Guia de Implementação do Symantec Central Quarantine
Guia de Implementação do Symantec Central Quarantine O software descrito neste guia é fornecido sob um contrato de licença e deve ser usado somente de acordo com os termos desse contrato. Versão da documentação 12.01.00.00 Aviso legal Copyright 2011 Symantec Corporation. Todos os direitos reservados. Symantec, o logotipo da Symantec, Bloodhound, Confidence Online, Digital Immune System, LiveUpdate, Norton, Sygate e TruScan são marcas comerciais ou marcas registradas da Symantec Corporation ou de seus afiliados nos Estados Unidos e em outros países. Outros nomes de produtos podem ser marcas comerciais de seus respectivos proprietários. Este produto da Symantec pode conter software de terceiros para o qual são necessárias atribuições fornecidas pela Symantec a esses terceiros ("Programas de terceiros"). Alguns dos Programas de terceiros estão disponíveis sob licenças de software de código aberto ou livre. O Contrato de licença que acompanha o software não altera nenhum direito ou obrigação que você possa ter sob essas licenças de software de código aberto ou livre. Consulte o Apêndice Aviso legal sobre terceiros para esta documentação ou o arquivo Leia-me TPIP que acompanha este produto da Symantec para obter mais informações sobre os Programas de terceiros. O produto descrito neste documento é distribuído sob licenças que restringem o uso, a cópia, a distribuição e a descompilação/engenharia reversa. Não será permitida, de forma alguma, a reprodução de qualquer seção deste documento sem a autorização prévia escrita da Symantec Corporation e dos licenciadores, se houver algum. A DOCUMENTAÇÃO É FORNECIDA "NO ESTADO EM QUE SE ENCONTRA" E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM PROPÓSITO EM PARTICULAR OU SEM VIOLAÇÃO, SÃO ISENTAS, EXCETO SE AS ISENÇÕES DE RESPONSABILIDADE FOREM CONSIDERADAS INVÁLIDAS JURIDICAMENTE. A SYMANTEC CORPORATION SE ISENTA DE RESPONSABILIDADE POR DANOS INCIDENTAIS OU CONSEQUENTES RELATIVOS AO FORNECIMENTO, EXECUÇÃO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES DESTA DOCUMENTAÇÃO ESTÃO SUJEITAS À ALTERAÇÃO SEM AVISO PRÉVIO. O Software licenciado e a documentação são considerados software comercial para computadores, conforme definido na FAR 12.212 e sujeito a direitos restritos, conforme definido no artigo 52.227-19 da FAR "Software comercial para computadores - Direitos restritos" e DFARS 227.7202, "Direitos em Software comercial para computadores ou documentação de software comercial para computadores", conforme aplicável, e todas as regulamentações sucessoras. O uso, a modificação, versão de reprodução, apresentação, exibição ou divulgação do Software licenciado e da documentação pelo governo dos EUA devem ser feitos exclusivamente de acordo com os termos deste Contrato.
Symantec Corporation 350 Ellis Street Mountain View, CA 94043 http://www.symantec.com.br
Suporte técnico Contato com o suporte técnico O suporte técnico da Symantec mantém centros globais de suporte. A principal função do suporte técnico é de responder a consultas específicas sobre os recursos e a funcionalidade dos produtos. A equipe de suporte técnico cria também o conteúdo para nossa Base de conhecimento on-line. A equipe de suporte técnico trabalha em colaboração com outras áreas funcionais dentro da Symantec para responder prontamente suas perguntas. Por exemplo, a equipe de suporte técnico trabalha com a Engenharia de produtos e o Symantec Security Response para fornecer serviços de alerta e atualizações das definições de vírus. As ofertas de suporte da Symantec incluem o seguinte: Várias opções de suporte que lhe proporcionam flexibilidade para selecionar a quantidade adequada de serviços para empresas de todos os portes. Suporte telefônico e/ou com base na Web que fornece resposta rápida e informações atualizadas Garantia de upgrade que fornece upgrades de software Suporte global adquirido em um horário comercial regional ou 24 horas por dia, 7 dias por semana Ofertas de serviços Premium que incluem Serviços de gerenciamento de conta Para obter mais informações sobre as ofertas de suporte da Symantec, acesse nosso site no seguinte URL: www.symantec.com/pt/br/business/support/ Os serviços de suporte serão fornecidos de acordo com seu contrato de suporte e com a política de suporte técnico corporativo atual. Os clientes com um contrato de suporte atual podem acessar as informações do suporte técnico no seguinte URL: www.symantec.com/pt/br/business/support/ Antes de entrar em contato com o suporte técnico, certifique-se de satisfazer os requisitos do sistema que estão relacionados na documentação do produto. Além disso, é necessário estar no computador em que ocorreu o problema, caso seja necessário replicá-lo. Quando você entra em contato com o suporte técnico, tenha disponíveis as seguintes informações: Nível de versão do produto
Informações de hardware Memória disponível, espaço em disco e informações do NIC Sistema operacional Versão e nível de patch Topologia da rede Roteador, gateway e informações do endereço IP Descrição do problema: Mensagens de erro e arquivos de log Soluções de problemas executadas antes de entrar em contato com a Symantec Mudanças de configuração recentes do software e mudanças da rede Licenciamento e registro Atendimento ao cliente Se seus produtos da Symantec exigem o registro ou um código de licença, acesse nossa página da Web do suporte técnico no seguinte URL: www.symantec.com/pt/br/business/support/ As informações do atendimento ao cliente estão disponíveis no seguinte URL: www.symantec.com/pt/br/business/support/ O atendimento ao cliente está disponível para ajudar com perguntas não técnicas, como os seguintes tipos de problemas: Perguntas a respeito do licenciamento ou da serialização do produto Atualizações de registro do produto, como alterações de endereço ou de nome Informações gerais sobre o produto (recursos, disponibilidade de idiomas, revendedores locais) Informações mais recentes sobre atualizações e upgrades do produto Informações sobre a garantia de upgrade e os contratos de suporte Informações sobre os programas de compra da Symantec Recomendações sobre as opções de suporte técnico da Symantec Perguntas não técnicas do pré-vendas Problemas relacionados aos CD-ROMs, DVDs ou manuais
