, monitoramento e de gerenciamento. Cada um desses recursos está concentrado em estabelecer e manter a integridade e disponibilidade de seus recursos de TI. Os Educational Services (Serviços educacionais) fornecem uma variedade completa de treinamento técnico, instrução de segurança, certificação de segurança e de programas de comunicação para conscientização. Para acessar mais informações sobre os Serviços corporativos, consulte nosso site no seguinte URL: Selecione seu país ou idioma do índice do site.

7 Sumário Suporte técnico... 4 Seção 1 Instalação e configuração dos appliances do Symantec Network Access Control Enforcer Capítulo 1 Apresentação do appliance Enforcer Sobre os appliances Symantec Enforcer Público-alvo Tipos de aplicações O que pode ser feito com os appliances Symantec Network Access Control Enforcer Sobre as políticas de integridade do host e o appliance Enforcer Comunicação entre um appliance Enforcer e um Symantec Endpoint Protection Manager Comunicação entre o appliance Enforcer e os clientes Como funciona o appliance Gateway Enforcer Como funciona o appliance DHCP Enforcer Como funciona o appliance LAN Enforcer Como funciona a configuração básica do LAN Enforcer Como funciona o modo transparente do LAN Enforcer Sobre a autenticação 802.1x Suporte para soluções de aplicação de terceiros Onde obter mais informações sobre os appliances Symantec Enforcer Capítulo 2 Planejamento para a instalação do appliance Enforcer Planejamento da instalação para appliances Enforcer Planejamento da instalação para um appliance Gateway Enforcer Onde colocar o appliance Gateway Enforcer... 45

8 8 Sumário Diretrizes para endereços IP em um appliance Gateway Enforcer Sobre dois appliances Gateway Enforcer em série Proteção do acesso à VPN através de um appliance Gateway Enforcer Proteção de pontos de acesso sem fio através de um appliance Gateway Enforcer Proteção dos servidores através de um appliance Gateway Enforcer Proteção de servidores e de clientes que não sejam Windows através de um appliance Gateway Enforcer Requisitos para a permissão de clientes que não sejam Windows sem autenticação Planejamento de failover para appliances Gateway Enforcer Como o failover funciona com os appliances Gateway Enforcer na rede Onde colocar um ou mais appliances Gateway Enforcer para failover em uma rede com uma ou mais VLANs Configuração de appliances do Gateway Enforcer para failover Planejamento da instalação para um appliance DHCP Enforcer Onde colocar os appliances DHCP Enforcer em uma rede Endereços IP do appliance DHCP Enforcer Proteção de clientes que não sejam Windows com aplicação de DHCP Sobre o servidor DHCP Planejamento de failover para appliances DHCP Enforcer Como o failover funciona com os appliances DHCP Enforcer na rede Onde colocar appliances DHCP Enforcer para failover em uma rede com somente uma ou com várias VLANs Configuração de appliances DHCP Enforcer para failover Planejamento da instalação para um appliance LAN Enforcer Onde colocar appliances LAN Enforcer Planejamento de failover para appliances LAN Enforcer Onde colocar os appliances LAN Enforcer para failover em uma rede... 66

9 Sumário 9 Capítulo 3 Capítulo 4 Capítulo 5 Upgrade e migração de imagens do appliance Enforcer Sobre upgrade e migração de imagens do appliance Enforcer para a versão Como determinar a versão atual de uma imagem do appliance Enforcer Como fazer upgrade da imagem do appliance Enforcer de 11.0 ou para Migração da imagem do appliance Enforcer de 5.1.x para Geração de imagens do appliance Enforcer Instalação do appliance Enforcer pela primeira vez Antes da instalação do appliance Enforcer Sobre a instalação do appliance Gateway Enforcer Sobre a instalação do appliance DHCP Enforcer Sobre a instalação do appliance LAN Enforcer Sobre os indicadores e os controles do appliance Enforcer Configurações da NIC dos appliances Gateway Enforcer ou DHCP Enforcer Instalação de um appliance Enforcer Sobre a trava do appliance Enforcer Execução de tarefas básicas no console de um appliance Enforcer Sobre a execução de tarefas básicas no console de um appliance Enforcer Logon em um appliance Enforcer Configuração de uma conexão entre um appliance Enforcer e um Symantec Endpoint Protection Manager Verificação do status de comunicação de um appliance Enforcer no console do Enforcer Acesso remoto a um appliance Enforcer Relatórios e registros de depuração do Enforcer... 92

10 10 Sumário Capítulo 6 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Sobre a configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Alteração das definições de configuração do appliance Gateway Enforcer em um servidor de gerenciamento Uso das configurações gerais Adição ou edição da descrição de um grupo do appliance Gateway Enforcer Adição ou edição da descrição de um appliance Gateway Enforcer Adição ou edição do endereço IP ou nome do host de um appliance Gateway Enforcer Estabelecimento da comunicação entre o appliance Gateway Enforcer e o Symantec Endpoint Protection Manager através de uma lista do servidor de gerenciamento Uso das definições de autenticação Sobre o uso das configurações de autenticação Sobre as sessões de autenticação em um Gateway Enforcer appliance Sobre a autenticação do cliente em um Gateway Enforcer appliance Especificação do número máximo de pacotes de desafio durante uma sessão de autenticação Especificação da freqüência de envio dos pacotes de desafio aos clientes Especificação do período de tempo durante o qual um cliente é bloqueado depois de a autenticação falhar Especificação do período de tempo durante o qual um cliente tem permissão para reter sua conexão de rede sem nova autenticação Permissão para todos os clientes com registros contínuos de clientes não autenticados Permissão para que clientes que não sejam Windows se conectem à rede sem autenticação Como fazer com que o appliance Gateway Enforcer verifique o número de série da política em um cliente Envio de uma mensagem de não-conformidade de um appliance Gateway Enforcer a um cliente Redirecionamento de solicitações HTTP para uma página da Web

11 Sumário 11 Configurações de intervalo de autenticação Intervalos de IP do cliente comparados a endereços IP externos e confiáveis Quando usar os intervalos de IP de cliente Sobre os endereços IP confiáveis Adição de intervalos de endereço IP do cliente à lista de endereços que necessitam de autenticação Edição de intervalos de endereço IP de cliente na lista de endereços que necessitam de autenticação Remoção de intervalos de endereço IP do cliente da lista de endereços que necessitam de autenticação Adição de um endereço IP interno e confiável para clientes em um servidor de gerenciamento Especificação de endereços IP externos e confiáveis Edição de endereço IP interno e confiável ou endereço IP interno e confiável Remoção de um endereço IP interno e confiável ou um endereço IP externo e confiável Ordem de verificação do intervalo de IP Uso das configurações avançadas do appliance Gateway Enforcer Especificação dos tipos de pacote e protocolos Permissão para um cliente legado se conectar à rede com um appliance Gateway Enforcer Ativação da autenticação local em um appliance Gateway Enforcer Capítulo 7 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Sobre a configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Alteração das configurações do appliance DHCP Enforcer em um servidor de gerenciamento Uso das configurações gerais Adição ou edição do nome de um grupo do Enforcer com um DHCP Enforcer Adição ou edição da descrição de um grupo do Enforcer com um DHCP Enforcer Adição ou edição do endereço IP ou nome de host de um DHCP Enforcer Adição ou edição da descrição de um DHCP Enforcer

12 12 Sumário Conexão do DHCP Enforcer a um Symantec Endpoint Protection Manager Uso das definições de autenticação Sobre o uso das configurações de autenticação Sobre as sessões de autenticação Especificação do número máximo de pacotes de desafio durante uma sessão de autenticação Especificação da freqüência de envio dos pacotes de desafio aos clientes Permissão para todos os clientes com registros contínuos de clientes não autenticados Permissão para que clientes que não sejam Windows se conectem à rede sem autenticação Como fazer com que o DHCP Enforcer verifique o número de série da política em um cliente Envio de uma mensagem de não conformidade do appliance DHCP Enforcer para um cliente Uso de configurações de servidores DHCP Sobre o uso de configurações de servidores DHCP Combinação de servidores DHCP normal e em quarentena no computador Ativação de servidores DHCP normais e em quarentena separados Adição de um servidor DHCP normal Adição de um servidor DHCP em quarentena Uso das configurações avançadas do appliance DHCP Enforcer Configuração de uma quarentena automática para um cliente cuja autenticação falha Especificação do período de espera de um appliance DHCP Enforcer antes de conceder o acesso do cliente à rede Ativação de servidores, clientes e dispositivos para que se conectem à rede como hosts confiáveis sem autenticação Como impedir o spoofing de DNS Permissão para um cliente legado conectar-se à rede com um appliance DHCP Enforcer Ativação da autenticação local no appliance DHCP Enforcer

13 Sumário 13 Capítulo 8 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Sobre a configuração do Symantec LAN Enforcer no console do appliance Symantec Endpoint Protection Manager Sobre a configuração de servidores RADIUS em um appliance LAN Enforcer Sobre a configuração de pontos de acesso sem fio 802.1x em um appliance LAN Enforcer Alteração das configurações do LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações gerais Adição ou edição do nome de um grupo do appliance LAN Enforcer com um LAN Enforcer Especificação de uma porta de escuta usada para a comunicação entre um alternador de VLAN e um LAN Enforcer Adição ou edição da descrição de um grupo do Enforcer com um LAN Enforcer Adição ou edição do endereço IP ou nome do host de um LAN Enforcer Adição ou edição da descrição de um LAN Enforcer Conexão do LAN Enforcer a um Symantec Endpoint Protection Manager Uso das configurações de grupo do servidor RADIUS Adição de um nome do grupo de servidor RADIUS e de um servidor RADIUS Edição do nome de um grupo de servidor RADIUS Edição do nome amigável de um servidor RADIUS Edição do nome do host ou endereço IP de um servidor RADIUS Edição do número da porta de autenticação de um servidor RADIUS Edição do segredo compartilhado de um servidor RADIUS Exclusão do nome de um grupo de servidor RADIUS Exclusão de um servidor RADIUS Uso das configurações do alternador Sobre o uso das configurações do alternador Sobre o suporte a atributos dos modelos de alternador Adição de uma política de alternador compatível com 802.1x a um appliance LAN Enforcer com assistente Edição de informações básicas sobre a política de alternador e o alternador compatível com 802.1x

14 14 Sumário Edição de informações sobre o alternador compatível com 802.1x Edição de informações VLAN para a política de alternador Edição de informações de ação para a política de alternador Uso das configurações avançadas do appliance LAN Enforcer Permissão para um cliente legado se conectar à rede com um appliance LAN Enforcer Ativação da autenticação local no appliance LAN Enforcer Uso da autenticação 802.1x Sobre a reautenticação no computador-cliente Capítulo 9 Capítulo 10 Configuração de conexões temporárias para clientes do Symantec Network Access Control On-Demand Sobre como configurar conexões temporárias para clientes do Symantec Network Access Control On-Demand Antes de configurar clientes do Symantec Network Access Control On-Demand em um console do Gateway ou DHCP Enforcer Ativação de clientes do Symantec Network Access Control On-Demand para se conectarem temporariamente a uma rede Configuração da autenticação no console do Gateway ou DHCP Enforcer para clientes do Symantec Network Access Control On-Demand Configuração da autenticação com um banco de dados local integrado Configuração da autenticação com o Microsoft Windows 2003 Server Active Directory Configuração do cliente On-Demand no Windows para autenticação com o protocolo dot1x Configuração do cliente On-Demand no Windows para autenticação com o protocolo peap Edição do banner na página Bem-vindo Como solucionar problemas de conexão entre clientes do Enforcer e do On-Demand Interface da linha de comando do appliance Enforcer Sobre a hierarquia de comandos da CLI do appliance Enforcer Hierarquia de comandos da CLI

15 Sumário 15 Como navegar na hierarquia de comandos Atalhos de combinação de teclas da CLI do appliance Enforcer Obtenção de ajuda para os comandos da CLI Capítulo 11 Referência de interface da linha de comando do appliance Enforcer Convenções de comandos CLI do appliance Enforcer em referência alfabética Comandos de nível superior Clear Date Exit Help Hostname Password Ping Reboot Shutdown Show Start Stop Traceroute Update Comandos capture Capture Compress Capture Filter Capture Show Capture Start Capture upload Capture Verbose Comandos configure Comandos configure advanced Configure DNS Configure Interface Configure Interface-role Configure NTP Configure redirect Configure Route Configure Show Configure SPM Comandos console Console baud-rate

16 16 Sumário Console SSH Console SSHKEY Console show Comandos debug Debug destination Debug level Debug show Debug upload Comandos MAB Comando MAB disable comando MAB enable Comandos MAB LDAP comando MAB show Comandos monitor Comando monitor refresh Comando monitor show Comando monitor show blocked-hosts Comandos monitor show connected-guests Comando monitor show connected-users Comandos SNMP Comando SNMP disable Comando SNMP enable Comando SNMP heartbeat Comando SNMP receiver Comando SNMP show Comando SNMP trap Comandos on-demand Comandos on-demand authentication Comando on-demand banner Comando on-demand client-group Comandos on-demand dot1x Comando on-demand show Comando on-demand spm-domain Comandos on-demand mac-compliance Capítulo 12 Solução de problemas de um appliance Enforcer Sobre como solucionar problemas em um appliance Enforcer Soluções gerais de tópicos e problemas conhecidos Sobre a transferência de informações de depuração na rede

17 Sumário 17 Capítulo 13 Seção 2 Capítulo 14 Perguntas freqüentes sobre os appliances Gateway, DHCP ou LAN Enforcer Perguntas sobre a aplicação Quais produtos de software antivírus oferecem suporte à integridade do host? As políticas de integridade do host podem ser definidas em nível de grupo ou em nível global? Pode você criar uma mensagem personalizada de integridade do host? O que acontecerá se os appliances Enforcers não puderem se comunicar com os Symantec Endpoint Protection Managers? É necessário ter um servidor RADIUS quando um appliance LAN Enforcer é executado no modo transparente? Como a aplicação gerencia computadores sem clientes? Instalação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft Apresentação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft Sobre o Symantec Integrated Enforcer para servidores DHCP da Microsoft Como funciona o Integrated Enforcer para servidores DHCP da Microsoft Noções básicas sobre a instalação do Integrated Enforcer para servidores DHCP da Microsoft Onde encontrar mais informações sobre documentação relacionada para o Integrated Enforcer para servidores DHCP da Microsoft

18 18 Sumário Capítulo 15 Capítulo 16 Seção 3 Capítulo 17 Planejamento da instalação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft Sobre como planejar a instalação de um Integrated Enforcer para servidores DHCP da Microsoft Componentes necessários para o Integrated Enforcer para servidores DHCP da Microsoft Requisitos de hardware para o Integrated Enforcer para servidores DHCP da Microsoft Requisitos do sistema operacional para o Integrated Enforcer para servidores DHCP da Microsoft Planejamento da colocação do Integrated Enforcer para servidores DHCP da Microsoft Instalação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft Antes de instalar o Integrated Enforcer para servidores DHCP da Microsoft Instalação do Integrated Enforcer para servidores DHCP da Microsoft Como fazer upgrade do Integrated Enforcer para servidores DHCP da Microsoft Instalação do Symantec NAC Integrated Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP Introdução ao Symantec NAC Integrated Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP Sobre o Integrated Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP (Integrated Lucent Enforcer) O que você pode fazer com o Integrated Lucent Enforcer Como o Integrated Lucent Enforcer funciona Onde encontrar mais informações sobre a documentação relacionada para o Integrated Lucent Enforcer

19 Sumário 19 Capítulo 18 Capítulo 19 Seção 4 Capítulo 20 Planejamento da instalação do Symantec NAC Integrated Lucent Enforcer Sobre o planejamento da instalação de um Integrated Lucent Enforcer Componentes necessários para um Integrated Lucent Enforcer Planejamento da colocação de um Integrated Lucent Enforcer Requisitos de hardware para um Integrated Lucent Enforcer Requisitos do sistema operacional para um Integrated Lucent Enforcer Instalação do Symantec NAC Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers Antes instalar o Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers pela primeira vez Instalação do Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers Desinstalação do Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers Como interromper e iniciar o Lucent VitalQIP Enterprise DHCP Server Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Sobre como configurar o Symantec NAC Integrated Enforcer em um console do Enforcer Como estabelecer ou alterar a comunicação entre um Integrated Enforcer e servidores Symantec Endpoint Protection Manager Configuração da quarentena automática Definição das configurações básicas do Symantec Integrated Enforcer Adição ou edição do nome de um grupo do Enforcer para o Symantec Integrated Enforcer

20 20 Sumário Adição ou edição da descrição de um grupo do Enforcer com um Symantec Integrated Enforcer Adição ou edição do endereço IP ou nome do host de um Symantec Integrated Enforcer Adição ou edição da descrição de um Symantec Integrated Enforcer Conexão do Symantec Integrated Enforcer a um Symantec Endpoint Protection Manager Edição de uma conexão do Symantec Endpoint Protection Manager Configuração de uma lista de fornecedor confiável Exibição de registros do Enforcer no console Configuração de registros do Symantec Integrated Enforcer Definição das configurações de autenticação do Symantec Integrated Enforcer Sobre o uso das configurações de autenticação Sobre as sessões de autenticação Especificação do número máximo de pacotes de desafio durante uma sessão de autenticação Especificação da freqüência de envio dos pacotes de desafio aos clientes Permissão para todos os clientes com registro contínuo de clientes não autenticados Permissão para que clientes que não sejam Windows se conectem à rede sem autenticação Como fazer com que o Symantec Integrated Enforcer verifique o número de série da política em um cliente Envio de uma mensagem de não conformidade do Symantec Integrated Enforcer para um cliente Como estabelecer comunicação entre o Symantec Integrated Enforcer e o Network Access Control Scanner em um console do Enforcer Definição das configurações avançadas do Symantec Integrated Enforcer Ativação de servidores, clientes e dispositivos para que se conectem à rede como hosts confiáveis sem autenticação Permissão para um cliente legado se conectar à rede com um Integrated Enforcer Ativação da autenticação local no Integrated Enforcer Como interromper e iniciar os serviços de comunicação entre o Integrated Enforcer e um servidor de gerenciamento

21 Sumário 21 Como desconectar o Symantec NAC Lucent Integrated Enforcer de um servidor de gerenciamento no console do Enforcer Conexão a servidores legados do Symantec Endpoint Protection Manager Seção 5 Capítulo 21 Capítulo 22 Capítulo 23 Instalação e configuração do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection Apresentação do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection Sobre o Integrated Enforcer para Microsoft Network Access Protection Planejamento da instalação do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection Sobre como planejar a instalação do Symantec Integrated NAP Enforcer Componentes necessários para o Symantec Integrated NAP Enforcer Requisitos de hardware do Symantec Integrated NAP Enforcer Requisitos do sistema operacional para o Symantec Integrated NAP Enforcer Requisitos do sistema operacional para o cliente do Symantec Network Access Control Instalação do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection Antes de instalar o Symantec Integrated NAP Enforcer Instalação do Symantec Integrated NAP Enforcer

22 22 Sumário Capítulo 24 Capítulo 25 Configuração do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection em um console do Enforcer Sobre como configurar o Symantec Integrated NAP Enforcer em um console do Enforcer Como conectar o Symantec Integrated NAP Enforcer a um servidor de gerenciamento em um console do Enforcer Como criptografar a comunicação entre o Symantec Integrated NAP Enforcer e um servidor de gerenciamento Configuração de um nome de grupo do Enforcer no console do Symantec Integrated NAP Enforcer Configuração de um protocolo de comunicação HTTP no console do Symantec Integrated NAP Enforcer Configuração do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection em um console do Symantec Endpoint Protection Manager Sobre a configuração do Symantec Integrated NAP Enforcer no console do Symantec Endpoint Protection Manager Ativação da aplicação do NAP para clientes Como verificar se o servidor de gerenciamento gerencia o cliente Verificação das políticas do Validador da integridade de segurança Como verificar se os clientes são aprovados na verificação de integridade do host Ativação da autenticação local no Symantec Integrated NAP Enforcer Configuração de registros para o Symantec Integrated NAP Enforcer

23 Sumário 23 Seção 6 Capítulo 26 Seção 7 Capítulo 27 Gerenciamento de enforcers a partir do console do Symantec Endpoint Protection Manager Gerenciamento de enforcers no console do Symantec Endpoint Protection Manager Sobre o gerenciamento de Enforcers no console do servidor de gerenciamento Sobre o gerenciamento de Enforcers na página Servidores Sobre os grupos do Enforcer Como o console determina o nome do grupo do Enforcer Sobre os grupos de failover do Enforcer Sobre a alteração de um nome de grupo Sobre a criação de um grupo do Enforcer Sobre as informações do Enforcer que são exibidas no console do Enforcer Exibição das informações sobre o Enforcer no console de gerenciamento Alteração do nome e da descrição de um Enforcer Exclusão de um Enforcer ou de um grupo do Enforcer Exportação e importação das configurações do grupo do Enforcer Mensagens pop-up para clientes bloqueados Mensagens dos computadores que executam o cliente Mensagens dos computadores com Windows que não estão executando o cliente (somente Gateway ou DHCP Enforcer) Configuração das mensagens do Enforcer Sobre as configurações do cliente e o Enforcer Configuração de clientes para usar uma senha a fim de interromper o serviço do cliente Como trabalhar com relatórios e registros do enforcer Gerenciamento de relatórios e registros do Enforcer Sobre relatórios do Enforcer Sobre registros do Enforcer

24 24 Sumário Sobre o registro do servidor do Enforcer Sobre o Registro do cliente do Enforcer Sobre o registro de tráfego do Gateway Enforcer Definição das configurações do registro do Enforcer Desativação do registro do Enforcer no console do Symantec Endpoint Protection Manager Ativação do envio de registros do Enforcer de um Enforcer para o Symantec Endpoint Protection Manager Configuração do tamanho e do prazo dos registros do Enforcer Filtragem dos registros de tráfego de um Enforcer Índice

25 Seção 1 Instalação e configuração dos appliances do Symantec Network Access Control Enforcer Apresentação do appliance Enforcer Planejamento para a instalação do appliance Enforcer Upgrade e migração de imagens do appliance Enforcer Instalação do appliance Enforcer pela primeira vez Execução de tarefas básicas no console de um appliance Enforcer Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager

26 26 Configuração de conexões temporárias para clientes do Symantec Network Access Control On-Demand Interface da linha de comando do appliance Enforcer Referência de interface da linha de comando do appliance Enforcer Solução de problemas de um appliance Enforcer Perguntas freqüentes sobre os appliances Gateway, DHCP ou LAN Enforcer

27 Capítulo 1 Apresentação do appliance Enforcer Este capítulo contém os tópicos a seguir: Sobre os appliances Symantec Enforcer Público-alvo Tipos de aplicações O que pode ser feito com os appliances Symantec Network Access Control Enforcer Sobre as políticas de integridade do host e o appliance Enforcer Como funciona o appliance Gateway Enforcer Como funciona o appliance DHCP Enforcer Como funciona o appliance LAN Enforcer Suporte para soluções de aplicação de terceiros Onde obter mais informações sobre os appliances Symantec Enforcer Sobre os appliances Symantec Enforcer Os Symantec Enforcers são quatro componentes opcionais de rede que funcionam com o Symantec Endpoint Protection Manager. Para proteger a rede corporativa, três appliances Symantec Enforcers baseados em Linux funcionam com clientes gerenciados, como clientes do Symantec Endpoint Protection e clientes do Symantec Network Access Control.

28 28 Apresentação do appliance Enforcer Público-alvo Appliance Symantec Network Access Control Gateway Enforcer Appliance Symantec Network Access Control DHCP Enforcer Appliance Symantec Network Access Control LAN Enforcer Os Symantec Enforcers baseados em Windows funcionam com clientes gerenciados, como os clientes do Symantec Endpoint Protection e do Symantec Network Access Control, para proteger a rede corporativa. Nota: O Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection não funciona com clientes convidados, tais como clientes do Symantec Network Access Control On-Demand nas plataformas Windows e Macintosh. As instruções de instalação, configuração e administração estão incluídas na documentação dos seguinte Enforcers baseados em Windows: Symantec Network Access Control Integrated Enforcer para servidores DHCP da Microsoft Consulte Sobre o Symantec Integrated Enforcer para servidores DHCP da Microsoft na página 319. Symantec Network Access Control Integrated Enforcer para Microsoft Network Access Protection Consulte Sobre o Integrated Enforcer para Microsoft Network Access Protection na página 387. Symantec Network Access Control Integrated DHCP Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP Consulte Sobre o Integrated Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP (Integrated Lucent Enforcer) na página 337. Público-alvo A documentação é destinada aos responsáveis pela configuração e implementação de um appliance Enforcer opcional. É necessário ter bons conhecimentos dos conceitos de rede e estar familiarizados com a administração do Symantec Endpoint Protection Manager. O appliance Enforcer opcional funciona somente com versões específicas de outros componentes. Consulte Sobre upgrade e migração de imagens do appliance Enforcer para a versão na página 69.

29 Apresentação do appliance Enforcer Tipos de aplicações 29 Se você pretende usar um appliance Enforcer opcional com uma versão anterior do Symantec Network Access Control, consulte a documentação que acompanha o appliance Enforcer no momento da compra. Tipos de aplicações A Tabela 1-1 lista os appliances Enforcer opcionais e Enforcers baseados em Windows. Tabela 1-1 Tipos de aplicações Tipo do appliance Enforcer Appliance Symantec Gateway Enforcer Descrição Fornece aplicação em pontos de acesso dos computadores externos que se conectam remotamente por meio de um dos seguintes métodos: Rede privada virtual (VPN) LAN sem fio Remote Access Server (RAS) Também é possível configurar o appliance Gateway Enforcer para restringir o acesso a determinados servidores permitindo somente endereços IP especificados. O Symantec Gateway Enforcer é aceito no appliance Enforcer. Consulte Como funciona o appliance Gateway Enforcer na página 35. Consulte Planejamento da instalação para um appliance Gateway Enforcer na página 44. Appliance Symantec LAN Enforcer Fornece aplicação para os clientes que se conectam à rede por meio de um alternador ou ponto de acesso sem fio compatível com a autenticação 802.1x. O appliance LAN Enforcer atua como um proxy RADIUS (Remote Authentication Dial-In User Service). Ele pode funcionar com ou sem o servidor RADIUS, que fornece autenticação em nível de usuário. O Symantec LAN Enforcer é aceito no appliance Enforcer. Consulte Como funciona o appliance LAN Enforcer na página 37. Consulte Planejamento da instalação para um appliance LAN Enforcer na página 63.

30 30 Apresentação do appliance Enforcer Tipos de aplicações Tipo do appliance Enforcer Appliance Symantec DHCP Enforcer Descrição Fornece aplicação aos clientes que ganham acesso à rede. Os clientes recebem um endereço IP dinâmico por meio de um servidor Dynamic Host Configuration Protocol (DHCP). O Symantec DHCP Enforcer é suportado em um appliance Enforcer. Consulte Como funciona o appliance DHCP Enforcer na página 36. Consulte Planejamento da instalação para um appliance DHCP Enforcer na página 54. Symantec Integrated Enforcer para servidores DHCP da Microsoft Fornece aplicação aos clientes que ganham acesso à rede. Os clientes recebem um endereço IP dinâmico por meio de um servidor Dynamic Host Configuration Protocol (DHCP). O Symantec Integrated DHCP Enforcer é compatível com a plataforma Windows. O Symantec Integrated Enforcer para servidores DHCP da Microsoft não é aceito em um appliance Enforcer. Symantec Integrated Enforcer para Microsoft Network Access Protection Symantec Integrated Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP Consulte Como funciona o Integrated Enforcer para servidores DHCP da Microsoft na página 320. Consulte Planejamento da colocação do Integrated Enforcer para servidores DHCP da Microsoft na página 328. Fornece aplicação aos clientes que ganham acesso à rede. Os clientes recebem um endereço IP dinâmico ou passam na autenticação 802.1x por meio de um servidor Dynamic Host Configuration Protocol (DHCP). O Symantec Integrated NAP Enforcer é aceito na plataforma Windows Server O Symantec Integrated Enforcer para Microsoft Network Access Protection não é aceito no appliance Enforcer. Fornece aplicação aos clientes que ganham acesso à rede. Os clientes recebem um endereço IP dinâmico ou passam na autenticação 802.1x por meio de um servidor Dynamic Host Configuration Protocol (DHCP). O Symantec Integrated DHCP Enforcer é compatível com a plataforma Windows. O Symantec Integrated DHCP Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP não é aceito no appliance Enforcer.

31 Apresentação do appliance Enforcer O que pode ser feito com os appliances Symantec Network Access Control Enforcer 31 O que pode ser feito com os appliances Symantec Network Access Control Enforcer O appliance Enforcer opcional é instalado nos endpoints da rede para clientes externos ou internos. Por exemplo, um appliance Enforcer pode ser instalado entre a rede e o servidor VPN ou em frente a um servidor DHCP. Ele também pode ser instalado para aplicação nos computadores-cliente que se conectam à rede por um alternador compatível com 802.1x ou ponto de acesso sem fio. Um appliance Enforcer executa a autenticação do host, em vez da autenticação em nível de usuário. Ele assegura que os computadores-cliente que tentam se conectar à rede empresarial estejam em conformidade com as políticas de segurança da empresa. Você pode configurar as políticas de segurança de uma empresa no Symantec Endpoint Protection Manager. Se o cliente não estiver em conformidade com as políticas de segurança, o appliance Enforcer poderá efetuar as seguintes ações: Bloquear seu acesso à rede. Permitir acesso somente a recursos limitados. O appliance Enforcer opcional pode redirecionar o cliente para a área de quarentena com um servidor de correção. O cliente pode então obter o software, os aplicativos, os arquivos de assinatura ou os patches necessários no servidor de correção. Por exemplo, parte da rede pode já estar configurada para os clientes que se conectam à LAN por meio de alternadores compatíveis com 802.1x. Se esse for o caso, você pode usar um appliance LAN Enforcer para estes clientes. Você também pode usar um appliance LAN Enforcer para os clientes que se conectam através de um ponto de acesso sem fio compatível com 802.1x. Consulte Como funciona o appliance LAN Enforcer na página 37. Consulte Planejamento da instalação para um appliance LAN Enforcer na página 63. Pode haver outras partes da rede que não estejam configuradas para suporte a 802.1x. É possível usar um appliance DHCP Enforcer para gerenciar a aplicação nesses clientes. Consulte Como funciona o appliance DHCP Enforcer na página 36. Consulte Planejamento da instalação para um appliance DHCP Enforcer na página 54.

32 32 Apresentação do appliance Enforcer Sobre as políticas de integridade do host e o appliance Enforcer Se houver funcionários que trabalhem remotamente, conectando-se por meio de uma VPN ou de dial-up, é possível usar o appliance Gateway Enforcer para esses clientes. Você também pode usar o appliance Gateway Enforcer se um ponto de acesso sem fio não for compatível com 802.1x. Consulte Como funciona o appliance Gateway Enforcer na página 35. Consulte Planejamento da instalação para um appliance Gateway Enforcer na página 44. Se for necessária alta disponibilidade, dois ou mais appliances Gateway Enforcer, DHCP ou LAN Enforcer poderão ser instalados no mesmo local para fornecer recursos de failover. Consulte Planejamento de failover para appliances Gateway Enforcer na página 51. Consulte Planejamento de failover para appliances DHCP Enforcer na página 59. Consulte Planejamento de failover para appliances LAN Enforcer na página 66. Se quiser implementar alta disponibilidade para appliances LAN Enforcer, devem ser instalados vários appliances LAN Enforcer e o alternador compatível com 802.1x. A alta disponibilidade pode ser alcançada pela adição do alternador compatível com 802.1x. Se forem instalados vários appliances LAN Enforcer sem um alternador compatível com 802.1x, a alta disponibilidade falhará. É possível configurar um alternador compatível com 802.1x para alta disponibilidade. Para obter informações sobre a configuração de um alternador compatível com 802.1x para alta disponibilidade, consulte a documentação que acompanha o alternador. Em algumas configurações de rede, um cliente pode conectar-se a uma rede através de mais de um appliance Enforcer. Depois que o primeiro appliance Enforcer fornecer a autenticação ao cliente, todos os appliances Enforcer restantes autenticarão o cliente para que este possa conectar-se à rede. Sobre as políticas de integridade do host e o appliance Enforcer As políticas de segurança que todos os appliances Enforcer verificam em computadores-cliente são denominadas políticas de integridade do host. Você cria e gerencia políticas de integridade do host no console do Symantec Endpoint Protection Manager.

33 Apresentação do appliance Enforcer Sobre as políticas de integridade do host e o appliance Enforcer 33 As políticas de integridade do host especificam o software necessário para executar em um cliente. Por exemplo, você pode especificar que o seguinte software de segurança localizado em um computador-cliente deve estar em conformidade com determinados requisitos: Software antivírus Software anti-spyware Software de firewall Patches Service packs Se os requisitos predefinidos não atenderem às suas necessidades, também é possível personalizá-los. Consulte o Guia de Administração do Symantec Endpoint Protection e do Symantec Network Access Control para obter mais informações sobre como configurar e personalizar políticas de integridade do host. É possível configurar clientes para executar verificações de integridade do host em vários momentos. Quando um cliente tenta conectar-se à rede, ele executa uma verificação de integridade do host e envia os resultados a um appliance Enforcer. Geralmente, o appliance Enforcer é configurado para, antes de conceder acesso à rede ao cliente, averiguar se ele passa na verificação de integridade do host. Se o cliente passar na verificação de integridade do host, ele estará em conformidade com a política de integridade do host da empresa. Entretanto, cada tipo de appliance Enforcer define os critérios de acesso à rede de maneira diferente. Consulte Como funciona o appliance Gateway Enforcer na página 35. Consulte Como funciona o appliance DHCP Enforcer na página 36. Consulte Como funciona o appliance LAN Enforcer na página 37. Comunicação entre um appliance Enforcer e um Symantec Endpoint Protection Manager O appliance Enforcer permanece conectado ao Symantec Endpoint Protection Manager. Em intervalos regulares (pulsação), o appliance Enforcer recupera configurações do servidor de gerenciamento que controla seu modo de funcionamento. Quando são realizadas alterações no servidor de gerenciamento, que afetam o appliance Enforcer, ele receberá a atualização durante a próxima pulsação. O appliance Enforcer transmite suas informações de status ao servidor de gerenciamento. Ele pode registrar os eventos que encaminha a esse servidor

34 34 Apresentação do appliance Enforcer Sobre as políticas de integridade do host e o appliance Enforcer de gerenciamento. Desta forma, as informações aparecerão nos registros do servidor de gerenciamento. O Symantec Endpoint Protection Manager mantém uma lista dos servidores de gerenciamento com informações replicadas de bancos de dados. Ele transfere por download a lista do servidor de gerenciamento para Enforcers conectados e gerenciados, bem como clientes convidados. Se o appliance Enforcer perder a comunicação com um servidor de gerenciamento, ele poderá conectar-se a outro servidor que esteja incluído na lista de servidores de gerenciamento. Se o appliance Enforcer for reiniciado, ele usará a lista de servidores de gerenciamento para restabelecer a conexão com um deles. Quando um cliente tenta conectar-se à rede por meio do appliance Enforcer, ele autentica o identificador único do cliente (UID). O appliance Enforcer envia o UID ao servidor de gerenciamento e recebe uma resposta de aceitação ou rejeição. Se o appliance Enforcer estiver configurado para autenticar o UID, ele poderá recuperar as informações do servidor de gerenciamento. O appliance Enforcer pode, então, determinar se o perfil do cliente foi atualizado com as políticas de segurança mais recentes. Se as informações do cliente, como o identificador ou o perfil do cliente, forem alteradas no servidor de gerenciamento, este poderá enviar as informações ao appliance Enforcer. O appliance Enforcer poderá executar novamente a autenticação do host no cliente. Comunicação entre o appliance Enforcer e os clientes A comunicação entre o appliance Enforcer e um cliente começa quando o cliente tenta se conectar à rede. O appliance Enforcer pode detectar se um cliente está em execução. Se um cliente estiver em execução, o Enforcer iniciará o processo de autenticação com o cliente. O cliente responderá executando uma verificação de integridade do host e enviando os resultados, juntamente com suas informações de perfil, ao Enforcer. O cliente também envia seu identificador único (UID), que o Enforcer transmite para o gerenciador para autenticação. O appliance Enforcer usa as informações do perfil para verificar se o cliente está atualizado com as políticas de segurança mais recentes. Se não estiver, o Enforcer notificará o cliente a atualizar seu perfil. Após o appliance DHCP Enforcer ou Gateway Enforcer permitir que o cliente se conecte à rede, eles continuarão a se comunicar com o cliente em um intervalo regular predefinido. Essa comunicação permite que o appliance Enforcer continue a autenticar o cliente. No appliance LAN Enforcer, o alternador 802.1x trata dessa autenticação periódica. Por exemplo, o alternador inicia uma nova sessão de autenticação quando é o momento de reautenticação. O appliance Enforcer precisa ser executado sempre. Caso contrário, os clientes que tentam se conectar à rede corporativa tentarão ser bloqueados.

35 Apresentação do appliance Enforcer Como funciona o appliance Gateway Enforcer 35 Como funciona o appliance Gateway Enforcer Os appliances Gateway Enforcer realizam verificações unidirecionais. Eles verificam clientes que tentam conectar-se à rede da empresa por meio da NIC externa do appliance Gateway Enforcer. Um appliance Gateway Enforcer usa os seguintes processos para autenticar um cliente: Quando um cliente tenta acessar a rede, o appliance Gateway Enforcer verifica primeiramente se ele está executando o cliente do Symantec Endpoint Protection ou o cliente do Symantec Network Access Control. Se o cliente estiver executando qualquer um dos produtos de software-cliente, o appliance Gateway Enforcer inicia o processo de autenticação do host. O cliente executado em um computador do usuário realiza uma verificação de integridade do host. Então, ele transmite os resultados ao appliance Gateway Enforcer juntamente com as informações de identificação e do status de sua política de segurança. O appliance Gateway Enforcer verifica com o Symantec Endpoint Protection Manager se o cliente é legítimo e se sua política de segurança está atualizada. O appliance Gateway Enforcer verifica se o cliente foi aprovado na verificação de integridade do host, estando, portanto, em conformidade com as políticas de segurança. Se todos os processos forem aprovados, o appliance Gateway Enforcer permitirá que o cliente conecte-se à rede. Se um cliente não satisfizer os requisitos para acesso, configure o appliance Gateway Enforcer para realizar as seguintes ações: Monitorar e registrar determinados eventos. Bloquear usuários se houver falha na verificação de integridade do host. Exibir uma mensagem pop-up no cliente. Fornecer ao cliente acesso limitado à rede para permitir o uso de recursos da rede para correção. Para definir a autenticação do appliance Gateway Enforcer, é possível configurar quais endereços IP do cliente serão verificados. Você pode especificar os endereços IP e externos confiáveis que o appliance Gateway Enforcer permitirá sem autenticação. Para correção, é possível configurar o appliance Gateway Enforcer para permitir aos clientes acesso a endereços IP internos e confiáveis. Por exemplo, você pode permitir que os clientes tenham o acesso a um servidor de atualização ou a um servidor de arquivos que contenha arquivos de antivírus DAT.

36 36 Apresentação do appliance Enforcer Como funciona o appliance DHCP Enforcer Em clientes que não tenham o software-cliente da Symantec, é possível redirecionar as solicitações do cliente HTTP para um servidor da Web. Por exemplo, você pode fornecer instruções adicionais sobre onde obter o software de correção ou permitir que um cliente faça o download do software-cliente. Também é possível configurar o appliance Gateway Enforcer para permitir a clientes que não sejam Windows o acesso à rede. Um appliance Gateway Enforcer funciona como uma ponte em vez de um roteador. Assim que o cliente é autenticado, o appliance Gateway Enforcer encaminha os pacotes para permitir ao cliente o acesso à rede. Como funciona o appliance DHCP Enforcer O appliance DHCP Enforcer é usado em linha como uma ponte segura de aplicação de políticas para proteger uma rede interna. Os clientes que tentam conectar-se à rede enviam uma solicitação DHCP para um endereço IP dinâmico. O alternador ou roteador, que atua como um cliente de retransmissão DHCP, roteia a solicitação DHCP ao appliance DHCP Enforcer. O appliance DHCP Enforcer é configurado em linha em frente ao servidor DHCP. Antes de encaminhar a solicitação do DHCP ao servidor DHCP, o appliance Enforcer verifica se os clientes estão em conformidade com as políticas de segurança. Se o cliente estiver em conformidade com as políticas de segurança, o appliance DHCP Enforcer enviará a solicitação do cliente de um endereço IP ao servidor DHCP normal. Se o agente não estiver em conformidade com as políticas de segurança, o Enforcer se conectará ao servidor de quarentena DHCP. O servidor de quarentena atribuirá uma configuração de rede de quarentena para o cliente. É possível instalar um servidor DHCP em um computador e configurá-lo para oferecer uma configuração normal e uma configuração de rede de quarentena. Para completar a solução do appliance DHCP Enforcer, o administrador precisa definir um servidor de correção. O servidor de reparo restringe o acesso de clientes em quarentena para que esses clientes possam interagir apenas com o servidor de reparo. Se alta disponibilidade for requerida, você poderá instalar dois ou mais appliances DHCP Enforcers para fornecer recursos de failover. O DHCP Enforcer aplica políticas de segurança a clientes que tentam acessar um servidor DHCP. Ele bloqueia a solicitação do DHCP se o cliente falha na autenticação. O appliance DHCP Enforcer encaminha a solicitação do DHCP a um servidor DHCP em quarentena com uma configuração de rede de intervalo restrito e curto prazo. Quando o cliente envia a solicitação de DHCP pela primeira vez, o appliance DHCP Enforcer a encaminha para o servidor DHCP em quarentena, para um endereço

37 Apresentação do appliance Enforcer Como funciona o appliance LAN Enforcer 37 IP temporário com um tempo de concessão curto. O appliance DHCP Enforcer pode então iniciar o processo de autenticação com o cliente. O appliance DHCP Enforcer autentica clientes usando os seguintes métodos: Quando um cliente tentar acessar a rede de empresa, o appliance Enforcer verificará primeiro se o computador-cliente executa o software-cliente do Symantec Network Access Control. Se o computador-cliente executa o software-cliente do Symantec Network Access Control, o appliance Enforcer inicia o processo para a autenticação do host. O software-cliente do Symantec que é executado no computador-cliente executa uma verificação de integridade do host. O cliente passa então os resultados ao appliance Enforcer, juntamente com as informações de identificação e as informações sobre o status de sua política de segurança. O appliance DHCP Enforcer verifica com o Symantec Endpoint Protection Manager se o cliente é legítimo e se sua política de segurança está atualizada. O appliance DHCP Enforcer verifica se o cliente foi aprovado na verificação de integridade do host e, portanto, está em conformidade com as políticas de segurança. Se todas as etapas forem aprovadas, o appliance DHCP Enforcer se certificará de que o endereço IP de quarentena seja liberado. O appliance DHCP Enforcer roteará a solicitação do cliente DHCP ao servidor DHCP normal. Então, o cliente recebe um endereço IP e configuração de rede normais. Se o cliente não corresponder aos requisitos de segurança, o appliance DHCP Enforcer se certificará de que a solicitação de DHCP seja renovada com o servidor DHCP de quarentena. O cliente recebe uma configuração de rede de quarentena, que deve ser configurada para permitir acesso a um servidor de reparo. O appliance DHCP Enforcer pode ser configurado para permitir que clientes que não sejam Windows tenham acesso ao servidor DHCP normal. Como funciona o appliance LAN Enforcer O appliance LAN Enforcer atua como um proxy RADIUS (Remote Authentication Dial-In User Service). É possível usar o appliance LAN Enforcer com um servidor RADIUS para realizar as seguintes ações: Fazer a autenticação de usuário 802.1x/EAP tradicional. Você nega o acesso a computadores não autorizados. Todos os usuários que tentarem conectar-se à rede deverão autenticar-se através do RADIUS primeiro.

38 38 Apresentação do appliance Enforcer Como funciona o appliance LAN Enforcer Verificar se os computadores-cliente estão em conformidade com as políticas de segurança definidas no servidor de gerenciamento (autenticação do host). Você pode aplicar políticas de segurança, como certificar-se de que o computador tenha o software antivírus, os patches ou outros produtos de software corretos. É possível confirmar se o computador-cliente está executando o cliente da Symantec e se ele foi aprovado na verificação de integridade do host. Nas redes que não usam um servidor RADIUS, o appliance LAN Enforcer realiza apenas a autenticação do host. Um appliance LAN Enforcer comunica-se com um alternador ou com um ponto de acesso sem fio que suporte autenticação EAP/802.1x. O alternador ou o ponto de acesso sem fio são normalmente configurados em dois ou mais VLANs. Os clientes Symantec em computadores-cliente transmitem as informações de EAP ou de integridade do host para o alternador por meio do protocolo EAPOL (EAP sobre LANs). O alternador encaminha as informações para o appliance LAN Enforcer para autenticação. Você pode configurar o appliance LAN Enforcer com um conjunto de possíveis respostas a uma falha de autenticação. As respostas dependem do tipo de falha de autenticação: autenticação de host ou de usuário EAP. Se você usar um alternador ou um ponto de acesso sem fio, é possível definir o appliance LAN Enforcer para direcionar um cliente autenticado para diferentes VLANs. O alternador ou o ponto de acesso sem fio deve oferecer recurso de alternação de VLAN dinâmica. Os VLANs podem incluir um VLAN de correção. Se você usa um LAN Enforcer com servidor RADIUS, é possível configurar várias conexões de servidor RADIUS para o Enforcer. Se uma conexão de servidor RADIUS estiver desativada, o appliance LAN Enforcer pode alternar para uma conexão diferente. Além disso, vários appliances LAN Enforcers podem ser definidos para conectarem-se ao alternador. Se um appliance LAN Enforcer falhar na resposta, outro LAN Enforcer poderá lidar com a autenticação. Como funciona a configuração básica do LAN Enforcer Se você estiver familiarizado com a autenticação 802.1x, poderá exibir detalhes sobre os clientes que tentarem acessar a rede usando a configuração básica. Você pode usar estas informações para solucionar problemas de conexões de rede. A configuração básica do LAN Enforcer 802.1x funciona assim: Um suplicante (por exemplo, um computador-cliente) tenta acessar a rede por meio de um autenticador (por exemplo, um alternador 802.1x). O alternador vê o computador e solicita a identificação.

39 Apresentação do appliance Enforcer Como funciona o appliance LAN Enforcer 39 O suplicante 802.1x no computador solicita o nome de usuário e senha e responde com essa identificação. O alternador encaminha essas informações ao LAN Enforcer, que as encaminha ao servidor RADIUS. O servidor RADIUS gera um estímulo EAP selecionando um tipo de EAP de acordo com sua configuração. O LAN Enforcer recebe esse estímulo, adiciona um desafio de integridade do host e o encaminha para o alternador. O alternador encaminha os estímulos EAP e de integridade do host para o cliente. O cliente recebe os estímulos e envia uma resposta. O alternador recebe a resposta e a encaminha para o LAN Enforcer. O LAN Enforcer examina o resultado da verificação de integridade do host e as informações sobre o status do cliente e as encaminha para o servidor RADIUS. O servidor RADIUS executa a autenticação EAP e envia o resultado de volta ao LAN Enforcer. O LAN Enforcer recebe os resultados da autenticação e encaminha os resultados e a ação a ser tomada. O alternador seleciona a ação apropriada e permite acesso normal à rede, bloqueando ou permitindo o acesso a uma VLAN alternativa conforme os resultados. Como funciona o modo transparente do LAN Enforcer O modo transparente do LAN Enforcer funciona da seguinte forma: Um suplicante (por exemplo, um computador-cliente) tenta acessar a rede por meio de um autenticador (por exemplo, um alternador 802.1x). O autenticador vê o computador e envia um pacote de autenticação EAP (somente o tráfego EAP é permitido). O cliente que atua como suplicante EAP vê o pacote de autenticação e responde com a autenticação da integridade do host. O alternador encaminha os resultados da autenticação da integridade do host ao appliance LAN Enforcer (executado como servidor proxy RADIUS). O appliance LAN Enforcer responde ao alternador com informações sobre as atribuições da VLAN baseadas em resultados da autenticação.

40 40 Apresentação do appliance Enforcer Como funciona o appliance LAN Enforcer Sobre a autenticação 802.1x IEEE 802.1X-2001 é um padrão que define o controle de acesso para LANs com e sem fio. O padrão oferece um sistema para autenticação e controle do tráfego de usuários em uma rede protegida. O padrão especifica o uso do Extensible Authentication Protocol (EAP), que usa um servidor de autenticação centralizado, como o RADIUS (Remote Authentication Dial-In User Service). O servidor autentica cada usuário que tenta acessar a rede. O padrão 802.1x inclui especificações para EAP sobre LAN (EAPOL). O EAPOL é usado para mensagens EAP encapsuladas em estruturas da camada link (Ethernet, por exemplo) e também oferece funções de controle. A arquitetura 802.1x inclui os seguintes componentes principais: Autenticador Servidor de autenticação Suplicante A entidade que faz a intermediação da autenticação, como um alternador LAN compatível com 802.1x ou um ponto de acesso sem fio A entidade que fornece a autenticação real, validando as credenciais fornecidas em resposta ao estímulo, como um servidor RADIUS. A entidade que busca acesso à rede e tenta efetuar a autenticação com êxito, como um computador Quando um dispositivo suplicante estiver conectado a um autenticador de alternador de rede com 802.1x ativado, ocorre o seguinte processo: O alternador envia uma solicitação de identidade EAP. O software suplicante EAP reage com uma resposta de identidade EAP, que é encaminhada ao servidor de autenticação (RADIUS, por exemplo) pelo alternador. O servidor de autenticação emite um estímulo EAP, que é encaminhado ao suplicante pelo alternador. O usuário insere as credenciais de autenticação (nome de usuário e senha, token, etc.). O suplicante envia uma resposta ao estímulo EAP, inclusive as credenciais fornecidas pelo usuário, ao alternador, que encaminhará a resposta ao servidor de autenticação. O servidor de autenticação valida as credenciais e responde com um resultado EAP ou de autenticação do usuário, que indica o êxito ou a falha na autenticação.

41 Apresentação do appliance Enforcer Suporte para soluções de aplicação de terceiros 41 Se a autenticação for efetuada com êxito, o alternador permitirá o acesso ao tráfego normal. Se a autenticação falhar, o acesso do dispositivo cliente será bloqueado. O suplicante será notificado sobre o resultado em ambos os casos. Apenas o tráfego EAP é permitido durante o processo de autenticação Para obter detalhes sobre EAP, consulte a RFC 2284 da IETF no seguinte URL: Para obter mais detalhes sobre o padrão IEEE 802.1x, consulte o texto do padrão no seguinte URL: Suporte para soluções de aplicação de terceiros A Symantec fornece soluções de aplicação para os seguintes fornecedores terceirizados: API do Universal Enforcement A Symantec desenvolveu a API do Universal Enforcement para permitir que outros fornecedores, com tecnologia relacionada, integrem suas soluções a software da Symantec. Cisco Network Admissions Control Os clientes da Symantec tem compatibilidade com a solução de aplicação Cisco Network Admissions Control. Onde obter mais informações sobre os appliances Symantec Enforcer A Tabela 1-2 relaciona as várias fontes que fornecem informações sobre tarefas que você pode precisar executar antes ou depois da instalação de um Enforcer. Tabela 1-2 Documentação do Symantec Enforcer Documento do Enforcer Guia de Instalação do Symantec Endpoint Protection e do Symantec Network Access Control Utilização Descreve como instalar o Symantec Endpoint Protection Manager, o cliente do Symantec Endpoint Protection e os clientes do Symantec Network Access Control. Ele explica também como configurar o banco de dados interno e do Microsoft SQL, e como configurar a replicação.

42 42 Apresentação do appliance Enforcer Onde obter mais informações sobre os appliances Symantec Enforcer Documento do Enforcer Guia de Administração do Symantec Endpoint Protection e do Symantec Network Access Control Guia do Cliente do Symantec Endpoint Protection e do Symantec Network Access Control Guia de Implementação do Symantec Network Access Control Enforcer Ajuda on-line Ajuda on-line para os clientes On-Demand Ajuda da interface da linha de comando do Enforcer arquivo leia-me.txt Utilização Descreve como configurar e administrar o Symantec Endpoint Protection Manager, os clientes do Symantec Endpoint Protection e os clientes do Symantec Network Access Control. Descreve também como configurar as políticas de integridade do host usadas por um Enforcer para implementar a conformidade em computadores-cliente. Descreve como usar os clientes do Symantec Endpoint Protection e os clientes do Symantec Network Access Control. Descreve como instalar e administrar todos os tipos de appliances Symantec Network Access Control e Integrated Enforcers. Explica também como usar os clientes On-Demand para Macintosh e Linux. Explica como usar o Symantec Endpoint Protection Manager, o cliente do Symantec Endpoint Protection e os clientes do Symantec Network Access Control. Explica também o uso de cada um dos Integrated Enforcers. Explica como usar os clientes On-Demand Macintosh e Linux. Fornece ajuda digitando a tecla? na linha de comando da interface da linha de comando (CLI, Command Line Interface). Inclui as informações mais recentes sobre as falhas críticas relacionadas ao Enforcer que podem também afetar o Symantec Endpoint Protection Manager.

43 Capítulo 2 Planejamento para a instalação do appliance Enforcer Este capítulo contém os tópicos a seguir: Planejamento da instalação para appliances Enforcer Planejamento da instalação para um appliance Gateway Enforcer Planejamento de failover para appliances Gateway Enforcer Planejamento da instalação para um appliance DHCP Enforcer Planejamento de failover para appliances DHCP Enforcer Planejamento da instalação para um appliance LAN Enforcer Planejamento de failover para appliances LAN Enforcer Planejamento da instalação para appliances Enforcer Você deve planejar onde integrar os seguintes appliances Symantec Network Access Control Enforcer baseados em Linux em uma rede: Appliance Symantec Network Access Control Gateway Enforcer Consulte Planejamento da instalação para um appliance Gateway Enforcer na página 44. Appliance Symantec Network Access Control DHCP Enforcer Consulte Planejamento da instalação para um appliance DHCP Enforcer na página 54.

44 44 Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance Gateway Enforcer Appliance Symantec Network Access Control LAN Enforcer Consulte Planejamento da instalação para um appliance LAN Enforcer na página 63. Symantec Network Access Control Integrated DHCP Enforcer para servidores DHCP da Microsoft Consulte Sobre como planejar a instalação de um Integrated Enforcer para servidores DHCP da Microsoft na página 326. Symantec Network Access Control Integrated DHCP Enforcer para servidores Microsoft Network Access Protection Consulte Sobre como planejar a instalação do Symantec Integrated NAP Enforcer na página 389. Symantec Network Access Control Integrated DHCP Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP Consulte Sobre o planejamento da instalação de um Integrated Lucent Enforcer na página 343. Planejamento da instalação para um appliance Gateway Enforcer Há diversos tipos de informações de planejamento que podem ajudar a implementar appliances Gateway Enforcer em uma rede. Você pode instalar o appliance Gateway Enforcer para proteger as seguintes áreas em uma rede: Colocação geral Consulte Onde colocar o appliance Gateway Enforcer na página 45. Consulte Diretrizes para endereços IP em um appliance Gateway Enforcer na página 47. Consulte Sobre dois appliances Gateway Enforcer em série na página 47. Consulte Proteção do acesso à VPN através de um appliance Gateway Enforcer na página 48. Consulte Proteção de pontos de acesso sem fio através de um appliance Gateway Enforcer na página 48. Consulte Proteção dos servidores através de um appliance Gateway Enforcer na página 48. Consulte Proteção de servidores e de clientes que não sejam Windows através de um appliance Gateway Enforcer na página 49.

45 Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance Gateway Enforcer 45 Consulte Requisitos para a permissão de clientes que não sejam Windows sem autenticação na página 50. Onde colocar o appliance Gateway Enforcer É possível posicionar os Gateway Enforcers em locais pelos quais todo o tráfego deverá passar antes que um cliente possa realizar as seguintes ações: Conectar-se a uma rede corporativa. Acessar áreas seguras de uma rede. Consulte Diretrizes para endereços IP em um appliance Gateway Enforcer na página 47. Você geralmente pode colocar appliances Gateway Enforcer nos seguintes locais: VPN Entre concentradores de rede privada virtual (VPN) e a rede corporativa Ponto de acesso sem fio (WAP) Entre um ponto de acesso sem fio (WAP, Wireless Access Point) e a rede corporativa Servidores Em frente a servidores corporativos Organizações maiores podem precisar de um appliance Gateway Enforcer para proteger todos os pontos de entrada da rede. Os Gateway Enforcers estão geralmente localizados em sub-redes diferentes. Na maioria dos casos, é possível integrar appliances Gateway Enforcer a uma rede corporativa sem precisar realizar alterações na configuração do hardware. Também podem ser colocados appliances Gateway Enforcer perto de um ponto de acesso sem fio (WAP) e de uma rede privada virtual (VPN). Em uma rede corporativa, você também pode proteger servidores que contêm informações sigilosas. Os appliances Gateway Enforcer devem usar duas placas de interface de rede (NICs). A Figura 2-1 fornece um exemplo de onde podem ser colocados os appliances Gateway Enforcer na configuração geral de rede.

46 46 Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance Gateway Enforcer Figura 2-1 Disposição de appliances Gateway Enforcer Clientes remotos VPN Conexão sem fio Internet Empresa externa Empresa interna Ponto de acesso sem fio NIC externa NIC interna Clientes internos sem fio Gateway Enforcer NIC externa NIC interna Firewall corporativo Servidor VPN Gateway Enforcer NIC externa NIC interna Backbone corporativo Clientes internos Gateway Enforcer NIC externa NIC interna Gateway Enforcer Clientes internos Servidores protegidos Symantec Endpoint Protection Manager Outro local onde o appliance Gateway Enforcer protege uma rede é em um servidor de acesso remoto (RAS, Remote Access Server). Os clientes podem discar para conectar-se a uma rede corporativa. Clientes RAS dial-up são configurados de

47 Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance Gateway Enforcer 47 maneira similar a clientes sem fio (wireless) e VPN. A NIC externa se conecta ao servidor RAS e a NIC externa se conecta à rede. Diretrizes para endereços IP em um appliance Gateway Enforcer Siga estas diretrizes ao configurar o endereço da NIC interna de um appliance Gateway Enforcer: A NIC interna de um appliance Gateway Enforcer deve ser capaz de comunicar-se com um Symantec Endpoint Protection Manager. Por padrão, a NIC interna deve direcionar-se ao Symantec Endpoint Protection Manager. Os clientes devem ser capazes de se comunicar com o endereço IP interno do appliance Gateway Enforcer. O servidor VPN ou AP sem fio pode estar em uma sub-rede diferente, caso os clientes possam ser roteados à mesma sub-rede do endereço IP interno do appliance Gateway Enforcer. Em um appliance Gateway Enforcer que protege servidores internos, a NIC interna conecta-se à VLAN, que, por sua vez, conecta-se aos servidores. Se você usar um grande número de appliances Gateway Enforcer em uma configuração de failover, o endereço IP da NIC interna em cada appliance Gateway Enforcer deve ter seu próprio endereço IP. O Gateway Enforcer gerará um endereço falso da NIC externa, com base no endereço interno da NIC. Você não precisa configurar isso novamente se instalar um outro Gateway Enforcer. Sobre dois appliances Gateway Enforcer em série Se você executar dois appliances Gateway Enforcer em série, de maneira que um cliente se conecte à rede por meio de mais de um appliance Gateway Enforcer, será preciso definir o appliance Enforcer mais perto do Symantec Endpoint Protection Manager como um endereço IP interno e confiável para o outro appliance Gateway Enforcer. Caso contrário, um atraso de cinco minutos poderá ocorrer antes que o cliente possa conectar-se à rede. Esse atraso pode ocorrer quando o cliente executar uma verificação de integridade do host, e a mesma falhar. Como parte da correção da integridade do host, o cliente faz o download das atualizações de software necessárias. Então, o cliente executa novamente a verificação de integridade do host. Nesse momento, a verificação de integridade do host é aprovada, mas o acesso sofre um atraso. Consulte o Guia de Administração do Symantec Endpoint Protection e do Symantec Network Access Control para obter informações sobre endereços IP internos e confiáveis.

48 48 Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance Gateway Enforcer Proteção do acesso à VPN através de um appliance Gateway Enforcer A proteção do acesso à VPN é a razão mais comum e mais importante pela qual o appliance Gateway Enforcer é usado. Também podem ser colocados appliances Gateway Enforcer em pontos de entrada de VPN para proteger o acesso a uma rede corporativa. O appliance Gateway Enforcer é colocado entre o servidor VPN e a rede corporativa. Ele somente permitirá acesso a usuários autorizados e bloqueará o acesso a outros usuários. Proteção de pontos de acesso sem fio através de um appliance Gateway Enforcer Os appliances Enforcer protegem a rede corporativa nos pontos de acesso sem fio (WAP). O appliance Gateway Enforcer garante que qualquer usuário que se conectar à rede por meio de tecnologia sem fio estará executando o cliente e atenderá aos requisitos de segurança. Após atender a essas condições, o cliente tem o acesso à rede concedido. O appliance Gateway Enforcer é colocado entre o WAP e a rede corporativa. A NIC externa aponta em direção ao WAP e a NIC interna aponta em direção à rede corporativa. Proteção dos servidores através de um appliance Gateway Enforcer Os appliances Gateway Enforcer podem proteger os servidores corporativos que contêm informações confidenciais na rede corporativa. Uma organização pode colocar dados importantes em servidores localizados em uma sala de computadores trancada. Somente os administradores de sistemas podem ter o acesso a essa sala. O appliance Gateway Enforcer atua como um cadeado adicional na porta, permitindo que apenas os usuários que atendam a seus critérios tenham acesso aos servidores protegidos. Nessa configuração, os servidores localizam a NIC interna. Entretanto, os usuários que tentarem obter acesso deverão passar por meio da NIC externa. Para proteger estes servidores, é possível limitar o acesso somente aos clientes com endereços IP designados e configurar regras estritas de integridade do host. Por exemplo, um appliance Gateway Enforcer pode ser configurado para proteger os servidores em uma rede. Um appliance Gateway Enforcer pode estar localizado entre os clientes em uma LAN corporativa e os servidores que está protegendo. A NIC externa aponta para a LAN corporativa, dentro da empresa, e a NIC interna aponta na direção dos servidores protegidos. Essa configuração impede que usuários ou clientes não autorizados tenham acesso aos servidores.

49 Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance Gateway Enforcer 49 Proteção de servidores e de clientes que não sejam Windows através de um appliance Gateway Enforcer Você pode instalar os servidores e os clientes em um sistema operacional diferente do Microsoft Windows. Porém, o appliance Gateway Enforcer não pode autenticar servidores e clientes que não são executados em um computador que não suporte Microsoft Windows. Se a organização incluir servidores e clientes com sistemas operacionais nos quais o software-cliente não está instalado, você deverá definir qual dos seguintes métodos será usado: Implementar suporte por meio de um appliance Gateway Enforcer. Consulte Implementação de suporte para clientes que não sejam Windows por meio de um appliance Gateway Enforcer na página 49. Implementar suporte sem um appliance Gateway Enforcer. Consulte Implementação de suporte para clientes que não sejam Windows sem um appliance Gateway Enforcer na página 49. Implementação de suporte para clientes que não sejam Windows por meio de um appliance Gateway Enforcer É possível implementar o suporte para clientes que não sejam Windows configurando o appliance Gateway Enforcer para permitir que todos esses clientes acessem a rede. Se configurar o appliance Gateway Enforcer desta maneira, ele realizará a detecção do sistema operacional para identificar os clientes que executam sistemas operacionais que não sejam Windows. Implementação de suporte para clientes que não sejam Windows sem um appliance Gateway Enforcer Também é possível implementar o suporte para clientes que não sejam Windows permitindo que eles acessem a rede por meio de um ponto de acesso separado. Os clientes que aceitam sistemas operacionais que não sejam Windows podem ser conectados por meio de um servidor VPN separado: Um servidor VPN pode oferecer suporte a clientes que têm o software-cliente instalado. Os computadores-cliente baseados em Windows podem conectar-se à rede corporativa através de um appliance Gateway Enforcer. Outro pode aceitar outros clientes que executem sistemas operacionais que não sejam Windows. O computador-cliente que não seja baseado em Windows pode então conectar-se à rede corporativa sem um appliance Gateway Enforcer.

50 50 Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance Gateway Enforcer Requisitos para a permissão de clientes que não sejam Windows sem autenticação É possível configurar o appliance Gateway Enforcer para permitir clientes que não sejam Windows sem autenticação. Consulte Requisitos para clientes que não sejam Windows na página 50. Quando um cliente tentar acessar a rede corporativa através de um appliance Gateway Enforcer, o appliance Enforcer verificará primeiro se o software-cliente está instalado no computador-cliente. Se o cliente não for executado e a opção de permissão para clientes que não sejam Windows estiver definida, o appliance Gateway Enforcer verifica o sistema operacional. Ele verifica o sistema operacional enviando pacotes de informação para examinar o cliente e detectar o tipo de sistema operacional que ele está executando. Se o cliente estiver executando um sistema operacional que não seja Windows, ele terá acesso normal à rede. Requisitos para clientes Windows Quando um appliance Gateway Enforcer é configurado para permitir que clientes que não sejam Windows conectem-se a uma rede, ele tenta primeiro determinar o sistema. Se o sistema operacional é um sistema operacional baseado em Windows, o appliance Gateway Enforcer autentica o cliente. Caso contrário, o appliance Gateway Enforcer permite que o cliente se conecte à rede sem autenticação. Para que o appliance Gateway Enforcer detecte corretamente que um sistema operacional é Windows, os seguintes requisitos devem ser atendidos no cliente Windows: A opção Client for Microsoft Networks deve estar instalada e ativada no cliente. Consulte a documentação do Windows. A porta 137 UDP deve estar aberta no cliente. Ela deve ser acessível para o Gateway Enforcer. Se um cliente Windows não cumprir estes requisitos, o appliance Gateway Enforcer poderá interpretar o cliente Windows como sendo um cliente que não seja Windows. Conseqüentemente, o appliance Gateway Enforcer poderá permitir que o cliente que não seja Windows se conecte à rede sem autenticação. Requisitos para clientes que não sejam Windows O appliance Gateway Enforcer deve cumprir os seguintes requisitos antes de permitir que um cliente Macintosh conecte-se a uma rede: O compartilhamento do Windows deve estar ligado.

51 Planejamento para a instalação do appliance Enforcer Planejamento de failover para appliances Gateway Enforcer 51 Essa configuração fica ativada por padrão. O firewall integrado da Macintosh deve estar desligado. Essa é a configuração padrão O Gateway Enforcer apresenta o seguinte requisito para permitir um cliente Linux: O sistema Linux deve executar o serviço Samba. Planejamento de failover para appliances Gateway Enforcer Uma empresa pode aceitar dois appliances Gateway Enforcer que estão configurados para continuar as operações quando um dos appliances Gateway Enforcer falhar. Se um appliance Gateway Enforcer falhar em uma rede que não esteja configurada para failover, o acesso à rede nesse local será bloqueado automaticamente. Se um appliance Gateway Enforcer falhar em uma rede que não proporciona capacidade de failover, os clientes poderão não mais conectar-se à rede. Os clientes continuarão a ser bloqueados de conectar-se à rede até que o problema com o appliance Gateway Enforcer seja corrigido. Para um appliance Gateway Enforcer, o failover é implementado através do próprio appliance Gateway Enforcer, em vez dos alternadores de terceiros. Se a configuração for definida corretamente, o Symantec Endpoint Protection Manager sincronizará automaticamente as configurações para os appliances Gateway Enforcer de failover. Como o failover funciona com os appliances Gateway Enforcer na rede O appliance Gateway Enforcer que estiver operacional é chamado de appliance Gateway Enforcer ativo. O appliance Gateway Enforcer do backup é chamado de appliance Gateway Enforcer em modo de espera. O appliance Gateway Enforcer ativo é conhecido também como o appliance Gateway Enforcer principal. Se o appliance Gateway Enforcer ativo falhar, o appliance Gateway Enforcer em modo de espera assumirá as tarefas da aplicação. A seqüência em que os dois appliances Gateway Enforcer são iniciados é a seguinte: Quando o primeiro appliance Gateway Enforcer é iniciado, ele é executado no modo de espera. Enquanto estiver no modo de espera, ele consultará a rede para determinar se um outro appliance Gateway Enforcer está em execução. Ele envia três consultas para pesquisar um outro Gateway Enforcer. Conseqüentemente, ele pode levar alguns minutos para mudar seu status para on-line.

52 52 Planejamento para a instalação do appliance Enforcer Planejamento de failover para appliances Gateway Enforcer Se o primeiro appliance Gateway Enforcer não detectar um outro appliance Gateway Enforcer, o primeiro appliance Gateway Enforcer será o appliance Gateway Enforcer ativo. Enquanto o appliance Gateway Enforcer ativo estiver em execução, ele transmitirá pacotes de failover para as redes internas e externas. Ele continuará transmitindo pacotes de failover. Assim que o segundo appliance Gateway Enforcer for iniciado, ele será executado no modo de espera. Ele consulta a rede para determinar se um outro appliance Gateway Enforcer está em execução. O segundo appliance Gateway Enforcer detecta então o appliance Gateway Enforcer ativo que está em execução e permanece, conseqüentemente, no modo de espera. Se o appliance Gateway Enforcer ativo falhar, ele interromperá parar a transmissão de pacotes de failover. O appliance Gateway Enforcer em espera não detectará um appliance Gateway Enforcer ativo. Conseqüentemente, transforma-se no appliance Gateway Enforcer ativo que controla as conexões de rede e a segurança neste local. Se você iniciar o outro appliance Gateway Enforcer, ele permanecerá sendo o appliance Gateway Enforcer em modo de espera, pois detectará que um outro appliance Gateway Enforcer está ativo. Onde colocar um ou mais appliances Gateway Enforcer para failover em uma rede com uma ou mais VLANs Configure um appliance Gateway Enforcer para fazer failover pelo local físico e pela configuração definida no Symantec Endpoint Protection Manager. Se você usar um hub que suporta um grande número de VLANs, será possível usar somente uma VLAN, a menos que você integre um alternador compatível com 802.1q em vez de um hub. O appliance Gateway Enforcer para failover deve ser configurado no mesmo segmento de rede. Um roteador ou gateway não pode ser instalado entre os dois appliances Gateway Enforcer. O roteador ou gateway não encaminha o pacote de failover. As NICs internas devem conectar-se à rede interna com o mesmo alternador ou hub. As NICs externas devem conectar-se ao servidor VPN externo ou ao ponto de acesso com o mesmo alternador ou hub. Você usa processos semelhantes para configurar appliances Gateway Enforcer para failover em um AP sem fio, RAS dial-up ou outros pontos de acesso. As NICs externas de ambos appliances Gateway Enforcer se conectam à rede externa através de um servidor AP sem fio ou RAS. As NICs internas se conectam à rede interna ou à área protegida.

53 Planejamento para a instalação do appliance Enforcer Planejamento de failover para appliances Gateway Enforcer 53 A Figura 2-2 mostra como configurar dois appliances Gateway Enforcer para failover, a fim de proteger o acesso à rede em um concentrador do VPN. Figura 2-2 Disposição de dois appliances Gateway Enforcer Clientes remotos VPN Internet Fora da empresa Dentro da empresa Firewall corporativa Clientes internos Servidor VPN NIC externa NIC interna Gateway Enforcer 1 Hub/VLAN NIC externa NIC interna Gateway Enforcer 2 Hub/VLAN Backbone corporativo Clientes internos Servidores protegidos Symantec Endpoint Protection Manager

54 54 Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance DHCP Enforcer Configuração de appliances do Gateway Enforcer para failover Você deve familiarizar-se com os conceitos que estão envolvidos no failover do appliance Gateway Enforcer antes de configurar Enforcers em modo de espera. Consulte Como o failover funciona com os appliances Gateway Enforcer na rede na página 51. Para configurar appliances Gateway Enforcer para failover 1 Coloque os computadores na rede. Consulte Onde colocar um ou mais appliances Gateway Enforcer para failover em uma rede com uma ou mais VLANs na página Configure as NIC internas. As NIC internas em um grande número de appliances Gateway Enforcer devem cada uma ter um endereço IP diferente. Consulte Diretrizes para endereços IP em um appliance Gateway Enforcer na página 47. Planejamento da instalação para um appliance DHCP Enforcer Há diversos tipos de informações de planejamento que podem ajudar a implementar appliances DHCP Enforcer em uma rede. Você pode instalar o appliance DHCP Enforcer para proteger as seguintes áreas em uma rede: Consulte Onde colocar os appliances DHCP Enforcer em uma rede na página 54. Consulte Endereços IP do appliance DHCP Enforcer na página 56. Consulte Proteção de clientes que não sejam Windows com aplicação de DHCP na página 57. Consulte Sobre o servidor DHCP na página 58. Onde colocar os appliances DHCP Enforcer em uma rede Se quiser garantir que o appliance DHCP Enforcer intercepte todas as mensagens DHCP entre clientes e servidores DHCP, você deverá instalar o DHCP Enforcer como um dispositivo em linha. O DHCP Enforcer deve ser instalado entre os clientes e o servidor DHCP.

55 Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance DHCP Enforcer 55 A NIC interna do appliance DHCP Enforcer conecta-se aos servidores DHCP. A NIC externa do DHCP Enforcer conecta-se aos clientes através de um roteador ou de um alternador, que atua como um agente de transmissão DHCP. O Symantec Endpoint Protection Manager também conecta-se à NIC externa do appliance DHCP Enforcer. Você pode configurar um appliance DHCP Enforcer para comunicar-se com vários servidores DHCP. Por exemplo, você pode ter diversos servidores DHCP na mesma sub-rede, para propósitos de failover. Se houver servidores DHCP em diferentes locais na rede, cada um necessitará de um appliance DHCP Enforcer individual. Para cada um dos locais de servidor DHCP, configure um servidor DHCP normal e um servidor DHCP de quarentena. Você pode configurar o Enforcer para reconhecer diversos servidores DHCP de quarentena, assim como vários servidores DHCP normais. Nota: É possível instalar um servidor DHCP em uma máquina e configurá-la para oferecer uma configuração normal e uma configuração de rede de quarentena. Também é necessário configurar um servidor de correção para que os clientes que receberem configurações de quarentena possam conectar-se a ele. Opcionalmente, o Symantec Endpoint Protection Manager pode ser executado no mesmo computador do servidor de correção. O Symantec Endpoint Protection Manager ou o servidor de correção não necessitam de nenhuma conexão direta com o appliance DHCP Enforcer ou com os servidores DHCP. Se o cliente atender aos requisitos de segurança, o appliance DHCP Enforcer atuará como um agente de transmissão DHCP. O appliance DHCP Enforcer conecta o cliente ao servidor DHCP normal e o cliente recebe uma configuração de rede regular. Se o cliente não atender aos requisitos de segurança, o appliance DHCP Enforcer o conectará ao servidor DHCP de quarentena. O cliente receberá, então, uma configuração de rede de quarentena. A Figura 2-3 mostra um exemplo dos vários componentes que são necessários para um appliance DHCP Enforcer e onde são colocados. Nota: Embora a ilustração mostre um servidor DHCP de quarentena em uma máquina separada, somente um computador é necessário. Se utilizar somente um computador, você deverá configurar o servidor DHCP para fornecer duas configurações diferentes de rede. Uma das configurações de rede deve ser uma configuração de rede de quarentena.

56 56 Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance DHCP Enforcer Figura 2-3 Colocação de um appliance DHCP Enforcer Symantec Endpoint Protection Manager Clientes Agente de relay Backbone corporativo Servidores Hub/Alternador NIC externa NIC interna Appliance DHCP Enforcer Hub/Alternador Servidor DHCP Endereços IP do appliance DHCP Enforcer Ao configurar um endereço IP para um appliance DHCP Enforcer, devem ser seguidas algumas diretrizes. Siga estas diretrizes ao configurar a NIC interna de um appliance DHCP Enforcer: O endereço IP interno do appliance DHCP Enforcer deve estar na mesma sub-rede dos servidores DHCP.

57 Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance DHCP Enforcer 57 Os clientes devem ser capazes de se comunicar com o endereço IP interno do appliance DHCP Enforcer. Se você usar diversos DHCP Enforcers em uma configuração de failover, o endereço IP da NIC interna deve ser diferente em cada appliance DHCP Enforcer. Se você usar diversos appliances DHCP Enforcer em uma configuração de failover, os clientes devem poder comunicar-se com o endereço IP interno de ambos os appliances DHCP Enforcer ativos e em modo de espera. Siga estas diretrizes ao configurar a NIC externa de um appliance DHCP Enforcer: O endereço IP externo do appliance DHCP Enforcer deve ser capaz de se comunicar com o Symantec Endpoint Protection Manager. Ele deve estar na mesma sub-rede do intervalo de IP da NIC interna. Neste caso, o Symantec Endpoint Protection Manager localiza-se em um lado do alternador, enquanto o appliance DHCP Enforcer é situado no lado oposto. Se usar diversos appliances DHCP Enforcer em uma configuração de failover, o endereço IP da NIC externa deve ser diferente em cada appliance Gateway Enforcer. Proteção de clientes que não sejam Windows com aplicação de DHCP Você poderá instalar o software Symantec Endpoint Protection ou o software Symantec Network Access Control em clientes que executem o sistema operacional Microsoft Windows. O DHCP Enforcer não consegue autenticar clientes sem o software Symantec Endpoint Protection. Se a organização incluir clientes com sistemas operacionais que não sejam compatíveis com o software, como Linux ou Solaris, seu planejamento deverá incluir como lidar com esses clientes. Se você pode implementar o suporte para clientes que não sejam Windows, também pode configurar o appliance DHCP Enforcer para permitir que todos os clientes que não sejam Windows se conectem à rede. Quando o appliance DHCP Enforcer for configurado desta maneira, o appliance DHCP Enforcer executará a detecção do sistema operacional para identificar os clientes que executem sistemas operacionais que não sejam Windows. Como método alternativo, é possível configurar um DHCP Enforcer para permitir que endereços específicos MAC acessem a rede corporativa. Quando um cliente com um endereço MAC confiável tenta se conectar à rede, o DHCP Enforcer encaminha a solicitação DHCP do cliente ao servidor DHCP normal sem autenticação.

