mcafee endpoint security 10 - kc. · pdf filea proteção adaptável contra...
TRANSCRIPT
COPYRIGHT
© 2016 Intel Corporation
ATRIBUIÇÕES DE MARCAS COMERCIAISIntel e o logotipo da Intel são marcas comerciais da Intel Corporation nos EUA e/ou em outros países. McAfee, o logotipo da McAfee, McAfee ActiveProtection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence,McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfeeTotal Protection, TrustedSource e VirusScan são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outrospaíses. Outros nomes e marcas podem ser propriedade de terceiros.
INFORMAÇÕES SOBRE LICENÇA
Contrato de licençaAVISO A TODOS OS USUÁRIOS: LEIA ATENTAMENTE O CONTRATO LEGAL CORRESPONDENTE À LICENÇA ADQUIRIDA POR VOCÊ. NELE ESTÃODEFINIDOS OS TERMOS E AS CONDIÇÕES GERAIS PARA A UTILIZAÇÃO DO SOFTWARE LICENCIADO. CASO NÃO SAIBA O TIPO DE LICENÇA QUE VOCÊADQUIRIU, CONSULTE A DOCUMENTAÇÃO RELACIONADA À COMPRA E VENDA OU À CONCESSÃO DE LICENÇA, INCLUÍDA NO PACOTE DO SOFTWAREOU FORNECIDA SEPARADAMENTE (POR EXEMPLO, UM LIVRETO, UM ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONÍVEL NO SITE DO QUAL OPACOTE DE SOFTWARE FOI OBTIDO POR DOWNLOAD). SE VOCÊ NÃO CONCORDAR COM TODOS OS TERMOS ESTABELECIDOS NO CONTRATO, NÃOINSTALE O SOFTWARE. SE FOR APLICÁVEL, VOCÊ PODERÁ DEVOLVER O PRODUTO À McAFEE OU AO LOCAL DE AQUISIÇÃO PARA OBTER REEMBOLSOTOTAL.
2 McAfee Endpoint Security 10.5 Guia do produto
Conteúdo
McAfee Endpoint Security 7
1 Introdução 9Módulos do Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Como o Endpoint Security protege seu computador . . . . . . . . . . . . . . . . . . . . 10
Como sua proteção permanece atualizada . . . . . . . . . . . . . . . . . . . . . 11Interação com o Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Como acessar as tarefas do Endpoint Security no ícone da McAfee na bandeja do sistema.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Sobre mensagens de notificação . . . . . . . . . . . . . . . . . . . . . . . . 14Sobre o Cliente do Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . 15
2 Uso do Cliente do Endpoint Security 19Abrir o Cliente do Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . 19Obter ajuda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Responder a prompts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Responder a um prompt de detecção de ameaça . . . . . . . . . . . . . . . . . . 20Responder a um prompt de varredura . . . . . . . . . . . . . . . . . . . . . . 21
Obter informações sobre sua proteção . . . . . . . . . . . . . . . . . . . . . . . . . 21Tipos de gerenciamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Atualizar conteúdo e software manualmente . . . . . . . . . . . . . . . . . . . . . . . 22O que é atualizado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Exibir o Log de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Nomes e locais de arquivos de log do Endpoint Security . . . . . . . . . . . . . . . 24
Gerenciamento do Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . 26Entrar como administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Desbloquear a interface de cliente . . . . . . . . . . . . . . . . . . . . . . . . 27Desativar e ativar recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Alterar a versão do conteúdo do AMCore . . . . . . . . . . . . . . . . . . . . . 27Usar arquivos Extra.DAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Configurar definições comuns . . . . . . . . . . . . . . . . . . . . . . . . . . 29Configurar comportamento da atualização . . . . . . . . . . . . . . . . . . . . . 34
Referência da interface do cliente do Cliente do Endpoint Security — Em Comum . . . . . . . . 40página Log de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Em Comum — Opções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Em Comum — Tarefas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
3 Utilizando o Prevenção contra ameaças 55Varrer seu computador em busca de malware . . . . . . . . . . . . . . . . . . . . . . 55
Tipos de varreduras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Executar uma Varredura completa ou uma Varredura rápida . . . . . . . . . . . . . 56Varrer um arquivo ou pasta . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Gerenciar detecções de ameaças . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Gerenciar itens em quarentena . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Nome da detecção . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
McAfee Endpoint Security 10.5 Guia do produto 3
Repetição de varredura de itens em quarentena . . . . . . . . . . . . . . . . . . 63Gerenciamento do Prevenção contra ameaças . . . . . . . . . . . . . . . . . . . . . . 63
Configuração de exclusões . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Proteção de pontos de acesso do sistema . . . . . . . . . . . . . . . . . . . . . 66Bloqueio de explorações de estouro de buffer . . . . . . . . . . . . . . . . . . . 74Detectar programas potencialmente indesejados . . . . . . . . . . . . . . . . . . 79Configure definições de varreduras comuns . . . . . . . . . . . . . . . . . . . . 81Como o McAfee GTI funciona . . . . . . . . . . . . . . . . . . . . . . . . . . 82Configurar as definições de de Varredura ao acessar . . . . . . . . . . . . . . . . 83Configurar definições da política de . . . . . . . . . . . . . . . . . . . . . . . 90Configurar, agendar e executar tarefas de varredura . . . . . . . . . . . . . . . . 95
Referência da interface do Cliente do Endpoint Security — Prevenção contra ameaças . . . . . . 96Página Quarentena . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Prevenção contra ameaças — Proteção de acesso . . . . . . . . . . . . . . . . . 97Prevenção contra ameaças — Prevenção de exploração . . . . . . . . . . . . . . 110Prevenção contra ameaças — Varredura ao acessar . . . . . . . . . . . . . . . . 116Prevenção contra ameaças — Varredura por solicitação . . . . . . . . . . . . . . 120Varrer locais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124McAfee GTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126Ações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127Adicionar exclusão ou Editar exclusão . . . . . . . . . . . . . . . . . . . . . . 128Prevenção contra ameaças — Opções . . . . . . . . . . . . . . . . . . . . . . 129tarefa do cliente Reverter conteúdo do AMCore . . . . . . . . . . . . . . . . . . 131
4 Usar o Firewall 133Como funciona o Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133Ativar e desativar o Firewall usando o ícone da bandeja do sistema da McAfee . . . . . . . . . 133Ativar ou exibir grupos temporizados do Firewall usando o ícone da bandeja do sistema da McAfee. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Sobre grupos temporizados . . . . . . . . . . . . . . . . . . . . . . . . . . 134Gerenciamento do Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Modificar opções de Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . 135Configurar regras e grupos do Firewall . . . . . . . . . . . . . . . . . . . . . . 139
Referência da interface do Cliente do Endpoint Security — Firewall . . . . . . . . . . . . . 148Firewall — Opções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149Firewall — Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
5 Usar o Controle da Web 163Sobre os recursos do Controle da Web . . . . . . . . . . . . . . . . . . . . . . . . . 163
Como o Controle da Web bloqueia ou avisa sobre um site ou um download . . . . . . . 165O botão do Controle da Web identifica ameaças durante a navegação . . . . . . . . . 165Os ícones de segurança identificam ameaças durante a pesquisa . . . . . . . . . . . 166Os relatórios do site apresentam detalhes . . . . . . . . . . . . . . . . . . . . 166Como as classificações de segurança são compiladas . . . . . . . . . . . . . . . . 167
Acessar recursos do Controle da Web . . . . . . . . . . . . . . . . . . . . . . . . . 168Ativar o plug-in de Controle da Web usando o navegador . . . . . . . . . . . . . . 168Ver informações sobre um site enquanto navega . . . . . . . . . . . . . . . . . 169Exibir relatório de site durante a pesquisa . . . . . . . . . . . . . . . . . . . . 170
Gerenciamento do Controle da Web . . . . . . . . . . . . . . . . . . . . . . . . . . 170Configurar opções de Controle da Web . . . . . . . . . . . . . . . . . . . . . 170Especificar ações de classificação e bloquear acesso a sites com base na categoria da Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Referência da interface do Cliente do Endpoint Security — Controle da Web . . . . . . . . . 174Controle da Web — Opções . . . . . . . . . . . . . . . . . . . . . . . . . . 174Controle da Web — Ações de conteúdo . . . . . . . . . . . . . . . . . . . . . 177
Conteúdo
4 McAfee Endpoint Security 10.5 Guia do produto
6 Uso da Proteção adaptável contra ameaças 181Sobre a Proteção adaptável contra ameaças . . . . . . . . . . . . . . . . . . . . . . 181
Benefícios da Proteção adaptável contra ameaças . . . . . . . . . . . . . . . . . 181Componentes da Proteção adaptável contra ameaças . . . . . . . . . . . . . . . . 182Como a Proteção adaptável contra ameaças funciona . . . . . . . . . . . . . . . . 184Como a reputação é determinada . . . . . . . . . . . . . . . . . . . . . . . . 185
Responder a uma solicitação de reputação de arquivo . . . . . . . . . . . . . . . . . . 187Gerenciamento da Proteção adaptável contra ameaças . . . . . . . . . . . . . . . . . . 188
Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188Confinamento dinâmico de aplicativos . . . . . . . . . . . . . . . . . . . . . . 191Configurar opções da Proteção adaptável contra ameaças . . . . . . . . . . . . . . 197
Referência da interface do Cliente do Endpoint Security — Proteção adaptável contra ameaças . . 199Proteção adaptável contra ameaças — Confinamento dinâmico de aplicativos . . . . . . 199Proteção adaptável contra ameaças — Opções . . . . . . . . . . . . . . . . . . 201
Índice 207
Conteúdo
McAfee Endpoint Security 10.5 Guia do produto 5
McAfee Endpoint Security
O McAfee®
Endpoint Security é uma solução de gerenciamento de segurança abrangente que éexecutada em computadores em rede para identificar e interromper ameaças automaticamente. Estaajuda explica como usar os recursos básicos de segurança e solucionar problemas.
Para usar a Ajuda do Endpoint Security com o Internet Explorer, Configurações de segurança | Script | Scriptativo devem estar ativados no navegador.
Introdução
• Módulos do Endpoint Security na página 9
• Como o Endpoint Security protege seu computador na página 10
• Interação com o Endpoint Security na página 12
Tarefas realizadas com frequência
• Abrir o Cliente do Endpoint Security na página 19
• Atualizar conteúdo e software manualmente na página 22
• Varrer seu computador em busca de malware na página 55
• Desbloquear a interface de cliente na página 27
Mais informações
Para acessar informações adicionais sobre este produto, consulte:
• Guia de instalação do McAfee Endpoint Security
• McAfee Endpoint Security Guia de migração
• Notas de versão do McAfee Endpoint Security
• Ajuda da Prevenção contra ameaças do Endpoint Security
• Ajuda do Firewall do Endpoint Security
• Ajuda do Controle da Web do Endpoint Security
• Ajuda do Proteção adaptável contra ameaças do Endpoint Security
• Suporte da McAfee
McAfee Endpoint Security 10.5 Guia do produto 7
1 Introdução
O Endpoint Security é uma solução de gerenciamento de segurança abrangente que é executada emcomputadores em rede para identificar e interromper ameaças automaticamente. Esta ajuda explicacomo usar os recursos básicos de segurança e solucionar problemas.
Se o computador for gerenciado, o administrador define e configura o Endpoint Security usando umdos seguintes servidores de gerenciamento:
• McAfee® ePolicy Orchestrator® (McAfee® ePO™)
• McAfee® ePolicy Orchestrator® Cloud (McAfee ePO™ Cloud)
Para ver as informações mais recentes sobre licença de gerenciamento e direitos do EndpointSecurity, consulte KB87057.
A Proteção adaptável contra ameaças não possui suporte em sistemas gerenciados pelo McAfee ePOCloud.
Se o computador for autogerenciado, também chamado de não gerenciado, você ou administradorconfiguram o software usando o Cliente do Endpoint Security.
Conteúdo Módulos do Endpoint Security Como o Endpoint Security protege seu computador Interação com o Endpoint Security
Módulos do Endpoint SecurityO administrador configura e instala um ou mais módulos do Endpoint Security em computadorescliente.
• Prevenção contra ameaças - Verifica vírus, spywares, programas indesejados e outras ameaçasvarrendo itens automaticamente quando os usuários os acessam ou, sob demanda, a qualquermomento.
• Firewall - Monitora a comunicação entre o computador e os recursos da rede e da Internet.Intercepta comunicações suspeitas.
1
McAfee Endpoint Security 10.5 Guia do produto 9
• Controle da Web - Exibe classificações e relatórios de segurança para sites durante a navegaçãoou pesquisa on-line. O Controle da Web permite que o administrador do site bloqueie o acesso asites com base na classificação de segurança ou no conteúdo.
• Proteção adaptável contra ameaças — Analisa o conteúdo da empresa e decide o que deve serfeito com base na reputação do arquivo, em regras e limites de reputação.
A Proteção adaptável contra ameaças é um módulo opcional do Endpoint Security. Para obterfontes e funcionalidades adicionais de inteligência contra ameaças, distribua o servidor ThreatIntelligence Exchange. Para obter informações, entre em contato com o revendedor ou orepresentante de vendas.
A Proteção adaptável contra ameaças não possui suporte em sistemas gerenciados pelo McAfee ePOCloud.
Além disso, o módulo Em Comum fornece configurações para recursos comuns, como registro em loge segurança da interface. Esse módulo é instalado automaticamente se qualquer outro módulo forinstalado.
Como o Endpoint Security protege seu computadorNormalmente, um administrador configura o Endpoint Security, instala o software nos computadoresclientes, monitora o status da segurança e configura regras de segurança, denominadas políticas.
Como usuário do computador cliente, você interage com o Endpoint Security através do softwarecliente instalado no computador. As políticas configuradas pelo administrador determinam como osmódulos e recursos operam no computador e se você pode modificá-los.
Se o Endpoint Security for autogerenciado, é possível especificar o modo de operação dos módulos edos recursos. Para determinar o tipo de gerenciamento, consulte a página Sobre.
Em intervalos regulares, o software cliente no computador se conecta a um site da Internet paraatualizar seus componentes. Ao mesmo tempo, ele envia dados sobre detecções no computador parao servidor de gerenciamento. Esses dados são usados para gerar relatórios para o administrador sobredetecções e questões de segurança no computador.
Geralmente, o software cliente opera em segundo plano, sem nenhuma interação com o usuário.Ocasionalmente, no entanto, pode ser necessário interagir com ele. Por exemplo, talvez você queiraverificar atualizações de software ou fazer varreduras de malware manualmente. Dependendo daspolíticas configuradas pelo administrador, talvez você também possa personalizar as configurações desegurança.
Se você for um administrador, poderá configurar e gerenciar o software cliente de forma centralizadausando o McAfee ePO ou o McAfee ePO Cloud.
Para ver as informações mais recentes sobre licença de gerenciamento e direitos do Endpoint Security,consulte KB87057.
Consulte também Obter informações sobre sua proteção na página 21
1 IntroduçãoComo o Endpoint Security protege seu computador
10 McAfee Endpoint Security 10.5 Guia do produto
Como sua proteção permanece atualizadaAtualizações regulares do Endpoint Security asseguram que seu computador esteja sempre protegidocontra as ameaças mais recentes.
Para executar atualizações, o software cliente se conecta a um servidor McAfee ePO local ou remotoou diretamente a um site da Internet. O Endpoint Security verifica se há:
• Atualizações dos arquivos de conteúdos usados para detectar ameaças. Os arquivos de conteúdocontêm definições de ameaças como vírus e spyware, e essas definições são atualizadas à medidaque novas ameaças são descobertas.
• Atualizações de componentes de software como patches e hotfixes.
Para simplificar a terminologia, esta Ajuda se refere a atualizações e melhoramentos comoatualizações.
As atualizações em geral ocorrem automaticamente em segundo plano. Talvez também sejanecessário verificar a existência de atualizações manualmente. Dependendo das configurações, épossível atualizar manualmente sua proteção a qualquer momento no Cliente do Endpoint Security
clicando em .
Consulte também Atualizar conteúdo e software manualmente na página 22
Como os arquivos de conteúdo funcionamAo pesquisar os arquivos em busca de ameaças, o mecanismo de varredura compara o conteúdo dosarquivos varridos com as informações de ameaças conhecidas, armazenadas nos arquivos de conteúdodo AMCore. A Prevenção de exploração usa seus próprios arquivos de conteúdo para proteger contraexplorações.
O McAfee Labs encontra e adiciona informações de ameaças conhecidas (assinaturas) aos arquivos deconteúdo. Com as assinaturas, os arquivos de conteúdo incluem informações sobre limpeza e correçãode danos que o malware detectado pode causar. Novas ameaças aparecem, e o McAfee Labs liberaarquivos de conteúdo atualizados, regularmente.
Se a assinatura de uma ameaça não estiver nos arquivos de conteúdo instalados, o mecanismo devarredura não poderá detectar a ameaça, deixando o sistema vulnerável a ataques.
O Endpoint Security armazena o arquivo de conteúdo carregado atualmente e as duas versõesanteriores na pasta Arquivos de Programas\Common Files\McAfee\Engine\content. Se necessário, épossível voltar a uma versão anterior.
Quando um novo malware é descoberto e uma detecção extra é necessária fora do agendamento deatualizações de conteúdo regulares, o McAfee Labs libera um arquivo Extra.DAT.
Pacote de conteúdo do AMCore
O McAfee Labs libera pacotes de conteúdo do AMCore diariamente até as 19h. (GMT/UTC). Sejustificado por uma nova ameaça, os arquivos de conteúdo do AMCore diários poderão ser liberadosmais cedo e, às vezes, as liberações poderão ser atrasadas.
Para receber alertas relacionados a atrasos ou notificações importantes, inscreva-se no SNS (SupportNotification Service - Serviço de notificação de suporte). Consulte KB67828.
IntroduçãoComo o Endpoint Security protege seu computador 1
McAfee Endpoint Security 10.5 Guia do produto 11
O pacote de conteúdo do AMCore inclui estes componentes:
• AMCore — Mecanismo e conteúdo
Contém atualizações do mecanismo de varredura e das assinaturas da Prevenção contra ameaçasbaseadas nos resultados da pesquisa de ameaças contínua.
• Proteção adaptável contra ameaças — Mecanismo de varredura e regras
Contém regras para computar dinamicamente a reputação de arquivos e os processos nosterminais.
A McAfee libera novos arquivos de conteúdo da Proteção adaptável contra ameaças a cada doismeses.
A Proteção adaptável contra ameaças é um módulo opcional do Endpoint Security. Para obterfontes e funcionalidades adicionais de inteligência contra ameaças, distribua o servidor ThreatIntelligence Exchange. Para obter informações, entre em contato com o revendedor ou orepresentante de vendas.
• Real Protect — Mecanismo e conteúdo
Contém atualizações do mecanismo de varredura e das assinaturas do Real Protect baseadas nosresultados da pesquisa de ameaças contínua.
O Real Protect é um componente do módulo Proteção adaptável contra ameaças opcional.
Pacote de conteúdo da Prevenção de exploração
O pacote de conteúdo da Prevenção de exploração inclui:
• Assinaturas de proteção de memória — GBOP (Generic Buffer Overflow Protection - Proteção contraestouro de buffer genérica), validação de chamador, GPEP (Generic Privilege Escalation Prevention -Prevenção contra escalonamento de privilégios genéricos) e Monitoramento de API de destino.
• Lista de proteção do aplicativo — Processos protegidos pela Prevenção de exploração.
O conteúdo da Prevenção de exploração é similar ao dos arquivos de conteúdo do McAfee Host IPS.Consulte KB51504.
A McAfee libera novos arquivos de conteúdo da Prevenção de exploração uma vez por mês.
Interação com o Endpoint SecurityO Endpoint Security possui componentes visuais para interagir com o Cliente do Endpoint Security.
• Ícone da McAfee na bandeja do sistema Windows – Permite iniciar o Cliente do Endpoint Security evisualizar o status da segurança.
• Mensagens de notificação – Alertam sobre varreduras e sobre detecções de intrusão do firewall,além de arquivos com reputações desconhecidas, e solicitam sua posição.
• Página de Varredura ao acessar – Exibe uma lista de detecção de ameaças quando o mecanismo devarredura ao acessar detecta uma ameaça.
• Cliente do Endpoint Security - Exibe o status de proteção atual e oferece acesso a recursos.
Em sistemas gerenciados, o administrador configura e atribui políticas que permitem definir oscomponentes exibidos.
1 IntroduçãoInteração com o Endpoint Security
12 McAfee Endpoint Security 10.5 Guia do produto
Consulte também Como acessar as tarefas do Endpoint Security no ícone da McAfee na bandeja do sistema. napágina 13Sobre mensagens de notificação na página 14Gerenciar detecções de ameaças na página 59Sobre o Cliente do Endpoint Security na página 15
Como acessar as tarefas do Endpoint Security no ícone daMcAfee na bandeja do sistema.O ícone da McAfee na bandeja do sistema Windows fornece acesso ao Cliente do Endpoint Security e aalgumas tarefas básicas.
As definições de configuração determinam se o ícone da McAfee está disponível.
Clique com o botão direito do mouse no ícone da McAfee na bandeja do sistema para:
Verificar o status dasegurança.
Selecione Exibir status de segurança para exibir a página de Status de segurança daMcAfee.
Abra o Cliente doEndpoint Security.
Selecione McAfee Endpoint Security.
Atualizar proteção esoftware manualmente.
Selecione Atualizar segurança.
Desativar ou reativar oFirewall.
Selecione Desativar o Firewall do Endpoint Security no menu Configurações rápidas.Quando o Firewall está desativado, a opção é Ativar o Firewall do Endpoint Security.
Ativar, desativar ouexibir grupostemporizados doFirewall.
Selecione uma das opções do menu Configurações rápidas:• Ativar grupos temporizados do Firewall — Ativa os grupos temporizados por
determinado período a fim de permitir o acesso à Internet antes que asregras de restrição de acesso sejam aplicadas. Quando os grupostemporizados estão ativados, a opção é Desativar grupos temporizados doFirewall.Sempre que selecionar essa opção, você redefinirá o tempo dos grupos.
Dependendo das configurações, você pode ser solicitado a fornecer aoadministrador um motivo para ativar os grupos temporizados.
• Exibir grupos temporizados do Firewall — Exibe os nomes dos grupostemporizados e a quantidade de tempo restante para ativação de cadagrupo.
Dependendo de como as configurações foram definidas, essas opçõespodem não estar disponíveis.
Como o ícone indica o status da segurança do Endpoint Security
A aparência do ícone é alterada para indicar o status do Endpoint Security. Ao manter o cursor sobre oícone, é exibida uma mensagem descrevendo o status.
IntroduçãoInteração com o Endpoint Security 1
McAfee Endpoint Security 10.5 Guia do produto 13
Ícone Indica...
O Endpoint Security está protegendo o sistema e não existem problemas.
O Endpoint Security detectou um problema de segurança, como a desativação de um móduloou de uma tecnologia.• O Firewall está desativado.
• Prevenção contra ameaças — A Prevenção de exploração, a Varredura ao acessar ou oScriptScan estão desativados.
O Endpoint Security relata problemas de formas diferentes, dependendo do tipo degerenciamento.• Autogerenciado:
• Uma ou mais tecnologias estão desativadas.
• Uma ou mais tecnologias não estão respondendo.
• Gerenciado:
• Uma ou mais tecnologias foram desativadas, não como resultado de uma imposição depolítica do servidor de gerenciamento ou do Cliente do Endpoint Security.
• Uma ou mais tecnologias não estão respondendo.
Quando um problema é detectado, a página Status de segurança da McAfee indica qual módulo outecnologia está desativado.
Consulte também O que é atualizado na página 23
Sobre mensagens de notificaçãoO Endpoint Security usa dois tipos de mensagens para notificar sobre problemas com sua proteção ousolicitar alguma entrada. Algumas mensagens podem não aparecer, dependendo da forma como asdefinições estão configuradas.
O processo McTray.exe deve estar em execução para que o Endpoint Security exiba as mensagens denotificação.
O Endpoint Security envia dois tipos de notificações:
• Os Alertas são exibidos no ícone da McAfee por cinco segundos e depois desaparecem.
Os alertas notificam sobre detecções de ameaças, como eventos de intrusão de Firewall, ou quandouma varredura por solicitação é pausada ou retomada. Eles não requerem nenhuma ação sua.
• Os Avisos abrem uma página na parte inferior da tela e permanecem visíveis até você selecionaruma opção.
Por exemplo:
• Quando uma varredura por solicitação agendada está prestes a começar, o Endpoint Securitypoderá solicitar o adiamento da varredura.
• Quando o mecanismo de varredura ao acessar detecta uma ameaça, o Endpoint Security podesolicitar uma resposta à detecção.
• Quando o Proteção adaptável contra ameaças detecta um arquivo com reputação desconhecida,o Endpoint Security pode solicitar que você permita ou bloqueie o arquivo.
No Windows 8 e 10, use as notificações do sistema – mensagens exibidas em pop-up que notificamsobre alertas e avisos. Clique na notificação do sistema para exibir a notificação no modo área detrabalho.
1 IntroduçãoInteração com o Endpoint Security
14 McAfee Endpoint Security 10.5 Guia do produto
Consulte também Responder a um prompt de detecção de ameaça na página 20Responder a um prompt de varredura na página 21Responder a uma solicitação de reputação de arquivo na página 187
Sobre o Cliente do Endpoint SecurityO Cliente do Endpoint Security permite que você verifique o status da proteção e acesse recursos nocomputador.
• As opções do menu Ação fornecem acesso aos recursos.
Configurações Configura definições de recursos.Essa opção de menu será disponibilizada se uma das seguintes condições forverdadeira:
• O Modo da interface do cliente estiver configurado como Acesso total.
• Você estiver conectado como administrador.
Carregar Extra.DAT Permite a instalação de um arquivo Extra.DAT baixado.
Reverter conteúdo doAMCore
Reverte o conteúdo do AMCore para uma versão anterior.Essa opção de menu será disponibilizada se houver uma versão anterior deconteúdo do AMCore no sistema e se uma das seguintes condições forverdadeira:
• O Modo da interface do cliente estiver configurado como Acesso total.
• Você estiver conectado como administrador.
Ajuda Exibe a Ajuda.
Links do suporte Exibe uma página com links para páginas úteis, como o McAfee ServicePortale o Centro de conhecimento.
Logon doadministrador
Faz logon como o administrador de site. (Requer credenciais deadministrador.)Essa opção de menu estará disponível se o modo de interface de cliente nãoestiver configurado como Acesso total. Quando já se fez o logon comoadministrador, essa opção é Logoff do administrador.
Sobre Exibe informações sobre o Endpoint Security.
Sair Sai do Cliente do Endpoint Security.
• Os botões na parte superior direita da página proporcionam acesso rápido a tarefas frequentes.
Verifica a existência de malware com uma Varredura completa ou Varredurarápida do sistema.
Esse botão só estará disponível se o módulo Prevenção contra ameaçasestiver instalado.
Atualiza arquivos de conteúdo e componentes de software no seucomputador.
O botão pode não aparecer, dependendo da forma como as definições estãoconfiguradas.
IntroduçãoInteração com o Endpoint Security 1
McAfee Endpoint Security 10.5 Guia do produto 15
• Os botões no lado esquerdo da página oferecem informações sobre a proteção.
Status Retorna à página Status principal.
Log de eventos Exibe o log de toda a proteção e eventos de ameaça no computador.
Quarentena Abre o Gerenciador de quarentena.
Esse botão só estará disponível se o módulo Prevenção contra ameaças estiverinstalado.
• O Resumo de ameaças oferece informações sobre as ameaças detectadas pelo Endpoint Securityno sistema nos últimos 30 dias.
Consulte também Carregar um arquivo Extra.DAT em um na página 29Entrar como administrador na página 26Varrer seu computador em busca de malware na página 55Atualizar conteúdo e software manualmente na página 22Exibir o Log de eventos na página 23Gerenciar itens em quarentena na página 60Gerenciamento do Endpoint Security na página 26Sobre o Resumo de ameaças na página 16
Sobre o Resumo de ameaçasA página de Status do Cliente do Endpoint Security apresenta um resumo em tempo real das ameaçasdetectadas no seu sistema nos últimos 30 dias.
À medida que novs ameaças são detectadas, a página de Status atualiza dinamicamente os dados naárea do Resumo de ameaças no painel inferior.
O Resumo de ameaças inclui:
• Data da última ameaça eliminada
• Os dois principais vetores de ameaça, por categoria:
Web Ameaças de páginas da web ou downloads.
Dispositivo ou mídia externa Ameaças de dispositivos externos, como USB, 1394 firewire, eSATA, fita,CD, DVD ou disco.
Rede Ameaças de rede (sem relação com o compartilhamento de arquivos emrede).
Sistema local Ameaças da unidade do sistema de arquivos de inicialização local (emgeral, C:) ou de outras unidades que não as classificadas comoDispositivo ou mídia externa.
Compartilhamento de arquivos Ameaças de compartilhamento de arquivos de uma rede
E-mail Ameaças de mensagens de e-mail.
Mensagem instantânea Ameaças de mensagens instantâneas.
Desconhecida Ameaças onde o vetor de ataque não está determinado (devido a umacondição de erro ou outro caso de falha).
• Número de ameaças por vetor de ameaça
Se o Cliente do Endpoint Security não conseguir acessar o Gerenciador de eventos, será mostrada umamensagem de erro de comunicação no Cliente do Endpoint Security. Nesse caso, reinicialize o sistemapara ver o Resumo de ameaças.
1 IntroduçãoInteração com o Endpoint Security
16 McAfee Endpoint Security 10.5 Guia do produto
Como as configurações afetam seu acesso ao clienteAs definições do Modo da interface do cliente atribuídas a seu computador determinam os módulos eos recursos que podem ser acessados.
Altere o Modo da interface do cliente nas configurações do Em Comum.
Em sistemas gerenciados, as alterações de política do McAfee ePO podem sobrescrever as alterações dapágina Configurações.
As opções de Modo de interface do cliente para o cliente são:
Acesso total Permite acesso a todos os recursos, incluindo:• Ativar e desativar módulos individuais e recursos.
• Acesso à página Configurações para exibir ou modificar todas as definições do Clientedo Endpoint Security.
(Padrão)
Acessopadrão
Exibe o status de proteção e permite acesso à maioria dos recursos:• Atualiza arquivos de conteúdo e componentes de software no seu computador (quando
ativado pelo administrador).
• Executa uma verificação completa em todas as áreas de seu sistema, recomendável sehouver suspeita de que o computador está infetado.
• Executa uma verificação rápida (2 minutos) das áreas do sistema mais suscetíveis ainfecção.
• Acessa o Log de eventos.
• Gerencia os itens na Quarentena.
No modo de interface de Acesso padrão, é possível entrar como administrador para acessartodos os recursos, inclusive todas as configurações.
Bloquearinterface docliente
Requer uma senha para acessar o cliente.Depois de desbloquear a interface de cliente, é possível acessar todos os recursos.
Se você não puder acessar o Cliente do Endpoint Security ou tarefas e recursos específicos necessáriospara fazer seu trabalho, fale com o administrador.
Consulte também Controlar o acesso à interface do cliente na página 32
Como os módulos instalados afetam o cliente Alguns aspectos do cliente podem não estar disponíveis, dependendo dos módulos instalados em seucomputador.
Estes recursos estão disponíveis somente se a Prevenção contra ameaças estiver instalada:
•Botão
• Botão Quarentena
IntroduçãoInteração com o Endpoint Security 1
McAfee Endpoint Security 10.5 Guia do produto 17
Os recursos instalados no sistema determinam os recursos que aparecerão:
• No Log de eventos, a lista suspensa Filtrar por módulo.
• Na página Configurações.
Em Comum Aparece se algum módulo estiver instalado.
Threat Prevention : Prevençãocontra ameaças
Aparece somente se a Prevenção contra ameaças estiver instalada.
Firewall : Firewall Aparece somente se o Firewall estiver instalado.
Web Control : Controle da Web Aparece somente se o Controle da Web estiver instalado.
Proteção adaptável contraameaças
Aparece somente se a Proteção adaptável contra ameaças e aPrevenção contra ameaças estiverem instaladas.
A Proteção adaptável contra ameaças não possui suporte emsistemas gerenciados pelo McAfee ePO Cloud.
Dependendo do Modo de interface do cliente e de como o administrador configurou o acesso, alguns outodos os recursos talvez não estejam disponíveis.
Consulte também Como as configurações afetam seu acesso ao cliente na página 17
1 IntroduçãoInteração com o Endpoint Security
18 McAfee Endpoint Security 10.5 Guia do produto
2 Uso do Cliente do Endpoint Security
Use o cliente em modo de Acesso padrão para realizar a maioria das funções, incluindo varreduras dosistema e gerenciamento de itens em quarentena.
Conteúdo Abrir o Cliente do Endpoint Security Obter ajuda Responder a prompts Obter informações sobre sua proteção Atualizar conteúdo e software manualmente Exibir o Log de eventos Gerenciamento do Endpoint Security Referência da interface do cliente do Cliente do Endpoint Security — Em Comum
Abrir o Cliente do Endpoint SecurityAbra o Cliente do Endpoint Security para exibir o status dos recursos de proteção instalados nocomputador.
Se o modo de interface estiver configurado para Bloquear interface do cliente, digite a senha doadministrador para abrir o Cliente do Endpoint Security.
Tarefa1 Use um dos métodos a seguir para exibir o Cliente do Endpoint Security:
• Clique com o botão direito no ícone da bandeja do sistema e selecione McAfee Endpoint Security.
• Selecione Iniciar | Todos os programas | McAfee | McAfee Endpoint Security.
• No Windows 8 e 10, inicie o aplicativo McAfee Endpoint Security.1 Pressione a tecla Windows.
2 Digite McAfee Endpoint Security na área de pesquisa e clique duas vezes ou toque noaplicativo McAfee Endpoint Security.
2 Quando solicitado, digite a senha do administrador na página de Logon do administrador e clique emLogon.
O Cliente do Endpoint Security é aberto no modo de interface configurado pelo administrador.
Consulte também Desbloquear a interface de cliente na página 27
2
McAfee Endpoint Security 10.5 Guia do produto 19
Obter ajudaExistem dois métodos para obter ajuda ao trabalhar no cliente: a opção de menu Ajuda e o ícone ?.
Para usar a Ajuda do Endpoint Security com o Internet Explorer, Configurações de segurança | Script | Scriptativo devem estar ativados no navegador.
Tarefa
1 Abra o Cliente do Endpoint Security.
2 Dependendo da página em que você estiver:
• Páginas Status, Log de eventos e Quarentena: no menu Ação , selecione Ajuda.
• Páginas Configurações, Atualizar, Varrer sistema, Reverter conteúdo do AMCore e Carregar Extra.DAT: clique em ?na interface.
Responder a promptsDependendo de como as configurações estejam definidas, o Endpoint Security poderá solicitar umaação quando detectar uma ameaça ou quando uma varredura por solicitação agendada estiver prestesa começar.
Tarefas
• Responder a um prompt de detecção de ameaça na página 20Quando o mecanismo de varredura detecta uma ameaça, o Endpoint Security pode solicitaruma resposta do usuário para continuar, dependendo de como as definições foramconfiguradas.
• Responder a um prompt de varredura na página 21Quando uma varredura por solicitação agendada está prestes a começar, o EndpointSecurity poderá solicitar uma ação do usuário para continuar. O prompt somente aparecese a configuração da varredura permitir que seja adiada, pausada, retomada ou cancelada.
Responder a um prompt de detecção de ameaçaQuando o mecanismo de varredura detecta uma ameaça, o Endpoint Security pode solicitar umaresposta do usuário para continuar, dependendo de como as definições foram configuradas.
No Windows 8 e 10, use as notificações do sistema – mensagens exibidas em pop-up que notificamsobre alertas e avisos. Clique na notificação do sistema para exibir a notificação no modo área detrabalho.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
• Na página Varredura ao acessar, selecione as opções que permitem gerenciar detecções de ameaças.
É possível reabrir a página de varreduras para gerenciar as detecções a qualquer momento.
A lista de detecções da varredura ao acessar é limpa quando o serviço do Endpoint Security éreiniciado ou sistema é reinicializado.
Consulte também Gerenciar detecções de ameaças na página 59
2 Uso do Cliente do Endpoint SecurityObter ajuda
20 McAfee Endpoint Security 10.5 Guia do produto
Responder a um prompt de varreduraQuando uma varredura por solicitação agendada está prestes a começar, o Endpoint Security poderásolicitar uma ação do usuário para continuar. O prompt somente aparece se a configuração davarredura permitir que seja adiada, pausada, retomada ou cancelada.
Se não for selecionada uma opção, a varredura começa automaticamente.
Em sistemas gerenciados, se a varredura estiver configurada para ser executada apenas quando ocomputador estiver ocioso, o Endpoint Security exibirá uma caixa de diálogo quando a varredura forpausada. Conforme a configuração, também será possível retomar ou redefinir as varreduraspausadas para que sejam executadas apenas em períodos de ociosidade.
No Windows 8 e 10, use as notificações do sistema – mensagens exibidas em pop-up que notificamsobre alertas e avisos. Clique na notificação do sistema para exibir a notificação no modo área detrabalho.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
• No prompt, selecione uma das opções a seguir.
As opções que aparecem dependem de como a varredura está configurada.
Varrer agora Inicia a varredura imediatamente.
Exibir varredura Exibe as detecções de uma varredura em andamento.
Pausar varredura Pausa a varredura. Dependendo da configuração, ao clicar em Pausar varredura, avarredura poderá ser redefinida para ser executada apenas em períodos deociosidade. Clique em Retomar varredura para retomar a varredura no ponto em quefoi interrompida.
Retomar varredura Retoma uma varredura pausada.
Cancelar varredura Cancela a varredura.
Adiar varredura Adia a varredura por um tempo determinado.
As opções de varredura agendada determinam quantas vezes é possível adiar avarredura em uma hora. Pode ser possível adiar a varredura mais do que uma vez.
Fechar Fecha a página de varredura.
Se o mecanismo de varredura detecta uma ameaça, o Endpoint Security pode solicitar umaresposta do usuário para continuar, dependendo de como as definições foram configuradas.
Obter informações sobre sua proteçãoVocê pode obter informações sobre a proteção do Endpoint Security, incluindo tipo de gerenciamento,módulos de proteção, recursos, status, números de versão e licenciamento.
Tarefa1 Abra o Cliente do Endpoint Security.
2 No menu Ação , selecione Sobre.
Uso do Cliente do Endpoint SecurityObter informações sobre sua proteção 2
McAfee Endpoint Security 10.5 Guia do produto 21
3 Clique no nome de um módulo ou recurso à esquerda para saltar para as informações sobre talitem.
4 Clique no botão Fechar do navegador para fechar a página Sobre.
Consulte também Tipos de gerenciamento na página 22Abrir o Cliente do Endpoint Security na página 19
Tipos de gerenciamentoO tipo de gerenciamento indica como o Endpoint Security é gerenciado.
Em sistemas gerenciados, as alterações de política do McAfee ePO podem sobrescrever as alterações dapágina Configurações.
Tipo de gerenciamento Descrição
McAfee ePolicy Orchestrator Um administrador gerencia o Endpoint Security usando o McAfee ePO(localmente).
McAfee ePolicy OrchestratorCloud
Um administrador gerencia o Endpoint Security usando o McAfee ePOCloud.Para ver as informações mais recentes sobre licença de gerenciamentoe direitos do Endpoint Security, consulte KB87057.
Autogerenciado O Endpoint Security é gerenciado localmente usando o Cliente doEndpoint Security. Este modo também é conhecido como nãogerenciado ou independente.
Atualizar conteúdo e software manualmenteVocê pode verificar manualmente e fazer download de arquivos de conteúdo e componentes desoftware atualizados do Cliente do Endpoint Security.
As atualizações manuais são chamadas de atualizações por solicitação.
Você também pode executar atualizações manuais por meio do ícone da bandeja do sistema daMcAfee.
O Endpoint Security não oferece suporte à recuperação e cópia manual de arquivos de conteúdoatualizados para o sistema cliente. Se você precisar de auxílio para atualizar uma versão de conteúdoespecífico, entre em contato com o Suporte da McAfee
Tarefa1 Abra o Cliente do Endpoint Security.
2 Clique em Atualizar agora.
Se esse botão não for exibido no cliente, é possível ativá-lo nas configurações.
O Cliente do Endpoint Security verifica se há atualizações.
A página Atualização exibe informações sobre a última atualização: Nunca, Hoje ou a data e a horada última atualização se não for no dia em questão.
2 Uso do Cliente do Endpoint SecurityAtualizar conteúdo e software manualmente
22 McAfee Endpoint Security 10.5 Guia do produto
Para cancelar a atualização, clique em Cancelar.
• Se a atualização for concluída com êxito, a página exibirá Atualização concluída e a últimaatualização como Hoje.
• Se a atualização não for bem-sucedida, serão exibidos erros na área Mensagens.Veja o PackageManager_Activity.log ou o PackageManager_Debug.log para obter maisinformações.
3 Clique em Fechar para fechar a página Atualização.
Consulte também Como acessar as tarefas do Endpoint Security no ícone da McAfee na bandeja do sistema. napágina 13Como sua proteção permanece atualizada na página 11Nomes e locais de arquivos de log do Endpoint Security na página 24O que é atualizado na página 23Configurar o comportamento padrão de atualizações na página 36Abrir o Cliente do Endpoint Security na página 19
O que é atualizadoO Endpoint Security atualiza conteúdo de segurança e software (hotfixes e patches) de maneiradiferente, dependendo do método de atualização e das configurações.
A visibilidade e o comportamento do botão Atualizar agora são configuráveis.
Método de atualização Atualizações
Opção Atualizar segurança no menu do ícone da bandeja dosistema da McAfee
Conteúdo e software.
Botão Atualizar agora no Cliente do Endpoint Security Conteúdo ou software, ou ambos,dependendo das configurações.
Consulte também Atualizar conteúdo e software manualmente na página 22
Exibir o Log de eventos Os logs de atividade e depuração armazenam um log dos eventos que ocorrem no sistema protegidopela McAfee. Você pode exibir o Log de eventos a partir do Cliente do Endpoint Security.
Tarefa
Para obter ajuda, no menu Ação , selecione Ajuda.
1 Abra o Cliente do Endpoint Security.
2 Clique em Log de eventos no lado esquerdo da página.
A página mostra qualquer evento que o Endpoint Security tenha registrado em log no sistema nosúltimos 30 dias.
Se o Cliente do Endpoint Security não puder acessar o Gerenciador de eventos, ele exibirá umamensagem de erro de comunicação. Nesse caso, reinicialize o sistema para exibir o Log de eventos.
Uso do Cliente do Endpoint SecurityExibir o Log de eventos 2
McAfee Endpoint Security 10.5 Guia do produto 23
3 Selecione um evento no painel superior para exibir os detalhes no painel inferior.
Para alterar os tamanhos relativos dos painéis, clique e arraste o widget em forma de faixa entreos painéis.
4 Na página Log de eventos, classifique, pesquise, filtre ou recarregue eventos.
As opções que aparecem dependem de como a varredura está configurada.
Para... Etapas
Classificar eventos por data,recursos, ação executada egravidade.
Clique no cabeçalho da coluna da tabela.
Pesquisar o log de eventos. Insira o texto de pesquisa no campo Pesquisar e pressione Enter,ou clique em Pesquisar.A pesquisa não diferencia maiúsculas de minúsculas e pesquisaem todos os campos do log de eventos o texto de pesquisa. Alista do evento mostra todos os elementos com um textocorrespondente.
