guia de produto do mcafee endpoint security 10.6.0 ... · problemas, mas não têm direitos de...

Guia de produto do McAfee Endpoint Security10.6.0 - Módulo Em Comum(McAfee ePolicy Orchestrator)

COPYRIGHTCopyright © 2018 McAfee LLC

ATRIBUIÇÕES DE MARCAMcAfee e o logotipo da McAfee, McAfee Active Protection, ePolicy Orchestrator, McAfee ePO, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE,SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource, VirusScan são marcas da McAfee LLC ou de suas subsidiárias nos EUA e em outros países.Outras marcas podem ser declaradas propriedade de terceiros.

INFORMAÇÕES DE LICENÇAS

Contrato de LicençaAVISO A TODOS OS USUÁRIOS: LEIA ATENTAMENTE O CONTRATO LEGAL, DA LICENÇA COMPRADA POR VOCÊ, QUE DEFINE OS TERMOS GERAIS E AS CONDIÇÕES DEUSO DO SOFTWARE LICENCIADO. CASO VOCÊ NÃO SAIBA QUAL O TIPO DA LICENÇA COMPRADA, CONSULTE O SETOR DE VENDAS, OUTRO SETOR RELACIONADO ÀCONCESSÃO DA LICENÇA, DOCUMENTOS DO PEDIDO QUE ACOMPANHAM O SEU PACOTE DE SOFTWARE OU DOCUMENTOS QUE TENHAM SIDO ENVIADOSSEPARADAMENTE COMO PARTE DA COMPRA (COMO UM LIVRETO, UM ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONÍVEL NO SITE DO QUAL VOCÊ FEZ ODOWNLOAD DO PACOTE DE SOFTWARE). CASO VOCÊ NÃO CONCORDE COM TODOS OS TERMOS DEFINIDOS NO CONTRATO, NÃO INSTALE O SOFTWARE. CASO SEJAAPLICÁVEL, VOCÊ PODE RETORNAR O PRODUTO PARA A MCAFEE OU PARA O LOCAL ONDE A COMPRA FOI REALIZADA PARA OBTER UM REEMBOLSO COMPLETO.

2 Guia de produto do McAfee Endpoint Security 10.6.0 - Módulo Em Comum

Conteúdo

1 Configuração dos recursos em comum 5Proteger arquivos e serviços . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Configurar o registro em log de atividades do cliente . . . . . . . . . . . . . . . . . . . . . . 6Controlar o acesso à interface do cliente . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Efeitos ao definir a senha do administrador . . . . . . . . . . . . . . . . . . . . . . 6Configuração do acesso temporário à interface do cliente . . . . . . . . . . . . . . . . . 7Fluxo de trabalho de exemplo para uso de uma senha temporária . . . . . . . . . . . . . . 8

Excluir processos do AAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Como impedir que o AAC bloqueie programas confiáveis . . . . . . . . . . . . . . . . . 9

Configurar as definições do servidor proxy . . . . . . . . . . . . . . . . . . . . . . . . . 10Atualização de arquivos de conteúdo com o McAfee ePO . . . . . . . . . . . . . . . . . . . . 11Configuração do comportamento padrão para atualizações . . . . . . . . . . . . . . . . . . . 11Proteção dos processos da McAfee de DLLs de terceiros . . . . . . . . . . . . . . . . . . . . 12

Como o serviço de Proteção de validação de confiança funciona . . . . . . . . . . . . . . 12Como o AAC funciona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Falhas de validação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Considerações sobre a confiança em um certificado de terceiros . . . . . . . . . . . . . . 15

Upload de um certificado de terceiros . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Permitir a autenticação de certificados . . . . . . . . . . . . . . . . . . . . . . . . . . 16Exclusão de certificados do armazenamento de certificado . . . . . . . . . . . . . . . . . . . 17

2 Gerenciamento dos recursos em comum 19Mantendo sua proteção atualizada . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Usar listas de repositório para sites de atualização . . . . . . . . . . . . . . . . . . . . . . 20Envio de amostras de ameaças para análise . . . . . . . . . . . . . . . . . . . . . . . . 20Como as tarefas de espelhamento funcionam . . . . . . . . . . . . . . . . . . . . . . . . 20

3 Monitorar a sua proteção com o McAfee ePO 23Dashboards e monitores Em Comum . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Consultas do Em Comum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Tipos e propriedades de resultados do Em Comum . . . . . . . . . . . . . . . . . . . . . . 27

4 Usando o Cliente do Endpoint Security 29Como o Cliente do Endpoint Security funciona . . . . . . . . . . . . . . . . . . . . . . . . 29Abrir o Cliente do Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Obter informações sobre proteção . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Verificação de ameaças . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Atualizar conteúdo e software manualmente . . . . . . . . . . . . . . . . . . . . . . . . 31Entrar como administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31Desbloquear a interface de cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

5 Gerenciando recursos comuns em um sistema cliente 33Desativar e ativar recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Proteger arquivos e serviços em um sistema cliente . . . . . . . . . . . . . . . . . . . . . . 34Configurar o log de atividades do cliente em um sistema cliente . . . . . . . . . . . . . . . . . 34

Guia de produto do McAfee Endpoint Security 10.6.0 - Módulo Em Comum 3

Controle de acesso à interface do cliente em um sistema cliente . . . . . . . . . . . . . . . . . 35Restringir e permitir o acesso a recursos . . . . . . . . . . . . . . . . . . . . . . . 35

Definir configurações do servidor proxy em um sistema cliente . . . . . . . . . . . . . . . . . 36Configuração das atualizações automáticas para o cliente . . . . . . . . . . . . . . . . . . . 36

Configurar onde o cliente obtém suas atualizações . . . . . . . . . . . . . . . . . . . 37Configuração do comportamento padrão para atualizações do cliente . . . . . . . . . . . . 37Configurar, agendar e executar tarefas de atualização usando o cliente . . . . . . . . . . . 38Como as tarefas de espelhamento funcionam . . . . . . . . . . . . . . . . . . . . . 38Configurar, agendar e executar tarefas de espelhamento . . . . . . . . . . . . . . . . 39

Permitir a autenticação de certificado em um sistema cliente . . . . . . . . . . . . . . . . . . 39

6 Monitorando sua proteção em um sistema cliente 41Verificação de atividade recente no Log de eventos . . . . . . . . . . . . . . . . . . . . . . 41Nomes e locais do arquivo de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

Conteúdo


1 Configuração dos recursos em comum

Conteúdo Proteger arquivos e serviços Configurar o registro em log de atividades do cliente Controlar o acesso à interface do cliente Excluir processos do AAC Configurar as definições do servidor proxy Atualização de arquivos de conteúdo com o McAfee ePO Configuração do comportamento padrão para atualizações Proteção dos processos da McAfee de DLLs de terceiros Upload de um certificado de terceiros Permitir a autenticação de certificados Exclusão de certificados do armazenamento de certificado

Proteger arquivos e serviçosUma das primeiras ações que um malware tenta realizar durante um ataque é desativar o software desegurança do seu sistema. Defina a Autoproteção nas configurações de Em Comum para impedir que osserviços e arquivos do Endpoint Security sejam interrompidos ou modificados.

Desativar a Autoproteção deixa seu sistema vulnerável a ataques.

Tarefa1 Selecione Menu | Política | Catálogo de políticas e, em seguida, selecione Em Comum do Endpoint Security na

lista Produto.

2 Na lista Categoria, selecione Opções.

3 Clique no nome de uma política editável.

4 Em Autoproteção, verifique se a opção Autoproteção está ativada.

5 Especifique a ação para cada um dos seguintes recursos:

• Arquivos e pastas — Impede que usuários modifiquem bancos de dados, binários, arquivos de pesquisasegura e arquivos de configuração da McAfee.