58 58 Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance DHCP Enforcer Sobre o servidor DHCP É possível configurar um servidor DHCP em quarentena separadamente em outro computador. Também é possível configurar o mesmo servidor DHCP para fornecer ambas as configurações de rede normal e de quarentena. A configuração de rede de quarentena deve fornecer acesso aos seguintes componentes: Servidor de correção Symantec Endpoint Protection Manager Servidor DHCP Appliance DHCP Enforcer Se você usar diversos appliances DHCP Enforcer para failover, a configuração de rede de quarentena deverá dar acesso a esses componentes. O endereço IP de quarentena é usado durante a autenticação do DHCP Enforcer da seguinte maneira: O appliance DHCP Enforcer obtém, inicialmente, um endereço IP de quarentena temporário para que o cliente realize a autenticação com um cliente. Se a autenticação for bem sucedida, o appliance DHCP Enforcer envia uma mensagem de notificação ao cliente, solicitando a realização imediata de uma liberação e renovação do IP. Você pode atribuir um tempo de concessão curto à configuração da quarentena. A Symantec recomenda 2 minutos. Se usar dois servidores DHCP, configure um intervalo de endereços IP que não coincida com o intervalo dos endereços IP normais da rede. Você pode, então, usar todos os endereços IP do intervalo de endereço IP separado para a quarentena de clientes não autorizados. Porém, o intervalo de endereços IP usado para a quarentena deve estar localizado na mesma sub-rede que os endereços IP normais da rede. É possível atribuir alguns endereços IP restritos que podem ser usados pelo servidor DHCP em quarentena. Também pode usar um roteador ou um alternador compatível com ACL para evitar que esses endereços IP restritos acessem os recursos normais da rede. Se usar um servidor DHCP, deverá ser configurada uma classe de usuário chamada SYGATE_ENF, usada para a configuração da quarentena. Algumas das etapas de configuração são realizadas no servidor DHCP. Outras tarefas de configuração são realizadas no console do Enforcer, após a conclusão da instalação.

59 Planejamento para a instalação do appliance Enforcer Planejamento de failover para appliances DHCP Enforcer 59 Servidor DHCP normal e em quarentena em um servidor DHCP É possível usar o mesmo servidor para os servidores DHCP normal e em quarentena. Recomenda-se que sejam usados dois servidores. Se deseja usar um servidor DHCP como servidor DCHP normal e em quarentena, é necessário considerar as seguintes orientações: Os servidores DHCP da Microsoft não aceitam várias sub-redes. Se você usar servidores DHCP da Microsoft, poderá ser necessário dois servidores DHCP. Se quiser usar somente um servidor DHCP da Microsoft, todos os computadores deverão usar a mesma sub-rede do endereço IP. Se estiver em um ambiente que usa duas sub-redes distintas, você deverá certificar-se de que os roteadores são capazes de gerenciar duas sub-redes em uma única interface de roteador. Por exemplo, os roteadores Cisco têm um recurso chamado IP secundário (IP secondary). Consulte a documentação do roteador para obter mais informações. Planejamento de failover para appliances DHCP Enforcer Uma empresa pode configurar dois appliances DHCP Enforcer em uma rede para continuar as operações caso um dos appliances de DHCP Enforcer falhe. Se um appliance DHCP Enforcer falhar em uma rede não configurada para failover, o acesso à rede nesse local será bloqueado automaticamente. Se um appliance DHCP Enforcer falhar em uma rede que não oferece capacidade de failover, os usuários não poderão mais conectar-se à rede. Isso continuará a ocorrer até que o problema com o appliance DHCP Enforcer esteja corrigido. Para um appliance DHCP Enforcer, o failover é implementado através do próprio appliance DHCP Enforcer em vez de alternadores de terceiros. Se a configuração de hardware for configurada corretamente, o Symantec Endpoint Protection Manager sincronizará automaticamente as configurações para os appliances DHCP Enforcer de failover. Como o failover funciona com os appliances DHCP Enforcer na rede O appliance DHCP Enforcer operacional é chamado de appliance DHCP Enforcer ativo. O appliance DHCP Enforcer de backup é chamado de appliance DHCP Enforcer em modo espera. O appliance DHCP Enforcer ativo é denominado também appliance DHCP Enforcer primário. Se o appliance DHCP Enforcer ativo falhar, o appliance DHCP Enforcer de modo espera assumirá as tarefas do aplicativo.

60 60 Planejamento para a instalação do appliance Enforcer Planejamento de failover para appliances DHCP Enforcer A seqüência em que os dois appliances DHCP Enforcer são iniciados é a seguinte: Quando o primeiro appliance DHCP Enforcer for iniciado, ele será executado em modo de espera enquanto consulta a rede para determinar se um outro appliance DHCP Enforcer está em execução. Ele envia três consultas para procurar outro DHCP Enforcer. Conseqüentemente, ele pode levar alguns minutos para mudar seu status para on-line. Se ele não detectar outro appliance DHCP Enforcer, ele o transformará no appliance DHCP Enforcer ativo. Enquanto o appliance DHCP Enforcer ativo estiver sendo executado, ele transmitirá pacotes de failover nas redes internas e externas. Ele continuará transmitindo pacotes de failover. O segundo appliance DHCP Enforcer será iniciado. Ele será executado no modo de espera enquanto consulta a rede para determinar se um outro appliance DHCP Enforcer está em execução. O segundo appliance DHCP Enforcer detectará o appliance DHCP Enforcer ativo que está sendo executado e permanecerá, conseqüentemente, no modo de espera. Se o appliance DHCP Enforcer ativo falhar, ele será interrompido para transmitir pacotes de failover. O appliance DHCP Enforcer em espera não detectará um appliance DHCP Enforcer ativo. Ele se transforma-se no appliance DHCP Enforcer ativo que controla as conexões de rede e a segurança neste local. Se você iniciar o outro appliance DHCP Enforcer, ele permanecerá como appliance DHCP Enforcer em modo de espera, pois detectará que outro appliance DHCP Enforcer está em execução. Onde colocar appliances DHCP Enforcer para failover em uma rede com somente uma ou com várias VLANs Configure um appliance DHCP Enforcer para failover por seu local físico e pela configuração executada no Symantec Endpoint Protection Manager. Se você usar um hub que suporta um grande número de VLANs, será possível usar somente uma VLAN, a menos que você integre um alternador compatível com 802.1q em vez de um hub. O appliance DHCP Enforcer para failover deve ser configurado no mesmo segmento de rede. Um roteador ou um gateway não podem ser instalados entre dois appliances DHCP Enforcer. O roteador ou gateway não encaminha o pacote de failover. As NICs internas devem conectar-se à rede interna com o mesmo

61 Planejamento para a instalação do appliance Enforcer Planejamento de failover para appliances DHCP Enforcer 61 alternador ou hub. As NICs externas devem conectar-se ao servidor VPN externo ou ao ponto de acesso com o mesmo alternador ou hub. A configuração de appliances DHCP Enforcer para failover em um AP sem fio, RAS dial-up ou em outros pontos de acesso é semelhante. As NICs externas de ambos appliances DHCP Enforcer se conectam à rede externa através de um servidor AP sem fio ou RAS. As NICs internas se conectam à rede interna ou à área protegida. A Figura 2-4 mostra como configurar dois appliances DHCP Enforcer para que o failover proteja o acesso à rede em um concentrador da VPN. Figura 2-4 Colocação de dois appliances DHCP Enforcer Clientes Symantec Endpoint Protection Manager Agente de relay Backbone corporativo Servidores NIC externa NIC interna Appliance DHCP Enforcer Hub/Alternador Hub/Alternador Appliance DHCP Enforcer sobressalente NIC externa NIC interna Servidor DHCP

62 62 Planejamento para a instalação do appliance Enforcer Planejamento de failover para appliances DHCP Enforcer Configuração de appliances DHCP Enforcer para failover Você deve familiarizar-se com os conceitos que estão envolvidos no failover do appliance DHCP Enforcer antes de configurar appliances DHCP Enforcer em modo de espera. Consulte Como o failover funciona com os appliances DHCP Enforcer na rede na página 59. Para configurar appliances DHCP Enforcer para failover 1 Coloque os computadores na rede. Consulte Onde colocar appliances DHCP Enforcer para failover em uma rede com somente uma ou com várias VLANs na página Configure as NICs externas e internas. As NICs externas de vários appliances DHCP Enforcer devem cada uma ter um endereço IP diferente. As NICs internas de vários appliances DHCP Enforcer devem cada uma ter um endereço IP diferente. Consulte Endereços IP do appliance DHCP Enforcer na página Instale e inicie o appliance DHCP Enforcer primário. Se o appliance DHCP Enforcer primário não localizar outro DHCP Enforcer, ele tomará a função do appliance DHCP Enforcer ativo. 4 Instale e inicie o appliance DHCP Enforcer em modo de espera. 5 Conecte o appliance DHCP Enforcer em modo de espera no mesmo Symantec Endpoint Protection Manager que o appliance DHCP Enforcer ativo. Se ambos appliances DHCP Enforcers estiverem em execução durante a mesma quantidade de horas, então aquele com o endereço IP mais baixo será transformado no appliance DHCP Enforcer primário. O failover é ativado por padrão no Symantec Endpoint Protection Manager. O Symantec Endpoint Protection Manager atribui automaticamente o appliance DHCP Enforcer em modo de espera ao mesmo grupo de Enforcer. Conseqüentemente, as configurações dos appliances DHCP Enforcer primário e em espera são sincronizadas. As seguintes configurações de failover são ativadas por padrão: A configuração padrão para a porta UDP de failover é O appliance DHCP Enforcer de failover usa essa porta para se comunicar com outros. A configuração padrão para o nível de sensibilidade de failover é Alto (menos de 5 segundos).

63 Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance LAN Enforcer 63 O nível de sensibilidade de failover determina como o appliance DHCP Enforcer em modo de espera se transforma no appliance DHCP Enforcer primário. O failover ocorre somente se o appliance DHCP Enforcer em modo de espera detecta que o appliance DHCP Enforcer primário não está mais ativo. Planejamento da instalação para um appliance LAN Enforcer Há diversos tipos de informações de planejamento que podem ajudar a implementar appliances LAN Enforcer em uma rede. Consulte Onde colocar appliances LAN Enforcer na página 63. Onde colocar appliances LAN Enforcer Um appliance LAN Enforcer atua como um proxy RADIUS. Os administradores geralmente usam o appliance LAN Enforcer com um servidor RADIUS para aplicar o protocolo de autenticação extensível (EAP, Extensible Authentication Protocol) 802.1x em uma rede corporativa. Se você usar um appliance LAN Enforcer nesta configuração, ele deverá ser capaz de se comunicar com o servidor RADIUS. Por exemplo, é possível conectar um appliance LAN Enforcer a um alternador de LAN compatível com 802.1x em uma VLAN interna com um Symantec Endpoint Protection Manager, um servidor RADIUS e clientes. O computador que não tiver o software-cliente não poderá se conectar à rede. No entanto, o cliente é direcionado ao servidor de correção do qual pode obter o software de que necessita para estar em conformidade. A Figura 2-5 mostra um exemplo de onde se pode colocar o appliance LAN Enforcer na configuração geral da rede interna.

64 64 Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance LAN Enforcer Figura 2-5 Colocação de appliances LAN Enforcer Clientes VLAN de correção Alternador compatível com 802.1x com portas com dot1x ativado para clientes internos VLAN de correção Servidor RADIUS Appliance LAN Enforcer (proxy RADIUS) Backbone corporativo Servidores protegidos Symantec Endpoint Protection Manager Se o alternador oferecer suporte para alternação dinâmica de VLAN, será possível configurar VLANs adicionais no alternador compatível com 802.1x e acessá-las no appliance LAN Enforcer. O alternador compatível com 802.1x pode colocar dinamicamente o cliente em uma VLAN depois de receber uma resposta do servidor RADIUS. Alguns alternadores compatíveis com 802.1x também incluem um recurso

65 Planejamento para a instalação do appliance Enforcer Planejamento da instalação para um appliance LAN Enforcer 65 VLAN padrão ou convidado (guest VLAN). Se um cliente não tiver suplicante 802.1x, o alternador compatível com 802.1x pode colocar o cliente na VLAN padrão. É possível instalar o appliance LAN Enforcer para que possa ativar a autenticação EAP em toda a rede com equipamentos que já foram implementados. Os appliances LAN Enforcer podem operar com os servidores RADIUS, suplicantes 802.1x e alternadores compatíveis com 802.1x. Eles executam a autenticação em nível de computador. Ele certifica a conformidade do cliente com relação às políticas de segurança. Por exemplo, ele verifica se o software antivírus está atualizado com as atualizações mais recentes do arquivo de assinatura e dos patches de software necessários. O suplicante 802.1x e o servidor Radius executam a autenticação em nível de usuário. Ele verifica se os clientes que tentam se conectar à rede são aqueles que dizem ser. Como alternativa, o appliance LAN Enforcer também pode operar em modo transparente, eliminando a necessidade de um servidor RADIUS. Em modo transparente, o cliente passa informações de integridade do host para o alternador compatível com 802.1x em resposta ao estímulo EAP. O alternador encaminha as informações para o LAN Enforcer. O appliance LAN Enforcer envia os resultados da autenticação de volta ao alternador compatível com 802.1x. As informações que o appliance LAN Enforcer envia são baseadas nos resultados da validação de integridade do host. Portanto, o appliance LAN Enforcer não necessita comunicar-se com o servidor RADIUS. As seguintes configurações estão disponíveis para um appliance LAN Enforcer: Configuração básica Essa configuração exige um servidor RADIUS e um suplicante 802.1x de terceiros. Tanto a autenticação de usuário EAP tradicional quanto a validação de integridade do host Symantec são executadas. Modo transparente Essa configuração não exige um servidor RADIUS nem a utilização de suplicantes 802.1x de terceiros. Apenas a validação de integridade do host é realizada. Você pode considerar os seguintes problemas: Você pensa em instalar um suplicante 802.1x em cada computador? Se planeja instalar um suplicante 802.1x em cada computador, você pode utilizar a configuração básica. Você deseja executar uma autenticação em nível de usuário, além da verificação da integridade do host? Se deseja executar uma autenticação em nível de usuário, além da verificação da integridade do host, é necessário usar a configuração básica.

66 66 Planejamento para a instalação do appliance Enforcer Planejamento de failover para appliances LAN Enforcer Você pensa em utilizar um servidor RADIUS na configuração da rede? Se pensa em usar o servidor RADIUS na configuração de rede, é possível usar tanto a configuração básica quanto o modo transparente. Se não pensa em usar um servidor RADIUS na configuração da rede, use o modo transparente. Planejamento de failover para appliances LAN Enforcer Se você instalou dois appliances LAN Enforcer em uma rede, o failover é controlado através do alternador compatível com 802.1x. Um alternador compatível com 802.1x pode aceitar um grande número de appliances LAN Enforcer. Você pode sincronizar facilmente as configurações de appliances LAN Enforcer no Symantec Endpoint Protection Manager com o uso de configurações de sincronização. Se você quer sincronizar as configurações de um appliance LAN Enforcer com um outro appliance LAN Enforcer, especifique o mesmo nome de grupo no console do Enforcer. Se você usar um servidor RADIUS em sua rede, poderá fazer com que o servidor RADIUS forneça a capacidade de failover, configurando o appliance LAN Enforcer para se conectar a um grande número de servidores RADIUS. Se todos os servidores RADIUS que estão configurados para esse appliance LAN Enforcer forem desabilitados, o alternador presumirá que o appliance LAN Enforcer está desabilitado. Conseqüentemente, o alternador compatível com 802.1x se conectará a um appliance LAN Enforcer diferente que forneça o suporte adicional de failover. Onde colocar os appliances LAN Enforcer para failover em uma rede A Figura 2-6 descreve como fornecer failover para appliances LAN Enforcer.

67 Planejamento para a instalação do appliance Enforcer Planejamento de failover para appliances LAN Enforcer 67 Figura 2-6 Colocação de dois appliances LAN Enforcer Clientes VLAN de correção Servidor de correção Alternador compatível com 802.1x com portas com dot1x ativado para clientes internos Servidor RADIUS Servidor RADIUS sobressalente Appliance LAN Enforcer (proxy RADIUS) Backbone corporativo Servidores protegidos Symantec Endpoint Protection Manager

68 68 Planejamento para a instalação do appliance Enforcer Planejamento de failover para appliances LAN Enforcer

69 Capítulo 3 Upgrade e migração de imagens do appliance Enforcer Este capítulo contém os tópicos a seguir: Sobre upgrade e migração de imagens do appliance Enforcer para a versão Como determinar a versão atual de uma imagem do appliance Enforcer Como fazer upgrade da imagem do appliance Enforcer de 11.0 ou para Migração da imagem do appliance Enforcer de 5.1.x para Geração de imagens do appliance Enforcer Sobre upgrade e migração de imagens do appliance Enforcer para a versão É necessário determinar a versão do software do appliance Enforcer antes de planejar a atualização, migração ou a geração de imagens do software do appliance Enforcer. Consulte Como determinar a versão atual de uma imagem do appliance Enforcer na página 70. Talvez seja necessário fazer upgrade da imagem de um appliance Enforcer para a versão se você desejar se conectar à versão do Symantec Endpoint Protection Manager. O upgrade permite aproveitar os recursos novos

70 70 Upgrade e migração de imagens do appliance Enforcer Como determinar a versão atual de uma imagem do appliance Enforcer fornecidos pela versão do appliance do Symantec Network Access Control Enforcer. Você pode selecionar alguns dos seguintes métodos para fazer upgrade da imagem do appliance Enforcer: Fazer upgrade da imagem atual do appliance Enforcer. Consulte Como fazer upgrade da imagem do appliance Enforcer de 11.0 ou para na página 71. Migrar a imagem do appliance Enforcer 5.1.x para a imagem do appliance Enforcer. Consulte Migração da imagem do appliance Enforcer de 5.1.x para na página 71. Instalar uma imagem diferente do appliance Enforcer sobre uma imagem anterior do appliance Enforcer. Consulte Geração de imagens do appliance Enforcer na página 72. A versão do appliance Symantec Network Access Control Enforcer funciona com as seguintes versões do Symantec Endpoint Protection Manager: Versão Versão Como determinar a versão atual de uma imagem do appliance Enforcer Você deve determinar a versão atual da imagem que é suportada no appliance Enforcer. A versão mais recente é Se você tem uma versão que preceda a , é necessário fazer um upgrade ou migrar. Por exemplo, se você determinar a versão de uma imagem do appliance DHCP Enforcer, o resultado poderá ser o seguinte: Symantec Network Access Control Enforcer 6100 Series - v build XXXX, ,19:09 DHCP Enforcer mode Para determinar a versão atual de uma imagem do appliance Enforcer Digite o comando a seguir na interface de linha de comando de um appliance Enforcer: show version

71 Upgrade e migração de imagens do appliance Enforcer Como fazer upgrade da imagem do appliance Enforcer de 11.0 ou para Como fazer upgrade da imagem do appliance Enforcer de 11.0 ou para Você pode usar o seguinte método para atualizar uma imagem do appliance Enforcer da versão 11.0 ou para a versão Para fazer o upgrade da imagem do appliance Enforcer de 11.0 ou para Insira o CD na unidade de CD-ROM do appliance Enforcer. 2 Digite o comando a seguir no console de um appliance Enforcer: Enforcer# update Migração da imagem do appliance Enforcer de 5.1.x para Você pode usar alguns dos seguintes métodos para atualizar uma imagem do appliance Enforcer da versão 5.1.x para a versão : Migrar a imagem do appliance Enforcer de 5.1.x para com um disco USB (Universal Serial Bus). Migrar a imagem do appliance Enforcer de 5.1.x para de um servidor TFTP. Para migrar a imagem do appliance Enforcer de 5.1.x para com um disco USB 1 Copiar os dois arquivos de atualização, initrd-enforcer.img.gpg e lista do pacote, para um disco USB. 2 Digite o comando a seguir para atualizar automaticamente o appliance Enforcer: Enforcer# update Consulte Update na página 253.

72 72 Upgrade e migração de imagens do appliance Enforcer Geração de imagens do appliance Enforcer Para migrar a imagem do appliance Enforcer de 5.1.x para com um servidor TFTP 1 Faça o upload dos dois arquivos de atualização, initrd-enforcer.img.gpg e a lista do pacote, para o servidor TFTP (Trivial File Transfer Protocol) ao qual o appliance Enforcer pode se conectar. 2 Execute o comando a seguir no console do appliance Enforcer: Enforcer:# update tftp://endereço IP do servidor TFTP Consulte Update na página Selecione Y quando você for solicitado a iniciar a nova imagem. 4 Selecione 1 para reiniciar o appliance Enforcer após ter aplicado a nova imagem. Não se recomenda que você inicie a nova imagem sem reiniciar o appliance Enforcer. 5 Faça o logon no appliance Enforcer. 6 Consulte Logon em um appliance Enforcer na página 88. Geração de imagens do appliance Enforcer O appliance Enforcer é fornecido com o software de geração de imagens para todos os appliances Enforcer: Gateway, LAN e DHCP. O software de geração de imagens inclui o sistema operacional Linux de alta segurança e o software appliance Enforcer para a substituição de uma imagem do appliance Enforcer. Ao iniciar a instalação a partir do CD, o processo de geração de imagens apaga a configuração existente no appliance Enforcer. Os arquivos novos são instalados sobre os arquivos existentes. Todas as configurações previamente definidas no appliance Enforcer são perdidas. É possível instalar um tipo diferente de appliance Enforcer se quiser mudar o tipo que está atualmente em uso. Se você mudar o tipo de imagem do appliance Enforcer, isso poderá envolver o remanejamento de um appliance Enforcer na rede corporativa. Consulte Planejamento da instalação para appliances Enforcer na página 43.

73 Upgrade e migração de imagens do appliance Enforcer Geração de imagens do appliance Enforcer 73 Ao gerar imagens de um appliance Enforcer 1 Insira o CD na unidade de CD-ROM do appliance Enforcer. 2 Na linha de comando, digite o comando a seguir: Enforcer:# reboot Esse comando reinicia o appliance Enforcer. 3 No menu Instalação, selecione Setup Symantec Enforcer from the CD (Instalar o Symantec Enforcer a partir do CD-ROM). Se você deixar o menu Setup (Instalação) passar, o appliance Enforcer reiniciará a partir do disco, em vez de iniciar pelo CD. Para gerar imagens, será necessário reiniciar a partir do CD. 4 Instale e configure o appliance Enforcer. Consulte Instalação de um appliance Enforcer na página 80.

74 74 Upgrade e migração de imagens do appliance Enforcer Geração de imagens do appliance Enforcer

75 Capítulo 4 Instalação do appliance Enforcer pela primeira vez Este capítulo contém os tópicos a seguir: Antes da instalação do appliance Enforcer Instalação de um appliance Enforcer Antes da instalação do appliance Enforcer O appliance Enforcer é um dispositivo de hardware que aplica o controle de acesso à rede aos clientes que tentam conectar-se. Se os clientes estiverem em conformidade com as políticas de segurança, eles receberão permissão para acessar os recursos na rede. O tipo de appliance Enforcer que você pode implementar depende do tipo de produto do Symantec Network Access Control que você adquiriu. Consulte o contrato de licença para obter mais informações. É possível implementar o appliance Enforcer operando com o Symantec Endpoint Protection Manager e com clientes. O Enforcer inclui os seguintes tipos: Appliance Gateway Enforcer Appliance DHCP Enforcer Appliance LAN Enforcer

76 76 Instalação do appliance Enforcer pela primeira vez Antes da instalação do appliance Enforcer Sobre a instalação do appliance Gateway Enforcer O appliance Gateway Enforcer geralmente é usado em linha como uma ponte segura de aplicação de políticas para proteger uma rede corporativa contra intrusos externos. Antes de instalar um appliance Gateway Enforcer, é necessário analisar seu posicionamento correto na rede. Os appliances Gateway Enforcer podem ser colocados por toda a empresa para garantir que os limites de rede estejam em conformidade com a política de segurança. Você pode usar os appliances Gateway Enforcer para proteger servidores dentro da empresa. Eles podem assegurar que somente clientes confiáveis ou autenticados possam acessar os servidores. Os appliances Gateway Enforcer são geralmente usados nestes locais de rede: VPN Ponto de acesso sem fio (WAP) Dial-up (servidor de acesso remoto [RAS, Remote Access Server]) Segmentos de Ethernet (rede de área local [LAN, Local Area Network]) Consulte Onde colocar o appliance Gateway Enforcer na página 45. Sobre a instalação do appliance DHCP Enforcer O DHCP Enforcer é usado em linha como uma ponte segura de aplicação de políticas para proteger uma rede interna. Os clientes que tentam conectar-se à rede enviam uma solicitação DHCP para um endereço IP dinâmico. O alternador ou roteador (que atua como um cliente de retransmissão DHCP) roteia a solicitação DHCP. A solicitação DHCP é enviada para o appliance DHCP Enforcer, configurado em linha em frente ao servidor DHCP. Antes que o appliance DHCP Enforcer encaminhe a solicitação DHCP ao servidor DHCP, o appliance DHCP Enforcer verifica se os clientes cumprem as políticas de segurança. Se o cliente estiver em conformidade com as políticas de segurança, o DHCP Enforcer enviará a solicitação do cliente de um endereço IP ao servidor DHCP normal. Se o cliente não estiver em conformidade com as políticas de segurança, o appliance DHCP Enforcer se conectará ao servidor de quarentena DHCP. O servidor de quarentena DHCP atribuirá uma configuração de quarentena na rede para o cliente. Para completar a configuração DHCP Enforcer, o administrador deve configurar um servidor de reparo e restringir o acesso dos clientes em quarentena. Os clientes restritos poderão interagir somente com o servidor de reparo.

77 Instalação do appliance Enforcer pela primeira vez Antes da instalação do appliance Enforcer 77 Se alta disponibilidade for requerida, será possível instalar dois ou mais appliances DHCP Enforcer para fornecer recursos de failover. Consulte Onde colocar os appliances DHCP Enforcer em uma rede na página 54. Sobre a instalação do appliance LAN Enforcer O appliance LAN Enforcer pode executar a autenticação do host e agir como um pseudo-servidor RADIUS (mesmo sem um servidor RADIUS). O cliente do Enforcer atua como suplicante 802.1x. Ele responde com o status de integridade do host e com as informações do número da política ao estímulo do Extensible Authentication Protocol (EAP) do alternador. O endereço IP do servidor RADIUS é definido para 0 nesse caso e nenhuma autenticação de usuário EAP tradicional é executada. O appliance LAN Enforcer verifica a integridade do host. Ele poderá permitir, bloquear ou atribuir dinamicamente uma VLAN, conforme apropriado, de acordo com os resultados da verificação de integridade do host. Se você tiver o Symantec Endpoint Protection, outra configuração também estará disponível. É possível usar um appliance LAN Enforcer com um servidor RADIUS para aplicar a autenticação 802.1x EAP internamente em uma rede corporativa. Se um appliance LAN Enforcer for usado nesta configuração, será necessário posicioná-lo de modo que ele possa se comunicar com o servidor Radius. Se o alternador oferecer suporte para alternação dinâmica de VLAN, será possível configurar VLANs adicionais e acessá-las no appliance LAN Enforcer. O alternador pode colocar dinamicamente o cliente em uma VLAN, de acordo com a resposta do appliance LAN Enforcer. É possível adicionar VLANs para quarentena e reparo. Consulte Onde colocar appliances LAN Enforcer na página 63. Sobre os indicadores e os controles do appliance Enforcer O appliance Enforcer é instalado em um chassi montável em rack 1U com suporte para trilhos fixos. A Figura 4-1 mostra os controles, os indicadores e os conectores localizados atrás do painel opcional no painel frontal. Figura 4-1 Painel frontal do appliance Enforcer 1 Unidade de CD-ROM

78 78 Instalação do appliance Enforcer pela primeira vez Antes da instalação do appliance Enforcer Botão Liga/desliga Ícone de redefinição Portas USB Luz da unidade de disco rígido Monitor Reservado; não use A Figura 4-2 mostra o painel traseiro do sistema. Figura 4-2 Painel traseiro do appliance Enforcer (modelo de falha aberta exibido) Conector do cabo de alimentação Conector do mouse Conector do teclado Portas USB Porta serial Monitor Reservado; não use Portas de rede reservadas; não use Porta de rede eth0 Porta de rede eth1 Use a porta e o cabo seriais fornecidos para conectar outro sistema conectado a um monitor e teclado. Como alternativa, é possível conectar o monitor ou teclado diretamente. Se a conexão usar a porta serial, a taxa de transmissão padrão definida no Enforcer será de É necessário configurar a conexão no outro sistema para que seja correspondente. A conexão pela porta serial é o método preferencial. Para solucionar problemas, ela permite transferir arquivos, como as informações de depuração, ao computador conectado.

79 Instalação do appliance Enforcer pela primeira vez Antes da instalação do appliance Enforcer 79 A Tabela 4-1 relaciona as especificações do appliance Enforcer. Tabela 4-1 Peça Unidade de base Memória Especificações de hardware Descrição Barramento frontal Pentium 4 de 800 MHz, 521, 2,8 GHz/1 MB de cache DIMMs de face simples de 2x512, 1 GB DDR2, 533 MHZ Unidade de disco rígido Adaptadores de rede Unidade de CD-ROM Unidade de disco rígido de RPM, 160 GB, SATA, 1 polegada Adaptador de rede individual com duas portas (eth0 é a NIC interna e eth1 é a NIC externa por padrão). O modelo de failopen tem quatro portas, duas não são usadas. Interna 24X, CD, 650M Configurações da NIC dos appliances Gateway Enforcer ou DHCP Enforcer As placas de interface de rede (NICs) em um appliance Gateway Enforcer ou DHCP Enforcer são configuradas por padrão da seguinte forma: eth0 NIC interna Se você usa o appliance Gateway Enforcer, a NIC interna deve conectar-se ao Symantec Endpoint Protection Manager. eth1 NIC externa Se você usa o appliance DHCP Enforcer, a NIC interna deve conectar-se ao Symantec Endpoint Protection Manager. Use o comando configure interface-role se precisar alterar a NIC interna ou externa. Consulte Configure Interface-role na página 265. No DHCP Enforcer, use esse comando com a opção manager para especificar a NIC usada para conexão com o Symantec Endpoint Protection Manager. O exemplo a seguir demonstra a sintaxe: configure interface-role manager eth1 Consulte Instalação de um appliance Enforcer na página 80.

80 80 Instalação do appliance Enforcer pela primeira vez Instalação de um appliance Enforcer Instalação de um appliance Enforcer Antes de iniciar a instalação dos appliances Enforcer, é necessário familiarizar-se com os locais dos componentes em sua rede. Consulte Planejamento da instalação para appliances Enforcer na página 43. O appliance Symantec Network Access Control Enforcer vem com um CD de instalação, chamado CD2, que contém o software para os seguintes componentes: Appliance Gateway Enforcer Appliance LAN Enforcer Appliance DHCP Enforcer Selecione o tipo de appliance Enforcer que deseja escolher no processo de instalação. Durante a instalação do appliance Enforcer, é necessário ter as seguintes informações disponíveis: Nome do host que você quer atribuir ao appliance Enforcer O nome de host padrão é Enforcer. Convém mudar este nome para facilitar a identificação de cada appliance Enforcer em uma rede. Endereços IP das placas de interface de rede (NICs) no appliance Enforcer Endereço IP, nome do host ou ID do domínio do servidor de nomes de domínio (DNS), se aplicável Se você desejar que o appliance Enforcer conecte-se ao Symantec Endpoint Protection Manager usando um nome do host, ele precisará conectar-se a um servidor DNS. Somente os servidores DNS podem resolver nomes de host. Você pode configurar o endereço IP do servidor DNS durante a instalação. Porém, você pode usar o comando configure DNS para mudar o endereço IP de um servidor DNS. Consulte Configure DNS na página 264. A instalação do appliance Enforcer envolve estas tarefas: Instalação de um appliance Enforcer Configuração de um appliance Enforcer

81 Instalação do appliance Enforcer pela primeira vez Instalação de um appliance Enforcer 81 Para configurar um appliance Enforcer 1 Remova o appliance Enforcer da embalagem. 2 Monte o appliance Enforcer em um rack ou coloque-o em uma superfície nivelada. Consulte as instruções de montagem em rack que acompanham o appliance Enforcer. 3 Conecte à uma tomada elétrica. 4 Conecte o appliance Enforcer usando um destes métodos: Conecte outro computador ao appliance Enforcer usando a porta serial. Use um cabo de modem nulo com conector DB9 (fêmea). É necessário usar software de terminal, como HyperTerminal, CRT ou NetTerm, para acessar o console do Enforcer. Configure o software de terminal para 9600 bps, 8 bits de dados, sem paridade, 1 bit de parada, sem controle de fluxo. A conexão por meio do console serial é o método preferido porque permite transferências de arquivos a partir do appliance Enforcer. Conecte um teclado e um monitor VGA diretamente ao appliance Enforcer. 5 Conecte os cabos Ethernet às portas de interface de rede, conforme descrito abaixo: Appliance Gateway Enforcer Conecte dois cabos Ethernet. Um cabo conecta-se à porta eth0 (NIC interna). O outro cabo conecta-se à porta eth1 (NIC externa) na parte traseira do appliance Enforcer. A NIC interna conecta-se à rede protegida e ao Symantec Endpoint Protection Manager. A NIC externa se conecta aos endpoints. Appliance DHCP Enforcer Conecte dois cabos Ethernet. Um cabo conecta-se à porta eth0 (NIC interna). O outro cabo conecta-se à porta eth1 (NIC externa) na parte traseira do appliance Enforcer. Appliance LAN Enforcer A NIC interna se conecta ao servidor DHCP; a NIC externa se conecta aos pontos finais e Symantec Endpoint Protection Manager. Conecte um cabo Ethernet à porta eth0 na parte traseira do appliance Enforcer. Esse cabo se conecta à rede interna. A rede interna se conecta a um alternador compatível com 802.1x e a todos os alternadores compatíveis com 802.1x adicionais na rede.

82 82 Instalação do appliance Enforcer pela primeira vez Instalação de um appliance Enforcer 6 Ligue a alimentação. O appliance Enforcer é iniciado. 7 Pressione Enter duas vezes. 8 No prompt de logon, faça login como segue: Console Login (Login do console): root Password (Senha): symantec Após 90 segundos de inatividade, o appliance Enforcer desconecta automaticamente os usuários.

83 Instalação do appliance Enforcer pela primeira vez Instalação de um appliance Enforcer 83 Para configurar um appliance Enforcer 1 Especifique o tipo de appliance Enforcer da seguinte forma, respondendo às solicitações do Enforcer: 1. Selecione o modo Enforcer [G] Gateway [D] DHCP [L] LAN Onde: G D L Appliance Gateway Enforcer Appliance DHCP Enforcer Appliance LAN Enforcer 2 Altere o nome do host do appliance Enforcer ou pressione Enter para deixar o nome do host do appliance Enforcer inalterado. O padrão ou nome do host do appliance Enforcer é Enforcer. O nome do appliance Enforcer registra-se automaticamente no Symantec Endpoint Protection Manager durante a próxima pulsação. No prompt, digite o comando a seguir se desejar mudar o nome do host do appliance Enforcer: 2. Defina o nome do host Nota: 1) Insira um novo nome do host ou pressione "Enter" caso não haja mudanças. [Enforcer]: hostname nome_do_host Consulte Hostname na página 249. onde nome_do_host é o novo nome de host do appliance Enforcer. Certifique-se de registrar o nome do host do appliance Enforcer no servidor de nomes de domínios. 3 Digite o comando a seguir para confirmar o novo nome de host do appliance Enforcer: show hostname 4 Digite o endereço IP do servidor DNS e pressione Enter.

84 84 Instalação do appliance Enforcer pela primeira vez Instalação de um appliance Enforcer 5 Digite a nova senha raiz no prompt, digitando, primeiramente, o seguinte comando: senha Old password (Senha anterior): symantec New password (Nova senha): nova senha É necessário alterar a senha raiz usada para fazer login no appliance Enforcer. O acesso remoto será ativado somente após a alteração da senha. A nova senha deve ter pelo menos 9 caracteres e conter uma letra minúscula, uma letra maiúscula, um dígito e um símbolo. 6 Digite a nova senha admin. 7 Defina o fuso horário seguindo essas solicitações. Defina o fuso horário O fuso horário atual é [+0000]. Deseja modificá-lo? [S/n] Se você clicar em "S", siga as etapas abaixo: 1) Selecione um continente ou um oceano 2) Selecione um país 3) Selecione uma das regiões do fuso horário 4) Defina a data e hora Ative o recurso NTP [S/n] Defina o servidor NTP: Nota: Configuramos o servidor NTP como um endereço IP 8 Defina a data e a hora. 9 Defina as configurações de rede e conclua a instalação, seguindo as solicitações do Enforcer. Insira as configurações de rede Configure eth0: Nota: Insira novas configurações. IP address []: Subnet mask []: Set Gateway? [Y/n] Gateway IP[]: Apply all settings [Y/N]:

85 Instalação do appliance Enforcer pela primeira vez Instalação de um appliance Enforcer 85 Sobre a trava do appliance Enforcer O appliance Enforcer vem com um painel separado que pode ser encaixado no painel frontal. Ele contém uma chave. Conseqüentemente, você pode bloquear o appliance Enforcer para obter segurança adicional. O uso do painel é opcional e é recomendado para obter maior segurança. A chave deve ser mantidaem um local seguro.

86 86 Instalação do appliance Enforcer pela primeira vez Instalação de um appliance Enforcer

87 Capítulo 5 Execução de tarefas básicas no console de um appliance Enforcer Este capítulo contém os tópicos a seguir: Sobre a execução de tarefas básicas no console de um appliance Enforcer Logon em um appliance Enforcer Configuração de uma conexão entre um appliance Enforcer e um Symantec Endpoint Protection Manager Verificação do status de comunicação de um appliance Enforcer no console do Enforcer Acesso remoto a um appliance Enforcer Relatórios e registros de depuração do Enforcer Sobre a execução de tarefas básicas no console de um appliance Enforcer Você já deve ter configurado os seguintes parâmetros durante a instalação do appliance Enforcer: Nome do host do appliance Enforcer Nome do grupo do appliance Enforcer do qual um appliance Enforcer específico é membro Endereços IP das placas de interface de rede internas e externas (NICs)

88 88 Execução de tarefas básicas no console de um appliance Enforcer Logon em um appliance Enforcer Endereço IP do servidor DNS, se aplicável Endereço IP do servidor NTP, se aplicável Porém, é necessário configurar uma conexão entre um appliance Enforcer e um Symantec Endpoint Protection Manager. Você executa o comando spm no console do appliance Enforcer para configurar esta conexão. Não é possível continuar a usar um appliance Enforcer a menos que você conclua esta tarefa. Consulte Configuração de uma conexão entre um appliance Enforcer e um Symantec Endpoint Protection Manager na página 89. Embora você administre tipicamente um appliance Enforcer no console do Symantec Endpoint Protection Manager depois de concluir a instalação e a configuração iniciais de um appliance Enforcer, você ainda pode precisar executar muitas das tarefas administrativas no console de um appliance Enforcer. Se você administra vários appliances Enforcer, é conveniente administrá-los de um local centralizado. Todos os appliances Enforcer têm uma interface de linha de comando (CLI) a partir da qual você pode executar comandos para alterar o número de parâmetros. Consulte Sobre a hierarquia de comandos da CLI do appliance Enforcer na página 221. Logon em um appliance Enforcer Quando você ativar ou reiniciar o appliance Enforcer, o prompt de login do console será exibido: Fazer login no Enforcer Os seguintes níveis de acesso estão disponíveis: Superuser Normal Acesso a todos os comandos Acesso somente aos comandos clear, exit, help e show para cada nível da hierarquia de comando Nota: Após 90 segundos de inatividade, o appliance Enforcer desconecta automaticamente os usuários.

89 Execução de tarefas básicas no console de um appliance Enforcer Configuração de uma conexão entre um appliance Enforcer e um Symantec Endpoint Protection Manager 89 Para fazer logon em um appliance Enforcer com acesso a todos os comandos 1 Na linha de comando, fazer logon em um appliance Enforcer com acesso a todos os comandos digitando o comando a seguir: root 2 Digite a senha que você criou durante a instalação inicial. A senha padrão é symantec O prompt de comando do console para root é Enforcer# Para fazer logon em um appliance Enforcer com acesso limitado aos comandos 1 Se você quiser fazer logon em um appliance Enforcer com acesso limitado aos comandos, digite o comando a seguir na linha de comando: admin 2 Digite a senha na linha de comando. A senha padrão é symantec O prompt de comando do console para admin é Enforcer$ Configuração de uma conexão entre um appliance Enforcer e um Symantec Endpoint Protection Manager Você deve estabelecer comunicação entre o appliance Enforcer e o Symantec Endpoint Protection Manager no console do Enforcer. Você deve também concluir a instalação do appliance Enforcer e a configuração das NIC internas e externas no appliance Enforcer. Consulte Instalação de um appliance Enforcer na página 80. Se você quer estabelecer comunicação entre o appliance Enforcer e o Symantec Endpoint Protection Manager no console do Enforcer, é preciso ter as seguintes informações em mãos: Endereço IP do Symantec Endpoint Protection Manager Consulte o administrador do servidor em que o Symantec Endpoint Protection Manager foi instalado para obter o endereço IP. Nome de grupo do Enforcer ao qual você deseja atribuir o appliance Enforcer Após terminar de configurar o nome de grupo do Enforcer ao qual você quer atribuir o appliance Enforcer no console do Enforcer, o nome de grupo do Enforcer é registrado automaticamente no Symantec Endpoint Protection Manager.

90 90 Execução de tarefas básicas no console de um appliance Enforcer Configuração de uma conexão entre um appliance Enforcer e um Symantec Endpoint Protection Manager Número de porta do Symantec Endpoint Protection Manager que é usado para se comunicar com o appliance Enforcer O número padrão da porta é 80. A senha criptografada criada durante a instalação inicial do Symantec Endpoint Protection Manager Para configurar uma conexão entre um appliance Enforcer e um Symantec Endpoint Protection Manager 1 Na linha de comando, no console de um appliance Enforcer, digite configure. 2 Digite spm ip endereço_ip group nome do grupo do Enforcer http número da porta key senha criptografada Consulte Configure SPM na página 268. Você pode usar o seguinte exemplo como uma diretriz: spm ip group CorpAppliance http 80 key symantec Esse exemplo configura o appliance Enforcer para comunicar-se com o Symantec Endpoint Protection Manager que tem como endereço IP no grupo CorpAppliance. Ele usa o protocolo HTTP na porta 80 com a senha criptografada ou o segredo pré-compartilhado Symantec.

91 Execução de tarefas básicas no console de um appliance Enforcer Verificação do status de comunicação de um appliance Enforcer no console do Enforcer 91 3 Verifique o status de comunicação do appliance Enforcer e do Symantec Endpoint Protection Manager. Consulte Verificação do status de comunicação de um appliance Enforcer no console do Enforcer na página Configure, implemente e instale ou faça download do software-cliente se você ainda não o fez. Consulte o Guia de Instalação do Symantec Endpoint Protection e do Symantec Network Access Control para obter mais informações sobre a configuração, a implementação e a instalação de clientes do Symantec Endpoint Protection ou do Symantec Network Access Control, também conhecido como um cliente gerenciado. Se você quiser que convidados (também conhecidos como computadores-cliente não gerenciados) possam fazer o download de clientes do Symantec Network Access Control On-Demand em plataformas Windows e Macintosh automaticamente, será necessário configurar um Gateway ou DHCP Enforcer para gerenciar o processo de download automático. Consulte Ativação de clientes do Symantec Network Access Control On-Demand para se conectarem temporariamente a uma rede na página 211. Verificação do status de comunicação de um appliance Enforcer no console do Enforcer Você pode verificar o status de comunicação de um appliance Enforcer no console do Enforcer.

92 92 Execução de tarefas básicas no console de um appliance Enforcer Acesso remoto a um appliance Enforcer Para verificar o status de comunicação de um appliance Enforcer no console do Enforcer 1 Faça logon no console do Enforcer se você ainda não está conectado. Consulte Logon em um appliance Enforcer na página Digite este comando: show status Você pode exibir as informações sobre o status atual da conexão. O exemplo a seguir indica que o appliance Enforcer está on-line e conectado ao Symantec Endpoint Protection Manager com um endereço IP de e uma porta de comunicação 80: Enforcer#: show status Enforcer Status: Policy Manager Connected: ONLINE(ACTIVE) YES Policy Manager: HTTP 80 Packets Received: 3659 Packets Transmitted: 3615 Packet Receive Failed: 0 Packet Transfer Failed: 0 Enforcer Health: EXCELLENT Enforcer Uptime: 10 days 01:10:55 Policy ID: 24/12/ :31:55 Acesso remoto a um appliance Enforcer Para comunicar-se de forma segura com o Enforcer e obter acesso à linha de comando, use um dos métodos a seguir: Alternador KVM em rede ou dispositivo similar Cliente SSH que oferece suporte ao servidor de console de terminal SSH v2 Cabo serial Relatórios e registros de depuração do Enforcer É possível visualizar os relatórios e os registros de depuração do Enforcer no console do Symantec Endpoint Protection Manager e no console do Enforcer. Consulte Sobre relatórios do Enforcer na página 423. Consulte Sobre registros do Enforcer na página 424.

93 Capítulo 6 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Este capítulo contém os tópicos a seguir: Sobre a configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Alteração das definições de configuração do appliance Gateway Enforcer em um servidor de gerenciamento Uso das configurações gerais Uso das definições de autenticação Configurações de intervalo de autenticação Uso das configurações avançadas do appliance Gateway Enforcer

94 94 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Sobre a configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Sobre a configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager É possível adicionar ou editar configurações do appliance Gateway Enforcer no console do Symantec Endpoint Protection Manager. Antes de continuar, conclua as seguintes tarefas: Instalar o software do Symantec Endpoint Protection Manager no computador. Consulte o Guia de Instalação do Symantec Endpoint Protection e do Symantec Network Access Control. O computador no qual o software Symantec Endpoint Protection Manager é instalado também é chamado de servidor de gerenciamento. Conectar o appliance Symantec Gateway Enforcer à rede. Consulte Para configurar um appliance Enforcer na página 81. Configurar o appliance Symantec Gateway Enforcer no console local do Gateway Enforcer durante a instalação. Consulte Para configurar um appliance Enforcer na página 83. Após concluir essas tarefas, é possível especificar todas as definições adicionais de configuração do appliance Gateway Enforcer em um servidor de gerenciamento. Ao instalar um appliance Gateway Enforcer, uma série de configurações e portas padrão são definidas automaticamente. As configurações padrão para o appliance Gateway Enforcer no Symantec Protection Manager permitem que todos os clientes se conectem à rede se o cliente passar na verificação de integridade do host. O appliance Gateway Enforcer age como uma ponte. Portanto, é possível concluir o processo de configuração do appliance Gateway Enforcer e implementar clientes sem bloquear o acesso à rede. Porém, é preciso alterar as configurações padrão no Protection Manager para limitar quais clientes têm permissão para o acesso sem autenticação. Como alternativa, há outras configurações padrão do Enforcer para o appliance Gateway Enforcer que você talvez queira personalizar antes de iniciar a aplicação. Alteração das definições de configuração do appliance Gateway Enforcer em um servidor de gerenciamento É possível alterar as definições de configuração do appliance Gateway Enforcer em um servidor de gerenciamento. O download das definições de configuração é

95 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Alteração das definições de configuração do appliance Gateway Enforcer em um servidor de gerenciamento 95 feito automaticamente a partir do servidor de gerenciamento para o appliance Gateway Enforcer durante a próxima pulsação. Para alterar as definições de configuração do appliance Gateway Enforcer no console do Symantec Endpoint Protection Manager 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione o grupo de Enforcers do qual o appliance Gateway Enforcer é membro. O grupo do Enforcer deve incluir o appliance Gateway Enforcer em que as configurações devem ser alteradas. 4 Na página Admin, em Exibir servidores, selecione o appliance Gateway Enforcer em que as configurações devem ser alteradas.

96 96 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Alteração das definições de configuração do appliance Gateway Enforcer em um servidor de gerenciamento 5 Na página Admin, em Tarefas, clique em Editar propriedades do grupo.

97 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Alteração das definições de configuração do appliance Gateway Enforcer em um servidor de gerenciamento 97 6 Na caixa de diálogo Configurações, altere qualquer definição de configuração. A caixa de diálogo Configurações do Gateway Enforcer fornece as seguintes categorias de definições de configuração: Geral Configurações para a descrição e a lista do servidor de gerenciamento do grupo do Enforcer. Consulte Uso das configurações gerais na página 98. Autenticação Configurações para uma variedade de parâmetros que afetam o processo de autenticação do cliente. Se um endereço correspondente não for localizado, o appliance Gateway Enforcer iniciará a sessão de autenticação e o envio do pacote de desafio. Consulte Uso das definições de autenticação na página 101. Intervalo de autenticação Configurações que especificam um endereço IP individual para um cliente ou intervalos de IP para vários clientes que precisam ser autenticados. Você pode também especificar um endereço IP individual ou intervalos IP para os clientes que têm permissão para se conectar a uma rede sem autenticação. Consulte Configurações de intervalo de autenticação na página 116. Avançado Configurações para os parâmetros do tempo limite de autenticação e tempos limite de mensagem do appliance Gateway Enforcer: Configurações para os endereços MAC dos hosts confiáveis que o appliance Gateway Enforcer permite conectar sem autenticação (opcional). Configurações do spoofing de DNS e da autenticação local. Configurações de protocolos permitidos sem bloqueio de clientes. Consulte Uso das configurações avançadas do appliance Gateway Enforcer na página 126.

98 98 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações gerais Configurações de registro Configurações para ativar os registros do servidor, os registros de atividade do cliente e para especificar os parâmetros de arquivos de registro. Consulte Sobre relatórios do Enforcer na página 423. Consulte Sobre registros do Enforcer na página 424. Consulte Definição das configurações do registro do Enforcer na página 427. Uso das configurações gerais É possível adicionar ou editar a descrição de um appliance Gateway Enforcer ou de um grupo do appliance Gateway Enforcer no console do Symantec Endpoint Protection Manager. Consulte Adição ou edição da descrição de um grupo do appliance Gateway Enforcer na página 99. Consulte Adição ou edição da descrição de um appliance Gateway Enforcer na página 99. No entanto, não se pode adicionar ou editar o nome do grupo de um appliance Gateway Enforcer no console do Symantec Endpoint Protection Manager. Também não é possível adicionar ou editar o endereço IP ou nome do host de um appliance Gateway Enforcer no console do Symantec Endpoint Protection Manager. Em vez disso, execute essas tarefas no console do Enforcer. Entretanto, você pode adicionar ou editar o endereço IP ou nome do host de um appliance Gateway Enforcer em uma lista de servidores de gerenciamento. Consulte Adição ou edição do endereço IP ou nome do host de um appliance Gateway Enforcer na página 100. Você também pode adicionar ou editar o endereço IP ou o nome do host de um Symantec Endpoint Protection Manager em uma lista do servidor de gerenciamento. Consulte Estabelecimento da comunicação entre o appliance Gateway Enforcer e o Symantec Endpoint Protection Manager através de uma lista do servidor de gerenciamento na página 100.

99 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações gerais 99 Adição ou edição da descrição de um grupo do appliance Gateway Enforcer É possível adicionar ou editar a descrição de um grupo do Enforcer do qual um appliance Symantec Gateway Enforcer é membro. Essa tarefa pode ser realizada no console do Symantec Endpoint Protection Manager em vez de no console do Enforcer. Para adicionar ou editar a descrição de um grupo do appliance Gateway Enforcer 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo do appliance Gateway Enforcer cuja descrição deseja adicionar ou editar. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações, na guia Configurações básicas, adicione ou edite uma descrição para o grupo do appliance Gateway Enforcer no campo Descrição. 6 Clique em OK. Adição ou edição da descrição de um appliance Gateway Enforcer É possível adicionar ou editar a descrição de um appliance Gateway Enforcer. Essa tarefa pode ser realizada no console do Symantec Endpoint Protection Manager em vez de no console do Enforcer. Após concluir essa tarefa, a descrição será exibida no campo Descrição do painel Servidor de gerenciamento. Para adicionar ou editar a descrição de um appliance Gateway Enforcer 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo do appliance Gateway Enforcer cuja descrição deseja adicionar ou editar. 4 Na página Admin, em Exibir servidores, selecione o appliance Gateway Enforcer cuja descrição deseja adicionar ou editar. 5 Na página Admin, em Tarefas, clique em Editar propriedades do Enforcer. 6 Na caixa de diálogo Propriedades do Enforcer, adicione ou edite uma descrição para o appliance Gateway Enforcer no campo Descrição. 7 Clique em OK.

100 100 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações gerais Adição ou edição do endereço IP ou nome do host de um appliance Gateway Enforcer Somente é possível alterar o endereço IP ou o nome do host de um appliance Gateway Enforcer no console do Enforcer durante a instalação. Se você quiser mudar posteriormente o endereço IP ou o nome de host de um appliance Gateway Enforcer, poderá fazer isso no console do Gateway Enforcer. Consulte Para configurar um appliance Enforcer na página 81. Consulte Configure Interface na página 264. Consulte Configure Interface-role na página 265. Estabelecimento da comunicação entre o appliance Gateway Enforcer e o Symantec Endpoint Protection Manager através de uma lista do servidor de gerenciamento Os appliances Gateway Enforcer devem ser capazes de se conectar aos servidores nos quais o Symantec Endpoint Protection Manager está instalado. O Symantec Endpoint Protection Manager inclui um arquivo que ajuda a gerenciar o tráfego entre clientes, Symantec Endpoint Protection Managers e Enforcers opcionais, como um appliance Gateway Enforcer. Esse arquivo é conhecido como uma lista de servidores de gerenciamento. A lista de servidores de gerenciamento especifica a qual servidor do Symantec Endpoint Protection Manager um Gateway Enforcer será conectado. Ele também especifica a qual servidor do Symantec Endpoint Protection um Gateway Enforcer será conectado em caso de falha de um servidor de gerenciamento. Uma lista de servidores de gerenciamento padrão é criada automaticamente para cada site durante a instalação inicial. Todos os Symantec Endpoint Protection Managers disponíveis no site são adicionados à lista de servidores de gerenciamento padrão automaticamente. Uma lista de servidores de gerenciamento padrão inclui os endereços IP ou os nomes do host do servidor de gerenciamento ao qual os appliances Gateway Enforcer podem se conectar após a instalação inicial. Você deve criar uma lista de servidores de gerenciamento personalizada antes de implementar quaisquer appliances Gateway Enforcer. Se você criar uma lista de servidores de gerenciamento personalizada, será possível especificar a prioridade com a qual um appliance Gateway Enforcer pode se conectar a servidores de gerenciamento. Se um administrador criou várias listas de servidores de gerenciamento, é possível selecionar a lista específica que inclui os endereços IP ou nomes de host dos servidores de gerenciamento aos quais deseja conectar o appliance Gateway

101 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação 101 Enforcer. Se houver apenas uma lista de servidores de gerenciamento em um site, será possível selecionar a lista de servidores de gerenciamento padrão. Consulte o Guia de Administração do Symantec Endpoint Protection e do Symantec Network Access Control para obter mais informações sobre como personalizar listas de servidores de gerenciamento. Para estabelecer comunicação entre o Gateway Enforcer e o Symantec Endpoint Protection Manager 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. O grupo do Enforcer deve incluir o appliance Gateway Enforcer para o qual deseja modificar o endereço IP ou nome do host na lista de servidores de gerenciamento. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações, na guia Configurações básicas, em Comunicação, selecione a lista de servidores de gerenciamento que deseja que esse appliance Gateway Enforcer utilize. 6 Na caixa de diálogo Configurações, na guia Configurações básicas, em Comunicação, clique em Visualização. É possível visualizar os endereços IP e os nomes do host de todos os servidores de gerenciamento disponíveis, assim como as prioridades atribuídas. 7 Na caixa de diálogo Lista de servidores de gerenciamento, clique em Fechar. 8 Na caixa de diálogo Configurações, clique em OK. Uso das definições de autenticação É possível especificar uma série de definições de autenticação para uma sessão de autenticação do appliance Gateway Enforcer. Quando essas alterações forem aplicadas, elas serão enviadas automaticamente para o appliance Gateway Enforcer selecionado durante a próxima pulsação. Sobre o uso das configurações de autenticação Talvez você queira implementar algumas configurações de autenticação para proteger ainda mais a rede. A Tabela 6-1 fornece mais informações sobre as opções da guia Autenticação.

102 102 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação Tabela 6-1 Opção Definições de configuração de autenticação para o appliance Gateway Enforcer Descrição Número máximo de pacotes por sessão autenticada A quantidade máxima de pacotes de desafio que o appliance Gateway Enforcer envia em cada sessão de autenticação. O número padrão é 10 pacotes. O intervalo é de 2 a 100 pacotes. Consulte Especificação do número máximo de pacotes de desafio durante uma sessão de autenticação na página 107. Período de tempo entre pacotes em sessão de autenticação (segundos) O tempo em segundos entre cada pacote de desafio que o Enforcer envia. O valor padrão é 3 segundos. O intervalo é de 3 a 10. Consulte Especificação da freqüência de envio dos pacotes de desafio aos clientes na página 108. Período de tempo durante o qual o cliente rejeitado será bloqueado (segundos) O período de tempo em segundos durante o qual um cliente é bloqueado após a autenticação falhar. A configuração padrão é 30 segundos. O intervalo é de 10 a 300 segundos. Consulte Especificação do período de tempo durante o qual um cliente é bloqueado depois de a autenticação falhar na página 109. Período de tempo durante o qual o cliente autenticado será permitido (segundos) O período de tempo em segundos durante o qual um cliente tem permissão para reter sua conexão de rede sem se autenticar novamente. A configuração padrão é 30 segundos. O intervalo é de 10 a 300 segundos. Consulte Especificação do período de tempo durante o qual um cliente tem permissão para reter sua conexão de rede sem nova autenticação na página 109.

103 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação 103 Opção Permitir todos os clientes, mas continuar a registrar quais clientes não são autenticados Descrição Se essa opção estiver ativada, o appliance Gateway Enforcer autenticará todos os usuários, verificando se eles executam o cliente. O appliance Gateway Enforcer também verifica se o cliente foi aprovado na verificação de integridade do host. Se o cliente for aprovado na verificação de integridade do host, o appliance Gateway Enforcer registrará os resultados. Ele, então, encaminha a solicitação do gateway para receber uma configuração de rede normal em vez de uma configuração de rede de quarentena, caso as verificações sejam aprovadas ou falhem. A configuração padrão é não ativada. Consulte Permissão para todos os clientes com registros contínuos de clientes não autenticados na página 110. Todos os clientes com sistemas operacionais que não sejam Windows Se essa opção estiver ativada, o Gateway Enforcer verificará o sistema operacional do cliente. O appliance Gateway Enforcer, então, permitirá que todos os clientes que não executam sistemas operacionais Windows recebam uma configuração de rede normal sem ser autenticados novamente. Se essa opção não estiver ativada, os clientes receberão uma configuração de rede de quarentena. A configuração padrão é não ativada. Consulte Permissão para que clientes que não sejam Windows se conectem à rede sem autenticação na página 111.

104 104 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação Opção Verificar o número de série da política do cliente antes de permitir a entrada do cliente na rede Descrição Se essa opção estiver ativada, o appliance Gateway Enforcer verificará se o cliente recebeu as políticas de segurança mais recentes do servidor de gerenciamento. Se o número de série da política não for o mais recente, o Gateway Enforcer notificará o cliente para que ele atualize sua política de segurança. O cliente encaminhará a solicitação do gateway para receber uma configuração de rede de quarentena. Ativar mensagem pop-up para o cliente se o cliente não estiver sendo executado Se essa opção não estiver ativada e se as verificações de integridade do host tiverem êxito, o appliance Gateway Enforcer encaminhará a solicitação do gateway para receber uma configuração de rede normal. O Gateway Enforcer encaminhará a solicitação mesmo se o cliente não tiver a política de segurança mais recente. A configuração padrão é não ativada. Consulte Como fazer com que o appliance Gateway Enforcer verifique o número de série da política em um cliente na página 112. Se essa opção estiver ativada, uma mensagem será exibida aos usuários nos computadores com Windows sem que um cliente que tente conectar-se a uma rede empresarial seja executado. A mensagem padrão está configurada para ser exibida apenas uma vez. Ela informa aos usuários que eles estão impedidos de acessar a rede porque um cliente não está em execução, avisando-os para instalá-lo. Para editar a mensagem ou alterar a freqüência com que é exibida, clique em Mensagem. O tamanho máximo da mensagem é de 128 caracteres. A configuração padrão é ativada. Consulte Envio de uma mensagem de não-conformidade de um appliance Gateway Enforcer a um cliente na página 113.

105 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação 105 Opção Ativar o redirecionamento HTTP para o cliente se o cliente não estiver sendo executado Descrição Se essa opção estiver ativada, o Gateway Enforcer pode redirecionar os clientes para um website de correção. Se essa opção estiver ativada, o appliance Gateway Enforcer redirecionará as solicitações de HTTP para um servidor Web interno, caso o cliente não esteja em execução. Esta opção não pode ser ativada sem especificar um URL. A configuração padrão é ativada, com o valor Consulte Redirecionamento de solicitações HTTP para uma página da Web na página 115. URL de redirecionamento HTTP É possível especificar um URL de até 255 caracteres ao redirecionar clientes para um website de correção. A configuração padrão para o URL redirecionado é Consulte Redirecionamento de solicitações HTTP para uma página da Web na página 115. Porta de redirecionamento HTTP É possível especificar um número de porta que não seja 80 ao redirecionar clientes para um website de correção. A configuração padrão do servidor Web é a porta 80. Consulte Redirecionamento de solicitações HTTP para uma página da Web na página 115. Sobre as sessões de autenticação em um Gateway Enforcer appliance Quando um cliente tenta acessar a rede interna, o Gateway Enforcer estabelece com ele uma sessão de autenticação. Uma sessão de autenticação é um conjunto de pacotes de desafio enviado ao cliente por um appliance Gateway Enforcer. Durante a sessão de autenticação, o appliance Gateway Enforcer envia um pacote de desafio ao cliente em uma freqüência especificada. A configuração padrão é a cada três segundos. Ele continua enviando pacotes até receber uma resposta do cliente ou até que tenha enviado a quantidade máxima especificada de pacotes. O número padrão é de 10 pacotes. Se o cliente responder e aprovar a autenticação, o appliance Gateway Enforcer permite que a rede interna seja acessada por um número especificado de segundos. O padrão é de 30 segundos. O appliance Gateway Enforcer inicia uma nova sessão de autenticação durante a qual o cliente deve responder para reter a conexão com

106 106 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação a rede interna. O appliance Gateway Enforcer desconecta os clientes que não respondem ou que são rejeitados por falharem na autenticação. Caso o cliente não responda ou a autenticação falhe, o appliance Gateway Enforcer bloqueia o cliente por um número especificado de segundos. O padrão é de 30 segundos. Se outro cliente tentar fazer logon usando o mesmo endereço IP, ele deverá ser autenticado novamente. É possível configurar a sessão de autenticação para cada appliance Gateway Enforcer no servidor de gerenciamento. Sobre a autenticação do cliente em um Gateway Enforcer appliance O appliance Gateway Enforcer autentica clientes remotos antes de permitir o acesso à rede. A autenticação do cliente no Gateway Enforcer executa as seguintes funções: Determina se autentica o cliente ou lhe dá permissão sem autenticação. É possível especificar clientes individuais ou intervalos de endereços IP para confiar ou autenticar na guia Intervalo de autenticação. Efetua a sessão de autenticação. Configure as definições para a sessão de autenticação na guia Autenticação. Cada Gateway Enforcer mantém as seguintes listas de endereços IP confiáveis que são permitidas para conectar-se à rede por meio do Gateway Enforcer: Uma lista estática. Os endereços IP externos e confiáveis configurados para o Enforcer na guia Intervalo de autenticação. Uma lista dinâmica. Os endereços IP confiáveis adicionais que podem ser adicionados e removidos à medida que os clientes são autenticados, com permissão para conectar-se à rede e, finalmente, desconectados. Quando o tráfego chega de um novo cliente, o appliance Gateway Enforcer determina se o cliente está na lista de endereços IP de clientes confiáveis. Se o cliente tiver um endereço IP confiável, ele terá permissão para acessar a rede sem autenticação adicional. Se o cliente não tiver um endereço IP confiável, o appliance Gateway Enforcer verifica se o endereço IP confiável está dentro do intervalo IP do cliente para clientes que devem ser autenticados. Se o endereço IP do cliente estiver dentro do intervalo IP do cliente, o appliance Gateway Enforcer iniciará uma sessão de autenticação. Durante a sessão de autenticação, o cliente envia seu número de ID exclusivo, os resultados da verificação de integridade do host e o número de série da política.

107 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação 107 O número de série da política identifica se as políticas de segurança do cliente estão atualizadas. O appliance Gateway Enforcer verifica os resultados. Ele pode também verificar o número de série da política. Se os resultados forem válidos, o appliance Gateway Enforcer fornecerá ao cliente um status de autenticado, permitindo o acesso à rede. Se os resultados não forem válidos, o appliance Gateway Enforcer impedirá o cliente de se conectar à rede. Quando um cliente é autenticado, o endereço IP desse cliente é adicionado à lista dinâmica com um temporizador. O intervalo padrão do timer é de 30 segundos. Depois de esgotado o intervalo do timer, o appliance Gateway Enforcer inicia uma nova sessão de autenticação com o cliente. Se o cliente não responder ou falhar na autenticação, o endereço IP do cliente será excluído da lista. O endereço IP é bloqueado também por um intervalo especificado. A configuração padrão é 30 segundos. Quando outro cliente tenta fazer logon usando esse mesmo endereço IP, o cliente deverá ser autenticado novamente. Especificação do número máximo de pacotes de desafio durante uma sessão de autenticação Durante a sessão de autenticação, o appliance Gateway Enforcer envia um pacote de desafio para o cliente com uma freqüência especificada. O appliance Gateway Enforcer continua enviando pacotes até que sejam atendidas as seguintes condições: O appliance Gateway Enforcer receba uma resposta do cliente O appliance Gateway Enforcer tenha enviado o número máximo especificado de pacotes. A configuração padrão do número máximo de pacotes de desafio durante uma sessão de autenticação for 10. O intervalo é de 2 a 100 pacotes. Para especificar o número máximo de pacotes de desafio durante uma sessão de autenticação 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. O grupo do Enforcer deve incluir o appliance Gateway Enforcer para o qual deseja especificar o número máximo de pacotes de desafio durante uma sessão de autenticação. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo.

108 108 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação 5 Na caixa de diálogo Configurações do gateway, na guia Autenticação, em Parâmetros de autenticação, digite a quantidade máxima de pacotes de desafio que você deseja permitir durante uma sessão de autenticação no campo Número máximo de pacotes por sessão autenticada. A configuração padrão é 10 segundos. O intervalo é de 2 a 100 pacotes. 6 Na caixa de diálogo Configurações do gateway, na guia Autenticação, clique em OK. Especificação da freqüência de envio dos pacotes de desafio aos clientes Durante a sessão de autenticação, o appliance Gateway Enforcer envia um pacote de desafio para o cliente com uma freqüência especificada. O appliance Gateway Enforcer continua enviando pacotes até que sejam atendidas as seguintes condições: O appliance Gateway Enforcer receba uma resposta do cliente O appliance Gateway Enforcer tenha enviado o número máximo especificado de pacotes. A configuração padrão é a cada três segundos. O intervalo é de 3 a 10 segundos. Para especificar a freqüência de pacotes de desafio a serem enviados aos clientes 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. O grupo do Enforcer deve incluir o appliance Gateway Enforcer para o qual você quer especificar a freqüência de pacotes de desafio que serão enviados aos clientes. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações, na guia Autenticação, em Parâmetros de autenticação, digite o número máximo de pacotes de desafio que você deseja que o appliance Gateway Enforcer continue enviando a um cliente durante uma sessão de autenticação no campo Período de tempo entre pacotes em sessão de autenticação. A configuração padrão é 3 segundos. O intervalo é de 3 a 10 segundos. 6 Na caixa de diálogo Configurações, na guia Autenticação, clique em OK.

109 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação 109 Especificação do período de tempo durante o qual um cliente é bloqueado depois de a autenticação falhar Você pode especificar o período de tempo durante o qual um cliente é bloqueado depois de a autenticação falhar. A configuração padrão é 30 segundos. O intervalo é de 10 a 300 segundos. Para especificar o período de tempo durante o qual um cliente é bloqueado depois de a autenticação falhar 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. O grupo do Enforcer deve incluir o appliance Gateway Enforcer para o qual deseja especificar o tempo de bloqueio para um cliente cuja autenticação falhe. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações, na guia Autenticação, em Parâmetros de autenticação, digite o número de segundos durante o qual um cliente deve ser bloqueado quando falha sua autenticação no campo Período de tempo durante o qual o cliente rejeitado será bloqueado (segundos). A configuração padrão é 30 segundos. O intervalo é de 10 a 300 segundos. 6 Clique em OK. Especificação do período de tempo durante o qual um cliente tem permissão para reter sua conexão de rede sem nova autenticação É possível especificar o período de tempo, em segundos, durante o qual é permitido a um cliente reter sua conexão de rede sem uma nova autenticação. A configuração padrão é 30 segundos. O intervalo é de 10 a 300 segundos. Para especificar o período de tempo durante o qual um cliente tem permissão para reter sua conexão de rede sem nova autenticação 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores.

110 110 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. O grupo do Enforcer deve incluir o appliance Gateway Enforcer para o qual deseja especificar o tempo de bloqueio para um cliente cuja autenticação falhe. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações, na guia Autenticação, em Parâmetros de autenticação, digite o número de segundos durante o qual é permitido a um cliente reter sua conexão de rede sem nova autenticação no campo (Período de tempo durante o qual o cliente autenticado será permitido (segundos)). A configuração padrão é 30 segundos. O intervalo é de 10 a 300 segundos. 6 Clique em OK. Permissão para todos os clientes com registros contínuos de clientes não autenticados Pode levar algum tempo para implantar todo o software-cliente. Talvez você deseje configurar o appliance Gateway Enforcer para permitir a conexão de todos os clientes à rede até que tenha terminado de distribuir o pacote-cliente a todos os usuários. O appliance Gateway Enforcer bloqueia todos os clientes que não executam o cliente. Como o cliente não é executado em sistemas operacionais que não sejam Windows, como Linux ou Solaris, o appliance Gateway Enforcer bloqueia esses clientes. Há a opção de permitir que todos os clientes que não sejam Windows conectem-se à rede. Se um cliente não é autenticado com essa configuração, o appliance Gateway Enforcer detecta o tipo de sistema operacional. Conseqüentemente, os clientes Windows são bloqueados e os clientes que não sejam Windows têm o acesso à rede permitido. A configuração padrão é não ativada. Use as seguintes diretrizes quando aplicar as definições de configuração: Essa configuração deve ser uma medida temporária, uma vez que torna a rede menos segura. Enquanto essa configuração estiver ativa, você poderá analisar os registros do Enforcer. É possível descobrir os tipos de clientes que tentam se conectar à rede naquele local. Por exemplo, o registro de atividades do cliente pode ser analisado para verificar se algum dos clientes não tem o software-cliente instalado. Depois, você pode certificar-se de que o software-cliente esteja instalado nesses clientes antes de desativar essa opção.

111 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação 111 Para permitir todos os clientes com registros contínuos de clientes não autenticados 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. O grupo do Enforcer deve incluir o appliance Gateway Enforcer para o qual deseja permitir todos os clientes enquanto continua com o registro de clientes não autenticados. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações, na guia Autenticação, selecione Permitir todos os clientes, mas continuar a registrar quais clientes não são autenticados A configuração padrão é não ativada. 6 Na caixa de diálogo Configurações, na guia Autenticação, clique em OK. Permissão para que clientes que não sejam Windows se conectem à rede sem autenticação O appliance Gateway Enforcer não pode autenticar um cliente que executa um sistema operacional que não seja Windows. Portanto, os clientes que não sejam Windows não podem se conectar à rede, a menos que seja permitido, especificamente, que se conectem à rede sem autenticação. A configuração padrão é não ativada. É possível usar um dos seguintes métodos para ativar os clientes compatíveis com plataformas que não sejam Windows para conectar-se à rede: Especificar cada cliente que não seja Windows como host confiável. Todos os clientes com sistemas operacionais que não sejam Windows. O appliance Gateway Enforcer detecta o sistema operacional do cliente e autentica clientes Windows. Entretanto, ele não permite que clientes que não sejam Windows conectem-se ao appliance Gateway Enforcer sem autenticação. Se você precisa que clientes que não sejam Windows conectem-se à rede, é necessário definir configurações adicionais no console do Symantec Endpoint Protection Manager. Consulte Requisitos para a permissão de clientes que não sejam Windows sem autenticação na página 50.

112 112 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação Para permitir que clientes que não sejam Windows conectem-se a uma rede sem autenticação 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. O grupo do Enforcer deve incluir o appliance Gateway Enforcer para o qual deseja permitir que todos os clientes que não sejam Windows se conectem à rede. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações, na guia Autenticação, selecione Todos os clientes com sistemas operacionais que não sejam Windows. A configuração padrão é não ativada. 6 Clique em OK. Como fazer com que o appliance Gateway Enforcer verifique o número de série da política em um cliente O Symantec Endpoint Protection Manager atualiza o número de série da política de um cliente sempre que a política de segurança do cliente é alterada. Quando um cliente se conecta ao Symantec Endpoint Protection Manager, ele recebe as políticas de segurança e o número de série da política mais recentes. Quando um cliente tentar se conectar à rede através do appliance Gateway Enforcer, o appliance Gateway Enforcer recuperará o número de série da política do Symantec Endpoint Protection Manager. Depois, o appliance Gateway Enforcer compara o número de série da política com o que ele recebe do cliente. Se os números de série da política forem idênticos, o appliance Gateway Enforcer confirmará que o cliente está executando uma política de segurança atualizada. O valor padrão para essa configuração é não ativado. As seguintes diretrizes se aplicam: Se estiver selecionada a opção Verificar o número de série da política no cliente antes que a opção de permitir a entrada do cliente na rede, o cliente deverá ter a política de segurança mais recente antes de poder conectar-se à rede através do appliance Gateway Enforcer. Se o cliente não tiver a política de segurança mais recente, ele será avisado para fazer o download dessa política. Depois, o appliance Gateway Enforcer encaminhará sua solicitação de gateway para receber uma configuração de rede de quarentena.

113 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação 113 Se a opção Verificar o número de série da política no cliente antes de permitir a entrada do cliente na rede não estiver selecionada e a integridade do host tiver êxito, o cliente poderá se conectar à rede. Ele poderá se conectar através do appliance Gateway Enforcer, mesmo que sua política de segurança não esteja atualizada. Para fazer com que o appliance Gateway Enforcer verifique o número de série da política em um cliente 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de appliances Gateway Enforcers. O grupo do Enforcer deve incluir o appliance Gateway Enforcer que verifica o número de série da política em um cliente. 4 Na caixa de diálogo Configurações, na guia Autenticação, selecione Verificar onúmerodesériedapolíticadoclienteantesdepermitiraentradadocliente na rede. 5 Clique em OK. Envio de uma mensagem de não-conformidade de um appliance Gateway Enforcer a um cliente Você pode notificar ao cliente que não pode se conectar à rede com uma mensagem pop-up do Windows. A mensagem geralmente diz ao usuário final que um cliente não pode conectar-se à rede. O cliente não pode se conectar à rede porque não executa o cliente do Symantec Network Access Control. A maioria dos administradores digita uma instrução breve sobre a necessidade de executar o cliente do Symantec Endpoint Protection ou o do Symantec Network Access Control. A mensagem pode incluir informações sobre um site de download de onde usuários finais podem fazer o download do software-cliente necessário. Também podem ser fornecidos um número de telefone para contato e outras informações relevantes. Essa configuração fica ativada por padrão. Ela se aplica apenas a clientes que não executam o cliente do Symantec Endpoint Protection ou o cliente do Symantec Network Access Control. Após concluir essa tarefa, a mensagem pop-up aparece no cliente, com a condição de que o serviço Windows Messenger esteja em execução no cliente.

114 114 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação Como enviar uma mensagem sobre não-conformidade de um appliance Gateway Enforcer a um cliente 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo de Configurações, na guia Autenticação, selecione Ativar mensagem pop-up para o cliente se o cliente não estiver sendo executado. 6 Clique em Mensagem. 7 Na caixa de diálogo Configurações de mensagem pop-up, selecione com que freqüência deseja que a mensagem apareça em um cliente da lista A seguinte mensagem será exibida. É possível selecionar qualquer um dos seguintes períodos de tempo: Uma vez O valor padrão é uma vez. A cada 30 segundos A cada minuto A cada 2 minutos A cada 5 minutos A cada 10 minutos 8 Digite a mensagem que deseja exibir na caixa de texto. O número máximo de caracteres, incluindo espaços e pontuação, é 125. A mensagem padrão é: Você está bloqueado de acessar a rede, pois não tem o cliente do Symantec Client em execução. É necessário instalá-lo. 9 Clique em OK. 10 Na caixa de diálogo Configurações, na guia Autenticação, clique em OK.