Para cancelar a pesquisa e exibir todos os eventos, clique em x nocampo Pesquisar.
Filtrar eventos por gravidadeou módulo.
Na lista suspensa dos filtros, selecione uma opção.Para remover o filtro e mostrar todos os eventos, selecione Mostrartodos os eventos na lista suspensa.
Atualizar a exibição do Log deeventos com qualquer eventonovo.
Clique em .
Abra a pasta que contém osarquivos de log.
Clique em Exibir pasta de logs.
5 Navegue no Log de eventos.
Para... Etapas
Exibir a página de eventos anterior. Clique em Página anterior.
Exibir a próxima página de eventos. Clique em Próxima página.
Exibir uma página específica do log. Insira o número da página e pressione Enter ou clique em Ir.
Por padrão, o Log de eventos exibe 20 eventos por página. Para exibir mais eventos por página,selecione uma opção na lista suspensa Eventos por página.
Consulte também Nomes e locais de arquivos de log do Endpoint Security na página 24Abrir o Cliente do Endpoint Security na página 19
Nomes e locais de arquivos de log do Endpoint SecurityOs arquivos de log de atividades, erros e depuração registram eventos que ocorrem nos sistemas como Endpoint Security ativado. Configurar registro em log nas configurações de Em Comum
Os arquivos de log de atividades sempre aparecem no idioma especificado pela região do sistemapadrão.
Todos os arquivos do log de atividades e de depuração são armazenados aqui:
%ProgramData%\McAfee\Endpoint Security\Logs
2 Uso do Cliente do Endpoint SecurityExibir o Log de eventos
24 McAfee Endpoint Security 10.5 Guia do produto
Cada módulo, recurso ou tecnologia coloca o log de atividades ou depuração em um arquivo separado.Todos os módulos colocam o log de erros em um arquivo, o EndpointSecurityPlatform_Errors.log.
A ativação do log de depuração para qualquer módulo também ativa o log de depuração para osrecursos do módulo Em Comum, como a Autoproteção.
Tabela 2-1 Arquivos de log
Módulo Recurso ou tecnologia Nome do arquivo
Em Comum EndpointSecurityPlatform_Activity.log
EndpointSecurityPlatform_Debug.log
Autoproteção SelfProtection_Activity.log
SelfProtection_Debug.log
Atualizações PackageManager_Activity.log
PackageManager_Debug.log
Erros EndpointSecurityPlatform_Errors.logContém logs de erros para todos os módulos.
Cliente do EndpointSecurity
MFEConsole_Debug.log
Prevenção contraameaças
A ativação do log dedepuração para qualquertecnologia de Prevençãocontra ameaças tambémativa o log de depuraçãopara o Cliente do EndpointSecurity.
ThreatPrevention_Activity.log
ThreatPrevention_Debug.log
Proteção de acesso AccessProtection_Activity.log
AccessProtection_Debug.log
Prevenção de exploração ExploitPrevention_Activity.log
ExploitPrevention_Debug.log
Varredura ao acessar OnAccessScan_Activity.log
OnAccessScan_Debug.log
Varredura por solicitação• Varredura rápida
• Varredura completa
• Varredura por clique nobotão direito
OnDemandScan_Activity.log
OnDemandScan_Debug.log
Firewall Firewall_Activity.log
Firewall_Debug.log
FirewallEventMonitor.logRegistra em log eventos de tráfego bloqueados epermitidos, se configurado.
Controle da Web WebControl_Activity.log
WebControl_Debug.log
Proteção adaptávelcontra ameaças
AdaptiveThreatProtection_Activity.log
AdaptiveThreatProtection_Debug.log
Uso do Cliente do Endpoint SecurityExibir o Log de eventos 2
McAfee Endpoint Security 10.5 Guia do produto 25
Tabela 2-1 Arquivos de log (continuação)
Módulo Recurso ou tecnologia Nome do arquivo
Confinamento dinâmico deaplicativos
DynamicApplicationContainment_Activity.log
DynamicApplicationContainment_Debug.log
Por padrão, os arquivos de log de instalação são armazenados aqui:
%TEMP%\McAfeeLogs, que é a pasta TEMP do usuário do Windows.
Gerenciamento do Endpoint SecurityComo administrador, você pode gerenciar o Endpoint Security a partir do Cliente do Endpoint Security,incluindo a ativação e a desativação de recursos, o gerenciamento de arquivos de conteúdo, aespecificação do comportamento da interface do cliente e a configuração de definições comuns.
Em sistemas gerenciados, as alterações de política do McAfee ePO podem sobrescrever as alterações dapágina Configurações.
Consulte também Entrar como administrador na página 26Desbloquear a interface de cliente na página 27Desativar e ativar recursos na página 27Alterar a versão do conteúdo do AMCore na página 27Usar arquivos Extra.DAT na página 28Configurar definições comuns na página 29
Entrar como administradorEntre no Cliente do Endpoint Security como administrador para ativar ou desativar recursos e definirconfigurações.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security deve estar configurado comoAcesso padrão.
Tarefa
Para obter ajuda, no menu Ação , selecione Ajuda.
1 Abra o Cliente do Endpoint Security.
2 No menu Ação , selecione Entrada do administrador.
3 No campo Senha, insira a senha do administrador e clique em Entrar.
Agora você pode acessar todos os recursos do Cliente do Endpoint Security.
Para se desconectar, selecione Ação | Logoff de Administrador. O cliente retorna ao modo de interface Acessopadrão.
2 Uso do Cliente do Endpoint SecurityGerenciamento do Endpoint Security
26 McAfee Endpoint Security 10.5 Guia do produto
Desbloquear a interface de clienteSe a interface do Cliente do Endpoint Security estiver bloqueada, desbloqueie-a com a senha doadministrador para acessar todas as configurações.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security deve estar configurado comoBloquear interface do cliente.
Tarefa
1 Abra o Cliente do Endpoint Security.
2 Na página Logon do Administrador, digite a senha do administrador no campo Senha e clique em Entrar.
O Cliente do Endpoint Security é aberto e torna-se possível acessar todos os recursos do cliente.
3 Para sair e fechar o cliente, no menu Ação , selecione Logoff do Administrador.
Desativar e ativar recursosComo administrador, você pode desativar e ativar recursos do Endpoint Security usando o Cliente doEndpoint Security.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
A página Status mostra o status ativado do módulo, que talvez não reflita o status real dos recursos. Épossível consultar o status de cada recurso na página Configurações. Por exemplo, se a configuração AtivarScriptScan não for aplicada com êxito, o status poderá ser (Status: Desativado).
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 Clique no nome do módulo (como Prevenção contra ameaças ou Firewall) na página Status principal.
Ou, no menu Ação , selecione Configurações e clique no nome do módulo na página Configurações.
3 Selecione ou desmarque a opção Ativar módulo ou recurso.
A ativação de qualquer recurso da Prevenção contra ameaças ativa o módulo Prevenção contraameaças.
Consulte também Entrar como administrador na página 26
Alterar a versão do conteúdo do AMCore Use o Cliente do Endpoint Security para alterar a versão do conteúdo do AMCore no sistema cliente.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
Uso do Cliente do Endpoint SecurityGerenciamento do Endpoint Security 2
McAfee Endpoint Security 10.5 Guia do produto 27
O Endpoint Security armazena o arquivo de conteúdo carregado atualmente e as duas versõesanteriores na pasta Arquivos de Programas\Common Files\McAfee\Engine\content. Se necessário, épossível voltar a uma versão anterior.
Não é possível reverter as atualizações de conteúdo da Prevenção de exploração.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 No menu Ação do , selecione Reverter conteúdo do AMCore.
3 Na lista suspensa, selecione a versão a ser carregada.
4 Clique em Aplicar.
As detecções no arquivo de conteúdo do AMCore entram em vigor imediatamente.
Consulte também Como os arquivos de conteúdo funcionam na página 11Entrar como administrador na página 26
Usar arquivos Extra.DATVocê pode instalar um arquivo Extra.DAT para proteger seu sistema contra um grande ataque demalware até que a próxima atualização de conteúdo do AMCore agendada seja disponibilizada.
Tarefas
• Download de arquivos Extra.DAT na página 29Para transferir arquivos ExtraDAT por download, clique no link de download fornecido peloMcAfee Labs.
• Carregar um arquivo Extra.DAT em um na página 29Para instalar o arquivo Extra.DAT transferido por download em um , use o Cliente doEndpoint Security.
Consulte também Sobre arquivos Extra.DAT na página 28
Sobre arquivos Extra.DATQuando um novo malware é descoberto e uma detecção extra é necessária, o McAfee Labsdisponibiliza um arquivo Extra.DAT. Os arquivos Extra.DAT contêm informações que o Prevençãocontra ameaças usa para lidar com o novo malware.
Você pode transferir por download os arquivos Extra.DAT para ameaças específicas a partir da página desolicitação de Extra.DAT do McAfee Labs.
O Prevenção contra ameaças é compatível com o uso de apenas um arquivo Extra.DAT.
Cada arquivo Extra.DAT incorpora uma data de expiração. Quando o arquivo Extra.DAT é carregado,essa data de expiração é comparada com a data de compilação do conteúdo do AMCore instalado nosistema. Se a data de compilação do conteúdo do AMCore definida for mais recente do que a data deexpiração do Extra.DAT, o Extra.DAT é considerado expirado e não é mais carregado e usado pelomecanismo. Durante a atualização seguinte, o Extra.DAT é removido do sistema.
2 Uso do Cliente do Endpoint SecurityGerenciamento do Endpoint Security
28 McAfee Endpoint Security 10.5 Guia do produto
Se a atualização seguinte do conteúdo do AMCore incluir a assinatura do Extra.DAT, o Extra.DAT éremovido.
O Endpoint Security armazena os arquivos Extra.DAT na pasta c:\Arquivos de programas\CommonFiles\McAfee\Engine\content\avengine\extradat.
Download de arquivos Extra.DATPara transferir arquivos ExtraDAT por download, clique no link de download fornecido pelo McAfeeLabs.
Tarefa1 Clique no link de download, especifique um local para salvar o arquivo Extra.DAT, depois clique em
Salvar.
2 Se necessário, descompacte o arquivo EXTRA.ZIP.
3 Carregue o arquivo Extra.DAT com o Cliente do Endpoint Security.
Carregar um arquivo Extra.DAT em um Para instalar o arquivo Extra.DAT transferido por download em um , use o Cliente do EndpointSecurity.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 No menu Ação do , selecione Carregar Extra.DAT.
3 Clique em Procurar, navegue até o local para onde o arquivo Extra.DAT foi transferido por download,depois clique em Abrir.
4 Clique em Aplicar.
As novas detecções no Extra.DAT entram em vigor imediatamente.
Consulte também Entrar como administrador na página 26
Configurar definições comunsConfigurar definições que se aplicam a todos os módulos e recursos do Endpoint Security no móduloEm Comum. Essas definições incluem configurações de segurança da interface e de idioma do Cliente
Uso do Cliente do Endpoint SecurityGerenciamento do Endpoint Security 2
McAfee Endpoint Security 10.5 Guia do produto 29
do Endpoint Security, configurações de registro e do servidor proxy do McAfee GTI e configuração deatualização.
Tarefas
• Proteger recursos do Endpoint Security na página 30Uma das primeiras ações que o malware tenta executar durante um ataque é desativar osoftware de segurança do sistema. Defina a Autoproteção nas configurações de Em Comumpara impedir que os serviços e os arquivos do Endpoint Security sejam interrompidos oumodificados.
• Configurar definições log na página 31Configurar registro em log do Endpoint Security nas definições do Em Comum.
• Permitir a autenticação de certificados na página 31Os certificados permitem que um fornecedor execute códigos dentro de processos daMcAfee.
• Controlar o acesso à interface do cliente na página 32Controle o acesso ao Cliente do Endpoint Security definindo uma senha nas configuraçõesde Em Comum.
• Definir configurações do servidor Proxy para o McAfee GTI na página 33Especifique as opções do servidor proxy para recuperar a reputação do McAfee GTI nasdefinições de Em Comum.
Proteger recursos do Endpoint SecurityUma das primeiras ações que o malware tenta executar durante um ataque é desativar o software desegurança do sistema. Defina a Autoproteção nas configurações de Em Comum para impedir que osserviços e os arquivos do Endpoint Security sejam interrompidos ou modificados.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
A desativação da Autoproteção do Endpoint Security deixa o sistema vulnerável a ataques.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 No menu Ação , selecione Configurações.
3 Clique em Mostrar opções avançadas.
4 Em Autoproteção, verifique se a opção Autoproteção está ativada.
5 Especifique a ação para cada um dos seguintes recursos do Endpoint Security:
• Arquivos e pastas — Impede que usuários modifiquem bancos de dados, binários, arquivos depesquisa segura e arquivos de configuração da McAfee.
• Registro — Impede que usuários modifiquem o hive de Registro da McAfee, componentes COM edesinstalem usando o valor de Registro.
• Processos — Impede a interrupção de processos da McAfee.
6 Clique em Aplicar para salvar suas alterações ou clique em Cancelar.
2 Uso do Cliente do Endpoint SecurityGerenciamento do Endpoint Security
30 McAfee Endpoint Security 10.5 Guia do produto
Consulte também Entrar como administrador na página 26
Configurar definições logConfigurar registro em log do Endpoint Security nas definições do Em Comum.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 No menu Ação , selecione Configurações.
3 Clique em Mostrar opções avançadas.
4 Configure as definições do Log do cliente na página.
5 Clique em Aplicar para salvar suas alterações ou clique em Cancelar.
Consulte também Nomes e locais de arquivos de log do Endpoint Security na página 24Entrar como administrador na página 26
Permitir a autenticação de certificadosOs certificados permitem que um fornecedor execute códigos dentro de processos da McAfee.
Quando um processo é detectado, a tabela de certificados é preenchida com o Fornecedor, o Assunto eo Hash da chave pública associada.
Essa configuração pode resultar em problemas de compatibilidade e redução de segurança.
Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
Tarefa1 Abra o Cliente do Endpoint Security.
2 No menu Ação , selecione Configurações.
3 Clique em Mostrar opções avançadas.
4 Na seção Certificados, selecione Permitir.
5 Clique em Aplicar para salvar suas alterações ou clique em Cancelar.
As informações do certificado serão exibidas na tabela.
Uso do Cliente do Endpoint SecurityGerenciamento do Endpoint Security 2
McAfee Endpoint Security 10.5 Guia do produto 31
Controlar o acesso à interface do clienteControle o acesso ao Cliente do Endpoint Security definindo uma senha nas configurações de EmComum.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
O Modo da interface do cliente é definido como Acesso total por padrão, permitindo que os usuários alteremsuas configurações de segurança, o que pode deixar os sistemas desprotegidos contra ataques demalware.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 No menu Ação , selecione Configurações.
3 Defina as configurações de Modo da interface do cliente na página.
Prática recomendada: para melhorar a segurança, altere o Modo de interface do cliente para Padrão ouBloquear interface do cliente. Ambas as opções requerem uma senha de administrador para acessar asconfigurações do Cliente do Endpoint Security.
Prática recomendada: altere as senhas de administrador regularmente.
4 Clique em Aplicar para salvar suas alterações ou clique em Cancelar.
Consulte também Efeitos ao definir a senha do administrador na página 32Entrar como administrador na página 26
Efeitos ao definir a senha do administradorAo definir o modo de interface como Acesso padrão ou Bloquear interface do cliente, você tambémdeve definir uma senha de administrador. O administrador também pode gerar uma senha por tempo,que pode ser usada pelos usuários para acessar temporariamente o Cliente do Endpoint Security.
Se você definir o modo de interface como Acesso padrão ou Bloquear interface do cliente, estesusuários serão afetados:
2 Uso do Cliente do Endpoint SecurityGerenciamento do Endpoint Security
32 McAfee Endpoint Security 10.5 Guia do produto
Todos os usuários No modo Bloquear interface do cliente, os usuários deverão inserir a senhado administrador ou a senha temporária para acessar o Cliente doEndpoint Security.Após inseri-la, o usuário terá acesso a toda a interface, incluindodefinições de configuração na página Configurações.
Não administradores(usuários sem direitos deadministrador)
No modo Acesso padrão, os não administradores podem:• Obter informações sobre quais módulos do Endpoint Security estão
instalados, incluindo versão e status.
• Executar varreduras.
• Verificar atualizações (se ativado).
• Exibir e gerenciar itens na Quarentena.
• Exibir o Log de eventos.
• Obter ajuda e acessar as páginas de Perguntas frequentes e Suporte.
No modo Acesso padrão, os não administradores não podem:
• Exibir ou alterar as definições de configuração na página Configurações.
• Reverter o conteúdo do AMCore.
• Carregar arquivos Extra.DAT.
Administradores(usuários com direitos deadministrador)
No modo Acesso padrão, os administradores devem inserir a senha deadministrador ou temporária.Após inseri-la, o administrador terá acesso a toda a interface, incluindodefinições de configuração na página Configurações.
Definir configurações do servidor Proxy para o McAfee GTI Especifique as opções do servidor proxy para recuperar a reputação do McAfee GTI nas definições deEm Comum.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 No menu Ação , selecione Configurações.
3 Clique em Mostrar opções avançadas.
4 Configure as definições do Servidor proxy para o McAfee GTI na página.
Prática recomendada: exclua os endereços do McAfee GTI do servidor proxy. Para obterinformações, consulte KB79640 e KB84374.
5 Clique em Aplicar para salvar suas alterações ou clique em Cancelar.
Consulte também Entrar como administrador na página 26
Uso do Cliente do Endpoint SecurityGerenciamento do Endpoint Security 2
McAfee Endpoint Security 10.5 Guia do produto 33
Configurar comportamento da atualizaçãoEspecifique o comportamento de atualizações iniciadas a partir do Cliente do Endpoint Security nasdefinições Em Comum.
Tarefas• Configurar sites de origem para atualizações na página 34
É possível configurar os sites dos quais o Cliente do Endpoint Security obtém arquivos desegurança atualizados nas configurações do Em Comum.
• Configurar o comportamento padrão de atualizações na página 36Você pode especificar o comportamento padrão para as atualizações iniciadas no Cliente doEndpoint Security nas configurações do Em Comum.
• Configurar, agendar e executar tarefas de atualização na página 37Você pode configurar tarefas de atualização personalizadas ou alterar o agendamento detarefas de Atualização padrão do cliente usando o Cliente do Endpoint Security nas configuraçõesdo Em Comum.
• Configurar, selecionar e executar tarefas de espelhamento na página 38Você pode modificar ou agendar tarefas de espelhamento do Cliente do Endpoint Securitynas definições do módulo Em Comum.
Configurar sites de origem para atualizações É possível configurar os sites dos quais o Cliente do Endpoint Security obtém arquivos de segurançaatualizados nas configurações do Em Comum.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 No menu Ação , selecione Configurações.
3 Clique em Mostrar opções avançadas.
4 Em Em Comum, clique em Opções.
5 Defina as configurações de Sites de origem para atualizações na página.
É possível ativar e desativar o site de origem de backup padrão, McAfeeHttp, e o servidor degerenciamento (para sistemas gerenciados), mas não é possível modificá-los ou eliminá-los deoutra forma.
A ordem dos sites determina a ordem usada pelo Endpoint Security para pesquisar o site deatualização.
2 Uso do Cliente do Endpoint SecurityGerenciamento do Endpoint Security
34 McAfee Endpoint Security 10.5 Guia do produto
Para... Siga esses passos
Adicione um site à lista. 1 Clique em Adicionar.
2 Especifique as definições do site e clique em OK.
O site aparecerá no início da lista.
Modificar um siteexistente.
1 Clique duas vezes no nome do site.
2 Modifique as configurações e clique em OK.
Excluir um site. Selecione o site, depois clique em Excluir.
Importar sites de umarquivo da lista de sitesde origem.
1 Clique em Importar.
2 Selecione o arquivo a ser importado e clique em OK.
O arquivo de lista de sites substitui a lista de sites de origemexistente.
Exporte a lista de sites deorigem para um arquivoSiteList.xml.
1 Clique em Exportar tudo.
2 Selecione o local onde deseja salvar o arquivo da lista de sites deorigem e clique em OK.
Reorganize os sites nalista.
Para mover os elementos:1 Selecione os elementos que serão movidos.
A alça aparece à esquerda de elementos que podem sermovidos.
2 Arraste e solte os elementos no novo local.Uma linha azul é exibida entre os elementos no local em que vocêpode soltar os elementos arrastados.
6 Clique em Aplicar para salvar suas alterações ou clique em Cancelar.
Consulte também O que a lista de repositórios contém na página 35Como funciona a tarefa Atualização padrão do cliente na página 37Entrar como administrador na página 26Configurar, agendar e executar tarefas de atualização na página 37
O que a lista de repositórios contémA lista de repositórios especifica as informações sobre os repositórios que o McAfee Agent usa paraatualizar os produtos da McAfee, incluindo arquivos Engine e DAT.
A lista de repositórios inclui:
• Informações e local do repositório
• Preferência de ordem do repositório
• Configurações do servidor proxy, se necessário
• Credenciais criptografadas necessárias para acessar cada repositório
A tarefa do cliente do McAfee Agent Atualização do produto conecta-se ao primeiro repositório ativado(site de atualização) na lista de repositórios. Se o repositório não estiver disponível, a tarefa entra emcontato com o site seguinte até se conectar com êxito ou atingir o final da lista.
Uso do Cliente do Endpoint SecurityGerenciamento do Endpoint Security 2
McAfee Endpoint Security 10.5 Guia do produto 35
Se a rede utilizar um servidor proxy, você poderá especificar as configurações de proxy a seremutilizadas, o endereço do servidor proxy e se deseja utilizar autenticação. As informações de proxy sãoarmazenadas na lista de repositórios. As configurações de proxy definidas por você são aplicadas atodos os repositórios da lista.
A localização da lista de repositórios depende do sistema operacional:
Sistema operacional Localização da lista de repositórios
Microsoft Windows 8 C:\ProgramData\McAfee\Common Framework\SiteList.xml
Microsoft Windows 7
Versões mais recentes C:\Documents and Settings\All Users\Application Data\McAfee\CommonFramework\SiteList.xml
Configurar o comportamento padrão de atualizações Você pode especificar o comportamento padrão para as atualizações iniciadas no Cliente do EndpointSecurity nas configurações do Em Comum.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
Use essas configurações para:
•Exibir ou ocultar o botão no cliente.
• Especifique o que atualizar quando o usuário clicar no botão ou quando a tarefa de padrão deatualização do cliente for executada.
Por padrão, a tarefa de Atualização padrão do cliente é executada todos os dias à 1h. e repetida dequatro em quatro horas até 23h59.
Em sistemas autogerenciados, a tarefa Atualização padrão do cliente atualiza todo o conteúdo e osoftware. Em sistemas gerenciados, essa tarefa atualiza apenas o conteúdo.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 No menu Ação , selecione Configurações.
3 Clique em Mostrar opções avançadas.
4 Defina as configurações de Atualização padrão do cliente na página.
5 Clique em Aplicar para salvar suas alterações ou clique em Cancelar.
Consulte também Entrar como administrador na página 26Configurar sites de origem para atualizações na página 34Configurar, agendar e executar tarefas de atualização na página 37
2 Uso do Cliente do Endpoint SecurityGerenciamento do Endpoint Security
36 McAfee Endpoint Security 10.5 Guia do produto
Como funciona a tarefa Atualização padrão do clienteA tarefa Atualização padrão do cliente baixa a proteção mais atual para o Cliente do Endpoint Security.
O Endpoint Security inclui a tarefa Atualização padrão do cliente que é executada todos os dias à 1h erepete-se de quatro em quatro horas até às 23h59.
A tarefa de Atualização padrão do cliente:
1 Conecta-se ao primeiro site de origem ativado na lista.
Se o site não estiver disponível, a tarefa entra em contato com o site seguinte até se conectar ouatingir o final da lista.
2 Transfere um arquivo CATALOG.Z criptografado do site.
O arquivos contém as informações necessárias para realizar a atualização, incluindo os arquivos eatualizações disponíveis.
3 Verifica as versões de software do arquivo em relação às versões no computador e transfere asnovas atualizações de software disponíveis.
Se a tarefa de Atualização padrão do cliente for interrompida durante a atualização:
Faz a atualização a partir de... Se interrompida...
HTTP, UNC, ou site local Retorna onde a atualização parou na próxima vez que atarefa de atualização é iniciada.
Site FTP (transferência de arquivo único) Não retorna se interrompida.
Site FTP (transferência de vários arquivos) Retoma antes do arquivo que estava sendo baixado nomomento da interrupção.
Consulte também Configurar sites de origem para atualizações na página 34Configurar, agendar e executar tarefas de atualização na página 37O que a lista de repositórios contém na página 35
Configurar, agendar e executar tarefas de atualização Você pode configurar tarefas de atualização personalizadas ou alterar o agendamento de tarefas deAtualização padrão do cliente usando o Cliente do Endpoint Security nas configurações do Em Comum.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
Use essas definições para a configuração no cliente quando a tarefa Atualização padrão do cliente forexecutada. Você também pode configurar o comportamento padrão das atualizações de clienteiniciadas no Cliente do Endpoint Security.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 No menu Ação , selecione Configurações.
3 Clique em Mostrar opções avançadas.
4 A partir da opção Em Comum, clique em Tarefas.
Uso do Cliente do Endpoint SecurityGerenciamento do Endpoint Security 2
McAfee Endpoint Security 10.5 Guia do produto 37
5 Defina as configurações da tarefa de atualização na página.
Para... Siga esses passos
Crie uma tarefa deatualização personalizada.
1 Clique em Adicionar.
2 Digite o nome e, a partir da lista suspensa Selecionar tipo de tarefa,selecione Atualização.
3 Configure as definições e clique em OK para salvar a tarefa.
Altere uma tarefa deatualização.
• Clique duas vezes na tarefa, faça as suas alterações e, em seguida,clique em OK para salvar a tarefa.
Remova uma tarefa deatualização personalizada.
• Selecione a tarefa e clique em Excluir.
Crie uma cópia de umatarefa de atualização.
1 Selecione a tarefa e clique em Duplicar.
2 Digite o nome, defina as configurações e clique em OK para salvar atarefa.
Altere o agendamentopara uma tarefa deAtualização padrão do cliente.
1 Clique duas vezes em Atualização padrão do cliente.
2 Clique na guia Agendamento, altere o agendamento e clique em OKpara salvar a tarefa.
Você também pode configurar o comportamento padrão dasatualizações de cliente iniciadas no Cliente do Endpoint Security.
Execute uma tarefa deatualização.
• Selecione a tarefa e clique em Executar agora.
Se a tarefa já estiver em execução, mesmo que seja pausada ouadiada, o botão será alterado para Exibir.
Se você executar uma tarefa antes de aplicar as alterações, o Clientedo Endpoint Security solicitará que você salve as configurações.
6 Clique em Aplicar para salvar suas alterações ou clique em Cancelar.
Consulte também Como funciona a tarefa Atualização padrão do cliente na página 37Configurar sites de origem para atualizações na página 34Configurar o comportamento padrão de atualizações na página 36
Configurar, selecionar e executar tarefas de espelhamento Você pode modificar ou agendar tarefas de espelhamento do Cliente do Endpoint Security nasdefinições do módulo Em Comum.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 No menu Ação , selecione Configurações.
2 Uso do Cliente do Endpoint SecurityGerenciamento do Endpoint Security
38 McAfee Endpoint Security 10.5 Guia do produto
3 Clique em Mostrar opções avançadas.
4 A partir da opção Em Comum, clique em Tarefas.
5 Configure as definições da tarefa de espelhamento na página.
Para... Siga esses passos
Crie uma tarefa deespelhamento.
1 Clique em Adicionar.
2 Digite o nome e, a partir da lista suspensa Selecionar tipo de tarefa,selecione Espelhamento.
3 Configure as definições e, em seguida, clique em OK.
Altere uma tarefa deespelhamento.
• Clique duas vezes na tarefa de espelhamento, faça as suasmudanças e, em seguida, clique em OK.
Remova uma tarefa deespelhamento.
• Selecione a tarefa e clique em Excluir.
Crie uma cópia de umatarefa de espelhamento.
1 Selecione a tarefa e clique em Duplicar.
2 Digite o nome, configure as definições e clique em OK.
Agende uma tarefa deespelhamento.
1 Clique duas vezes na tarefa.
2 Clique na guia Agendamento, altere o agendamento e clique em OKpara salvar a tarefa.
Execute uma tarefa deespelhamento.
• Selecione a tarefa e clique em Executar agora.
Se a tarefa já estiver em execução, mesmo que seja pausada ouadiada, o botão será alterado para Exibir.
Se você executar uma tarefa antes de aplicar as alterações, o Clientedo Endpoint Security solicitará que você salve as configurações.
6 Clique em Aplicar para salvar suas alterações ou clique em Cancelar.
Como as tarefas de espelhamento funcionamA tarefa de espelhamento replica os arquivos de atualização a partir do primeiro repositório acessíveldefinido na lista de repositórios, em um site de espelhamento na rede.
O uso mais comum desta tarefa é espelhar o conteúdo do site de downloads da McAfee em umservidor local.
Depois que você replicar o site da McAfee que contém os arquivos de atualização, os computadores darede poderão fazer download dos arquivos a partir do site de espelhamento. Esta abordagem permiteque você atualize qualquer computador em sua rede, tenha ou não acesso à Internet. Utilizar um sitereplicado é mais eficiente porque os seus sistemas se comunicam com um servidor que está maispróximo do que um site de Internet da McAfee, economizando tempo de acesso e download.
O Endpoint Security depende de um diretório para se atualizar. Por isso, ao espelhar um site,certifique-se de replicar toda a estrutura de diretórios.
Uso do Cliente do Endpoint SecurityGerenciamento do Endpoint Security 2
McAfee Endpoint Security 10.5 Guia do produto 39
Referência da interface do cliente do Cliente do EndpointSecurity — Em Comum
Forneça ajuda contextual para as páginas na interface do Cliente do Endpoint Security.
Conteúdo página Log de eventos Em Comum — Opções Em Comum — Tarefas
página Log de eventosExibe os eventos de atividade e depuração no Log de eventos.
Tabela 2-2 Opções
Opção Definição
Número de eventos Indica o número de eventos que o Endpoint Security registrou em log no sistemanos últimos 30 dias.
Atualiza a exibição do Log de eventos com novos dados de eventos.
Exibir pasta de logs Abre a pasta que contém os arquivos de log no Windows Explorer.
Mostrar todos oseventos
Remove todos os filtros.
Filtrar por gravidade Filtra os eventos por nível de gravidade:
Alerta Mostra apenas os eventos com gravidade de nível 1.
Crítico e superiores Mostra apenas os eventos com gravidade de nível 1 e 2.
Avisos e superiores Mostra apenas os eventos com gravidade de nível 1, 2 e 3.
Aviso e superiores Mostra apenas os eventos com gravidade de nível 1, 2, 3 e 4.
Filtrar por módulo Filtra os eventos por módulo:
Em Comum Mostra apenas eventos do Em Comum.
Prevenção contra ameaças Mostra apenas eventos da Prevenção contraameaças.
Firewall Mostra apenas eventos do Firewall.
Controle da Web Mostra somente eventos do Controle da Web.
Proteção adaptável contraameaças
Mostra eventos da Proteção adaptável contraameaças somente.
Os recursos que aparecem na lista suspensa dependem dos recursos instaladosno sistema no momento em que o Log de eventos foi aberto.
Pesquisar Pesquisa uma cadeia no Log de eventos.
Eventos por página Seleciona o número de eventos que deverão ser exibidos em uma página. (Porpadrão, 20 eventos por página)
Página anterior Exibe a página anterior no Log de eventos.
Próxima página Exibe a próxima página do Log de eventos.
Página x de x Seleciona uma página do Log de eventos para ser acessada.Insira um número no campo Página e pressione Enter ou clique em Ir paraacessar a página.
2 Uso do Cliente do Endpoint SecurityReferência da interface do cliente do Cliente do Endpoint Security — Em Comum
40 McAfee Endpoint Security 10.5 Guia do produto
Cabeçalho dacoluna
Classifica a lista de eventos por...
Data Data em que o evento ocorreu.
Recurso Recurso que registrou o evento em log.
Ação realizada Ação tomada pelo Endpoint Security, se for o caso, em resposta ao evento.A ação é definida nas configurações.
Acesso negado O acesso ao arquivo foi impedido.
Permitido O acesso ao arquivo foi permitido.
Bloqueado O acesso ao arquivo foi bloqueado.
Limpo A ameaça foi removida do arquivo automaticamente.
Confinado Executou o arquivo em um contêiner com base na reputação.
Continuar avarredura
Detectou uma ameaça e continuou varrendo o próximo arquivosem executar nenhuma ação, como Limpar ou Excluir, noarquivo atual.
Excluído O arquivo foi excluído automaticamente.
Movido O arquivo foi movido para Quarentena.
Bloquearia Uma regra de proteção de acesso teria bloqueado o acesso aoarquivo se a regra em questão estivesse sendo imposta. Omodo de observação está ativado.
Limparia Uma regra teria limpado o arquivo se a regra estivesse sendoimposta. O modo de observação está ativado.
Confinaria Uma regra teria confinado o arquivo se a regra estivesse sendoimposta. O modo de observação está ativado.
Gravidade Nível de gravidade do evento.
Crítico 1
Importante 2
Menos importante 3
Aviso 4
Informativo 5
Consulte também Exibir o Log de eventos na página 23
Em Comum — OpçõesDefina as configurações da interface do Cliente do Endpoint Security, da Autoproteção, do log deatividades e depuração e do servidor proxy.
Tabela 2-3 Opções
Seção Opção Definição
Modo de interface docliente
Acesso total Permite o acesso a todos os recursos. (Padrão)
Acesso padrão Exibe o status da proteção e permite o acesso à maioria dosrecursos, como a execução de atualizações e varreduras.O modo Acesso padrão requer uma senha para exibir e alterar asconfigurações da página Cliente do Endpoint Security do Clientedo Endpoint Security.
Uso do Cliente do Endpoint SecurityReferência da interface do cliente do Cliente do Endpoint Security — Em Comum 2
McAfee Endpoint Security 10.5 Guia do produto 41
Tabela 2-3 Opções (continuação)
Seção Opção Definição
Bloquear interface docliente
Requer uma senha para acessar o Cliente do EndpointSecurity.
Definir senha doadministrador
No caso de Acesso padrão e Bloquear interface do cliente, especifica asenha do administrador para acessar todos os recursos dainterface do Cliente do Endpoint Security.• Senha — Especifica a senha.
• Confirmar senha — Confirma a senha.
Prática recomendada: altere as senhas de administradorregularmente.
Desinstalação Senha obrigatóriapara desinstalar ocliente
Requer uma senha para desinstalar o Cliente do EndpointSecurity e especifica a senha.A senha padrão é mcafee.
(Desativado por padrão)
• Senha — Especifica a senha.
• Confirmar senha — Confirma a senha.
Tabela 2-4 Opções avançadas
Seção Opção Definição
Idioma da interfacedo cliente
Automático Seleciona automaticamente o idioma a ser usado em textos dainterface do Cliente do Endpoint Security com base no idioma dosistema cliente.
Idioma Especifica o idioma a ser usado para o texto da interface do Clientedo Endpoint Security.Em sistemas gerenciados, as alterações de idioma feitas no Clientedo Endpoint Security substituem as alterações de política doservidor de gerenciamento. A alteração de idioma é aplicada após areinicialização do Cliente do Endpoint Security.
O idioma do cliente não afeta os arquivos de log. Os arquivos de logsempre aparecem no idioma especificado pela região do sistemapadrão.
Autoproteção Ativar autoproteção Protege os recursos do sistema do Endpoint Security contraatividades maliciosas.
Ação Especifica a ação a tomar quando ocorre uma atividade maliciosa:• Bloquear e relatar – Bloqueia a atividade e relata para o McAfee ePO.
(Padrão)
• Bloquear somente – Bloqueia a atividade, mas não relata para oMcAfee ePO.
• Apenas relatar — Relata para o McAfee ePO, mas não bloqueia aatividade.
Arquivos e pastas Impede a alteração ou a exclusão de arquivos e pastas do sistemada McAfee.
Registro Impede a modificação ou a exclusão de chaves e valores de registroda McAfee.
Processos Impede a interrupção de processos da McAfee.
2 Uso do Cliente do Endpoint SecurityReferência da interface do cliente do Cliente do Endpoint Security — Em Comum
42 McAfee Endpoint Security 10.5 Guia do produto
Tabela 2-4 Opções avançadas (continuação)
Seção Opção Definição
Excluir estesprocessos
Permite acesso aos processos especificados.Há suporte para caracteres curinga.
Adicionar — Adiciona um processo à lista de exclusão. Clique emAdicionar e insira o nome exato do recurso, como avtask.exe.
Clicar duas vezes em um item — Altera o item selecionado.
Excluir — Exclui o item selecionado. Selecione o recurso e clique emExcluir.
Certificados Especifica as opções de certificado.
Permitir Permite que um fornecedor execute códigos em processos daMcAfee.
Essa configuração pode resultar em problemas de compatibilidadee redução de segurança.
Fornecedor Especifica o Nome Comum (CN) da autoridade que assinou e emitiuo certificado.
Entidade Especifica o Nome distinto do signatário (SDN) que define aentidade associada ao certificado.Estas informações podem incluir:
• CN — Nome Comum
• OU — Unidade organizacional
• O — Organização
• L — Localidade
• ST — Estado ou província
• C — Código do país
Hash Especifica o hash da chave pública associada.
Log do cliente Local dos arquivosde log
Especifica o local dos arquivos de log.A localização padrão é:
<UNIDADE_DO_SISTEMA>:\ProgramData\McAfee\Endpoint\Logs
Insira ou clique em Procurar para acessar um local.
Log de atividades Ativar log deatividades
Ativa o registro em log de todas as atividades do Endpoint Security.
Tamanho limite (emMB) de cadaarquivo do log deatividades
Limita cada arquivo de log de atividades ao tamanho máximoespecificado (entre 1 MB e 999 MB). O padrão é 10 MB.Se o arquivo de log exceder esse tamanho, 25% das entradas maisantigas do arquivo serão substituídas por novos dados.
Desative essa opção para permitir que arquivos de log aumentemde tamanho.
Uso do Cliente do Endpoint SecurityReferência da interface do cliente do Cliente do Endpoint Security — Em Comum 2
McAfee Endpoint Security 10.5 Guia do produto 43
Tabela 2-4 Opções avançadas (continuação)
Seção Opção Definição
Log de depuração A ativação do log de depuração para qualquer módulo tambémativa o log de depuração para os recursos do módulo Em Comum,como a Autoproteção.
Prática recomendada: ative o log de depuração, pelo menos,nas primeiras 24 horas durante as fases de teste e piloto. Se nãoocorrer nenhum problema durante esse período, desativar o log dedepuração para evitar impactos no desempenho de sistemascliente.
Ativar paraPrevenção contraameaças
Ativa o log detalhado das atividades da Prevenção contra ameaçase tecnologias individuais:Ativar para Proteção de acesso — Registra em log no arquivoAccessProtection_Debug.log.
Ativar para prevenção de exploração — Registra em log no arquivoExploitPrevention_Debug.log.
Ativar para varredura ao acessar — Registra em log no arquivoOnAccessScan_Debug.log.
Ativar para varredura por solicitação — Registra em log no arquivoOnDemandScan_Debug.log.
A ativação do log de depuração para qualquer tecnologia dePrevenção contra ameaças também ativa o log de depuração para oCliente do Endpoint Security.
Ativar para Firewall Ativa o registro em log detalhado de atividades do Firewall.
Ativar para Controleda Web
Ativa o registro em log detalhado de atividades do Controle da Web.
Ativar paraProteção adaptávelcontra ameaças
Ativa o registro em log detalhado de atividades da Proteçãoadaptável contra ameaças.
Tamanho limite (emMB) de cadaarquivo de log dedepuração
Limita cada arquivo de log de depuração ao tamanho máximoespecificado (entre 1 MB e 999 MB). O padrão é 50 MB.Se o arquivo de log exceder esse tamanho, 25% das entradas maisantigas do arquivo serão substituídas por novos dados.
Desative essa opção para permitir que arquivos de log aumentemde tamanho.
Log de eventos Enviar eventos paraMcAfee ePO
Envia todos os eventos registrados em log no Log de eventos doCliente do Endpoint Security para o McAfee ePO.Essa opção está disponível somente em sistemas gerenciados peloMcAfee ePO.
Registrar eventosno log deaplicativos doWindows
Envia todos os eventos registrados em log no Log de eventos doCliente do Endpoint Security para o log de aplicativos do Windows.O log de aplicativos do Windows pode ser acessado em Visualizador deeventos do Windows | Logs do Windows | Aplicativo.
2 Uso do Cliente do Endpoint SecurityReferência da interface do cliente do Cliente do Endpoint Security — Em Comum
44 McAfee Endpoint Security 10.5 Guia do produto
Tabela 2-4 Opções avançadas (continuação)
Seção Opção Definição
Níveis degravidade
Especifica o nível de gravidade dos eventos no Log de eventos doCliente do Endpoint Security:• Nenhum — Não envia alertas.
• Apenas alerta — Envia apenas alertas de nível 1.
• Crítico e alerta — Envia alertas de níveis 1 e 2.
• Advertência, crítico e alerta — Envia alertas de níveis 1 a 3.
• Todos, com exceção dos informativos — Envia alertas de níveis 1 a 4.
• Todos — Envia alertas de níveis 1 a 5.
• 1 — Alerta
• 2 — Crítico
• 3 — Advertência
• 4 — Aviso
• 5 — Informativo
Eventos dePrevenção contraameaças a seremregistrados em log
Especifica o nível de gravidade dos eventos de cada recurso daPrevenção contra ameaças a serem registrados em log:Proteção de acesso — Registra em log no arquivoAccessProtection_Activity.log.
Quando o log de eventos da Proteção de acesso é ativado, o log deeventos da Autoproteção também é ativado.
Prevenção de exploração — Registra em log no arquivoExploitPrevention_Activity.log.
Varredura ao acessar — Registra em log no arquivoOnAccessScan_Activity.log.
Varredura por solicitação — Registra em log no arquivoOnDemandScan_Activity.log.
Eventos de Firewalla serem registradosem log
Especifica o nível de gravidade dos eventos do Firewall a seremregistrados em log.
Eventos doControle da Web nolog
Especifica o nível de gravidade dos eventos do Controle da Web aserem registrados em log.
Eventos daProteção adaptávelcontra ameaças aserem registradosem log
Especifica o nível de gravidade de eventos da Proteção adaptávelcontra ameaças a serem registrados em log.
Servidor proxypara o McAfee GTI
Nenhum servidorproxy
Especifica que os sistemas gerenciados recuperam informações dereputação do McAfee GTI diretamente pela Internet, não através deum servidor proxy. (Padrão)
Usar configuraçõesde proxy do sistema
Especifica o uso de configurações de proxy do sistema do cliente e,opcionalmente, ativa a autenticação de proxy HTTP.
Uso do Cliente do Endpoint SecurityReferência da interface do cliente do Cliente do Endpoint Security — Em Comum 2
McAfee Endpoint Security 10.5 Guia do produto 45
Tabela 2-4 Opções avançadas (continuação)
Seção Opção Definição
Configurar servidorproxy
Personaliza as configurações de proxy.• Endereço — Especifica o endereço IP ou o nome de domínio
totalmente qualificado do servidor proxy HTTP.
