Guia do produto. McAfee Endpoint Security 10.2

Transcrição

1 Guia do produto McAfee Endpoint Security 10.2

2 COPYRIGHT 2016 Intel Corporation ATRIBUIÇÕES DE MARCAS COMERCIAIS Intel e o logotipo da Intel são marcas comerciais da Intel Corporation nos EUA e/ou em outros países. McAfee, o logotipo da McAfee, McAfee Active Protection, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource e VirusScan são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outros países. Outros nomes e marcas podem ser propriedade de terceiros. INFORMAÇÕES SOBRE LICENÇA Contrato de licença AVISO A TODOS OS USUÁRIOS: LEIA ATENTAMENTE O CONTRATO LEGAL CORRESPONDENTE À LICENÇA ADQUIRIDA POR VOCÊ. NELE ESTÃO DEFINIDOS OS TERMOS E AS CONDIÇÕES GERAIS PARA A UTILIZAÇÃO DO SOFTWARE LICENCIADO. CASO NÃO SAIBA O TIPO DE LICENÇA QUE VOCÊ ADQUIRIU, CONSULTE A DOCUMENTAÇÃO RELACIONADA À COMPRA E VENDA OU À CONCESSÃO DE LICENÇA, INCLUÍDA NO PACOTE DO SOFTWARE OU FORNECIDA SEPARADAMENTE (POR EXEMPLO, UM LIVRETO, UM ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONÍVEL NO SITE DO QUAL O PACOTE DE SOFTWARE FOI OBTIDO POR DOWNLOAD). SE VOCÊ NÃO CONCORDAR COM TODOS OS TERMOS ESTABELECIDOS NO CONTRATO, NÃO INSTALE O SOFTWARE. SE FOR APLICÁVEL, VOCÊ PODERÁ DEVOLVER O PRODUTO À McAFEE OU AO LOCAL DE AQUISIÇÃO PARA OBTER REEMBOLSO TOTAL. 2 McAfee Endpoint Security 10.2 Guia do produto

3 Conteúdo McAfee Endpoint Security 7 1 Introdução 9 Módulos do Endpoint Security Como o Endpoint Security protege seu computador Como sua proteção permanece atualizada Interação com o Endpoint Security Como acessar as tarefas do Endpoint Security no ícone da McAfee na bandeja do sistema Sobre mensagens de notificação Sobre o Cliente do Endpoint Security Uso do Cliente do Endpoint Security 19 Abrir o Cliente do Endpoint Security Obter ajuda Responder a prompts Responder a um prompt de detecção de ameaça Responder a um prompt de varredura Responder a uma solicitação de reputação de arquivo Obter informações sobre sua proteção Tipos de gerenciamento Atualizar a proteção e o software manualmente O que é atualizado Exibir o Log de eventos Nomes de arquivo e localizações de logs do Endpoint Security Gerenciamento do Endpoint Security Entrar como administrador Desbloquear a interface de cliente Desativar e ativar recursos Alterar a versão do conteúdo do AMCore Usar arquivos Extra.DAT Configurar definições comuns Configurar comportamento da atualização Referência da interface do cliente Em Comum Página Log de eventos Em Comum Opções Em Comum Tarefas Utilizando o Prevenção contra ameaças 57 Varrer seu computador em busca de malware Tipos de varreduras Executar uma Varredura completa ou uma Varredura rápida Varrer um arquivo ou pasta Gerenciar detecções de ameaças Gerenciar itens em quarentena McAfee Endpoint Security 10.2 Guia do produto 3

4 Conteúdo Nome da detecção Repetição de varredura de itens em quarentena Gerenciamento do Prevenção contra ameaças Configuração de exclusões Proteção de pontos de acesso do sistema Bloqueio de explorações de estouro de buffer Detectar programas potencialmente indesejados Configure definições de varreduras comuns Como funciona o McAfee GTI Configurar as definições de de Varredura ao acessar Configurar definições da política de Configurar, agendar e executar tarefas de varredura Referência da interface do cliente Prevenção contra ameaças Página Quarentena Prevenção contra ameaças Proteção de acesso Prevenção contra ameaças Prevenção de exploração Prevenção contra ameaças Varredura ao acessar Prevenção contra ameaças Varredura por solicitação Varrer locais McAfee GTI Ações Adicionar exclusão ou Editar exclusão Prevenção contra ameaças Opções tarefa do cliente Reverter AMCore Content Usar o Firewall 127 Como funciona o Firewall Ativar e desativar o Firewall usando o ícone da bandeja do sistema da McAfee Ativar ou exibir grupos temporizados do Firewall usando o ícone da bandeja do sistema da McAfee Sobre grupos temporizados Gerenciamento do Firewall Modificar opções de Firewall Configurar regras e grupos do Firewall Referência da interface do cliente Firewall Firewall Opções Firewall Regras Usar o Controle da Web 157 Sobre os recursos do Controle da Web Como o Controle da Web bloqueia ou avisa sobre um site ou um download O botão do Controle da Web identifica ameaças durante a navegação Os ícones de segurança identificam ameaças durante a pesquisa Os relatórios do site apresentam detalhes Como as classificações de segurança são compiladas Acessar recursos do Controle da Web Ativar o plug-in de Controle da Web usando o navegador Ver informações sobre um site enquanto navega Exibir relatório de site durante a pesquisa Gerenciamento do Controle da Web Configurar opções de Controle da Web Especificar ações de classificação e bloqueio de acesso a sites com base na categoria da Web Referência da interface do cliente Controle da Web Controle da Web Opções Controle da Web Ações de conteúdo McAfee Endpoint Security 10.2 Guia do produto

5 Conteúdo 6 Usar o Inteligência contra ameaças 173 Como o Inteligência contra ameaças funciona Gerenciamento do Inteligência contra ameaças Sobre a Inteligência contra ameaças Confinamento dinâmico de aplicativos Configurar opções de Inteligência contra ameaças Referência da interface do cliente Inteligência contra ameaças Inteligência contra ameaças Confinamento dinâmico de aplicativos Inteligência contra ameaças Opções Índice 197 McAfee Endpoint Security 10.2 Guia do produto 5

6 Conteúdo 6 McAfee Endpoint Security 10.2 Guia do produto

7 McAfee Endpoint Security O McAfee Endpoint Security é uma solução de gerenciamento de segurança abrangente que é executada em computadores em rede para identificar e interromper ameaças automaticamente. Esta ajuda explica como usar os recursos básicos de segurança e solucionar problemas. Introdução Módulos do Endpoint Security na página 9 Como o Endpoint Security protege seu computador na página 10 Interação com o Endpoint Security na página 12 Tarefas realizadas com frequência Abrir o Cliente do Endpoint Security na página 19 Atualizar a proteção e o software manualmente na página 23 Varrer seu computador em busca de malware na página 57 Desbloquear a interface de cliente na página 28 Mais informações Para acessar informações adicionais sobre este produto, consulte: Guia de instalação do McAfee Endpoint Security McAfee Endpoint Security Guia de migração Notas de versão do McAfee Endpoint Security Ajuda da Prevenção contra ameaças do Endpoint Security Ajuda do Firewall do Endpoint Security Ajuda do Controle da Web do Endpoint Security Ajuda do Inteligência contra ameaças do Endpoint Security Suporte da McAfee McAfee Endpoint Security 10.2 Guia do produto 7

8 McAfee Endpoint Security 8 McAfee Endpoint Security 10.2 Guia do produto

9 1 1 Introdução O Endpoint Security é uma solução de gerenciamento de segurança abrangente que é executada em computadores em rede para identificar e interromper ameaças automaticamente. Esta ajuda explica como usar os recursos básicos de segurança e solucionar problemas. Se o computador for gerenciado, o administrador define e configura o Endpoint Security usando um dos seguintes servidores de gerenciamento: McAfee epolicy Orchestrator (McAfee epo ) McAfee epolicy Orchestrator Cloud (McAfee epo Cloud) Para ver as mais recentes informações sobre licença de gerenciamento e direitos do Endpoint Security, consulte o artigo KB A Inteligência contra ameaças não é suportada em sistemas gerenciados pelo McAfee epo Cloud. Se o seu computador for autogerenciado, o software poderá ser configurado por você ou pelo administrador usando o Cliente do Endpoint Security. Conteúdo Módulos do Endpoint Security Como o Endpoint Security protege seu computador Interação com o Endpoint Security Módulos do Endpoint Security O administrador configura e instala um ou mais módulos do Endpoint Security em computadores cliente. Prevenção contra ameaças - Verifica vírus, spywares, programas indesejados e outras ameaças varrendo itens automaticamente quando os usuários os acessam ou, sob demanda, a qualquer momento. Firewall - Monitora a comunicação entre o computador e os recursos da rede e da Internet. Intercepta comunicações suspeitas. McAfee Endpoint Security 10.2 Guia do produto 9

10 1 Introdução Como o Endpoint Security protege seu computador Controle da Web - Exibe classificações e relatórios de segurança para sites durante a navegação ou pesquisa on-line. O Controle da Web permite que o administrador do site bloqueie o acesso a sites com base na classificação de segurança ou no conteúdo. Inteligência contra ameaças Fornece segurança adaptável com reconhecimento de contexto para seu ambiente de rede. A Inteligência contra ameaças do Endpoint Security é um módulo opcional do Endpoint Security. Para ter fontes e funcionalidades adicionais de inteligência contra ameaças, distribua o servidor Threat Intelligence Exchange. Para obter informações, entre em contato com seu revendedor ou representante de vendas. A Inteligência contra ameaças não é suportada em sistemas gerenciados pelo McAfee epo Cloud. Além disso, o módulo Em Comum fornece configurações para recursos comuns, como registro em log e segurança da interface. Esse módulo é instalado automaticamente se qualquer outro módulo for instalado. Como o Endpoint Security protege seu computador Normalmente, um administrador configura o Endpoint Security, instala o software nos computadores clientes, monitora o status da segurança e configura regras de segurança, denominadas políticas. Como usuário do computador cliente, você interage com o Endpoint Security através do software cliente instalado no computador. As políticas configuradas pelo administrador determinam como os módulos e recursos operam no computador e se você pode modificá-los. Se o Endpoint Security for autogerenciado, é possível especificar o modo de operação dos módulos e dos recursos. Para determinar o tipo de gerenciamento, consulte a página Sobre. Em intervalos regulares, o software cliente no computador se conecta a um site da Internet para atualizar seus componentes. Ao mesmo tempo, ele envia dados sobre detecções no computador para o servidor de gerenciamento. Esses dados são usados para gerar relatórios para o administrador sobre detecções e questões de segurança no computador. Geralmente, o software cliente opera em segundo plano, sem nenhuma interação com o usuário. Ocasionalmente, no entanto, pode ser necessário interagir com ele. Por exemplo, talvez você queira verificar atualizações de software ou fazer varreduras de malware manualmente. Dependendo das políticas configuradas pelo administrador, talvez você também possa personalizar as configurações de segurança. Se você for um administrador, poderá configurar e gerenciar o software cliente de forma centralizada usando o McAfee epo ou o McAfee epo Cloud. Para ver as mais recentes informações sobre licença de gerenciamento e direitos do Endpoint Security, consulte o artigo KB Consulte também Obter informações sobre sua proteção na página McAfee Endpoint Security 10.2 Guia do produto

11 Introdução Como o Endpoint Security protege seu computador 1 Como sua proteção permanece atualizada Atualizações regulares do Endpoint Security asseguram que seu computador esteja sempre protegido contra as ameaças mais recentes. Para executar atualizações, o software cliente se conecta a um servidor McAfee epo local ou remoto ou diretamente a um site da Internet. O Endpoint Security verifica se há: Atualizações dos arquivos de conteúdos usados para detectar ameaças. Os arquivos de conteúdo contêm definições de ameaças como vírus e spyware, e essas definições são atualizadas à medida que novas ameaças são descobertas. Atualizações de componentes de software como patches e hotfixes. Para simplificar a terminologia, esta Ajuda se refere a atualizações e melhoramentos como atualizações. As atualizações em geral ocorrem automaticamente em segundo plano. Talvez também seja necessário verificar a existência de atualizações manualmente. Dependendo das configurações, é possível atualizar manualmente sua proteção a qualquer momento no Cliente do Endpoint Security clicando em. Consulte também Atualizar a proteção e o software manualmente na página 23 Como funcionam os arquivos de conteúdo Ao pesquisar os arquivos em busca de ameaças, o mecanismo de varredura compara o conteúdo dos arquivos examinados com as informações de ameaças conhecidas armazenadas nos arquivos de conteúdo do AMCore. A Prevenção de exploração usa seus próprios arquivos de conteúdo para proteger contra explorações. Conteúdo do AMCore O McAfee Labs encontra e adiciona informações de ameaças conhecidas (assinaturas) aos arquivos de conteúdo. Com as assinaturas, os arquivos de conteúdo incluem informações sobre a limpeza e a correção de danos que o vírus detectado pode causar. Se a assinatura de um vírus não estiver nos arquivos de conteúdo instalados, o mecanismo de varredura não conseguirá detectar o vírus, deixando seu sistema vulnerável a ataques. Novas ameaças aparecem regularmente. O McAfee Labs libera atualizações de mecanismos e novos arquivos de conteúdo que incorporam os resultados de pesquisas contínuas de ameaças todos os dias às 19h (GMT/UTC). Se uma nova ameaça for justificável, os arquivos diários de conteúdo do AMCore poderão ser liberados mais cedo e, em algumas circunstâncias, as liberações poderão ser atrasadas. Para receber alertas relacionados a atrasos ou notificações importantes, inscreva-se no SNS (Support Notification Service). Consulte o artigo KB67828 da Base de dados de conhecimento. O Endpoint Security armazena o arquivo de conteúdo carregado atualmente e as duas versões anteriores na pasta Arquivos de Programas\Arquivos Comuns\McAfee\Engine\content. Se necessário, é possível voltar a uma versão anterior. Quando um novo malware é descoberto e uma detecção extra é necessária fora da programação de atualizações de conteúdo regular, o McAfee Labs libera um arquivo Extra.DAT. Para obter informações sobre como instalar arquivos Extra.DAT, consulte a Ajuda da Prevenção contra ameaças. McAfee Endpoint Security 10.2 Guia do produto 11

12 1 Introdução Interação com o Endpoint Security Conteúdo da Prevenção de exploração O conteúdo da Prevenção de exploração inclui: Assinaturas de proteção de memória - GBOP (Generic Buffer Overflow Protection - Proteção contra estouro de buffer genérica), validação de chamador, GPEP (Generic Privilege Escalation Prevention - Prevenção contra escalonamento de privilégios genéricos) e Monitoramento de API de destino. Lista de proteção de aplicativos Processos protegidos pela Prevenção de exploração. A McAfee libera novos arquivos de conteúdo da Prevenção de exploração uma vez por mês. Conteúdo do Inteligência contra ameaças O conteúdo do Inteligência contra ameaças inclui regras para calcular dinamicamente a reputação de arquivos e processos nos pontos de extremidade. A McAfee libera novos arquivos de conteúdo do Inteligência contra ameaças a cada dois meses. A Inteligência contra ameaças do Endpoint Security é um módulo opcional do Endpoint Security. Para ter fontes e funcionalidades adicionais de inteligência contra ameaças, distribua o servidor Threat Intelligence Exchange. Para obter informações, entre em contato com seu revendedor ou representante de vendas. Interação com o Endpoint Security O Endpoint Security possui componentes visuais para interagir com o Cliente do Endpoint Security. Ícone da McAfee na bandeja do sistema Windows Permite iniciar o Cliente do Endpoint Security e visualizar o status da segurança. Mensagens de notificação Alertam sobre varreduras e sobre detecções de intrusão do firewall, além de arquivos com reputações desconhecidas, e solicitam sua posição. Página de Varredura ao acessar Exibe uma lista de detecção de ameaças quando o mecanismo de varredura ao acessar detecta uma ameaça. Cliente do Endpoint Security - Exibe o status de proteção atual e oferece acesso a recursos. Em sistemas gerenciados, o administrador configura e atribui políticas que permitem definir os componentes exibidos. Consulte também Como acessar as tarefas do Endpoint Security no ícone da McAfee na bandeja do sistema. na página 12 Sobre mensagens de notificação na página 14 Gerenciar detecções de ameaças na página 61 Sobre o Cliente do Endpoint Security na página 14 Como acessar as tarefas do Endpoint Security no ícone da McAfee na bandeja do sistema. O ícone da McAfee na bandeja do sistema Windows fornece acesso ao Cliente do Endpoint Security e a algumas tarefas básicas. As definições de configuração determinam se o ícone da McAfee está disponível. Clique com o botão direito do mouse no ícone da McAfee na bandeja do sistema para: 12 McAfee Endpoint Security 10.2 Guia do produto

13 Introdução Interação com o Endpoint Security 1 Verificar o status da segurança. Abra o Cliente do Endpoint Security. Atualizar proteção e software manualmente. Desativar ou reativar o Firewall. Ativar, desativar ou exibir grupos temporizados do Firewall. Selecione Exibir status de segurança para exibir a página de Status de segurança da McAfee. Selecione McAfee Endpoint Security. Selecione Atualizar segurança. Selecione Desativar o Firewall do Endpoint Security no menu Configurações rápidas. Quando o Firewall está desativado, a opção é Ativar o Firewall do Endpoint Security. Selecione uma das opções do menu Configurações rápidas: Ativar grupos limitados de firewall Ativa os grupos temporizados por um determinado período de tempo a fim de permitir o acesso à Internet antes que as regras que restringem o acesso sejam aplicadas. Quando os grupos temporizados estão ativados, a opção é Desativar grupos temporizados do Firewall. Sempre que selecionar essa opção, você redefinirá o tempo dos grupos. Dependendo das configurações, você pode ser solicitado a fornecer ao administrador um motivo para ativar os grupos temporizados. Exibir grupos limitados de firewall Exibe os nomes dos grupos temporizados e a quantidade de tempo restante de ativação de cada grupo. Dependendo de como as configurações foram definidas, essas opções podem não estar disponíveis. Como o ícone indica o status da segurança do Endpoint Security A aparência do ícone é alterada para indicar o status do Endpoint Security. Ao manter o cursor sobre o ícone, é exibida uma mensagem descrevendo o status. Ícone Indica... O Endpoint Security está protegendo o sistema e não existem problemas. O Endpoint Security detectou um problema de segurança, como a desativação de um módulo ou de uma tecnologia. O Firewall está desativado. Prevenção contra ameaças A Prevenção de exploração, a Varredura ao acessar ou o ScriptScan estão desativados. O Endpoint Security relata problemas de formas diferentes, dependendo do tipo de gerenciamento. Autogerenciado: Uma ou mais tecnologias estão desativadas. Uma ou mais tecnologias não estão respondendo. Gerenciado: Uma ou mais tecnologias foram desativadas, não como resultado de uma imposição de política do servidor de gerenciamento ou do Cliente do Endpoint Security. Uma ou mais tecnologias não estão respondendo. Quando um problema é detectado, a página Status de segurança da McAfee indica qual módulo ou tecnologia está desativado. Consulte também O que é atualizado na página 24 McAfee Endpoint Security 10.2 Guia do produto 13

14 1 Introdução Interação com o Endpoint Security Sobre mensagens de notificação O Endpoint Security usa dois tipos de mensagens para notificar sobre problemas com sua proteção ou solicitar alguma entrada. Algumas mensagens podem não aparecer, dependendo da forma como as definições estão configuradas. O processo McTray.exe deve estar em execução para que o Endpoint Security exiba as mensagens de notificação. O Endpoint Security envia dois tipos de notificações: Os Alertas são exibidos no ícone da McAfee por cinco segundos e depois desaparecem. Os alertas notificam sobre detecções de ameaças, como eventos de intrusão de Firewall, ou quando uma varredura por solicitação é pausada ou retomada. Eles não requerem nenhuma ação sua. Os Avisos abrem uma página na parte inferior da tela e permanecem visíveis até você selecionar uma opção. Por exemplo: Quando uma varredura por solicitação agendada está prestes a começar, o Endpoint Security poderá solicitar o adiamento da varredura. Quando o mecanismo de varredura ao acessar detecta uma ameaça, o Endpoint Security pode solicitar uma resposta à detecção. Quando o Inteligência contra ameaças detecta um arquivo com reputação desconhecida, o Endpoint Security pode solicitar que você permita ou bloqueie o arquivo. No Windows 8 e 10, use as notificações do sistema mensagens pop-up notificando sobre alertas e avisos. Clique na notificação do sistema para exibir a notificação no modo Área de trabalho. Consulte também Responder a um prompt de detecção de ameaça na página 20 Responder a um prompt de varredura na página 21 Responder a uma solicitação de reputação de arquivo na página 21 Sobre o Cliente do Endpoint Security O Cliente do Endpoint Security permite que você verifique o status da proteção e acesse recursos no computador. As opções do menu Ação fornecem acesso aos recursos. Configurações Carregar Extra.DAT Reverter conteúdo do AMCore Configura definições de recursos. Essa opção de menu será disponibilizada se uma das seguintes condições for verdadeira: O Modo da interface do cliente estiver configurado como Acesso total. Você estiver conectado como administrador. Permite a instalação de um arquivo Extra.DAT baixado. Reverte o conteúdo do AMCore para uma versão anterior. Essa opção de menu será disponibilizada se houver uma versão anterior de conteúdo do AMCore no sistema e se uma das seguintes condições for verdadeira: O Modo da interface do cliente estiver configurado como Acesso total. Você estiver conectado como administrador. 14 McAfee Endpoint Security 10.2 Guia do produto

15 Introdução Interação com o Endpoint Security 1 Ajuda Links do suporte Logon do administrador Sobre Sair Exibe a Ajuda. Exibe uma página com links para páginas úteis, como o McAfee ServicePortal e o Centro de conhecimento. Faz logon como o administrador de site. (Requer credenciais de administrador.) Essa opção de menu estará disponível se o modo de interface de cliente não estiver configurado como Acesso total. Quando já se fez o logon como administrador, essa opção é Logoff do administrador. Exibe informações sobre o Endpoint Security. Sai do Cliente do Endpoint Security. Os botões na parte superior direita da página proporcionam acesso rápido a tarefas frequentes. Verifica a existência de malware com uma Varredura completa ou Varredura rápida do sistema. Esse botão só estará disponível se o módulo Prevenção contra ameaças estiver instalado. Atualiza arquivos de conteúdo e componentes de software no seu computador. O botão pode não aparecer, dependendo da forma como as definições estão configuradas. Os botões no lado esquerdo da página oferecem informações sobre a proteção. Status Log de eventos Quarentena Retorna à página Status principal. Exibe o log de toda a proteção e eventos de ameaça no computador. Abre o Gerenciador de quarentena. Esse botão só estará disponível se o módulo Prevenção contra ameaças estiver instalado. O Resumo de ameaças oferece informações sobre as ameaças detectadas pelo Endpoint Security no sistema nos últimos 30 dias. Consulte também Carregar um arquivo Extra.DAT em um na página 30 Entrar como administrador na página 27 Varrer seu computador em busca de malware na página 57 Atualizar a proteção e o software manualmente na página 23 Exibir o Log de eventos na página 24 Gerenciar itens em quarentena na página 62 Gerenciamento do Endpoint Security na página 27 Sobre o Resumo de ameaças na página 15 Sobre o Resumo de ameaças A página de Status do Cliente do Endpoint Security apresenta um resumo em tempo real das ameaças detectadas no seu sistema nos últimos 30 dias. À medida que novs ameaças são detectadas, a página de Status atualiza dinamicamente os dados na área do Resumo de ameaças no painel inferior. McAfee Endpoint Security 10.2 Guia do produto 15

16 1 Introdução Interação com o Endpoint Security O Resumo de ameaças inclui: Data da última ameaça eliminada Os dois principais vetores de ameaça, por categoria: Web Dispositivo ou mídia externa Rede Sistema local Compartilhamento de arquivos Mensagem instantânea Desconhecida Número de ameaças por vetor de ameaça Ameaças de páginas da web ou downloads. Ameaças de dispositivos externos, como USB, 1394 firewire, esata, fita, CD, DVD ou disco. Ameaças de rede (sem relação com o compartilhamento de arquivos em rede). Ameaças da unidade do sistema de arquivos de inicialização local (em geral, C:) ou de outras unidades que não as classificadas como Dispositivo ou mídia externa. Ameaças de compartilhamento de arquivos de uma rede Ameaças de mensagens de . Ameaças de mensagens instantâneas. Ameaças onde o vetor de ataque não está determinado (devido a uma condição de erro ou outro caso de falha). Se o Cliente do Endpoint Security não conseguir acessar o Gerenciador de eventos, será mostrada uma mensagem de erro de comunicação no Cliente do Endpoint Security. Nesse caso, reinicialize o sistema para ver o Resumo de ameaças. Como as configurações afetam seu acesso ao cliente As definições do Modo da interface do cliente atribuídas a seu computador determinam os módulos e os recursos que podem ser acessados. Altere o Modo da interface do cliente nas configurações do Em Comum. Em sistemas gerenciados, as alterações de política do McAfee epo podem substituir as alterações da página Configurações. As opções de Modo de interface do cliente para o cliente são: 16 McAfee Endpoint Security 10.2 Guia do produto

17 Introdução Interação com o Endpoint Security 1 Acesso total Permite acesso a todos os recursos, incluindo: Ativar e desativar módulos individuais e recursos. Acesso à página Configurações para exibir ou modificar todas as definições do Cliente do Endpoint Security. (Padrão) Acesso padrão Exibe o status de proteção e permite acesso à maioria dos recursos: Atualiza arquivos de conteúdo e componentes de software no seu computador (quando ativado pelo administrador). Executa uma verificação completa em todas as áreas de seu sistema, recomendável se houver suspeita de que o computador está infetado. Executa uma verificação rápida (2 minutos) das áreas do sistema mais suscetíveis a infecção. Acessa o Log de eventos. Gerencia os itens na Quarentena. No modo de interface de Acesso padrão, é possível entrar como administrador para acessar todos os recursos, inclusive todas as configurações. Bloquear interface do cliente Requer uma senha para acessar o cliente. Depois de desbloquear a interface de cliente, é possível acessar todos os recursos. Se você não puder acessar o Cliente do Endpoint Security ou tarefas e recursos específicos necessários para fazer seu trabalho, fale com o administrador. Consulte também Controle do acesso ao software cliente na página 33 Como os módulos instalados afetam o cliente Alguns aspectos do cliente podem não estar disponíveis, dependendo dos módulos instalados em seu computador. Estes recursos estão disponíveis somente se a Prevenção contra ameaças estiver instalada: Botão Botão Quarentena McAfee Endpoint Security 10.2 Guia do produto 17

18 1 Introdução Interação com o Endpoint Security Os recursos instalados no sistema determinam os recursos que aparecerão: No Log de eventos, a lista suspensa Filtrar por módulo. Na página Configurações. Em Comum Threat Prevention : Prevenção contra ameaças Firewall : Firewall Web Control : Controle da Web Inteligência contra ameaças Aparece se algum módulo estiver instalado. Aparece somente se a Prevenção contra ameaças estiver instalada. Aparece somente se o Firewall estiver instalado. Aparece somente se o Controle da Web estiver instalado. Aparece somente se a Inteligência contra ameaças e a Prevenção contra ameaças estiverem instaladas. A Inteligência contra ameaças não é suportada em sistemas gerenciados pelo McAfee epo Cloud. Dependendo do Modo da interface do cliente e de como o administrador configurou seu acesso, alguns ou todos os recursos podem não estar disponíveis. Consulte também Como as configurações afetam seu acesso ao cliente na página McAfee Endpoint Security 10.2 Guia do produto

19 2 Uso 2 do Cliente do Endpoint Security Use o cliente em modo de Acesso padrão para realizar a maioria das funções, incluindo varreduras do sistema e gerenciamento de itens em quarentena. Conteúdo Abrir o Cliente do Endpoint Security Obter ajuda Responder a prompts Obter informações sobre sua proteção Atualizar a proteção e o software manualmente Exibir o Log de eventos Gerenciamento do Endpoint Security Referência da interface do cliente Em Comum Abrir o Cliente do Endpoint Security Abra o Cliente do Endpoint Security para exibir o status dos recursos de proteção instalados no computador. Se o modo de interface estiver configurado para Bloquear interface do cliente, digite a senha do administrador para abrir o Cliente do Endpoint Security. Tarefa 1 Use um dos métodos a seguir para exibir o Cliente do Endpoint Security: Clique com o botão direito no ícone da bandeja do sistema e selecione McAfee Endpoint Security. Selecione Iniciar Todos os programas McAfee McAfee Endpoint Security. No Windows 8 e 10, inicie o aplicativo McAfee Endpoint Security. 1 Pressione a tecla Windows. 2 Digite McAfee Endpoint Security na área de pesquisa e clique duas vezes ou toque no aplicativo McAfee Endpoint Security. 2 Quando solicitado, digite a senha do administrador na página de Logon do administrador e clique em Logon. O Cliente do Endpoint Security é aberto no modo de interface configurado pelo administrador. Consulte também Desbloquear a interface de cliente na página 28 McAfee Endpoint Security 10.2 Guia do produto 19

20 2 Uso do Cliente do Endpoint Security Obter ajuda Obter ajuda Existem dois métodos para obter ajuda ao trabalhar no cliente: a opção de menu Ajuda e o ícone?. Para usar a ajuda do Endpoint Security com o Internet Explorer, Script ativo deve estar ativado no navegador. Tarefa 1 Abra o Cliente do Endpoint Security. 2 Dependendo da página em que você estiver: Páginas Status, Log de eventos e Quarentena: no menu Ação, selecione Ajuda. Páginas Configurações, Atualizar, Varrer sistema, Reverter conteúdo do AMCore e Carregar Extra.DAT: clique em? na interface. Responder a prompts Dependendo da definição das configurações, o Endpoint Security poderá solicitar uma ação quando uma varredura por solicitação agendada estiver prestes a começar. Tarefas Responder a um prompt de detecção de ameaça na página 20 Quando o mecanismo de varredura detecta uma ameaça, o Endpoint Security pode solicitar uma resposta do usuário para continuar, dependendo de como as definições foram configuradas. Responder a um prompt de varredura na página 21 Quando uma varredura por solicitação agendada está prestes a começar, o Endpoint Security poderá solicitar uma ação do usuário para continuar. O prompt somente aparece se a configuração da varredura permitir que seja adiada, pausada, retomada ou cancelada. Responder a uma solicitação de reputação de arquivo na página 21 Quando um arquivo com uma reputação específica tenta ser executado no sistema, o Endpoint Security pode solicitar sua autorização para continuar. A solicitação será exibida apenas se a Inteligência contra ameaças estiver configurada para fazê-lo. Responder a um prompt de detecção de ameaça Quando o mecanismo de varredura detecta uma ameaça, o Endpoint Security pode solicitar uma resposta do usuário para continuar, dependendo de como as definições foram configuradas. No Windows 8 e 10, use as notificações do sistema mensagens pop-up notificando sobre alertas e avisos. Clique na notificação do sistema para exibir a notificação no modo Área de trabalho. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. Na página Varredura ao acessar, selecione as opções que permitem gerenciar detecções de ameaças. É possível reabrir a página de varreduras para gerenciar as detecções a qualquer momento. A lista de detecções da varredura ao acessar é eliminada quando o serviço Endpoint Security reinicia ou na reinicialização do sistema. 20 McAfee Endpoint Security 10.2 Guia do produto

21 Uso do Cliente do Endpoint Security Responder a prompts 2 Consulte também Gerenciar detecções de ameaças na página 61 Responder a um prompt de varredura Quando uma varredura por solicitação agendada está prestes a começar, o Endpoint Security poderá solicitar uma ação do usuário para continuar. O prompt somente aparece se a configuração da varredura permitir que seja adiada, pausada, retomada ou cancelada. Se não for selecionada uma opção, a varredura começa automaticamente. Em sistemas gerenciados, se a varredura estiver configurada para ser executada apenas quando o computador estiver ocioso, o Endpoint Security exibirá uma caixa de diálogo quando a varredura for pausada. Conforme a configuração, também será possível retomar ou redefinir as varreduras pausadas para que sejam executadas apenas em períodos de ociosidade. No Windows 8 e 10, use as notificações do sistema mensagens pop-up notificando sobre alertas e avisos. Clique na notificação do sistema para exibir a notificação no modo Área de trabalho. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. No prompt, selecione uma das opções a seguir. As opções que aparecem dependem de como a varredura está configurada. Varrer agora Exibir varredura Pausar varredura Retomar varredura Cancelar varredura Adiar varredura Inicia a varredura imediatamente. Exibe as detecções de uma varredura em andamento. Pausa a varredura. Dependendo da configuração, ao clicar em Pausar varredura, a varredura poderá ser redefinida para ser executada apenas em períodos de ociosidade. Clique em Retomar varredura para retomar a varredura no ponto em que foi interrompida. Retoma uma varredura pausada. Cancela a varredura. Adia a varredura por um tempo determinado. As opções de varredura agendada determinam quantas vezes é possível adiar a varredura em uma hora. Pode ser possível adiar a varredura mais do que uma vez. Fechar Fecha a página de varredura. Se o mecanismo de varredura detecta uma ameaça, o Endpoint Security pode solicitar uma resposta do usuário para continuar, dependendo de como as definições foram configuradas. Responder a uma solicitação de reputação de arquivo Quando um arquivo com uma reputação específica tenta ser executado no sistema, o Endpoint Security pode solicitar sua autorização para continuar. A solicitação será exibida apenas se a Inteligência contra ameaças estiver configurada para fazê-lo. A Inteligência contra ameaças não é suportada em sistemas gerenciados pelo McAfee epo Cloud. O administrador configura o limite de reputação que determina o momento da exibição da solicitação. Por exemplo, se o limite de reputação for definido como Desconhecido, o Endpoint Security solicita sua autorização para lidar com todos os arquivos com uma reputação desconhecida ou inferior. McAfee Endpoint Security 10.2 Guia do produto 21

22 2 Uso do Cliente do Endpoint Security Obter informações sobre sua proteção Se você não selecionar uma opção, a Inteligência contra ameaças realiza a ação padrão configurada pelo administrador. As ações de solicitação, tempo limite e padrão dependem de como a Inteligência contra ameaças está configurada. No Windows 8 e 10, use as notificações do sistema mensagens pop-up notificando sobre alertas e avisos. Clique na notificação do sistema para exibir a notificação no modo Área de trabalho. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 (Opcional) Quando solicitado, digite uma mensagem para ser enviada para o administrador. Por exemplo, use a mensagem para descrever o arquivo ou explicar sua decisão de permitir ou bloquear o arquivo no sistema. 2 Clique em Permitir ou Bloquear. Permitir Bloquear Permite o arquivo. Bloqueia o arquivo no sistema. Para instruir a Inteligência contra ameaças a não solicitar sua ação para o arquivo no futuro, selecione Lembre-se desta decisão. A Inteligência contra ameaças tomará as medidas com base em sua ação padrão e fechará a janela de solicitação. Obter informações sobre sua proteção Você pode obter informações sobre a proteção do Endpoint Security, incluindo tipo de gerenciamento, módulos de proteção, recursos, status, números de versão e licenciamento. Tarefa 1 Abra o Cliente do Endpoint Security. 2 No menu Ação, selecione Sobre. 3 Clique no nome de um módulo ou recurso à esquerda para saltar para as informações sobre tal item. 4 Clique no botão Fechar do navegador para fechar a página Sobre. Consulte também Tipos de gerenciamento na página 22 Abrir o Cliente do Endpoint Security na página 19 Tipos de gerenciamento O tipo de gerenciamento indica como o Endpoint Security é gerenciado. Em sistemas gerenciados, as alterações de política do McAfee epo podem substituir as alterações da página Configurações. 22 McAfee Endpoint Security 10.2 Guia do produto

23 Uso do Cliente do Endpoint Security Atualizar a proteção e o software manualmente 2 Tipo de gerenciamento McAfee epolicy Orchestrator McAfee epolicy Orchestrator Cloud Autogerenciado Descrição Um administrador gerencia o Endpoint Security usando o McAfee epo (localmente). Um administrador gerencia o Endpoint Security usando o McAfee epo Cloud. Para ver as mais recentes informações sobre licença de gerenciamento e direitos do Endpoint Security, consulte o artigo KB O Endpoint Security é gerenciado localmente usando o Cliente do Endpoint Security. Este modo também é conhecido como não gerenciado ou independente. Atualizar a proteção e o software manualmente Dependendo de como as definições estão configuradas, você pode verificar manualmente e transferir por download atualizações de arquivos de conteúdo e de componentes de software do Cliente do Endpoint Security. As atualizações manuais são chamadas de atualizações por solicitação. Você também pode executar atualizações manuais por meio do ícone da bandeja do sistema da McAfee. O Endpoint Security não oferece suporte à recuperação e cópia manual de arquivos de conteúdo atualizados para o sistema cliente. Se você precisar de auxílio para atualizar uma versão de conteúdo específico, entre em contato com o Suporte da McAfee. Tarefa 1 Abra o Cliente do Endpoint Security. 2 Clique em. Se esse botão não for exibido no cliente, é possível ativá-lo nas configurações. O Cliente do Endpoint Security verifica se há atualizações. Para cancelar a atualização, clique em Cancelar. Se seu sistema estiver atualizado, a página exibirá Nenhuma atualização disponível e a data e o horário da última atualização. Se a atualização for concluída com êxito, a página exibirá a data e a hora da última atualização. As mensagens ou erros aparecem na área de Mensagens. Veja o PackageManager_Activity.log ou o PackageManager_Debug.log para obter mais informações. 3 Clique em Fechar para fechar a página Atualizar. Consulte também Como acessar as tarefas do Endpoint Security no ícone da McAfee na bandeja do sistema. na página 12 Como sua proteção permanece atualizada na página 11 Nomes de arquivo e localizações de logs do Endpoint Security na página 25 O que é atualizado na página 24 Configurar o comportamento padrão de atualizações na página 37 Abrir o Cliente do Endpoint Security na página 19 McAfee Endpoint Security 10.2 Guia do produto 23

24 2 Uso do Cliente do Endpoint Security Exibir o Log de eventos O que é atualizado O Endpoint Security atualiza conteúdos de segurança, software (hotfixes e patches) e configurações de política de maneiras diferentes, dependendo do tipo de gerenciamento. A visibilidade e o comportamento do botão são configuráveis. Tipo de gerenciamento McAfee epo McAfee epo Cloud Autogerenciado Método de atualização Opção Atualizar segurança no menu do ícone da bandeja do sistema McAfee Botão Endpoint Security no Cliente do Opção Atualizar segurança no menu do ícone da McAfee na bandeja do sistema Botão no Cliente do Endpoint Security Opção Atualizar segurança no menu do ícone da McAfee na bandeja do sistema Botão Endpoint Security no Cliente do Atualizações Somente para o conteúdo e software, não para as configurações de política. Conteúdo, software e configurações de política, se forem configuradas. Conteúdo, software e configurações de política. Conteúdo, software e configurações de política, se forem configuradas. Somente para o conteúdo e software. Conteúdo, software e configurações de política, se forem configuradas. Consulte também Atualizar a proteção e o software manualmente na página 23 Exibir o Log de eventos Os logs de atividade e depuração armazenam um log dos eventos que ocorrem no sistema protegido pela McAfee. Você pode exibir o Log de eventos a partir do Cliente do Endpoint Security. Tarefa Para obter ajuda, no menu Ação do, selecione Ajuda. 1 Abra o Cliente do Endpoint Security. 2 Clique em Log de eventos no lado esquerdo da página. A página mostra qualquer evento que o Endpoint Security registrou em log no sistema nos últimos 30 dias. Se o Cliente do Endpoint Security não puder acessar o Gerenciador de eventos, ele exibirá uma mensagem de erro de comunicação. Neste caso, reinicialize o sistema para exibir o Log de eventos. 3 Selecione um evento no painel superior para exibir os detalhes no painel inferior. Para alterar os tamanhos relativos dos painéis, clique e arraste o widget em forma de faixa entre os painéis. 24 McAfee Endpoint Security 10.2 Guia do produto

25 Uso do Cliente do Endpoint Security Exibir o Log de eventos 2 4 Na página Log de eventos, classifique, pesquise, filtre ou recarregue eventos. As opções que aparecem dependem de como a varredura está configurada. Para... Classificar eventos por data, recursos, ação executada e gravidade. Pesquisar o log de eventos. Filtrar eventos por gravidade ou módulo. Atualizar a exibição do Log de eventos com qualquer evento novo. Abra a pasta que contém os arquivos de log. Etapas Clique no cabeçalho da coluna da tabela. Insira o texto de pesquisa no campo Pesquisar e pressione Enter, ou clique em Pesquisar. A pesquisa não diferencia maiúsculas de minúsculas e pesquisa em todos os campos do log de eventos o texto de pesquisa. A lista do evento mostra todos os elementos com um texto correspondente. Para cancelar a pesquisa e exibir todos os eventos, clique em x no campo Pesquisar. Na lista suspensa dos filtros, selecione uma opção. Para remover o filtro e mostrar todos os eventos, selecione Mostrar todos os eventos na lista suspensa. Clique em. Clique em Exibir pasta de logs. 5 Navegue no Log de eventos. Para... Exibir a página de eventos anterior. Etapas Clique em Página anterior. Exibir a próxima página de eventos. Clique em Próxima página. Exibir uma página específica do log. Insira o número da página e pressione Enter ou clique em Ir. Por padrão, o Log de eventos mostra 20 eventos por página. Para exibir mais eventos por página, selecione uma opção na lista suspensa Eventos por página. Consulte também Nomes de arquivo e localizações de logs do Endpoint Security na página 25 Abrir o Cliente do Endpoint Security na página 19 Nomes de arquivo e localizações de logs do Endpoint Security Os arquivos de log de atividades, erros e depuração registram eventos que ocorrem nos sistemas com o Endpoint Security ativado. Configure o registro em log nas configurações do Em Comum. Os arquivos de log de atividades sempre aparecem no idioma especificado pela localidade do sistema padrão. Todos os arquivos de log de atividade e depuração são armazenados em um dos locais padrão, dependendo do sistema operacional. Sistema operacional Microsoft Windows 10 Microsoft Windows 8 e 8.1 Local padrão %ProgramData%\McAfee\Endpoint Security\Logs McAfee Endpoint Security 10.2 Guia do produto 25

26 2 Uso do Cliente do Endpoint Security Exibir o Log de eventos Sistema operacional Microsoft Windows 7 Microsoft Vista Local padrão C:\Documents and Settings\All Users\Dados de aplicativos\mcafee \Endpoint Security\Logs Cada módulo, recurso ou tecnologia coloca o log de atividades ou depuração em um arquivo separado. Todos os módulos colocam o log de erros em um único EndpointSecurityPlatform_Errors.log. A ativação do log de depuração para qualquer módulo também ativa o log de depuração para os recursos do módulo Em Comum, como a autoproteção. Tabela 2-1 Arquivos de log Módulo Recurso ou tecnologia Nome do arquivo Em Comum Prevenção contra ameaças Autoproteção Atualizações Erros A ativação do log de depuração para qualquer tecnologia Prevenção contra ameaças também ativa o log de depuração para o Cliente do Endpoint Security. EndpointSecurityPlatform_Activity.log EndpointSecurityPlatform_Debug.log AccessProtection_Activity.log SelfProtection_Debug.log PackageManager_Activity.log PackageManager_Debug.log EndpointSecurityPlatform_Errors.log ThreatPrevention_Activity.log ThreatPrevention_Debug.log Firewall Controle da Web Proteção de acesso Prevenção de exploração Varredura ao acessar Varredura por solicitação Varredura rápida Varredura completa Varredura por clique no botão direito Cliente do Endpoint Security AccessProtection_Activity.log AccessProtection_Debug.log ExploitPrevention_Activity.log ExploitPrevention_Debug.log OnAccessScan_Activity.log OnAccessScan_Debug.log OnDemandScan_Activity.log OnDemandScan_Debug.log MFEConsole_Debug.log Firewall_Activity.log Firewall_Debug.log FirewallEventMonitor.log Registra eventos de tráfego bloqueados e permitidos, se configurado. WebControl_Activity.log 26 McAfee Endpoint Security 10.2 Guia do produto

27 Uso do Cliente do Endpoint Security Gerenciamento do Endpoint Security 2 Tabela 2-1 Arquivos de log (continuação) Módulo Recurso ou tecnologia Nome do arquivo Inteligência contra ameaças Confinamento dinâmico de aplicativos WebControl_Debug.log ThreatIntelligence_Activity.log ThreatIntelligence_Debug.log DynamicApplicationContainment_Activity.log DynamicApplicationContainment_Debug.log Por padrão, os arquivos de log de instalação são armazenados nos seguintes locais: Autogerenciado Gerenciado %TEMP%\McAfeeLogs (pasta TEMP do usuário do Windows) TEMP\McAfeeLogs (pasta TEMP do sistema Windows) Gerenciamento do Endpoint Security Como administrador, você pode gerenciar o Endpoint Security a partir do Cliente do Endpoint Security, incluindo a ativação e a desativação de recursos, o gerenciamento de arquivos de conteúdo, a especificação do comportamento da interface do cliente e a configuração de definições comuns. Em sistemas gerenciados, as alterações de política do McAfee epo podem substituir as alterações da página Configurações. Consulte também Entrar como administrador na página 27 Desbloquear a interface de cliente na página 28 Desativar e ativar recursos na página 28 Alterar a versão do conteúdo do AMCore na página 29 Usar arquivos Extra.DAT na página 29 Configurar definições comuns na página 30 Entrar como administrador Entre no Cliente do Endpoint Security como administrador para ativar ou desativar recursos e definir configurações. Antes de iniciar O modo de interface para o Cliente do Endpoint Security deve estar configurado como Acesso padrão. Tarefa Para obter ajuda, no menu Ação do, selecione Ajuda. 1 Abra o Cliente do Endpoint Security. 2 No menu Ação, selecione Entrada do administrador. 3 No campo Senha, insira a senha do administrador e clique em Entrar. Agora você pode acessar todos os recursos do Cliente do Endpoint Security. McAfee Endpoint Security 10.2 Guia do produto 27

28 2 Uso do Cliente do Endpoint Security Gerenciamento do Endpoint Security Para se desconectar, selecione Ação Logoff de Administrador. O cliente retorna ao modo de interface Acesso padrão. Desbloquear a interface de cliente Se a interface do Cliente do Endpoint Security estiver bloqueada, desbloqueie-a com a senha do administrador para acessar todas as configurações. Antes de iniciar O modo de interface para o Cliente do Endpoint Security deve estar configurado como Bloquear interface do cliente. Tarefa 1 Abra o Cliente do Endpoint Security. 2 Na página Logon do Administrador, digite a senha do administrador no campo Senha e clique em Entrar. O Cliente do Endpoint Security é aberto e torna-se possível acessar todos os recursos do cliente. 3 Para sair e fechar o cliente, no menu Ação, selecione Logoff do Administrador. Desativar e ativar recursos Como administrador, você pode desativar e ativar recursos do Endpoint Security usando o Cliente do Endpoint Security. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. A página Status mostra o status ativado do módulo, que talvez não reflita o status real dos recursos. É possível consultar o status de cada recurso na página Configurações. Por exemplo, se a configuração Ativar ScriptScan não for aplicada com êxito, o status poderá ser (Status: Desativado). Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 Clique no nome do módulo (como Prevenção contra ameaças ou Firewall) na página Status principal. Ou, no menu Ação, selecione Configurações e clique no nome do módulo na página Configurações. 3 Selecione ou desmarque a opção Ativar módulo ou recurso. A ativação de qualquer recurso da Prevenção contra ameaças ativa o módulo Prevenção contra ameaças. Consulte também Entrar como administrador na página McAfee Endpoint Security 10.2 Guia do produto

29 Uso do Cliente do Endpoint Security Gerenciamento do Endpoint Security 2 Alterar a versão do conteúdo do AMCore Usar o Cliente do Endpoint Security para alterar a versão do conteúdo do AMCore em seu sistema. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. O Endpoint Security armazena o arquivo de conteúdo carregado atualmente e as duas versões anteriores na pasta Arquivos de Programas\Arquivos Comuns\McAfee\Engine\content. Se necessário, é possível voltar a uma versão anterior. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 No menu Ação do, selecione Reverter conteúdo do AMCore. 3 Na lista suspensa, selecione a versão a ser carregada. 4 Clique em Aplicar. As detecções no arquivo de conteúdo do AMCore entram em vigor imediatamente. Consulte também Como funcionam os arquivos de conteúdo na página 11 Entrar como administrador na página 27 Usar arquivos Extra.DAT Você pode instalar um arquivo Extra.DAT para proteger seu sistema contra um grande ataque de malware até que a próxima atualização de conteúdo do AMCore agendada seja disponibilizada. Tarefas Download de arquivos Extra.DAT na página 30 Para transferir arquivos ExtraDAT por download, clique no link de download fornecido pelo McAfee Labs. Carregar um arquivo Extra.DAT em um na página 30 Para instalar o arquivo Extra.DAT transferido por download em um, use o Cliente do Endpoint Security. Consulte também Sobre arquivos Extra.DAT na página 29 Sobre arquivos Extra.DAT Quando um novo malware é descoberto e uma detecção extra é necessária, o McAfee Labs disponibiliza um arquivo Extra.DAT. Os arquivos Extra.DAT contêm informações que o Prevenção contra ameaças usa para lidar com o novo malware. Você pode transferir por download os arquivos Extra.DAT para ameaças específicas a partir da página de solicitação de Extra.DAT do McAfee Labs. O Prevenção contra ameaças é compatível com o uso de apenas um arquivo Extra.DAT. McAfee Endpoint Security 10.2 Guia do produto 29