115 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação 115 Redirecionamento de solicitações HTTP para uma página da Web O appliance Gateway Enforcer oferece a opção de redirecionar solicitações HTTP para um servidor Web interno caso o cliente tente acessar um website interno por meio de um navegador e não houver um cliente sendo executado no cliente. Se um URL não for especificado, uma mensagem pop-up do appliance Gateway Enforcer será exibida como um corpo HTML para a primeira página HTML. Talvez você deseje conectar usuários a uma página da Web que você configurou. Os clientes podem fazer download de um software de correção desse website. O appliance Gateway Enforcer pode redirecionar a solicitação HTTP GET para um URL que seja especificado. Essa configuração fica ativada por padrão. Por exemplo, é possível redirecionar uma solicitação a um servidor Web do qual o cliente possa fazer download do software-cliente, dos patches ou das versões atualizadas dos aplicativos. Para redirecionar solicitações HTTP para uma página da Web 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de appliances Gateway Enforcers. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações do gateway, na guia Autenticação, selecione Verificar redirecionamento HTTP no cliente se o cliente não estiver em execução.

116 116 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Configurações de intervalo de autenticação 6 Digite o URL no campo URL de redirecionamento HTTP. O host do URL redirecionado deve ser o Symantec Endpoint Protection Manager ou um endereço IP que esteja listado como parte do intervalo de IP confiável interno. O URL pode ter até 255 caracteres. Se deseja especificar o nome de um servidor da Web, ative também Permitir todos os pacotes de solicitações DNS na guia Avançado. Se você deixar o campo URL vazio e clicar em OK, a seguinte mensagem será exibida: O URL de redirecionamento HTTP deve ser um URL válido. Ele também usará a mensagem pop-up do Gateway Enforcer como o corpo HTML da primeira página HTML enviada de volta ao cliente. 7 Na caixa de diálogo Configurações do gateway, na guia Autenticação, clique em OK. Configurações de intervalo de autenticação É possível fazer estas configurações: Endereços IP do cliente que o appliance Gateway Enforcer autentica. Endereços IP externos que o appliance Gateway Enforcer não autentica Endereços IP internos aos quais o Gateway Enforcer permite acesso. Após aplicar as configurações, as alterações serão enviadas ao appliance Gateway Enforcer selecionado durante a próxima pulsação. Tenha em mente as seguintes informações: A opção Somente autentique clientes com esses endereços IP é selecionada automaticamente por padrão. Se mantiver essa opção selecionada, mas não especificar endereços IP para autenticar, o appliance Gateway Enforcer atuará como uma ponte de rede e permitirá o acesso de todos os clientes. Para endereços de intervalo de IP externos e confiáveis, deve ser adicionado o endereço IP do servidor VPN corporativo, assim como quaisquer outros endereços IP que têm permissão de acesso à rede corporativa sem executar um cliente. Também é possível desejar incluir os dispositivos que normalmente têm acesso à rede e executam um sistema operacional diferente do Windows. Para endereços de intervalo de IP internos e confiáveis, é preciso especificar endereços tais como um servidor de atualizações, um servidor de arquivos contendo arquivos de assinatura antivírus, um servidor usado para correção

117 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Configurações de intervalo de autenticação 117 ou um servidor DNS ou WINS necessário para resolver nomes de domínio ou de host. Se você especificar que o appliance Gateway Enforcer verifique se o perfil do cliente está atualizado, os clientes poderão precisar se conectar ao Symantec Endpoint Protection Manager para fazer o download das políticas de segurança mais recentes. Se usar essa opção ao consultar o Symantec Endpoint Protection Manager por DNS ou nome de host, adicione o endereço IP do servidor DNS ou do servidor WINS à lista de IPs internos e confiáveis. Intervalos de IP do cliente comparados a endereços IP externos e confiáveis O intervalo de IP do cliente é semelhante ao que se chama Lista Negra. Você pode especificar os endereços IP do cliente que dizem ao appliance Gateway Enforcer para verificar somente endereços IP específicos para ver se estão sendo executados no cliente e se cumprem as políticas de segurança necessárias. Se um cliente não está na lista IP do cliente, é como se ele tivesse atribuído um endereço IP confiável. Ao contrário do intervalo de IP de cliente, os endereços IP externos e confiáveis são semelhantes ao que se chama de Lista Branca. Se você marcar a atribuição de endereços IP externos e confiáveis, o appliance Gateway Enforcer validará o cliente que tentar se conectar do lado externo, exceto clientes com endereços IP externos e confiáveis. O processo é o oposto do intervalo de IP do cliente, que diz ao appliance Gateway Enforcer para validar apenas os clientes no intervalo de IP do cliente. Quando usar os intervalos de IP de cliente O intervalo de IP do cliente permite aos administradores especificar um intervalo de endereços IP que representa os computadores que o appliance Gateway Enforcer deve autenticar. Os computadores com endereços fora do intervalo de IP do cliente têm permissão para passar pelo appliance Gateway Enforcer sem requerer o software-cliente ou outra autenticação. As razões para usar o intervalo de IP de cliente incluem: Permitir acesso à rede pelos websites externos Autenticação de um subconjunto de clientes Permissão do acesso de websites externos à rede Uma razão para usar os intervalos de IP de cliente é permitir que websites externos tenham acesso à rede de dentro de sua rede interna. Se uma organização tem computadores na rede corporativa que acessam websites na Internet através do

118 118 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Configurações de intervalo de autenticação appliance Gateway Enforcer, como Symantec ou Yahoo, os clientes internos podem consultar a Internet. Porém, o appliance Gateway Enforcer tenta autenticar os websites que tentam responder à solicitação do cliente. Portanto, clientes internos que se conectem à Internet através do appliance Gateway Enforcer não serão capazes de acessar a Internet a não ser que seja configurado o intervalo IP de cliente. O intervalo de IP de cliente pode ser composto de todos os endereços IP que um servidor VPN atribuiria a qualquer cliente. Por exemplo, um cliente interno pode acessar a Internet se o intervalo de IP de cliente estiver configurado. Quando um usuário interno entrar em contato com um website, o site pode responder ao cliente porque endereço IP está fora do intervalo do cliente IP. Conseqüentemente, o usuário interno não precisa ser autenticado. Autenticação de um subconjunto de clientes Você deve usar endereços IP do cliente para fazer com que o appliance Gateway Enforcer autentique um subconjunto limitado de clientes em sua empresa. Por exemplo, é possível usar endereços IP do cliente enquanto ele é distribuído. É possível fazer o appliance Gateway Enforcer verificar apenas os clientes que se conectam através de uma subrede onde já tenha sido instalado o cliente em todos os computadores. Outros clientes que acessem a rede corporativa deste local têm permissão para passar sem requerer autenticação. Enquanto o cliente é instalado em outros clientes, é possível adicionar seus endereços ao intervalo de IP do cliente ou usar uma estratégia de autenticação diferente. Sobre os endereços IP confiáveis Você trabalha com os seguintes tipos de endereços IP confiáveis em um Gateway Enforcer: Endereços IP externos e confiáveis Um endereço IP externo e confiável é o endereço IP de um computador externo que tem permissão para acessar a rede corporativa sem executar o cliente. Endereços IP internos e confiáveis Um endereço IP interno e confiável é o endereço IP de um computador dentro da rede corporativa que qualquer cliente externo pode acessar de fora. É possível adicionar endereços IP confiáveis de ambos os tipos no console do Symantec Endpoint Protection Manager. O tráfego para o Symantec Endpoint Protection Manager é sempre permitido a partir do appliance Gateway Enforcer.

119 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Configurações de intervalo de autenticação 119 Endereços IP externos e confiáveis Uma das principais responsabilidades de um appliance Gateway Enforcer é verificar se todos os computadores que tentam acessar a rede estão executando o cliente. Alguns computadores, como certos servidores, podem não estar executando o sistema operacional Windows ou podem não estar executando o cliente. Por exemplo, os servidores sem fio ou VPN geralmente não executam o cliente. Além disso, uma configuração de rede pode incluir dispositivos que normalmente acessam a rede e executam um sistema operacional diferente do Windows. Se esses computadores precisarem ignorar um appliance Gateway Enforcer, é necessário certificar-se de que o appliance Gateway Enforcer tenha informações sobre eles. Você pode realizar esse objetivo criando um intervalo de endereços IP externos e confiáveis. Além disso, é necessário também atribuir um endereço IP do intervalo de endereço IP a um cliente. Endereços IP internos e confiáveis Um endereço IP interno e confiável representa o endereço IP de um computador dentro da rede corporativa que clientes externos podem acessar de fora. É possível transformar certos endereços IP internos em endereços IP internos e confiáveis. Quando você especifica endereços IP internos confiáveis, os clientes podem obter esse endereço IP fora da rede corporativa, independentemente das seguintes situações: O software-cliente foi instalado no computador-cliente O cliente está em conformidade com uma política de segurança Os endereços IP internos e confiáveis são endereços IP que você deseja que pessoas que estão fora da empresa possam acessar. Exemplos de endereços internos que convém especificar como endereços IP confiáveis são: Um servidor de atualização Um servidor de arquivos contendo arquivos de assinatura antivírus Um servidor usado para correção Um servidor DNS ou WINS necessários para resolver nomes de domínio ou de host. Quando um cliente tenta acessar a rede interna e não obtém autenticação do appliance Gateway Enforcer, o cliente poderá ser colocado em quarentena nas seguintes circunstâncias: O cliente não está executando o software-cliente no computador-cliente

120 120 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Configurações de intervalo de autenticação A verificação de integridade do host falhou O cliente não tem uma política atualizada O cliente ainda tem permissão para acessar certos endereços IP, que são os endereços IP internos e confiáveis. Por exemplo, o conceito de endereços IP internos e confiáveis pode ter um cliente externo que necessite acessar a rede corporativa para chegar ao cliente ou ao software de que precisa. O appliance Gateway Enforcer permite que o cliente externo chegue a um computador que está na lista de endereços IP internos e confiáveis. Adição de intervalos de endereço IP do cliente à lista de endereços que necessitam de autenticação Você pode especificar aqueles clientes com endereços IP para os quais o appliance Gateway Enforcer autenticará. Você deve ficar informado a respeito dos seguintes assuntos: Marque a opção Ativar localizada ao lado do endereço ou intervalo de IP se deseja que o endereço seja autenticado. Se você quer desativar temporariamente a autenticação de um endereço ou intervalo, desmarque Enable (Ativar). Se digitar um endereço IP inválido, receberá uma mensagem de erro quando tentar adicioná-lo à lista de IP do cliente. Para restringir o acesso de um cliente à rede apesar da autenticação 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda os grupos do appliance Gateway Enforcer. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Gateway Settings (Configurações de gateway), na guia Auth Range (Intervalo de autenticação), na área Authenticate Client IP Range (Autenticar intervalo de IP de cliente), selecione Only authenticate clients with these IP addresses (Somente autentique clientes com esses endereços IP). Se você não marcar esta opção, os endereços IP listados serão ignorados. Conseqüentemente, os clientes que tentam conectar-se à rede serão autenticados. Se você marcar esta opção, o appliance Gateway Enforcer autenticará somente os clientes com endereços IP que forem adicionados à lista.

121 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Configurações de intervalo de autenticação Clique em Adicionar. 7 Na caixa de diálogo Adicionar endereço IP individual, selecione Endereço IP individual, Intervalo de IP ou Sub-rede. Os campos mudam para permitir que você insira as informações apropriadas. 8 Selecione se adicionar: Um endereço IP individual Um intervalo de IP Um endereço IP e uma máscara de sub-rede 9 Digite um endereço IP individual, um endereço inicial e endereço final de um intervalo ou um endereço IP e uma máscara de sub-rede. 10 Clique em OK. As informações de endereço inseridas são adicionadas à tabela de Intervalo IP de cliente, com a opção Ativar selecionada. 11 Continue clicando em Adicionar e especifique qualquer endereço ou intervalo de IP de endereços que deseja que o Gateway Enforcer autentique. 12 Clique em OK. Edição de intervalos de endereço IP de cliente na lista de endereços que necessitam de autenticação É possível que você tenha que editar os intervalos de endereço IP de cliente que deseja autenticar. Para editar intervalos de endereço IP de cliente na lista de endereços que necessitam de autenticação 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. 4 Selecione o grupo de Enforcers no qual deseja editar os intervalos de endereço IP do cliente na lista de endereços que necessitam de autenticação. 5 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 6 Na caixa de diálogo Configurações de gateway, na guia Intervalo de autenticação, na área Intervalo IP do cliente, clique em qualquer parte da coluna de endereços IP e clique em Editar tudo.

122 122 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Configurações de intervalo de autenticação 7 Clique em OK. 8 Na caixa de diálogo Configurações de gateway, clique em OK. Remoção de intervalos de endereço IP do cliente da lista de endereços que necessitam de autenticação Talvez seja necessário remover os intervalos de endereço IP do cliente. Para remover intervalos de endereço IP do cliente da lista de endereços que necessitam de autenticação 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. 4 Selecione o grupo do appliance Gateway Enforcer no qual deseja editar os intervalos de endereço IP do cliente na lista de endereços que necessitam de autenticação. 5 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 6 Na caixa de diálogo Configurações de gateway, na guia Intervalo de autenticação, na área Intervalo de IP do cliente, clique na linha que contém o endereço IP que deseja remover. 7 Clique em Remover. 8 Clique em OK. Adição de um endereço IP interno e confiável para clientes em um servidor de gerenciamento A tabela de IP interno e confiável tem uma lista dos endereços IP internos com os quais os clientes externos podem comunicar-se, independentemente de um cliente estar em execução ou ter sido aprovado na verificação de integridade do host. Se você executar dois appliances Gateway Enforcer em série para que um cliente se conecte por meio de mais de um appliance Gateway Enforcer, o appliance Gateway Enforcer mais próximo ao Symantec Endpoint Protection Manager precisa ser especificado como um endereço de IP interno e confiável do outro appliance Gateway Enforcer. Se um cliente falhar na verificação de integridade do host e em seguida for aprovado, será possível que ocorra até cinco minutos de atraso antes que o cliente possa se conectar à rede.

123 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Configurações de intervalo de autenticação 123 Para adicionar um endereço IP interno e confiável para clientes em um servidor de gerenciamento 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. 4 Selecione o grupo do appliance Gateway Enforcer no qual deseja editar os intervalos de endereço IP do cliente na lista de endereços que necessitam de autenticação. 5 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 6 Na caixa de diálogo Gateway Settings (Configurações do gateway), na guia Intervalo de autenticação, na área Trusted IP Range (Intervalo de IP confiável), selecione na lista suspensa Intervalo de IP interno e confiável (Trusted Internal IP Range). 7 Clique em Adicionar. 8 Na caixa de diálogo IP Address Settings (Configurações de endereço IP), insira um endereço IP ou um intervalo de endereço. 9 Clique em OK. O endereço IP é adicionado à lista e uma marca de seleção é exibida na coluna Ativar. 10 Na caixa de diálogo Configurações, clique em OK. Especificação de endereços IP externos e confiáveis Se foram adicionados endereços IP externos e confiáveis, o appliance Gateway Enforcer permite que os clientes nesses endereços IP conectem-se à rede mesmo sem executar um software-cliente. Como o cliente não é instalado em servidores VPN, é preciso adicionar o IP do servidor à lista de IPs confiáveis se você tiver um servidor VPN que requer acesso à rede por meio de um Gateway Enforcer. Se inserir um endereço IP válido, você receberá uma mensagem de erro. Nota: Primeiro, é necessário adicionar o endereço IP interno do servidor VPN no campo Endereços IP externos e confiáveis (Trusted external IP Addresses).

124 124 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Configurações de intervalo de autenticação Para especificar endereços IP externos e confiáveis 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. 4 Selecione o grupo de Enforcers para o qual deseja especificar os endereços IP externos e confiáveis. 5 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 6 Na caixa de diálogo Gateway Settings (Configurações do gateway), na guia Intervalo de autenticação, na área Trusted IP Range (Intervalo de IP confiável), selecione na lista suspensa Trusted External IP Range (Intervalo de IP externo e confiável). 7 Clique em Adicionar. 8 Na caixa de diálogo IP Address Settings (Configurações de endereço IP), insira um endereço IP ou um intervalo de endereço. 9 Clique em OK. O endereço IP é adicionado à lista e uma marca de seleção é exibida na coluna Ativar. 10 Na caixa de diálogo Configurações, clique em OK. Edição de endereço IP interno e confiável ou endereço IP interno e confiável Talvez seja necessário editar endereços IP internos e confiáveis, bem como endereços IP externos e confiáveis. Para editar um endereço IP interno e confiável ou um endereço IP externo e confiável 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. 4 Selecione o grupo de Enforcers para o qual deseja editar um endereço IP interno e confiável ou um endereço IP externo e confiável. 5 Na página Admin, em Tarefas, clique em Editar propriedades do grupo.

125 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Configurações de intervalo de autenticação Na caixa de diálogo Gateway Settings (Configurações do gateway), na guia Intervalo de autenticação, na área Trusted IP Range (Intervalo de IP confiável), selecione Trusted External IP Range (Intervalo de IP interno e confiável) ou Trusted External IP Range (Intervalo de IP externo e confiável) na lista suspensa. Os endereços para o tipo selecionado são exibidos na tabela. 7 Na tabela Trusted IP Range (Intervalo de IP confiável), clique em qualquer parte da coluna de endereços IP e depois em Editar tudo. 8 Na caixa de diálogo IP Address Editor (Editor de endereço IP), localize os endereços que deseja modificar e edite-os. 9 Clique em OK. 10 Na caixa de diálogo Configurações, clique em OK. Remoção de um endereço IP interno e confiável ou um endereço IP externo e confiável Se você não deseja mais permitir que usuários externos não totalmente autenticados tenham acesso a um local interno determinado, remova o endereço IP da tabela Trusted Internal IP Address (Endereço IP interno e confiável). Para remover um endereço IP interno e confiável ou um endereço IP externo e confiável 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de appliance Gateway Enforcers. 4 Selecione o grupo de appliances Gateway Enforcer do qual deseja remover um endereço IP interno e confiável ou um endereço IP externo e confiável. 5 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 6 Na caixa de diálogo Gateway Settings (Configurações do gateway), na guia Intervalo de autenticação, na área Trusted IP Range (Intervalo de IP confiável), selecione Trusted External IP Range (Intervalo de IP interno e confiável) ou Trusted External IP Range (Intervalo de IP externo e confiável) na lista suspensa. Os endereços para o tipo selecionado são exibidos na tabela. 7 Na tabela, clique na linha que contém o endereço IP que deseja remover.

126 126 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações avançadas do appliance Gateway Enforcer 8 Clique em Remover. 9 Na caixa de diálogo Configurações, clique em OK. Ordem de verificação do intervalo de IP Se o intervalo de IP do cliente e os endereços IP internos e confiáveis estiverem em uso, o appliance Gateway Enforcer verificará os endereços dos clientes na ordem abaixo quando um pacote de um cliente for recebido: Se o intervalo de IP do cliente estiver ativado, o appliance Gateway Enforcer verificará a tabela Intervalo de IP do cliente para encontrar um endereço que corresponda ao IP de origem do cliente. Se o intervalo de IP do cliente não incluir um endereço IP para esse cliente, o appliance Gateway Enforcer permitirá o cliente sem autenticação. Se o intervalo de IP do cliente incluir um endereço IP para esse cliente, o appliance Gateway Enforcer verificará, em seguida, o intervalo de IP externo e confiável para encontrar um endereço correspondente. Caso um endereço que corresponda ao cliente seja encontrado no intervalo de IP externo e confiável, o appliance Gateway Enforcer permitirá o cliente. Caso nenhum endereço seja encontrado no intervalo de IP externo e confiável, o appliance Gateway Enforcer verificará, então, o endereço de destino com a lista de intervalo de IP interno e confiável e a lista de Symantec Endpoint Protection Managers. Se um endereço correspondente não for localizado, o appliance Gateway Enforcer iniciará a sessão de autenticação e o envio do pacote de desafio. Uso das configurações avançadas do appliance Gateway Enforcer É possível definir as seguintes configurações avançadas do appliance Gateway Enforcer: Allow all DHCP request packets (Permitir todos os pacotes de solicitações DHCP). Allow all DNS request packets (Permitir todos os pacotes de solicitações DNS). Allow all ARP request packets (Permitir todos os pacotes de solicitações ARP). Allow other protocols besides IP and ARP (Permitir outros protocolos além de IP e ARP).

127 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações avançadas do appliance Gateway Enforcer 127 Você pode especificar os tipos de protocolos que deseja permitir no campo Filter (Filtro). Consulte Especificação dos tipos de pacote e protocolos na página 127. Permissão a clientes legados Consulte Permissão para um cliente legado se conectar à rede com um appliance Gateway Enforcer na página 128. Ativação da autenticação local Consulte Ativação da autenticação local em um appliance Gateway Enforcer na página 129. Quando essas configurações forem aplicadas, as alterações realizadas serão enviadas ao appliance Gateway Enforcer selecionado durante a próxima pulsação. Especificação dos tipos de pacote e protocolos É possível especificar se o appliance Gateway Enforcer aceita que certos tipos de pacotes passem sem solicitar execução ou autenticação do cliente. Para especificar os tipos de pacote e protocolos 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de appliance Gateway Enforcers. 4 Selecione o grupo de appliances Gateway Enforcer para o qual você quer especificar os tipos de pacote e protocolos. 5 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 6 Na caixa de diálogo Gateway Settings (Configurações de gateway), na guia Advanced (Avançado), marque ou desmarque os tipos de pacote a seguir: Allow all DHCP request packets (Permitir todos os pacotes de solicitações DHCP). Quando ativado, o appliance Gateway Enforcer encaminha todas as solicitações DHCP da rede externa para a rede interna. Visto que a desativação dessa opção impede que o cliente obtenha um endereço IP e já que o cliente requer um endereço IP para se comunicar com um appliance Gateway Enforcer, recomenda-se deixar essa opção ativada. A configuração padrão é ativada. Allow all DNS request packets (Permitir todos os pacotes de solicitações DNS). Quando ativado, o Enforcer encaminha todas as solicitações DNS da rede externa para a rede interna. Essa opção deve ser ativada se o cliente estiver

128 128 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações avançadas do appliance Gateway Enforcer configurado para se comunicar com o Symantec Endpoint Protection Manager por nome, e não por endereço IP. Essa opção também deve ser ativada se deseja usar a opção de solicitações de redirecionamento HTTP na guia Authentication (Autenticação). A configuração padrão é ativada. Allow all ARP request packets (Permitir todos os pacotes de solicitações ARP). Quando essa opção é ativada, o appliance Gateway Enforcer permite todos os pacotes ARP da rede interna. Do contrário, o appliance Gateway Enforcer trata o pacote como um pacote IP normal e usa o IP do remetente como IP de origem e o IP alvo como o IP de destino, efetuando o processo de autenticação. A configuração padrão é ativada. Allow other protocols besides IP and ARP (Permitir outros protocolos além de IP e ARP). Quando essa opção é ativada, o appliance Gateway Enforcer encaminha todos os pacotes com outros protocolos. Caso contrário, eles são eliminados. A configuração padrão é desativado. Se você marcou Allow other protocols besides IP and ARP (Permitir outros protocolos além de IP e ARP), convém preencher o campo Filtro. 7 Clique em OK. Permissão para um cliente legado se conectar à rede com um appliance Gateway Enforcer Você pode ativar um appliance Gateway Enforcer para se conectar aos clientes legados 5.1.x. Se sua rede oferecer suporte à versão do Symantec Endpoint Protection Manager, um appliance Symantec Gateway Enforcer, e precisar oferecer suporte aos clientes legados 5.1.x, você pode ativar o suporte de clientes legados 5.1.x no console do servidor de gerenciamento para que o appliance Symantec Gateway Enforcer não os bloqueie. Para permitir que um cliente legado se conecte à rede com um appliance Gateway Enforcer 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de appliances Gateway Enforcer. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo.

129 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações avançadas do appliance Gateway Enforcer Na caixa de diálogo Configurações, na guia Avançadas, marque Permitir cliente legado. 6 Clique em OK. Ativação da autenticação local em um appliance Gateway Enforcer Com a autenticação local ativada, o appliance Gateway Enforcer perde sua conexão com o servidor no qual o Symantec Endpoint Protection Manager está instalado. Portanto, o appliance Gateway Enforcer autentica um cliente localmente. Para ativar a autenticação local em um appliance Gateway Enforcer 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de appliances Gateway Enforcer. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações, na guia Avançadas, selecione Ativar a autenticação local. 6 Clique em OK.

130 130 Configuração do appliance Symantec Gateway Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações avançadas do appliance Gateway Enforcer

131 Capítulo 7 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Este capítulo contém os tópicos a seguir: Sobre a configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Alteração das configurações do appliance DHCP Enforcer em um servidor de gerenciamento Uso das configurações gerais Uso das definições de autenticação Uso de configurações de servidores DHCP Uso das configurações avançadas do appliance DHCP Enforcer

132 132 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Sobre a configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Sobre a configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager É possível adicionar ou editar configurações do appliance DHCP Enforcer no console do Symantec Endpoint Protection Manager. Antes de continuar, conclua as seguintes tarefas: Instalar o software do Symantec Endpoint Protection Manager no computador. Consulte o Guia de Instalação do Symantec Endpoint Protection e do Symantec Network Access Control. O computador no qual o software Symantec Endpoint Protection Manager é instalado também é chamado de servidor de gerenciamento. Conectar o appliance Symantec DHCP Enforcer à rede. Consulte Para configurar um appliance Enforcer na página 81. Configurar o appliance Symantec DHCP Enforcer no console do Enforcer durante a instalação. Consulte Para configurar um appliance Enforcer na página 83. Após concluir essas tarefas, será possível especificar configurações adicionais do appliance DHCP Enforcer em um servidor de gerenciamento. Alteração das configurações do appliance DHCP Enforcer em um servidor de gerenciamento É possível alterar as configurações do appliance DHCP Enforcer em um servidor de gerenciamento. O download das configurações é feito automaticamente a partir do servidor de gerenciamento para o appliance DHCP Enforcer durante a próxima pulsação. Para alterar as configurações do appliance DHCP Enforcer em um servidor de gerenciamento 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione o grupo do appliance DHCP Enforcer do qual o appliance DHCP Enforcer é membro. O grupo do appliance DHCP Enforcer deve incluir os appliances DHCP Enforcer cujas as configurações precisam ser alteradas.

133 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Alteração das configurações do appliance DHCP Enforcer em um servidor de gerenciamento Na página Admin, em Exibir servidores, selecione o appliance DHCP Enforcer cujas configurações precisam ser alteradas. 5 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 6 Na caixa de diálogo Configurações, altere qualquer definição de configuração. A caixa de diálogo Configurações do DHCP Enforcer oferece as seguintes categorias de configurações: Geral Configurações para a descrição do grupo do appliance DHCP Enforcer e para a lista do servidor de gerenciamento. Consulte Uso das configurações gerais na página 134. Autenticação Configurações para uma variedade de parâmetros que afetam o processo de autenticação do cliente. Consulte Uso das definições de autenticação na página 137. Servidores DHCP Configurações que especificam o endereço IP, o número de porta e a prioridade para servidores DHCP normais e em quarentena. Essa informação é necessária. Você deve configurar informações sobre o servidor DHCP antes de começar a aplicação. Consulte Uso de configurações de servidores DHCP na página 147. Avançado Configurações dos parâmetros do tempo limite de autenticação e tempo limite de mensagem do DHCP. Configurações para os endereços MAC dos hosts confiáveis, os quais o appliance DHCP Enforcer permite se conectar sem autenticação (opcional). Configurações do spoofing de DNS e autenticação local. Consulte Uso das configurações avançadas do appliance DHCP Enforcer na página 151. Configurações de registro Configurações para ativar os registros do servidor, os registros de atividade do cliente e para especificar os parâmetros de arquivos de registro. Consulte Sobre relatórios do Enforcer na página 423. Consulte Sobre registros do Enforcer na página 424. Consulte Definição das configurações do registro do Enforcer na página 427.

134 134 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações gerais Uso das configurações gerais É possível adicionar ou editar a descrição de um DHCP Enforcer ou de um grupo do DHCP Enforcer no console do Symantec Endpoint Protection Manager. Consulte Adição ou edição do nome de um grupo do Enforcer com um DHCP Enforcer na página 134. Consulte Adição ou edição da descrição de um grupo do Enforcer com um DHCP Enforcer na página 134. No entanto, não se pode adicionar ou editar o nome de um grupo do DHCP Enforcer no console do Symantec Endpoint Protection Manager. Também não é possível adicionar ou editar o endereço IP ou nome do host de um DHCP Enforcer no console do Symantec Endpoint Protection Manager. Em vez disso, execute essas tarefas no console do Enforcer. Consulte Adição ou edição do endereço IP ou nome de host de um DHCP Enforcer na página 135. Você também pode adicionar ou editar o endereço IP ou o nome do host de um Symantec Endpoint Protection Manager em uma lista do servidor de gerenciamento. Consulte Conexão do DHCP Enforcer a um Symantec Endpoint Protection Manager na página 136. Adição ou edição do nome de um grupo do Enforcer com um DHCP Enforcer É possível adicionar ou editar o nome de um grupo do Enforcer do qual um appliance DHCP Enforcer é membro. Essas tarefas são executadas no console do Enforcer durante a instalação. Se, mais tarde, desejar modificar o nome de um grupo do Enforcer, será possível fazê-lo no console do Enforcer. Consulte o Guia de Implementação do Symantec Network Access Control Enforcer para obter mais informações sobre como adicionar ou editar o nome de um grupo do Enforcer. Todos os Enforcers de um grupo compartilham as mesmas configurações. Adição ou edição da descrição de um grupo do Enforcer com um DHCP Enforcer É possível adicionar ou editar a descrição de um grupo do Enforcer do qual um appliance Symantec DHCP Enforcer é membro. Essa tarefa pode ser realizada no

135 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações gerais 135 console do Symantec Endpoint Protection Manager em vez de no console do DHCP Enforcer. Para adicionar ou editar a descrição de um grupo do Enforcer com um DHCP Enforcer 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servers (Servidores). 3 Na página Admin, em View Servers (Exibir servidores), selecione e expanda o grupo do Enforcer cuja descrição deseja adicionar ou editar. 4 Na página Admin, em Tasks (Tarefas), clique em EditGroupProperties (Editar propriedades do grupo). 5 Na caixa de diálogo Settings (Configurações), na guia Basic Settings (Configurações básicas), adicione ou edite uma descrição para o grupo do Enforcer no campo Description (Descrição). 6 Na caixa de diálogo Settings (Configurações), clique em OK. Adição ou edição do endereço IP ou nome de host de um DHCP Enforcer É possível alterar o endereço IP ou nome de host de um DHCP Enforcer no console do Enforcer somente durante a instalação. Em outro momento, se quiser alterar o endereço IP ou nome de host de um DHCP Enforcer, você poderá fazê-lo no console do DHCP Enforcer. Consulte o Guia de Implementação do Symantec Network Access Control Enforcer para obter mais informações. Adição ou edição da descrição de um DHCP Enforcer É possível adicionar ou editar a descrição de um DHCP Enforcer. Essa tarefa pode ser realizada no console do Symantec Endpoint Protection Manager em vez de no console do DHCP Enforcer. Após concluir essa tarefa, a descrição será exibida no campo Descrição do painel Servidor de gerenciamento. Para adicionar ou editar a descrição de um DHCP Enforcer. 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo do Enforcer que inclui o DHCP Enforcer cuja descrição deseja adicionar ou editar. 4 Na página Admin, em Exibir servidores, selecione o DHCP Enforcer cuja descrição deseja adicionar ou editar. 5 Na página Admin, em Tarefas, clique em Editar propriedades do Enforcer.

136 136 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações gerais 6 Na caixa de diálogo Enforcer Properties (Propriedades do Enforcer), adicione ou edite uma descrição para o DHCP Enforcer no campo Descrição. 7 Na caixa de diálogo Enforcer Properties (Propriedades do Enforcer), clique em OK. Conexão do DHCP Enforcer a um Symantec Endpoint Protection Manager Os Enforcers devem ser capazes de se conectar aos servidores nos quais o Symantec Endpoint Protection Manager está instalado. O Symantec Endpoint Protection Manager inclui um arquivo que ajuda a gerenciar o tráfego entre clientes, Symantec Endpoint Protection Managers e Enforcers opcionais, como um DHCP Enforcer. Esse arquivo é conhecido como uma lista de servidores de gerenciamento. A lista de servidores de gerenciamento especifica a qual servidor do Symantec Endpoint Protection Manager um DHCP Enforcer será conectado. Ele também especifica a qual servidor do Symantec Endpoint Protection um DHCP Enforcer se conecta, caso um servidor de gerenciamento falhe. Uma lista de servidores de gerenciamento padrão é criada automaticamente para cada site durante a instalação inicial. Todos os Symantec Endpoint Protection Managers disponíveis no site são adicionados à lista de servidores de gerenciamento padrão automaticamente. Uma lista de servidores de gerenciamento padrão inclui os endereços IP ou nomes do host do servidor de gerenciamento aos quais os DHCP Enforcers podem se conectar após a instalação inicial. Você deve criar uma lista de servidores de gerenciamento personalizada antes de implantar qualquer Enforcer. Se criar uma lista, será possível especificar a prioridade com que um DHCP Enforcer pode se conectar a servidores de gerenciamento. É possível selecionar a lista de servidores de gerenciamento específica que inclui os endereços IP ou nomes do host desses servidores de gerenciamento aos quais se queira que o DHCP Enforcer se conecte. Se houver apenas uma lista de servidores de gerenciamento em um site, será possível selecionar a lista de servidores de gerenciamento padrão. Consulte o Guia de Administração do Symantec Endpoint Protection e do Symantec Network Access Control para obter mais informações sobre como personalizar listas de servidores de gerenciamento. Para conectar o DHCP Enforcer a um Symantec Endpoint Protection Manager 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores.

137 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. O grupo do Enforcer deve incluir o DHCP Enforcer para o qual deseja modificar o endereço IP ou nome do host na lista de servidores de gerenciamento. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações, na guia Configurações básicas, em Comunicação, selecione a lista de servidores de gerenciamento que deseja que esse DHCP Enforcer utilize. 6 Na caixa de diálogo Configurações, na guia Configurações básicas, em Comunicação, clique em Visualização. É possível visualizar os endereços IP e os nomes do host de todos os servidores de gerenciamento disponíveis, assim como as prioridades atribuídas. 7 Na caixa de diálogo Lista de servidores de gerenciamento, clique em Fechar. 8 Na caixa de diálogo Configurações, clique em OK. Uso das definições de autenticação É possível especificar uma série de configurações de autenticação para uma sessão de autenticação do DHCP Enforcer. Quando essas alterações forem aplicadas, serão enviadas automaticamente para o DHCP Enforcer selecionado durante a próxima pulsação. Sobre o uso das configurações de autenticação Talvez você queira implementar algumas configurações de autenticação para proteger ainda mais a rede. A Tabela 7-1 fornece mais informações sobre as opções da guia Autenticação. Tabela 7-1 Opção Configurações de autenticação para o DHCP Enforcer Descrição Número máximo de pacotes por sessão autenticada A quantidade máxima de pacotes de desafio que o DHCP Enforcer envia em cada sessão de autenticação. O número padrão é 10. Consulte Especificação do número máximo de pacotes de desafio durante uma sessão de autenticação na página 141.

138 138 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação Opção Período de tempo entre pacotes em sessão de autenticação Descrição O período de tempo (em segundos) entre cada pacote de desafio que o Enforcer envia. O valor padrão é 3. Consulte Especificação da freqüência de envio dos pacotes de desafio aos clientes na página 142. Permitir todos os clientes, mas continuar a registrar quais clientes não são autenticados Se essa opção estiver ativada, o Enforcer autenticará todos os usuários, verificando se eles estão executando um cliente. O DHCP Enforcer também examina se o cliente foi aprovado na verificação de integridade do host. Se o cliente for aprovado na verificação de integridade do host, o DHCP Enforcer registrará os resultados. Ele, então, encaminhará a solicitação DHCP para receber uma configuração de rede normal em vez de uma configuração de rede de quarentena, caso as verificações aprovarem ou falharem. A configuração padrão é não ativada. Consulte Permissão para todos os clientes com registros contínuos de clientes não autenticados na página 143. Todos os clientes com sistemas operacionais que não sejam Windows Se essa opção estiver ativada, o DHCP Enforcer verificará o sistema operacional do cliente. O DHCP Enforcer permite que todos os clientes que não executam os sistemas operacionais Windows recebam uma configuração de rede normal sem ser autenticados. Se essa opção não estiver ativada, os clientes receberão uma configuração de rede de quarentena. A configuração padrão é não ativada. Consulte Permissão para que clientes que não sejam Windows se conectem à rede sem autenticação na página 144.

139 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação 139 Opção Verificar o número de série da política do cliente antes de permitir a entrada do cliente na rede Descrição Se essa opção estiver ativada, o DHCP Enforcer verificará se o cliente recebeu as políticas de segurança mais recentes do servidor de gerenciamento. Se o número de série da política não for o mais recente, o DHCP Enforcer notificará o cliente para que atualize a política de segurança. O cliente encaminhará a solicitação DHCP para receber uma configuração de rede de quarentena. Ativar mensagem pop-up para o cliente se o cliente não estiver sendo executado Se essa opção não estiver ativada e se a verificação da integridade do host for bem-sucedida, o DHCP Enforcer encaminhará a solicitação DHCP para receber uma configuração de rede normal. O DHCP Enforcer encaminhará a solicitação DHCP mesmo que o cliente não tenha a política de segurança mais recente. A configuração padrão é não ativada. Consulte Como fazer com que o DHCP Enforcer verifique o número de série da política em um cliente na página 145. Se essa opção estiver ativada, uma mensagem será exibida aos usuários nos computadores com Windows sem que um cliente que tente conectar-se a uma rede empresarial seja executado. A mensagem padrão está configurada para ser exibida apenas uma vez. Ela informa aos usuários que eles estão impedidos de acessar a rede porque um cliente não está em execução, avisando-os para instalá-lo. Para editar a mensagem ou alterar a freqüência com que é exibida, clique em Mensagem. O tamanho máximo da mensagem é de 128 caracteres. A configuração padrão é ativada. Consulte Envio de uma mensagem de não conformidade do appliance DHCP Enforcer para um cliente na página 146. Sobre as sessões de autenticação Quando um cliente tenta acessar a rede interna, o appliance DHCP Enforcer verifica primeiramente se o cliente está executando um cliente. Caso esteja, o appliance DHCP Enforcer encaminha a mensagem do DHCP do cliente para o servidor DHCP para obter um endereço IP de quarentena com um tempo de concessão curto. Esse processo é usado internamente pelo appliance DHCP Enforcer para seu processo de autenticação.

140 140 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação O appliance DHCP Enforcer inicia, então, a sessão de autenticação com o cliente. Uma sessão de autenticação é um conjunto de pacotes de desafio que o appliance DHCP Enforcer envia para cada cliente. Durante a sessão de autenticação, o appliance DHCP Enforcer envia um pacote de desafio para o cliente com uma freqüência especificada. A configuração padrão é a cada três segundos. O appliance DHCP Enforcer continua a enviar pacotes até que uma das seguintes condições tenham sido satisfeitas: O appliance DHCP Enforcer receba uma resposta do cliente O appliance DHCP Enforcer envie o número máximo de pacotes especificados. A configuração padrão é 10. A freqüência (3 segundos) vezes o número de pacotes (10) é o valor que é usado para a pulsação do appliance DHCP Enforcer. A pulsação é o intervalo que o appliance DHCP Enforcer permite que o cliente continue conectado antes de iniciar uma nova sessão de autenticação. A configuração padrão é 30 segundos. O cliente envia informações que contêm os seguintes itens para o appliance DHCP Enforcer: Identificador único (UID) O número de série do perfil atual Os resultados da verificação de integridade do host O appliance DHCP Enforcer verifica o UID e o número de série da política do cliente com o Symantec Endpoint Protection Manager. Se o cliente foi atualizado com as últimas políticas de segurança, o número de série da política corresponderá ao número que o appliance DHCP Enforcer recebeu do servidor de gerenciamento. Os resultados da verificação de integridade do host mostram se o cliente está ou não em conformidade com as políticas atuais de segurança. Se as informações do cliente passarem nos requisitos de autenticação, o appliance DHCP Enforcer encaminha a solicitação DHCP ao servidor DHCP. O appliance DHCP Enforcer espera receber uma configuração de rede DHCP normal. Do contrário, o appliance DHCP Enforcer as encaminha para o servidor DHCP em quarentena para receber uma configuração de rede de quarentena. É possível instalar um servidor DHCP em um computador e configurá-lo para oferecer uma configuração normal e uma configuração de rede de quarentena Consulte Planejamento da instalação para um appliance DHCP Enforcer na página 54.

141 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação 141 Após o intervalo de pulsação, ou sempre que o cliente tentar renovar seu endereço IP, o appliance DHCP Enforcer começa uma nova sessão de autenticação. O cliente deve responder para manter a conexão à rede interna. O appliance DHCP Enforcer desconecta os clientes que não responderem. Para os clientes que foram previamente autenticados, mas que agora falham na autenticação, o appliance DHCP Enforcer envia uma mensagem para o servidor DHCP. A mensagem é uma solicitação de liberação do endereço IP atual. Depois, o appliance DHCP Enforcer envia uma mensagem do DHCP para o cliente. O cliente envia uma solicitação para obter um endereço IP e uma configuração de rede novos para o appliance DHCP Enforcer. O DHCP Enforcer encaminha a solicitação ao servidor DHCP em quarentena. Especificação do número máximo de pacotes de desafio durante uma sessão de autenticação Durante a sessão de autenticação, o appliance DHCP Enforcer envia um pacote de desafio para o cliente com uma freqüência especificada. O appliance DHCP Enforcer continua a enviar pacotes até que as seguintes condições tenham sido satisfeitas: O appliance DHCP Enforcer receba uma resposta do cliente O appliance DHCP Enforcer envie o número máximo de pacotes especificados. A configuração padrão do número máximo de pacotes de desafio durante uma sessão de autenticação é 10. Para especificar o número máximo de pacotes de desafio durante uma sessão de autenticação 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. O grupo do appliance Enforcer deve incluir o DHCP Enforcer para o qual deseja especificar o número máximo de pacotes de desafio durante uma sessão de autenticação. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo.

142 142 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação 5 Na guia Autenticação, em Parâmetros de autenticação, digite o número máximo de pacotes de desafio que deseja permitir durante uma sessão de autenticação no campo Número máximo de pacotes por sessão autenticada. A configuração padrão é Na caixa de diálogo Configurações, na guia Autenticação, clique em OK. Especificação da freqüência de envio dos pacotes de desafio aos clientes Durante a sessão de autenticação, o appliance DHCP Enforcer envia um pacote de desafio para o cliente com uma freqüência especificada. O appliance DHCP Enforcer continua a enviar pacotes até que as seguintes condições tenham sido satisfeitas: O appliance DHCP Enforcer receba uma resposta do cliente O appliance DHCP Enforcer envie o número máximo de pacotes especificados. A configuração padrão é a cada três segundos. Para especificar a freqüência de pacotes de desafio a serem enviados aos clientes 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. O grupo do appliance DHCP Enforcer deve incluir o appliance DHCP Enforcer para o qual deseja especificar a freqüência de pacotes de desafio a serem enviados aos clientes. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 5 Na guia Autenticação, em Parâmetros de autenticação, digite o número máximo de pacotes de desafio que deseja que o DHCP Enforcer continue a enviar a um cliente durante uma sessão de autenticação no campo Período de tempo entre pacotes em sessão de autenticação. A configuração padrão é Na caixa de diálogo Configurações, na guia Autenticação, clique em OK.

143 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação 143 Permissão para todos os clientes com registros contínuos de clientes não autenticados Pode levar algum tempo para implantar todo o software-cliente. É possível configurar o appliance DHCP Enforcer para permitir que todos os clientes se conectem à rede após a distribuição do pacote de clientes para todos os usuários. Todos esses usuários se conectam a um servidor DHCP no local desse appliance DHCP Enforcer. O appliance DHCP Enforcer ainda autentica todos os usuários, verificando se estão executando um cliente, efetuando a verificação de integridade do host e registrando os resultados. Ele encaminha solicitações DHCP para receber a configuração de rede do servidor DHCP normal, em vez da configuração de rede de quarentena. Esse processo ocorre independentemente da aprovação ou falha das verificações de integridade do host. A configuração padrão é não ativada. Use as seguintes diretrizes quando aplicar as definições de configuração: Essa configuração deve ser uma medida temporária, uma vez que torna a rede menos segura. Enquanto essa configuração estiver ativa, você poderá analisar os registros do Enforcer. É possível descobrir os tipos de clientes que tentam se conectar à rede naquele local. Por exemplo, o registro de atividades do cliente pode ser analisado para verificar se algum dos clientes não tem o software-cliente instalado. Depois, você pode certificar-se de que o software-cliente esteja instalado nesses clientes antes de desativar essa opção. Para permitir todos os clientes com registros contínuos de clientes não autenticados 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. O grupo do Enforcer deve incluir o DHCP Enforcer para o qual deseja permitir todos os clientes enquanto continua o registro de clientes não autenticados. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo.

144 144 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação 5 Na caixa de diálogo Configurações, na guia Autenticação, selecione Permitir todos os clientes, mas continuar a registrar quais clientes não são autenticados A configuração padrão é não ativada. 6 Clique em OK. Permissão para que clientes que não sejam Windows se conectem à rede sem autenticação O appliance DHCP Enforcer não pode autenticar um cliente que executa um sistema operacional que não seja Windows. Portanto, os clientes que não sejam Windows não podem se conectar à rede, a menos que seja permitido, especificamente, que se conectem à rede sem autenticação. A configuração padrão é não ativada. É possível usar um dos seguintes métodos para ativar os clientes compatíveis com plataformas que não sejam Windows para conectar-se à rede: Especificar cada cliente que não seja Windows como host confiável. Todos os clientes com sistemas operacionais que não sejam Windows. O appliance DHCP Enforcer detecta o sistema operacional do cliente e autentica clientes Windows. No entanto, ele não permite que clientes que não sejam Windows se conectem ao servidor DHCP normal sem autenticação. Para permitir que clientes que não sejam Windows conectem-se a uma rede sem autenticação 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. O grupo do appliance DHCP Enforcer deve incluir o appliance DHCP Enforcer para o qual deseja permitir que todos os clientes que não sejam Windows se conectem a uma rede. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações, na guia Autenticação, selecione Todos os clientes com sistemas operacionais que não sejam Windows. A configuração padrão é não ativada. 6 Clique em OK.

145 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação 145 Como fazer com que o DHCP Enforcer verifique o número de série da política em um cliente O Symantec Endpoint Protection Manager atualiza o número de série da política de um cliente sempre que a política de segurança do cliente é alterada. Quando um cliente se conecta ao Symantec Endpoint Protection Manager, ele recebe as políticas de segurança e o número de série da política mais recentes. Quando o cliente tenta se conectar à rede por meio do appliance DHCP Enforcer, o appliance DHCP Enforcer recupera o número de série da política do Symantec Endpoint Protection Manager. O appliance DHCP Enforcer compara o número de série da política com o número que recebeu do cliente. Se os números de série da política forem idênticos, o appliance DHCP Enforcer confirmou que o cliente está executando uma política de segurança atualizada. O valor padrão para essa configuração é não ativado. As seguintes diretrizes se aplicam: Se a opção Verificar o número de série da política do cliente antes de permitir a entrada do cliente na rede estiver selecionada, o cliente deverá ter a política de segurança mais recente antes de poder se conectar à rede por meio do servidor DHCP normal. Se o cliente não tiver a política de segurança mais recente, ele será avisado para fazer o download dessa política. Em seguida, o appliance DHCP Enforcer encaminhará a solicitação DHCP para receber uma configuração de rede de quarentena. Se a opção Verificar o número de série da política no cliente antes de permitir a entrada do cliente na rede não estiver selecionada e a integridade do host tiver êxito, o cliente poderá se conectar à rede. O cliente poderá se conectar por meio do servidor DHCP normal, mesmo se a política de segurança não estiver atualizada. Para fazer com que o DHCP Enforcer verifique o número de série da política em um cliente 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. O grupo do appliance DHCP Enforcer deve incluir o appliance DHCP Enforcer que verifica o número de série da política em um cliente.

146 146 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Uso das definições de autenticação 4 Na caixa de diálogo Configurações, na guia Autenticação, selecione Verificar onúmerodesériedapolíticadoclienteantesdepermitiraentradadocliente na rede. 5 Clique em OK. Envio de uma mensagem de não conformidade do appliance DHCP Enforcer para um cliente Você pode informar ao cliente que não pode se conectar à rede com uma mensagem pop-up do Windows. A mensagem geralmente diz ao usuário final que um cliente não pode conectar-se à rede. O cliente não pode conectar-se à rede porque não executa o cliente do Symantec Endpoint Protection ou o cliente do Symantec Network Access Control. A maioria dos administradores digita uma instrução breve sobre a necessidade de executar o cliente do Symantec Endpoint Protection ou o do Symantec Network Access Control. A mensagem pode incluir informações sobre um site de download de onde usuários finais podem fazer o download do software-cliente necessário. Também podem ser fornecidos um número de telefone para contato e outras informações relevantes. Essa configuração fica ativada por padrão. Ela se aplica apenas a clientes que não executam o cliente do Symantec Endpoint Protection ou o cliente do Symantec Network Access Control. Após concluir essa tarefa, a mensagem pop-up aparece no cliente, com a condição de que o serviço Windows Messenger esteja em execução no cliente. Para enviar uma mensagem de não conformidade do appliance DHCP Enforcer para um cliente 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo de Configurações, na guia Autenticação, selecione Ativar mensagem pop-up para o cliente se o cliente não estiver sendo executado. 6 Na caixa de diálogo Configurações, na guia Autenticação, clique em Mensagem. 7 Na caixa de diálogo Configurações de mensagem pop-up, selecione a freqüência de exibição da mensagem em um cliente. É possível selecionar qualquer um dos seguintes períodos de tempo:

147 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Uso de configurações de servidores DHCP 147 Uma vez O valor padrão é uma vez. A cada 30 segundos A cada minuto A cada 2 minutos A cada 5 minutos A cada 10 minutos 8 Digite a mensagem que deseja exibir na caixa de texto. O número máximo de caracteres, incluindo espaços e pontuação, é 125. A mensagem padrão é: Você está bloqueado de acessar a rede, pois não tem o cliente do Symantec Client em execução. É necessário instalá-lo. 9 Na caixa de diálogo Configurações de mensagem pop-up, clique em OK. 10 Na caixa de diálogo Configurações, na guia Autenticação, clique em OK. Uso de configurações de servidores DHCP É possível especificar várias configurações do servidor DHCP. Quando essas alterações forem aplicadas, elas serão enviadas automaticamente para o appliance DHCP Enforcer selecionado durante a próxima pulsação. Sobre o uso de configurações de servidores DHCP É possível especificar até 256 servidores DHCP. Se especificar vários servidores DHCP, você pode fornecer failover e balanceamento de carga. Você pode usar a configuração Prioridade do servidor DHCP para que o appliance DHCP Enforcer envie solicitações DHCP para vários servidores DHCP ao mesmo tempo. Também é possível definir servidores DHCP normais e em quarentena em computadores diferentes ou no mesmo computador. Se um cliente tiver autorização para se conectar à rede, o servidor DHCP normal atribuirá um endereço IP ao cliente. Se definir um servidor DHCP em quarentena, um cliente sem autorização ainda poderá conectar-se à rede. No entanto, o cliente não autorizado poderá apenas comunicar-se com computadores limitados na rede. Consulte Adição de um servidor DHCP normal na página 149.

148 148 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Uso de configurações de servidores DHCP Consulte Adição de um servidor DHCP em quarentena na página 150. Se planeja definir um servidor DHCP normal e em quarentena no mesmo computador, selecione a opção Ativar ID da classe de usuário. Se selecionar a opção Ativar ID da classe de usuário, o appliance DHCP Enforcer adicionará uma classe de usuário em quarentena às mensagens do DHCP. Essas mensagens do DHCP são encaminhadas ao servidor DHCP. Assim, o servidor DHCP atribuirá uma configuração de quarentena ao cliente baseada na presença do ID de classe do usuário. É possível usar um servidor DHCP que funcione como normal e um que funcione como em quarentena. Consulte Combinação de servidores DHCP normal e em quarentena no computador na página 148. Se desfizer a seleção da opção Ativar ID da classe de usuário, será necessário definir dois servidores DHCP separados. Um dos servidores DHCP funciona como um servidor DHCP normal. O outro funciona como um servidor DHCP em quarentena. Consulte Ativação de servidores DHCP normais e em quarentena separados na página 149. Combinação de servidores DHCP normal e em quarentena no computador A opção Ativar ID da classe de usuário permite configurar servidores DHCP normal e em quarentena no computador. Assim, menos computadores serão necessários para obter segurança máxima. Para combinar um servidor servidor DHCP normal e um servidor DHCP em quarentena no computador 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações, na guia Servidores DHCP, selecione Ativar ID da classe de usuário. 6 Na caixa de diálogo Configurações, na guia Servidores DHCP, clique em OK.

149 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Uso de configurações de servidores DHCP 149 Ativação de servidores DHCP normais e em quarentena separados A opção Ativar ID da classe de usuário permite configurar separadamente servidores DHCP normais e em quarentena. Portanto, é possível alcançar o máximo de segurança caso o tráfego na rede exija. Para ativar separadamente servidores DHCP normais e em quarentena 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações, na guia Servidores DHCP, desmarque Ativar ID da classe de usuário. 6 Clique em OK. Adição de um servidor DHCP normal As informações do servidor DHCP normal são exibidas em uma linha da tabela na caixa de diálogo Configurações. Para adicionar um servidor DHCP normal 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações, na guia Servidores DHCP, em Servidores DHCP normais, clique em Adicionar. 6 Na caixa de diálogo Adicionar servidor DHCP, selecione Ativar caso não esteja selecionado. 7 Digite o endereço IP ou o nome de host do servidor DHCP na caixa de texto IP do servidor DHCP. 8 Digite o número de porta do servidor DHCP na caixa de texto Servidor DHCP. A configuração de porta padrão no servidor DHCP é 67.

150 150 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Uso de configurações de servidores DHCP 9 Selecione o número de prioridade para o servidor DHCP na caixa de texto Prioridade do servidor DHCP. A configuração padrão para a prioridade é 1. Se usar um servidor DHCP em um computador como servidor DHCP normal e em quarentena, adicione o servidor DHCP nessa caixa de diálogo como um servidor DHCP normal e em quarentena. Preencha as mesmas informações para ambos os tipos de servidores DHCP na caixa de diálogo Adicionar servidor DHCP. É possível atribuir a um servidor DHCP uma prioridade de 0 a 15. Essa configuração é usada para equilíbrio de carga. Se configurar dois servidores DHCP com a mesma prioridade, o DHCP Enforcer encaminhará a solicitação a ambos os servidores DHCP ao mesmo tempo. Se um servidor DHCP estiver ocupado, o outro poderá responder. Se configurar vários servidores DHCP com prioridades diferentes, o DHCP Enforcer encaminha primeiro as solicitações DHCP ao servidor que tiver a prioridade mais alta. Então, o servidor DHCP encaminhará as solicitações DHCP aos outros servidores. 10 Clique em OK. Na caixa de diálogo Configurações, na guia Servidores DHCP, clique em OK. Adição de um servidor DHCP em quarentena As informações do servidor DHCP normal são exibidas em uma linha da tabela na caixa de diálogo Configurações. Para adicionar um servidor DHCP em quarentena 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações, na guia Servidores DHCP, em Servidores DHCP em quarentena, clique em Adicionar. 6 Na caixa de diálogo Adicionar servidor DHCP, selecione Ativar caso não esteja selecionado. 7 Digite o endereço IP ou o nome de host do servidor DHCP na caixa de texto IP do servidor DHCP. 8 Digite o número de porta do servidor DHCP na caixa de texto Servidor DHCP. A configuração de porta padrão no servidor DHCP é 67.

151 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações avançadas do appliance DHCP Enforcer Selecione o número de prioridade para o servidor DHCP na caixa de texto Prioridade do servidor DHCP. A configuração padrão para a prioridade é 1. Se usar um servidor DHCP em um computador como servidor DHCP normal e em quarentena, adicione o servidor DHCP nessa caixa de diálogo como um servidor DHCP normal e em quarentena. Preencha as mesmas informações para ambos os tipos de servidores DHCP na caixa de diálogo Adicionar servidor DHCP. É possível atribuir a um servidor DHCP uma prioridade de 0 a 15. Essa configuração é usada para equilíbrio de carga. Se configurar dois servidores DHCP com a mesma prioridade, o DHCP Enforcer encaminhará a solicitação a ambos os servidores DHCP ao mesmo tempo. Se um servidor DHCP estiver ocupado, o outro poderá responder. Se configurar vários servidores DHCP com prioridades diferentes, o appliance DHCP Enforcer encaminha primeiro as solicitações DHCP ao servidor que tiver a prioridade mais alta e, depois, aos outros. 10 Clique em OK. Na caixa de diálogo Configurações, na guia Servidores DHCP, clique em OK. Uso das configurações avançadas do appliance DHCP Enforcer É possível definir as seguintes configurações avançadas do appliance DHCP Enforcer: Tempo limite de autenticação. Consulte Configuração de uma quarentena automática para um cliente cuja autenticação falha na página 152. Tempo limite de mensagem do DHCP. Consulte Para especificar o período de espera de um appliance DHCP Enforcer antes de conceder o acesso do cliente à rede na página 153. MAC addresses for the trusted hosts that the DHCP Enforcer allows to connect to the normal DHCP server without authentication (Endereços MAC dos hosts confiáveis que o DHCP Enforcer permite se conectar ao servidor DHCP normal sem autenticação) Consulte Ativação de servidores, clientes e dispositivos para que se conectem à rede como hosts confiáveis sem autenticação na página 153. Enabling DNS spoofing (Ativação do spoofing de DNS) Consulte Como impedir o spoofing de DNS na página 154.

152 152 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações avançadas do appliance DHCP Enforcer Permissão a clientes legados Consulte Permissão para um cliente legado conectar-se à rede com um appliance DHCP Enforcer na página 155. Enabling local authentication (Ativação da autenticação local) Consulte Ativação da autenticação local no appliance DHCP Enforcer na página 156. Quando essas configurações são aplicadas, as alterações são enviadas para o DHCP Enforcer selecionado durante a próxima pulsação. Configuração de uma quarentena automática para um cliente cuja autenticação falha É possível especificar o período de tempo durante o qual o appliance DHCP Enforcer espera pela resposta de um cliente. A resposta verifica se o cliente do Symantec Endpoint Protection ou o cliente do Symantec Network Access Control foi instalado ou não. Se o appliance DHCP Enforcer considera que o software-cliente não foi instalado durante o intervalo especificado, o cliente é mantido em quarentena. Para configurar uma quarentena automática para um cliente cuja autenticação falha 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. 4 No console do Symantec Endpoint Protection Manager, em Exibir servidores, selecione o appliance DHCP Enforcer para o qual deseja definir a configuração. 5 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 6 Na caixa de diálogo Configurações, na guia Avançadas, em Parâmetros do tempo limite, selecione Tempo limite de autenticação. A configuração padrão é de três segundos. 7 Clique em OK. Especificação do período de espera de um appliance DHCP Enforcer antes de conceder o acesso do cliente à rede É possível especificar por quanto tempo um appliance DHCP Enforcer necessita aguardar uma resposta após enviar mensagens do DHCP a um cliente ou servidor DHCP. Se um appliance DHCP Enforcer não receber uma resposta após o intervalo indicado, o status interno sobre o cliente ou servidor DHCP será redefinido.

153 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações avançadas do appliance DHCP Enforcer 153 Portanto, o appliance DHCP Enforcer poderá receber apenas uma mensagem inicial. Para especificar o período de espera de um appliance DHCP Enforcer antes de conceder o acesso do cliente à rede 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. 4 Na página Admin, em Exibir servidores, selecione o appliance DHCP Enforcer para o qual deseja definir a configuração. 5 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 6 Na caixa de diálogo Configurações, na guia Avançadas, em Parâmetros do tempo limite, selecione Tempo limite de mensagem do DHCP. A configuração padrão é de três segundos. 7 Clique em OK. Ativação de servidores, clientes e dispositivos para que se conectem à rede como hosts confiáveis sem autenticação Um host confiável é geralmente um servidor que não pode instalar o software-cliente, como um servidor que não seja Windows ou um dispositivo, como uma impressora. Talvez você queira também identificar os clientes que não sejam Windows como hosts confiáveis porque o DHCP Enforcer não pode autenticar nenhum cliente que não execute o cliente do Symantec Endpoint Protection ou o cliente do Symantec Network Access Control. É possível usar endereços MAC para designar certos servidores, clientes e dispositivos como hosts confiáveis. Quando são designados servidores, clientes e dispositivos como hosts confiáveis, o appliance DHCP Enforcer transmite todas as mensagens do DHCP desse host confiável para o servidor DHCP normal sem autenticar o host. Para ativar servidores, clientes e dispositivos para que se conectem à rede como hosts confiáveis sem autenticação 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers.

154 154 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações avançadas do appliance DHCP Enforcer 4 Na página Admin, em Exibir servidores, selecione o dispositivo DHCP Enforcer que permite que os servidores, clientes e dispositivos que foram designados como hosts confiáveis se conectem à rede sem autenticação. 5 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 6 Na caixa de diálogo Configurações, na guia Avançadas, em Hosts confiáveis, marque Adicionar. 7 Na caixa de diálogo Adicionar host confiável, digite o endereço MAC do cliente ou do host confiável no campo Endereço MAC do host. Você também pode copiar endereços MAC de um arquivo de texto. Ao especificar um endereço MAC, é possível usar um caractere curinga se digitá-lo em todos os três campos à direita. Por exemplo, *-*-* representa o uso correto do caractere curinga. No entanto, *-66 não representa o uso correto do caractere curinga. 8 Clique em OK. 9 Na caixa de diálogo Configurações, na guia Avançadas, clique em OK. O endereço MAC do host confiável que foi adicionado é exibido agora na caixa de diálogo Configurações na área Endereço MAC. 10 Clique em OK. Como impedir o spoofing de DNS Você pode tentar impedir o spoofing de DNS. Este objetivo é alcançado fazendo com que o appliance DHCP Enforcer modifique as mensagens relevantes do DHCP que são enviadas ao cliente. O appliance DHCP Enforcer substitui o endereço IP do servidor DNS na mensagem do DHCP pelo endereço IP externo do appliance DHCP Enforcer. Portanto, o appliance DHCP Enforcer atua como um servidor DNS para os clientes e impede, assim, o spoofing de DNS. Esse recurso deve ser ativado se deseja enviar clientes do Symantec Network Access Control On-Demand de um DHCP Enforcer. Para impedir o spoofing de DNS 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo.

155 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações avançadas do appliance DHCP Enforcer Na caixa de diálogo Configurações, na guia Avançadas, marque Ativar spoofing de DNS. Usar o endereço IP local do Enforcer como resposta à solicitação DNS O DHCP Enforcer substitui o endereço IP oficialmente solicitado pelo seu próprio endereço IP externo. O appliance DHCP Enforcer atua como um servidor de nomes de domínio (DNS, Domain Name Server) quando responde a uma consulta de DNS ao usar o endereço IP do próprio appliance DHCP Enforcer. Usar os seguintes endereços IP como resposta à solicitação DNS O appliance DHCP Enforcer substitui o endereço IP oficialmente solicitado por qualquer um dos endereços IP que você especificou. O appliance DHCP Enforcer atua como um DNS quando responde a uma consulta de DNS ao usar qualquer um dos endereços IP especificados. 6 Clique em OK. Permissão para um cliente legado conectar-se à rede com um appliance DHCP Enforcer Você pode ativar um appliance DHCP Enforcer para se conectar aos clientes legados 5.1.x. Se sua rede oferecer suporte à versão do Symantec Endpoint Protection Manager, um appliance Symantec DHCP Enforcer, e precisar oferecer suporte aos clientes legados 5.1.x, você pode ativar o suporte de clientes legados 5.1.x no console do servidor de gerenciamento para que o appliance Symantec DHCP Enforcer não os bloqueie. Para permitir que um cliente legado se conecte à rede com um appliance DHCP Enforcer 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de appliances DHCP Enforcers. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações, na guia Avançadas, marque Permitir cliente legado. 6 Clique em OK.

156 156 Configuração do appliance Symantec DHCP Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações avançadas do appliance DHCP Enforcer Ativação da autenticação local no appliance DHCP Enforcer Com a autenticação local ativada, o appliance DHCP Enforcer perde sua conexão com o servidor no qual o Symantec Endpoint Protection Manager está instalado. Portanto, o appliance DHCP Enforcer autentica um cliente localmente. Para ativar a autenticação local no appliance DHCP Enforcer 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de appliances DHCP Enforcers. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações, na guia Avançadas, selecione Ativar a autenticação local. 6 Clique em OK.

157 Capítulo 8 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Este capítulo contém os tópicos a seguir: Sobre a configuração do Symantec LAN Enforcer no console do appliance Symantec Endpoint Protection Manager Sobre a configuração de servidores RADIUS em um appliance LAN Enforcer Sobre a configuração de pontos de acesso sem fio 802.1x em um appliance LAN Enforcer Alteração das configurações do LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações gerais Uso das configurações de grupo do servidor RADIUS Uso das configurações do alternador Uso das configurações avançadas do appliance LAN Enforcer Uso da autenticação 802.1x

158 158 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Sobre a configuração do Symantec LAN Enforcer no console do appliance Symantec Endpoint Protection Manager Sobre a configuração do Symantec LAN Enforcer no console do appliance Symantec Endpoint Protection Manager É possível adicionar ou editar as definições de configuração do LAN Enforcer no console do Symantec Endpoint Protection Manager. O Symantec Endpoint Protection Manager também é conhecido como servidor de gerenciamento. Antes de continuar, conclua as seguintes tarefas: Instalar o software do Symantec Endpoint Protection Manager no computador. Consulte o Guia de Instalação do Symantec Endpoint Protection e do Symantec Network Access Control. O computador no qual o software Symantec Endpoint Protection Manager é instalado também é chamado de servidor de gerenciamento. Conectar o appliance Symantec LAN Enforcer à rede. Configurar o appliance Symantec LAN Enforcer no console local do Enforcer de LAN durante a instalação. Após concluir essas tarefas, será possível especificar todas as definições adicionais de configuração do appliance LAN Enforcer em um servidor de gerenciamento. Sobre a configuração de servidores RADIUS em um appliance LAN Enforcer É possível modificar as definições do LAN Enforcer no console do Symantec Endpoint Protection. O Enforcer deve ser instalado e conectado ao Symantec Endpoint Protection Manager antes de configurá-lo para aplicar as políticas de Integridade do host no cliente. Poderão ser configuradas as seguintes opções para o LAN Enforcer: Definir o nome e a descrição do grupo do Enforcer, a porta de escuta e a lista do servidor de gerenciamento. Configurar o servidor ou os servidores RADIUS. Configure o nome do host ou o endereço IP, a porta de autenticação e o segredo compartilhado. Se estiverem configurados vários servidores no grupo e um deles falhar, o LAN Enforcer se conectará ao próximo servidor da lista. Configurar um alternador ou grupo de alternadores. Configurar para ativar registros e especificar parâmetros de arquivos de registro.

159 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Sobre a configuração de pontos de acesso sem fio 802.1x em um appliance LAN Enforcer 159 Ativar e desativar a autenticação local. Configurar os clientes para autenticação 802.1x Se uma configuração se referir a um alternador compatível com 802.1x, as mesmas instruções se aplicarão à configuração dos pontos de acesso sem fio. Consulte Sobre a configuração de pontos de acesso sem fio 802.1x em um appliance LAN Enforcer na página 159. Sobre a configuração de pontos de acesso sem fio 802.1x em um appliance LAN Enforcer O appliance LAN Enforcer é compatível com vários protocolos sem fio, que incluem WEP 56, WEP 128 e WPA/WPA2 com 802.1x. É possível configurar um LAN Enforcer para proteger o ponto de acesso sem fio (AP) do mesmo modo que ele protege um alternador se as seguintes condições forem verdadeiras: A rede tem um appliance LAN Enforcer sem fio com 802.1x. Os clientes sem fio executam um suplicante compatível com um desses protocolos. O AP sem fio deve ser compatível com um desses protocolos Para conexões sem fio, o autenticador é a porta LAN lógica no AP sem fio. Configure um AP sem fio para 802.1x e para alternadores da mesma maneira. Inclua os APs sem fio às configurações do LAN Enforcer como parte de um perfil do alternador. Sempre que uma instrução ou parte da interface do usuário se referir a um alternador, use a terminologia similar de AP sem fio. Por exemplo, caso for orientada a seleção de um modelo de alternador, selecione o de um AP sem fio. Se o fornecedor do AP sem fio estiver listado, selecione-o para o modelo. Se o fornecedor não estiver listado, escolha Outros. A configuração de AP sem fio para 802.1x e para alternadores inclui as seguintes diferenças: Apenas a configuração básica é compatível. O modo transparente não é aceito. Pode haver diferenças em compatibilidade para VLANs, dependendo do AP sem fio. Alguns alternadores dinâmicos da VLAN podem solicitar que se configure o AP com vários SSIDs (Service Set Identifiers). Cada SSID é associado a uma VLAN.

160 160 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Alteração das configurações do LAN Enforcer no console do Symantec Endpoint Protection Manager Consulte a documentação que acompanha o alternador dinâmico da VLAN. Dependendo do modelo de AP sem fio usado, será possível usar uma das seguintes opções de controle de acesso em vez de uma VLAN: Listas de controle de acesso (ACLs, Access Control Lists) Alguns APs sem fio, como Aruba, são compatíveis com ACLs que permitem ao administrador de rede definir políticas para o gerenciamento de tráfego da rede. É possível usar a opção genérica no LAN Enforcer ao selecionar o nome do fornecedor do AP sem fio. Como alternativa, é possível selecionar Outros para o modelo de alternador compatível com 802.1x (se não estiver relacionado). A opção genérica envia um identificador de atributo genérico com o ID ou o nome de VLAN para o ponto de acesso. Assim, é possível personalizar o ponto de acesso. Agora o ponto de acesso pode ler o identificador de atributo genérico para o ID da VLAN e correspondê-la com o ID da ACL do WAP sem fio. A tabela de ações do alternador pode ser usada como uma tabela de ações da ACL. Pode ser necessária uma configuração adicional no AP sem fio ou no controlador de AP. Por exemplo, talvez seja preciso mapear o identificador de RADIUS que é enviado ao AP sem fio no controlador de AP. Consulte a documentação do AP sem fio para obter mais detalhes. MAC nível 802.1x É possível conectar o AP sem fio a um alternador que seja compatível com MAC nível 802.1x. Para essa implementação, desative o 802.1x no AP sem fio. É possível usá-lo apenas no alternador. O alternador então autentica os clientes sem fio pelo reconhecimento dos novos endereços MAC. Após autenticar um endereço MAC, ele coloca esse endereço MAC na VLAN especificada, e não em toda a porta. Cada novo endereço MAC deve ser autenticado. Essa opção não é tão segura, mas permite que se use o recurso de alternação da VLAN. Alteração das configurações do LAN Enforcer no console do Symantec Endpoint Protection Manager É possível alterar as definições de configuração do LAN Enforcer em um servidor de gerenciamento. O download das definições de configuração é feito automaticamente a partir do servidor de gerenciamento para o appliance LAN Enforcer durante a próxima pulsação.

161 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Alteração das configurações do LAN Enforcer no console do Symantec Endpoint Protection Manager 161 Para alterar as configurações do LAN Enforcer no console do Symantec Endpoint Protection Manager 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione o grupo de Enforcers do qual o appliance LAN Enforcer é membro. O grupo do Enforcer deve incluir o LAN Enforcer cujas definições de configuração precisam ser alteradas. 4 Na página Admin, em Exibir servidores, selecione o appliance LAN Enforcer cujas definições de configuração precisam ser alteradas. 5 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 6 Na caixa de diálogo Configurações, altere qualquer definição de configuração. A caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer) fornece as seguintes categorias de definições de configuração: Geral Essa guia fornece as seguintes configurações do LAN Enforcer: Nome do grupo para appliances LAN Enforcer Porta de escuta Descrição do grupo do appliance LAN Enforcer Seleção da lista do servidor de gerenciamento usada pelo LAN Enforcer Consulte Uso das configurações gerais na página 162. Grupo de servidor RADIUS Essa guia fornece as seguintes configurações do LAN Enforcer: Nome do grupo de servidor RADIUS Nome do host ou endereço IP do servidor RADIUS Número de porta do servidor RADIUS Nome amigável do servidor RADIUS Consulte Uso das configurações de grupo do servidor RADIUS na página 167.

162 162 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações gerais Alternador Essa guia fornece as seguintes configurações do LAN Enforcer: Ativar a política do alternador O nome da política do alternador O modelo do alternador, selecionado de uma lista de alternadores compatíveis O segredo compartilhado O grupo de servidor RADIUS O período de tempo limite da reautenticação Se o alternador encaminha outros protocolos além do EAP (Extensible Authentication Protocol). Endereço do alternador A VLAN no alternador Ação Consulte Uso das configurações do alternador na página 174. Avançado Essa guia fornece as seguintes configurações avançadas do LAN Enforcer: Ativar a autenticação local Permitir cliente legado Consulte Uso das configurações avançadas do appliance LAN Enforcer na página 201. Configurações de registro Configurações para ativar os registros do servidor, os registros de atividade do cliente e para especificar os parâmetros de arquivos de registro. Consulte Sobre relatórios do Enforcer na página 423. Consulte Sobre registros do Enforcer na página 424. Consulte Definição das configurações do registro do Enforcer na página 427. Uso das configurações gerais É possível adicionar ou editar a descrição de um appliance LAN Enforcer ou de um grupo do appliance LAN Enforcer no console do Symantec Endpoint Protection Manager. Consulte Adição ou edição da descrição de um grupo do Enforcer com um LAN Enforcer na página 164. Consulte Adição ou edição da descrição de um LAN Enforcer na página 165.

163 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações gerais 163 Estabeleça uma porta de escuta usada para a comunicação entre o alternador de VLAN e o appliance LAN Enforcer. Consulte Especificação de uma porta de escuta usada para a comunicação entre um alternador de VLAN e um LAN Enforcer na página 163. No entanto, não se pode adicionar ou editar o nome de um grupo do appliance LAN Enforcer no console do Symantec Endpoint Protection Manager. Também não se pode adicionar ou editar o endereço IP ou nome do host de um appliance LAN Enforcer no console do Symantec Endpoint Protection Manager. Em vez disso, execute essas tarefas no console do Enforcer. Consulte Adição ou edição do nome de um grupo do appliance LAN Enforcer com um LAN Enforcer na página 163. Entretanto, é possível modificar o endereço IP ou nome do host de um LAN Enforcer no console do Enforcer somente durante a instalação. Se em outro momento desejar modificar o endereço IP ou nome do host de um LAN Enforcer, será possível fazê-lo no console do LAN Enforcer. Consulte Adição ou edição do endereço IP ou nome do host de um LAN Enforcer na página 165. No entanto, você pode adicionar ou editar o endereço IP ou o nome do host de um Symantec Endpoint Protection Manager em uma lista do servidor de gerenciamento. Consulte Conexão do LAN Enforcer a um Symantec Endpoint Protection Manager na página 166. Adição ou edição do nome de um grupo do appliance LAN Enforcer com um LAN Enforcer Você não pode adicionar ou editar o nome de um grupo do appliance LAN Enforcer do qual o appliance LAN Enforcer é membro. Essas tarefas são executadas no console do Enforcer durante a instalação. Se em outro momento você desejar modificar o nome de um grupo do appliance LAN Enforcer, será possível fazê-lo no console do Enforcer. Todos os Enforcers de um grupo compartilham as mesmas configurações. Especificação de uma porta de escuta usada para a comunicação entre um alternador de VLAN e um LAN Enforcer Ao definir as configurações para um LAN Enforcer, especificam-se as seguintes portas de escuta:

164 164 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações gerais A porta de escuta usada para a comunicação entre um alternador de VLAN e um LAN Enforcer. O alternador de VLAN envia um pacote RADIUS à porta UDP. A porta de escuta usada para a comunicação entre o LAN Enforcer e um servidor RADIUS. Especifica-se essa porta ao determinar um servidor RADIUS. Se o servidor RADIUS estiver instalado no servidor de gerenciamento, ele não deve ser configurado para usar a porta Os servidores RADIUS são configurados para usar a porta 1812 como a configuração padrão. Como o servidor de gerenciamento também usa a porta 1812 para se comunicar com o LAN Enforcer, haverá um conflito. Para especificar uma porta de escuta usada para a comunicação entre um alternador de VLAN e um LAN Enforcer 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione o grupo do Enforcer. 4 Na página Admin, em Exibir servidores, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Configurações básicas, digite o número da porta UDP que deseja atribuir no campo Porta de escuta. A configuração padrão para a porta é O intervalo é de 1 a Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Configurações básicas, clique em OK. Adição ou edição da descrição de um grupo do Enforcer com um LAN Enforcer É possível adicionar ou editar a descrição de um grupo do Enforcer do qual um appliance Symantec LAN Enforcer é membro. Essa tarefa pode ser realizada no console do Symantec Endpoint Protection Manager em vez de no console do LAN Enforcer. Para adicionar ou editar a descrição de um grupo do Enforcer com um LAN Enforcer 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servers (Servidores). 3 Na página Admin, em View Servers (Exibir servidores), selecione e expanda o grupo do Enforcer cuja descrição deseja adicionar ou editar.