• Porta — Limita o acesso através da porta especificada.
• Excluir esses endereços — Não usa o servidor proxy HTTP para sitesou endereços IP que comecem com as entradas especificadas.Clique em Adicionar e insira o nome do endereço a ser excluído.
Prática recomendada: exclua os endereços do McAfee GTI doservidor proxy. Para obter informações, consulte KB79640 eKB84374.
Ativar autenticaçãode proxy HTTP
Especifica que o servidor proxy HTTP requer autenticação. (Essaopção está disponível somente quando um servidor proxy HTTP éselecionado.) Digite as credenciais do servidor proxy HTTP:• Nome de usuário — Especifica a conta de usuário com permissões
para acessar o servidor proxy HTTP.
• Senha — Especifica a senha para o Nome de usuário.
• Confirmar senha — Confirma a senha especificada.
Atualizaçãopadrão do cliente
Ativar o botãoAtualizar agora nocliente
Exibe ou oculta o botão Atualizar agora da página principal do Clientedo Endpoint Security.Clique nesse botão para verificar e fazer download manualmente deatualizações de arquivos de conteúdo e componentes de softwareno sistema cliente.
O que atualizar Especifica o que deve ser atualizado ao clicar no botão Atualizar agora.• Conteúdo de segurança, hotfixes e patches — Atualiza todo o conteúdo de
segurança (incluindo conteúdo de mecanismo, AMCore ePrevenção de exploração), bem como qualquer hotFix e patch,para as versões mais recentes.
• Conteúdo de segurança — Atualiza apenas o conteúdo de segurança.(Padrão)
• Hotfixes e patches — Atualiza somente hotFixes e patches.
Sites de origempara atualizações
Configura quais sites serão usados para obter atualizações dearquivos de conteúdo e componentes de software.É possível ativar e desativar o site de origem de backup padrão,McAfeeHttp, e o servidor de gerenciamento (para sistemasgerenciados), mas não é possível modificá-los ou eliminá-los deoutra forma.
Indica elementos que podem ser movidos na lista.Selecione elementos, depois os arraste e solte no novo local. Umalinha azul é exibida entre os elementos no local em que você podesoltar os elementos arrastados.
Adicionar Adiciona um site à lista de sites de origem.
Clicar duasvezes em umitem
Altera o item selecionado.
Excluir Exclui o site selecionado da lista de sites de origem.
2 Uso do Cliente do Endpoint SecurityReferência da interface do cliente do Cliente do Endpoint Security — Em Comum
46 McAfee Endpoint Security 10.5 Guia do produto
Tabela 2-4 Opções avançadas (continuação)
Seção Opção Definição
Importar Importar sites de um arquivo da lista de sites de origem.Selecione o arquivo a ser importado e clique em OK.
O arquivo de lista de sites substitui a lista de sites de origemexistente.
Exportar tudo Exporta a lista de sites de origem para um arquivo SiteList.xml.Selecione o local onde deseja salvar o arquivo da lista de sites deorigem e clique em OK.
Servidor proxypara sites deorigem
Nenhum servidorproxy
Especifica que os sistemas gerenciados recuperem informações dereputação do McAfee GTI diretamente pela Internet, e não por meiode um servidor proxy. (Padrão)
Usar configuraçõesde proxy do sistema
Especifica o uso de configurações de proxy do sistema do cliente e,opcionalmente, ativa a autenticação de proxy HTTP ou FTP.
Configurar servidorproxy
Personaliza as configurações de proxy.• Endereço HTTP/FTP — Especifica o endereço DNS, IPv4 ou IPv6 do
servidor proxy FTP ou HTTP.
• Porta — Limita o acesso através da porta especificada.
• Excluir esses endereços — Especifica os endereços de sistemas doCliente do Endpoint Security para os quais você não deseja usar oservidor proxy para obter classificações do McAfee GTI.Clique em Adicionar e insira o nome do endereço a ser excluído.
Ativar aautenticação deHTTP/Proxy FTP
Especifica que o servidor HTTP ou proxy FTP requer autenticação.(Essa opção está disponível somente quando o servidor HTTP ouproxy FTP for selecionado.) Digite as credenciais do servidor proxy:• Nome de usuário — Especifica a conta de usuário com permissões
para acessar o servidor proxy.
• Senha — Especifica a senha para o Nome de usuário especificado.
• Confirmar senha — Confirma a senha especificada.
Consulte também Proteger recursos do Endpoint Security na página 30Configurar definições log na página 31Controlar o acesso à interface do cliente na página 32Definir configurações do servidor Proxy para o McAfee GTI na página 33Configurar o comportamento padrão de atualizações na página 36Configurar sites de origem para atualizações na página 34Adicionar site ou Editar site na página 47
Adicionar site ou Editar siteAdiciona ou edita um site na lista de sites de origem.
Tabela 2-5 Definições de opções
Opção Definição
Nome Indica o nome do site de origem que contém os arquivos atualizados.
Ativar Ativa ou desativa o uso do site de origem para baixar arquivos atualizados.
Uso do Cliente do Endpoint SecurityReferência da interface do cliente do Cliente do Endpoint Security — Em Comum 2
McAfee Endpoint Security 10.5 Guia do produto 47
Tabela 2-5 Definições de opções (continuação)
Opção Definição
Recuperararquivos de
Especifica o local a partir de qual os arquivos deverão ser recuperados.
RepositórioHTTP
Recupera arquivos a partir da localização do repositório HTTP designado.
O HTTP oferece atualização independentemente da segurança da rede, mas suportaníveis mais avançados de conexões simultâneas do que o FTP.
URL • Nome de DNS – Indica que URL é um nome de domínio.
• IPv4 – Indica que URL é um endereço IPv4.
• IPv6 – Indica que URL é um endereço IPv6.
http:// – Especifica o endereço do servidor HTTP e da pasta onde osarquivos de atualização estão localizados.
Porta – Especifica o número da porta do servidor HTTP.
Usarautenticação
Seleciona o uso de autenticação e especifica as credenciais de acessoà pasta do arquivo de atualização.• Nome de usuário – Especifica a conta de usuário com permissões de
leitura para a pasta do arquivo de atualização.
• Senha – Especifica a senha para o Nome de usuário especificado.
• Confirmar senha – Confirma a senha especificada.
2 Uso do Cliente do Endpoint SecurityReferência da interface do cliente do Cliente do Endpoint Security — Em Comum
48 McAfee Endpoint Security 10.5 Guia do produto
Tabela 2-5 Definições de opções (continuação)
Opção Definição
Repositório FTP Recupera arquivos a partir da localização do repositório FTP designado.
Um site FTP oferece a flexibilidade de poder atualizar sem precisar seguir as permissõesde segurança da rede. Uma vez que o FTP foi menos vulnerável à anexação de códigosindesejados que o HTTP, essa opção poderá oferecer uma melhor tolerância.
URL • Nome de DNS – Indica que URL é um nome de domínio.
• IPv4 – Indica que URL é um endereço IPv4.
• IPv6 – Indica que URL é um endereço IPv6.
ftp:// – Especifica o endereço do servidor FTP e da pasta onde os arquivosde atualização estão localizados.
Porta – Especifica o número da porta do servidor FTP.
Usaracessoanônimo
Seleciona o uso de FTP anônimo para acessar a pasta do arquivo deatualização.Desfaça a seleção desta opção para especificar as credenciais de acesso.
• Nome de usuário – Especifica a conta de usuário com permissões de leiturapara a pasta do arquivo de atualização.
• Senha – Especifica a senha para o Nome de usuário especificado.
• Confirmar senha – Confirma a senha especificada.
Caminho UNCou Caminholocal
Recupera arquivos do caminho UNC ou local designado.
Um site UNC é o mais rápido e mais fácil de ser configurado. As atualizações de UNCentre domínios requerem permissões de segurança para cada domínio, o que torna aconfiguração de atualização mais envolvida.
Caminho • Caminho UNC – Especifica o caminho usando notação UNC (\\servername\path\).
• Caminho local – Especifica o caminho de uma pasta em uma unidade localou de rede.
Usar contade conexão
Acessa os arquivos de atualização usando a conta de conexão. A contadeve ter permissão de leitura para as pastas onde estão localizados osarquivos de atualização.Desfaça a seleção desta opção para especificar as credenciais de acesso.
• Domínio – Especifica o domínio da conta do usuário.
• Nome de usuário – Especifica a conta de usuário com permissões deleitura para a pasta do arquivo de atualização.
• Senha – Especifica a senha para o Nome de usuário especificado.
• Confirmar senha – Confirma a senha especificada.
Em Comum — TarefasConfigure e agende tarefas do Cliente do Endpoint Security.
Nos sistemas gerenciados, é possível iniciar, parar ou excluir tarefas do Admin.
Uso do Cliente do Endpoint SecurityReferência da interface do cliente do Cliente do Endpoint Security — Em Comum 2
McAfee Endpoint Security 10.5 Guia do produto 49
Tabela 2-6 Opções
Seção Opção Definição
Tarefas Indica as tarefas agendadas e atualmente definidas.• Nome - Nome da tarefa agendada.
• Recurso - Módulo ou recurso ao qual a tarefa está associada.
• Agendamento - A data para a qual a execução da tarefa está agendada e o seuestado de ativação.Por exemplo, nos sistemas gerenciados, o agendamento da tarefa Atualizaçãopadrão do cliente pode ser desativada pelo administrador.
• Status - Status da última execução da tarefa:
• (sem status) – Nunca executada
• Em execução – Atualmente em execução ou retomada
• Pausada – Pausada pelo usuário (como a varredura)
• Adiada – Adiada pelo usuário (como a varredura)
• Concluída – Execução concluída sem erros
• Concluída (erros) – Execução concluída com erros
• Com falha – Houve uma falha na conclusão da tarefa
• Última execução - Data e hora da última execução da tarefa.
• Origem - Origem da tarefa:
• McAfee - Fornecido pela McAfee.
• Admin - (Somente sistemas gerenciados) Definido pelo administrador.
• Usuário - Definido no Cliente do Endpoint Security.
Dependendo da origem, algumas tarefas não podem ser alteradas ouexcluídas. Por exemplo, a tarefa Atualização padrão do cliente pode seralterada somente em sistemas autogerenciados. As tarefas Admin, definidaspelo administrador nos sistemas gerenciados não podem ser alteradas nemexcluídas no Cliente do Endpoint Security.
Clicar duasvezes emum item
Altera o item selecionado.
Adicionar Cria uma tarefa de varredura, atualização ou espelhamento.
Excluir Exclui a tarefa selecionada.
2 Uso do Cliente do Endpoint SecurityReferência da interface do cliente do Cliente do Endpoint Security — Em Comum
50 McAfee Endpoint Security 10.5 Guia do produto
Tabela 2-6 Opções (continuação)
Seção Opção Definição
Duplicar Cria uma cópia da tarefa selecionada.
Executar agora Executa a tarefa selecionada.Se a tarefa já estiver em execução, mesmo que seja pausada ou adiada, obotão será alterado para Exibir.
• Varredura rápida - Abre a caixa de diálogo Varredura rápida e inicia a varredura.
• Varredura completa - Abre a caixa de diálogo Varredura completa e inicia a varredura.
• Varredura personalizada - Abre a caixa de diálogo Varredura personalizada e inicia avarredura.
• Atualização padrão do cliente - Abre a caixa de diálogo Atualizar e inicia a atualização.
• Atualizar - Abre a caixa de diálogo Atualização personalizada e inicia a atualização.
• Espelhamento - Abre a caixa de diálogo Espelhamento e inicia a replicação dorepositório.
Se você executar uma tarefa antes de aplicar as alterações, o Cliente doEndpoint Security solicitará que você salve as configurações.
Consulte também Executar uma Varredura completa ou uma Varredura rápida na página 56Atualizar conteúdo e software manualmente na página 22Configurar, selecionar e executar tarefas de espelhamento na página 38Adicionar tarefa na página 51
Adicionar tarefaAdicionar varredura personalizada, espelhamento ou atualização da tarefa.
Opção Definição
Nome Especifica o nome da tarefa.
Selecionar tipo detarefa
Especifica o tipo de tarefa:• Varredura personalizada - Configura e agenda uma varredura personalizada, como
varreduras de memória diárias.
• Espelhamento - Replica os arquivos de conteúdo e de mecanismo atualizados a partirdo primeiro repositório acessível em um site de espelhamento na rede.
• Atualização - Configura e agenda uma atualização dos arquivos de conteúdo,mecanismo de varredura ou produto.
Consulte também Adicionar tarefa de varredura ou Editar tarefa de varredura na página 52Adicionar tarefa de espelhamento ou Editar tarefa de espelhamento na página 53Adicionar tarefa de atualização ou Editar tarefa de atualização na página 52
Uso do Cliente do Endpoint SecurityReferência da interface do cliente do Cliente do Endpoint Security — Em Comum 2
McAfee Endpoint Security 10.5 Guia do produto 51
Adicionar tarefa de varredura ou Editar tarefa de varreduraAgende a tarefa de Varredura completa ou Varredura rápida ou configure e agende as tarefas devarredura personalizada que são executadas no sistema do cliente.
Tabela 2-7 Opções
Guia Opção Definição
Configurações Configura as definições da tarefa de varredura.
Nome Indica o nome da tarefa.
Opções Define as configurações da Varredura por solicitação para a varredura.É possível configurar as configurações de tarefa Varredura completa e Varredura rápidasomente em sistemas autogerenciados.
Agendamento Ativa e agenda a tarefa para que seja executada em uma hora especificada.
Consulte também Configurar, agendar e executar tarefas de varredura na página 95Configurar definições da política de na página 90Executar uma Varredura completa ou uma Varredura rápida na página 56Prevenção contra ameaças — Varredura por solicitação na página 120Agendamento na página 53
Adicionar tarefa de atualização ou Editar tarefa de atualizaçãoAgenda a Atualização padrão do cliente ou configura e agenda as tarefas de atualização personalizadas quesão executadas no sistema cliente.
Tabela 2-8 Opções
Guia Opção Definição
Configurações Define as configurações da tarefa de atualização.
Nome Indica o nome da tarefa.
O que atualizar Especifique o que será atualizado:• Conteúdo de segurança, hotfixes e patches
• Conteúdo de segurança
• Hotfixes e patches
É possível configurar essas definições somente em sistemasautogerenciados.
Agendamento Ativa e agenda a tarefa para que seja executada em uma horaespecificada.Por padrão, a tarefa Atualização padrão do cliente é executada diariamente à 0h erepete-se de quatro em quatro horas até às 23h59.
Consulte também Em Comum — Opções na página 41Configurar o comportamento padrão de atualizações na página 36Configurar, agendar e executar tarefas de atualização na página 37Agendamento na página 53
2 Uso do Cliente do Endpoint SecurityReferência da interface do cliente do Cliente do Endpoint Security — Em Comum
52 McAfee Endpoint Security 10.5 Guia do produto
Adicionar tarefa de espelhamento ou Editar tarefa de espelhamentoConfigura e agenda as tarefas de espelhamento.
Tabela 2-9 Opções
Guia Opção Definição
Configurações Nome Indica o nome da tarefa.
Local do espelhamento Especifica a pasta para armazenar a replicação do repositório.
Agendamento Ativa e agenda a tarefa para que seja executada em uma horaespecificada.
Consulte também Configurar, selecionar e executar tarefas de espelhamento na página 38Agendamento na página 53
AgendamentoAgende tarefas de varreduras, atualização e espelhamento.
Tabela 2-10 Opções
Categoria Opção Definição
Agendamento Ativar agendamento Agenda a tarefa para ser executada em uma hora especificada.(Ativado por padrão)Esta opção deve ser selecionada para agendar a tarefa.
Tipo de agendamento Especifica o intervalo para executar a tarefa.• Diariamente - Executa a tarefa diariamente, em uma hora específica,
de forma recorrente entre dois horários do dia ou em umacombinação de ambos.
• Semanalmente - Executa a tarefa semanalmente:
• Em um determinado dia da semana, todos os dias úteis, fins desemana ou uma combinação de dias
• Em uma hora específica dos dias selecionados ou de formarecorrente entre dois horários nos dias selecionados
• Mensalmente - Executa a tarefa mensalmente, seja em:
• Um dia específico do mês
• Dias da semana específicos - primeiro, segundo, terceiro, quartoou último
• Uma vez - Inicia a tarefa na hora e na data especificadas.
• Na inicialização do sistema - Executa a tarefa quando o sistema éiniciado.
• Ao entrar - Inicia a tarefa na próxima vez que o usuário entrar nosistema.
• Executar imediatamente - Inicia a tarefa imediatamente.
Frequência Especifica a frequência para as tarefas Diariamente e Semanalmente.
Executar em Especifica os dias da semana para as tarefas Semanalmente eMensalmente.
Executar em Especifica os meses do ano para as tarefas Mensalmente.
Uso do Cliente do Endpoint SecurityReferência da interface do cliente do Cliente do Endpoint Security — Em Comum 2
McAfee Endpoint Security 10.5 Guia do produto 53
Tabela 2-10 Opções (continuação)
Categoria Opção Definição
Executar esta tarefasomente uma vez pordia
Executa esta tarefa uma vez por dia para as tarefas Na inicialização dosistema eAo entrar.
Atrasar esta tarefa em Especifica o número de minutos de atraso antes de executar astarefas Na inicialização do sistema e Ao entrar.
Data de início Especifica a data de inicio para as tarefas Diariamente, Semanalmente,Mensalmente e Uma vez.
Data de término Especifica a data de término das tarefas Diariamente, Semanalmente eMensalmente.
Hora de início Especifica a hora em que a tarefa é iniciada.• Executar uma vez nesta hora - Executa a tarefa uma vez na Hora de início.
• Executar nesta hora e repetir até - Executa a tarefa uma vez na Hora deinício. Em seguida, inicia a tarefa dentro do intervalo especificadode horas/minutos por Iniciar tarefa todos os dias até a hora de términoespecificada.
• Executar nesta hora e repetir durante - Executa a tarefa uma vez na Hora deinício. Em seguida, inicia a tarefa dentro do intervalo especificadode horas/minutos por Iniciar tarefa todos os dias até que seja executadapor um determinado período de tempo.
Opções Executar a tarefa deacordo com o HorárioUniversal Coordenado
Especifica se o agendamento da tarefa será executado de acordocom a hora local no sistema gerenciado ou no UTC (Horário universalcoordenado).
Interromper a tarefacaso ela seja executadapor mais de
Interrompe a tarefa após o número especificado de horas e minutos.Se a tarefa for interrompida antes da conclusão, na próxima vez queela for iniciada, retomará a partir do ponto onde parou.
Tornar aleatório ohorário de início em
Especifica se essa tarefa será executada aleatoriamente dentro dotempo que você especificar.Caso contrário, ela iniciará na hora agendada mesmo se outrastarefas do cliente estiverem agendadas para execução na mesmahora.
Executar tarefa perdida Executa a tarefa após o número de minutos especificado por Atrasarinício em uma vez que o sistema gerenciado for reiniciado.
Conta Especifica as credenciais a usar para executar a tarefa.Se nenhuma credencial for especificada, a tarefa será executadacomo a conta de Administrador do sistema local.
Nome do usuário Especifica a conta de usuário.
Senha Especifica a senha da conta de usuário especificada.
Confirmar senha Confirma a senha da conta de usuário especificada.
Domínio Especifica o domínio da conta de usuário determinada.
Consulte também Adicionar tarefa de varredura ou Editar tarefa de varredura na página 52Adicionar tarefa de atualização ou Editar tarefa de atualização na página 52Adicionar tarefa de espelhamento ou Editar tarefa de espelhamento na página 53
2 Uso do Cliente do Endpoint SecurityReferência da interface do cliente do Cliente do Endpoint Security — Em Comum
54 McAfee Endpoint Security 10.5 Guia do produto
3 Utilizando o Prevenção contra ameaças
O Prevenção contra ameaças verifica vírus, spyware, programas indesejados e outras ameaças,fazendo a varredura automática de itens no computador.
Conteúdo Varrer seu computador em busca de malware Gerenciar detecções de ameaças Gerenciar itens em quarentena Gerenciamento do Prevenção contra ameaças Referência da interface do Cliente do Endpoint Security — Prevenção contra ameaças
Varrer seu computador em busca de malwareFaça a varredura em busca de malware em seu computador selecionando as opções no Cliente doEndpoint Security ou no Windows Explorer.
Tarefas• Executar uma Varredura completa ou uma Varredura rápida na página 56
Use o Cliente do Endpoint Security para executar uma Varredura completa ou umaVarredura rápida manual em seu computador.
• Varrer um arquivo ou pasta na página 58Clique com o botão direito no Windows Explorer para fazer uma varredura imediata em umarquivo individual ou pasta com suspeita de infecção.
Consulte também Tipos de varreduras na página 55
Tipos de varredurasEndpoint Security oferece dois tipos de varreduras: varreduras ao acessar e varreduras por solicitação.
• Varredura ao acessar - O administrador configura varreduras ao acessar a serem executadas emcomputadores gerenciados. Em computadores autogerenciados, configure o mecanismo devarredura ao acessar na página de Configurações.Sempre que acessar arquivos, pastas e programas, o mecanismo de varredura ao acessarintercepta a operação e varre o item, baseado nos critérios definidos pelo administrador.
• Varredura por solicitação
3
McAfee Endpoint Security 10.5 Guia do produto 55
Manual O administrador (ou usuário, em sistemas autogerenciados) configura varreduras porsolicitação personalizadas ou predefinidas que os usuários podem executar emcomputadores gerenciados.
• Execute uma varredura por solicitação predefinida a qualquer momento no Cliente
do Endpoint Security clicando em e selecionando um tipo devarredura:A Varredura rápida realiza uma verificação rápida das áreas do sistema mais suscetíveisa infecção.
A Varredura completa executa uma verificação minuciosa em todas as áreas de seusistema. (Recomendado em caso de suspeita de infecção do computador.)
• Faça uma varredura a qualquer momento em um arquivo ou pasta individual doWindows Explorer clicando com o botão direito no arquivo ou pasta e selecionandoFazer varredura para encontrar ameaças no menu pop-up.
• Configure e execute uma varredura personalizada por solicitação comoadministrador do Cliente do Endpoint Security:
1 Selecione Configurações | Em Comum | Tarefas.
2 Selecione a tarefa a executar.
3 Clique em Executar agora.
Agendada O administrador (ou usuário, em sistemas autogerenciados) configura e agendavarreduras por solicitação a serem executadas em computadores.
Quando uma varredura por solicitação agendada está para começar, o EndpointSecurity exibe um prompt de varredura na parte inferior da tela. Você pode iniciar avarredura imediatamente ou adiá-la, se assim estiver configurado.
Para configurar e agendar as varreduras por solicitação predefinidas, Varredura rápidae Varredura completa:1 Configurações | Varredura por solicitação | Varredura completa ou Varredura rápida - Configura
varreduras por solicitação.
2 Configurações | Common | Tarefas — Agenda varreduras por solicitação.
Consulte também Configurar, agendar e executar tarefas de varredura na página 95Responder a um prompt de varredura na página 21
Executar uma Varredura completa ou uma Varredura rápidaUse o Cliente do Endpoint Security para executar uma Varredura completa ou uma Varredura rápidamanual em seu computador.
Antes de iniciarO módulo Prevenção contra ameaças deve ser instalado.
O comportamento da Varredura completa e da Varredura rápida depende de como as configurações foramdefinidas. Com credenciais de administrador, é possível modificar e agendar as varreduras nasconfigurações da Varredura por solicitação.
3 Utilizando o Prevenção contra ameaçasVarrer seu computador em busca de malware
56 McAfee Endpoint Security 10.5 Guia do produto
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2Clique em .
3 Na página Varrer sistema, clique em Varrer agora na varredura que deseja executar.
Varredura completa Executa uma verificação completa em todas as áreas de seu sistema(recomendável se houver suspeita de que o computador está infectado).
Varredura rápida Executa uma verificação rápida das áreas do sistema mais suscetíveis a infecção.
Se uma varredura estiver em execução, o botão Varrer agora transforma-se em Exibir varredura.
Também poderá ser exibido o botão Exibir detecções para o mecanismo de varredura ao acessar,dependendo de como as configurações foram definidas e se uma ameaça tiver sido detectada.Clique nesse botão para abrir a página Varredura ao acessar para gerenciar as detecções a qualquermomento.
O Cliente do Endpoint Security exibe o status da varredura em uma nova página.
Prática recomendada: a data de criação de conteúdo do AMCore indica a última vez que oconteúdo foi atualizado. Se o conteúdo tiver mais de dois dias, atualize sua proteção antes deexecutar a varredura.
4 Clique nos botões localizados na parte superior da página de status para controlar a varredura.
Pausar varredura Pausa a varredura antes de sua conclusão.
Retomar varredura Retoma uma varredura pausada.
Cancelar varredura Cancela uma varredura em execução.
5 Quando a varredura for concluída, a página exibirá o número de arquivos varridos, o tempodecorrido e todas as detecções.
Nome da detecção Identifica o nome do malware detectado.
Tipo Mostra o tipo de ameaça.
Arquivo Identifica o arquivo infectado.
Ação realizada Descreve a última ação de segurança tomada em relação ao arquivo infectado:• Acesso negado
• Limpo
• Excluído
• Nenhum
A lista de detecções da varredura por solicitação é limpa quando a varredura por solicitaçãoseguinte é iniciada.
Utilizando o Prevenção contra ameaçasVarrer seu computador em busca de malware 3
McAfee Endpoint Security 10.5 Guia do produto 57
6 Selecione uma detecção na tabela e depois clique em Limpar ou em Excluir para limpar ou excluir oarquivo infectado.
Dependendo do tipo de ameaça e das definições da varredura, essas ações podem não estardisponíveis.
7 Clique em Fechar para fechar a página.
Consulte também Tipos de varreduras na página 55Nome da detecção na página 61Atualizar conteúdo e software manualmente na página 22Gerenciar detecções de ameaças na página 59Configurar definições da política de na página 90Configurar, agendar e executar tarefas de varredura na página 95
Varrer um arquivo ou pastaClique com o botão direito no Windows Explorer para fazer uma varredura imediata em um arquivoindividual ou pasta com suspeita de infecção.
Antes de iniciarO módulo Prevenção contra ameaças deve ser instalado.
O comportamento da Varredura por clique no botão direito depende de como as configurações foram definidas.Com credenciais de administrador, é possível modificar as varreduras nas configurações da Varredura porsolicitação.
Tarefa
1 No Windows Explorer, clique com o botão direito no arquivo ou pasta a varrer e selecione Fazervarredura para encontrar ameaças no menu pop-up.
O Cliente do Endpoint Security exibe o status da varredura na página Fazer varredura para encontrarameaças.
2 Clique nos botões localizados na parte superior da página para controlar a varredura.
Pausar varredura Pausa a varredura antes de sua conclusão.
Retomar varredura Retoma uma varredura pausada.
Cancelar varredura Cancela um varredura em execução.
3 Quando a varredura for concluída, a página exibirá o número de arquivos varridos, o tempodecorrido e todas as detecções.
Nome da detecção Identifica o nome do malware detectado.
Tipo Mostra o tipo de ameaça.
Arquivo Identifica o arquivo infectado.
Ação realizada Descreve a última ação de segurança tomada em relação ao arquivo infectado:• Acesso negado
• Limpo
• Excluído
• Nenhum
3 Utilizando o Prevenção contra ameaçasVarrer seu computador em busca de malware
58 McAfee Endpoint Security 10.5 Guia do produto
A lista de detecções da varredura por solicitação é limpa quando a varredura por solicitaçãoseguinte é iniciada.
4 Selecione uma detecção na tabela e depois clique em Limpar ou em Excluir para limpar ou excluir oarquivo infectado.
Dependendo do tipo de ameaça e das definições da varredura, essas ações podem não estardisponíveis.
5 Clique em Fechar para fechar a página.
Consulte também Tipos de varreduras na página 55Nome da detecção na página 61Configurar definições da política de na página 90
Gerenciar detecções de ameaçasDependendo de como as configurações foram definidas, é possível gerenciar as detecções a partir doCliente do Endpoint Security.
Antes de iniciarO módulo Prevenção contra ameaças deve ser instalado.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 Clique em Varrer agora para abrir a página Varrer sistema.
Utilizando o Prevenção contra ameaçasGerenciar detecções de ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 59
3 Em Varredura ao acessar, clique em Exibir detecções.
Esta opção não estará disponível se a lista não contiver detecções ou se a opção de mensagens parausuários estiver desativada.
A lista de detecções da varredura ao acessar é limpa quando o serviço do Endpoint Security éreiniciado ou sistema é reinicializado.
4 Na página Varredura ao acessar, selecione uma das seguintes opções.
Limpar Tenta limpar o item (arquivo, entrada do registro) e colocá-lo na Quarentena.
O Endpoint Security usa as informações dos arquivos de conteúdo para limpararquivos. O mecanismo de varredura negará acesso a arquivos de conteúdo que nãotenham ferramentas de limpeza ou que estejam irreparavelmente danificados.Nesse caso, a McAfee recomenda excluir o arquivo da quarentena e restaurá-lo apartir de uma cópia de backup limpa.
Excluir Exclui o item que contém a ameaça.
Remover entrada Remove a entrada da lista de detecção.
Fechar Fecha a página de varredura.
Se não houver uma ação disponível para a ameaça, a opção correspondente estará desativada. Porexemplo, Limpar não estará disponível se o arquivo já tiver sido excluído.
A lista de detecções da varredura ao acessar é limpa quando o serviço do Endpoint Security éreiniciado ou sistema é reinicializado.
Gerenciar itens em quarentena O Endpoint Security salva os itens que são detectados como ameaças na pasta Quarentena. É possívelexecutar ações nos itens em quarentena.
Antes de iniciarO módulo Prevenção contra ameaças deve ser instalado.
Por exemplo, você pode ser capaz de restaurar um item depois de fazer o download de uma versãomais recente do conteúdo que contém informações que limpam a ameaça.
Os itens em quarentena podem incluir vários tipos de objetos examinados, como arquivos, registros ouqualquer coisa que o Endpoint Security examine em busca de malware.
Tarefa
Para obter ajuda, no menu Ação , selecione Ajuda.
1 Abra o Cliente do Endpoint Security.
2 Clique em Quarentena no lado esquerdo da página.
A página mostra os itens na quarentena.
Se o Cliente do Endpoint Security não conseguir acessar o Gerenciador de quarentena, ele mostraráuma mensagem de erro de comunicação. Neste caso, reinicialize o sistema para exibir a página deQuarentena.
3 Utilizando o Prevenção contra ameaçasGerenciar itens em quarentena
60 McAfee Endpoint Security 10.5 Guia do produto
3 Selecione um item do painel superior para exibir os detalhes no painel inferior.
Para... Faça isso
Alterar os tamanhos relativos dos painéis. Clique e arraste o widget em forma de faixa entreos painéis.
Ordenar itens na tabela por nome ou tipo deameaça.
Clique no cabeçalho da coluna da tabela.
4 Na página da Quarentena, realize ações nos itens selecionados.
Para... Siga esses passos
Excluir itens daquarentena.
Selecione os itens, clique em Excluir, depois clique em Excluir novamente paraconfirmar.
Os itens excluídos não podem ser restaurados.
Restaurar itens daquarentena.
Selecione os itens, clique em Restaurar, depois clique em Restaurar novamentepara confirmar.O Endpoint Security restaura os itens ao local original e os remove daquarentena.
Se um item ainda for uma ameaça válida, o Endpoint Security o devolve àquarentena na próxima vez que o item é acessado.
Repetir varredura deitens.
Selecione os itens, depois clique em Repetir a varredura.Por exemplo, você pode repetir a varredura de um item depois de atualizarsua proteção. Se o item não for mais uma ameaça, é possível restaurá-loao local original e o removê-lo da quarentena.
Exibir um item noLog de eventos.
Selecione um item e clique no link Ver no log de eventos no painel de detalhes.A página Log de eventos é aberta, com o evento relacionado ao itemselecionado em destaque.
Obter maisinformações sobreuma ameaça.
Selecione um item, depois clique no link Obtenha mais informações sobre estaameaça no painel de detalhes.Uma nova janela do navegador é aberta para o site do McAfee Labs commais informações sobre a ameaça que fez com que o item fosse colocadoem quarentena.
Consulte também Nome da detecção na página 61Repetição de varredura de itens em quarentena na página 63Abrir o Cliente do Endpoint Security na página 19Atualizar conteúdo e software manualmente na página 22
Nome da detecçãoA quarentena informa as ameaças por nome da detecção.
Nome dadetecção
Descrição
Adware Gera receita mostrando anúncios direcionados ao usuário. O adware recebereceita do fornecedor ou de parceiros do fornecedor. Alguns tipos de adwarepodem capturar ou transmitir informações pessoais.
Discador Redireciona as conexões da Internet para outra parte que não é o ISP padrão dousuário. Os discadores são projetados para adicionar tarifas de conexão para umprovedor de conteúdo, fornecedor ou outro terceiro.
Utilizando o Prevenção contra ameaçasGerenciar itens em quarentena 3
McAfee Endpoint Security 10.5 Guia do produto 61
Nome dadetecção
Descrição
Joke Afirma danificar um computador, mas não tem conteúdo nem uso malicioso. Osjokes não afetam a segurança nem a privacidade, mas podem alarmar ouincomodar o usuário.
Keylogger Intercepta dados entre o usuário que os insere e o aplicativo ao qual sedestinam. O keylogger do cavalo de Troia e de um programa potencialmenteindesejado podem ser funcionalmente idênticos. O software McAfee detectaambos os tipos para impedir invasões de privacidade.
Descobridor desenha
Permite que um usuário ou administrador recupere senhas perdidas ouesquecidas de contas ou arquivos de dados. Usado por um agressor,proporcionam acesso a informações confidenciais e são uma ameaça desegurança e privacidade.
Programapotencialmenteindesejado
Inclui muitas vezes um software legítimo (que não é malware) que pode alteraro estado de segurança ou a postura de privacidade do sistema. Esse softwarepode ser transferido por download com um programa que o usuário quer instalar.Pode incluir spyware, adware, keylogger, descobridores de senha, ferramentasde hacker e aplicativos discadores.
Ferramenta deadministraçãoremota
Dá a um administrador o controle remoto de um sistema. Essas ferramentaspodem ser uma ameaça significativa de segurança quando controladas por umagressor.
Spyware Transmite informações pessoais a uma terceira parte sem conhecimento ouconsentimento do usuário. O spyware explora os computadores infectados paraganho comercial:• Apresentando anúncios pop-up não solicitados
• Roubando informações pessoais, incluindo informações financeiras comonúmero de cartão de crédito
• Monitorando a atividade de navegação pela web para fins de marketing
• Encaminhando solicitações HTTP para sites de publicidade
Consulte também Programa potencialmente indesejado.
Indetectável É um tipo de vírus que tenta evitar a detecção de um software antivírus.Também conhecido como interceptor de interrupção.
Muitos vírus indetectáveis interceptam solicitações de acesso a disco. Quandoum aplicativo antivírus tenta ler arquivos ou setores de boot para encontrar ovírus, o vírus mostra uma imagem “limpa" do item solicitado. Outros vírusocultam o tamanho real de um arquivo infectado e mostram o tamanho doarquivo antes da infecção.
3 Utilizando o Prevenção contra ameaçasGerenciar itens em quarentena
62 McAfee Endpoint Security 10.5 Guia do produto
Nome dadetecção
Descrição
Cavalo de Troia É um programa malicioso que finge ser um aplicativo benigno. Um cavalo deTroia não se reproduz, mas causa danos ou compromete a segurança docomputador.Em geral, um computador se infecta:
• Quando um usuário abre o anexo do cavalo de Troia em um e-mail.
• Quando um usuário transfere por download o cavalo de Troia a partir de umsite.
• Participando de uma rede P2P.
Como não se reproduzem, os cavalos de Troia não são considerados vírus.
Vírus Anexa-se a discos ou outros arquivos e se reproduz repetidamente, em geralsem conhecimento ou permissão do usuário.Alguns vírus se anexam a arquivos, e quando o arquivo infectado é executado, ovírus também é executado. Outros vírus residem na memória de um computadore infetam arquivos quando o computador abre, modifica ou cria arquivos. Algunsvírus exibem sintomas, enquanto outros danificam arquivos e sistemas docomputador.
Repetição de varredura de itens em quarentenaAo refazer a varredura de itens na quarentena, o Endpoint Security usa as configurações de varreduradesenvolvidas para oferecer proteção máxima.
Prática recomendada: sempre refazer a varredura dos itens em quarentena antes de restaurá-los. Porexemplo, você pode repetir a varredura de um item depois de atualizar sua proteção. Se o item não formais uma ameaça, é possível restaurá-lo ao local original e o removê-lo da quarentena.
Entre a detecção da ameaça e a realização da segunda varredura, as condições de varredura podemmudar, o que pode afetar a detecção de itens em quarentena.
Ao repetir a varredura de itens em quarentena, o Endpoint Security sempre:
• Varre arquivos codificados por MIME.
• Varre arquivos mortos compactados.
• Força uma consulta de McAfee GTI nos itens.
• Define o nível de sensibilidade do McAfee GTI como Muito alto.
Mesmo com o uso dessas configurações de varredura, a realização da segunda varredura de quarentenapode não detectar uma ameaça. Por exemplo, se os metadados do item (caminho ou local do Registro)forem alterados, a nova varredura poderá indicar um falso positivo, mesmo se o item ainda estiverinfectado.
Gerenciamento do Prevenção contra ameaçasComo administrador, você pode especificar as configurações do Prevenção contra ameaças paraimpedir acesso a ameaças e configurar varreduras.
Em sistemas gerenciados, as alterações de política do McAfee ePO podem sobrescrever as alterações dapágina Configurações.
Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 63
Configuração de exclusõesA Prevenção contra ameaças permite que você ajuste sua proteção especificando os itens a seremexcluídos.
Por exemplo, pode ser necessário excluir alguns tipos de arquivos para impedir que um mecanismo devarredura bloqueie um arquivo usado por um banco de dados ou um servidor. Um arquivo bloqueadopode causar falhas ou gerar erros no banco de dados ou no servidor.
Prática recomendada: para melhorar o desempenho das varreduras ao acessar e por solicitação, usetécnicas de impedimento de varredura em vez de adicionar exclusões de arquivos e pastas.
As exclusões nas listas de exclusões são mutuamente exclusivas. Cada exclusão é avaliadaseparadamente das outras da lista.
Para excluir uma pasta em sistemas Windows, anexe um caractere de barra invertida (\) do caminho.
Para esterecurso...
Especifique ositens a excluir
Ondeconfigurar
Excluir itens por Usarcaracterescuringa?
Proteção de acesso Processos (paratodas as regras ouuma regraespecificada)
Proteção de acesso Nome ou caminho doarquivo do processo,hash de MD5 ousignatário
Todos, exceto ohash de MD5
Prevenção deexploração
Processos Prevenção deexploração
Nome ou caminho doarquivo do processo,hash de MD5 ousignatário
Todos, exceto ohash de MD5
Módulos dochamador
Nome ou caminho doarquivo do Módulo dochamador, hash deMD5 ou signatário
APIs Nome da API
Assinaturas ID da assinatura Não
Todas as varreduras Nomes de detecção Prevençãocontra ameaçasOpções
Nome da detecção(diferencia maiúsculase minúsculas)
Sim
Programaspotencialmenteindesejados
Nome Sim
Varredura aoacessar• Padrão
• Alto risco
• Baixo risco
Arquivos, tipos dearquivos e pastas
Varredura ao acessar Nome do arquivo ouda pasta, tipo dearquivo ou idade doarquivo
Sim
URLs do ScriptScan Nome do URL Não
3 Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças
64 McAfee Endpoint Security 10.5 Guia do produto
Para esterecurso...
Especifique ositens a excluir
Ondeconfigurar
Excluir itens por Usarcaracterescuringa?
Varredura porsolicitação• Varredura rápida
• Varredura completa
• Varredura por clique nobotão direito
Arquivos, pastas eunidades
Varredura porsolicitação
Nome do arquivo ouda pasta, tipo dearquivo ou idade doarquivo
Sim
Varredura porsolicitaçãopersonalizada
Arquivos, pastas eunidades
Em Comum |Tarefas | Adicionartarefa | Varredurapersonalizada
Nome do arquivo ouda pasta, tipo dearquivo ou idade doarquivo
Sim
Consulte também Caracteres curinga em exclusões na página 65
Caracteres curinga em exclusõesVocê pode usar caracteres curinga para representar caracteres em exclusões para varreduras dearquivos, pastas, nomes de detecção e programas potencialmente indesejados.
Tabela 3-1 Caracteres curinga válidos
Caracterecuringa
Nome Representa
? Ponto deinterrogação
Um único caractere.Esse caractere curinga é válido somente quando o número decaracteres corresponde ao tamanho do nome do arquivo ou dapasta. Por exemplo: a exclusão W?? exclui WWW, mas nãoexclui WW ou WWWW.
* Asterisco Vários caracteres, exceto a barra invertida (\).*\ no início de um caminho de arquivo não é válido. Use **\no lugar disso. Por exemplo: **\ABC\*.
** Asterisco duplo Zero ou mais caracteres quaisquer, incluindo a barra invertida(\).Esse caractere curinga corresponde a zero ou mais caracteres.Por exemplo: C:\ABC\**\XYZ corresponde a C:\ABC\DEF\XYZe C:\ABC\XYZ.
Os caracteres curinga podem aparecer na frente de uma barra invertida (\) em um caminho. Porexemplo, C:\ABC\*\XYZ corresponde a C:\ABC\DEF\XYZ.
Exclusões em nível de raizA Prevenção contra ameaças requer um caminho absoluto para as exclusões em nível de raiz. Issosignifica que não é possível usar os caracteres curinga \ ou ?:\ à esquerda para corresponder a nomesde unidades no nível raiz.
Esse comportamento é diferente de VirusScan Enterprise. Consulte o Guia de migração do McAfeeEndpoint Security.
Com a Prevenção contra ameaças, você pode usar os caracteres curinga **\ à esquerda em exclusõesem nível de raiz para corresponder a unidades de disco e subpastas. Por exemplo, **\test correspondeaos seguintes resultados:
Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 65
C:\test
D:\test
C:\temp\test
D:\foo\test
Proteção de pontos de acesso do sistemaA primeira linha de defesa contra malware é proteger os pontos de acesso do sistema cliente contra oacesso de ameaças. A Proteção de acesso impede a realização de alterações não desejadas emcomputadores gerenciados, restringindo o acesso a arquivos, compartilhamentos, chaves de Registro,valores de Registro, processos e serviços especificados.
A Proteção de acesso usa regras definidas pela McAfee e regras definidas pelo usuário (tambémchamadas de regras personalizadas) para relatar ou bloquear o acesso aos itens. A Proteção de acessocompara uma ação solicitada com uma lista de regras e toma as medidas de acordo com a regra.
A Proteção de acesso deve ser ativada para detectar tentativas de acesso a arquivos,compartilhamentos, chaves de Registro, valores de Registro, processos e serviços.
Como as ameaças obtêm acessoAs ameaças obtêm acesso ao sistema usando vários pontos de acesso.
Ponto de acesso Descrição
Macros Como parte de aplicativos de processamento de texto e de planilhas.
Arquivos executáveis Programas aparentemente benignos podem conter vírus com o programaesperado. Algumas extensões de arquivo comunssão .EXE, .COM, .VBS, .BAT, .HLP e .DLL.