Recursos do contrato de suporte Se desejar contatar a Symantec a respeito de um contrato de suporte existente, entre em contato com a equipe de administração do contrato de suporte de sua região da seguinte forma: Pacífico-Asiático e Japão Europa, Oriente Médio e África America do Norte e América Latina customercare_apac@symantec.com semea@symantec.com supportsolutions@symantec.com Serviços corporativos adicionais A Symantec oferece um conjunto completo de serviços que permitem que você maximize seu investimento nos produtos da Symantec e desenvolva seus conhecimentos, conhecimento técnico e percepção global, que possibilitam gerenciar de forma proativa os riscos de negócios. Os serviços corporativos que estão disponíveis incluem: Serviços gerenciados Serviços de consultoria Serviços de capacitação Os serviços gerenciados removem a carga de dispositivos e eventos de gerenciamento e monitoramento de segurança, garantindo a resposta rápida às ameaças reais. Os Serviços de Consultoria da Symantec fornecem conhecimento técnico da Symantec e de seus parceiros de confiança no local. Os Serviços de Consultoria da Symantec oferecem várias opções prontas e personalizáveis que incluem recursos de avaliação, planejamento, implementação, monitoramento e gerenciamento. Essas opções estão centradas no estabelecimento e na manutenção da integridade e da disponibilidade de seus recursos de TI. Os Serviços de capacitação fornecem uma gama completa de programas de treinamento técnico, treinamento em segurança, certificação de segurança e de sensibilização. Para acessar mais informações sobre os serviços corporativos, acesse nosso site no seguinte URL: www.symantec.com/pt/br/business/services/ Selecione seu país ou idioma do índice do site.
Sumário Suporte técnico... 4 Capítulo 1 Apresentação do Symantec Central Quarantine... 9 Sobre o Symantec Central Quarantine... 9 Sobre os componentes da Quarentena central... 10 Como funciona a Quarentena central... 11 Sobre a identificação e quarentena de vírus... 12 Sobre a análise de vírus... 12 O que pode ser feito com a Quarentena central... 13 Onde obter mais informações sobre a Quarentena central... 14 Capítulo 2 Instalação e configuração da Quarentena central... 15 Antes da instalação... 15 Requisitos do sistema para o Console de quarentena... 16 Requisitos do sistema para o Servidor da Quarentena central... 17 Instalação da Quarentena central... 18 Sobre a Quarentena central... 19 Sobre as propriedades da Quarentena central... 19 Ativação do Servidor de quarentena... 22 Configuração do Servidor de quarentena... 22 Configuração de uma política de proteção contra vírus e spyware para usar o servidor de quarentena... 23 Capítulo 3 Utilização do Symantec Central Quarantine... 25 Gerenciamento de arquivos em quarentena... 25 Exibição dos itens em quarentena... 25 Exclusão de arquivos em quarentena... 26 Restauração de arquivos em quarentena... 27 Submissão de amostras para análise... 27 Definição de uma política de envio automático de amostras... 28 Envio manual de arquivos... 28 Exame do status do envio de amostras... 29 Exibição dos atributos de uma amostra... 29
8 Sumário Verificação das ações tomadas em uma amostra... 30 Verificação dos erros de envio de uma amostra... 30 Configuração de eventos e alertas... 30 Especificação dos eventos que acionam alertas... 30 Apêndice A Referência do processamento de amostras... 33 Sobre o processamento de amostras... 33 Status das amostras... 33 Estado da amostra... 34 Estados finais... 35 Estados de trânsito... 36 Estados pendentes... 37 Estados ativos... 37 Erros nas amostras... 39 Índice... 41
Capítulo 1 Apresentação do Symantec Central Quarantine Este capítulo contém os tópicos a seguir: Sobre o Symantec Central Quarantine Sobre os componentes da Quarentena central Como funciona a Quarentena central O que pode ser feito com a Quarentena central Onde obter mais informações sobre a Quarentena central Sobre o Symantec Central Quarantine Quando o Symantec Endpoint Protection encontra um item infectado, que não pode ser reparado com as definições de vírus atuais, bloqueia o acesso ao item. Depois, o produto empacota o item com todos os arquivos de sistema e configurações afetados e move o pacote para a quarentena local. A quarentena local é um local especial reservado para arquivos infectados e efeitos colaterais relacionados ao sistema. Após vírus e outras ameaças serem isolados em uma quarentena local, eles não podem se disseminar nem danificar o computador. O Symantec Endpoint Protection pode encaminhar automaticamente os pacotes que contêm arquivos infectados e seus efeitos colaterais relacionados de uma quarentena local para a Quarentena central. A Quarentena central é um repositório central composto de dois componentes primários, o Servidor da Quarentena central e o Console de quarentena. O Servidor da Quarentena central armazena amostras infectadas e se comunica com o Symantec Security Response. O Console de quarentena, que se associa ao Microsoft Management Console (MMC), permite gerenciar o Servidor da Quarentena central.