30 2 Uso do Cliente do Endpoint Security Gerenciamento do Endpoint Security Cada arquivo Extra.DAT incorpora uma data de expiração. Quando o arquivo Extra.DAT é carregado, essa data de expiração é comparada com a data de compilação do conteúdo do AMCore instalado no sistema. Se a data de compilação do conteúdo do AMCore definida for mais recente do que a data de expiração do Extra.DAT, o Extra.DAT é considerado expirado e não é mais carregado e usado pelo mecanismo. Durante a atualização seguinte, o Extra.DAT é removido do sistema. Se a atualização seguinte do conteúdo do AMCore incluir a assinatura do Extra.DAT, o Extra.DAT é removido. O Endpoint Security armazena os arquivos Extra.DAT na pasta c:\arquivos de programas\common Files\McAfee\Engine\content\avengine\extradat. Download de arquivos Extra.DAT Para transferir arquivos ExtraDAT por download, clique no link de download fornecido pelo McAfee Labs. Tarefa 1 Clique no link de download, especifique um local para salvar o arquivo Extra.DAT, depois clique em Salvar. 2 Se necessário, descompacte o arquivo EXTRA.ZIP. 3 Carregue o arquivo Extra.DAT com o Cliente do Endpoint Security. Carregar um arquivo Extra.DAT em um Para instalar o arquivo Extra.DAT transferido por download em um, use o Cliente do Endpoint Security. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 No menu Ação do, selecione Carregar Extra.DAT. 3 Clique em Procurar, navegue até o local para onde o arquivo Extra.DAT foi transferido por download, depois clique em Abrir. 4 Clique em Aplicar. As novas detecções no Extra.DAT entram em vigor imediatamente. Consulte também Entrar como administrador na página 27 Configurar definições comuns Configurar definições que se aplicam a todos os módulos e recursos do Endpoint Security no módulo Em Comum. Essas definições incluem configurações de segurança da interface e de idioma do Cliente 30 McAfee Endpoint Security 10.2 Guia do produto

31 Uso do Cliente do Endpoint Security Gerenciamento do Endpoint Security 2 do Endpoint Security, configurações de registro e do servidor proxy do McAfee GTI e configuração de atualização. Tarefas Proteger recursos do Endpoint Security na página 31 Uma das primeiras coisas que o malware tenta fazer durante um ataque é desativar o software de segurança do seu sistema. Defina a Autoproteção do Endpoint Security nas configurações do Em Comum para impedir que os serviços e os arquivos do Endpoint Security sejam interrompidos ou modificados. Configurar definições log na página 32 Configurar registro em log do Endpoint Security nas definições do Em Comum. Permitir a autenticação de certificados na página 32 Os certificados permitem que um fornecedor execute códigos dentro de processos da McAfee. Controle do acesso ao software cliente na página 33 Controle o acesso ao Cliente do Endpoint Security definindo uma senha nas configurações do Em Comum. Configurar as definições do servidor proxy para o McAfee GTI na página 34 Especifique as opções do servidor proxy para obter a reputação do McAfee GTI nas definições do Em Comum. Proteger recursos do Endpoint Security Uma das primeiras coisas que o malware tenta fazer durante um ataque é desativar o software de segurança do seu sistema. Defina a Autoproteção do Endpoint Security nas configurações do Em Comum para impedir que os serviços e os arquivos do Endpoint Security sejam interrompidos ou modificados. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. A desativação da Autoproteção do Endpoint Security deixa seu sistema vulnerável a ataques. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 No menu Ação, selecione Configurações. 3 Clique em Mostrar opções avançadas. 4 Em Autoproteção, verifique se a opção Autoproteção está ativada. 5 Especifique a ação para cada um dos seguintes recursos do Endpoint Security: Arquivos e pastas Impede que os usuários modifiquem bancos de dados, binários, arquivos de pesquisa segura e arquivos de configuração da McAfee. Registro Impede que os usuários modifiquem o hive de Registro e os componentes COM e desinstalem usando o valor de Registro da McAfee. Processos Impede a interrupção de processos da McAfee. 6 Clique em Aplicar para salvar suas alterações ou clique em Cancelar. McAfee Endpoint Security 10.2 Guia do produto 31

32 2 Uso do Cliente do Endpoint Security Gerenciamento do Endpoint Security Consulte também Entrar como administrador na página 27 Configurar definições log Configurar registro em log do Endpoint Security nas definições do Em Comum. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 No menu Ação, selecione Configurações. 3 Clique em Mostrar opções avançadas. 4 Configure as definições do Log do cliente na página. 5 Clique em Aplicar para salvar suas alterações ou clique em Cancelar. Consulte também Nomes de arquivo e localizações de logs do Endpoint Security na página 25 Entrar como administrador na página 27 Permitir a autenticação de certificados Os certificados permitem que um fornecedor execute códigos dentro de processos da McAfee. Quando um processo é detectado, a tabela de certificados é preenchida com o Fornecedor, o Assunto e o Hash da chave pública associada. Essa configuração pode resultar em problemas de compatibilidade e redução da segurança. Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. Tarefa 1 Abra o Cliente do Endpoint Security. 2 No menu Ação, selecione Configurações. 3 Clique em Mostrar opções avançadas. 4 Na seção Certificados, selecione Permitir. 5 Clique em Aplicar para salvar suas alterações ou clique em Cancelar. As informações do certificado serão exibidas na tabela. 32 McAfee Endpoint Security 10.2 Guia do produto

33 Uso do Cliente do Endpoint Security Gerenciamento do Endpoint Security 2 Controle do acesso ao software cliente Controle o acesso ao Cliente do Endpoint Security definindo uma senha nas configurações do Em Comum. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. O Modo da interface do cliente é definido como Acesso total por padrão, permitindo que os usuários alterem suas configurações de segurança, o que pode deixar os sistemas desprotegidos contra ataques de malware. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 No menu Ação, selecione Configurações. 3 Defina as configurações de Modo da interface do cliente na página. Prática recomendada: para melhorar a segurança, altere o Modo da interface do cliente para Padrão ou Bloquear interface do cliente. Ambas as opções exigem uma senha para acessar o Cliente do Endpoint Security. 4 Clique em Aplicar para salvar suas alterações ou clique em Cancelar. Consulte também Efeitos da definição de uma senha de administrador na página 33 Entrar como administrador na página 27 Efeitos da definição de uma senha de administrador Ao configurar o modo de interface para Acesso padrão, você também deve definir uma senha de administrador. A definição de uma senha de administrador no Cliente do Endpoint Security afeta os seguintes usuários: McAfee Endpoint Security 10.2 Guia do produto 33

34 2 Uso do Cliente do Endpoint Security Gerenciamento do Endpoint Security Não administradores (usuários sem direitos de administrador) Não administradores podem: Exibir alguns parâmetros de configuração. Executar varreduras. Verificar atualizações (se ativado). Exibir a Quarentena. Exibir o Log de eventos. Acessar a página Configurações para exibir ou modificar regras do Firewall (se ativado). Não administradores não podem: Alterar nenhum parâmetro de configuração. Exibir, criar, excluir ou modificar definições de. Uma exceção é a capacidade de exibir ou modificar regras do Firewall (se ativado). Administradores (usuários com direitos administrativos) Os administradores devem digitar a senha para acessar as áreas protegidas e modificar configurações. Configurar as definições do servidor proxy para o McAfee GTI Especifique as opções do servidor proxy para obter a reputação do McAfee GTI nas definições do Em Comum. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 No menu Ação, selecione Configurações. 3 Clique em Mostrar opções avançadas. 4 Configure as definições do Servidor proxy para o McAfee GTI na página. 5 Clique em Aplicar para salvar suas alterações ou clique em Cancelar. Consulte também Como funciona o McAfee GTI na página 34 Entrar como administrador na página 27 Como funciona o McAfee GTI Se você ativar o McAfee GTI para o mecanismo de varredura ao acessar ou por solicitação, o mecanismo de varredura utilizará a heurística para verificar arquivos suspeitos. O servidor McAfee GTI armazena classificações de sites e relatórios para o Controle da Web. Se você configurar o Controle da 34 McAfee Endpoint Security 10.2 Guia do produto

35 Uso do Cliente do Endpoint Security Gerenciamento do Endpoint Security 2 Web para varrer arquivos obtidos por download, o mecanismo de varredura usará a reputação de arquivos do McAfee GTI para verificar se há arquivos suspeitos. O mecanismo de varredura envia impressões digitais de amostras, ou hashes, para um servidor de banco de dados central hospedado pelo McAfee Labs para determinar se são malware. Ao enviar hashes, a detecção pode ser disponibilizada antes da próxima atualização de arquivo de conteúdo, quando o McAfee Labs publicar a atualização. Você pode configurar o nível de sensibilidade a ser usado pelo McAfee GTI ao determinar se uma amostra detectada é malware. Quanto mais alto o nível de sensibilidade, maior o número de detecções de malware. Contudo, a permissão de mais detecções pode resultar em mais detecções de falsos positivos. Na Prevenção contra ameaças, o nível de sensibilidade do McAfee GTI é definido como Médio por padrão. Configure o nível de sensibilidade para cada mecanismo de varredura nas configurações da Prevenção contra ameaças. No Controle da Web, o nível de sensibilidade do McAfee GTI é definido como Muito alto por padrão. Defina o nível de sensibilidade para a varredura de downloads de arquivos nas configurações de Opções do Controle da Web, Você pode configurar o Endpoint Security para usar um servidor proxy para recuperar informações de reputação do McAfee GTI nas configurações Em Comum. Configurar comportamento da atualização Especifique o comportamento de atualizações iniciadas a partir do Cliente do Endpoint Security nas definições Em Comum. Tarefas Configurar sites de origem para atualizações na página 35 É possível configurar os sites dos quais o Cliente do Endpoint Security obtém arquivos de segurança atualizados nas configurações do Em Comum. Configurar o comportamento padrão de atualizações na página 37 Você pode especificar o comportamento padrão para as atualizações iniciadas no Cliente do Endpoint Security nas configurações do Em Comum. Configurar, agendar e executar tarefas de atualização na página 39 Você pode configurar tarefas de atualização personalizadas ou alterar o agendamento de tarefas de Atualização padrão do cliente usando o Cliente do Endpoint Security nas configurações do Em Comum. Configurar, selecionar e executar tarefas de espelhamento na página 40 Você pode modificar ou agendar tarefas de espelhamento do Cliente do Endpoint Security nas definições do módulo Em Comum. Configurar sites de origem para atualizações É possível configurar os sites dos quais o Cliente do Endpoint Security obtém arquivos de segurança atualizados nas configurações do Em Comum. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. McAfee Endpoint Security 10.2 Guia do produto 35

36 2 Uso do Cliente do Endpoint Security Gerenciamento do Endpoint Security Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 No menu Ação, selecione Configurações. 3 Clique em Mostrar opções avançadas. 4 Em Em Comum, clique em Opções. 5 Defina as configurações de Sites de origem para atualizações na página. Você pode ativar e desativar o site de origem de backup padrão, McAfeeHttp, e o servidor de gerenciamento (para os sistemas gerenciados), mas você não poderá modificá-los ou eliminá-los de outra forma. A ordem dos sites determina a ordem usada pelo Endpoint Security para pesquisar o site de atualização. Para... Adicione um site à lista. Siga esses passos 1 Clique em Adicionar. 2 Especifique as definições do site e clique em OK. O site aparecerá no início da lista. Modificar um site existente. Excluir um site. Importar sites de um arquivo da lista de sites de origem. 1 Clique duas vezes no nome do site. 2 Modifique as configurações e clique em OK. Selecione o site, depois clique em Excluir. 1 Clique em Importar. 2 Selecione o arquivo a ser importado e clique em OK. O arquivo de lista de sites substitui a lista de sites de origem existente. Exporte a lista de sites de origem para um arquivo SiteList.xml. Reorganize os sites na lista. 1 Clique em Exportar tudo. 2 Selecione o local onde deseja salvar o arquivo da lista de sites de origem e clique em OK. Para mover os elementos: 1 Selecione os elementos que serão movidos. A alça movidos. aparece à esquerda de elementos que podem ser 2 Arraste e solte os elementos no novo local. Uma linha azul é exibida entre os elementos no local em que você pode soltar os elementos arrastados. 6 Clique em Aplicar para salvar suas alterações ou clique em Cancelar. 36 McAfee Endpoint Security 10.2 Guia do produto

37 Uso do Cliente do Endpoint Security Gerenciamento do Endpoint Security 2 Consulte também O que a lista de repositórios contém na página 37 Como funciona a tarefa Atualização padrão do cliente na página 38 Entrar como administrador na página 27 Configurar, agendar e executar tarefas de atualização na página 39 O que a lista de repositórios contém A lista de repositórios especifica as informações sobre os repositórios que o McAfee Agent usa para atualizar os produtos da McAfee, incluindo arquivos Engine e DAT. A lista de repositórios inclui: Informações e local do repositório Preferência de ordem do repositório Configurações do servidor proxy, se necessário Credenciais criptografadas necessárias para acessar cada repositório A tarefa do cliente do McAfee Agent Atualização do produto conecta-se ao primeiro repositório ativado (site de atualização) na lista de repositórios. Se o repositório não estiver disponível, a tarefa entra em contato com o site seguinte até se conectar com êxito ou atingir o final da lista. Se a rede utilizar um servidor proxy, você poderá especificar as configurações de proxy a serem utilizadas, o endereço do servidor proxy e se deseja utilizar autenticação. As informações de proxy são armazenadas na lista de repositórios. As configurações de proxy definidas por você são aplicadas a todos os repositórios da lista. A localização da lista de repositórios depende do sistema operacional: Sistema operacional Localização da lista de repositórios Microsoft Windows 8 Microsoft Windows 7 Versões mais recentes C:\ProgramData\McAfee\Common Framework\SiteList.xml C:\Documents and Settings\All Users\Application Data\McAfee\Common Framework\SiteList.xml Configurar o comportamento padrão de atualizações Você pode especificar o comportamento padrão para as atualizações iniciadas no Cliente do Endpoint Security nas configurações do Em Comum. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Use essas configurações para: Exibir ou ocultar o botão no cliente. Especifique o que atualizar quando o usuário clicar no botão ou quando a tarefa de padrão de atualização do cliente for executada. Por padrão, a tarefa de Atualização padrão do cliente é executada todos os dias à 1h00. e repete-se de quatro em quatro horas até às 23h59. Em sistemas autogerenciados, a tarefa Atualização padrão do cliente atualiza todo o conteúdo e o software. Em sistemas gerenciados, essa tarefa atualiza apenas o conteúdo. McAfee Endpoint Security 10.2 Guia do produto 37

38 2 Uso do Cliente do Endpoint Security Gerenciamento do Endpoint Security Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 No menu Ação, selecione Configurações. 3 Clique em Mostrar opções avançadas. 4 Defina as configurações de Atualização padrão do cliente na página. 5 Clique em Aplicar para salvar suas alterações ou clique em Cancelar. Consulte também Entrar como administrador na página 27 Configurar sites de origem para atualizações na página 35 Configurar, agendar e executar tarefas de atualização na página 39 Como funciona a tarefa Atualização padrão do cliente A tarefa Atualização padrão do cliente baixa a proteção mais atual para o Cliente do Endpoint Security. O Endpoint Security inclui a tarefa Atualização padrão do cliente que é executada todos os dias à 1h e repete-se de quatro em quatro horas até às 23h59. A tarefa de Atualização padrão do cliente: 1 Conecta-se ao primeiro site de origem ativado na lista. Se o site não estiver disponível, a tarefa entra em contato com o site seguinte até se conectar ou atingir o final da lista. 2 Transfere um arquivo CATALOG.Z criptografado do site. O arquivos contém as informações necessárias para realizar a atualização, incluindo os arquivos e atualizações disponíveis. 3 Verifica as versões de software do arquivo em relação às versões no computador e transfere as novas atualizações de software disponíveis. Se a tarefa de Atualização padrão do cliente for interrompida durante a atualização: Faz a atualização a partir de... HTTP, UNC, ou site local Site FTP (transferência de arquivo único) Se interrompida... Retorna onde a atualização parou na próxima vez que a tarefa de atualização é iniciada. Não retorna se interrompida. Site FTP (transferência de vários arquivos) Retoma antes do arquivo que estava sendo baixado no momento da interrupção. Consulte também Configurar sites de origem para atualizações na página 35 Configurar, agendar e executar tarefas de atualização na página 39 O que a lista de repositórios contém na página McAfee Endpoint Security 10.2 Guia do produto

39 Uso do Cliente do Endpoint Security Gerenciamento do Endpoint Security 2 Configurar, agendar e executar tarefas de atualização Você pode configurar tarefas de atualização personalizadas ou alterar o agendamento de tarefas de Atualização padrão do cliente usando o Cliente do Endpoint Security nas configurações do Em Comum. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Use essas definições para a configuração no cliente quando a tarefa Atualização padrão do cliente for executada. Você também pode configurar o comportamento padrão das atualizações de cliente iniciadas no Cliente do Endpoint Security. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 No menu Ação, selecione Configurações. 3 Clique em Mostrar opções avançadas. 4 A partir da opção Em Comum, clique em Tarefas. 5 Defina as configurações da tarefa de atualização na página. Para... Crie uma tarefa de atualização personalizada. Siga esses passos 1 Clique em Adicionar. 2 Digite o nome e, a partir da lista suspensa Selecionar tipo de tarefa, selecione Atualização. 3 Configure as definições e clique em OK para salvar a tarefa. Altere uma tarefa de atualização. Remova uma tarefa de atualização personalizada. Crie uma cópia de uma tarefa de atualização. Clique duas vezes na tarefa, faça as suas alterações e, em seguida, clique em OK para salvar a tarefa. Selecione a tarefa e clique em Excluir. 1 Selecione a tarefa e clique em Duplicar. 2 Digite o nome, defina as configurações e clique em OK para salvar a tarefa. McAfee Endpoint Security 10.2 Guia do produto 39

40 2 Uso do Cliente do Endpoint Security Gerenciamento do Endpoint Security Para... Altere o agendamento para uma tarefa de Atualização padrão do cliente. Execute uma tarefa de atualização. Siga esses passos 1 Clique duas vezes em Atualização padrão do cliente. 2 Clique na guia Agendamento, altere o agendamento e clique em OK para salvar a tarefa. Você também pode configurar o comportamento padrão das atualizações de cliente iniciadas no Cliente do Endpoint Security. Selecione a tarefa e clique em Executar agora. Se a tarefa já estiver sendo executada, incluindo pausada ou adiada, o botão é alterado para Exibir. Se você executar uma tarefa antes de aplicar as alterações, o Cliente do Endpoint Security solicita que você salve as configurações. 6 Clique em Aplicar para salvar suas alterações ou clique em Cancelar. Consulte também Como funciona a tarefa Atualização padrão do cliente na página 38 Configurar sites de origem para atualizações na página 35 Configurar o comportamento padrão de atualizações na página 37 Configurar, selecionar e executar tarefas de espelhamento Você pode modificar ou agendar tarefas de espelhamento do Cliente do Endpoint Security nas definições do módulo Em Comum. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 No menu Ação, selecione Configurações. 3 Clique em Mostrar opções avançadas. 4 A partir da opção Em Comum, clique em Tarefas. 5 Configure as definições da tarefa de espelhamento na página. Para... Crie uma tarefa de espelhamento. Siga esses passos 1 Clique em Adicionar. 2 Digite o nome e, a partir da lista suspensa Selecionar tipo de tarefa, selecione Espelhamento. 3 Configure as definições e, em seguida, clique em OK. Altere uma tarefa de espelhamento. Clique duas vezes na tarefa de espelhamento, faça as suas mudanças e, em seguida, clique em OK. 40 McAfee Endpoint Security 10.2 Guia do produto

41 Uso do Cliente do Endpoint Security Referência da interface do cliente Em Comum 2 Para... Remova uma tarefa de espelhamento. Crie uma cópia de uma tarefa de espelhamento. Agende uma tarefa de espelhamento. Execute uma tarefa de espelhamento. Siga esses passos Selecione a tarefa e clique em Excluir. 1 Selecione a tarefa e clique em Duplicar. 2 Digite o nome, configure as definições e clique em OK. 1 Clique duas vezes na tarefa. 2 Clique na guia Agendamento, altere o agendamento e clique em OK para salvar a tarefa. Selecione a tarefa e clique em Executar agora. Se a tarefa já estiver sendo executada, incluindo pausada ou adiada, o botão é alterado para Exibir. Se você executar uma tarefa antes de aplicar as alterações, o Cliente do Endpoint Security solicita que você salve as configurações. 6 Clique em Aplicar para salvar suas alterações ou clique em Cancelar. Como as tarefas de espelhamento funcionam A tarefa de espelhamento replica os arquivos de atualização a partir do primeiro repositório acessível definido na lista de repositórios, em um site de espelhamento na rede. O uso mais comum desta tarefa é espelhar o conteúdo do site de downloads da McAfee em um servidor local. Depois que você replicar o site da McAfee que contém os arquivos de atualização, os computadores da rede poderão fazer download dos arquivos a partir do site de espelhamento. Esta abordagem permite que você atualize qualquer computador em sua rede, tenha ou não acesso à Internet. Utilizar um site replicado é mais eficiente porque os seus sistemas se comunicam com um servidor que está mais próximo do que um site de Internet da McAfee, economizando tempo de acesso e download. O Endpoint Security depende de um diretório para se atualizar. Por isso, ao espelhar um site, certifique-se de replicar toda a estrutura de diretórios. Referência da interface do cliente Em Comum Os tópicos da Ajuda da referência da interface fornecem ajuda contextual para as páginas da interface do cliente. Conteúdo Página Log de eventos Em Comum Opções Em Comum Tarefas McAfee Endpoint Security 10.2 Guia do produto 41

42 2 Uso do Cliente do Endpoint Security Referência da interface do cliente Em Comum Página Log de eventos Exibe a atividade e os eventos de depuração no Log de eventos. Tabela 2-2 Opções Opção Número de eventos Exibir pasta de logs Mostrar todos os eventos Filtrar por gravidade Definição Indica o número de eventos que o Endpoint Security registrou no sistema nos últimos 30 dias. Atualiza a exibição de Log de eventos com novos dados de eventos. Abre a pasta que contém os arquivos de log no Windows Explorer. Remove todos os filtros. Filtra os eventos por nível de gravidade: Alerta Mostra apenas os eventos com gravidade de nível 1. Crítico e superiores Mostra apenas os eventos com gravidade de nível 1 e 2. Avisos e superiores Mostra apenas os eventos com gravidade de nível 1, 2 e 3. Aviso e superiores Mostra apenas os eventos com gravidade de nível 1, 2, 3 e 4. Filtrar por módulo Filtra os eventos por módulo: Em Comum Prevenção contra ameaças Firewall : Firewall Controle da Web Inteligência contra ameaças Mostra apenas eventos do Em Comum. Mostra apenas eventos da Prevenção contra ameaças. Mostra apenas eventos do Firewall. Mostra apenas eventos do Controle da Web. Mostra apenas eventos da Inteligência contra ameaças. Os recursos que aparecem na lista suspensa dependem dos recursos instalados no sistema no momento em que o Log de eventos foi aberto. Pesquisar Eventos por página Página anterior Próxima página Página x de x Cabeçalho da coluna Data Recurso Pesquisa uma cadeia de caracteres no Log de eventos. Seleciona o número de eventos que deverão ser exibidos em uma página. (Por padrão, 20 eventos por página) Exibe a página anterior no Log de eventos. Exibe a próxima página no Log de eventos. Seleciona uma página no Log de eventos para ser acessada. Insira um número no campo Página e pressione Enter ou clique em Ir para acessar a página. Classifica a lista de eventos por... Data em que o evento ocorreu. Recurso que registrou o evento em log. 42 McAfee Endpoint Security 10.2 Guia do produto

43 Uso do Cliente do Endpoint Security Referência da interface do cliente Em Comum 2 Cabeçalho da coluna Ação realizada Classifica a lista de eventos por... Ação tomada pelo Endpoint Security, se for o caso, em resposta ao evento. A ação é definida nas configurações. Permitido Acesso negado Excluído Continuar Limpo Movido Bloqueado Bloquearia Permite acesso ao arquivo. O acesso ao arquivo foi impedido. O arquivo foi excluído automaticamente. A ameaça foi removida do arquivo automaticamente. O arquivo foi movido para Quarentena. O acesso ao arquivo foi bloqueado. Uma regra de proteção de acesso teria bloqueado o acesso ao arquivo se a regra em questão estivesse imposta. Gravidade Nível de gravidade do evento. Crítico 1 Importante 2 Menos importante 3 Aviso 4 Informativo 5 Consulte também Exibir o Log de eventos na página 24 Em Comum Opções Defina as configurações da interface do Cliente do Endpoint Security, da autoproteção, do log de atividades e depuração, e do servidor proxy. Tabela 2-3 Opções Seção Opção Definição Modo da interface do cliente Acesso total Acesso padrão Permite o acesso a todos os recursos. (Padrão) Exibe o status da proteção e permite o acesso à maioria dos recursos, como a execução de atualizações e varreduras. O modo Acesso padrão exige uma senha para exibir e alterar as configurações da página Configurações do Cliente do Endpoint Security. Bloquear interface do cliente Exige uma senha para acessar o Cliente do Endpoint Security. McAfee Endpoint Security 10.2 Guia do produto 43

44 2 Uso do Cliente do Endpoint Security Referência da interface do cliente Em Comum Tabela 2-3 Opções (continuação) Seção Opção Definição Definir senha do administrador No caso de Acesso padrão e Bloqueio da interface do cliente, especifica a senha do administrador para acessar todos os recursos da interface do Cliente do Endpoint Security. Senha Especifica a senha. Confirmar senha Confirma a senha. Desinstalação Senha obrigatória para desinstalar o cliente Requer uma senha para desinstalar o Cliente do Endpoint Security. A senha padrão é mcafee. (Desativado por padrão) Senha Especifica a senha. Confirmar senha Confirma a senha. Tabela 2-4 Opções avançadas Seção Opção Definição Idioma da interface do cliente Automático Idioma Seleciona automaticamente o idioma a usar em textos da interface do Cliente do Endpoint Security com base no idioma do sistema do cliente. Especifica o idioma a ser usado para o texto da interface do Cliente do Endpoint Security. Em sistemas gerenciados, as alterações de idioma feitas no Cliente do Endpoint Security substituem as alterações de política do servidor de gerenciamento. A alteração de idioma é aplicada após a reinicialização do Cliente do Endpoint Security. O idioma do cliente não afeta os arquivos de log. Os arquivos de log sempre aparecem no idioma especificado pela região do sistema padrão. Autoproteção Ativar autoproteção Protege os recursos do sistema do Endpoint Security contra atividades maliciosas. Ação Especifica uma ação a tomar quando ocorre uma atividade maliciosa: Bloquear e relatar Bloqueia a atividade e relata para o McAfee epo. (Padrão) Apenas bloquear Bloqueia a atividade, mas não relata para o McAfee epo. Apenas relatar Relata para o McAfee epo, mas não bloqueia a atividade. Arquivos e pastas Registro Processos Impede a alteração ou a exclusão de arquivos e pastas do sistema da McAfee. Impede a modificação ou exclusão de chaves e valores de registro da McAfee. Impede a interrupção de processos da McAfee. 44 McAfee Endpoint Security 10.2 Guia do produto

45 Uso do Cliente do Endpoint Security Referência da interface do cliente Em Comum 2 Tabela 2-4 Opções avançadas (continuação) Seção Opção Definição Excluir estes processos Permite acesso aos processos especificados. Há suporte para caracteres curinga. Adicionar Adiciona um processo à lista de exclusão. Clique em Adicionar e insira o nome exato do recurso, como avtask.exe. Clicar duas vezes em um item - Modifica o item selecionado. Excluir Exclui o item selecionado. Selecione o recurso e clique em Excluir. Certificados Especifica as opções de certificado. Permitir Permite que um fornecedor execute códigos dentro de processos da McAfee. Essa configuração pode resultar em problemas de compatibilidade e redução da segurança. Log do cliente Fornecedor Assunto Hash Local dos arquivos de log Especifica o Nome Comum (CN) da autoridade que assinou e emitiu o certificado. Especifica o Nome distinto do signatário (SDN) que define a entidade associada ao certificado. Estas informações podem incluir: CN - Nome Comum OU - Unidade organizacional O - Organização L - Local ST - Estado ou província C - Código do país Especifica o hash da chave pública associada. Especifica o local dos arquivos de log. A localização padrão é: <UNIDADE_DO_SISTEMA>:\ProgramData\McAfee\Endpoint\Logs Insira ou clique em Procurar para acessar um local. Log de atividades Ativar log de atividades Tamanho limite (em MB) de cada arquivo de log de atividades Ativa o registro em log de todas as atividades do Endpoint Security. Limita cada arquivo de log de atividades ao tamanho máximo especificado (entre 1 MB e 999 MB). O padrão é 10 MB. Se o arquivo de log exceder esse tamanho, 25% das entradas mais antigas serão substituídas por novos dados no arquivo. Desative essa opção para permitir que os arquivos de log atinjam qualquer tamanho. McAfee Endpoint Security 10.2 Guia do produto 45

46 2 Uso do Cliente do Endpoint Security Referência da interface do cliente Em Comum Tabela 2-4 Opções avançadas (continuação) Seção Opção Definição Log de depuração A ativação do log de depuração para qualquer módulo também ativa o log de depuração para os recursos do módulo Em Comum, como a autoproteção. Prática recomendada: ativar o log de depuração, pelo menos, pelas primeiras 24 horas durante as fases de teste e piloto. Se não ocorrer nenhum problema durante esse período, desativar o log de depuração para evitar impactos no desempenho de sistemas cliente. Ativar para Prevenção contra ameaças Ativa o registro em log detalhado para a Prevenção contra ameaças e tecnologias individuais: Ativar para proteção de acesso - Registra no AccessProtection_Debug.log. Ativar para prevenção de exploração Registra em log no arquivo ExploitPrevention_Debug.log. Ativar para varredura ao acessar Registra em log no arquivo OnAccessScan_Debug.log. Ativar para varredura por solicitação Registra em log no arquivo OnDemandScan_Debug.log. A ativação do log de depuração para qualquer tecnologia Prevenção contra ameaças também ativa o log de depuração para o Cliente do Endpoint Security. Ativar para Firewall Ativar para Controle da Web Ativar para a Inteligência contra ameaças Tamanho limite (em MB) de cada arquivo de log de depuração Ativa o registro em log detalhado de atividades do Firewall. Ativa o registro em log detalhado de atividades do Controle da Web. Ativa o registro em log detalhado de atividades do Inteligência contra ameaças. Limita cada arquivo de log de depuração ao tamanho máximo especificado (entre 1 MB e 999 MB). O padrão é 50 MB. Se o arquivo de log exceder esse tamanho, 25% das entradas mais antigas serão substituídas por novos dados no arquivo. Desative essa opção para permitir que arquivos de log tenham qualquer tamanho. Log de eventos Enviar eventos para McAfee epo Registrar os eventos no log de aplicativos do Windows Envia todos os eventos registrados em log no Log de eventos do Cliente do Endpoint Security para o McAfee epo. Essa opção está disponível apenas em sistemas gerenciados pelo McAfee epo. Envia todos os eventos registrados em log no Log de eventos do Cliente do Endpoint Security para o log de aplicativos do Windows. O log de aplicativos do Windows pode ser acessado em Visualizador de eventos do Windows Logs do Windows Aplicativo. 46 McAfee Endpoint Security 10.2 Guia do produto

47 Uso do Cliente do Endpoint Security Referência da interface do cliente Em Comum 2 Tabela 2-4 Opções avançadas (continuação) Seção Opção Definição Níveis de gravidade Especifica o nível de gravidade dos eventos no Log de eventos do Cliente do Endpoint Security: Nenhum - Não envia alertas. Apenas alerta Envia apenas alertas de nível 1. Crítico e alerta Envia alertas de níveis 1 e 2. Advertência, crítico e alerta Envia alertas de níveis 1 a 3. Todos, com exceção dos informativos Envia alertas de níveis 1 a 4. Todos Envia alertas de níveis 1 a 5. 1 Alerta 2 Crítico 3 Advertência 4 Aviso 5 Informativo Eventos de Prevenção contra ameaças a registrar em log Especifica o nível de gravidade dos eventos de cada recurso de Prevenção contra ameaças a serem registrados em log: Proteção de acesso Registra em log no arquivo AccessProtection_Activity.log. Ao ativar o log de eventos para a Proteção de acesso, o log de eventos para Autoproteção também será ativado. Prevenção de exploração Registra em log no arquivo ExploitPrevention_Activity.log. Varredura ao acessar Registra em log no arquivo OnAccessScan_Activity.log. Varredura por solicitação Registra em log no arquivo OnDemandScan_Activity.log. Servidor proxy para o McAfee GTI Eventos de Firewall no log Eventos do Controle da Web no log Eventos de Inteligência contra ameaças a registrar em log Nenhum servidor proxy Usar configurações de proxy do sistema Especifica o nível de gravidade dos eventos do Firewall a ser registrado em log. Especifica o nível de gravidade dos eventos do Controle da Web a ser registrado em log. Especifica o nível de gravidade dos eventos do Inteligência contra ameaças a serem registrados em log. Especifica que os sistemas gerenciados recuperam informações de reputação do McAfee GTI diretamente pela Internet, não através de um servidor proxy. (Padrão) Especifica o uso de configurações de proxy do sistema do cliente e, opcionalmente, ativa a autenticação de proxy HTTP. McAfee Endpoint Security 10.2 Guia do produto 47

48 2 Uso do Cliente do Endpoint Security Referência da interface do cliente Em Comum Tabela 2-4 Opções avançadas (continuação) Seção Opção Definição Configurar servidor proxy Personaliza as configurações de proxy. Endereço - Especifica o endereço IP ou o nome de domínio totalmente qualificado do servidor proxy HTTP. Porta - Limita o acesso através da porta especificada. Excluir esses endereços Não usa o servidor proxy HTTP para sites ou endereços IP que comecem com as entradas especificadas. Clique em Adicionar, a seguir, insira o nome do endereço a excluir. Atualização padrão do cliente Sites de origem para atualizações Ativar autenticação de proxy HTTP Ativar o botão Atualizar agora no cliente O que atualizar Adicionar Clicar duas vezes em um item Excluir Especifica que o servidor proxy HTTP requer autenticação. (Essa opção está disponível somente quando um servidor proxy HTTP é selecionado.) Digite as credenciais do servidor proxy HTTP: Nome de usuário - Especifica a conta de usuário com permissões para acessar o servidor proxy HTTP. Senha Especifica a senha para o Nome de usuário. Confirmar senha Confirma a senha especificada. Exibe ou oculta o botão Cliente do Endpoint Security. da página principal do Clique nesse botão para verificar e baixar manualmente atualizações de arquivos de conteúdo e de componentes de software no sistema cliente. Especifica o que deve ser atualizado ao clicar no botão. Conteúdo de segurança, hotfixes e patches Atualiza todo o conteúdo de segurança (incluindo conteúdo de mecanismo, AMCore e Prevenção de exploração), bem como qualquer HotFix e patch, para as versões mais recentes. Conteúdo de segurança Atualiza apenas o conteúdo de segurança. (Padrão) Hotfixes e patches Atualiza apenas HotFixes e patches. Configura quais sites serão usados para obter atualizações de arquivos de conteúdo e componentes de software. Você pode ativar e desativar o site de origem de backup padrão, McAfeeHttp, e o servidor de gerenciamento (para os sistemas gerenciados), mas você não poderá modificá-los ou eliminá-los de outra forma. Indica elementos que podem ser movidos na lista. Selecione elementos e arraste e solte-os no novo local. Uma linha azul é exibida entre os elementos no local em que você pode soltar os elementos arrastados. Adiciona um site à lista de sites de origem. Modifica o item selecionado. Exclui o site selecionado da lista de sites de origem. 48 McAfee Endpoint Security 10.2 Guia do produto

49 Uso do Cliente do Endpoint Security Referência da interface do cliente Em Comum 2 Tabela 2-4 Opções avançadas (continuação) Seção Opção Definição Importar Importa sites de um arquivo da lista de sites de origem. Selecione o arquivo a importar e clique em OK. O arquivo de lista de sites substitui a lista de sites de origem existente. Exportar tudo Exporta a lista de sites de origem para um arquivo SiteList.xml. Selecione o local onde deseja salvar o arquivo da lista de sites de origem e clique em OK. Servidor proxy para sites de origem Nenhum servidor proxy Usar configurações de proxy do sistema Configurar servidor proxy Especifica que os sistemas gerenciados recuperem informações de reputação do McAfee GTI diretamente na Internet, e não através de um servidor proxy. (Padrão) Especifica o uso de configurações de proxy do sistema do cliente e, opcionalmente, ativa a autenticação de proxy HTTP ou FTP. Personaliza as configurações de proxy. Endereço HTTP/FTP Especifica o endereço DNS, IPv4 ou IPv6 do servidor proxy FTP ou HTTP. Porta Limita o acesso através da porta especificada. Excluir esses endereços Especifica os endereços de sistemas Cliente do Endpoint Security para os quais você não deseja usar o servidor proxy para obter classificações do McAfee GTI. Clique em Adicionar e insira o nome do endereço a ser excluído. Ativar a autenticação de proxy HTTP/FTP Especifica que o servidor proxy HTTP ou FTP requer autenticação. (Essa opção está disponível somente quando o servidor proxy HTTP ou FTP tiver sido selecionado.) Digite as credenciais do servidor proxy: Nome de usuário Especifica a conta de usuário com permissões para acessar o servidor proxy. Senha Especifica a senha para o Nome de usuário especificado. Confirmar senha Confirma a senha especificada. Consulte também Proteger recursos do Endpoint Security na página 31 Configurar definições log na página 32 Controle do acesso ao software cliente na página 33 Configurar as definições do servidor proxy para o McAfee GTI na página 34 Configurar o comportamento padrão de atualizações na página 37 Configurar sites de origem para atualizações na página 35 Adicionar site ou Editar site na página 49 Adicionar site ou Editar site Adiciona ou edita um site na lista de sites de origem. Tabela 2-5 Definições de opções Opção Nome Ativar Definição Indica o nome do site de origem que contém os arquivos atualizados. Ativa ou desativa o uso do site de origem para baixar arquivos atualizados. McAfee Endpoint Security 10.2 Guia do produto 49

50 2 Uso do Cliente do Endpoint Security Referência da interface do cliente Em Comum Tabela 2-5 Definições de opções (continuação) Opção Recuperar arquivos de Repositório HTTP Definição Especifica o local a partir de qual os arquivos deverão ser recuperados. Recupera arquivos a partir da localização do repositório HTTP designado. O HTTP oferece atualização independentemente da segurança da rede, mas suporta níveis mais avançados de conexões simultâneas do que o FTP. URL Usar autenticação Nome de DNS Indica que URL é um nome de domínio. IPv4 Indica que URL é um endereço IPv4. IPv6 Indica que URL é um endereço IPv6. Especifica o endereço do servidor HTTP e da pasta onde os arquivos de atualização estão localizados. Porta Especifica o número da porta do servidor HTTP. Seleciona o uso de autenticação e especifica as credenciais de acesso à pasta do arquivo de atualização. Nome de usuário Especifica a conta de usuário com permissões de leitura para a pasta do arquivo de atualização. Senha Especifica a senha para o Nome de usuário especificado. Confirmar senha Confirma a senha especificada. 50 McAfee Endpoint Security 10.2 Guia do produto

51 Uso do Cliente do Endpoint Security Referência da interface do cliente Em Comum 2 Tabela 2-5 Definições de opções (continuação) Opção Repositório FTP Definição Recupera arquivos a partir da localização do repositório FTP designado. Um site FTP oferece a flexibilidade de poder atualizar sem precisar seguir as permissões de segurança da rede. Uma vez que o FTP foi menos vulnerável à anexação de códigos indesejados que o HTTP, essa opção poderá oferecer uma melhor tolerância. URL Usar acesso anônimo Nome de DNS Indica que URL é um nome de domínio. IPv4 Indica que URL é um endereço IPv4. IPv6 Indica que URL é um endereço IPv6. ftp:// Especifica o endereço do servidor FTP e da pasta onde os arquivos de atualização estão localizados. Porta Especifica o número da porta do servidor FTP. Seleciona o uso de FTP anônimo para acessar a pasta do arquivo de atualização. Desfaça a seleção desta opção para especificar as credenciais de acesso. Nome de usuário Especifica a conta de usuário com permissões de leitura para a pasta do arquivo de atualização. Senha Especifica a senha para o Nome de usuário especificado. Confirmar senha Confirma a senha especificada. Caminho UNC ou Caminho local Recupera arquivos do caminho UNC ou local designado. Um site UNC é o mais rápido e mais fácil de ser configurado. As atualizações de UNC entre domínios requerem permissões de segurança para cada domínio, o que torna a configuração de atualização mais envolvida. Caminho Usar conta de conexão Caminho UNC Especifica o caminho usando notação UNC (\\servername \path\). Caminho local Especifica o caminho de uma pasta em uma unidade local ou de rede. Acessa os arquivos de atualização usando a conta de conexão. A conta deve ter permissão de leitura para as pastas onde estão localizados os arquivos de atualização. Desfaça a seleção desta opção para especificar as credenciais de acesso. Domínio Especifica o domínio da conta do usuário. Nome de usuário Especifica a conta de usuário com permissões de leitura para a pasta do arquivo de atualização. Senha Especifica a senha para o Nome de usuário especificado. Confirmar senha Confirma a senha especificada. Em Comum Tarefas Configure e agende tarefas do Cliente do Endpoint Security. Nos sistemas gerenciados, é possível iniciar, parar ou excluir tarefas do Admin. McAfee Endpoint Security 10.2 Guia do produto 51

52 2 Uso do Cliente do Endpoint Security Referência da interface do cliente Em Comum Tabela 2-6 Opções Seção Opção Tarefas Clicar duas vezes em um item Adicionar Excluir Definição Indica as tarefas agendadas e atualmente definidas. Nome - Nome da tarefa agendada. Recurso - Módulo ou recurso ao qual a tarefa está associada. Agendamento - A data para a qual a execução da tarefa está agendada e o seu estado de ativação. Por exemplo, nos sistemas gerenciados, o agendamento da tarefa Atualização padrão do cliente pode ser desativada pelo administrador. Status - Status da última execução da tarefa: (sem status) Nunca executada Em execução Atualmente em execução ou retomada Pausada Pausada pelo usuário (como a varredura) Adiada Adiada pelo usuário (como a varredura) Concluída Execução concluída sem erros Concluída (erros) Execução concluída com erros Com falha Houve uma falha na conclusão da tarefa Última execução - Data e hora da última execução da tarefa. Origem - Origem da tarefa: McAfee - Fornecido pela McAfee. Admin - (Somente sistemas gerenciados) Definido pelo administrador. Usuário - Definido no Cliente do Endpoint Security. Dependendo da origem, algumas tarefas não podem ser alteradas ou excluídas. Por exemplo, a tarefa Atualização padrão do cliente pode ser alterada somente em sistemas autogerenciados. As tarefas Admin, definidas pelo administrador nos sistemas gerenciados não podem ser alteradas nem excluídas no Cliente do Endpoint Security. Modifica o item selecionado. Cria uma tarefa de varredura, atualização ou espelhamento. Exclui a tarefa selecionada. 52 McAfee Endpoint Security 10.2 Guia do produto

53 Uso do Cliente do Endpoint Security Referência da interface do cliente Em Comum 2 Tabela 2-6 Opções (continuação) Seção Opção Duplicar Executar agora Definição Cria uma cópia da tarefa selecionada. Executa a tarefa selecionada. Se a tarefa já estiver sendo executada, incluindo pausada ou adiada, o botão é alterado para Exibir. Varredura rápida - Abre a caixa de diálogo Varredura rápida e inicia a varredura. Varredura completa - Abre a caixa de diálogo Varredura completa e inicia a varredura. Varredura personalizada - Abre a caixa de diálogo Varredura personalizada e inicia a varredura. Atualização padrão do cliente - Abre a caixa de diálogo Atualizar e inicia a atualização. Atualizar - Abre a caixa de diálogo Atualização personalizada e inicia a atualização. Espelhamento - Abre a caixa de diálogo Espelhamento e inicia a replicação do repositório. Se você executar uma tarefa antes de aplicar as alterações, o Cliente do Endpoint Security solicita que você salve as configurações. Consulte também Executar uma Varredura completa ou uma Varredura rápida na página 58 Atualizar a proteção e o software manualmente na página 23 Configurar, selecionar e executar tarefas de espelhamento na página 40 Adicionar tarefa na página 53 Adicionar tarefa Adicionar varredura personalizada, espelhamento ou atualização da tarefa. Opção Nome Selecionar tipo de tarefa Definição Especifica o nome da tarefa. Especifica o tipo de tarefa: Varredura personalizada - Configura e agenda uma varredura personalizada, como varreduras de memória diárias. Espelhamento - Replica os arquivos de conteúdo e de mecanismo atualizados a partir do primeiro repositório acessível em um site de espelhamento na rede. Atualização - Configura e agenda uma atualização dos arquivos de conteúdo, mecanismo de varredura ou produto. Consulte também Adicionar tarefa de varredura ou Editar tarefa de varredura na página 54 Adicionar tarefa de espelhamento ou Editar tarefa de espelhamento na página 55 Adicionar tarefa de atualização ou Editar tarefa de atualização na página 54 McAfee Endpoint Security 10.2 Guia do produto 53

54 2 Uso do Cliente do Endpoint Security Referência da interface do cliente Em Comum Adicionar tarefa de varredura ou Editar tarefa de varredura Agende a tarefa de Varredura completa ou Varredura rápida ou configure e agende as tarefas de varredura personalizada que são executadas no sistema do cliente. Tabela 2-7 Opções Guia Opção Definição Configurações Nome Configura as definições da tarefa de varredura. Indica o nome da tarefa. Opções Define as configurações da Varredura por solicitação para a varredura. É possível configurar as configurações de tarefa Varredura completa evarredura rápida apenas em sistemas autogerenciados. Agendamento Ativa e agenda a tarefa para que seja executada em uma determinada hora. Consulte também Configurar, agendar e executar tarefas de varredura na página 92 Configurar definições da política de na página 87 Executar uma Varredura completa ou uma Varredura rápida na página 58 Prevenção contra ameaças Varredura por solicitação na página 115 Agendamento na página 55 Adicionar tarefa de atualização ou Editar tarefa de atualização Agenda a Atualização padrão do cliente ou configura e agenda as tarefas de atualização personalizadas que são executadas no sistema cliente. Tabela 2-8 Opções Guia Opção Definição Configurações Nome O que atualizar Define as configurações da tarefa de atualização. Indica o nome da tarefa. Especifique o que será atualizado: Conteúdo de segurança, hotfixes e patches Conteúdo de segurança Hotfixes e patches É possível configurar essas definições apenas em sistemas autogerenciados. Agendamento Ativa e agenda a tarefa para que seja executada em uma determinada hora. Por padrão, a tarefa Atualização padrão do cliente é executada diariamente à 0h e repete-se de quatro em quatro horas até às 23h59. Consulte também Em Comum Opções na página 43 Configurar o comportamento padrão de atualizações na página 37 Configurar, agendar e executar tarefas de atualização na página 39 Agendamento na página McAfee Endpoint Security 10.2 Guia do produto

55 Uso do Cliente do Endpoint Security Referência da interface do cliente Em Comum 2 Adicionar tarefa de espelhamento ou Editar tarefa de espelhamento Configura e agenda as tarefas de espelhamento. Tabela 2-9 Opções Guia Opção Definição Configurações Nome Indica o nome da tarefa. Agendamento Local do espelhamento Especifica a pasta para armazenar a replicação do repositório. Ativa e agenda a tarefa para que seja executada em uma determinada hora. Consulte também Configurar, selecionar e executar tarefas de espelhamento na página 40 Agendamento na página 55 Agendamento Agende tarefas de varreduras, atualização e espelhamento. Tabela 2-10 Opções Categoria Opção Definição Agendamento Ativar agendamento Agenda a tarefa para ser executada em uma hora especificada. (Ativado por padrão) Esta opção deve ser selecionada para agendar a tarefa. Tipo de agendamento Frequência Executar em Executar em Especifica o intervalo para executar a tarefa. Diariamente - Executa a tarefa diariamente, em uma hora específica, de forma recorrente entre dois horários do dia ou em uma combinação de ambos. Semanalmente - Executa a tarefa semanalmente: Em um determinado dia da semana, todos os dias úteis, fins de semana ou uma combinação de dias Em uma hora específica dos dias selecionados ou de forma recorrente entre dois horários nos dias selecionados Mensalmente - Executa a tarefa mensalmente, seja em: Um dia específico do mês Dias da semana específicos - primeiro, segundo, terceiro, quarto ou último Uma vez - Inicia a tarefa na hora e na data especificadas. Na inicialização do sistema - Executa a tarefa quando o sistema é iniciado. Ao entrar - Inicia a tarefa na próxima vez que o usuário entrar no sistema. Executar imediatamente - Inicia a tarefa imediatamente. Especifica a frequência para as tarefas Diariamente e Semanalmente. Especifica os dias da semana para as tarefas Semanalmente e Mensalmente. Especifica os meses do ano para as tarefas Mensalmente. McAfee Endpoint Security 10.2 Guia do produto 55