• Registro — Impede que usuários modifiquem o hive de Registro da McAfee, componentes COM edesinstalem usando o valor de Registro.

• Processos — Impede a interrupção de processos da McAfee.

6 Clique em Salvar.

1


Configurar o registro em log de atividades do clienteConfigure o registro em log nas configurações do módulo Em Comum.


lista Produto.



4 Clique em Mostrar opções avançadas.

5 Defina as configurações de Log do cliente na página.

6 Clique em Salvar.

Controlar o acesso à interface do clienteControle o acesso ao Cliente do Endpoint Security definindo uma senha nas configurações de Em Comum.

O Modo da interface do cliente é definido como Acesso total por padrão, permitindo que os usuários alterem suasconfigurações de segurança, o que pode deixar os sistemas desprotegidos contra ataques de malware.


lista Produto.



4 Defina as configurações de Modo da interface do cliente na página.

Prática recomendada: para melhorar a segurança, altere o Modo de interface do cliente para Padrão ouBloquear interface do cliente. Ambas as opções requerem uma senha de administrador para acessar asconfigurações do Cliente do Endpoint Security.

A alteração da senha do administrador invalida a senha por tempo. Se você alterar a senha doadministrador, salve a política e gere uma nova senha por tempo.

5 Clique em Salvar.

Tarefas• Configuração do acesso temporário à interface do cliente na página 7

Você pode fornecer ao administrador acesso temporário à interface do cliente gerando uma senhapor tempo.ative a senha por tempo para um conjunto limitado de sistemas para solucionarproblemas.

Efeitos ao definir a senha do administradorAo definir o modo de interface como Acesso padrão ou Bloquear interface do cliente, você também deve definiruma senha de administrador. O administrador também pode gerar uma senha por tempo, que pode ser usadapelos usuários para acessar temporariamente o Cliente do Endpoint Security.Se você definir o modo de interface como Acesso padrão ou Bloquear interface do cliente, estes usuários serãoafetados:

1 Configuração dos recursos em comumConfigurar o registro em log de atividades do cliente


Todos os usuários No modo Bloquear interface do cliente, os usuários devem digitar a senhatemporária ou a senha do administrador para acessar o Cliente do EndpointSecurity.Após inseri-la, o usuário terá acesso a toda a interface, incluindo definições deconfiguração na página Configurações.

Não administradores(usuários sem direitos deadministrador)

No modo Acesso padrão, os não administradores podem:• Obtenha informações sobre quais produtos da McAfee estão instalados,

incluindo versões e status.

• Verificar atualizações (se ativado).

• Exibir o Log de eventos.

• Obter ajuda e acessar as páginas de Perguntas frequentes e Suporte.

No modo de Acesso padrão, usuários que não são administradores não podevisualizar nem alterar as definições na página Configurações.

Administradores(usuários com direitos deadministrador)

No modo Acesso padrão, os administradores devem inserir a senha deadministrador ou a senha temporária.Após inseri-la, o administrador terá acesso a toda a interface, incluindo definiçõesde configuração na página Configurações.

Configuração do acesso temporário à interface do clienteVocê pode fornecer ao administrador acesso temporário à interface do cliente gerando uma senha portempo.ative a senha por tempo para um conjunto limitado de sistemas para solucionar problemas.

Antes de iniciarDefina o Modo de interface do cliente como Padrão ou Bloquear interface do cliente.

Prática recomendada:Durante um incidente de segurança, desative a senha por tempo. Após um incidente desegurança, altere a senha de administrador e gere novamente a senha por tempo.

A alteração da senha do administrador invalida a senha por tempo. Se você alterar a senha do administrador,salve a política e gere uma nova senha por tempo.

Se você ativar uma senha por tempo após uma falha de conectividade, em seguida, o Cliente do EndpointSecurity não aceitará a senha.


lista Produto.




5 Na seção Senha de administrador por tempo, selecione Habilitar senha por tempo na interface do cliente eespecifique a data e a hora da expiração. O tempo máximo de expiração é 14 dias.

A hora de expiração é relativa ao servidor McAfee ePO. Por exemplo, se você definir a hora de expiraçãopara 13h. PST, a senha expirará às 16h. nos sistemas cliente do fuso horário EST.

6 Clique em Gerar nova senha.

Duas senhas são geradas, uma para o Endpoint Security 10.5 e outra para o Endpoint Security 10.6 eposterior.

Configuração dos recursos em comumControlar o acesso à interface do cliente 1


7 Forneça aos usuários a senha gerada automaticamente para permitir acesso temporário.

8 Clique em Salvar.

Fluxo de trabalho de exemplo para uso de uma senha temporáriaEm grandes organizações, os prestadores de serviços de TI usam pontos de extremidade para solucionarproblemas, mas não têm direitos de Acesso total por motivos de segurança. Em vez disso, a interface éexecutada no modo Acesso padrão.

Neste exemplo, o administrador fornece uma senha por tempo para que o prestador de serviços de TI possasolucionar um problema na conexão. O administrador fornece uma senha temporariamente, concedendodireitos de Acesso total para que o prestador de serviços possa exibir e alterar as configurações.

Este exemplo específico abrange um problema de conectividade de rede, mas o uso de senhas por tempo é útilpara solucionar quaisquer problemas de configuração.

1 Um novo aplicativo foi instalado no Sistema A em Tóquio, mas ele não consegue se conectar à Internet.

2 Para solucionar o problema, Steve (prestador de serviços de TI) contata Marie (administrador em SãoFrancisco).

3 Do McAfee ePO, Marie cria uma senha por tempo, em seguida, a envia para Steve.

4 Steve usa a senha por tempo para desativar o firewall e determina que uma porta específica deve ser abertapara o aplicativo funcionar corretamente.

5 Marie cria uma política especial usando o número da porta específica e a atribui ao Sistema A parasolucionar o problema de conexão.

A senha por tempo expira e o acesso local restrito volta ao normal.

1 Configuração dos recursos em comumControlar o acesso à interface do cliente


Excluir processos do AACOs recursos de proteção do Endpoint Security, como Autoproteção e Proteção de acesso, e outras regras deproteção de produto da McAfee são aplicadas por uma tecnologia chamada Controle de acesso arbitrário (AAC).As regras de AAC protegem objetos, como arquivos, processos e dados de registro, de serem acessados pormalware e programas não confiáveis.

Para solucionar problemas, você pode excluir temporariamente os processos de todas as regras AAC definindouma configuração de política global de exclusão. Use as exclusões globais somente para fins específicos desolução de problemas e suporte.

Por exemplo, para configurar uma auditoria nos sistemas Windows em que executáveis específicos do Windowsprecisem ter acesso de leitura/gravação aos diretórios de destino, você pode excluir esses executáveistemporariamente das regras de AAC.

Prática recomendada: para obter informações sobre como solucionar problemas de aplicativos de terceirosbloqueados, consulte KB88482.

Considerações ao especificar exclusões globais

• Você deve especificar pelo menos um identificador: Hash MD5 do processo ou Hash MD5 do certificado dosignatário.

• Se você especificar mais de um identificador, todos os identificadores se aplicarão.

• Se você especificar mais de um identificador e eles não forem correspondentes (por exemplo, o nome doarquivo e o hash de MD5 não se aplicarem ao mesmo arquivo), a exclusão será inválida.

• Exclusões não diferenciam maiúsculas de minúsculas.

• Caracteres curinga não são aceitos.

Como impedir que o AAC bloqueie programas confiáveisSe um programa confiável for bloqueado, exclua o processo do AAC criando uma exclusão global temporárianas configurações do Em Comum.