10 Apresentação do Symantec Central Quarantine Sobre os componentes da Quarentena central Você pode coletar as informações de análise posterior mais facilmente usando a Quarentena central. Você pode obter uma amostra de um computador infectado sem ter que ir fisicamente até esse computador. Além de verificar se há vírus nos arquivos, os clientes do Symantec Endpoint Protection verificam se há riscos à segurança, como spyware, adware, ferramentas de hacker e programas de brincadeiras. Também é possível encaminhar esses arquivos infectados à Quarentena central. No entanto, as ameaças detectadas e colocadas em quarentena pela Proteção proativa contra ameaças são enviadas usando um mecanismo diferente. Consulte Sobre os componentes da Quarentena central na página 10. Consulte Onde obter mais informações sobre a Quarentena central na página 14. Sobre os componentes da Quarentena central A Tabela 1-1 descreve os componentes do Symantec Central Quarantine. Tabela 1-1 Componente Componentes da Quarentena central Descrição Symantec Security Response Gateway Console de quarentena Servidor de quarentena Centro de análise automatizada, que verifica e analisa os itens enviados, cria e distribui definições de vírus atualizadas. O intermediário entre o Symantec Security Response e a Quarentena central. As amostras são analisadas e somente encaminhadas ao Symantec Security Response se não puderem ser reparadas pelas definições no gateway. Se a amostra puder ser reparada, as definições retornarão do gateway para a Quarentena central. A interface do usuário da Quarentena central usada para configurar operações do Servidor de quarentena, comunicar-se com o gateway e gerenciar atualizações de definições. Componente que aceita arquivos infectados e efeitos colaterais de vários servidores e clientes, comunicando-se com o Console de quarentena. Os itens que chegam à Quarentena são verificados com o conjunto de definições do Servidor de quarentena e enviados se não puderem ser reparados. O Servidor de quarentena deve ser configurado para monitorar portas específicas nos protocolos IP. O cliente deve estar configurado para encaminhar para a porta que corresponda ao protocolo de envio do cliente.
Apresentação do Symantec Central Quarantine Como funciona a Quarentena central 11 Componente Agente da quarentena Verificador da quarentena Defcast Descrição Componente que controla a comunicação entre o Servidor de quarentena e o gateway, acionando o mecanismo Defcast. O Agente da quarentena assegura que a Quarentena central possua o conjunto de definições mais atualizado do gateway. Componente que verifica arquivos enviados com o conjunto de definições do Servidor de quarentena. As amostras que chegam à Quarentena central devem ser verificadas antes que possam ser enviadas. Componente que consulta o número de sequência das definições de vírus dos servidores e clientes. Consulte Como funciona a Quarentena central na página 11. Consulte Onde obter mais informações sobre a Quarentena central na página 14. Como funciona a Quarentena central A Quarentena central usa o Digital Immune System para gerenciar o processo inteiro do antivírus. O Digital Immune System elimina muitas das tarefas manuais envolvidas nos processos de envio e análise. A automação reduz o tempo decorrido entre a descoberta de um vírus e quando um reparo é implementado com o LiveUpdate. O Digital Immune System faz o seguinte: Identifica e coloca em quarentena: Usa heurística e detecção comportamental poderosas para identificar rapidamente ameaças novas. Os itens suspeitos são isolados no Servidor da Quarentena central e as amostras são enviadas automaticamente para o Symantec Security Response para análise. Analisa: envia os arquivos ao Symantec Security Response para análise, reparo e teste. Nota: Apenas as ameaças de vírus que são colocadas em quarentena são transferidas para o Servidor da Quarentena central. As ameaças não virais são encaminhadas diretamente do cliente para a Symantec e nunca aparecem na Quarentena central. Consulte Sobre a identificação e quarentena de vírus na página 12. Consulte Sobre a análise de vírus na página 12.
12 Apresentação do Symantec Central Quarantine Como funciona a Quarentena central Sobre a identificação e quarentena de vírus Sobre a análise de vírus O primeiro objetivo do Digital Immune System é detectar ameaças novas ou desconhecidas no computador, no servidor e no gateway. A Symantec usa a tecnologia heurística Bloodhound, projetada para detectar a maioria das variedades novas ou desconhecidas de vírus. É possível configurar clientes para que enviem automaticamente arquivos suspeitos e seus respectivos efeitos colaterais para uma Quarentena local. Uma Quarentena local pode estar localizada na área de trabalho, no servidor ou no gateway. A Quarentena local cria um pacote de arquivos suspeitos com informações sobre o computador de origem e encaminha os arquivos à Quarentena central corporativa para análise detalhada. Como a Quarentena central pode conter definições de vírus mais atualizadas que o computador que está enviando os arquivos, ela usa seu próprio conjunto de definições de vírus para verificar os arquivos. Se não puder reparar um arquivo, a Quarentena central removerá dele informações possivelmente sigilosas, se estiver configurada para isso, e o criptografará. O Digital Immune System transmite o arquivo pela Internet para um gateway da Symantec para maior análise. Os administradores podem configurar o Digital Immune System para executar automaticamente as seguintes tarefas: Detectar e colocar em quarentena vírus novos e desconhecidos. Filtrar e encaminhar amostras criptografadas ao Symantec Security Response para análise. O Digital Immune System pode remover o conteúdo sigiloso. Procurar novas definições de vírus e atualizações de status. Consulte Sobre a análise de vírus na página 12. O Agente da quarentena se encarrega da comunicação entre a Quarentena central e o gateway da Symantec. Se a Quarentena central não puder reparar um arquivo infectado, o Agente da quarentena o encaminhará ao gateway. Posteriormente, o Agente da quarentena consulta o gateway para verificar se o reparo está pronto. Se o reparo estiver pronto, o Agente da quarentena fará o download do novo conjunto de definições de vírus e instalará as novas definições na Quarentena central. Se o reparo não estiver pronto, o Agente da quarentena pesquisará o gateway a cada 60 minutos em busca de um reparo. Ao receber uma nova submissão, o Digital Immune System: Adiciona o envio a um banco de dados de controle.