56 2 Uso do Cliente do Endpoint Security Referência da interface do cliente Em Comum Tabela 2-10 Opções (continuação) Categoria Opção Executar esta tarefa somente uma vez por dia Atrasar esta tarefa em Data de início Data de término Hora de início Definição Executa esta tarefa uma vez por dia para as tarefas Na inicialização do sistema eao entrar. Especifica o número de minutos de atraso antes de executar as tarefas Na inicialização do sistema e Ao entrar. Especifica a data de inicio para as tarefas Diariamente, Semanalmente, Mensalmente e Uma vez. Especifica a data de término das tarefas Diariamente, Semanalmente e Mensalmente. Especifica a hora em que a tarefa é iniciada. Executar uma vez nesta hora - Executa a tarefa uma vez na Hora de início. Executar nesta hora e repetir até - Executa a tarefa uma vez na Hora de início. Em seguida, inicia a tarefa dentro do intervalo especificado de horas/minutos por Iniciar tarefa todos os dias até a hora de término especificada. Executar nesta hora e repetir durante - Executa a tarefa uma vez na Hora de início. Em seguida, inicia a tarefa dentro do intervalo especificado de horas/minutos por Iniciar tarefa todos os dias até que seja executada por um determinado período de tempo. Opções Executar a tarefa de acordo com o Horário Universal Coordenado Interromper a tarefa caso ela seja executada por mais de Especifica se o agendamento da tarefa será executado de acordo com a hora local no sistema gerenciado ou no UTC (Horário universal coordenado). Interrompe a tarefa após o número especificado de horas e minutos. Se a tarefa for interrompida antes da conclusão, na próxima vez que ela for iniciada, retomará a partir do ponto onde parou. Conta Tornar aleatório o horário de início em Executar tarefa perdida Nome do usuário Senha Confirmar senha Domínio Especifica se essa tarefa será executada aleatoriamente dentro do tempo que você especificar. Caso contrário, ela iniciará na hora agendada mesmo se outras tarefas do cliente estiverem agendadas para execução na mesma hora. Executa a tarefa após o número de minutos especificado por Atrasar início em uma vez que o sistema gerenciado for reiniciado. Especifica as credenciais a usar para executar a tarefa. Se nenhuma credencial for especificada, a tarefa será executada como a conta de Administrador do sistema local. Especifica a conta de usuário. Especifica a senha da conta de usuário especificada. Confirma a senha da conta de usuário especificada. Especifica o domínio da conta de usuário determinada. Consulte também Adicionar tarefa de varredura ou Editar tarefa de varredura na página 54 Adicionar tarefa de atualização ou Editar tarefa de atualização na página 54 Adicionar tarefa de espelhamento ou Editar tarefa de espelhamento na página McAfee Endpoint Security 10.2 Guia do produto

57 3 Utilizando 3 o Prevenção contra ameaças O Prevenção contra ameaças verifica vírus, spyware, programas indesejados e outras ameaças, fazendo a varredura automática de itens no computador. Conteúdo Varrer seu computador em busca de malware Gerenciar detecções de ameaças Gerenciar itens em quarentena Gerenciamento do Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças Varrer seu computador em busca de malware Faça a varredura em busca de malware em seu computador selecionando as opções no Cliente do Endpoint Security ou no Windows Explorer. Tarefas Executar uma Varredura completa ou uma Varredura rápida na página 58 Use o Cliente do Endpoint Security para executar uma Varredura completa ou uma Varredura rápida manual em seu computador. Varrer um arquivo ou pasta na página 60 Clique com o botão direito no Windows Explorer para fazer uma varredura imediata em um arquivo individual ou pasta com suspeita de infecção. Consulte também Tipos de varreduras na página 57 Tipos de varreduras Endpoint Security oferece dois tipos de varreduras: varreduras ao acessar e varreduras por solicitação. Varredura ao acessar - O administrador configura varreduras ao acessar a serem executadas em computadores gerenciados. Em computadores autogerenciados, configure o mecanismo de varredura ao acessar na página de Configurações. Sempre que acessar arquivos, pastas e programas, o mecanismo de varredura ao acessar intercepta a operação e varre o item, baseado nos critérios definidos pelo administrador. Varredura por solicitação McAfee Endpoint Security 10.2 Guia do produto 57

58 3 Utilizando o Prevenção contra ameaças Varrer seu computador em busca de malware Manual O administrador (ou usuário, em sistemas autogerenciados) configura varreduras por solicitação personalizadas ou predefinidas que os usuários podem executar em computadores gerenciados. Execute uma varredura por solicitação predefinida a qualquer momento no Cliente do Endpoint Security clicando em varredura: e selecionando um tipo de A Varredura rápida realiza uma verificação rápida das áreas do sistema mais suscetíveis a infecção. A Varredura completa executa uma verificação minuciosa em todas as áreas de seu sistema. (Recomendado em caso de suspeita de infecção do computador.) Faça uma varredura a qualquer momento em um arquivo ou pasta individual do Windows Explorer clicando com o botão direito no arquivo ou pasta e selecionando Fazer varredura para encontrar ameaças no menu pop-up. Configure e execute uma varredura personalizada por solicitação como administrador do Cliente do Endpoint Security: 1 Selecione Configurações Em Comum Tarefas. 2 Selecione a tarefa a executar. 3 Clique em Executar agora. Agendada O administrador (ou usuário, em sistemas autogerenciados) configura e agenda varreduras por solicitação a serem executadas em computadores. Quando uma varredura por solicitação agendada está para começar, o Endpoint Security exibe um prompt de varredura na parte inferior da tela. Você pode iniciar a varredura imediatamente ou adiá-la, se assim estiver configurado. Para configurar e agendar as varreduras por solicitação predefinidas, Varredura rápida e Varredura completa: 1 Configurações Varredura por solicitação Varredura completa ou Varredura rápida - Configura varreduras por solicitação. 2 Configurações Common Tarefas Agenda varreduras por solicitação. Consulte também Configurar, agendar e executar tarefas de varredura na página 92 Responder a um prompt de varredura na página 21 Executar uma Varredura completa ou uma Varredura rápida Use o Cliente do Endpoint Security para executar uma Varredura completa ou uma Varredura rápida manual em seu computador. Antes de iniciar O módulo Prevenção contra ameaças deve ser instalado. O comportamento da Varredura completa e da Varredura rápida depende de como as configurações foram definidas. Com credenciais de administrador, é possível modificar e agendar as varreduras nas configurações da Varredura por solicitação. 58 McAfee Endpoint Security 10.2 Guia do produto

59 Utilizando o Prevenção contra ameaças Varrer seu computador em busca de malware 3 Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 Clique em. 3 Na página Varrer sistema, clique em Varrer agora na varredura que deseja executar. Varredura completa Varredura rápida Executa uma verificação completa em todas as áreas de seu sistema (recomendável se houver suspeita de que o computador está infectado). Executa uma verificação rápida das áreas do sistema mais suscetíveis a infecção. Se uma varredura estiver em execução, o botão Varrer agora transforma-se em Exibir varredura. Também poderá ser exibido o botão Exibir detecções para o mecanismo de varredura ao acessar, dependendo de como as configurações foram definidas e se uma ameaça tiver sido detectada. Clique nesse botão para abrir a página Varredura ao acessar para gerenciar as detecções a qualquer momento. O Cliente do Endpoint Security exibe o status da varredura em uma nova página. Prática recomendada: a data de criação de conteúdo do AMCore indica a última vez que o conteúdo foi atualizado. Se o conteúdo tiver mais de dois dias, atualize sua proteção antes de executar a varredura. 4 Clique nos botões localizados na parte superior da página de status para controlar a varredura. Pausar varredura Retomar varredura Cancelar varredura Pausa a varredura antes de sua conclusão. Retoma uma varredura pausada. Cancela uma varredura em execução. 5 Quando a varredura for concluída, a página exibirá o número de arquivos varridos, o tempo decorrido e todas as detecções. Nome da detecção Tipo Arquivo Ação realizada Identifica o nome do malware detectado. Mostra o tipo de ameaça. Identifica o arquivo infectado. Descreve a última ação de segurança tomada em relação ao arquivo infectado: Acesso negado Limpo Excluído Nenhum A lista de detecções da varredura por solicitação é eliminada quando a varredura por solicitação seguinte inicia. McAfee Endpoint Security 10.2 Guia do produto 59

60 3 Utilizando o Prevenção contra ameaças Varrer seu computador em busca de malware 6 Selecione uma detecção na tabela, depois clique em Limpar ou em Excluir para limpar ou excluir o arquivo infectado. Dependendo do tipo de ameaça e das definições da varredura, essas ações podem não estar disponíveis. 7 Clique em Fechar para fechar a página. Consulte também Tipos de varreduras na página 57 Nome da detecção na página 63 Atualizar a proteção e o software manualmente na página 23 Gerenciar detecções de ameaças na página 61 Configurar definições da política de na página 87 Configurar, agendar e executar tarefas de varredura na página 92 Varrer um arquivo ou pasta Clique com o botão direito no Windows Explorer para fazer uma varredura imediata em um arquivo individual ou pasta com suspeita de infecção. Antes de iniciar O módulo Prevenção contra ameaças deve ser instalado. O comportamento da Varredura por clique no botão direito depende de como as configurações foram definidas. Com credenciais de administrador, é possível modificar as varreduras nas configurações da Varredura por solicitação. Tarefa 1 No Windows Explorer, clique com o botão direito no arquivo ou pasta a varrer e selecione Fazer varredura para encontrar ameaças no menu pop-up. O Cliente do Endpoint Security exibe o status da varredura na página Fazer varredura para encontrar ameaças. 2 Clique nos botões localizados na parte superior da página para controlar a varredura. Pausar varredura Retomar varredura Cancelar varredura Pausa a varredura antes de sua conclusão. Retoma uma varredura pausada. Cancela um varredura em execução. 3 Quando a varredura for concluída, a página exibirá o número de arquivos varridos, o tempo decorrido e todas as detecções. Nome da detecção Tipo Arquivo Ação realizada Identifica o nome do malware detectado. Mostra o tipo de ameaça. Identifica o arquivo infectado. Descreve a última ação de segurança tomada em relação ao arquivo infectado: Acesso negado Limpo Excluído Nenhum 60 McAfee Endpoint Security 10.2 Guia do produto

61 Utilizando o Prevenção contra ameaças Gerenciar detecções de ameaças 3 A lista de detecções da varredura por solicitação é eliminada quando a varredura por solicitação seguinte inicia. 4 Selecione uma detecção na tabela, depois clique em Limpar ou em Excluir para limpar ou excluir o arquivo infectado. Dependendo do tipo de ameaça e das definições da varredura, essas ações podem não estar disponíveis. 5 Clique em Fechar para fechar a página. Consulte também Tipos de varreduras na página 57 Nome da detecção na página 63 Configurar definições da política de na página 87 Gerenciar detecções de ameaças Dependendo de como as configurações foram definidas, é possível gerenciar as detecções a partir do Cliente do Endpoint Security. Antes de iniciar O módulo Prevenção contra ameaças deve ser instalado. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 Clique em Varrer agora para abrir a página Varrer sistema. McAfee Endpoint Security 10.2 Guia do produto 61

62 3 Utilizando o Prevenção contra ameaças Gerenciar itens em quarentena 3 Em Varredura ao acessar, clique em Exibir detecções. Esta opção não estará disponível se a lista não contiver detecções ou se a opção de mensagens para usuários estiver desativada. A lista de detecções da varredura ao acessar é eliminada quando o serviço Endpoint Security reinicia ou na reinicialização do sistema. 4 Na página Varredura ao acessar, selecione uma das seguintes opções. Limpar Tenta limpar o item (arquivo, entrada do registro) e colocá-lo na Quarentena. O Endpoint Security usa as informações dos arquivos de conteúdo para limpar arquivos. O mecanismo de varredura negará acesso a arquivos de conteúdo que não tenham ferramentas de limpeza ou que estejam irreparavelmente danificados. Nesse caso, a McAfee recomenda excluir o arquivo da quarentena e restaurá-lo a partir de uma cópia de backup limpa. Excluir Remover entrada Fechar Exclui o item que contém a ameaça. Remove a entrada da lista de detecção. Fecha a página de varredura. Se não houver uma ação disponível para a ameaça, a opção correspondente estará desativada. Por exemplo, Limpar não estará disponível se o arquivo já tiver sido excluído. A lista de detecções da varredura ao acessar é eliminada quando o serviço Endpoint Security reinicia ou na reinicialização do sistema. Gerenciar itens em quarentena O Endpoint Security salva os itens que são detectados como ameaças na pasta Quarentena. É possível executar ações nos itens em quarentena. Antes de iniciar O módulo Prevenção contra ameaças deve ser instalado. Por exemplo, você pode ser capaz de restaurar um item depois de fazer o download de uma versão mais recente do conteúdo que contém informações que limpam a ameaça. Os itens em quarentena podem incluir vários tipos de objetos examinados, como arquivos, registros ou qualquer coisa que o Endpoint Security examine em busca de malware. Tarefa Para obter ajuda, no menu Ação do, selecione Ajuda. 1 Abra o Cliente do Endpoint Security. 2 Clique em Quarentena no lado esquerdo da página. A página mostra os itens na quarentena. Se o Cliente do Endpoint Security não conseguir acessar o Gerenciador de quarentena, ele mostrará uma mensagem de erro de comunicação. Neste caso, reinicialize o sistema para exibir a página de Quarentena. 62 McAfee Endpoint Security 10.2 Guia do produto

63 Utilizando o Prevenção contra ameaças Gerenciar itens em quarentena 3 3 Selecione um item do painel superior para exibir os detalhes no painel inferior. Para... Alterar os tamanhos relativos dos painéis. Ordenar itens na tabela por nome ou tipo de ameaça. Faça isso Clique e arraste o widget em forma de faixa entre os painéis. Clique no cabeçalho da coluna da tabela. 4 Na página da Quarentena, realize ações nos itens selecionados. Para... Excluir itens da quarentena. Siga esses passos Selecione os itens, clique em Excluir, depois clique em Excluir novamente para confirmar. Os itens excluídos não podem ser restaurados. Restaurar itens da quarentena. Selecione os itens, clique em Restaurar, depois clique em Restaurar novamente para confirmar. O Endpoint Security restaura os itens ao local original e os remove da quarentena. Se um item ainda for uma ameaça válida, o Endpoint Security o devolve à quarentena na próxima vez que o item é acessado. Repetir varredura de itens. Exibir um item no Log de eventos. Obter mais informações sobre uma ameaça. Selecione os itens, depois clique em Repetir a varredura. Por exemplo, você pode repetir a varredura de um item depois de atualizar sua proteção. Se o item não for mais uma ameaça, é possível restaurá-lo ao local original e o removê-lo da quarentena. Selecione um item e clique no link Ver no log de eventos no painel de detalhes. A página Log de eventos é aberta, com o evento relacionado ao item selecionado em destaque. Selecione um item, depois clique no link Obtenha mais informações sobre esta ameaça no painel de detalhes. Uma nova janela do navegador é aberta para o site do McAfee Labs com mais informações sobre a ameaça que fez com que o item fosse colocado em quarentena. Consulte também Nome da detecção na página 63 Repetição de varredura de itens em quarentena na página 65 Abrir o Cliente do Endpoint Security na página 19 Atualizar a proteção e o software manualmente na página 23 Nome da detecção A quarentena informa as ameaças por nome da detecção. Nome da detecção Adware Discador Descrição Gera receita mostrando anúncios direcionados ao usuário. O adware recebe receita do fornecedor ou de parceiros do fornecedor. Alguns tipos de adware podem capturar ou transmitir informações pessoais. Redireciona as conexões da Internet para outra parte que não é o ISP padrão do usuário. Os discadores são projetados para adicionar tarifas de conexão para um provedor de conteúdo, fornecedor ou outro terceiro. McAfee Endpoint Security 10.2 Guia do produto 63

64 3 Utilizando o Prevenção contra ameaças Gerenciar itens em quarentena Nome da detecção Joke Keylogger Descobridor de senha Programa potencialmente indesejado Ferramenta de administração remota Spyware Indetectável Descrição Afirma danificar um computador, mas não tem conteúdo nem uso malicioso. Os jokes não afetam a segurança nem a privacidade, mas podem alarmar ou incomodar o usuário. Intercepta dados entre o usuário que os insere e o aplicativo ao qual se destinam. O keylogger do cavalo de Troia e de um programa potencialmente indesejado podem ser funcionalmente idênticos. O software McAfee detecta ambos os tipos para impedir invasões de privacidade. Permite que um usuário ou administrador recupere senhas perdidas ou esquecidas de contas ou arquivos de dados. Usado por um agressor, proporcionam acesso a informações confidenciais e são uma ameaça de segurança e privacidade. Inclui muitas vezes um software legítimo (que não é malware) que pode alterar o estado de segurança ou a postura de privacidade do sistema. Esse software pode ser transferido por download com um programa que o usuário quer instalar. Pode incluir spyware, adware, keylogger, descobridores de senha, ferramentas de hacker e aplicativos discadores. Dá a um administrador o controle remoto de um sistema. Essas ferramentas podem ser uma ameaça significativa de segurança quando controladas por um agressor. Transmite informações pessoais a uma terceira parte sem conhecimento ou consentimento do usuário. O spyware explora os computadores infectados para ganho comercial: Apresentando anúncios pop-up não solicitados Roubando informações pessoais, incluindo informações financeiras como número de cartão de crédito Monitorando a atividade de navegação pela web para fins de marketing Encaminhando solicitações HTTP para sites de publicidade Consulte também Programa potencialmente indesejado. É um tipo de vírus que tenta evitar a detecção de um software antivírus. Também conhecido como interceptor de interrupção. Muitos vírus indetectáveis interceptam solicitações de acesso a disco. Quando um aplicativo antivírus tenta ler arquivos ou setores de boot para encontrar o vírus, o vírus mostra uma imagem limpa" do item solicitado. Outros vírus ocultam o tamanho real de um arquivo infectado e mostram o tamanho do arquivo antes da infecção. 64 McAfee Endpoint Security 10.2 Guia do produto

65 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças 3 Nome da detecção Cavalo de Troia Vírus Descrição É um programa malicioso que finge ser um aplicativo benigno. Um cavalo de Troia não se reproduz, mas causa danos ou compromete a segurança do computador. Em geral, um computador se infecta: Quando um usuário abre o anexo do cavalo de Troia em um . Quando um usuário transfere por download o cavalo de Troia a partir de um site. Participando de uma rede P2P. Como não se reproduzem, os cavalos de Troia não são considerados vírus. Anexa-se a discos ou outros arquivos e se reproduz repetidamente, em geral sem conhecimento ou permissão do usuário. Alguns vírus se anexam a arquivos, e quando o arquivo infectado é executado, o vírus também é executado. Outros vírus residem na memória de um computador e infetam arquivos quando o computador abre, modifica ou cria arquivos. Alguns vírus exibem sintomas, enquanto outros danificam arquivos e sistemas do computador. Repetição de varredura de itens em quarentena Ao refazer a varredura de itens na quarentena, o Endpoint Security usa as configurações de varredura desenvolvidas para oferecer proteção máxima. Prática recomendada: sempre refazer a varredura dos itens em quarentena antes de restaurá-los. Por exemplo, você pode repetir a varredura de um item depois de atualizar sua proteção. Se o item não for mais uma ameaça, é possível restaurá-lo ao local original e o removê-lo da quarentena. Entre a detecção da ameaça e a realização da segunda varredura, as condições de varredura podem mudar, o que pode afetar a detecção de itens em quarentena. Ao repetir a varredura de itens em quarentena, o Endpoint Security sempre: Varre arquivos codificados por MIME. Varre arquivos mortos compactados. Força uma consulta de McAfee GTI nos itens. Define o nível de sensibilidade do McAfee GTI como Muito alto. Mesmo com o uso dessas configurações de varredura, a realização da segunda varredura de quarentena pode não detectar uma ameaça. Por exemplo, se os metadados do item (caminho ou local do Registro) forem alterados, a nova varredura poderá indicar um falso positivo, mesmo se o item ainda estiver infectado. Gerenciamento do Prevenção contra ameaças Como administrador, você pode especificar as configurações do Prevenção contra ameaças para impedir acesso a ameaças e configurar varreduras. Em sistemas gerenciados, as alterações de política do McAfee epo podem substituir as alterações da página Configurações. McAfee Endpoint Security 10.2 Guia do produto 65

66 3 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças Configuração de exclusões A Prevenção contra ameaças permite que você ajuste sua proteção especificando os itens a serem excluídos. Por exemplo, pode ser necessário excluir alguns tipos de arquivos para impedir que um mecanismo de varredura bloqueie um arquivo usado por um banco de dados ou um servidor. Um arquivo bloqueado pode causar falhas ou gerar erros no banco de dados ou no servidor. As exclusões nas listas de exclusões são mutuamente exclusivas. Cada exclusão é avaliada separadamente das outras da lista. Para excluir uma pasta em sistemas Windows, anexe um caractere de barra invertida (\) do caminho. Para este recurso... Proteção de acesso Prevenção de exploração Especifique os itens a excluir Processos (para todas as regras ou uma regra especificada) Processos Onde configurar Excluir itens por Usar caracteres curinga? Configurações de Proteção de acesso Configurações de Prevenção de exploração Nome ou caminho do arquivo do processo, hash de MD5 ou signatário Nome ou caminho do arquivo do processo, hash de MD5 ou signatário Nome ou caminho do arquivo do Módulo do chamador, hash de MD5 ou signatário API Todos, exceto o hash de MD5 Todos, exceto o hash de MD5 Todas as varreduras Nomes de detecção Opções configurações Varredura ao acessar Padrão Alto risco Baixo risco Programas potencialmente indesejados Arquivos, tipos de arquivos e pastas Política de Configurações de Varredura ao acessar Nome da detecção (sensível às maiúsculas e minúsculas) Nome Nome do arquivo ou pasta, tipo de arquivo ou idade do arquivo Sim Sim Sim URLs do ScriptScan Nome do URL Não Varredura por solicitação Varredura rápida Arquivos, pastas e unidades Política de Configurações de Varredura por solicitação Nome do arquivo ou pasta, tipo de arquivo ou idade do arquivo Sim Varredura completa Varredura por clique no botão direito Varredura por solicitação personalizada Arquivos, pastas e unidades Em Comum Tarefas Adicionar tarefa Varredura personalizada Nome do arquivo ou da pasta, tipo de arquivo ou idade do arquivo Sim Consulte também Caracteres curinga em exclusões na página McAfee Endpoint Security 10.2 Guia do produto

67 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças 3 Caracteres curinga em exclusões Você pode usar caracteres curinga para representar caracteres em exclusões para varreduras de arquivos, pastas, nomes de detecção e programas potencialmente indesejados. Tabela 3-1 Caracteres curinga válidos Caractere curinga Nome? Ponto de interrogação Representa Um único caractere. Esse caractere curinga é válido apenas se o número de caracteres corresponder ao tamanho do nome do arquivo ou da pasta. Por exemplo: a exclusão W?? exclui WWW, mas não exclui WW ou WWWW. * Asterisco Vários caracteres, exceto a barra invertida (\). *\ no início de um caminho de arquivo não é válido. Use **\ no lugar disso. Por exemplo: **\ABC\*. ** Asterisco duplo Zero ou mais caracteres quaisquer, incluindo a barra invertida (\). Esse caractere curinga corresponde a zero ou mais caracteres. Por exemplo: C:\ABC\**\XYZ corresponde a C:\ABC\DEF\XYZ e C:\ABC\XYZ. Os caracteres curinga podem aparecer na frente de uma barra invertida (\) em um caminho. Por exemplo, C:\ABC\*\XYZ corresponde a C:\ABC\DEF\XYZ. Exclusões em nível de raiz A Prevenção contra ameaças requer um caminho absoluto para as exclusões em nível de raiz. Isso significa que não é possível usar caracteres curinga \ ou?:\ em nomes de unidades no nível raiz. Esse comportamento é diferente de VirusScan Enterprise. Consulte KnowledgeBase, artigo KB85746 e o Guia de migração do McAfee Endpoint Security. Com a Prevenção contra ameaças, você pode usar os caracteres curinga **\ em exclusões em nível de raiz para indicar unidades de disco e subpastas. Por exemplo, **\test corresponde aos seguintes resultados: C:\test D:\test C:\temp\test D:\foo\test Proteção de pontos de acesso do sistema A primeira linha de defesa contra malware é a proteção dos pontos de acesso do sistema cliente contra o acesso de ameaças. A Proteção de acesso impede a realização alterações não desejadas em computadores gerenciados, restringindo o acesso a determinados arquivos, compartilhamentos, chaves de Registro, valores de Registro e processos. A Proteção de acesso usa regras definidas pela McAfee e regras definidas pelo usuário (também chamadas de regras personalizadas) para relatar ou bloquear o acesso aos itens. A Proteção de acesso compara uma ação solicitada com uma lista de regras e toma as medidas de acordo com a regra. McAfee Endpoint Security 10.2 Guia do produto 67

68 3 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças A Proteção de acesso deve ser ativada para detectar tentativas de acesso a arquivos, compartilhamentos, chaves de Registro, valores de Registro e processos. Por padrão, a Proteção de acesso está ativada. Como as ameaças obtêm acesso As ameaças obtêm acesso ao sistema usando vários pontos de acesso. Ponto de acesso Macros Arquivos executáveis Scripts Mensagens do Internet Relay Chat (IRC) Arquivos de Ajuda de navegadores e aplicativos Combinações de todos esses pontos de acesso Descrição Como parte de aplicativos de processamento de texto e de planilhas. Programas aparentemente benignos podem conter vírus com o programa esperado. Algumas extensões de arquivo comuns são.exe,.com,.vbs,.bat,.hlp e.dll. Associados com páginas da Internet e , scripts como ActiveX e JavaScript, podem conter vírus, se executados. Arquivos enviados com estas mensagens podem facilmente conter malware como parte da mensagem. Por exemplo, processos de inicialização automáticos podem conter ameaças de worms e cavalos de Troia. O download destes arquivos de Ajuda expõem o sistema a vírus e executáveis incorporados. Brincadeiras, jogos e imagens como parte de mensagens de com anexos. Os criadores de malware sofisticados combinam todos esses métodos de entrega e até mesmo incorporam partes de um malware a outros para tentar acessar o computador gerenciado. Como a Proteção de acesso detém ameaças A Proteção de acesso detém ameaças potenciais gerenciando ações baseadas em regras de proteção definidas pela McAfee e pelo usuário. O Prevenção contra ameaças segue este processo básico para fornecer proteção de acesso. Quando ocorre uma ameaça Quando um usuário ou processo age: 1 A Proteção de acesso examina a ação de acordo com as regras definidas. 2 Se a ação violar uma regra, a Proteção de acesso gerencia a ação usando as informações nas regras configuradas. 3 A Proteção de acesso atualiza o arquivo de log e gera e envia um evento para o servidor de gerenciamento, se gerenciado. Exemplo de uma ameaça de acesso 1 Um usuário baixa um programa legítimo (não malware), MyProgram.exe, da internet. 2 O usuário inicia o MyProgram.exe, e o programa aparentemente funciona como esperado. 3 O MyProgram.exe inicia um processo filho chamado AnnoyMe.exe. 4 O AnnoyMe.exe tenta modificar o sistema operacional para garantir que ele sempre seja carregado na inicialização. 68 McAfee Endpoint Security 10.2 Guia do produto

69 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças 3 5 A Proteção de acesso processa a solicitação e compara a ação com uma regra existente para bloquear e gerar relatórios. 6 A Proteção de acesso impede que o AnnoyMe.exe modifique o sistema operacional e registra os detalhes da tentativa. A Proteção de acesso também gera e envia um alerta para o gerenciador de gerenciamento. Sobre as regras de proteção de acesso Use as regras de proteção de acesso definidas pela McAfee e pelo usuário para proteger os pontos de acesso de seu sistema. As regras definidas pela McAfee são sempre aplicadas antes de quaisquer regras definidas pelo usuário. Tipo de regra Regras definidas pela McAfee Regras definidas pelo usuário Descrição Estas regras impedem a modificação de configurações e arquivos usados com frequência. Você pode ativar, desativar e alterar a configuração de regras definidas pela McAfee, mas você não pode excluir essas regras. Estas regras complementam a proteção fornecida pelas regras predefinidas da McAfee. Uma tabela de Executáveis vazia indica que a regra se aplica a todos os executáveis. Uma tabela de Nomes de usuário vazia indica que a regra se aplica a todos os usuários. Você pode adicionar, excluir, ativar, desativar e alterar a configuração dessas regras. Exclusões Como regra geral, as exclusões e inclusões são aplicadas à regra específica. Em nível de política, as exclusões são aplicáveis a todas as regras. As exclusões são opcionais. Consulte também Remove processos da Proteção de acesso na página 76 Configurar regras de proteção de acesso definidas pela McAfee As regras definidas pela McAfee impedem que os usuários modifiquem configurações e arquivos usados com frequência. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. É possível: Alterar as configurações de bloqueio e relatório dessas regras. Adicionar executáveis excluídos e incluídos a essas regras. McAfee Endpoint Security 10.2 Guia do produto 69

70 3 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças Não é possível: Excluir essas regras. Modificar os arquivos e as configurações protegidos por essas regras. Adicionar sub-regras ou nomes de usuário a essas regras. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 Clique em Prevenção contra ameaças na página Status principal. Ou, no menu Ação Configurações., selecione Configurações e clique em Prevenção contra ameaças na página 3 Clique em Mostrar opções avançadas. 4 Clique em Proteção de acesso. 5 Modifique a regra: a Na seção Regras, selecione Bloquear, Relatar ou ambas as opções para a regra. Para bloquear ou relatar tudo, selecione Bloquear ou Relatar na primeira linha. Para desativar a regra, desmarque Bloquear e Relatar. b c d Clique duas vezes na regra definida pela McAfee a ser editada. Na página Editar regra definida pela McAfee, defina as configurações. Na seção Executáveis, clique em Adicionar, defina as configurações e clique em Salvar duas vezes para salvar a regra. 6 Clique em Aplicar para salvar suas alterações ou clique em Cancelar. Consulte também Regras de proteção de acesso definidas pela McAfee na página 71 Entrar como administrador na página 27 Remove processos da Proteção de acesso na página McAfee Endpoint Security 10.2 Guia do produto

71 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças 3 Regras de proteção de acesso definidas pela McAfee Use as regras de proteção de acesso definidas pela McAfee para proteger seu computador contra alteração indesejadas. Regra definida pela McAfee Alterar qualquer registro de extensão de arquivo Descrição Protege as chaves de Registro em HKEY_CLASSES_ROOT, onde as extensões de arquivos são registradas. Esta regra impede que um malware modifique os registros de extensão do arquivo para permitir que seja executado silenciosamente. Prática recomendada: desativar essa regra ao instalar aplicativos válidos que modificam registros de extensão de arquivos no Registro. Essa regra é uma alternativa mais restritiva ao comando Interceptar.EXE e outras extensões executáveis. Alterar políticas de direitos dos usuários Criac aõ de novos arquivos executa veis na pasta Arquivos de programas Protege valores de Registro que contenham informações de segurança do Windows. Esta regra impede que worms alterem contas que tenham direitos de administrador. Impede a criac aõ de novos arquivos executa veis na Pasta de arquivos de programas. Esta regra impede que programas de adware e spyware criem novos arquivos.exe e.dll e instalem novos arquivos executáveis na pasta Arquivos de programas. Prática recomendada: instalar os aplicativos antes de ativar esta regra ou colocar os processos bloqueados na lista de exclusão. Criac aõ de novos arquivos executa veis na pasta Windows Impede a criação de arquivos de qualquer processo, não só da rede. Esta regra impede a criação de arquivos.exe e.dll na pasta Windows. Prática recomendada: adicionar os processos que devem colocar os arquivos na pasta Windows à lista de exclusão. Desativar o Editor do registro e do Gerenciador de tarefas Protege as entradas de registro do Windows, impedindo a desativação do editor do registro e o Gerenciador de tarefas. Em caso de epidemia, desative esta regra para poder alterar o Registro ou abra o Gerenciador de tarefas para interromper os processos ativos. Executar scripts através do host de scripts do Windows (CScript.exe ou Wscript.exe) em qualquer pasta temporária Desvio de.exe ou outras extensões executáveis Impede que o host de scripts do Windows execute scripts VBScript e JavaScript em qualquer pasta que contenha "temp" no nome. Esta regra protege contra vários cavalos de Troia e mecanismos de instalação da Web questionáveis usados por aplicativos de adware e spyware. Esta regra pode bloquear a instalação e a execução de scripts legítimos e aplicativos de terceiros. Protege chaves de registro.exe,.bat e de outros executáveis em HKEY_CLASSES_ROOT. Esta regra impede que um malware modifique chaves de registro para executar o vírus quando outro executável estiver sendo executado. Essa regra é uma alternativa menos restritiva a Alterar todos os registros de extensão de arquivos. McAfee Endpoint Security 10.2 Guia do produto 71

72 3 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças Regra definida pela McAfee Instalar BHOs (Objetos de Ajuda de Navegação) ou extensões do shell Descrição Evita que adware, spyware e cavalos de Troia que instalam objetos de ajuda do navegador façam instalações no computador host. Esta regra impede a instalação de programas de adware e spyware nos sistemas. Prática recomendada: permitir que aplicativos legítimos personalizados ou de terceiros instalem esses objetos adicionando-os à lista de exclusão. Após a instalação, você pode reativar a regra, pois ela não impede o funcionamento de Objetos de ajuda do navegador instalados. Instalar novos CLSIDs, APPIDs e TYPELIBs Impede a instalação ou o registro de novos servidores COM. Esta regra protege contra programas de adware e spyware que instalam a si mesmos como um complemento de COM em aplicativos do Internet Explorer ou do Microsoft Office. Prática recomendada: permitir aplicativos legítimos que registram complementos de COM, incluindo alguns aplicativos comuns, como o Adobe Flash, adicionando-os na lista de exclusão. Lançamento de arquivos pelo Internet Explorer através da pasta Arquivos de Programas Baixados Modificar processos principais do Windows Modificar configurações do Internet Explorer Modificar configurações de rede Impede que o software seja instalado a partir do navegador da Web. Esta regra é específica ao Microsoft Internet Explorer. Uma vez que esta regra também pode bloquear a instalação de softwares legítimos, instale o aplicativo antes de ativá-la, ou adicione o processo de instalação como uma exclusão. Por padrão, a regra é definida comorelatório. Esta regra impede adwares e spywares de instalar e executar arquivos executáveis a partir desta pasta. Impede que arquivos sejam criados ou executados com os nomes falsos mais comuns. Esta regra impede que vírus e cavalos de Troia sejam executados com o nome de um processo do Windows. Esta regra exclui arquivos do Windows autênticos. Bloqueia a modificação de configurações do Internet Explorer feitas por processos. Esta regra evita que cavalos de Troia de páginas iniciais, adwares e spywares modifiquem as configurações do navegador, como mudar a página inicial ou instalar favoritos. Impede que qualquer processo não enumerado na lista de exclusão altere as configurações de rede do sistema. Esta regra protege contra Provedores de serviço em camadas que transmitem dados, como seu comportamento de navegação, capturando o tráfego de rede e o enviando para sites de terceiros. Prática recomendada: adicionar os processos que precisam alterar as configurações de rede à lista de exclusão ou desativar a regra enquanto as alterações são realizadas. 72 McAfee Endpoint Security 10.2 Guia do produto

73 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças 3 Regra definida pela McAfee Registrar programas para execução automática Descrição Bloqueia a tentativa de registro de vírus, cavalos de Troia, programas de adware e spyware para serem carregados sempre que um sistema é reiniciado. Esta regra impede que processos que não estejam na lista de exclusão registrem processos que são executados toda vez que o sistema é reiniciado. Prática recomendada: adicionar aplicativos legítimos à lista de exclusão ou instalá-los antes de ativar esta regra. Acessar remotamente arquivos ou pastas locais Criar remotamente arquivos de execução automática Criar ou modificar remotamente arquivos ou pastas Criar ou modificar remotamente os tipos de arquivos Portable Executable,.INI,.PIF e as localizações do sistema principal Impede o acesso de leitura e gravação de computadores remotos ao computador. Esta regra impede a proliferação de worms de compartilhamento. Em um ambiente típico, esta regra é adequada para estações de trabalho, mas não para servidores, e é útil apenas quando os computadores estão ativamente sob ataque. Se um computador for gerenciado por meio do envio por push de arquivos, esta regra impedirá que atualizações ou patches sejam instalados. Esta regra não afeta as funções de gerenciamento do McAfee epo. Impede que outros computadores se conectem e criem ou alterem arquivos de execução automática (autorun.inf). Arquivos de execução automática são usados para iniciar arquivos de programas automaticamente, geralmente arquivos de configuração de CDs. Esta regra impede que spywares e adwares distribuídos em CDs sejam executados. Por padrão, esta regra está selecionada para Bloquear e Relatar. Bloqueia o acesso de gravação a todos os compartilhamentos. Esta regra é útil em epidemias, impedindo acesso para gravação para limitar a proliferação da infecção. Esta regra bloqueia malwares que, em outras circunstâncias, limitariam criticamente o uso do computador ou da rede. Em um ambiente típico, esta regra é adequada a estações de trabalho, e não servidores, e é útil apenas quando computadores estão ativamente sob ataque. Se um computador for gerenciado por meio do envio por push de arquivos, esta regra impedirá que atualizações ou patches sejam instalados. Essa regra não afeta as funções de gerenciamento do McAfee epo. Impede que outros computadores se conectem e alterem executáveis, como arquivos na pasta Windows. Esta regra afeta apenas os tipos de arquivos que geralmente são infectados por vírus. Esta regra protege contra worms ou vírus de rápida disseminação, que atravessam uma rede através de compartilhamentos abertos ou administrativos. Essa regra é uma alternativa menos segura a Tornar todos os compartilhamentos só de leitura. McAfee Endpoint Security 10.2 Guia do produto 73

74 3 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças Regra definida pela McAfee Executar arquivos de qualquer pasta temporária Execução de arquivos na pasta Temp por programas comuns Descrição Bloqueia a execução ou inicialização de qualquer item executável a partir de qualquer pasta que contenha "temp" no nome. Essa regra protege contra malwares salvos e executados na pasta temporária do usuário ou do sistema. Este tipo de malware pode incluir anexos executáveis em mensagens de e programas obtidos por download. Apesar de esta regra oferecer a maior proteção, ela pode bloquear a instalação de aplicativos legítimos. Em aplicativos, bloqueia a instalação de softwares a partir do navegador ou do cliente de . Esta regra impede que anexos de e executáveis sejam executados em páginas da Web. Prática recomendada: para instalar um aplicativo que usa a pasta Temp, adicione o processo à lista de exclusão. Consulte também Configurar regras de proteção de acesso definidas pela McAfee na página 69 Configurar regras de proteção de acesso definidas pelo usuário Essas regras complementam a proteção fornecida pelas regras definidas pela McAfee. Você pode adicionar, excluir, ativar, desativar e modificar a configuração dessas regras. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Prática recomendada: para obter informações sobre a criação de regras de proteção de acesso para a proteção contra, consulte o artigo PD Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 Clique em Prevenção contra ameaças na página Status principal. Ou, no menu Ação Configurações., selecione Configurações e clique em Prevenção contra ameaças na página 3 Clique em Mostrar opções avançadas. 4 Clique em Proteção de acesso. 5 Para criar a regra, na seção Regras, clique em Adicionar. Na página Adicionar regra, defina as configurações. a Na seção Executáveis, clique em Adicionar, configure as propriedades do executável e clique em Salvar. Uma tabela de Executáveis vazia indica que a regra se aplica a todos os executáveis. 74 McAfee Endpoint Security 10.2 Guia do produto

75 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças 3 b c Na seção Nomes de usuário, clique em Adicionar e configure as propriedades do nome de usuário. Uma tabela de Nomes de usuário vazia indica que a regra se aplica a todos os usuários. Na seção Sub-regras, clique em Adicionar e, em seguida, configure as propriedade das sub-regras. Prática recomendada: para evitar impactos no desempenho, não selecione a operação Ler. Na seção Destinos, clique em Adicionar, configure as informações de destino e clique em Salvar duas vezes. 6 Na seção Regras, selecione Bloquear, Relatar ou ambas as opções para a regra. Para bloquear ou relatar tudo, selecione Bloquear ou Relatar na primeira linha. Para desativar a regra, desmarque Bloquear e Relatar. 7 Clique em Aplicar para salvar suas alterações ou clique em Cancelar. Consulte também Remove processos da Proteção de acesso na página 76 Como são avaliados os destinos em sub-regras da Proteção de acesso Cada destino é adicionado com uma diretiva Incluir ou Excluir. Ao avaliar um evento do sistema em relação a uma sub-regra, a sub-regra avalia como verdadeiro se: Pelo menos um Incluir for avaliado como verdadeiro. e Todas as exclusões forem avaliadas como falsas. Excluir tem prioridade sobre Incluir. Aqui estão alguns exemplos: McAfee Endpoint Security 10.2 Guia do produto 75

76 3 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças Se uma única sub-regra incluir e também excluir um arquivo C:\marketing\jjohns, a sub-regra não será disparada para esse arquivo. Se uma sub-regra incluir todos os arquivos, mas excluir o arquivo C:\marketing\jjohns, a sub-regra será disparada se o arquivo não for C:\marketing\jjohns. Se uma sub-regra incluir o arquivo C:\marketing\*, mas excluir C:\marketing\jjohns, a sub-regra será disparada para C:\marketing\qualquer_pessoa, mas não será disparada para C:\marketing \jjohns. Remove processos da Proteção de acesso Se um programa estiver bloqueado, exclua o processo criando uma exclusão com base em política ou regra. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 Clique em Prevenção contra ameaças na página Status principal. Ou, no menu Ação Configurações., selecione Configurações e clique em Prevenção contra ameaças na página 3 Clique em Mostrar opções avançadas. 4 Clique em Proteção de acesso. 5 Verifique se aproteção de acesso está ativada. Por padrão, a Proteção de acesso está ativada. 6 Execute uma das seguintes opções: Para... Crie uma exclusão baseada na política. Faça isso... 1 Na seção Exclusões, clique emadicionar para adicionar os processos a serem excluídos de todas as regras. 2 Na página Adicionar Executável, configure as propriedades do executável. 3 Clique em Salvar e, em seguida, clique em Aplicar para salvar as configurações. Crie uma exclusão baseada na política. 1 Edite uma regra existente ou adicione uma nova regra. 2 Na página Adicionar Regra ou Editar Regra, clique emadicionar para adicionar um executável a ser excluído. 3 Na página Adicionar Executável, configure as propriedades do executável. 4 Clique em Salvar para salvar as exclusões. Bloqueio de explorações de estouro de buffer Prevenção de exploração impede que estouros de buffer explorados executem códigos arbitrários. Este recurso monitora as chamadas de API em modo de usuário e reconhece quando são chamadas como resultado de um estouro de buffer. Quando ocorre uma detecção, as informações são armazenadas no log de atividades, exibidas no sistema cliente e enviadas ao servidor de gerenciamento, se assim configurado. 76 McAfee Endpoint Security 10.2 Guia do produto

77 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças 3 O Prevenção contra ameaças usa o arquivo de conteúdo de Prevenção de exploração para proteger aplicativos como o Microsoft Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word e MSN Messenger. O Host Intrusion Prevention 8.0 pode ser instalado no mesmo sistema que o Endpoint Security Se o McAfee Host IPS estiver ativado, a Prevenção de exploração será desativada, mesmo se estiver ativada nas configurações de política. Como ocorrem explorações de estouro de buffer Os invasores usam explorações de estouro de buffer para executar o código executável ao estourar o buffer de memória de tamanho fixo reservado para processos de entrada. Esse código permite que o invasor domine o computador de destino ou comprometa seus dados. Mais de 25% dos ataques de malware são ataques de estouro de buffer que tentam sobrescrever a memória adjacente na estrutura de pilha. Os dois tipos de explorações de estouro de buffer são: Ataques baseados em pilha usam objetos de memória de pilha para armazenar a entrada de dados do usuário (mais comuns). Ataques baseados em heap inundam o espaço da memória reservado para um programa (raros). O objeto de memória de pilha de tamanho fixo fica vazio e aguardando a entrada de dados do usuário. Quando um programa recebe a entrada de dados do usuário, os dados são armazenados no alto da pilha e atribuídos a um endereço de memória de retorno. Quando a pilha é processada, a entrada de dados do usuário é enviada ao endereço de retorno especificado pelo programa. O processo a seguir descreve um ataque de estouro de buffer baseado em pilha: 1 Estouro de pilha. Quando o programa é desenvolvido, uma quantidade específica de espaço da memória é reservada para os dados. A pilha estoura se os dados gravados forem maiores do que o espaço reservado para ela na pilha da memória. Essa situação só é um problema quando combinada com a entrada de dados maliciosos. 2 Exploração de estouro. O programa espera pela entrada de dados do usuário. Se o invasor digitar um comando executável que excede o tamanho da pilha, este comando será salvo fora do espaço reservado. 3 Execução de malware. O comando não é executado automaticamente quando excede o espaço do buffer de pilha. Inicialmente, o programa começa a travar por causa do estouro de buffer. Caso o invasor tenha fornecido um endereço de retorno fornecido pelo invasor que faz referência ao comando malicioso, o programa tenta se recuperar usando o endereço de retorno. Se o endereço de retorno for válido, o comando malicioso será executado. 4 Exploração de permissões. O malware agora é executado com as mesmas permissões do aplicativo que foi comprometido. Como os programas são executados normalmente no modo kernel ou com permissões herdadas de uma conta de serviço, o invasor agora ganha controle total do sistema operante. McAfee Endpoint Security 10.2 Guia do produto 77

78 3 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças Configurar definições da de Prevenção de exploração Para impedir que aplicativos executem códigos arbitrários no computador do usuário, configure as definições da de Prevenção de exploração. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 Clique em Prevenção contra ameaças na página Status principal. Ou, no menu Ação Configurações., selecione Configurações e clique em Prevenção contra ameaças na página 3 Clique em Mostrar opções avançadas. 4 Clicar em Prevenção de exploração. 5 Defina as configurações na página e clique em Aplicar para salvar suas alterações ou clique em Cancelar. Consulte também Entrar como administrador na página 27 Exclusão de processos da Prevenção de exploração Quando ocorre um evento de violação à Prevenção de exploração, há um processo associado e um possível módulo de chamador ou API. Se suspeitar que o evento de violação é um falso positivo, você poderá adicionar uma exclusão que especifique o processo, o módulo do chamador e a API. Em uma exclusão, o processo, o módulo e a API estão conectados por uma ligação lógica AND. Para excluir a possibilidade de que essa violação ocorra novamente, o processo, módulo e a API associados ao evento de violação devem corresponder. Todas as exclusões são independentes: múltiplas exclusões são conectadas por um OR lógico, de modo que, se uma exclusão for correspondente, o evento de violação não ocorrerá. Detectar programas potencialmente indesejados Para proteger o computador gerenciado contra programas potencialmente indesejados, especifique os arquivos e programas a serem detectados em seu ambiente e, em seguida, ative a detecção. Programas potencialmente indesejados são programas de software incômodos ou que podem alterar o estado de segurança ou a política de privacidade do sistema. Programas potencialmente indesejados podem ser incorporados a programas que usuários baixam intencionalmente. Programas indesejados podem incluir programas de spyware, adware e discadores. 1 Especifique programas indesejados personalizados a detectar pelos mecanismos de varredura ao acessar e por solicitação nas definições de em Opções. 78 McAfee Endpoint Security 10.2 Guia do produto

79 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças 3 2 Ative a detecção de programas indesejados e especifique as ações a serem realizadas no caso de detecções nestas configurações: Definições de de Varredura ao acessar Definições de de Varredura por solicitação Consulte também Especificar programas potencialmente indesejados personalizados a detectar na página 79 Ativar e configurar detecção e respostas de programas potencialmente indesejados na página 80 Configurar as definições de de Varredura ao acessar na página 82 Configurar definições da política de na página 87 Especificar programas potencialmente indesejados personalizados a detectar Especifique programas adicionais para os mecanismos de varredura ao acessar e por solicitação a serem tratados como programas indesejados nas definições de política Opções. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Os mecanismos de varredura detectam os programas especificados por você e os programas especificados nos arquivos de conteúdo do AMCore. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 Clique em Prevenção contra ameaças na página Status principal. Ou, no menu Ação Configurações., selecione Configurações e clique em Prevenção contra ameaças na página 3 Clique em Mostrar opções avançadas. 4 Clique em Opções. 5 Em Detecções de programas potencialmente indesejados: Clique em Adicionar para especificar o nome e a descrição opcional de um arquivo ou programa a ser tratado como programa potencialmente indesejado. A Descrição aparece como nome da detecção quando ocorre uma detecção. Clique duas vezes sobre o nome ou descrição de um programa potencialmente indesejado existente para modificar. Selecione um programa potencialmente indesejado existente, depois clique em Excluir para removê-lo da lista. Consulte também Entrar como administrador na página 27 McAfee Endpoint Security 10.2 Guia do produto 79

80 3 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças Ativar e configurar detecção e respostas de programas potencialmente indesejados Ative os mecanismos de varredura ao acessar e por solicitação para detectar programas potencialmente indesejados e especificar respostas quando uma for encontrada. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Configurar definições da de Varredura ao acessar. a Abra o Cliente do Endpoint Security. b Clique em Prevenção contra ameaças na página Status principal. Ou, no menu Ação Configurações., selecione Configurações e clique em Prevenção contra ameaças na página c d e f Clique em Mostrar opções avançadas. Clique em Varredura ao acessar. Em Configurações do processo, para cada tipo de Varredura ao acessar, selecione Detectar programas indesejados. Em Ações, configure as respostas aos programas indesejados. 2 Configure as definições de da Varredura por solicitação. a Abra o Cliente do Endpoint Security. b Clique em Prevenção contra ameaças na página Status principal. Ou, no menu Ação Configurações., selecione Configurações e clique em Prevenção contra ameaças na página c d e Clique em Mostrar opções avançadas. Clique em Varredura por solicitação. Para cada tipo de varredura (Varredura completa, Varredura rápida e Varredura por clique no botão direito): Selecione Detectar programas indesejados. Em Ações, configure as respostas aos programas indesejados. Consulte também Configurar as definições de de Varredura ao acessar na página 82 Configurar definições da política de na página 87 Entrar como administrador na página McAfee Endpoint Security 10.2 Guia do produto