165 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações gerais Na página Admin, em Tasks (Tarefas), clique em EditGroupProperties (Editar propriedades do grupo). 5 Na caixa de diálogo Settings (Configurações), na guia Basic Settings (Configurações básicas), adicione ou edite uma descrição para o grupo do Enforcer no campo Description (Descrição). 6 Na caixa de diálogo Settings (Configurações), clique em OK. Adição ou edição do endereço IP ou nome do host de um LAN Enforcer É possível modificar o endereço IP ou nome do host de um LAN Enforcer no console do Enforcer somente durante a instalação. Se em outro momento desejar modificar o endereço IP ou nome do host de um LAN Enforcer, será possível fazê-lo no console do LAN Enforcer. Consulte o Guia de Instalação do Symantec Endpoint Protection e do Symantec Network Access Control. Adição ou edição da descrição de um LAN Enforcer É possível adicionar ou editar a descrição de um LAN Enforcer. Essa tarefa pode ser realizada no console do Symantec Endpoint Protection Manager em vez de no console do LAN Enforcer. Após concluir essa tarefa, a descrição será exibida no campo Descrição do painel Servidor de gerenciamento. Para adicionar ou editar a descrição de um LAN Enforcer 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo do Enforcer que inclui o LAN Enforcer cuja descrição deseja adicionar ou editar. 4 Na página Admin, em Exibir servidores, selecione o LAN Enforcer cuja descrição você deseja adicionar ou editar. 5 Na página Admin, em Tarefas, clique em Editar propriedades do Enforcer. 6 Na caixa de diálogo Enforcer Properties (Propriedades do Enforcer), adicione ou edite uma descrição para o LAN Enforcer no campo Descrição. 7 Na caixa de diálogo Enforcer Properties (Propriedades do Enforcer), clique em OK.

166 166 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações gerais Conexão do LAN Enforcer a um Symantec Endpoint Protection Manager Os Enforcers devem ser capazes de se conectar aos servidores nos quais o Symantec Endpoint Protection Manager está instalado. O Symantec Endpoint Protection Manager inclui um arquivo que ajuda a gerenciar o tráfego entre clientes, Symantec Endpoint Protection Managers e Enforcers opcionais, como um LAN Enforcer. Esse arquivo é conhecido como uma lista de servidores de gerenciamento. A lista de servidores de gerenciamento especifica a qual servidor do Symantec Endpoint Protection Manager um LAN Enforcer se conecta. Ele também especifica a qual servidor do Symantec Endpoint Protection um LAN Enforcer se conecta, caso um servidor de gerenciamento falhe. Uma lista de servidores de gerenciamento padrão é criada automaticamente para cada site durante a instalação inicial. Todos os Symantec Endpoint Protection Managers disponíveis no site são adicionados à lista de servidores de gerenciamento padrão automaticamente. Uma lista de servidores de gerenciamento padrão inclui os endereços IP ou nomes do host do servidor de gerenciamento aos quais os LAN Enforcers podem se conectar após a instalação inicial. Você deve criar uma lista de servidores de gerenciamento personalizada antes de implantar qualquer Enforcer. Se criar uma lista de servidores de gerenciamento personalizada, poderá especificar a prioridade na qual um LAN Enforcer pode se conectar a servidores de gerenciamento. Se um administrador tiver diversas listas de servidores de gerenciamento, é possível selecionar a lista de servidores de gerenciamento específica que inclui os endereços IP ou nomes do host desses servidores de gerenciamento aos quais deseja que o LAN Enforcer se conecte. Se houver apenas uma lista de servidores de gerenciamento em um site, será possível selecionar a lista de servidores de gerenciamento padrão. Para obter mais informações sobre como personalizar as listas de servidores de gerenciamento, consulte o Guia de Administração do Symantec Endpoint Protection e do Symantec Network Access Control. Para conectar o LAN Enforcer a um Symantec Endpoint Protection Manager 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Enforcers. O grupo de Enforcer deve incluir o LAN Enforcer para o qual você quer mudar a lista do servidor de gerenciamento. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo.

167 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações de grupo do servidor RADIUS Na caixa de diálogo Configurações, na guia Configurações básicas, em Comunicação, selecione a lista de servidores de gerenciamento que deseja que esse LAN Enforcer utilize. 6 Na caixa de diálogo Configurações, na guia Geral, em Comunicação, clique em Selecionar. É possível visualizar os endereços IP e os nomes do host de todos os servidores de gerenciamento disponíveis, assim como as prioridades atribuídas. 7 Na caixa de diálogo Lista de servidores de gerenciamento, clique em Fechar. 8 Na caixa de diálogo Configurações, clique em OK. Uso das configurações de grupo do servidor RADIUS É possível configurar o LAN Enforcer para que se conecte a um ou mais servidores RADIUS. É necessário especificar servidores RADIUS como parte de um grupo de servidor RADIUS. Cada grupo pode conter um ou mais servidores RADIUS. O objetivo de um grupo de servidor RADIUS é o de fazer com que servidores RADIUS proporcionem capacidade de failover. Se um servidor RADIUS no grupo de servidor RADIUS se torna indisponível, o LAN Enforcer tenta se conectar com outro que faça parte do grupo de servidor RADIUS. O nome de um grupo de servidor RADIUS pode ser adicionado, editado e excluído no console do Symantec Endpoint Protection Manager. Consulte Adição de um nome do grupo de servidor RADIUS e de um servidor RADIUS na página 168. Consulte Edição do nome de um grupo de servidor RADIUS na página 169. Consulte Exclusão do nome de um grupo de servidor RADIUS na página 173. O nome, o nome do host, o endereço IP, o número da porta de autenticação e o segredo compartilhado de um servidor RADIUS podem ser adicionados, editados e excluídos no console do Symantec Endpoint Protection Manager. Consulte Adição de um nome do grupo de servidor RADIUS e de um servidor RADIUS na página 168. Consulte Edição do nome amigável de um servidor RADIUS na página 170. Consulte Edição do nome do host ou endereço IP de um servidor RADIUS na página 171. Consulte Edição do número da porta de autenticação de um servidor RADIUS na página 171.

168 168 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações de grupo do servidor RADIUS Consulte Edição do segredo compartilhado de um servidor RADIUS na página 172. Consulte Exclusão de um servidor RADIUS na página 173. Adição de um nome do grupo de servidor RADIUS e de um servidor RADIUS É possível adicionar um nome de grupo de servidor RADIUS e um servidor RADIUS ao mesmo tempo. Para adicionar um nome de grupo de servidor RADIUS e um servidor RADIUS 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione o grupo do Enforcer. 4 Na página Admin, em Exibir servidores, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Grupo de servidor RADIUS, clique em Adicionar. O nome do grupo de servidor RADIUS e o endereço IP de um servidor RADIUS existente aparecem na tabela. 6 Na caixa de diálogo Adicionar o grupo de servidor RADIUS, digite o nome do grupo de servidor RADIUS na caixa de texto Grupo. O nome do grupo de servidor RADIUS, o nome do host ou o endereço IP de um servidor RADIUS existente e o número da porta do servidor RADIUS são exibidos na tabela. 7 Na caixa de diálogo Adicionar o grupo de servidor RADIUS, clique em Adicionar.

169 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações de grupo do servidor RADIUS Na caixa de diálogo Adicionar o servidor RADIUS, digite o seguinte: No campo: Nome amigável do servidor RADIUS No campo: Nome do host ou endereço IP No campo: Porta de autenticação Digite um nome que identifique facilmente o nome do servidor RADIUS quando ele for exibido na lista de servidores desse grupo. Digite o nome do host ou o endereço IP do servidor RADIUS. Digite a porta de rede no servidor RADIUS para onde o LAN Enforcer envia o pacote de autenticação do cliente. A configuração padrão é UDP No campo: Segredo compartilhado No campo: Confirmar segredo compartilhado Digite o segredo compartilhado usado para comunicação criptografada entre o servidor RADIUS e o LAN Enforcer. O segredo compartilhado entre um servidor RADIUS e um LAN Enforcer pode ser diferente do segredo compartilhado entre um alternador compatível com 802.1x e um LAN Enforcer. O segredo compartilhado diferencia maiúsculas de minúsculas. Digite o segredo compartilhado novamente. 9 Na caixa de diálogo Adicionar o servidor RADIUS, clique em OK. O nome, o endereço IP e a porta para o servidor RADIUS que foram adicionados são exibidos na lista Grupo de servidor RADIUS na caixa de diálogo Adicionar o grupo de servidor RADIUS. 10 Na caixa de diálogo Adicionar o grupo de servidor RADIUS, clique em OK. 11 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), clique em OK. Edição do nome de um grupo de servidor RADIUS É possível alterar o nome do grupo de servidor RADIUS em qualquer momento, se assim for necessário.

170 170 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações de grupo do servidor RADIUS Para editar o nome de um grupo de servidor RADIUS 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione o grupo do Enforcer do qual o LAN Enforcer é membro. 4 Na página Admin, em Exibir servidores, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Grupo de servidor RADIUS, clique no grupo de servidor RADIUS cujo nome deseja alterar. 6 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Grupo de servidor RADIUS, clique em Editar. 7 Na caixa de diálogo Adicionar servidor RADIUS, edite o nome do grupo de servidor RADIUS no campo Grupo. 8 Na caixa de diálogo Adicionar servidor RADIUS, clique em OK. 9 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Grupo de servidor RADIUS, clique em OK. Edição do nome amigável de um servidor RADIUS É possível alterar o nome amigável do servidor RADIUS em qualquer momento, se assim for necessário. Para editar o nome amigável de um servidor RADIUS 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione o grupo do Enforcer do qual o LAN Enforcer é membro. 4 Na página Admin, em Exibir servidores, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Grupo de servidor RADIUS, clique no grupo de servidor RADIUS que inclui o servidor RADIUS cujo nome amigável você deseja alterar. 6 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Grupo de servidor RADIUS, clique em Editar. 7 Na caixa de diálogo Adicionar o servidor RADIUS, edite o nome amigável do servidor RADIUS no campo Nome amigável do servidor RADIUS.

171 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações de grupo do servidor RADIUS Na caixa de diálogo Adicionar o servidor RADIUS, clique em OK. 9 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Grupo de servidor RADIUS, clique em OK. Edição do nome do host ou endereço IP de um servidor RADIUS É possível alterar o nome do host ou endereço IP do servidor RADIUS em qualquer momento, se assim for necessário. Para editar o nome do host ou endereço IP de um servidor RADIUS 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione o grupo do Enforcer do qual o LAN Enforcer é membro. 4 Na página Admin, em Exibir servidores, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Grupo de servidor RADIUS, clique no grupo de servidor RADIUS que inclui o servidor RADIUS cujo nome do host ou endereço IP você deseja alterar. 6 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Grupo de servidor RADIUS, clique em Editar. 7 Na caixa de diálogo Adicionar o servidor RADIUS, edite o nome do host ou endereço IP do servidor RADIUS no campo Nome do host ou endereço IP. 8 Na caixa de diálogo Adicionar o servidor RADIUS, clique em OK. 9 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Grupo de servidor RADIUS, clique em OK. Edição do número da porta de autenticação de um servidor RADIUS É possível alterar o número da porta de autenticação do servidor RADIUS em qualquer momento, se assim for necessário. Para editar o número da porta de autenticação de um servidor RADIUS 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione o grupo do Enforcer do qual o LAN Enforcer é membro.

172 172 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações de grupo do servidor RADIUS 4 Na página Admin, em Exibir servidores, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Grupo de servidor RADIUS, clique no grupo de servidor RADIUS que inclui o servidor RADIUS cujo número da porta de autenticação você deseja alterar. 6 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Grupo de servidor RADIUS, clique em Editar. 7 Na caixa de diálogo Adicionar o servidor RADIUS, edite o número da porta de autenticação do servidor RADIUS no campo Porta de autenticação. 8 Na caixa de diálogo Adicionar o servidor RADIUS, clique em OK. 9 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Grupo de servidor RADIUS, clique em OK. Edição do segredo compartilhado de um servidor RADIUS É possível alterar o segredo compartilhado do servidor RADIUS em qualquer momento, se assim for necessário. Para editar o segredo compartilhado de um servidor RADIUS 1 No console do Symantec Endpoint Protection Manager, clique em Admin. Na página Admin, clique em Servidores. 2 Na página Admin, em Exibir servidores, selecione o grupo do Enforcer do qual o LAN Enforcer é membro. 3 Na página Admin, em Exibir servidores, em Tarefas, clique em Editar propriedades do grupo. 4 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Grupo de servidor RADIUS, clique no grupo de servidor RADIUS que inclui o servidor RADIUS cujo segredo compartilhado você deseja alterar. 5 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Grupo de servidor RADIUS, clique em Editar. 6 Na caixa de diálogo Adicionar o servidor RADIUS, edite o segredo compartilhado do servidor RADIUS no campo Segredo compartilhado. O segredo compartilhado é usado para comunicação criptografada entre o servidor RADIUS e o LAN Enforcer. O segredo compartilhado entre um servidor RADIUS e um LAN Enforcer pode ser diferente do segredo compartilhado entre um alternador compatível com 802.1x e um LAN Enforcer. O segredo compartilhado diferencia maiúsculas de minúsculas.

173 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações de grupo do servidor RADIUS Na caixa de diálogo Adicionar o servidor RADIUS, edite o segredo compartilhado do servidor RADIUS no campo Confirmar segredo compartilhado. 8 Na caixa de diálogo Adicionar o servidor RADIUS, clique em OK. 9 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Grupo de servidor RADIUS, clique em OK. Exclusão do nome de um grupo de servidor RADIUS É possível excluir o nome do grupo de servidor RADIUS em qualquer momento, se assim for necessário. Para excluir o nome de um grupo de servidor RADIUS 1 No console do Symantec Endpoint Protection Manager, clique em Admin. Na página Admin, clique em Servidores. 2 Na página Admin, em Exibir servidores, selecione o grupo do Enforcer do qual o LAN Enforcer é membro. 3 Na página Admin, em Exibir servidores, em Tarefas, clique em Editar propriedades do grupo. 4 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Grupo de servidor RADIUS, clique no grupo de servidor RADIUS cujo nome deseja excluir. 5 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Grupo de servidor RADIUS, clique em Remover. 6 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Grupo de servidor RADIUS, clique em OK. Exclusão de um servidor RADIUS É possível excluir um servidor RADIUS em qualquer momento, se assim for necessário. Para excluir um servidor RADIUS 1 No console do Symantec Endpoint Protection Manager, clique em Admin. Na página Admin, clique em Servidores. 2 Na página Admin, em Exibir servidores, selecione o grupo do Enforcer do qual o LAN Enforcer é membro. 3 Na página Admin, em Exibir servidores, em Tarefas, clique em Editar propriedades do grupo.

174 174 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador 4 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Grupo de servidor RADIUS, clique no grupo de servidor RADIUS do qual o servidor RADIUS que deseja excluir é membro. 5 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Grupo de servidor RADIUS, clique em Editar. 6 Na caixa de diálogo Adicionar o servidor RADIUS, clique no servidor RADIUS que deseja excluir. 7 Na caixa de diálogo Adicionar o servidor RADIUS, clique em Remover. 8 Na caixa de diálogo Adicionar o servidor RADIUS, clique em OK. 9 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Grupo de servidor RADIUS, clique em OK. Uso das configurações do alternador Configure uma política de alternador quando especificar as configurações do LAN Enforcer para alternadores. Uma política de alternador é uma coleção de configurações que se aplica a um grupo de alternadores do mesmo fabricante ou modelo. A única informação que necessita ser inserida separadamente para os alternadores individuais é o endereço IP do alternador. Sobre o uso das configurações do alternador É necessário especificar as seguintes informações básicas antes que os appliances LAN Enforcers, os servidores de gerenciamento, os clientes e os alternadores compatíveis com 802.1x funcionem juntos: Um nome de sua escolha para a política do alternador. O fabricante e o modelo do alternador. Selecione o modelo do alternador na lista de alternadores compatíveis. A senha criptografada ou o segredo compartilhado O grupo de servidor RADIUS usado. O período de tempo limite para nova autenticação do alternador compatível com 802.1x. A configuração padrão é 30 segundos. Se o alternador encaminha outros protocolos além do EAP (Extensible Authentication Protocol). A configuração padrão é encaminhar outros protocolos.

175 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador 175 Consulte Adição de uma política de alternador compatível com 802.1x a um appliance LAN Enforcer com assistente na página 179. Consulte Edição de informações básicas sobre a política de alternador e o alternador compatível com 802.1x na página 187. É necessário especificar da seguinte maneira o conjunto de alternadores compatíveis com 802.1x aos quais a política de alternadores se aplica: Um nome de alternador amigável da sua escolha Endereço IP, intervalo de IP ou sub-rede. Consulte Adição de uma política de alternador compatível com 802.1x a um appliance LAN Enforcer com assistente na página 179. Consulte Edição de informações sobre o alternador compatível com 802.1x na página 193. É necessário especificar as informações de VLAN a seguir: ID da VLAN Nome VLAN Como opção, podem ser especificados os atributos RADIUS personalizados no formato hexadecimal. Consulte Adição de uma política de alternador compatível com 802.1x a um appliance LAN Enforcer com assistente na página 179. Consulte Edição de informações VLAN para a política de alternador na página 194. Se um alternador compatível com 802.1x aceitar a alternação dinâmica da VLAN, será possível especificar que o cliente deve se conectar a uma VLAN específica. É necessário especificar as ações que o alternador compatível com 802.1x necessita executar quando certos critérios são satisfeitos: Resultado da autenticação do host: Aprovado, Falha, Não disponível ou Ignorar resultado Resultado da autenticação do usuário: Aprovado, Falha, Não disponível ou Ignorar resultado Resultado da verificação da política: Aprovado, Falha, Não disponível ou Ignorar resultado Consulte Adição de uma política de alternador compatível com 802.1x a um appliance LAN Enforcer com assistente na página 179.

176 176 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador Sobre o suporte a atributos dos modelos de alternador Ao configurar o appliance LAN Enforcer, especifique o modelo do alternador compatível com 802.1x. Alternadores compatíveis com 802.1x distintos procuram diferentes atributos para determinar quais clientes podem acessar a VLAN. Alguns alternadores identificam VLANs pelo ID da VLAN e outros pelo Nome VLAN. Alguns dispositivos têm suporte limitado à VLAN ou nenhum suporte. O appliance LAN Enforcer encaminha atributos do servidor RADIUS para o alternador. No entanto, se necessário, ele modifica ou anexa o atributo de VLAN com base no tipo de alternador ao usar valores compatíveis. Se existir um conflito entre as informações de atributo específicas do fornecedor que o servidor RADIUS envia e as informações de atributo da VLAN específicas do fornecedor que o LAN Enforcer utiliza, o LAN Enforcer removerá as informações específicas do fornecedor que o servidor RADIUS enviar. O LAN Enforcer, então, substituirá essas informações pelas informações que são exibidas na seguinte tabela. Se desejar manter os atributos do servidor RADIUS, selecione a ação denominada Abrir porta. Com essa ação, o LAN Enforcer encaminha todos os atributos do servidor RADIUS para o alternador compatível com 802.1x sem nenhuma modificação. O modelo do alternador compatível com 802.1x pode usar o ID da VLAN ou Nome VLAN para executar atribuições dinâmicas da VLAN. Especifique o ID da VLAN e o Nome VLAN ao fornecer informações da VLAN ao LAN Enforcer, com exceção do alternador Aruba. A Tabela 8-1 descreve os modelos e os atributos do alternador compatível com 802.1x. Tabela 8-1 Suporte a atributos dos modelos de alternador Modelo de alternador Controlador sem fio Airespace Alcatel Atributos adicionados pelo LAN Enforcer O código do fornecedor é O número do atributo conferido pelo fornecedor é 5. O formato do atributo é "string". Vendor Specific (#26) O ID do fornecedor de Alcatel é 800. Todos os atributos do tipo "Vendor Specific" do RADIUS com um ID de 800 são removidos em caso de conflito. Comentários O Nome VLAN é usado. Ele diferencia maiúsculas de minúsculas. O ID da VLAN é usado.

177 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador 177 Modelo de alternador Aruba Cisco Aironet Series Atributos adicionados pelo LAN Enforcer Vendor Specific (#14823) O ID do fornecedor do Aruba é O atributo Aruba-User-Role permite que configure os IDs da VLAN ou os nomes VLAN. Depende do uso do controle de acesso SSID (Service Set IDentifier). Atributos do usuário RADIUS usados para atribuição de VLAN-ID: IETF 64 (Tunnel Type): Defina esse atributo como "VLAN" IETF 65 (Tunnel Medium Type): Defina esse atributo como "802" IETF 81 (Tunnel Private Group ID): defina esse atributo como VLAN-ID Os atributos do usuário RADIUS usados para controle de acesso SSID: Atributo Cisco IOS/PIX RADIUS, 009\001 cisco-av-pair Comentários Tanto o nome VLAN quanto o ID da VLAN podem ser usados. De modo alternativo, se pode usar apenas um nome VLAN ou apenas um ID da VLAN. Um ID da VLAN válido varia de 1 a O nome VLAN não pode ter mais de 64 bytes. O ID da VLAN é usado.

178 178 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador Modelo de alternador Cisco Catalyst Series Foundry, HP, Nortel, Atributos adicionados pelo LAN Enforcer Tunnel Type (#64) Tunnel Medium Type (#65) Tunnel Private Group ID (#81) Tunnel Type é definido como 13 (VLAN) Tunnel Medium Type é definido como 6 ( média 802) Tunnel Private Group ID é definido como Nome VLAN. Todos os atributos com esses três tipos do servidor RADIUS são removidos em caso de conflito. Quaisquer atributos com tipo "Vendor Specific" cujo ID do fornecedor seja 9 (Cisco) também são removidos. Tunnel Type (#64) Tunnel Medium Type (#65) Tunnel Private Group ID (#81) Tunnel Type é definido como 13 (VLAN) Tunnel Medium Type é definido como 6 ( média 802) Tunnel Private Group ID é definido como ID da VLAN. Todos os atributos com esses três tipos do servidor RADIUS são removidos em caso de conflito. Comentários O Nome VLAN é usado. Ele diferencia maiúsculas de minúsculas. O ID da VLAN é usado.

179 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador 179 Modelo de alternador Enterasys Atributos adicionados pelo LAN Enforcer ID do filtro (#11) O ID do filtro é definido como Enterasys: version=1: mgmt=su: policy=name Todos os atributos "Filter ID" do servidor RADIUS são removidos em caso de conflito. Comentários O Nome VLAN é usado e representa "Nome de função" no alternador Enterasys. O nome diferencia maiúsculas de minúsculas. Extreme Vendor Specific (#26) O ID do fornecedor do Extreme é O VLAN Name é adicionado depois do ID do fornecedor. Todos os atributos específicos do fornecedor do servidor RADIUS com um ID de 1916 são removidos em caso de conflito. O Nome VLAN é usado. O nome diferencia maiúsculas de minúsculas. Adição de uma política de alternador compatível com 802.1x a um appliance LAN Enforcer com assistente É possível adicionar diversos alternadores compatíveis com 802.1x para usar com um appliance LAN Enforcer como parte de uma política de alternador. Insira as informações necessárias para configurar a interação do appliance LAN Enforcer com o alternador. Para adicionar uma política de alternador compatível com 802.1x a um appliance LAN Enforcer com assistente 1 No console do Symantec Endpoint Protection Manager, clique em Admin. Na página Admin, clique em Servidores. 2 Na página Admin, em Exibir servidores, selecione o grupo do Enforcer. 3 Na página Admin, em Exibir servidores, em Tarefas, clique em Editar propriedades do grupo. 4 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Alternador, clique em Adicionar.

180 180 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador 5 No painel Bem-vindo ao Assistente de Configuração de política do alternador do Assistente de Configuração de política do alternador, clique em Avançar. 6 No painel Informações básicas do Assistente de Configuração de política do alternador, complete as seguintes tarefas: Nome da política de alternador Digite um nome de sua escolha que identifique a política do alternador. Por exemplo, é possível usar o nome do fabricante e o modelo como o nome da política do alternador. Modelo de alternador O LAN Enforcer usa o modelo de alternador para determinar o atributo do servidor RADIUS específico do fornecedor. Selecione o seguinte modelo compatível com 802.1x na lista de alternadores compatíveis: Outro Se o modelo não estiver relacionado, selecione Outro para usar como um atributo genérico do servidor RADIUS. 3Com Alternador Alcatel Cisco Catalyst Series Enterasys Matix Series Extreme Summit Series Foundry Networks HP Procurve Series Nortel BayStack Series Cisco Aironet Series Alternadores Aruba Controlador sem fio Airespace Nortel Wireless Controlador sem fio Enterasys Alternador HuaWei Nota: Se o administrador escolher o modo transparente no alternador, deverá configurar a política para usar o modo transparente no cliente, em vez de deixar o usuário selecionar. Encrypted password or Shared secret (Senha criptografada ou segredo compartilhado) O segredo compartilhado usado para comunicação entre o alternador compatível com 802.1x e o appliance LAN Enforcer. A senha criptografada ou o segredo compartilhado diferencia maiúsculas de minúsculas.

181 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador 181 Confirm encrypted password or shared secret (Confirme a senha criptografada ou o segredo compartilhado) Você deve digitar a senha criptografada ou o segredo compartilhado novamente. Grupo de servidor RADIUS Se você usar o appliance LAN Enforcer com um servidor RADIUS, selecione o grupo de servidor RADIUS na lista de grupo de servidor RADIUS disponível. Período de nova autenticação (segundos) Encaminhar protocolos além de EAP Digite o período de tempo em segundos durante o qual o cliente deve ser autenticado novamente. Caso contrário, o cliente é removido da lista de clientes conectados no LAN Enforcer. Deve ser definido o período de nova autenticação pelo menos para o dobro do período de tempo do intervalo da nova autenticação no alternador. Por exemplo, se o intervalo de nova autenticação no alternador for de 30 segundos, o período de nova autenticação no appliance LAN Enforcer deve ser de, pelo menos, 60 segundos. Do contrário, o appliance LAN Enforcer supõe que o cliente alcançou o tempo limite. Portanto, o cliente não libera nem renova seu endereço IP. A configuração padrão é 30 segundos. É possível permitir que o appliance LAN Enforcer encaminhe os pacotes RADIUS que contenham outros protocolos de autenticação além de EAP. Outros protocolos incluem Challenge Handshake Authentication Protocol (CHAP) e PAP. A configuração padrão é ativada. 7 No painel Informações básicas do Assistente de Configuração de política do alternador, clique em Avançar. 8 No painel Lista do alternador do Assistente de Configuração de política do alternador, clique em Adicionar.

182 182 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador 9 No painel Lista do alternador do Assistente de Configuração de política do alternador, complete as seguintes tarefas: Nome Endereço IP individual Na caixa de diálogo Adicionar endereço IP interno individual, digite um nome amigável para a política do alternador para identificar o alternador compatível com 802.1x no campo Nome. Na caixa de diálogo Adicionar endereço IP interno individual, clique em Endereço IP individual. Em seguida, digite o endereço IP do alternador compatível com 802.1x no campo Endereço IP. Intervalo de endereço IP Na caixa de diálogo Adicionar o intervalo de endereço IP interno, clique em Intervalo de endereço IP. Digite o endereço IP inicial do alternador compatível com 802.1x no campo Endereço IP inicial. Digite o endereço IP final do intervalo IP do alternador compatível com 802.1x no campo IP final. Sub-rede Na caixa de diálogo Adicionar a sub-rede do endereço IP interno, clique em Sub-rede. Digite o endereço IP da sub-rede no campo Endereço IP e a sub-rede no campo Máscara de sub-rede. Ao especificar uma política de alternador para um appliance LAN Enforcer, é possível associar a política de alternador a um ou mais alternadores compatíveis com 802.1x. 10 Na caixa de diálogo Adicionar endereço IP interno, clique em OK.. 11 No painel Lista do alternador do Assistente de Configuração de política do alternador, clique em Avançar. 12 No painel Configuração VLAN do alternador do Assistente de Configuração de política do alternador, clique em Adicionar.

183 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador Na caixa de diálogo Adicionar VLAN, complete as seguintes tarefas: ID da VLAN Digite um número inteiro que pode ir de 1 a 4094 no campo ID da VLAN. O ID da VLAN deve ser igual ao configurado no alternador compatível com 802.1x, exceto para o alternador Aruba. Se planeja adicionar informações VLAN sobre um alternador Aruba, talvez queira configurar a VLAN e as informações de função de maneira diferente da configurada para os outros alternadores 802.1x. Consulte Configuração de VLAN e informações de função no alternador Aruba compatível com 802.1x na página 196. Nome VLAN Digite um nome para a VLAN. Enviar atributos RADIUS personalizados para o alternador Esse nome pode ter até 64 caracteres e diferencia maiúsculas de minúsculas. O nome VLAN deve ser igual ao configurado no alternador compatível com 802.1x, exceto para o alternador Aruba. Se planeja adicionar informações VLAN sobre o alternador Aruba, talvez queira configurar a VLAN e as informações de função de maneira diferente da configurada para os outros alternadores 802.1x. Consulte Configuração de VLAN e informações de função no alternador Aruba compatível com 802.1x na página 196. Marque Enviar atributos RADIUS personalizados para o alternador se deseja que o LAN Enforcer envie um atributo RADIUS personalizado para o alternador compatível com 802.1x. Uma lista de controle de acesso (ACL, Access Control List) pode ser um atributo. Consulte Sobre o suporte a atributos dos modelos de alternador na página 176. Atributos personalizados em formato hexadecimal Digite o atributo RADIUS em formato hexadecimal. O tamanho deve ser par. Ao especificar uma política de alternador para um LAN Enforcer, use a guia VLAN para adicionar as informações para cada VLAN configurada no alternador. Você deseja que a política do alternador esteja disponível para ser usada pelo LAN Enforcer como uma ação. Recomenda-se especificar pelo menos uma VLAN de correção. 14 Na caixa de diálogo Adicionar VLAN, clique em OK.

184 184 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador 15 No painel Configuração VLAN do alternador do Assistente de Configuração de política do alternador, clique em Avançar. 16 No painel Configuração de ação do alternador do Assistente de Configuração de política do alternador, clique em Adicionar. 17 Na caixa de diálogo Adicionar ação do alternador, complete as seguintes tarefas: Autenticação do host Clique em qualquer uma destas condições: Passou Falhou Não disponível Ignorar resultado A situação mais comum em que uma verificação de integridade do host se torna indisponível é quando o cliente não está em execução. Se definir Autenticação do host como Não disponível, defina também Verificação de política como Não disponível.

185 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador 185 Autenticação do usuário Clique em qualquer uma destas condições: Passou O cliente foi aprovado na autenticação do usuário. Falhou O cliente não foi aprovado na autenticação do usuário. Não disponível O resultado da autenticação do usuário será sempre "não disponível" se a autenticação do usuário não for realizada no modo transparente. Se o LAN Enforcer for usado no modo transparente, crie uma ação para a condição Não disponível. Se a configuração básica for usada, também pode desejar configurar-se uma ação para a autenticação do usuário como uma condição de erro. Por exemplo, caso um suplicante 802.1x usar um método incorreto de autenticação do usuário ou se o servidor RADIUS falhar no meio da transação de autenticação. A condição "Não disponível" para a autenticação do usuário também pode ocorrer em alguns servidores RADIUS se o nome do usuário não existir no banco de dados RADIUS. Por exemplo, esse problema pode ocorrer com o Microsoft IAS. Portanto, pode ser que você queira testar a condição de um nome de usuário ausente com o servidor RADIUS. Convém verificar se isso coincide com as condições Falhou ou Não disponível da autenticação do usuário. Ignorar resultado A situação mais comum em que uma verificação de integridade do host se torna indisponível é quando o cliente não está em execução. Se você definir Verificação de política como Não disponível, defina também Autenticação do host como Não disponível.

186 186 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador Verificação de política Clique em qualquer uma destas condições: Passou O cliente foi aprovado na verificação de política. Falhou O cliente não foi aprovado na verificação de política. Não disponível O resultado "Não disponível" da política pode ocorrer nas seguintes condições: Se o cliente tiver um identificador inválido, o LAN Enforcer não poderá obter informações de política do servidor de gerenciamento. Esse problema pode ocorrer se o servidor de gerenciamento que implementou a política do cliente não estiver mais disponível. Se o cliente é exportado e instalado pela primeira vez antes de se conectar ao servidor de gerenciamento e receber sua política. Ignorar resultado Ação É possível selecionar abaixo as ações que o alternador compatível com 802.1x executa quando as condições são satisfeitas: Abrir porta O alternador compatível com 802.1x permite acesso à rede na VLAN padrão ao qual a porta normalmente é atribuída. Também permite acesso à rede na VLAN que é especificada em um atributo enviado do servidor RADIUS. Portanto, o suporte a usuários que têm acesso à VLAN se baseia no ID do usuário e na função do usuário. A ação padrão é Abrir porta. Alternar para teste de VLAN. Permite acesso à VLAN especificada. As VLANs disponíveis para seleção são aquelas configuradas anteriormente. Fechar porta Nega acesso à rede na VLAN padrão ou na VLAN específica do RADIUS. Em alguns modelos de alternador, conforme a configuração, a porta é atribuída a uma VLAN convidada. Para o alternador Aruba, é possível restringir o acesso de acordo com uma função especificada, assim como uma VLAN especificada. As restrições dependem de como as informações VLAN foram configuradas para a política do alternador.

187 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador Na caixa de diálogo Adicionar ação do alternador, clique em OK. 19 No painel Configuração de ação do alternador do Assistente de Configuração de política do alternador, na tabela Switch Action (Ação do alternador), clique na política do alternador cuja prioridade deseja modificar. O LAN Enforcer verifica os resultados da autenticação com as entradas na tabela de ação do alternador na ordem de cima para baixo da tabela. Após encontrar um conjunto de condições correspondentes, o LAN Enforcer orienta o alternador compatível com 802.1x a aplicar a ação. É possível modificar a seqüência na qual as ações são aplicadas ao modificar a ordem em que estão listadas na tabela. 20 No painel Configuração de ação do alternador do Assistente de Configuração de política do alternador, clique em Mover para cima ou Mover para baixo. 21 No painel Configuração de ação do alternador do Assistente de Configuração de política do alternador, clique em Avançar. 22 No painel Completar a configuração de política do alternador do Assistente de Configuração de política do alternador, clique em Concluir. Edição de informações básicas sobre a política de alternador e o alternador compatível com 802.1x É possível alterar os seguintes parâmetros da política de alternador e do alternador compatível com 802.1x: Nome da política do alternador Consulte Edição do nome de uma política de alternador na página 188. Modelo de alternador Consulte Seleção de um modelo de alternador diferente para a política de alternador na página 188. Segredo compartilhado Consulte Edição de uma senha criptografada ou um segredo compartilhado na página 189. Grupo de servidor RADIUS Consulte Seleção de um grupo de servidor RADIUS diferente na página 190. Período de tempo para nova autenticação Consulte Edição do período de nova autenticação na página 191. Encaminhamento de protocolos além de EAP Consulte Ativação de protocolos diferentes de EAP na página 192.

188 188 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador Edição do nome de uma política de alternador É possível editar o nome da política de alternador em qualquer momento, se assim for necessário. Para editar o nome de uma política de alternador 1 No console do Symantec Endpoint Protection Manager, clique em Admin. Na página Admin, clique em Servidores. 2 Na página Admin, em Exibir servidores, selecione o grupo do Enforcer. 3 Na página Admin, em Exibir servidores, em Tarefas, clique em Editar propriedades do grupo. 4 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Alternador da tabela Política de alternador, clique na política de alternador que deseja modificar. 5 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Alternador na tabela Política de alternador, clique em Editar. 6 Na caixa de diálogo Editar a política de alternador para nome da política de alternador, na guia Informações básicas, edite o nome da política de alternador no campo Nome da política de alternador. 7 Na caixa de diálogo Editar a política de alternador para nome da política de alternador, na guia Informações básicas, clique em OK. 8 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Alternador, clique em OK. Seleção de um modelo de alternador diferente para a política de alternador É possível selecionar um modelo de alternador diferente para a política de alternador em qualquer momento, se assim for necessário. Para selecionar um modelo de alternador diferente para a política de alternador 1 No console do Symantec Endpoint Protection Manager, clique em Admin. Na página Admin, clique em Servidores. 2 Na página Admin, em Exibir servidores, selecione o grupo do Enforcer. 3 Na página Admin, em Exibir servidores, em Tarefas, clique em Editar propriedades do grupo. 4 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Alternador na tabela Política de alternador, clique na política de alternador cujo modelo de alternador você deseja modificar.

189 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Alternador na tabela Política de alternador, clique em Editar. 6 Na caixa de diálogo Editar a política de alternador para nome da política de alternador, na guia Informações básicas, selecione um modelo de alternador diferente na lista de modelos de alternador a seguir: Outro Se o modelo não estiver relacionado, selecione Outro para usar como um atributo genérico do servidor RADIUS. 3Com Alternador Alcatel Cisco Catalyst Series Enterasys Matix Series Extreme Summit Series Foundry Networks HP Procurve Series Nortel BayStack Series Cisco Aironet Series Alternadores Aruba Controlador sem fio Airespace Nortel Wireless Controlador sem fio Enterasys Alternador HuaWei Se o administrador escolher o modo transparente no alternador HuaWei, deverá configurar a política para usar o modo transparente no cliente, em vez de deixar o usuário selecionar. 7 Na caixa de diálogo Editar a política de alternador para nome da política de alternador, na guia Informações básicas, clique em OK. 8 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Alternador, clique em OK. Edição de uma senha criptografada ou um segredo compartilhado É possível editar o segredo compartilhado em qualquer momento, se assim for necessário.

190 190 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador Para editar uma senha criptografada ou um segredo compartilhado 1 No console do Symantec Endpoint Protection Manager, clique em Admin. Na página Admin, clique em Servidores. 2 Na página Admin, em Exibir servidores, selecione o grupo do Enforcer. 3 Na página Admin, em Exibir servidores, em Tarefas, clique em Editar propriedades do grupo. 4 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Alternador na tabela Política de alternador, clique na política de alternador cujo segredo compartilhado deseja modificar. 5 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Alternador na tabela Política de alternador, clique em Editar. 6 Na caixa de diálogo Editar a política de alternador para nome da política de alternador, na guia Informações básicas, edite o nome do segredo compartilhado no campo Segredo compartilhado. 7 Na caixa de diálogo Editar a política de alternador para nome da política de alternador, na guia Informações básicas, edite o nome do segredo compartilhado no campo Confirmar segredo compartilhado. 8 Na caixa de diálogo Editar a política de alternador para nome da política de alternador, na guia Informações básicas, clique em OK. 9 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Alternador, clique em OK. Seleção de um grupo de servidor RADIUS diferente É possível selecionar um grupo de servidor RADIUS diferente em qualquer momento, se assim for necessário. Para selecionar um grupo de servidor RADIUS diferente 1 No console do Symantec Endpoint Protection Manager, clique em Admin. Na página Admin, clique em Servidores. 2 Na página Admin, em Exibir servidores, selecione o grupo do Enforcer. 3 Na página Admin, em Exibir servidores, em Tarefas, clique em Editar propriedades do grupo. 4 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Alternador na tabela Política de alternador, clique na política de alternador cujo segredo compartilhado deseja modificar.

191 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Alternador na tabela Política de alternador, clique em Editar. 6 Na caixa de diálogo Editar a política de alternador para nome da política de alternador, na guia Informações básicas, selecione um grupo de servidor RADIUS diferente na lista de grupo de servidor RADIUS. Deve ter sido adicionado mais de um grupo de servidor RADIUS antes de poder selecionar um grupo de servidor RADIUS diferente. 7 Na caixa de diálogo Editar a política de alternador para nome da política de alternador, na guia Informações básicas, clique em OK. 8 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Alternador, clique em OK. Edição do período de nova autenticação É possível editar o período de nova autenticação em qualquer momento, se assim for necessário. Especifique o período de tempo em segundos durante o qual o cliente deve ser autenticado novamente. Caso contrário, o cliente será removido da lista de clientes conectados e será desconectado da rede. Deve ser definido o período de nova autenticação pelo menos para o dobro do período de tempo do intervalo da nova autenticação no alternador. Por exemplo, se o intervalo da nova autenticação no alternador for de 30 segundos, o período de nova autenticação no LAN Enforcer deve ser de, pelo menos, 60 segundos. Do contrário, o LAN Enforcer supõe que o cliente alcançou o tempo limite. Portanto, o cliente não libera nem renova seu endereço IP. A configuração padrão é 30 segundos. Para editar o período de nova autenticação 1 No console do Symantec Endpoint Protection Manager, clique em Admin. Na página Admin, clique em Servidores. 2 Na página Admin, em Exibir servidores, selecione o grupo do Enforcer. 3 Clique em Editar propriedades do grupo. 4 Na caixa de diálogo Configurações do LAN Enforcer, na guia Alternador da tabela Política de alternador, clique na política de alternador que deseja modificar. 5 Na guia Alternador da tabela de Política de alternador, clique em Editar.

192 192 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador 6 Na caixa de diálogo Editar a política de alternador para nome da política de alternador, na guia Informações básicas, edite o período da nova autenticação no campo Período de nova autenticação em segundos. 7 Clique em OK. 8 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Alternador, clique em OK. Ativação de protocolos diferentes de EAP É possível permitir que o LAN Enforcer encaminhe os pacotes RADIUS que contenham outros protocolos de autenticação além de EAP. Outros protocolos incluem: Challenge Handshake Authentication Protocol (CHAP) PAP A configuração padrão é ativada. Para ativar protocolos diferentes de EAP 1 No console do Symantec Endpoint Protection Manager, clique em Admin. Na página Admin, clique em Servidores. 2 Na página Admin, em Exibir servidores, selecione o grupo do Enforcer. 3 Clique em Editar propriedades do grupo. 4 Na caixa de diálogo Configurações do LAN Enforcer, na guia Alternador da tabela Política de alternador, clique na política de alternador que deseja modificar. 5 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Alternador na tabela Política de alternador, clique em Editar. 6 Na caixa de diálogo Editar a política de alternador para nome da política de alternador, na guia Informações básicas, marque Ativar protocolos além de EAP. É possível encaminhar os seguintes protocolos: Challenge Handshake Authentication Protocol (CHAP) PAP 7 Clique em OK. 8 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Alternador, clique em OK.

193 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador 193 Edição de informações sobre o alternador compatível com 802.1x É possível alterar os seguintes parâmetros do alternador compatível com 802.1x: Modificação do endereço IP, do nome do host ou da sub-rede para um alternador compatível com 802.1x Consulte Edição do endereço IP, nome do host ou sub-rede de um alternador compatível com 802.1x na página 193. Remoção de um alternador compatível com 802.1x da lista do alternador Consulte Exclusão de um alternador compatível com 802.1x da lista do alternador na página 194. Edição do endereço IP, nome do host ou sub-rede de um alternador compatível com 802.1x É possível modificar o endereço IP, o nome do host ou a sub-rede de um alternador compatível com 802.1x em qualquer momento, se assim for necessário. Para editar o endereço IP, o nome do host ou a sub-rede de um alternador compatível com 802.1x 1 No console do Symantec Endpoint Protection Manager, clique em Admin. Na página Admin, clique em Servidores. 2 Na página Admin, em Exibir servidores, selecione o grupo do Enforcer. 3 Em Tarefas, clique em Editar propriedades do grupo. 4 Na caixa de diálogo Configurações do LAN Enforcer, na guia Alternador da tabela Política de alternador, clique na política de alternador que deseja modificar. 5 Clique em Editar. 6 Na caixa de diálogo Editar a política de alternador para nome da política de alternador, na guia Endereço do alternador, clique em Editar tudo. 7 Na caixa de diálogo Editar endereços IP, adicione ou edite endereços IP, nomes do host ou sub-redes no alternador compatível com 802.1x. O formato do texto é: Endereço IP individual Intervalo de IP Sub-rede nome: endereço nome: endereço inicial-endereço final nome: endereço inicial-máscara de sub-rede

194 194 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador 8 Na caixa de diálogo Editar a política de alternador para nome da política de alternador, na guia Endereço do alternador, clique em OK. 9 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Alternador, clique em OK. Exclusão de um alternador compatível com 802.1x da lista do alternador É possível excluir um alternador compatível com 802.1x da lista do alternador em qualquer momento, se assim for necessário. Para excluir um alternador compatível com 802.1x 1 No console do Symantec Endpoint Protection Manager, clique em Admin. Na página Admin, clique em Servidores. 2 Em Exibir servidores, selecione o grupo do Enforcer. 3 Em Tarefas, clique em Editar propriedades do grupo. 4 Na caixa de diálogo Configurações do LAN Enforcer, na guia Alternador na tabela Política de alternador, clique no alternador compatível com 802.1x que deseja excluir da lista do alternador. 5 Na caixa de diálogo Configurações do LAN Enforcer, na guia Alternador, clique em Remover. 6 Clique em OK. Edição de informações VLAN para a política de alternador É possível alterar os seguintes parâmetros de VLANs no alternador compatível com 802.1x: Modificar o ID da VLAN e o nome VLAN de um alternador compatível com 802.1x Consulte Edição do ID da VLAN e do nome VLAN de um alternador compatível com 802.1x na página 195. Configurar VLAN e informações de função no alternador Aruba compatível com 802.1x Consulte Configuração de VLAN e informações de função no alternador Aruba compatível com 802.1x na página 196. Remoção de VLANs em um alternador compatível com 802.1x Consulte Exclusão de VLANs em um alternador compatível com 802.1x na página 196.

195 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador 195 Edição do ID da VLAN e do nome VLAN de um alternador compatível com 802.1x É possível modificar o ID da VLAN e o nome VLAN de um alternador compatível com 802.1x em qualquer momento, se assim for necessário. Alguns alternadores, como o alternador Cisco, têm o recurso de VLAN convidado. Normalmente, a VLAN convidada é usada em caso de falha na autenticação EAP do usuário. Se a autenticação EAP falhar, o alternador conecta o cliente à VLAN convidada automaticamente. Se você utiliza o LAN Enforcer para alternação de VLAN, recomenda-se não usar a VLAN convidada reservada ao configurar VLANs e ações no LAN Enforcer. Do contrário, o suplicante 802.1x pode responder como se a autenticação EAP tivesse falhado. Ao configurar VLANs, certifique-se de que todas as VLANs possam se comunicar com o servidor de gerenciamento. Para editar o ID da VLAN e o nome VLAN de um alternador compatível com 802.1x 1 No console do Symantec Endpoint Protection Manager, clique em Admin. Na página Admin, clique em Servidores. 2 Em Exibir servidores, selecione o grupo do Enforcer. 3 Em Tarefas, clique em Editar propriedades do grupo. 4 Na caixa de diálogo Configurações do LAN Enforcer, na guia Alternador na tabela Política de alternador, clique na política de alternador cujas informações VLAN deseja modificar. 5 Clique em Editar. 6 Na caixa de diálogo Editar a política de alternador para nome da política de alternador, na guia Endereço do alternador, selecione a VLAN que deseja editar. 7 Na guia VLAN, marque Editar. 8 Na caixa de diálogo Editar VLAN, edite o ID da VLAN no campo ID VLAN. 9 Editar o nome VLAN no campo Nome VLAN. Se planeja editar informações VLAN de um alternador Aruba, talvez queira configurar a VLAN e as informações de função de maneira diferente da feita para os outros alternadores 802.1x. Consulte Configuração de VLAN e informações de função no alternador Aruba compatível com 802.1x na página 196.

196 196 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador 10 Na caixa de diálogo Editar a política de alternador para nome da política de alternador, na guia VLAN, clique em OK. 11 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Alternador, clique em OK. Exclusão de VLANs em um alternador compatível com 802.1x É possível excluir as VLANs em um alternador compatível com 802.1x em qualquer momento, se assim for necessário. Para excluir VLANs em um alternador compatível com 802.1x 1 No console do Symantec Endpoint Protection Manager, clique em Admin. Na página Admin, clique em Servidores. 2 Em Exibir servidores, selecione o grupo do Enforcer. 3 Em Tarefas, clique em Editar propriedades do grupo. 4 Na caixa de diálogo Configurações do LAN Enforcer, na guia Alternador na tabela Política de alternador, clique na política de alternador cujas informações VLAN deseja excluir. 5 Clique em Editar. 6 Na caixa de diálogo Editar a política de alternador para nome da política de alternador, na guia Endereço do alternador, selecione a VLAN que deseja excluir. 7 Na guia VLAN, marque Excluir. 8 Clique em OK. 9 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Alternador, clique em OK. Configuração de VLAN e informações de função no alternador Aruba compatível com 802.1x Se você utiliza um alternador Aruba, é possível deixar os campos ID VLAN e Nome VLAN em branco. No entanto, para outros alternadores, insira informações em ambos os campos. Para o alternador Aruba, é possível usar esses campos para especificar um VLAN ou uma função, ou ambos, como segue: Para especificar um VLAN, digite o ID da VLAN no campo ID da VLAN. Para especificar uma função, digite o nome da função no campo Nome VLAN.

197 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador 197 Para o alternador Aruba, também é possível usar essa caixa de diálogo para configurar separadamente ações de alternador para diversas funções em uma VLAN ou diversas VLANs para uma função. Para configurar VLAN e informações de função no alternador Aruba compatível com 802.1x 1 Se você tem um ID da VLAN 1 com função A e função B, preencha o ID da VLAN como 1 e o nome VLAN como A. Clique em OK. 2 Clique em Adicionar novamente. Na caixa de diálogo Adicionar VLAN, preencha o ID da VLAN como 1 e o nome VLAN como B e clique em OK. Tornam-se disponíveis duas opções distintas para a configuração na tabela de ação do alternador. Edição de informações de ação para a política de alternador É possível alterar os seguintes parâmetros de VLANs no alternador compatível com 802.1x: Definir a ordem de verificação da condição Consulte Definição da ordem de verificação da condição na página 198. Selecionar uma condição diferente de Autenticação do host, Autenticação do usuário ou Verificação de política Consulte Seleção de uma condição diferente de Autenticação do host, Autenticação do usuário ou Verificação de política na página 199. Selecionar diferentes ações Consulte Seleção de diferentes ações na página 200. Sobre temas relacionados com a política de alternador, condições associadas e ações Ao configurar as políticas do alternador, tenha os seguintes temas em mente: A tabela Ação do alternador deve conter pelo menos uma entrada. Se não for selecionada uma ação para uma determinada combinação de resultados, a ação padrão Abrir porta será executada. Para especificar uma ação padrão para qualquer combinação de resultados possível, selecione Ignorar resultado para todos os três resultados. Ao adicionar ações à tabela, é possível editar qualquer célula ao clicar no canto direito de uma coluna e linha para exibir uma lista suspensa. Alguns alternadores, como o alternador Cisco, têm o recurso de VLAN convidado. Normalmente, a VLAN convidada é para ser usada em caso de falha

198 198 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador na autenticação do usuário. Ou seja, se a autenticação do usuário falhar, o alternador conecta o cliente à VLAN convidada automaticamente. Se você utiliza o LAN Enforcer para alternação de VLAN, recomenda-se não usar o VLAN convidado reservado ao configurar VLANs e ações no LAN Enforcer. Do contrário, o suplicante 802.1x pode responder como se a autenticação tivesse falhado. Se implementar clientes e não estiver pronto para implementar os recursos completos do LAN Enforcer, é possível especificar uma ação para permitir o acesso à rede interna que se baseia na condição Ignorar resultado para a verificação de integridade do host e para a verificação de política. Caso deseje desconsiderar os resultados da autenticação do usuário e permitir acesso à rede independentemente dos resultados, é possível fazê-lo com a condição Ignorar resultados da autenticação do usuário. Definição da ordem de verificação da condição É possível modificar uma condição diferente de Autenticação do host, Autenticação do usuário ou Verificação de política para uma política de alternador em qualquer momento, se assim for necessário. Pode ser adicionada uma entrada na tabela Ação do alternador para cada uma das combinações possíveis dos resultados de autenticação. Ao configurar as condições a serem verificadas, lembre-se de que a única circunstância na qual todos os três resultados podem ser Passar ou Falha é na configuração básica. Na configuração básica, o cliente executa um suplicante 802.1x que fornece informações sobre a autenticação do usuário e um cliente que fornece informações sobre a integridade do host e o número de série da política. Se você executar somente o suplicante 802.1x sem um cliente, os resultados da verificação de integridade do host e da verificação de política serão sempre "Não disponíveis". Se você executar em modo transparente sem uma verificação de autenticação do usuário, o resultado da autenticação do usuário será sempre "Não disponível". O LAN Enforcer verifica os resultados da autenticação com as entradas na tabela na ordem de cima para baixo. Após encontrar um conjunto de condições correspondentes, o LAN Enforcer orienta o alternador compatível com 802.1x para aplicar a ação. É possível modificar a seqüência na qual as ações são aplicadas ao modificar a ordem em que estão listadas na tabela. Se um LAN Enforcer não puder localizar entradas que correspondam à condição atual, a ação FECHAR PORTA será executada.

199 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador 199 Para definir a ordem de verificação da condição 1 No console do Symantec Endpoint Protection Manager, clique em Admin. Na página Admin, clique em Servidores. 2 Em Exibir servidores, selecione o grupo do Enforcer. 3 Em Tarefas, clique em Editar propriedades do grupo. 4 Na caixa de diálogo Configurações do LAN Enforcer, na guia Alternador na tabela Política de alternador, clique na política de alternador cuja ordem de verificação de condições deseja modificar. 5 Clique em Editar. 6 Na caixa de diálogo Editar a política de alternador para nome da política de alternador, na guia Ação, selecione a política de alternador cuja ordem de verificação de condições deseja modificar. 7 Clique em Mover para cima ou em Mover para baixo. 8 Clique em OK. 9 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Alternador, clique em OK. Seleção de uma condição diferente de Autenticação do host, Autenticação do usuário ou Verificação de política É possível selecionar uma condição diferente de Autenticação do host, Autenticação do usuário ou Verificação de política para uma política de alternador em qualquer momento, se assim for necessário. Para selecionar uma condição de Autenticação do host, Autenticação do usuário ou Verificação de política 1 No console do Symantec Endpoint Protection Manager, clique em Admin. Na página Admin, clique em Servidores. 2 Em Exibir servidores, selecione o grupo do Enforcer. 3 Em Tarefas, clique em Editar propriedades do grupo. 4 Na caixa de diálogo Configurações do LAN Enforcer, na guia Alternador na tabela Política de alternador, clique na política de alternador cujas condições de autenticação você deseja modificar. 5 Clique em Editar. 6 Na caixa de diálogo Editar a política de alternador para nome da política de alternador, na guia Ação, clique em qualquer uma das condições de autenticação que deseja modificar em qualquer uma das colunas a seguir:

200 200 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações do alternador Autenticação do host Autenticação do usuário Verificação de política 7 Selecione algumas das seguintes ações que o alternador compatível com 802.1x precisa tomar quando determinados critérios forem cumpridos: Resultado da autenticação do host: Aprovado, Falha, Não disponível ou Ignorar resultado Resultado da autenticação do usuário: Aprovado, Falha, Não disponível ou Ignorar resultado Resultado da verificação da política: Aprovado, Falha, Não disponível ou Ignorar resultado 8 Clique em OK. 9 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Alternador, clique em OK. Seleção de diferentes ações Para selecionar uma condição de Autenticação do host, Autenticação do usuário ou Verificação de política 1 No console do Symantec Endpoint Protection Manager, clique em Admin. Na página Admin, clique em Servidores. 2 Em Exibir servidores, selecione o grupo do Enforcer. 3 Em Tarefas, clique em Editar propriedades do grupo. 4 Na caixa de diálogo Configurações do LAN Enforcer, na guia Alternador na tabela Política de alternador, clique na política de alternador cujas ações você deseja modificar. 5 Clique em Editar. 6 Na guia Ação, clique em algumas das ações que você quer mudar na coluna Ação. 7 Selecione algumas das seguintes ações que o alternador compatível com 802.1x precisa tomar quando determinados critérios forem cumpridos: Abrir porta O alternador compatível com 802.1x permite acesso à rede na VLAN padrão ao qual a porta normalmente é atribuída. Também permite acesso à rede na VLAN que é especificada em um atributo enviado do servidor RADIUS.

201 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso das configurações avançadas do appliance LAN Enforcer 201 Portanto, o suporte a usuários que têm acesso à VLAN se baseia no ID do usuário e na função do usuário. A ação padrão é Abrir porta. Alternar para teste de VLAN. Permite acesso à VLAN especificada. As VLANs disponíveis para seleção são aquelas configuradas anteriormente. Fechar porta Nega acesso à rede na VLAN padrão ou na VLAN específica do RADIUS. Em alguns modelos de alternador, conforme a configuração, a porta é atribuída a uma VLAN convidada. 8 Clique em OK. 9 Na caixa de diálogo LAN Enforcer Settings (Configurações do LAN Enforcer), na guia Alternador, clique em OK. Uso das configurações avançadas do appliance LAN Enforcer É possível definir as seguintes configurações avançadas do appliance LAN Enforcer: Permitir um cliente legado. Consulte Permissão para um cliente legado se conectar à rede com um appliance LAN Enforcer na página 201. Ativar a autenticação local. Consulte Ativação da autenticação local no appliance LAN Enforcer na página 202. Permissão para um cliente legado se conectar à rede com um appliance LAN Enforcer Você pode permitir que um appliance LAN Enforcer se conecte aos clientes legados 5.1.x. Se sua rede oferecer suporte à versão do Symantec Endpoint Protection Manager, um appliance Symantec LAN Enforcer, e precisar oferecer suporte aos clientes legados 5.1.x, você pode ativar o suporte de clientes legados 5.1.x no console do servidor de gerenciamento para que o appliance Symantec LAN Enforcer não os bloqueie.

202 202 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso da autenticação 802.1x Para permitir que um cliente legado se conecte à rede com um appliance LAN Enforcer 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de appliances LAN Enforcers. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações, na guia Avançadas, marque Permitir cliente legado. 6 Clique em OK. Ativação da autenticação local no appliance LAN Enforcer Se um appliance LAN Enforcer perder sua conexão com o computador no qual o Symantec Endpoint Protection Manager está instalado, o appliance LAN Enforcer poderá autenticar o cliente localmente. Para ativar a autenticação local no appliance LAN Enforcer 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Em Exibir servidores, selecione e expanda o grupo de appliances LAN Enforcer. 4 Selecione o grupo do appliance LAN Enforcer para o qual você quer ativar a autenticação local. 5 Em Tarefas, clique em Editar propriedades do grupo. 6 Na caixa de diálogo Configurações LAN, na guia Avançado, marque Ativar a autenticação local. 7 Clique em OK. Uso da autenticação 802.1x Se a rede corporativa usar um LAN Enforcer para autenticação, você deverá configurar o computador-cliente para executar a autenticação IEEE 802.1x. O processo de autenticação 802.1x abrange as seguintes etapas: Um cliente não autenticado ou suplicante de terceiros envia as informações do usuário e de conformidade a um alternador de rede gerenciado.

203 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso da autenticação 802.1x 203 O alternador de rede retransmite as informações para o appliance LAN Enforcer. O appliance LAN Enforcer envia as informações do usuário para o servidor de autenticação para que esta ocorra. O servidor RADIUS é o servidor de autenticação. Se o cliente falhar na autenticação em nível de usuário ou não estiver em conformidade com a política de integridade do host, o Enforcer poderá bloquear o acesso à rede. O appliance LAN Enforcer coloca o computador-cliente que não está em conformidade na rede, de acordo com a tabela Ação do alternador onde o computador pode ser reparado. Após o cliente corrigir o computador e deixá-lo em conformidade, o protocolo 802.1x autentica novamente o computador e concede ao mesmo acesso à rede. Para trabalhar com o appliance LAN Enforcer, o cliente pode usar um suplicante de terceiros ou integrado. A Tabela 8-2 descreve os tipos de opções que você pode configurar para a autenticação 802.1x. Tabela 8-2 Opções da autenticação 802.1x Opção Suplicante de terceiros Descrição Usa um suplicante 802.1x de terceiros. O appliance LAN Enforcer funciona com um servidor RADIUS e suplicantes 802.1x de terceiros para fazer a autenticação dos usuários. O suplicante 802.1x solicita as informações do usuário, que o LAN Enforcer transmite para o servidor RADIUS para autenticação em nível do usuário. O cliente envia o perfil do cliente e o status de integridade do host ao appliance LAN Enforcer de modo que computador seja autenticado. Nota: Se você quer usar um cliente do Symantec Network Access Control com um suplicante de terceiros, é necessário instalar o módulo de proteção contra ameaças à rede do cliente do Symantec Network Access Control. Para usar um suplicante 802.1x de terceiros você deve: Configurar o alternador 802.1x para usar o appliance LAN Enforcer como o servidor RADIUS para que o alternador encaminhe os pacotes de autenticação para o appliance LAN Enforcer. Adicionar o appliance LAN Enforcer como um cliente do servidor RADIUS para que ele aceite solicitações do appliance LAN Enforcer. No console, você deve especificar as informações do servidor RADIUS e ativar a autenticação 802.1x para os clientes.

204 204 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso da autenticação 802.1x Opção Modo transparente Descrição Usa o cliente para ser executado como suplicante 802.1x. Use esse método se não quiser usar um servidor RADIUS para fazer a autenticação do usuário. O appliance LAN Enforcer é executado no modo transparente e atua como pseudo-servidor RADIUS. O modo transparente significa que o suplicante não solicitará informações do usuário. No modo transparente, o cliente atua como suplicante 802.1x. O cliente responderá ao estímulo EAP do alternador com o perfil do cliente e o status de integridade do host. O alternador, por sua vez, encaminhará as informações ao appliance LAN Enforcer, que atuará como pseudo-servidor RADIUS. O appliance LAN Enforcer valida a integridade do host e as informações do perfil do cliente provenientes do alternador e pode permitir, bloquear ou atribuir dinamicamente um VLAN, conforme adequado. Nota: Para usar um cliente como suplicante 802.1x, você deverá desinstalar ou desativar suplicantes 802.1x de terceiros no computador-cliente. No modo transparente, você pode deixar em branco as informações sobre o servidor RADIUS na caixa de diálogo de configurações do LAN Enforcer. O endereço IP do servidor RADIUS é definido como 0 e nenhuma autenticação de usuário EAP tradicional é executada. Suplicante integrado Usa o suplicante 802.1x integrado do computador-cliente. Os protocolos de autenticação integrados incluem Smart Card, PEAP ou TLS. Após ativar a autenticação 802.1x, você ou os usuários deverão especificar qual protocolo de autenticação será usado. Aviso: Você deve saber se a rede corporativa utiliza o servidor RADIUS como servidor de autenticação. Se você configurar a autenticação 802.1x incorretamente, a conexão à rede pode ser interrompida. Nota: Para permitir que o usuário configure a autenticação 802.1x no cliente, você deverá definir o cliente para controle do cliente. Para configurar o cliente para usar o modo transparente ou um suplicante integrado 1 No console, clique em Clientes. 2 Em Exibir clientes, selecione o grupo de clientes que você deseja que execute a autenticação 802.1x. 3 Na guia Políticas, em Configurações, clique em Configurações gerais.

205 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso da autenticação 802.1x Na guia Configurações de segurança, marque Ativar autenticação 802.1x. 5 Selecione Usar o cliente como suplicante 802.1x. 6 Realize uma das seguintes ações: Para selecionar o modo transparente, selecione Usar Modo transparente Symantec. Para permitir que o usuário configure um suplicante integrado, clique em Permitir que o usuário selecione o protocolo de autenticação. Os usuários escolhem o protocolo de autenticação para a conexão com a rede. 7 Clique em OK. Para configurar o cliente para usar um suplicante de terceiros 1 No console, clique em Clientes. 2 Em Exibir clientes, selecione o grupo de clientes que você deseja que execute a autenticação 802.1x. 3 Na guia Políticas, em Configurações, clique em Configurações gerais. 4 Na guia Configurações de segurança, marque Ativar autenticação 802.1x. 5 Clique em OK. É possível configurar o cliente para usar o suplicante integrado. Ative o cliente para autenticação 802.1x e como suplicante 802.1x. Sobre a reautenticação no computador-cliente Se o computador-cliente passou pela verificação de integridade do host, mas o Enforcer bloqueia o computador, talvez os usuários precisem reautenticar os computadores. Em circunstâncias normais, os usuários nunca deveriam precisar reautenticar o computador. O Enforcer pode bloquear o computador quando ocorrer um dos seguintes eventos: O computador-cliente falhou na autenticação do usuário porque os usuários digitaram o nome do usuário ou a senha incorretamente. O computador-cliente está na VLAN incorreta. O computador-cliente não obtém uma conexão de rede. A conexão de rede quebrada geralmente ocorre porque a alternância entre o computador-cliente e o LAN Enforcer não autenticou o nome de usuário e a senha. Os usuários precisam conectar-se a um computador-cliente que tenha autenticado um usuário anterior.

206 206 Configuração do appliance Symantec LAN Enforcer no console do Symantec Endpoint Protection Manager Uso da autenticação 802.1x O computador-cliente falhou na verificação de conformidade. Os usuários podem reautenticar o computador somente se você configurou o computador com um suplicante integrado. O menu de atalho no ícone da área de notificação do computador-cliente exibe um comando de reautenticação.

207 Capítulo 9 Configuração de conexões temporárias para clientes do Symantec Network Access Control On-Demand Este capítulo contém os tópicos a seguir: Sobre como configurar conexões temporárias para clientes do Symantec Network Access Control On-Demand Configuração da autenticação no console do Gateway ou DHCP Enforcer para clientes do Symantec Network Access Control On-Demand Edição do banner na página Bem-vindo Como solucionar problemas de conexão entre clientes do Enforcer e do On-Demand Sobre como configurar conexões temporárias para clientes do Symantec Network Access Control On-Demand Os usuários finais precisam freqüentemente conectar-se temporariamente a uma rede corporativa, mesmo que seus computadores não tenham o software aprovado. Se uma rede corporativa inclui um appliance Gateway ou DHCP Enforcer, o administrador pode configurar o appliance para permitir que os

208 208 Configuração de conexões temporárias para clientes do Symantec Network Access Control On-Demand Sobre como configurar conexões temporárias para clientes do Symantec Network Access Control On-Demand computadores-cliente que não estiverem em conformidade conectem-se temporariamente a uma rede corporativa como convidado. O administrador pode configurar para que o appliance Gateway ou DHCP Enforcer faça download automaticamente dos clientes do Symantec Network Access Control On-Demand em plataformas Windows e Macintosh. Assim que o cliente do Symantec Network Access Control On-Demand for transferido por download para um computador-cliente, o cliente tentará se conectar à rede da empresa. Se o computador-cliente cumprir todos os requisitos, uma conexão entre o computador-cliente e o Symantec Endpoint Protection Manager será estabelecida automaticamente. Portanto, o computador-cliente compatível pode executar todas as tarefas que o administrador ativou para este grupo no Symantec Endpoint Protection Manager. Se o computador-cliente não cumprir todos os requisitos, uma conexão entre o computador-cliente e o Symantec Endpoint Protection Manager não será estabelecida automaticamente. O usuário final precisa resolver todos os requisitos que não estiverem em conformidade no computador-cliente. Antes de configurar clientes do Symantec Network Access Control On-Demand em um console do Gateway ou DHCP Enforcer Antes que você possa definir o download automático dos clientes do Symantec Network Access Control On-Demand para Windows e Macintosh, é necessário já ter concluído as tarefas a seguir: Instalação do software Symantec Network Access Control, que está localizado no segundo CD-ROM, CD2. Este software inclui o software Symantec Endpoint Protection Manager que você deve instalar. Se você instalar acidentalmente o software Symantec Endpoint Protection que está localizado no primeiro CD-ROM, CD1, o software Symantec Endpoint Protection Manager não será capaz de instalar todos os componentes necessários. Consulte o Guia de Instalação do Symantec Endpoint Protection e do Symantec Network Access Control. Ter anotado o nome da senha criptografada que você implementou durante a instalação do software Network Access Control. Consulte o Guia de Instalação do Symantec Endpoint Protection e do Symantec Network Access Control. Instalar e configurar o appliance Gateway ou DHCP Enforcer. Quando você instala e configura um appliance Enforcer pela primeira vez, ele atribui um nome ao grupo do Enforcer durante o processo de instalação. Você deve planejar a atribuição dos endereços IP, nomes de host e também a configuração das placas de interface de rede (NICs). Se as NIC forem

209 Configuração de conexões temporárias para clientes do Symantec Network Access Control On-Demand Sobre como configurar conexões temporárias para clientes do Symantec Network Access Control On-Demand 209 configuradas incorretamente, a instalação falhará ou se comportará de maneira inesperada. Consulte Antes da instalação do appliance Enforcer na página 75. O nome do grupo do Enforcer aparece automaticamente no console do Symantec Endpoint Protection Manager, no painel Servidor associado a cada appliance Enforcer. Consulte o Guia de Administração do Symantec Endpoint Protection e do Symantec Network Access Control. Verificação do status da conexão entre o appliance Enforcer e o servidor do Symantec Endpoint Protection Manager no console do appliance Enforcer. Consulte Verificação do status de comunicação de um appliance Enforcer no console do Enforcer na página 91. Consulte Show na página 251. Ativou um redirecionamento HTTP ou spoofing de DNS no console do Symantec Endpoint Protection Manager. O redirecionamento HTTP ou spoofing de DNS é o endereço IP da NIC interna (eth0) que está localizado no appliance Gateway ou DHCP Enforcer. Para o redirecionamento HTTP, você adiciona o URL na página Admin no Symantec Endpoint Protection Manager. Após exibir a página Admin, será necessário exibir o painel Servidores e selecionar o grupo do Enforcer em Exibir servidores. Se você selecionar o grupo do Enforcer de que o Gateway ou o DHCP Enforcer são membros, clique em Editar propriedades do grupo em Tarefas. Na caixa de diálogo Configurações do Enforcer você seleciona a guia Autenticação e digita o URL no campo URL de redirecionamento HTTP. Por exemplo, você pode digitar para o spoofing de DNS. Isso pode ser feito ao fazer com que o appliance DHCP Enforcer modifique as mensagens relevantes do DHCP que são enviadas a um cliente. O appliance DHCP Enforcer substitui o endereço IP do servidor DNS na mensagem do DHCP pelo endereço IP externo do appliance DHCP Enforcer. Portanto, o appliance DHCP Enforcer atua como um servidor DNS para os clientes e impede, assim, o spoofing de DNS. Consulte o Guia de Administração do Symantec Endpoint Protection e do Symantec Network Access Control. Você deve criar o grupo de clientes como um subgrupo do grupo Minha empresa com direitos de acesso total. Adicione o grupo de clientes na página Clientes como um subgrupo do grupo Minha empresa no Symantec Endpoint Protection Manager. Certifique-se de que você escreveu o nome do grupo de clientes do Enforcer que gerencia clientes do Symantec Network Access Control On-Demand. Se você não criar um grupo separado, o grupo padrão no Symantec Endpoint

210 210 Configuração de conexões temporárias para clientes do Symantec Network Access Control On-Demand Sobre como configurar conexões temporárias para clientes do Symantec Network Access Control On-Demand Protection Manager assumirá o gerenciamento dos clientes do Symantec Network Access Control On-Demand. Consulte o Guia de Administração do Symantec Endpoint Protection e do Symantec Network Access Control. Criar um local separado opcional para um grupo de clientes do Enforcer no console do Symantec Endpoint Protection Manager. Se você não criar um local separado para o grupo que gerencia os clientes convidados ou clientes do Symantec Network Access Control On-Demand, o local padrão será atribuído automaticamente aos clientes convidados. Recomenda-se criar um local separado para o grupo de clientes do Enforcer no Symantec Endpoint Protection Manager. Os critérios de localização ajudam a definir os critérios que podem identificar os clientes convidados ou clientes do Symantec Network Access Control On-Demand por seu endereço IP, endereço MAC, nome de host ou outros critérios. Recomenda-se criar um local separado ao qual todos os clientes convidados ou clientes do Symantec Network Access Control On-Demand serão atribuídos automaticamente caso queiram conectar-se a uma rede temporária sem as credenciais corretas. Você pode adicionar e atribuir um local ao grupo de clientes do Enforcer na página Clientes, em Tarefas, no Symantec Endpoint Protection Manager. Consulte o Guia de Administração do Symantec Endpoint Protection e do Symantec Network Access Control. Adicionar e atribuir uma política de integridade do host opcional para o grupo de clientes e o local do Enforcer no console do Symantec Endpoint Protection Manager. Embora seja opcional adicionar e atribuir uma política de integridade do host ao grupo de clientes e o local do Enforcer no console do Symantec Endpoint Protection Manager, recomenda-se que você especifique os seguintes critérios: A freqüência com que a verificação de integridade do host é executada Tipo da política de integridade do host que você quer implementar Você pode adicionar e atribuir uma política de integridade do host opcional a um grupo de clientes e um local do Enforcer na página de Políticas, em Tarefas, no Symantec Endpoint Protection Manager. Consulte o Guia de Administração do Symantec Endpoint Protection e do Symantec Network Access Control. Ativar uma mensagem pop-up opcional no console do Symantec Endpoint Protection Manager. Consulte o Guia de Administração do Symantec Endpoint Protection e do Symantec Network Access Control.

211 Configuração de conexões temporárias para clientes do Symantec Network Access Control On-Demand Sobre como configurar conexões temporárias para clientes do Symantec Network Access Control On-Demand 211 Obter o número de ID do domínio que está localizado no console do Symantec Endpoint Protection Manager. Consulte o Guia de Administração do Symantec Endpoint Protection e do Symantec Network Access Control. Recomenda-se que você tenha o ID do domínio por perto porque precisará configurar o ID do domínio no Gateway ou no DCHP Enforcer com o comando on-demand spm-domain. Consulte Ativação de clientes do Symantec Network Access Control On-Demand para se conectarem temporariamente a uma rede na página 211. Ativação de clientes do Symantec Network Access Control On-Demand para se conectarem temporariamente a uma rede Se você quer ativar o download automático de um cliente no Symantec Network Access Control On-Demand em um computador-cliente nas plataformas Windows e Macintosh, é necessário já ter concluído um número de tarefas de configuração. Consulte Antes de configurar clientes do Symantec Network Access Control On-Demand em um console do Gateway ou DHCP Enforcer na página 208. Você precisa configurar os comandos a seguir antes de ativar clientes no Symantec Network Access Control On-Demand para se conectarem a uma rede: Execute o comando spm-domain. Execute o comando client-roup. Execute o comando enable. Execute o comando authentication enable. Esse comando é opcional. Consulte Para ativar os clientes no Symantec Network Access Control On-Demand para se conectarem temporariamente a uma rede na página 211. Para ativar os clientes no Symantec Network Access Control On-Demand para se conectarem temporariamente a uma rede 1 Faça logon no console do appliance Gateway ou DHCP Enforcer como superusuário. Consulte Logon em um appliance Enforcer na página No console de um appliance Gateway ou DHCP Enforcer, digite o comando a seguir: Enforcer #on-demand

212 212 Configuração de conexões temporárias para clientes do Symantec Network Access Control On-Demand Sobre como configurar conexões temporárias para clientes do Symantec Network Access Control On-Demand 3 Digite este comando: Enforcer (on-demand)# spm-domain onde: spm-domínio representa uma string que é exibida no Enforcer automaticamente. Consulte Antes de configurar clientes do Symantec Network Access Control On-Demand em um console do Gateway ou DHCP Enforcer na página Digite este comando: Enforcer (on-demand)# client-group "My Company/nome do grupo de clientes do Enforcer" onde: nome do grupo de clientes do Enforcer representa o nome do grupo de clientes do Enforcer que você já configurou na página Clientes, em Exibir clientes, no console do Symantec Endpoint Protection Manager. Você já deve ter configurado este grupo de clientes do Enforcer como um subgrupo do grupo Minha empresa com direitos de acesso total. Se você não definiu o grupo de clientes do Enforcer no console do Symantec Endpoint Protection Manager, o Enforcer se registrará no grupo padrão. As informações sobre o grupo de clientes do Enforcer é enviada automaticamente durante a próxima pulsação. Você pode agora configurar a autenticação para os clientes no Symantec Network Access Control On-Demand. Consulte Configuração da autenticação no console do Gateway ou DHCP Enforcer para clientes do Symantec Network Access Control On-Demand na página Digite este comando: Enforcer (on-demand)#enable Desativação de clientes do Symantec Network Access Control On-Demand para computadores-cliente Se você quer desativar o download automático dos clientes do Symantec Network Access Control On-Demand, é possível desativar este processo.

213 Configuração de conexões temporárias para clientes do Symantec Network Access Control On-Demand Configuração da autenticação no console do Gateway ou DHCP Enforcer para clientes do Symantec Network Access Control On-Demand 213 Para ativar clientes do Symantec Network Access Control On-Demand para computadores-cliente 1 Faça logon no console do appliance Gateway ou DHCP Enforcer como superusuário. Consulte Logon em um appliance Enforcer na página No console de um appliance Gateway ou DHCP Enforcer, digite on-demand. 3 Digite disable. 4 Digite exit. 5 Digite exit para fazer logoff. Configuração da autenticação no console do Gateway ou DHCP Enforcer para clientes do Symantec Network Access Control On-Demand Você pode autenticar usuários finais adicionando nomes de usuário e senha para cada usuário final em um banco de dados local que seja integrado ao appliance Gateway e ao DHCP Enforcer. Consulte Configuração da autenticação com um banco de dados local integrado na página 213. Se não desejar usar o banco de dados local integrado ao appliance Gateway e DHCP Enforcer, você poderá configurar os appliances Enforcer para usar o Microsoft Windows Server 2003 Active Directory para gerenciar a autenticação dos usuários finais. Consulte Configuração da autenticação com o Microsoft Windows 2003 Server Active Directory na página 214. Configuração da autenticação com um banco de dados local integrado Você pode configurar até usuários finais no banco de dados integrado. Consulte Comandos on-demand authentication local-db na página 287.