Apresentação do Symantec Central Quarantine O que pode ser feito com a Quarentena central 13 Filtra o envio para eliminar arquivos limpos, falsos positivos, vírus conhecidos e ameaças expandidas. A filtragem é rápida, e como a maioria dos envios é resolvida por meio de filtragem, o tempo de resposta para itens filtrados é rápido. Analisa o vírus e os efeitos colaterais, gera um reparo e testa o reparo criado. Na maioria dos casos, a análise e o reparo são gerados automaticamente, mas alguns vírus podem exigir a intervenção dos pesquisadores do Symantec Security Response. Compila um novo conjunto de definições de vírus, que inclui uma nova impressão digital, e retorna as novas definições ao gateway. Consulte Sobre a identificação e quarentena de vírus na página 12. O que pode ser feito com a Quarentena central As versões anteriores da Quarentena central conduziam novas definições de vírus e ameaças a todos os clientes legado que enviavam itens em quarentena. Essa versão da Quarentena central ainda envia itens ao Symantec Security Response e recebe atualizações para esses itens. Entretanto, essa versão não conduz as definições para os clientes que executam o Symantec Endpoint Protection. Todavia, a Quarentena central proporciona um local único para a disposição de todos os itens em quarentena na rede. Todos os itens em quarentena são exibidos em uma janela e são enviados automaticamente ao Symantec Security Response. Essa janela também fornece informações sobre as ameaças enviadas, como o usuário e o computador que pegou a ameaça. Essa janela também mostra o status das definições criadas para detectar as ameaças desconhecidas que você enviar. O Digital Immune System fornece informações sobre as ameaças enviadas à Symantec Global Intelligence Network, que oferece compreensão inigualável no cenário da segurança na Internet. A Symantec Global Intelligence Network consiste em mais de 150 milhões de sensores antivírus para desktop, 40.000 sensores de firewall e de detecção de intrusos e 4.300 dispositivos monitorados e gerenciados em todo o mundo. Essas informações são combinadas ao banco de dados de vulnerabilidades da Symantec, com 13.000 entradas, o maior do mundo. Essas entradas abrangem 30.000 versões de aplicativos e sistemas operacionais de mais de 4.000 fornecedores. Consulte Antes da instalação na página 15. Consulte Sobre a Quarentena central na página 19.
14 Apresentação do Symantec Central Quarantine Onde obter mais informações sobre a Quarentena central Onde obter mais informações sobre a Quarentena central Você pode encontrar a documentação principal sobre a Quarentena central na pasta Documentação no disco de instalação. Algumas pastas de componentes individuais contêm a documentação específica do componente. As atualizações da documentação estão disponíveis nos sites do Suporte Técnico da Symantec e do Business Critical Services (anteriormente suporte Platinum). A Tabela 1-2 relaciona as informações adicionais disponíveis nos sites da Symantec. Tabela 1-2 Sites do Suporte Técnico da Symantec Tipos de informação Base de conhecimento pública Endereço na Web http://www.symantec.com/pt/br/business/support/index.jsp Versões e atualizações Manuais e documentação Opções de contato Informações e atualizações de vírus e outras ameaças Novidades e atualizações sobre produtos Acesso ao Business Critical Services (anteriormente suporte Platinum) pela Web http://www.symantec.com/pt/br/security_response/ http://www.symantec.com/pt/br/business https://www-secure.symantec.com/platinum/login_br.html Consulte Sobre o Symantec Central Quarantine na página 9.
Capítulo 2 Instalação e configuração da Quarentena central Este capítulo contém os tópicos a seguir: Antes da instalação Requisitos do sistema para o Console de quarentena Requisitos do sistema para o Servidor da Quarentena central Instalação da Quarentena central Sobre a Quarentena central Sobre as propriedades da Quarentena central Ativação do Servidor de quarentena Configuração do Servidor de quarentena Configuração de uma política de proteção contra vírus e spyware para usar o servidor de quarentena Antes da instalação Antes de instalar a Quarentena central, você deve considerar o seguinte: Direitos de administrador são requeridos para a instalação do Console de quarentena e do Servidor de quarentena. Certifique-se de ter os direitos apropriados antes da instalação. Certifique-se de desinstalar qualquer versão anterior da Quarentena central que existir no computador.
16 Instalação e configuração da Quarentena central Requisitos do sistema para o Console de quarentena A Quarentena central é formada pelo Servidor de quarentena e pelo Console de quarentena. É possível instalar o Servidor de quarentena e o Console de quarentena nos mesmos computadores ou em computadores diferentes que executem Windows 2000/XP/2003. O Console de quarentena deve usar o mesmo protocolo de rede (TCP/IP) que o Servidor de quarentena para configurá-lo. Os produtos que usam quarentena podem encaminhar arquivos ao Servidor de quarentena usando TCP/IP. Verifique se esse protocolo de rede está instalado no Servidor de quarentena. Consulte Requisitos do sistema para o Console de quarentena na página 16. Consulte Requisitos do sistema para o Servidor da Quarentena central na página 17. Requisitos do sistema para o Console de quarentena O Console de quarentena tem os seguintes requisitos. Tabela 2-1 Requisitos do sistema para o Console de quarentena Componente Processador Sistema operacional 32 bits Intel Pentium III de 600 MHz É oferecido suporte para os seguintes sistemas operacionais: Windows 2000 Professional/Server/Advanced Server/Datacenter Server com Service Pack 3 ou superior Windows XP Professional com Service Pack 1 ou superior Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition Nota: O Console de quarentena não foi testado em sistemas operacionais de 64 bits. Memória Disco rígido Vídeo 64 MB de RAM 35 MB XGA (1024x768) ou adaptador de vídeo e monitor com maior resolução
Instalação e configuração da Quarentena central Requisitos do sistema para o Servidor da Quarentena central 17 Componente Outros requisitos 32 bits Os outros requisitos a seguir devem ser atendidos: Internet Explorer 5.5 com Service Pack 2 ou superior Microsoft Management Console (MMC) versão 1.2 ou superior Se o MMC ainda não estiver instalado, serão necessários 3 MB de espaço livre em disco (10 MB durante a instalação). Consulte Instalação da Quarentena central na página 18. Requisitos do sistema para o Servidor da Quarentena central O Servidor da Quarentena central tem os seguintes requisitos. Tabela 2-2 Requisitos do sistema para o Servidor da Quarentena central Componente Processador Sistema operacional 32 bits Intel Pentium III de 600 MHz É oferecido suporte para os seguintes sistemas operacionais de 32 bits: Windows 2000 Professional/Server/Advanced Server/Datacenter Server com Service Pack 3 ou superior Windows XP Professional com Service Pack 1 ou superior Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition Nota: O Servidor de quarentena não foi testado e não é suportado em sistemas operacionais de 64 bits. Memória Disco rígido Vídeo 128 MB de RAM 40 MB, 500 MB a 4 GB recomendados para itens em quarentena e arquivo de troca de 250 MB XGA (1024x768) ou adaptador de vídeo e monitor com maior resolução Outros requisitos Internet Explorer 5.5 com Service Pack 2 ou superior Consulte Instalação da Quarentena central na página 18.