81 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças 3 Configure definições de varreduras comuns Para especificar as configurações válidas para varreduras ao acessar e por solicitação, configure as definições da política Prevenção contra ameaças Opções. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Estas configurações se aplicam a todas as varreduras: O local da quarentena e o número de dias em que os itens deverão ser mantidos em quarentena antes de serem excluídos automaticamente Nomes de detecção a serem excluídos das varreduras Proteção contra programas indesejados, como spyware e adware Comentário de telemetria com base no McAfee GTI Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 Clique em Prevenção contra ameaças na página principal de Status. Ou, no menu Ação Configurações., selecione Configurações e clique em Prevenção contra ameaças na página 3 Clique em Mostrar Avançados. 4 Clique em Opções. 5 Defina as configurações na página e clique em Aplicar para salvar suas alterações ou clique em Cancelar. Consulte também Entrar como administrador na página 27 Configurar as definições de de Varredura ao acessar na página 82 Configurar definições da política de na página 87 Como funciona o McAfee GTI Se você ativar o McAfee GTI para o mecanismo de varredura ao acessar ou por solicitação, o mecanismo de varredura utilizará a heurística para verificar arquivos suspeitos. O servidor McAfee GTI armazena classificações de sites e relatórios para o Controle da Web. Se você configurar o Controle da Web para varrer arquivos obtidos por download, o mecanismo de varredura usará a reputação de arquivos do McAfee GTI para verificar se há arquivos suspeitos. O mecanismo de varredura envia impressões digitais de amostras, ou hashes, para um servidor de banco de dados central hospedado pelo McAfee Labs para determinar se são malware. Ao enviar hashes, a detecção pode ser disponibilizada antes da próxima atualização de arquivo de conteúdo, quando o McAfee Labs publicar a atualização. McAfee Endpoint Security 10.2 Guia do produto 81

82 3 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças Você pode configurar o nível de sensibilidade a ser usado pelo McAfee GTI ao determinar se uma amostra detectada é malware. Quanto mais alto o nível de sensibilidade, maior o número de detecções de malware. Contudo, a permissão de mais detecções pode resultar em mais detecções de falsos positivos. Na Prevenção contra ameaças, o nível de sensibilidade do McAfee GTI é definido como Médio por padrão. Configure o nível de sensibilidade para cada mecanismo de varredura nas configurações da Prevenção contra ameaças. No Controle da Web, o nível de sensibilidade do McAfee GTI é definido como Muito alto por padrão. Defina o nível de sensibilidade para a varredura de downloads de arquivos nas configurações de Opções do Controle da Web, Você pode configurar o Endpoint Security para usar um servidor proxy para recuperar informações de reputação do McAfee GTI nas configurações Em Comum. Configurar as definições de de Varredura ao acessar Essas definições ativam e configuram a varredura ao acessar, o que inclui a especificação de mensagens a serem enviadas quando uma ameaça é detectada e definições diferentes com base no tipo de processo. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Consulte a Ajuda das configurações de Opções da Prevenção contra ameaças para obter mais opções de configuração de varredura. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 Clique em Prevenção contra ameaças na página Status principal. Ou, no menu Ação Configurações., selecione Configurações e clique em Prevenção contra ameaças na página 3 Clique em Mostrar opções avançadas. 4 Clique em Varredura ao acessar. 5 Selecione Ativar varredura ao acessar para ativar o mecanismo de varredura ao acessar e modificar as opções. 6 Especifique se devem ser usadas Definições padrão para todos os processos ou definições diferentes para processos de alto e baixo risco. Definições padrão Configure as definições de varredura na guia Padrão. Definições diferentes baseadas no tipo de processo Selecione a guia (Padrão, Alto risco ou Baixo risco) e configure as definições de varredura para cada tipo de processo. 7 Clique em Aplicar para salvar suas alterações ou clique em Cancelar. Consulte também Entrar como administrador na página 27 Configure definições de varreduras comuns na página McAfee Endpoint Security 10.2 Guia do produto

83 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças 3 Como funciona a varredura ao acessar O mecanismo de varredura ao acessar se integra ao sistema nos níveis mais baixos (driver de filtro do sistema de arquivos) e faz a varredura de arquivos onde entram primeiro no sistema. O mecanismo de varredura ao acessar envia notificações à Interface do serviço quando ocorrem detecções. Quando ocorre uma tentativa de abrir ou fechar um arquivo, o mecanismo de varredura intercepta a operação e: 1 O mecanismo de varredura determina se o item deve ser examinado, usando esses critérios: A extensão do arquivo corresponde à configuração. O arquivo não foi armazenado em cache, excluído ou varrido previamente. Se você configurar o McAfee GTI, o mecanismo de varredura usa a heurística para verificar arquivos suspeitos. 2 Se o arquivo atender aos critérios de varredura, o mecanismo de varredura o comparará com as assinaturas no arquivo de conteúdo do AMCore atualmente carregado. Se o arquivo estiver limpo, o resultado será armazenado em cache e a operação de leitura ou gravação será autorizada. Se o arquivo contiver uma ameaça, a operação será negada e o mecanismo de varredura executará a ação configurada. Por exemplo, se a ação for limpar o arquivo, o mecanismo de varredura: 1 Usa as informações do arquivo de conteúdo do AMCore carregado atualmente para limpar o arquivo. 2 Registrará os resultados no log de atividades. 3 Notificará o usuário de que ele detectou uma ameaça em um arquivo e avisará sobre a ação a ser executada (limpar ou excluir o arquivo). Windows 8 e 10 Se o mecanismo de varredura detectar uma ameaça no caminho de um aplicativo da Windows Store instalado, ele a marcará como adulterada. O Windows adiciona o sinalizador de adulterado ao bloco do aplicativo. Ao tentar executá-lo, o Windows envia uma notificação sobre o problema e direciona você ao Windows Store para efetuar uma reinstalação. McAfee Endpoint Security 10.2 Guia do produto 83

84 3 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças 3 Se o arquivo não corresponder aos requisitos de varredura, o mecanismo de varredura armazenará o arquivo em cache e concederá a operação. A lista de detecções da varredura ao acessar é eliminada quando o serviço Endpoint Security reinicia ou na reinicialização do sistema. A Prevenção contra ameaças remove o cache de varredura global e realiza uma nova varredura de todos os arquivos quando: A configuração da Varredura ao acessar é alterada. É adicionado um arquivo Extra.DAT. Varrer ao gravar no disco, ler de disco, ou deixar a McAfee decidir É possível especificar quando o mecanismo de varredura ao acessar varre os arquivos: ao gravar no disco, ao ler do disco, ou permitir que a McAfee decida ao varrer. Quando os arquivos estão sendo gravados em disco, o mecanismo de varredura ao acessar varre os seguintes arquivos: Arquivos de entrada que estão sendo gravados na unidade de disco rígido local. Arquivos (novos, modificados ou arquivos copiados ou movidos de uma unidade para outra) criados na unidade de disco rígido local ou em uma unidade de rede mapeada (se ativado). 84 McAfee Endpoint Security 10.2 Guia do produto

85 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças 3 Quando os arquivos estão sendo lidos do disco, o mecanismo de varredura varre os seguintes arquivos: Arquivos de saída que estão sendo lidos da unidade de disco rígido local ou de unidades de rede mapeadas (se ativado). Arquivos tentando executar um processo na unidade de disco rígido local. Arquivos abertos na unidade de disco rígido local. Quando você deixa a McAfee decidir se um arquivo requer varredura, o mecanismo de varredura ao acessar usa a lógica de confiança para otimizar a varredura. A lógica de confiança melhora sua segurança e impulsiona o desempenho evitando varreduras desnecessárias. Por exemplo, a McAfee analisa e considera alguns programas confiáveis. Se a McAfee constatar que esses programas não foram adulterados, o mecanismo de varredura poderá realizar uma varredura reduzida ou otimizada. Prática recomendada: ativar esta opção para ter o máximo de proteção e desempenho. Sobre o ScriptScan O mecanismo de varredura de script do Prevenção contra ameaças opera como um componente proxy para o Windows Script Host nativo, interceptando e varrendo scripts antes de serem executados. Se o script estiver limpo, o mecanismo de varredura de scripts o transmitirá para o Windows Script Host nativo. Se o script contiver uma ameaça potencial, o dispositivo de varredura do script impede que o mesmo seja executado. Exclusões do ScriptScan Sites com muitos scripts e aplicativos baseados na Web podem ter um desempenho ruim quando o ScriptScan estiver ativado. Em vez de desativar o ScriptScan, recomendamos especificar as exclusões de URL para sites confiáveis, como sites em uma intranet ou aplicativos de rede cuja segurança seja conhecida. McAfee Endpoint Security 10.2 Guia do produto 85

86 3 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças Ao criar as exclusões de URL: Não use caracteres curinga. Não inclua números de porta. Recomendamos que você use somente Nomes de domínio totalmente qualificados (FQDN) e nomes NetBIOS. Nos sistemas Windows Server 2008, as exclusões de URL do ScriptScan não funcionam com o Internet Explorer a menos que você ative as extensões de navegador de terceiros e reinicie o sistema. Consulte o artigo KB69526 da Base de dados de conhecimento. ScriptScan e Internet Explorer Quando o Prevenção contra ameaças estiver instalado, na primeira vez que o Internet Explorer for iniciado, será exibido um aviso para habilitar uma ou mais extensões da McAfee. Para que o ScriptScan faça uma varredura nos scripts: A configuração Ativar o ScriptScan deve estar selecionada. A extensão deve ser ativada no navegador. Se o ScriptScan estiver desativado quando o Internet Explorer for iniciado e, depois, for ativado, ele não detectará scripts maliciosos nessa instância do Internet Explorer. É preciso reiniciar o Internet Explorer depois de ativar a opção ScriptScan para que ela detecte scripts maliciosos. Como determinar definições de varredura para processos Siga esse processo para determinar se é necessário configurar definições diferentes com base no tipo de processo. 86 McAfee Endpoint Security 10.2 Guia do produto

87 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças 3 Configurar definições da política de Essas definições configuram o comportamento de três varreduras por solicitação predefinidas: Varredura completa, Varredura rápida e Varredura por clique no botão direito. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Consulte a Ajuda das configurações de Opções da Prevenção contra ameaças para obter mais opções de configuração de varredura. McAfee Endpoint Security 10.2 Guia do produto 87

88 3 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 Clique em Prevenção contra ameaças na página principal de Status. Ou, no menu Ação Configurações., selecione Configurações e clique em Prevenção contra ameaças na página 3 Clique em Mostrar opções avançadas. 4 Clique em Varredura por solicitação. 5 Clique em uma guia para definir as configurações para a varredura especificada. Varredura completa Varredura rápida Varredura por clique no botão direito 6 Defina as configurações na página e clique em Aplicar para salvar suas alterações ou clique em Cancelar. Consulte também Entrar como administrador na página 27 Configure definições de varreduras comuns na página 81 Configurar, agendar e executar tarefas de varredura na página 92 Como funciona a varredura por solicitação O mecanismo de varredura por solicitação pesquisa os arquivos, pastas, memória e registro do sistema, e procura por qualquer malware que possa ter infectado o computador. Você decide quando e com que frequência as varreduras por solicitação ocorrem. Você pode fazer a varredura dos sistemas manualmente, em um momento programado ou durante a inicialização do sistema. 1 O mecanismo de varredura por solicitação usa os seguintes critérios para determinar se o item deve ser examinado na varredura: A extensão do arquivo corresponde à configuração. O arquivo não foi armazenado em cache, excluído ou varrido anteriormente (caso o mecanismo de varredura use o cache de varredura). Se você configurar o McAfee GTI, o mecanismo de varredura usa a heurística para verificar arquivos suspeitos. 2 Se o arquivo atender aos critérios de varredura, o mecanismo de varredura fará a comparação das informações do item com assinaturas de programas de malware conhecidos nos arquivos de conteúdo do AMCore atualmente carregados. Se o arquivo estiver limpo, o resultado é armazenado em cache e o mecanismo de varredura verifica o próximo item. Se o arquivo contiver uma ameaça, o mecanismo de varredura executará a ação configurada. 88 McAfee Endpoint Security 10.2 Guia do produto

89 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças 3 Por exemplo, se a ação é para limpar o arquivo, o mecanismo de varredura: 1 Usa as informações do arquivo de conteúdo AMCore carregado atualmente para limpar o arquivo. 2 Registra os resultados no log de atividades. 3 Notifica o usuário sobre a detecção de uma ameaça no arquivo e inclui o nome do item e a ação executada. Windows 8 e 10 Se o mecanismo de varredura detectar uma ameaça no caminho de um aplicativo da Windows Store instalado, ele a marcará como adulterada. O Windows adiciona o sinalizador de adulterado ao bloco do aplicativo. Ao tentar executá-lo, o Windows envia uma notificação sobre o problema e direciona você ao Windows Store para efetuar uma reinstalação. 3 Se o item não atender aos requisitos de varredura, o mecanismo de varredura não o verifica. Ao invés disso, o mecanismo continua até haja ocorrido a varredura de todos os dados. A lista de detecções da varredura por solicitação é eliminada quando a varredura por solicitação seguinte inicia. O Prevenção contra ameaças limpa o cache de varredura global e realiza uma nova varredura de todos os arquivos quando um Extra.DAT é carregado. Redução do impacto das varreduras para os usuários Para minimizar o impacto que as varreduras por solicitação têm nos sistemas, especifique as opções de desempenho ao configurar as varreduras. Varrer apenas quando o sistema estiver ocioso A forma mais fácil de garantir que a varredura não tenha impacto nos usuários é executar a varredura por solicitação somente quando o computador estiver ocioso. McAfee Endpoint Security 10.2 Guia do produto 89

90 3 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças Se a opção estiver selecionada, a Prevenção contra ameaças pausa a varredura quando detecta atividade do disco ou do usuário, tal como acesso usando o teclado ou o mouse. A Prevenção contra ameaças retoma a varredura quando o usuário não tiver acessado o sistema por três minutos. Opcionalmente é possível: Permitir que os usuários retomem as varreduras que foram pausadas devido à atividade do usuário. Voltar a executar a varredura apenas quando o sistema estiver ocioso. Desative essa opção em sistemas de servidor e em sistemas que os usuários acessam usando apenas uma RDP (Remote Desktop Connection - Conexão de área de trabalho remota). A Prevenção contra ameaças depende do McTray para determinar se o sistema está ocioso. Em sistemas acessados apenas por RDP, o McTray não é iniciado e o mecanismo de varredura por solicitação jamais é executado. Para contornar esse problema, os usuários podem iniciar o McTray (em C:\Arquivos de programas\mcafee \Agent\mctray.exe, por padrão) manualmente quando entrarem usando a RDP. Selecione Varrer apenas quando o sistema estiver ocioso na seção Desempenho na guia de Configurações de Tarefas de Varredura. Pausar a varredura automaticamente Para melhorar o desempenho, você pode pausar varreduras por solicitação quando o sistema estiver funcionando com bateria. Você também pode pausar a varredura quando um aplicativo, como um navegador, tocador de mídia ou apresentação, estiver sendo executado no modo de tela cheia. A varredura é retomada automaticamente quando o sistema for conectado à energia ou não estiver mais no modo de tela cheia. Selecione essas opções na seção Desempenho na guia Configurações da Tarefa de varredura: Não varrer quando o sistema estiver no modo de bateria Não varra quando o sistema estiver no modo de apresentação (disponível quando a opção Varrer a qualquer momento está selecionada) Permitir que os usuários adiem varreduras Se você escolher Varrer a qualquer momento, você pode permitir que usuários adiem varreduras agendadas em incrementos de uma hora, até 24 horas ou permanentemente. Cada adiamento de usuário pode durar uma hora. Por exemplo, se a opção Número máximo de horas que o usuário pode adiar estiver configurada como 2, o usuário poderá adiar a tarefa de varredura duas vezes (por duas horas). Quando o número máximo especificado de horas terminar, a varredura continuará. Se você permitir adiamentos ilimitados configurando a opção como zero, o usuário poderá continuar adiando a varredura permanentemente. Selecione Usuário pode adiar varreduras na seção Desempenho na guia Configurações da Tarefa de varredura: Limite atividades de varredura com varreduras incrementais Use varreduras incrementais, ou retomáveis, para estabelecer limites quando as atividades de varredura por solicitação ocorrerem e ainda varra todo o sistema em várias sessões. Para usar a varredura incremental, adicione um limite de tempo à varredura agendada. A varredura é interrompida quando o limite de tempo é alcançado. Na próxima vez em que esta tarefa for iniciada, ela continuará a partir do ponto do arquivo e da estrutura de pasta em que a varredura anterior foi interrompida. Selecione Interromper a tarefa caso ela seja executada por mais de na seção Opções da guia Agendamento da Tarefa de varredura. 90 McAfee Endpoint Security 10.2 Guia do produto

91 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças 3 Configurar a utilização do sistema A utilização do sistema especifica o período de tempo de CPU que o mecanismo de varredura recebe durante a varredura. Para sistemas com atividade do usuário final, defina a utilização do sistema como Baixo. Selecione Utilização do sistema na seção Desempenho da guia Configurações da Tarefa de varredura. Consulte também Configurar definições da política de na página 87 Configurar, agendar e executar tarefas de varredura na página 92 Como funciona a utilização do sistema O mecanismo de varredura por solicitação usa as configurações Definir prioridade do Windows para o processo de varredura e prioridade de threads. A configuração da utilização do sistema (limitação) permite que o sistema operacional defina o período de tempo de CPU que o mecanismo de varredura por solicitação recebe durante o processo de varredura. Configurar a utilização do sistema para varredura como Baixo fornece um desempenho aprimorado para outros aplicativos em execução. A configuração baixa é útil para sistemas com atividade de usuário final. Inversamente, ao configurar a utilização do sistema como Normal, a varredura é concluída mais rapidamente. A configuração normal é útil para sistemas que tenham grandes volumes e pouca atividade de usuário final. Cada tarefa é executada de forma independente, sem levar em consideração os limites das outras tarefas. Tabela 3-2 Configurações de processo padrão Configurações de processo do Prevenção contra ameaças Baixo Abaixo do normal Normal (Padrão) Esta opção... Fornece um desempenho aprimorado para outros aplicativos em execução. Select this option for systems with end-user activity. Configura a utilização do sistema para varredura com o valor padrão do McAfee epo. Permite que a varredura seja concluída com mais rapidez. Selecione essa opção para sistemas que tenham grandes volumes e pouca atividade de usuário final. Configurações de Definir prioridade do Windows Baixo Abaixo do normal Normal Como funciona a varredura de Armazenamento remoto Você pode configurar o mecanismo de varredura por solicitação para varrer o conteúdo de arquivos gerenciados pelo Armazenamento remoto. O Armazenamento remoto monitora a quantidade de espaço disponível no sistema local. Quando necessário, o Armazenamento remoto automaticamente migra o conteúdo (dados) de arquivos qualificados do sistema cliente para um dispositivo de armazenamento, como uma biblioteca de fitas. Quando um usuário abre um arquivo cujos dados foram migrados, o Armazenamento remoto automaticamente recupera os dados do dispositivo de armazenamento. Selecione a opção Arquivos migrados para o armazenamento para configurar o mecanismo de varredura por solicitação e varrer arquivos gerenciados pelo Armazenamento remoto. Quando o mecanismo de varredura encontra um arquivo com conteúdo migrado, ele restaura o arquivo para o sistema local antes da varredura. Para obter mais informações, consulte O que é o Armazenamento remoto. McAfee Endpoint Security 10.2 Guia do produto 91

92 3 Utilizando o Prevenção contra ameaças Gerenciamento do Prevenção contra ameaças Configurar, agendar e executar tarefas de varredura É possível agendar tarefas padrão de Varredura completa e Varredura rápida ou criar tarefas de varredura personalizadas a partir do Cliente do Endpoint Security nas configurações Em Comum. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 No menu Ação, selecione Configurações. 3 Clique em Mostrar opções avançadas. 4 A partir da opção Em Comum, clique em Tarefas. 5 Configure as definições da tarefa de varredura na página. Para... Crie uma tarefa de varredura personalizada. Siga esses passos 1 Clique em Adicionar. 2 Digite o nome, selecione Varredura personalizada na lista suspensa e clique em Próximo. 3 Configure as definições da tarefa de varredura e agendamento e clique em OK para salvar a tarefa. Altere uma tarefa de varredura. Remova uma tarefa de varredura personalizada. Crie uma cópia de uma tarefa de varredura. Clique duas vezes na tarefa, faça as suas alterações e, em seguida, clique em OK para salvar a tarefa. Selecione a tarefa e clique em Excluir. 1 Selecione a tarefa e clique em Duplicar. 2 Digite o nome, configure as definições e clique em OK para salvar a tarefa. 92 McAfee Endpoint Security 10.2 Guia do produto

93 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças 3 Para... Altere o agendamento para uma tarefa de Varredura completa ou Varredura rápida. Execute uma tarefa de varredura. Siga esses passos 1 Clique duas vezes em Varredura completa ou Varredura rápida. 2 Clique na guia Agendamento, mude o agendamento e clique em OK para salvar a tarefa. É possível configurar as configurações de tarefa Varredura completa evarredura rápida apenas em sistemas autogerenciados. Por padrão, a execução da Varredura Completa está programada para toda quarta-feira à meia-noite. A execução davarredura Rápida está programada para todo dia às 19:00. Os agendamentos estão ativados. Selecione a tarefa e clique em Executar agora. Se a tarefa já estiver sendo executada, incluindo pausada ou adiada, o botão é alterado para Exibir. Se você executar uma tarefa antes de aplicar as alterações, o Cliente do Endpoint Security solicita que você salve as configurações. 6 Clique em Aplicar para salvar suas alterações ou clique em Cancelar. Consulte também Entrar como administrador na página 27 Configurar definições da política de na página 87 Executar uma Varredura completa ou uma Varredura rápida na página 58 Referência da interface do cliente Prevenção contra ameaças Os tópicos de ajuda da referência da interface fornecem ajuda contextual para as páginas da interface do cliente. Conteúdo Página Quarentena Prevenção contra ameaças Proteção de acesso Prevenção contra ameaças Prevenção de exploração Prevenção contra ameaças Varredura ao acessar Prevenção contra ameaças Varredura por solicitação Varrer locais McAfee GTI Ações Adicionar exclusão ou Editar exclusão Prevenção contra ameaças Opções tarefa do cliente Reverter AMCore Content McAfee Endpoint Security 10.2 Guia do produto 93

94 3 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças Página Quarentena Gerencia os itens na Quarentena. Tabela 3-3 Opções Opção Excluir Restaurar Definição Exclui itens selecionados da Quarentena. Os itens excluídos não podem ser restaurados. Restaura itens da Quarentena. O Endpoint Security restaura os itens ao local original e os remove da Quarentena. Se um item ainda for uma ameaça válida, o Endpoint Security o devolve imediatamente à Quarentena. Repetir a varredura Realiza uma nova varredura em itens selecionados na Quarentena. Se o item não for mais uma ameaça, o Endpoint Security restaura-o ao local original e remove-o da Quarentena. Cabeçalho da coluna Nome da detecção Tipo Tempo em quarentena Número de objetos Versão do conteúdo do AMCore Status da nova varredura Ordena a lista de quarentena por... Nome da detecção. Tipo de ameaça, como cavalo de Troia ou Adware. O período de tempo em que o item está em quarentena. O número de objetos na detecção. O número de versão do conteúdo do AMCore que identificou a ameaça. O status da nova varredura, caso item tenha sido varrido novamente: Limpo A nova varredura não resultou em detecção de ameaças. Infectado O Endpoint Security detectou uma ameaça durante a nova varredura. Consulte também Gerenciar itens em quarentena na página 62 Nome da detecção na página 63 Repetição de varredura de itens em quarentena na página 65 Prevenção contra ameaças Proteção de acesso Proteja os pontos de acesso do sistema baseado em regras configuradas. Consulte as configurações do módulo Em Comum para verificar a configuração de registro em log. A proteção de acesso compara uma ação solicitada com uma lista de regras configuradas e toma as medidas de acordo com a regra. Prática recomendada: para obter informações sobre a criação de regras de proteção de acesso para a proteção contra, consulte o artigo PD Tabela 3-4 Opções Seção Opção Definição PROTEÇÃO DE ACESSO Ativar proteção de acesso Ativa o recurso da Proteção de acesso. 94 McAfee Endpoint Security 10.2 Guia do produto

95 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças 3 Tabela 3-5 Opções avançadas Seção Exclusões Regras Opção Descrição Permite o acesso aos processos especificados, também designados como executáveis, para todas as regras. Adicionar Adiciona um processo à lista de exclusão. Clicar duas vezes em um item Modifica o item selecionado. Excluir Exclui o item selecionado. Duplicar Cria uma cópia do item selecionado. Configura as regras de proteção de acesso. Você pode ativar, desativar e alterar as regras definidas pela McAfee, mas não é possível excluí-las. Adicionar - Cria uma regra personalizada e adiciona-a à lista. Clicar duas vezes em um item - Modifica o item selecionado. Excluir - Exclui o item selecionado. Duplicar - Cria uma cópia do item selecionado. Bloquear (somente) Bloqueia as tentativas de acesso sem registrá-las em log. Relatar (somente) - Avisa sobre tentativas de acesso sem bloqueá-las. Bloquear e Relatar - Bloqueia e registra em log as tentativas de acesso. Prática recomendada: quando o impacto total de uma regra não for conhecido, selecione Relatar, mas não Bloquear, para receber um aviso sem bloquear as tentativas de acesso. Para determinar se o acesso deve ser bloqueado, monitore os logs e os relatórios. Para bloquear ou relatar tudo, selecione Bloquear ou Relatar na primeira linha. Para desativar a regra, desmarque Bloquear e Relatar. Consulte também Configurar regras de proteção de acesso definidas pela McAfee na página 69 Configurar regras de proteção de acesso definidas pelo usuário na página 74 Página Adicionar regra ou Editar regra na página 95 Regras de proteção de acesso definidas pela McAfee na página 71 Página Adicionar regra ou Editar regra Adicionar ou editar regras de proteção de acesso definidas pelo usuário. McAfee Endpoint Security 10.2 Guia do produto 95

96 3 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças Tabela 3-6 Opções Seção Opção Definição Opções Nome Especifica ou indica o nome da regra. (Obrigatório) Ação Especifica as ações da regra. Bloquear (somente) - Bloqueia as tentativas de acesso sem registrá-las em log. Relatar (somente) - Avisa sobre tentativas de acesso sem bloqueá-las. Bloquear e Relatar Bloqueia e registra em log as tentativas de acesso. Prática recomendada: quando o impacto total de uma regra não for conhecido, selecione Relatar, mas não Bloquear, para receber um aviso sem bloquear as tentativas de acesso. Para determinar se o acesso deve ser bloqueado, monitore os logs e os relatórios. Para bloquear ou relatar tudo, selecione Bloquear ou Relatar na primeira linha. Para desativar a regra, desmarque Bloquear e Relatar. Executáveis Nomes de usuário Sub-regras Notas Especifica os executáveis para a regra. Adicionar - Cria um executável e adiciona-o à lista. Clicar duas vezes em um item - Modifica o item selecionado. Excluir Exclui o item selecionado. Duplicar Cria uma cópia do item selecionado. Alternar status de inclusão Altera o status de inclusão do item entre Incluir e Excluir. Especifica os nomes de usuário aos quais a regra se aplica (apenas para regras definidas pelo usuário). Adicionar Seleciona um nome de usuário e o adiciona à lista. Clicar duas vezes em um item - Modifica o item selecionado. Excluir Exclui o item selecionado. Duplicar Cria uma cópia do item selecionado. Alternar status de inclusão Altera o status de inclusão do item entre Incluir e Excluir. Configurar sub-regras (apenas para regras definidas pelo usuário). Adicionar Cria uma sub-regra e a adiciona à lista. Clicar duas vezes em um item - Modifica o item selecionado. Excluir Exclui o item selecionado. Duplicar Cria uma cópia do item selecionado. Apresenta mais informações sobre o item. Consulte também Adicionar executável ou Editar executável na página 105 Adicionar nome de usuário ou Editar nome de usuário na página 97 Adicionar sub-regra ou Editar sub-regra na página McAfee Endpoint Security 10.2 Guia do produto

97 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças 3 Adicionar nome de usuário ou Editar nome de usuário Adicionar ou editar o usuário ao qual a regra se aplica (apenas para regras definidas pelo usuário). Tabela 3-7 Opções Opção Nome Status de inclusão Definição Especifica o nome do usuário ao qual a regra se aplica. Use este formato para especificar o usuário: Usuário local As entradas válidas incluem: <nome_da_máquina>\<nome_do_usuário_local>.\<nome_do_usuário_local>.\administrator (para o administrador local) Usuário de domínio <nome do domínio>\<nome_do_usuário do domínio> Sistema local Local\System especifica a conta NT AUTHORITY\System no sistema. Especifica o status de inclusão para o usuário. Incluir Dispara a regra se o usuário especificado executar o executável que viola uma sub-regra. Excluir Não dispara a regra se o usuário especificado executar o executável que viola uma sub-regra. Consulte também Página Adicionar regra ou Editar regra na página 95 Adicionar sub-regra ou Editar sub-regra Adicionar ou editar uma sub-regra (apenas para regras definidas pelo usuário). Tabela 3-8 Opções Seção Opção Definição Descrição Nome Especifica o nome da sub-regra. Propriedades Tipo de sub-regra Especifica o tipo de sub-regra. A alteração do tipo de sub-regra remove quaisquer entradas previamente definidas na tabela de destinos. Arquivos Protege um arquivo ou diretório. Por exemplo, criar uma regra personalizada para bloquear ou relatar as tentativas de excluir uma planilha do Excel que contém informações sigilosas. Chave de registro - Protege a chave especificada. A chave de registro é o local onde o valor de registro é armazenado. Por exemplo, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run. Valor de registro Protege o valor especificado. Os valores de Registro são armazenados nas chaves de registro e são referenciados separadamente das chaves de Registro. Por exemplo, HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Run\Autorun. Processos Protege o processo especificado. Por exemplo, crie uma regra personalizada para bloquear ou relatar tentativas de operações em um processo. McAfee Endpoint Security 10.2 Guia do produto 97

98 3 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças Tabela 3-8 Opções (continuação) Seção Opção Definição Operações Indica as operações permitidas com o tipo de sub-regra. Você deve especificar pelo menos uma operação para aplicar à sub-regra. Arquivos: Prática recomendada: para evitar impactos no desempenho, não selecione a operação Ler. Alterar atributos somente leitura ou ocultos Bloqueia ou relata alterações nos atributos dos arquivos na pasta especificada. Criar Bloqueia ou relata a criação de arquivos na pasta especificada. Excluir Bloqueia ou relata a exclusão de arquivos na pasta especificada. Executar Bloqueia ou relata a execução de arquivos na pasta especificada. Alterar permissões Bloqueia ou relata a alteração de configurações de permissões de arquivos na pasta especificada. Ler Bloqueia ou relata o acesso de leitura aos arquivos especificados. Renomear Bloqueia ou relata o acesso para renomeação aos arquivos especificados. 98 McAfee Endpoint Security 10.2 Guia do produto

99 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças 3 Tabela 3-8 Opções (continuação) Seção Opção Definição Se o destino Arquivo de destino for especificado, Renomear será a única operação válida. Gravar Bloqueia ou relata o acesso para gravação aos arquivos especificados. Chave de Registro: Gravar Bloqueia ou relata o acesso para gravação à chave especificada. Criar Bloqueia ou relata a criação da chave especificada. Excluir Bloqueia ou relata a exclusão da chave especificada. Ler Bloqueia ou relata o acesso de leitura à chave especificada. Enumerar Bloqueia ou relata a enumeração das subchaves da chave de Registro especificada. Carregar Bloqueia ou relata a capacidade de descarregar a chave de Registro especificada e suas subchaves de Registro. Substituir Bloqueia ou relata a substituição da chave de Registro especificada e suas subchaves por outro arquivo. Restaurar Bloqueia ou relata a capacidade de salvar informações do Registro em um arquivo especificado e cópias na chave especificada. Alterar permissões Bloqueia ou relata a alteração de configurações de permissões da chave de Registro especificada e suas subchaves. Valor do Registro: Gravar Bloqueia ou relata o acesso para gravação ao valor especificado. Criar Bloqueia ou relata a criação do valor especificado. Excluir Bloqueia ou relata a exclusão do valor especificado. Ler Bloqueia ou relata o acesso de leitura ao valor especificado. Processos: Qualquer acesso Bloqueia ou relata a abertura do processo com qualquer acesso. Criar um thread Bloqueia ou relata a abertura do processo com acesso para criar um thread. Modificar Bloqueia ou relata a abertura do processo com acesso para modificar. Encerrar Bloqueia ou relata a abertura do processo com acesso para encerrar. Executar Bloqueia ou relata a execução do executável de destino especificado. Você deve adicionar pelo menos um executável de destino à regra. Para a operação Executar, um evento é gerado quando é feita uma tentativa de executar o processo de destino. Para todas as outras operações, um evento é gerado quando o destino é aberto. Destinos Adicionar Especifica os destinos da regra. Os destinos podem variar de acordo com a seleção do tipo de regra. Você deve adicionar pelo menos um destino à sub-regra. McAfee Endpoint Security 10.2 Guia do produto 99

100 3 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças Tabela 3-8 Opções (continuação) Seção Opção Definição Clique em Adicionar, selecione o status de inclusão e digite ou selecione o destino que deseja incluir ou excluir. Clicar duas vezes em um item Modifica o item selecionado. Excluir Exclui o item selecionado. Consulte também Página Adicionar regra ou Editar regra na página 95 Página na página 101 Adicionar executável ou Editar executável na página McAfee Endpoint Security 10.2 Guia do produto

101 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças 3 Página Especificar o status de inclusão e a definição de um destino. Tabela 3-9 Opções Seção Opção Definição Destinos Determina se o destino tem uma correspondência positiva em relação à sub-regra. Também especifica o status de inclusão para o destino. Incluir Indica que a sub-regra pode corresponder ao destino especificado. Excluir Indica que a sub-regra não deve corresponder ao destino especificado. Se você tiver selecionado o tipo de sub-regra Arquivos... Especifica o nome do arquivo, o nome da pasta, o caminho ou o destino do tipo de unidade para uma sub-regra Arquivos. Caminho do arquivo Navegue para selecionar o arquivo. Arquivo de destino Navegue para selecionar o caminho ou o nome do arquivo de destino para uma operação Renomear. Se o destino do Arquivo de destino estiver selecionado, (apenas) a operação Renomear deverá ser selecionada. Tipo de unidade Selecione o destino do tipo de unidade na lista suspensa: Removível Arquivos em uma unidade USB ou outra unidade removível conectada a uma porta USB, incluindo aquelas com o Windows To Go McAfee Endpoint Security 10.2 Guia do produto 101

102 3 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças Tabela 3-9 Opções (continuação) Seção Opção Definição instalado. Este tipo de unidade não inclui arquivos em CD, DVD ou disquete. Bloquear esse tipo de unidade também bloqueia as unidades com o Windows To Go instalado. Rede Arquivos em um compartilhamento de rede. Fixo Arquivos no disco rígido local ou em outro disco rígido fixo. CD/DVD Arquivos em um CD ou DVD. Disquete Arquivos em um disquete. Você pode usar?, * e ** como caracteres curinga. Práticas recomendadas para destinos da sub-regra Arquivos Por exemplo, para proteger: Um arquivo ou uma pasta chamado(a) c:\testap, use um destino c: \testap ou c:\testap\ O conteúdo de uma pasta, use o caractere curinga asterisco c:\testap \* O conteúdo de uma pasta e suas subpastas, use dois asteriscos c: \testap\** Há suporte para variáveis de ambiente do sistema. As variáveis de ambiente podem ser especificadas em um dos seguintes formatos: $(EnvVar) - $(SystemDrive), $(SystemRoot) %EnvVar% - %SystemRoot%, %SystemDrive% Nem todas as variáveis de ambiente definidas pelo sistema podem ser acessadas usando a sintaxe $(var), especificamente aquelas que contêm os caracteres or. Você pode usar a sintaxe %var% para evitar este problema. Não há suporte para variáveis do ambiente do usuário. 102 McAfee Endpoint Security 10.2 Guia do produto

103 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças 3 Tabela 3-9 Opções (continuação) Seção Opção Definição Se você tiver selecionado o tipo de sub-regra Chave de Registro... Define chaves de Registro usando chaves raiz. Estas chaves root são suportadas: HKLM ou HKEY_LOCAL_MACHINE HKCU ou HKEY_CURRENT_USER HKCR ou HKEY_CLASSES_ROOT HKCCS corresponde a HKLM/SYSTEM/CurrentControlSet e HKLM/SYSTEM/ ControlSet00X HKLMS corresponde a HKLM/Software em sistemas de 32 e 64 bits, e a HKLM/Software/Wow6432Node somente em sistemas de 64 bits HKCUS corresponde a HKCU/Software em sistemas de 32 e 64 bits, e a HKCU/Software/Wow6432Node somente em sistemas de 64 bits HKULM tratado tanto como HKLM e HKCU HKULMS tratado tanto como HKLMS e HKCUS HKALL tratado tanto como HKLM e HKU Você pode usar?, * e ** como caracteres curinga e (barra vertical) como um caractere de escape. Práticas recomendadas para destinos da sub-regra Chave de Registro Por exemplo, para proteger: Uma chave de Registro chamada HKLM\SOFTWARE\testap, use um destino HKLM\SOFTWARE\testap ou HKLM\SOFTWARE\testap\ O conteúdo de uma chave de Registro, use o caractere curinga asterisco HKLM\SOFTWARE\testap\* O conteúdo de uma chave de Registro e suas subchaves, use dois asteriscos HKLM\SOFTWARE\testap\** Chaves de Registro e valores sob uma chave de Registro, ative a operação Gravar McAfee Endpoint Security 10.2 Guia do produto 103

104 3 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças Tabela 3-9 Opções (continuação) Seção Opção Definição Se você tiver selecionado o tipo de sub-regra Valor do Registro... Define valores de Registro usando chaves raiz. Estas chaves root são suportadas: HKLM ou HKEY_LOCAL_MACHINE HKCU ou HKEY_CURRENT_USER HKCR ou HKEY_CLASSES_ROOT HKCCS corresponde a HKLM/SYSTEM/CurrentControlSet e HKLM/SYSTEM/ ControlSet00X HKLMS corresponde a HKLM/Software em sistemas de 32 e 64 bits, e a HKLM/Software/Wow6432Node somente em sistemas de 64 bits HKCUS corresponde a HKCU/Software em sistemas de 32 e 64 bits, e a HKCU/Software/Wow6432Node somente em sistemas de 64 bits HKULM tratado tanto como HKLM e HKCU HKULMS tratado tanto como HKLMS e HKCUS HKALL tratado tanto como HKLM e HKU Você pode usar?, * e ** como caracteres curinga e (barra vertical) como um caractere de escape. Práticas recomendadas para destinos da sub-regra Valor de Registro Por exemplo, para proteger: Um valor de Registro chamado HKLM\SOFTWARE\testap, use um destino HKLM\SOFTWARE\testap Os valores de Registro sob uma chave de Registro, use o caractere curinga asterisco HKLM\SOFTWARE\testap\* Os valores de Registro sob uma chave de Registro e suas subchaves, use dois asteriscos HKLM\SOFTWARE\testap\** Se você tiver selecionado o tipo de sub-regra Processos... Especifica o nome do arquivo ou o caminho, o hash de MD5 ou o destino do signatário do processo para uma sub-regra Processos. Você pode usar?, * e ** como caracteres curinga para todos, com exceção do hash de MD5. Práticas recomendadas para destinos da sub-regra Processos Por exemplo, para proteger: Um processo chamado c:\testap.exe use um nome de arquivo ou caminho de destino c:\testap.exe Todos os processos de uma pasta, use o caractere curinga asterisco c: \testap\* Todos os processos de uma pasta e suas subpastas, use dois asteriscos c:\testap\** Consulte também Adicionar sub-regra ou Editar sub-regra na página McAfee Endpoint Security 10.2 Guia do produto

105 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças 3 Adicionar executável ou Editar executável Adicionar ou editar um executável a ser excluído ou incluído. Para a Proteção de acesso da Prevenção contra ameaças, você pode excluir executáveis no nível da política ou pode incluí-los ou excluí-los no nível da regra. Para o Confinamento dinâmico de aplicativos da Inteligência contra ameaças, você pode excluir executáveis no nível da política. Ao especificar exclusões e inclusões, considere o seguinte: Você deve especificar pelo menos um identificador: Nome ou caminho do arquivo, Hash de MD5 ou Signatário. Se você especificar mais de um identificador, todos os identificadores se aplicarão. Se você especificar mais de um identificador e eles não forem correspondentes (por exemplo, o nome do arquivo e o hash de MD5 não se aplicarem ao mesmo arquivo), a exclusão ou inclusão será inválida. As exclusões e inclusões não diferenciam letras maiúsculas de minúsculas. É permitido o uso de caracteres curinga para todos, exceto para o hash de MD5. Tabela 3-10 Opções Opção Nome Status de inclusão Nome do arquivo ou caminho Hash de MD5 Definição Especifica o nome pelo qual você chama o executável. Este campo é necessário com, pelo menos, mais um campo: Nome do arquivo ou caminho, Hash de MD5 ou Assinante. Determina o status de inclusão do executável. Incluir Dispara a regra se o executável violar uma sub-regra. Excluir Não dispara a regra se o executável violar uma sub-regra. O Status de inclusão é exibido para a Proteção de acesso da Prevenção contra ameaças apenas durante a adição de um executável a uma regra ou ao destino para a sub-regra Processos. Especifica o nome ou o caminho do arquivo para o executável a ser adicionado ou editado. Clique em Procurar para selecionar o executável. O caminho do arquivo pode incluir caracteres curinga. Indica o hash de MD5 (número hexadecimal de 32 dígitos) do processo. McAfee Endpoint Security 10.2 Guia do produto 105

106 3 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças Tabela 3-10 Opções (continuação) Opção Assinante Definição Ativar a verificação da assinatura digital - Garante que o código não foi alterado ou corrompido desde que foi assinado com um hash criptográfico. Se ativado, especifique: Permitir qualquer assinatura Permite arquivos assinados por qualquer signatário de processo. Assinado por Permite apenas arquivos assinados pelo signatário do processo especificado. É obrigatório um nome distinto de signatário (SDN) para o executável e ele deve corresponder exatamente às entradas no campo acompanhante, incluindo vírgulas e espaços. O signatário do processo é exibido no formato correto nos eventos do Log de eventos do Cliente do Endpoint Security e do Log de eventos de ameaça do McAfee epo. Por exemplo: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Para obter um SDN de um executável: 1 Clique com o botão direito em um executável e selecione Propriedades. 2 Na guia Assinaturas digitais, selecione um signatário e clique em Detalhes. 3 Na guia Geral, clique em Exibir certificado. 4 Na guia Detalhes, selecione o campo Assunto. É exibido o nome diferenciado do signatário. Por exemplo, o Firefox possui este nome diferenciado de signatário: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = Califórnia C = EUA Notas Apresenta mais informações sobre o item. Consulte também Página Adicionar regra ou Editar regra na página 95 Prevenção contra ameaças Prevenção de exploração Ativar e configurar a Prevenção de exploração para impedir que explorações de estouro de buffer executem códigos arbitrários em seu computador. Consulte as configurações do módulo Em Comum para verificar a configuração de registro em log. O Host Intrusion Prevention 8.0 pode ser instalado no mesmo sistema que o Endpoint Security Se o McAfee Host IPS estiver ativado, a Prevenção de exploração será desativada, mesmo se estiver ativada nas configurações de política. 106 McAfee Endpoint Security 10.2 Guia do produto

107 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças 3 Tabela 3-11 Opções Seção Opção Definição PREVENÇÃO DE EXPLORAÇÃO Ativar Prevenção de exploração Ativa o recurso de Prevenção de exploração. Se essa opção não for ativada, o sistema ficará desprotegido contra ataques de malware. Tabela 3-12 Opções avançadas Seção Opção Definição Nível de proteção Padrão Especifica o nível de proteção da Prevenção de exploração. Detecta e bloqueia apenas explorações de estouro de buffer de alta gravidade identificadas no arquivo de conteúdo da Prevenção de exploração e interrompe a ameaça detectada. Use o recurso no modo Padrão por um curto período. Analise o arquivo de log durante esse período para determinar se é necessário alterar para a proteção máxima. Prevenção contra escalonamento de privilégios genéricos Prevenção de execução de dados do Windows Ação Máximo Ativar prevenção contra escalonamento de privilégios genéricos Ativar a prevenção de execução de dados do Windows Detecta e bloqueia explorações de estouro de buffer de alta e média gravidade identificadas no arquivo de conteúdo de prevenção de exploração e interrompe a ameaça detectada. Essa configuração pode resultar em falsos positivos. Ativa o suporte à GPEP (Generic Privilege Escalation Prevention - Prevenção contra escalonamento de privilégios genéricos). (Desativado por padrão) A GPEP usa assinaturas de GPEP no Conteúdo de prevenção de exploração para fornecer cobertura para explorações de escalonamento de privilégios no modo kernel e no modo de usuário. Como a GPEP pode gerar relatórios com falsos positivos, essa opção é desativada por padrão. Ativa a integração da DEP (Data Execution Prevention - Prevenção de execução de dados) do Windows. (Desativado por padrão) Selecione esta opção para: Ativar a DEP para aplicativos de 32 bits na lista de proteção de aplicativos da McAfee, se ainda não estiver ativada, e utilizá-la no lugar da GBOP (Generic Buffer Overflow Protection - Proteção contra estouro de buffer genérico). A validação do chamador e o monitoramento de API de destino ainda são impostos. Monitorar detecções de DEP em aplicativos de 32 bits compatíveis com DEP. Monitorar detecções de DEP em aplicativos de 64 bits na lista de proteção de aplicativos da McAfee. Registrar em log todas as detecções de DEP e enviar um evento para o McAfee epo. A desativação dessa opção não afeta nenhum processo que tenha a DEP ativada como resultado da política de DEP do Windows. Especifica as ações Bloquear ou Relatar para Prevenção de exploração. A configuração de relatório não é aplicável quando a Prevenção de Execução de Dados do Windows está ativada. McAfee Endpoint Security 10.2 Guia do produto 107

108 3 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças Tabela 3-12 Opções avançadas (continuação) Seção Opção Definição Bloquear Bloqueia o processo especificado. Selecione Bloquear para ativar a Prevenção de exploração ou cancele a seleção para desativar a Prevenção de exploração. Para bloquear as tentativas de acesso sem registrá-las em log, selecione Bloquear, mas não selecione Relatar. Relatar Permite relatar as tentativas de violação da Prevenção de exploração. Quando ocorre uma detecção, as informações são armazenadas no log de atividades. Prática recomendada: quando o impacto total de uma regra não for conhecido, selecione Relatar, mas não Bloquear, para receber um aviso sem bloquear as tentativas de acesso. Para determinar se o acesso deve ser bloqueado, monitore os logs e os relatórios. Exclusões Especifica o processo, o módulo do chamador ou a API a excluir. As exclusões com Módulo do chamador ou API não se aplicam ao DEP. Adicionar Cria uma exclusão e a adiciona à lista. Clicar duas vezes em um item - Modifica o item selecionado. Excluir Exclui o item selecionado. Duplicar Cria uma cópia do item selecionado. Consulte também Configurar definições da de Prevenção de exploração na página 78 Adicionar exclusão ou Editar exclusão na página 108 Adicionar exclusão ou Editar exclusão Adicionar ou editar uma exclusão da Prevenção de exploração. Você deve especificar pelo menos um processo, módulo do chamador ou API. As exclusões com Módulo do chamador ou API não se aplicam à DEP. Ao especificar exclusões, considere o seguinte: Você deve especificar pelo menos um identificador: Nome ou caminho do arquivo, Hash de MD5 ou Signatário. Se você especificar mais de um identificador, todos os identificadores se aplicarão à exclusão. Se você especificar mais de um identificador e eles não forem correspondentes (por exemplo, o nome do arquivo e o hash de MD5 não se aplicarem ao mesmo arquivo), a exclusão será inválida. As exclusões não diferenciam letras maiúsculas de minúsculas. É permitido o uso de caracteres curinga para todos, exceto para o hash de MD McAfee Endpoint Security 10.2 Guia do produto