214 214 Configuração de conexões temporárias para clientes do Symantec Network Access Control On-Demand Configuração da autenticação no console do Gateway ou DHCP Enforcer para clientes do Symantec Network Access Control On-Demand Para configurar a autenticação com um banco de dados local 1 Faça logon no console do appliance Gateway ou DHCP Enforcer como superusuário. Consulte Logon em um appliance Enforcer na página No console de um appliance Gateway ou DHCP Enforcer, digite o comando a seguir: Enforcer #on-demand 3 No console de um appliance Gateway ou DHCP Enforcer, digite o comando a seguir: Enforcer (on-demand)# authentication 4 Digite este comando: Enforcer (authentication)# enable 5 Digite este comando: Enforcer (authentication)# local-db enable 6 Digite este comando: Enforcer (local-db)# adduser username nome_de_usuário senha senha onde: nome do usuário senha nome do usuário representa o nome do usuário final que você quer adicionar, como smith_john. nome de usuário representa a senha que você precisa adicionar para o usuário final. Configuração da autenticação com o Microsoft Windows 2003 Server Active Directory Os appliances Gateway e DHCP Enforcer estabelecem uma conexão com o Microsoft Windows 2003 Server através do nome de domínio, em vez do endereço IP. Portanto, você deve ter configurado na rede um DNS que possa determinar o nome do domínio. Consulte Comandos on-demand authentication ad na página 285.

215 Configuração de conexões temporárias para clientes do Symantec Network Access Control On-Demand Configuração da autenticação no console do Gateway ou DHCP Enforcer para clientes do Symantec Network Access Control On-Demand 215 Para configurar a autenticação com um servidor Active Directory 1 Faça logon no console do appliance Gateway ou DHCP Enforcer como superusuário. Consulte Logon em um appliance Enforcer na página No console de um appliance Gateway ou DHCP Enforcer, digite o comando a seguir: Enforcer #on-demand 3 Digite este comando: Enforcer (on-demand)# authentication 4 Digite este comando: Enforcer (authentication)# enable 5 Digite este comando: Enforcer (authentication)# ad enable 6 Digite este comando: Enforcer (authentication)# ad ID_de_domínio onde: ID_de_domínio representa o nome de domínio do Microsoft Windows Server 2003 Active Directory. Por exemplo, Configuração do cliente On-Demand no Windows para autenticação com o protocolo dot1x Para configurar o cliente On-Demand no Windows para autenticação com o protocolo dot1x 1 No console do Enforcer, digite: Enforcer#on-demand 2 Digite este comando: Enforcer(on-demand)# dot1x 3 Digite este comando: Enforcer(dot1x)# protocol tls 4 Digite este comando: Enforcer (tls)# show protocol O protocolo deve ser definido como tls. Por exemplo, Protocolo ativo: TLS 5 Digite este comando: Enforcer (tls)# validate-svr enable 6 Digite este comando: Enforcer (cert-svr)# exit

216 216 Configuração de conexões temporárias para clientes do Symantec Network Access Control On-Demand Configuração da autenticação no console do Gateway ou DHCP Enforcer para clientes do Symantec Network Access Control On-Demand 7 Digite este comando: Enforcer (tls)# show tls Certifique-se de que o certificado de servidor de tls esteja ativado. Por exemplo: TLS Validate Server Certificate: ENABLED TLS Certificate Server: ENABLED TLS Certificate Server: Digite este comando: Enforcer (dot1x)# certificate import tftp password symantec username janedoe user-cert qa.pfx root-cert qa.ce onde: é o servidor tftp do qual o appliance Enforcer pode importar o certificado por tftp. symantec é a senha do certificado do usuário janedoe é o nome de usuário com o qual você faz logon no cliente. qa.pfx é o nome do certificado do usuário. qa.cer é o nome do certificado raiz Configuração do cliente On-Demand no Windows para autenticação com o protocolo peap Para configurar o cliente On-Demand no Windows para autenticação com o protocolo peap 1 No console do Enforcer, digite: Enforcer#on-demand 2 Digite este comando: Enforcer(on-demand)# dot1x 3 Digite este comando: Enforcer(dot1x)# protocol peap 4 Digite este comando: Enforcer (peap)# show protocol Certifique-se de que o certificado de servidor peap esteja ativado; por exemplo: PEAP Validate Server Certificate: PEAP Certificate Server: ENABLED DISABLED PEAP Certificate Server: PEAP Fast Reconnected: DISABLED 5 Digite este comando: Enforcer (peap) cert-svr host snac onde: snac é o computador que é o servidor CA para o nome do certificado peap.

217 Configuração de conexões temporárias para clientes do Symantec Network Access Control On-Demand Edição do banner na página Bem-vindo 217 Edição do banner na página Bem-vindo Você pode editar o texto padrão do banner na página Bem-vindo do cliente do Symantec Network Access Control On-Demand. Para editar o banner na página Bem-vindo 1 Faça logon no console do appliance Gateway ou DHCP Enforcer como superusuário. Consulte Logon em um appliance Enforcer na página Digite o comando a seguir no console do appliance Gateway ou DHCP Enforcer: Enforcer# on-demand 3 Digite este comando: Enforcer(banner)# banner. Pressione Enter. 4 Na janela pop-up, digite a mensagem que você deseja que seja exibida aos usuários finais na página Bem-vindo no cliente do Symantec Network Access Control On-Demand. Você pode digitar até caracteres. Como solucionar problemas de conexão entre clientes do Enforcer e do On-Demand Há diversas áreas e problemas conhecidos que você pode verificar para solucionar problemas de conexão entre clientes do Enforcer e do On-Demand. Tabela 9-1 Sintoma O firewall está bloqueando o funcionamento do cliente quando o usuário faz download do agente com PPTP VPN, CheckPoint VPN ou Juniper VPN Solução Há diversas soluções possíveis: Altere as configurações do firewall para desbloquear a porta de UDP. Adicione uma rota estática à tabela de rotas do Enforcer. Por exemplo: route add IP netmask NM device eth0 onde IP e NM são o endereço IP e a máscara de rede do pool do endereço IP do cliente. Este pool é configurado na VPN pelo administrador.

218 218 Configuração de conexões temporárias para clientes do Symantec Network Access Control On-Demand Como solucionar problemas de conexão entre clientes do Enforcer e do On-Demand Sintoma A duração de download é, às vezes, longa A primeira verificação de integridade do host é, às vezes, longa Solução O cliente envia, às vezes, tráfego ao Verisign, o que torna a velocidade de download lenta. Uma solução alternativa é permitir que o admin adicione o Verisign à lista confiável de IP. Esse é um problema com a resolução de DNS e não deve aparecer após a primeira verificação de integridade do host. O firewall no cliente está bloqueando o funcionamento do cliente On-Demand quando o usuário não tem direitos de Admin O upgrade do Enforcer não contém inicialmente o pacote de instalação manual O URL de redirecionamento no Enforcer sobrescreverá um URL de redirecionamento anterior em SEPM Os clientes do Vista às vezes não recebem um endereço IP do servidor DHCP Os usuários devem mudar as configurações de firewall para desbloquear a porta do UDP. Como alternativa, defina o firewall para permitir cclientctl.exe Isto é devido ao tamanho dos pacotes tomados em conjunto. A solução alternativa é fazer upgrade do Enforcer e importar primeiro o pacote de instalação manual do cliente no Symantec Endpoint Protection Manager e depois ativar a funcionalidade On-Demand no Enforcer. Isso adicionará os arquivos de instalação manual. Isto acontece somente quando o recurso On-Demand está ativado no Enforcer. Esse é um comportamento esperado. Este é um problema de sincronismo. Altere a configuração de tempo limite do DHCP para12 segundos ou mais. Um usuário normal não pode instalar o agente se não há JRE instalados. O serviço sem fio está desconectado quando o cliente On-Demand é instalado e deixado, quando a autenticação 802.1x é usada Os sistemas que executam Norton 360 v. 2.x têm problemas para receber o cliente A solução alternativa é assegurar-se de que o JRE esteja instalado. Do contrário, somente os usuários Admin poderão instalar. O usuário deve reiniciar a conexão sem fio. Siga o link "download manual", faça download e instale; e funcionará.

219 Configuração de conexões temporárias para clientes do Symantec Network Access Control On-Demand Como solucionar problemas de conexão entre clientes do Enforcer e do On-Demand 219 Sintoma Com o Firefox, não é possível fazer download do cliente e do plug-in do NP somente com direitos de usuário A instalação manual falha às vezes A autenticação 802.1x falha A mensagem "Versão antiga do ActiveX detectada" aparece Solução A instalação do plug-in do NP exige direitos de Admin. Isto pode precisar da instalação do patch KB da Microsoft. Esse patch está incluído na instalação manual e deve ser instalado antes da instalação do cliente. É necessário ter privilégios de Admin. O agente precisa instalar um driver para funcionar. Se o usuário precisar de autenticação 802.1x no Windows Vista, necessitará abrir o navegador com o método "Run as Administrator" (Executar como administrador) ou desativar o UAC para garantir que o agente funcione com privilégios de Administrador. Você deve excluir o ActiveX existente clicando em Tools (Ferramentas) -> Manage Add-ons (Gerenciar complementos) -> Enable or Disable Add-ons (Ativar ou desativar complementos) -> Downloaded ActiveX Controls (Controles ActiveX obtidos por download) e excluir HodaAgt class (Classe HodaAgt). O navegador notifica o usuário que não pode exibir a página da Web e o cliente não pode fazer download com êxito O navegador Firefox às vezes não pode fazer download do cliente É possível que o cliente já esteja em execução. Como um recurso de segurança, você não pode fazer download de um novo cliente dentro de uma sessão do cliente em execução. Isso acontece quando o Firefox é executado pela primeira vez. A primeira ou a segunda reinicialização do Firefox é necessária para que ele termine sua configuração. Em seguida, o cliente On-Demand deve fazer download. Os computadores que executam Mac OS 10.4 às vezes não autenticam corretamente devido a uma mudança no nome do host Isso parece ser um problema com essa versão do Mac OS. A versão 10.5 não apresenta esse problema. A solução alternativa para a versão 10.4 é definir o nome do host em /etc/hostconfig/.

220 220 Configuração de conexões temporárias para clientes do Symantec Network Access Control On-Demand Como solucionar problemas de conexão entre clientes do Enforcer e do On-Demand Sintoma As verificações de integridade do host personalizadas que dependem da variável do sistema %temp% não funcionam As regras personalizadas de integridade do host que apontam para valores de registro não funcionam corretamente Solução Isso é por causa da natureza transitória de %temp%. A solução alternativa é apontar para locais diferentes. Isto é por causa da natureza transitória das sessões de usuário. A instalação do software Panda Titanium 2007 ou Panda Internet Security 2007 ou 2008 faz com que a mensagem "Aguarde enquanto o Windows configura o Symantec Network Access Control" apareça. O Panda exclui um arquivo SNAC crucial. Esse arquivo é reinstalado automaticamente e você não precisa executar nenhuma ação.

221 Capítulo 10 Interface da linha de comando do appliance Enforcer Este capítulo contém os tópicos a seguir: Sobre a hierarquia de comandos da CLI do appliance Enforcer Hierarquia de comandos da CLI Como navegar na hierarquia de comandos Atalhos de combinação de teclas da CLI do appliance Enforcer Obtenção de ajuda para os comandos da CLI Sobre a hierarquia de comandos da CLI do appliance Enforcer O appliance Enforcer tem uma interface de linha de comando (CLI) organizada em hierarquia de comandos. Os principais (comandos de nível superior) incluem estes quatro grupos de comandos que acessam comandos adicionais: capture configure console debug mab

222 222 Interface da linha de comando do appliance Enforcer Hierarquia de comandos da CLI monitor on-demand snmp Hierarquia de comandos da CLI A Tabela 10-1 descreve a hierarquia de comandos do Enforcer. Tabela 10-1 Hierarquia de comandos da CLI do appliance Enforcer Comandos de nível superior capture Comandos de subnível primário Os comandos clear, exit, help e show estão disponíveis apenas no logon de admin e no root (superuser). Você pode usar os seguintes comandos de sub-nível: Comandos de subnível secundário não disponível clear compress exit filter help show start upload verbose clear não disponível não disponível

223 Interface da linha de comando do appliance Enforcer Hierarquia de comandos da CLI 223 Comandos de nível superior configure Comandos de subnível primário Os comandos clear, exit, help e show estão disponíveis apenas no logon de admin e no root (superuser). Você pode usar os seguintes comandos de sub-nível: Comandos de subnível secundário Apenas o comando advanced tem um conjunto de comandos de subnível advanced clear dns exit help interface interface-role ntp redirect route show spm console baud-rate, clear, exit, help,show, ssh e sshkey Os comandos clear, exit, help e show estão disponíveis no logon de admin e no root (superuser). não disponível date date time timezone não disponível debug exit help hostname clear, compress, exit, filter, help, show, start e upload Os comandos clear, exit, help e show estão disponíveis no logon de admin e no root (superuser). não disponível não disponível não disponível não disponível não disponível não disponível não disponível

224 224 Interface da linha de comando do appliance Enforcer Hierarquia de comandos da CLI Comandos de nível superior mab Comandos de subnível primário Os comandos clear, exit, help e show estão disponíveis apenas no logon de admin e no root (superuser). Comandos de subnível secundário não disponível clear database disable enable exit help ldap show monitor clear exit help refresh show all or IP endereço ip on-demand password ping reboot Os comandos clear, exit, help e show estão disponíveis apenas no logon de admin e no root (superuser). autenticação banner clear client-group disable dot1x enable exit help mac-compliance show spm-domain não disponível não disponível não disponível Consulte os comandos para obter informações sobre os comandos de sub-nível secundários. não disponível não disponível não disponível

225 Interface da linha de comando do appliance Enforcer Como navegar na hierarquia de comandos 225 Comandos de nível superior show shutdown Comandos de subnível primário não disponível não disponível Comandos de subnível secundário não disponível não disponível snmp disable enable heartbeat receiver show trap exit clear help start stop traceroute update não disponível não disponível não disponível não disponível não disponível não disponível não disponível não disponível Como navegar na hierarquia de comandos Se quiser acessar um comando que está mais abaixo na hierarquia, digite o comando de nível superior e o comando de nível inferior. Se quiser executar diversos comandos em um grupo de comando, será possível digitar apenas o comando de nível superior. Pressione Enter para acessar o grupo de comandos. O mesmo processo se aplica caso queira obter uma lista de comandos em um grupo. Assim, você pode digitar qualquer comando disponível a partir desse grupo. Por exemplo, o grupo capture contém o comando show que mostra as configurações de captura. Se quiser acessar o comando show a partir do nível superior, digite o seguinte comando capture: Enforcer# capture show Se digitar somente o comando que dá acesso a um grupo de comandos e pressionar Enter, o próximo prompt mostrará o grupo de comandos entre parênteses. Por exemplo:

226 226 Interface da linha de comando do appliance Enforcer Atalhos de combinação de teclas da CLI do appliance Enforcer Enforcer# capture Enforcer(capture)# Se quiser mover a hierarquia para cima e acessar comandos fora do grupo, será necessário primeiro sair do grupo de comandos. Enforcer(capture)# exit Enforcer# Atalhos de combinação de teclas da CLI do appliance Enforcer Ao usar a CLI, é possível usar combinações de teclas como atalhos em vez de digitar comandos ou obter ajuda no preenchimento de comandos. A Tabela 10-2 relaciona os atalhos do teclado e a ajuda da CLI. Tabela 10-2 Atalhos do teclado e ajuda da CLI Teclas ou combinações de teclas Ação Tecla Tab ou? Relaciona todos os comandos ou as opções. ou Completa o nome do comando ou da opção, ou relaciona todos os comandos possíveis ou opções que iniciem com as letras que foram digitadas. Para obter mais informações: Consulte Obtenção de ajuda para os comandos da CLI na página 227. CTRL+D CTRL+C Sai de um grupo de comandos. Exclui todos os caracteres da linha de comando.

227 Interface da linha de comando do appliance Enforcer Obtenção de ajuda para os comandos da CLI 227 Teclas ou combinações de teclas! Ação Relaciona os comandos no buffer do histórico. Os comandos digitados são armazenados em um buffer circular de histórico de 16 k. Os comandos são indexados, iniciando com 1. Quando há estouro do buffer, o comando mais antigo é substituído e o número do índice é alterado, dessa maneira o comando mais antigo sempre tem o índice 1. O comando! relaciona todos os comandos no buffer do histórico. Se digitar um número após!, o console do Enforcer restaurará o comando que tem esse número. O comando somente será executado após pressionar Enter. Veja abaixo um exemplo: Enforcer#! 1. con 2. configure 3. ping traceroute Enforcer#!3 Enforcer# ping Seta para cima Restaura os comandos do buffer de histórico navegando pelo índice. Seta para baixo Seta à esquerda Move o cursor um caractere para a esquerda e para a direita. Seta à direita Teclas Home e End tecla Backspace tecla Delete Move o cursor para o início ou para o fim da linha de comando. Exclui um caractere da linha de comando à esquerda do cursor. Exclui um caractere no qual o cursor reside. Obtenção de ajuda para os comandos da CLI Quando se usa a CLI, há diversas maneiras de se obter ajuda em comandos e opções de comando. A Tabela 10-3 mostra as maneiras pelas quais você pode obter ajuda com comandos da CLI.

228 228 Interface da linha de comando do appliance Enforcer Obtenção de ajuda para os comandos da CLI Tabela 10-3 Obtenção de ajuda para os comandos da CLI O que deseja fazer? Relacionar todos os comandos disponíveis com uma descrição curta Ação No prompt de comando, pressione Tab ou? Todos os comandos disponíveis no nível atual de hierarquia serão relacionados. Exemplo: Após digitar o comando configure e pressionar Enter para acessar o grupo de comando configure, pressione Tab ou? para exibir todos os comandos configure disponíveis. Exibir uma descrição curta de um comando específico No prompt de comando, digite Help acompanhado do nome do comando. (Os comandos devem estar disponíveis no nível atual de hierarquia.) Completar o nome do comando ou relacionar todos os comandos possíveis iniciados com as letras digitadas. Digite uma ou mais letras que iniciem o nome do comando e pressione Tab ou? Por exemplo: Ao digitar co e pressionar Tab ou? no prompt de comando principal, o console do Enforcer relacionará todos os comandos disponíveis que comecem com co. Como mostrado no exemplo a seguir, dois comandos iniciam por con. Dessa maneira, o console do Enforcer preenche com a letra n. Exemplo: Enforcer# co? configure Configure Enforcer setting console Console setting Enforcer# con Exibir todas as opções de um comando específico com uma descrição curta de cada opção. Digite o comando e pressione Tab ou? Por exemplo: Se estiver no grupo de comandos configure e quiser exibir as opções do comando interface, digite interface e pressione Tab ou? Exemplo: Enforcer(configure)# interface? Cada opção da interface é relacionada com uma breve descrição.

229 Interface da linha de comando do appliance Enforcer Obtenção de ajuda para os comandos da CLI 229 O que deseja fazer? Completar o nome da opção ou relacionar todas as opções disponíveis iniciadas com as letras digitadas. Ação Após digitar o nome da opção, digite uma ou mais letras que iniciam o nome da opção e pressione a tecla Tab ou?. Por exemplo: Se você digitar o comando capture show acompanhado da letra f, o console do Enforcer relacionará as duas opções que começam com a letra f. Como os dois iniciam com as letras fil, o console preenche com il. Por exemplo: Enforcer# capture show f? files Display packet capture files filter Display current packet capture filter Enforcer# capture show fil

230 230 Interface da linha de comando do appliance Enforcer Obtenção de ajuda para os comandos da CLI

231 Capítulo 11 Referência de interface da linha de comando do appliance Enforcer Este capítulo contém os tópicos a seguir: Convenções de comandos CLI do appliance Enforcer em referência alfabética Comandos de nível superior Comandos capture Comandos configure Comandos console Comandos debug Comandos MAB Comandos monitor Comandos SNMP Comandos on-demand Convenções de comandos As seguintes convenções descrevem a sintaxe e o uso dos comandos da interface de linha de comando (CLI) do appliance Enforcer:

232 232 Referência de interface da linha de comando do appliance Enforcer CLI do appliance Enforcer em referência alfabética Tabela 11-1 Sintaxe n Convenções para os comandos Uso As variáveis são exibidas em itálico. Por exemplo, n representa uma variável. chaves {} Se um comando tiver vários argumentos, eles serão colocados entre chaves { }. Este é um exemplo de vários argumentos onde n representa uma variável: {width n height n} colchetes [ ] Os argumentos opcionais são colocados entre colchetes []. Veja abaixo um exemplo de argumento opcional: [metric] barra vertical Se um comando tiver vários argumentos que se excluam entre si, uma barra vertical deverá separá-los. Veja abaixo um exemplo de vários argumentos que se excluem: {width n height n} CLI do appliance Enforcer em referência alfabética Os comandos do appliance Enforcer são organizados em hierarquia, com alguns no nível superior e outros sob os seguintes comandos: capture, configure, console, debug, mab, monitor e on-demand. Os comandos clear, exit, help e show estão disponíveis em todos os níveis da hierarquia. Entretanto, eles só são relacionados na tabela no nível superior. Os comandos ficam disponíveis quando é feito o logon como administrador, todos os demais estão disponíveis apenas no login root. Para exibir uma descrição de todos os comandos disponíveis no nível da hierarquia atual, você pode digitar um ponto de interrogação (?) ou pressionar Tab. A Tabela 11-2 fornece uma breve descrição dos comandos. Tabela 11-2 Resumo dos comandos da CLI Comando capture Descrição Acessa os comandos de captura de pacotes. Consulte Comandos capture na página 253.

233 Referência de interface da linha de comando do appliance Enforcer CLI do appliance Enforcer em referência alfabética 233 Comando capture filter Descrição Configura um filtro a ser aplicado à captura de pacotes. Consulte Capture Filter na página 254. capture show Mostra a configuração da captura e lista os arquivos que são capturados. Consulte Capture Show na página 255. capture start Inicia a captura do pacote. Consulte Capture Start na página 255. capture upload Usa o protocolo tftp para enviar um ou mais arquivos. Consulte Capture upload na página 256. capture verbose Ativa ou desativa a exibição dos detalhes de captura do pacote. Consulte Capture Verbose na página 257. clear Limpa a tela. Consulte Clear na página 247. configure Fornece acesso aos comandos configure do Enforcer. Consulte Comandos configure na página 257. configure advanced Acessa os comandos advanced configuration. Consulte os comandos configure advanced relacionados nesta tabela. Consulte Comandos configure advanced na página 257. configure advanced trunking configure advanced catos configure advanced check-uid Ativa ou desativa o suporte do trunking (Gateway Enforcer somente). Consulte Comandos configure advanced na página 257. Ativa ou desativa o suporte Cisco CATOS. (somente appliances LAN Enforcer). Consulte Advanced CATOS na página 257. Ativa ou desativa a verificação do UID de agentes legados (somente Gateway e DHCP Enforcer). Consulte Advanced check-uid na página 258. configure advanced dns-spoofing Configura um endereço IP de spoofing de DNS e o ativa ou desativa no DHCP Enforcer. A desativação exclui o endereço IP de spoofing de DNS e o desativa no DHCP Enforcer (somente appliances DHCP Enforcer). Consulte Advanced DNS spoofing na página 258.

234 234 Referência de interface da linha de comando do appliance Enforcer CLI do appliance Enforcer em referência alfabética Comando configure advanced failover configure advanced legacy configure advanced legacy-uid configure advanced local-auth configure advanced re-initialize Descrição Define as configurações de failover do appliance Enforcer. Consulte Advanced failover na página 258. Permite ou bloqueia agentes legados. Consulte Advanced legacy na página 259. Especifica o UID legado (somente appliances Gateway e DHCP Enforcer). Consulte Advanced legacy-uid na página 260. Ativa ou desativa a autenticação de clientes do Enforcer. Consulte Advanced RADIUS na página 261. Alterna para um tipo diferente do Enforcer. Esta opção não estará disponível se você tiver feito login em uma sessão SSH. Consulte Advanced re-initialize na página 261. configure advanced radius Ativa ou desativa o suporte do proxy de estatísticas RADIUS. (somente appliance LAN Enforcer). Consulte Advanced RADIUS na página 261. configure advanced snacs Define o IP do verificador SNAC e a chave de pré-compartilhamento (somente appliance Gateway e DHCP Enforcer). Use esse comando para reativar o verificador do SNAC caso este tenha sido desativado. Consulte Advanced Symantec Network Access Control Server Scanner na página 261. configure advanced user-class configure dns Ativa ou desativa classes de usuários. (Somente appliance DHCP Enforcer.) Consulte Advanced User-class na página 262. Adiciona ou exclui uma entrada de DNS. Consulte Configure DNS na página 264. configure interface Configura o endereço IP e a máscara de rede da interface da rede. Consulte Configure Interface na página 264. configure interface-role Especifica as interfaces interna e externa da rede (somente Gateway e DHCP Enforcer). Consulte Configure Interface-role na página 265. configure ntp Estabelece comunicação entre um appliance Enforcer e um Network Time Server com um endereço IP, um nome de domínio ou um endereço da Web. Também permite ou desativa a sincronização de tempo entre o Network Time Server e o appliance Enforcer. Consulte Configure NTP na página 266.

235 Referência de interface da linha de comando do appliance Enforcer CLI do appliance Enforcer em referência alfabética 235 Comando configure redirect Descrição Especifica o URL de redirecionamento HTTP quando o cliente não está instalado em um computador. Consulte Configure redirect na página 267. configure route Configura as definições da rota. Consulte Configure Route na página 267. configure show Mostra a configuração atual de cada comando no grupo configurar. Se nenhum argumento estiver especificado, todas as definições serão exibidas. Consulte Configure Show na página 268. configure spm Configura a conexão do Symantec Endpoint Protection Manager. Se você modificar somente um dos argumentos, precisará modificar todos eles ou as configurações padrão serão usadas automaticamente para aqueles argumentos que você não modificou. Consulte Configure SPM na página 268. console Fornece acesso aos comandos de configuração do console. Consulte Comandos console na página 269. console baud-rate Define a taxa de transmissão. Consulte Console baud-rate na página 269. console ssh Ativa ou desativa o logon remoto SSH. Consulte Console SSH na página 269. console sshkey Define e exclui a chave pública para o logon remoto SSH sem uma senha. Consulte Console SSHKEY na página 270. console show Exibe as configurações para o console de um appliance Enforcer. Consulte Console show na página 270. date Define data, hora e fuso horário. Consulte Date na página 248. debug Acessa os comandos de depuração do appliance Enforcer. Consulte Comandos debug na página 270. debug destination Define o destino da depuração (memória, disco, ambos). Consulte Debug destination na página 271. debug level Define o nível de informações de depuração. Consulte Debug level na página 271.

236 236 Referência de interface da linha de comando do appliance Enforcer CLI do appliance Enforcer em referência alfabética Comando debug show Descrição Exibe as configurações para a depuração. Consulte Debug show na página 272. debug upload Usa protocolo confiável de transferência de arquivos (TFTP, Trusted File Transfer Protocol) para enviar um ou mais arquivos a outro computador. Consulte Debug upload na página 272. exit Faz logoff do console de um appliance Enforcer quando o comando for usado como um comando de nível superior; caso contrário, o comando efetua a saída de um grupo de comandos. Consulte Exit na página 248. help Exibe a ajuda de um comando Consulte Help na página 248. hostname Especifica o nome do host de um appliance Enforcer Consulte Hostname na página 249. mab Fornece acesso aos comandos em um appliance LAN Enforcer que permite que você implemente o MAC Authentication Bypass (MAB) nos alternadores compatíveis com 802.1x especificados. Você deve fazer logon no console do appliance LAN Enforcer como um superusuário para executar este comando. Consulte Comandos MAB na página 272. mab database Fornece acesso a todos os comandos que adicionam e gerenciam entradas locais do banco de dados do MAB em um appliance do LAN Enforcer. Você deve fazer logon no console do appliance LAN Enforcer como um superusuário para executar este comando. monitor Fornece acesso aos comandos monitor do Enforcer. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Comandos monitor na página 277. monitor refresh Atualiza as informações sobre o endereço IP, o nome de host, o ID da política e o endereço MAC do cliente. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Comando monitor refresh na página 277.

237 Referência de interface da linha de comando do appliance Enforcer CLI do appliance Enforcer em referência alfabética 237 Comando monitor show Descrição Exibe as informações sobre blocked-hosts, connected-guests e connected-users Consulte Comando monitor show na página 277. monitor show blocked-hosts Exibe informações sobre o nome de host e o ID da política de um host bloqueado. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Exibe as informações sobre o nome de host, o ID da política e o endereço MAC do host bloqueado. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Comando monitor show blocked-hosts na página 277. monitor show connected-guests Exibe informações sobre o endereço IP, o nome de host e o ID da política do convidado conectado ou do cliente On-Demand. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Exibe informações sobre o endereço IP, o nome de host, o ID da política e o endereço MAC do convidado conectado ou do cliente On-Demand. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Comandos monitor show connected-guests na página 279. monitor show connected-users Exibe informações sobre o endereço IP, o nome de host, o nome de usuário e o ID da política de um usuário conectado ou de um cliente gerenciado. Um usuário conectado ou um cliente gerenciado suporta o software-cliente do Symantec Endpoint Protection e o software-cliente do Symantec Network Access Control. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Exibe informações sobre o endereço IP, o nome de host, o ID da política e o endereço MAC do usuário conectado ou do cliente gerenciado. Um usuário conectado ou um cliente gerenciado aceitam o software-cliente do Symantec Endpoint Protection e o software-cliente do Symantec Network Access Control. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. on-demand authentication local-db delete Consulte Comando monitor show connected-users na página 280. Permite que você remova uma conta do usuário existente do banco de dados local. Você deve estar conectado no console do appliance Gateway ou do DHCP Enforcer como um superusuário para que possa executar este comando.

238 238 Referência de interface da linha de comando do appliance Enforcer CLI do appliance Enforcer em referência alfabética Comando Descrição on-demand authentication local-db clear Permite que você limpe todas as contas do usuário do banco de dados local. Nota: Você deve manter pelo menos uma conta do usuário se usar autenticação local-db. Você deve estar conectado no console do appliance Gateway ou do DHCP Enforcer como um superusuário para que possa executar este comando. on-demand disable Desativa o download automático de clientes convidados ou clientes do Symantec Network Access Control On-Demand no console do Gateway ou do DHCP Enforcer. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. Consulte Desativação de clientes do Symantec Network Access Control On-Demand para computadores-cliente na página 212. on-demand enable Ativa o download automático de clientes convidados ou clientes do Symantec Network Access Control On-Demand no console do Gateway ou do DHCP Enforcer. Caso contrário, a instalação falhará. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. Consulte Ativação de clientes do Symantec Network Access Control On-Demand para se conectarem temporariamente a uma rede na página 211. Consulte Comandos on-demand authentication local-db na página 287.

239 Referência de interface da linha de comando do appliance Enforcer CLI do appliance Enforcer em referência alfabética 239 Comando on-demand authentication disable Descrição Permite que você interrompa o processo de autenticação auth-daemon no console do appliance Gateway ou DHCP para um cliente do Symantec Network Access Control On-Demand. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. Consulte É possível interromper o processo de autenticação auth-daemon em um console do appliance Gateway ou DHCP para um cliente do Symantec Network Access Control On-Demand. O comando on-demand authentication disable usa a seguinte sintaxe: on-demand authentication disable Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. O seguinte exemplo descreve como desativar a autenticação para um cliente do Symantec Network Access Control On-Demand no console do appliance Gateway ou DHCP Enforcer: Enforcer# on-demand Enforcer (on-demand)# authentication disable na página 286. on-demand authentication enable Permite que você inicie o processo de autenticação auth-daemon em um console do appliance Gateway ou DHCP para um cliente do Symantec Network Access Control On-Demand. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. Consulte Comando on-demand authentication enable na página 287. on-demand authentication ad disable Desativa a autenticação do computador do cliente do Symantec Network Access Control On-Demand. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. Consulte Comando on-demand authentication ad disable na página 285.

240 240 Referência de interface da linha de comando do appliance Enforcer CLI do appliance Enforcer em referência alfabética Comando on-demand authentication ad domain Descrição Configura a comunicação entre um appliance Enforcer e um diretório ativo para a autenticação de um computador-cliente On-Demand. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. Consulte Comando on-demand authentication ad domain na página 285. on-demand authentication ad enable Ativa a autenticação do computador-cliente On-Demand. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. on-demand authentication local-db on-demand authentication local-db add on-demand authentication local-db disable on-demand authentication local-db enable Consulte Logon em um appliance Enforcer na página 88. Consulte Comando on-demand authentication ad enable na página 286. Fornece acesso aos comandos on-demand authentication local-db. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. Consulte Comandos on-demand authentication local-db na página 287. Permite configurar o nome e a senha de login em um console do appliance Gateway ou DHCP para um usuário final que queira fazer download automaticamente de um cliente do Symantec Network Access Control On-Demand em um computador-cliente. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. Permite que você desative uma configuração de autenticação para um computador-cliente On-Demand em relação a um banco de dados local. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. Permite que você ative uma configuração de autenticação para um computador-cliente On-Demand em relação a um banco de dados local. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88.

241 Referência de interface da linha de comando do appliance Enforcer CLI do appliance Enforcer em referência alfabética 241 Comando on-demand authentication show Descrição Permite que sejam exibidas as configurações de autenticação para um computador-cliente On-Demand. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. on-demand banner Permite que você edite o banner padrão na página Bem-vindo de clientes do Symantec Network Access Control On-Demand. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. Consulte Edição do banner na página Bem-vindo na página 217. Consulte Comando on-demand banner na página 290. on-demand spm-domain Permite que você configure o ID do domínio no console de um appliance Gateway ou DHCP Enforcer. Caso contrário, ocorrerá falha na instalação do cliente On-Demand. Consulte Ativação de clientes do Symantec Network Access Control On-Demand para se conectarem temporariamente a uma rede na página 211. Após a conexão com o Symantec Endpoint Protection Manager, o ID do domínio aparece no appliance Enforcer. Consulte o Guia de Administração do Symantec Endpoint Protection e do Symantec Network Access Control sobre como localizar o ID do domínio. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. Consulte Comando on-demand spm-domain na página 301. on-demand dot1x Permite que você ative a configuração da autenticação 802.1x de controle de acesso à rede baseada em porta para sessões do cliente On-Demand. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. on-demand dot1x default-user Permite que você configure a autenticação 802.1x anônima de controle de acesso à rede baseada em porta para sessões do cliente On-Demand. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88.

242 242 Referência de interface da linha de comando do appliance Enforcer CLI do appliance Enforcer em referência alfabética Comando on-demand dot1x certificate Descrição Permite que você configure um certificado de usuário e raiz com autenticação 802.1x. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. Consulte Comandos on-demand dot1x certificate na página 291. on-demand dot1x certificate import Permite que você importe um certificado de autenticação 802.1x. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. Consulte On-demand dot1x certificate import na página 292. on-demand dot1x certificate remove Permite que você remova um certificado de autenticação 802.1x. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. Consulte Comando on-demand dot1x certificate remove na página 293. on-demand dot1x peap Permite que você configure um protocolo de autenticação extensível protegida (PEAP, Protected Extensible Authentication Protocol) 802.1x para autenticar o cliente On-Demand na rede protegida. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. Consulte Comando on-demand dot1x peap na página 294. on-demand dot1x peap validate-svr enable Permite que a você ative a validação de um certificado de servidor do protocolo de autenticação extensível protegida (PEAP, Protected Extensible Authentication Protocol) 802.1x para o acesso do cliente On-Demand à rede protegida. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. Consulte Comando on-demand dot1x peap cert-svr na página 295.

243 Referência de interface da linha de comando do appliance Enforcer CLI do appliance Enforcer em referência alfabética 243 Comando on-demand dot1x peap validate-svr disable Descrição Permite que você desative a validação de um certificado de servidor do protocolo de autenticação extensível protegida (PEAP, Protected Extensible Authentication Protocol) 802.1x para o acesso do cliente On-Demand à rede protegida. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. Consulte Comando on-demand dot1x peap cert-svr na página 295. on-demand dot1x peap cert-svr Permite que você configure um protocolo de autenticação extensível protegida (PEAP, Protected Extensible Authentication Protocol) 802.1x assim como um certificado do usuário para o acesso do cliente On-Demand à rede protegida. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. on-demand dot1x peap fast-reconn enable Permite que você ative a reconexão rápida do protocolo de autenticação extensível protegida (PEAP, Protected Extensible Authentication Protocol) 802.1x ao certificado de servidor raiz para o acesso do cliente On-Demand à rede protegida. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. on-demand dot1x peap fast-reconn disable Permite que você desative a reconexão rápida do protocolo de autenticação extensível protegida (PEAP, Protected Extensible Authentication Protocol) 802.1x ao certificado de servidor raiz para o acesso do cliente On-Demand à rede protegida. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. on-demand dot1x peap show Permite que você exiba as configurações do protocolo de autenticação extensível protegida (PEAP, Protected Extensible Authentication Protocol) 802.1x para que um cliente On-Demand confirme que o protocolo ativo é PEAP. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88.

244 244 Referência de interface da linha de comando do appliance Enforcer CLI do appliance Enforcer em referência alfabética Comando on-demand dot1x peap exit Descrição Permite que você saia da hierarquia de configuração da interface de linha de comando do protocolo de autenticação extensível protegida (PEAP, Protected Extensible Authentication Protocol) 802.1x. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. on-demand dot1x protocol Permite que você configure um protocolo de autenticação extensível protegida (PEAP, Protected Extensible Authentication Protocol) 802.1x para o acesso do cliente On-Demand à rede protegida como PEAP ou TLS. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. on-demand dot1x show Permite que você exiba na interface da linha de comando a configuração do protocolo de autenticação extensível protegida (PEAP, Protected Extensible Authentication Protocol) 802.1x para um cliente On-Demand e confirme que o protocolo configurado é PEAP ou TLS. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. on-demand dot1x tls Permite que você insira o modo de configuração do protocolo Transport Layer Security (TLS) 802.1x. Você deve fazer logon no console do Gateway ou DHCP Enforcer como um superusuário antes que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. on-demand dot1x tls validate-svr enable Permite que você ative a validação de um certificado de servidor raiz para uma configuração do protocolo Transport Layer Security (TLS) 802.1x. Você deve fazer logon no console do Gateway ou DHCP Enforcer como um superusuário antes que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. Consulte Comando on-demand dot1x peap cert-svr na página 295. on-demand dot1x tls validate-svr disable Permite que você desative a validação de um certificado de servidor raiz para uma configuração do protocolo Transport Layer Security (TLS) 802.1x. Você deve fazer logon no console do Gateway ou DHCP Enforcer como um superusuário antes que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88.

245 Referência de interface da linha de comando do appliance Enforcer CLI do appliance Enforcer em referência alfabética 245 Comando on-demand dot1x tls cert-svr enable Descrição Permite que você configure um certificado de servidor raiz para um protocolo Transport Layer Security (TLS) 802.1x para a autenticação do cliente On-Demand. Você deve fazer logon no console do Gateway ou DHCP Enforcer como um superusuário antes que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. on-demand dot1x tls cert-svr disable on-demand dot1x tls cert-svr host on-demand dot1x tls show Desativa o servidor do certificado TLS. Define o nome do host do servidor do certificado TLS. Permite que você exiba as configurações de um protocolo Transport Layer Security (TLS) 802.1x para a autenticação do cliente On-Demand. Você deve fazer logon no console do Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. on-demand dot1x tls exit Permite que você saia do modo da interface de linha de comando para a configuração do TLS 802.1x. Você deve fazer logon no console do Gateway ou DHCP Enforcer como um superusuário antes que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. on-demand client-group Permite configurar o prefergroup no console do Gateway ou DHCP Enforcer e no console do Symantec Endpoint Protection Manager. Caso contrário, a instalação falhará. Embora seja opcional configurar um grupo separado para os clientes do Symantec Network Access Control On-Demand, é recomendável que você faça isso. Se você não configurar um grupo separado, todos os clientes do Symantec Network Access Control On-Demand se transformarão automaticamente em um membro do grupo padrão no console do Symantec Endpoint Protection Manager. Você deve fazer logon no console do Gateway ou DHCP Enforcer como um superusuário antes que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. Consulte Ativação de clientes do Symantec Network Access Control On-Demand para se conectarem temporariamente a uma rede na página 211. Consulte Comando on-demand client-group na página 290. Consulte o Guia de Administração do Symantec Endpoint Protection e do Symantec Network Access Control sobre como configurar um grupo para clientes convidados ou clientes do Symantec Network Access Control On-Demand.

246 246 Referência de interface da linha de comando do appliance Enforcer CLI do appliance Enforcer em referência alfabética Comando on-demand mac-compliance Descrição Permite configurar clientes do Symantec Network Access Control On-Demand em uma plataforma Macintosh impedindo que o usuário final instale programas e arquivos não autorizados. on-demand mac-compliance enable on-demand mac-compliance disable Consulte Comandos on-demand mac-compliance na página 302. Você deve fazer logon no console do Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Permite que você configure as opções de integridade do host para uma plataforma Macintosh de cliente On-Demand. Consulte Comandos on-demand mac-compliance na página 302. Você deve fazer logon no console do Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. Permite que você desative a configuração de integridade do host para uma plataforma Macintosh de cliente On-Demand. Consulte Comandos on-demand mac-compliance na página 302. Você deve fazer logon no console do Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. on-demand mac-compliance show Permite que você configure a lista das opções de integridade do host para uma plataforma Macintosh de cliente On-Demand. Consulte Comandos on-demand mac-compliance na página 302. Você deve fazer logon no console do Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. on-demand mac-compliance interval password Permite definir intervalos de verificação da conformidade (em minutos) para o cliente do Symantec Network Access Control On-Demand. Altera a senha para fazer login no appliance Enforcer. Consulte Password na página 249. ping Envia um eco ICMP para um host remoto. Consulte Ping na página 250. reboot Reinicia o appliance Enforcer. Consulte Reboot na página 250.

247 Referência de interface da linha de comando do appliance Enforcer Comandos de nível superior 247 Comando show Descrição Mostra informações sobre a configuração e o status do appliance Enforcer. Consulte Show na página 251. shutdown Desativa um appliance Enforcer. Consulte Shutdown na página 251. snmp snmp disable snmp enable snmp heartbeat snmp receiver snmp show snmp trap start Suporta o Simple Network Management Protocol. Desativa SNMP. Ativa SNMP. Define a pulsação para SNMP. Configurações do receiver SNMP. Mostra a configuração e o status de SNMP. Tentativas do SNMP e configuração do valor de tempo limite. Inicia um serviço do Enforcer. Consulte Start na página 252. stop Interrompe um serviço do Enforcer. Consulte Stop na página 252. traceroute Imprime a rota que os pacotes seguem até o host da rede. Consulte Traceroute na página 252. update Atualiza o software do appliance Enforcer. Consulte Update na página 253. Comandos de nível superior Os comandos de nível superior estão disponíveis na CLI do Enforcer. São comandos de administração geral. Alguns dos comandos, como clear, exit, help e show, estão disponíveis em todos os níveis da hierarquia. Clear O comando clear limpa o conteúdo da tela. Veja abaixo um exemplo da sintaxe:

248 248 Referência de interface da linha de comando do appliance Enforcer Comandos de nível superior Enforcer# clear Date O comando date define o horário do sistema ou o fuso horário do dispositivo. Veja abaixo um exemplo da sintaxe: date {day <MM/DD/YY> time <HH:MM:SS> timezone} Exit O comando exit efetua a saída do console, quando usado como comando principal, ou a saída de um grupo de comandos, quando usado em um grupo de comandos. Você também pode usar a combinação das teclas CTRL+D em vez do comando exit. Veja abaixo um exemplo da sintaxe: Enforcer# exit Help O comando help exibe informações de ajuda de um comando especificado. Digite um ponto de interrogação (?) ou pressione Tab se deseja exibir ajuda para todos os comandos disponíveis. Nota: Alguns comandos são específicos somente no Gateway Enforcer ou no DHCP Enforcer. Esses comandos não são exibidos nos outros Enforcers. Veja abaixo um exemplo da sintaxe do grupo principal de comandos: help {capture clear configure console date debug exit hostname mab monitor on-demand password ping reboot show shutdown start stop traceroute update snmp} Quando o comando Help é usado em um grupo de comandos, ele exibe informações de ajuda de um comando individual no grupo. Para exibir ajuda para todos os comandos disponíveis, digite um ponto de interrogação (?) ou pressione Tab. Veja abaixo um exemplo da sintaxe do grupo de comandos capture: help {clear compress exit filter show start verbose ymodem upload}

249 Referência de interface da linha de comando do appliance Enforcer Comandos de nível superior 249 Veja abaixo um exemplo da sintaxe do grupo de comandos configure: help {advanced clear dns exit interface interface-role route show spm redirect ntp} Veja abaixo um exemplo da sintaxe do grupo de comandos configure advanced: help {catos check-uid clear dnsspoofing exit failover legacy legacy-uid local-auth snacs user-class show trunking} Veja abaixo um exemplo da sintaxe do grupo de comandos console: help {baud-rate clear dimensions exit re-initialize serial-port show ssh sshkey} Veja abaixo um exemplo da sintaxe do grupo de comandos debug: help {clear compress destination exit level show ymodem upload} Hostname O comando hostname altera o nome de host do appliance Enforcer. O nome de host padrão é Enforcer. Se você mudar o nome de um appliance Enforcer, será possível distinguir entre vários appliances Enforcer no Symantec Endpoint Protection Manager e nos registros de Enforcer. O nome de host é registrado automaticamente no Symantec Endpoint Protection Manager durante a próxima pulsação. Se você mudar o nome de host de um appliance Enforcer, talvez seja necessário mudar também a entrada no servidor DNS. Este é um exemplo da sintaxe do comando hostname: hostname nome_do_host Password O comando password altera a senha da conta. É necessário confirmar a senha existente antes de especificar e confirmar a nova. A nova senha deve conter uma letra minúscula, uma letra maiúscula, um dígito e um símbolo. Este é um exemplo de sintaxe da password:

250 250 Referência de interface da linha de comando do appliance Enforcer Comandos de nível superior password Ping O comando ping verifica as conexões de um host remoto especificadas com um endereço IP ou um nome do host. O comando usa uma solicitação de eco ICMP e pacotes de resposta de eco para determinar a funcionalidade de determinado sistema IP em uma rede. É possível usar o comando ping para diagnosticar falhas de IP no roteador ou na rede. Esse comando permite que se verifique a comunicação entre o appliance Enforcer e o Symantec Endpoint Protection Manager. Veja abaixo um exemplo da sintaxe do comando ping: ping endereço_ip nome_do_host Exemplo ping PING ( ) 56(84) bytes of data. 64 bytes from : icmp_seq=0 ttl=64 time=0.585 ms 64 bytes from : icmp_seq=1 ttl=64 time=0.149 ms 64 bytes from : icmp_seq=2 ttl=64 time=0.131 ms 64 bytes from : icmp_seq=3 ttl=64 time=0.128 ms ping statistics packets transmitted, 4 received, 0% packet loss, time 57ms rtt min/avg/max/mdev = 0.128/0.248/0.585/0.194 ms, pipe 2, ipg/ewma /0.436 ms Reboot O comando reboot reinicializa o appliance Enforcer. Veja abaixo um exemplo da sintaxe do comando reboot: reboot

251 Referência de interface da linha de comando do appliance Enforcer Comandos de nível superior 251 Shutdown O comando shutdown desliga o appliance Enforcer. Veja abaixo um exemplo da sintaxe do comando shutdown: shutdown Show O comando show mostra informações sobre a configuração ou o status do appliance Enforcer. Veja abaixo um exemplo da sintaxe do comando show: show { capture configure console date debug hostname status update version } onde: capture configure console status update version date depuração hostname Exibe as configurações de captura do pacote, tais como protocolo, filtros e compactação Mostra a rede do Enforcer e a configuração do Symantec Endpoint Protection Manager Mostra a configuração do console Mostra o status detalhado do serviço do Enforcer Mostra a atualização disponível para instalação a partir de tftp, CD-ROM ou unidade USB Mostra a versão do Enforcer e as informações de copyright Exibe o horário local e a hora UTC (Universal Coordinated Time, Hora universal coordenada) Exibe a configuração de depuração do Enforcer Exibe o nome do host do appliance O seguinte exemplo lista as saídas do comando show status: show status Enforcer Status: ONLINE(ACTIVE) Policy Manager Connected: NO Policy Manager: HTTP 80 Packets Received: 26

252 252 Referência de interface da linha de comando do appliance Enforcer Comandos de nível superior Packets Transmitted: 1 Packets Rx. Failed: 0 Packets Tx. Failed: 0 Enforcer Health: EXCELLENT Enforcer Uptime: 0 days 00:00:28 Policy ID: O seguinte exemplo lista as saídas do comando show version em um appliance DHCP Enforcer: show version Symantec Network Access Control Enforcer 6100 Series - v build XXXX, ,19:09 DHCP Enforcer mode Start O comando start inicia o serviço do Enforcer. Veja abaixo um exemplo da sintaxe do comando start: Enforcer# start Stop O comando stop interrompe o serviço do Enforcer. Veja abaixo um exemplo da sintaxe do comando stop: Enforcer# Stop Traceroute O comando traceroute controla a rota que os pacotes usam para chegar ao host remoto. O host remoto foi especificado com um endereço IP ou um nome de host. Veja abaixo um exemplo da sintaxe do comando traceroute: traceroute [ endereço_ip nome_do_host ] Exemplo traceroute traceroute to ( ), 30 hops max, 38-byte packets ( ) ms ms ms

253 Referência de interface da linha de comando do appliance Enforcer Comandos capture ( ) ms ms ms 3 oldserver1.sygate.dev ( ) ms ms ms Update O comando update atualiza o pacote de software do Enforcer a partir de um servidor tftp, disco rígido USB ou CD-ROM. Veja abaixo um exemplo da sintaxe do comando update: Enforcer:# update Comandos capture Capture Compress Os comandos no grupo de comandos capture do appliance Enforcer permitem capturar pacotes nas NICs do appliance Enforcer. Os pacotes são salvos em um arquivo. Os comandos adicionais permitem enviar o arquivo em formato simples ou compactado a um cliente através de diversos protocolos de transferência de arquivos (tftp). O appliance Enforcer deve estar conectado ao cliente por meio do cabo serial que é fornecido. Todos os comandos nesse grupo são relacionados e descritos, exceto os comandos capture exit e capture help. O comando capture exit efetua a saída do grupo de comandos, e o capture help exibe informações de ajuda sobre todos os comandos no grupo. O comando capture compress compacta o arquivo O comando capture compress usa a seguinte sintaxe: compress {on off} onde: on off Ativa compactações. Desativa compactações. O seguinte exemplo descreve a sintaxe para o filtro do comando compress on no console de um appliance Enforcer: Enforcer# capture

254 254 Referência de interface da linha de comando do appliance Enforcer Comandos capture Enforcer(capture)# compress on Capture Filter O comando capture filter define um filtro que especifica os pacotes que devem ser capturados. O comando capture filter usa a seguinte sintaxe: filter [auth] [spm] [failover] [all] [client intervalo_ip] onde: Enforcer: auth Captura os pacotes de autenticação enviados entre o cliente, o appliance Enforcer e o Symantec Endpoint Protection Manager O argumento padrão é auth. spm failover all client intervalo_ip Captura os pacotes de comunicação entre o Symantec Endpoint Protection Manager e o Enforcer. Captura um perfil do Enforcer fazendo o download do Symantec Endpoint Protection Manager e registra os pacotes de upload Captura pacotes de failover do Enforcer (enviados periodicamente para pesquisar outro Enforcer na rede). O failover não é acessível com a placa de failopen instalada. Captura todos os pacotes especificados Essa opção está disponível somente com o Gateway e o DHCP Enforcer. Define o intervalo IP do cliente para capturar pacotes de autenticação somente em Gateway e LAN Enforcers. O intervalo-ip pode ser uma combinação de endereço IP, intervalo IP e sub-rede/máscara. Uma vírgula sem espaços separa os argumentos. É possível formatar da seguinte maneira: O endereço IP é formatado como nnn.nnn.nnn.nnn O intervalo IP é formatado como nnn.nnn.nnn.nnn-nnn.nnn.nnn.nnn A sub-rede/máscara é formatada como nnn.nnn.nnn.nnn/nnn.nnn.nnn.nnn O exemplo a seguir descreve a sintaxe do comando capture filter: Enforcer# capture filter auth client

255 Referência de interface da linha de comando do appliance Enforcer Comandos capture , , / Esse comando filtra todos os pacotes de autenticação de clientes com o endereço IP Ele filtra os clientes cujo endereço IP está no intervalo a e clientes na sub-rede com uma máscara de rede de Capture Show O comando capture show exibe a configuração de captura e relaciona os arquivos capturados. O comando capture show usa a seguinte sintaxe: show {compress files filter verbose ymodem} onde: compress files filter verbose ymodem Mostra se a compactação de arquivos está ativada ou desativada Mostra todos os arquivos capturados na pasta de captura do appliance Enforcer Mostra a atual configuração de filtragem Mostra a atual configuração detalhada Mostra as configurações de opções do protocolo Ymodem Exemplo: capture show Capture Filter: auth Client IP Range: Capture Verbose is ON. Compress capture files before sending is ON. YMODEM protocol option is YMODEM-g. Capture Start O comando capture start inicia a captura de pacotes. Para interrompê-la, pressione Esc O comando capture start usa a seguinte sintaxe: capture [start]

256 256 Referência de interface da linha de comando do appliance Enforcer Comandos capture Exemplo Enforcer# capture Enforcer(capture)# start Captured packets are saved to /opt/gatewayenforcer/bin/../capture/ Dec cap. Press ESC to stop capture > UDP Heartbeat Ver Start Session to Agent. SEQ: 0f495cd > UDP RADIUS Access Request. ID Query Status > UDP Heartbeat Ver Keep Alive to Enforcer. SEQ: 0f495cd8. HI Disabled. Profile 85E0-10/20/ :30: Host Integrity check is disabled. Host Integrity policy is disabled by administrator > UDP RADIUS Access Accept. ID Profile 85E0-10/20/ :30: packets were captured. Captured packets were saved to /opt/gatewayenforcer/bin/../capture/ Mar cap. Capture upload O comando capture upload usa o protocolo tftp para enviar arquivos. O comando capture upload usa a seguinte sintaxe: capture upload {filename tftp://nnn.nnn.nnn.nnn} Exemplo:

257 Referência de interface da linha de comando do appliance Enforcer Comandos configure 257 Enforcer# capture Enforcer(capture)# upload test.tar.gz tftp:// Capture Verbose O comando capture verbose ativa ou desativa a exibição de detalhes de pacotes durante a execução da captura. O comando capture verbose usa a seguinte sintaxe: verbose {on off} onde: on off Exibe os detalhes de pacotes Não exibe os detalhes do pacote Comandos configure Os comandos no grupo configure da CLI do appliance Enforcer permitem exibir e definir as configurações da interface de rede e da conexão com o Symantec Endpoint Protection Manager. Todos os comandos nesse grupo são relacionados e descritos, exceto os comandos exit e help. O comando exit efetua a saída do grupo de comandos e o help exibe informações de ajuda sobre comandos individuais no grupo. O grupo configure contém o comando chamado advanced, que habilita o acesso a um conjunto de opções avançadas de configuração. Consulte Comandos configure advanced na página 257. Comandos configure advanced Os comandos no grupo advanced da CLI do appliance Enforcer pertencem ao grupo configure. Eles permitem definir as configurações avançadas do Enforcer. Todos os comandos nesse grupo são descritos, exceto os comandos exit e help. O comando exit efetua a saída do grupo de comandos. O comando help exibe informações de ajuda sobre comandos individuais no grupo. Advanced CATOS O comando advanced CATOS ativa e desativa o suporte Cisco CATOS.

258 258 Referência de interface da linha de comando do appliance Enforcer Comandos configure O comando advanced catos usa a seguinte sintaxe (LAN Enforcer): advanced catos {enable disable} Advanced check-uid O comando advanced check-uid ativa ou desativa a verificação de UID para agentes legados. O comando advanced check-uid usa a seguinte sintaxe (Gateway e DHCP Enforcer): advanced check-uid {enable disable} Advanced DNS spoofing O comando advanced DNS spoofing configura o endereço IP de spoofing de DNS e o ativa ou desativa no DHCP Enforcer. A desativação exclui o endereço IP de spoofing de DNS e o desativa no DHCP Enforcer. O comando advanced dnsspoofing usa a seguinte sintaxe (DHCP Enforcer): advanced dnsspoofing {enable [IP] endereço_ip disable} Advanced failover O comando advanced failover ativa ou desativa o failover do appliance Enforcer e configura a porta e o nível de sensibilidade do failover. Não é possível acessar o comando se o Failopen estiver ativado. O comando advanced failover usa a seguinte sintaxe (appliance Gateway ou DHCP Enforcer): advanced failover disable {enable [port <port-number>] [sensitive <sensitive-level>]} onde: disable enable Desativa o failover do appliance Enforcer Ativa o failover do appliance Enforcer A configuração padrão é ativado. port portnumber sensitive sensitivy level Especifica o número de porta de failover do Enforcer de 1 a Especifica o nível de sensibilidade de failover do appliance Enforcer de 0 a 4 para indicar a freqüência de verificação dos outros Enforcers

259 Referência de interface da linha de comando do appliance Enforcer Comandos configure 259 Os appliances Gateway e DHCP Enforcers têm as seguintes definições de configuração padrão: O failover está ativado. A porta UDP usada pelo failover dos Enforcers para comunicação entre si é O nível padrão de sensibilidade do failover é alto (menor que 5 segundos). Essa configuração determina a rapidez com que o appliance Enforcer em espera torna-se primário caso detecte que o appliance Enforcer principal foi desativado. Quanto maior o nível especificado, menor a demora antes do appliance Enforcer em espera assumir o controle. Ao mesmo tempo, maior sobrecarga é introduzida no processamento da rede e da CPU. Estes são os níveis disponíveis: Muito alto (0) Alto (1) Médio (2) Baixo (3) Muito baixo (4) Menos de 2 segundos Menos de 5 segundos Menos de 10 segundos Menos de 15 segundos Menos de 30 segundos Advanced legacy O comando advanced legacy ativa ou desativa o suporte para agentes legados. Por padrão, o suporte a agentes legados está ativado. Os agentes legados referem-se a agentes que executam o software pre-5.x Sygate Security Agent. Para appliances LAN Enforcers, o agente legado representa os Sygate Security Agents que executam a versão 4.1 ou posterior. O agente legado representa os Sygate Security Agents executados em versões 3.5 ou 4.x, e não incluem as versões 2.x, 3.0 e 3.1. Nota: O suporte aos agentes legados aplica-se apenas a appliances DHCP ou Gateway. O comando advanced legacy usa a seguinte sintaxe: advanced legacy {allow block} onde:

260 260 Referência de interface da linha de comando do appliance Enforcer Comandos configure allow Permite os agentes legados A configuração padrão é permitir. block Bloqueia os agentes legados É possível usar os appliances Enforcer em sites que executam versões anteriores (legado) de agentes. Se forem permitidos agentes legados, o appliance Enforcer confirma que o agente legado está em execução e examina os resultados da verificação da integridade do host. Se o agente for aprovado pela verificação da integridade do host, o agente poderá conectar-se à rede. Para agentes legados, o appliance Enforcer não examina o identificador de agentes para verificar se o mesmo é válido. Além disso, ele não verifica o número de série do perfil para confirmar se as políticas estão atualizadas. Advanced legacy-uid O comando advanced legacy-uid especifica a GUID do cliente legado. O comando advanced legacy-uid usa a seguinte sintaxe (Gateway e appliances DHCP Enforcer): advanced legacy-uid uid-string Advanced local-auth O comando advanced local-auth ativa ou desativa a autenticação do Enforcer do cliente. Use este comando para a solução de problemas. Por padrão, a autenticação do cliente está ativada. O comando advanced local-auth usa a seguinte sintaxe: advanced local-auth {disable enable} onde: Enable Verifica o cliente com o Symantec Endpoint Protection Manager e bloqueia o cliente caso não seja possível conectar-se ao Symantec Endpoint Protection Manager. A configuração padrão para a autenticação do cliente é ativada. Disable Desativa a verificação do cliente e executa apenas a validação de integridade do host. Por padrão, o appliance Gateway Enforcer verifica o identificador exclusivo (UID) do cliente com o Symantec Endpoint Protection Manager. Se o Gateway Enforcer

261 Referência de interface da linha de comando do appliance Enforcer Comandos configure 261 não puder se conectar ao Symantec Endpoint Protection Manager para verificar o UID, ele bloqueará o cliente. Apesar de não ser recomendado como uma etapa de solução de problemas, é possível fazer com que o appliance Gateway Enforcer não verifique o UID. Por padrão, o appliance Gateway Enforcer verifica o UID. Ao invés disso, o appliance Gateway Enforcer realiza somente a verificação de integridade do host. Certifique-se de reativar esta configuração se quiser que o appliance Gateway Enforcer verifique o UID. Advanced RADIUS O comando advanced Radius configura, ativa ou desativa o suporte do proxy a estatísticas RADIUS. O comando advanced radius usa a seguinte sintaxe (appliance LAN Enforcer): advanced radius acc_proxy {enable disable} acc_port < > O exemplo seguinte descreve a sintaxe para o comando advanced radius (appliance LAN Enforcer): Enforcer(advanced)# radius proxy {enable disable} Advanced re-initialize O comando advanced re-initialize permite alternar para tipos diferentes de Enforcer reinicializando sua configuração. Esse comando não está disponível se você tiver feito login em uma sessão SSH. O comando advanced re-initialize usa a seguinte sintaxe: advanced re-initialize Advanced Symantec Network Access Control Server Scanner O comando advanced snacs define o endereço IP do verificador Symantec Network Access Control, o número da porta e a chave pré-compartilhada. Você pode usar este comando para reativar o verificador do Symantec Network Access Control se ele foi desativado.

262 262 Referência de interface da linha de comando do appliance Enforcer Comandos configure Nota: O Symantec Network Access Control Scanner não aceita a conexão de uma impressora a um appliance Symantec DHCP Enforcer. As impressoras não aceitam as rotas estáticas que são configuradas para um appliance Symantec DHCP Enforcer. Portanto, o Symantec Network Access Control Scanner não pode comunicar-se com uma impressora conectada a um appliance Symantec DHCP Enforcer. O comando advanced snacs usa a seguinte sintaxe (appliances Gateway Enforcer e DHCP Enforcer): snacs enable disable set [ip <endereço_ip>] [port < >] [key <string>] O seguinte exemplo descreve a sintaxe para o comando advanced snacs (appliances Gateway Enforcer e DHCP Enforcer): Enforcer(advanced)# snacs disable disable snacs set ip set key set ip Endereço IP set key string Advanced Show O comando advanced show mostra as definições de configuração dos comandos advanced do Enforcer. O comando show usa a seguinte sintaxe: show Exemplo: Enforcer# configure advanced show Failover Status: ENABLED Failover Port: Failover Sensitivity Level: 1 Legacy Client: Local Authentication: ALLOW ENABLED Advanced User-class O comando advanced user-class ativa ou desativa o ID de classe de usuário SYGATE_ENF no appliance Enforcer.

263 Referência de interface da linha de comando do appliance Enforcer Comandos configure 263 O comando advanced user-class usa a seguinte sintaxe (DHCP Enforcer): advanced user_class {disable enable} onde: disable Enable Desativa o ID da classe de usuário do appliance Enforcer Desativa o ID da classe de usuário do appliance Enforcer Se desejar usar um servidor DHCP como servidor DCHP normal e em quarentena, conclua os seguintes passos de configuração: Depois de instalar o appliance Enforcer, use o comando advanced user_class para ativar o ID da classe de usuário. Depois de ativar esse ID, o appliance Enforcer inclui o ID da classe de usuário SYGATE_ENF na solicitação DHCP. Assim, o appliance Enforcer envia a solicitação ao servidor DHCP para os clientes que exigem uma configuração de quarentena. Adicione a classe de usuário SYGATE_ENF ao servidor DHCP e configure o servidor DHCP. Conseqüentemente, quando o servidor DHCP receber uma solicitação com o ID da classe de usuário SYGATE_ENF, ele fornecerá o endereço IP de quarentena e a configuração da rede. Advanced trunking O comando advanced trunking configura o recurso de trunking. O comando advanced trunking usa a seguinte sintaxe: advanced trunking enable disable chall-vlist <vlan-list> nat-vid <vlan-id> fail-vid <vlan-id> mgmt-vid <vlan-id> onde: chall-vlist Especifica a lista de VLANs que o Gateway Enforcer deve estimular. Formato: n[-n][,n[-n]]... n:<1-4096> por exemplo, 1,2,3-6,8,10-15 disable enable Desativa o recurso de trunking Ativa o recurso de trunking

264 264 Referência de interface da linha de comando do appliance Enforcer Comandos configure fail-vid mgmt-vid nat-vid Especifica para onde o Gateway Enforcer deve enviar ou receber daqueles pacotes de failover Especifica o ID de VLAN de gerenciamento Especifica o ID de VLAN daqueles pacotes que não estão marcados Configure DNS O comando configure DNS adiciona ou exclui uma entrada do servidor de nomes de domínio (DNS, Domain Name Server). Por exemplo, você precisa adicionar uma entrada de DNS se desejar especificar um nome de host para o Symantec Endpoint Protection Manager. O comando configure DNS usa a seguinte sintaxe: configure {add delete} <endereço_ip> onde: add delete Permite adicionar um endereço IP de um servidor DNS. Permite excluir um endereço IP de um servidor DNS. O seguinte exemplo descreve como adicionar o endereço IP de um servidor DNS no console de um appliance Enforcer: Enforcer#: configure Enforcer(configure)# dns Enforcer(dns)# add Configure Interface O comando configure interface ativa ou desativa uma placa de interface de rede (NIC). Ele também configura o endereço IP de uma NIC ou configura uma NIC como um cliente DHCP. O comando configure interface usa a seguinte sintaxe: configure interface up <nic-name> down <nic-name> failopen set <nic-name> ip <ipaddress> [netmask <netmask>]

265 Referência de interface da linha de comando do appliance Enforcer Comandos configure 265 onde: up nic-name Nome do NIC a ser ativado, como eth0 ou eth1. eth0 ou eth1 diferencia maiúsculas de minúsculas. down nic-name Nome do NIC a ser desativado, como eth0 ou eth1. eth0 ou eth1 diferencia maiúsculas de minúsculas. failopen [enable disable ] set nic-name Ativa ou desativa o modo de desvio para a placa Ethernet fail-open. Se um appliance Gateway Enforcer configurado como um gateway falhar, a configuração ativa o estado de desvio no appliance Gateway. Nome da NIC, como eth0 ou eth1, a ser configurada como um cliente DHCP. O nome diferencia maiúsculas de minúsculas. set IP address endereço IP netmask máscara_de_rede Nome da NIC (eth0 ou eth1, diferencia maiúsculas de minúsculas) para o qual configurar o endereço IP estático e a máscara de sub-rede: IP address endereço IP - endereço IP da NIC netmask máscara_de_rede - máscara de sub-rede da NIC set gateway endereço IP Nome da NIC, como eth0 ou eth1, que você pode configurar como um gateway se desejar implementar um modo de desvio. eth0 ou eth1 diferencia maiúsculas de minúsculas. Exemplo: configure interface set eth0 ip netmask Esse comando define o endereço IP de eth0 a com uma máscara de rede de Substitua o endereço IP e a máscara de rede pelos valores que você deseja usar. Você deve configurar uma segunda NIC (eth1) para appliances Gateway e DHCP Enforcer. Configure Interface-role O comando configure interface-role especifica a NIC que representa a NIC interna. Também é possível especificar a NIC externa (appliances Gateway Enforcer e DHCP Enforcer somente)

266 266 Referência de interface da linha de comando do appliance Enforcer Comandos configure e a NIC que se comunica com o Symantec Endpoint Protection Manager (appliance DHCP Enforcer somente). O comando configure interface-role usa a seguinte sintaxe: interface-role internal <nic-name> external <nic-name> manager <nic-name (DHCP Enforcer somente)> onde: internal nome_da_nic external nome_da_nic Nome, como eth0 ou eth1, da NIC que se conecta à rede interna. O nome diferencia maiúsculas de minúsculas. Nome, como eth0 ou eth1, da NIC que se conecta à rede externa. O nome diferencia maiúsculas de minúsculas. manager nic-name (DHCP Enforcer somente) Nome, como eth0 ou eth1, da NIC que se conecta ao Symantec Endpoint Protection Manager. O nome diferencia maiúsculas de minúsculas. Configure NTP O comando configure ntp string estabelece comunicação entre um appliance Enforcer e um Network Time Server, especificando um endereço IP, um nome de domínio ou um endereço da Web. O comando configure ntp enable ou configure ntp disable inicia e interrompe a sincronização de tempo entre o appliance Enforcer e o Network Time Server com o Network Time Protocol. O comando configure ntp server usa a seguinte sintaxe: ntp enable disable server <nome_do_host> onde: ntp server <nome_do_host> ntp enable ntp disable Você pode estabelecer comunicação entre um appliance Enforcer e um Network Time Server especificando um endereço IP, um nome de domínio ou um endereço da Web. Você pode iniciar a sincronização de tempo entre um appliance Enforcer e um Network Time Server com o Network Time Protocol. Você pode interromper a sincronização de tempo entre um appliance Enforcer e um Network Time Server com o Network Time Protocol.

267 Referência de interface da linha de comando do appliance Enforcer Comandos configure 267 Configure redirect O comando configure redirect especifica um endereço de redirecionamento HTTP quando um cliente não está instalado no endpoint. (Appliance Gateway Enforcer somente. Não é aplicável caso um Symantec Endpoint Protection Manager seja implementado em um ambiente de rede.) O comando configure direct usa a seguinte sintaxe: configure redirect <url-string> Configure Route O comando configure route adiciona ou exclui uma entrada na tabela de rotas. É possível configurar várias entradas. O comando configure route usa a seguinte sintaxe: configure route {add delete} <endereço_ip> netmask <netmask> device <nic-name> [gateway <ipaddress>] [metric <metric-number>] onde: add <endereço_ip> netmask <máscara_de_rede> delete <endereço_ip> netmask <máscara_de_rede> device <nic-name> gateway <endereço_ip> metric <metric-number> Endereço IP e máscara de sub-rede da entrada a ser adicionada na tabela de rotas Endereço IP e máscara de sub-rede da entrada a ser excluída da tabela de rotas Nome da interface da entrada (eth0 ou eth1, diferencia maiúsculas de minúsculas) Endereço IP do gateway para a entrada Unidade métrica da entrada, um número inteiro de 1 a 32 O seguinte exemplo adiciona uma entrada em uma tabela da rota com um endereço IP, uma máscara de sub-rede, um nome de NIC e um endereço IP do gateway: Enforcer# configure Enforcer(configure)# route Enforcer(route)# add netmask device eth0 gateway

268 268 Referência de interface da linha de comando do appliance Enforcer Comandos configure Configure Show O comando configure show exibe a atual configuração de cada comando no grupo configure. Se nenhum argumento estiver especificado, todas as definições serão exibidas. O comando configure show usa a seguinte sintaxe (appliances Gateway ou DHCP Enforcer somente): configure dns interface [<nic-name>] interface-role ntp redirect route spm Configure SPM O comando configure SPM define a conexão entre o appliance Enforcer e o Symantec Endpoint Protection Manager. É necessário digitar todos os valores se algum deles for alterado. Para aqueles que não estiverem especificados, serão usados valores padrão automaticamente. O comando configure spm usa a seguinte sintaxe: configure spm {[ip <ipaddress>] [group <group-name>] [http <port-number>] https <port-number>] [key <key-name>]} [del key <shared-key>] onde: ip <endereço_ip> del key <shared-key> group <group-name> http <port-number> Permite que você adicione o endereço IP do Symantec Endpoint Protection Manager. Exclui o segredo compartilhado. Permite especificar um nome de grupo preferencial para o appliance Enforcer. Portanto, recomenda-se que seja atribuído um nome de grupo exclusivo para diferenciar os appliances Enforcer no console do Symantec Endpoint Protection Manager. Permite especificar o protocolo HTTP e o número da porta para a comunicação com o Symantec Endpoint Protection Manager. O protocolo padrão é HTTP. O número da porta padrão para o protocolo HTTP é 80.

269 Referência de interface da linha de comando do appliance Enforcer Comandos console 269 https <port-number> Permite especificar o protocolo HTTPS e o número da porta para a comunicação com o Symantec Endpoint Protection Manager. Somente use este comando se o Symantec Endpoint Protection Manager estiver definido para usar o protocolo HTTPS. O número da porta padrão para o protocolo HTTPS é 443. key <key-name> Permite especificar a senha criptografada necessária caso o Symantec Endpoint Protection Manager tenha sido instalado com alguma. O seguinte exemplo descreve como configurar um appliance Enforcer para comunicar-se com o Symantec Endpoint Protection Manager no endereço IP em um grupo de Enforcer chamado CorpAppliance. Usa o protocolo HTTP na porta 80 com uma senha criptografada de "security". configure spm ip group CorpAppliance http 80 key security Comandos console Console baud-rate Os comandos no grupo console da CLI do appliance Enforcer permitem configurar as definições do console. Todos os comandos nesse grupo são relacionados e descritos, exceto os comandos exit e help. O comando exit efetua a saída do grupo de comandos. O comando help exibe informações de ajuda sobre comandos individuais no grupo. O comando console baud-rate especifica a taxa de transmissão que o console usa para comunicar-se com um cliente por meio da porta serial. A taxa de transmissão definida no appliance Enforcer deve corresponder à taxa de transmissão configurada para essa conexão de comunicação no cliente. A taxa de transmissão padrão é de O comando console baud-rate usa a seguinte sintaxe: console baud-rate { } Console SSH O comando console SSH inicia ou interrompe o serviço de logon remoto SSH. Esse comando especifica se é necessário iniciar o serviço ssh quando o computador é iniciado. O comando console ssh usa a seguinte sintaxe:

270 270 Referência de interface da linha de comando do appliance Enforcer Comandos debug console ssh {start stop} {off on} Console SSHKEY O comando console sshkey define e exclui a chave pública para o logon remoto ssh sem senha. O comando console sshkey usa a seguinte sintaxe: console sshkey set delete Exemplo: Enforcer(console)# sshkey set Enforcer(console)# sshkey delete Console show O comando console show mostra as definições de configuração do console. O comando console show usa a seguinte sintaxe: show Veja abaixo um exemplo da sintaxe do comando console show: Enforcer# console show Serial Port Number: 1 Baud Rate: 9600 Flow Control: NONE Console Width: 80 Console Height: 24 Comandos debug Os comandos nesse grupo permitem que o usuário configure as definições de depuração do Enforcer e transfira os arquivos de depuração em formato simples ou compactado. Todos os comandos nesse grupo estão relacionados, exceto os comandos exit e help. O comando exit efetua a saída do grupo de comandos. e o help exibe informações de ajuda sobre comandos individuais no grupo.