Para evitar riscos de segurança, retire uma exclusão global imediatamente após o uso. A não remoção de umaexclusão global deixará o sistema vulnerável a ataques de malware.


lista Produto.




5 Na seção Exclusões, clique em Adicionar.

6 Insira pelo menos um identificador.

Configuração dos recursos em comumExcluir processos do AAC 1


https://kc.mcafee.com/corporate/index?page=content&id=KB88482

Você pode inserir um caminho UNC ou local. Você também pode incluir variáveis de ambiente.

• Hash MD5 do processo

1 Abra um prompt de comando.

2 Digite certutil.exe -hashfile "full process path" MD5.

Por exemplo: certutil.exe -hashfile "c:\Windows\System32\icacls.exe" MD5

3 Copie o hash MD5 e cole-o no campo do Hash MD5 do processo.

Este é um hash MD5 do processo de exemplo: 24084debc1369b35e57f8efe0500a83d

Talvez seja necessário remover os espaços inseridos por certutil.exe.

• Hash MD5 do certificado do signatário

1 Abra um prompt de comando com direitos de administrador.

2 Digite “c:\Arquivos de Programas\Arquivos Comuns\McAfee\SystemCore\vtpinfo.exe" /validatemodule "full process path".

Por exemplo: “c:\Arquivos de Programas\Arquivos Comuns\McAfee\SystemCore\vtpinfo.exe” /validatemodule “c:\Windows\System32\icacls.exe”

3 Copie o MD5 do certificado do signatário e cole-o no campo do Hash MD5 do certificado do signatário.

Este é um hash MD5 do certificado do signatário de exemplo: 708ac5123ae46b4557a24225d3a8dbfc

7 Clique em OK e em Salvar.

Configurar as definições do servidor proxyEspecifique as opções do servidor proxy nas configurações de Em Comum.


lista Produto.




5 Defina as configurações de Servidor proxy na página.

Prática recomendada:exclua os endereços do McAfee GTI do servidor proxy. Para obter informações,consulte KB79640 e KB84374.

6 Clique em Salvar.

1 Configuração dos recursos em comumConfigurar as definições do servidor proxy




Atualização de arquivos de conteúdo com o McAfee ePOPara manter sua proteção atualizada, efetue pull de atualizações no site de origem da McAfee quando elasestiverem disponíveis.

Para garantir que os sistemas cliente sempre tenham os arquivos de conteúdo mais recentes, siga esteprocesso:

Tarefa1 Configure o McAfee ePO para obter os arquivos de conteúdo do site de atualização da McAfee — Use a

tarefa de servidor Atualizar repositório mestre.

2 Replique o conteúdo do repositório para espelhar sites em sua rede — Use a tarefa do cliente Espelharrepositórios do McAfee Agent.

O repositório distribuído usa o local especificado na política Repositório.

Para obter informações sobre como usar repositórios distribuídos para manter o seu software de segurançaatualizado, consulte a Ajuda do McAfee ePO.

3 Programe downloads automáticos do mecanismo de varredura e arquivos de conteúdo mais recentes paraos sistemas cliente — Use a tarefa do cliente Atualização de produto do McAfee Agent

Na seção Tipos de pacotes, selecione Pacote de conteúdo do AMCore e Conteúdo de prevenção de exploração.

4 Distribua os arquivos Extra.DAT, quando necessário.

Configuração do comportamento padrão para atualizaçõesÉ possível especificar o comportamento padrão de atualizações iniciadas do Cliente do Endpoint Security nasconfigurações Em Comum.

Use essas configurações para:

• Exibir ou ocultar o botão Atualizar no cliente.

• Ativar ou desativar o agendamento da tarefa Atualização padrão do cliente.

• Especifique o que atualizar quando o usuário clicar no botão ou quando a tarefa de Atualização padrão docliente for executada.

Por padrão, a tarefa de Atualização padrão do cliente é executada todos os dias à 1h. e repetida de quatro emquatro horas até 23h59.


lista Produto.




5 Defina as configurações de Atualização padrão do cliente na página.

6 Clique em Salvar.

Configuração dos recursos em comumAtualização de arquivos de conteúdo com o McAfee ePO 1


Proteção dos processos da McAfee de DLLs de terceirosAplicativos de software executados em ambientes Microsoft Windows podem injetar código em processos deterceiros. O software da McAfee considera DLLs de terceiros injetados nos processos da McAfee como nãoconfiáveis porque o código pode estar comprometido ou ser usado de modo malicioso.

A atividade do DLL de terceiros parece se originar de um DLL injetado nos processos da McAfee. Se estaatividade é maliciosa, parece que o software da McAfee está realizando essas operações maliciosas.

A McAfee usa esses recursos para proteger de injeções de DLL:

• Serviço de Proteção de validação de confiança (VTP): inspeciona DLLs e processos em execução queinteragem com o código da McAfee para verificar se os objetos são confiáveis.

• Regras de Controle de acesso arbitrários (AAC) — determina se deve bloquear ou permitir o acesso aobjetos.

Como o serviço de Proteção de validação de confiança funcionaO serviço de VTP (MFEVTPS.exe) inspeciona as DLLs e os processos em execução que interagem com o códigoda McAfee para verificar se os objetos são confiáveis.

Um objeto é uma rede, arquivo, registro ou processo. Confiável significa que um processo de terceiros tempermissão para acessar objetos da McAfee. Por exemplo, um processo de terceiros confiável tem permissãopara ser inserido em processos da McAfee ou de leitura de chaves de registro da McAfee.

Para funcionar corretamente, o serviço VTP depende de:

• Serviço Microsoft Cryptographic (CryptSvc)

• APIs relacionadas a confiança

• Integridade do armazenamento de certificado ou arquivos de catálogo

Veja a seguir como funciona o serviço VTP:

1 Uma verficação de validação é executada quando o código da McAfee precisa verificar se o processo emação é confiável, se o objeto destino é confiável ou ambos.

2 Quando os processos da McAfee são inicializados, o serviço de VTP valida se a McAfee está carregando umcódigo confiável. O AAC garante que a McAfee carregue somente DLLs confiáveis.

Somente os códigos da McAfee e da Microsoft são implicitamente confiáveis.

Armazenamento em cache

O serviço VTP armazena em cache os resultados de uma verificação de validação para melhorar o desempenhodas verificações de validação futuras. O serviço VTP examina sempre o cache primeiro durante a execução deuma verificação de validação.

• Se uma verificação de validação comprova que o objeto não é confiável, o objeto é armazenado em cachecomo não confiável.

• Se um objeto é armazenado em cache incorretamente como não confiável, apenas uma redefinição decache pode corrigi-lo.

O cache redefine quando um sistema é reiniciado no modo de segurança ou pela execução deste comando:

VTPInfo.exe /ResetVTPCache.

Você também pode redefinir o cache do DAT.

1 Configuração dos recursos em comumProteção dos processos da McAfee de DLLs de terceiros


Falhas de confiança

Uma falha de confiança é uma verificação de validação do serviço de VTP cujo resultado é "não confiável"quando o resultado esperado era "confiável". Falhas de confiança ocorrem porque o AAC nega acesso aocódigo não confiável. O processo não tem permissão para acessar processos da McAfee como uma forma deautoproteção.

Eis alguns exemplos de falhas de confiança:

• Um processo da McAfee foi inserido por terceiros não confiáveis, portanto, o processo não consegueverificar uma validação.

• Um arquivo assinado por catálogo da Microsoft possui informações de assinatura inválidas. Portanto, nãopode ser verificado e falha ao ser carregado por um processo da McAfee.

• Um arquivo DLL válido foi armazenado em cache incorretamente como "não confiável" e as tentativassubsequentes de carregá-lo são negadas.

Todos esses exemplos podem causar falhas nos processos da McAfee afetados.