109 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças 3 Tabela 3-13 Opções Seção Opção Definição Processo Nome Especifica o nome do processo a ser excluído. A Prevenção de exploração exclui o processo independentemente de onde ele estiver localizado. Este campo é necessário com, pelo menos, mais um campo: Nome do arquivo ou caminho, Hash de MD5 ou Assinante. Nome do arquivo ou caminho Hash de MD5 Assinante Especifica o nome ou o caminho do arquivo para o executável a ser adicionado ou editado. Clique em Procurar para selecionar o executável. Indica o hash de MD5 (número hexadecimal de 32 dígitos) do processo. Ativar a verificação da assinatura digital - Garante que o código não foi alterado ou corrompido desde que foi assinado com um hash criptográfico. Se ativado, especifique: Permitir qualquer assinatura Permite arquivos assinados por qualquer signatário de processo. Assinado por Permite apenas arquivos assinados pelo signatário do processo especificado. É obrigatório um nome distinto de signatário (SDN) para o executável e ele deve corresponder exatamente às entradas no campo acompanhante, incluindo vírgulas e espaços. O signatário do processo é exibido no formato correto nos eventos do Log de eventos do Cliente do Endpoint Security e do Log de eventos de ameaça do McAfee epo. Por exemplo: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Para obter um SDN de um executável: 1 Clique com o botão direito em um executável e selecione Propriedades. Módulo do chamador Nome Nome do arquivo ou caminho Hash de MD5 2 Na guia Assinaturas digitais, selecione um signatário e clique em Detalhes. 3 Na guia Geral, clique em Exibir certificado. 4 Na guia Detalhes, selecione o campo Assunto. É exibido o nome diferenciado do signatário. Por exemplo, o Firefox possui este nome diferenciado de signatário: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = Califórnia C = EUA Especifica o nome do módulo que é proprietário da memória gravável que está fazendo a chamada. Este campo é necessário com, pelo menos, um outro campo: Nome do arquivo ou caminho, Hash de MD5 ou Assinante. Especifica o nome ou o caminho do arquivo para o executável a ser adicionado ou editado. Clique em Procurar para selecionar o executável. Indica o hash de MD5 (número hexadecimal de 32 dígitos) do processo. McAfee Endpoint Security 10.2 Guia do produto 109

110 3 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças Tabela 3-13 Opções (continuação) Seção Opção Definição Assinante Ativar a verificação da assinatura digital - Garante que o código não foi alterado ou corrompido desde que foi assinado com um hash criptográfico. Se ativado, especifique: Permitir qualquer assinatura Permite arquivos assinados por qualquer signatário de processo. Assinado por Permite apenas arquivos assinados pelo signatário do processo especificado. É obrigatório um nome distinto de signatário (SDN) para o executável e ele deve corresponder exatamente às entradas no campo acompanhante, incluindo vírgulas e espaços. O signatário do processo é exibido no formato correto nos eventos do Log de eventos do Cliente do Endpoint Security e do Log de eventos de ameaça do McAfee epo. Por exemplo: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Para obter um SDN de um executável: 1 Clique com o botão direito em um executável e selecione Propriedades. 2 Na guia Assinaturas digitais, selecione um signatário e clique em Detalhes. 3 Na guia Geral, clique em Exibir certificado. 4 Na guia Detalhes, selecione o campo Assunto. É exibido o nome diferenciado do signatário. Por exemplo, o Firefox possui este nome diferenciado de signatário: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = Califórnia C = EUA API Nome Especifica o nome da API (Application Programming Interface - Interface de programação do aplicativo) que está sendo chamada. Notas Apresenta mais informações sobre o item. Consulte também Prevenção contra ameaças Prevenção de exploração na página 106 Exclusão de processos da Prevenção de exploração na página 78 Prevenção contra ameaças Varredura ao acessar Ative e configure as definições da varredura ao acessar. Consulte as configurações do módulo Em Comum para verificar a configuração de registro em log. 110 McAfee Endpoint Security 10.2 Guia do produto

111 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças 3 Tabela 3-14 Opções Seção Opção Definição VARREDURA AO ACESSAR Ativar varredura ao acessar Ativar varredura ao acessar na inicialização do sistema Especifique o número máximo de segundos para cada varredura de arquivo Ativa o recurso de Varredura ao acessar. (Ativado por padrão) Ativa o recurso de Varredura ao acessar cada vez que você inicia o computador. (Ativado por padrão) Limita cada varredura de arquivo ao número especificado de segundos. (Ativado por padrão) O valor padrão é 45 minutos. Se a varredura exceder o limite de tempo, será interrompida e registrará em log uma mensagem. Varrer setores de inicialização Examina o setor de inicialização do disco. (Ativado por padrão) Prática recomendada: desativar a varredura do setor de inicialização quando um disco contiver um setor de inicialização exclusivo ou atípico que não puder ser varrido. Processos de varredura na inicialização do serviço e na atualização de conteúdo Varre novamente todos os processos que estão atualmente na memória todas as vezes que: Você ativa novamente as varreduras ao acessar. Os arquivos de conteúdo são atualizados. O sistema é iniciado. O processo McShield.exe é iniciado. Prática recomendada: como alguns programas ou executáveis são iniciados automaticamente quando você inicializa o sistema, desative esta opção para melhorar o tempo de inicialização do sistema. (Desativado por padrão) Quando o mecanismo de varredura ao acessar é ativado, ele sempre varre todos os processos quando são executados. Varrer instaladores confiáveis Varre arquivos MSI (instalados pelo msiexec.exe e assinados pela McAfee ou pela Microsoft) ou arquivos do serviço Instalador confiável do Windows. (Desativado por padrão) Prática recomendada: desativar esta opção para melhorar o desempenho dos instaladores de aplicativos grandes da Microsoft. McAfee Endpoint Security 10.2 Guia do produto 111

112 3 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças Tabela 3-14 Opções (continuação) Seção Opção Definição McAfee GTI Varrer ao copiar entre pastas locais Varre os arquivos sempre que o usuário faz uma cópia de uma pasta local para outra. Se essa opção está: Desativado Apenas os itens na pasta de destino são examinados. Ativado São examinados tanto os itens da pasta de origem (leitura) quanto da pasta de destino (gravação). (Desativado por padrão) Ativa e define as configurações do McAfee GTI. ScriptScan Ativar ScriptScan Ativa a varredura de scripts JavaScript e VBScript para impedir que scripts indesejados sejam executados. (Ativado por padrão) Se o ScriptScan estiver desativado quando o Internet Explorer for iniciado e, depois, for ativado, ele não detectará scripts maliciosos nessa instância do Internet Explorer. É preciso reiniciar o Internet Explorer depois de ativar a opção ScriptScan para que ela detecte scripts maliciosos. Excluir estes URLs Especifica exclusões do ScriptScan por URL. Adicionar - Adiciona um URL à lista de exclusões. Excluir - Remove um URL da lista de exclusões. Os URLs não podem incluir caracteres curinga. Contudo, qualquer URL que contenha uma cadeia de um URL excluído também será excluído. Por exemplo, se o URL msn.com for excluído, os seguintes URLs também serão excluídos: Nos sistemas Windows Server 2008, as exclusões de URL do ScriptScan não funcionam com o Internet Explorer a menos que você ative as extensões de navegador de terceiros e reinicie o sistema. Consulte o artigo KB69526 da Base de dados de conhecimento. 112 McAfee Endpoint Security 10.2 Guia do produto

113 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças 3 Tabela 3-15 Opções avançadas Seção Opção Definição Mensagens para usuários ao detectar ameaças Exibir aos usuários a janela Varredura ao acessar quando uma ameaça for detectada Exibe a página Varredura ao acessar com a mensagem especificada aos usuários do cliente no caso de detecção. (Ativado por padrão) Quando essa opção está selecionada, os usuários podem abrir essa página a partir da página Varrer agora a qualquer momento quando a lista de detecção incluir pelo menos uma ameaça. A lista de detecções da varredura ao acessar é eliminada quando o serviço Endpoint Security reinicia ou na reinicialização do sistema. Configurações de processo Varrendo Mensagem Usar configurações padrão em todos os processos Definir configurações diferentes para processos de alto risco e baixo risco Padrão Alto risco Baixo risco Adicionar Excluir Quando varrer Ao gravar no disco Ao ler o disco Deixar o McAfee decidir Especifica a mensagem a exibir aos usuários do cliente no caso de uma detecção. A mensagem padrão é: O McAfee Endpoint Security detectou uma ameaça. Aplica as mesmas definições configuradas para todos os processos ao executar uma varredura ao acessar. Configura definições de varredura diferentes para cada tipo de processo que você identifica. Configura as definições dos processos que não são identificados nem como de alto risco nem como de baixo risco. (Ativado por padrão) Configura as definições dos processos de alto risco. Configura as definições dos processos de baixo risco. Adiciona um processo à lista de Alto risco ou Baixo risco. Remove um processo da lista Alto risco ou Baixo risco. Tenta varrer todos os arquivos quando são gravados ou alterados no computador ou em outro dispositivo de armazenamento de dados. Examina todos os arquivos à medida que são lidos no computador ou em outro dispositivo de armazenamento de dados. Permite que a McAfee decida se um arquivo deve ser examinado, usando lógica de confiança para otimizar a varredura. A lógica de confiança melhora sua segurança e impulsiona o desempenho evitando varreduras desnecessárias. Prática recomendada: ativar esta opção para ter o máximo de proteção e desempenho. Não varrer ao ler ou gravar em disco O que varrer Especifica que apenas os processos de Baixo risco não sejam examinados. McAfee Endpoint Security 10.2 Guia do produto 113

114 3 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças Tabela 3-15 Opções avançadas (continuação) Seção Opção Definição Todos os arquivos Varre todos os arquivos, independentemente da extensão. Se a opção Todos os arquivos não for ativada, seu sistema ficará vulnerável a ataques de malware. Tipos de arquivo padrão e especificados Somente tipos de arquivo especificados Nas unidades da rede Varreduras: A lista padrão de extensões de arquivos definida no arquivo atual de conteúdo do AMCore, incluindo arquivos sem extensão Quaisquer extensões de arquivo adicionais que você especificar Extensões separadas por uma vírgula. (Opcional) Ameaças de macro conhecidas na lista de padrões e extensões de arquivos especificadas Varre um ou ambos: Somente os arquivos com as extensões (separadas por vírgulas) especificadas por você Todos os arquivos sem extensão Varre os recursos em unidades de rede mapeadas. Prática recomendada: desativar esta opção para melhorar o desempenho. Abertos para backup Varre arquivos quando acessados pelo software de backup. Prática recomendada: para a maioria dos ambientes, não é necessário ativar esta configuração. Arquivos mortos compactados Examina o conteúdo de arquivos (compactados) do arquivamento, incluindo arquivos.jar. A varredura de arquivos compactados pode afetar negativamente o desempenho do sistema. Arquivos codificados por MIME compactados Opções de varredura adicionais Detectar programas indesejados Detecta, decodifica e varre faz a varredura de arquivos codificados por MIME (Multipurpose Internet Mail Extensions). Ativa o mecanismo de varredura para detectar programas potencialmente indesejados. O mecanismo de varredura usa as informações que você configurou nas definições de Opções da Prevenção contra ameaças para detectar programas potencialmente indesejados. Ações Detectar ameaças de programas desconhecidos Detectar ameaças de macro desconhecidas Usa o McAfee GTI para detectar arquivos executáveis que tenham códigos semelhantes a malware. Usa o McAfee GTI para detectar vírus de macro desconhecidos. Especifique como o mecanismo de varredura responde ao detectar uma ameaça. 114 McAfee Endpoint Security 10.2 Guia do produto

115 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças 3 Tabela 3-15 Opções avançadas (continuação) Seção Opção Definição Exclusões Adicionar Excluir Especifica arquivos, pastas e unidades a serem excluídas da varredura. Adiciona um item à lista de exclusões. Remove um item da lista de exclusão. Consulte também Configurar as definições de de Varredura ao acessar na página 82 McAfee GTI na página 120 Ações na página 121 Adicionar exclusão ou Editar exclusão na página 123 Prevenção contra ameaças Varredura por solicitação Define as configurações de Varredura por solicitação das varreduras pré-configuradas e personalizadas que são executadas em seu sistema. Consulte as configurações do módulo Em Comum para verificar a configuração de registro em log. Essas configurações especificam o comportamento do mecanismo de varredura quando você: Seleciona Varredura completa ou Varredura rápida na página Varrer agora no Cliente do Endpoint Security. Como administrador, executa uma tarefa de varredura por solicitação personalizada em Configurações Em Comum Tarefas no Cliente do Endpoint Security. Clique com o botão direito em um arquivo ou pasta e selecione Fazer varredura para encontrar ameaças no menu pop-up. Tabela 3-16 Opções Seção Opção Definição O que varrer Setores de inicialização Arquivos migrados para o armazenamento Examina o setor de inicialização do disco. Prática recomendada: desativar a varredura do setor de inicialização quando um disco contiver um setor de inicialização exclusivo ou atípico que não puder ser varrido. Varre arquivos gerenciados pelo Armazenamento remoto. Algumas soluções de armazenamento de dados off-line substituem arquivos com um arquivo stub. Quando o mecanismo de varredura encontra um arquivo stub, indicando que o arquivo foi migrado, o mecanismo restaura o arquivo para o sistema local antes da varredura. É recomendável desativar esta opção. Arquivos codificados por MIME compactados Arquivos mortos compactados Detecta, decodifica e varre faz a varredura de arquivos codificados por MIME (Multipurpose Internet Mail Extensions). Examina o conteúdo de arquivos (compactados) do arquivamento, incluindo arquivos.jar. Prática recomendada: use esta opção em varreduras fora do horário comercial, quando o sistema não está sendo usado, pois a varredura de arquivos compactados pode afetar negativamente o desempenho. McAfee Endpoint Security 10.2 Guia do produto 115

116 3 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças Tabela 3-16 Opções (continuação) Seção Opção Definição Opções de varredura adicionais Subpastas (somente Varredura por clique no botão direito) Detectar programas indesejados Examina todas as subpastas da pasta especificada. Ativa o mecanismo de varredura para detectar programas potencialmente indesejados. O mecanismo de varredura usa as informações que você configurou nas definições de Opções da Prevenção contra ameaças para detectar programas potencialmente indesejados. Locais de varredura Tipos de arquivo para varredura Detectar ameaças de programas desconhecidos Detectar ameaças de macro desconhecidas (Somente Varredura completa e Varredura rápida) Todos os arquivos Usa o McAfee GTI para detectar arquivos executáveis que tenham códigos semelhantes a malware. Usa o McAfee GTI para detectar vírus de macro desconhecidos. Especifica os locais a serem varridos. Essas opções são aplicáveis apenas à Varredura completa, à Varredura rápida e às varreduras personalizadas. Varre todos os arquivos, independentemente da extensão. A McAfee recomenda com veemência ativar Todos os arquivos. Se a opção Todos os arquivos não for ativada, seu sistema ficará vulnerável a ataques de malware. McAfee GTI Exclusões Ações Desempenho Tipos de arquivo padrão e especificados Somente tipos de arquivo especificados Adicionar Excluir Usar o cache de varredura Varreduras: A lista padrão de extensões de arquivos definida no arquivo atual de conteúdo do AMCore, incluindo arquivos sem extensão Quaisquer extensões de arquivo adicionais que você especificar Extensões separadas por uma vírgula. (Opcional) Ameaças de macro conhecidas na lista de padrões e extensões de arquivos especificadas Varre um ou ambos: Somente os arquivos com as extensões (separadas por vírgulas) especificadas por você Todos os arquivos sem extensão Ativa e define as configurações do McAfee GTI. Especifica arquivos, pastas e unidades a serem excluídas da varredura. Adiciona um item à lista de exclusões. Remove um item da lista de exclusão. Especifique como o mecanismo de varredura responde ao detectar uma ameaça. Permite que o mecanismo de varredura use os resultados de varredura limpos existentes. Selecione essa opção para reduzir o número de varreduras repetidas e melhorar o desempenho. 116 McAfee Endpoint Security 10.2 Guia do produto

117 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças 3 Tabela 3-16 Opções (continuação) Seção Opção Definição Utilização do sistema Permite que o sistema operacional especifique o período de tempo de CPU que o mecanismo de varredura recebe durante a varredura. Cada tarefa é executada de forma independente, sem levar em consideração os limites das outras tarefas. Baixo Fornece um desempenho aprimorado para outros aplicativos em execução. Prática recomendada: selecionar esta opção para sistemas com atividade de usuário final. Abaixo do normal Configura a utilização do sistema para varredura com o padrão do McAfee epo. Normal (Padrão) Permite que a varredura seja concluída com mais rapidez. Prática recomendada: selecionar esta opção para sistemas que tenham grandes volumes e pouca atividade de usuário final. Opções de varredura agendada Varrer apenas quando o sistema estiver ocioso Varrer a qualquer momento Essas opções são aplicáveis apenas à Varredura completa, à Varredura rápida e às varreduras personalizadas. Executa a varredura apenas quando o sistema está ocioso. A Prevenção contra ameaças pausa a varredura quando o usuário acessa o sistema usando o teclado ou o mouse. A Prevenção contra ameaças retoma a varredura quando o usuário (e a CPU) estiver ocioso por cinco minutos. Desative essa opção em sistemas de servidor e em sistemas que os usuários acessam usando apenas uma RDP (Remote Desktop Connection - Conexão de área de trabalho remota). A Prevenção contra ameaças depende do McTray para determinar se o sistema está ocioso. Em sistemas acessados apenas por RDP, o McTray não é iniciado e o mecanismo de varredura por solicitação jamais é executado. Para contornar esse problema, os usuários podem iniciar o McTray (em C:\Arquivos de programas\mcafee\agent \mctray.exe, por padrão) manualmente quando entrarem usando a RDP. Executa a varredura mesmo se o usuário estiver ativo e especifica as opções para a varredura. O usuário pode adiar varreduras Permite que o usuário adie varreduras agendadas e especifica opções para o adiamento da varredura. Número máximo de vezes que o usuário pode adiar em uma hora Especifica o número de vezes (de 1 a 23) que o usuário pode adiar a varredura em uma hora. Mensagem de usuários Especifica a mensagem a ser exibida quando uma varredura estiver prestes a começar. A mensagem padrão é: O McAfee Endpoint Security está prestes a varrer seu sistema. Duração da mensagem (segundos) - Especifica quanto tempo (em segundos) a mensagem de usuário aparece quando uma varredura está prestes a começar. O intervalo válido para a duração é de 30 a 300; o padrão é de 45 segundos. McAfee Endpoint Security 10.2 Guia do produto 117

118 3 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças Tabela 3-16 Opções (continuação) Seção Opção Definição Não varrer quando o sistema estiver no modo de bateria Não varrer quando o sistema estiver no modo de apresentação Adia a varredura quando o sistema está em modo de apresentação. Adia a varredura quando o sistema está utilizando baterias. Consulte também Configurar definições da política de na página 87 Configurar, agendar e executar tarefas de varredura na página 92 Executar uma Varredura completa ou uma Varredura rápida na página 58 Varrer um arquivo ou pasta na página 60 Varrer locais na página 118 McAfee GTI na página 120 Ações na página 121 Adicionar exclusão ou Editar exclusão na página 123 Varrer locais Especifica os locais a serem varridos. Essas opções são aplicáveis apenas à Varredura completa, à Varredura rápida e às varreduras personalizadas. Tabela 3-17 Opções Seção Opção Definição Locais de varredura Varrer subpastas Examina todas as subpastas dos volumes especificados quando uma das seguintes opções é selecionada: Pasta inicial Pasta de perfil do usuário Pasta de arquivos de programas Pasta temporária Arquivo ou pasta Desmarque essa opção para varrer apenas o nível raiz dos volumes. Especifique os locais Memória para rootkits Especifica os locais a serem varridos. Adicionar Adiciona um local para a varredura. Clique em Adicionar e selecione o local na lista suspensa. Clicar duas vezes em um item - Modifica o item selecionado. Excluir Remove um local da varredura. Selecione o local e clique em Excluir. Faz a varredura da memória do sistema para detectar rootkits instalados, processos ocultos e outros comportamentos que possam sugerir que algum malware esteja tentando se ocultar. Essa varredura ocorre antes de todas as outras. Se essa opção não for ativada, o sistema ficará desprotegido contra ataques de malware. 118 McAfee Endpoint Security 10.2 Guia do produto

119 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças 3 Tabela 3-17 Opções (continuação) Seção Opção Definição Processos em execução Faz a varredura da memória de todos os processos em execução. As ações que não sejam Limpar arquivos são tratadas como Continuar a varredura. Se essa opção não for ativada, o sistema ficará desprotegido contra ataques de malware. Arquivos registrados Meu computador Todas as unidades locais Todas as unidades fixas Todas as unidades removíveis Todas as unidades mapeadas Pasta inicial Pasta de perfil do usuário Pasta Windows Pasta de arquivos de programas Pasta temporária Lixeira Arquivo ou pasta Faz a varredura de arquivos com referência no registro do Windows. O mecanismo de varredura procura nomes de arquivo no registro, determina se o arquivo existe, cria uma lista de arquivos a varrer, depois examina os arquivos. Examina todas as unidades conectadas fisicamente ao computador ou com mapeamento lógico para uma letra de unidade no computador. Varre todas as unidades e suas subpastas no computador. Varre todas as unidades conectadas fisicamente ao computador. Varre todas as unidades removíveis ou outros dispositivos de armazenamento conectados ao computador, com exceção das unidades com o Windows To Go instalado. Varre as unidades de rede com mapeamento lógico para uma unidade de rede no computador. Varre a pasta inicial do usuário que começar a varredura. Varre o perfil do usuário que inicia a varredura, inclusive a pasta Meus documentos do usuário. Faz a varredura do conteúdo da pasta Windows. Varre o conteúdo da pasta Arquivos de programas. Varre o conteúdo da pasta temporária. Faz varredura do conteúdo da lixeira. Varre a pasta ou o arquivo especificado. Consulte também Prevenção contra ameaças Varredura por solicitação na página 115 McAfee Endpoint Security 10.2 Guia do produto 119

120 3 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças McAfee GTI Ativar e definir as configurações do McAfee GTI (Global Threat Intelligence). Tabela 3-18 Opções Seção Opção Definição Ativar o McAfee GTI Ativa e desativa verificações heurísticas. Quando ativado, impressões digitais de amostras, ou hashes, são enviadas ao McAfee Labs para determinar se são malware. Ao enviar hashes, a detecção pode ser disponibilizada antes da próxima liberação de arquivo de conteúdo do AMCore, quando o McAfee Labs publica a atualização. Quando desativado, nenhuma impressão digital ou dado é enviado ao McAfee Labs. Nível de sensibilidade Configura o nível de sensibilidade a ser usado ao determinar se uma amostra detectada é malware. Quanto mais alto o nível de sensibilidade, maior o número de detecções de malware. Contudo, a permissão de mais detecções pode resultar em mais falsos positivos. Muito baixo Baixo Médio As detecções e o risco de falsos positivos são os mesmos que com arquivos de conteúdo do AMCore regulares. Uma detecção é disponibilizada para a Prevenção contra ameaças quando o McAfee Labs a publica, em vez de esperar pela próxima atualização de arquivo de conteúdo do AMCore. Use essa configuração para desktops e servidores com direitos de usuário restritos e um forte requisito de espaço para segurança. Essa configuração resulta em uma média de consultas por dia, por computador. Essa configuração é a recomendação mínima para laptops ou desktops e servidores com um forte requisitos de espaço para segurança. Essa configuração resulta em uma média de consultas por dia, por computador. Use esse nível quando o risco regular de exposição a malware for maior que o risco de um falso positivo. As verificações heurísticas proprietárias do McAfee Labs resultam em detecções que possivelmente são malware. Contudo, algumas detecções podem resultar em falsos positivos. Com essa configuração, o McAfee Labs verifica que aplicativos populares e arquivos do sistema operacional não resultem em falsos positivos. Essa configuração é a recomendação mínima para laptops ou desktops e servidores. Essa configuração resulta em uma média de consultas por dia, por computador. 120 McAfee Endpoint Security 10.2 Guia do produto

121 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças 3 Tabela 3-18 Opções (continuação) Seção Opção Definição Alto Muito alto Use essa configuração para implementação em sistemas ou áreas que regularmente são infectados. Essa configuração resulta em uma média de consultas por dia, por computador. A McAfee recomenda que este nível seja usado apenas para realizar a varredura de volumes e diretórios que não oferecem suporte à execução de programas ou sistemas operacionais. Presume-se que as detecções encontradas com este nível sejam maliciosas, mas elas não foram inteiramente testadas para determinar se são falsos positivos. Prática recomendada: usar esta configuração para volumes que não são de sistemas operacionais. Essa configuração resulta em uma média de consultas por dia, por computador. Consulte também Prevenção contra ameaças Varredura ao acessar na página 110 Prevenção contra ameaças Varredura por solicitação na página 115 Controle da Web Opções na página 168 Ações Especifique como o mecanismo de varredura reage ao detectar uma ameaça. Tabela 3-19 Opções Seção Opção Definição Tipo de varredura Varredura ao acessar Varredura por solicitação Primeira resposta da detecção de ameaças Se a primeira resposta falhar Negar acesso aos arquivos Continuar a varredura Limpar arquivos Excluir arquivos Negar acesso aos arquivos Continuar a varredura Especifica a primeira ação a ser tomada pelo mecanismo de varredura quando uma ameaça é detectada. Evita que usuários acessem arquivos com ameaças potenciais. Continua a varredura quando uma ameaça é detectada. O mecanismo de varredura não move itens para a quarentena. Remove a ameaça do arquivo detectado, se possível. Exclui arquivos com possíveis ameaças. Especifica a ação a ser tomada pelo mecanismo de varredura quando uma ameaça é detectada se a primeira ação falhar. Evita que usuários acessem arquivos com ameaças potenciais. Continua a varredura quando uma ameaça é detectada. O mecanismo de varredura não move itens para a quarentena. McAfee Endpoint Security 10.2 Guia do produto 121

122 3 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças Tabela 3-19 Opções (continuação) Seção Opção Definição Tipo de varredura Primeira resposta de programa indesejado Excluir arquivos Exclui arquivos com possíveis ameaças. Varredura ao acessar Varredura por solicitação Especifica a primeira ação a ser tomada pelo mecanismo de varredura quando um programa potencialmente indesejado é detectado. Essa opção estará disponível somente se a opção Detectar programas indesejados estiver selecionada. Se a primeira resposta falhar Negar acesso aos arquivos Permitir acesso aos arquivos Continuar a varredura Limpar arquivos Excluir arquivos Negar acesso aos arquivos Permitir acesso aos arquivos Continuar a varredura Excluir arquivos Evita que usuários acessem arquivos com ameaças potenciais. Evita que usuários acessem arquivos com ameaças potenciais. Continua a varredura quando uma ameaça é detectada. O mecanismo de varredura não move itens para a quarentena. Remove a ameaça do arquivo potencialmente indesejado, se possível. Exclui arquivos potencialmente indesejados. Especifica a ação a ser tomada pelo mecanismo de varredura quando ocorre a detecção de um programa indesejado caso a primeira ação falhe. Essa opção estará disponível somente se a opção Detectar programas indesejados estiver selecionada. Evita que usuários acessem arquivos com ameaças potenciais. Evita que usuários acessem arquivos com ameaças potenciais. Continua a varredura quando uma ameaça é detectada. O mecanismo de varredura não move itens para a quarentena. Exclui automaticamente arquivos de programas potencialmente indesejados. Consulte também Prevenção contra ameaças Varredura ao acessar na página 110 Prevenção contra ameaças Varredura por solicitação na página McAfee Endpoint Security 10.2 Guia do produto

123 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças 3 Adicionar exclusão ou Editar exclusão Adicione ou edite uma definição de exclusão. Tabela 3-20 Opções Seção Opção Definição Tipo de varredura O que excluir Nome ou caminho do arquivo Seleciona o tipo de exclusão e os detalhes da exclusão. Especifica o nome do arquivo ou o caminho para excluir. O caminho do arquivo pode incluir caracteres curinga. Para excluir uma pasta em sistemas Windows, anexe um caractere de barra invertida (\) do caminho. Selecione Excluir também subpastas se necessário. Ao acessar Por solicitação Quando excluir Tipo de arquivo Idade do arquivo Ao gravar no disco ou ler o disco Ao ler o disco Ao gravar no disco Especifica os tipos de arquivos (extensões de arquivos) a serem excluídos. Especifica o tipo de acesso (Modificado, Acessado (somente na varredura por solicitação) ou Criado) dos arquivos a serem excluídos e a Idade mínima em dias. Especifica quando excluir o item selecionado. Exclui da varredura quando arquivos estão sendo gravados no disco ou lidos nele ou em outro dispositivo de armazenamento de dados. Exclui da varredura quando arquivos estão sendo lidos no computador ou em outro dispositivo de armazenamento de dados. Exclui da varredura quando arquivos estão sendo gravados no disco ou modificados nele ou em outro dispositivo de armazenamento de dados. Consulte também Prevenção contra ameaças Varredura ao acessar na página 110 Prevenção contra ameaças Varredura por solicitação na página 115 Caracteres curinga em exclusões na página 67 Configuração de exclusões na página 66 Prevenção contra ameaças Opções Configura as definições válidas para o recurso Prevenção contra ameaças, incluindo quarentena, programas potencialmente indesejados e exclusões. Esta seção inclui apenas as opções Avançadas. McAfee Endpoint Security 10.2 Guia do produto 123

124 3 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças Tabela 3-21 Opções avançadas Seção Opção Definição Gerenciador de quarentena Pasta de quarentena Especifica o local da pasta de quarentena ou aceita o local padrão: c:\quarantine A pasta de quarentena está limitada a 190 caracteres. Exclusão pelo nome da detecção Detecções de programas potencialmente indesejados Análise proativa de dados Especifique o número máximo de dias para manter os dados em quarentena Excluir estes nomes de detecção Excluir programas indesejados personalizados Comentários do McAfee GTI Especifica o número de dias (de 1 a 999) em que os itens deverão ser mantidos em quarentena antes de serem excluídos automaticamente. O padrão é 30 dias. Especifica as exclusões de detecção pelo nome da detecção. Por exemplo, para especificar que os mecanismos de varredura ao acessar e por solicitação não detectem ameaças de Verificação de instalação, insira Verificação de instalação. Adicionar - Adiciona o nome da detecção à lista de exclusões. Clique em Adicionar, depois insira o nome da detecção. Clicar duas vezes em um item - Modifica o item selecionado. Excluir - Remove o nome da detecção da lista de exclusões. Selecione o nome e clique em Excluir. Especifica arquivos ou programas individuais a serem tratados como programas potencialmente indesejados. Os mecanismos de varredura detectam os programas especificados por você e os programas especificados nos arquivos de conteúdo do AMCore. O mecanismo de varredura não detecta um programa indesejado definido pelo usuário com tamanho de zero byte. Adicionar - Define um programa indesejado personalizado. Clique em Adicionar, insira o nome, depois pressione Tab para inserir a descrição. Name - Especifica o nome do arquivo do programa potencialmente indesejado. Descrição Especifica as informações que serão exibidas como o nome da detecção quando ocorrer uma detecção. Clicar duas vezes em um item - Modifica o item selecionado. Excluir - Remove um programa potencialmente indesejado da lista. Selecione o item na tabela, depois clique em Excluir. Envia dados anônimos de uso e diagnóstico para a McAfee. Permite que os comentários de telemetria com base no McAfee GTI coletem dados anônimos sobre arquivos e processos em execução no sistema cliente. 124 McAfee Endpoint Security 10.2 Guia do produto

125 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças 3 Tabela 3-21 Opções avançadas (continuação) Seção Opção Definição Pulsação de segurança Realiza uma verificação da integridade do sistema cliente antes e depois das atualizações dos arquivos de conteúdo do AMCore e em intervalos regulares e envia os resultados à McAfee. Os resultados são criptografados e enviados à McAfee através do SSL. A McAfee, por sua vez, reúne e analisa os dados provenientes destes relatórios a fim de identificar anomalias que possam indicar possíveis problemas relacionados ao conteúdo. A rápida identificação de tais problemas é essencial para proporcionar contenção e remediação oportunas. A Pulsação de segurança coleta os seguintes tipos de dados: Local e versão do sistema operacional Versão do produto McAfee Conteúdo do AMCore e versão do mecanismo Informações do processo em execução da McAfee e Microsoft Reputação de conteúdo do AMCore Realiza uma pesquisa por reputação do McAfee GTI no arquivo de conteúdo do AMCore antes de atualizar o sistema cliente. Se o McAfee GTI der permissão ao arquivo, o Endpoint Security atualiza o conteúdo do AMCore. Se o McAfee GTI não der permissão ao arquivo, o Endpoint Security não atualiza o conteúdo do AMCore. Consulte também Configure definições de varreduras comuns na página 81 tarefa do cliente Reverter AMCore Content Altera o conteúdo do AMCore para uma versão anterior. Opção Selecione a versão para carregar Definição Especifica o número de versão de um arquivo de conteúdo do AMCore anterior a carregar. O Endpoint Security mantém as duas versões anteriores no sistema cliente. Quando é feita a alteração para uma versão anterior, o Endpoint Security remove a versão atual do conteúdo do AMCore do sistema. Consulte também Alterar a versão do conteúdo do AMCore na página 29 McAfee Endpoint Security 10.2 Guia do produto 125

126 3 Utilizando o Prevenção contra ameaças Referência da interface do cliente Prevenção contra ameaças 126 McAfee Endpoint Security 10.2 Guia do produto

127 4 Usar o Firewall O Firewall atua como um filtro entre seu computador e a rede ou a Internet. Conteúdo Como funciona o Firewall Ativar e desativar o Firewall usando o ícone da bandeja do sistema da McAfee Ativar ou exibir grupos temporizados do Firewall usando o ícone da bandeja do sistema da McAfee Gerenciamento do Firewall Referência da interface do cliente Firewall Como funciona o Firewall O Firewall varre todo o tráfego de entrada e saída. Ao analisar o tráfego de entrada ou saída, o Firewall verifica sua lista de regras, que é um conjunto de critérios com ações associadas. Se o tráfego coincide com todos os critérios de uma regra, o Firewall age de acordo com a regra, bloqueando ou permitindo o tráfego através do Firewall. As informações sobre detecções de ameaças são salvas por relatórios que notificam o administrador sobre qualquer problema de segurança no computador. As opções e regras do Firewall definem o funcionamento do Firewall. Os grupos de regras organizam as regras do firewall para facilitar o gerenciamento. Se o Modo de interface do cliente estiver definido para Acesso total ou se você tiver feito logon como administrador, as regras e os grupos podem ser configurados usando o Cliente do Endpoint Security. Em sistemas gerenciados, as regras e grupos criados podem ser substituídos quando o administrador distribui uma política atualizada. Consulte também Configurar as Firewall na página 129 Como as regras de firewall funcionam na página 133 Como funcionam os grupos de regras do firewall na página 135 Ativar e desativar o Firewall usando o ícone da bandeja do sistema da McAfee Dependendo de como as configurações foram definidas, você pode ativar ou desativar o Firewall usando o ícone da bandeja do sistema da McAfee. Dependendo de como as configurações foram definidas, essas opções podem não estar disponíveis. McAfee Endpoint Security 10.2 Guia do produto 127

128 4 Usar o Firewall Ativar ou exibir grupos temporizados do Firewall usando o ícone da bandeja do sistema da McAfee Tarefa Clique com o botão direito do mouse no ícone da bandeja do sistema da McAfee e selecione Desativar o Firewall do Endpoint Security no menu Configurações rápidas. Quando o Firewall está ativado, a opção é Desativar o Firewall do Endpoint Security. Dependendo das configurações, você pode ser solicitado a fornecer ao administrador um motivo para desativar o Firewall. Ativar ou exibir grupos temporizados do Firewall usando o ícone da bandeja do sistema da McAfee Ative, desative ou exiba grupos temporizados do Firewall usando o ícone da bandeja do sistema da McAfee. Dependendo de como as configurações foram definidas, essas opções podem não estar disponíveis. Tarefa Clique com o botão direito do mouse no ícone da bandeja do sistema da McAfee e selecione uma opção no menu Configurações rápidas. Ativar grupos limitados de firewall Ativa os grupos temporizados por um determinado período de tempo a fim de permitir o acesso à Internet antes que as regras que restringem o acesso sejam aplicadas. Quando os grupos temporizados estão ativados, a opção é Desativar grupos temporizados do Firewall. Sempre que selecionar essa opção, você redefinirá o tempo dos grupos. Dependendo das configurações, você pode ser solicitado a fornecer ao administrador um motivo para ativar os grupos temporizados. Exibir grupos limitados de firewall Exibe os nomes dos grupos temporizados e a quantidade de tempo restante de ativação de cada grupo. Sobre grupos temporizados Grupos temporizados são grupos de regras do Firewall ativados por determinado período de tempo. Por exemplo, um grupo temporizado pode ser ativado para permitir que um sistema cliente conecte-se a uma rede pública e estabeleça uma conexão VPN. Dependendo das configurações de, os grupos podem ser ativados: Em um agendamento específico. Manualmente, selecionando as opções do ícone da bandeja do sistema da McAfee. Gerenciamento do Firewall Como administrador, você pode configurar as opções do Firewall e criar regras e grupos no Cliente do Endpoint Security. Em sistemas gerenciados, as alterações de política do McAfee epo podem substituir as alterações da página Configurações. 128 McAfee Endpoint Security 10.2 Guia do produto

129 Usar o Firewall Gerenciamento do Firewall 4 Modificar opções de Firewall Como administrador, você pode modificar as opções de Firewall do Cliente do Endpoint Security. Tarefas Configurar as Firewall na página 129 Defina as configurações em Opções para ativar e desativar a proteção por firewall, ative o modo adaptável, e configure as outras opções do Firewall. Bloquear o tráfego DNS na página 130 Para refinar a proteção por firewall, crie uma lista de FQDNs a serem bloqueados. O Firewall bloqueia as conexões aos endereços IP com resolução para os nomes de domínio. Definir redes para usar em regras e grupos na página 131 Defina endereços de rede, sub-redes ou faixas a serem usados em regras e grupos. Opcionalmente, especifique que essas redes são confiáveis. Configurar executáveis confiáveis na página 132 Defina ou edite a lista de executáveis confiáveis que são considerados seguros para seu ambiente. Consulte também Perguntas frequentes McAfee GTI e Firewall na página 130 Configurar as Firewall Defina as configurações em Opções para ativar e desativar a proteção por firewall, ative o modo adaptável, e configure as outras opções do Firewall. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 Clique em Firewall na página principal do Status. Ou, no menu Ação, selecione Configurações e clique em Firewall na página Configurações. 3 Selecione Ativar Firewall para tornar o firewall ativo e modificar suas opções. O Host Intrusion Prevention 8.0 pode ser instalado no mesmo sistema que o Endpoint Security Se o Firewall do McAfee Host IPS estiver instalado e ativado, o Firewall do Endpoint Security será desativado, mesmo que esteja ativado nas configurações de política. 4 Clique em Mostrar Avançados. 5 Defina as configurações na página e clique em Aplicar para salvar suas alterações ou clique em Cancelar. Consulte também Entrar como administrador na página 27 McAfee Endpoint Security 10.2 Guia do produto 129

130 4 Usar o Firewall Gerenciamento do Firewall Bloquear o tráfego DNS Para refinar a proteção por firewall, crie uma lista de FQDNs a serem bloqueados. O Firewall bloqueia as conexões aos endereços IP com resolução para os nomes de domínio. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 Clique em Firewall na página principal do Status. Ou, no menu Ação, selecione Configurações e clique em Firewall na página Configurações. 3 Em Bloqueio de DNS, clique em Adicionar. 4 Insira os FQDNs dos domínios a serem bloqueados e clique em Salvar. É possível usar os caracteres curingas * e?. Por exemplo, *domínio.com. As entradas duplicadas são removidas automaticamente. 5 Clique em Salvar. 6 Clique em Aplicar para salvar suas alterações ou clique em Cancelar. Perguntas frequentes McAfee GTI e Firewall Aqui você encontra respostas para perguntas frequentes. As definições de Opções do Firewall permitem que você bloqueie o tráfego de entrada e saída de uma conexão de rede que o McAfee GTI classificou como sendo de alto risco. Essas perguntas frequentes explicam o que o McAfee GTI faz e como ele afeta o firewall. O que é o McAfee GTI? O McAfee GTI é um sistema de inteligência da Internet com reputação global que determina o bom e o mau comportamento na Internet. O McAfee GTI usa análise em tempo real de padrões mundiais de comportamento e envio de , atividades da Web, malware e comportamento de sistema a sistema. Usando os dados obtidos nas análises, o McAfee GTI calcula dinamicamente as pontuações de reputação que representam o nível de risco apresentado à sua rede ao visitar uma página da Web. O resultado é um banco de dados de pontuações de reputação de endereços IP, domínios, mensagens específicas, URLs e imagens. Como isso funciona? Quando as opções do McAfee GTI são selecionadas, são criadas duas regras de firewall: McAfee GTI Permitir o serviço do Endpoint Security Firewall e McAfee GTI Obter classificação. A primeira regra permite uma conexão ao McAfee GTI e a segunda bloqueia ou permite o tráfego com base na reputação da conexão e no conjunto de limites de bloqueio. O que significa reputação? Para cada endereço IP na Internet, o McAfee GTI calcula um valor de reputação. O McAfee GTI baseia o valor no comportamento de envio ou de hospedagem e em vários dados do ambiente coletados de clientes e parceiros sobre o estado do cenário de ameaças na Internet. A reputação é expressa em quatro classes, com base em nossa análise: 130 McAfee Endpoint Security 10.2 Guia do produto

131 Usar o Firewall Gerenciamento do Firewall 4 Não bloquear (risco mínimo) Essa é uma origem ou um destino legítimo de conteúdo/tráfego. Não verificado Esta parece ser uma origem ou um destino legítimo de conteúdo/tráfego. No entanto, o site exibe certas propriedades que sugerem a necessidade de uma inspeção mais aprofundada. Risco médio Essa origem/destino mostra um comportamento que acreditamos ser suspeito e o conteúdo/tráfego para ele ou dele requer exame especial. Alto risco Essa origem/destino não é conhecida ou é provável que envie/hospede conteúdo/ tráfego potencialmente malicioso. Acreditamos que isso represente um risco grave. O McAfee GTI apresenta latência? Quanto? Quando o McAfee GTI é contactado para realizar uma pesquisa por reputação, alguma latência é inevitável. A McAfee tem feito tudo o que é possível para minimizar essa latência. McAfee GTI: Verifica as reputações somente quando as opções estão selecionadas. Usa uma arquitetura inteligente de armazenamento em cache. Em padrões normais de uso de rede, o cache resolve a maioria das conexões desejadas sem uma consulta de reputação on-line. Se o firewall não conseguir acessar os servidores do McAfee GTI, o tráfego para? Se o firewall não conseguir acessar nenhum dos servidores do McAfee GTI, ele atribui automaticamente uma reputação de permissão padrão a todas as conexões aplicáveis. O firewall então continua a análise das regras que se seguem. Definir redes para usar em regras e grupos Defina endereços de rede, sub-redes ou faixas a serem usados em regras e grupos. Opcionalmente, especifique que essas redes são confiáveis. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 Clique em Firewall na página principal do Status. Ou, no menu Ação, selecione Configurações e clique em Firewall na página Configurações. 3 Clique em Mostrar opções avançadas. McAfee Endpoint Security 10.2 Guia do produto 131

132 4 Usar o Firewall Gerenciamento do Firewall 4 Em Redes definidas, execute uma das ações a seguir: Para... Definir uma nova rede. Alterar uma definição de rede. Excluir uma rede. Etapas Clique em Adicionar e insira os detalhes da rede confiável. Defina a rede como confiável selecionando Sim no menu suspenso Confiável. Se você selecionar Não, a rede será definida para uso nas regras e grupos, mas o tráfego de entrada e de saída da rede não será automaticamente confiável. Em cada uma das colunas, clique duas vezes no item e insira as novas informações. Selecione uma linha e clique em Excluir. 5 Clique em Aplicar para salvar suas alterações ou clique em Cancelar. Sobre redes confiáveis Redes confiáveis são endereços IP, faixas de endereços IP e sub-redes que são considerados confiáveis. A definição de uma rede como confiável cria uma regra Permitir bidirecional para essa rede remota no topo da lista de regras do Firewall. Uma vez definidas, você pode criar regras de firewall que se apliquem a essas redes confiáveis. As redes confiáveis também funcionam como exceções do McAfee GTI no firewall. Prática recomendada: ao adicionar redes a regras e grupos de firewall, selecione Redes definidas para o Tipo de rede para aproveitar este recurso. Configurar executáveis confiáveis Defina ou edite a lista de executáveis confiáveis que são considerados seguros para seu ambiente. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 Clique em Firewall na página principal do Status. Ou, no menu Ação, selecione Configurações e clique em Firewall na página Configurações. 3 Clique em Mostrar opções avançadas. 132 McAfee Endpoint Security 10.2 Guia do produto

133 Usar o Firewall Gerenciamento do Firewall 4 4 Em Executáveis confiáveis, execute uma das ações a seguir: Para... Definir um novo executável confiável. Alterar uma definição de executável. Excluir um executável. Etapas Clique em Adicionar e insira os detalhes do executável confiável. Em cada uma das colunas, clique duas vezes no item e insira as novas informações. Selecione uma linha e clique em Excluir. 5 Clique em Aplicar para salvar suas alterações ou clique em Cancelar. Sobre executáveis confiáveis e aplicativos Executáveis confiáveis são executáveis que não têm vulnerabilidades conhecidas e são considerados seguros. A configuração de um executável confiável cria uma regra Permitir bidirecional para esse executável no topo da lista de regras do Firewall. Manter uma lista de executáveis seguros de um sistema reduz e elimina a maioria dos falsos positivos. Por exemplo, quando você executa um aplicativo de backup, muitos falsos positivos podem ser disparados. Para evitar que falsos positivos sejam disparados, torne o aplicativo de backup um aplicativo confiável. Um executivo confiável está sujeito a vulnerabilidades comuns, como estouro de buffer e uso ilegal. No entanto, o Firewall ainda monitora os executivos confiáveis e dispara eventos para evitar explorações. O Catálogo do Firewall contém executáveis e aplicativos. Executáveis no catálogo podem ser associados com um aplicativo contêiner. É possível adicionar executáveis e aplicativos do catálogo à sua lista de executáveis confiáveis. Depois de definidos, é possível referenciar os executáveis em regras e grupos. Configurar regras e grupos do Firewall Como administrador, você pode configurar regras e grupos do Firewall a partir do Cliente do Endpoint Security. Tarefas Criar e gerenciar regras e grupos do Firewall na página 139 Em sistemas gerenciados, as regras e grupos configurados no Cliente do Endpoint Security podem ser substituídos quando o administrador distribui uma política atualizada. Criar isolamento de conexão de grupos na página 141 Crie um grupo de regras de firewall para isolamento de conexão, para estabelecer um conjunto de regras que se aplicam somente na conexão a uma rede com determinados parâmetros. Criar grupos temporizados na página 142 Crie grupos temporizados do Firewall para restringir o acesso à Internet até que um sistema cliente conecte-se por uma VPN. Como as regras de firewall funcionam As regras do Firewall determinam como lidar com o tráfego de rede. Cada regra fornece um conjunto de condições que o tráfego deve cumprir e uma ação para permitir ou bloquear o tráfego. Quando o Firewall encontra um tráfego que corresponde às condições de uma regra, ele realiza a ação associada. McAfee Endpoint Security 10.2 Guia do produto 133

134 4 Usar o Firewall Gerenciamento do Firewall É possível definir regras amplas (por exemplo, todo o tráfego IP) ou restritas (por exemplo, identificar um aplicativo ou serviço específico) e especificar opções. É possível agrupar as regras de acordo com uma função de trabalho, serviço ou aplicativo, a fim de facilitar o gerenciamento. Como com as regras, é possível definir grupos de regras por opções de rede, transporte, aplicativo, agendamento e local. O Firewall usa a precedência para aplicar as regras: 1 O Firewall aplica a regra na parte superior da lista de regras do firewall. Se o tráfego atende às condições dessa regra, o Firewall permite ou bloqueia o tráfego. Ele não tenta aplicar nenhuma outra regra da lista. 2 Se o tráfego não atende às condições da primeira regra, o Firewall continua para a próxima regra da lista até encontrar uma regra que coincida com o tráfego. 3 Se nenhuma regra coincidir, o firewall bloqueia automaticamente o tráfego. Se o modo adaptável estiver ativado, é criada uma regra de permissão para o tráfego. Algumas vezes, o tráfego interceptado coincide com mais de uma regra da lista. Nesse caso, a precedência significa que o Firewall aplica somente a primeira regra coincidente da lista. Práticas recomendadas Coloque a regra mais específica no topo da lista e as regras mais genéricas na parte inferior. Essa ordem assegura que o Firewall filtre o tráfego de maneira apropriada. 134 McAfee Endpoint Security 10.2 Guia do produto

135 Usar o Firewall Gerenciamento do Firewall 4 Por exemplo, para permitir que todas as solicitações de HTTP exceto as originadas em um endereço específico (por exemplo, endereço IP ), crie duas regras: Regra de bloqueio Bloqueia o tráfego HTTP do endereço IP Essa regra é específica. Regra de permissão Permite todo o tráfego que usa o serviço HTTP. Essa regra é genérica. Coloque a regra de bloqueio em uma posição mais alta da lista de regras do firewall do que a da regra de permissão. Quando o firewall interceptar a solicitação HTTP do endereço , a primeira regra coincidente que ele encontrará será a que bloqueia esse tráfego através do firewall. Se a regra de permissão genérica estiver mais alta que a regra de bloqueio específica, o Firewall comparará as solicitações com a regra de permissão antes de encontrar a regra de bloqueio. Ele permitirá o tráfego, mesmo havendo a intenção de bloquear a solicitação HTTP de um endereço específico. Como funcionam os grupos de regras do firewall Use os grupos de regras de Firewall para organizar as regras do firewall e facilitar o gerenciamento. Os grupos de regras do Firewall não afetam a maneira como o Firewall lida com as regras dentro deles; o Firewall ainda processa as regras de cima para baixo. O Firewall processa as configurações para o grupo antes de processar as configurações para as regras que ele contém. Se houver um conflito entre essas configurações, as configurações do grupo têm precedência. Fazer com que grupos reconheçam locais O Firewall permite fazer com que um grupo reconheça o local de suas regras e criar isolamento de conexão. O Local e as Opções de rede do grupo permitem fazer com que os grupos reconheçam o adaptador de rede. Use grupos de adaptadores de rede para aplicar regras para adaptadores específicos em computadores com várias interfaces de rede. Após ativar o status de local e nomear o local, os parâmetros para as conexões permitidas podem incluir os seguintes itens para cada adaptador de rede: Local: Requer que o McAfee epo esteja acessível Endereço IP do Servidor WINS primário Sufixo DNS específico para conexão Endereço IP do Servidor WINS secundário Endereço IP do Gateway padrão Acessibilidade do domínio Endereço IP do Servidor DHCP Chave de registro Servidor DNS consultado para resolver URLs Redes: Endereço IP da Rede local Tipos de conexão Se dois grupos com reconhecimento de local são aplicados a uma conexão, o Firewall usa a precedência normal, processando o primeiro grupo aplicável na lista de regras. Se nenhuma regra do primeiro grupo coincidir, o processamento de regras continua. Quando o Firewall encontrar parâmetros de um grupo com reconhecimento de local que coincidem com uma conexão ativa, ele aplica as regras dentro do grupo. Ele trata as regras como um pequeno conjunto de regras e usa a precedência normal. Se algumas regras não se coincidirem com o tráfego interceptado, o firewall as ignora. McAfee Endpoint Security 10.2 Guia do produto 135