Scripts Associados com páginas da Internet e e-mail, scripts como ActiveX eJavaScript, podem conter vírus, se executados.
Mensagens do InternetRelay Chat (IRC)
Arquivos enviados com estas mensagens podem facilmente conter malwarecomo parte da mensagem. Por exemplo, processos de inicializaçãoautomáticos podem conter ameaças de worms e cavalos de Troia.
Arquivos de Ajuda denavegadores eaplicativos
O download destes arquivos de Ajuda expõem o sistema a vírus eexecutáveis incorporados.
E-mail Brincadeiras, jogos e imagens como parte de mensagens de e-mail comanexos.
Combinações de todosesses pontos de acesso
Os criadores de malware sofisticados combinam todos esses métodos deentrega e até mesmo incorporam partes de um malware a outros paratentar acessar o computador gerenciado.
Como a Proteção de acesso detém ameaçasA Proteção de acesso detém ameaças potenciais gerenciando ações baseadas em regras de proteçãodefinidas pela McAfee e pelo usuário.
O Prevenção contra ameaças segue este processo básico para fornecer proteção de acesso.
3 Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças
66 McAfee Endpoint Security 10.5 Guia do produto
Quando ocorre uma ameaça
Quando um usuário ou processo age:
1 A Proteção de acesso examina a ação de acordo com as regras definidas.
2 Se a ação violar uma regra, a Proteção de acesso gerencia a ação usando as informações nasregras configuradas.
3 A Proteção de acesso atualiza o arquivo de log e gera e envia um evento para o servidor degerenciamento, se gerenciado.
Exemplo de uma ameaça de acesso
1 Um usuário baixa um programa legítimo (não malware), MyProgram.exe, da internet.
2 O usuário inicia o MyProgram.exe, e o programa aparentemente funciona como esperado.
3 O MyProgram.exe inicia um processo filho chamado AnnoyMe.exe.
4 O AnnoyMe.exe tenta modificar o sistema operacional para garantir que ele sempre seja carregadona inicialização.
5 A Proteção de acesso processa a solicitação e compara a ação com uma regra existente parabloquear e gerar relatórios.
6 A Proteção de acesso impede que o AnnoyMe.exe modifique o sistema operacional e registra osdetalhes da tentativa. A Proteção de acesso também gera e envia um alerta para o gerenciador degerenciamento.
Sobre as regras de proteção de acessoUse as regras de proteção de acesso definidas pela McAfee e pelo usuário para proteger os pontos deacesso de seu sistema.
As regras definidas pela McAfee são sempre aplicadas antes de quaisquer regras definidas pelousuário.
Tipo de regra Descrição
Regras definidaspela McAfee
• Estas regras impedem a modificação de configurações e arquivos usados comfrequência.
• Você pode ativar, desativar e alterar a configuração de regras definidas pelaMcAfee, mas você não pode excluir essas regras.
Regras definidaspelo usuário
• Estas regras complementam a proteção fornecida pelas regras predefinidas daMcAfee.
• Uma tabela de Executáveis vazia indica que a regra se aplica a todos osexecutáveis.
• Uma tabela de Nomes de usuário vazia indica que a regra se aplica a todos osusuários.
• Você pode adicionar, excluir, ativar, desativar e alterar a configuração dessasregras.
Exclusões
Como regra geral, as exclusões e inclusões são aplicadas à regra específica. Em nível de política, asexclusões são aplicáveis a todas as regras. As exclusões são opcionais.
Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 67
Consulte também Remove processos da Proteção de acesso na página 73
Configurar regras de proteção de acesso definidas pela McAfeeAs regras definidas pela McAfee impedem que os usuários modifiquem configurações e arquivosusados com frequência.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
É possível:
• Alterar as configurações de bloqueio e relatório dessas regras.
• Adicionar executáveis excluídos e incluídos a essas regras.
Não é possível:
• Excluir essas regras.
• Modificar os arquivos e as configurações protegidos por essas regras.
• Adicionar sub-regras ou nomes de usuário a essas regras.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 Clique em Prevenção contra ameaças na página Status principal.
Ou, no menu Ação , selecione Configurações e clique em Prevenção contra ameaças na páginaConfigurações.
3 Clique em Mostrar opções avançadas.
4 Clique em Proteção de acesso.
5 Modifique a regra:
a Na seção Regras, selecione Bloquear, Relatar ou ambas as opções para a regra.
• Para bloquear ou relatar tudo, selecione Bloquear ou Relatar na primeira linha.
• Para desativar a regra, desmarque Bloquear e Relatar.
b Clique duas vezes na regra definida pela McAfee a ser editada.
c Na página Editar regra definida pela McAfee, defina as configurações.
d Na seção Executáveis, clique em Adicionar, defina as configurações e clique em Salvar duas vezespara salvar a regra.
6 Clique em Aplicar para salvar suas alterações ou clique em Cancelar.
Consulte também Regras de proteção de acesso definidas pela McAfee na página 69Entrar como administrador na página 26Remove processos da Proteção de acesso na página 73
3 Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças
68 McAfee Endpoint Security 10.5 Guia do produto
Regras de proteção de acesso definidas pela McAfeeUse as regras de proteção de acesso definidas pela McAfee para proteger seu computador contraalteração indesejadas.
Regra definida pelaMcAfee
Descrição
Navegadores que inicializamarquivos na pasta Arquivos deProgramas Baixados
Impede que o software seja instalado pelo navegador da Web.Uma vez que essa regra também pode bloquear a instalação de programasde software legítimos, instale o aplicativo antes de ativá-la ou adicione oprocesso de instalação como uma exclusão.
Por padrão, essa regra é definida como Relatar.
Essa regra impede que programas de adware e spyware instalem eexecutem executáveis a partir dessa pasta.
Alterar todos os registros deextensão de arquivos
Protege as chaves de Registro em HKEY_CLASSES_ROOT, onde asextensões de arquivos são registradas.Essa regra impede que um malware altere os registros de extensão doarquivo para que possa ser executado silenciosamente.
Prática recomendada: desativar essa regra ao instalar aplicativos válidosque modificam registros de extensão de arquivos no Registro.
Essa regra é uma alternativa mais restritiva a Hijacking.EXE e outras extensõesexecutáveis.
Alterar políticas de direitos deusuários
Protege valores do Registro que contêm informações de segurança doWindows.Essa regra impede que worms alterem contas que tenham direitos deadministrador.
Criação de novos arquivosexecutáveis na pasta Arquivosde programas
Impede a criacao de novos arquivos executaveis na pasta de Arquivos deProgramas.Essa regra impede que aplicativos de adware e spyware criem novosarquivos .EXE e .DLL e instalem novos arquivos executáveis na pastaArquivos de Programas.
Prática recomendada: instalar os aplicativos antes de ativar esta regraou colocar os processos bloqueados na lista de exclusão.
Criacao de novos arquivosexecutaveis na pasta Windows
Impede a criação de arquivos de qualquer processo, não só da rede.Essa regra impede a criação de arquivos .EXE e .DLL na pasta Windows.
Prática recomendada: adicionar os processos que devem colocar osarquivos na pasta Windows à lista de exclusão.
Desativar o Editor do Registroe o Gerenciador de tarefas
Protege as entradas de Registro do Windows, impedindo a desativação doeditor do Registro e do Gerenciador de tarefas.
Em caso de epidemia, desative essa regra para poder alterar o Registro ouabra o Gerenciador de tarefas para interromper os processos ativos.
Execução de scripts pelo hostde script do Windows(CScript.exe ou Wscript.exe)das pastas de usuário comuns
Impede que o host de scripts do Windows execute scripts VBScript eJavaScript em qualquer pasta que contenha "temp" no nome.Essa regra protege contra vários cavalos de Troia e mecanismos deinstalação da Web questionáveis, usados por aplicativos de adware espyware.
Essa regra pode bloquear a instalação e a execução de scripts legítimos eaplicativos de terceiros.
Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 69
Regra definida pelaMcAfee
Descrição
Hijacking .EXE ou outrasextensões executáveis
Protege .EXE, .BAT e outras chaves de Registro executáveis emHKEY_CLASSES_ROOT.Essa regra impede que um malware modifique chaves de Registro paraexecutar o vírus quando outro executável estiver sendo executado.
Essa regra é uma alternativa menos restritiva em relação a Alterar todos osregistros de extensão de arquivos.
Instalar Objetos Auxiliares deNavegador ou extensões doshell
Evita que adware, spyware e cavalos de Troia que instalam ObjetosAuxiliares de Navegador façam instalações no computador host.Essa regra impede a instalação de adware e spyware nos sistemas.
Prática recomendada: permitir que aplicativos legítimos personalizadosou de terceiros instalem esses objetos adicionando-os à lista de exclusão.Após a instalação, você pode reativar a regra, pois ela não impede ofuncionamento de Objetos Auxiliares de Navegador instalados.
Instalar novos CLSIDs, APPIDse TYPELIBs
Impede a instalação ou o registro de novos servidores COM.Essa regra protege contra programas de adware e spyware que instalam asi mesmos como um complemento de COM em aplicativos do InternetExplorer ou do Microsoft Office.
Prática recomendada: permita aplicativos legítimos que registramcomplementos de COM, incluindo alguns aplicativos comuns, como o AdobeFlash, adicionando-os à lista de exclusão.
Modificar processos principaisdo Windows
Impede que arquivos sejam criados ou executados com os nomes falsosmais comuns.Essa regra impede que vírus e cavalos de Troia sejam executados com onome de um processo do Windows. Essa regra exclui arquivos do Windowsautênticos.
Modificar configurações doInternet Explorer
Bloqueia a modificação de configurações do Internet Explorer feitas porprocessos.Essa regra evita que cavalos de Troia de páginas iniciais, programas deadware e spyware modifiquem as configurações do navegador, como mudara página inicial ou instalar favoritos.
Modificar configurações derede
Impede que qualquer processo não enumerado na lista de exclusão altereas configurações de rede do sistema.Essa regra protege contra Provedores de serviço em camadas quetransmitem dados, como seu comportamento de navegação, capturando otráfego de rede e o enviando para sites de terceiros.
Prática recomendada: adicionar os processos que precisam alterar asconfigurações de rede à lista de exclusão ou desativar a regra enquanto asalterações são realizadas.
Registrar programas paraexecução automática
Bloqueia a tentativa de registro de vírus, cavalos de Troia, programas deadware e spyware para serem carregados sempre que um sistema éreiniciado.Essa regra impede que processos que não estejam na lista de exclusãoregistrem processos que são executados toda vez que o sistema éreiniciado.
Prática recomendada: adicionar aplicativos legítimos à lista de exclusãoou instalá-los antes de ativar esta regra.
3 Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças
70 McAfee Endpoint Security 10.5 Guia do produto
Regra definida pelaMcAfee
Descrição
Acessar remotamente arquivosou pastas locais
Impede o acesso para leitura e gravação de computadores remotos aocomputador.Essa regra impede a proliferação de worms de compartilhamento.
Em um ambiente típico, essa regra é adequada para estações de trabalho,mas não para servidores, e é útil somente no momento em que oscomputadores estão sendo atacados.
Se um computador for gerenciado por meio do envio por push de arquivos,essa regra impedirá a instalação de atualizações ou patches. Essa regranão afeta as funções de gerenciamento do McAfee ePO.
Criar remotamente arquivos deexecução automática
Impede que outros computadores se conectem e criem ou alterem arquivosde execução automática (autorun.inf).Arquivos de execução automática são usados para iniciar arquivos deprogramas automaticamente, geralmente arquivos de configuração de CDs.
Essa regra impede a execução de aplicativos de spyware e adwaredistribuídos em CDs.
Por padrão, essa regra está selecionada para Bloquear e Relatar.
Criar ou modificarremotamente arquivos oupastas
Bloqueia o acesso para gravação a todos os compartilhamentos.Essa regra é útil em epidemias, impedindo o acesso para gravação a fim delimitar a proliferação da infecção. Essa regra bloqueia programas demalware que, em outras circunstâncias, limitariam criticamente o uso docomputador ou da rede.
Em um ambiente típico, essa regra é adequada para estações de trabalho,mas não para servidores, e é útil somente no momento em que oscomputadores estão sendo atacados.
Se um computador for gerenciado por meio do envio por push de arquivos,essa regra impedirá a instalação de atualizações ou patches. Essa regranão afeta as funções de gerenciamento do McAfee ePO.
Criar ou modificarremotamente os tipos dearquivos PortableExecutable, .INI, .PIF e aslocalizações do sistemaprincipal
Impede que outros computadores se conectem e alterem executáveis,como arquivos na pasta Windows. Essa regra afeta somente os tipos dearquivo que tipicamente são afetados por vírus.Essa regra protege contra worms ou vírus que se espalham com rapidez,que atravessam uma rede através de compartilhamentos abertos ouadministrativos.
Execução de arquivos daspastas do usuário comum
Bloqueia a execução ou inicialização de qualquer executável de qualquerpasta que contenha "temp" no nome.Essa regra protege contra programas de malware salvos e executados napasta temporária do usuário ou do sistema. Esse tipo de malware podeincluir anexos executáveis em mensagens de e-mail e programas obtidospor download.
Embora a regra ofereça a maior proteção possível, ela pode bloquear ainstalação de aplicativos legítimos.
Execução de arquivos daspastas do usuário comum porprogramas comuns
Impede que aplicativos instalem software pelo navegador ou cliente dee-mail.Essa regra impede a execução de anexos de e-mail e executáveis empáginas da Web.
Prática recomendada: para instalar um aplicativo que usa a pasta Temp,adicione o processo à lista de exclusão.
Consulte também Configurar regras de proteção de acesso definidas pela McAfee na página 68
Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 71
Configurar regras de proteção de acesso definidas pelo usuárioEssas regras complementam a proteção fornecida pelas regras definidas pela McAfee. Você podeadicionar, excluir, ativar, desativar e modificar a configuração dessas regras.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
Prática recomendada: para obter informações sobre como criar regras de Proteção de acesso paraproteção contra ransomware, consulte PD25203.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 Clique em Prevenção contra ameaças na página Status principal.
Ou, no menu Ação , selecione Configurações e clique em Prevenção contra ameaças na páginaConfigurações.
3 Clique em Mostrar opções avançadas.
4 Clique em Proteção de acesso.
5 Para criar a regra, na seção Regras, clique em Adicionar.
Na página Adicionar regra, defina as configurações.
a Na seção Executáveis, clique em Adicionar, configure as propriedades do executável e clique emSalvar.
Uma tabela de Executáveis vazia indica que a regra se aplica a todos os executáveis.
b Na seção Nomes de usuário, clique em Adicionar e configure as propriedades do nome de usuário.
Uma tabela de Nomes de usuário vazia indica que a regra se aplica a todos os usuários.
c Na seção Sub-regras, clique em Adicionar e, em seguida, configure as propriedade das sub-regras.
Prática recomendada: para evitar impactos no desempenho, não selecione a operação Ler.
Na seção Destinos, clique em Adicionar, configure as informações de destino e clique em Salvar duasvezes.
6 Na seção Regras, selecione Bloquear, Relatar ou ambas as opções para a regra.
• Para bloquear ou relatar tudo, selecione Bloquear ou Relatar na primeira linha.
• Para desativar a regra, desmarque Bloquear e Relatar.
7 Clique em Aplicar para salvar suas alterações ou clique em Cancelar.
Consulte também Remove processos da Proteção de acesso na página 73
Como são avaliados os destinos em sub-regras da Proteção de acessoCada destino é adicionado com uma diretiva Incluir ou Excluir.
3 Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças
72 McAfee Endpoint Security 10.5 Guia do produto
Ao avaliar um evento do sistema em relação a uma sub-regra, a sub-regra avalia como verdadeiro se:
• Pelo menos um Incluir for avaliado como verdadeiro.
e
• Todas as exclusões forem avaliadas como falsas.
Excluir tem prioridade sobre Incluir. Aqui estão alguns exemplos:
• Se uma única sub-regra incluir e também excluir um arquivo C:\marketing\jjohns, a sub-regra nãoserá disparada para esse arquivo.
• Se uma sub-regra incluir todos os arquivos, mas excluir o arquivo C:\marketing\jjohns, a sub-regraserá disparada se o arquivo não for C:\marketing\jjohns.
• Se uma sub-regra incluir o arquivo C:\marketing\*, mas excluir C:\marketing\jjohns, a sub-regraserá disparada para C:\marketing\qualquer_pessoa, mas não será disparada para C:\marketing\jjohns.
Remove processos da Proteção de acessoSe um programa estiver bloqueado, exclua o processo criando uma exclusão com base em política ouregra.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 Clique em Prevenção contra ameaças na página Status principal.
Ou, no menu Ação , selecione Configurações e clique em Prevenção contra ameaças na páginaConfigurações.
3 Clique em Mostrar opções avançadas.
Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 73
4 Clique em Proteção de acesso.
5 Verifique se a Proteção de acesso está ativada.
6 Execute uma das seguintes ações:
Para... Faça isto...
Excluir processosde todas as regras.
1 Na seção Exclusões, clique em Adicionar para adicionar os processos a seremexcluídos de todas as regras.
2 Na página Adicionar executável, configure as propriedades do executável.
3 Clique em Salvar e em Aplicar para salvar as configurações.
Especificarprocessos parainclusão ouexclusão em umaregra definida porusuário.
1 Edite uma regra definida por usuário existente ou adicione uma regra.
2 Na página Adicionar regra ou Editar regra, na seção Executáveis, clique emAdicionar para adicionar um executável a ser excluído ou incluído.
3 Na página Adicionar executável, configure as propriedades do executável,inclusive se ele deve ser incluído ou excluído da proteção.
4 Clique duas vezes em Salvar e, em seguida, clique em Aplicar para salvar asconfigurações.
Bloqueio de explorações de estouro de bufferPrevenção de exploração impede que estouros de buffer explorados executem códigos arbitrários. Esterecurso monitora as chamadas de API em modo de usuário e reconhece quando são chamadas comoresultado de um estouro de buffer.Quando ocorre uma detecção, as informações são armazenadas no log de atividades, exibidas nosistema cliente e enviadas ao servidor de gerenciamento, se assim configurado.
O Prevenção contra ameaças usa o arquivo de conteúdo de Prevenção de exploração para protegeraplicativos como o Microsoft Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word eMSN Messenger.
O Host Intrusion Prevention 8.0 pode ser instalado no mesmo sistema que o Endpoint Security versão10.5. Se o McAfee Host IPS estiver ativado, a Prevenção de exploração será desativada, mesmo seestiver ativada nas configurações de política.
Como explorações de estouro de buffer ocorremOs atacantes usam explorações de estouro de buffer para executar o código executável estourando obuffer de memória de tamanho fixo reservado para processos de entrada. Esse código permite que oatacante domine o computador de destino ou comprometa seus dados.Um grande percentual dos ataques de malware são ataques de estouro de buffer que tentamsobrescrever a memória adjacente na moldura da pilha.
Os dois tipos de explorações de estouro de buffer são:
• Ataques baseados em pilha usam os objetos de memória da pilha para armazenar entradas deusuário (mais comum).
• Ataques baseados em heap inundam o espaço de memória reservado para um programa (raro).
O objeto de memória de pilha fica vazio e aguardando a entrada do usuário. Quando um programarecebe a entrada do usuário, os dados são armazenados na parte superior da pilha e atribuídos a umendereço de memória de retorno. Quando a pilha é processada, a entrada do usuário é enviada aoendereço de retorno especificado pelo programa.
3 Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças
74 McAfee Endpoint Security 10.5 Guia do produto
O processo a seguir descreve um ataque de estouro de buffer baseado em pilha:
1 Inundar a pilha.
Quando o programa é gravado, uma quantidade específica de espaço de memória é reservada paraos dados. A pilha estourará se os dados gravados forem maiores do que o espaço reservado paraela na pilha da memória. A situação somente é um problema quando associada a uma entradamaliciosa.
2 Explorar o estouro.
O programa aguarda a entrada do usuário. Se o atacante inserir um comando executável queexceda o tamanho da pilha, esse comanda será salvo fora do espaço reservado.
3 Executar o malware.
O comando não é executado automaticamente quando excede o espaço de buffer da pilha.Inicialmente, o programa começa a falhar em função do estouro de buffer. Se o atacante fornecerum endereço de memória de retorno que faça referência ao comando malicioso, o programatentará recuperar usando o endereço de retorno. Se o endereço de retorno for válido, o comandomalicioso será executado.
4 Explorar as permissões.
Agora, o malware é executado com as mesmas permissões do aplicativo que foi comprometido.Como os programas geralmente são executados no modo kernel ou com permissões herdadas deuma conta de serviço, o atacante agora pode obter controle total do sistema operacional.
Assinaturas e como funcionamAs assinaturas da Prevenção de exploração são coleções de regras que comparam o comportamentoem relação a ataques conhecidos e realizam uma ação ao detectar uma correspondência. A McAfeefornece assinaturas em atualizações de conteúdo da Prevenção de exploração.
As assinaturas protegem aplicativos específicos, que são definidos na lista Regras de proteção doaplicativo. Quando um ataque é detectado, a Prevenção de exploração pode interromper ocomportamento iniciado pelo ataque.
Quando o arquivo de conteúdo da Prevenção de exploração é atualizado, a lista de assinaturas éatualizada, se necessário.
É possível alterar as configurações de ação dessas assinaturas, mas não é possível adicionar, excluirou alterar essas assinaturas. Para proteger arquivos específicos, compartilhamentos, chaves deRegistro, valores de Registro, processos e serviços, crie regras de Proteção de acesso personalizadas.
Ações
Uma ação é o que a Prevenção de exploração faz quando a assinatura é disparada.
• Bloquear — Impede a operação.
• Relatar — Permite a operação e relata o evento.
Se nenhuma delas for selecionada, a assinatura será desativada. A Prevenção de exploração permite aoperação e não relata o evento.
O arquivo de conteúdo da Prevenção de exploração automaticamente define a ação para assinaturasdependendo do nível de gravidade. É possível alterar a ação para uma assinatura específica na seçãoAssinaturas das configurações da Prevenção de exploração. Qualquer alteração feita nas ações daassinatura se mantém durante as atualizações de conteúdo.
Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 75
Regras comportamentais
As regras comportamentais bloqueiam ataques de dia zero e impõem comportamentos adequados aosistema operacional e aos aplicativos. As regras comportamentais heurísticas definem um perfil deatividade legítima. A atividade que não corresponder a essas regras será considerada suspeita edisparará uma resposta. Por exemplo, uma regra comportamental pode definir que somente umprocesso de servidor Web pode acessar arquivos HTML. Se qualquer outro processo tentar acessararquivos HTML, a Prevenção de exploração executará a ação especificada. Esse tipo de proteção,chamado de blindagem e encapsulamento de aplicativos, impede que os aplicativos e seus dadossejam comprometidos e impede que os aplicativos sejam usados para atacar outros aplicativos.
Além disso, as regras comportamentais bloqueiam explorações de estouro de buffer, impedindo aexecução de código que resulta de um ataque de estouro de buffer, um dos métodos de ataque maiscomuns.
Níveis de gravidade
Cada assinatura tem um nível de gravidade, que descreve o perigo em potencial de um ataque.
• Alto — Assinaturas que protegem contra ameaças de segurança ou ações maliciosas claramenteidentificáveis. A maioria dessas assinaturas é específica de explorações bem identificadas e não édo tipo comportamental.
Para evitar expor sistemas a ataques de exploração, defina as assinaturas com gravidade Alta paraBloquear em cada host.
• Média — Assinaturas que são do tipo comportamental e impedem que os aplicativos operem fora deseu ambiente (relevante para clientes que protegem servidores Web e o Microsoft SQL Server2000).
Prática recomendada: em servidores críticos, defina assinaturas com a gravidade Média paraBloquear após o ajuste.
• Baixa — Assinaturas do tipo comportamental e aplicativos de blindagem. Blindagem significabloquear o aplicativo e os recursos do sistema, de modo que eles não possam ser alterados.
A definição de assinaturas com a gravidade Baixa para Bloquear aumenta a segurança do sistema,mas requer ajuste adicional.
• Informativa — Indica uma alteração na configuração do sistema que pode criar um risco à segurançabenigno ou uma tentativa de acessar informações confidenciais do sistema. Eventos nesse nívelocorrem durante a atividade normal do sistema e, em geral, não são prova de um ataque.
• Desativada — Lista assinaturas que estão desativadas no arquivo de conteúdo da Prevenção deexploração.
Não é possível ativar assinaturas com a gravidade Desativado.
Regras de proteção do aplicativo e como elas funcionamAs Regras de proteção do aplicativo definem os executáveis que são monitorados quanto a assinaturasde Prevenção de exploração. Se um executável não estiver incluído na lista, ele não será monitorado.
As assinaturas da Prevenção de exploração incluem duas classes:
• As Assinaturas de Estouro de buffer fornecem proteção de memória monitorando o espaço damemória usado pelos processos.
• As assinaturas de API monitoram chamadas de API entre os processos em execução no modo deusuário e o kernel.
3 Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças
76 McAfee Endpoint Security 10.5 Guia do produto
O conteúdo da Prevenção de exploração fornecido pela McAfee inclui uma lista de aplicativos que sãoprotegidos. A Prevenção contra ameaças exibe esses aplicativos na seção Regras de proteção doaplicativo das configurações de Prevenção de exploração.
Para manter a proteção atualizada, as atualizações do conteúdo da Prevenção de exploraçãosubstituem as regras de proteção do aplicativo definidas pela McAfee nas configurações de Prevenção deexploração com as regras de proteção do aplicativo mais recentes.
É possível ativar, desativar, excluir e alterar o status de inclusão das regras de proteção do aplicativodefinidas pela McAfee. Além disso, é possível criar e duplicar suas próprias regras de proteção doaplicativo. Qualquer alteração feita nessas regras será mantida ao longo das atualizações de conteúdo.
Se a lista incluir regras de proteção do aplicativo conflitantes, as regras com o Status de inclusãoExcluir terão precedência sobre Incluir.
O Cliente do Endpoint Security exibe a lista completa de aplicativos protegidos, não somente osaplicativos atualmente em execução no sistema cliente. Esse comportamento é diferente do McAfeeHost IPS.
Para sistemas gerenciados, as regras de proteção do aplicativo criadas no Cliente do Endpoint Securitynão são enviadas para o McAfee ePO e podem ser sobrescritas quando o administrador distribui umapolítica atualizada.
Definir configurações da Prevenção de exploraçãoPara evitar que aplicativos executem código arbitrário no sistema cliente, configure as exclusões daPrevenção de exploração, as assinaturas definidas pela McAfee e as regras de proteção do aplicativo.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
É possível definir a ação para assinaturas definidas pela McAfee. É possível ativar, desativar, excluir ealterar o status de inclusão das regras de proteção do aplicativo definidas pela McAfee. Também épossível criar e duplicar suas próprias regras de proteção do aplicativo. Qualquer alteração feitanessas regras será mantida ao longo das atualizações de conteúdo.
Para a lista de processos protegidos pela Prevenção de exploração, consulte KB58007.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 Clique em Prevenção contra ameaças na página Status principal.
Ou, no menu Ação , selecione Configurações e clique em Prevenção contra ameaças na páginaConfigurações.
3 Clique em Mostrar opções avançadas.
4 Clique em Prevenção de exploração.
5 Defina as configurações na página e clique em Aplicar para salvar suas alterações ou clique emCancelar.
Consulte também Entrar como administrador na página 26
Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 77
Exclusão de processos da Prevenção de exploraçãoSe um programa confiável for bloqueado, crie uma exclusão para excluí-lo da Prevenção deexploração. É possível excluir o processo por nome do processo, módulo do chamados, API ou ID deassinatura. Também é possível criar regras de Proteção do aplicativo para incluir ou excluir processosda proteção.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 Clique em Prevenção contra ameaças na página Status principal.
Ou, no menu Ação , selecione Configurações e clique em Prevenção contra ameaças na páginaConfigurações.
3 Clique em Mostrar opções avançadas.
4 Clique em Prevenção de exploração.
5 Verifique se a Prevenção de exploração está ativada.
6 Execute uma das seguintes ações:
Para... Faça isto...
Excluir processos detodas as regras.
1 Na seção Exclusões, clique em Adicionar.
2 Na página Adicionar exclusão, configure as propriedades de exclusão.
3 Clique em Salvar e em Aplicar para salvar as configurações.
Especificar processospara inclusão ouexclusão em uma regrade Proteção doaplicativo definida porusuário.
1 Edite uma regra definida por usuário existente ou adicione uma regrade Proteção do aplicativo.
2 Na página Adicionar regra ou Editar regra, na seção Executáveis, clique emAdicionar para adicionar executáveis a serem excluídos ou incluídos.
3 Na página Adicionar executável, configure as propriedades do executável.
4 Clique duas vezes em Salvar e, em seguida, clique em Aplicar para salvaras configurações.
Exclusões da Prevenção de exploração e como elas funcionamOcorre um falso positivo quando um comportamento normal da rotina de trabalho do usuário éinterpretado como um ataque. Para evitar falsos positivos, crie uma exclusão para essecomportamento.
As exclusões permitem reduzir alertas de falsos positivos, minimizando dados desnecessários egarantindo que os alertas emitidos sejam para ameaças de segurança legítimas.
Por exemplo, durante o processo de teste de clientes, um cliente reconhece a assinatura "Java –Criação de arquivos suspeitos na pasta Temp". A assinatura sinaliza que o aplicativo de Java estátentando criar um arquivo na pasta Temp do Windows. Um evento disparado por essa assinatura émotivo de alarme, pois um aplicativo do Java pode estar sendo usado para fazer download de malwarepara a pasta Temp do Windows. Nessa instância, você pode suspeitar, com razão, que um cavalo deTroia foi instalado. Mas se o processo normalmente criar arquivos na pasta Temp, por exemplo, salvarum arquivo usando o aplicativo do Java, crie uma exclusão para permitir essa ação.
3 Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças
78 McAfee Endpoint Security 10.5 Guia do produto
Quando ocorre um evento de violação à Prevenção de exploração, há um processo associado e umpossível módulo de chamadas, API ou assinatura. Se você suspeitar que o evento de violação é umfalso positivo, adicione uma exclusão para um ou mais desses identificadores.
Para sistemas gerenciados, as exclusões da Prevenção de exploração criadas no Cliente do EndpointSecurity não são enviadas para o McAfee ePO e podem ser sobrescritas quando o administradordistribui uma política atualizada. Configure exclusões globais na política Prevenção de exploração noMcAfee ePO.
Ao especificar exclusões, considere o seguinte:
• Todas as exclusões são independentes: várias exclusões são conectadas por um OR lógico de modoque, se uma exclusão for correspondente, o evento de violação não ocorrerá.
• É necessário especificar pelo menos um Processo, Módulo do chamador, API ou Assinatura.
• As exclusões com o Módulo do chamador ou a API não se aplicam ao DEP.
• Para exclusões de Processo, é necessário especificar pelo menos um identificador: Nome oucaminho do arquivo, Hash de MD5 ou Signatário.
• Se você especificar mais de um identificador, todos os identificadores se aplicarão.
• Se você especificar mais de um identificador e eles não forem correspondentes (por exemplo, onome do arquivo e o hash de MD5 não se aplicarem ao mesmo arquivo), a exclusão será inválida.
• Exclusões não diferenciam maiúsculas de minúsculas.
• É permitido o uso de caracteres curinga para todos, exceto para o hash de MD5.
• Se você incluir IDs de assinatura em uma exclusão, a exclusão somente se aplicará ao processonas assinaturas especificadas. Se nenhuma ID de assinatura for especificada, a exclusão seaplicará ao processo em todas as assinaturas.
Detectar programas potencialmente indesejadosPara proteger o computador gerenciado contra programas potencialmente indesejados, especifique osarquivos e programas a serem detectados em seu ambiente e, em seguida, ative a detecção.
Programas potencialmente indesejados são programas de software incômodos ou que podem alterar oestado de segurança ou a política de privacidade do sistema. Programas potencialmente indesejadospodem ser incorporados a programas que usuários baixam intencionalmente. Programas indesejadospodem incluir programas de spyware, adware e discadores.
1 Especifique programas indesejados personalizados a detectar pelos mecanismos de varredura aoacessar e por solicitação nas definições de em Opções.
2 Ative a detecção de programas indesejados e especifique as ações a serem realizadas no caso dedetecções nestas configurações:
• Definições de de Varredura ao acessar
• Definições de de Varredura por solicitação
Consulte também Especificar programas potencialmente indesejados personalizados a detectar na página 80Ativar e configurar detecção e respostas de programas potencialmente indesejados na página80Configurar as definições de de Varredura ao acessar na página 83Configurar definições da política de na página 90
Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 79
Especificar programas potencialmente indesejados personalizados adetectarEspecifique programas adicionais para os mecanismos de varredura ao acessar e por solicitação aserem tratados como programas indesejados nas definições de política Opções.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
Os mecanismos de varredura detectam os programas especificados por você e os programasespecificados nos arquivos de conteúdo do AMCore.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 Clique em Prevenção contra ameaças na página Status principal.
Ou, no menu Ação , selecione Configurações e clique em Prevenção contra ameaças na páginaConfigurações.
3 Clique em Mostrar opções avançadas.
4 Clique em Opções.
5 Em Detecções de programas potencialmente indesejados:• Clique em Adicionar para especificar o nome e a descrição opcional de um arquivo ou programa a
ser tratado como programa potencialmente indesejado.
A Descrição aparece como nome da detecção quando ocorre uma detecção.
• Clique duas vezes sobre o nome ou descrição de um programa potencialmente indesejadoexistente para modificar.
• Selecione um programa potencialmente indesejado existente, depois clique em Excluir pararemovê-lo da lista.
Consulte também Entrar como administrador na página 26
Ativar e configurar detecção e respostas de programas potencialmenteindesejadosAtive os mecanismos de varredura ao acessar e por solicitação para detectar programaspotencialmente indesejados e especificar respostas quando uma for encontrada.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
3 Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças
80 McAfee Endpoint Security 10.5 Guia do produto
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Configurar definições da de Varredura ao acessar.
a Abra o Cliente do Endpoint Security.
b Clique em Prevenção contra ameaças na página Status principal.
Ou, no menu Ação , selecione Configurações e clique em Prevenção contra ameaças na páginaConfigurações.
c Clique em Mostrar opções avançadas.
d Clique em Varredura ao acessar.
e Em Configurações do processo, para cada tipo de Varredura ao acessar, selecione Detectar programasindesejados.
f Em Ações, configure as respostas aos programas indesejados.
2 Configure as definições de da Varredura por solicitação.
a Abra o Cliente do Endpoint Security.
b Clique em Prevenção contra ameaças na página Status principal.
Ou, no menu Ação , selecione Configurações e clique em Prevenção contra ameaças na páginaConfigurações.
c Clique em Mostrar opções avançadas.
d Clique em Varredura por solicitação.
e Para cada tipo de varredura (Varredura completa, Varredura rápida e Varredura por clique no botão direito):
• Selecione Detectar programas indesejados.
• Em Ações, configure as respostas aos programas indesejados.
Consulte também Configurar as definições de de Varredura ao acessar na página 83Configurar definições da política de na página 90Entrar como administrador na página 26
Configure definições de varreduras comunsPara especificar as configurações válidas para varreduras ao acessar e por solicitação, configure asdefinições da política Prevenção contra ameaças Opções.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
Estas configurações se aplicam a todas as varreduras:
• O local da quarentena e o número de dias em que os itens deverão ser mantidos em quarentenaantes de serem excluídos automaticamente
• Nomes de detecção a serem excluídos das varreduras
Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 81
• Proteção contra programas indesejados, como spyware e adware
• Comentário de telemetria com base no McAfee GTI
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 Clique em Prevenção contra ameaças na página principal de Status.
Ou, no menu Ação , selecione Configurações e clique em Prevenção contra ameaças na páginaConfigurações.
3 Clique em Mostrar Avançados.
4 Clique em Opções.
5 Defina as configurações na página e clique em Aplicar para salvar suas alterações ou clique emCancelar.
Consulte também Entrar como administrador na página 26Configurar as definições de de Varredura ao acessar na página 83Configurar definições da política de na página 90
Como o McAfee GTI funcionaSe você ativar o McAfee GTI para o mecanismo de varredura ao acessar ou por solicitação, omecanismo de varredura usará heurística para verificar se há arquivos suspeitos.
O mecanismo de varredura envia impressões digitais de amostras, ou hashes, para um servidor debanco de dados central hospedado pelo McAfee Labs para determinar se elas são programas demalware. Com o envio de hashes, a detecção pode ser disponibilizada antes da próxima atualização dearquivo de conteúdo, quando o McAfee Labs publicar a atualização.
Você pode configurar o nível de sensibilidade a ser usado pelo McAfee GTI ao determinar se umaamostra detectada é malware. Quanto mais alto o nível de sensibilidade, maior o número de detecçõesde malware. No entanto, se mais detecções forem permitidas, poderá haver mais resultados falsospositivos. O nível de sensibilidade do McAfee GTI é definido como Médio por padrão. Configure o nívelde sensibilidade para cada mecanismo de varredura nas configurações de Varredura ao acessar eVarredura por solicitação.
Você pode configurar o Endpoint Security para usar um servidor proxy para recuperar informações dereputação do McAfee GTI nas configurações do Em Comum.
Para perguntas frequentes sobre o McAfee GTI, consulte KB53735.
3 Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças
82 McAfee Endpoint Security 10.5 Guia do produto
Configurar as definições de de Varredura ao acessarEssas definições ativam e configuram a varredura ao acessar, o que inclui a especificação demensagens a serem enviadas quando uma ameaça é detectada e definições diferentes com base notipo de processo.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
Consulte a Ajuda para saber sobre as configurações de Opções da Prevenção contra ameaças e obtermais opções de configuração de varredura.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 Clique em Prevenção contra ameaças na página Status principal.
Ou, no menu Ação , selecione Configurações e clique em Prevenção contra ameaças na páginaConfigurações.
3 Clique em Mostrar opções avançadas.
4 Clique em Varredura ao acessar.
5 Selecione Ativar varredura ao acessar para ativar o mecanismo de varredura ao acessar e modificar asopções.
6 Especifique se devem ser usadas Definições padrão para todos os processos ou definiçõesdiferentes para processos de alto e baixo risco.
• Definições padrão — Configure as definições de varredura na guia Padrão.
• Definições diferentes baseadas no tipo de processo — Selecione a guia (Padrão, Alto risco ouBaixo risco) e configure as definições de varredura para cada tipo de processo.
7 Clique em Aplicar para salvar suas alterações ou clique em Cancelar.
Consulte também Entrar como administrador na página 26Configure definições de varreduras comuns na página 81
Escolher quando varrer arquivos com o mecanismo de varredura aoacessarVocê pode especificar quando o mecanismo de varredura ao acessar varre os arquivos: ao gravar nodisco, ao ler no disco ou deixar que a McAfee decida quando.
Ao gravar no disco ("Varredura de gravação")
A opção Varredura de gravação não impede acesso aos arquivos, antes ou após a varredura, e,portanto, pode deixar o sistema vulnerável a ataques.
Quando você seleciona a opção Varredura de gravação, o mecanismo de varredura examina o arquivosomente depois que ele for gravado no disco e fechado. Um processo pode executar uma operação deLeitura, Abertura ou Execução no arquivo antes que o mecanismo de varredura possa realizar uma
Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 83
Varredura de gravação, o que pode resultar em infecção. Além disso, os aplicativos podem encontrarerros de SHARING_VIOLATION se acessarem o arquivo novamente após gravá-lo, enquanto umaVarredura de gravação está em andamento.
O mecanismo de varredura ao acessar examina quando os arquivos são:
• Criados ou alterados no disco rígido local.
• Copiados ou movidos de uma unidade mapeada para o disco rígido local (se a opção Nas unidades darede também estiver ativada).
• Copiados ou movidos de um disco rígido local para uma unidade mapeada (se a opção Nas unidadesda rede também estiver ativada).
Ao ler o disco ("Varredura de leitura")
Prática recomendada: ative a opção Varredura de leitura para fornecer segurança contra epidemias.
Quando você seleciona a opção Varredura de leitura, o mecanismo de varredura impede o acesso aosarquivos, a menos que seja determinado que eles sejam limpos.
O mecanismo de varredura ao acessar examina quando os arquivos são:
• Lidos, abertos ou executados no disco rígido local.
• Lidos, abertos ou executados em unidades de rede mapeadas (se a opção Nas unidades da redetambém estiver ativada).
Deixar a McAfee decidir
Prática recomendada: ative essa opção para que a proteção e o desempenho sejam melhores.
Quando você seleciona essa opção, o mecanismo de varredura ao acessar usa a lógica de confiançapara otimizar a varredura. A lógica de confiança melhora sua segurança e impulsiona o desempenhocom impedimento da varredura, evitando varreduras desnecessárias. Por exemplo, a McAfee analisa econsidera que alguns programas são confiáveis. Se a McAfee constatar que esses programas nãoforam adulterados, o mecanismo de varredura poderá realizar uma varredura reduzida ou otimizada.
Como a varredura ao acessar funcionaO mecanismo de varredura ao acessar se integra ao sistema nos níveis mais baixos (driver de filtro dosistema de arquivos) e varre arquivos onde entram primeiro no sistema.
Quando ocorrem detecções, o mecanismo de varredura ao acessar envia notificações à Interface doserviço.
Se você configurar o McAfee GTI, o mecanismo de varredura usará a heurística para verificar se háarquivos suspeitos.
Windows 8 e 10 — Se o mecanismo de varredura detectar uma ameaça no caminho de um aplicativoda Windows Store instalado, ele o marcará como adulterado. O Windows adiciona o sinalizadoradulterado ao bloco do aplicativo. Quando você tenta executá-lo, o Windows envia uma notificaçãosobre o problema e o direciona à Windows Store para efetuar uma reinstalação.
O mecanismo de varredura usa estes critérios para determinar se um item deve ser varrido:
• A extensão do arquivo corresponde à configuração.
• As informações do arquivo não estão no cache de varredura global.
• O arquivo não foi excluído ou varrido previamente.
3 Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças
84 McAfee Endpoint Security 10.5 Guia do produto
Varredura de leitura
Quando a varredura de leitura é selecionada e há uma tentativa de leitura, abertura ou execução deum arquivo:
1 O mecanismo de varredura bloqueia a solicitação.
2 O mecanismo de varredura determina se o item precisa ser varrido.
• Se não for necessário varrer o arquivo, o mecanismo de varredura desbloqueará o arquivo,armazenará em cache as informações do arquivo e concederá a operação.
• Se for necessário varrer o arquivo, o mecanismo de varredura varrerá o arquivo, comparando-ocom assinaturas no arquivo de conteúdo do AMCore atualmente carregado.
• Se o arquivo estiver limpo, o mecanismo de varredura bloqueará o arquivo e armazenará oresultado em cache.
• Se o arquivo contiver uma ameaça, o mecanismo de varredura negará acesso ao arquivo eexecutará a ação configurada.
Por exemplo, se a ação for limpar o arquivo, o mecanismo de varredura:
1 Usará as informações do arquivo de conteúdo do AMCore carregado atualmente paralimpar o arquivo.
2 Registrará os resultados no log de atividades.
3 Notificará o usuário de que ele detectou uma ameaça em um arquivo e avisará sobre aação a ser executada (limpar ou excluir o arquivo).
Varredura de gravação
O mecanismo de varredura examina o arquivo somente depois que ele é gravado em disco e fechado.