Como o AAC funcionaO AAC opera a partir do kernel do Windows e pode bloquear o acesso à rede, arquivos, registros e objetos deprocesso. Use as regras de AAC para determinar o que deseja bloquear ou permitir.

As regras de AAC podem descrever comportamentos inseguros que devem ser bloqueados ou negados.

As regras de AAC podem ser:

• Ativadas ou desativadas

• Definir como Apenas relatar

• Modificado para adicionar outros processos de proteção

• Excluído para não mais bloquear um determinado processo de violação de regra

Algumas regras não estão expostas na interface porque elas são essenciais para a integridade operacional doproduto.

O AAC detecta uma operação que está tentando ser executada e segue este processo.

Configuração dos recursos em comumProteção dos processos da McAfee de DLLs de terceiros 1


Se a verificação de validação falha ou produz um resultado não confiável, as proteções internas da McAfeepodem bloquear os processos da McAfee de acessar objetos.

Falhas de validaçãoTodos os códigos escritos pela McAfee e Microsoft são inspecionados e validados. Se as inspeções resultaremem uma falha de validação, é possível que a AAC possa bloquear os processos da McAfee. Uma falha devalidação pode incluir determinadas falhas de confiança e outros tipos de falhas inesperadas.

Cenários de falha de validação

Quando um processo da McAfee carrega o DLL de terceiros, ele contém funções de terceiros e pode executar ocódigo de terceiros. O código de terceiros reside dentro do processo da McAfee e pode levar o processo daMcAfee a executar operações indesejadas que causam falha de validação.

1 Configuração dos recursos em comumProteção dos processos da McAfee de DLLs de terceiros


As falhas de validação podem produzir diversos sintomas, inclusive nestes cenários.

• Um processo de terceiros está bloqueado de acessar arquivos ou processos protegidos da McAfee.

• Um processo de terceiros que carrega DLLs da McAfee tem o acesso bloqueado a outros processos,arquivos ou pastas da McAfee. Por exemplo, o Microsoft Outlook é bloqueado quando tenta acessar outrosprocessos da McAfee.

• Ocorre uma falha ao tentar iniciar um processo da McAfee corretamente. Por exemplo, não é possível iniciaro Cliente do Endpoint Security apesar de os logs da instalação indicarem êxito de inicialização.

• Há um processo da McAfee em execução, mas encontra-se parcialmente em operação. Por exemplo, umproduto da McAfee é carregado com êxito, mas indica que outros serviços não estão em execução, apesarde o serviço da McAfee estar em execução.

• Um processo da McAfee tem o acesso bloqueado a arquivos e pastas que pertencem a um produtodiferente da McAfee.

A falha ao validar o códido da McAfee ou da Microsoft indica a ocorrência de um destes cenários. Se você tiverum desses problemas, contate o suporte técnico para obter ajuda de solução de problemas e para discutir assoluções.

Gerenciamento de certificados de terceiros

Um processo chamado MFECanary.exe é executado como um processo filho para MFEEsp.exe e capturadetalhes do certificado digital para qualquer DLL que tenta inserir-se no processo MFECanary.exe. A informaçãoé enviada para o McAfee ePO de um evento de agente, que é processado pelo servidor McAfee ePO. Emseguida, é enviada para a política do Configurações em Comum do Endpoint Security. Na política, você podedecidir se os sistemas cliente confiam ou não no certificado de terceiros. Para confiar, você deve adicionar aassinatura digital ao armazenamento de certificado.

O suporte técnico pode ajudar a identificar o certificado de terceiros, obter o arquivo do certificado (.cer) econfiar em um certificado digital de terceiros com DLLs de terceiros assinados que são injetados em processosda McAfee.

Para obter informações sobre como abrir uma Solicitação de serviço ou para agilizar o processamento de umaescalada, consulte KB88085. Para obter detalhes de contato de suporte técnico, visite https://www.mcafee.com/us/about/contact-us.aspx#ht=tab-techsupport e selecione seu país na lista suspensa.

Considerações sobre a confiança em um certificado de terceirosConfiar em um certificado de terceiros pode resultar em aumento dos riscos de segurança.

As implicações de segurança ao confiar em um certificado de terceiros incluem:

• O código assinado por certificado de terceiros é confiável para interagir com os processos, arquivos,registros da McAfee, assim como todos os outros objetos protegidos da McAfee.

• A atividade de arquivo gerada por processos assinados com o certificado de terceiros não pode serverificada.

• Todo código ou produto lançado do mesmo fornecedor e que usa o mesmo certificado digital herdaautomaticamente o mesmo estado: confiável ou não confiável.

• Todo código ou produto lançado do mesmo fornecedor e que usa um certificado digital diferente deve serconfiável.

Prática recomendada: se a execução da Plataforma do Endpoint Security for interrompida, a injeção deterceiros no código da McAfee pode ter sido a causa. Para obter informações sobre como solucionar esse erro,consulte KB88029.

Configuração dos recursos em comumProteção dos processos da McAfee de DLLs de terceiros 1



https://www.mcafee.com/us/about/contact-us.aspx#ht=tab-techsupport

https://www.mcafee.com/us/about/contact-us.aspx#ht=tab-techsupport


Upload de um certificado de terceirosSe você confia nos certificados carregados, o DLL do certificado tem permissão para ser injetado no processoda McAfee.

Caso contrário, o DLL do certificado não tem permissão para ser injetado no processo da McAfee.

O certificado deve estar em um destes formatos:

• Arquivos .cer (certificado X.509 com codificação Base 64)

• Conteúdo do certificado de texto sem formatação em X.509 com codificação Base 64


lista Produto.




5 Na seção Certificados, clique em Fazer upload do certificado do cliente.

6 Selecione um arquivo de certificado (.cer) ou forneça um certificado de texto no formato X.509 comcodificação Base 64.

7 Clique em Salvar.

Permitir a autenticação de certificadosOs certificados permitem que um fornecedor execute códigos dentro de processos da McAfee.

Quando um processo é detectado, um evento é enviado para o McAfee ePO e a tabela de certificados épreenchida com o fornecedor, o assunto e o hash da chave pública associada.


lista Produto.




5 Na seção Certificados, selecione Permitir.

Essa configuração pode resultar em problemas de compatibilidade e redução de segurança.

6 Clique em Salvar.

As informações do certificado serão exibidas na tabela.

1 Configuração dos recursos em comumUpload de um certificado de terceiros


Exclusão de certificados do armazenamento de certificadoExclua um certificado confiável do armazenamento de certificado quando não for mais usado por outraspolíticas.

Quando você remove um certificado de uma política duplicada, ele continuará sendo usado por outras políticas.Para removê-lo do armazenamento de certificado, é necessário removê-lo de todas as políticas em que ele éusado.


lista Produto.




5 Na seção Certificados, selecione o certificado que você deseja remover e clique em Excluir.

6 Clique em Salvar.

Configuração dos recursos em comumExclusão de certificados do armazenamento de certificado 1


1 Configuração dos recursos em comumExclusão de certificados do armazenamento de certificado


2 Gerenciamento dos recursos em comum

Conteúdo Mantendo sua proteção atualizada Usar listas de repositório para sites de atualização Envio de amostras de ameaças para análise Como as tarefas de espelhamento funcionam

Mantendo sua proteção atualizadaVocê pode obter arquivos de segurança atualizados de forma automática ou manual.

Por exemplo, você pode atualizar manualmente para aplicar uma correção emergencial referente à uma novaameaça ou incluir o conteúdo mais recente após uma nova instalação.

Atualizações automáticas

Os métodos de atualização automática incluem:

Tarefa Atualização padrão do cliente

A tarefa atualiza somente o conteúdo. Por padrão, a tarefa de Atualização padrão do cliente é executada todosos dias à 1h. e repetida de quatro em quatro horas até 23h59.