136 4 Usar o Firewall Gerenciamento do Firewall Se essa opção estiver selecionada... Ativar reconhecimento de local Requer que o McAfee epo esteja acessível Rede local Sufixo DNS específico para conexão Gateway padrão Servidor DHCP Servidor DNS Servidor WINS primário Servidor WINS secundário Acessibilidade do domínio Então... Requer um nome de local. O McAfee epo está acessível e o FQDN do servidor foi resolvido. O endereço IP do adaptador deve coincidir com uma das entradas da lista. O sufixo DNS do adaptador deve coincidir com uma das entradas da lista. O endereço IP do gateway do adaptador padrão deve coincidir com pelo menos uma das entradas da lista. O endereço IP do servidor DHCP do adaptador deve coincidir com pelo menos uma das entradas da lista. O endereço IP do servidor DNS do adaptador deve coincidir com alguma entrada da lista. O endereço IP do servidor WINS primário do adaptador deve coincidir com pelo menos uma das entradas da lista. O endereço IP do servidor WINS secundário do adaptador deve coincidir com pelo menos uma das entradas da lista. O domínio especificado deve ser acessível. Grupos de regras do Firewall e isolamento de conexão Use o isolamento de conexão para grupos para impedir que algum tráfego indesejado acesse uma rede designada. Quando o isolamento de conexão está ativado para um grupo e uma placa de interface de rede (NIC) corresponde aos critérios do grupo, o Firewall processa somente o tráfego que corresponde a: Regra de permissão acima do grupo na lista de regras do firewall Critérios do grupo Qualquer outro tráfego será bloqueado. Nenhum grupo com isolamento de conexão ativado poderá ter opções de transporte ou executáveis associados. 136 McAfee Endpoint Security 10.2 Guia do produto

137 Usar o Firewall Gerenciamento do Firewall 4 Considere duas configurações como exemplos do uso do isolamento de conexão: um ambiente corporativo e um hotel. A lista de regras de firewall ativas contém regras e grupos nesta ordem: 1 Regras para conexão básica 2 Regras de conexão VPN 3 Grupo com regras de conexão a LAN corporativa 4 Grupo com regras de conexão VPN McAfee Endpoint Security 10.2 Guia do produto 137

138 4 Usar o Firewall Gerenciamento do Firewall Exemplo: isolamento de conexão na rede corporativa As regras de conexão são processadas até que o grupo com regras de conexão a LAN corporativa seja encontrado. Esse grupo contém as configurações: Tipo de conexão = Com fio Sufixo DNS específico para a conexão = minhaempresa.com Gateway padrão Isolamento de conexão = Ativado O computador tem adaptadores de rede LAN e sem fio. O computador se conecta à rede corporativa por uma conexão com fio. No entanto, a interface sem fio ainda está ativa, de modo que se conecta a um ponto de acesso fora do escritório. O computador se conecta a ambas as redes porque as regras para o acesso básico estão no topo da lista de regras do firewall. A conexão LAN com fio está ativa e atende aos critérios do grupo da LAN corporativa. O firewall processa o tráfego através da LAN, mas como o isolamento da conexão está ativado, todo o restante do tráfego que não passa através da LAN é bloqueado. Exemplo: isolamento de conexão em um hotel As regras de conexão são processadas até que o grupo com regras de conexão a LAN seja encontrado. Esse grupo contém as configurações: Tipo de conexão = Virtual Sufixo DNS específico para a conexão = vpn.minhaempresa.com Endereço IP = Um endereço em um intervalo específico para o concentrador VPN Isolamento de conexão = Ativado As regras de conexão genéricas permitem a configuração de uma conta temporizada no hotel para acesso à Internet. As regras de conexão VPN permitem a conexão e o uso do túnel VPN. Após o túnel ser estabelecido, o cliente VPN cria um adaptador virtual que corresponde aos critérios do grupo de VPN. O único tráfego permitido pelo firewall é o de dentro do túnel VPN e o tráfego básico sobre o adaptador real. As tentativas de outros hóspedes do hotel de acessar o computador pela rede, seja com ou sem fio, são bloqueadas. Grupos de regras predefinidas do firewall O Firewall inclui vários grupos de firewall predefinidos. Grupo do Firewall Rede principal da McAfee Descrição Contém as regras principais de rede fornecidas pela McAfee e inclui regras para permitir aplicativos da McAfee e DNS. Estas regras não podem ser alteradas ou excluídas. Você pode desativar o grupo nas Opções do Firewall, mas pode prejudicar as comunicações de rede no cliente. Adicionado pelo administrador Contém regras definidas pelo administrador no servidor de gerenciamento. Estas regras não podem ser alteradas ou excluídas no Cliente do Endpoint Security. 138 McAfee Endpoint Security 10.2 Guia do produto

139 Usar o Firewall Gerenciamento do Firewall 4 Grupo do Firewall Adicionado pelo usuário Dinâmico Adaptável Descrição Contém regras definidas no Cliente do Endpoint Security. Dependendo das definições de política, essas regras podem ser substituídas quando a política for aplicada. Contém regras criadas dinamicamente por outros módulos do Endpoint Security instalados no sistema. Por exemplo, aprevenção contra ameaças pode enviar um evento para o módulo Cliente do Endpoint Security para criar uma regra para bloquear o acesso a um sistema na rede. Contém regras de exceção do cliente que são criadas automaticamente quando o sistema estiver no modo adaptável. Dependendo das definições de política, essas regras podem ser substituídas quando a política for aplicada. Padrão Contém regras padrão fornecidas pela McAfee. Estas regras não podem ser alteradas ou excluídas. Criar e gerenciar regras e grupos do Firewall Em sistemas gerenciados, as regras e grupos configurados no Cliente do Endpoint Security podem ser substituídos quando o administrador distribui uma política atualizada. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Os grupos e regras aparecem em ordem de prioridade na tabela de Regras do Firewall. Não é possível classificar as regras por coluna. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 Clique em Firewall na página principal do Status. Ou, no menu Ação, selecione Configurações e clique em Firewall na página Configurações. 3 Use estas tarefas para gerenciar as regras e grupos do firewall. Para fazer isso... Exibir as regras em um grupo de firewalls. Siga essas etapas Clique. Fechar um grupo de firewalls. Clique. McAfee Endpoint Security 10.2 Guia do produto 139

140 4 Usar o Firewall Gerenciamento do Firewall Para fazer isso... Modificar uma regra existente. Somente é possível modificar regras no grupo Adicionado pelo usuário. Exibir uma regra existente em qualquer grupo. Criar uma regra. Siga essas etapas 1 Expanda o grupo Adicionado pelo usuário. 2 Clique duas vezes na regra. 3 Altere as configurações da regra. 4 Clique em OK para salvar suas alterações. 1 Expanda o grupo. 2 Selecione a regra para exibir seus detalhes no painel inferior. 1 Clique em Adicionar regra. 2 Especifique as configurações da regra. 3 Clique em OK para salvar suas alterações. A regra aparece no final do grupo Adicionado pelo usuário. Criar cópias de regras. Excluir regras. Somente é possível excluir regras dos grupos Adicionado pelo usuário e Adaptável. 1 Selecione a regra ou regras e clique em Duplicar. As regras copiadas aparecem com o mesmo nome no final do grupo Adicionado pelo usuário. 2 Modifique as regras para alterar o nome e as configurações. 1 Expanda o grupo. 2 Selecione a regra ou regras e clique em Excluir. Criar um grupo. 1 Clique em Adicionar grupo. 2 Especifique as configurações do grupo. 3 Clique em OK para salvar suas alterações. O grupo aparece em Adicionado pelo usuário. Mover regras e grupos para dentro e entre grupos. Somente é possível mover regras e grupos no grupo Adicionado pelo usuário. Para mover os elementos: 1 Selecione os elementos que serão movidos. A alça movidos. aparece à esquerda de elementos que podem ser 2 Arraste e solte os elementos no novo local. Uma linha azul aparece entre os elementos no local em que você pode soltar os elementos arrastados. 4 Clique em Aplicar para salvar suas alterações ou clique em Cancelar. Consulte também Caracteres curinga em regras de firewall na página 141 Entrar como administrador na página 27 Criar isolamento de conexão de grupos na página McAfee Endpoint Security 10.2 Guia do produto

141 Usar o Firewall Gerenciamento do Firewall 4 Caracteres curinga em regras de firewall Você pode usar caracteres curinga para representar os caracteres de alguns valores nas regras de firewall. Caracteres curinga em valores de caminho e de endereço Em caminhos de arquivos, chaves de registro, executáveis e URLs, use esses caracteres curinga. Os caminhos da chave de registro dos locais de grupos de firewall não reconhecem valores de caracteres curingas.? Ponto de interrogação Um único caractere. * Asterisco Vários caracteres, excluindo barra (/) e barra invertida (\). Use este caractere para corresponder ao conteúdo no nível de raiz de uma pasta sem subpastas. ** Asterisco duplo Vários caracteres, incluindo barra (/) e barra invertida (\). Pipe Escape de caractere curinga. Para o asterisco duplo (**), o escape é * *. Caracteres curinga em todos os outros valores Para valores que normalmente não contêm barras nas informações de caminho, use estes caracteres curinga.? Ponto de interrogação Um único caractere. * Asterisco Vários caracteres, incluindo barra (/) e barra invertida (\). Barra vertical Escape de caractere curinga. Criar isolamento de conexão de grupos Crie um grupo de regras de firewall para isolamento de conexão, para estabelecer um conjunto de regras que se aplicam somente na conexão a uma rede com determinados parâmetros. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 Clique em Firewall na página principal do Status. Ou, no menu Ação, selecione Configurações e clique em Firewall na página Configurações. 3 Em REGRAS, clique em Adicionar grupo. 4 Em Descrição, especifique as opções para o grupo. 5 Em Local, selecione Ativar reconhecimento de local e Ativar isolamento de conexão. Em seguida, selecione o critério de local a ser correspondido. McAfee Endpoint Security 10.2 Guia do produto 141

142 4 Usar o Firewall Gerenciamento do Firewall 6 Em Rede, para Tipos de conexão, selecione o tipo de conexão (com fio, sem fio ou virtual) que será aplicado às regras desse grupo. As configurações de Transporte e Executáveis não estão disponíveis para os grupos de isolamento de conexão. 7 Clique em OK. 8 Na lista de regras de firewall, crie novas regras dentro desse grupo ou mova as regras existentes para dentro dele. 9 Clique em Aplicar para salvar suas alterações ou clique em Cancelar. Consulte também Grupos de regras do Firewall e isolamento de conexão na página 136 Como funcionam os grupos de regras do firewall na página 135 Criar grupos temporizados Crie grupos temporizados do Firewall para restringir o acesso à Internet até que um sistema cliente conecte-se por uma VPN. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 Clique em Firewall na página principal do Status. Ou, no menu Ação, selecione Configurações e clique em Firewall na página Configurações. 3 Crie um grupo Firewall com as configurações padrão que permitem a conectividade com a Internet. Por exemplo, permita o tráfego da porta 80 HTTP. 4 Na seção Agendamento, selecione como ativar o grupo. Ativar agendamento Especifica uma hora de início e de término para o grupo a ser ativado. ativar Desativar agendamento e ativar o grupo a partir do ícone da bandeja do sistema da McAfee Permite que os usuários ativem o grupo no ícone da bandeja do sistema da McAfee e mantenham o grupo ativado pela quantidade de minutos especificada. Se permitir que os usuários gerenciem o grupo temporizado, você poderá, opcionalmente, exigir que eles forneçam uma justificativa antes de ativar o grupo. 5 Clique em OK para salvar as alterações. 6 Crie um grupo de isolamento de conexão que corresponda à rede VPN para permitir o tráfego necessário. Prática recomendada: para impedir o tráfego de saída apenas do grupo de isolamento de conexão no sistema cliente, não coloque nenhuma regra de Firewall abaixo desse grupo. 7 Clique em Aplicar para salvar suas alterações ou clique em Cancelar. Consulte também Criar isolamento de conexão de grupos na página McAfee Endpoint Security 10.2 Guia do produto

143 Usar o Firewall Referência da interface do cliente Firewall 4 Referência da interface do cliente Firewall Os tópicos de ajuda da referência da interface fornecem ajuda contextual para as páginas da interface do cliente. Conteúdo Firewall Opções Firewall Regras Firewall Opções Ative e desative o módulo Firewall, configure opções de proteção e defina redes e executáveis confiáveis. Para redefinir as configurações para o padrão da McAfee e cancelar suas alterações, clique em Redefinir para o padrão. Consulte as configurações do módulo Em Comum para verificar a configuração de registro em log. O Host Intrusion Prevention 8.0 pode ser instalado no mesmo sistema que o Endpoint Security Se o Firewall do McAfee Host IPS estiver instalado e ativado, o Firewall do Endpoint Security será desativado, mesmo que esteja ativado nas configurações de política. Tabela 4-1 Opções Seção Opção Definição Opções de proteção Ativar Firewall Permitir tráfego para protocolos incompatíveis Permitir tráfego de saída apenas até que os serviços do Firewall sejam iniciados Ativa e desativa o módulo do Firewall. Permite todo o tráfego que usa protocolos incompatíveis. Quando desativado, todos os tráfegos que usam protocolos incompatíveis são bloqueados. Permite o tráfego de saída, mas nenhum tráfego de entrada até que o serviço do Firewall seja iniciado. Se essa opção estiver desativada, o Firewall permitirá todo o tráfego antes que os serviços sejam iniciados, podendo deixar o sistema vulnerável. Permitir tráfego de ponte Ativar proteção contra falsificação de IP Ativar regras de bloqueio dinâmico Permite: Pacotes de entrada se o endereço MAC de destino estiver no intervalo suportado de endereços MAC de VM e não for um endereço MAC local no sistema. Pacotes de saída se o endereço MAC de origem estiver no intervalo suportado de endereços MAC e não for um endereço MAC local no sistema. Bloqueia tráfego da rede de endereços IP de host não locais ou de processos locais que tentam falsificar seu endereço IP. Permite que outros módulos do Endpoint Security criem e adicionem regras de bloqueio dinamicamente ao grupo de Regras dinâmicas no Cliente do Endpoint Security. (Desativado por padrão) McAfee Endpoint Security 10.2 Guia do produto 143

144 4 Usar o Firewall Referência da interface do cliente Firewall Tabela 4-1 Opções (continuação) Seção Opção Definição Bloqueio de DNS Ativar alertas de intrusão do firewall Nome de domínio Mostra alertas automaticamente quando o Firewall detecta um possível ataque. Define nomes de domínio a bloquear. Quando aplicada, essa configuração adiciona uma regra próximo ao topo das regras do firewall que bloqueia conexões aos endereços IP com resolução para os nomes de domínio. Adicionar - Adiciona um nome de domínio à lista de bloqueio. Separe vários domínios com uma vírgula (,) ou quebra de linha. É possível usar os caracteres curingas * e?. Por exemplo, *domínio.com. As entradas duplicadas são removidas automaticamente. Clicar duas vezes em um item - Modifica o item selecionado. Excluir - Remove o nome de domínio selecionado da lista de bloqueio. Tabela 4-2 Opções avançadas Seção Opção Definição Opções de ajuste Ativar modo adaptável Cria regras automaticamente para permitir o tráfego. Prática recomendada: ativar o modo adaptável temporariamente em alguns sistemas apenas durante o ajuste do Firewall. A ativação desse modo pode gerar muitas regras de cliente, que devem ser processadas pelo servidor McAfee epo, podendo afetar o desempenho negativamente. Desativar as regras principais de rede da McAfee Desativa as regras de rede incorporadas da McAfee (no grupo de regras da Rede principal da McAfee). (Desativado por padrão) A ativação desta opção pode interromper as comunicações de rede no cliente. Registrar em log todo o tráfego bloqueado Registrar em log todo o tráfego permitido Registra todo o tráfego bloqueado no log de eventos do Firewall (FirewallEventMonitor.log) no Cliente do Endpoint Security. (Ativado por padrão) Registra todo o tráfego permitido no log de eventos do Firewall (FirewallEventMonitor.log) no Cliente do Endpoint Security. (Desativado por padrão) A ativação dessa opção pode afetar negativamente o desempenho. Reputação da rede no McAfee GTI Tratar correspondência do McAfee GTI como intrusão Trata o tráfego que corresponde à configuração do limite de bloqueio do McAfee GTI como uma intrusão. A ativação dessa opção exibe um alerta, envia um evento para o servidor de gerenciamento e o adiciona ao arquivo de log do Cliente do Endpoint Security. Todos os endereços IP de uma rede confiável são excluídos da pesquisa do McAfee GTI. (Ativado por padrão) 144 McAfee Endpoint Security 10.2 Guia do produto

145 Usar o Firewall Referência da interface do cliente Firewall 4 Tabela 4-2 Opções avançadas (continuação) Seção Opção Definição Registrar em log o tráfego correspondente Trata o tráfego que corresponde à configuração do limite de bloqueio McAfee GTI como uma detecção. A ativação dessa opção envia um evento para o servidor de gerenciamento e o adiciona ao arquivo de log do Cliente do Endpoint Security. (Ativado por padrão) Todos os endereços IP de uma rede confiável são excluídos da pesquisa do McAfee GTI. Firewall dinâmico Bloquear todos os executáveis não confiáveis Limite de entrada de reputação da rede Limite de saída de reputação da rede Usar inspeção de protocolo do FTP Bloqueia todos os executáveis que não estão assinados ou que têm uma reputação desconhecida do McAfee GTI. Especifica o limite de classificação do McAfee GTI para o bloqueio do tráfego de entrada ou saída de uma conexão de rede. Não bloquear - Este site parece ser uma origem ou destino legítimo de conteúdo/tráfego. Alto risco - A origem/destino envia ou hospeda conteúdo/tráfego possivelmente malicioso que o McAfee considera arriscado. Risco médio - A origem/destino mostra um comportamento que a McAfee considera suspeito. Qualquer conteúdo/tráfego do site requer um escrutínio especial. Não verificado - O site parece ser uma origem ou destino legítimo de conteúdo/tráfego, mas também exibe propriedades que sugerem ser necessário inspecionar. Permite que as conexões FTP sejam rastreadas para que exijam somente uma regra de firewall para o tráfego de cliente FTP de saída e o tráfego de servidor FTP de entrada. Se essa opção não for selecionada, as conexões de FTP precisarão de uma regra individual para o tráfego de cliente de FTP de entrada e o tráfego de servidor de FTP de saída. Redes definidas Número de segundos (1-240) antes de atingir o tempo limite da conexão TCP Número de segundos (1-300) antes de atingir o tempo limite das conexões virtuais de eco UDP e ICMP Especifica o tempo, em segundos, que uma conexão TCP não estabelecida permanece ativa se pacotes correspondentes à conexão não forem mais enviados ou recebidos. O intervalo válido é Especifica o tempo, em segundos, que uma conexão virtual de eco UDP ou ICMP permanece ativa se nenhum pacote correspondente à conexão for enviado ou recebido. Essa opção volta ao seu valor configurado sempre que um pacote que corresponde à conexão virtual é enviado ou recebido. O intervalo válido é de 1 a 300. Define endereços de rede, sub-redes ou intervalos a serem usados em regras e grupos. Adicionar Adiciona um endereço de rede, uma sub-rede ou uma faixa à lista de redes definidas. Clique em Adicionar e preencha os campos na linha de definição da rede. Clicar duas vezes em um item - Modifica o item selecionado. Excluir Exclui o endereço selecionado da lista de redes definidas. Tipo de endereço Especifica o tipo de endereço da rede a ser definido. McAfee Endpoint Security 10.2 Guia do produto 145

146 4 Usar o Firewall Referência da interface do cliente Firewall Tabela 4-2 Opções avançadas (continuação) Seção Opção Definição Confiável Sim Permite todo o tráfego da rede. A definição de uma rede como confiável cria uma regra Permitir bidirecional para essa rede remota no topo da lista de regras do Firewall. Não Adiciona a rede à lista de redes definidas para a criação de regras. Executáveis confiáveis Proprietário Especifica executáveis que são seguros em qualquer ambiente e não têm vulnerabilidades conhecidas. Esses executáveis têm permissão para executar qualquer operação, exceto aquelas que sugerirem que os executáveis foram comprometidos. A configuração de um executável confiável cria uma regra Permitir bidirecional para esse executável no topo da lista de regras do Firewall. Adicionar - Adiciona um executável confiável. Clicar duas vezes em um item - Modifica o item selecionado. Excluir Remove o executável da lista de confiança. Consulte também Configurar as Firewall na página 129 Definir redes para usar em regras e grupos na página 131 Configurar executáveis confiáveis na página 132 Adicionar executável ou Editar executável na página 153 Firewall Regras Gerencie regras de firewall e grupos. Você pode adicionar e excluir regras e grupos somente no grupo Adicionado pelo usuário. Firewall move automaticamente as regras recém-adicionadas a este grupo. Para redefinir as configurações para o padrão de fábrica e cancelar suas alterações, clique em Redefinir para o padrão. Tabela 4-3 Opções Seção Opção Definição Regra Grupo REGRAS Adicionar regra Cria uma regra de firewall. Adicionar grupo Clicar duas vezes em um item Duplicar Excluir Cria um grupo do firewall. Modifica o item selecionado. Cria uma cópia do item selecionado. Remove um item de firewall selecionado. Indica elementos que podem ser movidos na lista. Selecione elementos e arraste e solte-os no novo local. Uma linha azul é exibida entre os elementos no local em que você pode soltar os elementos arrastados. 146 McAfee Endpoint Security 10.2 Guia do produto

147 Usar o Firewall Referência da interface do cliente Firewall 4 Consulte também Criar e gerenciar regras e grupos do Firewall na página 139 Página Adicionar regra ou Editar regra, Adicionar grupo ou Editar grupo na página 147 Página Adicionar regra ou Editar regra, Adicionar grupo ou Editar grupo Adicione ou edite os grupos e as regras de firewall. Tabela 4-4 Opções Seção Opção Definição Regra Grupo Descrição Nome Especifica o nome descritivo do item (obrigatório). Status Especificar ações Ativa ou desativa o item. Permitir Permite o tráfego por meio do firewall se o item for correspondente. Bloquear Impede que o tráfego passe pelo firewall se o item for correspondente. Tratar correspondência como intrusão Trata o tráfego que corresponde à regra como uma intrusão. A ativação desta opção exibe um alerta, envia um evento para o servidor de gerenciamento e o adiciona ao arquivo de log do Cliente do Endpoint Security. Prática recomendada: não ativar esta opção para uma regra Permitir, pois ela resulta em muitos eventos. Local Direção Notas Ativar reconhecimento de local Nome Registrar em log o tráfego correspondente - trata o tráfego que corresponde à regra como uma detecção. A ativação desta opção envia um evento para o servidor de gerenciamento e o adiciona ao arquivo de log do Cliente do Endpoint Security. Especifica a direção: Qualquer um Monitora tanto o tráfego de entrada quanto o de saída. Entrada Monitora o tráfego de entrada. Saída Monitora o tráfego de saída. Fornece mais informações sobre o item. Ativa ou desativa as informações do local do grupo. Especifica o nome do local (obrigatório). McAfee Endpoint Security 10.2 Guia do produto 147

148 4 Usar o Firewall Referência da interface do cliente Firewall Tabela 4-4 Opções (continuação) Seção Opção Definição Regra Grupo Ativar isolamento de conexão Bloqueia o tráfego em adaptadores de rede que não correspondem ao grupo quando há um adaptador que não corresponde ao grupo. As configurações de Transporte e Executáveis não estão disponíveis para os grupos de isolamento de conexão. Uma das utilizações dessa opção é o bloqueio do tráfego gerado por fontes potencialmente indesejáveis vindas de fora da rede corporativa. O bloqueio do tráfego dessa maneira é possível somente se uma regra que precede o grupo no firewall não o tiver já permitido. Quando o isolamento de conexão estiver ativado e um NIC corresponder ao grupo, o tráfego só será permitido quando um dos itens a seguir for aplicável: O tráfego corresponde a uma Regra de permissão antes do grupo. O tráfego que percorre um NIC corresponde ao grupo e há uma regra no grupo ou abaixo dele que permite o tráfego. Se nenhum NIC corresponder ao grupo, o grupo é ignorado e a correspondência de regras continua. Requer que o McAfee epo esteja acessível Permite que o grupo faça a correspondência somente se houver comunicação com o servidor do McAfee epo e o FQDN do servidor tenha sido resolvido. 148 McAfee Endpoint Security 10.2 Guia do produto

149 Usar o Firewall Referência da interface do cliente Firewall 4 Tabela 4-4 Opções (continuação) Seção Opção Definição Regra Grupo Critérios de local Sufixo DNS específico da conexão - Especifica um sufixo DNS específico para a conexão no formato: example.com. Gateway padrão - Especifica um endereço IP único para um gateway padrão no formato IPv4 ou IPv6. Servidor DHCP - Especifica um endereço IP único para um servidor DHCP no formato IPv4 ou IPv6. Servidor DNS - Especifica um endereço IP único para um servidor de nome de domínio no formato IPv4 ou IPv6. Servidor primário WINS - Especifica um endereço IP único para um servidor WINS primário no formato IPv4 ou IPv6. Servidor secundário WINS - Especifica um endereço IP único para um servidor WINS secundário no formato IPv4 ou IPv6. Acessibilidade do domínio Exige que o domínio especificado esteja acessível. Chave de Registro Especifica a chave de Registro e o valor da chave. 1 Clique em Adicionar. 2 Na coluna Valor, especifique a chave de Registro no formato: <ROOT>\<KEY>\[NOME_DO_VALOR] <ROOT> Deve usar o nome completo da raiz, como HKEY_LOCAL_MACHINE, e não a abreviação HKLM. <KEY> É o nome da chave na raiz. [NOME_DO_VALOR] É o nome do valor da chave. Se nenhum nome de valor for incluído, presume-se que seja o valor padrão. Formatos de exemplo: IPv IPv6 2001:db8:c0fa:f340:9219: bd20:9832:0ac7 Redes Protocolo de rede Qualquer protocolo Especifica as opções de host da rede que se aplicam ao item. Especifica o protocolo de rede que se aplica ao item. Permite protocolos IP e não IP. Se um protocolo de transporte ou um aplicativo for especificado, somente os protocolos IP são permitidos. McAfee Endpoint Security 10.2 Guia do produto 149

150 4 Usar o Firewall Referência da interface do cliente Firewall Tabela 4-4 Opções (continuação) Seção Opção Definição Regra Grupo Protocolo IP Exclui protocolos não IP. Protocolo IPv4 Protocolo IPv6 Se nenhuma caixa de seleção for marcada, qualquer protocolo IP será aplicável. Pode-se selecionar ambos, IPv4 e IPv6. Protocolo não IP Tipos de conexão Especifique as redes Inclui somente protocolos não IP. Selecionar EtherType na lista - Especifica um EtherType. Especificar EtherType personalizado - Especifica os quatro caracteres do valor do EtherType hexadecimal no protocolo não IP. Consulte Números Ethernet para ver os valores de EtherType. Por exemplo, insira 809B para AppleTalk, 8191 para NetBEUI ou 8037 para IPX. Indica se um ou todos os tipos de conexão são aplicáveis: Com fio Sem fio Virtual Um tipo de conexão Virtual é um adaptador apresentado por uma VPN ou por um aplicativo de máquina virtual, como o VMware, em vez de um adaptador físico. Especifica as redes que se aplicam ao item. Adicionar Cria e adiciona uma rede. Clicar duas vezes em um item - Modifica o item selecionado. Excluir Remove a rede da lista. Transporte Especifica as opções de transporte que se aplicam ao item. 150 McAfee Endpoint Security 10.2 Guia do produto

151 Usar o Firewall Referência da interface do cliente Firewall 4 Tabela 4-4 Opções (continuação) Seção Opção Definição Regra Grupo Protocolo de transporte Especifica o protocolo de transporte associado ao item. Selecione o protocolo, depois clique em Adicionar para adicionar portas. Todos os protocolos Permite protocolos IP, não IP e sem suporte. TCP e UDP Selecione na lista suspensa: Porta local Especifica a porta ou o serviço de tráfego local ao qual o item se aplica. Porta remota Especifica a porta ou serviço de tráfego em outro computador ao qual o item é aplicável. A Porta local e a Porta remota podem ser: Um serviço único. Exemplo: 23. Um intervalo. Exemplo: Uma lista separada por vírgula de portas únicas e intervalos. Por exemplo, 80, 8080, 1 10, 8443 (até 4 itens). Por padrão, as regras se aplicam a todos os serviços e portas. ICMP - Na lista suspensa Tipo de mensagem, especifique um tipo de mensagem ICMP. Veja ICMP. ICMPv6 - Na lista suspensa Tipo de mensagem, especifique um tipo de mensagem ICMP. Veja ICMPv6. Outros - Seleciona protocolos menos comuns em uma lista. Executáveis Agendamento Especifica as executáveis que se aplicam à regra. Adicionar - Cria e adiciona um executável. Clicar duas vezes em um item - Modifica o item selecionado. Excluir - Remove um executável da lista. Especifica as definições de agendamento para a regra ou grupo. McAfee Endpoint Security 10.2 Guia do produto 151

152 4 Usar o Firewall Referência da interface do cliente Firewall Tabela 4-4 Opções (continuação) Seção Opção Definição Regra Grupo Ativar agendamento Desativar agendamento e ativar o grupo a partir do ícone da bandeja do sistema da McAfee Ativa o agendamento para a regra ou o grupo temporizado. Quando o agendamento está desativado, a regra ou as regras não são aplicadas no grupo. Hora de início - Especifica a hora de início para ativar o agendamento. Hora de término - Especifica a hora que o agendamento será desativado. Dias da semana - Indica os dias da semana para ativar o agendamento. Para horas de inicio e de fim, use um relógio de 24 horas. Por exemplo, 13:00 = 1:00 p.m. Você pode agendar os grupos temporizados do Firewall ou permitir que o usuário os ative usando o ícone da McAfee na bandeja do sistema. Especifica que o usuário pode ativar o grupo temporizado por um determinado número de minutos usando o ícone da bandeja do sistema da McAfee, em vez de usar o agendamento. Prática recomendada: usar esta opção para permitir amplo acesso de rede, por exemplo, em um hotel, antes que uma conexão VPN seja estabelecida. A seleção desta opção exibe mais opções de menu em Configurações rápidas no ícone da bandeja do sistema da McAfee: Ativar grupos limitados de firewall Ativa os grupos temporizados por um determinado período de tempo a fim de permitir o acesso à Internet antes que as regras que restringem o acesso sejam aplicadas. Quando os grupos temporizados estão ativados, a opção é Desativar grupos temporizados do Firewall. Sempre que selecionar essa opção, você redefinirá o tempo dos grupos. Dependendo das configurações, você pode ser solicitado a fornecer ao administrador um motivo para ativar os grupos temporizados. Exibir grupos limitados de firewall Exibe os nomes dos grupos temporizados e a quantidade de tempo restante de ativação de cada grupo. Número de minutos (1-60) para ativar o grupo Especifica o número de minutos (de 1 a 60) em que o grupo temporizado permanece ativo após a seleção de Ativar grupos limitados de firewall no ícone da McAfee na bandeja do sistema. 152 McAfee Endpoint Security 10.2 Guia do produto

153 Usar o Firewall Referência da interface do cliente Firewall 4 Consulte também Criar e gerenciar regras e grupos do Firewall na página 139 Criar grupos temporizados na página 142 Ativar ou exibir grupos temporizados do Firewall usando o ícone da bandeja do sistema da McAfee na página 128 Página Adicionar rede ou Editar rede na página 154 Adicionar executável ou Editar executável na página 153 Adicionar executável ou Editar executável Adicione ou edite um executável associado a uma regra ou um grupo. Tabela 4-5 Opções Opção Nome Nome do arquivo ou caminho Descrição do arquivo Hash de MD5 Definição Especifica o nome pelo qual você chama o executável. Esse campo é obrigatório com, pelo menos, um outro campo: Nome ou caminho do arquivo, Descrição do arquivo, Hash de MD5 ou signatário. Especifica o nome ou o caminho do arquivo para o executável a ser adicionado ou editado. Clique em Procurar para selecionar o executável. O caminho do arquivo pode incluir caracteres curinga. Indica a descrição do arquivo. Indica o hash de MD5 (número hexadecimal de 32 dígitos) do processo. McAfee Endpoint Security 10.2 Guia do produto 153

154 4 Usar o Firewall Referência da interface do cliente Firewall Tabela 4-5 Opções (continuação) Opção Assinante Definição Ativar a verificação da assinatura digital - Garante que o código não foi alterado ou corrompido desde que foi assinado com um hash criptográfico. Se ativado, especifique: Permitir qualquer assinatura Permite arquivos assinados por qualquer signatário de processo. Assinado por Permite apenas arquivos assinados pelo signatário do processo especificado. É obrigatório um nome distinto de signatário (SDN) para o executável e ele deve corresponder exatamente às entradas no campo acompanhante, incluindo vírgulas e espaços. O signatário do processo é exibido no formato correto nos eventos do Log de eventos do Cliente do Endpoint Security e do Log de eventos de ameaça do McAfee epo. Por exemplo: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Para obter um SDN de um executável: 1 Clique com o botão direito em um executável e selecione Propriedades. 2 Na guia Assinaturas digitais, selecione um signatário e clique em Detalhes. 3 Na guia Geral, clique em Exibir certificado. 4 Na guia Detalhes, selecione o campo Assunto. É exibido o nome diferenciado do signatário. Por exemplo, o Firefox possui este nome diferenciado de signatário: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = Califórnia C = EUA Notas Apresenta mais informações sobre o item. Página Adicionar rede ou Editar rede Adiciona ou edita uma rede associada a uma regra ou grupo. Tabela 4-6 Opções Opção Definição Regra Grupo Nome Tipo Especifica o nome do endereço de rede (obrigatório). Selecione entre: Rede local Cria e adiciona uma rede local. Rede remota Cria e adiciona uma rede remota. Adicionar Clicar duas vezes em um item Excluir Adiciona um tipo de rede à lista de redes. Modifica o item selecionado. Exclui o item selecionado. 154 McAfee Endpoint Security 10.2 Guia do produto

155 Usar o Firewall Referência da interface do cliente Firewall 4 Tabela 4-6 Opções (continuação) Opção Definição Regra Grupo Tipo de endereço Endereço Especifica a origem ou o destino do tráfego. Selecione na lista suspensa Tipo de endereço. Especifica o endereço IP para adicionar à rede. Caracteres curinga são válidos. Consulte também Tipo de endereço na página 155 Tipo de endereço Especifique o tipo de endereço de uma rede definida. Tabela 4-7 Opções Opção Endereço IP único Definição Especifica um endereço IP particular. Por exemplo: IPv IPv6-2001:db8::c0fa:f340:9219:bd20:9832:0ac7* Sub-rede Especifica o endereço de sub-rede de qualquer adaptador na rede. Por exemplo: IPv /24 IPv6-2001:db8::0/32 Sub-rede local Intervalo Especifica o endereço de sub-rede do adaptador local. Especifica um intervalo de endereços IP. Digite o ponto inicial e o ponto final do intervalo. Por exemplo: IPv IPv6-2001:db8::0000:0000:0000: :db8::ffff:ffff:ffff:ffff Nome de domínio totalmente qualificado Qualquer endereço IP local Qualquer endereço IPv4 Qualquer endereço IPv6 Especifica o FQDN. Por exemplo, Especifica qualquer endereço IP local. Especifica qualquer endereço IPv4. Especifica qualquer endereço IPv6. McAfee Endpoint Security 10.2 Guia do produto 155

156 4 Usar o Firewall Referência da interface do cliente Firewall 156 McAfee Endpoint Security 10.2 Guia do produto

157 5 Usar 5 o Controle da Web Os recursos de proteção do Controle da Web são exibidos no navegador ao navegar e pesquisar. Conteúdo Sobre os recursos do Controle da Web Acessar recursos do Controle da Web Gerenciamento do Controle da Web Referência da interface do cliente Controle da Web Sobre os recursos do Controle da Web À medida que o Controle da Web é executado em cada sistema gerenciado, ele o notifica sobre as ameaças enquanto você busca ou navega em sites da rede. Uma equipe da McAfee analisa cada site e atribui uma classificação de segurança com código de cores de acordo com os resultados do teste. A cor indica o nível de segurança do site. O software usa os resultados do teste para notificá-lo sobre as ameaças da web que você pode encontrar. Nas páginas de resultados da pesquisa - Um ícone é exibido ao lado de cada site listado. A cor do ícone indica a classificação de segurança do site. Você pode acessar mais informações com os ícones. Na janela do navegador - Um botão é exibido no navegador. A cor do botão indica a classificação de segurança do site. Você pode ter acesso a mais informações clicando no botão. O botão também notifica você quando ocorrerem problemas de comunicação e providencia acesso rápido a testes que ajudam a identificar problemas comuns. Nos relatórios de segurança - Os detalhes mostram como a classificação de segurança foi calculada com base nos tipos de ameaças detectadas, resultados de testes e outros dados. Para sistemas gerenciados, os administradores criam políticas para: Ativa e desativa o Controle da Web em seu sistema, e impede ou permite que o software e o plug-in do navegador sejam desativados. Controla o acesso a sites, páginas e downloads com base em sua classificação de segurança ou tipo de conteúdo. Por exemplo, bloquear sites com nível de risco vermelho e avisar aos usuários que tentam acessar sites com nível de risco amarelo. Identificar sites como bloqueado ou permitido, com base em URLs e domínios. Impede que você desinstale ou altere arquivos do Controle da Web, chaves de registro, valores do registro, serviços e processos. McAfee Endpoint Security 10.2 Guia do produto 157

158 5 Usar o Controle da Web Sobre os recursos do Controle da Web Personaliza a notificação que é exibida quando você tenta acessar um site bloqueado. Monitorar e regular a atividade do navegador nos computadores da rede e criar relatórios detalhados sobre sites. Para sistemas autogerenciáveis, você pode configurar as definições para: Ativa e desativa o Controle da Web em seu sistema. Controla o acesso a sites, páginas e downloads com base em sua classificação de segurança ou tipo de conteúdo. Por exemplo, bloquear sites com nível de risco vermelho e avisar aos usuários que tentam acessar sites com nível de risco amarelo. O software é compatível com os navegadores Microsoft Internet Explorer, Mozilla Firefox, e Google Chrome. Em sistemas autogerenciados, todos os navegadores - suportados e não suportados - são permitidos, por padrão. O Chrome não dá suporte à opção Mostrar balão. Consulte também O botão do Controle da Web identifica ameaças durante a navegação na página 159 Os ícones de segurança identificam ameaças durante a pesquisa na página 160 Os relatórios do site apresentam detalhes na página 160 Como as classificações de segurança são compiladas na página 161 Como o Controle da Web bloqueia ou avisa sobre um site ou um download Quando um usuário visita um site que tenha sido bloqueado ou avisado, o Controle da Web exibe uma página ou uma mensagem pop-up indicando o motivo. Se as ações de classificação de um site estiverem definidas como: Avisar - Controle da WebControle da Web mostra um alerta para notificar o usuário de potenciais perigos associados ao site. Cancelar retorna ao site navegado anteriormente. Se a guia do navegador não tiver nenhum site visualizado anteriormente, Cancelar não estará disponível. Continuar prossegue para o site. Bloquear - Controle da Webexibe uma mensagem indicando que o site está bloqueado e evita que usuários acessem o site. OK retorna ao site navegado anteriormente. Se a guia do navegador não tiver nenhum site visualizado anteriormente, OK não estará disponível. Se as ações de classificação de downloads de um site estiverem definidas como: Avisar - Controle da WebControle da Web mostra um alerta para notificar o usuário de potenciais perigos associados ao download do arquivo. Bloquear impede o download e retorna ao site. Continuar permite o download. 158 McAfee Endpoint Security 10.2 Guia do produto

159 Usar o Controle da Web Sobre os recursos do Controle da Web 5 Bloquear - Controle da Web exibe uma mensagem indicando que o site está bloqueado e impede o download. OK retorna ao site. O botão do Controle da Web identifica ameaças durante a navegação Ao navegar para um site, é exibido um botão com código de cores do botão corresponde à classificação de segurança do site. no navegador. A cor A classificação de segurança se aplica somente às URLs de protocolo HTTP e HTTPS. Internet Explorer e Safari (Mac) Firefox e Chrome Descrição Este site é testado diariamente e certificado como seguro pelo McAfee SECURE. (apenas Windows) Este site é seguro. Este site pode ter problemas. Este site tem problemas graves. Não há classificação disponível para este site. Este botão aparece para o FILE (file://) URLs de protocolo. Ocorreu um erro de comunicação com o servidor McAfee GTI que contém informações sobre classificações. O Controle da Web não consultou o McAfee GTI a respeito deste site, indicando que o site seja interno ou esteja em uma faixa de endereços IP privada. O site é de phishing. Phishing é uma tentativa de adquirir informações confidenciais como nomes de usuário, senhas e detalhes de cartão de crédito. Os sites de phishing se passam por entidades confiáveis em uma comunicação eletrônica. Uma configuração ativa este site. Uma configuração desativou o Controle da Web. A localização do botão depende do navegador: Internet Explorer - Barra de ferramentas do Controle da Web Firefox - Canto direito da barra de ferramentas do Firefox Chrome - Barra de endereço Consulte também Ver informações sobre um site enquanto navega na página 163 McAfee Endpoint Security 10.2 Guia do produto 159

160 5 Usar o Controle da Web Sobre os recursos do Controle da Web Os ícones de segurança identificam ameaças durante a pesquisa Quando os usuários digitam palavras-chave em um mecanismo de pesquisa popular como Google, Yahoo, Bing ou Ask, ícones de segurança são exibidos junto aos sites na página de resultados da pesquisa. A cor do botão corresponde à classificação de segurança do site. Os testes não revelaram nenhum problema importante. Testes revelaram alguns problemas que talvez você precise saber. Por exemplo, o site tentou alterar os padrões do navegador dos testadores, exibiu pop-ups ou enviou-lhes uma quantidade significativa de s não spam. Testes revelaram alguns problemas que talvez você precise considerar cuidadosamente antes de acessar este site. Por exemplo, o site enviou muitos s de spam aos verificadores ou incluiu adware no download. Uma configuração de bloqueou este site. Este site está sem classificação. Consulte também Exibir relatório de site durante a pesquisa na página 163 Os relatórios do site apresentam detalhes Você podem exibir o relatório do site de um site para obter detalhes sobre ameaças específicas. Os relatórios de sites são entregues pelo servidor de classificações do McAfee GTI e oferecem as informações a seguir. Este item... Visão geral Filiações On-line Indica... Classificação geral do site, determinada a partir desses testes: Avaliação das práticas de e download de um site usando técnicas próprias de coleta e análise de dados. Exame do site em si, para verificar se ele adota práticas incômodas, como excesso de pop-ups ou solicitações para que você mude sua página inicial. Análise das afiliações online do site para saber se ele está associado a outros sites suspeitos. Combinação da análise do McAfee de sites suspeitos com os comentários de nossos serviços de Threat Intelligence. Quão agressivamente o site tenta te levar para outros sites que o McAfee classificou como vermelho. Os sites suspeitos com frequência se associam a outros sites suspeitos. O objetivo primário de sites alimentadores é fazer com que você visite o site suspeito. Um site pode ser sinalizado com a classificação vermelha se, por exemplo, contiver grande quantidade de links para outros sites com a classificação vermelha. Nesse caso. o Controle da Web considera o site com classificação vermelha por associação. 160 McAfee Endpoint Security 10.2 Guia do produto

161 Usar o Controle da Web Sobre os recursos do Controle da Web 5 Este item... Testes de spams na web Indica... Classificação geral das práticas de de um site, com base nos resultados dos testes. A McAfee classifica os sites com base na quantidade de s recebidos após inserirmos um endereço no site e também se esses s se parecem com spam. Se uma dessas medidas ficar acima do que consideramos aceitável, a McAfee classifica o site como amarelo. Se ambas as medidas forem altas, ou uma delas for especialmente grave, a McAfee classifica o site como vermelho. Testes de download Classificação geral do impacto sofrido por nosso computador de teste em decorrência de um software obtido por download em um site com base nos resultados do teste. A McAfee atribui sinalizadores vermelhos a sites que têm downloads infectados por vírus ou que adicionam software não relacionado que muitas pessoas considerariam adware ou spyware. A classificação também registra os servidores de rede que um programa obtido por download contata durante a operação, bem como quaisquer modificações nas configurações do navegador ou arquivos de registro do computador. Consulte também Exibir relatório de site durante a pesquisa na página 163 Ver informações sobre um site enquanto navega na página 163 Como as classificações de segurança são compiladas Uma eqipe do McAfee desenvolve classificações de segurança ao testar critérios para cada site e avaliar os resultados para detectar ameaças comuns. Os testes automáticos compilam as classificações de segurança para um site através de: Download de arquivos para verificar a existência de vírus e programas potencialmente indesejados junto com o download. Envio de informações de contato nos formulários de inscrição e verificação dos resultados de spam ou alto volume de s não spam enviados pelo site ou seus afiliados. Verificação de janelas pop-up em excesso. Verificação de tentativas do site de explorar as vulnerabilidades do navegador. Verificação de práticas fraudulentas ou enganadoras aplicadas por um site. A equipe compila os resultados dos testes em um relatório de segurança, que também pode incluir: Comentários enviados por proprietários de sites, que podem incluir descrições de precauções de segurança usadas pelo site ou respostas aos comentários dos usuários sobre o site. Comentários enviados por usuários de sites, que podem incluir relatórios de fraudes de phishing ou experiências ruins de compras. Mais análises pelos especialistas do McAfee. O servidor do McAfee GTI armazena as classificações de sites e relatórios. McAfee Endpoint Security 10.2 Guia do produto 161

162 5 Usar o Controle da Web Acessar recursos do Controle da Web Acessar recursos do Controle da Web Acesse recursos do Controle da Web pelo navegador. Tarefas Ativar o plug-in de Controle da Web usando o navegador na página 162 Em alguns navegadores, você deve ativar o plug-in do Controle da Web manualmente para ser notificado sobre ameaças baseadas na Web durante a navegação e busca. Ver informações sobre um site enquanto navega na página 163 Use o botão do Controle da Web no navegador para exibir informações sobre um site. O botão funciona de forma diferente dependendo do navegador. Exibir relatório de site durante a pesquisa na página 163 Use o ícone de segurança da página de resultados da pesquisa para exibir mais informações sobre o site. Ativar o plug-in de Controle da Web usando o navegador Em alguns navegadores, você deve ativar o plug-in do Controle da Web manualmente para ser notificado sobre ameaças baseadas na Web durante a navegação e busca. Antes de iniciar O módulo de Controle da Web deve estar ativado. Quando você inicia o Internet Explorer ou o Chrome pela primeira vez, será solicitado que você ative os plug-ins. O plug-in do Controle da Web é ativado por padrão no Firefox. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. No prompt, clique no botão para ativar o plug-in. Internet Explorer Chrome Firefox Clique em Ativar. Se mais de um plug-in estiver disponível, clique emescolher complementos e, em seguida, clique em Ativar para acessar a barra de ferramentas do Controle da Web. Clique em Ativar extensão. Clique em Complementos Extensões. Clique em Ativar para ativar a extensão Controle da Web do Endpoint Security. Reinicie o Firefox. No Internet Explorer, se você desativar a barra de ferramentas do Controle da Web, será solicitado que também desative o plug-in do Controle da Web. Em sistemas gerenciados, se as configurações de política impedirem que o plug-in seja desinstalado ou desativado, o Controle da Web permanecerá ativado mesmo que a barra de ferramentas não esteja visível. 162 McAfee Endpoint Security 10.2 Guia do produto