18 Instalação e configuração da Quarentena central Instalação da Quarentena central Instalação da Quarentena central A instalação da Quarentena central consiste das seguintes tarefas: Instalação do Console de quarentena Instalação do Servidor de quarentena Nota: Você pode instalar o console e o servidor em qualquer ordem. Para instalar o Console de quarentena 1 Inicie a instalação do disco de produto das ferramentas e clique em Instalar o Console da Quarentena central. 2 Na caixa de diálogo de apresentação, clique em Avançar. 3 Na caixa de diálogo Contrato de licença, selecione Aceito os termos do contrato de licença. 4 Clique em Avançar. 5 Na caixa de diálogo Pasta de destino, selecione uma das seguintes opções: Avançar: para instalar na pasta padrão. Alterar: para selecionar outra pasta. Não instale o Console de quarentena em uma unidade de rede. 6 Siga as instruções na tela para concluir a instalação. Para instalar o Servidor de quarentena 1 Inicie a instalação do disco de produto das ferramentas e clique em Instalar o Console da Quarentena central. 2 Na caixa de diálogo de apresentação, clique em Avançar. 3 Na caixa de diálogo Contrato de licença, selecione Aceito os termos do contrato de licença. 4 Clique em Avançar. 5 Na caixa de diálogo Pasta de destino, selecione uma das seguintes opções: Avançar: para instalar na pasta padrão. Alterar: para selecionar outra pasta. O Servidor de quarentena não deve ser instalado em uma unidade de rede. 6 Clique em Avançar.
Instalação e configuração da Quarentena central Sobre a Quarentena central 19 7 Na caixa de diálogo Máximo de espaço em disco, aceite o espaço em disco padrão de 500 megabytes ou insira um novo valor (em megabytes) na caixa Espaço em disco e clique em Avançar. 8 Na caixa de diálogo Informações de contato, digite o nome da empresa, o número da conta (se disponível), o nome, o telefone e o e-mail do contato. 9 Clique em Avançar. 10 Na caixa de diálogo Comunicação na Web, aceite o endereço do gateway padrão ou digite outro endereço (se fornecido pela Symantec) na caixa Nome do gateway. Depois, clique em Avançar. 11 Siga as instruções na tela para concluir a instalação. Consulte Ativação do Servidor de quarentena na página 22. Sobre a Quarentena central A Quarentena central é composta de dois componentes principais, o Servidor de quarentena e o Console de quarentena. O Servidor de quarentena armazena amostras infectadas e se comunica com o Symantec Security Response. O Console de quarentena, que se associa ao Microsoft Management Console, permite gerenciar o Servidor de quarentena. Para usar a Quarentena central, proceda da seguinte maneira: Ative o Servidor de quarentena. Configure o Servidor de quarentena. Configure os clientes para que encaminhem amostras ao Servidor de quarentena. Consulte Sobre as propriedades da Quarentena central na página 19. Sobre as propriedades da Quarentena central Você usa a caixa de diálogo Propriedades para definir várias configurações da Quarentena central. Nota: As configurações padrão da Quarentena central usam as informações fornecidas durante a instalação para oferecer proteção abrangente sem configurações adicionais. Não é necessário alterar nenhuma dessas configurações.
20 Instalação e configuração da Quarentena central Sobre as propriedades da Quarentena central Tabela 2-3 Propriedade Geral Propriedades da Quarentena central Descrição Essa propriedade permite especificar as configurações principais da Quarentena, como o local da pasta Quarentena. Esta propriedade permite também especificar as configurações para o tamanho máximo do conteúdo da pasta, o protocolo de escuta para comunicação com os clientes e o intervalo de atualização automática. Comunicação na Web Essa propriedade permite especificar as configurações de comunicação, como o nome do computador do gateway da Symantec e estas configurações de segurança: O envio seguro envia amostras de vírus à Symantec usando SSL (Secure Sockets Layer). O download seguro usa SSL para receber as definições atualizadas da Symantec. O gateway do Symantec Immune System especifica o computador de gateway que se comunica com o Symantec Security Response. Firewall Essa propriedade permite especificar como se comunicar com e através de um firewall proxy, se a rede o utilizar: O nome do firewall é o endereço IP ou o nome do firewall. A porta do firewall é a porta de comunicação com o firewall. O nome de usuário do firewall é o nome de usuário para a comunicação com o firewall. A senha do firewall é a senha usada na comunicação com o firewall.
Instalação e configuração da Quarentena central Sobre as propriedades da Quarentena central 21 Propriedade Política de amostras Descrição Essa propriedade permite especificar como as amostras serão enviadas e processadas: O envio automático de amostras coloca automaticamente na fila amostras de vírus para análise. O intervalo de verificação de fila é a frequência com que se verifica a existência de novos itens na Quarentena. A remoção de dados do usuário da amostra é uma forma de manter a segurança, pois os dados possivelmente sigilosos são removidos de submissões de amostras. O intervalo da pesquisa de status é a frequência com que se verificam alterações no status das amostras submetidas no gateway. Política de definições Essa propriedade permite especificar como as definições do antivírus e antispyware serão processadas: O número de sequência ativo é o número de sequência das definições instaladas no Servidor de quarentena. Os números de sequência são usados somente pelos produtos de antivírus Symantec, atribuídos a conjuntos de assinaturas sequencialmente e sempre cumulativos. Um conjunto de assinaturas com número de sequência superior substitui um conjunto de assinaturas com número de sequência inferior. O intervalo de definições aprovadas é a frequência, em minutos, de verificação de definições aprovadas atualizadas no gateway. A configuração padrão é três vezes por dia. Informações sobre o cliente Alertas Erros gerais Essa propriedade permite editar as informações sobre o cliente inseridas durante a instalação. Todos os campos são requeridos. Essa propriedade permite configurar alertas para eventos específicos. Essa propriedade relaciona o histórico dos erros do Servidor de quarentena. Consulte Sobre a Quarentena central na página 19.