Tarefa Atualização de produto do McAfee Agent

No McAfee ePO, programe o intervalo desejado para as atualizações, por exemplo, todo sábado à 1h.

Atualizações manuais

Os métodos de atualização manual incluem:

Botão Atualizar

No Cliente do Endpoint Security, faça já o download do conteúdo ou do software mais recente, ou dos dois, deacordo com as configurações. É possível configurar a visibilidade e o comportamento do botão Atualizar nasconfigurações do módulo Em Comum.

Opção Atualizar segurança

No ícone da bandeja do sistema da McAfee, atualize o conteúdo e o software.

Linha de comando

No sistema cliente, execute um comando para atualizar o conteúdo do AMCore.

2


Usar listas de repositório para sites de atualizaçãoA lista de repositórios especifica as informações sobre os repositórios (sites de atualização) que o McAfee Agentusa para atualizar os produtos da McAfee, incluindo arquivos Engine e DAT.

A lista de repositórios inclui:

• Informações e local do repositório

• Preferência de ordem do repositório

• Configurações do servidor proxy, se necessário

• Credenciais criptografadas necessárias para acessar cada repositório

A tarefa do cliente Atualização de produto do McAfee Agent conecta-se ao primeiro site de atualizaçãohabilitado na lista de repositórios. Se o repositório não estiver disponível, a tarefa entra em contato com o siteseguinte até conseguir se conectar ou atingir o fim da lista.

Se a rede utilizar um servidor proxy, você poderá especificar as configurações de proxy a serem utilizadas, oendereço do servidor proxy e se deseja utilizar autenticação. As informações de proxy são armazenadas na listade repositórios. As configurações de proxy definidas por você são aplicadas a todos os repositórios da lista.

A localização da lista de repositórios depende do sistema operacional:

Sistema operacional Localização da lista de repositórios

Microsoft Windows 10 C:\ProgramData\McAfee\Common Framework\SiteList.xml

Microsoft Windows 8.1

Microsoft Windows 7

Versões anteriores C:\Documents and Settings\All Users\Application Data\McAfee\Common Framework\SiteList.xml

Envio de amostras de ameaças para análiseSe você encontrar uma ameaça potencial que o mecanismo de varredura não detectar ou um falso positivo,envie uma amostra da ameaça para o McAfee Labs.

O McAfee Labs analisa a amostra e avalia sua inclusão ou exclusão na próxima atualização do arquivo deconteúdo.

Acesse o site Submit a Virus or Malware Sample para obter informações sobre como enviar uma amostra parao McAfee Labs.

Como as tarefas de espelhamento funcionamA tarefa de espelhamento replica os arquivos de atualização a partir do primeiro repositório acessível definidona lista de repositórios, em um site de espelhamento na rede.

O uso mais comum para esta tarefa é espelhar o conteúdo do site de downloads da McAfee em um servidorlocal.

Depois de replicar o site da McAfee que contém os arquivos de atualização, os computadores da rede poderãofazer download dos arquivos a partir do site de espelho. Esta abordagem permite que você atualize qualquercomputador em sua rede, com ou sem acesso à Internet. Utilizar um site replicado é mais eficiente porque osseus sistemas se comunicam com um servidor que está mais próximo do que um site de Internet da McAfee,economizando tempo de acesso e download.

2 Gerenciamento dos recursos em comumUsar listas de repositório para sites de atualização


http://www.mcafee.com/us/threat-center/resources/how-to-submit-sample.aspx

O software requer um diretório para se atualizar. Por isso, ao espelhar um site, certifique-se de replicar toda aestrutura de diretórios.

Gerenciamento dos recursos em comumComo as tarefas de espelhamento funcionam 2


2 Gerenciamento dos recursos em comumComo as tarefas de espelhamento funcionam


3 Monitorar a sua proteção com o McAfee ePO

Conteúdo Dashboards e monitores Em Comum Consultas do Em Comum Tipos e propriedades de resultados do Em Comum

Dashboards e monitores Em ComumO módulo Em Comum do Endpoint Security oferece vários dashboards que incluem monitores de outrosmódulos.

Tabela 3-1 Dashboards do Em Comum

Dashboard Monitor Mostra... Instalado pelomódulo...

Endpoint Security:Status deconformidade

Indica se a tecnologia está ativada (status daproteção).

Em Comum

Endpoint Security:Conformidade com políticaspor nome da política

Políticas que estão atualizadas, incluindo onúmero de sistemas.

Em Comum

Em Comum do EndpointSecurity: Status deconformidade daautoproteção

Número de sistemas com a autoproteçãoativada ou desativada.

Em Comum

Endpoint Security:Conformidade com políticaspor nome do computador

Sistemas onde as políticas estão atualizadas,incluindo o número de políticas.

Em Comum

Prevenção contra ameaças doEndpoint Security: Status deconformidade da proteção deacesso

Número de sistemas com a Proteção deacesso ativada ou desativada.

Prevençãocontraameaças

Prevenção contra ameaças doEndpoint Security: Status deconformidade do conteúdodo AMCore

Número de sistemas com o Gerenciador deconteúdo antivírus ativado ou desativado.


Prevenção contra ameaças doEndpoint Security: Status deconformidade da prevençãode exploração

Número de sistemas com a Prevenção deexploração ativada ou desativada.


Prevenção contra ameaças doEndpoint Security: Status deconformidade da varreduraao acessar

Número de sistemas com a proteção domecanismo de varredura ao acessar ativadaou desativada.


3


Tabela 3-1 Dashboards do Em Comum (continuação)


Firewall do EndpointSecurity: Status deconformidade

Número de sistemas com a proteção porFirewall ativada ou desativada.

Firewall

Controle da Web doEndpoint Security: Status deconformidade

Número de sistemas com a proteção doControle da Web ativada ou desativada.

Controle daWeb

Endpoint Security:Status da detecção

Ameaças detectadas nas últimas 24 horas enos últimos 7 dias.

Em Comum

Endpoint Security: Ameaçasdetectadas nas últimas 24horas

Número de eventos de ameaça detectadosnas últimas 24 horas, incluindo a hora dadetecção.

Em Comum

Endpoint Security: Ameaçasdetectadas nos últimos 7 dias

Número de eventos de ameaça detectadosnos últimos 7 dias, incluindo a hora dadetecção.

Em Comum

Endpoint Security: Resumode ameaças detectadas nasúltimas 24 horas

Nomes das ameaças detectadas nas últimas24 horas, incluindo o número dos eventos deameaças.

Em Comum

Endpoint Security: Resumode ameaças detectadas nosúltimos 7 dias

Nomes das ameaças detectadas nos últimos7 dias, incluindo o número de eventos deameaças.

Em Comum

Endpoint Security:Saúde ambiental

Status da proteção dos módulos do EndpointSecurity distribuídos.

Em Comum

Endpoint Security:Tecnologia atualmenteativada

Número de sistemas que têm um módulo ourecurso ativado, incluindo o número desistemas e porcentagem.Para cada tecnologia, esse monitor mostra:

• Nome do sistema

• Hora da última comunicação

Em Comum

Endpoint Security:Status dainstalação

Se um módulo está instalado. Em Comum

Endpoint Security: Relatóriode status da instalação

Número de sistemas com o EndpointSecurity distribuído, por módulo, incluindodetalhes da versão.

Em Comum

Plataforma do EndpointSecurity: Hotfixes instalados

Número de sistemas com hotfixes instalados,por módulo, incluindo os números de versãodos hotfixes.