271 Referência de interface da linha de comando do appliance Enforcer Comandos debug 271 Debug destination O comando debug destination configura onde um appliance Enforcer pode armazenar arquivos de depuração. O comando debug destination usa a seguinte sintaxe: destination {both disk memory} onde: Both Armazena os arquivos de depuração na memória e no disco A configuração padrão é both (ambos) Disk Memory Armazena os arquivos de depuração somente no disco rígido Armazena os arquivos de depuração somente na memória Debug level O comando debug level configura o nível de informações sobre depuração que o Enforcer armazena. O comando debug level usa a seguinte sintaxe: level {disabled fatal error information support engineer} onde: disabled fatal error Não salva informações sobre depuração Ativa a depuração e define o nível para FATAL (salva apenas as mensagens de depuração fatal) Ativa a depuração e define o nível para ERROR (salva as mensagens de depuração fatal e erro) O argumento padrão está definido para erro. information support engineer Ativa a depuração e define o nível para INFORMATION (salva mensagens de depuração fatal, erro e informações) Ativa a depuração e define o nível para SUPPORT (salva mensagens de depuração fatal, erro, informações e suporte) Ativa a depuração e define o nível para ENGINEER (salva todas as mensagens de depuração)

272 272 Referência de interface da linha de comando do appliance Enforcer Comandos MAB Debug show O comando debug show mostra as configurações da depuração. O comando debug show usa a seguinte sintaxe: show [compress destination file files kernel kernel live level user user live ymodem] onde: compress destination file files kernel kernel_live user user_live ymodem Mostra se a compactação está ativada Mostra o destino da depuração Mostra o nome de arquivo de depuração especificado Relaciona todos os arquivos de depuração Mostra o arquivo de depuração do kernel Mostra o arquivo de depuração do kernel com o live update Mostra o arquivo de depuração do usuário Mostra o arquivo de depuração do usuário com o live update Exibe a configuração do protocolo ymodem Debug upload O comando debug upload usa o protocolo tftp para transferir um arquivo de depuração de um appliance Enforcer para um host remoto. O comando debug upload usa a seguinte sintaxe: debug upload tftp <ipaddress> filename <filename> Exemplo: Enforcer# debug upload tftp filename debug_file Comandos MAB Os comandos mab permitem implementar um Media Control Access (MAC) Authentication Bypass (MAB) com um appliance LAN Enforcer nos seguintes alternadores compatíveis com 802.1x:

273 Referência de interface da linha de comando do appliance Enforcer Comandos MAB 273 Cisco Catalyst Switch 3550 Series Extreme Networks Hewlett-Packard ProCurve Switch 2600 Series Foundry Networks Quando um appliance LAN Enforcer recebe uma solicitação do MAB, ele primeiro verifica o endereço no banco de dados local do MAB. Se a entrada estiver no banco de dados local do MAB, o appliance LAN Enforcer autenticará o cliente com base no modelo do alternador compatível com 802.1x. Se uma entrada não puder ficar no banco de dados local do MAB, o appliance LAN Enforcer tentará conectar-se a algum servidor LDAP disponível. Se um servidor LDAP não estiver disponível para autenticar o endereço MAC de um cliente ou se o endereço MAC não estiver disponível no banco de dados do servidor LDAP, o appliance LAN Enforcer tentará conectar-se a algum servidor RADIUS disponível. Quando o appliance LAN Enforcer receber o resultado da autenticação, ele enviará uma mensagem ao servidor Radius para aceitar ou rejeitar o pacote. O appliance LAN Enforcer conclui, então, a sessão de autenticação. Comando MAB disable O comando MAB disable desativa o MAC Authentication Bypass (MAB) em um appliance LAN Enforcer. O comando mab disable usa a seguinte sintaxe (appliance LAN Enforcer somente): mab disable O seguinte exemplo explica como desativar o MAC Authentication Bypass (MAB) em um appliance LAN Enforcer: Enforcer: mab Enforcer(mab)#disable comando MAB enable O comando MAB enable ativa o MAC Authentication Bypass (MAB) em appliances LAN Enforcer. O comando mab enable usa a seguinte sintaxe (appliance LAN Enforcer somente): mab enable O seguinte exemplo explica como ativar o MAC Authentication Bypass (MAB) em um appliance LAN Enforcer:

274 274 Referência de interface da linha de comando do appliance Enforcer Comandos MAB Enforcer: mab Enforcer(mab)#enable Comandos MAB LDAP Os comandos MAB LDAP estabelecem comunicação entre um appliance MAB LDAP e um servidor LDAP. Após estabelecer comunicação entre estes dois dispositivos, você poderá ativar o MAC Authentication Bypass (MAB) para autenticar clientes usando o banco de dados em um servidor LDAP em vez do banco de dados local do MAB em um appliance LAN Enforcer. Comando MAB LDAP disable O comando MAB LDAP disable desativa o MAC Authentication Bypass (MAB) em um servidor LDAP em vez de um appliance LAN Enforcer. O comando mab LDAP disable usa a seguinte sintaxe (appliance LAN Enforcer somente): mab ldap disable O seguinte exemplo explica como desativar o MAC Authentication Bypass (MAB) em um servidor LDAP em vez de um appliance LAN Enforcer: Enforcer:# mab Enforcer(mab):# ldap disable Comando MAB LDAP enable O comando MAB LDAP enable desativa o MAC Authentication Bypass (MAB) em um servidor LDAP em vez de um appliance LAN Enforcer. O comando mab LDAP enable usa a seguinte sintaxe (appliance LAN Enforcer somente): mab ldap enable O seguinte exemplo explica como desativar o MAC Authentication Bypass (MAB) em um servidor LDAP em vez de um appliance LAN Enforcer: Enforcer:# mab Enforcer(mab):# ldap enable

275 Referência de interface da linha de comando do appliance Enforcer Comandos MAB 275 Comando MAB LDAP host O comando mab ldap host especifica o nome do host de um servidor LDAP caso você planeje autenticar clientes usando MAC Authentication Bypass (MAB) em um servidor LDAP em vez de um appliance LAN Enforcer. O comando mab ldap host usa a seguinte sintaxe (appliance LAN Enforcer somente): mab ldap host string onde: string representa o nome do host de um servidor LDAP designado com o qual os appliances LAN Enforcer devem estabelecer uma conexão. O seguinte exemplo explica como especificar o nome do host para um servidor LDAP caso você planeje para autenticar clientes usando MAC Authentication Bypass (MAB) em um servidor LDAP em vez de um appliance LAN Enforcer: Enforcer: mab Enforcer(mab): ldap host Comando MAB LDAP password O comando mab ldap password especifica a senha de um servidor LDAP caso você planeje autenticar clientes usando MAC Authentication Bypass (MAB) em um servidor LDAP em vez de um appliance LAN Enforcer. O comando mab ldap password usa a seguinte sintaxe (appliance LAN Enforcer somente): mab ldap password string onde: string representa a senha que permite ao appliance LAN Enforcer conectar-se a um servidor LDAP designado. O seguinte exemplo explica como especificar a senha para um servidor LDAP caso você planeje para autenticar clientes usando MAC Authentication Bypass (MAB) em um servidor LDAP em vez de um appliance LAN Enforcer: Enforcer: mab Enforcer(mab): ldap password symantec Comando MAB LDAP port O comando mab ldap port especifica o número da porta de um servidor LDAP caso você planeje autenticar clientes usando MAC Authentication Bypass (MAB) em um servidor LDAP em vez de um appliance LAN Enforcer.

276 276 Referência de interface da linha de comando do appliance Enforcer Comandos MAB O comando mab ldap port usa a seguinte sintaxe (appliance LAN Enforcer somente): ldap enable disable host <hostname> password <string> port <number> onde: disable enable host senha port Desativa o recurso de consulta MAB LDAP do Enforcer Ativa o recurso de consulta MAB LDAP Enforcer Configura o host do servidor LDAP Configura o código para acessar o servidor LDAP Configura a porta do servidor LDAP O seguinte exemplo explica como especificar o número de porta para um servidor LDAP caso você planeje para autenticar clientes usando MAC Authentication Bypass (MAB) em um servidor LDAP em vez de um appliance LAN Enforcer: Enforcer: mab Enforcer(mab): ldap port comando MAB show O comando mab show permite exibir as seguintes informações: Se o desvio da autenticação MAC está ativado ou desativado. Se a consulta no banco de dados MAC LDAP no servidor LDAP está ativada ou desativada. Nome do host do servidor LDAP Número de porta do servidor LDAP Senha do servidor LDAP O comando mab show usa a seguinte sintaxe: show [ldap] onde: ldap Mostra a configuração do servidor LDAP

277 Referência de interface da linha de comando do appliance Enforcer Comandos monitor 277 Enforcer(mab)# show MAC Address Bypass: Disable MAC LDAP lookup: Disable LDAP server host: LDAP server port: 1283 LDAP server password: symantec Comandos monitor O comando monitor permite mostrar as seguintes informações sobre um cliente gerenciado ou não gerenciado: Endereço IP Nome de host Nome de usuário (Gateway Enforcer somente) ID da política Endereço MAC (DHCP Enforcer somente) Se você quer executar alguns dos comandos no grupo monitor, é necessário fazer logon como um superusuário. Comando monitor refresh O comando monitor refresh atualiza as informações sobre o cliente (appliances Gateway e DHCP Enforcer somente). Se você quiser executar este comando, será necessário fazer logon como um superusuário. O comando monitor refresh usa a seguinte sintaxe: monitor refresh Comando monitor show O comando monitor show permite exibir tipos diferentes de informações. O padrão é mostrar todas as informações do monitor disponíveis. Comando monitor show blocked-hosts O comando monitor show blocked-hosts exibe o endereço IP, o nome de host, o nome do usuário,o perfil do cliente, po erfil necessário, o status bloqueado e o

278 278 Referência de interface da linha de comando do appliance Enforcer Comandos monitor status da integridade do host do cliente bloqueado (appliance Gateway Enforcer somente). Um cliente bloqueado inclui as informações sobre usuários gerenciados e clientes conectados. Esse comando mostra o endereço IP, o nome de host, o nome do usuário, o endereço MAC, o perfil do cliente, o perfil necessário, o status bloqueado e o status da integridade do host do cliente bloqueado (appliance DHPC Enforcer somente). Se você quiser executar este comando, será necessário fazer logon como um superusuário. O comando monitor show blocked-hosts usa a seguinte sintaxe (appliance Gateway Enforcer e DHCP Enforcer): monitor [show blocked-hosts {all ip <endereço_ip>}] onde: all ip <endereço_ip> Mostra todos os endereços IP, os nomes de host, os nomes de usuários, os perfis dos clientes, os perfis necessários, o status bloqueado e os status da integridade do host dos clientes bloqueados nos Gateway e DHCP Enforcers. Além disso, todos os endereços MAC dos clientes bloqueados são exibidos em um DHCP Enforcer. Mostra o endereço IP, o nome de host, o nome do usuário, o perfil do cliente, o perfil necessário, o status bloqueado e o status da integridade do host do cliente bloqueado nos Gateway e DHCP Enforcers. Além disso, o endereço MAC de um cliente bloqueado é exibido em um DHCP Enforcer. O seguinte exemplo fornece as informações sobre o status de um cliente bloqueado em um Gateway Enforcer: monitor show blocked-hosts ip Authentication blocked host statistics IP address: Hostname: Username: SNA-7D7911D97BA guest Client Profile: Valid-DB1B 12/29/ :35:00 Required Profile: Valid-DB1B 12/29/ :35:00 Blocked: HI status: Host Integrity or Policy check failed Host Integrity check failed. O seguinte exemplo fornece as informações sobre o status de um cliente bloqueado em um DHCP Enforcer:

279 Referência de interface da linha de comando do appliance Enforcer Comandos monitor 279 monitor show blocked-hosts ip Authentication blocked host statistics IP address: Hostname: SNA-7D7911D97BA Username: guest MAC address: f-10-a5-99 Client Profile: Valid-DB1B 12/29/ :35:00 Required Profile: Valid-DB1B 12/29/ :35:00 Blocked: Host Integrity or Policy check failed HI status: Host Integrity check failed. Comandos monitor show connected-guests O comando monitor show connected-guests exibe o endereço IP, o nome de host, o nome de usuário e o ID da política de um convidado conectado ou de um cliente On-Demand (Gateway Enforcer somente). Além disso, esse comando mostra o endereço MAC de um cliente que não está em conformidade para o DHCP Enforcer. Um convidado conectado ou um cliente On-Demand aceitam o software-cliente do Symantec Network Access Control nas plataformas Windows e Macintosh. O convidado conectado ou um cliente On-Demand devem ter sido autenticados ou configurados como um cliente confiável no Symantec Endpoint Protection Manager. Caso contrário, o comando monitor show connected-guests não mostrará nenhuma informação sobre os clientes On-Demand. Se você quiser executar este comando, será necessário fazer logon como um superusuário. O comando monitor show connected-guests usa a seguinte sintaxe (appliances Gateway e DHCP Enforcer): monitor [show connected-guests { all ip <endereço_ip>}] onde: all Mostra todos os endereços IP, os nomes de host, os nomes de usuários, os perfis dos clientes, os perfis necessários, o status conectado e o status da integridade do host dos clientes bloqueados nos Gateway e DHCP Enforcers. Além disso, todos os endereços MAC dos clientes bloqueados são exibidos em um DHCP Enforcer.

280 280 Referência de interface da linha de comando do appliance Enforcer Comandos monitor ip <endereço_ip> Mostra o endereço IP, o nome de host, o nome do usuário, o perfil do cliente, o perfil necessário, o status conectado e o status da integridade do host do cliente bloqueado nos Gateway e DHCP Enforcers. Além disso, o endereço MAC de um cliente bloqueado é exibido em um DHCP Enforcer. O seguinte exemplo fornece as informações sobre o status de um cliente bloqueado em um Gateway Enforcer: monitor show connected-guests ip Authentication connected guests statistics IP address: Hostname: Username: SNA-7D7911D97BA guest Client Profile: Valid-DB1B 12/29/ :35:00 Required Profile: Valid-DB1B 12/29/ :35:00 Connected: HI status: Authenticated Host Integrity check passed. O seguinte exemplo fornece as informações sobre o status de um cliente bloqueado em um DHCP Enforcer: monitor show connected-guests ip Authentication connected guests statistics IP address: Hostname: SNA-7D7911D97BA Username: guest MAC address: f-10-a5-99 Client Profile: Valid-DB1B 12/29/ :35:00 Required Profile: Valid-DB1B 12/29/ :35:00 Connected: Authenticated HI status: Host Integrity check passed. Comando monitor show connected-users O comando monitor show connected-users exibe o endereço IP, o nome de host, o nome de usuário e o ID da política de um usuário conectado ou de um cliente gerenciado (appliance Gateway Enforcer somente). Além disso, esse comando mostra o endereço MAC de um usuário conectado ou de um cliente gerenciado para o DHCP Enforcer.

281 Referência de interface da linha de comando do appliance Enforcer Comandos SNMP 281 Um usuário conectado ou um cliente gerenciado aceitam o software-cliente do Symantec Endpoint Protection e o software-cliente do Symantec Network Access Control. O usuário conectado ou o cliente gerenciado deve ter sido autenticado ou o comando monitor show connected-users não mostrará nenhuma informação sobre o cliente. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário antes que possa executar este comando. O comando monitor show connected-users usa a seguinte sintaxe (appliances Gateway Enforcer e DHCP Enforcer): monitor [show connected-user {all ip <endereço_ip>}] onde: all ip <endereço_ip> Mostra todos os endereços IP, os nomes de host e os IDs da política dos clientes conectados (appliances Gateway Enforcer e DHCP Enforcer). Todos os endereços MAC dos clientes que não estiverem em conformidade são mostrados também (appliance DHCP Enforcer somente). Mostra o endereço IP, o nome de host e o ID da política do cliente conectado (appliances Gateway Enforcer e DHCP Enforcer). O endereço MAC de um cliente que não estiver em conformidade é mostrado também (appliance DHCP Enforcer somente). Comandos SNMP Comando SNMP disable Os seguintes comandos SNMP permitem que você trabalhe com o Simple Network Management Protocol. Permite que você desative o recurso Simple Network Management Protocol. O comando SNMP disable usa a seguinte sintaxe: snmp disable O seguinte exemplo mostra como desativar o SNMP: Enforcer(snmp)#disable Comando SNMP enable Permite que você ative o recurso Simple Network Management Protocol.

282 282 Referência de interface da linha de comando do appliance Enforcer Comandos SNMP O comando SNMP enable usa a seguinte sintaxe: snmp enable O seguinte exemplo mostra como ativar o SNMP: Enforcer(snmp)#enable Comando SNMP heartbeat Permite que você defina a pulsação para o recurso do Simple Network Management Protocol. O comando SNMP heartbeat usa a seguinte sintaxe: heartbeat <seconds> onde: Os segundos representam o tempo, variando de 30 a O número padrão de segundos é 30. O seguinte exemplo mostra como definir a pulsação de SNMP para 100 segundos: Enforcer(snmp)#heartbeat 100 Comando SNMP receiver Permite que você adicione ou exclua um receptor SNMP. O comando SNMP receiver usa a seguinte sintaxe: receiver {add <hostname>[:<port>] delete <hostname>[:<port>] onde: add delete Adiciona um receptor SNMP no formato <host[:port]> Exclui um receptor SNMP no formato <host[:port]> O seguinte exemplo mostra como adicionar ou excluir um receptor SMTP: Enforcer(snmp)# receiver add abc Enforcer(snmp)# receiver delete abc

283 Referência de interface da linha de comando do appliance Enforcer Comandos SNMP 283 Comando SNMP show Mostra a configuração e o status do SNMP. O comando SNMP show usa a seguinte sintaxe: show configure status Os exemplos a seguir demonstram como usar o comando show: Enforcer(snmp)#show configure SNMP Trap : ENABLED Heartbeat : 30 second(s) Timeout : 1 second(s) Retry : 0 time(s) Trap Receiver : abc:162 Enforcer(snmp)#show status CPU usage 3% Memory usage 97% lo rec/trans: / byte eth0 rec/trans: / byte eth1 rec/trans: / byte Connected to Symantec Endpoint Protection Manager Comando SNMP trap Permite que você defina as tentativas do SNMP e o valor de tempo limite. O comando SNMP trap usa a seguinte sintaxe: trap retry <times> timeout <seconds> onde: retry timeout Número de vezes para novas tentativas Configuração do tempo limite em segundos O seguinte exemplo mostra como definir as tentativas do SNMP e o valor de tempo limite: Enforcer(snmp)# trap retry 3 Enforcer(snmp)# trap timeout 3

284 284 Referência de interface da linha de comando do appliance Enforcer Comandos on-demand Comandos on-demand Os comandos on-demand na CLI do appliance Enforcer permitem configurar o download automático do cliente On-Demand do Symantec Network Access Control nas plataformas Windows e Macintosh. Você pode somente executar os comandos on-demand em um appliance Gateway Enforcer e DHCP Enforcer. Todos os comandos nesse grupo são descritos, exceto os comandos exit e help. O comando exit efetua a saída do grupo de comandos. O comando help exibe informações de ajuda sobre comandos individuais no grupo. Comandos on-demand authentication A maioria das empresas pode configurar a autenticação para clientes On-Demand do Symantec Network Access Control. Se você quer autenticar clientes On-Demand do Symantec Network Access Control nas plataformas Windows e Macintosh, é possível usar alguns dos seguintes tipos de bancos de dados: Banco de dados local que reside em um appliance Gateway ou DHCP Enforcer. Se você não tem suporte para um servidor Active Directory no ambiente de rede, pode usar o banco de dados local incorporado para adicionar nomes de usuário e senhas para usuários individuais. Servidor Active Directory Você deve conectar um Microsoft Windows Server 2003 Active Directory. A Tabela 11-3 fornece informações sobre o comando on-demand authentication. Tabela 11-3 Comando ad Argumentos on-demand authentication Descrição Ativa a autenticação com o uso de um servidor Active Directory, em vez do banco de dados local integrado no appliance Gateway e DHCP Enforcer. Consulte Comandos on-demand authentication ad na página 285. enable Ativa a autenticação dos clientes On-Demand do Symantec Network Access Control nos appliances Gateway e DHCP Enforcer. Se você ativar a autenticação no Enforcer, um usuário final deverá passar na autenticação (insira nome de usuário e senha corretos) antes de fazer download dos clientes do Symantec Network Access Control On-Demand. Consulte Comando on-demand authentication enable na página 287.

285 Referência de interface da linha de comando do appliance Enforcer Comandos on-demand 285 Comando disable Descrição Desativa a autenticação dos clientes On-Demand do Symantec Network Access Control no Gateway e DHCP Enforcer. Os usuários finais podem acionar o download automático dos clientes do Symantec Network Access Control On-Demand em um computador-cliente sem autenticação. Consulte Comando on-demand authentication disable na página 286. local-db Ativa a autenticação com o uso de um banco de dados local integrado, em vez de um servidor Active Directory no appliance Gateway e DHCP Enforcer. Consulte Comandos on-demand authentication local-db na página 287. show upload Lista as informações de status sobre as opções e argumentos diferentes do comando de autenticação. Faça upload dos arquivos relacionados à autenticação para um servidor. Comandos on-demand authentication ad Se uma rede corporativa tiver suporte para o Microsoft Windows Server 2003 Active Directory, você poderá autenticar usuários com um servidor Active Directory. Caso contrário, você deverá configurar o banco de dados integrado para autenticar usuários. Comando on-demand authentication ad disable O comando on-demand authentication ad disable usa a seguinte sintaxe para desativar a autenticação dos clientes no Microsoft Windows Server 2003 Active Directory: Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. on-demand authentication ad disable O seguinte exemplo descreve como desativar a autenticação para um cliente On-Demand no Microsoft Windows Server 2003 Active Directory: on-demand authentication ad disable Comando on-demand authentication ad domain O comando on-demand authentication ad domain usa a seguinte sintaxe para especificar o ID do domínio ou o endereço do ID do domínio do Microsoft Windows Server 2003 Active Directory:

286 286 Referência de interface da linha de comando do appliance Enforcer Comandos on-demand on-demand authentication ad domain <Nome do servidor do Active Directory Domain> <Endereço IP do servidor do Active Directory Domain> onde: Nome do servidor do Active Directory Domain Representa o nome de domínio do Microsoft Windows Server 2003 Active Directory. Endereço IP do servidor do Active Directory Domain Representa o endereço IP do domínio de um Microsoft Windows Server 2003 Active Directory. O seguinte exemplo descreve como especificar o ID de domínio do Microsoft Windows Server 2003 Active Directory: Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer (authentication)# ad domain symantec.com onde: symantec.com representa o nome de domínio do Microsoft Windows Server 2003 Active Directory Server. Comando on-demand authentication ad enable O comando on-demand authentication ad enable usa a seguinte sintaxe para ativar a autenticação de usuários finais no Microsoft Windows Server 2003 Active Directory: on-demand authentication ad enable O seguinte exemplo descreve como ativar a autenticação para um cliente On-Demand no Microsoft Windows Server 2003 Active Directory: Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer (authentication)# ad enable Comando on-demand authentication disable É possível interromper o processo de autenticação auth-daemon em um console do appliance Gateway ou DHCP para um cliente do Symantec Network Access Control On-Demand. O comando on-demand authentication disable usa a seguinte sintaxe:

287 Referência de interface da linha de comando do appliance Enforcer Comandos on-demand 287 on-demand authentication disable Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. O seguinte exemplo descreve como desativar a autenticação para um cliente do Symantec Network Access Control On-Demand no console do appliance Gateway ou DHCP Enforcer: Enforcer# on-demand Enforcer (on-demand)# authentication disable Comando on-demand authentication enable É possível iniciar o processo de autenticação auth-daemon em um console do appliance Gateway ou DHCP para um cliente do Symantec Network Access Control On-Demand. O comando on-demand authentication enable usa a seguinte sintaxe: on-demand authentication enable Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. O seguinte exemplo descreve como ativar a autenticação para um cliente do Symantec Network Access Control On-Demand no console do appliance Gateway ou DHCP Enforcer: Enforcer# on-demand Enforcer (on-demand)# authentication enable Comandos on-demand authentication local-db Se uma rede corporativa não tiver suporte para o Microsoft Windows Server 2003 Active Directory, será necessário autenticar usuários com o banco de dados integrado que você pode configurar em um appliance Gateway Enforcer ou em um appliance DHCP Enforcer. Comando on-demand authentication local-db add Se você deve autenticar usuários com o banco de dados integrado, será necessário adicionar contas de usuários para cada cliente em um appliance Gateway Enforcer ou DHCP Enforcer.

288 288 Referência de interface da linha de comando do appliance Enforcer Comandos on-demand Consulte Configuração da autenticação com um banco de dados local integrado na página 213. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para executar este comando. Consulte Logon em um appliance Enforcer na página 88. O comando on-demand local-db authentication add usa a seguinte sintaxe para adicionar uma conta de usuário ao banco de dados integrado que você configura em um appliance Gateway Enforcer ou DHCP Enforcer: on-demand authentication local-db add user nome_de_usuário onde: nome_de_usuário representa uma conta de usuário que você pode adicionar ao banco de dados integrado. O comando on-demand authentication local-db add user usa a seguinte sintaxe: Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer (authentication)# local-db add user jim Comando on-demand authentication local-db disable O comando on-demand local-db authentication disable usa a seguinte sintaxe para desativar o banco de dados integrado que você configura em um appliance Gateway Enforcer ou DHCP Enforcer: on-demand authentication local-db disable O comando on-demand authentication local-db enable usa a seguinte sintaxe: Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer (authentication)# local-db disable Comando on-demand authentication local-db enable O comando on-demand local-db authentication enable usa a seguinte sintaxe para ativar o banco de dados integrado que você pode configurar em um appliance Gateway Enforcer ou DHCP Enforcer: on-demand authentication local-db enable O comando on-demand authentication local-db enable usa a seguinte sintaxe:

289 Referência de interface da linha de comando do appliance Enforcer Comandos on-demand 289 Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer (authentication)# local-db enable Comandos on-demand authentication local-db username Os comandos on-demand local-db authentication username permitem adicionar, excluir e editar nomes de usuários. local-db add username <string> password <string> local-db delete username <string> local-db edit username <string> password <string> local-db enable disable clear onde: add clear delete disable edit enable Cria uma nova conta de usuário no banco de dados local Limpa todas as contas de usuário do banco de dados local Remove um usuário existente do banco de dados local Desativa a autenticação do banco de dados local Modifica uma conta de usuário existente Ativa a autenticação do banco de dados local O seguinte exemplo descreve como configurar o banco de dados local para um cliente do Symantec Network Access Control On-Demand no console do appliance Gateway ou DHCP Enforcer: Enforcer# on-demand Enforcer (on-demand)# authentication Enforcer (authentication)# local-db disable A autenticação do banco de dados local é desativada. Enforcer (authentication)# local-db enable A autenticação do banco de dados local é ativada. Enforcer(authentication)# local add username test password test Enforcer(authentication)# local-db delete username test

290 290 Referência de interface da linha de comando do appliance Enforcer Comandos on-demand Sua ação excluirá a conta do usuário "test" permanentemente. Confirme. [S/N]s Enforcer(authentication)# local-db edit username test password b Enforcer(authentication)# local-db clear Observe que sua ação removerá TODAS as contas de usuários permanentemente! Confirme. [S/N]s Comando on-demand banner Você pode editar o banner padrão na página Bem-vindo de clientes On-Demand do Symantec Network Access Control. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para que possa executar este comando. Consulte Logon em um appliance Enforcer na página 88. O comando on-demand banner usa a seguinte sintaxe: Enforcer(on-demand)# banner Digite o texto do novo banner que não exceda caracteres e pressione CTRL-D para finalizar: No prompt de comando do appliance Enforcer, substitua o texto padrão do banner com a frase de sua escolha. O texto do banner não pode exceder caracteres. Comando on-demand client-group O comando on-demand client-group permite configurar nome de um grupo do appliance Enforcer no console do appliance Gateway ou DHCP Enforcer. Você não precisa configurar o nome do Enforcer no console se ele já tiver sido configurado no console do Symantec Endpoint Protection Manager. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para executar este comando. O comando on-demand client-group usa a seguinte sintaxe: Enforcer# on-demand Enforcer(on-demand)#client-group <nome_do_grupo>enable disable O seguinte exemplo descreve como adicionar o nome de um grupo do appliance Enforcer no console do appliance Gateway ou DHCP Enforcer:

291 Referência de interface da linha de comando do appliance Enforcer Comandos on-demand 291 Enforcer# on-demand Enforcer(on-demand)# client-group My Company/On-Demand onde: o nome do grupo representa o nome de grupo do Enforcer no Symantec Endpoint Protection Manager para um grupo específico de computadores-cliente On-Demand. Comandos on-demand dot1x Você deve configurar o comando dot1x no console do appliance Gateway ou DHCP Enforcer se o usuário final usa a autenticação dot1x no ambiente LAN Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para executar este comando. Consulte Logon em um appliance Enforcer na página 88. Comandos on-demand dot1x certificate O comando on-demand dot1x certificate fornece acesso a vários comandos que permitem: Importar e configurar um certificado de servidor raiz para autenticar um cliente On-Demand com alternador compatível com 802.1x. Remover um certificado de servidor raiz. Exibir critérios de configuração do certificado de servidor raiz. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para executar este comando. Consulte Logon em um appliance Enforcer na página 88. O comando on-demand dot1x certificate usa a seguinte sintaxe: on-demand dot1x certificate {import remove show} onde: import remove show Importa um certificado de servidor raiz de um local designado. Remove um certificado de servidor raiz de um protocolo Transport Layer Security (TLS) 802.1x. Exibe os parâmetros da configuração de um certificado de servidor raiz para um protocolo Transport Layer Security (TLS) 802.1x.

292 292 Referência de interface da linha de comando do appliance Enforcer Comandos on-demand O seguinte exemplo descreve como acessar o comando on-demand dot1x certificate: Enforcer# on-demand Enforcer(on-demand)# dot1x Enforcer(dot1x)# certificate Enforcer(certificate)# On-demand dot1x certificate import O comando on-demand dot1x certificate importa e configura um certificado de servidor raiz para autenticar um cliente On-Demand com um alternador compatível com 802.1x. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para executar este comando. Consulte Logon em um appliance Enforcer na página 88. O comando on-demand dot1x certificate import usa a seguinte sintaxe: import tftp <ipaddress> username <string> password <string> root-cert <string> user-cert <string> onde: import tftp <endereço_ip> password <string> username <string> user-cert <string> root-cert <string> Representa o endereço IP do computador do qual o appliance Enforcer importa o certificado. Representa a senha que você deve configurar para se conectar ao servidor de TFTP. Representa o nome de logon do usuário que você deve usar para fazer logon no computador-cliente On-Demand. Representa o nome do certificado do usuário a ser importado. Representa o nome do certificado do servidor a ser importado. O seguinte exemplo descreve como importar e configurar um certificado de servidor raiz para autenticar um cliente On-Demand com um alternador compatível com 802.1x: Enforcer# on-demand Enforcer(on-demand)# dot1x Enforcer(dot1x)# certificate

293 Referência de interface da linha de comando do appliance Enforcer Comandos on-demand 293 Enforcer(certificate)# import tftp: password symantec username janedoe user-cert name.pfx root-cert name.cer onde: password symantec username janedoe user-cert name.pfx root-cert name.cer Representa o computador do qual o appliance Enforcer importa o certificado. Representa a senha que você deve configurar para se conectar ao servidor de TFTP. Representa o nome de logon do usuário que você deve usar para fazer logon no computador-cliente On-Demand. Representa o nome do certificado do usuário a ser importado. Representa o nome do certificado do servidor a ser importado. Comando on-demand dot1x certificate remove Você pode usar o comando on-demand dot1x certificate remove para excluir o nome de um certificado dot1x. O comando on-demand dot1x certificate remove usa a seguinte sintaxe: on-demand dot1x certificate remove <string> onde: string representa o nome do certificado dot1x que você quer remover. O seguinte exemplo descreve como remover um certificado dot1x com o nome de arquivo packagelist. Enforcer# on-demand Enforcer(on-demand)# dot1x Enforcer(dot1x)# certificate Enforcer(certificate)# remove packagelist Are you sure that you want to remove " packagelist "? [Y/N] Y (Você tem certeza de que deseja remover packagelist? [S/N] S) Comando on-demand dot1x show certificate Você pode usar o comando on-demand dot1x show certificate para exibir as informações sobre o certificado dot1x. O comando on-demand dot1x show certificate usa a seguinte sintaxe: on-demand dot1x certificate show

294 294 Referência de interface da linha de comando do appliance Enforcer Comandos on-demand O seguinte exemplo descreve como remover um dot1x show certificate. Enforcer# on-demand Enforcer(on-demand)# dot1x Enforcer(dot1x)# certificate Enforcer(certificate)# show Certificates: packagelist Comando on-demand dot1x peap O comando on-demand dot1x peap permite configurar um protocolo de autenticação extensível protegida (PEAP, Protected Extensible Authentication Protocol) 802.1x para autenticar um cliente On-Demand na rede protegida. Você deve fazer logon no console do Gateway ou DHCP Enforcer como um superusuário para configurar este comando. O comando on-demand dot1x peap usa a seguinte sintaxe: on-demand dot1x peap { cert-svr fast-reconn validate-svr show } O seguinte exemplo descreve como configurar um protocolo de autenticação extensível protegida (PEAP, Protected Extensible Authentication Protocol) 802.1x no console de um appliance Gateway ou DHCP Enforcer: Enforcer# on-demand Enforcer(on-demand)# dot1x peap onde: peap especifica uma configuração de protocolo de autenticação extensível protegida (PEAP, Protected Extensible Authentication Protocol) como seu protocolo de autenticação dot1x do cliente On-Demand. Comando on-demand dot1x peap validate-svr O comando on-demand dot1x peap validate-svr permite ativar ou desativar a validação de um certificado de servidor raiz para uma configuração do protocolo de autenticação extensível protegida (PEAP, Protected Extensible Authentication Protocol) 802.1x. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para executar este comando. O comando on-demand dot1x peap peap validate-svr usa a seguinte sintaxe: on-demand dot1x peap validate-svr [enable disable]

295 Referência de interface da linha de comando do appliance Enforcer Comandos on-demand 295 O seguinte exemplo descreve como ativar a validação de um certificado de servidor raiz para o protocolo de autenticação extensível protegida (PEAP, Protected Extensible Authentication Protocol) 802.1x no console de um appliance Gateway ou DHCP Enforcer: Enforcer# on-demand Enforcer(on-demand)# dot1x Enforcer(dot1x)# peap validate-svr enable onde: valide-svr enable define a validação de um certificado de servidor raiz para a configuração do protocolo de autenticação extensível protegida (PEAP, Protected Extensible Authentication Protocol) 802.1x. Comando on-demand dot1x peap cert-svr O comando on-demand dot1x peap cert-svr permite importar e configurar um certificado de servidor raiz para um protocolo de autenticação extensível protegida (PEAP, Protected Extensible Authentication Protocol) 802.1x para a autenticação do cliente On-Demand. Você deve fazer logon no console do Gateway ou DHCP Enforcer como um superusuário para executar este comando. O comando on-demand dot1x peap cert-svr usa a seguinte sintaxe: Enforcer# on-demand Enforcer(on-demand)# dot1x peap cert-svr O seguinte exemplo descreve como importar e configurar um certificado para o protocolo de autenticação extensível protegida (PEAP, Protected Extensible Authentication Protocol) 802.1x no console de um appliance Gateway ou DHCP Enforcer: Enforcer# on-demand Enforcer(on-demand)# dot1x peap cert-svr Enforcer(peap)# cert-svr host snac Enforcer(peap)# cert-svr disable Enforcer(peap)# cert-svr enable onde: disable enable Desativa o servidor de certificado PEAP Ativa o servidor de certificado PEAP

296 296 Referência de interface da linha de comando do appliance Enforcer Comandos on-demand host Define o nome do host do servidor de certificado PEAP Comando on-demand dot1x peap fast-reconn O comando on-demand dot1x peap fast-reconn permite que você ative ou desative a reconexão rápida de uma configuração do protocolo de autenticação extensível protegida (PEAP, Protected Extensible Authentication Protocol) 802.1x para clientes On-Demand. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para executar este comando. O comando on-demand dot1x peap fastreconn usa a seguinte sintaxe: Enforcer# on-demand Enforcer(on-demand)# dot1x peap fastreconn {enable disable} O seguinte exemplo descreve como validar um certificado de servidor raiz para um protocolo de autenticação extensível protegida (PEAP, Protected Extensible Authentication Protocol) 802.1x no console de um appliance Gateway ou DHCP Enforcer: Enforcer# on-demand Enforcer(on-demand)# dot1x peap fastreconn enable onde: valide-svr enable define a validação de um certificado de servidor raiz para a configuração do protocolo de autenticação extensível protegida (PEAP, Protected Extensible Authentication Protocol) 802.1x. Comando on-demand dot1x peap show O comando on-demand dot1x peap show permite que você exiba as configurações para uma autenticação 802.1x do protocolo de autenticação extensível protegida (PEAP, Protected Extensible Authentication Protocol) para um cliente On-Demand. Use este comando confirmar que o protocolo ativo é PEAP. Você deve fazer logon no console do Gateway ou DHCP Enforcer como um superusuário para executar este comando. O comando on-demand dot1x peap show usa a seguinte sintaxe: show O seguinte exemplo descreve como exibir as configurações de autenticação 802.1x do protocolo de autenticação extensível protegida (PEAP, Protected Extensible Authentication Protocol) no console de um appliance Gateway ou DHCP Enforcer:

297 Referência de interface da linha de comando do appliance Enforcer Comandos on-demand 297 Enforcer(peap)# show PEAP Validate Server Certificate: PEAP Certificate Server: PEAP Certificate Server: PEAP Fast Reconnected: DISABLED DISABLED snac ENABLED Comando on-demand dot1x tls O comando on-demand dot1x tls permite que você configure o protocolo Transport Layer Security (TLS) 802.1x para sessões do cliente On-Demand. Você deve fazer logon no console do Gateway ou DHCP Enforcer como um superusuário para configurar este comando. O comando on-demand dot1x tls usa a seguinte sintaxe: on-demand dot1x tls {cert-svr validate-svr show} O seguinte exemplo descreve a sintaxe do comando on-demand dot1x tls no console do appliance Gateway ou DHCP Enforcer: Enforcer# on-demand Enforcer(on-demand)# dot1x tls onde: tls especifica uma configuração Transport Layer Security (TLS) para a configuração do protocolo de autenticação dot1x do cliente On-Demand. Comando on-demand dot1x tls validate-svr O comando on-demand dot1x tls validate-svr ativa ou desativa a validação de um certificado de servidor raiz para uma configuração do protocolo Transport Layer Security (TLS) 802.1x. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para executar este comando. O comando on-demand configure dot1x tls validate-svr usa a seguinte sintaxe: Enforcer# on-demand Enforcer(on-demand)# dot1x Enforcer(dot1x)# tls validate-svr [enable disable] O seguinte exemplo descreve a sintaxe do comando on-demand dot1x tls validate-svr no console do appliance Gateway ou DHCP Enforcer: Enforcer# on-demand Enforcer(on-demand)# dot1x tls validate-svr enable

298 298 Referência de interface da linha de comando do appliance Enforcer Comandos on-demand onde: validate-svr enable define a validação de um certificado de servidor raiz para uma configuração do protocolo Transport Layer Security (TLS) 802.1x. Comando on-demand dot1x tls cert-svr O comando on-demand dot1x tls cert-svr permite importar e configurar um certificado de servidor raiz para um protocolo Transport Layer Security (TLS) 802.1x para a autenticação do cliente On-Demand. Você deve fazer logon no console do Gateway ou DHCP Enforcer como um superusuário para executar este comando. O comando on-demand dot1x tls cert-svr usa a seguinte sintaxe: Enforcer# on-demand Enforcer(on-demand)# dot1x tls cert-svr O seguinte exemplo descreve a sintaxe do comando on-demand dot1x tls certificate no console do appliance Gateway ou DHCP Enforcer: Enforcer# on-demand Enforcer(on-demand)# dot1x Enforcer(dot1x)# tls Enforcer(tls)# cert-svr host snac Enforcer(tls)# cert-svr disable Enforcer(tls)# cert-svr enable onde: disable enable host Desativa o certificado TLS Ativa o certificado TLX Define o nome do host do servidor de certificado TLS Comando on-demand dot1x tls show O comando on-demand dot1x tls show permite exibir as configurações de um protocolo Transport Layer Security (TLS) 802.1x para a autenticação do cliente On-Demand. Use este comando para certificar-se de que o certificado do servidor tls está ativado. Você deve fazer logon no console do Gateway ou DHCP Enforcer como um superusuário para configurar este comando. O comando on-demand dot1x tls show usa a seguinte sintaxe:

299 Referência de interface da linha de comando do appliance Enforcer Comandos on-demand 299 Enforcer# on-demand Enforcer(on-demand)# dot1x show [tls peap] O seguinte exemplo descreve como exibir as configurações de autenticação para um protocolo Transport Layer Security (TLS) 802.1x no console do appliance Gateway ou DHCP Enforcer: Enforcer(tls)# show TLS Validate Server Certificate: TLS Certificate Server: TLS Certificate Server: DISABLED ENABLED snac Comando on-demand dot1x protocol O comando on-demand dot1x protocol permite definir o protocolo de autenticação ativo para protocolo de autenticação extensível protegida (PEAP, Protected Extensible Authentication Protocol) ou protocolo Transport Layer Security (TLS) para autenticar clientes On-Demand com um alternador compatível com 802.1x que tenha portas com dot1x ativado. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para configurar este comando. O comando on-demand dot1x protocol usa a seguinte sintaxe: on-demand dot1x protocol [tls peap] O seguinte exemplo descreve como definir o protocolo de autenticação ativo para protocolo de autenticação extensível protegida (PEAP, Protected Extensible Authentication Protocol) para autenticar clientes On-Demand com um alternador compatível com 802.1x que tenha portas com dot1x ativado: Enforcer# on-demand Enforcer(on-demand)# dot1x Enforcer(dot1x)# protocol peap O seguinte exemplo descreve como definir o protocolo de autenticação ativo para protocolo Transport Layer Security (TLS) para autenticar clientes On-Demand com um alternador compatível com 802.1x que tenha portas com dot1x ativado: Enforcer# on-demand Enforcer(on-demand)# dot1x Enforcer(dot1x)# protocol tls

300 300 Referência de interface da linha de comando do appliance Enforcer Comandos on-demand Comando on-demand dot1x default-user O comando on-demand dot1x default-user permite que você defina o protocolo de autenticação ativo como anônimo para a autenticação 802.1x do cliente On-Demand. Você deve fazer logon no console do Gateway ou DHCP Enforcer como um superusuário para que possa configurar este comando. O comando on-demand configure dot1x default-user usa a seguinte sintaxe: default-user username <string> password <string> O seguinte exemplo descreve a sintaxe do comando on-demand dot1x anonymity no console do appliance Gateway ou DHCP Enforcer: Enforcer(dot1x)# default-user username snac password snac Comando on-demand dot1x show O comando on-demand dot1x show permite exibir as configurações de autenticação 802.1x para a autenticação do cliente On-Demand. Você deve fazer logon no console do Gateway ou DHCP Enforcer como um superusuário para que possa configurar este comando. O comando on-demand dot1x show usa a seguinte sintaxe: show protocol peap tls certificate default-user onde: certificate default-user peap protocol tls Relaciona os certificados de autenticação importados Mostra informações padrão do usuário Mostra as configurações da autenticação PEAP Mostra o protocolo 802.1x ativo atual Mostra as configurações de autenticação de TLS O seguinte exemplo descreve como exibir o protocolo no console de um appliance Gateway ou DHCP Enforcer: Enforcer(dot1x)# show peap PEAP Validate Server Certificate: DISABLED

301 Referência de interface da linha de comando do appliance Enforcer Comandos on-demand 301 PEAP Certificate Server: PEAP Certificate Server: PEAP Fast Reconnected: DISABLED snac ENABLED Comando on-demand show O comando on-demand show permite exibir as definições de configuração de clientes On-Demand. Você deve fazer logon no console do Gateway ou DHCP Enforcer como um superusuário para configurar este comando. O comando on-demand show usa a seguinte sintaxe: show [ banner authentiction dot1x status configuration ] O seguinte exemplo descreve a sintaxe do comando on-demand show no console do appliance Gateway ou DHCP Enforcer: Enforcer(on-demand)# show On-Demand: Policy Manager Connected: Policy Manager Domain ID: Client Group: ENABLED YES BD751DAE0AC827F7015EFE My Company/My Group Authentication: Local Database Authentication: Active Directory Authentication: Active Directory Domain ID: DISABLED DISABLED DISABLED (NULL) Active Protocol: TLS Banner: (NULL) Comando on-demand spm-domain Você deve configurar o spm-domain no console de um appliance Gateway ou DHCP Enforcer. Caso contrário, a instalação falhará. O spm-domain pode ser enviado automaticamente ao Symantec Endpoint Protection Manager. Se você instalou a versão 11.2 ou superior do Symantec Endpoint Protection Manager, o spm-domain é enviado automaticamente ao Symantec Endpoint Protection Manager. É possível completar automaticamente o spm-domain no console de um appliance Enforcer. Toda a versão do Symantec Endpoint Protection Manager que preceder a 11.2 deve ser configurada com o comando on-demand spm-domain no console de um appliance Gateway ou DHCP Enforcer.

302 302 Referência de interface da linha de comando do appliance Enforcer Comandos on-demand Consulte Ativação de clientes do Symantec Network Access Control On-Demand para se conectarem temporariamente a uma rede na página 211. O spm-domain aparece na página Clientes no console do Symantec Endpoint Protection Manager. Consulte o Guia de Administração do Symantec Endpoint Protection e do Symantec Network Access Control sobre como localizar o spm-domain. Você deve fazer logon no console do appliance Gateway ou DHCP Enforcer como um superusuário para configurar este comando. Consulte Logon em um appliance Enforcer na página 88. O comando on-demand spm-domain usa a seguinte sintaxe: spm-domain {name <string> id <string>} O seguinte exemplo descreve a sintaxe do comando on-demand spm-domain no console do appliance Gateway ou DHCP Enforcer: Enforcer# on-demand Enforcer(on-demand)# spm-domain id BD751DAE0AC827F7015EFE Enforcer(on-demand)# spm-domain name Default onde: BD751DAE0AC827F7015EFE representa o spm-domain localizado na página Clientes no console do Symantec Endpoint Protection Manager. Comandos on-demand mac-compliance Você deve configurar o comando mac-compliance no console de um appliance Gateway ou DHCP Enforcer. Além disso, você precisa executar o comando mac-hi somente se o cliente On-Demand do Symantec Network Access Control em uma plataforma Macintosh precisa de suporte. Caso contrário, a instalação falhará. Você deve fazer logon no console do Gateway ou DHCP Enforcer como um superusuário para que possa configurar este comando. Consulte Logon em um appliance Enforcer na página 88. O comando on-demand mac-compliance usa a seguinte sintaxe: on-demand mac-compliance {disable enable interval show} onde:

303 Referência de interface da linha de comando do appliance Enforcer Comandos on-demand 303 disable enable interval show exit clear help Desativa as regras de verificação de conformidade para o cliente do Symantec Network Access Control On-Demand para Mac Ativa as regras de integridade do host (HI, Host Integrity) para o cliente do Symantec Network Access Control On-Demand para Mac Define intervalos (em minutos) da verificação de conformidade para o cliente do Symantec Network Access Control On-Demand para Mac Exibe a configuração da verificação de conformidade para o cliente do Symantec Network Access Control On-Demand para Mac Sai da configuração de conformidade de Macintosh Limpa a tela Exibe a ajuda de um comando Comando on-demand mac-compliance disable O comando on-demand mac-compliance disable usa a seguinte sintaxe: on-demand mac-compliance disable <rule-number> O seguinte exemplo descreve a sintaxe para o comando on-demand mac-compliance disable no console do appliance Gateway ou DHCP Enforcer: Enforcer(mac-compliance)# disable 1 onde o usuário pode selecionar qualquer uma das seguintes regras digitando o número associado a esse, conforme mostrado neste exemplo: <Number> <State> <Description> 1 ENABLED Check system updated 2 ENABLED Check SAV installed 3 ENABLED Check SAV auto-protect started 4 ENABLED Check IP firewall started 5 ENABLED Check Norton confidential installed 6 ENABLED Check screen saver inactivity/lock

304 304 Referência de interface da linha de comando do appliance Enforcer Comandos on-demand Comando on-demand mac-compliance enable O comando on-demand mac-compliance enable usa a seguinte sintaxe: on-demand mac-compliance disable <rule-number> O seguinte exemplo descreve a sintaxe para o comando on-demand mac-compliance enable no console do appliance Gateway ou DHCP Enforcer: Enforcer(mac-compliance)# enable 1 onde o usuário pode selecionar qualquer uma das seguintes regras digitando o número associado a esse, conforme mostrado neste exemplo: <Number> <State> <Description> 1 DISABLED Check system updated 2 DISABLED Check SAV installed 3 DISABLED Check SAV auto-protect started 4 DISABLED Check IP firewall started 5 DISABLED Check Norton confidential installed 6 DISABLED Check screen saver inactivity/lock Comando on-demand mac-compliance interval O comando on-demand mac-compliance interval usa a seguinte sintaxe: on-demand mac-compliance interval <minutes> onde: O usuário pode definir o intervalo da verificação de conformidade em minutos para o cliente do Symantec Network Access Control On-Demand para Mac, no intervalo de minutos. Comando on-demand mac-compliance show O comando on-demand mac-compliance show usa a seguinte sintaxe: on-demand mac-compliance show { rules interval} O seguinte exemplo mostra o comando on-demand mac-compliance show no console de um appliance Gateway ou DHCP Enforcer: Enforcer(mac-compliance)# show rules 1 ENABLED Check system updated 2 ENABLED Check SAV installed 3 ENABLED Check SAV auto-protect started 4 ENABLED Check IP firewall started

305 Referência de interface da linha de comando do appliance Enforcer Comandos on-demand ENABLED Check Norton confidential installed 6 ENABLED Check screen saver inactivity/lock Enforcer(mac-compliance)# show interval Interval: 3 (minutes)

306 306 Referência de interface da linha de comando do appliance Enforcer Comandos on-demand

307 Capítulo 12 Solução de problemas de um appliance Enforcer Este capítulo contém os tópicos a seguir: Sobre como solucionar problemas em um appliance Enforcer Soluções gerais de tópicos e problemas conhecidos Sobre a transferência de informações de depuração na rede Sobre como solucionar problemas em um appliance Enforcer Talvez seja necessário solucionar problemas de comunicação entre Enforcers e o Symantec Endpoint Protection Manager. Consulte Perguntas sobre a aplicação na página 311. Selecione alguns dos seguintes tópicos: O Enforcer não pode registrar-se com o Symantec Endpoint Protection Manager Atraso na conexão com a rede por meio de um Enforcer O appliance Gateway Enforcer bloqueia clientes O appliance DHCP Enforcer bloqueia clientes O mesmo appliance LAN Enforcer registra-se duas vezes no console do Symantec Endpoint Protection Manager Os eventos desconectados do cliente no registro de cliente do appliance LAN Enforcer O appliance LAN Enforcer não alterna clientes para a VLAN correta

308 308 Solução de problemas de um appliance Enforcer Soluções gerais de tópicos e problemas conhecidos Soluções gerais de tópicos e problemas conhecidos Os tópicos a seguir são mais amplos e podem também fornecer ajuda: Tabela 12-1 Sintoma A senha raiz do Enforcer é exibida como inválida quando definida usando a interface de linha de comando Solução Há um limite de 128 caracteres para o tamanho das senhas. Use uma senha com menos caracteres. A sincronização da hora falha ao instalar um LAN Enforcer com o NTP ativado e configurado em Dell 850 Esse é um problema de hardware. A solução alternativa é desativar NTP e voltar a ativá-lo. A mudança de memória no R200 causa erros de hardware O registro de depuração foi excluído Isso é por causa da codificação rígida dos IRQs. Remova a memória adicional ou reinstale o Enforcer após a mudança de hardware. Nossos testes mostraram que a memória adicional não faz uma diferença significativa. Se a entrada de registro debugfilesize ou debugoverwriteday for alterada no cliente, o registro será excluído. Não mude essas entradas sem extrair valores primeiro. Algumas configurações (Nível de depuração, Captura) retornam ao padrão quando se faz upgrade do Enforcer Isso pode aparecer durante o upgrade, mas não aparece depois disso. Aparecem problemas ao executar SNMP com o Enforcer e o HP OpenView Isso pode ser resolvido ao configurar HP OpenView da seguinte maneira: Carregue o arquivo Symantec MIB, usando Option (Opção) > Load/unload MIB (Carregar/descarregar o MIB) Usando Option (Opção) > Event Configuration (Configuração de eventos), escolha OnDemandTraps ( ) e modifique cada trap, conforme necessário. Por exemplo, em Event Message (Mensagem de eventos), escolha Log and display in category (Registrar e exibir na categoria). Em seguida, selecione uma categoria na lista suspensa. Defina Event Log Message (Mensagem do registro de eventos) como $1.

309 Solução de problemas de um appliance Enforcer Sobre a transferência de informações de depuração na rede 309 Sobre a transferência de informações de depuração na rede Quando houver problemas no appliance Enforcer, um registro de depuração será criado no Enforcer (kernel.log). Se for preciso transferir informações de depuração na rede, use um destes comandos debug para transferir os registros: debug upload Para transferir um arquivo para um servidor tftp A transferência de arquivos na rede exige uma conexão serial entre um computador e o appliance Enforcer. O exemplo a seguir representa uma saída de transferência de arquivos executada pelo HyperTerminal: <date> <Time> <File Name> :32:26 user.log :32:24 kernel.log :30:03 ServerSylink[ ].xml :29:59 ServerProfile[ ].xml Enforcer(debug)# upload tftp filename kernel.log

310 310 Solução de problemas de um appliance Enforcer Sobre a transferência de informações de depuração na rede

311 Capítulo 13 Perguntas freqüentes sobre os appliances Gateway, DHCP ou LAN Enforcer Este capítulo contém os tópicos a seguir: Perguntas sobre a aplicação Perguntas sobre a aplicação Os tópicos a seguir oferecem respostas sobre problemas de aplicação nos appliances Gateway Enforcer, DHCP Enforcer ou LAN Enforcer: Consulte Quais produtos de software antivírus oferecem suporte à integridade do host? na página 312. Consulte As políticas de integridade do host podem ser definidas em nível de grupo ou em nível global? na página 313. Consulte Pode você criar uma mensagem personalizada de integridade do host? na página 313. Consulte O que acontecerá se os appliances Enforcers não puderem se comunicar com os Symantec Endpoint Protection Managers? na página 313. Consulte É necessário ter um servidor RADIUS quando um appliance LAN Enforcer é executado no modo transparente? na página 314. Consulte Como a aplicação gerencia computadores sem clientes? na página 315.

312 312 Perguntas freqüentes sobre os appliances Gateway, DHCP ou LAN Enforcer Perguntas sobre a aplicação Quais produtos de software antivírus oferecem suporte à integridade do host? O Symantec Network Access Control oferece suporte a estes produtos de software antivírus: AVG Anti-Virus Free Edition 8.0 AVG Internet Security Edition 8.0 BitDefender Internet Security 2008 BitDefender Total Security 2008 CA Internet Security Suite Plus 2008 CA Personal Firewall 2008 etrust EZ Antivirus etrust EZ Antivirus Lavasoft Ad-Aware Pro 2008 McAfee Internet Security Suite 2008 McAfee VirusScan Professional 7.02 McAfee VirusScan Corp Edition McAfee VirusScan Enterprise 8.0i McAfee VirusScan Professional 8,0 McAfee VirusScan Home Edition 8.0 McAfee VirusScan Home Edition 9,0 McAfee VirusScanPlus 2008 Norton 360 All in One Security Norton AntiVirus 2004 Norton AntiVirus 2005 Norton AntiVirus 2008 Norton AntiVirus 9.0 Norton Internet Security 2008 Panda Internet Security 2008 Panda Platinum Antivirus 7.0 Panda Security Panda Antivirus + Firewall 2008

313 Perguntas freqüentes sobre os appliances Gateway, DHCP ou LAN Enforcer Perguntas sobre a aplicação 313 Panda Titanium Antivirus 2004 Sophos AntiVirus 3.87 Trend Micro Internet Security 2008 Trend Micro OfficeScan Corporate Edition 5.58 Trend Micro OfficeScan Corporate Edition 6,5 Trend Micro PC-cillin 2003 Trend Micro PC-cillin Internet Security 2004 Webroot Spy Sweeper 5.5 As políticas de integridade do host podem ser definidas em nível de grupo ou em nível global? É possível atribuir políticas de integridade do host por grupo e por local no console do Symantec Endpoint Protection Manager. Pode você criar uma mensagem personalizada de integridade do host? O Symantec Network Access Control pode criar mensagens de integridade do host personalizadas para cada regra de integridade do host. Você pode personalizar a mensagem, incluindo o ícone e o título. Essa personalização pode ser feita por meio de uma regra personalizada de integridade do host. O que acontecerá se os appliances Enforcers não puderem se comunicar com os Symantec Endpoint Protection Managers? Ao planejar usar Enforcers com o Symantec Endpoint Protection, recomendamos que tenha servidores redundantes de gerenciamento. Se o Symantec Endpoint Protection Manager ficar indisponível, o Enforcer bloqueará o tráfego dos clientes. Os servidores redundantes de gerenciamento têm maior preferência. O Enforcer enviará um pacote UDP na porta 1812 usando o protocolo RADIUS para que o Symantec Endpoint Protection Manager verifique o GUID dos clientes. Se um firewall bloquear essa porta ou se o Symantec Endpoint Protection Manager estiver indisponível, os clientes serão bloqueados. Uma opção do Enforcer permite que clientes acessem a rede quando o Symantec Endpoint Protection Manager estiver indisponível. Se essa opção estiver ativada e o Symantec Endpoint Protection Manager estiver indisponível, as verificações do GUID e do perfil não serão realizadas. Somente a verificação de integridade do

314 314 Perguntas freqüentes sobre os appliances Gateway, DHCP ou LAN Enforcer Perguntas sobre a aplicação host poderá ser feita no cliente quando o Symantec Endpoint Protection Manager estiver indisponível. É possível usar o comando advanced local-auth para ativar ou desativar a autenticação do Enforcer de um cliente. Consulte Advanced local-auth na página 260. É necessário ter um servidor RADIUS quando um appliance LAN Enforcer é executado no modo transparente? Os requisitos de servidor Radius dependem de como o alternador é configurado e de como você usa o alternador para autenticar. Estes são alguns itens que devem ser observados: Alternadores que utilizam servidores RADIUS não somente para a autenticação dos usuários de 802.1x. Por exemplo, quando se faz login no alternador, devem ser digitados nome de usuário e senha. O servidor RADIUS geralmente faz a autenticação desse login. Quando o appliance LAN Enforcer está instalado, essa autenticação é enviada para o appliance LAN Enforcer. Se a autenticação for enviada para o appliance LAN Enforcer, será necessário configurar o endereço IP do servidor RADIUS no appliance LAN Enforcer. É necessário configurar o appliance LAN Enforcer para encaminhar todas as solicitações que não sejam EAP diretamente para o servidor RADIUS. Instalação de um suplicante 802.1x em um sistema do cliente. Se houver um suplicante 802.1x em um sistema do cliente, o appliance LAN Enforcer tentará autenticá-lo com o servidor RADIUS. A autenticação de 802.1x é ativada por padrão no Windows XP. Se ativar o cliente para funcionar no modo transparente, ele não desativará automaticamente o suplicante 802.1x interno. É necessário certificar-se de que nenhum suplicante 802.1x é executado em nenhum dos computadores-cliente. Configuração do Enforcer para ignorar a solicitação RADIUS de qualquer computador-cliente que inclua um suplicante 802.1x de terceiros. É possível fazer essa configuração usando um endereço IP de para o servidor RADIUS. É possível usar essa configuração se quiser executar um LAN Enforcer em modo transparente. Pode ser que alguns clientes tenham um suplicante x. Nesse caso, é possível especificar que o appliance LAN Enforcer não envie tráfego para um servidor RADIUS.

315 Perguntas freqüentes sobre os appliances Gateway, DHCP ou LAN Enforcer Perguntas sobre a aplicação 315 Como a aplicação gerencia computadores sem clientes? O Symantec Network Access Control pode aplicar políticas de segurança somente em sistemas com os clientes Symantec instalados. A segurança de outros fornecedores não pode ser aplicada. Quaisquer aplicações a partir de outros fornecedores podem causar interrupções na rede. Os seguintes métodos de aplicação estão disponíveis: Auto-aplicação Aplicação do gateway A auto-aplicação pelo firewall do cliente não tem efeito em sistemas sem clientes na rede. Nas redes que utilizam aplicação no gateway, os sistemas sem clientes não podem passar pelo gateway. O local onde o Gateway Enforcer é colocado na rede é crítico; ele pode bloquear o acesso a recursos vitais da rede aos quais outros sistemas requerem acesso. É possível criar exceções para endereços IP confiáveis para que possam trafegar interna ou externamente pelo gateway sem um cliente. Do mesmo modo, o gateway também pode isentar da aplicação os sistemas operacionais que não sejam Microsoft. Um projeto de rede seria o de colocar os servidores não críticos no mesmo lado que o gateway. Essa configuração simplifica o projeto da rede sem comprometer seriamente a segurança. Aplicação de DHCP A aplicação de DHCP restringe os computadores que não estão em conformidade ou os sistemas sem clientes. Ela restringe esses sistemas a um espaço de endereço separado ou fornece aos mesmos um subconjunto de rotas na rede. Essa restrição reduz os serviços de rede desses dispositivos. De modo semelhante, à aplicação de gateway, é possível criar exceções para endereços MAC confiáveis e sistemas operacionais que não sejam Microsoft.

316 316 Perguntas freqüentes sobre os appliances Gateway, DHCP ou LAN Enforcer Perguntas sobre a aplicação Aplicação de LAN A aplicação de LAN usa o protocolo 802.1x para autenticação entre o alternador e os sistemas dos clientes que se conectam à rede. Para usar esse método de aplicação, o software alternador deve ser compatível com o protocolo 802.1x e sua configuração deve estar correta. O software suplicante de 802.1x também será necessário se o administrador quiser verificar a identidade dos usuários, bem como o status NAC do host. A configuração do alternador, em vez das configurações da Symantec, deve lidar com as exceções dos sistemas sem clientes. Existem diversas maneiras de definir essa configuração do alternador. Os métodos variam de acordo com o tipo de alternador e com a versão do software que ele executa. Um método comum implementa o conceito de uma VLAN convidada. Os sistemas sem clientes são atribuídos a uma rede que tem nível menor de conectividade. Outro método envolve basear as exceções em endereços MAC. É possível desativar o protocolo 802.1x nas portas selecionadas. Entretanto, desativá-lo nas portas selecionadas permite que qualquer pessoa conecte-se usando a porta, portanto isso não é recomendado. Muitos fornecedores têm provisões especiais para telefones de VoIP, que podem mudar automaticamente esses dispositivos para VLANs de voz especiais. API do Universal Enforcement Aplicação usando o Cisco NAC Quando se usa a API do Universal Enforcement, a implementação da API do fornecedor terceirizado controla as exceções. Quando se usa a solução Symantec para fazer interface com o Cisco NAC, a arquitetura do Cisco NAC controla todas as exclusões.

317 Seção 2 Instalação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft Apresentação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft Planejamento da instalação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft Instalação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft

318 318

319 Capítulo 14 Apresentação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft Este capítulo contém os tópicos a seguir: Sobre o Symantec Integrated Enforcer para servidores DHCP da Microsoft Como funciona o Integrated Enforcer para servidores DHCP da Microsoft Noções básicas sobre a instalação do Integrated Enforcer para servidores DHCP da Microsoft Onde encontrar mais informações sobre documentação relacionada para o Integrated Enforcer para servidores DHCP da Microsoft Sobre o Symantec Integrated Enforcer para servidores DHCP da Microsoft O Symantec NAC Integrated Enforcer para servidores DHCP funcionam em conjunto com o servidor Dynamic Host Configuration Protocol (DHCP) do Microsoft Windows. Ele verifica se os clientes que tentam se conectar à rede estão em conformidade com as políticas de segurança configuradas. O Integrated Enforcer para servidores DHCP da Microsoft obtém segurança através da interceptação e da verificação das mensagens do DHCP de cada cliente que recebe um endereço IP dinâmico por meio do servidor DHCP. Ele, então, agrupa

320 320 Apresentação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft Como funciona o Integrated Enforcer para servidores DHCP da Microsoft computadores não protegidos em uma classe de quarentena e fornece recursos limitados disponíveis, de acordo com as configurações de política estabelecidas. Como funciona o Integrated Enforcer para servidores DHCP da Microsoft O Integrated Enforcer para servidores DHCP da Microsoft verifica as instalações do Symantec Endpoint Protection ou do cliente do Symantec Network Access Control em todos os clientes DHCP gerenciados pelo servidor DHCP. Ele, então, aplica as políticas nesses clientes de acordo com o que está configurado no Symantec Endpoint Security Manager. O Integrated Enforcer para servidores DHCP da Microsoft autentica também o cliente para para a existência de agentes, para Globally Unique Identifier (GUID), integridade do host e versão de perfil para todas as políticas configuradas. Então. ele permite ou coloca o cliente em quarentena usando o resultado da autenticação. O Integrated Enforcer para servidores DHCP da Microsoft usa um plug-in para interagir com o servidor DHCP da Microsoft. Embora o Integrated Enforcer para servidores DHCP da Microsoft e o servidor DHCP devam ser instalados no mesmo computador, o Integrated Enforcer para servidores DHCP da Microsoft não é dependente do servidor DHCP. Nota: A interrupção do servidor DHCP não interrompe o Integrated Enforcer para servidores DHCP da Microsoft, e a interrupção do Integrated Enforcer para servidores DHCP da Microsoft não interrompe o servidor DHCP. Com o Integrated Enforcer para servidores DHCP da Microsoft no mesmo computador do servidor DHCP, o Integrated Enforcer para servidores DHCP da Microsoft elimina a necessidade de hardware adicional. O Symantec Endpoint Protection Manager é usado para configurar as políticas de segurança. Porém, o Integrated Enforcer para servidores DHCP da Microsoft aplica as políticas de segurança. O Integrated Enforcer para servidores DHCP da Microsoft autentica os computadores-cliente, verificando a resposta a respeito dos seguintes critérios: O cliente do Symantec Endpoint Protection ou do Symantec Network Access Control são executados em um computador-cliente? O cliente do Symantec Endpoint Protection ou do Symantec Network Access Control tem o Globally Unique Identifier (GUID) correto? O GUID é um número hexadecimal de 128 bits que é atribuído a um computador-cliente que execute o cliente do Symantec Endpoint Protection

321 Apresentação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft Noções básicas sobre a instalação do Integrated Enforcer para servidores DHCP da Microsoft 321 ou do Symantec Network Access Control. O servidor de gerenciamento gera um GUID quando o cliente é conectado inicialmente. O cliente está em conformidade com a mais recente política de integridade do host definida pelo administrador no console do Symantec Endpoint Protection Manager? O cliente recebeu a política de segurança mais recente. O cliente é confiável por um Network Access Control Scanner, tem um MAC confiável ou executa um sistema operacional confiável, se configurado. Se o Integrated Enforcer para servidores DHCP da Microsoft não conseguir autenticar o cliente, será fornecido ao cliente acesso a uma área de quarentena com recursos de rede limitados. A área de quarentena é configurada no mesmo computador do Integrated Enforcer para servidores DHCP da Microsoft e do Servidor DHCP da Microsoft. Também é possível configurar o acesso a um servidor de correção. O servidor de correção fornece links de produtos de software aos clientes para que fiquem em conformidade com a segurança. Noções básicas sobre a instalação do Integrated Enforcer para servidores DHCP da Microsoft A documentação descreve como instalar, configurar e usar o Integrated Enforcer para servidores DHCP da Microsoft. Para começar, realize as seguintes tarefas: Revise os componentes que são necessários para a instalação do Integrated Enforcer para servidores DHCP da Microsoft. Consulte Componentes necessários para o Integrated Enforcer para servidores DHCP da Microsoft na página 326. Revise os requisitos de hardware para o Integrated Enforcer para servidores DHCP da Microsoft. Consulte Requisitos de hardware para o Integrated Enforcer para servidores DHCP da Microsoft na página 327. Revise os requisitos do sistema operacional para o Integrated Enforcer para servidores DHCP da Microsoft. Consulte Requisitos do sistema operacional para o Integrated Enforcer para servidores DHCP da Microsoft na página 327. Onde colocar o Integrated Enforcer para servidores DHCP da Microsoft em um ambiente de rede. Consulte Planejamento da colocação do Integrated Enforcer para servidores DHCP da Microsoft na página 328.

322 322 Apresentação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft Onde encontrar mais informações sobre documentação relacionada para o Integrated Enforcer para servidores DHCP da Microsoft Instale o Integrated Enforcer para servidores DHCP da Microsoft. Consulte Instalação do Integrated Enforcer para servidores DHCP da Microsoft na página 330. Configure as conexões e as configurações do Integrated Enforcer para servidores DHCP da Microsoft em um console do Enforcer. Consulte Sobre como configurar o Symantec NAC Integrated Enforcer em um console do Enforcer na página 358. Onde encontrar mais informações sobre documentação relacionada para o Integrated Enforcer para servidores DHCP da Microsoft O Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft faz parte do software Symantec Network Access Control. A Tabela 14-1 fornece as informações adicionais sobre as tarefas que talvez você precise executar antes ou depois da instalação do Integrated Enforcer para servidores DHCP da Microsoft. Tabela 14-1 Documentação relacionada do Integrated Enforcer para servidores DHCP da Microsoft Título do documento Guia de Instalação do Symantec Endpoint Protection e do Symantec Network Access Control Descrição Descreve como instalar os seguintes componentes de software: Symantec Endpoint Protection Manager Cliente do Symantec Endpoint Protection Cliente do Symantec Network Access Control Explica também como instalar e configurar o banco de dados incorporado e do Microsoft SQL e também como configurar a replicação.

323 Apresentação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft Onde encontrar mais informações sobre documentação relacionada para o Integrated Enforcer para servidores DHCP da Microsoft 323 Título do documento Descrição Guia de Administração do Symantec Endpoint Protection e do Symantec Network Access Control Descreve como configurar e administrar os seguintes componentes de software: Symantec Endpoint Protection Manager Cliente do Symantec Endpoint Protection Cliente do Symantec Network Access Control Descreve também como configurar as políticas de integridade do host usadas por um Enforcer para implementar a conformidade em computadores-cliente. Ajuda on-line do Symantec Endpoint Protection e do Symantec Network Access Control arquivos sep_readme.txt e snac_readme.txt Explica como usar o Symantec Endpoint Protection Manager. Inclui as informações mais recentes sobre as falhas críticas relacionadas ao Enforcer que podem também afetar o Symantec Endpoint Protection Manager. Consulte o arquivo sep_ readme.txt, localizado no CD de instalação CD1, para obter informações sobre falhas relativas ao Symantec Endpoint Protection. Consulte o snac_readme, localizado no CD de instalação CD2, obter informações sobre falhas relativas ao Symantec Network Access Control. Guia do Cliente do Symantec Endpoint Protection e do Symantec Network Access Control Descreve como usar os seguintes componentes de software: Cliente do Symantec Endpoint Protection Cliente do Symantec Network Access Control Ajuda on-line do Symantec Endpoint Protection e do cliente do Symantec Network Access Control Descreve como usar os seguintes componentes de software: Cliente do Symantec Endpoint Protection Cliente do Symantec Network Access Control Ajuda on-line do Integrated Enforcer para servidores DHCP da Microsoft Descreve como configurar o Integrated Enforcer para servidores DHCP da Microsoft.

324 324 Apresentação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft Onde encontrar mais informações sobre documentação relacionada para o Integrated Enforcer para servidores DHCP da Microsoft Título do documento Descrição Ajuda on-line do Integrated Enforcer para Microsoft Network Access Protection (NAP) Descreve como configurar o Integrated Enforcer para Microsoft Network Access Protection.

325 Capítulo 15 Planejamento da instalação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft Este capítulo contém os tópicos a seguir: Sobre como planejar a instalação de um Integrated Enforcer para servidores DHCP da Microsoft Componentes necessários para o Integrated Enforcer para servidores DHCP da Microsoft Requisitos de hardware para o Integrated Enforcer para servidores DHCP da Microsoft Requisitos do sistema operacional para o Integrated Enforcer para servidores DHCP da Microsoft Planejamento da colocação do Integrated Enforcer para servidores DHCP da Microsoft

326 326 Planejamento da instalação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft Sobre como planejar a instalação de um Integrated Enforcer para servidores DHCP da Microsoft Sobre como planejar a instalação de um Integrated Enforcer para servidores DHCP da Microsoft Você deve cumprir um número de requisitos antes que o Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft possa se tornar operacional. Os requisitos aplicam-se ao hardware e ao software, e também a outros componentes de software, incluindo aplicativos de terceiros. O tipo de Enforcer que você pode implementar depende do tipo de produto do Symantec Network Access Control que você adquiriu. Consulte o contrato de licença para obter mais informações. Componentes necessários para o Integrated Enforcer para servidores DHCP da Microsoft O Integrated Enforcer para servidores DHCP da Microsoft funciona com o servidor DHCP da Microsoft, o Symantec Endpoint Protection Manager e o cliente do Symantec Network Access Control. Ele verifica se os clientes que tentam se conectar à rede cumprem com as políticas de segurança configuradas. Instale os seguintes componentes necessários antes de usar o Integrated Enforcer para servidores DHCP da Microsoft: Symantec Endpoint Protection Manager Componente necessário para criar políticas de segurança em um local centralizado e atribuí-las aos clientes. Cliente do Symantec Network Access Control Microsoft Windows DHCP Server Integrated Enforcer para os servidores DHCP da Microsoft (instalados no mesmo computador que o serviço DHCP) Componente necessário se você desejar que os usuários finais sejam protegidos pela aplicação das políticas de segurança fornecidas pelo Integrated Enforcer para servidores DHCP da Microsoft. Componente necessário se você deseja que os usuários finais sejam protegidos pelas políticas de segurança aplicadas pelo Integrated Enforcer para servidores DHCP da Microsoft. Componente necessário para a autenticação de clientes e para a aplicação de políticas de segurança.

327 Planejamento da instalação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft Requisitos de hardware para o Integrated Enforcer para servidores DHCP da Microsoft 327 Requisitos de hardware para o Integrated Enforcer para servidores DHCP da Microsoft Os requisitos de hardware do Integrated Enforcer para servidores DHCP da Microsoft incluem memória RAM, processador, armazenamento, monitor, adaptador de rede e placa de interface de rede (NIC, Network Interface Card). Para instalações de até usuários, use os seguintes requisitos recomendados: Pentium III 750 MHz Memória de 256 MB Espaço em disco de 120 MB Adaptadores de rede fast ethernet Uma placa de interface de rede (NIC, Network Interface Card) com TCP/IP instalado Para instalações de ou mais usuários, use os seguintes requisitos recomendados: Pentium 4 2,4 GHz Memória de 512 MB Espaço em disco de 512 MB Adaptadores de rede de 1 GB Monitor de resolução 800 x 600 com 256 cores (mínimo) Uma placa de interface de rede (NIC, Network Interface Card) com TCP/IP instalado Requisitos do sistema operacional para o Integrated Enforcer para servidores DHCP da Microsoft O Symantec Integrated Enforcer exige que um dos seguintes sistemas operacionais esteja instalado para que seja possível instalar o Integrated Enforcer para servidores DHCP da Microsoft: Windows Server 2000 Service Pack 4 com servidor DHCP Microsoft Windows Server 2003 Service Pack com servidor DHCP da Microsoft Windows Server 2003 Service Pack 1 e servidor DHCP da Microsoft

328 328 Planejamento da instalação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft Planejamento da colocação do Integrated Enforcer para servidores DHCP da Microsoft Planejamento da colocação do Integrated Enforcer para servidores DHCP da Microsoft A Figura 15-1 ilustra como colocar o Integrated Enforcer para servidores DHCP da Microsoft, o servidor DHCP da Microsoft e o Symantec Endpoint Protection Manager, bem como clientes internos ou remotos em uma rede. Figura 15-1 Colocação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft Symantec Endpoint Protection Manager Clientes Agente de relay Servidores protegidos Backbone corporativo Hub/Alternador Servidor DHCP com o Integrated Enforcer

329 Capítulo 16 Instalação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft Este capítulo contém os tópicos a seguir: Antes de instalar o Integrated Enforcer para servidores DHCP da Microsoft Instalação do Integrated Enforcer para servidores DHCP da Microsoft Como fazer upgrade do Integrated Enforcer para servidores DHCP da Microsoft Antes de instalar o Integrated Enforcer para servidores DHCP da Microsoft Antes de você iniciar a instalação do Symantec Integrated Enforcer, é necessário ter concluído as seguintes tarefas de instalação e configuração: Instalação do Symantec Endpoint Protection Manager Nota: Recomenda-se que você instale o Symantec Endpoint Protection Manager antes de instalar o Integrated Enforcer para servidores DHCP da Microsoft. O Symantec Endpoint Protection Manager deve ser instalado antes para que o Integrated Enforcer para servidores DHCP da Microsoft possa funcionar corretamente.

330 330 Instalação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft Instalação do Integrated Enforcer para servidores DHCP da Microsoft Consulte o Guia de Instalação do Symantec Enterprise Protection e do Symantec Network Access Control para obter informações sobre como instalar o Symantec Endpoint Protection Manager. Verificação dos requisitos do sistema para o computador no qual você planeja instalar o serviço DHCP e o Integrated Enforcer para servidores DHCP da Microsoft Consulte Componentes necessários para o Integrated Enforcer para servidores DHCP da Microsoft na página 326. Instalação de um Microsoft Windows 2000 Server ou de um Microsoft Windows 2003 Server Consulte a documentação que acompanha o aplicativo Microsoft Windows Server. Consulte Componentes necessários para o Integrated Enforcer para servidores DHCP da Microsoft na página 326. Configuração do serviço DHCP no Microsoft Windows 2000 Server ou em um Microsoft Windows 2003 Server Consulte a documentação do serviço DHCP que acompanha o aplicativo Microsoft Windows Server. Instalação do Integrated Enforcer para servidores DHCP da Microsoft Você deve instalar o Integrated Enforcer para servidores DHCP da Microsoft no mesmo computador em que você instalou o sistema operacional Microsoft Windows Server e o serviço DHCP. Faça login como administrador ou como um usuário do grupo de administradores. Nota: Após instalar o servidor DHCP da Microsoft, é necessário configurar o Integrated Enforcer para servidores DHCP da Microsoft. O Integrated Enforcer para servidores DHCP da Microsoft pode então conectar-se ao Symantec Endpoint Protection Manager. Você pode instalar o Integrated Enforcer para servidores DHCP da Microsoft usando alguns dos seguintes métodos da instalação: Assistente de Instalação Consulte Para instalar o Integrated Enforcer para servidores DHCP da Microsoft com um assistente na página 351. Linha de comando

331 Instalação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft Instalação do Integrated Enforcer para servidores DHCP da Microsoft 331 Consulte Para instalar o Integrated Enforcer para servidores DHCP da Microsoft a partir da linha de comando na página 352. Para instalar o Integrated Enforcer para servidores DHCP da Microsoft com um assistente 1 Insira o CD2 de instalação. Se a instalação não iniciar automaticamente, clique duas vezes em IntegratedEnforcerInstaller.exe. Você deverá sair da instalação e instalar o servidor DHCP se visualizar a seguinte mensagem: You must have the DHCP server on this machine to install this product. (Você deve ter um servidor DHCP nesta máquina para instalar este produto) To install the DHCP server, in the Control Panel, use the Add/Remove Windows Components Wizard. (Você deve ter um servidor DHCP nesta máquina para instalar este produto. Para instalar o servidor DHCP no Painel de controle, use o Assistente Adicionar ou remover componentes do Windows). Se o servidor DHCP já estiver instalado, será exibido Welcome to Symantec Integrated Enforcer Installation Wizard. 2 No painel Welcome, clique em Next. 3 No painel License Agreement, clique em I accept the license agreement. 4 Clique em Next. 5 No painel Destination Folder (Pasta de destino), realize uma das seguintes tarefas: Se quiser aceitar a pasta de destino padrão, clique em Next (Avançar). Clique em Browse (Procurar), localize e selecione uma pasta de destino, clique em OK e em Next. 6 Se o painel Role Selection (Seleção de funções) for exibido, selecione DHCP Enforcement for Microsoft DHCP Server(Aplicação do DHCP para servidor DHCP da Microsoft) e clique em Next (Avançar). O painel Role Selection (Seleção de funções) apenas será exibido se mais de um tipo de Symantec NAC Integrated Enforcer puder ser instalado com base nos serviços que estão em execução no servidor.