Quando a Varredura de gravação é selecionada e um arquivo é gravado em disco:
1 O mecanismo de varredura determina se o item precisa ser varrido.
a Se não for necessário varrer o arquivo, o mecanismo de varredura armazenará as informaçõesdo arquivo em cache e concederá a operação.
b Se for necessário varrer o arquivo, o mecanismo de varredura varrerá o arquivo, comparando-ocom assinaturas no arquivo de conteúdo do AMCore atualmente carregado.
• Se o arquivo estiver limpo, o mecanismo de varredura armazenará o resultado em cache.
• Se o arquivo contiver uma ameaça, o mecanismo de varredura executará a açãoconfigurada.
O mecanismo de varredura não nega acesso ao arquivo.
Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 85
Quando o cache de varredura global é removido?
A lista de detecções da varredura ao acessar é limpa quando o serviço do Endpoint Security éreiniciado ou sistema é reinicializado.
A Prevenção contra ameaças remove o cache de varredura global e faz uma nova varredura de todosos arquivos quando:
• A configuração da Varredura ao acessar é alterada.
• É adicionado um arquivo Extra.DAT.
• O sistema é reinicializado no modo de segurança.
Se o processo for assinado por um certificado confiável, o certificado de assinatura será armazenadoem cache e permanecerá no cache após a reinicialização do sistema. Há menor probabilidade de omecanismo de varredura varrer arquivos acessados pelos processos que são assinados por umcertificado confiável armazenado em cache, o que resulta no impedimento de varredura e desempenhoaprimorado.
3 Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças
86 McAfee Endpoint Security 10.5 Guia do produto
Práticas recomendadas: redução do impacto de varreduras ao acessar nosusuáriosPara minimizar o impacto das varreduras ao acessar no sistema, selecione opções para evitarimpactos no desempenho do sistema e varrer somente o que for necessário.
Escolher opções de desempenho
Algumas opções de varredura podem afetar negativamente o desempenho do sistema. Por essemotivo, somente selecione essas opções se precisar varrer itens específicos. Marque ou desmarqueessas opções nas configurações da Varredura ao acessar.
• Processos de varredura na inicialização do serviço e na atualização do conteúdo — Varre de novo todos os processosque estão atualmente na memória sempre que você:
• Você reativa as varreduras ao acessar.
• Os arquivos de conteúdo são atualizados.
• O sistema é iniciado.
• O processo McShield.exe é iniciado.
como alguns programas ou executáveis são iniciados automaticamente quando você inicializa osistema, desmarque essa opção para melhorar o tempo de inicialização do sistema.
• Varrer instaladores confiáveis — Varre arquivos MSI (instalados por msiexec.exe e assinados pela McAfeeou pela Microsoft) ou arquivos de serviço do Instalador Confiável do Windows.
desmarque essa opção para melhorar o desempenho de instaladores grandes de aplicativos daMicrosoft.
Varrer somente o que é necessário
A varredura de alguns tipos de arquivos pode afetar negativamente o desempenho do sistema. Porisso, selecione estas opções somente se precisar varrer tipos de arquivos específicos. Marque oudesmarque essas opções na seção O que varrer das configurações da Varredura ao acessar.
• Nas unidades da rede — Varre recursos em unidades de rede mapeadas.
desmarque essa opção para melhorar o desempenho.
• Abertos para backup — Varre arquivos quando estes são acessados pelo software de backup.
na maioria dos ambientes, não é necessário ativar essa configuração.
• Arquivos mortos compactados — Examina o conteúdo de arquivos mortos (compactados), incluindoarquivos .jar.
Mesmo que um arquivo morto contenha arquivos infectados, os arquivos não poderão infectar osistema até que o arquivo morto seja extraído. Quando o arquivo morto é extraído, a Varredura aoacessar examina os arquivos e detecta qualquer malware.
Sobre o ScriptScanO ScriptScan é um Objeto Auxiliar de Navegador que examina códigos JavaScript e VBScript quanto ascripts maliciosos antes que sejam executados. Se o script estiver limpo, ele será encaminhado aoJavaScript ou VBScript para tratamento. Se o ScriptScan detectar script malicioso, ele bloqueará aexecução do script.
O ScriptScan examina scripts para o Internet Explorer somente. Ele não analisa scripts em todo osistema e não examina scripts executados por wscript.exe ou cscript.exe.
Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 87
Quando a Prevenção contra ameaças estiver instalada, na primeira vez que o Internet Explorer foriniciado, será exibido um aviso para habilitar um ou mais complementos da McAfee. Para que oScriptScan varra scripts:
• A configuração Ativar ScriptScan deve estar selecionada. O ScriptScan é desativado por padrão.
• O complemento deve ser ativado no navegador.
Se o ScriptScan estiver desativado quando o Internet Explorer for iniciado e ativado, ele não detectaráscripts maliciosos nessa instância do Internet Explorer. É necessário reiniciar o Internet Explorer apósativar o ScriptScan para que ele detecte scripts maliciosos.
• Se o script estiver limpo, o mecanismo de varredura de scripts o transmitirá para o Windows ScriptHost nativo.
• Se o script contiver uma ameaça em potencial, o mecanismo de varredura de scripts impedirá queele seja executado.
Práticas recomendadas: exclusões do ScriptScan
Sites com muitos scripts e aplicativos baseados na Web podem ter um desempenho ruim quando oScriptScan está ativado. Em vez de desativar o ScriptScan, recomendamos que você especifique asexclusões de URL para sites confiáveis, como sites de uma intranet ou aplicativos Web segurosconhecidos.
É possível especificar subcadeias ou URLs parciais para exclusões do ScriptScan. Se uma cadeia deexclusão corresponder a qualquer parte do URL, o URL será excluído.
Ao criar as exclusões de URL:
• Não há suporte para caracteres curinga.
• URLs mais completos resultam em desempenho aprimorado.
3 Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças
88 McAfee Endpoint Security 10.5 Guia do produto
• Não inclua números de porta.
• Use somente Nomes de domínio totalmente qualificados (FQDN) e nomes NetBIOS.
Como determinar definições de varredura para processosSiga esse processo para determinar se é necessário configurar definições diferentes com base no tipode processo.
Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 89
Configurar definições da política de Essas definições configuram o comportamento de três varreduras por solicitação predefinidas:Varredura completa, Varredura rápida e Varredura por clique no botão direito.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
Consulte a Ajuda para saber sobre as configurações de Opções da Prevenção contra ameaças e obtermais opções de configuração de varredura.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 Clique em Prevenção contra ameaças na página principal de Status.
Ou, no menu Ação , selecione Configurações e clique em Prevenção contra ameaças na páginaConfigurações.
3 Clique em Mostrar opções avançadas.
4 Clique em Varredura por solicitação.
5 Clique em uma guia para definir as configurações para a varredura especificada.
• Varredura completa
• Varredura rápida
• Varredura por clique no botão direito
6 Defina as configurações na página e clique em Aplicar para salvar suas alterações ou clique emCancelar.
Consulte também Entrar como administrador na página 26Configure definições de varreduras comuns na página 81Configurar, agendar e executar tarefas de varredura na página 95
3 Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças
90 McAfee Endpoint Security 10.5 Guia do produto
Como funciona a varredura por solicitaçãoO mecanismo de varredura por solicitação pesquisa os arquivos, pastas, memória e registro dosistema, e procura por qualquer malware que possa ter infectado o computador.
Você decide quando e com que frequência as varreduras por solicitação ocorrem. Você pode fazer avarredura dos sistemas manualmente, em um momento programado ou durante a inicialização dosistema.
1 O mecanismo de varredura por solicitação usa os seguintes critérios para determinar se o itemdeve ser examinado na varredura:
• A extensão do arquivo corresponde à configuração.
• O arquivo não foi armazenado em cache, excluído ou varrido anteriormente (caso o mecanismode varredura use o cache de varredura).
Se você configurar o McAfee GTI, o mecanismo de varredura usa a heurística para verificar arquivossuspeitos.
2 Se o arquivo atender aos critérios de varredura, o mecanismo de varredura fará a comparação dasinformações do item com assinaturas de programas de malware conhecidos nos arquivos deconteúdo do AMCore atualmente carregados.
• Se o arquivo estiver limpo, o resultado é armazenado em cache e o mecanismo de varreduraverifica o próximo item.
• Se o arquivo contiver uma ameaça, o mecanismo de varredura executará a ação configurada.
Por exemplo, se a ação é para limpar o arquivo, o mecanismo de varredura:
1 Usa as informações do arquivo de conteúdo AMCore carregado atualmente para limpar oarquivo.
2 Registra os resultados no log de atividades.
3 Notifica o usuário sobre a detecção de uma ameaça no arquivo e inclui o nome do item e aação executada.
Windows 8 e 10 — Se o mecanismo de varredura detectar uma ameaça no caminho de umaplicativo da Windows Store instalado, ele o marcará como adulterado. O Windows adiciona osinalizador adulterado ao bloco do aplicativo. Quando você tenta executá-lo, o Windows enviauma notificação sobre o problema e o direciona à Windows Store para efetuar uma reinstalação.
3 Se o item não atender aos requisitos de varredura, o mecanismo de varredura não o verifica. Aoinvés disso, o mecanismo continua até haja ocorrido a varredura de todos os dados.
Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 91
A lista de detecções da varredura por solicitação é limpa quando a varredura por solicitação seguinte éiniciada.
O Prevenção contra ameaças limpa o cache de varredura global e realiza uma nova varredura de todosos arquivos quando um Extra.DAT é carregado.
Práticas recomendadas: redução do impacto de varreduras por solicitaçãonos usuáriosPara minimizar o impacto das varreduras por solicitação no sistema, selecione opções para evitarimpactos no desempenho do sistema e varrer somente o que for necessário.
Varrer somente quando o sistema estiver ociosoA forma mais fácil de garantir que a varredura não tenha impacto nos usuários é executar a varredurapor solicitação somente quando o computador estiver ocioso.
Quando a opção está ativada, a Prevenção contra ameaças pausa a varredura ao detectar atividade dodisco ou do usuário, como acesso usando o teclado ou o mouse. A Prevenção contra ameaçasretomará a varredura se o usuário não acessar o sistema por três minutos.
Opcionalmente é possível:
• Permitir que os usuários retomem as varreduras que foram pausadas devido à atividade dousuário.
• Voltar a executar a varredura somente quando o sistema estiver ocioso.
Desative essa opção somente em sistemas de servidor e sistemas que os usuários acessam usando aRDP (Remote Desktop Connection - Conexão de área de trabalho remota). A Prevenção contraameaças depende do McTray para determinar se o sistema está ocioso. Em sistemas acessados apenaspor RDP, o McTray não é iniciado e o mecanismo de varredura por solicitação jamais é executado. Paracontornar esse problema, os usuários podem iniciar o McTray (em C:\Arquivos de programas\McAfee\Agent\mctray.exe, por padrão) manualmente quando entrarem usando a RDP.
3 Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças
92 McAfee Endpoint Security 10.5 Guia do produto
Selecione Varrer somente quando o sistema estiver ocioso na seção Desempenho na guia de Configurações deTarefa de varredura.
Pausar varreduras automaticamente
Para melhorar o desempenho, você pode pausar varreduras por solicitação quando o sistema estiverfuncionando com bateria. Você também pode pausar a varredura quando um aplicativo, como umnavegador, tocador de mídia ou apresentação, estiver sendo executado no modo de tela cheia. Avarredura é retomada automaticamente quando o sistema for conectado à energia ou não estiver maisno modo de tela cheia.
• Não varra quando o sistema estiver funcionando com bateria
• Não varra quando o sistema estiver no modo de apresentação (disponível quando a opção Varrer a qualquer momentoestá selecionada)
Selecione essas opções na seção Desempenho da guia Configurações da Tarefa de varredura.
Permitir que os usuários adiem varreduras
Se você escolher Varrer a qualquer momento, poderá permitir que os usuários adiem varreduras agendadasem incrementos de uma hora, até 24 horas ou permanentemente. Cada adiamento de usuário podedurar uma hora. Por exemplo, se a opção Número máximo de horas que o usuário pode adiar estiver configuradacomo 2, o usuário poderá adiar a tarefa de varredura duas vezes (por duas horas). Quando o númeromáximo especificado de horas terminar, a varredura continuará. Se você permitir adiamentosilimitados configurando a opção como 0, o usuário poderá continuar adiando a varredurapermanentemente.
Selecione Usuário pode adiar varreduras na seção Desempenho da guia Configurações da Tarefa devarredura.
Limitar atividades de varredura com varreduras incrementais
Use varreduras incrementais, ou retomáveis, para estabelecer limites quando as atividades devarredura por solicitação ocorrerem e ainda varrer todo o sistema em várias sessões. Para usar avarredura incremental, adicione um limite de tempo à varredura agendada. A varredura éinterrompida quando o limite de tempo é alcançado. Na próxima vez em que essa tarefa for iniciada,ela continuará a partir do ponto do arquivo e da estrutura de pasta em que a varredura anterior foiinterrompida.
Selecione Interromper a tarefa caso ela seja executada por mais de na seção Opções da guia Agendamento daTarefa de varredura.
Configurar a utilização do sistema
A utilização do sistema especifica o período de tempo de CPU que o mecanismo de varredura recebedurante a varredura. Para sistemas com atividade do usuário final, defina a utilização do sistema comoBaixa.
Selecione Utilização do sistema na seção Desempenho da guia Configurações da Tarefa de varredura.
Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 93
Varrer somente o que é necessário
A varredura de alguns tipos de arquivos pode afetar negativamente o desempenho do sistema. Porisso, selecione estas opções somente se precisar varrer tipos de arquivos específicos. Selecione oudesmarque essas opções na seção O que varrer da guia Configurações da Tarefa de varredura.
• Arquivos migrados para o armazenamentoAlgumas soluções de armazenamento de dados offline substituem arquivos por um arquivo stub.Quando o mecanismo de varredura encontra um arquivo stub, o que indica que o arquivo foimigrado, o mecanismo de varredura restaura o arquivo para o sistema local antes da varredura. Oprocesso de restauração pode impactar negativamente o desempenho do sistema.
desmarque essa opção a menos que precise varrer especificamente os arquivos armazenados.
• Arquivos mortos compactadosMesmo que um arquivo morto contenha arquivos infectados, os arquivos não poderão infectar osistema até que o arquivo morto seja extraído. Quando o arquivo morto é extraído, a Varredura aoacessar examina os arquivos e detecta qualquer malware.
Prática recomendada: como a varredura de arquivos mortos compactados pode afetarnegativamente o desempenho do sistema, desmarque essa opção para melhorar o desempenho dosistema.
Consulte também Configurar definições da política de na página 90Configurar, agendar e executar tarefas de varredura na página 95
Como funciona a utilização do sistemaO mecanismo de varredura por solicitação usa as configurações “Definir prioridade” do Windows para oprocesso de varredura e prioridade de threads. A configuração da utilização do sistema (limitação)permite que o sistema operacional defina o período de tempo de CPU que o mecanismo de varredurapor solicitação recebe durante o processo de varredura.
Configurar a utilização do sistema para varredura como Baixo fornece um desempenho aprimoradopara outros aplicativos em execução. A configuração baixa é útil para sistemas com atividade deusuário final. Inversamente, ao configurar a utilização do sistema como Normal, a varredura éconcluída mais rapidamente. A configuração normal é útil para sistemas que tenham grandes volumese pouca atividade de usuário final.
Cada tarefa é executada de forma independente, sem levar em consideração os limites das outrastarefas.
Tabela 3-2 Configurações de processo padrão
Configurações deprocesso do Prevençãocontra ameaças
Esta opção... Configurações de“Definir prioridade” doWindows
Baixo Fornece um desempenho aprimorado paraoutros aplicativos em execução. Select thisoption for systems with end-user activity.
Baixo
Abaixo do normal Configura a utilização do sistema paravarredura com o valor padrão do McAfeeePO.
Abaixo do normal
Normal (Padrão) Permite que a varredura seja concluída commais rapidez. Selecione essa opção parasistemas que tenham grandes volumes epouca atividade de usuário final.
Normal
3 Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças
94 McAfee Endpoint Security 10.5 Guia do produto
Como funciona a varredura de Armazenamento remotoVocê pode configurar o mecanismo de varredura por solicitação para varrer o conteúdo de arquivosgerenciados pelo Armazenamento remoto.
O Armazenamento remoto monitora a quantidade de espaço disponível no sistema local. Quandonecessário, o Armazenamento remoto automaticamente migra o conteúdo (dados) de arquivosqualificados do sistema cliente para um dispositivo de armazenamento, como uma biblioteca de fitas.Quando um usuário abre um arquivo cujos dados foram migrados, o Armazenamento remotoautomaticamente recupera os dados do dispositivo de armazenamento.
Selecione a opção Arquivos migrados para o armazenamento para configurar o mecanismo de varredura porsolicitação e varrer arquivos gerenciados pelo Armazenamento remoto. Quando o mecanismo devarredura encontra um arquivo com conteúdo migrado, ele restaura o arquivo para o sistema localantes da varredura.
Para obter mais informações, consulte O que é o Armazenamento remoto.
Configurar, agendar e executar tarefas de varredura É possível agendar tarefas padrão de Varredura completa e Varredura rápida ou criar tarefas de varredurapersonalizadas a partir do Cliente do Endpoint Security nas configurações Em Comum.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 No menu Ação , selecione Configurações.
3 Clique em Mostrar opções avançadas.
4 A partir da opção Em Comum, clique em Tarefas.
5 Configure as definições da tarefa de varredura na página.
Para... Siga esses passos
Crie uma tarefa devarredura personalizada.
1 Clique em Adicionar.
2 Digite o nome, selecione Varredura personalizada na lista suspensa eclique em Próximo.
3 Configure as definições da tarefa de varredura e agendamento eclique em OK para salvar a tarefa.
Altere uma tarefa devarredura.
• Clique duas vezes na tarefa, faça as suas alterações e, em seguida,clique em OK para salvar a tarefa.
Remova uma tarefa devarredura personalizada.
• Selecione a tarefa e clique em Excluir.
Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 95
Para... Siga esses passos
Crie uma cópia de umatarefa de varredura.
1 Selecione a tarefa e clique em Duplicar.
2 Digite o nome, configure as definições e clique em OK para salvar atarefa.
Altere o agendamentopara uma tarefa deVarredura completa ouVarredura rápida.
1 Clique duas vezes em Varredura completa ou Varredura rápida.
2 Clique na guia Agendamento, mude o agendamento e clique em OK parasalvar a tarefa.
É possível configurar as configurações de tarefa Varredura completa eVarredura rápida somente em sistemas autogerenciados.
Por padrão, a Varredura completa está agendada para ser executada todaquarta-feira à meia-noite. A Varredura Rápida está agendada para serexecutada para todos os dias às 19h. Os agendamentos estão ativados.
Execute uma tarefa devarredura.
• Selecione a tarefa e clique em Executar agora.
Se a tarefa já estiver em execução, mesmo que seja pausada ouadiada, o botão será alterado para Exibir.
Se você executar uma tarefa antes de aplicar as alterações, o Clientedo Endpoint Security solicitará que você salve as configurações.
6 Clique em Aplicar para salvar suas alterações ou clique em Cancelar.
Consulte também Entrar como administrador na página 26Configurar definições da política de na página 90Executar uma Varredura completa ou uma Varredura rápida na página 56
Referência da interface do Cliente do Endpoint Security —Prevenção contra ameaças
Forneça ajuda contextual para as páginas na interface do Cliente do Endpoint Security.
Conteúdo Página Quarentena Prevenção contra ameaças — Proteção de acesso Prevenção contra ameaças — Prevenção de exploração Prevenção contra ameaças — Varredura ao acessar Prevenção contra ameaças — Varredura por solicitação Varrer locais McAfee GTI Ações Adicionar exclusão ou Editar exclusão Prevenção contra ameaças — Opções tarefa do cliente Reverter conteúdo do AMCore
3 Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças
96 McAfee Endpoint Security 10.5 Guia do produto
Página QuarentenaGerencia os itens na Quarentena.
Tabela 3-3 Opções
Opção Definição
Excluir Exclui itens selecionados da Quarentena.Os itens excluídos não podem ser restaurados.
Restaurar Restaura itens da Quarentena.O Endpoint Security restaura os itens ao local original e os remove da Quarentena.
Se um item ainda for uma ameaça válida, o Endpoint Security o devolveimediatamente à Quarentena.
Repetir a varredura Realiza uma nova varredura em itens selecionados na Quarentena.Se o item não for mais uma ameaça, o Endpoint Security restaura-o ao local originale remove-o da Quarentena.
Cabeçalho da coluna Ordena a lista de quarentena por...
Nome da detecção Nome da detecção.
Tipo Tipo de ameaça, como cavalo de Troia ou Adware.
Tempo em quarentena O período de tempo em que o item está em quarentena.
Número de objetos O número de objetos na detecção.
Versão do conteúdo do AMCore O número de versão do conteúdo do AMCore que identificou a ameaça.
Status da nova varredura O status da nova varredura, caso item tenha sido varrido novamente:• Limpo — A nova varredura não resultou em detecção de ameaças.
• Infectado — O Endpoint Security detectou uma ameaça durante a novavarredura.
Consulte também Gerenciar itens em quarentena na página 60Nome da detecção na página 61Repetição de varredura de itens em quarentena na página 63
Prevenção contra ameaças — Proteção de acessoProteja os pontos de acesso do sistema com base em regras configuradas. A Proteção de acessocompara uma ação solicitada com uma lista de regras configuradas e toma medidas de acordo com aregra.
Prática recomendada: para obter informações sobre como criar regras de Proteção de acesso paraproteção contra ransomware, consulte PD25203.
Tabela 3-4 Opções
Seção Opção Definição
PROTEÇÃO DE ACESSO Ativar proteção de acesso Ativa o recurso da Proteção de acesso.
Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 97
Tabela 3-5 Opções avançadas
Seção Opção Descrição
Exclusões Permite o acesso aos processos especificados, também designados comoexecutáveis, para todas as regras.• Adicionar — Adiciona um processo à lista de exclusões.
• Clicar duas vezes em um item — Altera o item selecionado.
• Excluir — Exclui o item selecionado.
• Duplicar — Cria uma cópia do item selecionado.
Regras Configura as regras de Proteção de acesso.Você pode ativar, desativar e alterar as regras definidas pela McAfee, mas não podeexcluí-las.
• Adicionar — Cria uma regra personalizada e a adiciona à lista.
• Clicar duas vezes em um item — Altera o item selecionado.
• Excluir — Exclui o item selecionado.
• Duplicar — Cria uma cópia do item selecionado.
• Bloquear (somente) — Bloqueia as tentativas de acesso sem registrá-las em log.
• Relatar (somente) — Registra em log sem bloquear tentativas de acesso.
• Bloquear e Relatar — Bloqueia e registra em log as tentativas de acesso.
Prática recomendada: quando o impacto total de uma regra não for conhecido,selecione Relatar, mas não Bloquear, para receber um aviso sem bloquear as tentativasde acesso. Para determinar se o acesso deve ser bloqueado, monitore os logs e osrelatórios.
Para bloquear ou relatar tudo, selecione Bloquear ou Relatar na primeira linha.
Para desativar a regra, desmarque Bloquear e Relatar.
Consulte também Configurar regras de proteção de acesso definidas pela McAfee na página 68Configurar regras de proteção de acesso definidas pelo usuário na página 72Adicionar exclusão ou Editar exclusão na página 108Página Adicionar regra ou Editar regra na página 98Regras de proteção de acesso definidas pela McAfee na página 69
Página Adicionar regra ou Editar regraAdicionar ou editar regras de proteção de acesso definidas pelo usuário.
3 Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças
98 McAfee Endpoint Security 10.5 Guia do produto
Tabela 3-6 Opções
Seção Opção Definição
Opções Nome Especifica ou indica o nome da regra. (Obrigatório)
Ação Especifica as ações da regra.• Bloquear (somente) - Bloqueia as tentativas de acesso sem registrá-las em log.
• Relatar (somente) - Avisa sobre tentativas de acesso sem bloqueá-las.
• Bloquear e Relatar — Bloqueia e registra em log as tentativas de acesso.
Prática recomendada: quando o impacto total de uma regra não for conhecido,selecione Relatar, mas não Bloquear, para receber um aviso sem bloquear astentativas de acesso. Para determinar se o acesso deve ser bloqueado, monitoreos logs e os relatórios.
Para bloquear ou relatar tudo, selecione Bloquear ou Relatar na primeira linha.
Para desativar a regra, desmarque Bloquear e Relatar.
Executáveis Especifica os executáveis para a regra.• Adicionar - Cria um executável e adiciona-o à lista.
• Clicar duas vezes em um item - Altera o item selecionado.
• Excluir — Exclui o item selecionado.
• Duplicar — Cria uma cópia do item selecionado.
• Alternar status de inclusão — Altera o status de inclusão do item entre Incluir e Excluir.
Nomes deusuário
Especifica os nomes de usuário aos quais a regra se aplica (apenas para regrasdefinidas pelo usuário).• Adicionar — Seleciona um nome de usuário e o adiciona à lista.
• Clicar duas vezes em um item - Altera o item selecionado.
• Excluir — Exclui o item selecionado.
• Duplicar — Cria uma cópia do item selecionado.
• Alternar status de inclusão — Altera o status de inclusão do item entre Incluir e Excluir.
Sub-regras Configurar sub-regras (apenas para regras definidas pelo usuário).• Adicionar — Cria uma sub-regra e a adiciona à lista.
• Clicar duas vezes em um item - Altera o item selecionado.
• Excluir — Exclui o item selecionado.
• Duplicar — Cria uma cópia do item selecionado.
Notas Apresenta mais informações sobre o item.
Consulte também Adicionar exclusão ou Editar exclusão na página 108Adicionar nome de usuário ou Editar nome de usuário na página 100Adicionar sub-regra ou Editar sub-regra na página 100
Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 99
Adicionar nome de usuário ou Editar nome de usuárioAdicionar ou editar o usuário ao qual a regra se aplica (apenas para regras definidas pelo usuário).
Tabela 3-7 Opções
Opção Definição
Nome Especifica o nome do usuário ao qual a regra se aplica.Use este formato para especificar o usuário:
• Usuário local — As entradas válidas incluem:<nome_da_máquina>\<nome_do_usuário_local>
.\<nome_do_usuário_local>
.\administrator (para o administrador local)
• Usuário de domínio — <nome do domínio>\<nome_do_usuário do domínio>
• Sistema local — Local\System especifica a conta NT AUTHORITY\System nosistema.
Status deinclusão
Especifica o status de inclusão para o usuário.• Incluir — Dispara a regra se o usuário especificado executar o executável que viola
uma sub-regra.
• Excluir — Não dispara a regra se o usuário especificado executar o executável queviola uma sub-regra.
Consulte também Página Adicionar regra ou Editar regra na página 98
Adicionar sub-regra ou Editar sub-regraAdiciona ou edita sub-regras de Proteção de acesso definidas pelo usuário.
Tabela 3-8 Opções
Opção Definição
Nome Especifica o nome da sub-regra.
Tipo desub-regra
Especifica o tipo de sub-regra.A alteração do tipo de sub-regra remove quaisquer entradas previamente definidas natabela de destinos.
• Arquivos — Protege um arquivo ou diretório. Por exemplo, criar uma regra personalizadapara bloquear ou relatar as tentativas de excluir uma planilha do Excel que contéminformações sigilosas.
• Chave de registro - Protege a chave especificada. A chave de registro é o local onde ovalor de registro é armazenado. Por exemplo, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
• Valor de registro — Protege o valor especificado. Os valores de Registro são armazenadosnas chaves de registro e são referenciados separadamente das chaves de Registro. Porexemplo, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Autorun.
• Processos — Protege o processo especificado. Por exemplo, crie uma regra personalizadapara bloquear ou relatar tentativas de operações em um processo.
• Serviços — Protege o serviço especificado. Por exemplo, crie uma regra personalizadapara impedir que um serviço seja interrompido ou iniciado.
3 Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças
100 McAfee Endpoint Security 10.5 Guia do produto
Tabela 3-8 Opções (continuação)
Opção Definição
Operações Indica as operações permitidas com o tipo de sub-regra. Você deve especificar pelomenos uma operação para aplicar à sub-regra.
Prática recomendada: para evitar impactos no desempenho, não selecione a operaçãoLer.
Arquivos:
• Alterar atributos somente leitura ou ocultos — Bloqueia ou relata alterações nos atributos dosarquivos na pasta especificada.
• Criar — Bloqueia ou relata a criação de arquivos na pasta especificada.
• Excluir — Bloqueia ou relata a exclusão de arquivos na pasta especificada.
• Executar — Bloqueia ou relata a execução de arquivos na pasta especificada.
• Alterar permissões — Bloqueia ou relata a alteração de configurações de permissões dearquivos na pasta especificada.
• Ler — Bloqueia ou relata o acesso de leitura aos arquivos especificados.
• Renomear — Bloqueia ou relata o acesso para renomeação aos arquivos especificados.
Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 101
Tabela 3-8 Opções (continuação)
Opção Definição
Se o destino Arquivo de destino for especificado, Renomear será a única operação válida.
• Gravar — Bloqueia ou relata o acesso para gravação aos arquivos especificados.
Chave de Registro:
• Gravar — Bloqueia ou relata o acesso para gravação à chave especificada.
• Criar — Bloqueia ou relata a criação da chave especificada.
• Excluir — Bloqueia ou relata a exclusão da chave especificada.
• Ler — Bloqueia ou relata o acesso de leitura à chave especificada.
• Enumerar — Bloqueia ou relata a enumeração das subchaves da chave de Registroespecificada.
• Carregar — Bloqueia ou relata a capacidade de descarregar a chave de Registroespecificada e suas subchaves de Registro.
• Substituir — Bloqueia ou relata a substituição da chave de Registro especificada e suassubchaves por outro arquivo.
• Restaurar — Bloqueia ou relata a capacidade de salvar informações do Registro em umarquivo especificado e cópias na chave especificada.
• Alterar permissões — Bloqueia ou relata a alteração de configurações de permissões dachave de Registro especificada e suas subchaves.
Valor do Registro:
• Gravar — Bloqueia ou relata o acesso para gravação ao valor especificado.
• Criar — Bloqueia ou relata a criação do valor especificado.
• Excluir — Bloqueia ou relata a exclusão do valor especificado.
• Ler — Bloqueia ou relata o acesso de leitura ao valor especificado.
Processos:
• Qualquer acesso — Bloqueia ou relata a abertura do processo com qualquer acesso.
• Criar um thread — Bloqueia ou relata a abertura do processo com acesso para criar umthread.
• Modificar — Bloqueia ou relata a abertura do processo com acesso para modificar.
• Encerrar — Bloqueia ou relata a abertura do processo com acesso para encerrar.
• Executar — Bloqueia ou relata a execução do executável de destino especificado.Você deve adicionar pelo menos um executável de destino à regra.
3 Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças
102 McAfee Endpoint Security 10.5 Guia do produto
Tabela 3-8 Opções (continuação)
Opção Definição
Para a operação Executar, um evento é gerado quando é feita uma tentativa de executaro processo de destino. Para todas as outras operações, um evento é gerado quando odestino é aberto.
Serviços:
• Iniciar — Bloqueia ou relata o início do serviço.
• Interromper — Bloqueia ou relata a interrupção do serviço.
• Pausar — Bloqueia ou relata a pausa do serviço.
• Continuar — Bloqueia ou relata a continuação do serviço após a pausa.
• Criar — Bloqueia ou relata a criação do serviço.
• Excluir — Bloqueia ou relata a exclusão do serviço.
• Ativar perfil de hardware — Bloqueia ou relata a ativação do perfil de hardware do serviço.
• Desativar perfil de hardware — Bloqueia ou relata a desativação do perfil de hardware doserviço.
• Modificar modo de inicialização — Bloqueia ou relata a modificação do modo de inicialização(Inicialização, Sistema, Automático, Manual, Desativado) do serviço.
• Modificar informações de entrada — Bloqueia ou relata a modificação de informações deentrada do serviço.
Destinos • Adicionar — Especifica os destinos da regra. Os destinos podem variar de acordo com aseleção do tipo de regra. Você deve adicionar pelo menos um destino à sub-regra.Clique em Adicionar, selecione o status de inclusão e digite ou selecione o destino quedeseja incluir ou excluir.
• Clicar duas vezes em um item — Altera o item selecionado.
• Excluir — Exclui o item selecionado.
Consulte também Página Adicionar regra ou Editar regra na página 98Página na página 104Adicionar exclusão ou Editar exclusão na página 108
Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 103
PáginaEspecificar o status de inclusão e a definição de um destino.
Tabela 3-9 Opções
Seção Opção Definição
Destinos Determina se o destino tem uma correspondência positiva em relação àsub-regra. Também especifica o status de inclusão para o destino.• Incluir — Indica que a sub-regra pode corresponder ao destino
especificado.
• Excluir — Indica que a sub-regra não deve corresponder ao destinoespecificado.
Adicione um parâmetro com uma diretiva Incluir ou Excluir.
Se você tiverselecionado otipo desub-regraArquivos...
Especifica o nome do arquivo, o nome da pasta, o caminho ou o destino dotipo de unidade para uma sub-regra de Arquivos.• Caminho do arquivo — Navegue para selecionar o arquivo.
• Arquivo de destino — Navegue para selecionar o caminho ou o nome doarquivo de destino para uma operação Renomear.Se o destino do Arquivo de destino estiver selecionado, (apenas) a operaçãoRenomear deverá ser selecionada.
• Tipo de unidade — Selecione o tipo de unidade de destino na lista suspensa:
• Removível — Arquivos em uma unidade USB ou outra unidade removívelconectada a uma porta USB, incluindo aquelas com o Windows To Go
3 Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças
104 McAfee Endpoint Security 10.5 Guia do produto
Tabela 3-9 Opções (continuação)
Seção Opção Definição
instalado. Este tipo de unidade não inclui arquivos em CD, DVD oudisquete.
Bloquear esse tipo de unidade também bloqueia as unidades com oWindows To Go instalado.
• Rede — Arquivos em um compartilhamento de rede.
• Fixo — Arquivos no disco rígido local ou em outro disco rígido fixo.
• CD/DVD — Arquivos em um CD ou DVD.
• Disquete — Arquivos em um disquete.
Você pode usar ?, * e ** como caracteres curinga.
Práticas recomendadas para destinos da sub-regra Arquivos
Por exemplo, para proteger:
• Um arquivo ou uma pasta chamado(a) c:\testap, use um destino c:\testap ou c:\testap\
• O conteúdo de uma pasta, use o caractere curinga asterisco — c:\testap\*
• O conteúdo de uma pasta e suas subpastas, use dois asteriscos — c:\testap\**
Há suporte para variáveis de ambiente do sistema. As variáveis deambiente podem ser especificadas em um dos seguintes formatos:• $(EnvVar) - $(SystemDrive), $(SystemRoot)• %EnvVar% - %SystemRoot%, %SystemDrive%Nem todas as variáveis de ambiente definidas pelo sistema podem seracessadas usando a sintaxe $(var), especificamente aquelas que contêmos caracteres or. Você pode usar a sintaxe %var% para evitar esteproblema.
Não há suporte para variáveis do ambiente do usuário.
Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 105
Tabela 3-9 Opções (continuação)
Seção Opção Definição
Se você tiverselecionado otipo desub-regra Chavede Registro...
Define chaves de Registro usando chaves raiz. Estas chaves root sãosuportadas:• HKLM ou HKEY_LOCAL_MACHINE
• HKCU ou HKEY_CURRENT_USER
• HKCR ou HKEY_CLASSES_ROOT
• HKCCS corresponde a HKLM/SYSTEM/CurrentControlSet e HKLM/SYSTEM/ControlSet00X
• HKLMS corresponde a HKLM/Software em sistemas de 32 e 64 bits, e aHKLM/Software/Wow6432Node somente em sistemas de 64 bits
• HKCUS corresponde a HKCU/Software em sistemas de 32 e 64 bits, e aHKCU/Software/Wow6432Node somente em sistemas de 64 bits
• HKULM tratado tanto como HKLM e HKCU
• HKULMS tratado tanto como HKLMS e HKCUS
• HKALL tratado tanto como HKLM e HKU
Você pode usar ?, * e ** como caracteres curinga e | (barra vertical) comoum caractere de escape.
Práticas recomendadas para destinos da sub-regra Chave deRegistro
Por exemplo, para proteger:
• Uma chave de Registro chamada HKLM\SOFTWARE\testap, use umdestino HKLM\SOFTWARE\testap ou HKLM\SOFTWARE\testap\
• O conteúdo de uma chave de Registro, use o caractere curinga asterisco— HKLM\SOFTWARE\testap\*
• O conteúdo de uma chave de Registro e suas subchaves, use doisasteriscos — HKLM\SOFTWARE\testap\**
• Chaves de Registro e valores sob uma chave de Registro, ative a operaçãoGravar
3 Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças
106 McAfee Endpoint Security 10.5 Guia do produto
Tabela 3-9 Opções (continuação)
Seção Opção Definição
Se você tiverselecionado otipo desub-regra Valordo Registro...
Define valores de Registro usando chaves raiz. Estas chaves raiz possuemsuporte:• HKLM ou HKEY_LOCAL_MACHINE
• HKCU ou HKEY_CURRENT_USER
• HKCR ou HKEY_CLASSES_ROOT
• HKCCS corresponde a HKLM/SYSTEM/CurrentControlSet e HKLM/SYSTEM/ControlSet00X
• HKLMS corresponde a HKLM/Software em sistemas de 32 e 64 bits, e aHKLM/Software/Wow6432Node somente em sistemas de 64 bits
• HKCUS corresponde a HKCU/Software em sistemas de 32 e 64 bits, e aHKCU/Software/Wow6432Node somente em sistemas de 64 bits
• HKULM tratado tanto como HKLM e HKCU
• HKULMS tratado tanto como HKLMS e HKCUS
• HKALL tratado tanto como HKLM e HKU
Você pode usar ?, * e ** como caracteres curinga e | (barra vertical) comoum caractere de escape.
Práticas recomendadas para destinos da sub-regra Valor deRegistro
Por exemplo, para proteger:
• Um valor de Registro chamado HKLM\SOFTWARE\testap, use um destinoHKLM\SOFTWARE\testap
• Os valores de Registro sob uma chave de Registro, use o caracterecuringa asterisco — HKLM\SOFTWARE\testap\*
• Os valores de Registro sob uma chave de Registro e suas subchaves, usedois asteriscos — HKLM\SOFTWARE\testap\**
Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 107
Tabela 3-9 Opções (continuação)
Seção Opção Definição
Se você tiverselecionado otipo desub-regraProcessos...
Especifica o nome do arquivo ou o caminho do processo, o hash de MD5 ouo destino do signatário para uma sub-regra Processos.Você pode usar ?, * e ** como caracteres curinga para todos, com exceçãodo hash de MD5.
Práticas recomendadas para destinos da sub-regra Processos
Por exemplo, para proteger:
• Um processo chamado c:\testap.exe use um nome de arquivo ou caminhode destino c:\testap.exe
• Todos os processos de uma pasta, use o caractere curinga asterisco — c:\testap\*
• Todos os processos de uma pasta e suas subpastas, use dois asteriscos —c:\testap\**
Se você tiverselecionado otipo desub-regraServiços...
Especifica o nome do serviço ou o nome de exibição de uma sub-regraServiços.• Nome registrado de serviço — Contém o nome do serviço na chave de Registro
correspondente em HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.
• Nome de exibição do serviço — Contém o nome de exibição do serviço do valorde Registro DisplayName em HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<nome_serviço>\ . Esse é o nome exibidono gerenciador de serviços.
Por exemplo, "Serviço de atualização do Adobe Acrobat" é o nome deexibição para o nome do serviço "AdobeARMservice".
Você pode usar ? e * como caracteres curinga.
Práticas recomendadas para destinos da sub-regra Serviços
Por exemplo, para proteger todos os serviços da Adobe por nome deexibição, use o caractere curinga asterisco: Adobe*
Consulte também Adicionar sub-regra ou Editar sub-regra na página 100
Adicionar exclusão ou Editar exclusãoAdicione ou edite um executável a ser excluído no nível da política ou a ser incluído ou excluído nonível da regra.
Ao especificar exclusões e inclusões, considere o seguinte:
• Você deve especificar pelo menos um identificador: Nome ou caminho do arquivo, Hash de MD5 ouSignatário.
• Se você especificar mais de um identificador, todos os identificadores se aplicarão.
• Se você especificar mais de um identificador e eles não forem correspondentes (por exemplo, onome do arquivo e o hash de MD5 não se aplicarem ao mesmo arquivo), a exclusão ou a inclusãoserão inválidas.
• Exclusões e inclusões não diferenciam maiúsculas de minúsculas.
• É permitido o uso de caracteres curinga para todos, exceto para o hash de MD5.
3 Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças
108 McAfee Endpoint Security 10.5 Guia do produto
Tabela 3-10 Opções
Opção Definição
Nome Especifica o nome pelo qual você chama o executável.Este campo é necessário com, pelo menos, mais um campo: Nome ou caminho do arquivo,Hash de MD5 ou Signatário.
Status deinclusão
Determina o status de inclusão do executável.• Incluir — Dispara a regra se o executável violar uma sub-regra.
• Excluir — Não dispara a regra se o executável violar uma sub-regra.
O Status de inclusão somente é exibido quando um executável é adicionado a uma regraou ao destino da sub-regra Processos.
Nome oucaminho doarquivo
Especifica o nome ou o caminho do arquivo para o executável a ser adicionado oueditado.Clique em Procurar para selecionar o executável.
O caminho do arquivo pode incluir caracteres curinga.
Hash de MD5 Indica o hash de MD5 (número hexadecimal de 32 dígitos) do processo.
Signatário Ativar a verificação da assinatura digital — Garante que o código não foi alterado oucorrompido desde que foi assinado com um hash criptográfico.Se ativado, especifique:
• Permitir qualquer assinatura — Permite arquivos assinados por qualquer signatário deprocesso.
• Assinado por — Permite somente arquivos assinados pelo signatário de processoespecificado.Um nome distinto de signatário (SDN) é obrigatório para o executável e ele devecorresponder exatamente às entradas no campo acompanhante, incluindo vírgulas eespaços.
O signatário do processo aparece no formato correto nos eventos do Log de eventosdo Cliente do Endpoint Security e no Log de eventos de ameaça do McAfee ePO. Porexemplo:
C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR,CN=MICROSOFT WINDOWS
Para obter um SDN de um executável:
1 Clique com o botão direito do mouse em um executável e selecione Propriedades.
2 Na guia Assinaturas digitais, selecione um signatário e clique em Detalhes.
3 Na guia Geral, clique em Exibir certificado.
4 Na guia Detalhes, selecione o campo Entidade. É exibido o nome diferenciado dosignatário. Por exemplo, o Firefox possui este nome diferenciado de signatário:
• CN = Mozilla Corporation
• OU = Liberação de engenharia
• O = Mozilla Corporation
• L = Mountain View
• S = Califórnia
• C = EUA
Notas Apresenta mais informações sobre o item.
Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 109
Consulte também Página Adicionar regra ou Editar regra na página 98
Prevenção contra ameaças — Prevenção de exploraçãoAtivar e configurar a Prevenção de exploração para impedir que explorações de estouro de bufferexecutem códigos arbitrários em seu computador.
Para a lista de processos protegidos pela Prevenção de exploração, consulte KB58007.
O Host Intrusion Prevention 8.0 pode ser instalado no mesmo sistema que o Endpoint Security versão10.5. Se o McAfee Host IPS estiver ativado, a Prevenção de exploração será desativada, mesmo seestiver ativada nas configurações de política.