Em Comum

Prevenção contra ameaças doEndpoint Security: Hotfixesinstalados

Número de sistemas com hotfixes daPrevenção contra ameaças instalados,incluindo os números de versão dos hotfixes.


Firewall do EndpointSecurity: Hotfixes instalados

Número de sistemas com hotfixes doFirewall instalados, incluindo os números deversão dos hotfixes.

Firewall

Controle da Web doEndpoint Security: Hotfixesinstalados

Número de sistemas com hotfixes doControle da Web instalados, incluindo osnúmeros de versão dos hotfixes.

Controle daWeb

Endpoint Security:Comportamento daameaça

Atividades de ameaças e disseminação deinfecções no ambiente.

Em Comum

3 Monitorar a sua proteção com o McAfee ePODashboards e monitores Em Comum




Endpoint Security:Principais ameaças nasúltimas 48 horas

As 5 principais ameaças de vírus por númerode eventos detectados nas últimas 48 horas,incluindo o número total de eventos e deusuários e sistemas infectados.Para cada incidente de ameaça, esse monitormostra:

• Hora de geração do evento

• Duração antes da detecção

• Descrição do evento

• Tipo de ameaça

• Nome de usuário do destino da ameaça

• Nome do sistema

• Nome da tecnologia

• Ação realizada

Em Comum

Endpoint Security: Duraçãoantes da detecção nosterminais nas últimas 2semanas

Quanto tempo uma ameaça específicaestava no sistema antes de ser detectada,incluindo:• Número de eventos

• Número de usuários infectados

• Número de sistemas infectados

Para cada duração, esse monitor mostra:

• Data e hora

• Duração antes da detecção

• Nome da ameaça, gravidade e impacto

• Nome do sistema infectado, nome deusuário, nome da tecnologia e nome doproduto

Em Comum

Endpoint Security: Os 10principais sistemas querealizaram ataques nosúltimos 7 dias

Os 10 principais sistemas que estãoinfectando outros sistemas (nome dosistema, endereço IP e endereço MAC) enúmero de eventos de ameaça por sistema.

Em Comum

Endpoint Security:Origens de eventosde ameaça

Como as ameaças estão entrando noambiente.

Em Comum

Monitorar a sua proteção com o McAfee ePODashboards e monitores Em Comum 3




Endpoint Security: Vetoresde ataque primários nosúltimos 7 dias

Vetores de ataque primários, comomensagens da web ou instantâneas, eincluem:• Número de eventos

• Porcentual do vetor

• Número total de usuários infectados

Para cada vetor, esse monitor mostra:

• Data e hora

• Descrição do evento e categoria

• Tipo de ameaça e nome

• Nome de usuário infectado

Em Comum

Endpoint Security:Principais usuáriosinfectados nos últimos 7 dias

Os 10 principais usuários infectados,incluindo o número e a porcentagem deeventos de ameaça por usuário.

Em Comum

Prevenção contra ameaças doEndpoint Security:Aplicativos com maisexplorações nos últimos 7dias

Aplicativos com a maioria das explorações deestouro de buffer, incluindo o número dedetecções.


Controle da Web doEndpoint Security:Categorias de conteúdo daWeb que causaram maisinfecções nos últimos 7 dias

As 10 principais categorias de sites quecausam mais infecções no ambiente.

Controle daWeb

Consultas do Em ComumO módulo Configurações em Comum do Endpoint Security oferece diversas consultas predefinidas.

Consultas predefinidas

• Endpoint Security: Tecnologia atualmente ativada

• Endpoint Security: Duração antes da detecção nos terminais nas últimas 2 semanas

• Endpoint Security: Relatório de status da instalação

• Plataforma do Endpoint Security: Hotfixes instalados

• Endpoint Security: Conformidade com políticas por nome do computador

• Endpoint Security: Conformidade com políticas por nome da política

• Endpoint Security: Vetores de ataque primários nos últimos 7 dias

• Endpoint Security: Status de conformidade da autoproteção

• Endpoint Security: Resumo de ameaças detectadas nos últimos 7 dias

• Endpoint Security: Ameaças detectadas nas últimas 24 horas

3 Monitorar a sua proteção com o McAfee ePOConsultas do Em Comum


• Endpoint Security: Ameaças detectadas nos últimos 7 dias

• Endpoint Security: Os 10 principais sistemas que realizaram ataques nos últimos 7 dias

• Endpoint Security: Principais usuários infectados nos últimos 7 dias

• Endpoint Security: Principais ameaças nas últimas 48 horas

Para obter informações sobre consultas e relatórios, consulte a documentação do McAfee ePO.

Tipos e propriedades de resultados do Em ComumO módulo Em Comum oferece Tipos de resultado predefinidos que você pode usar ao criar consultaspersonalizadas. Além disso, para cada Tipo de resultado, o Em Comum fornece propriedades para que sejamusadas para limitar o âmbito dos dados que a consulta obtém e exibe.

Para construir consultas personalizadas, selecione as propriedades do tipo de resultado dos Eventos deameaça do Endpoint Security.

Grupo de recursos Tipo de resultado

Eventos Endpoint Security Threat Events

Monitorar a sua proteção com o McAfee ePOTipos e propriedades de resultados do Em Comum 3


3 Monitorar a sua proteção com o McAfee ePOTipos e propriedades de resultados do Em Comum


4 Usando o Cliente do Endpoint Security

Conteúdo Como o Cliente do Endpoint Security funciona Abrir o Cliente do Endpoint Security Obter informações sobre proteção Verificação de ameaças Atualizar conteúdo e software manualmente Entrar como administrador Desbloquear a interface de cliente

Como o Cliente do Endpoint Security funcionaO Cliente do Endpoint Security permite a verificação do status da proteção e fornece acesso aos recursos desegurança do software instalado, como varreduras, arquivos em quarentena e os arquivos Extra.DAT.

O Cliente do Endpoint Security fornece:

• Acesso a recursos, como exibição de links de suporte, entrar como administrador e instalação o arquivoExtra. DAT obtido por download.

• Acesso rápido a tarefas frequentes, como varredura do seu sistema e atualização do software.

• Informações sobre a sua proteção, como status, logs de eventos, tarefas e arquivos em quarentena.

• O Resumo de ameaças oferece informações sobre as ameaças detectadas no sistema nos últimos 30 dias.

Abrir o Cliente do Endpoint SecurityAbra o Cliente do Endpoint Security para exibir o status dos recursos de proteção instalados no computador.

Se o modo de interface estiver configurado como Bloquear interface do cliente, digite a senha do administradorpara abrir o Cliente do Endpoint Security.

Tarefa1 Use um dos métodos a seguir para exibir o Cliente do Endpoint Security:

• Clique com o botão direito do mouse no ícone da bandeja do sistema e selecione McAfee EndpointSecurity.

• Selecione Iniciar | Todos os programas | McAfee | McAfee Endpoint Security.

4


• No Windows 8 e 10, inicie o aplicativo McAfee Endpoint Security.

1 Pressione a tecla Windows.

2 Digite McAfee Endpoint Security na área de pesquisa e clique duas vezes ou toque no aplicativoMcAfee Endpoint Security.

2 Quando solicitado, digite a senha do administrador na página de Logon do administrador e clique em Logon.

O Cliente do Endpoint Security é aberto no modo de interface configurado pelo administrador.

Consulte também Desbloquear a interface de cliente na página 32

Obter informações sobre proteçãoVocê pode obter informações específicas sobre a proteção do software, incluindo tipo de gerenciamento,módulos de proteção, recursos, status, números de versão e licenciamento.

Tarefa1 Abra o Cliente do Endpoint Security.