332 332 Instalação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft Instalação do Integrated Enforcer para servidores DHCP da Microsoft 7 No painel Ready to Install the Application, clique em Next. 8 Quando solicitada a reinicialização do servidor DHCP, realize uma das seguintes tarefas: Para reiniciar o servidor DHCP imediatamente, clique em Sim. Para reiniciar manualmente o servidor DHCP mais tarde, clique em No. Se for reiniciar o servidor DHCP mais tarde, ele deverá ser interrompido e, então, reiniciado. Você deve reiniciar o servidor DHCP para que o Symantec Integrated Enforcer funcione. Consulte Para interromper e reiniciar o servidor DHCP da Microsoft manualmente na página Clique em Finish (Concluir). Se precisar reinstalar o Integrated Enforcer, será necessário, primeiro, desinstalá-lo. Consulte Para desinstalar o Integrated Enforcer para servidores DHCP da Microsoft na página 332. Consulte Para desinstalar o Integrated Enforcer para servidores DHCP da Microsoft a partir da linha de comando na página 333. Para instalar o Integrated Enforcer para servidores DHCP da Microsoft a partir da linha de comando 1 Abra um prompt de comando do DOS para iniciar a instalação pela linha de comando. O processo de instalação pela linha de comando usa somente configurações padrão. 2 Na linha de comando, especifique o diretório no qual o instalador do Integrated Enforcer está localizado. O local de instalação padrão é C:\Arquivos de programas\symantec\integrated Enforcer. 3 Insira IntegratedEnforcerInstaller.exe /qr na linha de comando e digite: Enter. Para desinstalar o Integrated Enforcer para servidores DHCP da Microsoft 1 Na barra de tarefas do Windows, clique em Iniciar > Painel de controle > Adicionar ou remover programas. 2 Clique em Symantec Integrated Enforcer e clique em Remover.

333 Instalação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft Como fazer upgrade do Integrated Enforcer para servidores DHCP da Microsoft Quando solicitado para confirmar se deseja excluir o software, clique em Sim. 4 Quando solicitada a reinicialização do servidor DHCP, realize uma das seguintes tarefas: Para reiniciar o servidor DHCP imediatamente, clique em Sim. Para reiniciar manualmente o servidor DHCP mais tarde (padrão), clique em Não. Se for reiniciar o servidor DHCP mais tarde, ele deverá ser interrompido e, então, reiniciado. O servidor DHCP deverá ser reiniciado para desinstalar o Symantec Integrated Enforcer completamente. Para desinstalar o Integrated Enforcer para servidores DHCP da Microsoft a partir da linha de comando 1 Abra um prompt de comando do DOS. 2 No prompt de comando, digite um dos seguintes comandos, dependendo da versão instalada: versão MsiExec.exe /qn /X {C58BCCDF-A390-46CF-A E35735} versão ou superior nome do arquivo misexec.exe /qn /X < >O nome do arquivo deve estar em Arquivos de programas\arquivos comuns\wise Installation Wizard. Para interromper e reiniciar o servidor DHCP da Microsoft manualmente 1 Na barra de tarefas do Windows, clique em Iniciar > Painel de controle > Ferramentas administrativas > Serviços. 2 Clique em Servidor DHCP. 3 Clique com o botão direito do mouse e, em seguida, clique em Interromper. 4 Clique em Iniciar. Como fazer upgrade do Integrated Enforcer para servidores DHCP da Microsoft As tarefas a seguir detalham como fazer o upgrade do Symantec NAC Integrated Enforcer:

334 334 Instalação do Symantec NAC Integrated Enforcer para servidores DHCP da Microsoft Como fazer upgrade do Integrated Enforcer para servidores DHCP da Microsoft Para fazer o upgrade do Symantec NAC Integrated Enforcer 1 Desinstale a versão atual do Integrated Enforcer. Consulte Para desinstalar o Integrated Enforcer para servidores DHCP da Microsoft na página 332. Consulte Para desinstalar o Integrated Enforcer para servidores DHCP da Microsoft a partir da linha de comando na página 333. Nota: Certifique-se de que você reiniciou o serviço DHCP antes de instalar a nova versão do Integrated Enforcer. 2 Instale a nova versão do Integrated Enforcer. Consulte Para instalar o Integrated Enforcer para servidores DHCP da Microsoft com um assistente na página 351. Consulte Para instalar o Integrated Enforcer para servidores DHCP da Microsoft a partir da linha de comando na página 352.

335 Seção 3 Instalação do Symantec NAC Integrated Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP Introdução ao Symantec NAC Integrated Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP Planejamento da instalação do Symantec NAC Integrated Lucent Enforcer Instalação do Symantec NAC Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers

336 336

337 Capítulo 17 Introdução ao Symantec NAC Integrated Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP Este capítulo contém os tópicos a seguir: Sobre o Integrated Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP (Integrated Lucent Enforcer) O que você pode fazer com o Integrated Lucent Enforcer Como o Integrated Lucent Enforcer funciona Onde encontrar mais informações sobre a documentação relacionada para o Integrated Lucent Enforcer Sobre o Integrated Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP (Integrated Lucent Enforcer) O Integrated Lucent Enforcer funciona com o servidor DHCP da Lucent VitalQIP, versão 6.2. O Integrated Lucent Enforcer e o Symantec Endpoint Protection Manager se asseguram de que os seguintes aplicativos cumpram as políticas de segurança configuradas: Cliente do Symantec Endpoint Protection

338 338 Introdução ao Symantec NAC Integrated Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP O que você pode fazer com o Integrated Lucent Enforcer Cliente do Symantec Network Access Control O Integrated Lucent Enforcer verifica a conformidade dos computadores-cliente com as políticas de segurança que o administrador configura. Ele consegue a segurança pela intercepção e verificação de mensagens DHCP dos clientes que recebem um endereço IP dinâmico por meio de um servidor DHCP da Lucent VitalQIP. O Integrated Lucent Enforcer agrupa, então, computadores não seguros em uma classe de quarentena. Ele fornece também a computadores não seguros os recursos disponíveis, mas limitados, para cada política de segurança estabelecida. O que você pode fazer com o Integrated Lucent Enforcer Você pode executar as seguintes tarefas importantes no console do Integrated Lucent Enforcer: Configurar uma conexão ao Symantec Endpoint Protection Server. Iniciar e interromper o serviço do Enforcer. Configurar conexões com os verificadores do controle de acesso à rede. Configurar quarentenas automáticas. Visualizar o status da conexão. Exibir o registro do cliente e o registro do sistema. Exibir fornecedores de DHCP confiáveis. Como o Integrated Lucent Enforcer funciona O Integrated Lucent Enforcer verifica um computador-cliente para detectar a presença de clientes do Symantec Endpoint Protection e do Symantec Network Access Control que o Lucent VitalQIP Enterprise DHCP Server gerencia. O Integrated Lucent Enforcer aplica, então, as políticas para aqueles clientes, como configurado no Symantec Endpoint Protection Manager, comumente chamados de servidores de gerenciamento. O Integrated Lucent Enforcer autentica os computadores-cliente procurando a resposta aos seguintes critérios: O cliente do Symantec Endpoint Protection ou do Symantec Network Access Control são executados em um computador-cliente?

339 Introdução ao Symantec NAC Integrated Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP Como o Integrated Lucent Enforcer funciona 339 O cliente do Symantec Endpoint Protection ou do Symantec Network Access Control tem o Globally Unique Identifier (GUID) correto? O GUID é um número hexadecimal de 128 bits que é atribuído a um computador-cliente que execute o cliente do Symantec Endpoint Protection ou do Symantec Network Access Control. O servidor de gerenciamento gera um GUID quando o cliente é instalado inicialmente. Política da integridade do host (HI, Host Integrity) Uma política de integridade do host assegura que o computador-cliente execute os aplicativos e arquivos de dados necessários quando o computador-cliente tenta conectar-se à rede. O número de série do perfil é baseado nas mais recentes políticas de segurança configuradas, incluindo a política de integridade do host mais recente. O Integrated Lucent Enforcer verifica se o computador-cliente recebeu as políticas de segurança mais recentes do servidor de gerenciamento. Se o número de série do perfil não corresponder, o Integrated Lucent Enforcer notificará o computador-cliente para atualizar suas políticas de segurança. Nota: O Integrated Lucent Enforcer usa um plug-in para interagir com um Lucent VitalQIP Enterprise DHCP Server. No entanto, o Integrated Lucent Enforcer não é dependente do Lucent VitalQIP Enterprise DHCP Server. Se você interromper o Lucent VitalQIP Enterprise DHCP Server, o Integrated Lucent Enforcer continuará a operar. Se você interromper o Integrated Lucent Enforcer, o Lucent VitalQIP Enterprise DHCP Server continuará a operar. Ao ter o Integrated Lucent Enforcer e o Lucent VitalQIP Enterprise DHCP Server instalados no mesmo computador, a necessidade de hardware adicional é eliminada. Você usa o servidor de gerenciamento para configurar as políticas de segurança que o Integrated Lucent Enforcer aplica. Antes do Integrated Enforcer permitir que o cliente conecte-se à rede, ele autentica o cliente verificando as seguintes condições: O computador-cliente deve estar instalado e executando o cliente do Symantec Endpoint Protection ou o cliente do Symantec Network Access Control. O cliente tem o GUID correto. O cliente está em conformidade com as mais recentes políticas de integridade do host padrão ou com sua política de integridade do host personalizada. O cliente recebeu a política de segurança mais recente. O cliente é confiável por um Network Access Control Scanner, tem um MAC confiável ou executa um sistema operacional confiável, se configurado.

340 340 Introdução ao Symantec NAC Integrated Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP Onde encontrar mais informações sobre a documentação relacionada para o Integrated Lucent Enforcer Se o Integrated Lucent Enforcer não puder autenticar o cliente, o acesso a uma área em quarentena com recursos de rede limitados será fornecido ao cliente. A área em quarentena é configurada no mesmo computador que o Integrated Lucent Enforcer e o Lucent VitalQIP Enterprise DHCP Server. Também é possível configurar o acesso a um servidor de correção. O servidor de correção fornece links de produtos de software aos clientes para que fiquem em conformidade com a segurança. Onde encontrar mais informações sobre a documentação relacionada para o Integrated Lucent Enforcer O Integrated Lucent Enforcer faz parte do software Symantec Network Access Control. A Tabela 17-1 fornece as informações adicionais sobre as tarefas que você pode precisar executar antes ou depois da instalação de um Integrated Lucent Enforcer. Tabela 17-1 Documentação relacionada para o Integrated Lucent Enforcer Título do documento Guia de Instalação do Symantec Endpoint Protection e do Symantec Network Access Control Descrição Descreve como instalar os seguintes componentes de software: Symantec Endpoint Protection Manager Cliente do Symantec Endpoint Protection Cliente do Symantec Network Access Control Explica também como instalar e configurar o banco de dados incorporado e do Microsoft SQL e também como configurar a replicação. Guia de Administração do Symantec Endpoint Protection e do Symantec Network Access Control Descreve como configurar e administrar os seguintes componentes de software: Symantec Endpoint Protection Manager Cliente do Symantec Endpoint Protection Cliente do Symantec Network Access Control Descreve também como configurar as políticas de integridade do host usadas por um Enforcer para implementar a conformidade em computadores-cliente.

341 Introdução ao Symantec NAC Integrated Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP Onde encontrar mais informações sobre a documentação relacionada para o Integrated Lucent Enforcer 341 Título do documento Ajuda on-line do Symantec Endpoint Protection e do Symantec Network Access Control arquivos sep_readme.txt e snac_readme.txt Descrição Explica como usar o Symantec Endpoint Protection Manager. Inclui as informações mais recentes sobre as falhas críticas relacionadas ao Enforcer que podem também afetar o Symantec Endpoint Protection Manager. Consulte o arquivo sep_ readme.txt, localizado no CD de instalação CD1, para obter informações sobre falhas relativas ao Symantec Endpoint Protection. Consulte o snac_readme, localizado no CD de instalação CD2, obter informações sobre falhas relativas ao Symantec Network Access Control. Guia do Cliente do Symantec Endpoint Protection e do Symantec Network Access Control Ajuda on-line do Symantec Endpoint Protection e do cliente do Symantec Network Access Control Ajuda on-line do Integrated Lucent Enforcer Ajuda on-line do Integrated Enforcer para servidores DHCP da Microsoft Ajuda on-line do Integrated Enforcer para Microsoft Network Access Protection (NAP) Descreve como usar os seguintes componentes de software: Cliente do Symantec Endpoint Protection Cliente do Symantec Network Access Control Descreve como usar os seguintes componentes de software: Cliente do Symantec Endpoint Protection Cliente do Symantec Network Access Control Descreve como configurar um Integrated Lucent Enforcer. Descreve como configurar o Integrated Enforcer para servidores DHCP da Microsoft. Descreve como configurar o Integrated Enforcer para Microsoft Network Access Protection.

342 342 Introdução ao Symantec NAC Integrated Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP Onde encontrar mais informações sobre a documentação relacionada para o Integrated Lucent Enforcer

343 Capítulo 18 Planejamento da instalação do Symantec NAC Integrated Lucent Enforcer Este capítulo contém os tópicos a seguir: Sobre o planejamento da instalação de um Integrated Lucent Enforcer Componentes necessários para um Integrated Lucent Enforcer Planejamento da colocação de um Integrated Lucent Enforcer Requisitos de hardware para um Integrated Lucent Enforcer Requisitos do sistema operacional para um Integrated Lucent Enforcer Sobre o planejamento da instalação de um Integrated Lucent Enforcer Você deve cumprir vários requisitos para que o Integrated Lucent Enforcer possa se tornar operacional. Os requisitos aplicam-se ao hardware e ao software, e também a outros componentes de software, incluindo aplicativos de terceiros. O tipo de Enforcer que você pode implementar depende do tipo de produto do Symantec Network Access Control que você adquiriu. Consulte o contrato de licença para obter mais informações.

344 344 Planejamento da instalação do Symantec NAC Integrated Lucent Enforcer Componentes necessários para um Integrated Lucent Enforcer Componentes necessários para um Integrated Lucent Enforcer Você já deve ter instalado e configurado os seguintes componentes para que seja possível instalar o Symantec Lucent Integrated Enforcer: Lucent VitalQIP Enterprise DHCP 6.2 Server Consulte a documentação que acompanha o Lucent VitalQIP Enterprise DHCP 6.2 Server para obter informações sobre sua instalação e configuração. Sybase Adaptive Server Enterprise Suite Consulte a documentação que acompanha o Sybase para obter informações sobre como instalar e configurar o banco de dados do Sybase. Symantec Endpoint Protection Manager, versão Consulte o Guia de Instalação do Symantec Endpoint Protection e do Symantec Network Access Control para obter informações sobre como instalar o Symantec Endpoint Protection Manager. Clientes do Symantec Network Access Control, versão Consulte o Guia de Instalação do Symantec Endpoint Protection e do Symantec Network Access Control para obter informações sobre como instalar os clientes do Symantec Network Access Control. Consulte o Guia de Administração do Symantec Endpoint Protection e do Symantec Network Access Control para obter informações sobre como fazer o upgrade dos clientes do Symantec Network Access Control. Consulte o Guia do Cliente do Symantec Endpoint Protection e do Symantec Network Access Control para obter informações sobre como usar o cliente do Symantec Network Access Control. O Tabela 18-1 deve estar instalado para que seja possível proteger com êxito todos os clientes. Tabela 18-1 Componentes necessários para o Symantec NAC Integrated Lucent Enforcer Nome do componente Symantec Endpoint Protection Manager, versão Função do componente O Symantec Endpoint Protection Manager é necessário para criar políticas de segurança em um local centralizado e atribuí-las aos clientes do Symantec Network Access Control.

345 Planejamento da instalação do Symantec NAC Integrated Lucent Enforcer Planejamento da colocação de um Integrated Lucent Enforcer 345 Nome do componente Cliente do Symantec Network Access Control, versão Sybase Adaptive Server Enterprise Suite Lucent VitalQIP Enterprise DHCP 6.2 Server Symantec NAC Integrated Lucent Enforcer Função do componente Os clientes Symantec devem ser instalados e implementados nos computadores-cliente para que as políticas de segurança possam protegê-los. Você configura as políticas de integridade do host no Symantec Endpoint Protection Manager. Essa suite Sybase é necessária. O Lucent VitalQIP Enterprise DHCP 6.2 Server é necessário para as atribuições de concessões e endereços IP do DHCP. O Symantec NAC Integrated Lucent Enforcer é necessário para autenticar credenciais de um cliente e para aplicar a conformidade de um cliente com uma política de segurança. Planejamento da colocação de um Integrated Lucent Enforcer O Figura 18-1 ilustra como colocar o Integrated Lucent Enforcer, o Lucent VitalQIP Enterprise DHCP 6.2 Server e o Symantec Endpoint Protection Manager, assim como clientes remotos ou internos em uma rede.

346 346 Planejamento da instalação do Symantec NAC Integrated Lucent Enforcer Requisitos de hardware para um Integrated Lucent Enforcer Figura 18-1 Colocação do Integrated Enforcer para servidores Alcatel-Lucent VitalQIP com um servidor Lucent VitalQIP Enterprise DHCP 6.2 Symantec Endpoint Protection Manager Clientes Agente de relay Servidores protegidos Backbone corporativo Hub/Alternador Servidor DHCP com o Integrated Enforcer Requisitos de hardware para um Integrated Lucent Enforcer Os requisitos de hardware do Integrated Lucent Enforcer incluem memória RAM, processador, armazenamento, monitor, adaptador de rede e placa de interface de rede. Para instalações de até usuários, use os seguintes requisitos recomendados: Pentium III 750 MHz Memória de 256 MB Espaço em disco de 120 MB Adaptadores de rede fast ethernet

347 Planejamento da instalação do Symantec NAC Integrated Lucent Enforcer Requisitos do sistema operacional para um Integrated Lucent Enforcer 347 Uma placa de interface de rede (NIC, Network Interface Card) com TCP/IP instalado Para instalações de ou mais usuários, use os seguintes requisitos recomendados: Pentium 4 2,4 GHz Memória de 512 MB Espaço em disco de 512 MB Adaptadores de rede de 1 GB Monitor de resolução 800 x 600 com 256 cores (mínimo) Uma placa de interface de rede (NIC, Network Interface Card) com TCP/IP instalado Requisitos do sistema operacional para um Integrated Lucent Enforcer Antes de instalar o Integrated Lucent Enforcer no mesmo computador que o Lucent VitalQIP Enterprise DHCP 6.2 Server, é necessário instalar um dos seguintes sistemas operacionais: Windows 2000 Advanced Server com service pack 4 e Lucent VitalQIP Enterprise DHCP 6.2 Server ou superior Windows Server 2003 Standard Edition de 32 bits e Lucent VitalQIP Enterprise DHCP 6.2 Server ou superior Windows Server 2003 Standard Edition de 32 bits com service pack 1 e Lucent VitalQIP Enterprise DHCP 6.2 Server ou superior Windows Server 2003 Standard Edition de 32 bits com service pack 2 e Lucent VitalQIP Enterprise DHCP 6.2 Server ou superior Windows Server 2003 Advanced Edition de 32 bits e Lucent VitalQIP Enterprise DHCP 6.2 Server ou superior Windows Server 2003 Advanced Edition de 32 bits com service pack 1 e Lucent VitalQIP Enterprise DHCP 6.2 Server ou superior Windows Server 2003 Advanced Edition de 32 bits com service pack 2 e Lucent VitalQIP Enterprise DHCP 6.2 Server ou superior

348 348 Planejamento da instalação do Symantec NAC Integrated Lucent Enforcer Requisitos do sistema operacional para um Integrated Lucent Enforcer

349 Capítulo 19 Instalação do Symantec NAC Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers Este capítulo contém os tópicos a seguir: Antes instalar o Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers pela primeira vez Instalação do Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers Desinstalação do Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers Como interromper e iniciar o Lucent VitalQIP Enterprise DHCP Server Antes instalar o Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers pela primeira vez Antes de iniciar a instalação do Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers, é necessário concluir as tarefas a seguir:

350 350 Instalação do Symantec NAC Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers Instalação do Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers Concluir a instalação do Symantec Network Access Control, que inclui o Symantec Endpoint Protection Manager Nota: O Symantec Endpoint Protection Manager deve estar instalado para que o Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers possa funcionar corretamente. Consulte o Guia de Instalação do Symantec Enterprise Protection e do Symantec Network Access Control para obter informações sobre como instalar o Symantec Endpoint Protection Manager. Concluir a configuração, a implementação e a instalação do cliente do Symantec Network Access Control Consulte o Guia de Instalação do Symantec Enterprise Protection e do Symantec Network Access Control para obter informações sobre como instalar o cliente do Symantec Network Access Control. Verificar os requisitos do sistema para o computador no qual você planeja instalar os seguintes componentes: Banco de dados Sybase Lucent VitalQIP Enterprise DHCP Server Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers Consulte a documentação que acompanha o banco de dados do Sybase para obter mais informações sobre como instalar e configurar o banco de dados. Consulte a documentação que acompanha o Lucent VitalQIP Enterprise DHCP Server para obter mais informações sobre como instalar e configurar o serviço DHCP. Consulte Componentes necessários para o Integrated Enforcer para servidores DHCP da Microsoft na página 326. Instalação do Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers Você deve instalar o Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers no mesmo computador no qual foi instalado o seguinte software: Sistema operacional Microsoft Windows Server Banco de dados Sybase Lucent VitalQIP Enterprise DHCP 6.2 Server Faça login como administrador ou como um usuário do grupo de administradores.

351 Instalação do Symantec NAC Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers Instalação do Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers 351 Nota: Após concluir a instalação do Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers, é necessário configurá-lo. O Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers deve ser capaz conectar-se ao Symantec Endpoint Protection Manager, também conhecido como o servidor de gerenciamento. Você pode instalar o Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers usando alguns dos seguintes métodos de instalação: Assistente de Instalação Linha de comando Para instalar o Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers com um assistente 1 Insira o CD de instalação CD2. Se a instalação não iniciar automaticamente, clique duas vezes em IntegratedEnforcerInstaller.exe. 2 Se o Lucent VitalQIP Enterprise DHCP Server já estiver instalado, no painel Bem-vindo do Assistente de Instalação do Symantec Integrated Lucent Enforcer, clique em Avançar. 3 No painel Contrato de licença, clique em Aceito este contrato de licença. 4 Clique em Avançar. 5 No painel Pasta de destino, realize uma das seguintes tarefas: Se quiser aceitar a pasta de destino padrão, clique em Avançar. Clique em Procurar, localize e selecione uma pasta de destino, clique em OK e em Avançar. 6 Se o painel Role Selection (Seleção de funções) for exibido, selecione DHCP Enforcement for Alcatel-Lucent VitalQIP DHCP Server (Aplicação do DHCP para servidor DHCP da Alcatel-Lucent VitalQIP ) e clique em Next (Avançar). O painel Role Selection (Seleção de funções) apenas será exibido se mais de um tipo de Symantec NAC Integrated Enforcer puder ser instalado com base nos serviços que estão em execução no servidor. 7 No painel Pronto para instalar o aplicativo, clique em Avançar. 8 Quando perguntado se deseja reiniciar o Lucent VitalQIP Enterprise DHCP Server, execute uma das tarefas a seguir: Para reiniciar imediatamente o Lucent VitalQIP Enterprise DHCP Server, clique em Sim.

352 352 Instalação do Symantec NAC Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers Desinstalação do Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers Para reiniciar manualmente o Lucent VitalQIP Enterprise DHCP Server, clique em Não. Se você reiniciar o Lucent VitalQIP Enterprise DHCP Server mais tarde, é necessário interrompê-lo e iniciá-lo. Você deve reiniciar o Lucent VitalQIP Enterprise DHCP Server ou o Lucent Integrated Enforcer não funcionará. Consulte Como interromper e iniciar o Lucent VitalQIP Enterprise DHCP Server na página Clique em Concluir. Se você precisar reinstalar o Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers, será necessário primeiro desinstalá-lo. Consulte Desinstalação do Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers na página 352. Para instalar o Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers a partir da linha de comando 1 Abra um prompt de comando do DOS para iniciar a instalação pela linha de comando. O processo de instalação pela linha de comando usa somente configurações padrão. 2 Na linha de comando, especifique o diretório no qual o instalador do Integrated Lucent Enforcer está localizado. O local de instalação padrão é C:\Arquivos de programas\symantec\integrated Enforcer. 3 Digite IntegratedEnforcerInstaller.exe /qr na linha de comando e pressione Enter. Desinstalação do Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers Algumas vezes será necessário desinstalar o Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers. Você pode desinstalar o Integrated Lucent Enforcer usando o utilitário no Painel de controle ou na linha de comando.

353 Instalação do Symantec NAC Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers Como interromper e iniciar o Lucent VitalQIP Enterprise DHCP Server 353 Para desinstalar o Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers 1 Na barra de tarefas do Windows, clique em Iniciar > Painel de controle > Adicionar ou remover programas. 2 Clique em Symantec Integrated Enforcer e clique em Remover. 3 Quando solicitado para confirmar se deseja excluir o software, clique em Sim. 4 Quando perguntado se deseja reiniciar o Lucent VitalQIP Enterprise DHCP Server, execute uma das tarefas a seguir: Para reiniciar imediatamente o Lucent VitalQIP Enterprise DHCP Server, clique em Sim. Para reiniciar manualmente o Lucent VitalQIP Enterprise DHCP Server mais tarde (padrão), clique em Não. Se você reiniciar o Lucent VitalQIP Enterprise DHCP Server mais tarde, é necessário interrompê-lo e iniciá-lo. Você deve reiniciar o Lucent VitalQIP Enterprise DHCP Server para desinstalar completamente o Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers. Para desinstalar o Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers a partir da linha de comando 1 Abra um prompt de comando do DOS. 2 No prompt de comando, digite: MsiExec.exe /qn /X{A145EB E18-A9DC-9983A6AF2329} Como interromper e iniciar o Lucent VitalQIP Enterprise DHCP Server Algumas vezes será necessário interromper e iniciar o Lucent VitalQIP Enterprise DHCP Server. Para interromper e iniciar o Lucent VitalQIP Enterprise DHCP Server 1 Na barra de tarefas do Windows, clique em Iniciar > Painel de controle > Ferramentas administrativas > Serviços. 2 Clique em Lucent DHCP Service (Serviço DHCP da Lucent). 3 Clique com o botão direito do mouse e, em seguida, clique em Interromper. 4 Clique em Iniciar.

354 354 Instalação do Symantec NAC Integrated Enforcer para Alcatel-Lucent VitalQIP Enterprise DHCP Servers Como interromper e iniciar o Lucent VitalQIP Enterprise DHCP Server

355 Seção 4 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer

356 356

357 Capítulo 20 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Este capítulo contém os tópicos a seguir: Sobre como configurar o Symantec NAC Integrated Enforcer em um console do Enforcer Como estabelecer ou alterar a comunicação entre um Integrated Enforcer e servidores Symantec Endpoint Protection Manager Configuração da quarentena automática Definição das configurações básicas do Symantec Integrated Enforcer Edição de uma conexão do Symantec Endpoint Protection Manager Configuração de uma lista de fornecedor confiável Exibição de registros do Enforcer no console Configuração de registros do Symantec Integrated Enforcer Definição das configurações de autenticação do Symantec Integrated Enforcer Como estabelecer comunicação entre o Symantec Integrated Enforcer e o Network Access Control Scanner em um console do Enforcer Definição das configurações avançadas do Symantec Integrated Enforcer Como interromper e iniciar os serviços de comunicação entre o Integrated Enforcer e um servidor de gerenciamento

358 358 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Sobre como configurar o Symantec NAC Integrated Enforcer em um console do Enforcer Como desconectar o Symantec NAC Lucent Integrated Enforcer de um servidor de gerenciamento no console do Enforcer Conexão a servidores legados do Symantec Endpoint Protection Manager Sobre como configurar o Symantec NAC Integrated Enforcer em um console do Enforcer Depois que você concluir a instalação do Symantec NAC Integrated Enforcer, há duas etapas de configuração. Primeiro, defina as configurações no console do Integrated Enforcer. Em seguida, vá para o console de gerenciamento do Symantec Endpoint Protection Manager para fazer as mudanças desejadas nas configurações do grupo ao qual pertence o Integrated Enforcer. Essas tarefas são descritas abaixo. No console do Enforcer do Integrated Enforcer para servidores DHCP da Microsoft, estabeleça comunicação entre o Integrated Enforcer e um servidor de gerenciamento. Consulte Como estabelecer ou alterar a comunicação entre um Integrated Enforcer e servidores Symantec Endpoint Protection Manager na página 358. No console de gerenciamento do Symantec Endpoint Protection Manager, defina as configurações do Symantec Integrated Enforcer. Defina o servidor DHCP com uma configuração de quarentena. Você deverá configurar uma classe de usuário de quarentena e adicionar recursos à classe de quarentena em cada sub-rede. Se preferir, pode usar a opção de configuração de quarentena automática do Integrated Enforcer. Essa opção permite que o Integrated Enforcer para servidores DHCP da Microsoft configure classes e recursos de usuários, mas somente se não houver uma classe de quarentena previamente configurada. Consulte Configuração da quarentena automática na página 361. Se você não reiniciou o serviço DHCP no servidor DHCP ao instalar o Integrated Enforcer, interrompa-o e reinicie-o agora, manualmente. Como estabelecer ou alterar a comunicação entre um Integrated Enforcer e servidores Symantec Endpoint Protection Manager Especifique um ou mais Symantec Endpoint Protection Managers aos quais o Integrated Enforcer poderá se conectar. Após configurar a lista de servidores de gerenciamento, configure a conexão com a senha criptografada, o nome do grupo

359 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Como estabelecer ou alterar a comunicação entre um Integrated Enforcer e servidores Symantec Endpoint Protection Manager 359 e o protocolo de comunicação. A senha criptografada era previamente conhecida como uma chave pré-compartilhada. Depois que o Integrated Enforcer conecta-se a um servidor de gerenciamento, ele se registra automaticamente. Consulte o Guia de Administração do Symantec Endpoint Protection e do Symantec Network Access Control para obter mais informações sobre listas de servidores de gerenciamento. Para estabelecer comunicação entre o Integrated Enforcer e um servidor Symantec Endpoint Protection Manager no console do Symantec NAC Integrated Enforcer 1 Na barra de tarefas do Windows, no computador do Integrated Enforcer, clique em Iniciar > Programas > Symantec Endpoint Protection > Symantec Integrated NAP Enforcer. O console de configuração do Symantec Integrated Enforcer é exibido. A página principal mostra o status da conexão entre o Integrated Enforcer e o Symantec Endpoint Protection Manager. A luz verde indica que o Integrated Enforcer está ativamente conectado ao servidor de gerenciamento. A luz vermelha indica que a conexão está desativada. 2 No painel esquerdo, clique em Symantec Integrated Enforcer > Configure (Configurar) > Management Servers (Servidores de gerenciamento). 3 No painel Management Servers (Servidores de gerenciamento), clique em Add (Adicionar) na coluna de ícones que está à direita da lista de servidores de gerenciamento. 4 Na caixa de diálogo Add/Edit Management Server (Adicionar/editar servidor de gerenciamento), digite o endereço IP ou o nome do Symantec Endpoint Protection Manager no campo Endereço do servidor. É possível digitar um endereço IP, um nome de host ou um nome de domínio. Se você quer se usar um nome de host ou de domínio, assegure-se de que o nome esteja resolvido corretamente pelo servidor de nomes de domínio (servidor DNS). 5 Na caixa de diálogo Add/Edit Management Server (Adicionar/editar servidor de gerenciamento), edite o número da porta que o Integrated Enforcer usará para comunicar-se com o Symantec Endpoint Protection Manager. O número da porta padrão é 8006 para o protocolo HTTP e 443 para o protocolo HTTPS. O protocolo HTTPS deve ser configurado de maneira idêntica no Symantec Endpoint Protection Manager e no Integrated Enforcer. 6 Clique em OK.

360 360 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Como estabelecer ou alterar a comunicação entre um Integrated Enforcer e servidores Symantec Endpoint Protection Manager 7 Clique na seta Moveup(Moverparacima) ou Movedown(Moverparabaixo), na coluna de ícones localizada à direita da lista de servidores de gerenciamento, para alterar opcionalmente a ordem dos servidores de gerenciamento usados pelo Symantec Integrated Enforcer para se conectar ao Symantec Endpoint Protection Manager. Na primeira vez em que o Symantec Integrated Enforcer se conectar a um Symantec Endpoint Protection Manager, ele tentará conectar-se ao primeiro servidor da lista de servidores de gerenciamento. Se o servidor de gerenciamento não estiver disponível, o Symantec Integrated Enforcer se conectará ao próximo servidor de gerenciamento da lista de servidores de gerenciamento. 8 Na caixa de texto Encrypted password (Senha criptografada), digite a senha do Symantec Endpoint Protection Manager ao qual você está se conectando. O Symantec Endpoint Protection Manager e o Integrated Enforcer devem usar a mesma senha criptografada para comunicação. Para exibir as letras e os números da chave pré-compartilhada em vez de asteriscos, marque Unmask (Desmascarar). 9 Na caixa de texto Preferred group (Grupo preferido), digite o nome para o grupo do Integrated Enforcer. Se um nome de grupo não for especificado, o Symantec Endpoint Protection Manager atribuirá o Symantec Integrated Enforcer a um grupo padrão de Enforcers, com configurações padrão. O nome padrão do grupo é I-DHCP. Porém, o Symantec NAC Integrated Enforcer para servidores NAP da Microsoft e os enforcers baseados em appliances devem estar em grupos separados. Você pode exibir as configurações do grupo no console do Symantec Endpoint Protection Manager, na página View Servers (Exibir servidores).

361 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Configuração da quarentena automática Para especificar o protocolo que o Symantec Integrated Enforcer usa para comunicar-se com o Symantec Endpoint Protection Manager, selecione HTTP ou HTTPS. O protocolo HTTPS somente poderá ser usado se o Symantec Endpoint Protection Manager estiver executando o SSL (Secure Sockets Layer). Se você selecionou HTTPS e deseja solicitar a verificação da certificação do Symantec Endpoint Protection Manager com uma autoridade de certificação externa confiável, marque Verify certificate when using HTTPs protocol (Verificar o certificado quando usar o protocolo HTTPS). 11 Clique em Save (Salvar). Depois que o Integrated Enforcer se conectar ao Symantec Endpoint Protection Manager, você poderá alterar a maioria das configurações no console do Symantec Endpoint Protection Manager. No entanto, o segredo pré-compartilhado ou a senha criptografada deve ser o mesmo no Integrated Enforcer e no Symantec Endpoint Protection Manager para que eles possam se comunicar. Configuração da quarentena automática Os clientes que tentam conectar-se à rede enviam uma solicitação DHCP a um servidor DHCP. O Symantec NAC Integrated Enforcer pode executar a configuração de quarentena baseada em endereços IP permitidos ou você pode configurar uma classe de usuário de quarentena e adicionar recursos para cada sub-rede no interior do servidor DHCP. O Integrated Enforcer insere a classe de usuário de quarentena em todas as mensagens do DHCP provenientes de clientes que não sejam conhecidos ou que não estejam em conformidade. Ele renova também as solicitações do cliente para o servidor DHCP. Clientes confiáveis recebem imediatamente um endereço IP normal, não sendo colocados em quarentena. Se a autenticação for efetuada com êxito, clientes não conhecidos ou não confiáveis são colocados em quarentena, autenticados e renovados, e, em seguida, recebem um endereço IP normal. O acesso é baseado nas configurações da política de integridade do host e do grupo que são definidas no Symantec Endpoint Protection Manager. Digite uma lista de endereços IP que computadores em quarentena poderão acessar, mesmo em caso de falha na autenticação.

362 362 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Configuração da quarentena automática Para configurar a quarentena automática para o Symantec NAC Integrated Enforcer 1 Na barra de tarefas do Windows, no computador do Integrated Enforcer, clique em Iniciar > Programas > Symantec Endpoint Protection > Symantec Integrated NAP Enforcer. 2 No painel esquerdo, clique em Symantec Integrated Enforcer > Configure (Configurar) > Automatic Quarantine Configuration (Configuração da quarentena automática). 3 Na página de configuração de quarentena automática do Integrated Enforcer, clique em Add (Adicionar) para iniciar a criação de uma lista de endereços IP. 4 Digite um endereço IP permitido e clique em OK para adicioná-lo à lista. 5 Clique novamente em Adicionar para continuar adicionando endereços IP à lista. 6 Modifique a lista de endereços IP clicando em Edit, Remove, Remove all, Move Up (Editar, Remover, Remover tudo, Mover para cima), ou Move down (Mover para baixo). 7 Quando todos os endereços IP tiverem sido listados ou modificados, clique em OK na parte inferior da página para salvar suas configurações. Para definir uma configuração de quarentena em um servidor Microsoft DHCP (tarefa opcional avançada) 1 No servidor DHCP, clique em Iniciar>Ferramentasadministrativas>DCHP. Para renovar a solicitação com uma configuração de quarentena, o Integrated Enforcer insere dinamicamente uma classe de usuário de quarentena DHCP às mensagens provenientes de clientes que não estão em conformidade. A classe de usuário de quarentena é definida quando se adiciona um ID chamado: SYGATE_ENF. Serão atribuídos, então, vários recursos da classe de usuário, incluindo um endereço IP do gateway, período de concessão, um servidor DNS e rotas estáticas suficientes para correção. 2 Na árvore da caixa de diálogo DHCP, clique com o botão direito do mouse no servidor DHCP, e clique em Definir classes de usuário. 3 Na caixa de diálogo Classes de usuário DHCP, clique em Adicionar. 4 Na caixa de diálogo Nova classe, digite um nome de exibição que identifique essa classe de usuário de quarentena como a configuração de quarentena e uma descrição opcional. Por exemplo, é possível identificar uma classe de usuário de quarentena, como QUARENTENA.

363 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Definição das configurações básicas do Symantec Integrated Enforcer Para definir uma nova classe de usuário, clique na coluna ASCII e digite SYGATE_ENF em letras maiúsculas. 6 Clique em OK. 7 Clique em Fechar. Para configurar opções de escopo em um servidor Microsoft DHCP (tarefa opcional avançada) 1 Na árvore, clique com o botão direito do mouse em Opções de servidor. 2 Clique em Configurar opções... 3 Na guia Geral, marque 003 Roteador e configure o endereço IP do roteador que estiver associado ao cliente de retransmissão DHCP. 4 Na guia Avançado, na lista suspensa Classe de fornecedor, clique em Opções padrão DHCP. 5 Na guia Avançado, na lista suspensa Classe de usuário, clique em QUARENTENA. 6 Marque 003 Roteador. 7 No campo endereço IP, digite (recomendado). Entretanto, cabe ao administrador decidir qual IP de roteador, se houver, deve ser atribuído aos clientes em quarentena. 8 Marque 051 Concessão. 9 Digite o valor hexadecimal do período de concessão em segundos. Por exemplo, para 2 minutos, digite 0x Clique em OK. 11 Clique em Arquivo > Sair. Definição das configurações básicas do Symantec Integrated Enforcer É possível adicionar ou editar a descrição de um grupo do Symantec Integrated Enforcer ou um grupo do Integrated Enforcer no console do Symantec Endpoint Protection Manager. Também é possível adicionar ou editar no console do Integrated Enforcer. Consulte Adição ou edição da descrição de um grupo do Enforcer com um Symantec Integrated Enforcer na página 364. Consulte Adição ou edição da descrição de um Symantec Integrated Enforcer na página 365.

364 364 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Definição das configurações básicas do Symantec Integrated Enforcer No entanto, não é possível adicionar ou editar o nome de um grupo do Integrated Enforcer no console do Symantec Endpoint Protection Manager. Também não é possível adicionar ou editar o endereço IP ou nome do host de um Integrated Enforcer no console do Symantec Endpoint Protection Manager. Em vez disso, execute essas tarefas no console do Enforcer. Consulte Adição ou edição do nome de um grupo do Enforcer para o Symantec Integrated Enforcer na página 364. É possível adicionar ou editar o endereço IP ou nome do host de um Integrated Enforcer em uma lista de servidores de gerenciamento. Consulte Adição ou edição do endereço IP ou nome do host de um Symantec Integrated Enforcer na página 365. O Integrated Enforcer deve ser conectado a um Symantec Endpoint Protection Manager. Consulte Conexão do Symantec Integrated Enforcer a um Symantec Endpoint Protection Manager na página 366. Adição ou edição do nome de um grupo do Enforcer para o Symantec Integrated Enforcer É possível adicionar ou editar o nome de um grupo do Enforcer do qual um Integrated Enforcer é membro. Essas tarefas são executadas no console do Enforcer durante a instalação. Se, mais tarde, desejar modificar o nome de um grupo do Enforcer, será possível fazê-lo no console do Enforcer. Consulte Como estabelecer ou alterar a comunicação entre um Integrated Enforcer e servidores Symantec Endpoint Protection Manager na página 358. Todos os Enforcers de um grupo compartilham as mesmas configurações. Adição ou edição da descrição de um grupo do Enforcer com um Symantec Integrated Enforcer É possível adicionar ou editar a descrição de um grupo do Enforcer do qual um Symantec Integrated Enforcer é membro. Essa tarefa pode ser realizada no console do Symantec Endpoint Protection Manager em vez de no console do Integrated Enforcer. Para adicionar ou editar a descrição de um grupo do Enforcer com um Symantec Integrated Enforcer 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servers (Servidores).

365 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Definição das configurações básicas do Symantec Integrated Enforcer Na página Admin, em View Servers (Exibir servidores), selecione e expanda o grupo de Enforcers cujo nome deseja adicionar ou editar. 4 Na página Admin, em Tasks (Tarefas), clique em EditGroupProperties (Editar propriedades do grupo). 5 Na caixa de diálogo Settings (Configurações), na guia General (Geral), adicione ou edite uma descrição para o grupo do Enforcer no campo Description (Descrição). 6 Na caixa de diálogo Settings (Configurações), clique em OK. Adição ou edição do endereço IP ou nome do host de um Symantec Integrated Enforcer É possível alterar o endereço IP ou nome do host de um Integrated Enforcer no console do Enforcer somente durante a instalação. Se você quiser mudar posteriormente o endereço IP ou o nome de host de um Integrated Enforcer, você pode fazer isso no console do Integrated Enforcer. Adição ou edição da descrição de um Symantec Integrated Enforcer É possível adicionar ou editar a descrição de um Symantec Integrated Enforcer. Essa tarefa pode ser realizada no console do Symantec Endpoint Protection Manager em vez de no console do Integrated Enforcer. Após concluir essa tarefa, a descrição será exibida no campo Descrição do painel Servidor de gerenciamento. Para adicionar ou editar a descrição de um Symantec Integrated Enforcer 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Em Exibir servidores, selecione e expanda o grupo do Enforcer que inclui o Integrated Enforcer cuja descrição você quer adicionar ou editar. 4 Selecione o Integrated Enforcer cuja descrição você quer adicionar ou editar. 5 Em Tarefas, clique em Editar propriedades do Enforcer. 6 Na caixa de diálogo Propriedades do Enforcer, adicione ou edite uma descrição para o Integrated Enforcer no campo Descrição. 7 Clique em OK.

366 366 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Definição das configurações básicas do Symantec Integrated Enforcer Conexão do Symantec Integrated Enforcer a um Symantec Endpoint Protection Manager Os Enforcers devem ser capazes de se conectar aos servidores nos quais o Symantec Endpoint Protection Manager está instalado. O Symantec Endpoint Protection Manager inclui um arquivo que ajuda a gerenciar o tráfego entre clientes, Symantec Endpoint Protection Managers e Enforcers opcionais, como um Integrated Enforcer. Esse arquivo é conhecido como uma lista de servidores de gerenciamento. A lista de servidores de gerenciamento especifica a qual servidor do Symantec Endpoint Protection Manager um Integrated Enforcer será conectado. Ele também especifica a qual servidor do Symantec Endpoint Protection um Integrated Enforcer será conectado em caso de falha de um servidor de gerenciamento. Uma lista de servidores de gerenciamento padrão é criada automaticamente para cada site durante a instalação inicial. Todos os Symantec Endpoint Protection Managers disponíveis no site são adicionados à lista de servidores de gerenciamento padrão automaticamente. Uma lista de servidores de gerenciamento padrão inclui os endereços IP ou nomes do host do servidor de gerenciamento aos quais os Integrated Enforcers podem se conectar após a instalação inicial. Você deve criar uma lista de servidores de gerenciamento personalizada antes de implementar quaisquer Enforcers. Se criar uma lista de servidores de gerenciamento personalizada, será possível especificar a prioridade com a qual um Integrated Enforcer pode se conectar a servidores de gerenciamento. É possível selecionar a lista de servidores de gerenciamento específica que inclui os endereços IP ou nomes do host desses servidores de gerenciamento aos quais você deseja que o Integrated Enforcer se conecte. Se houver apenas um servidor em um site, será possível selecionar a lista de servidores de gerenciamento padrão. Consulte o Guia de Administração do Symantec Endpoint Protection e do Symantec Network Access Control para obter mais informações sobre como personalizar listas de servidores de gerenciamento. Para conectar o Symantec Integrated Enforcer a um Symantec Endpoint Protection Manager 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Em Exibir servidores, selecione e expanda o grupo de Enforcers. O grupo do Enforcer deve incluir o Integrated Enforcer para o qual deseja modificar o endereço IP ou nome do host na lista de servidores de gerenciamento. 4 Em Tarefas, clique em Editar propriedades do grupo.

367 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Edição de uma conexão do Symantec Endpoint Protection Manager Na caixa de diálogo Configurações, na guia Geral, em Comunicação, selecione a lista de servidores de gerenciamento que deseja que esse Integrated Enforcer utilize. 6 Na guia Geral, em Comunicação, clique em Selecionar. É possível visualizar os endereços IP e os nomes de host de todos os servidores de gerenciamento disponíveis, assim como as prioridades atribuídas. 7 Na caixa de diálogo Lista de servidores de gerenciamento, clique em Fechar. 8 Na caixa de diálogo Geral, clique em OK. Edição de uma conexão do Symantec Endpoint Protection Manager Você pode atualizar o endereço do servidor do Symantec Endpoint Protection Manager, assim como as informações de porta, conforme necessário. Para editar uma conexão do Symantec Endpoint Protection Manager 1 Na barra de tarefas do Windows do computador do Enforcer, clique em Iniciar > Programas > Symantec Endpoint Protection > Symantec Integrated Enforcer. 2 No painel esquerdo, expanda Symantec Integrated Enforcer. 3 Expanda Configure (Configurar). 4 Clique em Management Servers (Servidores de gerenciamento). 5 No painel Management Servers (Servidores de gerenciamento), clique em Edit (Editar) na coluna de ícones que está à direita da lista de servidores de gerenciamento. 6 Na caixa de diálogo Add/Edit Management Server (Adicionar/editar servidor de gerenciamento), digite o endereço IP ou o nome do Symantec Endpoint Protection Manager no campo Endereço do servidor. É possível digitar um endereço IP, um nome de host ou um nome de domínio. Se quiser usar um nome de host ou de domínio, o Symantec Integrated Enforcer deverá conectar-se a um servidor de nomes de domínio (DNS). 7 Clique em OK. Configuração de uma lista de fornecedor confiável Os agentes não podem ser instalados em alguns dispositivos de rede, como impressoras ou telefones IP. Para que isso seja possível, você pode configurar uma

368 368 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Exibição de registros do Enforcer no console lista de fornecedores confiáveis. Se o nome do fornecedor for considerado confiável, o Symantec NAC Integrated Enforcer não autenticará o dispositivo. Os dispositivos obterão endereços IP normais do servidor DHCP. Para configurar uma lista de fornecedores confiáveis 1 Na barra de tarefas do Windows, no computador do Integrated Enforcer, clique em Iniciar > Programas > Symantec Endpoint Protection > Symantec Integrated NAP Enforcer. 2 No painel esquerdo, clique em Symantec Integrated Enforcer > Configure (Configurar) > DHCP Trusted Vendors Configuration (Configuração de fornecedores de DHCP confiáveis). 3 Para ativar a lista de fornecedores confiáveis, marque Turn on Trusted Vendors (Ativar fornecedores confiáveis). Quando a caixa Turn on Trusted Vendors (Ativar fornecedores confiáveis) estiver marcada, a integridade do host não será aplicada para o tráfego DHCP dos fornecedores confiáveis selecionados. 4 Selecione os fornecedores que você quer definir como fornecedores confiáveis. 5 Clique em Save (Salvar). Exibição de registros do Enforcer no console O Symantec Integrated Enforcer registra automaticamente mensagens no registro de cliente do Enforcer e no registro de sistema do Enforcer. O upload destes registros do Enforcer é feito para o Symantec Endpoint Protection Manager. O registro do cliente fornece informações sobre conexões de clientes e comunicações com o Integrated Enforcer. O registro do sistema grava informações relacionadas ao próprio Integrated Enforcer, como ocorrências de início e interrupção do serviço do Enforcer. No Symantec Endpoint Protection Manager, é possível ativar e desativar o registro e configurar os parâmetros dos arquivos de registro do Integrated Enforcer. Todos os registros são ativados e enviados ao Symantec Endpoint Protection Manager por padrão. Para exibir os registros do Enforcer no console 1 No painel à esquerda, expanda Symantec NAC Integrated Enforcer. 2 Expanda View Logs (Exibir registros) e clique em System Log (Registro do sistema) ou clique em Client Log (Registro do cliente).

369 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Configuração de registros do Symantec Integrated Enforcer Para visualizar quaisquer alterações realizadas no registro desde a última vez em que foi aberto, clique em Refresh (Atualizar). 4 Clique em OK. Configuração de registros do Symantec Integrated Enforcer Os registros do Symantec Integrated Enforcer estão armazenados no mesmo computador em que você instalou o Symantec Integrated Enforcer. Os registros do Enforcer são gerados por padrão. Se você deseja exibir registros do Enforcer no console do Symantec Endpoint Protection Manager, será necessário ativar o envio de registros no console do Symantec Endpoint Protection Manager. Se esta opção for ativada, os dados do registro serão enviados do Integrated Enforcer para o Symantec Endpoint Protection Manager e serão armazenados em um banco de dados. Você pode modificar as configurações do registro para o Integrated Enforcer no console do Symantec Endpoint Protection Manager. As atividades são registradas no mesmo registro do servidor do Enforcer para todos os Enforcers em um site. Você pode definir as configurações para os seguintes registros que o Integrated Enforcer gera: Registro do servidor do Enforcer O registro do servidor do Enforcer fornece as informações que estão relacionadas ao funcionamento de um Enforcer. Registro do cliente do Enforcer O registro do cliente fornece as informações sobre as interações entre o Integrated Enforcer e os clientes que tentaram se conectar à rede. Ele fornece informações sobre autenticação, falha de autenticação e desconexão. Definição das configurações de autenticação do Symantec Integrated Enforcer É possível especificar várias configurações de autenticação para uma sessão de autenticação de um Integrated Enforcer. Quando essas alterações forem aplicadas, serão enviadas automaticamente para o Integrated Enforcer selecionado durante a próxima pulsação.

370 370 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Definição das configurações de autenticação do Symantec Integrated Enforcer Sobre o uso das configurações de autenticação Talvez você queira implementar algumas configurações de autenticação para proteger ainda mais a rede. A Tabela 20-1 fornece mais informações sobre as opções da guia Autenticação. Tabela 20-1 Opção Configurações de autenticação para um Symantec Integrated Enforcer Descrição Número máximo de pacotes por sessão autenticada A quantidade máxima de pacotes de desafio que o Integrated Enforcer envia em cada sessão de autenticação. O número padrão é 10. Consulte Especificação do número máximo de pacotes de desafio durante uma sessão de autenticação na página 373. Período de tempo entre pacotes em sessão de autenticação O período de tempo (em segundos) entre cada pacote de desafio que o Enforcer envia. O valor padrão é 3 segundos. Consulte Especificação da freqüência de envio dos pacotes de desafio aos clientes na página 373. Permitir todos os clientes, mas continuar a registrar quais clientes não são autenticados Se essa opção estiver ativada, o Enforcer autenticará todos os usuários, verificando se eles executam o cliente. Em seguida, o Enforcer encaminhará a solicitação do Integrated para receber uma configuração de rede normal em vez de uma configuração de rede de quarentena, independentemente da verificação ser aprovada ou falhar. A configuração padrão é não ativada. Consulte Permissão para todos os clientes com registro contínuo de clientes não autenticados na página 374. Todos os clientes com sistemas operacionais que não sejam Windows Se essa opção estiver ativada, o Integrated Enforcer verificará o sistema operacional do cliente. O Integrated Enforcer permite que todos os clientes que não executam os sistemas operacionais Windows recebam uma configuração de rede normal sem ser autenticados. Se essa opção não estiver ativada, os clientes receberão uma configuração de rede de quarentena. A configuração padrão é não ativada. Consulte Permissão para que clientes que não sejam Windows se conectem à rede sem autenticação na página 375.

371 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Definição das configurações de autenticação do Symantec Integrated Enforcer 371 Opção Verificar o número de série da política do cliente antes de permitir a entrada do cliente na rede Descrição Se essa opção estiver ativada, o Integrated Enforcer verificará se o cliente recebeu as políticas de segurança mais recentes do servidor de gerenciamento. Se o número de série da política não for o mais recente, o Integrated Enforcer notificará o cliente para que ele atualize a política de segurança. O cliente, por sua vez, encaminhará o pedido do Integrated para receber uma configuração de rede de quarentena. Ativar mensagem pop-up para o cliente se o cliente não estiver sendo executado Se essa opção não estiver ativada e se a verificação da integridade do host tiver êxito, o Integrated Enforcer encaminhará a solicitação do Integrated para receber uma configuração de rede normal. O Integrated Enforcer encaminhará o pedido do Integrated mesmo se o cliente não tiver a política de segurança mais recente. A configuração padrão é não ativada. Consulte Como fazer com que o Symantec Integrated Enforcer verifique o número de série da política em um cliente na página 376. Essa opção é exibida, mas não está disponível atualmente no Symantec Integrated Enforcer. Consulte Envio de uma mensagem de não conformidade do Symantec Integrated Enforcer para um cliente na página 377. Sobre as sessões de autenticação Quando um cliente tenta acessar a rede interna, o Symantec Integrated Enforcer verifica primeiramente se o cliente está executando um cliente. Caso esteja, o Enforcer encaminha a mensagem do DHCP do cliente para o servidor DHCP, a fim de obter um endereço IP de quarentena com um tempo de concessão curto. Esse processo é usado internamente pelo Integrated Enforcer para o processo de autenticação. O Integrated Enforcer inicia, então, uma sessão de autenticação com o cliente. A sessão de autenticação é um conjunto de pacotes de desafio que o Integrated Enforcer envia para cada cliente. Durante uma sessão de autenticação, o Enforcer envia um pacote de desafio para o cliente a uma freqüência especificada. A configuração padrão é a cada três segundos.

372 372 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Definição das configurações de autenticação do Symantec Integrated Enforcer O Integrated Enforcer continua a enviar pacotes até que uma das seguintes condições tenham sido satisfeitas: O Integrated Enforcer receba uma resposta do cliente O Integrated Enforcer envie o número máximo de pacotes especificados. A configuração padrão é 10. Os tempos de freqüência (3 segundos) vezes o número de pacotes (10) é o valor que é usado para a pulsação do Enforcer. A pulsação é o intervalo que o Integrated Enforcer permite que o cliente continue conectado antes de iniciar uma nova sessão de autenticação. A configuração padrão é de três segundos. O cliente envia informações que contêm os seguintes itens para o Integrated Enforcer: Identificador único (UID) O número de série do perfil atual Os resultados da verificação de integridade do host O Integrated Enforcer verifica o UID e o número de série da política do cliente com o Symantec Endpoint Protection Manager. Se o cliente foi atualizado com as últimas políticas de segurança, o número de série da política corresponderá ao que o Integrated Enforcer recebeu do servidor de gerenciamento. Os resultados da verificação de integridade do host mostram se o cliente está ou não em conformidade com as políticas atuais de segurança. Se as informações do cliente passarem nos requisitos de autenticação, o Symantec Integrated Enforcer encaminhará a solicitação DHCP ao servidor DHCP. O Integrated Enforcer espera receber uma configuração de rede DHCP normal. Do contrário, o Integrated Enforcer as encaminhará para o servidor DHCP em quarentena para receber uma configuração de rede de quarentena. É possível instalar um servidor DHCP em um computador e configurá-lo para oferecer uma configuração normal e uma configuração de rede de quarentena Após o intervalo de pulsação, ou sempre que o cliente tentar renovar seu endereço IP, o Integrated Enforcer começa uma nova sessão de autenticação. O cliente deve responder para manter a conexão à rede interna. O Integrated Enforcer desconecta os clientes que não responderem. Para os clientes que foram previamente autenticados, mas que agora falham na autenticação, o Integrated Enforcer envia uma mensagem para o servidor DHCP. A mensagem é uma solicitação de liberação do endereço IP atual. Depois, o Integrated Enforcer envia uma mensagem do DHCP para o cliente. O cliente envia uma solicitação para obter um endereço IP e configuração de rede novos para o

373 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Definição das configurações de autenticação do Symantec Integrated Enforcer 373 Integrated Enforcer. O Integrated Enforcer encaminha a solicitação ao servidor DHCP em quarentena. Especificação do número máximo de pacotes de desafio durante uma sessão de autenticação Durante uma sessão de autenticação, o Integrated Enforcer envia um pacote de desafio para o cliente a uma freqüência especificada. O Integrated Enforcer continua a enviar pacotes até que as seguintes condições tenham sido satisfeitas: O Integrated Enforcer receba uma resposta do cliente O Integrated Enforcer envie o número máximo de pacotes especificados. A configuração padrão do número máximo de pacotes de desafio durante uma sessão de autenticação é 10. Para especificar o número máximo de pacotes de desafio durante uma sessão de autenticação 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Em Exibir servidores, selecione e expanda o grupo de Enforcers. O grupo do Enforcer deve incluir o Integrated Enforcer para o qual deseja especificar o número máximo de pacotes de desafio durante uma sessão de autenticação. 4 Em Tarefas, clique em Editar propriedades do grupo. 5 Na guia Autenticação, digite o número máximo de pacotes de desafio que deseja permitir durante uma sessão de autenticação no campo Número máximo de pacotes por sessão autenticada. A configuração padrão é Na caixa de diálogo Configurações, na guia Autenticação, clique em OK. Especificação da freqüência de envio dos pacotes de desafio aos clientes Durante uma sessão de autenticação, o Integrated Enforcer envia um pacote de desafio para o cliente a uma freqüência especificada. O Integrated Enforcer continua a enviar pacotes até que as seguintes condições tenham sido satisfeitas:

374 374 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Definição das configurações de autenticação do Symantec Integrated Enforcer O Integrated Enforcer receba uma resposta do cliente O Integrated Enforcer envie o número máximo de pacotes especificados. A configuração padrão é a cada três segundos. Para especificar a freqüência de pacotes de desafio a serem enviados aos clientes 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Em Exibir servidores, selecione e expanda o grupo de Enforcers. O grupo do Enforcer deve incluir o Integrated Enforcer para o qual deseja especificar a freqüência de pacotes de desafio a serem enviados aos clientes. 4 Em Tarefas, clique em Editar propriedades do grupo. 5 Na guia Autenticação, em Parâmetros de autenticação, digite o número máximo de pacotes de desafio que deseja que o Integrated Enforcer continue a enviar a um cliente durante uma sessão de autenticação no campo Período de tempo entre pacotes em sessão de autenticação. A configuração padrão é Na caixa de diálogo Configurações, na guia Autenticação, clique em OK. Permissão para todos os clientes com registro contínuo de clientes não autenticados Pode levar algum tempo para implantar todo o software-cliente. Você pode querer configurar o Integrated Enforcer para permitir que todos os clientes se conectem à rede até que você tenha concluído a distribuição do pacote de clientes para todos os usuários. Todos os usuários se conectam a um servidor integrado no local do Integrated Enforcer. O Integrated Enforcer ainda autentica todos os usuários, verificando se estão executando um cliente, efetuando a verificação de integridade do host e registrando os resultados. Ele encaminha solicitações DHCP para receber a configuração de rede do servidor DHCP normal, em vez da configuração de rede de quarentena. Esse processo ocorre independentemente da aprovação ou falha das verificações de integridade do host. A configuração padrão é não ativada. Use as seguintes diretrizes quando aplicar as definições de configuração: Essa configuração deve ser uma medida temporária, uma vez que torna a rede menos segura.

375 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Definição das configurações de autenticação do Symantec Integrated Enforcer 375 Enquanto essa configuração estiver ativa, você poderá revisar os registros do Enforcer. É possível descobrir os tipos de clientes que tentam se conectar à rede naquele local. Por exemplo, o registro de atividades do cliente pode ser analisado para verificar se há algum cliente sem o software-cliente instalado. Depois, você pode certificar-se de que o software-cliente esteja instalado nesses clientes antes de desativar essa opção. Para permitir todos os clientes com registros contínuos de clientes não autenticados 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Em Exibir servidores, selecione e expanda o grupo de Enforcers. O grupo do Enforcer deve incluir o Integrated Enforcer para o qual você deseja permitir todos os clientes enquanto continua o registro de clientes não autenticados. 4 Em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações, na guia Autenticação, selecione Permitir todos os clientes, mas continuar a registrar quais clientes não são autenticados. A configuração padrão é não ativada. 6 Na caixa de diálogo Configurações, na guia Autenticação, clique em OK. Permissão para que clientes que não sejam Windows se conectem à rede sem autenticação O Integrated Enforcer não pode autenticar um cliente que aceite um sistema operacional que não seja Windows. Portanto, os clientes que não sejam Windows não podem se conectar à rede, a menos que seja permitido, especificamente, que se conectem à rede sem autenticação. A configuração padrão é não ativada. É possível usar um dos seguintes métodos para ativar clientes compatíveis com plataformas que não sejam Windows para conectar-se à rede: Especificar cada cliente que não seja Windows como host confiável. Permitir todos os clientes que não sejam de sistemas operacionais Windows.

376 376 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Definição das configurações de autenticação do Symantec Integrated Enforcer Para permitir que clientes que não sejam Windows se conectem à rede sem autenticação 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Em Exibir servidores, selecione e expanda o grupo de Enforcers. O grupo do Enforcer deve incluir o Integrated Enforcer para o qual você deseja permitir que todos os clientes que não sejam Windows se conectem a uma rede. 4 Em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações, na guia Autenticação, selecione Todos os clientes com sistemas operacionais que não sejam Windows. A configuração padrão é não ativada. 6 Na caixa de diálogo Configurações, na guia Autenticação, clique em OK. Como fazer com que o Symantec Integrated Enforcer verifique o número de série da política em um cliente O Symantec Endpoint Protection Manager atualiza o número de série da política de um cliente sempre que a política de segurança do cliente é alterada. Quando um cliente se conecta ao Symantec Endpoint Protection Manager, ele recebe as políticas de segurança e o número de série da política mais recentes. Quando o cliente tenta se conectar à rede por meio do Integrated Enforcer, o Integrated Enforcer recupera o número de série da política do Symantec Endpoint Protection Manager. O Integrated Enforcer compara o número de série da política com o número que recebeu do cliente. Se o número de série da política coincidir, o Integrated Enforcer validou que o cliente está executando uma política de segurança atualizada. O valor padrão para essa configuração é não ativada. As seguintes diretrizes se aplicam: Se a opção Verificar o número de série da política do cliente antes de permitir a entrada do cliente na rede estiver marcada, o cliente deverá ter a política de segurança mais recente antes de poder se conectar à rede por meio do servidor DHCP normal. Se o cliente não tiver a política de segurança mais recente, ele será notificado para fazer download da política mais recente. Em seguida, o Integrated Enforcer encaminhará a solicitação DHCP para receber uma configuração de rede de quarentena.

377 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Como estabelecer comunicação entre o Symantec Integrated Enforcer e o Network Access Control Scanner em um console do Enforcer 377 Se a opção Verificar o número de série da política do cliente antes de permitir a entrada do cliente na rede não estiver selecionada e a verificação de integridade do host obtiver êxito, o cliente poderá se conectar à rede. O cliente poderá se conectar por meio do servidor DHCP normal, mesmo se a política de segurança não estiver atualizada. Para fazer com que o Symantec Integrated Enforcer verifique o número de série da política em um cliente 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Em Exibir servidores, selecione e expanda o grupo de Enforcers. O grupo do Enforcer deve incluir o Integrated Enforcer que verifica o número de série da política em um cliente. 4 Em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações, na guia Autenticação, selecione Verificar onúmerodesériedapolíticadoclienteantesdepermitiraentradadocliente na rede. 6 Na caixa de diálogo Configurações, na guia Autenticação, clique em OK. Envio de uma mensagem de não conformidade do Symantec Integrated Enforcer para um cliente Embora essa opção seja exibida, ela não está disponível atualmente na configuração do Symantec Integrated Enforcer. Como estabelecer comunicação entre o Symantec Integrated Enforcer e o Network Access Control Scanner em um console do Enforcer O Integrated Enforcer pode ser configurado para conectar-se aos Network Access Control Scanners. Quando o Network Access Control Scanner estiver ativado, ele verificará a segurança do cliente. Se o verificador determinar que o cliente não está sendo executado no computador-cliente, as regras das políticas entram em ação. O cliente tem seu acesso à rede interna permitido ou negado.

378 378 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Como estabelecer comunicação entre o Symantec Integrated Enforcer e o Network Access Control Scanner em um console do Enforcer Nota: O Symantec Network Access Control Scanner não aceita a conexão de uma impressora a Symantec NAC Integrated Enforcers. As impressoras não aceitam as rotas estáticas que são configuradas para o Symantec Integrated Enforcer. Portanto, o Symantec Network Access Control Scanner não pode comunicar-se com uma impressora conectada a um Integrated Enforcer. Nota: O serviço do Integrated Enforcer deve ser reiniciado após a ativação ou desativação do verificador. Para estabelecer comunicação entre o Symantec NAC Integrated Enforcer e o Network Access Control Scanner do console do Enforcer 1 Na barra de tarefas do Windows, no computador do Integrated Enforcer, clique em Iniciar > Programas > Symantec Endpoint Protection > Symantec Integrated NAP Enforcer. 2 No painel esquerdo, clique em Symantec Integrated Enforcer > Configure (Configurar) > Network Access Control Scanner. 3 Para ativar os verificadores de rede, marque Turn on NAC scanner (Ativar verificador do NAC). 4 Para adicionar ou editar o Network Access Control Scanner, clique em Add (Adicionar). 5 Digite o endereço, nome do host, ou o nome do DNS na caixa de diálogo Add/Edit management server (Adicionar/editar servidor de gerenciamento) e clique em OK. 6 Digite a senha de criptografia configurada no verificador. O segredo pré-compartilhado ou a senha criptografada devem ser correspondentes ao segredo pré-compartilhado ou à senha criptografada definida no verificador. Para exibir as letras e os números da chave pré-compartilhada em vez de asteriscos, marque Unmask (Desmascarar).

379 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Definição das configurações avançadas do Symantec Integrated Enforcer Após adicionar os endereços dos verificadores à lista Address (Endereço), ela poderá ser alterada clicando em Edit (Editar), Remove (Remover), Remove all (Remover tudo), Move Up (Mover para cima) ou Move down (Mover para baixo). O Integrated Enforcer se conectará aos verificadores do NAC na ordem em que estão relacionados na lista de endereços de verificadores do NAC. 8 Clique em OK para concluir a lista e a configuração de endereços de verificadores do NAC. O serviço do Integrated Enforcer deve ser reiniciado após a ativação ou desativação do verificador. Definição das configurações avançadas do Symantec Integrated Enforcer É possível definir as seguintes configurações avançadas do Integrated Enforcer: Parâmetros do tempo limite, tempo limite de autenticação e tempo limite de mensagem do DHCP Embora essas opções sejam exibidas, elas não estão disponíveis atualmente na configuração do Symantec Integrated Enforcer. Endereços MAC ds hosts confiáveis que o Integrated Enforcer permite se conectar ao servidor DHCP normal sem autenticação Consulte Ativação de servidores, clientes e dispositivos para que se conectem à rede como hosts confiáveis sem autenticação na página 379. Ativação da autenticação local Consulte Ativação da autenticação local no Integrated Enforcer na página 381. Quando essas configurações são aplicadas, as alterações são enviadas para o Integrated Enforcer selecionado durante a próxima pulsação. Ativação de servidores, clientes e dispositivos para que se conectem à rede como hosts confiáveis sem autenticação Um host confiável é geralmente um servidor que não pode instalar o software-cliente, como um servidor que não seja Windows, ou um dispositivo, como uma impressora. Talvez queira também identificar os clientes que não sejam Windows como hosts confiáveis porque o Integrated Enforcer não pode autenticar clientes que não executem o cliente do Symantec Endpoint Protection ou o cliente do Symantec Network Access Control.

380 380 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Definição das configurações avançadas do Symantec Integrated Enforcer É possível usar endereços MAC para designar certos servidores, clientes e dispositivos como hosts confiáveis. Quando designar servidores, clientes e dispositivos como hosts confiáveis, o Integrated Enforcer transmite todas as mensagens do DHCP desse host confiável para o servidor DHCP normal sem autenticar o host. Para ativar servidores, clientes e dispositivos para que se conectem à rede como hosts confiáveis sem autenticação 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Em Exibir servidores, selecione e expanda o grupo de Enforcers. 4 Selecione o Integrated Enforcer que permite que servidores, clientes e dispositivos que foram designados como hosts confiáveis se conectem à rede sem autenticação. 5 Em Tarefas, clique em Editar propriedades do grupo. 6 Na caixa de diálogo Configurações, na guia Avançadas, em Hosts confiáveis, marque Adicionar. 7 Na caixa de diálogo Adicionar host confiável, digite o endereço MAC do cliente ou do host confiável no campo Endereço MAC do host. Um conjunto de endereços MAC pode ser copiado de um arquivo de texto. Ao especificar um endereço MAC, é possível usar um caractere curinga, mas somente se digitá-lo em todos os três campos à direita. Por exemplo, *-*-* representa o uso correto do caractere curinga. No entanto, *-66 não representa o uso correto do caractere curinga. 8 Clique em OK. 9 Na caixa de diálogo Configurações, na guia Avançadas, clique em OK. O endereço MAC do host confiável que foi adicionado é exibido agora na caixa de diálogo Configurações na área Endereço MAC. 10 Clique em OK. Permissão para um cliente legado se conectar à rede com um Integrated Enforcer Você pode permitir que um Symantec Integrated Enforcer se conecte aos clientes legados 5.1.x. Se sua rede oferece suporte à versão do Symantec Endpoint Protection Manager, Symantec Integrated Enforcer, e precisar oferecer suporte

381 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Definição das configurações avançadas do Symantec Integrated Enforcer 381 aos clientes legados 5.1.x, você pode ativar o suporte de clientes legados 5.1.x no console do servidor de gerenciamento para que o Symantec Integrated Enforcer não os bloqueie. Para permitir que um cliente legado se conecte à rede com um appliance Integrated Enforcer 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione e expanda o grupo de Integrated Enforcers. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações, na guia Avançadas, marque Permitir cliente legado. 6 Clique em OK. Ativação da autenticação local no Integrated Enforcer Com a autenticação local ativada, se o Integrated Enforcer perder sua conexão com o cliente no qual o Symantec Endpoint Protection Manager está instalado, o Integrated Enforcer autenticará clientes localmente. Nesse caso, o Integrated Enforcer considera o cliente como válido e verifica somente o seu status de integridade do host. Nota: Se o Integrated Enforcer não perder sua conexão com o servidor do Symantec Endpoint Protection Manager, ele sempre solicitará ao servidor do Symantec Endpoint Protection Manager para verificar o UID do cliente, independentemente do fato de a autenticação local estar ativada ou desativada. Para ativar a autenticação local no Integrated Enforcer 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Em Exibir servidores, selecione e expanda o grupo de Integrated Enforcers. 4 Em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações, na guia Avançadas, selecione Ativar a autenticação local. 6 Clique em OK.

382 382 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Como interromper e iniciar os serviços de comunicação entre o Integrated Enforcer e um servidor de gerenciamento Como interromper e iniciar os serviços de comunicação entre o Integrated Enforcer e um servidor de gerenciamento Para solucionar problemas, é possível iniciar ou interromper o serviço do Enforcer ou o serviço (SNACLink.exe) de comunicação com o Symantec Endpoint Protection Manager. Se você interromper o serviço do Enforcer, o Integrated Enforcer removerá as informações de conformidade para clientes existentes. Ele também interromperá a coleta de informações para clientes novos. Entretanto, ele continuará a comunicar-se com o Symantec Endpoint Protection Manager. Se o Symantec Endpoint Protection Manager estiver indisponível, o Integrated Enforcer aplicará a versão das políticas e a GUID para todos os clientes autenticados. O mesmo processo será seguido se a conexão com o Symantec Endpoint Protection Manager for interrompida. Estas informações são armazenadas no cache local (somente se o cache estiver ativado). Ele autentica novos clientes automaticamente (baseado no status da integridade do host), mas ignora a verificação da GUID e das políticas. Assim que as comunicações com o Symantec Endpoint Protection Manager forem restabelecidas, o Integrated Enforcer atualizará a versão das políticas. Ele também autentica os clientes que foram adicionados desde a perda da conexão. Nota: é possível configurar o Symantec Integrated Enforcer para colocar novos clientes em quarentena, em vez de autenticá-los enquanto a conexão do Symantec Endpoint Protection Manager estiver indisponível. Esse objetivo pode ser alcançado alterando o valor padrão da chave DetectEnableUidCache no registro. A interrupção do Integrated Enforcer não afeta o servidor DHCP. Se o Integrated Enforcer for interrompido, o servidor DHCP funcionará como se não houvesse nenhum Enforcer instalado. Se o servidor DHCP ficar indisponível, o Integrated Enforcer interromperá a coleta de status de conformidade de novos clientes. Porém, ele continuará a comunicar-se com os clientes existentes e a registrar as mudanças do status. O servidor DHCP pode ficar indisponível por motivos de manutenção e por outros problemas. Para interromper e iniciar os serviços de comunicação entre o Integrated Enforcer e um servidor de gerenciamento 1 Inicie o Symantec Integrated Enforcer. 2 Clique em Symantec NAC Integrated Enforcer. 3 Realize uma ou ambas as tarefas a seguir:

383 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Como desconectar o Symantec NAC Lucent Integrated Enforcer de um servidor de gerenciamento no console do Enforcer 383 Na caixa de diálogo Enforcer service group (Grupo de serviço do Enforcer), clique em Stop (Interromper). Esta opção interrompe o serviço do Enforcer. Na caixa de diálogo Management server communication service group (Grupo de serviço de comunicação do servidor de gerenciamento), clique em Stop (Interromper). Esta opção interrompe o serviço do Enforcer que faz a conexão com o Symantec Endpoint Protection Manager. Se o status estiver definido como Interrompido, o serviço não será executado. 4 Para reiniciar qualquer serviço, clique em Start (Iniciar). Se desligar ou reiniciar o computador ao qual um Symantec Integrated Enforcer estiver conectado, o serviço do Enforcer também reiniciará automaticamente, juntamente com o computador. Se o serviço de comunicação do servidor for interrompido e, em seguida, reiniciado, o Symantec Integrated Enforcer tentará conectar-se ao Symantec Endpoint Protection Manager ao qual se conectou por último. Se esse Symantec Endpoint Protection Manager estiver indisponível, o Integrated Enforcer irá conectar-se ao primeiro servidor de gerenciamento relacionado na lista de servidores de gerenciamento. Como desconectar o Symantec NAC Lucent Integrated Enforcer de um servidor de gerenciamento no console do Enforcer Talvez seja necessário desconectar um Integrated Lucent Enforcer de um servidor de gerenciamento nas seguintes circunstâncias: Como solucionar problemas com um Integrated Lucent Enforcer. Solução de problemas do servidor de gerenciamento. Aviso: Certifique-se de interromper o serviço do Enforcer antes de tentar desconectar um Integrated Lucent Enforcer de um servidor de gerenciamento. Os clientes podem não ser mais capazes de conectar-se à rede a menos que você configure servidores de gerenciamento de failover. Se deseja desconectar um Integrated Lucent Enforcer de um servidor de gerenciamento, você precisará excluir o endereço IP, o nome do host ou o nome de domínio da lista designada do servidor de gerenciamento.