163 Usar o Controle da Web Acessar recursos do Controle da Web 5 Ver informações sobre um site enquanto navega Use o botão do Controle da Web no navegador para exibir informações sobre um site. O botão funciona de forma diferente dependendo do navegador. Antes de iniciar O módulo de Controle da Web deve estar ativado. O plug-in do Controle da Web deve ser ativado no navegador. A opção Ocultar a barra de ferramentas no navegador do cliente nas configurações Opções deve estar desativada. Quando o Internet Explorer estiver em modo de tela cheia, a barra de ferramentas do Controle da Web não será exibida. Para exibir o menu do Controle da Web: Internet Explorer e Firefox Chrome Clique no botão Clique no botão na barra de ferramentas. na barra de endereço. Tarefa 1 Mantenha o cursor sobre o botão na barra de ferramentas do Controle da Web para exibir um balão que resume a classificação de segurança do site. (somente Internet Explorer e Firefox) 2 Exibir o relatório detalhado do site, incluindo mais informações sobre a sua classificação de segurança: Clique no botão do Controle da Web. Selecione Exibir relatório de site no menu Controle da Web. Clique no link Exibir relatório de site no balão do site. (somente Internet Explorer e Firefox) Consulte também O botão do Controle da Web identifica ameaças durante a navegação na página 159 Os relatórios do site apresentam detalhes na página 160 Exibir relatório de site durante a pesquisa Use o ícone de segurança da página de resultados da pesquisa para exibir mais informações sobre o site. Tarefa 1 Coloque o cursor sobre o ícone de segurança. O texto do balão exibe um resumo do relatório de segurança do site. 2 Clique em Ler relatório de site (no balão) para abrir um relatório de segurança detalhado do site em outra janela do navegador. Consulte também Os ícones de segurança identificam ameaças durante a pesquisa na página 160 Os relatórios do site apresentam detalhes na página 160 McAfee Endpoint Security 10.2 Guia do produto 163

164 5 Usar o Controle da Web Gerenciamento do Controle da Web Gerenciamento do Controle da Web Como administrador, você pode especificar as configurações do Controle da Web para ativar e personalizar a proteção, bloquear com base em categorias da Web e configurar o registro. Em sistemas gerenciados, as alterações de política do McAfee epo podem substituir as alterações da página Configurações. Configurar opções de Controle da Web É possível ativar o Controle da Web e configurar opções usando o Cliente do Endpoint Security. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 Clique em Controle da Web na página Status principal. Ou, no menu Ação, selecione Configurações e clique em Controle da Web na página Configurações. 3 Clique em Mostrar opções avançadas. 4 Clique em Opções. 164 McAfee Endpoint Security 10.2 Guia do produto

165 Usar o Controle da Web Gerenciamento do Controle da Web 5 5 Selecione Ativar Controle da Web para tornar o Controle da Web ativo e modificar suas opções. Para... Faça isso... Notas Oculte a barra de ferramentas do Controle da Web no navegador sem desativar a proteção. Rastrear eventos do navegador para usar nos relatórios. Bloquear ou avisar a respeito de URLs desconhecidos. Fazer a varredura de arquivos antes do download. Adicionar sites externos à rede privada local. Bloquear a exibição de sites arriscados nos resultados da pesquisa. Selecione Ocultar a barra de ferramentas no navegador do cliente. Configure as definições na seção Relatório de eventos. Em Imposição de ação, selecione a ação (Bloquear, Permitir ou Avisar) para os sites que ainda não foram classificados pelo McAfee GTI. Em Imposição de ação, selecione Ativar varredura de arquivos em downloads de arquivos e, em seguida, selecione o nível de risco do McAfee GTI para bloquear. Em Imposição de ação, sob Especificar intervalos e endereços IP adicionais para permitir, clique em Adicionar e insira um intervalo ou endereço IP externo. Em Pesquisa segura, selecione Ativar pesquisa segura, selecione o mecanismo de pesquisa e especifique se os links dos sites perigosos deverão ser bloqueados. 6 Configure outras opções conforme necessário. 7 Clique em Aplicar para salvar suas alterações ou clique em Cancelar. Consulte também Como os downloads de arquivos são analisados na página 166 Entrar como administrador na página 27 Configure os eventos do Controle da Web enviados dos sistemas clientes para o servidor de gerenciamento para serem usados em consultas e relatórios. A Pesquisa Segura filtra automaticamente os sites maliciosos nos resultados da pesquisa com base em suas classificações de segurança. O Controle da Web utiliza o Yahoo como mecanismo de pesquisa padrão e dá suporte à Pesquisa segura apenas no Internet Explorer. Caso altere o mecanismo de pesquisa padrão, reinicie o navegador para que as alterações tenham efeito. Na próxima vez em que o usuário abrir o Internet Explorer, o Controle da Web exibirá um pop-up solicitando que o usuário mude para a Pesquisa segura da McAfee com o mecanismo de pesquisa especificado. Para as versões do Internet Explorer nas quais o mecanismo de pesquisa está bloqueado, o pop-up de Pesquisa segura não é exibido. McAfee Endpoint Security 10.2 Guia do produto 165

166 5 Usar o Controle da Web Gerenciamento do Controle da Web Como os downloads de arquivos são analisados O Controle da Web envia solicitações de download de arquivo à Prevenção contra ameaças para varredura antes de executar o download. Como funciona o McAfee GTI Se você ativar o McAfee GTI para o mecanismo de varredura ao acessar ou por solicitação, o mecanismo de varredura utilizará a heurística para verificar arquivos suspeitos. O servidor McAfee GTI armazena classificações de sites e relatórios para o Controle da Web. Se você configurar o Controle da 166 McAfee Endpoint Security 10.2 Guia do produto

167 Usar o Controle da Web Gerenciamento do Controle da Web 5 Web para varrer arquivos obtidos por download, o mecanismo de varredura usará a reputação de arquivos do McAfee GTI para verificar se há arquivos suspeitos. O mecanismo de varredura envia impressões digitais de amostras, ou hashes, para um servidor de banco de dados central hospedado pelo McAfee Labs para determinar se são malware. Ao enviar hashes, a detecção pode ser disponibilizada antes da próxima atualização de arquivo de conteúdo, quando o McAfee Labs publicar a atualização. Você pode configurar o nível de sensibilidade a ser usado pelo McAfee GTI ao determinar se uma amostra detectada é malware. Quanto mais alto o nível de sensibilidade, maior o número de detecções de malware. Contudo, a permissão de mais detecções pode resultar em mais detecções de falsos positivos. Na Prevenção contra ameaças, o nível de sensibilidade do McAfee GTI é definido como Médio por padrão. Configure o nível de sensibilidade para cada mecanismo de varredura nas configurações da Prevenção contra ameaças. No Controle da Web, o nível de sensibilidade do McAfee GTI é definido como Muito alto por padrão. Defina o nível de sensibilidade para a varredura de downloads de arquivos nas configurações de Opções do Controle da Web, Você pode configurar o Endpoint Security para usar um servidor proxy para recuperar informações de reputação do McAfee GTI nas configurações Em Comum. Especificar ações de classificação e bloqueio de acesso a sites com base na categoria da Web Configure as configurações de política de para especificar as ações a serem aplicadas em sites e arquivos de download, com base nas classificações de segurança. Opcionalmente, especifique para bloquear o permitir sites em cada categoria da Web. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Use as configurações de Mensagem de imposição para personalizar a mensagem que será exibida para sites e downloads de arquivos bloqueados ou com avisos e para páginas de phishing bloqueadas. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 Clique em Controle da Web na página Status principal. Ou, no menu Ação, selecione Configurações e clique em Controle da Web na página Configurações. 3 Clique em Mostrar opções avançadas. 4 Clique em Ações de Conteúdo. 5 Na seção Bloqueio de Categoria da Web, para cada Categoria da Web, ative ou desative a opção Bloquear. Para sites nas categorias não bloqueadas, o Controle da Web também aplica as ações de classificação. McAfee Endpoint Security 10.2 Guia do produto 167

168 5 Usar o Controle da Web Referência da interface do cliente Controle da Web 6 Na seção Ações de classificação, especifique as ações a serem aplicadas a qualquer site e arquivos de download, com base nas classificações de segurança definidas pelo McAfee. Estas ações também se aplicam a sites que não foram bloqueados pelo bloqueio por categoria da web. 7 Clique em Aplicar para salvar suas alterações ou clique em Cancelar. Consulte também Utilizando categorias da web para controlar acesso na página 168 Uso de classificações de segurança para controlar o acesso na página 168 Entrar como administrador na página 27 Utilizando categorias da web para controlar acesso As categorias da web permitem que você tenham controle do acesso a sites, com base nas categorias que a McAfee definir. Você pode especificar opções para permitir ou bloquear acesso a sites, com base na categoria do conteúdo contido neles. Ao ativar o bloqueio da categoria da Web nas configurações de de Ações de conteúdo, o software bloqueia ou permite as categorias dos sites. Estas categorias da Web incluem Jogos de azar, Jogos e Mensagens instantâneas. A McAfee define e mantém uma lista de aproximadamente 105 categorias da Web. Quando um cliente usuário acessa um site, o software verifica a categoria da web para aquele site. Se o site faz parte de uma categoria definida, o acesso é permitido ou bloqueado, com base nas configurações da política de. Para sites e arquivos baixados nas categorias não bloqueadas, o software aplica as Ações de Classificação específicas. Uso de classificações de segurança para controlar o acesso Configure ações com base em classificações de segurança para determinar se os usuários podem acessar um site ou recursos em um site. Especifique se cada site ou download de arquivo será permitido, avisado ou bloqueado com base na classificação. Essa configuração possibilita um maior nível de granularidade na proteção dos usuários contra arquivos que possam representar uma ameaça em sites com classificação geral de cor verde. Referência da interface do cliente Controle da Web Os tópicos de ajuda da referência da interface fornecem ajuda contextual para as páginas da interface do cliente. Conteúdo Controle da Web Opções Controle da Web Ações de conteúdo Controle da Web Opções Defina as configurações gerais docontrole da Web, incluindo a ativação, a especificação da imposição de ações, pesquisa segura e anotações de . Consulte as configurações do módulo Em Comum para verificar a configuração de registro em log. 168 McAfee Endpoint Security 10.2 Guia do produto

169 Usar o Controle da Web Referência da interface do cliente Controle da Web 5 Tabela 5-1 Opções Seção Opção Definição OPÇÕES Ativar Controle da Web Desativa ou ativa o Controle da Web. (Ativado por padrão) Log de eventos Ocultar a barra de ferramentas no navegador do cliente Registrar categorias da web para sites classificados como verde Oculta a barra de ferramentas do Controle da Web no navegador sem desativar suas funções. (Desativado por padrão) Registrar categorias de conteúdo para todos os sites classificados como verde. Ativar esta categoria pode afetar negativamente a performance do servidor McAfee epo. Imposição de ação Registrar em log os eventos do iframe do Controle da Web Aplique esta ação para sites que ainda não foram verificados pelo McAfee GTI Ativar suporte para iframes HTML Bloquear sites por padrão se o servidor de classificações do McAfee GTI não estiver acessível Bloquear páginas de phishing para todos os sites Ativar varredura de arquivos em downloads de arquivos Nível de sensibilidade do McAfee GTI Registra em log quando os sites maliciosos (vermelho) e com aviso (amarelo) exibidos em um iframe HTML são bloqueados. Especifica a ação padrão a ser aplicada a sites que o McAfee GTI ainda não classificou. Permitir (Padrão) - Permite que os usuários acessem o site. Avisar - Exibe um aviso para notificar os usuários de possíveis perigos associados ao site. Os usuários devem descartar o aviso antes de continuar. Bloquear - Impede que o usuário acesse o site e exibe uma mensagem informando que o download do site está bloqueado. Bloqueia o acesso a sites maliciosos (Vermelho) e com aviso (Amarelo) que aparecem em um iframe HTML. (Ativado por padrão) Bloqueia o acesso a sites por padrão se o Controle da Web não puder acessar o servidor McAfee GTI. Bloqueia todas as páginas de phishing, substituindo as ações de classificação de conteúdo. (Ativado por padrão) Varre todos os arquivos (.zip,.exe,.ecx,.cab,.msi,.rar,.scr e.com) antes de fazer download. (Ativado por padrão) Essa opção impede que os usuários acessem um arquivo de download até que o Controle da Web e a Prevenção contra ameaças marquem o arquivo como limpo. O Controle da Web realiza uma pesquisa de McAfee GTI no arquivo. Se o McAfee GTI permitir o arquivo, o Controle da Web enviará o arquivo para a Prevenção contra ameaçaspara efetuar uma varredura. Se um arquivo transferido por download for detectado como uma ameaça, o Endpoint Security age no arquivo e alerta o usuário. Especifica o nível de sensibilidade do McAfee GTI que o Controle da Web usa em downloads de arquivos. McAfee Endpoint Security 10.2 Guia do produto 169

170 5 Usar o Controle da Web Referência da interface do cliente Controle da Web Tabela 5-1 Opções (continuação) Seção Opção Definição Exclusões Especificar endereços IP ou intervalos a serem excluídos da classificação ou do bloqueio do Controle da Web Adiciona endereços IP e intervalos especificados à rede privada local, os excluindo da classificação ou do bloqueio. Os endereços IP privados são excluídos por padrão. Prática recomendada: usar esta opção para tratar sites externos como se eles pertencessem à rede local. Adicionar Adiciona um endereço IP à lista de endereços privados na rede local. Clicar duas vezes em um item - Modifica o item selecionado. Excluir Exclui um endereço IP da lista de endereços privados na rede local. Pesquisa segura Ativar a pesquisa segura Defina o mecanismo de pesquisa padrão nos navegadores compatíveis Ativa a pesquisa segura, bloqueando automaticamente sites maliciosos no resultado da pesquisa com base nas suas classificações de segurança. Especifica o mecanismo de pesquisa padrão a usar nos navegadores compatíveis: Yahoo Google Bing Ask Bloquear links para sites arriscados nos resultados de pesquisas Impede que os usuários cliquem em links para sites arriscados nos resultados de pesquisa. Tabela 5-2 Opções avançadas Seção Opção Definição Anotações de Ativar anotações em no navegador Ativar anotações em fora do navegador Consulte também Configurar opções de Controle da Web na página 164 Como os downloads de arquivos são analisados na página 166 McAfee GTI na página 120 Anota URLs em clientes de com base no navegador, como o Yahoo Mail e o Gmail. Anota URLs em ferramentas de gerenciamento de de 32 bits, como o Microsoft Outlook ou o Outlook Express. Controle da Web Ações de conteúdo Defina as ações a serem tomadas para sites classificados e categorias de conteúdo da Web. Para sites e downloads de arquivos nas categorias desbloqueadas, o Controle da Web se aplica às ações de classificação. 170 McAfee Endpoint Security 10.2 Guia do produto

171 Usar o Controle da Web Referência da interface do cliente Controle da Web 5 Tabela 5-4 Opções Seção Opção Definição Ações de classificação Ações de classificação para sites Especifica ações para sites classificados como vermelhos, amarelos ou sem classificação. Sites e downloads classificados como verde são permitidos automaticamente. Permitir - Permite que os usuários acessem o site. (Padrão para sites Não classificados) Avisar - Exibe um aviso para notificar os usuários de possíveis perigos associados ao site. Os usuários devem clicar em Cancelar para voltar ao site visualizado anteriormente ou em Continuar para ir para o site. Se a guia do navegador não tiver nenhum site visualizado anteriormente, Cancelar não está disponível. (Padrão para sites marcados como Amarelo) Bloquear - Impede que os usuários acessem o site e exibe uma mensagem de que o site está bloqueado. Os usuários devem clicar em OK para voltar ao site visualizado anteriormente. Se a guia do navegador não tiver nenhum site visualizado anteriormente, OK não está disponível. (Padrão para sites marcados como Vermelho) Ações de classificação para downloads de arquivos Especifica ações para downloads de arquivos classificados com nível de risco vermelho ou amarelo ou sem classificação. Essas Ações de classificação são aplicáveis somente quando a opção Ativar varredura de arquivos em downloads de arquivos estiver ativada nas configurações de Opções. Permitir Permite que os usuários prossigam com o download. (Padrão para sites Não classificados) Avisar - Exibe um aviso para notificar os usuários dos possíveis perigos associados ao download do arquivo. O usuário deve dispensar o aviso para terminar ou proceder com o download. (Padrão para sites marcados como Amarelo) Bloquear - Exibe uma mensagem avisando que o download está bloqueado e impede os usuários de fazerem download do arquivo. (Padrão para sites marcados como Vermelho) Use as configurações em Mensagem de imposição para personalizar a mensagem. Tabela 5-5 Opções avançadas Seção Opção Definição Bloqueio de categoria Web Permitir o bloqueio de categoria Web Bloquear Categoria da Web Ativa o bloqueio de sites com base na categoria de conteúdo. Impede que os usuários acessem qualquer site nessa categoria e exibe uma mensagem de que o site está bloqueado. Lista as categorias da Web. McAfee Endpoint Security 10.2 Guia do produto 171

172 5 Usar o Controle da Web Referência da interface do cliente Controle da Web Consulte também Especificar ações de classificação e bloqueio de acesso a sites com base na categoria da Web na página 167 Uso de classificações de segurança para controlar o acesso na página 168 Utilizando categorias da web para controlar acesso na página McAfee Endpoint Security 10.2 Guia do produto

173 6 Usar 6 o Inteligência contra ameaças Inteligência contra ameaças fornece segurança adaptativa com reconhecimento do contexto para seu ambiente de rede. A Inteligência contra ameaças do Endpoint Security é um módulo opcional do Endpoint Security. Para ter fontes e funcionalidades adicionais de inteligência contra ameaças, distribua o servidor Threat Intelligence Exchange. Para obter informações, entre em contato com seu revendedor ou representante de vendas. A Inteligência contra ameaças não é suportada em sistemas gerenciados pelo McAfee epo Cloud. Conteúdo Como o Inteligência contra ameaças funciona Gerenciamento do Inteligência contra ameaças Referência da interface do cliente Inteligência contra ameaças Como o Inteligência contra ameaças funciona O Inteligência contra ameaças usa a estrutura do Data Exchange Layer para compartilhar informações sobre ameaças e arquivos instantaneamente em toda a rede. Antes, você enviava um certificado ou arquivo desconhecido para a McAfee analisar e, dias depois, atualizava as informações do arquivo em toda a rede. O Inteligência contra ameaças permite que a reputação de arquivos seja controlada localmente, no seu ambiente. Você decide quais arquivos pode executar e quais são bloqueados, e o Data Exchange Layer compartilha as informações imediatamente com todo o seu ambiente. Cenários para uso do Inteligência contra ameaças Bloquear um arquivo imediatamente O Inteligência contra ameaças alerta o administrador de rede sobre um arquivo desconhecido no ambiente. Em vez de enviar as informações do arquivo para a McAfee analisar, o administrador bloqueia o arquivo imediatamente. O administrador, então, poderá usar a Inteligência contra ameaças para saber se o arquivo é uma ameaça e quantos sistemas executaram o arquivo. Permitir a execução de um arquivo personalizado Uma empresa usa um arquivo cuja reputação padrão é suspeita ou maliciosa, por exemplo, um arquivo personalizado criado para a empresa. Como o arquivo é permitido, em vez de enviar as informações sobre o arquivo para a McAfee e receber um arquivo DAT atualizado, o administrador pode alterar a reputação do arquivo para confiável e permitir sua execução sem nenhum tipo de aviso ou solicitação. Permitir a execução de um arquivo em um contêiner Quando uma empresa usa pela primeira vez um arquivo cuja reputação é desconhecida, o administrador pode especificar que ele seja executado em um contêiner. Nesse caso, o administrador configura as regras de confinamento na categoria Confinamento dinâmico de aplicativos. As regras de confinamento definem quais ações o aplicativo confinado tem permissão para executar. McAfee Endpoint Security 10.2 Guia do produto 173

174 6 Usar o Inteligência contra ameaças Gerenciamento do Inteligência contra ameaças Gerenciamento do Inteligência contra ameaças Como administrador, é possível especificar as configuração do Inteligência contra ameaças, como selecionar grupos de regra e configurar limites de reputação. As alterações de políticas no McAfee epo podem sobrescrever as alterações na página Configurações. A Inteligência contra ameaças não é suportada em sistemas gerenciados pelo McAfee epo Cloud. Sobre a Inteligência contra ameaças A Inteligência contra ameaças fornece um ecossistema de segurança que permite a comunicação instantânea entre sistemas e dispositivos em seu ambiente. Essa comunicação é possibilitada pela estrutura do Data Exchange Layer. Você poderá ver o sistema específico em que uma ameaça foi detectada pela primeira vez, para onde ela foi em seguida e detê-la imediatamente. A Inteligência contra ameaças oferece estes benefícios: Rápida detecção e proteção contra ameaças de segurança e malware. A capacidade de saber quais sistemas ou dispositivos estão comprometidos e como a ameaça se espalhou pelo seu ambiente. Capacidade de imediatamente bloquear, permitir ou confinar certificados e arquivos específicos com base em suas respectivas reputações de ameaça e seus critérios de risco. A integração em tempo real com o McAfee Advanced Threat Defense e com o McAfee GTI para fornecer dados e avaliação detalhados sobre a classificação de malware. Essa integração permite que você responda a ameaças e compartilhe as informações em todo o seu ambiente. A Inteligência contra ameaças não é suportada em sistemas gerenciados pelo McAfee epo Cloud. Componentes da Inteligência contra ameaças A Inteligência contra ameaças inclui os componentes a seguir. Um módulo do Endpoint Security que permite criar políticas de bloqueio, permissão e confinamento de um arquivo ou certificado com base em sua reputação. Um servidor que armazena informações sobre reputações de arquivos e certificados e, depois, transmite essas informações para outros sistemas. Agentes do Data Exchange Layer que permitem a comunicação bidirecional entre sistemas gerenciados em uma rede. Esses componentes são instalados como extensões do McAfee epolicy Orchestrator (McAfee epo ) e adicionam vários relatórios e recursos novos. 174 McAfee Endpoint Security 10.2 Guia do produto

175 Usar o Inteligência contra ameaças Gerenciamento do Inteligência contra ameaças 6 O módulo e o servidor transmitem informações de reputação de arquivos. A estrutura do Data Exchange Layer transmite essas informações imediatamente para terminais gerenciados. Além disso, compartilha informações com outros produtos da McAfee que acessam o Data Exchange Layer, como o McAfee Enterprise Security Manager (McAfee ESM) e o McAfee Network Security Platform. cliente do Inteligência contra ameaças O módulo do Inteligência contra ameaças permite determinar o que acontece quando um arquivo com uma reputação desconhecida ou maliciosa é detectado no ambiente. Você também pode exibir informações do histórico de ameaças e ações realizadas. Você pode realizar essas tarefas usando o do cliente do Inteligência contra ameaças. O cliente usa as regras para determinar as ações com base em vários pontos de dado, como reputação, inteligência local e informações contextuais. Você pode atualizar as regras de forma independente. Criar políticas para: Permitir, bloquear, limpar ou confinar arquivos conforme sua reputação. Receber um aviso toda vez que um arquivo ou certificado com uma determinada reputação tentar ser executado. Enviar arquivos para o Advanced Threat Defense automaticamente para uma avaliação detalhada. McAfee Endpoint Security 10.2 Guia do produto 175

176 6 Usar o Inteligência contra ameaças Gerenciamento do Inteligência contra ameaças Exibir eventos nos dashboards do Inteligência contra ameaças. Você pode exibir eventos permitidos, bloqueados, limpos e restritos nos últimos 30 dias ou por tipo de evento. Servidor Inteligência contra ameaçasexchange O servidor que armazena informações sobre reputações de arquivo e certificado e depois transmite essas informações para outros sistemas do seu ambiente. Para obter informações sobre o servidor, consulte o Guia de Produto do Inteligência contra ameaças Exchange. Combinando servidores TIE e bancos de dados Se já tiver servidores TIE e bancos de dados gerenciados por sistemas do McAfee epo diferentes, você poderá combiná-los para compartilhar informações de reputação. Para obter detalhes sobre a combinação de servidores TIE e bancos de dados, consulte o Guia de produto do McAfee Data Exchange Layer e o artigo da Base de dados de conhecimento KB Data Exchange Layer O Data Exchange Layer inclui software cliente e negociadores que permitem comunicação bidirecional entre terminais de uma rede. O Data Exchange Layer trabalha em segundo plano, comunicando-se com serviços, bancos de dados, terminais e aplicativos. O cliente do Data Exchange Layer é instalado em cada terminal gerenciado para que as informações sobre ameaças de produtos de segurança que usam o DXL possam ser compartilhadas imediatamente com todos os outros serviços e dispositivos. O compartilhamento de informações de reputação assim que são disponibilizadas reduz as suposições de segurança feitas por aplicativos e serviços entre si quando trocam informações. Essas informações compartilhadas reduzem o espalhamento de ameaças. Consulte o Guia do produto do McAfee Data Exchange Layer para obter detalhes sobre a instalação e uso do Data Exchange Layer. Como é determinada uma reputação A reputação de um arquivo e certificado é determinada quando um arquivo tenta ser executado em um sistema gerenciado. Estas são as etapas para a determinação da reputação de um arquivo ou certificado. 1 Um usuário ou sistema tenta executar um arquivo. 2 O Endpoint Security inspeciona o arquivo e não consegue determinar sua validade e sua reputação. 3 O módulo Inteligência contra ameaças inspeciona o arquivo e reúne propriedades de interesse do sistema local e do arquivo. 4 O módulo verifica o hash do arquivo no cache de reputação local. Se o hash do arquivo for encontrado, o módulo obterá os dados de reputação e predomínio da empresa do arquivo usando o cache. 5 Se o arquivo hash não for encontrado no cache de reputação local, o módulo consultará o TIE Server. Se o hash for encontrado, o módulo obterá os dados de predomínio da empresa (e todas as reputações disponíveis) do hash do arquivo. 6 Se o hash do arquivo não for encontrado no servidor TIE ou no banco de dados, o servidor consultará o McAfee GTI quanto à reputação de hash do arquivo. O McAfee GTI envia as informações disponíveis, por exemplo, "desconhecido" ou "malicioso", e o servidor armazena essas informações. 176 McAfee Endpoint Security 10.2 Guia do produto

177 Usar o Inteligência contra ameaças Gerenciamento do Inteligência contra ameaças 6 O servidor envia o arquivo para varredura se uma das seguintes afirmações for verdadeira: O Advanced Threat Defense fica disponível ou ativado como fornecedor de reputação. O servidor analisa localmente se a reputação do Advanced Threat Defense está presente. Se não estiver, ele marcará o arquivo como candidato para envio. A política do terminal é configurada para enviar o arquivo para Advanced Threat Defense. Consulte as etapas adicionais em Se o Advanced Threat Defense estiver presente. 7 O servidor retorna a reputação, os dados de predomínio, o período da empresa do Hash do arquivo ao módulo baseado nos dados que foram encontrados. Se o arquivo for novo no ambiente, o servidor também enviará um sinalizador de primeira instância para o módulo do Inteligência contra ameaças. Quando o McAfee Web Gateway está presente e envia uma pontuação de reputação, o Inteligência contra ameaças retorna a reputação do arquivo. 8 O módulo avalia seus metadados para determinar a reputação do arquivo: Propriedades do sistema e do arquivo Dados de predomínio e período da empresa Reputação 9 O módulo atua de acordo com a política atribuída ao sistema que estiver com o arquivo em execução. 10 O módulo atualiza o servidor com as informações de reputação e se o arquivo foi bloqueado, permitido ou confinado. Ele também envia eventos de ameaça ao McAfee epo por meio do McAfee Agent. 11 O servidor publica o evento de alteração da reputação para o hash do arquivo. Se o Advanced Threat Defense estiver presente Se o Advanced Threat Defense estiver presente, ocorrerá o processo a seguir. 1 Se o sistema for configurado para enviar arquivos par ao Advanced Threat Defense, e o arquivo for novo no ambiente, o sistema envia o arquivo para o servidor do TIE. O servidor TIE, em seguida, o envia para o Advanced Threat Defense para varredura. 2 O Advanced Threat Defense varrerá o arquivo e enviará os resultados de reputação de arquivos para o servidor TIE usando o Data Exchange Layer. O servidor também atualizará o banco de dados e enviará as informações de reputação atualizadas para todos os sistemas compatíveis com o Inteligência contra ameaças para proteger o seu ambiente imediatamente. O Inteligência contra ameaças ou qualquer outro produto da McAfee pode iniciar esse processo. Em ambos os casos, o Inteligência contra ameaças processa a reputação e salva-a no banco de dados. Para obter informações sobre como o Advanced Threat Defense é integrado ao Inteligência contra ameaças, consulte o Guia de produto do McAfee Advanced Threat Defense. Se o McAfee Web Gateway estiver presente Se o McAfee Web Gateway estiver presente, ocorrerá o processo a seguir. Ao fazer download dos arquivos, o McAfee Web Gateway envia um relatório ao servidor TIE, que salva a pontuação de reputação no banco de dados. Quando o servidor recebe uma solicitação de reputação de arquivos do módulo, ele retorna a reputação recebida do McAfee Web Gateway e de outros provedores de reputação também. Para obter informações sobre como o McAfee Web Gateway troca informações usando um servidor TIE, consulte o capítulo sobre proxies no Guia de produto do McAfee Web Gateway. McAfee Endpoint Security 10.2 Guia do produto 177

178 6 Usar o Inteligência contra ameaças Gerenciamento do Inteligência contra ameaças Quando o cache é removido? Todo o cache do Inteligência contra ameaças é removido quando a configuração das regras é alterada: O estado de uma ou mais regras foi alterado, por exemplo, de ativado para desativado. O conjunto de regras foi alterado, por exemplo, de Equilibrado para Segurança. Um arquivo individual ou um cache de certificado é removido quando: O cache tem mais de 30 dias. O arquivo foi alterado no disco. O TIE Server publica um evento de alteração de reputação. Na próxima vez que o Inteligência contra ameaças receber um aviso sobre o arquivo, a reputação será recalculada. Introdução Após instalar o Inteligência contra ameaças, o que você deve fazer? Para começar a usar o Inteligência contra ameaças, faça o seguinte: 1 Crie políticas do Inteligência contra ameaças para determinar o que é bloqueado, permitido ou restrito. Depois, execute o Inteligência contra ameaças em modo de Observação para criar predomínio de arquivo e observe o que o Inteligência contra ameaças detecta no seu ambiente. O predomínio de arquivo indica a frequência com que um arquivo é visto no seu ambiente. 2 Monitore e ajuste as políticas ou as reputações de certificado ou arquivo individual para controlar o que é permitido em seu ambiente. Criação de predomínio e observação de arquivo Após a instalação e distribuição, comece a criar informações de ameaças atuais e predomínio de arquivo. Você pode ver o que está em execução no seu ambiente e adicionar informações de reputação de certificados e arquivos ao banco de dados do TIE. Essas informações também preenchem os gráficos e dashboards disponíveis no módulo em que são exibidas informações de reputação detalhadas sobre arquivos e certificados. Para começar, crie uma ou mais políticas do Inteligência contra ameaças para serem executadas em alguns sistemas do seu ambiente. As políticas determinam: Quando um arquivo ou certificado com uma reputação específica tem permissão para ser executado em um sistema Quando um arquivo ou certificado é bloqueado Quando um aplicativo é confinado Quando o usuário é questionado sobre o que fazer Quando um arquivo é enviado ao Advanced Threat Defense para análise mais detalhada Ao criar predomínio de arquivo, você poderá executar as políticas no modo de Observação. As reputações de arquivo e certificado são adicionadas ao banco de dados, mas nenhuma ação é realizada. Você poderá observar o que a Inteligência contra ameaças irá bloquear, permitir ou confinar se a política for aplicada. 178 McAfee Endpoint Security 10.2 Guia do produto

179 Usar o Inteligência contra ameaças Gerenciamento do Inteligência contra ameaças 6 Monitoramento e ajustes Conforme as políticas são executadas em seu ambiente, os dados de reputação são adicionados ao banco de dados. Use as exibições de eventos e os dashboards do McAfee epo para visualizar os arquivos e os certificados bloqueados, permitidos ou confinados com base nas políticas. Você pode exibir informações detalhadas terminal, arquivo, regra ou certificado e ver rapidamente o número de itens identificados e as ações realizadas. Você pode fazer busca detalhada clicando em um item ou ajustar as configurações de reputação para certificados ou arquivos específicos para que a ação apropriada seja realizada. Por exemplo, se a reputação padrão de um arquivo for suspeito ou desconhecido, mas você souber que ele é um arquivo confiável, é possível alterar sua reputação para confiável. Em seguida, o aplicativo passa a ter permissão para executar em seu ambiente sem ser bloqueado nem solicitar alguma ação do usuário. Você pode alterar a reputação de arquivos internos ou personalizados usados em seu ambiente. Use o recurso Reputações do TIE para pesquisar um nome de certificado ou arquivo específico. Você poderá exibir detalhes sobre o arquivo ou certificado, incluindo o nome da empresa, os valores de hash SHA-1 e SHA-256, MD5, a descrição e as informações do McAfee GTI. No caso de arquivos, você também pode acessar os dados do VirusTotal diretamente na página de detalhes de Reputações do TIE para ver informações adicionais. Use a página Dashboard de geração de relatórios para ver vários tipos de informações de reputação de uma vez. Você pode exibir o número de arquivos novos vistos no seu ambiente na última semana, arquivos por reputação, arquivos cuja reputação foi alterada recentemente, sistemas que executaram novos arquivos recentemente e muito mais. Para exibir informações detalhadas de um item no dashboard, clique nele. Se você tiver identificado um arquivo prejudicial ou suspeito, poderá ver rapidamente quais sistemas executaram o arquivo e podem estar comprometidos. Altere a reputação de um arquivo ou certificado conforme o necessário para o seu ambiente. As informações serão atualizadas imediatamente no banco de dados e enviadas para todos os dispositivos do seu ambiente. Os arquivos e certificados são bloqueados, permitidos ou restritos de acordo com sua reputação. Se não tiver certeza do que fazer com um certificado ou arquivo específico, você poderá: Bloqueie a execução enquanto você aprende mais sobre ele. Diferentemente da ação de Limpeza do Prevenção contra ameaças, que pode excluir o arquivo, o bloqueio mantém o arquivo no lugar, mas não permite sua execução. O arquivo permanece intacto enquanto você pesquisa sobre ele e decide o que fazer. Permita a execução com restrição. O Confinamento dinâmico de aplicativos executa aplicativos com reputações específicas em um contêiner, bloqueando as ações com base nas regras de confinamento. O aplicativo obtém permissão para execução, mas algumas ações podem falhar, dependendo das regras de confinamento. Importe reputações de certificados ou arquivos no banco de dados para permitir ou bloquear arquivos ou certificados específicos de acordo com outras origens de reputação. Isso permite que você use as configurações importadas para certificados e arquivos específicos sem precisar defini-las individualmente no servidor. Envio de arquivos para análise detalhada Se a reputação de um arquivo for desconhecida, você poderá enviá-la para o Advanced Threat Defense para uma análise detalhada. Especifique na política do TIE quais arquivos serão enviados. McAfee Endpoint Security 10.2 Guia do produto 179

180 6 Usar o Inteligência contra ameaças Gerenciamento do Inteligência contra ameaças O Advanced Threat Defense detecta malware não divulgado e combina defesas de emulação em tempo real, reputação e assinaturas antivírus. Os arquivos podem ser enviados automaticamente do Inteligência contra ameaças para o Advanced Threat Defense com base no nível da reputação e no tamanho do arquivo. As informações de reputação de arquivos enviadas pelo Advanced Threat Defense são adicionadas ao banco de dados do servidor TIE. Informações de telemetria do McAfee GTI As informações de arquivo e certificado enviadas ao McAfee GTI são usadas para que você entenda e melhore as informações de reputação. Consulte a tabela para obter detalhes sobre as informações fornecidas pelo McAfee GTI quanto a arquivos e certificados, somente arquivos ou somente certificados. Categoria Arquivo e certificado Somente arquivo Somente certificado Descrição Versões do módulo e servidor TIE Configurações de substituição da reputação definidas com o servidor TIE Informações de reputação externas, por exemplo, do Advanced Threat Defense Nome do arquivo, caminho, tamanho, produto, editor e predomínio Informações de SHA-1, SHA-256 e MD5 Versão do sistema operacional do computador da geração de relatórios Reputação máxima, mínima e média definida para o arquivo Se o módulo de geração de relatórios está no Modo de observação Se o arquivo teve permissão para ser executado, foi bloqueado, confinado ou limpo O produto que detectou o arquivo, por exemplo, Advanced Threat Defense ou Prevenção contra ameaças Informações de SHA-1 O nome do emissor do certificado e seu assunto As datas em que o certificado era válido e a data de expiração A McAfee não coleta informações de identificação pessoal e não compartilha informações fora da McAfee. Confinamento dinâmico de aplicativos O Confinamento dinâmico de aplicativos permite que você determine que aplicativos com reputações específicas sejam executados em um contêiner. Com base no limite de reputação, a Inteligência contra ameaças solicita que o Confinamento dinâmico de aplicativos confine o aplicativo. Os aplicativos confinados têm permissão para executar algumas ações, conforme especificado pelas regras de confinamento. Essa tecnologia possibilita que você avalie aplicativos desconhecidos e potencialmente inseguros, permitindo que eles sejam executados em seu ambiente e, ao mesmo tempo, limitando as ações que eles podem executar. Os usuários podem usar os aplicativos, mas talvez eles não funcionem conforme o esperado se o Confinamento dinâmico de aplicativos bloquear determinadas ações. Depois de determinar se um aplicativo é seguro, você pode configurar a Inteligência contra ameaças do Endpoint Security ou o TIE Server para permitir que ele seja executado normalmente. 180 McAfee Endpoint Security 10.2 Guia do produto

181 Usar o Inteligência contra ameaças Gerenciamento do Inteligência contra ameaças 6 Para usar o Confinamento dinâmico de aplicativos: 1 Ative a Inteligência contra ameaças e especifique o limite de reputação para disparar o Confinamento dinâmico de aplicativos nas configurações de Opções. 2 Defina as exclusões e as regras de confinamento definidas pela McAfee nas configurações de Confinamento dinâmico de aplicativos. Consulte também Permissão para que aplicativos confinados sejam executados normalmente na página 183 Configurar regras de confinamento definidas pela McAfee na página 184 Ativar o limite do gatilho do Confinamento dinâmico de aplicativos na página 183 Como funciona o Confinamento dinâmico de aplicativos A Inteligência contra ameaças usa a reputação de um aplicativo para determinar se a execução dele com restrições deve ser solicitada ao Confinamento dinâmico de aplicativos. Quando um arquivo com a reputação especificada é executado em seu ambiente, o Confinamento dinâmico de aplicativos bloqueia ou registra em log as ações não seguras, com base nas regras de confinamento. Se várias tecnologias registradas no Confinamento dinâmico de aplicativos solicitarem o confinamento de um aplicativo, essas solicitações serão cumulativas. O aplicativo permanecerá confinado até que todas as tecnologias o liberem. Se uma tecnologia que solicitou o confinamento for desativada ou removida, o Confinamento dinâmico de aplicativos liberará esses aplicativos. Fluxo de trabalho do Confinamento dinâmico de aplicativos 1 O processo começa a ser executado. 2 A Inteligência contra ameaças verifica a reputação do arquivo. A Inteligência contra ameaças usa o TIE Server, se estiver disponível, para a reputação do aplicativo. Se o TIE Server não estiver disponível, a Inteligência contra ameaças usará o McAfee GTI para obter informações de reputação. 3 Se a reputação do aplicativo estiver no ou abaixo do limite de reputação de confinamento da Inteligência contra ameaças, a Inteligência contra ameaças notificará o Confinamento dinâmico de aplicativos informando que o processo foi iniciado e solicita confinamento. 4 O Confinamento dinâmico de aplicativos confina o processo. Você pode visualizar eventos do Confinamento dinâmico de aplicativos no Log de eventos de ameaças do McAfee epo. 5 Se o aplicativo confinado for considerado seguro, você poderá permitir que ele seja executado normalmente (e não confinado). McAfee Endpoint Security 10.2 Guia do produto 181

182 6 Usar o Inteligência contra ameaças Gerenciamento do Inteligência contra ameaças Consulte também Configurar regras de confinamento definidas pela McAfee na página 184 Permissão para que aplicativos confinados sejam executados normalmente na página McAfee Endpoint Security 10.2 Guia do produto

183 Usar o Inteligência contra ameaças Gerenciamento do Inteligência contra ameaças 6 Permissão para que aplicativos confinados sejam executados normalmente Depois de determinar que um aplicativo confinado é seguro, você pode permitir que ele seja executado normalmente em seu ambiente. Adicione o aplicativo à lista global de exclusões nas configurações de Confinamento dinâmico de aplicativos. Nesse caso, o aplicativo é liberado do confinamento e executado normalmente, independentemente de quantas tecnologias tenham solicitado o confinamento. Configure a Inteligência contra ameaças para aumentar o limite de reputação e liberá-lo do confinamento. Nesse caso, o aplicativo é liberado do confinamento e executado normalmente, a menos que outra tecnologia tenha solicitado o confinamento do aplicativo. Se o TIE Server estiver disponível, altere a reputação do arquivo para um nível que permita sua execução, como Pode ser confiável. Nesse caso, o aplicativo é liberado do confinamento e executado normalmente, a menos que outra tecnologia tenha solicitado o confinamento do aplicativo. Consulte o McAfee Threat Intelligence Exchange Product Guide (Guia do produto do McAfee Threat Intelligence Exchange). Consulte também Excluir processos do Confinamento dinâmico de aplicativos na página 187 Ativar o limite do gatilho do Confinamento dinâmico de aplicativos Com a tecnologia de Confinamento dinâmico de aplicativos, você pode especificar que os aplicativos com reputações específicas sejam executados em um contêiner, limitando as ações que eles podem executar. Ative a imposição de ação do Confinamento dinâmico de aplicativos e especifique o limite de reputação para o confinamento de aplicativos. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 Clique em Inteligência contra ameaças na página Status principal. Ou, no menu Ação Configurações., selecione Configurações e clique em Inteligência contra ameaças na página 3 Clique em Mostrar opções avançadas. 4 Clique em Opções. 5 Verifique se a Inteligência contra ameaças está ativada. 6 Selecione Disparar o Confinamento dinâmico de aplicativos quando o limite de reputação atingir. McAfee Endpoint Security 10.2 Guia do produto 183

184 6 Usar o Inteligência contra ameaças Gerenciamento do Inteligência contra ameaças 7 Especifique o limite de reputação no qual confinar os aplicativos. Pode ser confiável (Padrão para o grupo de regras Segurança) Desconhecido (Padrão para o grupo de regras Equilibrado) Pode ser malicioso (Padrão para o grupo de regras Produtividade) Provavelmente malicioso Malicioso conhecido O limite de reputação do Confinamento dinâmico de aplicativos deve ser maior que os limites de bloqueio e limpeza. Por exemplo, se o limite de bloqueio estiver definido como Malicioso conhecido, o limite do Confinamento dinâmico de aplicativos deverá ser definido como Provavelmente malicioso ou mais alto. 8 Clique em Aplicar para salvar suas alterações ou clique em Cancelar. Configurar regras de confinamento definidas pela McAfee As regras de confinamento definidas pela McAfee bloqueiam ou registram em log as ações que os aplicativos confinados podem executar. Você pode alterar as configurações de bloqueio e relatório, mas não pode alterar nem excluir essas regras. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Selecione Menu Política Catálogo de políticas e, em seguida, selecione Inteligência contra ameaças do Endpoint Security na lista Produto. 2 Abra o Cliente do Endpoint Security. 3 Clique em Inteligência contra ameaças na página Status principal. Ou, no menu Ação Configurações., selecione Configurações e clique em Inteligência contra ameaças na página 4 Clique em Mostrar opções avançadas. 5 Clique em Confinamento dinâmico de aplicativos. 6 Na seção Regras de confinamento, selecione Bloquear, Relatar ou ambos para a regra. Para bloquear ou relatar tudo, selecione Bloquear ou Relatar na primeira linha. Para desativar a regra, desmarque Bloquear e Relatar. 7 Na seção Exclusões, configure os executáveis a serem excluídos do Confinamento dinâmico de aplicativos. Os processos na lista de exclusões são executados normalmente (e não confinados). 8 Clique em Aplicar para salvar suas alterações ou clique em Cancelar. Consulte também Excluir processos do Confinamento dinâmico de aplicativos na página 187 Regras de confinamento definidas pela McAfee na página McAfee Endpoint Security 10.2 Guia do produto

185 Usar o Inteligência contra ameaças Gerenciamento do Inteligência contra ameaças 6 Regras de confinamento definidas pela McAfee As regras de confinamento definidas pela McAfee controlam as alterações que os aplicativos confinados podem fazer no sistema. Você pode alterar as configurações de bloqueio e relatório, mas não pode modificar nem excluir essas regras. Acesso a hashes de LM de senha insegura Acesso a locais de cookies do usuário Alocação de memória em outro processo Criação de um thread em outro processo Criação de arquivos em qualquer local na rede Criação de arquivos em CDs, disquetes e unidades removíveis Criação de arquivos com a extensão.bat Criação de arquivos com a extensão.exe Criação de arquivos com a extensão.html,.jpg ou.bmp Criação de arquivos com a extensão.job Criação de arquivos com a extensão.vbs Criação de novos CLSIDs, APPIDs e TYPELIBs Exclusão de arquivos comumente visados por malware da classe ransomware Desativação de executáveis críticos do sistema operacional Execução de todos os processos filho Modificação de entradas de Registro de DLL AppInit Modificação de correções de compatibilidade de aplicativos Modificação de arquivos críticos do Windows e de locais do Registro Modificação de configurações de plano de fundo do desktop Modificação de associações de extensão de arquivos Modificação de arquivos com a extensão.bat Modificação de arquivos com a extensão.vbs Modificação de entradas de Registro de opções de execução de arquivo de imagem Modificação de arquivos executáveis portáteis Modificação de configurações da proteção de tela Modificação de locais do Registro de inicialização Modificação de depurador automático Modificação de bit de atributo oculto Modificação de bit de atributo somente leitura Modificação do local do Registro de serviços McAfee Endpoint Security 10.2 Guia do produto 185

186 6 Usar o Inteligência contra ameaças Gerenciamento do Inteligência contra ameaças Modificação da política de firewall do Windows Modificação da pasta de tarefas do Windows Modificação de políticas de usuário Modificação de pastas de dados de usuários Leitura de arquivos comumente visados por malware da classe ransomware Leitura da memória de outro processo Leitura ou modificação de arquivos em qualquer local na rede Leitura ou modificação de arquivos em CDs, disquetes e unidades removíveis Suspensão de um processo Término de outro processo Gravação na memória de outro processo Gravação de arquivos comumente visados por malware da classe ransomware Gerenciar aplicativos confinados Quando o Confinamento dinâmico de aplicativos contiver um aplicativo confiável, você poderá excluí-lo do confinamento usando o Cliente do Endpoint Security. A exclusão do aplicativo o libera, o remove de Aplicativos confinados e o adiciona a Exclusões, impedindo que ele seja confinado futuramente. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 Clique em Inteligência contra ameaças na página Status principal. Ou, no menu Ação Configurações., selecione Configurações e clique em Inteligência contra ameaças na página 3 Clique em Mostrar opções avançadas. 4 Clique em Confinamento dinâmico de aplicativos. 5 Na seção Aplicativos confinados, selecione o aplicativo e clique em Excluir. O aplicativo é exibido na lista Exclusões. O aplicativo permanece na lista Aplicativos confinados até que você clique em Aplicar. Ao retornar para a página Configurações, o aplicativo será exibido apenas na lista Exclusões. 6 Clique em Aplicar para salvar suas alterações ou clique em Cancelar. 186 McAfee Endpoint Security 10.2 Guia do produto

187 Usar o Inteligência contra ameaças Gerenciamento do Inteligência contra ameaças 6 Excluir processos do Confinamento dinâmico de aplicativos Se um programa confiável estiver confinado, exclua-o criando uma exclusão do Confinamento dinâmico de aplicativos. As exclusões criadas usando o Cliente do Endpoint Security aplicam-se apenas ao sistema cliente. Essas exclusões não são enviadas ao McAfee epo e não são exibidas na seção Exclusões das configurações de do Confinamento dinâmico de aplicativos. Em sistemas gerenciados, crie exclusões globais nas configurações de do Confinamento dinâmico de aplicativos do McAfee epo. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 Clique em Inteligência contra ameaças na página Status principal. Ou, no menu Ação Configurações., selecione Configurações e clique em Inteligência contra ameaças na página 3 Clique em Mostrar opções avançadas. 4 Clique em Confinamento dinâmico de aplicativos. 5 Na seção Exclusões, clique em Adicionar para adicionar os processos a serem excluídos de todas as regras. 6 Na página Adicionar Executável, configure as propriedades do executável. 7 Clique em Salvar e, em seguida, clique em Aplicar para salvar as configurações. Configurar opções de Inteligência contra ameaças Use as configurações de para determinar quando um arquivo ou certificado tem permissão para executar, limpar e bloquear ou se os usuários devem decidir o que fazer. Antes de iniciar O modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou você está conectado como administrador. As alterações de políticas no McAfee epo podem sobrescrever as alterações na página Configurações. Tarefa Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em? ou em Ajuda. 1 Abra o Cliente do Endpoint Security. 2 Clique em Inteligência contra ameaças na página Status principal. Ou, no menu Ação Configurações., selecione Configurações e clique em Inteligência contra ameaças na página 3 Clique em Mostrar opções avançadas. McAfee Endpoint Security 10.2 Guia do produto 187