2 No menu Ação , selecione Sobre.

3 Clique no nome do módulo ou recurso à esquerda para acessar informações sobre o item.

4 Clique no botão Fechar do navegador para fechar a página Sobre.

Verificação de ameaçasA página de Status do Cliente do Endpoint Security fornece um resumo em tempo real de todas as ameaçasdetectadas em seu sistema nos últimos 30 dias.

À medida que novas ameaças são detectadas, a página de Status atualiza os dados dinamicamente na áreaResumo de ameaças no painel inferior.

O Cliente do Endpoint Security deve estar no status verde para exibir o Resumo de ameaças.

O Resumo de ameaças inclui:

• Data da última ameaça eliminada

• Os dois principais vetores de ameaça, por categoria

• Número de ameaças por vetor de ameaça

Se o Cliente do Endpoint Security não puder acessar o Gerenciador de eventos, ele exibirá uma mensagem deerro de comunicação. Para exibir o Resumo de ameaças, reinicie o sistema.

4 Usando o Cliente do Endpoint SecurityObter informações sobre proteção


Atualizar conteúdo e software manualmenteVocê pode fazer download e verificar a existência de arquivos de segurança atualizados do Cliente do EndpointSecurity. As atualizações manuais são chamadas de atualizações por solicitação.


2 Clique em Atualizar.

Se esse botão não for exibido no Cliente do Endpoint Security, é possível ativá-lo nas configurações.

O Cliente do Endpoint Security verifica se há atualizações.

A página Atualizar exibe informações sobre a última atualização ou a data e a hora em que ocorreu, se nãotiver sido no dia em questão

Para cancelar a atualização, clique em Cancelar.

• Se a atualização for concluída com êxito, a página exibirá Atualização concluída e a última atualizaçãocomo Hoje.

• Se a atualização não for bem-sucedida, serão exibidos erros na área Mensagens.

Veja o PackageManager_Activity.log ou o PackageManager_Debug.log para obter mais informações.

3 Clique em Fechar para fechar a página Atualização.

Consulte também Configuração do comportamento padrão para atualizações do cliente na página 37Abrir o Cliente do Endpoint Security na página 29

Entrar como administradorEntre no Cliente do Endpoint Security como administrador para ativar ou desativar recursos e definirconfigurações.

Antes de iniciarO modo de interface para o Cliente do Endpoint Security está configurado como Acesso padrão.


2 No menu Ação , selecione Entrada do administrador.

3 No campo Senha, insira a senha do administrador e clique em Entrar.

Agora você pode acessar todos os recursos do Cliente do Endpoint Security.

Para se desconectar, selecione Ação | Logoff de Administrador. O cliente retorna ao modo de interface Acessopadrão.

Usando o Cliente do Endpoint SecurityAtualizar conteúdo e software manualmente 4


Desbloquear a interface de clienteSe a interface do Cliente do Endpoint Security estiver bloqueada, desbloqueie-a com a senha do administradorpara acessar todas as configurações.

Antes de iniciarO modo de interface para o Cliente do Endpoint Security está configurado como Bloquear interfacedo cliente.


2 Na página Logon do Administrador, digite a senha do administrador no campo Senha e clique em Entrar.

O Cliente do Endpoint Security é aberto e torna-se possível acessar todos os recursos do cliente.

3 Para sair e fechar o cliente, selecione Logoff do Administrador no menu Ação .

4 Usando o Cliente do Endpoint SecurityDesbloquear a interface de cliente


5 Gerenciando recursos comuns em um sistemacliente

Conteúdo Desativar e ativar recursos Proteger arquivos e serviços em um sistema cliente Configurar o log de atividades do cliente em um sistema cliente Controle de acesso à interface do cliente em um sistema cliente Definir configurações do servidor proxy em um sistema cliente Configuração das atualizações automáticas para o cliente Permitir a autenticação de certificado em um sistema cliente

Desativar e ativar recursosComo administrador, você pode desativar e ativar recursos do Endpoint Security usando o Cliente do EndpointSecurity.

Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ou vocêestá conectado como administrador.

A página Status mostra o status ativado do módulo, que talvez não reflita o status real dos recursos. É possívelconsultar o status de cada recurso na página Configurações. Por exemplo, se a configuração Ativar ScriptScan nãofor aplicada com êxito, o status poderá ser (Status: Desativado).


2 Clique no nome do módulo na página principal do Status.

Ou, no menu Ação , selecione Configurações e clique no nome do módulo na página Configurações.

3 Selecione ou desmarque a opção Ativarmódulo ou recurso.

Consulte também Entrar como administrador na página 31

5


Proteger arquivos e serviços em um sistema clienteUma das primeiras ações que um malware tenta realizar durante um ataque é desativar o software desegurança do seu sistema. Defina a Autoproteção nas configurações do módulo Em Comum para impedir queos serviços e arquivos do Endpoint Security sejam interrompidos ou modificados.


Desativar a Autoproteção deixa seu sistema vulnerável a ataques.


2 No menu Ação , selecione Configurações.


4 Em Autoproteção, verifique se a opção Autoproteção está ativada.

5 Especifique a ação para cada um dos seguintes recursos:

• Arquivos e pastas — Impede que usuários modifiquem bancos de dados, binários, arquivos de pesquisasegura e arquivos de configuração da McAfee.

• Registro — Impede que usuários modifiquem o hive de Registro da McAfee, componentes COM edesinstalem usando o valor de Registro.

• Processos — Impede a interrupção de processos da McAfee.

6 Clique em Aplicar.


Configurar o log de atividades do cliente em um sistema clienteConfigurar registro em log nas configurações de Em Comum





4 Defina as configurações de Log do cliente na página.



5 Gerenciando recursos comuns em um sistema clienteProteger arquivos e serviços em um sistema cliente


Controle de acesso à interface do cliente em um sistema clienteControle o acesso ao Cliente do Endpoint Security definindo uma senha nas configurações de Em Comum.


O Modo de interface do cliente é definido como Acesso total por padrão, permitindo que os usuários alterem suasconfigurações de segurança, o que pode deixar os sistemas desprotegidos contra ataques de malware.



3 Defina as configurações de Modo de interface do cliente na página.

Prática recomendada: para melhorar a segurança, altere o Modo de interface do cliente para Padrão ouBloquear interface do cliente. Ambas as opções requerem uma senha de administrador para acessar asconfigurações do Cliente do Endpoint Security.


Tarefas• Restringir e permitir o acesso a recursos na página 35

As definições do Modo da interface do cliente atribuídas a seu computador determinam osrecursos que podem ser acessados.


Restringir e permitir o acesso a recursosAs definições do Modo da interface do cliente atribuídas a seu computador determinam os recursos quepodem ser acessados.

Altere o Modo da interface do cliente nas configurações do Em Comum.

Em sistemas gerenciados, as alterações de política do McAfee ePO podem sobrescrever as alterações da páginaConfigurações.

Estas são as opções do Modo da interface do cliente.

Gerenciando recursos comuns em um sistema clienteControle de acesso à interface do cliente em um sistema cliente 5


Acesso total Permite acesso a todos os recursos, incluindo:• Ativar e desativar módulos e recursos individuais.

• Acesso à página Configurações para exibir ou modificar todas as definições do Cliente doEndpoint Security.

(Padrão)

Acesso padrão Exibe o status de proteção e permite acesso à maioria dos recursos.• Atualiza arquivos de conteúdo e componentes de software no seu computador (quando

ativado pelo administrador).

• Acessar o Log de eventos.

No modo de interface de Acesso padrão, é possível entrar como administrador para acessartodos os recursos, inclusive todas as configurações.

Bloquearinterface docliente

Requer uma senha para acessar o cliente.Depois de desbloquear a interface do cliente, é possível acessar todos os recursos.

Se você não puder acessar o Cliente do Endpoint Security ou tarefas e recursos específicos necessários parafazer seu trabalho, fale com o administrador.