384 384 Configuração dos Symantec NAC Integrated Enforcers no console do Enforcer Conexão a servidores legados do Symantec Endpoint Protection Manager Você pode executar esta tarefa no console do Enforcer ou no console do servidor de gerenciamento. Para desconectar um Integrated Lucent Enforcer de um servidor de gerenciamento em um console do Enforcer 1 Na barra de tarefas do Windows, no computador do Enforcer, clique em Iniciar > Programas > Symantec Endpoint Protection > Symantec Integrated Enforcer. 2 No painel esquerdo, expanda Symantec Lucent Enforcer. 3 Expanda Configure (Configurar). 4 Clique em Management Servers (Servidores de gerenciamento). 5 No painel Management Servers (Servidores de gerenciamento), selecione o servidor de gerenciamento que deseja desconectar do Integrated Lucent Enforcer. 6 Na coluna de ícones à direita da lista de servidores de gerenciamento, clique em Remove (Remover) ou Remove All (Remover tudo). 7 Clique em Save (Salvar). Conexão a servidores legados do Symantec Endpoint Protection Manager A página de definição das configurações avançadas do Integrated Enforcer permite que os usuários escolham ignorar a quarentena e comunicar-se com o servidor legado 5.1.x Symantec Endpoint Protection Manager. Nota: A opção de máscara de sub-rede segura ( ) só está disponível com o Lucent Integrated Enforcer. Para conectar a um servidor legado do Symantec Endpoint Protection Manager 1 Marque a opção Use secure subnet mask ( ) for quarantine IP address (Usar máscara de sub-rede segura ( ) para o endereço de IP em quarentena), ou desmarque-a para usar a sub-rede padrão Clique em OK para salvar as configurações.

385 Seção 5 Instalação e configuração do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection Apresentação do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection Planejamento da instalação do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection Instalação do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection Configuração do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection em um console do Enforcer Configuração do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection em um console do Symantec Endpoint Protection Manager

386 386

387 Capítulo 21 Apresentação do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection Este capítulo contém os tópicos a seguir: Sobre o Integrated Enforcer para Microsoft Network Access Protection Sobre o Integrated Enforcer para Microsoft Network Access Protection O Integrated Enforcer para Microsoft Network Access Protection (NAP) funciona juntamente com o Microsoft Windows Network Policy Server (NPS) no Microsoft Windows Server O Symantec Integrated NAP Enforcer assegura que os clientes que tentam conectar-se à rede cumprem com as políticas de segurança configuradas. O NAP restringe o acesso às redes criando um ambiente controlado. Ele verifica a postura da segurança de um cliente antes que o cliente possa conectar-se à rede corporativa. Se um cliente não estiver em conformidade, o NAP corrigirá a postura de segurança ou limitará o acesso aos endpoints que não cumprirem a política de segurança de uma empresa. O Network Access Protection é uma tecnologia de criação, aplicação e correção de políticas de integridade do cliente que está incluída no sistema operacional Windows Server Os administradores de sistemas podem criar e automaticamente aplicar políticas de integridade de segurança. Estas políticas de

388 388 Apresentação do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection Sobre o Integrated Enforcer para Microsoft Network Access Protection integridade de segurança podem incluir requisitos do software, requisitos da atualização de segurança, configurações de computador necessárias e outras configurações. Os computadores-cliente que não estiverem em conformidade com uma política de integridade de segurança receberão acesso restrito à rede até que suas configurações estejam atualizadas e em conformidade com uma política. Dependendo de como você escolhe implementar o NAP, os clientes que não estiverem em conformidade podem automaticamente ser atualizados de modo que os usuários possam rapidamente recuperar o acesso completo à rede, sem atualizar ou reconfigurar seus computadores manualmente. Se você configurar o Network Policy Server (NPS) como um servidor da política do Network Access Protection (NAP), o NPS avalia instruções de integridade (SoH) que forem enviadas pelos computadores-cliente compatíveis com NAP que queiram conectar-se à rede. Você pode configurar políticas do NAP no NPS, que permite que os computadores-cliente atualizem suas configurações para que se tornem compatíveis com a política de rede de sua organização. O NAP pode ajudá-lo a resolver os seguintes problemas: Verificar a aderência às políticas de segurança do endpoint Controlar o acesso do convidado Autenticar usuários finais

389 Capítulo 22 Planejamento da instalação do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection Este capítulo contém os tópicos a seguir: Sobre como planejar a instalação do Symantec Integrated NAP Enforcer Componentes necessários para o Symantec Integrated NAP Enforcer Requisitos de hardware do Symantec Integrated NAP Enforcer Requisitos do sistema operacional para o Symantec Integrated NAP Enforcer Requisitos do sistema operacional para o cliente do Symantec Network Access Control Sobre como planejar a instalação do Symantec Integrated NAP Enforcer Você deve cumprir alguns requisitos antes que o Integrated Enforcer para Microsoft Network Access Protection (NAP) possa se tornar operacional. Os requisitos aplicam-se ao hardware e ao software, bem como a outros componentes de software, incluindo aplicativos de terceiros.

390 390 Planejamento da instalação do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection Componentes necessários para o Symantec Integrated NAP Enforcer O tipo de Enforcer que você pode implementar depende do tipo de produto do Symantec Network Access Control que você adquiriu. Consulte o contrato de licença para obter mais informações. Componentes necessários para o Symantec Integrated NAP Enforcer O Symantec Integrated NAP Enforcer funciona com o cliente do servidor DHCP da Microsoft, o Symantec Endpoint Protection Manager e o Symantec Network Access Control com o Network Access Protection ativado. O Symantec Integrated NAP Enforcer verifica se os clientes cumprem as políticas de segurança configuradas para que os clientes possam se conectar a uma rede. Os seguintes componentes devem estar instalados para que seja possível usar o Symantec Integrated NAP Enforcer: Versão do Symantec Endpoint Protection Manager Necessário para criar políticas de segurança em um local centralizado e atribuí-las aos clientes. Servidor Windows 2008 O serviço do servidor DHCP, bem como o serviço do Network Policy Server (NPS), deve também ser instalado no mesmo computador Instalação necessária do Microsoft Windows Server com o serviço do servidor DHCP e o serviço do Network Policy Server. Estes dois serviços devem ser instalados e configurados para que seja possível instalar o Symantec Integrated NAP Enforcer. Controlador de domínio Symantec Integrated NAP Enforcer Cliente do Symantec Network Access Control A instalação necessária do controlador de domínio no mesmo computador que o Symantec Endpoint Protection Manager ou em um computador diferente que aceite o Microsoft Windows Server Necessário para a autenticação de clientes e para a aplicação de políticas de segurança. Instalação necessário para o cliente do Symantec Network Access Control.

391 Planejamento da instalação do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection Requisitos de hardware do Symantec Integrated NAP Enforcer 391 Requisitos de hardware do Symantec Integrated NAP Enforcer Os requisitos de hardware do Symantec Integrated NAP Enforcer incluem memória RAM, processador, armazenamento, monitor, adaptador de rede e placa de interface de rede. Para instalações de até usuários, use os seguintes requisitos recomendados: Pentium III 750 MHz Memória de 256 MB Espaço em disco de 120 MB Adaptadores de rede fast ethernet Uma placa de interface de rede (NIC, Network Interface Card) com TCP/IP instalado Para instalações de ou mais usuários, use os seguintes requisitos recomendados: Pentium 4 2,4 GHz Memória de 512 MB Espaço em disco de 512 MB Adaptadores de rede de 1 GB Monitor de resolução 800 x 600 com 256 cores (mínimo) Uma placa de interface de rede (NIC, Network Interface Card) com TCP/IP instalado Requisitos do sistema operacional para o Symantec Integrated NAP Enforcer O Symantec Integrated NAP Enforcer exige que o seguinte sistema operacional e serviços estejam instalados: Windows 2008 server Standard Edition e Windows 2008 server Enterprise Edition Selecione uma das seguintes configurações: Serviço DHCP do Windows Server 2008, se você planeja usar aplicação de DHCP

392 392 Planejamento da instalação do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection Requisitos do sistema operacional para o cliente do Symantec Network Access Control O serviço DHCP do Windows Server 2008 deve estar no mesmo computador que o Network Policy Server do Windows Server Serviço DHCP do Windows, se você planeja usar a aplicação de 802.1x O serviço DHCP do Windows deve estar no mesmo computador que o Network Policy Server do Windows Server Você também pode configurar o serviço DHCP em um computador separado que tenha sido configurado como um servidor DHCP do Windows 2008 ou do Windows Serviço do servidor Network Policy Server (NPS) do Windows Server 2008 Requisitos do sistema operacional para o cliente do Symantec Network Access Control O cliente do Symantec Network Access Control requer que um dos seguintes sistemas operacionais esteja instalado no computador-cliente: Windows Vista (x86) Home Basic Edition, Home Premium Edition, Business Edition, Enterprise Edition, Ultimate Edition Windows Vista Home Basic x64 Edition, Home Premium x64 Edition, Business x64 Edition, Enterprise x64 Edition, Ultimate x64 Edition Windows Vista (x86) com Service Pack 1 Home Basic Edition, Home Premium Edition, Business Edition, Enterprise Edition, Ultimate Edition Windows Vista com Service Pack 1 Home Basic x64 Edition, Home Premium x64 Edition, Business x64 Edition, Enterprise x64 Edition, Ultimate x64 Edition XP Professional com Service Pack 3

393 Capítulo 23 Instalação do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection Este capítulo contém os tópicos a seguir: Antes de instalar o Symantec Integrated NAP Enforcer Instalação do Symantec Integrated NAP Enforcer Antes de instalar o Symantec Integrated NAP Enforcer Antes de instalar Symantec Integrated Enforcer, é necessário ter concluído as seguintes tarefas de instalação e configuração: Instalação do Symantec Endpoint Protection Manager Nota: Recomenda-se que você instale o Symantec Endpoint Protection Manager antes de instalar o Symantec Integrated NAP Enforcer. O Symantec Endpoint Protection Manager deve ser instalado para que o Symantec Integrated NAP Enforcer possa funcionar corretamente. Consulte o Guia de Instalação do Symantec Enterprise Protection e do Symantec Network Access Control para obter informações sobre como instalar o Symantec Endpoint Protection Manager.

394 394 Instalação do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection Instalação do Symantec Integrated NAP Enforcer Verificação de requisitos do hardware e do software para o computador em que você planeja instalar os seguintes componentes: Serviço do servidor DHCP Serviço do Network Access Protection Server Controlador de domínio Symantec Integrated NAP Enforcer Consulte Componentes necessários para o Symantec Integrated NAP Enforcer na página 390. Instalação do Symantec Integrated NAP Enforcer Você deve instalar o Symantec Integrated NAP Enforcer no mesmo computador em que você já tem instalado o sistema operacional do Microsoft Windows Server. O serviço do servidor DHCP e o serviço de Network Access Protection devem já ter sido instalados e configurados no mesmo computador. Faça login como administrador ou como um usuário do grupo de administradores. Nota: Após concluir a instalação do Symantec Integrated NAP Enforcer, você precisará de uma conexão do Symantec Endpoint Protection Manager. Você pode instalar o Symantec Integrated NAP Enforcer usando o Assistente de instalação. Consulte Para instalar o Symantec Integrated NAP Enforcer com o Assistente de instalação na página 394. Para instalar o Symantec Integrated NAP Enforcer com o Assistente de instalação 1 Insira o CD de instalação do Symantec Network Access Control na unidade de CD-ROM para iniciar automaticamente a instalação. Se a instalação não iniciar, clique em IntegratedEnforcerInstaller.exe. Você deve sair da instalação e instalar o servidor NAP caso ele ainda não esteja instalado. Se o serviço do servidor NAP já estiver instalado, será exibido Welcome to Symantec Integrated NAP Enforcer Installation Wizard. 2 No painel Welcome (Bem-vindo), clique em Next (Avançar). 3 No painel License Agreement (Contrato de licença), clique em I accept the license agreement (Aceito este contrato de licença). 4 Clique em Next (Avançar).

395 Instalação do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection Instalação do Symantec Integrated NAP Enforcer No painel Destination Folder (Pasta de destino), realize uma das seguintes tarefas: Se quiser aceitar a pasta de destino padrão, clique em Next (Avançar). O aplicativo será automaticamente instalado na pasta C:\Arquivos de programas\symantec\integrated Enforcer\ Clique em Browse (Procurar), localize e selecione uma pasta de destino, clique em OK e em Next (Avançar). 6 Se o painel Role Selection (Seleção de funções) for exibido, selecione NAP Enforcement (Aplicação do NAP) e clique em Next (Avançar). O painel Role Selection (Seleção de funções) apenas será exibido se mais de um tipo de Symantec NAC Integrated Enforcer puder ser instalado com base nos serviços que estão em execução no servidor. 7 No painel Ready to Install the Application, clique em Next (Avançar). Se você precisar modificar algumas das configurações anteriores, clique em Back (Voltar). 8 Clique em Finish (Concluir). Se você precisar reinstalar o Symantec Integrated NAP Enforcer, deverá, primeiro, desinstalá-lo. Consulte Para desinstalar o Symantec Integrated NAP Enforcer na página 395. Consulte Para desinstalar o Symantec Integrated NAP Enforcer a partir da linha de comando na página Clique em Iniciar>Programas>SymantecEnterpriseProtection>Symantec Integrated Enforcer. Para desinstalar o Symantec Integrated NAP Enforcer 1 Na barra de tarefas do Windows, clique em Iniciar > Painel de controle > Adicionar ou remover programas. 2 Clique em Symantec Integrated Enforcer e clique em Remover. 3 Quando solicitado para confirmar se deseja excluir o software, clique em Sim. 4 Quando solicitada a reinicialização do servidor NAP, realize uma das seguintes tarefas: Para reiniciar o servidor NAP imediatamente, clique em Sim. Para reiniciar manualmente o serviço NAP mais tarde (padrão), clique em Não. Se for reiniciar o serviço NAP mais tarde, ele deverá ser interrompido e, então, reiniciado.

396 396 Instalação do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection Instalação do Symantec Integrated NAP Enforcer O serviço NAP deverá ser reiniciado para desinstalar o Symantec Integrated Enforcer completamente. Para desinstalar o Symantec Integrated NAP Enforcer a partir da linha de comando 1 Abra um prompt de comando do DOS. 2 No prompt de comando, digite: MsiExec.exe /qn /X{A145EB E18-A9DC-9983A6AF2329} 3 Reinicie o servidor NAP Para interromper e reiniciar o servidor NAP manualmente 1 Na barra de tarefas do Windows, clique em Iniciar > Painel de controle > Ferramentas administrativas > Serviços. 2 Clique em Servidor NAP. 3 Clique com o botão direito do mouse e, em seguida, clique em Interromper. 4 Clique em Iniciar.

397 Capítulo 24 Configuração do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection em um console do Enforcer Este capítulo contém os tópicos a seguir: Sobre como configurar o Symantec Integrated NAP Enforcer em um console do Enforcer Como conectar o Symantec Integrated NAP Enforcer a um servidor de gerenciamento em um console do Enforcer Como criptografar a comunicação entre o Symantec Integrated NAP Enforcer e um servidor de gerenciamento Configuração de um nome de grupo do Enforcer no console do Symantec Integrated NAP Enforcer Configuração de um protocolo de comunicação HTTP no console do Symantec Integrated NAP Enforcer

398 398 Configuração do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection em um console do Enforcer Sobre como configurar o Symantec Integrated NAP Enforcer em um console do Enforcer Sobre como configurar o Symantec Integrated NAP Enforcer em um console do Enforcer Depois que você concluir a instalação do Symantec Integrated NAP Enforcer, é necessário executar as tarefas a seguir antes que o Symantec Integrated NAP Enforcer possa se tornar operacional: Especificação de pelo menos um Symantec Endpoint Protection Manager ao qual o Symantec Integrated NAP Enforcer possa conectar-se. Inclua o nome de host ou o endereço IP do Symantec Endpoint Protection Manager em um arquivo que é chamado de lista do servidor de gerenciamento. O Symantec Integrated NAP Enforcer deve conectar-se a um endereço IP ou a um nome de host do Symantec Endpoint Protection Manager. Caso contrário, a configuração falhará. Consulte Como conectar o Symantec Integrated NAP Enforcer a um servidor de gerenciamento em um console do Enforcer na página 398. Adicione uma senha criptografada ou um segredo pré-compartilhado que você configurou durante a instalação do Symantec Endpoint Protection Manager. A senha criptografada era previamente conhecida como uma chave pré-compartilhada. Consulte Como criptografar a comunicação entre o Symantec Integrated NAP Enforcer e um servidor de gerenciamento na página 400. Configure um nome de grupo do Enforcer Consulte Configuração de um nome de grupo do Enforcer no console do Symantec Integrated NAP Enforcer na página 401. Configure um protocolo de comunicação HTTP Consulte Configuração de um protocolo de comunicação HTTP no console do Symantec Integrated NAP Enforcer na página 402. Como conectar o Symantec Integrated NAP Enforcer a um servidor de gerenciamento em um console do Enforcer É preciso conectar um Symantec Integrated Network Access Protection Enforcer a um servidor de gerenciamento no console do Network Access Protection Enforcer.

399 Configuração do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection em um console do Enforcer Como conectar o Symantec Integrated NAP Enforcer a um servidor de gerenciamento em um console do Enforcer 399 Para conectar o Symantec Integrated NAP Enforcer a um servidor de gerenciamento em um console do Enforcer 1 Na barra de tarefas do Windows, no computador do Enforcer, clique em Iniciar > Programas > Symantec Endpoint Protection > Symantec Integrated NAP Enforcer. O console do Symantec Integrated NAP Enforcer será exibido. A página principal mostra o status da conexão entre o Symantec Integrated NAP Enforcer e o Symantec Endpoint Protection Manager. A luz verde indica que o Symantec Integrated NAP Enforcer está ativamente conectado ao servidor de gerenciamento. A luz vermelha indica que a conexão falhou. 2 No painel esquerdo, expanda Symantec NAP Enforcer. 3 No painel esquerdo, expanda Configure (Configurar). 4 No painel esquerdo, clique em Management Servers (Servidores de gerenciamento). 5 No painel Management Servers (Servidores de gerenciamento), clique em Add (Adicionar) na coluna de ícones que está à direita da lista de servidores de gerenciamento. 6 Na caixa de diálogo Add/Edit Management Server (Adicionar/editar servidor de gerenciamento), digite o endereço IP ou o nome do Symantec Endpoint Protection Manager no campo Endereço do servidor. É possível digitar um endereço IP, um nome de host ou um nome de domínio. Se desejar usar um nome de domínio, o Symantec Integrated NAP Enforcer deverá se conectar a um servidor do servidor de nomes de domínio (DNS). 7 Na caixa de diálogo Add/Edit Management Server (Adicionar/editar servidor de gerenciamento), edite o número da porta que o Symantec Integrated NAP Enforcer usará para comunicar-se com o Symantec Endpoint Protection Manager. O número da porta padrão é 80 para o protocolo HTTP e 443 para o protocolo HTTPS. Você poderá usar somente o protocolo HTTPS se ele estiver configurado do mesmo modo no Symantec Endpoint Protection Manager. 8 Clique em OK. 9 Na caixa de diálogo Add/Edit management server (Adicionar/editar servidor de gerenciamento), selecione um servidor de gerenciamento diferente. Você pode alterar a ordem dos servidores de gerenciamento que o Symantec Integrated NAP Enforcer usa para conectar-se ao Symantec Endpoint Protection Manager.

400 400 Configuração do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection em um console do Enforcer Como criptografar a comunicação entre o Symantec Integrated NAP Enforcer e um servidor de gerenciamento 10 Clique nas setas Move up (Mover para cima) ou Move down (Mover para baixo) na coluna de ícones localizada à direita da lista de servidores de gerenciamento. Quando o Symantec Integrated NAP Enforcer se conecta ao Symantec Endpoint Protection Manager pela primeira vez, ele tenta se conectar ao primeiro servidor de gerenciamento relacionado na lista do servidor de gerenciamento. Se o servidor de gerenciamento não estiver disponível, o Symantec Integrated NAP Enforcer se conectará ao próximo servidor de gerenciamento da lista de servidores de gerenciamento. 11 Para editar um servidor de gerenciamento, clique em Edit (Editar) na coluna de ícones e modifique as informações de porta ou de endereço do servidor de gerenciamento. Para remover o Symantec Endpoint Protection Manager da lista de servidores de gerenciamento em um console do Symantec Integrated NAP Enforcer 1 Na barra de tarefas do Windows, no computador do Enforcer, clique em Iniciar > Programas > Symantec Endpoint Protection > Symantec Integrated NAP Enforcer. 2 No painel esquerdo, expanda Symantec NAP Enforcer. 3 Expanda Configure (Configurar). 4 Clique em Management Servers (Servidores de gerenciamento). 5 Para remover um Symantec Endpoint Protection Manager, clique em Remove (Remover) ou Remove All (Remover tudo) na coluna de ícones. Como criptografar a comunicação entre o Symantec Integrated NAP Enforcer e um servidor de gerenciamento Se você quiser adicionar outra camada de segurança, é possível proteger a comunicação entre o Symantec Integrated NAP Enforcer e o Symantec Endpoint Protection Manager por meio de criptografia. Uma comunicação criptografada exige o uso do protocolo HTTPS em vez do protocolo HTTP. Você precisa também comprar de um fornecedor um certificado de terceiros. Normalmente, uma senha criptografada é configurada durante a instalação do Symantec Endpoint Portection Manager pela primeira vez. A mesma senha deve ser configurada no Symantec Integrated NAP Enforcer. Se as senhas criptografadas não corresponderem, comunicação entre o Symantec Integrated NAP Enforcer e o Symantec Endpoint Protection Manager falhará.

401 Configuração do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection em um console do Enforcer Configuração de um nome de grupo do Enforcer no console do Symantec Integrated NAP Enforcer 401 Para criptografar a comunicação entre o Symantec Integrated NAP Enforcer e um servidor de gerenciamento 1 Na barra de tarefas do Windows, no computador do Enforcer, clique em Iniciar > Programas > Symantec Endpoint Protection > Symantec Integrated NAP Enforcer. 2 No painel esquerdo, expanda Symantec NAP Enforcer. 3 Expanda Configure (Configurar). 4 Clique em Management Servers (Servidores de gerenciamento). 5 Digite a senha criptografada na caixa de texto Encrypted Password (Senha de criptografia) no console do Symantec Integrated NAP Enforcer. O Symantec Integrated NAP Enforcer deve usar a mesma senha criptografada para a comunicação com o Symantec Endpoint Protection Manager. A senha criptografada sempre é configurada durante a instalação do Symantec Endpoint Protection Manager. 6 Marque Unmask (Desmascarar). As letras e os números da senha criptografada agora são exibidos em lugar dos asteriscos. 7 Clique em OK. Configuração de um nome de grupo do Enforcer no console do Symantec Integrated NAP Enforcer Você deve adicionar um nome para o grupo do Enforcer. Após o ymantec Integrated NAP Enforcer conectar-se ao Symantec Endpoint Protection Manager, ele registrará o nome do grupo do Enforcer automaticamente no servidor de gerenciamento. Para configurar um nome de grupo do Enforcer no console do Symantec Integrated NAP Enforcer 1 Na barra de tarefas do Windows, no computador do Enforcer, clique em Iniciar > Programas > Symantec Endpoint Protection > Symantec Integrated NAP Enforcer. 2 No painel esquerdo, expanda Symantec NAP Enforcer. 3 Expanda Configure (Configurar). 4 Clique em Management Servers (Servidores de gerenciamento).

402 402 Configuração do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection em um console do Enforcer Configuração de um protocolo de comunicação HTTP no console do Symantec Integrated NAP Enforcer 5 No painel direito, digite o nome de grupo do Enforcer na caixa de texto Preferred group (Grupo preferido) no console do Symantec Integrated NAP Enforcer. Se você não adicionar um nome para o grupo do Integrated Enforcer no console Enforcer, todos os Integrated Enforcers se tornarão automaticamente parte do grupo temporário do servidor de gerenciamento. Se você adicionar o nome do grupo de Integrated Enforcer no console Enforcer, o nome do grupo de Enforcer será registrado automaticamente no servidor de gerenciamento. 6 Clique em OK. Configuração de um protocolo de comunicação HTTP no console do Symantec Integrated NAP Enforcer Você precisa estabelecer um protocolo de comunicação entre o Symantec Integrated NAP Enforcer e o Symantec Endpoint Protection Manager. Caso contrário, a comunicação entre o Symantec Integrated NAP Enforcer e o Symantec Endpoint Protection Manager. Você pode configurar um protocolo HTTP ou HTTPS. Se você selecionar o protocolo HTTPS, você precisará comprar um certificado de outro fornecedor. Para configurar um protocolo de comunicação HTTP no console do Symantec Integrated NAP Enforcer 1 Na barra de tarefas do Windows, no computador do Enforcer, clique em Iniciar > Programas > Symantec Endpoint Protection > Symantec Integrated NAP Enforcer. 2 No painel esquerdo, expanda Symantec NAP Enforcer. 3 Expanda Configure (Configurar). 4 Clique em Management Servers (Servidores de gerenciamento). 5 No painel direito do console do Symantec Integrated NAP Enforcer, clique em HTTP. Se você quiser configurar comunicação criptografada entre o Symantec Integrated NAP Enforcer e o Symantec Endpoint Protection Manager, será necessário usar o protocolo HTTPS. 6 Se você precisar verificar o certificado por usar o protocolo HTTPS, marque VerifycertificatewhenusingHTTPSprotocol(Verificarocertificadoquando usar o protocolo HTTPS). 7 Clique em OK.

403 Capítulo 25 Configuração do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection em um console do Symantec Endpoint Protection Manager Este capítulo contém os tópicos a seguir: Sobre a configuração do Symantec Integrated NAP Enforcer no console do Symantec Endpoint Protection Manager Ativação da aplicação do NAP para clientes Como verificar se o servidor de gerenciamento gerencia o cliente Verificação das políticas do Validador da integridade de segurança Como verificar se os clientes são aprovados na verificação de integridade do host Ativação da autenticação local no Symantec Integrated NAP Enforcer Configuração de registros para o Symantec Integrated NAP Enforcer

404 404 Configuração do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection em um console do Symantec Endpoint Protection Manager Sobre a configuração do Symantec Integrated NAP Enforcer no console do Symantec Endpoint Protection Manager Sobre a configuração do Symantec Integrated NAP Enforcer no console do Symantec Endpoint Protection Manager Se você quer ter suporte para o Symantec Integrated NAP Enforcer em um ambiente de rede, é necessário ativar a aplicação NAP no Symantec Endpoint Protection Manager. Do contrário, o Enforcer funcionará incorretamente. Você precisa também definir um ou mais critérios para os requisitos da política do Validador da integridade de segurança. Por exemplo, você pode verificar se a política do Validador da integridade de segurança do cliente é a mais recente que foi instalada em um cliente. Se não for a política mais recente do Validador da integridade de segurança, o cliente será bloqueado e, conseqüentemente, incapaz de conectar-se à rede. Ativação da aplicação do NAP para clientes Você deve ativar a aplicação do NAP para os clientes do Symantec Endpoint Protection e do Symantec Network Access Control. Se você não ativar a aplicação do Network Access Protection (NAP) para clientes, o Symantec Integrated NAP Enforcer não poderá implementar nenhuma política do Validador da integridade de segurança. Para ativar a aplicação NAP para clientes 1 No console do Symantec Endpoint Protection Manager, clique em Clientes. 2 Na página Clientes, em Exibir Grupos, selecione o grupo para o qual você quer ativar a aplicação NAP. 3 Na guia Políticas, clique em Configurações gerais. 4 Na caixa de diálogo Configurações, clique em Configurações de segurança. 5 Na guia Configurações de segurança, na área Aplicar cliente, marque Ativar NAP Enforcement. A configuração da aplicação NAP é desativada por padrão. 6 Clique em OK.

405 Configuração do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection em um console do Symantec Endpoint Protection Manager Como verificar se o servidor de gerenciamento gerencia o cliente 405 Como verificar se o servidor de gerenciamento gerencia o cliente Você pode configurar o controle da verificação para assegurar que o Symantec Endpoint Protection Manager gerencia o cliente do Symantec Endpoint Protection ou o cliente do Symantec Network Access Control. Para verificar se o servidor de gerenciamento gerencia o cliente 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir, selecione o grupo do Enforcer que você quer verificar se o servidor de gerenciamento gerencia o cliente. 4 Clique com o botão direito do mouse no grupo do Enforcer e selecione Editar propriedades. 5 Na área Informações do cliente na guia Configurações NAP na caixa de diálogo I-DHCP Settings (Configurações do I-DHCP), marque Verificar se o servidor de gerenciamento gerencia o cliente. A configuração Verificar se o servidor de gerenciamento gerencia o cliente é desativada por padrão. 6 Na área Informações do cliente na guia Configurações NAP na caixa de diálogo I-DHCP Settings (Configurações do I-DHCP), clique em OK. Verificação das políticas do Validador da integridade de segurança Você pode certificar-se de que o Symantec Endpoint Protection e os clientes do Symantec Network Access Control têm as políticas mais recentes do Validador da integridade de segurança instaladas. Para verificar políticas do Validador da integridade de segurança 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir, selecione o grupo para o qual você quer configurar políticas do Validador da integridade de segurança. 4 Clique com o botão direito do mouse no grupo do Enforcer e selecione Editar propriedades.

406 406 Configuração do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection em um console do Symantec Endpoint Protection Manager Como verificar se os clientes são aprovados na verificação de integridade do host 5 Na área Informações do cliente na guia Configurações NAP na caixa de diálogo I-DHCP Settings (Configurações do I-DHCP), marque Verificar se a política do Validador da integridade está atualizada. A configuração de Verificar se a política do Validador da integridade está atualizada é desativada por padrão. 6 Clique em OK. Como verificar se os clientes são aprovados na verificação de integridade do host Você pode configurar uma verificação de conformidade para clientes no Symantec Endpoint Protection Manager. Para verificar se os clientes são aprovados na verificação de integridade do host 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir, selecione o grupo do Enforcer ao qual você quer verificar se o cliente foi aprovado na verificação de integridade do host. 4 Clique com o botão direito do mouse no grupo do Enforcer e selecione Editar propriedades. 5 Na área do status de integridade do host na guia Configurações NAP na caixa de diálogo I-DHCP Settings (Configurações do I-DHCP), marque Verifique se o cliente passou na verificação de integridade do host. A configuração Verificar se o cliente passou na verificação de integridade do host é desativada por padrão. 6 Clique em OK. Ativação da autenticação local no Symantec Integrated NAP Enforcer Com a autenticação local ativada, se o Symantec Integrated NAP Enforcer perder sua conexão com o cliente no qual o Symantec Endpoint Protection Manager está instalado, o Symantec Integrated NAP Enforcer autenticará clientes localmente. Nesse caso, o Symantec Integrated NAP Enforcer considera o cliente como um usuário válido e verifica somente o status de integridade do host do cliente.

407 Configuração do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection em um console do Symantec Endpoint Protection Manager Configuração de registros para o Symantec Integrated NAP Enforcer 407 Nota: Se o Symantec Integrated NAP Enforcer não perder sua conexão com o servidor do Symantec Endpoint Protection Manager, ele sempre solicitará ao servidor do Symantec Endpoint Protection Manager que verifique o UID do cliente, independentemente do fato de a autenticação local estar ativada ou desativada. Para ativar a autenticação local no Symantec Integrated NAP Enforcer 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Em Exibir servidores, selecione e expanda o grupo de Symantec Integrated NAP Enforcers. 4 Em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações, na guia Avançadas, selecione Ativar a autenticação local. 6 Clique em OK. Configuração de registros para o Symantec Integrated NAP Enforcer Os registros do Symantec Integrated NAP Enforcer são armazenados no mesmo computador em que você instalou o Symantec Integrated NAP Enforcer. Os registros do Enforcer são gerados por padrão. Se você deseja exibir registros do Enforcer no console do Symantec Endpoint Protection Manager, será necessário ativar o envio de registros no console do Symantec Endpoint Protection Manager. Se esta opção estiver ativada, os dados do registro serão enviados do Symantec Integrated NAP Enforcer para o Symantec Endpoint Protection Manager e armazenados em um banco de dados. Você pode modificar as configurações do registro do Symantec Integrated NAP Enforcer no console do Symantec Endpoint Protection Manager. As atividades são registradas no mesmo registro do servidor do Enforcer para todos os Enforcers em um site. Você pode definir configurações dos seguintes registros gerados pelo Symantec Integrated NAP Enforcer: Registro do servidor do Enforcer Registro do cliente do Enforcer O registro do cliente fornece as informações sobre as interações entre o Integrated Enforcer e os clientes que tentaram se conectar à rede. Ele fornece informações sobre autenticação, falha de autenticação e desconexão.

408 408 Configuração do Symantec NAC Integrated Enforcer para Microsoft Network Access Protection em um console do Symantec Endpoint Protection Manager Configuração de registros para o Symantec Integrated NAP Enforcer

409 Seção 6 Gerenciamento de enforcers a partir do console do Symantec Endpoint Protection Manager Gerenciamento de enforcers no console do Symantec Endpoint Protection Manager

410 410

411 Capítulo 26 Gerenciamento de enforcers no console do Symantec Endpoint Protection Manager Este capítulo contém os tópicos a seguir: Sobre o gerenciamento de Enforcers no console do servidor de gerenciamento Sobre o gerenciamento de Enforcers na página Servidores Sobre os grupos do Enforcer Sobre as informações do Enforcer que são exibidas no console do Enforcer Exibição das informações sobre o Enforcer no console de gerenciamento Alteração do nome e da descrição de um Enforcer Exclusão de um Enforcer ou de um grupo do Enforcer Exportação e importação das configurações do grupo do Enforcer Mensagens pop-up para clientes bloqueados Sobre as configurações do cliente e o Enforcer Configuração de clientes para usar uma senha a fim de interromper o serviço do cliente

412 412 Gerenciamento de enforcers no console do Symantec Endpoint Protection Manager Sobre o gerenciamento de Enforcers no console do servidor de gerenciamento Sobre o gerenciamento de Enforcers no console do servidor de gerenciamento As configurações do Symantec Enforcer no console do servidor de gerenciamento ajudam a configurar o Enforcer, suas interações de autenticação e interações de aplicação com os clientes. Antes de definir as configurações do Enforcer no console, conclua a instalação e a configuração do Enforcer no computador ou appliance Enforcer. As configurações do Enforcer no console do Symantec Endpoint Protection Manager dependem de que tipo de Enforcer você configura: appliance Gateway, LAN ou DHCP. Portanto, as configurações de cada um serão tratadas separadamente. A maior parte da configuração e administração do Enforcer é feita no console. Muitas configurações do Enforcer podem ser alteradas somente no console. Entretanto, algumas configurações do Enforcer exigem a edição de um arquivo do Enforcer no computador e não console. Quase todas as configurações dos Enforcers são feitas na página Servidores no console. O LAN Enforcer tem algumas configurações adicionais necessárias na página Políticas. Se você administrar vários Enforcers e for responsável por outras tarefas, será mais conveniente administrá-los em um local centralizado. O console oferece esse recurso. É possível fazer login em um console para exibir informações sobre todos os Enforcers. É necessário executar algumas tarefas no computador no qual o Enforcer está instalado. As tarefas incluem o uso do console local do Enforcer em vez das tarefas do console de gerenciamento e das tarefas de manutenção. Por exemplo, os problemas de conexão entre o Enforcer e um console são solucionados no próprio Enforcer. Para definir o problema, poderá ser necessário verificar fisicamente a situação do hardware do computador com o Enforcer ou alterar a conexão de rede. Esse capítulo não inclui informações sobre como configurar o cliente do Symantec Enforcer, que é um componente isolado do Enforcer. Sobre o gerenciamento de Enforcers na página Servidores A página Servidores no console de gerenciamento relaciona os Enforcers instalados, além de servidores e consoles conectados, no painel Exibir servidores. Todos os Enforcers são relacionados sob um nome de grupo. Edite as propriedades do Enforcer no nível do grupo. Consulte Alteração do nome e da descrição de um Enforcer na página 416.

413 Gerenciamento de enforcers no console do Symantec Endpoint Protection Manager Sobre os grupos do Enforcer 413 São necessários privilégios totais de administrador do sistema para exibir a página Servidores. Sobre os grupos do Enforcer A configuração do Enforcer no console é feita em nível de grupo e não em nível individual. Os Enforcers são relacionados sob um nome de grupo na página Servidores do console. Os grupos do Enforcer são uma maneira de sincronizar configurações do Enforcer. Todos os Enforcers de um grupo compartilham as mesmas configurações (propriedades). Para atualizar as propriedades do Enforcer, será necessário selecionar o nome do grupo no painel Exibir servidores e editar as propriedades do grupo. Como o console determina o nome do grupo do Enforcer Durante a configuração da conexão do console no console local do Enforcer, é possível especificar um nome de grupo. O Enforcer se registrará no console após estabelecer a conexão. O console atribuirá automaticamente o Enforcer ao grupo especificado e o relacionará sob o nome do grupo no painel Exibir servidores do console. Se um nome não for especificado durante a configuração, o console atribuirá o Enforcer a um grupo de Enforcers padrão. O console usará o nome de grupo do computador com o Enforcer. Sobre os grupos de failover do Enforcer O novo Enforcer identifica-se no console como Enforcer de failover em espera. Essa identificação acontece se você adicionar um DHCP Enforcer ou um Gateway Enforcer de failover que se conecte por hub ou alternador à mesma sub-rede. Em seguida, o console atribui o novo Enforcer de failover em modo de espera ao mesmo grupo do Enforcer ativo. A atribuição ocorrerá independentemente de você ter especificado um nome para o grupo durante a instalação no console local. Essa ação assegura que o DHCP ou Gateway Enforcer de failover tenha exatamente as mesmas configurações que o Enforcer principal. Nos LAN Enforcers, o failover é tratado por meio do alternador, e não por meio do Enforcer, dessa maneira a atribuição automática no mesmo grupo não ocorre. É possível garantir que vários LAN Enforcers compartilhem configurações. Especifique o mesmo nome do grupo no console local do Enforcer na caixa de diálogo Configurações do console.

414 414 Gerenciamento de enforcers no console do Symantec Endpoint Protection Manager Sobre as informações do Enforcer que são exibidas no console do Enforcer Sobre a alteração de um nome de grupo Não é possível alterar o nome do grupo do Enforcer no console. Entretanto, é possível especificar um novo nome para o grupo no console local do Enforcer. O Enforcer será movido para o novo grupo. Poderá ser necessário atualizar a tela do console para ver a alteração. Sobre a criação de um grupo do Enforcer Geralmente, é necessário criar um novo grupo do Enforcer somente se você adiciona um Enforcer que exija configurações diferentes que as dos Enforcers existentes. É possível criar um grupo do Enforcer no console local do Enforcer especificando o novo nome na caixa de diálogo Configurações do console. O novo grupo terá as configurações padrão do Enforcer É possível deixar o campo com o nome do grupo em branco ao conectar o novo Enforcer no console local. Nesse caso, o console atribuirá o Enforcer a um novo grupo. Esse grupo adotará o nome do computador com o Enforcer e suas configurações padrão. É possível usar o mesmo método para mover um Enforcer para outro grupo. Especifique o nome desejado para o grupo no console local do Enforcer. O Enforcer adotará as configurações do grupo para o qual foi movido. Sobre as informações do Enforcer que são exibidas no console do Enforcer É possível exibir informações sobre o Enforcer no console do Enforcer. É possível alterar as configurações das placas de interface de rede somente no appliance Enforcer, não no console de gerenciamento. Se forem feitas alterações na configuração da NIC no appliance Enforcer, as novas configurações serão transferidas ao console de gerenciamento durante a próxima pulsação. Veja informações similares sobre o Enforcer no console do Enforcer. A Tabela 26-1 descreve o tipo de informação que pode ser exibida. Tabela 26-1 Campo Nome Informações sobre o appliance Enforcer no console do Enforcer Descrição Igual ao campo Nome do host.

415 Gerenciamento de enforcers no console do Symantec Endpoint Protection Manager Exibição das informações sobre o Enforcer no console de gerenciamento 415 Campo Descrição Versão Hostname Sistema operacional Status on-line Descrição Breve descrição do Enforcer. A descrição é a única informação que pode ser editada no console de gerenciamento. Versão do software do Enforcer executada no computador Enforcer selecionado. Nome do computador em que o Enforcer está instalado. Sistema operacional em execução no computador em que o Enforcer selecionado está instalado. On-line: o serviço está em execução e é o Enforcer ativo principal. Off-line: o serviço foi interrompido. Status de failover IP interno IP externo MAC interno MAC externo NIC interna NIC externa (Somente Gateway e DHCP Enforcer) Se o Enforcer está ativo ou em modo de espera. Endereço IP da placa de rede interna. (Somente Gateway e DHCP Enforcer) Endereço IP da placa de rede externa. Endereço MAC da placa de rede interna (Somente Gateway e DHCP Enforcer) Endereço MAC da placa de rede externa. Fabricante e modelo da placa de rede interna (Somente Gateway e DHCP Enforcer) Fabricante e modelo da placa de rede externa. Exibição das informações sobre o Enforcer no console de gerenciamento Você pode exibir informações sobre o Enforcer de um console. Consulte Tabela 26-1 na página 414.

416 416 Gerenciamento de enforcers no console do Symantec Endpoint Protection Manager Alteração do nome e da descrição de um Enforcer Para mostrar as informações sobre o Enforcer no console de gerenciamento 1 Na página Admin do console do Symantec Endpoint Protection Manager, clique em Servidores. 2 Em Exibir servidores, clique o nome do Enforcer do qual você deseja exibir informações. As informações sobre o appliance LAN Enforcer não são exibidas nos campos referentes ao NIC externo porque o appliance LAN Enforcer exige somente um NIC interno. O status de failover não é exibido porque um alternador gerencia o failover do LAN Enforcer. Alteração do nome e da descrição de um Enforcer O nome do Enforcer é sempre o nome do host do appliance ou do computador em que está instalado. O nome do Enforcer pode ser alterado somente por meio da alteração do nome do host do computador. É possível alterar a descrição do Enforcer no console. Por exemplo, você pode querer inserir uma descrição para identificar o local do Enforcer. Para alterar a descrição de um Enforcer 1 No console, na página Admin, clique em Servidores. 2 Em Exibir servidores, clique no nome do Enforcer e, em seguida, em Tarefas, clique em Editar propriedades do Enforcer. A caixa de diálogo Propriedades será exibida. O campo Nome não é editável. 3 Insira o texto desejado na caixa de texto Descrição. 4 Clique em OK. Também é possível editar a descrição do Enforcer clicando com o botão direito do mouse no nome do Enforcer e selecionando Propriedades. Exclusão de um Enforcer ou de um grupo do Enforcer Você pode excluir Enforcer no console de gerenciamento. Quando um Enforcer é excluído, ele libera uma licença porque o computador não está mais executando um Enforcer. Não é possível excluir um Enforcer no console enquanto ele estiver on-line. É possível desligar o Enforcer e excluí-lo. Quando o computador com o Enforcer é reiniciado, o Enforcer reconecta-se ao console. O Enforcer registra-se e é exibido novamente na página Servidores. Para excluir um Enforcer definitivamente do console, primeiro desinstale-o do computador.

417 Gerenciamento de enforcers no console do Symantec Endpoint Protection Manager Exportação e importação das configurações do grupo do Enforcer 417 Para excluir um grupo do Enforcer depois de desinstalá-lo de um computador do Enforcer 1 Desligue ou desinstale o Enforcer do computador. 2 No console, na página Admin, clique em Servidores. 3 Em Exibir servidores, clique no nome do Enforcer e, em seguida, em Tarefas, clique em Excluir Enforcer. Uma caixa de mensagem solicitará a confirmação da exclusão. 4 Para confirmar a exclusão, clique em Sim. Se não houver Enforcers relacionados no grupo do Enforcer e você não quiser mais usar esse grupo, poderá excluí-lo. O grupo não deve mais conter nomes de Enforcers para que seja possível excluir. Ao excluir um grupo do Enforcer, você exclui todas as configurações personalizadas do grupo. Para excluir um grupo do Enforcer 1 No console do Symantec Endpoint Protection, clique em Admin. Na página Admin, clique em Servidores. 2 Em Exibir servidores, clique no nome do grupo do Enforcer. 3 Clique em Excluir grupo. Uma caixa de mensagem solicitará a confirmação da exclusão. 4 Para confirmar a exclusão, clique em Sim. Exportação e importação das configurações do grupo do Enforcer É possível exportar ou importar configurações em um grupo do Enforcer. As configurações são exportadas para um arquivo no formato.xml. Ao importar configurações, é preciso importá-las para um grupo existente do Enforcer, sobrescrevendo as configurações do grupo selecionado. Para exportar configurações do grupo do Enforcer 1 No console de gerenciamento, na página Admin, clique em Servidores. 2 Em Exibir servidores, clique no nome do grupo do Enforcer e, em seguida, em Exportar propriedades do grupo. 3 Selecione um local onde salvar o arquivo e especifique um nome para o mesmo. 4 Clique em Salvar.

418 418 Gerenciamento de enforcers no console do Symantec Endpoint Protection Manager Mensagens pop-up para clientes bloqueados Ao importar configurações, é preciso importá-las para um grupo existente do Enforcer, sobrescrevendo as configurações do grupo selecionado. Para importar configurações do grupo do Enforcer 1 No console de gerenciamento, na página Admin, clique em Servidores. 2 Em Exibir servidores, clique no nome do grupo do Enforcer cujas configurações você deseja sobrescrever e clique em Importar propriedades do grupo. 3 Selecione o arquivo que você quer importar e clique em Abrir. Você será solicitado a confirmar a substituição das propriedades atuais do grupo do Enforcer. 4 Clique em Sim. Mensagens pop-up para clientes bloqueados Quando um Enforcer bloquear um cliente que tentar conectar-se à rede, estes dois tipos de mensagens pop-up podem ser configurados: Mensagem dos computadores que executam um cliente Mensagem dos computadores com Windows que não estão executando um cliente (somente Gateway ou DHCP Enforcer) Mensagens dos computadores que executam o cliente Pode haver várias razões para que o Enforcer bloqueie computadores, mesmo que eles estejam executando um cliente. O bloqueio pode ocorrer porque uma verificação de integridade do host falhou ou porque a política do cliente não está atualizada. Quando esses eventos ocorrem, é possível especificar que uma mensagem pop-up seja exibida no cliente. Essa mensagem notifica o usuário de que o Enforcer bloqueou todo o tráfego do cliente e porque ele foi bloqueado. Por exemplo, a mensagem a seguir será exibida se o cliente não passar na verificação de integridade do host: Symantec Enforcer has blocked all traffic from the client because the client failed Host Integrity. (O Symantec Enforcer bloqueou todo o tráfego do cliente porque o cliente não passou na verificação de integridade do host.) É possível adicionar texto à mensagem padrão. Por exemplo, você pode informar ao usuário do computador o que fazer para corrigir a situação. Configure essa mensagem como parte das configurações da política de grupo de clientes em vez das configurações do Enforcer.

419 Gerenciamento de enforcers no console do Symantec Endpoint Protection Manager Mensagens pop-up para clientes bloqueados 419 Mensagens dos computadores com Windows que não estão executando o cliente (somente Gateway ou DHCP Enforcer) Em alguns casos, os clientes tentam conectar-se à rede empresarial sem executar o cliente. Os Gateway e DHCP Enforcers fornecem uma mensagem pop-up para informar aos usuários de computadores com Windows sobre a necessidade de instalação do software-cliente. A mensagem informará aos clientes que eles estão impedidos de acessar a rede porque o cliente da Symantec não está em execução. É possível configurar o conteúdo da mensagem na guia Autenticação da caixa de diálogo Enforcer Settings (Configurações do Enforcer). Use a opção Ativar mensagem pop-up no cliente se ele não estiver sendo executado. Nota: Somente para o Gateway Enforcer, uma alternativa à mensagem pop-up é a opção HTTP Redirect (Redirecionamento do HTTP). A opção HTTP Redirect (Redirecionamento do HTTP) conectará o cliente a um Website com instruções ou recursos para correção. Para que o Enforcer faça com que o cliente exiba uma mensagem, as portas UDP 137 e 138 deverão estar abertas para a transmissão da mesma. O Windows Messaging, também denominado Messenger, deve estar em execução nos sistemas baseados em Windows NT (Windows NT 4.0, 2000, XP e Windows Server 2003) para que o computador exiba mensagens pop-up. Se o cliente estiver em execução, o Windows Messaging não será necessário para exibição de mensagens pop-up do cliente. Configuração das mensagens do Enforcer Você pode configurar as mensagens do Enforcer que são exibidas nos clientes quando o Enforcer bloqueia os clientes. Nota: É possível modificar as configurações somente dos grupos não herdados de um grupo pai. Para configurar as mensagens do Enforcer 1 No console, na página Clientes, selecione a guia Políticas. 2 No painel Exibir políticas, selecione o grupo para o qual deseja especificar uma mensagem pop-up. 3 Em Configurações, selecione Configurações gerais. A caixa de diálogo Configurações de grupo será exibida com a guia Configurações gerais selecionada.

420 420 Gerenciamento de enforcers no console do Symantec Endpoint Protection Manager Sobre as configurações do cliente e o Enforcer 4 Na guia Configurações de segurança, selecione Exibirumamensagemquando um cliente estiver bloqueado por um Symantec Enforcer. 5 Se você quiser adicionar texto na mensagem padrão, clique em Definir texto adicional, digite o texto e clique em OK. 6 Clique em OK. Sobre as configurações do cliente e o Enforcer Os clientes da Symantec trabalham com o Enforcer sem configurações especiais. A exceção está em algumas configurações da autenticação 802.1x requerida para o LAN Enforcer. Além disso, há uma situação sobre a qual você deve estar informado ao configurar clientes. Se um usuário final interromper o cliente durante a execução, pode causar um problema. Configuração de clientes para usar uma senha a fim de interromper o serviço do cliente O cliente pode passar inicialmente na autenticação do Enforcer, enquanto o cliente está em execução e receber uma configuração normal de rede e endereço IP. Se o cliente não falhar na autenticação mais tarde, o Enforcer enviará uma mensagem ao cliente. Essa falha faz com que o cliente gere uma versão e renove o endereço IP. No entanto, se o usuário final interromper o cliente no computador-cliente, o Enforcer será desativado para aplicar a versão e renovação. Para garantir que o Enforcer possa continuar a colocar em quarentena ou bloquear clientes, talvez você queira restringir os usuários que podem interromper um cliente. Você pode restringir os usuários ao exigir uma senha para o usuário final interromper o cliente. Para configurar clientes para usar uma senha a fim de interromper o serviço do cliente 1 No console, na página Cliente, selecione o grupo de clientes. 2 Na guia Políticas, em Configurações, clique em Configurações gerais. 3 Na guia Configurações de segurança, em Proteção de senha do cliente, selecione Exigir uma senha para interromper o serviço do cliente e especifique a senha. 4 Clique em OK.

421 Seção 7 Como trabalhar com relatórios e registros do enforcer Gerenciamento de relatórios e registros do Enforcer

422 422

423 Capítulo 27 Gerenciamento de relatórios e registros do Enforcer Este capítulo contém os tópicos a seguir: Sobre relatórios do Enforcer Sobre registros do Enforcer Definição das configurações do registro do Enforcer Sobre relatórios do Enforcer A página Relatórios no console do Symantec Endpoint Protection Manager fornece relatórios predefinidos e relatórios personalizados. É possível exibir os relatórios rápidos predefinidos que contêm informações sobre Enforcers na página Relatórios. Estes relatórios do Enforcer estão disponíveis: O relatório do sistema denominado Enforcers principais que geram erros contém informações sobre os Enforcers que geraram erros e avisos. O relatório do sistema denominado Status do site contém informações sobre o processamento do sistema Enforcer, tráfego e registro de pacotes. Os relatórios de conformidade contêm informações sobre o status de conformidade dos clientes. Consulte o Guia de Administração do Symantec Endpoint Protection Manager do Symantec Network Access Control para obter informações detalhada sobre relatórios do Enforcer.

424 424 Gerenciamento de relatórios e registros do Enforcer Sobre registros do Enforcer Consulte Sobre registros do Enforcer na página 424. Sobre registros do Enforcer Os Enforcers fornecem estes registros que podem ser usados para monitorar e solucionar problemas de atividade do sistema: Registro do servidor do Enforcer Consulte Sobre o registro do servidor do Enforcer na página 424. Registro do cliente do Enforcer Consulte Sobre o Registro do cliente do Enforcer na página 425. Registro de tráfego do Enforcer (somente Gateway Enforcer) Consulte Sobre o registro de tráfego do Gateway Enforcer na página 426. Os registros do Enforcer são armazenados por padrão no mesmo computador em que o software Enforcer é instalado ou no próprio appliance Enforcer. Você pode ter os registros enviados automaticamente do appliance Enforcer ou do computador em que você instalou um Integrated Enforcer para o console do Symantec Endpoint Protection Manager. Porém, é necessário ativar o envio dos registros no console do Symantec Endpoint Protection Manager. Os dados do registro são enviados do Enforcer para o Symantec Endpoint Protection Manager e são armazenados no banco de dados. Você pode modificar as configurações de registro do Enforcer, exibir registros do Enforcer e gerar relatórios sobre Enforcers no console do Symantec Endpoint Protection Manager. As atividades são registradas no mesmo registro do servidor do Enforcer para todos os Enforcers em um site. Nota: O registro do sistema denominado Atividade do Enforcer também está disponível no console do Symantec Endpoint Protection Manager. Ele contém informações sobre eventos, como quando os Enforcers são iniciados e quando eles se conectam ao Symantec Endpoint Protection Manager. Sobre o registro do servidor do Enforcer O registro do servidor do Enforcer fornece as informações que estão relacionadas ao funcionamento de um Enforcer. A Tabela 27-1 descreve as informações disponíveis no registro do servidor do Enforcer.

425 Gerenciamento de relatórios e registros do Enforcer Sobre registros do Enforcer 425 Tabela 27-1 Informações do registro do servidor do Enforcer Nome da coluna de registro Hora Descrição A data e hora do evento registrado. Você deve manter a hora do registro do servidor do Enforcer sincronizada com a hora do sistema Linux no appliance Enforcer. Talvez você precise alterar a hora manualmente em seu appliance Enforcer para corresponder às alterações do horário de verão. Tipo de evento Nome do Enforcer Site Servidor O tipo de evento. Por exemplo, Enforcer registrado ou Registro do Enforcer recebido pelo servidor são tipos de eventos. O nome do Enforcer que esse evento envolve. O nome do site que esse evento envolve. O nome do servidor que esse evento envolve. Sobre o Registro do cliente do Enforcer Um registro do cliente do Enforcer fornece as informações sobre as interações entre um Enforcer e um cliente que tente se conectar à rede. Ele exibe informações sobre autenticação, falha de autenticação e desconexão. Em uma situação de autenticação ponto-a-ponto, o registro do cliente do Enforcer mostra também informações sobre autenticação, falha de autenticação e desconexão. As informações são de interações entre clientes que atuam como Enforcers e clientes remotos. Os clientes remotos tentam se conectar à rede através dos clientes que atuam como Enforcers. A Tabela 27-2 descreve as informações disponíveis no registro do cliente do Enforcer. Tabela 27-2 Informações do registro do cliente do Enforcer Nome da coluna de registro Hora Nome do Enforcer Descrição A data e a hora em que ocorreu a interação com o cliente. O nome do host do computador ou appliance Enforcer que esse evento envolve.

426 426 Gerenciamento de relatórios e registros do Enforcer Sobre registros do Enforcer Nome da coluna de registro Tipo do Enforcer Site Host remoto Ação Descrição O tipo de Enforcer que esse evento envolve: um appliance Gateway Enforcer, um appliance DHCP Enforcer ou um appliance LAN Enforcer. O nome do site que esse evento envolve. O nome do host do cliente que esse evento envolve, se houver. A ação tomada pelo Enforcer. Essa coluna pode conter as seguintes ações: Autenticado O identificador único (UID, Unique Identifier) do cliente estava correto. Rejeitado O UID do cliente estava incorreto ou o cliente não estava em execução. Desconectado O cliente foi desconectado do Enforcer ou o serviço Enforcer foi interrompido. Passou O cliente passou na verificação de integridade do host. Falhou O cliente não passou na verificação de integridade do host. MAC remoto O endereço MAC do cliente. Sobre o registro de tráfego do Gateway Enforcer O registro de tráfego armazena todo o tráfego que entra pelo adaptador externo e sai pelo adaptador interno do appliance Gateway Enforcer. Nota: Os registros do tráfego estão disponíveis em appliances Gateway Enforcer somente. O conteúdo depende do filtro do registro de tráfego configurado na caixa de diálogo Configurações do Gateway Enforcer. A Tabela 27-3 descreve as informações disponíveis no registro de tráfego do Gateway Enforcer.

427 Gerenciamento de relatórios e registros do Enforcer Definição das configurações do registro do Enforcer 427 Tabela 27-3 Informações sobre o registro de tráfego do appliance Gateway Enforcer Nome da coluna de registro Hora Nome do Enforcer Tipo do Enforcer Site Porta local IP do host local IP do host remoto Direção Ação Total Descrição A data e hora do evento do tráfego. O nome do appliance Gateway Enforcer que o evento envolve. O nome do tipo de Enforcer que esse evento envolve: appliance Gateway Enforcer, DHCP Enforcer ou LAN Enforcer. O nome do site que esse evento envolve. Porta TCP ou UDP do destino do pacote. Endereço IP da origem do pacote. Endereço IP do destino do pacote. A direção do tráfego: qualquer entrada, que entra no appliance Gateway Enforcer ou saída, que sai do appliance Gateway Enforcer. A ação tomada. Por exemplo, a ação pode ser autenticada ou bloqueada. Número de vezes que o mesmo pacote foi recebido. Definição das configurações do registro do Enforcer É possível configurar os registros do Enforcer na caixa de diálogo Configurações do nome do Enforcer na guia Registro. As alterações serão enviadas para o Enforcer selecionado durante a próxima pulsação. Desativação do registro do Enforcer no console do Symantec Endpoint Protection Manager O registro do Enforcer é ativado por padrão. Você pode desativá-lo no console do Symantec Endpoint Protection Manager. Se os registros estiverem desativados, é possível ativá-los nesse mesmo local. Para desativar o registro do Enforcer no console do Symantec Endpoint Protection Manager 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores.

428 428 Gerenciamento de relatórios e registros do Enforcer Definição das configurações do registro do Enforcer 3 Na página Admin, em Exibir servidores, selecione o grupo do Enforcer no qual você quer desativar o registro do Enforcer. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações de nome do Enforcer, na guia Registro, desmarque Ativar registro em todos os registros que queira desativar. 6 Clique em OK. Ativação do envio de registros do Enforcer de um Enforcer para o Symantec Endpoint Protection Manager Por padrão, todos os registros são enviados automaticamente do appliance Enforcer ou do computador em que você instalou qualquer software baseado no Integrated Enforcer para o Symantec Endpoint Protection Manager. Assim que você ativar o envio dos registros, poderá exibir todos os registros da Symantec em um local central no console do Symantec Endpoint Protection Manager. Para ativar o envio de registros do Enforcer de um Enforcer para o Symantec Endpoint Protection Manager 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione o grupo do Enforcer no qual você quer ativar o envio de registros do Enforcer de um Enforcer para o Symantec Endpoint Protection Manager. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações de nome do Enforcer, na guia Registro, marque Enviar o registro ao servidor de gerenciamento. Você pode ativar o envio de cada tipo de registro de um appliance Enforcer ou de um computador em que você instalou qualquer software baseado no Integrated Enforcer para o Symantec Endpoint Protection Manager. 6 Clique em OK. Configuração do tamanho e do prazo dos registros do Enforcer É possível especificar o tamanho máximo dos arquivos de registro do Enforcer e por quantos dias as entradas serão armazenadas. Para configurar o tamanho e a idade de registros do Enforcer 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores.

429 Gerenciamento de relatórios e registros do Enforcer Definição das configurações do registro do Enforcer Na página Admin, em Exibir servidores, selecione o grupo do Enforcer para o qual você quer definir o tamanho e a idade de registros do Enforcer. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações de nome do Enforcer, na guia Registro, em cada um dos campos de Tamanho máximo do arquivo de registro, especifique o número de KB de dados a serem mantidos em cada registro. A configuração padrão é 512 KB. 6 No campo A entrada de registro vai expirar após, especifique o número de dias que a entrada permanecerá no banco de dados antes de ser removida. O intervalo é de 1 dia a 365 dias, com o padrão de 30 dias. 7 Clique em OK. Filtragem dos registros de tráfego de um Enforcer Se houver muitos clientes conectando-se por um Enforcer, ele poderá gerar um extenso registro de tráfego. É possível filtrar o tipo de dados registrados pelo Enforcer no registro de tráfego e assim reduzir o tamanho médio do mesmo. A lista de filtros permite filtrar o tráfego que registros do Enforcer fazem antes que os dados sejam retidos. Para filtrar os registros de tráfego de um Enforcer 1 No console do Symantec Endpoint Protection Manager, clique em Admin. 2 Na página Admin, clique em Servidores. 3 Na página Admin, em Exibir servidores, selecione o grupo do Enforcer para o qual você quer filtrar registros de tráfego. 4 Na página Admin, em Tarefas, clique em Editar propriedades do grupo. 5 Na caixa de diálogo Configurações de nome do Enforcer, na guia Registro, na lista de filtros do registro de tráfego, selecione uma das seguintes opções de filtro: Todo o tráfego Somente tráfego bloqueado Somente tráfego permitido Registra todo o tráfego, incluindo o que é permitido e o que é removido Registra somente os clientes bloqueados pelo Enforcer Registra somente o tráfego permitido pelo Enforcer 6 Clique em OK.

430 430 Gerenciamento de relatórios e registros do Enforcer Definição das configurações do registro do Enforcer

431 Índice Símbolos 802.1x autenticação 38, 202 autenticador 40 configuração da autenticação 205 configuração do alternador 195 EAP-sobre-LAN (EAPOL) 40 Extensible Authentication Protocol (EAP) 40 pontos de acesso sem fio 159 Servidor de autenticação 40 suplicante 40, 314 A Acesso remoto 92 ajuste 35 Alternador de VLAN Appliance LAN Enforcer 174 e LAN Enforcer 163 API do Universal Enforcement 41 aplicação de políticas 315 Appliance DHCP Enforcer autenticação 137 comando advanced user-class 262 como ele funciona 36 configuração 132 configuração das placas de interface de rede 265 Endereço IP 56 failover 59, 76 instalação 80 NIC 79 planejamento da instalação 54 servidor de correção 76 sobre 30, 76, 132 Appliance Enforcer Appliance Enforcer, interface da linha de comando (CLI) convenções de comandos 231 comandos console 269 comandos debug 270 comandos mab 272 conectores 77 configuração 83 controles 77 DHCP 29 especificações de hardware 79 exibição do status 92 fazer login 88 finalidade 31 Gateway 29 geração de imagens 72 indicadores 77 instalação 75 interface da linha de comando 221 atalhos de combinação de teclas 226 comandos de nível superior 247 sistema de ajuda 227 LAN 29 painel frontal 77 painel traseiro 78 perguntas freqüentes 311 referência alfabética do comando 232 relatórios de monitoração 92 solução de problemas 307 tipo de aplicação 29 trava 85 uso 31 verificação do status de comunicação 91 Appliance Gateway Enforcer autenticação 35 Cliente que não seja Windows 49 como ele funciona 35 configuração das placas de interface de rede 265 Endereço IP 47 Failover 51 failover 47 instalação 75 76, 80 locais de rede 76 NIC 79 outros protocolos 127 Pacote de solicitações ARP 127 Pacote de solicitações DHCP 127 Pacote de solicitações DNS 127 planejamento da instalação 44

432 432 Índice ponto de acesso sem fio (WAP) 45 pontos de acesso sem fio (WAP) 48 proteção de servidores 48 Registro de tráfego 426 servidor do acesso remoto (RAS) 47 Servidor que não seja Windows 49 servidores 45 sobre 29, 76 VPN 45, 48 Appliance LAN Enforcer 802.1x 202 alternação dinâmica de VLAN 77, 159 como ele funciona 37 configuração a partir do console do Symantec Endpoint Protection Manager 157 configuração básica de 802.1x 38 configurações 160 configurações do alternador 174 failover 66 instalação 75, 77, 80 modelo do alternador compatível 176 modo transparente 39, 314 planejamento da instalação 63 pontos de acesso sem fio de 802.1x 159 sobre 29 Suplicante 802.1x 77 autenticação 118 Appliance DHCP Enforcer 137, 156 Appliance Gateway Enforcer 35, 101, 129 Appliance LAN Enforcer 77, 202 comandos 232, 253, 260, 262, 313 configuração básica de 802.1x 38 e clientes não autenticados 110, 374 e clientes que não sejam Windows 111, 375 e hosts confiáveis 379 e Integrated Enforcer 358 e nova autenticação 109 falha 109, 152 Integrated Enforcer 369, 371, 381 Integrated Enforcer para servidores DHCP da Microsoft 319 intervalo confiável 116 local 379 permitindo clientes não autenticados 143 permitindo clientes que não sejam Windows 144 política de alternador 199 processo 34 reautenticação 191, 205 Symantec Integrated NAP Enforcer 406 tipos de 32 autenticação local 379 ativação do Symantec Integrated NAP Enforcer 406 ativação no appliance DHCP Enforcer 156 ativação no appliance Gateway Enforcer 129 ativação no appliance LAN Enforcer 202 ativação no Integrated Enforcer 381 C Cisco Network Admissions Control 41 cliente autenticação 319, 358 autenticado 106, 139 conformidade 146, 319, 358 em quarentena 35, 147, 319, 358 mensagens em caso de bloqueio 418 não autenticado 374 sem fio 159 Symantec Network Access Control 319, 358 Cliente do Symantec Enforcer 412 cliente legado conectar ao appliance DHCP Enforcer 155 conectar ao appliance LAN Enforcer 201 conexão ao appliance Gateway Enforcer 128 conexão com Integrated Enforcer 381 Cliente que não seja Windows Appliance Gateway Enforcer 49 comando capture 222, 253 filter 254 show 255 start 255 upload 256 verbose 257 comando clear 222, 247 comando configure 222, 257 advanced 257 advanced CATOS 257 advanced Check-UID 258 advanced DNS spoofing 258 advanced failover 258 advanced legacy 259 advanced legacy-uid 260 advanced local authentication 260 advanced RADIUS 261 advanced re-initialize 261 advanced show 262 advanced SNACS 261 advanced user-class 262

433 Índice 433 DNS add IP address 264 DNS delete IP address 264 interface 264 interface-role 265 ntp 266 redirect 267 route 267 show 268 spm 268 comando console 222, 269 baud-rate 269 show 270 ssh 269 sshkey 270 comando date 248 comando debug 222 destination 271 level 271 show 272 upload 272 comando exit 222, 248 comando help 222, 248 comando hostname 222, 249 comando interface-role 265 comando mab disable 273 enable 273 ldap disable 274 ldap enable 274 ldap host 275 ldap password 275 ldap port 275 show 276 comando monitor 222, 277 refresh 277 show 277 show blocked-hosts 277 show connected-guests 279 show connected-users 280 comando ntp disable 266 enable 266 server string 266 comando on-demand 284 comando on-demand authentication 284 disable 286 enable 287 comando on-demand authentication ad 285 ad domain 285 disable 285 enable 286 comando on-demand authentication local-db 287 add 287 disable 288 enable 288 comando on-demand banner 290 comando on-demand client-group 290 comando on-demand dot1x 291 comando on-demand dot1x certificate 291 import 292 remove 293 comando on-demand dot1x show certificate show 293 comando password 222, 249 comando ping 222, 250 comando reboot 222, 250 comando redirect 267 comando route 267 comando show 222, 251, 268 advanced 262 capture 251 configure 251 console 251, 270 debug 272 status 251 update 251 version 251 comando shutdown 222, 251 comando spm 268 comando start 222, 252 comando stop 222, 252 comando traceroute 222, 252 comando update 222, 253 comandos mab ldap 274 conectores Appliance Enforcer 77 configuração Registro do Enforcer 427 conformidade registro 424 relatório 423 console Enforcer 414 exibição de informações sobre o Enforcer 415 Gerenciamento do Enforcer 412 Página Servidores 412 console de gerenciamento. Consulte console Registro do Enforcer 428

434 434 Índice controles Appliance Enforcer 77 criptografia senha 189 Symantec Integrated NAP Enforcer 400 D debug comandos 270 depuração comandos 309 log 309 DHCP Enforcer comandos do appliance 232 DNS spoofing comando 258 E endereço de sub-rede 83 Integrated Enforcer 358 segurança 319 Endereço IP Appliance DHCP Enforcer 56 Appliance Gateway Enforcer 47 confiáveis Gateway Enforcer 106 Integrated Enforcer 365 quarentena 58 Endereço MAC hosts confiáveis 379 Enforcer alteração de um grupo 414 alteração do nome de grupo 414 configurações 412 console 414 gerenciamento 412 criação de um grupo 414 edição da descrição 416 edição do nome 416 exclusão 416 failover 413 failover de DHCP 413 failover de Gateway 413 failover de LAN 413 fornecedor terceirizado 41 grupo exportação das configurações 417 importação das configurações 417 log 424 Registro de tráfego 426 Registro do cliente 425 Registro do servidor 424 relatório 423 sobre um grupo 413 Enforcers autentica o cliente com UID 34 configurações do cliente 420 Gateway 94 restrição da interrupção do cliente 420 especificações de hardware Appliance Enforcer 79 exportação configurações do grupo do Enforcer 417 F failover Appliance DHCP Enforcer 59 Appliance Gateway Enforcer 47, 51 Appliance LAN Enforcer 66 comando 258 fornecedores confiáveis 367 G Gateway Enforcer comandos do appliance 232 e configuração do Symantec Endpoint Protection Manager 94 locais de rede 45 várias instalações 122 geração de imagens Appliance Enforcer 72 Gerenciadores redundantes 313 grupo Appliance DHCP Enforcer 134 Appliance Gateway Enforcer 98 Appliance LAN Enforcer 162 Integrated Enforcer 363 Servidor RADIUS 167, 190 H hosts confiáveis cliente sem autenticação 153 configuração 379 dispositivo sem autenticação 153 servidor sem autenticação 153

435 Índice 435 I identificador único (UID) 34 Autenticação Enforcer para o cliente 34 importação configurações do grupo do Enforcer 417 indicadores Appliance Enforcer 77 instalação Appliance DHCP Enforcer 75 76, 80 Appliance Gateway Enforcer 75 76, 80 Appliance LAN Enforcer 75, 77, 80 pré-requisitos 75 Symantec Integrated Enforcer assistente de instalação 329 linha de comando 329 Symantec Integrated NAP Enforcer 393 Integrated DHCP Enforcer Servidores DHCP da Microsoft 319 Integrated Enforcer conexão ao servidor de gerenciamento 366 configurações de comunicação 358, 377 e clientes do Symantec Network Access Control 329 e comunicação do Symantec Endpoint Security Manager 358 e Network Access Control Scanners 377 e verificação do número de série da política 376 fornecedores confiáveis 367 instalação 329 Microsoft NAP 29 quarentena 361 Servidores DHCP da Microsoft 29 Integrated Enforcer para Microsoft NAP tipo de aplicação 30 Integrated Enforcer para Microsoft Network Access Protection componente necessário 390 planejamento 389 requisitos do sistema operacional 390 Integrated Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP tipo de aplicação 30 Integrated Enforcer para servidores DHCP da Microsoft Cliente do Symantec Network Access Control 319, 358 componente necessário 326 planejamento 328 requisitos de hardware 327 requisitos do sistema operacional 327 Servidor DHCP da Microsoft 358 tipo de aplicação 30 Integrated Lucent Enforcer como desconectar da lista do servidor de gerenciamento 383 requisitos do sistema operacional 347 integridade do host, verificação da 32 Appliance Enforcer 32 mensagem 313 perguntas freqüentes 313 Servidor RADIUS 158 software compatível 312 status 34 L LAN Enforcer comandos do appliance 232 lista de servidores de gerenciamento 100 Listas de controle de acesso (ACLs, Access Control Lists) 160 local authentication comando 260 log Enforcer 424 enviar do Enforcer para o Symantec Endpoint Protection Manager 424 local de 424 log files depuração 309 logon normal 88 superusuário 88 M mensagem Enforcer 418 mensagem de não-conformidade 113 enviar do appliance DHCP Enforcer 146 mensagens Enforcer exibição 419 modificação 419 modelo do alternador 176 modo transparente 159 autenticação 39

436 436 Índice N Network Access Control Scanner e Integrated Enforcer 377 Integrated Enforcer para servidores DHCP da Microsoft 319 NIC. Consulte placa de interface de rede normal logon 88 número de série da política 145 número de série do perfil 139 O O Integrated DHCP Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP componente 344 planejamento 343 requisitos de hardware 346 P pacote de desafio especificação da freqüência de 142 especificação do número máximo 141 Pacote de solicitações ARP 127 Pacote de solicitações DHCP 127 Pacote de solicitações DNS 127 pacotes de desafio 105, 371 especificação 107, 373 freqüência 108 freqüência de 373 password padrão 83 placa de interface de rede Appliance DHCP Enforcer 79 Appliance Gateway Enforcer 79 comando configure 265 placas de interface de rede comando shutdown 264 planejamento Integrated Enforcer para Microsoft Network Access Protection 389 Integrated Enforcer para servidores DHCP da Microsoft 328 O Integrated DHCP Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP 343 planejamento da instalação Appliance DHCP Enforcer 54 Appliance Gateway Enforcer 44 Appliance LAN Enforcer 63 política de alternador 188 condições e ações 197 política de integridade do host nível de grupo 313 nível global 313 política de segurança API do Universal Enforcement 315 atualizações de número de série 376 auto-aplicação 315 Cisco NAC 315 conformidade 319, 358 DHCP 315 LAN 315 não Symantec 315 ponto de acesso sem fio (WAP) Appliance Gateway Enforcer 45 pontos de acesso sem fio (WAP) Appliance Gateway Enforcer 48 porta de escuta LAN Enforcer 163 problemas conhecidos 217, 308 processo de autenticação Appliance DHCP Enforcer 139 Gateway Enforcer 105 proteção de senha cliente 420 Enforcers 420 proteção de servidores Appliance Gateway Enforcer 48 protocolos sem fio 159, 192 público, alvo 28 pulsação entre o Symantec Endpoint Protection Manager e o Enforcer 33 Q quarentena 147 Appliance DHCP Enforcer 54 e Integrated Enforcer 358, 361, 371 ID da classe de usuário 262 Integrated Enforcer para servidores DHCP da Microsoft 319 Servidor DHCP 58 59, 76 quarentena automática 361 cliente 152 R reautenticação 205

437 Índice 437 rede confiável 319, 358 redirecionamento de solicitações HTTP 115 registro. Consulte Registro do servidor do Enforcer conformidade 424 filtragem de dados do registro de tráfego do Enforcer 429 Registro de tráfego Appliance Gateway Enforcer 426 Registro de tráfego do Enforcer filtro 429 Registro do cliente Enforcer 425 Registro do Enforcer configuração 427 desativação 427 envio ao console de gerenciamento 428 retenção 428 tamanho 428 Registro do servidor do Enforcer hora do evento registrado 425 nome do Enforcer envolvido no evento 425 nome do servidor responsável pelo evento 425 site onde o evento ocorreu 425 tipo de evento 425 relatório conformidade 423 Enforcer 423 Principais Enforcers geradores de erros 423 Sistema 423 Status do site 423 requisito hardware para Integrated DHCP Enforcer para servidores DHCP da Alcatel-Lucent VitalQIP 346 sistema operacional para o Integrated Lucent Enforcer 347 requisitos de hardware do Integrated Lucent Enforcer 346 requisitos do sistema operacional 347 retenção do registro Enforcer 428 S segredo compartilhado 172 edição 189 senha criptografia 189 substituição 83 senha criptografada 358 servidor de gerenciamento. Consulte Symantec Endpoint Protection Manager legado 358 servidor de nomes de domínio 264 Servidor DHCP clientes em quarentena 147 como reiniciar 358 como servidor de quarentena 371 e clientes não autenticados 374 e Integrated Enforcer 329 Integrated Enforcer para servidores DHCP da Microsoft 358 número máximo na rede 147 quarentena 262 servidor DHCP Appliance DHCP Enforcer 147 Integrated Enforcer para servidores DHCP da Microsoft 319 servidor do acesso remoto (RAS) Appliance Gateway Enforcer 47 Servidor que não seja Windows Appliance Gateway Enforcer 49 Servidor RADIUS 314 Appliance LAN Enforcer 158 e LAN Enforcer 167 nome amigável 170 política de integridade do host 158 segredo compartilhado 172 Sistema relatório 423 Sistema operacional Linux 72 software antivírus 312 solução de problemas 217, 307 Spoofing de DNS ativação 154 superusuário logon 88 Symantec Endpoint Protection Manager comando configure SPM 268 comunicação com o Enforcer 33, 313 Configuração do appliance LAN Enforcer 157 e appliance DHCP Enforcer 132 e Gateway Enforcer 100 e Integrated Enforcer 329, 358 endereço IP confiável 122 Integrated Enforcer para servidores DHCP da Microsoft 319 integridade do host 32

438 438 Índice Symantec Integrated NAP Enforcer conexão ao servidor de gerenciamento 398 configuração no console do NAP Enforcer 398 instalação 393 nome de grupo 401 Protocolo de comunicação HTTP 402 protocolo HTTP 400 protocolo HTTPS 400 remoção da lista do servidor de gerenciamento 400 requisitos de hardware 391 requisitos do sistema operacional 391 senha criptografada 400 T tamanho do registro Enforcer 428 V verificação de identificação única 371 verificação de integridade do host e Integrated Enforcer 371 verificação do número de série da política 376 e Gateway Enforcer 112 Verificador do controle de acesso à rede e Integrated Enforcer 358 VLAN pontos de acesso sem fio 159 VPN Appliance Gateway Enforcer 48 vpn 217