Tabela 3-11 Opções
Seção Opção Definição
PREVENÇÃO DEEXPLORAÇÃO
Ativar Prevenção deexploração
Ativa o recurso de Prevenção de exploração.
Se essa opção não for ativada, o sistema ficarádesprotegido contra ataques de malware.
Tabela 3-12 Opções avançadas
Seção Opção Definição
Prevenção contraescalonamentode privilégiosgenéricos
Ativar prevençãocontraescalonamentode privilégiosgenéricos
Ativa o suporte à GPEP (Prevenção contra escalonamento de privilégiosgenéricos).(Desativado por padrão)A GPEP usa assinaturas de GPEP no Conteúdo da prevenção deexploração de modo a fornecer cobertura para explorações deescalonamento de privilégios no modo kernel e no modo de usuário.
Se essa opção for ativada, a gravidade da assinatura 6052 do estourode buffer da GPEP aumentará para Alta, assim, será bloqueada ourelatada, dependendo da ação especificada pela política.
Como a GPEP pode gerar relatórios com falsos positivos, essa opção édesativada por padrão.
Prevenção deexecução dedados doWindows
Ativar prevençãode execução dedados doWindows
Ativa a integração da DEP (Prevenção de execução de dados) doWindows.(Desativado por padrão)Selecione esta opção para:
• Ativar a DEP para aplicativos de 32 bits na lista de proteção doaplicativo da McAfee, se ainda não estiver ativada, e a utilizar nolugar da GBOP (Proteção contra estouro de buffer genérico).A validação do chamador e o monitoramento de API de destino aindasão impostos.
• Monitorar detecções de DEP em aplicativos de 32 bits compatíveiscom DEP.
• Monitorar detecções de DEP em aplicativos de 64 bits na lista deproteção de aplicativos da McAfee.
• Registrar em log todas as detecções da DEP e enviar um evento parao McAfee ePO.
A desativação dessa opção não afeta nenhum processo que tenha aDEP ativada como resultado da política da DEP do Windows.
3 Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças
110 McAfee Endpoint Security 10.5 Guia do produto
Tabela 3-12 Opções avançadas (continuação)
Seção Opção Definição
Exclusões Especifica o processo, o módulo do chamador, a API ou a assinatura aserem excluídos.As exclusões com o Módulo do chamador ou a API não se aplicam aoDEP.
• Adicionar — Cria uma exclusão e a adiciona à lista.
• Clicar duas vezes em um item — Altera o item selecionado.
• Excluir — Exclui o item selecionado.
• Duplicar — Cria uma cópia do item selecionado.
Assinaturas Altera a ação (Bloquear ou Relatar) para assinaturas de Prevenção deexploração definidas pela McAfee.Não é possível alterar a gravidade ou criar assinaturas.
Para desativar a assinatura, desmarque Bloquear e Relatar.
Mostrarassinaturas coma gravidade
Filtra a lista de Assinaturas por gravidade ou status desativado:• Alta
• Média
• Baixa
• Informativa
• Desativada
Não é possível ativar assinaturas com a gravidade Desativado.
Bloquear(somente)
Bloqueia um comportamento que corresponde à assinatura semregistrar em log.
Relatar(somente)
Registra em log um comportamento que corresponde à assinatura sembloquear.
Não é permitido selecionar Relatar somente para a ID de assinatura9990.
Bloquear eRelatar
Bloqueia e registra em log um comportamento que corresponde àassinatura.
Regras deproteção doaplicativo
Configura regras de proteção do aplicativo.• Adicionar — Cria uma regra de proteção do aplicativo e a adiciona à
lista.
• Clicar duas vezes em um item — Altera o item selecionado.
• Excluir — Exclui o item selecionado. (regras definidas pelo usuáriosomente)
• Duplicar — Cria uma cópia do item selecionado. (regras definidas pelousuário somente)
Consulte também Definir configurações da Prevenção de exploração na página 77Adicionar exclusão ou Editar exclusão na página 112
Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 111
Adicionar exclusão ou Editar exclusãoAdicione ou edite uma exclusão da Prevenção de exploração.
Ao especificar exclusões, considere o seguinte:
• É necessário especificar pelo menos um Processo, Módulo do chamador, API ou Assinatura.
• As exclusões com o Módulo do chamador ou a API não se aplicam ao DEP.
• Para exclusões de Processo, é necessário especificar pelo menos um identificador: Nome oucaminho do arquivo, Hash de MD5 ou Signatário.
• Se você especificar mais de um identificador, todos os identificadores se aplicarão.
• Se você especificar mais de um identificador e eles não forem correspondentes (por exemplo, onome do arquivo e o hash de MD5 não se aplicarem ao mesmo arquivo), a exclusão será inválida.
• Exclusões não diferenciam maiúsculas de minúsculas.
• É permitido o uso de caracteres curinga para todos, exceto para o hash de MD5 e IDs deassinatura.
• Se você incluir IDs de assinatura em uma exclusão, a exclusão somente se aplicará ao processonas assinaturas especificadas. Se nenhuma ID de assinatura for especificada, a exclusão seaplicará ao processo em todas as assinaturas.
Tabela 3-13 Opções
Seção Opção Definição
Processo Nome Especifica o nome do processo a ser excluído. A Prevenção de exploraçãoexclui o processo independentemente de onde ele estiver localizado.Esse campo é necessário com, pelo menos, mais um campo: Nome oucaminho do arquivo, Hash de MD5 ou Signatário.
Nome oucaminho doarquivo
Especifica o nome ou o caminho do arquivo para o executável a seradicionado ou editado.Clique em Procurar para selecionar o executável.
Hash de MD5 Indica o hash de MD5 (número hexadecimal de 32 dígitos) do processo.
3 Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças
112 McAfee Endpoint Security 10.5 Guia do produto
Tabela 3-13 Opções (continuação)
Seção Opção Definição
Signatário Ativar a verificação da assinatura digital — Garante que o código não foi alteradoou corrompido desde que foi assinado com um hash criptográfico.Se ativado, especifique:
• Permitir qualquer assinatura — Permite arquivos assinados por qualquersignatário de processo.
• Assinado por — Permite somente arquivos assinados pelo signatário deprocesso especificado.Um nome distinto de signatário (SDN) é obrigatório para o executável eele deve corresponder exatamente às entradas no campoacompanhante, incluindo vírgulas e espaços.
O signatário do processo aparece no formato correto nos eventos do Logde eventos do Cliente do Endpoint Security e no Log de eventos deameaça do McAfee ePO. Por exemplo:
C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION,OU=MOPR, CN=MICROSOFT WINDOWS
Para obter um SDN de um executável:
1 Clique com o botão direito do mouse em um executável e selecionePropriedades.
2 Na guia Assinaturas digitais, selecione um signatário e clique em Detalhes.
3 Na guia Geral, clique em Exibir certificado.
4 Na guia Detalhes, selecione o campo Entidade. É exibido o nomediferenciado do signatário. Por exemplo, o Firefox possui este nomediferenciado de signatário:
• CN = Mozilla Corporation
• OU = Liberação de engenharia
• O = Mozilla Corporation
• L = Mountain View
• S = Califórnia
• C = EUA
Módulo dochamador
Nome Especifica o nome do módulo (um DLL) carregado por um executávelproprietário na memória gravável que faz a chamada.Esse campo é necessário com, pelo menos, mais um campo: Nome oucaminho do arquivo, Hash de MD5 ou Signatário.
Nome oucaminho doarquivo
Especifica o nome ou o caminho do arquivo para o executável a seradicionado ou editado.Clique em Procurar para selecionar o executável.
Hash de MD5 Indica o hash de MD5 (número hexadecimal de 32 dígitos) do processo.
Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 113
Tabela 3-13 Opções (continuação)
Seção Opção Definição
Signatário Ativar a verificação da assinatura digital — Garante que o código não foi alteradoou corrompido desde que foi assinado com um hash criptográfico.Se ativado, especifique:
• Permitir qualquer assinatura — Permite arquivos assinados por qualquersignatário de processo.
• Assinado por — Permite somente arquivos assinados pelo signatário deprocesso especificado.Um nome distinto de signatário (SDN) é obrigatório para o executável eele deve corresponder exatamente às entradas no campoacompanhante, incluindo vírgulas e espaços.
O signatário do processo aparece no formato correto nos eventos do Logde eventos do Cliente do Endpoint Security e no Log de eventos deameaça do McAfee ePO. Por exemplo:
C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION,OU=MOPR, CN=MICROSOFT WINDOWS
Para obter um SDN de um executável:
1 Clique com o botão direito do mouse em um executável e selecionePropriedades.
2 Na guia Assinaturas digitais, selecione um signatário e clique em Detalhes.
3 Na guia Geral, clique em Exibir certificado.
4 Na guia Detalhes, selecione o campo Entidade. É exibido o nomediferenciado do signatário. Por exemplo, o Firefox possui este nomediferenciado de signatário:
• CN = Mozilla Corporation
• OU = Liberação de engenharia
• O = Mozilla Corporation
• L = Mountain View
• S = Califórnia
• C = EUA
API Nome Especifica o nome da API (Application Programming Interface - Interfacede programação do aplicativo) que está sendo chamada.
Assinaturas IDs deassinatura
Especifica identificadores de assinatura da Prevenção de exploração(separados por vírgulas).
Notas Apresenta mais informações sobre o item.
Consulte também Exclusão de processos da Prevenção de exploração na página 78
3 Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças
114 McAfee Endpoint Security 10.5 Guia do produto
Adicionar regra ou Editar Regra páginaAdicione ou edite regras de Proteção do aplicativo definidas pelo usuário.
Tabela 3-14 Opções
Seção Opção Definição
Nome Especifica ou indica o nome da regra. (Obrigatório)
Status Ativa ou desativa o item.
Status deinclusão
Especifica o status de inclusão do executável.• Incluir — Dispara a regra se um executável da lista de Executáveis for
executado.
• Excluir — Não dispara a regra se um executável da lista de Executáveis forexecutado.
Executáveis Especifica os executáveis para a regra.• Adicionar — Adiciona um executável à lista.
• Clicar duas vezes em um item — Altera o item selecionado.
• Excluir — Exclui o item selecionado.
• Duplicar — Cria uma cópia do item selecionado.
Notas Apresenta mais informações sobre o item.Para regras de Proteção do aplicativo definidas pela McAfee, esse campocontém o nome do executável protegido.
Adicionar executável ou Editar executávelAdicione ou edite um executável em uma regra de Proteção do aplicativo.
Ao configurar executáveis, considere o seguinte:
• Você deve especificar pelo menos um identificador: Nome ou caminho do arquivo, Hash de MD5 ouSignatário.
• Se você especificar mais de um identificador, todos os identificadores se aplicarão.
• Se você especificar mais de um identificador e eles não forem correspondentes (por exemplo, onome do arquivo e o hash de MD5 não se aplicarem ao mesmo arquivo), a definição do executávelserá inválida.
Tabela 3-15 Opções
Seção Opção Definição
Propriedades Nome Especifica o nome do processo.Esse campo é necessário com, pelo menos, mais um campo: Nome ou caminhodo arquivo, Hash de MD5 ou Signatário.
Nome oucaminho doarquivo
Especifica o nome ou o caminho do arquivo para o executável a seradicionado ou editado.Clique em Procurar para selecionar o executável.
Hash de MD5 Indica o hash de MD5 (número hexadecimal de 32 dígitos) do processo.
Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 115
Tabela 3-15 Opções (continuação)
Seção Opção Definição
Signatário Ativar a verificação da assinatura digital — Garante que o código não foi alterado oucorrompido desde que foi assinado com um hash criptográfico.Se ativado, especifique:
• Permitir qualquer assinatura — Permite arquivos assinados por qualquersignatário de processo.
• Assinado por — Permite somente arquivos assinados pelo signatário deprocesso especificado.Um nome distinto de signatário (SDN) é obrigatório para o executável eele deve corresponder exatamente às entradas no campo acompanhante,incluindo vírgulas e espaços.
O signatário do processo aparece no formato correto nos eventos do Logde eventos do Cliente do Endpoint Security e no Log de eventos deameaça do McAfee ePO. Por exemplo:
C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION,OU=MOPR, CN=MICROSOFT WINDOWS
Para obter um SDN de um executável:
1 Clique com o botão direito do mouse em um executável e selecionePropriedades.
2 Na guia Assinaturas digitais, selecione um signatário e clique em Detalhes.
3 Na guia Geral, clique em Exibir certificado.
4 Na guia Detalhes, selecione o campo Entidade. É exibido o nomediferenciado do signatário. Por exemplo, o Firefox possui este nomediferenciado de signatário:
• CN = Mozilla Corporation
• OU = Liberação de engenharia
• O = Mozilla Corporation
• L = Mountain View
• S = Califórnia
• C = EUA
Notas Apresenta mais informações sobre o item.
Prevenção contra ameaças — Varredura ao acessarAtive e configure as definições da varredura ao acessar.
Tabela 3-16 Opções
Seção Opção Definição
VARREDURA AOACESSAR
Ativar varredura aoacessar
Ativa o recurso Varredura ao acessar.(Ativado por padrão)
Ativar varredura aoacessar nainicialização dosistema
Ativa o recurso de Varredura ao acessar cada vez que você inicia ocomputador.(Ativado por padrão)
3 Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças
116 McAfee Endpoint Security 10.5 Guia do produto
Tabela 3-16 Opções (continuação)
Seção Opção Definição
Especifique o númeromáximo de segundospara cada varredurade arquivo
Limita cada varredura de arquivo ao número especificado desegundos.(Ativado por padrão)
O valor padrão é 45 minutos.
Se a varredura exceder o limite de tempo, será interrompida eregistrará em log uma mensagem.
Varrer setores deinicialização
Examina o setor de inicialização do disco.(Ativado por padrão)
Prática recomendada: desmarque a varredura do setor deinicialização quando um disco contiver um setor de inicializaçãoexclusivo ou atípico que não possa ser varrido.
Processos devarredura nainicialização doserviço e naatualização doconteúdo
Varre de novo todos os processos que estão atualmente namemória sempre que:• Você reativa as varreduras ao acessar.
• Os arquivos de conteúdo são atualizados.
• O sistema é iniciado.
• O processo McShield.exe é iniciado.
(Desativado por padrão)
Prática recomendada: como alguns programas ou executáveissão iniciados automaticamente quando você inicializa o sistema,desmarque essa opção para melhorar o tempo de inicialização dosistema.
Quando o mecanismo de varredura ao acessar é ativado, elesempre varre todos os processos quando são executados.
Varrer instaladoresconfiáveis
Varre arquivos MSI (instalados pelo msiexec.exe e assinados pelaMcAfee ou pela Microsoft) ou arquivos do serviço Instaladorconfiável do Windows.(Desativado por padrão)
Prática recomendada: desmarque essa opção para melhorar odesempenho de instaladores grandes de aplicativos da Microsoft.
Varrer ao copiar entrepastas locais
Varre arquivos sempre que o usuário copia de uma pasta localpara outra.Se essa opção estiver:• Desativada — Apenas os itens na pasta de destino serão
varridos.
• Ativada — Tanto os itens da pasta de origem (leitura) quanto dapasta de destino (gravação) serão varridos.
(Desativado por padrão)
Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 117
Tabela 3-16 Opções (continuação)
Seção Opção Definição
Varrer ao copiar daspastas da rede e deunidades removíveis
Varre arquivos quando o usuário copia de uma pasta da rede ou deuma unidade USB removível.
Se a opção não for selecionada, o sistema ficará vulnerável aataques de malware.
(Ativado por padrão)
McAfee GTI Ativa e define as configurações do McAfee GTI.
ScriptScan Ativar ScriptScan Ativa a varredura de scripts JavaScript e VBScript no InternetExplorer para impedir que scripts indesejados sejam executados.(Desativado por padrão)
Se o ScriptScan estiver desativado quando o Internet Explorer foriniciado e ativado, ele não detectará scripts maliciosos nessainstância do Internet Explorer. É necessário reiniciar o InternetExplorer após ativar o ScriptScan para que ele detecte scriptsmaliciosos.
Excluir estes URLs ouURLs parciais
Especifica exclusões do ScriptScan por URL.Adicionar — Adiciona um URL à lista de exclusões.
Excluir — Remove um URL da lista de exclusões.
Os URLs não podem incluir caracteres curinga. Contudo, qualquerURL que contenha uma cadeia de um URL excluído também seráexcluído. Por exemplo, se o URL msn.com for excluído, osseguintes URLs também serão excluídos:• http://weather.msn.com
• http://music.msn.com
Tabela 3-17 Opções avançadas
Seção Opção Definição
Mensagens parausuários ao detectarameaças
Exibir a janela Varreduraao acessar para osusuários quando umaameaça for detectada
Exibe a página Varredura ao acessar com a mensagemespecificada aos usuários do cliente em caso de detecção.(Ativado por padrão)
Quando essa opção está selecionada, os usuários podemabrir essa página na página Varrer agora a qualquer momentoquando a lista de detecção incluir pelo menos uma ameaça.
A lista de detecções da varredura ao acessar é limpa quandoo serviço do Endpoint Security é reiniciado ou sistema éreinicializado.
Mensagem Especifica a mensagem a ser exibida aos usuários do clienteem caso de detecção.A mensagem padrão é: O McAfee Endpoint Security detectou umaameaça.
Configurações deprocesso
Usar configurações padrãoem todos os processos
Aplica as mesmas definições configuradas para todos osprocessos ao executar uma varredura ao acessar.
Definir configuraçõesdiferentes para processosde alto risco e baixo risco
Configura definições de varredura diferentes para cada tipode processo que você identifica.
3 Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças
118 McAfee Endpoint Security 10.5 Guia do produto
Tabela 3-17 Opções avançadas (continuação)
Seção Opção Definição
Padrão Configura as definições dos processos que não sãoidentificados como de alto risco nem de baixo risco.(Ativado por padrão)
Alto risco Configura as definições dos processos de alto risco.
Baixo risco Configura as definições dos processos de baixo risco.
Adicionar Adiciona um processo à lista de Alto risco ou Baixo risco.
Excluir Remove um processo da lista de Alto risco ou Baixo risco.
Varrendo Quando varrer
Ao gravar no disco Tenta varrer todos os arquivos quando são gravados oualterados no computador ou em outro dispositivo dearmazenamento de dados.
Ao ler o disco Varre todos os arquivos à medida que são lidos nocomputador ou em outro dispositivo de armazenamento dedados.
Deixar a McAfee decidir Permite que a McAfee decida se um arquivo deve ser varrido,usando lógica de confiança para otimizar a varredura. Alógica de confiança melhora sua segurança e impulsiona odesempenho evitando varreduras desnecessárias.
Prática recomendada: ative essa opção para que aproteção e o desempenho sejam melhores.
Não varrer ao ler ou gravarem disco
Especifica que somente os processos de Baixo risco não sejamvarridos.
O que varrer
Todos os arquivos Varre todos os arquivos, independentemente da extensão.
Se a opção não for selecionada, o sistema ficará vulnerávela ataques de malware.
Tipos de arquivo padrão eespecificados
Varreduras:• A lista padrão de extensões de arquivos definida no
arquivo atual do conteúdo do AMCore, incluindo arquivossem extensão
• Quaisquer extensões de arquivo adicionais que vocêespecificaExtensões separadas por vírgula.
• (Opcional) Ameaças de macro conhecidas na lista deextensões de arquivos padrão e especificadas
Somente tipos de arquivoespecificados
Varre um ou ambos:• Somente os arquivos com as extensões (separadas por
vírgulas) especificadas por você
• Todos os arquivos sem extensão
Nas unidades da rede Varre recursos em unidades de rede mapeadas.
Prática recomendada: desmarque essa opção paramelhorar o desempenho.
Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 119
Tabela 3-17 Opções avançadas (continuação)
Seção Opção Definição
Abertos para backup Varre arquivos quando estes são acessados pelo software debackup.
Prática recomendada: na maioria dos ambientes, não énecessário ativar essa configuração.
Arquivos mortoscompactados
Examina o conteúdo de arquivos mortos (compactados),incluindo arquivos .jar.
Prática recomendada: como a varredura de arquivosmortos compactados pode afetar negativamente odesempenho do sistema, desmarque essa opção paramelhorar o desempenho do sistema.
Arquivos codificados porMIME compactados
Detecta, decodifica e varre arquivos codificados por MIME(Multipurpose Internet Mail Extensions).
Opções de varredura adicionais
Detectar programasindesejados
Ativa o mecanismo de varredura para detectar programaspotencialmente indesejados.O mecanismo de varredura usa as informações que vocêconfigurou nas definições de Opções da Prevenção contraameaças para detectar programas potencialmenteindesejados.
Detectar ameaças deprograma desconhecidas
Usa o McAfee GTI para detectar arquivos executáveis quetenham códigos semelhantes a malware.
Detectar ameaças demacro desconhecidas
Usa o McAfee GTI para detectar vírus de macrodesconhecidos.
Ações Especifique como o mecanismo de varredura responde aodetectar uma ameaça.
Exclusões Especifica arquivos, pastas e unidades a serem excluídos davarredura.
Adicionar Adiciona um item à lista de exclusão.
Excluir Remove um item da lista de exclusão.
Consulte também Configurar as definições de de Varredura ao acessar na página 83McAfee GTI na página 126Ações na página 127Adicionar exclusão ou Editar exclusão na página 128
Prevenção contra ameaças — Varredura por solicitaçãoDefine as configurações de Varredura por solicitação das varreduras pré-configuradas e personalizadasque são executadas em seu sistema.
Consulte as configurações do módulo Em Comum para verificar a configuração de registro em log.
3 Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças
120 McAfee Endpoint Security 10.5 Guia do produto
Essas configurações especificam o comportamento do mecanismo de varredura quando você:
• Seleciona Varredura completa ou Varredura rápida na página Varrer agora no Cliente do Endpoint Security.
• Como administrador, executa uma tarefa de varredura por solicitação personalizada em Configurações| Em Comum | Tarefas no Cliente do Endpoint Security.
• Clique com o botão direito em um arquivo ou pasta e selecione Fazer varredura para encontrar ameaças nomenu pop-up.
Tabela 3-18 Opções
Seção Opção Definição
O que varrer Setores deinicialização
Examina o setor de inicialização do disco.
Prática recomendada: desmarque a varredura do setor deinicialização quando um disco contiver um setor de inicializaçãoexclusivo ou atípico que não possa ser varrido.
Arquivos migradospara o armazenamento
Varre arquivos gerenciados pelo Armazenamento remoto.Algumas soluções de armazenamento de dados offline substituemarquivos por um arquivo stub. Quando o mecanismo de varreduraencontra um arquivo stub, o que indica que o arquivo foi migrado,o mecanismo de varredura restaura o arquivo para o sistema localantes da varredura. O processo de restauração pode impactarnegativamente o desempenho do sistema.
Prática recomendada: desmarque essa opção a menos queprecise varrer especificamente os arquivos armazenados.
Arquivos codificadospor MIMEcompactados
Detecta, decodifica e varre arquivos codificados por MIME(Multipurpose Internet Mail Extensions).
Arquivos mortoscompactados
Examina o conteúdo de arquivos mortos (compactados), incluindoarquivos .jar.
Prática recomendada: selecione essa opção somente emvarreduras agendadas fora do horário comercial, quando osistema não está sendo usado, pois a varredura de arquivosmortos compactados pode afetar negativamente o desempenhodo sistema.
Subpastas(somente Varredurapor clique no botãodireito)
Examina todas as subpastas da pasta especificada.
Opções devarreduraadicionais
Detectar programasindesejados
Ativa o mecanismo de varredura para detectar programaspotencialmente indesejados.O mecanismo de varredura usa as informações que vocêconfigurou nas definições de Opções da Prevenção contra ameaçaspara detectar programas potencialmente indesejados.
Detectar ameaças deprogramadesconhecidas
Usa o McAfee GTI para detectar arquivos executáveis que tenhamcódigos semelhantes a malware.
Detectar ameaças demacro desconhecidas
Usa o McAfee GTI para detectar vírus de macro desconhecidos.
Locais devarredura
(SomenteVarredura completa eVarredura rápida)
Especifica os locais a serem varridos.Essas opções são aplicáveis somente à Varredura completa, à Varredurarápida e às varreduras personalizadas.
Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 121
Tabela 3-18 Opções (continuação)
Seção Opção Definição
Tipos de arquivopara varredura
Todos os arquivos Varre todos os arquivos, independentemente da extensão.A McAfee recomenda com veemência ativar Todos os arquivos.
Se a opção não for selecionada, o sistema ficará vulnerável aataques de malware.
Tipos de arquivopadrão eespecificados
Varreduras:• A lista padrão de extensões de arquivos definida no arquivo
atual do conteúdo do AMCore, incluindo arquivos sem extensão
• Quaisquer extensões de arquivo adicionais que você especificaExtensões separadas por vírgula.
• (Opcional) Ameaças de macro conhecidas na lista de extensõesde arquivos padrão e especificadas
Somente tipos dearquivo especificados
Varre um ou ambos:• Somente os arquivos com as extensões (separadas por vírgulas)
especificadas por você
• Todos os arquivos sem extensão
McAfee GTI Ativa e define as configurações do McAfee GTI.
Exclusões Especifica arquivos, pastas e unidades a serem excluídos davarredura.
Adicionar Adiciona um item à lista de exclusão.
Excluir Remove um item da lista de exclusão.
Ações Especifique como o mecanismo de varredura responde ao detectaruma ameaça.
Desempenho Usar o cache devarredura
Permite que o mecanismo de varredura use os resultados devarredura limpos existentes.
Prática recomendada: selecione essa opção para reduzir onúmero de varreduras duplicadas e melhorar o desempenho.
3 Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças
122 McAfee Endpoint Security 10.5 Guia do produto
Tabela 3-18 Opções (continuação)
Seção Opção Definição
Utilização do sistema Permite que o sistema operacional especifique o período de tempode CPU que o mecanismo de varredura recebe durante avarredura.Cada tarefa é executada de forma independente, sem levar emconsideração os limites das outras tarefas.
• Baixo — Fornece desempenho aprimorado para outros aplicativosem execução.
Prática recomendada: selecionar esta opção para sistemascom atividade de usuário final.
• Abaixo do normal — Configura a utilização do sistema paravarredura com o padrão do McAfee ePO.
• Normal (Padrão) — Permite que a varredura seja concluída commaior rapidez.
Prática recomendada: selecionar esta opção para sistemasque tenham grandes volumes e pouca atividade de usuáriofinal.
Opções devarreduraagendada
Essas opções são aplicáveis somente à Varredura completa, à Varredurarápida e às varreduras personalizadas.
Varrer apenas quandoo sistema estiverocioso
Executa a varredura apenas quando o sistema está ocioso.A Prevenção contra ameaças pausa a varredura quando o usuárioacessa o sistema usando o teclado ou o mouse. A Prevençãocontra ameaças retoma a varredura quando o usuário (e a CPU)ficam ociosos por cinco minutos.
Desative essa opção somente em sistemas de servidor e sistemasque os usuários acessam usando a RDP (Remote DesktopConnection - Conexão de área de trabalho remota). A Prevençãocontra ameaças depende do McTray para determinar se o sistemaestá ocioso. Em sistemas acessados apenas por RDP, o McTray nãoé iniciado e o mecanismo de varredura por solicitação jamais éexecutado. Para contornar esse problema, os usuários podeminiciar o McTray (em C:\Arquivos de programas\McAfee\Agent\mctray.exe, por padrão) manualmente quando entrarem usando aRDP.
Varrer a qualquermomento
Executa a varredura mesmo se o usuário estiver ativo e especificaas opções para a varredura.
O usuário pode adiar varreduras — Permite que o usuário adie varredurasagendadas e especifica opções para o adiamento da varredura.• Número máximo de vezes que o usuário pode adiar em uma hora — Especifica
o número de vezes (de 1 a 23) que o usuário pode adiar avarredura em uma hora.
• Mensagem do usuário — Especifica a mensagem a ser exibidaquando uma varredura estiver prestes a começar.A mensagem padrão é: O McAfee Endpoint Security está prestesa varrer seu sistema.
• Duração da mensagem (segundos) — Especifica por quanto tempo (emsegundos) a mensagem de usuário é exibida quando umavarredura está prestes a começar. O intervalo válido para aduração é de 30 a 300; o padrão é de 45 segundos.
Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 123
Tabela 3-18 Opções (continuação)
Seção Opção Definição
Não varrer quando o sistema estiver no modo de apresentação — Adia avarredura quando o sistema está em modo de apresentação.
Não varrer quando osistema estiver nomodo de bateria
Adia a varredura quando o sistema está utilizando baterias.
Consulte também Configurar definições da política de na página 90Configurar, agendar e executar tarefas de varredura na página 95Executar uma Varredura completa ou uma Varredura rápida na página 56Varrer um arquivo ou pasta na página 58Varrer locais na página 124McAfee GTI na página 126Ações na página 127Adicionar exclusão ou Editar exclusão na página 128
Varrer locaisEspecifica os locais a serem varridos.
Essas opções são aplicáveis somente à Varredura completa, à Varredura rápida e às varreduraspersonalizadas.
Tabela 3-19 Opções
Seção Opção Definição
Locais de varredura Varrer subpastas Examina todas as subpastas dos volumes especificados quandouma das seguintes opções é selecionada:• Pasta inicial • Pasta temporária
• Pasta de perfil do usuário • Arquivo ou pasta
• Pasta de arquivos de programas
Desmarque essa opção para varrer apenas o nível raiz dosvolumes.
Especificar locais Especifica os locais a serem varridos.• Adicionar — Adiciona um local para a varredura.
Clique em Adicionar e selecione o local na lista suspensa.
• Clicar duas vezes em um item - Altera o item selecionado.
• Excluir — Remove um local da varredura.Selecione o local e clique em Excluir.
Memória para rootkits Faz a varredura da memória do sistema para detectar rootkitsinstalados, processos ocultos e outros comportamentos quepossam sugerir que algum malware esteja tentando se ocultar.Essa varredura ocorre antes de todas as outras.
Se essa opção não for ativada, o sistema ficará desprotegidocontra ataques de malware.
3 Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças
124 McAfee Endpoint Security 10.5 Guia do produto
Tabela 3-19 Opções (continuação)
Seção Opção Definição
Processos emexecução
Varre a memória de todos os processos em execução.As ações que não sejam Limpar arquivos são tratadas como Continuara varredura.
Se essa opção não for ativada, o sistema ficará desprotegidocontra ataques de malware.
Arquivos registrados Varre arquivos com referência no Registro do Windows.O mecanismo de varredura procura nomes de arquivo noregistro, determina se o arquivo existe, cria uma lista dearquivos a varrer, depois examina os arquivos.
Meu computador Examina todas as unidades conectadas fisicamente aocomputador ou com mapeamento lógico para uma letra deunidade no computador.
Todas as unidadeslocais
Varre todas as unidades e suas subpastas no computador.
Todas as unidadesfixas
Varre todas as unidades conectadas fisicamente ao computador.
Todas as unidadesremovíveis
Varre todas as unidades removíveis ou outros dispositivos dearmazenamento conectados ao computador, com exceção dasunidades com o Windows To Go instalado.
Todas as unidadesmapeadas
— Varre as unidades de rede com mapeamento lógico para umaunidade de rede no computador.
Pasta inicial Varre a pasta inicial do usuário que começar a varredura.
Pasta de perfil dousuário
Varre o perfil do usuário que inicia a varredura, inclusive a pastaMeus documentos do usuário.
Pasta Windows Faz a varredura do conteúdo da pasta Windows.
Pasta de arquivos deprogramas
Varre o conteúdo da pasta Arquivos de programas.
Pasta temporária Varre o conteúdo da pasta temporária.
Lixeira Faz varredura do conteúdo da lixeira.
Arquivo ou pasta Varre a pasta ou o arquivo especificado.
Registro Varre chaves de Registro e valores.
Consulte também Prevenção contra ameaças — Varredura por solicitação na página 120
Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 125
McAfee GTIAtivar e definir as configurações do McAfee GTI (Global Threat Intelligence).
Tabela 3-20 Opções
Seção Opção Definição
Ativar o McAfeeGTI
Ativa e desativa verificações heurísticas.• Quando ativado, impressões digitais de amostras, ou hashes, são enviadas
ao McAfee Labs para determinar se são malware. Ao enviar hashes, adetecção pode ser disponibilizada antes da próxima liberação de arquivode conteúdo do AMCore, quando o McAfee Labs publica a atualização.
• Quando desativado, nenhuma impressão digital ou dado é enviado aoMcAfee Labs.
Nível desensibilidade
Configura o nível de sensibilidade a ser usado ao determinar se umaamostra detectada é malware.Quanto mais alto o nível de sensibilidade, maior o número de detecções demalware. No entanto, se mais detecções forem permitidas, poderá havermais resultados falsos positivos.
Muito baixo As detecções e o risco de falsos positivos são os mesmos que existem comarquivos comuns do conteúdo do AMCore. Uma detecção é disponibilizadapara a Prevenção contra ameaças quando o McAfee Labs a publica, e não napróxima atualização de arquivo do conteúdo do AMCore.Use essa configuração para desktops e servidores com direitos de usuáriorestritos e configurações de segurança fortes.
Essa configuração resulta em uma média de 10 a 15 consultas por dia, porcomputador.
Baixo Essa configuração é a recomendação mínima para laptops, desktops eservidores com configurações de segurança fortes.Essa configuração resulta em uma média de 10 a 15 consultas por dia, porcomputador.
Médio Use essa configuração quando o risco regular de exposição a malware formaior que o risco de um falso positivo. As verificações heurísticasproprietárias do McAfee Labs resultam em detecções que possivelmente sãomalware. Contudo, algumas detecções podem resultar em falsos positivos.Com essa configuração, o McAfee Labs verifica se aplicativos populares earquivos do sistema operacional não resultam em falsos positivos.Essa configuração é a recomendação mínima para laptops, desktops eservidores.
Essa configuração resulta em uma média de 20 a 25 consultas por dia, porcomputador.
Alto Use essa configuração para distribuições em áreas ou sistemas que sãoregularmente infectados.Essa configuração resulta em uma média de 20 a 25 consultas por dia, porcomputador.
Muito alto Use essa configuração para volumes de sistema não operacionais.Presume-se que as detecções encontradas com esse nível sejam maliciosas,mas elas não foram inteiramente testadas para determinar se são falsospositivos.
Use esse nível somente para varrer volumes e diretórios que não forneçamsuporte à execução de programas ou sistemas operacionais.
Essa configuração resulta em uma média de 20 a 25 consultas por dia, porcomputador.
3 Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças
126 McAfee Endpoint Security 10.5 Guia do produto
Consulte também Prevenção contra ameaças — Varredura ao acessar na página 116Prevenção contra ameaças — Varredura por solicitação na página 120Controle da Web — Opções na página 174
AçõesEspecifique como o mecanismo de varredura reage ao detectar uma ameaça.
Tabela 3-21 Opções
Seção Opção Definição Tipo de varredura
Varredura aoacessar
Varredura porsolicitação
Primeira respostada detecção deameaças
Especifica a primeira ação a ser tomada pelo mecanismo de varreduraquando uma ameaça é detectada.
Negar acessoaos arquivos
Evita que usuários acessemarquivos com ameaçaspotenciais.
Continuar avarredura
Continua a varredura quandouma ameaça é detectada. Omecanismo de varredura nãomove itens para a quarentena.
Limpararquivos
Remove a ameaça do arquivodetectado, se possível.
Excluirarquivos
Exclui arquivos com possíveisameaças.
Se a primeiraresposta falhar
Especifica a ação a ser tomada pelo mecanismo de varredura quandouma ameaça é detectada se a primeira ação falhar.
Negar acessoaos arquivos
Evita que usuários acessemarquivos com ameaçaspotenciais.
Continuar avarredura
Continua a varredura quandouma ameaça é detectada. Omecanismo de varredura nãomove itens para a quarentena.
Excluirarquivos
Exclui arquivos com possíveisameaças.
Primeira respostade programaindesejado
Especifica a primeira ação a ser tomada pelo mecanismo de varreduraquando um programa potencialmente indesejado é detectado.Essa opção estará disponível somente se a opção Detectar programasindesejados estiver selecionada.
Negar acessoaos arquivos
Evita que usuários acessemarquivos com ameaçaspotenciais.
Permitiracesso aosarquivos
Evita que usuários acessemarquivos com ameaçaspotenciais.
Continuar avarredura
Continua a varredura quandouma ameaça é detectada. Omecanismo de varredura nãomove itens para a quarentena.
Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 127
Tabela 3-21 Opções (continuação)
Seção Opção Definição Tipo de varredura
Varredura aoacessar
Varredura porsolicitação
Limpararquivos
Remove a ameaça do arquivopotencialmente indesejado, sepossível.
Excluirarquivos
Exclui arquivos potencialmenteindesejados.
Se a primeiraresposta falhar
Especifica a ação a ser tomada pelo mecanismo de varredura quandoocorre a detecção de um programa indesejado caso a primeira açãofalhe.Essa opção estará disponível somente se a opção Detectar programasindesejados estiver selecionada.
Negar acessoaos arquivos
Evita que usuários acessemarquivos com ameaçaspotenciais.
Permitiracesso aosarquivos
Evita que usuários acessemarquivos com ameaçaspotenciais.
Continuar avarredura
Continua a varredura quandouma ameaça é detectada. Omecanismo de varredura nãomove itens para a quarentena.
Excluirarquivos
Exclui automaticamentearquivos de programaspotencialmente indesejados.
Consulte também Prevenção contra ameaças — Varredura ao acessar na página 116Prevenção contra ameaças — Varredura por solicitação na página 120
Adicionar exclusão ou Editar exclusãoAdicione ou edite uma definição de exclusão.
Tabela 3-22 Opções
Seção Opção Definição Tipo de varredura
Ao acessar Por solicitação
O que excluir Seleciona o tipo de exclusão e os detalhes da exclusão.
Nome oucaminho doarquivo
Especifica o nome do arquivo ou o caminhopara excluir.O caminho do arquivo pode incluircaracteres curinga.
Para excluir uma pasta em sistemasWindows, anexe um caractere de barrainvertida (\) do caminho.
Selecione Excluir também subpastas senecessário.
Tipo de arquivo Especifica os tipos de arquivos (extensõesde arquivos) a serem excluídos.
3 Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças
128 McAfee Endpoint Security 10.5 Guia do produto
Tabela 3-22 Opções (continuação)
Seção Opção Definição Tipo de varredura
Ao acessar Por solicitação
Idade do arquivo Especifica o tipo de acesso (Modificado,Acessado (somente na varredura porsolicitação) ou Criado) dos arquivos a seremexcluídos e a Idade mínima em dias.
Quandoexcluir
Especifica quando excluir o item selecionado.
Ao gravar nodisco ou ler odisco
Exclui da varredura quando arquivos estãosendo gravados no disco ou lidos nele ouem outro dispositivo de armazenamento dedados.
Ao ler o disco Exclui da varredura quando arquivos estãosendo lidos no computador ou em outrodispositivo de armazenamento de dados.
Ao gravar nodisco
Exclui da varredura quando arquivos estãosendo gravados no disco ou modificadosnele ou em outro dispositivo dearmazenamento de dados.
Consulte também Prevenção contra ameaças — Varredura ao acessar na página 116Prevenção contra ameaças — Varredura por solicitação na página 120Caracteres curinga em exclusões na página 65Configuração de exclusões na página 64
Prevenção contra ameaças — OpçõesConfigura as definições válidas para o recurso Prevenção contra ameaças, incluindo quarentena,programas potencialmente indesejados e exclusões.
Esta seção inclui apenas as opções Avançadas.
Tabela 3-23 Opções avançadas
Seção Opção Definição
Gerenciador dequarentena
Pasta de quarentena Especifica o local da pasta de quarentena ou aceita o localpadrão:c:\Quarantine
A pasta de quarentena está limitada a 190 caracteres.
Especifique onúmero máximo dedias para manter osdados emquarentena
Especifica o número de dias (de 1 a 999) em que os itens deverãoser mantidos em quarentena antes de serem excluídosautomaticamente. O padrão é 30 dias.
Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 129
Tabela 3-23 Opções avançadas (continuação)
Seção Opção Definição
Exclusão pelo nomeda detecção
Excluir estes nomesde detecção
Especifica as exclusões de detecção pelo nome da detecção.Por exemplo, para especificar que os mecanismos de varredura aoacessar e por solicitação não detectem ameaças de Verificaçãode instalação, insira Verificação de instalação.
Adicionar - Adiciona o nome da detecção à lista de exclusões.Clique em Adicionar, depois insira o nome da detecção.
Clicar duas vezes em um item - Altera o item selecionado.
Excluir - Remove o nome da detecção da lista de exclusões.Selecione o nome e clique em Excluir.
Detecções deprogramaspotencialmenteindesejados
Excluir programasindesejadospersonalizados
Especifica arquivos ou programas individuais a serem tratadoscomo programas potencialmente indesejados.
Os mecanismos de varredura detectam os programasespecificados por você e os programas especificados nosarquivos de conteúdo do AMCore.
O mecanismo de varredura não detecta um programa indesejadodefinido pelo usuário com tamanho de zero byte.
• Adicionar - Define um programa indesejado personalizado.Clique em Adicionar, insira o nome, depois pressione Tab parainserir a descrição.
• Name - Especifica o nome do arquivo do programapotencialmente indesejado.
• Descrição — Especifica as informações que serão exibidas comoo nome da detecção quando ocorrer uma detecção.
• Clicar duas vezes em um item - Altera o item selecionado.
• Excluir - Remove um programa potencialmente indesejado dalista.Selecione o item na tabela, depois clique em Excluir.
Análise proativa dedados
Envia dados anônimos de uso e diagnóstico para a McAfee.
Comentários doMcAfee GTI
Permite que os comentários de telemetria com base no McAfeeGTI coletem dados anônimos sobre arquivos e processos emexecução no sistema cliente.
3 Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças
130 McAfee Endpoint Security 10.5 Guia do produto
Tabela 3-23 Opções avançadas (continuação)
Seção Opção Definição
Pulsação desegurança
Realiza uma verificação da integridade do sistema cliente antes edepois das atualizações dos arquivos de conteúdo do AMCore eem intervalos regulares e envia os resultados à McAfee.Os resultados são criptografados e enviados à McAfee através doSSL. A McAfee, por sua vez, reúne e analisa os dadosprovenientes destes relatórios a fim de identificar anomalias quepossam indicar possíveis problemas relacionados ao conteúdo. Arápida identificação de tais problemas é essencial paraproporcionar contenção e remediação oportunas.
A Pulsação de segurança coleta os seguintes tipos de dados:
• Local e versão do sistema operacional
• Versão do produto McAfee
• Conteúdo do AMCore e versão do mecanismo
• Informações do processo em execução da McAfee e Microsoft
Reputação deconteúdo doAMCore
Realiza uma pesquisa por reputação do McAfee GTI no arquivo deconteúdo do AMCore antes de atualizar o sistema cliente.• Se o McAfee GTI der permissão ao arquivo, o Endpoint Security
atualiza o conteúdo do AMCore.
• Se o McAfee GTI não der permissão ao arquivo, o EndpointSecurity não atualiza o conteúdo do AMCore.
Consulte também Configure definições de varreduras comuns na página 81
tarefa do cliente Reverter conteúdo do AMCoreAltera o conteúdo do AMCore para uma versão anterior.
Não é possível reverter as atualizações de conteúdo da Prevenção de exploração.