Definir configurações do servidor proxy em um sistema clienteEspecifique as opções do servidor proxy nas configurações de Em Comum.


Tarefa

1 Abra o Cliente do Endpoint Security.



4 Defina as configurações de Servidor proxy na página.

Prática recomendada: exclua os endereços do McAfee GTI do servidor proxy. Para obter informações,consulte KB79640 e KB84374.



Configuração das atualizações automáticas para o cliente

Conteúdo Configurar onde o cliente obtém suas atualizações Configuração do comportamento padrão para atualizações do cliente

5 Gerenciando recursos comuns em um sistema clienteDefinir configurações do servidor proxy em um sistema cliente




Configurar, agendar e executar tarefas de atualização usando o cliente Como as tarefas de espelhamento funcionam Configurar, agendar e executar tarefas de espelhamento

Configurar onde o cliente obtém suas atualizaçõesÉ possível configurar os sites dos quais o Cliente do Endpoint Security obtém arquivos de segurança atualizadosnas configurações do módulo Em Comum.


Tarefa




4 Em Em Comum, clique em Opções.

5 Defina as configurações de Sites de origem para atualizações.

Você pode ativar e desativar o site de origem de backup padrão, McAfeeHttp, e o servidor de gerenciamento,mas não poderá modificá-los ou exclui-los.

Você pode adicionar, alterar, importar ou exportar um site de origem.

A ordem dos sites determina a ordem usada pelo Endpoint Security para pesquisar o site de atualização.


Consulte também Usar listas de repositório para sites de atualização na página 20Entrar como administrador na página 31Configurar, agendar e executar tarefas de atualização usando o cliente na página 38

Configuração do comportamento padrão para atualizações do clienteÉ possível especificar o comportamento padrão de atualizações iniciadas do Cliente do Endpoint Security nasconfigurações Em Comum.


Use essas configurações para:

• Exibir ou ocultar o botão Atualizar no cliente.

• Especifique o que atualizar quando o usuário clicar no botão ou quando a tarefa de Atualização padrão docliente for executada.

Por padrão, a tarefa de Atualização padrão do cliente é executada todos os dias à 1h. e repetida de quatro emquatro horas até 23h59.

Gerenciando recursos comuns em um sistema clienteConfiguração das atualizações automáticas para o cliente 5


Tarefa




4 Defina as configurações de Atualização padrão do cliente na página.


Consulte também Entrar como administrador na página 31Configurar onde o cliente obtém suas atualizações na página 37Configurar, agendar e executar tarefas de atualização usando o cliente na página 38

Configurar, agendar e executar tarefas de atualização usando o clienteVocê pode configurar tarefas de atualização personalizadas ou alterar o agendamento da tarefa Atualizaçãopadrão do cliente usando o Cliente do Endpoint Security nas configurações do módulo Em Comum.


Use essas definições para a configuração no cliente quando a tarefa Atualização padrão do cliente for executada.Você também pode configurar o comportamento padrão das atualizações de cliente iniciadas no Cliente doEndpoint Security.

Tarefa




4 No módulo Em Comum, clique em Tarefas.

5 Defina as configurações da tarefa de atualização na página.

Você pode adicionar, personalizar e executar uma tarefa de atualização. Você também pode criar uma cópiade uma tarefa de atualização e alterar a programação.


Consulte também Entrar como administrador na página 31Configurar onde o cliente obtém suas atualizações na página 37Configuração do comportamento padrão para atualizações do cliente na página 37

Como as tarefas de espelhamento funcionamA tarefa de espelhamento replica os arquivos de atualização a partir do primeiro repositório acessível definidona lista de repositórios, em um site de espelhamento na rede.

O uso mais comum para esta tarefa é espelhar o conteúdo do site de downloads da McAfee em um servidorlocal.

5 Gerenciando recursos comuns em um sistema clienteConfiguração das atualizações automáticas para o cliente


Depois de replicar o site da McAfee que contém os arquivos de atualização, os computadores da rede poderãofazer download dos arquivos a partir do site de espelho. Esta abordagem permite que você atualize qualquercomputador em sua rede, com ou sem acesso à Internet. Utilizar um site replicado é mais eficiente porque osseus sistemas se comunicam com um servidor que está mais próximo do que um site de Internet da McAfee,economizando tempo de acesso e download.

O software requer um diretório para se atualizar. Por isso, ao espelhar um site, certifique-se de replicar toda aestrutura de diretórios.

Configurar, agendar e executar tarefas de espelhamento Você pode modificar ou agendar tarefas de espelhamento do Cliente do Endpoint Security nas definições domódulo Em Comum.





4 No módulo Em Comum, clique em Tarefas.

5 Configure as definições da tarefa de espelhamento na página.

Você pode adicionar, alterar, copiar, agendar e executar uma tarefa de espelhamento.



Permitir a autenticação de certificado em um sistema clienteOs certificados permitem que um fornecedor execute códigos dentro de processos da McAfee.




4 Na seção Certificados, selecione Permitir.

Essa configuração pode resultar em problemas de compatibilidade e redução de segurança.


As informações do certificado serão exibidas na tabela.

Gerenciando recursos comuns em um sistema clientePermitir a autenticação de certificado em um sistema cliente 5


5 Gerenciando recursos comuns em um sistema clientePermitir a autenticação de certificado em um sistema cliente


6 Monitorando sua proteção em um sistemacliente

Conteúdo Verificação de atividade recente no Log de eventos Nomes e locais do arquivo de log

Verificação de atividade recente no Log de eventosO Log de eventos no Cliente do Endpoint Security exibe um registro de eventos que ocorrem em sistemasprotegidos pela McAfee.


2 Clique em Log de eventos no lado esquerdo da página.

A página mostra qualquer evento que o Endpoint Security registrou em log no sistema nos últimos 30 dias.

Se o Cliente do Endpoint Security não puder acessar o Gerenciador de eventos, ele exibirá uma mensagemde erro de comunicação. Neste caso, reinicialize o sistema para exibir o Log de eventos.

3 Selecione um evento no painel superior para exibir os detalhes no painel inferior.

Para alterar os tamanhos relativos dos painéis, clique e arraste o widget em forma de faixa entre os painéis.

4 Na página Log de eventos, classifique, pesquise, filtre ou recarregue eventos.

5 Navegue pelo Log de eventos.

Por padrão, o Log de eventos exibe 20 eventos por página. Para exibir mais eventos por página, selecioneuma opção na lista suspensa de Eventos por página.

Nomes e locais do arquivo de logOs arquivos de log de atividades, erros e depuração registram eventos que ocorrem nos sistemas comprodutos da McAfee ativados.

Todos os arquivos do log de atividades e de depuração são armazenados aqui:

%ProgramData%\McAfee\Endpoint Security\Logs

Cada módulo, recurso ou tecnologia coloca o log de atividades ou depuração em um arquivo separado. Todosos módulos colocam o log de erros em um arquivo, o EndpointSecurityPlatform_Errors.log.

6


Tabela 6-1 Arquivos de log

Recurso ou tecnologia Nome do arquivo

Plataforma EndpointSecurityPlatform_Activity.log

EndpointSecurityPlatform_Debug.log

Autoproteção SelfProtection_Activity.log

SelfProtection_Debug.log

Atualizações PackageManager_Activity.log

PackageManager_Debug.log

Erros EndpointSecurityPlatform_Errors.logContém logs de erros para todos os módulos.

Cliente do Endpoint Security MFEConsole_Debug.log

Por padrão, os arquivos de log de instalação são armazenados aqui:

TEMP\McAfeeLogs, que é a pasta TEMP do sistema do Windows.

6 Monitorando sua proteção em um sistema clienteNomes e locais do arquivo de log