22 Instalação e configuração da Quarentena central Ativação do Servidor de quarentena Ativação do Servidor de quarentena É possível ativar o Servidor de quarentena no computador local e em um computador remoto. Para ativar o Servidor de quarentena no computador local 1 No painel esquerdo do console do Symantec Central Quarantine, clique com o botão direito do mouse em Symantec Central Quarantine e clique em Conectar ao servidor. 2 Na caixa de diálogo Selecionar computador, clique em Este computador e clique em OK. Para ativar o Servidor de quarentena em um computador remoto 1 No painel esquerdo do console do Symantec Central Quarantine, clique com o botão direito do mouse em Symantec Central Quarantine e clique em Conectar ao servidor. 2 Na caixa de diálogo Conectar ao Servidor de quarentena, digite o nome do servidor. 3 Digite o nome de usuário e a senha usados para fazer logon no servidor. 4 Se o servidor fizer parte de um domínio, digite também o nome do domínio. Consulte Configuração do Servidor de quarentena na página 22. Configuração do Servidor de quarentena Configure o Servidor de quarentena com estas informações: O local da pasta para armazenar arquivos no Servidor de quarentena O protocolo e a porta que será monitorada Depois que o Servidor de quarentena estiver configurado, configure os clientes para enviar cópias dos arquivos contidos em suas Quarentenas locais.
Instalação e configuração da Quarentena central Configuração de uma política de proteção contra vírus e spyware para usar o servidor de quarentena 23 Nota: A interface do usuário do Console de quarentena permite selecionar o protocolo IP ou SPX e especificar o número da porta a ser configurada. Esse protocolo IP e o número da porta é TCP e é a porta monitorada. Não selecione SPX. Além disso, o número da porta TCP inserido não é o que aparece quando as portas são exibidas em ferramentas, como o netstat -a. Por exemplo, se você digitar o número de porta 33, o netstat -a exibirá porta TCP 8448. Os números hexadecimais e decimais são reorganizados e convertidos incorretamente. Para obter detalhes, consulte O Servidor de quarentena parece usar uma porta diferente do que a que está configurada para usar (em inglês). Para configurar o Servidor de quarentena 1 No painel esquerdo do console do Symantec Central Quarantine, clique com o botão direito do mouse em Symantec Central Quarantine e clique em Propriedades. 2 Na guia Geral da caixa de diálogo Propriedades do Symantec Central Quarantine, especifique o local da pasta da Quarentena central. 3 Em Tamanho máximo permitido, especifique o tamanho máximo da Quarentena. 4 Em Protocolos, selecione Escutar no IP(TCP/IP). Certifique-se de que Escutar no SPX está desmarcado. 5 Na caixa Porta, digite o número da porta a qual monitorar. O número da porta padrão é 33. 6 Clique em OK. Consulte Configuração de uma política de proteção contra vírus e spyware para usar o servidor de quarentena na página 23. Configuração de uma política de proteção contra vírus e spyware para usar o servidor de quarentena Os clientes do Symantec Endpoint Protection em um grupo ou o local do grupo devem usar uma política de proteção contra vírus e spyware que encaminhe as amostras da quarentena ao servidor de quarentena. A política requer que você insira o nome de domínio totalmente qualificado (recomendado) ou endereço IP do Servidor de quarentena. A política também requer que você insira o protocolo e o número da porta que você especificou para a porta monitorada do Servidor de quarentena.
24 Instalação e configuração da Quarentena central Configuração de uma política de proteção contra vírus e spyware para usar o servidor de quarentena Para configurar uma política de proteção contra vírus e spyware para usar o servidor de quarentena 1 No console, clique em Políticas. 2 Em Políticas, clique em Proteção contra vírus e spyware. 3 Em Tarefas, clique em Adicionar uma política de proteção contra vírus e spyware. Também é possível editar uma política existente. 4 Na página da política, clique em Quarentena. 5 Em Itens em quarentena, selecione Permitir que os computadores-cliente enviem os itens em quarentena automaticamente para um Servidor de quarentena. 6 Na caixa Nome do servidor, digite o nome do domínio totalmente qualificado ou o endereço IP do Servidor de quarentena. 7 Na caixa Número da porta, aceite ou altere o número de porta padrão. 8 Na caixa Repetir, aceite ou altere o intervalo de repetição quando as comunicações entre o cliente e o Servidor de quarentena falharem. 9 Clique em OK. Consulte Configuração do Servidor de quarentena na página 22.
Capítulo 3 Utilização do Symantec Central Quarantine Este capítulo contém os tópicos a seguir: Gerenciamento de arquivos em quarentena Submissão de amostras para análise Exame do status do envio de amostras Configuração de eventos e alertas Gerenciamento de arquivos em quarentena Por padrão, os clientes do Symantec Endpoint Protection isolam itens infectados que não podem ser reparados com seus conjuntos atuais de definições de vírus. Os clientes configurados para encaminhar esses arquivos infectados e seus efeitos colaterais enviam automaticamente cópias ao Servidor da Quarentena central. Consulte Exibição dos itens em quarentena na página 25. Consulte Exclusão de arquivos em quarentena na página 26. Consulte Restauração de arquivos em quarentena na página 27. Exibição dos itens em quarentena Os arquivos são adicionados à quarentena central quando os computadores-cliente são configurados para encaminhar os itens infectados para o servidor de quarentena.