Opção Definição
Selecionar versão aser carregada
Especifica o número da versão de um arquivo de conteúdo do AMCore anterior aser carregado.O Endpoint Security mantém as duas versões anteriores no sistema cliente.
Quando é feita a alteração para uma versão anterior, o Endpoint Security remove aversão atual do conteúdo do AMCore do sistema.
Consulte também Alterar a versão do conteúdo do AMCore na página 27
Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças 3
McAfee Endpoint Security 10.5 Guia do produto 131
3 Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças
132 McAfee Endpoint Security 10.5 Guia do produto
4 Usar o Firewall
O Firewall atua como um filtro entre seu computador e a rede ou a Internet.
Conteúdo Como funciona o Firewall Ativar e desativar o Firewall usando o ícone da bandeja do sistema da McAfee Ativar ou exibir grupos temporizados do Firewall usando o ícone da bandeja do sistema da McAfee Gerenciamento do Firewall Referência da interface do Cliente do Endpoint Security — Firewall
Como funciona o FirewallO Firewall varre todo o tráfego de entrada e saída.
Ao analisar o tráfego de entrada ou saída, o Firewall verifica sua lista de regras, que é um conjunto decritérios com ações associadas. Se o tráfego coincide com todos os critérios de uma regra, o Firewallage de acordo com a regra, bloqueando ou permitindo o tráfego através do Firewall.
As informações sobre detecções de ameaças são salvas por relatórios que notificam o administradorsobre qualquer problema de segurança no computador.
As opções e regras do Firewall definem o funcionamento do Firewall. Os grupos de regras organizamas regras do firewall para facilitar o gerenciamento.
Se o Modo de interface do cliente estiver definido para Acesso total ou se você tiver feito logon comoadministrador, as regras e os grupos podem ser configurados usando o Cliente do Endpoint Security.Em sistemas gerenciados, as regras e grupos criados podem ser substituídos quando o administradordistribui uma política atualizada.
Consulte também Configurar as Firewall na página 135Como as regras de firewall funcionam na página 139Como funcionam os grupos de regras do firewall na página 141
Ativar e desativar o Firewall usando o ícone da bandeja dosistema da McAfee
Dependendo de como as configurações foram definidas, você pode ativar ou desativar o Firewallusando o ícone da bandeja do sistema da McAfee.
Dependendo de como as configurações foram definidas, essas opções podem não estar disponíveis.
4
McAfee Endpoint Security 10.5 Guia do produto 133
Tarefa• Clique com o botão direito do mouse no ícone da bandeja do sistema da McAfee e selecione Desativar
o Firewall do Endpoint Security no menu Configurações rápidas.
Quando o Firewall está ativado, a opção é Desativar o Firewall do Endpoint Security.
Dependendo das configurações, você pode ser solicitado a fornecer ao administrador um motivopara desativar o Firewall.
Ativar ou exibir grupos temporizados do Firewall usando oícone da bandeja do sistema da McAfee
Ative, desative ou exiba grupos temporizados do Firewall usando o ícone da bandeja do sistema daMcAfee.
Dependendo de como as configurações foram definidas, essas opções podem não estar disponíveis.
Tarefa• Clique com o botão direito do mouse no ícone da bandeja do sistema da McAfee e selecione uma
opção no menu Configurações rápidas.• Ativar grupos temporizados do Firewall — Ativa os grupos temporizados por determinado período a fim
de permitir o acesso à Internet antes que as regras de restrição de acesso sejam aplicadas.Quando os grupos temporizados estão ativados, a opção é Desativar grupos temporizados do Firewall.Sempre que selecionar essa opção, você redefinirá o tempo dos grupos.
Dependendo das configurações, você pode ser solicitado a fornecer ao administrador um motivopara ativar os grupos temporizados.
• Exibir grupos temporizados do Firewall — Exibe os nomes dos grupos temporizados e a quantidade detempo restante para ativação de cada grupo.
Sobre grupos temporizadosGrupos temporizados são grupos de regras do Firewall ativados por determinado período de tempo.
Por exemplo, um grupo temporizado pode ser ativado para permitir que um sistema cliente conecte-sea uma rede pública e estabeleça uma conexão VPN.
Dependendo das configurações de , os grupos podem ser ativados:
• Em um agendamento específico.
• Manualmente, selecionando as opções do ícone da bandeja do sistema da McAfee.
Gerenciamento do FirewallComo administrador, você pode configurar as opções do Firewall e criar regras e grupos no Cliente doEndpoint Security.
Em sistemas gerenciados, as alterações de política do McAfee ePO podem sobrescrever as alterações dapágina Configurações.
4 Usar o FirewallAtivar ou exibir grupos temporizados do Firewall usando o ícone da bandeja do sistema da McAfee
134 McAfee Endpoint Security 10.5 Guia do produto
Modificar opções de FirewallComo administrador, você pode modificar as opções de Firewall do Cliente do Endpoint Security.
Tarefas• Configurar as Firewall na página 135
Defina as configurações em Opções para ativar e desativar a proteção por firewall, ative omodo adaptável, e configure as outras opções do Firewall.
• Bloquear o tráfego DNS na página 136Para refinar a proteção por firewall, crie uma lista de FQDNs a serem bloqueados. OFirewall bloqueia as conexões aos endereços IP com resolução para os nomes de domínio.
• Definir redes para usar em regras e grupos na página 137Defina endereços de rede, sub-redes ou faixas a serem usados em regras e grupos.Opcionalmente, especifique que essas redes são confiáveis.
• Configurar executáveis confiáveis na página 138Defina ou edite a lista de executáveis confiáveis que são considerados seguros para seuambiente.
Consulte também Perguntas frequentes — McAfee GTI e Firewall na página 136
Configurar as Firewall Defina as configurações em Opções para ativar e desativar a proteção por firewall, ative o modoadaptável, e configure as outras opções do Firewall.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 Clique em Firewall na página principal do Status.
Ou, no menu Ação , selecione Configurações e clique em Firewall na página Configurações.
3 Selecione Ativar Firewall para tornar o firewall ativo e modificar suas opções.
O Host Intrusion Prevention 8.0 pode ser instalado no mesmo sistema que o Endpoint Securityversão 10.5. Se o Firewall do McAfee Host IPS estiver instalado e ativado, o Firewall do EndpointSecurity será desativado, mesmo se estiver ativado nas configurações de política.
4 Clique em Mostrar Avançados.
5 Defina as configurações na página e clique em Aplicar para salvar suas alterações ou clique emCancelar.
Consulte também Entrar como administrador na página 26
Usar o FirewallGerenciamento do Firewall 4
McAfee Endpoint Security 10.5 Guia do produto 135
Bloquear o tráfego DNSPara refinar a proteção por firewall, crie uma lista de FQDNs a serem bloqueados. O Firewall bloqueiaas conexões aos endereços IP com resolução para os nomes de domínio.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 Clique em Firewall na página principal do Status.
Ou, no menu Ação , selecione Configurações e clique em Firewall na página Configurações.
3 Em Bloqueio de DNS, clique em Adicionar.
4 Insira os FQDNs dos domínios a serem bloqueados e clique em Salvar.
É possível usar os caracteres curinga * e ?. Por exemplo, *domínio.com.
As entradas duplicadas são removidas automaticamente.
5 Clique em Salvar.
6 Clique em Aplicar para salvar suas alterações ou clique em Cancelar.
Perguntas frequentes — McAfee GTI e FirewallAqui você encontra respostas para perguntas frequentes.
As configurações de Opções do Firewall permitem que você bloqueie o tráfego de entrada e saída deuma conexão de rede que o McAfee GTI classificou como de alto risco. Essas Perguntas frequentesexplicam o que o McAfee GTI faz e como isso afeta o firewall.
O que é o McAfee GTI?
O McAfee GTI é um sistema de inteligência de reputação de Internet global que determina o queé um bom ou um mau comportamento na Internet. O McAfee GTI usa a análise em tempo realde padrões mundiais de comportamento e envio de e-mails, atividade da Web, malware ecomportamento de sistema a sistema. Com os dados obtidos na análise, o McAfee GTI calculadinamicamente as pontuações de reputação que representam o nível de risco da rede quando ousuário visita uma página da Web. O resultado é um banco de dados de pontuações dereputação para endereços IP, domínios, mensagens específicas, URLs e imagens.Para perguntas frequentes sobre o McAfee GTI, consulte KB53735.
Como o McAfee GTI funciona com o Firewall?
Quando as opções do McAfee GTI são selecionadas, são criadas duas regras de firewall: McAfeeGTI — Permitir o serviço do Firewall do Endpoint Security e McAfee GTI — Obter classificação. A primeira regrapermite uma conexão ao McAfee GTI e a segunda bloqueia ou permite o tráfego com base nareputação da conexão e no conjunto de limites de bloqueio.
O que significa "reputação"?
Para cada endereço IP na Internet, o McAfee GTI calcula um valor de reputação. O McAfee GTIbaseia o valor no comportamento de envio ou hospedagem e em vários dados ambientaiscoletados dos clientes e parceiros sobre o estado do cenário de ameaças da Internet. Areputação é expressa em quatro classes, com base em nossa análise:
4 Usar o FirewallGerenciamento do Firewall
136 McAfee Endpoint Security 10.5 Guia do produto
• Não bloquear (risco mínimo) — Trata-se de uma origem ou um destino legítimos de conteúdo/tráfego.
• Alto risco — A origem/destino envia ou hospeda conteúdo/tráfego possivelmente malicioso quea McAfee considera perigoso.
• Risco médio — A origem/destino mostra um comportamento que a McAfee considera suspeito.Qualquer conteúdo/tráfego do site requer um escrutínio especial.
• Não verificado — O site parece ser uma origem ou um destino legítimos de conteúdo/tráfego,mas também exibe propriedades que sugerem a necessidade de inspeção.
O McAfee GTI introduz latência? Quanto?
Quando o McAfee GTI é contatado para fazer uma pesquisa por reputação, é inevitável queocorra alguma latência. A McAfee tem feito todo o possível para minimizar essa latência. McAfeeGTI:• Verifica a reputação somente quando as opções são selecionadas.
• Usa uma arquitetura de armazenamento em cache inteligente. Em padrões de uso de redenormais, o cache resolve a maioria das conexões desejadas sem uma consulta de reputaçãoao vivo.
Se o firewall não puder alcançar os servidores McAfee GTI, o tráfego será interrompido?
Se o firewall não puder alcançar os servidores McAfee GTI, ele automaticamente atribuirá todasas conexões aplicáveis a uma reputação permitida padrão. Depois, o firewall continua a análisedas regras que se seguem.
Definir redes para usar em regras e gruposDefina endereços de rede, sub-redes ou faixas a serem usados em regras e grupos. Opcionalmente,especifique que essas redes são confiáveis.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 Clique em Firewall na página principal do Status.
Ou, no menu Ação , selecione Configurações e clique em Firewall na página Configurações.
3 Clique em Mostrar opções avançadas.
Usar o FirewallGerenciamento do Firewall 4
McAfee Endpoint Security 10.5 Guia do produto 137
4 Em Redes definidas, execute uma das ações a seguir:
Para... Etapas
Definir uma novarede.
Clique em Adicionar e insira os detalhes da rede confiável.Defina a rede como confiável selecionando Sim no menu suspenso Confiável.
Se você selecionar Não, a rede será definida para uso nas regras e grupos,mas o tráfego de entrada e de saída da rede não será automaticamenteconfiável.
Alterar umadefinição de rede.
Em cada uma das colunas, clique duas vezes no item e insira as novasinformações.
Excluir uma rede. Selecione uma linha e clique em Excluir.
5 Clique em Aplicar para salvar suas alterações ou clique em Cancelar.
Sobre redes confiáveisRedes confiáveis são endereços IP, faixas de endereços IP e sub-redes que são consideradosconfiáveis.
A definição de uma rede como confiável cria uma regra Permitir bidirecional para essa rede remota notopo da lista de regras do Firewall.
Uma vez definidas, você pode criar regras de firewall que se apliquem a essas redes confiáveis. Asredes confiáveis também funcionam como exceções do McAfee GTI no firewall.
Prática recomendada: ao adicionar redes a regras e grupos de firewall, selecione Redes definidas para oTipo de rede para aproveitar este recurso.
Configurar executáveis confiáveisDefina ou edite a lista de executáveis confiáveis que são considerados seguros para seu ambiente.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 Clique em Firewall na página principal do Status.
Ou, no menu Ação , selecione Configurações e clique em Firewall na página Configurações.
3 Clique em Mostrar opções avançadas.
4 Usar o FirewallGerenciamento do Firewall
138 McAfee Endpoint Security 10.5 Guia do produto
4 Em Executáveis confiáveis, execute uma das ações a seguir:
Para... Etapas
Definir um novo executávelconfiável.
Clique em Adicionar e insira os detalhes do executávelconfiável.
Alterar uma definição deexecutável.
Em cada uma das colunas, clique duas vezes no item e insiraas novas informações.
Excluir um executável. Selecione uma linha e clique em Excluir.
5 Clique em Aplicar para salvar suas alterações ou clique em Cancelar.
Sobre executáveis confiáveis e aplicativosExecutáveis confiáveis são executáveis que não têm vulnerabilidades conhecidas e são consideradosseguros.
A configuração de um executável confiável cria uma regra Permitir bidirecional para esse executávelno topo da lista de regras do Firewall.
Manter uma lista de executáveis seguros de um sistema reduz e elimina a maioria dos falsos positivos.Por exemplo, quando você executa um aplicativo de backup, muitos falsos positivos podem serdisparados. Para evitar que falsos positivos sejam disparados, torne o aplicativo de backup umaplicativo confiável.
Um executivo confiável está sujeito a vulnerabilidades comuns, como estouro de buffer e uso ilegal. Noentanto, o Firewall ainda monitora os executivos confiáveis e dispara eventos para evitar explorações.
O Catálogo do Firewall contém executáveis e aplicativos. Executáveis no catálogo podem serassociados com um aplicativo contêiner. É possível adicionar executáveis e aplicativos do catálogo àsua lista de executáveis confiáveis. Depois de definidos, é possível referenciar os executáveis emregras e grupos.
Configurar regras e grupos do FirewallComo administrador, você pode configurar regras e grupos do Firewall a partir do Cliente do EndpointSecurity.
Tarefas• Criar e gerenciar regras e grupos do Firewall na página 145
Em sistemas gerenciados, as regras e grupos configurados no Cliente do Endpoint Securitypodem ser substituídos quando o administrador distribui uma política atualizada.
• Criar isolamento de conexão de grupos na página 147Crie um grupo de regras de firewall para isolamento de conexão, para estabelecer umconjunto de regras que se aplicam somente na conexão a uma rede com determinadosparâmetros.
• Criar grupos temporizados na página 148Crie grupos temporizados do Firewall para restringir o acesso à Internet até que umsistema cliente conecte-se por uma VPN.
Como as regras de firewall funcionamAs regras do Firewall determinam como lidar com o tráfego de rede. Cada regra fornece um conjuntode condições que o tráfego deve cumprir e uma ação para permitir ou bloquear o tráfego.
Quando o Firewall encontra um tráfego que corresponde às condições de uma regra, ele realiza a açãoassociada.
Usar o FirewallGerenciamento do Firewall 4
McAfee Endpoint Security 10.5 Guia do produto 139
É possível definir regras amplas (por exemplo, todo o tráfego IP) ou restritas (por exemplo, identificarum aplicativo ou serviço específico) e especificar opções. É possível agrupar as regras de acordo comuma função de trabalho, serviço ou aplicativo, a fim de facilitar o gerenciamento. Como com as regras,é possível definir grupos de regras por opções de rede, transporte, aplicativo, agendamento e local.
O Firewall usa a precedência para aplicar as regras:
1 O Firewall aplica a regra na parte superior da lista de regras do firewall.
Se o tráfego atende às condições dessa regra, o Firewall permite ou bloqueia o tráfego. Ele nãotenta aplicar nenhuma outra regra da lista.
2 Se o tráfego não atende às condições da primeira regra, o Firewall continua para a próxima regrada lista até encontrar uma regra que coincida com o tráfego.
3 Se nenhuma regra coincidir, o firewall bloqueia automaticamente o tráfego.
Se o modo adaptável estiver ativado, é criada uma regra de permissão para o tráfego. Algumas vezes,o tráfego interceptado coincide com mais de uma regra da lista. Nesse caso, a precedência significaque o Firewall aplica somente a primeira regra coincidente da lista.
Práticas recomendadas
Coloque a regra mais específica no topo da lista e as regras mais genéricas na parte inferior. Essaordem assegura que o Firewall filtre o tráfego de maneira apropriada.
4 Usar o FirewallGerenciamento do Firewall
140 McAfee Endpoint Security 10.5 Guia do produto
Por exemplo, para permitir que todas as solicitações de HTTP exceto as originadas em um endereçoespecífico (por exemplo, endereço IP 10.10.10.1), crie duas regras:
• Regra de bloqueio — Bloqueia o tráfego HTTP do endereço IP 10.10.10.1. Essa regra é específica.
• Regra de permissão — Permite todo o tráfego que usa o serviço HTTP. Essa regra é genérica.
Coloque a regra de bloqueio em uma posição mais alta da lista de regras do firewall do que a da regrade permissão. Quando o firewall interceptar a solicitação HTTP do endereço 10.10.10.1, a primeiraregra coincidente que ele encontrará será a que bloqueia esse tráfego através do firewall.
Se a regra de permissão genérica estiver mais alta que a regra de bloqueio específica, o Firewallcomparará as solicitações com a regra de permissão antes de encontrar a regra de bloqueio. Elepermitirá o tráfego, mesmo havendo a intenção de bloquear a solicitação HTTP de um endereçoespecífico.
Como funcionam os grupos de regras do firewallUse os grupos de regras de Firewall para organizar as regras do firewall e facilitar o gerenciamento. Osgrupos de regras do Firewall não afetam a maneira como o Firewall lida com as regras dentro deles; oFirewall ainda processa as regras de cima para baixo.O Firewall processa as configurações para o grupo antes de processar as configurações para as regrasque ele contém. Se houver um conflito entre essas configurações, as configurações do grupo têmprecedência.
Fazer com que grupos reconheçam locaisO Firewall permite fazer com que um grupo reconheça o local de suas regras e criar isolamento deconexão. O Local e as Opções de rede do grupo permitem fazer com que os grupos reconheçam oadaptador de rede. Use grupos de adaptadores de rede para aplicar regras para adaptadoresespecíficos em computadores com várias interfaces de rede. Após ativar o status de local e nomear olocal, os parâmetros para as conexões permitidas podem incluir os seguintes itens para cadaadaptador de rede:
Local:
• Requer que o McAfee ePO esteja acessível • Endereço IP do Servidor WINS primário
• Sufixo DNS específico para conexão • Endereço IP do Servidor WINS secundário
• Endereço IP do Gateway padrão • Acessibilidade do domínio (HTTPS)
• Endereço IP do Servidor DHCP • Chave de registro
• Servidor DNS consultado para resolverURLs
Redes:
• Endereço IP da Rede local
• Tipos de conexão
Se dois grupos com reconhecimento de local são aplicados a uma conexão, o Firewall usa aprecedência normal, processando o primeiro grupo aplicável na lista de regras. Se nenhuma regra doprimeiro grupo coincidir, o processamento de regras continua.
Quando o Firewall encontrar parâmetros de um grupo com reconhecimento de local que coincidemcom uma conexão ativa, ele aplica as regras dentro do grupo. Ele trata as regras como um pequenoconjunto de regras e usa a precedência normal. Se algumas regras não se coincidirem com o tráfegointerceptado, o firewall as ignora.
Usar o FirewallGerenciamento do Firewall 4
McAfee Endpoint Security 10.5 Guia do produto 141
Se essa opção estiverselecionada...
Então...
Ativar reconhecimento de local Requer um nome de local.
Requer que o McAfee ePO estejaacessível
O McAfee ePO está acessível e o FQDN do servidor foi resolvido.
Rede local O endereço IP do adaptador deve coincidir com uma das entradasda lista.
Sufixo DNS específico paraconexão
O sufixo DNS do adaptador deve coincidir com uma das entradasda lista.
Gateway padrão O endereço IP do gateway do adaptador padrão deve coincidir compelo menos uma das entradas da lista.
Servidor DHCP O endereço IP do servidor DHCP do adaptador deve coincidir compelo menos uma das entradas da lista.
Servidor DNS O endereço IP do servidor DNS do adaptador deve coincidir comalguma entrada da lista.
Servidor WINS primário O endereço IP do servidor WINS primário do adaptador devecoincidir com pelo menos uma das entradas da lista.
Servidor WINS secundário O endereço IP do servidor WINS secundário do adaptador devecoincidir com pelo menos uma das entradas da lista.
Acessibilidade do domínio(HTTPS)
O domínio especificado deve ser acessível usando HTTPS.
Grupos de regras do Firewall e isolamento de conexãoUse o isolamento de conexão para grupos para impedir que algum tráfego indesejado acesse umarede designada.
Quando o isolamento de conexão está ativado para um grupo e uma placa de interface de rede (NIC)corresponde aos critérios do grupo, o Firewall processa somente o tráfego que corresponde a:
• Regra de permissão acima do grupo na lista de regras do firewall
• Critérios do grupo
Qualquer outro tráfego será bloqueado.
Nenhum grupo com isolamento de conexão ativado poderá ter opções de transporte ou executáveisassociados.
4 Usar o FirewallGerenciamento do Firewall
142 McAfee Endpoint Security 10.5 Guia do produto
Considere duas configurações como exemplos do uso do isolamento de conexão: um ambientecorporativo e um hotel. A lista de regras de firewall ativas contém regras e grupos nesta ordem:
1 Regras para conexão básica
2 Regras de conexão VPN
3 Grupo com regras de conexão a LAN corporativa
4 Grupo com regras de conexão VPN
Usar o FirewallGerenciamento do Firewall 4
McAfee Endpoint Security 10.5 Guia do produto 143
Exemplo: isolamento de conexão na rede corporativa
As regras de conexão são processadas até que o grupo com regras de conexão a LAN corporativa sejaencontrado. Esse grupo contém as configurações:
• Tipo de conexão = Com fio
• Sufixo DNS específico para a conexão = minhaempresa.com
• Gateway padrão
• Isolamento de conexão = Ativado
O computador tem adaptadores de rede LAN e sem fio. O computador se conecta à rede corporativapor uma conexão com fio. No entanto, a interface sem fio ainda está ativa, de modo que se conecta aum ponto de acesso fora do escritório. O computador se conecta a ambas as redes porque as regraspara o acesso básico estão no topo da lista de regras do firewall. A conexão LAN com fio está ativa eatende aos critérios do grupo da LAN corporativa. O firewall processa o tráfego através da LAN, mascomo o isolamento da conexão está ativado, todo o restante do tráfego que não passa através da LANé bloqueado.
Exemplo: isolamento de conexão em um hotel
As regras de conexão são processadas até que o grupo com regras de conexão a LAN seja encontrado.Esse grupo contém as configurações:
• Tipo de conexão = Virtual
• Sufixo DNS específico para a conexão = vpn.minhaempresa.com
• Endereço IP = Um endereço em um intervalo específico para o concentrador VPN
• Isolamento de conexão = Ativado
As regras de conexão genéricas permitem a configuração de uma conta temporizada no hotel paraacesso à Internet. As regras de conexão VPN permitem a conexão e o uso do túnel VPN. Após o túnelser estabelecido, o cliente VPN cria um adaptador virtual que corresponde aos critérios do grupo deVPN. O único tráfego permitido pelo firewall é o de dentro do túnel VPN e o tráfego básico sobre oadaptador real. As tentativas de outros hóspedes do hotel de acessar o computador pela rede, sejacom ou sem fio, são bloqueadas.
Grupos de regras predefinidas do firewallO Firewall inclui vários grupos de firewall predefinidos.
Grupo doFirewall
Descrição
Rede principal daMcAfee
Contém as regras principais de rede fornecidas pela McAfee e inclui regras parapermitir aplicativos da McAfee e DNS.
Estas regras não podem ser alteradas ou excluídas. Você pode desativar o gruponas Opções do Firewall, mas pode prejudicar as comunicações de rede nocliente.
Adicionado peloadministrador
Contém regras definidas pelo administrador no servidor de gerenciamento.
Estas regras não podem ser alteradas ou excluídas no Cliente do EndpointSecurity.
4 Usar o FirewallGerenciamento do Firewall
144 McAfee Endpoint Security 10.5 Guia do produto
Grupo doFirewall
Descrição
Adicionado pelo usuário Contém regras definidas no Cliente do Endpoint Security.
Dependendo das definições de política, essas regras podem ser substituídasquando a política for aplicada.
Adaptável Contém regras de exceção do cliente que são criadas automaticamente quandoo sistema estiver no modo adaptável.
Dependendo das definições de política, essas regras podem ser substituídasquando a política for aplicada.
Padrão Contém regras padrão fornecidas pela McAfee.
Estas regras não podem ser alteradas ou excluídas.
Criar e gerenciar regras e grupos do FirewallEm sistemas gerenciados, as regras e grupos configurados no Cliente do Endpoint Security podem sersubstituídos quando o administrador distribui uma política atualizada.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
Os grupos e regras aparecem em ordem de prioridade na tabela de Regras do Firewall. Não é possívelclassificar as regras por coluna.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 Clique em Firewall na página principal do Status.
Ou, no menu Ação , selecione Configurações e clique em Firewall na página Configurações.
3 Use estas tarefas para gerenciar as regras e grupos do firewall.
Para fazer isso... Siga essas etapas
Exibir as regras em um grupo defirewalls.
Clique .
Fechar um grupo de firewalls. Clique .
Modificar uma regra existente.
Somente é possível modificarregras no grupo Adicionado pelousuário.
1 Expanda o grupo Adicionado pelo usuário.
2 Clique duas vezes na regra.
3 Altere as configurações da regra.
4 Clique em OK para salvar suas alterações.
Usar o FirewallGerenciamento do Firewall 4
McAfee Endpoint Security 10.5 Guia do produto 145
Para fazer isso... Siga essas etapas
Exibir uma regra existente emqualquer grupo.
1 Expanda o grupo.
2 Selecione a regra para exibir seus detalhes no painelinferior.
Criar uma regra. 1 Clique em Adicionar regra.
2 Especifique as configurações da regra.
3 Clique em OK para salvar suas alterações.
A regra aparece no final do grupo Adicionado pelo usuário.
Criar cópias de regras. 1 Selecione a regra ou regras e clique em Duplicar.As regras copiadas aparecem com o mesmo nome no finaldo grupo Adicionado pelo usuário.
2 Modifique as regras para alterar o nome e as configurações.
Excluir regras.
Somente é possível excluirregras dos grupos Adicionadopelo usuário e Adaptável.
1 Expanda o grupo.
2 Selecione a regra ou regras e clique em Excluir.
Criar um grupo. 1 Clique em Adicionar grupo.
2 Especifique as configurações do grupo.
3 Clique em OK para salvar suas alterações.
O grupo aparece em Adicionado pelo usuário.
Mover regras e grupos para dentroe entre grupos.
Somente é possível moverregras e grupos no grupoAdicionado pelo usuário.
Para mover os elementos:1 Selecione os elementos que serão movidos.
A alça aparece à esquerda de elementos que podem sermovidos.
2 Arraste e solte os elementos no novo local.Uma linha azul aparece entre os elementos no local em quevocê pode soltar os elementos arrastados.
4 Clique em Aplicar para salvar suas alterações ou clique em Cancelar.
Consulte também Caracteres curinga em regras de firewall na página 146Entrar como administrador na página 26Criar isolamento de conexão de grupos na página 147
Caracteres curinga em regras de firewallVocê pode usar caracteres curinga para representar os caracteres de alguns valores nas regras defirewall.
Caracteres curinga em valores de caminho e de endereço
Em caminhos de arquivos, chaves de registro, executáveis e URLs, use esses caracteres curinga.
Os caminhos da chave de registro dos locais de grupos de firewall não reconhecem valores decaracteres curingas.
4 Usar o FirewallGerenciamento do Firewall
146 McAfee Endpoint Security 10.5 Guia do produto
? Ponto de interrogação Um único caractere.
* Asterisco Vários caracteres, excluindo barra (/) e barra invertida (\). Use estecaractere para corresponder ao conteúdo no nível de raiz de uma pastasem subpastas.
** Asterisco duplo Vários caracteres, incluindo barra (/) e barra invertida (\).
| Pipe Escape de caractere curinga.
Para o asterisco duplo (**), o escape é |*|*.
Caracteres curinga em todos os outros valores
Para valores que normalmente não contêm barras nas informações de caminho, use estes caracterescuringa.
? Ponto de interrogação Um único caractere.
* Asterisco Vários caracteres, incluindo barra (/) e barra invertida (\).
| Barra vertical Escape de caractere curinga.
Criar isolamento de conexão de gruposCrie um grupo de regras de firewall para isolamento de conexão, para estabelecer um conjunto deregras que se aplicam somente na conexão a uma rede com determinados parâmetros.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 Clique em Firewall na página principal do Status.
Ou, no menu Ação , selecione Configurações e clique em Firewall na página Configurações.
3 Em REGRAS, clique em Adicionar grupo.
4 Em Descrição, especifique as opções para o grupo.
5 Em Local, selecione Ativar reconhecimento de local e Ativar isolamento de conexão. Em seguida, selecione ocritério de local a ser correspondido.
6 Em Rede, para Tipos de conexão, selecione o tipo de conexão (com fio, sem fio ou virtual) que será aplicadoàs regras desse grupo.
As configurações de Transporte e Executáveis não estão disponíveis para os grupos de isolamento deconexão.
7 Clique em OK.
Usar o FirewallGerenciamento do Firewall 4
McAfee Endpoint Security 10.5 Guia do produto 147
8 Na lista de regras de firewall, crie novas regras dentro desse grupo ou mova as regras existentespara dentro dele.
9 Clique em Aplicar para salvar suas alterações ou clique em Cancelar.
Consulte também Grupos de regras do Firewall e isolamento de conexão na página 142Como funcionam os grupos de regras do firewall na página 141
Criar grupos temporizadosCrie grupos temporizados do Firewall para restringir o acesso à Internet até que um sistema clienteconecte-se por uma VPN.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 Clique em Firewall na página principal do Status.
Ou, no menu Ação , selecione Configurações e clique em Firewall na página Configurações.
3 Crie um grupo Firewall com as configurações padrão que permitem a conectividade com a Internet.
Por exemplo, permita o tráfego da porta 80 HTTP.
4 Na seção Agendamento, selecione como ativar o grupo.
• Ativar agendamento — Especifica uma hora de início e de término para o grupo a ser ativado.
• ativar Desativar agendamento e ativar o grupo a partir do ícone da bandeja do sistema da McAfee — Permite que osusuários ativem o grupo no ícone da bandeja do sistema da McAfee e mantenham o grupoativado pela quantidade de minutos especificada.
Se permitir que os usuários gerenciem o grupo temporizado, você poderá, opcionalmente, exigirque eles forneçam uma justificativa antes de ativar o grupo.
5 Clique em OK para salvar as alterações.
6 Crie um grupo de isolamento de conexão que corresponda à rede VPN para permitir o tráfegonecessário.
Prática recomendada: para impedir o tráfego de saída apenas do grupo de isolamento de conexãono sistema cliente, não coloque nenhuma regra de Firewall abaixo desse grupo.
7 Clique em Aplicar para salvar suas alterações ou clique em Cancelar.
Consulte também Criar isolamento de conexão de grupos na página 147
Referência da interface do Cliente do Endpoint Security —Firewall
Forneça ajuda contextual para as páginas na interface do Cliente do Endpoint Security.
Conteúdo Firewall — Opções
4 Usar o FirewallReferência da interface do Cliente do Endpoint Security — Firewall
148 McAfee Endpoint Security 10.5 Guia do produto
Firewall — Regras
Firewall — OpçõesAtive e desative o módulo Firewall, configure opções de proteção e defina redes e executáveisconfiáveis.
Para redefinir as configurações para o padrão da McAfee e cancelar suas alterações, clique em Redefinirpara o padrão.
Consulte as configurações do módulo Em Comum para verificar a configuração de registro em log.
O Host Intrusion Prevention 8.0 pode ser instalado no mesmo sistema que o Endpoint Security versão10.5. Se o Firewall do McAfee Host IPS estiver instalado e ativado, o Firewall do Endpoint Security serádesativado, mesmo se estiver ativado nas configurações de política.
Tabela 4-1 Opções
Seção Opção Definição
Ativar Firewall Ativa e desativa o módulo do Firewall.
Opções deproteção
Permitir tráfego paraprotocolosincompatíveis
Permite todo o tráfego que usa protocolos incompatíveis. Quandodesativado, todos os tráfegos que usam protocolos incompatíveis sãobloqueados.
Permitir tráfego de saídaapenas até que osserviços do Firewallsejam iniciados
Permite o tráfego de saída, mas nenhum tráfego de entrada até queo serviço do Firewall seja iniciado.
Se essa opção estiver desativada, o Firewall permitirá todo otráfego antes que os serviços sejam iniciados, podendo deixar osistema vulnerável.
Permitir tráfego de ponte Permite:• Pacotes de entrada se o endereço MAC de destino estiver no
intervalo suportado de endereços MAC de VM e não for umendereço MAC local no sistema.
• Pacotes de saída se o endereço MAC de origem estiver nointervalo suportado de endereços MAC e não for um endereço MAClocal no sistema.
Ativar alertas deintrusão do firewall
Mostra alertas automaticamente quando o Firewall detecta umpossível ataque.
Bloqueio deDNS
Nome de domínio Define nomes de domínio a bloquear.Quando aplicada, essa configuração adiciona uma regra próximo aotopo das regras do firewall que bloqueia conexões aos endereços IPcom resolução para os nomes de domínio.
• Adicionar - Adiciona um nome de domínio à lista de bloqueio. Separevários domínios com uma vírgula (,) ou quebra de linha.É possível usar os caracteres curinga * e ?. Por exemplo,*domínio.com.
As entradas duplicadas são removidas automaticamente.
• Clicar duas vezes em um item - Altera o item selecionado.
• Excluir - Remove o nome de domínio selecionado da lista debloqueio.
Usar o FirewallReferência da interface do Cliente do Endpoint Security — Firewall 4
McAfee Endpoint Security 10.5 Guia do produto 149
Tabela 4-2 Opções avançadas
Seção Opção Definição
Opções deajuste
Ativar modo adaptável Cria regras automaticamente para permitir o tráfego.
Prática recomendada: ative o modo adaptável temporariamenteem alguns sistemas somente durante o ajuste do Firewall. Aativação desse modo pode gerar muitas regras de cliente, quedevem ser processadas pelo servidor McAfee ePO, afetando odesempenho negativamente.
Desativar as regrasprincipais de rede daMcAfee
Desativa as regras de rede incorporadas da McAfee (no grupo deregras da Rede principal da McAfee).(Desativado por padrão)
A ativação desta opção pode interromper as comunicações de redeno cliente.
Registrar em log todo otráfego bloqueado
Registra todo o tráfego bloqueado no log de eventos do Firewall(FirewallEventMonitor.log) no Cliente do Endpoint Security.(Ativado por padrão)
Registrar em log todo otráfego permitido
Registra todo o tráfego permitido no log de eventos do Firewall(FirewallEventMonitor.log) no Cliente do Endpoint Security.(Desativado por padrão)
A ativação dessa opção pode afetar negativamente o desempenho.
Reputação darede noMcAfee GTI
Tratar correspondênciado McAfee GTI comointrusão
Trata o tráfego que corresponde à configuração do limite debloqueio do McAfee GTI como uma intrusão. A ativação dessaopção exibe um alerta, envia um evento para o servidor degerenciamento e o adiciona ao arquivo de log do Cliente doEndpoint Security.Todos os endereços IP de uma rede confiável são excluídos dapesquisa do McAfee GTI.
(Ativado por padrão)
Registrar em log otráfego correspondente
Trata o tráfego que corresponde à configuração do limite debloqueio McAfee GTI como uma detecção. A ativação dessa opçãoenvia um evento para o servidor de gerenciamento e o adiciona aoarquivo de log do Cliente do Endpoint Security.(Ativado por padrão)
Todos os endereços IP de uma rede confiável são excluídos dapesquisa do McAfee GTI.
Bloquear todos osexecutáveis nãoconfiáveis
Bloqueia todos os executáveis que não estão assinados ou que têmuma reputação desconhecida do McAfee GTI.
4 Usar o FirewallReferência da interface do Cliente do Endpoint Security — Firewall
150 McAfee Endpoint Security 10.5 Guia do produto
Tabela 4-2 Opções avançadas (continuação)
Seção Opção Definição
Limite de entrada dereputação da redeLimite de saída dereputação da rede
Especifica o limite de classificação do McAfee GTI para o bloqueiodo tráfego de entrada ou saída de uma conexão de rede.• Não bloquear - Este site parece ser uma origem ou destino legítimo
de conteúdo/tráfego.
• Alto risco - A origem/destino envia ou hospeda conteúdo/tráfegopossivelmente malicioso que o McAfee considera arriscado.
• Risco médio - A origem/destino mostra um comportamento que aMcAfee considera suspeito. Qualquer conteúdo/tráfego do siterequer um escrutínio especial.
• Não verificado - O site parece ser uma origem ou destino legítimo deconteúdo/tráfego, mas também exibe propriedades que sugeremser necessário inspecionar.
Firewalldinâmico
Usar inspeção deprotocolo do FTP
Permite que as conexões FTP sejam rastreadas para que exijamsomente uma regra de firewall para o tráfego de cliente FTP desaída e o tráfego de servidor FTP de entrada.Se essa opção não for selecionada, as conexões de FTP precisarãode uma regra individual para o tráfego de cliente de FTP de entradae o tráfego de servidor de FTP de saída.
Número de segundos(1-240) antes de atingir otempo limite da conexãoTCP
Especifica o tempo, em segundos, que uma conexão TCP nãoestabelecida permanece ativa se pacotes correspondentes àconexão não forem mais enviados ou recebidos. O intervalo válidoé 1–240.
Número de segundos(1-300) antes de atingir otempo limite dasconexões virtuais de ecoUDP e ICMP
Especifica o tempo, em segundos, que uma conexão virtual de ecoUDP ou ICMP permanece ativa se nenhum pacote correspondente àconexão for enviado ou recebido. Essa opção volta ao seu valorconfigurado sempre que um pacote que corresponde à conexãovirtual é enviado ou recebido. O intervalo válido é de 1 a 300.
Redesdefinidas
Define endereços de rede, sub-redes ou intervalos a serem usadosem regras e grupos.• Adicionar — Adiciona um endereço de rede, uma sub-rede ou uma
faixa à lista de redes definidas.Clique em Adicionar e preencha os campos na linha de definição darede.
• Clicar duas vezes em um item - Altera o item selecionado.
• Excluir — Exclui o endereço selecionado da lista de redes definidas.
Tipo de endereço Especifica o tipo de endereço da rede a ser definido.
Confiável • Sim — Permite todo o tráfego da rede.A definição de uma rede como confiável cria uma regra Permitirbidirecional para essa rede remota no topo da lista de regras doFirewall.
• Não — Adiciona a rede à lista de redes definidas para a criação deregras.
Usar o FirewallReferência da interface do Cliente do Endpoint Security — Firewall 4
McAfee Endpoint Security 10.5 Guia do produto 151
Tabela 4-2 Opções avançadas (continuação)
Seção Opção Definição
Proprietário
Executáveisconfiáveis
Especifica executáveis que são seguros em qualquer ambiente enão têm vulnerabilidades conhecidas. Esses executáveis têmpermissão para executar qualquer operação, exceto aquelas quesugerirem que os executáveis foram comprometidos.A configuração de um executável confiável cria uma regra Permitirbidirecional para esse executável no topo da lista de regras doFirewall.
• Adicionar - Adiciona um executável confiável.
• Clicar duas vezes em um item - Altera o item selecionado.
• Excluir — Remove o executável da lista de confiança.
Consulte também Configurar as Firewall na página 135Definir redes para usar em regras e grupos na página 137Configurar executáveis confiáveis na página 138Adicionar executável ou Editar executável na página 159
Firewall — RegrasGerencie regras de firewall e grupos.
Você pode adicionar e excluir regras e grupos somente no grupo Adicionado pelo usuário. Firewallmove automaticamente as regras recém-adicionadas a este grupo.
Para redefinir as configurações para o padrão de fábrica e cancelar suas alterações, clique em Redefinirpara o padrão.
Tabela 4-3 Opções
Seção Opção Definição Regra Grupo
REGRAS Adicionar regra Cria uma regra de firewall.
Adicionar grupo Cria um grupo do firewall.
Clicar duas vezesem um item
Altera o item selecionado.
Duplicar Cria uma cópia do item selecionado.
Excluir Remove um item de firewall selecionado.
Indica elementos que podem ser movidos na lista.Selecione elementos e arraste e solte-os no novo local.Uma linha azul é exibida entre os elementos no localem que você pode soltar os elementos arrastados.
Consulte também Criar e gerenciar regras e grupos do Firewall na página 145Página Adicionar regra ou Editar regra, Adicionar grupo ou Editar grupo na página 153
4 Usar o FirewallReferência da interface do Cliente do Endpoint Security — Firewall
152 McAfee Endpoint Security 10.5 Guia do produto
Página Adicionar regra ou Editar regra, Adicionar grupo ou Editar grupoAdicione ou edite os grupos e as regras de firewall.
Tabela 4-4 Opções
Seção Opção Definição Regra Grupo
Descrição Nome Especifica o nome descritivo do item (obrigatório).
Status Ativa ou desativa o item.
Especificar ações Permitir — Permite o tráfego por meio do firewall se oitem for correspondente.
Bloquear — Impede que o tráfego passe pelo firewall se oitem for correspondente.
Tratar correspondência como intrusão — Trata o tráfego quecorresponde à regra como uma intrusão. A ativaçãodesta opção exibe um alerta, envia um evento para oservidor de gerenciamento e o adiciona ao arquivo delog do Cliente do Endpoint Security.
Prática recomendada: não ativar esta opção parauma regra Permitir, pois ela resulta em muitos eventos.
Registrar em log o tráfego correspondente - trata o tráfego quecorresponde à regra como uma detecção. A ativaçãodesta opção envia um evento para o servidor degerenciamento e o adiciona ao arquivo de log do Clientedo Endpoint Security.
Direção Especifica a direção:• Qualquer um — Monitora tanto o tráfego de entrada
quanto o de saída.
• Entrada — Monitora o tráfego de entrada.
• Saída — Monitora o tráfego de saída.
Notas Fornece mais informações sobre o item.
Local Ativarreconhecimento delocal
Ativa ou desativa as informações do local do grupo.
Nome Especifica o nome do local (obrigatório).
Usar o FirewallReferência da interface do Cliente do Endpoint Security — Firewall 4
McAfee Endpoint Security 10.5 Guia do produto 153
Tabela 4-4 Opções (continuação)
Seção Opção Definição Regra Grupo
Ativar isolamentode conexão
Bloqueia o tráfego em adaptadores de rede que nãocorrespondem ao grupo quando há um adaptador quenão corresponde ao grupo.
As configurações de Transporte e Executáveis não estãodisponíveis para os grupos de isolamento de conexão.
Uma das utilizações dessa opção é o bloqueio do tráfegogerado por fontes potencialmente indesejáveis vindas defora da rede corporativa. O bloqueio do tráfego dessamaneira é possível somente se uma regra que precede ogrupo no firewall não o tiver já permitido.