188 6 Usar o Inteligência contra ameaças Referência da interface do cliente Inteligência contra ameaças 4 Clique em Opções. 5 Defina as configurações na página e clique em Aplicar para salvar suas alterações ou clique em Cancelar. Bloqueio ou permissão de arquivos e certificados Arquivos e certificados têm reputações de ameaça de acordo com seu conteúdo e propriedades. As políticas do Inteligência contra ameaças determinam se arquivos e certificados são bloqueados ou permitidos em sistemas do seu ambiente de acordo com os níveis de reputação. Há três níveis de segurança, dependendo de como você deseja equilibrar as regras para tipos específicos de sistemas. Cada nível é associado a regras específicas que identificam certificados e arquivos maliciosos e suspeitos. Produtividade Sistemas que são alterados com frequência, em geral instalando e desinstalando programas confiáveis e recebendo atualizações frequentes. Computadores usados em ambientes de desenvolvimento são exemplos desses sistemas. Menos regras são usadas com políticas para essa configuração. Os usuários veem o mínimo de bloqueios e avisos quando novos arquivos são detectados. Equilibrado - Sistemas típicos de negócios em que novos programas e alterações são instalados raramente. Mais regras são usadas com políticas para essa configuração. Os usuários observam mais bloqueios e avisos. Seguro Sistemas gerenciados pela TI com controle rígido e poucas alterações. Exemplos disso são sistemas que acessam informações críticas ou confidenciais em um ambiente financeiro ou governamental. Essa configuração também é usada para servidores. É usado um número máximo de regras com políticas para essa configuração. Os usuários observam ainda mais bloqueios e avisos. Para exibir as regras específicas associadas a cada nível de segurança, selecione Menu Configurações do servidor. Na lista Categorias de configuração, selecione Threat Intelligence. Ao determinar qual nível de segurança será atribuído a uma política, considere o tipo de sistema em que a política será usada e a quantidade de bloqueios e avisos que você deseja mostrar ao usuário. Após criar uma política, ela deverá ser atribuída a computadores ou dispositivos para que se determine a quantidade de bloqueios e avisos que ocorrerão. Referência da interface do cliente Inteligência contra ameaças Os tópicos de ajuda da referência da interface fornecem ajuda contextual para as páginas da interface do cliente. Conteúdo Inteligência contra ameaças Confinamento dinâmico de aplicativos Inteligência contra ameaças Opções Inteligência contra ameaças Confinamento dinâmico de aplicativos Proteja seu sistema limitando as ações que os aplicativos confinados podem executar com base nas regras configuradas. 188 McAfee Endpoint Security 10.2 Guia do produto

189 Usar o Inteligência contra ameaças Referência da interface do cliente Inteligência contra ameaças 6 Tabela 6-1 Opções Seção Regras de confinamento Opção Descrição Configura as regras de Confinamento dinâmico de aplicativos. Você pode alterar se as regras de confinamento definidas pela McAfee devem bloquear ou relatar, mas não pode alterar nem excluir essas regras. Bloquear (apenas) Bloqueia, sem registrar em log, os aplicativos confinados para que não executem as ações especificadas pela regra. Relatar (apenas) Registra em log quando os aplicativos tentam executar ações na regra, mas não impede que aplicativos executem ações. Bloquear e Relatar - Bloqueia e registra em log as tentativas de acesso. Prática recomendada: quando o impacto total de uma regra não for conhecido, selecione Relatar, mas não Bloquear, para receber um aviso sem bloquear as tentativas de acesso. Para determinar se o acesso deve ser bloqueado, monitore os logs e os relatórios. Para bloquear ou relatar tudo, selecione Bloquear ou Relatar na primeira linha. Para desativar a regra, desmarque Bloquear e Relatar. Aplicativos confinados Exclusões Lista os aplicativos confinados no momento. Excluir Move um aplicativo confinado para a lista Exclusões, liberando-o do confinamento e permitindo que seja executado normalmente. Exclui processos do confinamento. Adicionar Adiciona um processo à lista de exclusão. Clicar duas vezes em um item - Modifica o item selecionado. Excluir Exclui o item selecionado. Duplicar Cria uma cópia do item selecionado. Consulte também Como funciona o Confinamento dinâmico de aplicativos na página 181 Regras de confinamento definidas pela McAfee na página 185 Configurar regras de confinamento definidas pela McAfee na página 184 Excluir processos do Confinamento dinâmico de aplicativos na página 187 Adicionar executável ou Editar executável Adicionar ou editar um executável a ser excluído ou incluído. Para a Proteção de acesso da Prevenção contra ameaças, você pode excluir executáveis no nível da política ou pode incluí-los ou excluí-los no nível da regra. Para o Confinamento dinâmico de aplicativos da Inteligência contra ameaças, você pode excluir executáveis no nível da política. Ao especificar exclusões e inclusões, considere o seguinte: Você deve especificar pelo menos um identificador: Nome ou caminho do arquivo, Hash de MD5 ou Signatário. Se você especificar mais de um identificador, todos os identificadores se aplicarão. Se você especificar mais de um identificador e eles não forem correspondentes (por exemplo, o nome do arquivo e o hash de MD5 não se aplicarem ao mesmo arquivo), a exclusão ou inclusão será inválida. McAfee Endpoint Security 10.2 Guia do produto 189

190 6 Usar o Inteligência contra ameaças Referência da interface do cliente Inteligência contra ameaças As exclusões e inclusões não diferenciam letras maiúsculas de minúsculas. É permitido o uso de caracteres curinga para todos, exceto para o hash de MD5. Tabela 6-2 Opções Opção Nome Status de inclusão Nome do arquivo ou caminho Hash de MD5 Definição Especifica o nome pelo qual você chama o executável. Este campo é necessário com, pelo menos, mais um campo: Nome do arquivo ou caminho, Hash de MD5 ou Assinante. Determina o status de inclusão do executável. Incluir Dispara a regra se o executável violar uma sub-regra. Excluir Não dispara a regra se o executável violar uma sub-regra. O Status de inclusão é exibido para a Proteção de acesso da Prevenção contra ameaças apenas durante a adição de um executável a uma regra ou ao destino para a sub-regra Processos. Especifica o nome ou o caminho do arquivo para o executável a ser adicionado ou editado. Clique em Procurar para selecionar o executável. O caminho do arquivo pode incluir caracteres curinga. Indica o hash de MD5 (número hexadecimal de 32 dígitos) do processo. 190 McAfee Endpoint Security 10.2 Guia do produto

191 Usar o Inteligência contra ameaças Referência da interface do cliente Inteligência contra ameaças 6 Tabela 6-2 Opções (continuação) Opção Assinante Definição Ativar a verificação da assinatura digital - Garante que o código não foi alterado ou corrompido desde que foi assinado com um hash criptográfico. Se ativado, especifique: Permitir qualquer assinatura Permite arquivos assinados por qualquer signatário de processo. Assinado por Permite apenas arquivos assinados pelo signatário do processo especificado. É obrigatório um nome distinto de signatário (SDN) para o executável e ele deve corresponder exatamente às entradas no campo acompanhante, incluindo vírgulas e espaços. O signatário do processo é exibido no formato correto nos eventos do Log de eventos do Cliente do Endpoint Security e do Log de eventos de ameaça do McAfee epo. Por exemplo: C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR, CN=MICROSOFT WINDOWS Para obter um SDN de um executável: 1 Clique com o botão direito em um executável e selecione Propriedades. 2 Na guia Assinaturas digitais, selecione um signatário e clique em Detalhes. 3 Na guia Geral, clique em Exibir certificado. 4 Na guia Detalhes, selecione o campo Assunto. É exibido o nome diferenciado do signatário. Por exemplo, o Firefox possui este nome diferenciado de signatário: CN = Mozilla Corporation OU = Release Engineering O = Mozilla Corporation L = Mountain View S = Califórnia C = EUA Notas Apresenta mais informações sobre o item. Inteligência contra ameaças Opções Definir configurações da Inteligência contra ameaças. Tabela 6-3 Opções Seção Opção Definição Opções Ativar Inteligência contra ameaças Permitir que o Threat Intelligence Exchange Server colete diagnósticos e dados de uso anônimos Ativa o módulo Inteligência contra ameaças. (Desativado por padrão) Permite que o TIE Server envie informações anônimas do arquivo para a McAfee. McAfee Endpoint Security 10.2 Guia do produto 191

192 6 Usar o Inteligência contra ameaças Referência da interface do cliente Inteligência contra ameaças Tabela 6-3 Opções (continuação) Seção Opção Definição Atribuição de regra Usar a reputação de arquivos do McAfee GTI se o Threat Intelligence Exchange Server não puder ser acessado Impedir que os usuários alterem as configurações (apenas para clientes do Threat Intelligence Exchange 1.0) Produtividade Obtém informações de reputação do arquivo no Global Threat Intelligence Proxy se o TIE Server não puder ser acessado. Impede que os usuários em sistemas gerenciados alterem as configurações da Inteligência contra ameaças. Atribui o grupo de regras Produtividade. Use este grupo para sistemas com alto índice de alterações por instalações e atualizações frequentes de software confiável. Este é o grupo com o menor número de regras. Os usuários encontram uma quantidade mínima de bloqueios e solicitações quando são detectados novos arquivos. Imposição de ação Equilibrado Segurança Ativar modo de observação Atribui o grupo de regras Equilibrado. Use o grupo para sistemas típicos de negócios com mudanças e alterações esporádicas de software. Este grupo usa mais regras, e os usuários encontram mais avisos e bloqueios do que com o grupo Produtividade. Atribui o grupo de regras Segurança. Use o grupo para sistemas com baixo índice de mudanças, como sistemas gerenciados por TI e servidores controlados. Os usuários encontram mais avisos e bloqueios do que com o grupo Equilibrado. Gera eventos e os envia ao servidor, mas não impõe ações. Ative o modo de observação temporariamente em alguns sistemas apenas durante o ajuste da Inteligência contra ameaças. Como a ativação desse modo faz com que a Inteligência contra ameaças gere eventos, mas não imponha ações, seus sistemas podem ficar vulneráveis a ameaças. 192 McAfee Endpoint Security 10.2 Guia do produto

193 Usar o Inteligência contra ameaças Referência da interface do cliente Inteligência contra ameaças 6 Tabela 6-3 Opções (continuação) Seção Opção Definição Disparar o Confinamento dinâmico de aplicativos quando o limite de reputação atingir Confina os aplicativos quando a reputação alcança o limite especificado: Pode ser confiável (Padrão para o grupo de regras Segurança) Desconhecido (Padrão para o grupo de regras Equilibrado) Pode ser malicioso (Padrão para o grupo de regras Produtividade) Provavelmente malicioso Malicioso conhecido O limite de reputação do Confinamento dinâmico de aplicativos deve ser maior que os limites de bloqueio e limpeza. Por exemplo, se o limite de bloqueio estiver definido como Malicioso conhecido, o limite do Confinamento dinâmico de aplicativos deverá ser definido como Provavelmente malicioso ou mais alto. Quando um aplicativo com o limite de reputação especificado tenta executar em seu ambiente, o Confinamento dinâmico de aplicativos permite sua execução em um contêiner e bloqueia ou registra em log as ações não seguras com base nas regras de confinamento. Bloquear quando o limite de reputação atingir Limpar quando o limite de reputação atingir Bloqueia os arquivos quando a reputação do arquivo atinge um determinado limite e especifica o limite: Pode ser confiável Desconhecido (Padrão para o grupo de regras Segurança) Pode ser malicioso (Padrão para o grupo de regras Equilibrado) Provavelmente malicioso (Padrão para o grupo de regras Produtividade) Malicioso conhecido Quando um arquivo com o limite de reputação especificado tenta executar em seu ambiente, ele é impedido, mas permanece no ambiente. Se um arquivo for seguro e você desejar que ele seja executado, altere sua reputação para um nível que permita sua execução, como Pode ser confiável. Limpa arquivos quando a reputação de arquivos atingir um limite específico, e especifica o limite: Desconhecido Pode ser malicioso Provavelmente malicioso Malicioso conhecido (Padrão para os grupos de regras Equilibrado e Segurança) O padrão do grupo de regras Produtividade é desmarcado. Prática recomendada: usar esta opção com reputações de arquivos Malicioso conhecido, pois um arquivo pode ser removido ao ser limpo. McAfee Endpoint Security 10.2 Guia do produto 193

194 6 Usar o Inteligência contra ameaças Referência da interface do cliente Inteligência contra ameaças Tabela 6-4 Opções avançadas Seção Opção Descrição Mensagens para usuários ao detectar ameaças Exibir notificações de ameaça para o usuário Notificar o usuário quando o limite de reputação atingir Exibe notificações de ameaça para o usuário. Notifica o usuário quando a reputação do arquivo atinge um determinado limite: Provavelmente confiável Pode ser confiável (Padrão para o grupo de regras Segurança) Desconhecido (Padrão para o grupo de regras Equilibrado) Pode ser malicioso (Padrão para o grupo de regras Produtividade) Provavelmente malicioso Malicioso conhecido O nível de aviso não pode entrar em conflito com as configurações de limpeza ou bloqueio. Por exemplo, se você bloquear arquivos desconhecidos, não poderá definir esse campo como Pode ser confiável, pois ele tem um limite mais alto do que Desconhecido. Advanced Threat Defense Ação padrão Especificar duração (em minutos) do tempo limite Mensagem Desativar as notificações de ameaças se o Threat Intelligence Exchange Server não puder ser acessado Enviar arquivos que ainda não tenham sido verificados para análise no McAfee Advanced Threat Defense Especifica a ação que será tomada se o usuário não responder ao prompt: Permitir Bloquear Especifica o número minutos que o prompt é exibido antes da ação padrão ser executada. O padrão é 5 minutos. Especifica a mensagem exibida ao usuário quando há uma tentativa de execução de um arquivo que atende aos critérios de aviso. Desativa as solicitações quando o TIE Server não puder ser acessado, de forma que os usuários não recebam solicitações sobre os arquivos cujas reputações não estão disponíveis. Envia arquivos executáveis para o McAfee Advanced Threat Defense para análise. Quando ativada, a Inteligência contra ameaças envia arquivos com segurança por meio de HTTPS usando a porta 443 para o Advanced Threat Defense quando: O TIE Server não tem informações do Advanced Threat Defense sobre o arquivo. O arquivo está no mesmo nível ou abaixo do nível da reputação especificada. O arquivo está no mesmo nível ou abaixo do limite de tamanho do arquivo especificado. Especifique informações para o servidor do Advanced Threat Defense na política de gerenciamento do TIE Server. 194 McAfee Endpoint Security 10.2 Guia do produto

195 Usar o Inteligência contra ameaças Referência da interface do cliente Inteligência contra ameaças 6 Tabela 6-4 Opções avançadas (continuação) Seção Opção Descrição Enviar arquivos quando o limite de reputação atingir Envia arquivos para o Advanced Threat Defense quando a reputação de arquivos atinge um limite especificado: Provavelmente confiável Desconhecido Provavelmente malicioso O padrão para todos os grupos de regras é Desconhecido. Tamanho limite (MB) para Limita o tamanho dos arquivos enviados para o Advanced Threat Defense entre 1 MB e 10 MB. O padrão é 5 MB. Consulte também Configurar opções de Inteligência contra ameaças na página 187 Ativar o limite do gatilho do Confinamento dinâmico de aplicativos na página 183 Bloqueio ou permissão de arquivos e certificados na página 188 McAfee Endpoint Security 10.2 Guia do produto 195

196 6 Usar o Inteligência contra ameaças Referência da interface do cliente Inteligência contra ameaças 196 McAfee Endpoint Security 10.2 Guia do produto

197 Índice A ações, Prevenção contra ameaças nos itens em quarentena 62 ações, Threat Prevention especificar o que acontece quando uma ameaça é encontrada 82, 87 permitir que usuários limpem e excluam arquivos infectados 82, 87 programas indesejados 80 adaptadores de rede, permitindo conexões 135 adiamento de varredura, visão geral 89 administradores definidos 10 entrando no Cliente do Endpoint Security 27 senha 28 Advanced Threat Defense 179 envio de arquivos para 188 usadas na determinação de reputações 176 adware, sobre 63 agendamentos, varreduras por solicitação, adiamento 89 Ajuda, exibição 14, 20 alertas, Firewall 14 alertas, Prevenção contra ameaças visão geral da varredura ao acessar 83 alertas, Threat Prevention ameaças visão geral da varredura por solicitação 88 aplicativos da Windows Store 83 aplicativos do Windows Store 88 arquivos de conteúdo do AMCore 11 detecções durante varredura 60 e classificações de segurança 161 gerenciamento de detecções 61 obtendo mais informações no McAfee Labs 62 Pasta de quarentena 62 Processo de Proteção de acesso 68 repetição de varredura de itens em quarentena 65 responder a detecções 20 tipos 63 violações dos pontos de acesso 68 aplicativos confinados, Confinamento dinâmico de aplicativos gerenciamento no Cliente do Endpoint Security 186 aplicativos da Windows Store, detectando ameaças 83 aplicativos do Windows Store, detectar ameaças 88 aplicativos, confinados gerenciamento no Cliente do Endpoint Security 186 permissão para executar normalmente 183 aplicativos, sobre 133 aplicativos, Windows Store 83, 88 Área de trabalho remota e varredura de recurso ocioso 89 arquivo Logs do Cliente do Endpoint Security 24 arquivo de conteúdo arquivos verificando atualizações manualmente 23 arquivos de log 25 caracteres curinga em exclusões 67 como as reputações são determinadas 176 configurando para colocar em quarentena 81 configurar arquivos de log 32 exclusão de tipos específicos das varreduras 66 executar varreduras 60 gerenciando a pasta de quarentena 62 prevenção contra modificação 31 repetição de varredura na Quarentena 65 arquivos de conteúdo agendando atualizações a partir do cliente 39 alterar versão do AMCore 29 arquivos Extra.DAT 29, 30 e detecções 20 sobre 11 verificação manual de atualizações 12, 23 visão geral da varredura ao acessar 83 visão geral da varredura por solicitação 88 arquivos de conteúdo do AMCore alterar versão 29 arquivos Extra.DAT 29, 30 sobre 11 sobre assinaturas e atualizações 11 visão geral da varredura ao acessar 83 visão geral da varredura por solicitação 88 arquivos de definição de detecção, consulte arquivos de conteúdo arquivos de log configurar 32 falhas na atualização 23 localizações 25 visualizando 24 McAfee Endpoint Security 10.2 Guia do produto 197

198 Índice arquivos e certificados, bloqueio 188 arquivos e certificados, envio 188 arquivos Extra.DAT arquivos de conteúdo do AMCore 11 carregar 30 fazer download 30 sobre 29 usar 29 visão geral da varredura ao acessar 83 visão geral da varredura por solicitação 88 arquivos, conteúdo alterar versão do conteúdo do AMCore 29 arquivos Extra.DAT 29, 30 assinaturas e atualizações 11 carregar arquivos Extra.DAT 30 Extra.DAT e AMCore 11 Inteligência contra ameaças 11 Prevenção de exploração 11 usar arquivos Extra.DAT 29 visão geral da varredura ao acessar 83 visão geral da varredura por solicitação 88 arquivos, especificar opções de varredura 82, 87 assinaturas informações de ameaças conhecidas 11 assinaturas da GBOP, consulte Assinaturas da Proteção contra estouro de buffer genérica assinaturas da GPEP, consulte Assinaturas da Prevenção contra escalonamento de privilégios genéricos assinaturas da Prevenção contra escalonamento de privilégios genéricos 11 assinaturas da Proteção contra estouro de buffer genérica 11 assinaturas de Monitoramento de API de destino 11 ataques baseados em heap, explorações de estouro de buffer 77 ataques baseados em pilhas, explorações de estouro de buffer 77 ataques, explorações de estouro de buffer 77 atualização cancelando 23 atualização de software verificando manualmente 23 atualização manual, executando 23 atualização, Prevenção contra ameaças verificando manualmente 23 atualizações Atualizar botão Agora, Cliente do Endpoint Security 23 opção Atualizar segurança 12 atualizações de conteúdo 11 atualizações de produto agendando a partir do cliente 39 verificação manual de 23 atualizações de produtos verificação manual 12 atualizações de software agendamento a partir do cliente 39 verificação manual 12 atualizações por solicitação, consulte atualizações manuais, execução atualizações, componentes do software cliente 11 atualizações, Endpoint Security Atualização do cliente padrão, configurando 37 comportamento de configuração 35 configurando e agendando a partir do cliente 39 configurando o site de origem para atualizações 35 tarefa Atualização padrão do cliente, sobre 38 atualizações, Firewall verificação manual 23 atualizações, Prevenção contra ameaças verificação manual 12, 23 visão geral 11 atualizações, Threat Prevention arquivos de conteúdo 11 arquivos Extra.DAT 30 Atualizar página 23 autogerenciado, sobre 22 Autoproteção, configuração 31 avisos, Endpoint Security B Windows 8 e backups, especificar opções de varredura 82, 87 balões, Web Control 160, 163 Bloquear Modo da interface do cliente desbloqueio da interface 28 Bloqueio de modo da interface do cliente e configurações de política 16 Botão Exibir detecções 61 botão Exibir varredura 58 botão Varrer agora 58 botões Exibir detecções 61 Exibir varredura 58 Varrer agora 58 botões, Controle da Web 159 C cache de varredura varreduras ao acessar 83 varreduras por solicitação 88 cache de varredura global varreduras ao acessar 83 varreduras por solicitação 88 cache, varredura global varreduras por solicitação 88 varreduras varreduras ao acessar 83 caracteres curinga em exclusões 67 em exclusões em nível de raiz 67 usando em exclusões 67 usar em regras de firewall McAfee Endpoint Security 10.2 Guia do produto

199 Índice categorias da Web, bloqueando ou avisando com base na categoria da Web 168 categorias da Web, bloquear ou permitir com base em 167 categorias de conteúdo, consulte categorias da Web cavalos de Troia detecções durante a varredura 58 detecções durante varredura 60 sobre 63 certificados Chrome como as reputações são determinadas 176 ativação plug-in 162 botões do Controle da Web 159 exibindo informações sobre um site 163 navegadores com suporte 157, 163 classificações de segurança como classificações de site são obtidas 161 configurando ações para sites e download 167 Controle da Web e 157 controle de acesso a sites 168 ícones de segurança 160 classificações, segurança, consulte classificações de segurança classificações, Web Control, consulte classificações de segurança cliente, consulte Cliente do Endpoint Security cliente de proteção McAfee, consulte Endpoint Security Client Cliente do Endpoint Security abertura 12 atualizando a proteção 23 configurações de política 16 configurando sites de origem para atualizações 35 definição de configurações de segurança 33 desbloqueio da interface 28 entrando como administrador 27 execução de varreduras 58 exibição da ajuda 20 logs, sobre 25 módulos 17 sobre 14 tarefa Atualização padrão do cliente, sobre 38 Tarefa padrão de atualização do cliente, agendamento 39 Tarefa padrão de atualização do cliente, configurando 37 tarefas de atualização personalizadas, criando 39 tarefas de espelhamento, configuração e agendamento 40 tarefas de espelhamento, sobre 41 tipos de gerenciamento 10 Varredura completa e Varredura rápida, agendamento 92 visualizando o Log de eventos 24 cliente McAfee, consulte Cliente do Endpoint Security configuração, servidores TIE com ponte 176 configurações atualizações, configurando para 35, 37 site de origem, configurando para 35 sites de origem para atualizações do cliente, configurando 35 Configurações de Definir prioridade do Windows 91 Configurações de ação de conteúdo Controle da Web 168 configurações de Ações de conteúdo Controle da Web 168 Configurações de ações de conteúdo, Controle da Web 167 configurações de processo, varreduras por solicitação 91 configurações do Firewall Opções 132 configurações, Controle da Web controlando acesso com categorias da Web 168 controlando o acesso a sites 167 controle de acesso com classificações de segurança 168 configurações, Firewall Opções 132 configurações, Inteligência contra ameaças tecnologia de Confinamento dinâmico de aplicativos 184 configurações, Prevenção contra ameaças recurso Proteção de acesso 69 configurações, Threat Prevention configurar programas potencialmente indesejados 79 varreduras ao acessar 80 varreduras por solicitação 80 Confinamento dinâmico de aplicativos arquivos de log 25 ativação de limite gatilho 183 gerenciamento de aplicativos confinados 186 Inteligência contra ameaças 173 permissão para que aplicativos confinados sejam executados normalmente 183 processos, inclusão e exclusão 187 regras definidas pela McAfee, configuração 184 Regras definidas pela McAfee, sobre 185 sobre 180, 181 contas de usuário, controlar acesso ao cliente 33 conteúdo, atualização usando o cliente 23 Controle da Web arquivos de log 25 ativação 164 ativação do plug-in 162 botões, descrição 159 Cliente do Endpoint Security 17 como arquivos de download são varridos 166 configuração 164 depuração de log 25 e sites avisados 158 e sites bloqueados 158 exibindo informações sobre um site 163 exibindo relatórios de site 163 log de atividades 25 menu 159 recursos 157 sobre 9 cores, botões do Controle da Web 159 credenciais, lista de repositórios 37 McAfee Endpoint Security 10.2 Guia do produto 199

200 Índice D Data Exchange Layer sobre 176 definição de redes 131 depuração de logs, Cliente do Endpoint Security 25 descobridores de senha, sobre 63 destinos, Proteção de acesso detecção avaliação com sub-regras 75 exemplos 75 excluindo por nome 81 detecções exibir mensagens para usuários 82, 87 gerenciamento 58, 61 nomes 63 relatando para o servidor de gerenciamento 10 responder a 20 tipos 58, 60 discadores, sobre 63 do McAfee Endpoint Security interagindo com 12 domínios, bloqueio 130 downloads comportamento de bloqueio e aviso 158 downloads de arquivo bloquear ou avisar com base na classificação 167 varrendo com a Prevenção contra ameaças 166 downloads de arquivos E bloqueio de sites desconhecidos 164 endereços de IP grupos com reconhecimento de local 135 grupos de regra 135 endereços IP 131 Endereços IP confiáveis 132 Endpoint Security Client abrir 19 exibir informações de proteção 22 gerenciamento de detecções de ameaças 61 proteger com uma senha 33 Resumo de ameaças 15 tipos de gerenciamento 22 varredura em busca de malware 57 varreduras de sistemas 57 Endpoint Security, como proteger seu computador 10 Endpoint Security, gerenciar 27 enviar arquivos para análise detalhada Advanced Threat Defense 179 Product Improvement Program 179 eventos, rastreamento de eventos do navegador do Controle da Web 164 exceções McAfee GTI 132 exclusões configuração 66 Confinamento dinâmico de aplicativos 186, 187 especificar URLs para ScriptScan 82 nível de raiz 67 nome da detecção 81 Proteção de acesso, com base em políticas e com base em regras 76 usando caracteres curinga 67 varredura ao acessar, especificar arquivos, pastas e unidades 82 varredura por solicitação, especificar 87 exclusões em nível de raiz, consulte exclusões executáveis confiáveis, consulte executáveis confiáveis configuração de confiáveis 132 executáveis confiáveis configuração 132 definição 133 exemplos de fluxo de trabalho 178 criar predomínio e observação de arquivo 178 enviar arquivos para análise detalhada 179 monitoramento e ajustes 179 explorações bloquear estouros de buffer 78 bloqueio de explorações de estouro de buffer 76 como ocorrem explorações de estouro de buffer 77 explorações de estouro de buffer, sobre 77 F falhas, atualização 23 falsos positivos Firewall, redução 133 ferramentas de administração remota, sobre 63 Firefox firewall Firewall ativação do plug-in 162 botões do Controle da Web 159 exibindo informações sobre um site 163 navegadores com suporte 157 navegadores suportados 163 ativação no ícone da bandeja do sistema da McAfee 12 sobre grupos temporizados 12 alertas de invasão 14 arquivos de log 25 ativação e desativação usando o ícone da bandeja do sistema 127 ativação e exibição de grupos temporizados 128 ativando e desativando a proteção 129 atualização de conteúdo usando o cliente 23 bloqueio de tráfego DNS 130 Cliente do Endpoint Security McAfee Endpoint Security 10.2 Guia do produto

201 Índice Firewall (continuação) G como as regras de firewall funcionam 133 como funciona 127 criação de grupos temporizados 142 depuração de log 25 executáveis confiáveis 133 gerenciamento 128 gerenciar regras e grupos 139 grupos com reconhecimento de local, criando 141 grupos com reconhecimento de local, sobre 135 grupos temporizados, sobre 128 log de atividades 25 modificando as opções 129 regras, consulte regras de firewall sobre 9 Gerenciamento da Inteligência contra ameaças 174 Google Chrome 157 ícones de segurança 160 mecanismos de pesquisa compatíveis 160 grupo de regras Adaptáveis, Firewall 138 Grupo de regras adaptáveis, Firewall 139 grupo de regras adicionadas pelo Administrador, Firewall 138 grupo de regras adicionadas pelo Usuário, Firewall 138 Grupo de regras adicionados pelo usuário, Firewall 139 grupo de regras Dinâmicas, Firewall 138 grupo de regras Padrão, Firewall 138 grupo de regras principais de rede da McAfee, Firewall 138 grupo de regras, firewall, consulte grupos de regras de firewall grupos com reconhecimento de local criando 141 isolamento de conexão 136 sobre 135 grupos de firewall, consulte grupos de regras de firewall grupos de regra de firewall e isolamento de conexão 136 reconhecimento de local, criando 141 reconhecimento de local, sobre 135 grupos de regras de firewall como o firewall funciona 127 criação de grupos temporizados 142 gerenciamento de grupos temporizados usando o ícone da bandeja do sistema 12, 128 grupos temporizados, sobre 128 precedência 135 predefinidas 138 grupos de regras de firewall predefinidas 138 grupos de regras do firewall configurar 133 grupos temporizados gerenciamento usando o ícone da bandeja do sistema da McAfee 12 grupos temporizados, Firewall criação 142 gerenciamento usando o ícone da bandeja do sistema 128 sobre 128 grupos, firewall, consulte grupos de regras de firewall H hash, sobre 34, 81, 166 Host Intrusion Prevention e Prevenção de exploração 76 Host IPS, e Prevenção de exploração 76 I ícone da bandeja de sistema, Cliente 12 ícone da bandeja do sistema, McAfee abrir o Endpoint Security Client 19 ativação e desativação do Firewall 127 ativação e exibição de grupos temporizados 128 atualização de segurança 12 configuração de acesso ao Endpoint Security 33 definido 12 grupos temporizados do firewall 12 ícone da McAfee, consulte ícone da bandeja do sistema, McAfee ícones, McAfee, consulte ícone da bandeja do sistema, McAfee ícones, Web Control 160 impedimento de varredura 83 independente, consulte autogerenciado, sobre indetectável, sobre 63 informações, exibir proteção 22 instaladores confiáveis, varredura 82 instaladores, varrer confiáveis 82 Inteligência contra ameaças arquivos de log 25 atualizações de arquivos de conteúdo 11 cenários 173 Cliente do Endpoint Security 17 componentes 174 configuração 187 configuração de limite de gatilho do Confinamento dinâmico de aplicativos 183 depuração de log 25 log de atividades 25 servidores TIE com ponte gerenciados pelo McAfee epo 176 sobre 174 tecnologia de Confinamento dinâmico de aplicativos 184 Internet Explorer ativação do plug-in 162 e comportamento do ScriptScan 85 exibição da ajuda do Endpoint Security 20 exibindo informações sobre um site 163 navegadores com suporte 157, 163 introdução ao Threat Intelligence 178 intrusões, ativando alertas de Firewall 129 McAfee Endpoint Security 10.2 Guia do produto 201

202 Índice J jokes, sobre 63 K keyloggers, sobre 63 L limitação, configuração 91 limites ativação de limite de gatilho do Confinamento dinâmico de aplicativos 183 Lista de aplicativos confinados, gerenciamento 186 lista de repositórios localização do cliente 37 preferência de ordem, lista de repositórios 37 visão geral 37 log de atividades, Cliente do Endpoint Security 25 log de eventos, Cliente do Endpoint Security sobre 25 visualizando a página de Log de eventos 24 log do cliente, configurar 32 lógica de confiança, otimizando a varredura ao acessar 83 logs de erro, Cliente do Endpoint Security 25 logs de eventos, Cliente do Endpoint Security M malware falhas na atualização 23 detecções durante a varredura 58 detecções durante varredura 60 responder a detecções 20 varredura em busca de 57 McAfee Agent tarefa de Atualização do produto e lista de repositórios 37 McAfee Endpoint Security Client, consulte Endpoint Security Client McAfee epo atualizar proteção 11 e tipos de gerenciamento 22 recuperação de arquivos de conteúdo do AMCore 11 McAfee GTI 34, 81, 166 Classificações de segurança do Web Control 161 comentário de telemetria 81 configurando nível de sensibilidade 81 e categorias da Web 168 enviando eventos d bloqueio para o servidor 129 erro de comunicação do Controle da Web 159 especificar configurações do servidor proxy 34 exceções 132 opções de firewall, configurando 129 perguntas frequentes 130 Relatório de sites do Web Control 160 reputação de rede para o firewall, configurando 129 varredura ao acessar, como funcionam 83 McAfee GTI 34, 81, 166 (continuação) varredura de arquivos antes do download 164 varreduras ao acessar, como funcionam 88 varreduras ao acessar, configurar 82 varreduras por solicitação, configurar 87 varrendo arquivo antes de download 166 McAfee Labs atualizações de arquivos de conteúdo do AMCore 11 download de Extra.DAT 29 e McAfee GTI 34, 81, 166 Extra.DAT 30 obtendo mais informações sobre ameaças 62 McAfee SECURE, botão do Controle da Web 159 McTray, iniciando 89 mecanismo de pesquisa Ask, e ícones de segurança 160 mecanismo de pesquisa Bing, e ícones de segurança 160 mecanismos de varredura, visão geral do arquivo de conteúdo do AMCore 11 mensagens de erro, estados do ícone da bandeja do sistema 12 mensagens de notificação interagindo com o Cliente do Endpoint Security 12 sobre 14 Windows 8 e mensagens, Endpoint Security exibir quando ameaça é detectada 82, 87 sobre 14 menu Ação, sobre 14 Menu Iniciar, abrir o Endpoint Security Client 19 menus Ação 14, 28 Ajuda 14, 20 Configurações 14, 16, 17, 129, 139 Controle da Web 163 Sobre 22 Microsoft Internet Explorer, consulte Internet Explorer Modo acesso total modificando as opções de firewall 129 Modo adaptável configurando no Firewall 129 precedência de regras 133 Modo Área de trabalho, Windows 8 e 10 responder a prompts de detecção de ameaça 20 Modo da interface do cliente, opções 16 modo de acesso padrão definição de configurações de segurança do cliente 33 modo de acesso Padrão efeitos de definir uma senha 33 Modo de acesso padrão e configurações de política 16 entrando como administrador 27 gerenciar regras e grupos do firewall 139 Modo de acesso total configurações de política 16 Modo de bloqueio da interface do cliente ao abrir o Endpoint Security Client McAfee Endpoint Security 10.2 Guia do produto

203 Índice Modo Desktop, Windows 8 e 10 mensagens de notificação 14 modos da interface definição de configurações de segurança do cliente 33 modos de acesso, Cliente do Endpoint Security 16 modos de interface Acesso padrão 27, 33 módulo Common, configurar configurações 30 Módulo Common, configurar Configurações do servidor proxy do McAfee GTI 34 log 32 Módulo Em Comum, Cliente do Endpoint Security 9, 17 módulo Em Comum, configuração Autoproteção 31 segurança da interface do cliente 33 módulo Em Comum, configurando configurações de atualização 35, 37 sites de origem para atualizações do cliente, configurando 35 Módulo Em Comum, configurando módulos site de origem para atualizações do cliente 35 Acesso ao Cliente do Endpoint Security com base em políticas: 16 exibir informações sobre 22 instalados no Cliente do Endpoint Security 17 sobre Endpoint Security 9 módulos, Common definições do servidor proxy do McAfee GTI, configurar 34 log, configurar 32 módulos, Em Comum Autoproteção, configuração 31 configurações de atualização, configurando 35, 37 configurando site de origem para atualizações do cliente 35 segurança da interface do cliente, configuração 33 sites de origem para atualizações do cliente, configurando 35 Mozilla Firefox, consulte Firefox N não gerenciado, consulte autogerenciado, sobre navegadores ativação do plug-in 162 com suporte 163 desativação do plug-in do Controle da Web 164 exibindo informações sobre um site 163 suportados 157 níveis de segurança exemplos 188 nível de sensibilidade, McAfee GTI 34, 81, 166 notificações do sistema, Windows 8 e 10 14, 20 O opções configurar varreduras ao acessar 82 configurar varreduras por solicitação 87 varredura em busca de malware 57 opções de utilização do sistema, visão geral 91 opções do Firewall modificar 129 Opções, Common agendar varreduras por solicitação 57 configurações do servidor proxy, configurar 34 configurar 30 definições de log, configurar 32 Opções, Em Comum Autoproteção, configuração 31 configurações de atualização, configurando 35, 37 segurança da interface do cliente, configuração 33 site de origem para atualizações do cliente, configurando 35 sites de origem para atualizações do cliente, configurando 35 Opções, Firewall executáveis confiáveis 133 redes definidas 131 Opções, Prevenção contra ameaças configurações de varreduras comuns 81 Opções, Threat Prevention P programas indesejados 79 página Configurações Autoproteção, configuração 31 configurações do servidor proxy, configurar 34 log, configurar 32 segurança da interface do cliente, configuração 33 página de Configurações configurações de atualização, configurando 35 Página de configurações configurações da varredura ao acessar, configurar 82 configurações de atualização, configurando 37 definições de varredura por solicitação, configurar 87 gerenciar regras e grupos do firewall 139 modificando opções de firewall 129 Página de Configurações e modo da interface do cliente 16 Página de Logon do Administrador ao abrir o Endpoint Security Client 19 página de quarentena 62 página de varredura, exibição 58 página de varreduras, exibição 20 Página Fazer varredura para encontrar ameaças 60 página Logon do Administrador desbloqueio da interface do cliente 28 página Reverter conteúdo do AMCore 29 página Sobre 22 McAfee Endpoint Security 10.2 Guia do produto 203

204 Índice página Status de segurança da McAfee, exibição 12 página Status, exibição do resumo de ameaças 15 Página Varredura ao acessar 61 página Varrer sistema 58 Página Varrer sistema 61 páginas Atualização 23 configurações 35 Configurações 16, 31 35, 37, 87, 129 Fazer varredura para encontrar ameaças 60 Log de eventos 24 Quarentena 62 Reverter conteúdo do AMCore 29 Sobre 10, 22 Status de segurança da McAfee 12 Varredura ao acessar 20, 61 varredura, exibição 58 Varrer sistema 58, 61 pastas caracteres curinga em exclusões 67 configurando para colocar em quarentena 81 executar varreduras 60 gerenciando em quarentena 62 repetição de varredura na Quarentena 65 perguntas frequentes, McAfee GTI 130 Pesquisa segura, configuração do Controle da Web 164 pesquisas bloqueio de sites arriscados em resultados 164 ícones de segurança 160 phishing, relatórios apresentados por usuários de sites 161 plug-ins, ativação do Controle da Web no navegador 162 políticas acessando o Cliente do Endpoint Security 16 definidas 10 recursos do cliente 12 políticas, Common configurar 30 políticas, Prevenção contra ameaças configurações de varreduras comuns 81 varreduras por solicitação, adiando 89 políticas, Threat Prevention varreduras ao acessar 86 pop-ups, e classificações de segurança 161 práticas recomendadas uso de redes confiáveis 132 precedência grupos de firewall 135 regras do firewall 133 Prevenção contra ameaças Cliente do Endpoint Security 17 recurso Proteção de acesso 69 sobre 9 varredura de arquivos antes do download 164 varreduras ao acessar, sobre 83 varrendo arquivos antes do download 166 Prevenção de exploração arquivos de log 25 atualizações de arquivos de conteúdo 11 configuração 78 e Host IPS 76 exclusão de processos 66 sobre 76 prioridades, varreduras ao acessar 91 processes, Prevenção contra ameaças varrendo 83 Processos da Proteção de acesso, incluindo e excluindo 76 processos de alto risco, especificar 82 processos de baixo risco, especificar 82 processos, Confinamento dinâmico de aplicativos exclusões 187 processos, Inteligência contra ameaças inclusão e exclusão do Confinamento dinâmico de aplicativos 187 processos, Prevenção contra ameaças exclusão 66 incluindo e excluindo na proteção de acesso 76 inclusão e exclusão na Proteção de acesso 69 processos, Proteção de acesso exclusão com base em políticas 76 exclusão com base em regra 76 processos, Threat Prevention especificar alto e baixo risco 82 varredura 82 Product Improvement Program 179 programas potencialmente indesejados ativar detecção 80, 82, 87 caracteres curinga 67 configurar detecção 78 detecções durante a varredura 58 detecções durante varredura 60 especificação 79 especificando programas a serem detectados 81 exclusão de itens 66 sobre 63 programas, ativar detecção de potencialmente indesejados 82, 87 prompts, Endpoint Security responder a varredura 21 sobre 14 proteção configuração da Autoproteção 31 exibir informações sobre 22 interagindo com o 12 manter atualizado 11 Proteção de acesso arquivos de log 25 exclusão de processos 66 exemplos 68 processos, inclusão e exclusão 69 regras definidas pela McAfee, configuração McAfee Endpoint Security 10.2 Guia do produto

205 Índice Proteção de acesso (continuação) Q regras definidas pela McAfee, sobre 71 regras definidas pelo usuário, configuração 74 regras, sobre 69 sobre 67 Quarentena, Prevenção contra ameaças R definindo configurações de localização e retenção 81 repetição de varredura de itens em quarentena 65 ransomware recurso recursos criação de regras de proteção de acesso para a proteção contra 74 Acesso ao Cliente do Endpoint Security com base em políticas: 16 ativação e desativação 28 rede privada, adição de sites externos 164 redes confiáveis 132 definição 131 redes confiáveis, consulte redes regra, Confinamento dinâmico de aplicativos configuração 184 regras de confinamento Confinamento dinâmico de aplicativos 180 regras de firewall como o firewall funciona 127 configurar 133 uso de caracteres curinga 141 regras definidas pela McAfee, Confinamento dinâmico de aplicativos 185 regras definidas pela McAfee, Proteção de acesso 71 regras definidas pelo usuário, Proteção de acesso configuração 74 regras do firewall como funcionam 133 ordenação e precedência 133 permitir e bloquear 133 regras personalizadas, consulte regras definidas pelo usuário, Proteção de acesso regras, firewall, consulte Firewall regras, Prevenção contra ameaças configuração 69 regras, Proteção de acesso tipos 69 regras, Threat Prevention como a Proteção de acesso funciona 68 relatórios de segurança, consulte relatórios, Web Control relatórios do site, consulte relatórios, Web Control relatórios, Controle da Web exibindo 163 relatórios, Controle da Web (continuação) segurança 157 relatórios, Web Control 160, 161 exibição 163 segurança do site 160 reputação de arquivos respondendo a solicitações 21 reputações ativação de limite de gatilho do Confinamento dinâmico de aplicativos 183 como elas são determinadas 176 Confinamento dinâmico de aplicativos 180 respostas, configurar para detecção de programas indesejados 80 Resumo de ameaças, sobre 15 S Safari (Macintosh) botões do Controle da Web 159 scripts, varredura 85 ScriptScan ativar 82 exclusão de URLs 66 sobre 85 segurança senhas configuração de segurança da interface do cliente 33 administrador 27, 28 configuração de segurança do cliente 33 controlar acesso ao software cliente 33 servidor proxy como funcionam os módulos do McAfee GTI 34, 81, 166 configuração para o McAfee GTI 34 configurações da lista de repositórios 37 Servidor Threat Intelligence Exchange, consulte Servidores TIE servidores servidores TIE com ponte gerenciados pelo McAfee epo 176 sobre servidores TIE 176 servidores TIE criando pontes 176 sobre 176 servidores, proxy, consulte servidores proxy setores de inicialização, varredura 82, 87 sistemas de servidor e varredura de recurso ocioso 89 site, avisando com base na classificação 167 site, bloqueando com base na categoria da Web 167 com base na classificação 167 site, controlando acesso sites com categorias da web 167 classificações de segurança 161 comportamento de bloqueio e aviso 158 exibindo relatórios de site do Controle da Web 163 McAfee Endpoint Security 10.2 Guia do produto 205

206 Índice sites (continuação) proteção de navegação 159 proteção durante pesquisas 160 sites, avisando com base na classificação 167 sites, aviso com base em classificações de segurança 168 sites, bloqueando com base na categoria da Web 167, 168 com base na classificação 167 sites, bloqueio com base em classificações de segurança 168 sem classificação ou desconhecidos 164 sites arriscados em resultados de pesquisa 164 sites, controlando acesso com base na categoria da Web 168 sites, controlando o acesso com base na categoria da Web 168 com categorias da web 167 sites, controle de acesso com classificações de segurança 168 Sobre a página 10 software cliente, definido 10 solicitação, Endpoint Security respondendo à reputação de arquivos 21 solicitações de download, consulte download de arquivos spyware, sobre 63 status, Endpoint Security, exibição no ícone da bandeja do sistema da McAfee 12 sub-regras, Proteção de acesso T avaliação com destinos 75 excluindo e incluindo 76 tarefa Atualização padrão do cliente sobre 38 Tarefa padrão de atualização do cliente agendando com o Cliente do Endpoint Security 39 configurando 37 configurando o site de origem para atualizações 35 tarefa, Prevenção contra ameaças Varredura completa e Varredura rápida, agendamento 92 varredura personalizada, agendamento 92 tarefas de atualização personalizadas, consulte tarefas, Cliente do Endpoint Security tarefas de espelhamento configuração e agendamento 40 sobre 41 tarefas do cliente de Atualização do produto lista de repositórios 37 sobre 37 tarefas, Cliente do Endpoint Security Atualização do cliente padrão, agendamento 39 Atualização do cliente padrão, configurando 37 atualização personalizada, configurando e agendando 39 tarefas, Cliente do Endpoint Security (continuação) configuração e agendamento de tarefas de espelhamento 40 tarefas de espelhamento, sobre 41 tarefas, Endpoint Security Atualização padrão do cliente, sobre 38 tarefas, Threat Prevention Varreduras completas e rápidas, sobre 57 tempo de CPU, varreduras por solicitação 91 threads, prioridade 91 Threat Intelligence Endpoint Security 175 exemplos de fluxo de trabalho 178 Threat Prevention gerenciamento 65 Opções, programas indesejados 79 programas potencialmente indesejados, detectar 78 Recurso de Prevenção de exploração 78 varreduras ao acessar, configurar 82 varreduras por solicitação, configurar 87 varreduras por solicitação, sobre 88 tipo de gerenciamento do McAfee epo Cloud 22 tipos de gerenciamento tráfego exibição 22 sobre 22 examinado pelo firewall 127 permitir saída até que os serviços de firewall sejam iniciados 129 tráfego DNS, bloqueio 130 U unidades de rede, especificar opções de varredura 82 URLs V excluir da varredura de scripts 82 exclusão da varredura de scripts 66 varredura ao acessar configurando 81 visão geral 83 Varredura completa agendando no cliente 92 configurar 87 execução usando o Cliente do Endpoint Security 58 sobre 57 varredura de recurso ocioso 89 Varredura por clique no botão direito configurar 87 executar a partir do Windows Explorer 60 sobre 57 varredura por solicitação configurando 81 Varredura rápida agendando no cliente McAfee Endpoint Security 10.2 Guia do produto

207 Índice Varredura rápida (continuação) configurar 87 execução usando o Cliente do Endpoint Security 58 tipos de varreduras 57 varreduras adiar, pausar, retomar e cancelar 21 agendando com o Cliente do Endpoint Security 92 configurações comuns de varreduras por solicitação e ao acessar 81 Controle da Web 166 execução usando o Cliente do Endpoint Security 58 executar varredura por clique no botão direito 60 personalizada, criando e agendando com o cliente 92 responder a prompts 21 tipos 57 usando caractere curinga em exclusões 67 varreduras ao acessar arquivos de log 25 configuração 82 detecções de ameaças 20 exclusão de itens 66 gravar ou ler do disco 83 número de políticas de varredura 86 otimizando a lógica de confiança 83 programas potencialmente indesejados, ativar detecção 80 ScriptScan 85 sobre 57 varredura de scripts 85 Varreduras de armazenamento seguro, visão geral 91 varreduras de impacto zero 89 varreduras de sistemas, tipos 57 varreduras incrementais 89 varreduras manuais execução usando o Cliente do Endpoint Security 58 executar a partir do Endpoint Security Client 60 sobre tipos de varredura 57 varreduras personalizadas, consulte varreduras por solicitação varreduras por solicitação arquivos de log 25 exclusão de itens 66 execução de Varredura completa ou Varredura rápida 58 executar varredura por clique no botão direito 60 programas potencialmente indesejados, ativar detecção 80 responder a prompts 21 sobre 57 utilização do sistema 91 varredura de arquivo ou pasta 60 Varreduras de armazenamento seguro 91 varreduras por solicitação (continuação) visão geral 88 varreduras retomáveis, consulte varreduras incrementais varreduras, ao acessar configuração 82 detecções de ameaças, responder a 20 detectando ameaças em aplicativos da Windows Store 83 exclusão de itens 66 número de políticas 86 otimizando a lógica de confiança 83 ScriptScan 85 visão geral 83 varreduras, personalizadas, consulte varreduras, por solicitação varreduras, por solicitação agendando no cliente 92 configurar 87 detectar ameaças em aplicativos do Windows Store 88 exclusão de itens 66 utilização do sistema 91 Varreduras de armazenamento seguro 91 varrer com recurso ocioso 21 vírus assinaturas 11 detecções durante a varredura 58 detecções durante varredura 60 responder a detecções 20 sobre 63 vulnerabilidades, consulte ameaças W Web Control gerenciamento 164 ícones e balões 163 ícones, descrição 160 mecanismos de pesquisa e ícones de segurança 160 relatórios do site 160 Windows 8 e 10 abrir o Endpoint Security Client 19 responder a prompts de detecção de ameaça 20 sobre mensagens de notificação 14 Y Yahoo ícones de segurança 160 mecanismo de pesquisa compatível 160 mecanismo de pesquisa padrão 164 McAfee Endpoint Security 10.2 Guia do produto 207

208 0-12