26 Utilização do Symantec Central Quarantine Gerenciamento de arquivos em quarentena Tabela 3-1 Propriedade Nome do arquivo Nome de usuário Computador Analisado Tempo Estado da amostra Informações sobre o arquivo em quarentena Descrição Nome do item infectado Usuário cujo arquivo estava infectado Computador no qual o item infectado foi descoberto Indica se a amostra foi analisada Data em que a amostra foi colocada em quarentena Estado atual da amostra Consulte Estado da amostra na página 34. Definições necessárias Status Número de sequência do conjunto de definições necessário para resolver o vírus Estado do processamento da amostra Consulte Status das amostras na página 33. Vírus Erros Nome do vírus identificado Erros de processamento de amostras Consulte Erros nas amostras na página 39. Para exibir os itens em quarentena 1 No painel esquerdo do console do Symantec Central Quarantine, clique em Symantec Central Quarantine. Os itens em quarentena serão relacionados no painel direito. 2 No painel direito, clique com o botão direito do mouse em um item em quarentena e clique em Propriedades. Consulte Gerenciamento de arquivos em quarentena na página 25. Exclusão de arquivos em quarentena Embora seja possível excluir qualquer item que esteja na Quarentena central, reserve essa opção para os arquivos dos quais não precisa mais. Após confirmar que as definições atualizadas detectaram e eliminaram o vírus, será seguro excluir o item em quarentena.
Utilização do Symantec Central Quarantine Submissão de amostras para análise 27 Para excluir os arquivos em quarentena 1 No painel esquerdo do console do Symantec Central Quarantine, clique em Symantec Central Quarantine. 2 No painel direito, clique com o botão direito do mouse em um ou mais arquivos e clique em Excluir. Consulte Gerenciamento de arquivos em quarentena na página 25. Restauração de arquivos em quarentena Se você optar por restaurar um arquivo, não será feita nenhuma tentativa de repará-lo. Use esta opção com cautela para evitar a infecção do sistema. Por exemplo, somente restaure um arquivo quando o Symantec Security Response notificar que o arquivo enviado não está infectado. Não é seguro restaurar um arquivo que pode estar infectado. Arquivos restaurados são copiados para um local de pasta especificado por você. Para restaurar arquivos em quarentena 1 No painel esquerdo do console do Symantec Central Quarantine, clique em Symantec Central Quarantine. 2 No painel direito, clique com o botão direito do mouse em um ou mais arquivos e clique em Todas as tarefas > Restaurar item. 3 Se tiver certeza de que deseja restaurar o arquivo, clique em Sim. 4 Na caixa de diálogo Procurar pasta, selecione o local no qual o arquivo será restaurado e clique em OK. Consulte Gerenciamento de arquivos em quarentena na página 25. Submissão de amostras para análise As configurações da Política de amostras determinam se as amostras de vírus serão ou não enviadas automaticamente ao gateway. Se a submissão automática de amostras não for selecionada, as amostras que estiverem na Quarentena deverão ser liberadas para o gateway individualmente. As configurações da política para o envio automático de amostras podem ser substituídas. Geralmente, as amostras são enviadas manualmente somente quando ocorre um erro no envio ou quando se deseja uma alteração na prioridade da fila das amostras selecionadas. Consulte Definição de uma política de envio automático de amostras na página 28.
28 Utilização do Symantec Central Quarantine Submissão de amostras para análise Consulte Envio manual de arquivos na página 28. Definição de uma política de envio automático de amostras As configurações da Política de amostras determinam se as amostras de vírus serão ou não enviadas automaticamente ao gateway. Se o envio automático de amostras não for selecionado, as amostras em Quarentena deverão ser enviadas para o gateway individualmente. Para maior segurança, especifique que os dados do usuário devem ser removidos da amostra antes do envio. Nota: É possível substituir as configurações de envio da política de um item individual exibindo a guia Ações do item selecionado na Quarentena. Envio manual de arquivos Para definir uma política de envio automático de amostras 1 No painel esquerdo do console do Symantec Central Quarantine, clique com o botão direito do mouse em Symantec Central Quarantine e clique em Propriedades. 2 Na caixa de diálogo Propriedades do Symantec Central Quarantine, defina a política de amostras na guia Política de amostras. Consulte Submissão de amostras para análise na página 27. Os arquivos suspeitos podem ser enviados manualmente para análise de vírus. As amostras que podem ser reparadas com as definições presentes no Servidor de quarentena ou no gateway não são enviadas para o Symantec Security Response. A amostra deve atender às seguintes condições para se qualificar para o envio manual: A amostra não pode já ter sido qualificada para envio automático (X-Sample-Priority deve ser 0). A amostra ainda não foi enviada (X-Date-Submitted está ausente ou é 0). A amostra ainda não foi analisada (X-Date-Finished ausente ou 0). Você deve definir a prioridade de uma amostra para poder enviar arquivos manualmente.
Utilização do Symantec Central Quarantine Exame do status do envio de amostras 29 Para definir manualmente a prioridade da amostra 1 No painel esquerdo do console do Symantec Central Quarantine, clique em Symantec Central Quarantine. 2 No painel direito, clique com o botão direito do mouse em um item e clique em Propriedades. 3 Na guia Ações da caixa de diálogo Propriedades do Symantec Central Quarantine, defina a prioridade do envio. Para enviar manualmente itens ao Symantec Security Response 1 No painel esquerdo do console do Symantec Central Quarantine, clique em Symantec Central Quarantine. 2 No painel direito, clique com o botão direito do mouse em um ou mais arquivos e clique em Todas as tarefas > Colocar item na fila para análise automática. Consulte Submissão de amostras para análise na página 27. Exame do status do envio de amostras O status de uma amostra pode ser determinado examinando-se as ações e os atributos definidos durante as comunicações entre o Servidor de quarentena e o gateway. Consulte Exibição dos atributos de uma amostra na página 29. Consulte Verificação das ações tomadas em uma amostra na página 30. Consulte Verificação dos erros de envio de uma amostra na página 30. Exibição dos atributos de uma amostra A solicitação e as mensagens de resposta que os clientes e servidores trocam contêm vários atributos que descrevem o status de uma amostra. Esses atributos particulares sempre começam com os caracteres X-. Para exibir os atributos de uma amostra 1 No painel esquerdo do console do Symantec Central Quarantine, clique com o botão direito do mouse em Symantec Central Quarantine. 2 No painel direito, clique com o botão direito do mouse em um item e clique em Propriedades. 3 Na guia Atributos das amostras da caixa de diálogo Propriedades, clique duas vezes em um atributo exibido para obter uma definição resumida. Consulte Exame do status do envio de amostras na página 29.
30 Utilização do Symantec Central Quarantine Configuração de eventos e alertas Verificação das ações tomadas em uma amostra As ações tomadas para uma amostra incluem o envio da amostra selecionada e o status da entrega de definições de vírus. É possível substituir as configurações da política de envio padrão para a amostra selecionada. É possível colocar manualmente uma amostra na fila para envio ao Symantec Security Response, bem como consultar arquivos de definições de vírus atualizadas para a amostra selecionada. Para verificar as ações nas amostras 1 No painel esquerdo do console do Symantec Central Quarantine, clique em Symantec Central Quarantine. 2 No painel direito, clique com o botão direito do mouse em um item e clique em Propriedades. 3 Na guia Ações da caixa de diálogo Propriedades, verifique as ações tomadas para a amostra. Consulte Exame do status do envio de amostras na página 29. Verificação dos erros de envio de uma amostra Se houver erros de envio, serão relatados para cada amostra. Examine as entradas para determinar as ações necessárias para a amostra. Para verificar os erros de envio de uma amostra 1 No painel esquerdo do console do Symantec Central Quarantine, clique com o botão direito do mouse em Symantec Central Quarantine. 2 No painel direito, clique com o botão direito do mouse em um item e clique em Propriedades. 3 Na guia Erros da caixa de diálogo Propriedades, verifique os erros de envio. Consulte Exame do status do envio de amostras na página 29. Configuração de eventos e alertas Você pode especificar os eventos sobre os quais quer informações. Você envia as informações de eventos para o Log de eventos do NT. Consulte Especificação dos eventos que acionam alertas na página 30. Especificação dos eventos que acionam alertas Você pode enviar tipos diferentes de eventos para o Log de eventos do NT.
Utilização do Symantec Central Quarantine Configuração de eventos e alertas 31 Tabela 3-2 Evento Eventos que acionam alertas Descrição Não foi possível conectar-se ao Gateway Erro no Defcast Não é possível instalar definições nos computadores de destino Não é possível acessar o diretório das definições Não é possível conectar-se à svc do verificador de quarentena O serviço Agente de quarentena foi interrompido Aguardando definições necessárias Há novas definições aprovadas Há novas definições não aprovadas O restante da cota em disco é baixo para o diretório da Quarentena O espaço livre em disco é inferior ao tamanho máximo da Quarentena Amostra: não foi reparada Amostra: não é possível instalar definições Amostra: erro de processamento O Agente de quarentena não pode conectar-se ao gateway do Digital Immune System. Defcast é o serviço que distribui novas definições do Servidor de quarentena para os computadores de destino. A distribuição das novas definições falhou. Também indica que as definições estão disponíveis para clientes não gerenciados. O Servidor de quarentena não consegue localizar o diretório das definições. As amostras não podem ser verificadas na Quarentena e não serão encaminhadas ao gateway. A Quarentena não pode comunicar-se com o gateway. As definições ainda não vieram do gateway. Chegaram novas definições aprovadas no Servidor de quarentena. Chegaram novas definições não certificadas no Servidor de quarentena em resposta ao envio de uma amostra. A pasta Quarentena está quase cheia. A pasta Quarentena está configurada com um tamanho máximo maior do que o espaço livre disponível em disco. Uma amostra não foi reparada ou não foi necessário um reparo. As novas definições não puderam ser instaladas, geralmente devido a um conjunto de definições corrompido. Um erro ocorreu enquanto a amostra era processada.
32 Utilização do Symantec Central Quarantine Configuração de eventos e alertas Evento Amostra: precisa de atenção do suporte técnico Amostra: retida para envio manual Amostra: novas definições não são instaladas há muito tempo Amostra: há muito tempo com o status Distribuir Amostra: há muito tempo com o status Necessário Amostra: há muito tempo com o status Liberado Amostra: há muito tempo com o status Enviado Amostra: há muito tempo com o status Em quarentena Amostra: novas definições mantidas para distribuição Descrição A amostra não pôde ser processada automaticamente. Entre em contato com o Suporte Técnico para obter ajuda para a amostra. A amostra é mantida no Servidor de quarentena em vez de ser enviada automaticamente. Deveriam ter sido instaladas novas definições (o status é Distribuir), mas isso não ocorreu. Chegaram novas definições do gateway, mas a confirmação de que foram instaladas no cliente ainda não foi recebida na Quarentena. As definições ainda não foram obtidas no gateway. O gateway ainda não respondeu. O gateway ainda não aceitou a amostra. A amostra ainda não passou pela verificação inicial na Quarentena. As novas definições são mantidas no Servidor de quarentena em vez de serem distribuídas. Para especificar os eventos que acionam alertas 1 No painel esquerdo do console do Symantec Central Quarantine, clique com o botão direito do mouse em Symantec Central Quarantine e clique em Propriedades. 2 Na caixa de diálogo Propriedades do Symantec Central Quarantine, na guia Alerta, marque Log de eventos do NT. 3 Em Configurar notificação de eventos, siga uma ou ambas destas instruções: Selecione os eventos sobre os quais quer informações. Desmarque os eventos sobre os quais não quer informações. 4 Clique em OK. Consulte Configuração de eventos e alertas na página 30.