Quando o isolamento de conexão estiver ativado e umNIC corresponder ao grupo, o tráfego só será permitidoquando um dos itens a seguir for aplicável:
• O tráfego corresponde a uma Regra de permissão antes dogrupo.
• O tráfego que percorre um NIC corresponde ao grupoe há uma regra no grupo ou abaixo dele que permite otráfego.
Se nenhum NIC corresponder ao grupo, o grupo éignorado e a correspondência de regras continua.
Requer que oMcAfee ePO estejaacessível
Permite que o grupo faça a correspondência somente sehouver comunicação com o servidor do McAfee ePO e oFQDN do servidor tenha sido resolvido.
4 Usar o FirewallReferência da interface do Cliente do Endpoint Security — Firewall
154 McAfee Endpoint Security 10.5 Guia do produto
Tabela 4-4 Opções (continuação)
Seção Opção Definição Regra Grupo
Critérios de local • Sufixo DNS específico da conexão - Especifica um sufixo DNSespecífico para a conexão no formato: example.com.
• Gateway padrão - Especifica um endereço IP único paraum gateway padrão no formato IPv4 ou IPv6.
• Servidor DHCP - Especifica um endereço IP único paraum servidor DHCP no formato IPv4 ou IPv6.
• Servidor DNS - Especifica um endereço IP único para umservidor de nome de domínio no formato IPv4 ouIPv6.
• Servidor primário WINS - Especifica um endereço IP únicopara um servidor WINS primário no formato IPv4 ouIPv6.
• Servidor secundário WINS - Especifica um endereço IP únicopara um servidor WINS secundário no formato IPv4 ouIPv6.
• Acessibilidade do domínio (HTTPS) — Requer que o domínioespecificado esteja acessível usando HTTPS.
• Chave de Registro — Especifica a chave de Registro e ovalor da chave.
1 Clique em Adicionar.
2 Na coluna Valor, especifique a chave de Registro noformato:<ROOT>\<KEY>\[NOME_DO_VALOR]• <ROOT> — Deve usar o nome completo da raiz,
como HKEY_LOCAL_MACHINE, e não a abreviaçãoHKLM.
• <KEY> — É o nome da chave na raiz.
• [NOME_DO_VALOR] — É o nome do valor dachave. Se nenhum nome de valor for incluído,presume-se que seja o valor padrão.
Formatos de exemplo:
• IPv4 — 123.123.123.123• IPv6 — 2001:db8:c0fa:f340:9219: bd20:9832:0ac7
Redes Especifica as opções de host da rede que se aplicam aoitem.
Protocolo de rede Especifica o protocolo de rede que se aplica ao item.
Qualquer protocolo Permite protocolos IP e não IP.Se um protocolo de transporte ou um aplicativo forespecificado, somente os protocolos IP são permitidos.
Usar o FirewallReferência da interface do Cliente do Endpoint Security — Firewall 4
McAfee Endpoint Security 10.5 Guia do produto 155
Tabela 4-4 Opções (continuação)
Seção Opção Definição Regra Grupo
Protocolo IP Exclui protocolos não IP.• Protocolo IPv4
• Protocolo IPv6
Se nenhuma caixa de seleção for marcada, qualquerprotocolo IP será aplicável. Pode-se selecionar ambos,IPv4 e IPv6.
Protocolo não IP Inclui somente protocolos não IP.• Selecionar EtherType na lista - Especifica um EtherType.
• Especificar EtherType personalizado - Especifica os quatrocaracteres do valor do EtherType hexadecimal noprotocolo não IP. Consulte Números Ethernet para veros valores de EtherType. Por exemplo, insira 809Bpara AppleTalk, 8191 para NetBEUI ou 8037 para IPX.
Tipos de conexão Indica se um ou todos os tipos de conexão sãoaplicáveis:• Com fio
• Sem fio
• VirtualUm tipo de conexão Virtual é um adaptadorapresentado por uma VPN ou por um aplicativo demáquina virtual, como o VMware, em vez de umadaptador físico.
Especifique asredes
Especifica as redes que se aplicam ao item.• Adicionar — Cria e adiciona uma rede.
• Clicar duas vezes em um item - Altera o itemselecionado.
• Excluir — Remove a rede da lista.
Transporte Especifica as opções de transporte que se aplicam aoitem.
4 Usar o FirewallReferência da interface do Cliente do Endpoint Security — Firewall
156 McAfee Endpoint Security 10.5 Guia do produto
Tabela 4-4 Opções (continuação)
Seção Opção Definição Regra Grupo
Protocolo detransporte
Especifica o protocolo de transporte associado ao item.Selecione o protocolo, depois clique em Adicionar paraadicionar portas.
• Todos os protocolos — Permite protocolos IP, não IP e semsuporte.
• TCP e UDP — Selecione na lista suspensa:
• Porta local — Especifica a porta ou o serviço de tráfegolocal ao qual o item se aplica.
• Porta remota — Especifica a porta ou serviço de tráfegoem outro computador ao qual o item é aplicável.
A Porta local e a Porta remota podem ser:
• Um serviço único. Exemplo: 23.
• Um intervalo. Exemplo: 1–1024.
• Uma lista separada por vírgula de portas únicas eintervalos. Por exemplo, 80, 8080, 1–10, 8443 (até4 itens).
Por padrão, as regras se aplicam a todos os serviços eportas.
• ICMP - Na lista suspensa Tipo de mensagem, especifiqueum tipo de mensagem ICMP. Veja ICMP.
• ICMPv6 - Na lista suspensa Tipo de mensagem, especifiqueum tipo de mensagem ICMP. Veja ICMPv6.
• Outros - Seleciona protocolos menos comuns em umalista.
Executáveis Especifica as executáveis que se aplicam à regra.• Adicionar - Cria e adiciona um executável.
• Clicar duas vezes em um item - Altera o itemselecionado.
• Excluir - Remove um executável da lista.
Agendamento Especifica as definições de agendamento para a regra ougrupo.
Usar o FirewallReferência da interface do Cliente do Endpoint Security — Firewall 4
McAfee Endpoint Security 10.5 Guia do produto 157
Tabela 4-4 Opções (continuação)
Seção Opção Definição Regra Grupo
Ativaragendamento
Ativa o agendamento para a regra ou o grupotemporizado.Quando o agendamento está desativado, a regra ou asregras não são aplicadas no grupo.
• Hora de início - Especifica a hora de início para ativar oagendamento.
• Hora de término - Especifica a hora que o agendamentoserá desativado.
• Dias da semana - Indica os dias da semana para ativaro agendamento.
Para horas de inicio e de fim, use um relógio de 24horas. Por exemplo, 13:00 = 1:00 p.m.
Você pode agendar os grupos temporizados do Firewallou permitir que o usuário os ative usando o ícone dabandeja do sistema da McAfee.
Desativaragendamento eativar o grupo noícone da bandejado sistema daMcAfee
Especifica que o usuário pode ativar o grupotemporizado por um determinado número de minutosusando o ícone da bandeja do sistema da McAfee, emvez de usar o agendamento.
Prática recomendada: use essa opção para permitiramplo acesso à rede, por exemplo, em um hotel,antes que uma conexão VPN seja estabelecida.
A seleção desta opção exibe mais opções de menu emConfigurações rápidas no ícone da bandeja do sistema daMcAfee:
• Ativar grupos temporizados do Firewall — Ativa os grupostemporizados por determinado período a fim depermitir o acesso à Internet antes que as regras derestrição de acesso sejam aplicadas. Quando osgrupos temporizados estão ativados, a opção éDesativar grupos temporizados do Firewall.Sempre que selecionar essa opção, você redefinirá otempo dos grupos.
Dependendo das configurações, você pode sersolicitado a fornecer ao administrador um motivo paraativar os grupos temporizados.
• Exibir grupos temporizados do Firewall — Exibe os nomes dosgrupos temporizados e a quantidade de temporestante para ativação de cada grupo.
Número de minutos(1-60) para ativar ogrupo
Especifica o número de minutos (de 1 a 60) em que ogrupo temporizado permanece ativo após a seleção deAtivar grupos limitados de firewall no ícone da McAfee nabandeja do sistema.
4 Usar o FirewallReferência da interface do Cliente do Endpoint Security — Firewall
158 McAfee Endpoint Security 10.5 Guia do produto
Consulte também Criar e gerenciar regras e grupos do Firewall na página 145Criar grupos temporizados na página 148Ativar ou exibir grupos temporizados do Firewall usando o ícone da bandeja do sistema daMcAfee na página 134Página Adicionar rede ou Editar rede na página 160Adicionar executável ou Editar executável na página 159
Adicionar executável ou Editar executávelAdicione ou edite um executável associado a uma regra ou um grupo.
Tabela 4-5 Opções
Opção Definição
Nome Especifica o nome pelo qual você chama o executável.Esse campo é obrigatório com, pelo menos, um outro campo: Nome ou caminho doarquivo, Descrição do arquivo, Hash de MD5 ou signatário.
Nome ou caminhodo arquivo
Especifica o nome ou o caminho do arquivo para o executável a ser adicionado oueditado.Clique em Procurar para selecionar o executável.
O caminho do arquivo pode incluir caracteres curinga.
Descrição doarquivo
Indica a descrição do arquivo.
Hash de MD5 Indica o hash de MD5 (número hexadecimal de 32 dígitos) do processo.
Usar o FirewallReferência da interface do Cliente do Endpoint Security — Firewall 4
McAfee Endpoint Security 10.5 Guia do produto 159
Tabela 4-5 Opções (continuação)
Opção Definição
Signatário Ativar a verificação da assinatura digital — Garante que o código não foi alterado oucorrompido desde que foi assinado com um hash criptográfico.Se ativado, especifique:
• Permitir qualquer assinatura — Permite arquivos assinados por qualquer signatário deprocesso.
• Assinado por — Permite somente arquivos assinados pelo signatário de processoespecificado.Um nome distinto de signatário (SDN) é obrigatório para o executável e ele devecorresponder exatamente às entradas no campo acompanhante, incluindo vírgulase espaços.
O signatário do processo aparece no formato correto nos eventos do Log deeventos do Cliente do Endpoint Security e no Log de eventos de ameaça do McAfeeePO. Por exemplo:
C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR,CN=MICROSOFT WINDOWS
Para obter um SDN de um executável:
1 Clique com o botão direito do mouse em um executável e selecione Propriedades.
2 Na guia Assinaturas digitais, selecione um signatário e clique em Detalhes.
3 Na guia Geral, clique em Exibir certificado.
4 Na guia Detalhes, selecione o campo Entidade. É exibido o nome diferenciado dosignatário. Por exemplo, o Firefox possui este nome diferenciado de signatário:
• CN = Mozilla Corporation
• OU = Liberação de engenharia
• O = Mozilla Corporation
• L = Mountain View
• S = Califórnia
• C = EUA
Notas Apresenta mais informações sobre o item.
Página Adicionar rede ou Editar redeAdiciona ou edita uma rede associada a uma regra ou grupo.
Tabela 4-6 Opções
Opção Definição Regra Grupo
Nome Especifica o nome do endereço de rede (obrigatório).
Tipo Selecione entre:• Rede local — Cria e adiciona uma rede local.
• Rede remota — Cria e adiciona uma rede remota.
Adicionar Adiciona um tipo de rede à lista de redes.
Clicar duas vezes emum item
Altera o item selecionado.
Excluir Exclui o item selecionado.
4 Usar o FirewallReferência da interface do Cliente do Endpoint Security — Firewall
160 McAfee Endpoint Security 10.5 Guia do produto
Tabela 4-6 Opções (continuação)
Opção Definição Regra Grupo
Tipo de endereço Especifica a origem ou o destino do tráfego. Selecione na listasuspensa Tipo de endereço.
Endereço Especifica o endereço IP para adicionar à rede.Caracteres curinga são válidos.
Consulte também Tipo de endereço na página 161
Tipo de endereçoEspecifique o tipo de endereço de uma rede definida.
Tabela 4-7 Opções
Opção Definição
Endereço IP único Especifica um endereço IP particular. Por exemplo:• IPv4 — 123.123.123.123• IPv6 - 2001:db8::c0fa:f340:9219:bd20:9832:0ac7*
Sub-rede Especifica o endereço de sub-rede de qualquer adaptador na rede. Por exemplo:• IPv4 - 123.123.123.0/24• IPv6 - 2001:db8::0/32
Sub-rede local Especifica o endereço de sub-rede do adaptador local.
Intervalo Especifica um intervalo de endereços IP. Digite o ponto inicial e o ponto final dointervalo. Por exemplo:• IPv4 - 123.123.1.0 – 123.123.255.255• IPv6 - 2001:db8::0000:0000:0000:0000 –2001:db8::ffff:ffff:ffff:ffff
Nome de domíniototalmente qualificado
Especifica o FQDN. Por exemplo, www.exemplo.com.
Qualquer endereço IPlocal
Especifica qualquer endereço IP local.
Qualquer endereço IPv4 Especifica qualquer endereço IPv4.
Qualquer endereço IPv6 Especifica qualquer endereço IPv6.
Usar o FirewallReferência da interface do Cliente do Endpoint Security — Firewall 4
McAfee Endpoint Security 10.5 Guia do produto 161
4 Usar o FirewallReferência da interface do Cliente do Endpoint Security — Firewall
162 McAfee Endpoint Security 10.5 Guia do produto
5 Usar o Controle da Web
Os recursos de proteção do Controle da Web são exibidos no navegador ao navegar e pesquisar.
Conteúdo Sobre os recursos do Controle da Web Acessar recursos do Controle da Web Gerenciamento do Controle da Web Referência da interface do Cliente do Endpoint Security — Controle da Web
Sobre os recursos do Controle da WebÀ medida que o Controle da Web é executado em cada sistema gerenciado, ele notifica os usuáriossobre as ameaças enquanto buscam ou navegam em sites.
Uma equipe da McAfee analisa cada site e atribui uma classificação de segurança codificada por coresde acordo com os resultados do teste. A cor indica o nível de segurança do site.
O software usa os resultados do teste para notificar os usuários sobre as ameaças da Web que podemencontrar.
Nas páginas de resultados da pesquisa — Um ícone é exibido ao lado de cada site listado. A cordo ícone indica a classificação de segurança do site. Os usuários podem acessar mais informações comos ícones.
Na janela do navegador — Um botão é exibido no navegador. A cor do botão indica a classificaçãode segurança do site. Os usuários podem ter acesso a mais informações clicando no botão.
O botão também notifica os usuários quando ocorrem problemas de comunicação e fornece acessorápido a testes que ajudam a identificar problemas comuns.
Nos relatórios de segurança — Os detalhes mostram como a classificação de segurança foicalculada com base nos tipos de ameaças detectadas, nos resultados dos testes e outros dados.
Para sistemas gerenciados, os administradores criam políticas para:
• Ativar e desativar o Controle da Web no sistema, e impedir ou permitir que o plug-in do navegadorseja desativado.
• Controlar o acesso a sites, páginas e downloads com base na classificação de segurança ou no tipode conteúdo.
Por exemplo, bloquear sites com nível de risco vermelho e avisar aos usuários que tentam acessarsites com nível de risco amarelo.
• Identificar sites como bloqueado ou permitido, com base em URLs e domínios.
• Impedir que usuários desinstalem ou alterem arquivos do Controle da Web, chaves de Registro,valores de Registro, serviços e processos.
5
McAfee Endpoint Security 10.5 Guia do produto 163
• Personalizar a notificação que é exibida quando os usuários tentam acessar um site bloqueado.
• Monitorar e regular a atividade do navegador nos computadores da rede e criar relatóriosdetalhados sobre sites.
Para sistemas autogerenciáveis, você pode configurar as definições para:
• Ativar e desativar o Controle da Web em seu sistema.
• Controlar o acesso a sites, páginas e downloads com base na classificação de segurança ou no tipode conteúdo.
Por exemplo, bloquear sites com nível de risco vermelho e avisar aos usuários que tentam acessarsites com nível de risco amarelo.
Navegadores compatíveis e incompatíveis.
O Controle da Web oferece suporte a estes navegadores:
• Microsoft Internet Explorer 11
• Google Chrome — versão atual
O Chrome não oferece suporte à opção Mostrar balão.
• Mozilla Firefox — versão atual
• Mozilla Firefox ESR (Versão com suporte estendido) — versão atual e versão anterior
Como o Google e o Mozilla lançam novas versões com frequência, o Controle da Web poderá nãofuncionar com uma nova atualização. Um patch do Controle da Web é lançado sempre que possível paraoferecer suporte às alterações do Google ou do Mozilla.
O Controle da Web não oferece suporte ao Microsoft Edge.
Para obter as informações mais recentes sobre navegadores compatíveis com o Controle da Web,consulte KB82761.
Em sistemas autogerenciados, todos os navegadores – compatíveis e incompatíveis – são permitidospor padrão.
Consulte também O botão do Controle da Web identifica ameaças durante a navegação na página 165Os ícones de segurança identificam ameaças durante a pesquisa na página 166Os relatórios do site apresentam detalhes na página 166Como as classificações de segurança são compiladas na página 167
5 Usar o Controle da WebSobre os recursos do Controle da Web
164 McAfee Endpoint Security 10.5 Guia do produto
Como o Controle da Web bloqueia ou avisa sobre um site ou umdownloadQuando um usuário visita ou acessa um recurso de um site que tenha sido bloqueado ou avisado, oControle da Web exibe uma página ou uma mensagem pop-up indicando o motivo.
Se as ações de classificação de um site estiverem definidas como:
• Avisar — O Controle da Web mostra um alerta para notificar os usuários de perigos em potencialassociados ao site.
Cancelar retorna ao site navegado anteriormente.
Se a guia do navegador não tiver nenhum site visualizado anteriormente, Cancelar não estarádisponível.
Continuar prossegue para o site.
• Bloquear — O Controle da Webexibe uma mensagem indicando que o site está bloqueado e impedeque usuários acessem o site.
OK retorna ao site navegado anteriormente.
Se a guia do navegador não tiver nenhum site visualizado anteriormente, OK não estará disponível.
Se as ações de classificação de download de um site estiverem definidas como:
• Avisar — O Controle da Web mostra um alerta para notificar o usuário de perigos em potencialassociados ao download do arquivo.
Bloquear impede o download e retorna ao site.
Continuar permite o download.
• Bloquear — O Controle da Web exibe uma mensagem indicando que o site está bloqueado e impedeo download.
OK retorna ao site.
O botão do Controle da Web identifica ameaças durante anavegaçãoAo navegar para um site, é exibido um botão com código de cores no navegador. A cordo botão corresponde à classificação de segurança do site.
A classificação de segurança se aplica somente às URLs de protocolo HTTP e HTTPS.
Internet Explorere Safari (Mac)
Firefox eChrome
Descrição
Este site é testado diariamente e certificado como seguropelo McAfee SECURE™. (somente Windows)
Este site é seguro.
Este site pode ter problemas.
Este site tem problemas graves.
Não há classificação disponível para este site.Este botão aparece para o FILE (file://) URLs de protocolo.
Ocorreu um erro de comunicação com o servidor McAfee GTIque contém informações sobre classificações.
Usar o Controle da WebSobre os recursos do Controle da Web 5
McAfee Endpoint Security 10.5 Guia do produto 165
Internet Explorere Safari (Mac)
Firefox eChrome
Descrição
O Controle da Web não consultou o McAfee GTI a respeitodeste site, indicando que o site seja interno ou esteja emuma faixa de endereços IP privada.
O site é de phishing.
Phishing é uma tentativa de adquirir informaçõesconfidenciais como nomes de usuário, senhas e detalhes decartão de crédito. Os sites de phishing se passam porentidades confiáveis em uma comunicação eletrônica.
Uma configuração ativa este site.
Uma configuração desativou o Controle da Web.
A localização do botão depende do navegador:
• Internet Explorer - Barra de ferramentas do Controle da Web
• Firefox - Canto direito da barra de ferramentas do Firefox
• Chrome - Barra de endereço
Consulte também Ver informações sobre um site enquanto navega na página 169
Os ícones de segurança identificam ameaças durante apesquisaQuando os usuários digitam palavras-chave em um mecanismo de pesquisa popular como Google,Yahoo, Bing ou Ask, ícones de segurança são exibidos junto aos sites na página de resultados dapesquisa. A cor do botão corresponde à classificação de segurança do site.
Os testes não revelaram nenhum problema importante.
Testes revelaram alguns problemas que talvez você precise saber. Por exemplo, o site tentoualterar os padrões do navegador dos testadores, exibiu pop-ups ou enviou-lhes uma quantidadesignificativa de e-mails não spam.
Testes revelaram alguns problemas que talvez você precise considerar cuidadosamente antes deacessar este site. Por exemplo, o site enviou muitos emails de spam aos verificadores ou incluiuadware no download.
Uma configuração de bloqueou este site.
Este site está sem classificação.
Consulte também Exibir relatório de site durante a pesquisa na página 170
Os relatórios do site apresentam detalhesVocê podem exibir o relatório do site de um site para obter detalhes sobre ameaças específicas.
Os relatórios de sites são entregues pelo servidor de classificações do McAfee GTI e oferecem asinformações a seguir.
5 Usar o Controle da WebSobre os recursos do Controle da Web
166 McAfee Endpoint Security 10.5 Guia do produto
Este item... Indica...
Visão geral Classificação geral do site, determinada a partir desses testes:• Avaliação das práticas de e-mail e download de um site usando técnicas próprias de
coleta e análise de dados.
• Exame do site em si, para verificar se ele adota práticas incômodas, como excessode pop-ups ou solicitações para que você mude sua página inicial.
• Análise das afiliações online do site para saber se ele está associado a outros sitessuspeitos.
• Combinação da análise do McAfee de sites suspeitos com os comentários de nossosserviços de Threat Intelligence.
FiliaçõesOn-line
Quão agressivamente o site tenta te levar para outros sites que o McAfee classificoucomo vermelho.Os sites suspeitos com frequência se associam a outros sites suspeitos. O objetivoprimário de sites alimentadores é fazer com que você visite o site suspeito. Um sitepode ser sinalizado com a classificação vermelha se, por exemplo, contiver grandequantidade de links para outros sites com a classificação vermelha. Nesse caso. oControle da Web considera o site com classificação vermelha por associação.
Testes despams naweb
Classificação geral das práticas de e-mail de um site, com base nos resultados dostestes.A McAfee classifica os sites com base na quantidade de e-mails recebidos apósinserirmos um endereço no site e também se esses e-mails se parecem com spam. Seuma dessas medidas ficar acima do que consideramos aceitável, a McAfee classifica osite como amarelo. Se ambas as medidas forem altas, ou uma delas for especialmentegrave, a McAfee classifica o site como vermelho.
Testes dedownload
Classificação geral do impacto sofrido por nosso computador de teste em decorrênciade um software obtido por download em um site com base nos resultados do teste.A McAfee atribui sinalizadores vermelhos a sites que têm downloads infectados porvírus ou que adicionam software não relacionado que muitas pessoas considerariamadware ou spyware. A classificação também registra os servidores de rede que umprograma obtido por download contata durante a operação, bem como quaisquermodificações nas configurações do navegador ou arquivos de registro do computador.
Consulte também Exibir relatório de site durante a pesquisa na página 170Ver informações sobre um site enquanto navega na página 169
Como as classificações de segurança são compiladasUma eqipe do McAfee desenvolve classificações de segurança ao testar critérios para cada site eavaliar os resultados para detectar ameaças comuns.
Os testes automáticos compilam as classificações de segurança para um site através de:
• Download de arquivos para verificar a existência de vírus e programas potencialmente indesejadosjunto com o download.
• Envio de informações de contato nos formulários de inscrição e verificação dos resultados de spamou alto volume de e-mails não spam enviados pelo site ou seus afiliados.
• Verificação de janelas pop-up em excesso.
• Verificação de tentativas do site de explorar as vulnerabilidades do navegador.
• Verificação de práticas fraudulentas ou enganadoras aplicadas por um site.
Usar o Controle da WebSobre os recursos do Controle da Web 5
McAfee Endpoint Security 10.5 Guia do produto 167
A equipe compila os resultados dos testes em um relatório de segurança, que também pode incluir:
• Comentários enviados por proprietários de sites, que podem incluir descrições de precauções desegurança usadas pelo site ou respostas aos comentários dos usuários sobre o site.
• Comentários enviados por usuários de sites, que podem incluir relatórios de fraudes de phishing ouexperiências ruins de compras.
• Mais análises pelos especialistas do McAfee.
O servidor do McAfee GTI armazena as classificações de sites e relatórios.
Acessar recursos do Controle da WebAcesse recursos do Controle da Web pelo navegador.
Tarefas• Ativar o plug-in de Controle da Web usando o navegador na página 168
Dependendo das configurações, você deve ativar manualmente o plug-in do Controle daWeb para ser notificado sobre ameaças baseadas na Web durante a navegação e a busca.
• Ver informações sobre um site enquanto navega na página 169Use o botão do Controle da Web no navegador para exibir informações sobre um site. Obotão funciona de forma diferente dependendo do navegador.
• Exibir relatório de site durante a pesquisa na página 170Use o ícone de segurança da página de resultados da pesquisa para exibir maisinformações sobre o site.
Ativar o plug-in de Controle da Web usando o navegadorDependendo das configurações, você deve ativar manualmente o plug-in do Controle da Web para sernotificado sobre ameaças baseadas na Web durante a navegação e a busca.
Antes de iniciarO módulo de Controle da Web deve estar ativado.
Plug-ins também são chamados de complementos no Internet Explorer e extensões no Firefox e noChrome.
Quando você iniciar o Internet Explorer ou o Chrome pela primeira vez, talvez seja solicitado a ativaros plug-ins. Para obter as informações mais recentes, consulte o artigo da Base de conhecimentosKB87568.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
• Dependendo no navegador, ative o plug-in.
5 Usar o Controle da WebAcessar recursos do Controle da Web
168 McAfee Endpoint Security 10.5 Guia do produto
InternetExplorer
• Clique em Ativar.
• Se mais de um plug-in estiver disponível, clique emEscolher complementos e, emseguida, clique em Ativar para acessar a barra de ferramentas do Controle da Web.
Chrome Clique em Ativar extensão.Se você não for solicitado a ativar o plug-in do Controle da Web , poderá ativá-lomanualmente.
1 Clique em Configurações | Extensões.
2 Clique em Ativar para ativar o Controle da Web do Endpoint Security.
3 Reinicie o Firefox.
Firefox 1 Na página inicial do Mozilla Firefox, Complementos | Extensões.
2 Selecione Ativar para ativar o Controle da Web do Endpoint Security.
No Internet Explorer, se você desativar a barra de ferramentas do Controle da Web, será solicitadoque também desative o plug-in do Controle da Web. Em sistemas gerenciados, se as configuraçõesde política impedirem que o plug-in seja desinstalado ou desativado, o Controle da Webpermanecerá ativado mesmo que a barra de ferramentas não esteja visível.
Ver informações sobre um site enquanto navegaUse o botão do Controle da Web no navegador para exibir informações sobre um site. O botãofunciona de forma diferente dependendo do navegador.
Antes de iniciar• O módulo de Controle da Web deve estar ativado.
• O plug-in do Controle da Web deve ser ativado no navegador.
• A opção Ocultar a barra de ferramentas no navegador do cliente nas configurações Opções deve estardesativada.
Quando o Internet Explorer estiver em modo de tela cheia, a barra de ferramentas do Controle da Webnão será exibida.
Para exibir o menu do Controle da Web:
Internet Explorer e FirefoxClique no botão na barra de ferramentas.
Chrome Clique no botão na barra de endereço.
Tarefa1 Mantenha o cursor sobre o botão na barra de ferramentas do Controle da Web para exibir um balão
que resume a classificação de segurança do site.
(somente Internet Explorer e Firefox)
2 Exibir o relatório detalhado do site, incluindo mais informações sobre a sua classificação desegurança:
• Clique no botão do Controle da Web.
• Selecione Exibir relatório de site no menu Controle da Web.
• Clique no link Exibir relatório de site no balão do site. (somente Internet Explorer e Firefox)
Usar o Controle da WebAcessar recursos do Controle da Web 5
McAfee Endpoint Security 10.5 Guia do produto 169
Consulte também O botão do Controle da Web identifica ameaças durante a navegação na página 165Os relatórios do site apresentam detalhes na página 166
Exibir relatório de site durante a pesquisaUse o ícone de segurança da página de resultados da pesquisa para exibir mais informações sobre osite.
Tarefa1 Coloque o cursor sobre o ícone de segurança. O texto do balão exibe um resumo do relatório de
segurança do site.
2 Clique em Ler relatório de site (no balão) para abrir um relatório de segurança detalhado do site emoutra janela do navegador.
Consulte também Os ícones de segurança identificam ameaças durante a pesquisa na página 166Os relatórios do site apresentam detalhes na página 166
Gerenciamento do Controle da WebComo administrador, você pode especificar as configurações do Controle da Web para ativar epersonalizar a proteção, bloquear com base em categorias da Web e configurar o registro.
Em sistemas gerenciados, as alterações de política do McAfee ePO podem sobrescrever as alterações dapágina Configurações.
Configurar opções de Controle da WebÉ possível ativar o Controle da Web e configurar opções usando o Cliente do Endpoint Security.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 Clique em Controle da Web na página Status principal.
Ou, no menu Ação , selecione Configurações e clique em Controle da Web na página Configurações.
3 Clique em Mostrar opções avançadas.
4 Clique em Opções.
5 Usar o Controle da WebGerenciamento do Controle da Web
170 McAfee Endpoint Security 10.5 Guia do produto
5 Selecione Ativar Controle da Web para tornar o Controle da Web ativo e modificar suas opções.
Para... Faça isso... Notas
Oculte a barra deferramentas do Controleda Web no navegadorsem desativar aproteção.
Selecione Ocultar a barra deferramentas no navegador do cliente.
Rastrear eventos donavegador para usarnos relatórios.
Configure as definições naseção Relatório de eventos.
Configure os eventos do Controle daWeb enviados dos sistemas clientespara o servidor de gerenciamento paraserem usados em consultas erelatórios.
Bloquear ou avisar arespeito de URLsdesconhecidos.
Em Imposição de ação, selecione aação (Bloquear, Permitir ou Avisar)para os sites que ainda nãoforam classificados peloMcAfee GTI.
Fazer a varredura dearquivos antes dodownload.
Em Imposição de ação, selecioneAtivar varredura de arquivos emdownloads de arquivos e, emseguida, selecione o nível derisco do McAfee GTI parabloquear.
Adicionar sites externosà rede privada local.
Em Imposição de ação, sobEspecificar intervalos e endereços IPadicionais para permitir, clique emAdicionar e insira um intervaloou endereço IP externo.
Bloquear a exibição desites arriscados nosresultados da pesquisa.
Em Pesquisa segura, selecioneAtivar pesquisa segura, selecione omecanismo de pesquisa eespecifique se os links dossites perigosos deverão serbloqueados.
A Pesquisa Segura filtraautomaticamente os sites maliciososnos resultados da pesquisa com baseem suas classificações de segurança. OControle da Web utiliza o Yahoo comomecanismo de pesquisa padrão e dásuporte à Pesquisa segura apenas noInternet Explorer.Caso altere o mecanismo de pesquisapadrão, reinicie o navegador para queas alterações tenham efeito.
Na próxima vez em que o usuário abriro Internet Explorer, o Controle da Webexibirá um pop-up solicitando que ousuário mude para a Pesquisa segurada McAfee com o mecanismo depesquisa especificado. Para as versõesdo Internet Explorer nas quais omecanismo de pesquisa estábloqueado, o pop-up de Pesquisasegura não é exibido.
6 Configure outras opções conforme necessário.
7 Clique em Aplicar para salvar suas alterações ou clique em Cancelar.
Consulte também Como os downloads de arquivos são analisados na página 172Entrar como administrador na página 26
Usar o Controle da WebGerenciamento do Controle da Web 5
McAfee Endpoint Security 10.5 Guia do produto 171
Como os downloads de arquivos são analisadosO Controle da Web envia solicitações de download de arquivo à Prevenção contra ameaças paravarredura antes de executar o download.
5 Usar o Controle da WebGerenciamento do Controle da Web
172 McAfee Endpoint Security 10.5 Guia do produto
Como o McAfee GTI funcionaO servidor McAfee GTI armazena classificações de sites e relatórios para o Controle da Web. Se vocêconfigurar o Controle da Web para varrer arquivos obtidos por download, o mecanismo de varredurausará a reputação de arquivos fornecida pelo McAfee GTI para verificar se há arquivos suspeitos.
O mecanismo de varredura envia impressões digitais de amostras, ou hashes, para um servidor debanco de dados central hospedado pelo McAfee Labs para determinar se elas são programas demalware. Com o envio de hashes, a detecção pode estar disponível antes da próxima atualização dearquivo de conteúdo, quando o McAfee Labs publicar a atualização.
Você pode configurar o nível de sensibilidade a ser usado pelo McAfee GTI ao determinar se umaamostra detectada é malware. Quanto mais alto o nível de sensibilidade, maior o número de detecçõesde malware. No entanto, se mais detecções forem permitidas, poderá haver mais resultados falsospositivos. O nível de sensibilidade do McAfee GTI é definido como Muito alto por padrão. Defina o nívelde sensibilidade para a varredura de downloads de arquivos nas configurações de política Controle daWeb do Controle da Web.
Você pode configurar o Endpoint Security para usar um servidor proxy para recuperar informações dereputação do McAfee GTI nas configurações do Em Comum.
Para perguntas frequentes sobre o McAfee GTI, consulte KB53735.
Especificar ações de classificação e bloquear acesso a sites combase na categoria da Web Defina as configurações de Ações de conteúdo para especificar as ações a serem aplicadas em sites earquivos de download, com base nas classificações de segurança. Opcionalmente, especifique se ossites devem ser bloqueados ou permitidos em cada categoria da Web.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 Clique em Controle da Web na página Status principal.
Ou, no menu Ação , selecione Configurações e clique em Controle da Web na página Configurações.
3 Clique em Mostrar opções avançadas.
4 Clique em Ações de conteúdo.
5 Na seção Bloqueio de Categoria da Web, para cada Categoria da Web, ative ou desative a opção Bloquear.
Para sites nas categorias não bloqueadas, o Controle da Web também aplica as ações declassificação.
Usar o Controle da WebGerenciamento do Controle da Web 5
McAfee Endpoint Security 10.5 Guia do produto 173
6 Na seção Ações de classificação, especifique as ações a serem aplicadas a qualquer site e arquivo dedownload, com base nas classificações de segurança definidas pelo McAfee.
Estas ações também se aplicam a sites que não foram bloqueados pelo bloqueio por categoria daweb.
7 Clique em Aplicar para salvar suas alterações ou clique em Cancelar.
Consulte também Utilizando categorias da web para controlar acesso na página 174Uso de classificações de segurança para controlar o acesso na página 174Entrar como administrador na página 26
Utilizando categorias da web para controlar acessoAs categorias da web permitem que você tenham controle do acesso a sites, com base nas categoriasque a McAfee definir. Você pode especificar opções para permitir ou bloquear acesso a sites, com basena categoria do conteúdo contido neles.
Ao ativar o bloqueio da categoria da Web nas configurações de de Ações de conteúdo, o softwarebloqueia ou permite as categorias dos sites. Estas categorias da Web incluem Jogos de azar, Jogos eMensagens instantâneas. A McAfee define e mantém uma lista de aproximadamente 105 categorias daWeb.
Quando um cliente usuário acessa um site, o software verifica a categoria da web para aquele site. Seo site faz parte de uma categoria definida, o acesso é permitido ou bloqueado, com base nasconfigurações da política de . Para sites e arquivos baixados nas categorias não bloqueadas, osoftware aplica as Ações de Classificação específicas.
Uso de classificações de segurança para controlar o acessoConfigure ações com base em classificações de segurança para determinar se os usuários podemacessar um site ou recursos em um site.
Nas configurações de Ações de conteúdo, especifique se arquivos e downloads de arquivos devem serpermitidos, avisados ou bloqueados com base na classificação de segurança. Essa configuraçãopossibilita maior nível de granularidade na proteção dos usuários contra arquivos que possamrepresentar uma ameaça em sites classificados com nível de risco verde.
Referência da interface do Cliente do Endpoint Security —Controle da Web
Forneça ajuda contextual para as páginas na interface do Cliente do Endpoint Security.
Conteúdo Controle da Web — Opções Controle da Web — Ações de conteúdo
Controle da Web — OpçõesConfigure opções do Controle da Web, que incluem imposição de ação, Pesquisa segura e anotaçõesde e-mail.
Consulte as configurações do módulo Em Comum para verificar a configuração de registro em log.
5 Usar o Controle da WebReferência da interface do Cliente do Endpoint Security — Controle da Web
174 McAfee Endpoint Security 10.5 Guia do produto
Tabela 5-1 Opções
Seção Opção Definição
OPÇÕES Ativar o Controle da Web Desativa ou ativa o Controle da Web. (Ativado por padrão)
Ocultar a barra deferramentas no navegadordo cliente
Oculta a barra de ferramentas do Controle da Web no navegadorsem desativar sua funcionalidade. (Desativado por padrão)
Log deeventos
Registrar em logcategorias da Web parasites classificados comnível de risco verde
Registra em log categorias de conteúdo para todos os sitesclassificados com nível de risco verde.Se esse recurso for ativado, isso poderá afetar negativamente odesempenho do servidor McAfee ePO.
Registrar em log oseventos do iFrame doControle da Web
Registra em log quando os sites maliciosos (vermelho) e avisados(amarelo) exibidos em um iframe HTML são bloqueados.
Imposição deação
Aplique essa ação parasites que ainda não foramverificados pelo McAfeeGTI
Especifica a ação padrão a ser aplicada a sites que o McAfee GTIainda não classificou.• Permitir (Padrão) — Permite que os usuários acessem o site.
• Avisar — Exibe um aviso para notificar os usuários de possíveisperigos associados ao site. Os usuários devem descartar o avisoantes de continuar.
• Bloquear — Impede que o usuário acesse o site e exibe umamensagem informando que o download do site está bloqueado.
Ativar suporte paraiFrames HTML
Bloqueia o acesso a sites maliciosos (vermelho) e avisados(amarelo) que aparecem em um iframe HTML. (Ativado porpadrão)
Bloquear sites por padrãose o servidor declassificações do McAfeeGTI não estiver acessível
Bloqueia o acesso a sites por padrão se o Controle da Web nãopuder acessar o servidor McAfee GTI.
Bloquear páginas dephishing para todos ossites
Bloqueia todas as páginas de phishing, substituindo as ações declassificação de conteúdo. (Ativado por padrão)
Ativar varredura dearquivos para downloadsde arquivos
Varre todos os arquivos (.zip, .exe, .ecx, .cab, .msi, .rar, .scre .com) antes de fazer download. (Ativado por padrão)Essa opção impede que os usuários acessem um arquivo obtido pordownload até que o Controle da Web e a Prevenção contraameaças marquem o arquivo como limpo.
O Controle da Web realiza uma pesquisa do McAfee GTI no arquivo.Se o McAfee GTI permitir o arquivo, o Controle da Web enviará oarquivo para a Prevenção contra ameaças para fazer umavarredura. Se um arquivo obtido por download for detectado comouma ameaça, o Endpoint Security intervirá no arquivo e alertará ousuário.
Nível de sensibilidade doMcAfee GTI
Especifica o nível de sensibilidade do McAfee GTI que o Controle daWeb usa em downloads de arquivos.
Usar o Controle da WebReferência da interface do Cliente do Endpoint Security — Controle da Web 5
McAfee Endpoint Security 10.5 Guia do produto 175
Tabela 5-1 Opções (continuação)
Seção Opção Definição
Exclusões Especificar endereços IPou intervalos a seremexcluídos da classificaçãoou do bloqueio doControle da Web
Adiciona endereços IP e intervalos especificados à rede privadalocal, os excluindo da classificação ou do bloqueio.Os endereços IP privados são excluídos por padrão.
Prática recomendada: use essa opção para tratar sites externoscomo se eles pertencessem à rede local.
• Adicionar — Adiciona um endereço IP à lista de endereços privadosna rede local.
• Clicar duas vezes em um item — Altera o item selecionado.
• Excluir — Exclui um endereço IP da lista de endereços privados narede local.
Pesquisasegura
Ativar a pesquisa segura Ativa a pesquisa segura, bloqueando automaticamente sitesmaliciosos no resultado da pesquisa com base nas suasclassificações de segurança.
Definir o mecanismo depesquisa padrão nosnavegadores compatíveis
Especifica o mecanismo de pesquisa padrão a usar nosnavegadores compatíveis:• Yahoo
• Bing
• Ask
Bloquear links para sitesperigosos nos resultadosde pesquisas
Impede que os usuários cliquem em links para sites perigosos nosresultados de pesquisa.
Tabela 5-2 Opções avançadas
Seção Opção Definição
Anotações de e-mail Ativar anotações em e-mail no navegador Anota URLs em clientes de e-mail com base nonavegador, como o Yahoo Mail e o Gmail.
Ativar anotações em e-mail fora do navegador Anota URLs em ferramentas de gerenciamentode e-mail de 32 bits, como o Microsoft Outlookou o Outlook Express.
Consulte também Configurar opções de Controle da Web na página 170Como os downloads de arquivos são analisados na página 172McAfee GTI na página 177
5 Usar o Controle da WebReferência da interface do Cliente do Endpoint Security — Controle da Web
176 McAfee Endpoint Security 10.5 Guia do produto
McAfee GTIAtive e defina configurações do McAfee GTI (Global Threat Intelligence).
Tabela 5-4 Opções
Seção Opção Definição
Nível desensibilidade
Configura o nível de sensibilidade a ser usado ao determinar se umaamostra detectada é malware.Quanto mais alto o nível de sensibilidade, maior o número de detecções demalware. No entanto, se mais detecções forem permitidas, poderá havermais resultados falsos positivos.
Muito baixo As detecções e o risco de falsos positivos são os mesmos que existem comarquivos comuns do conteúdo do AMCore. Uma detecção é disponibilizadapara a Prevenção contra ameaças quando o McAfee Labs a publica, e não napróxima atualização de arquivo do conteúdo do AMCore.Use essa configuração para desktops e servidores com direitos de usuáriorestritos e configurações de segurança fortes.
Baixo Essa configuração é a recomendação mínima para laptops, desktops eservidores com configurações de segurança fortes.
Médio Use essa configuração quando o risco regular de exposição a malware formaior que o risco de um falso positivo. As verificações heurísticasproprietárias do McAfee Labs resultam em detecções que possivelmente sãomalware. Contudo, algumas detecções podem resultar em falsos positivos.Com essa configuração, o McAfee Labs verifica se aplicativos populares earquivos do sistema operacional não resultam em falsos positivos.Essa configuração é a recomendação mínima para laptops, desktops eservidores.
Alto Use essa configuração para distribuições em áreas ou sistemas que sãoregularmente infectados.
Muito alto Use essa configuração para volumes de sistema não operacionais.Presume-se que as detecções encontradas com esse nível sejam maliciosas,mas elas não foram inteiramente testadas para determinar se são falsospositivos.
Use esse nível somente para varrer volumes e diretórios que não forneçamsuporte à execução de programas ou sistemas operacionais.
Consulte também Controle da Web — Opções na página 174
Controle da Web — Ações de conteúdoDefina ações a serem tomadas pelo Controle da Web para sites classificados e categorias de conteúdoda Web.
Para sites e downloads de arquivos, o Controle da Web se aplica às ações de classificação.
Usar o Controle da WebReferência da interface do Cliente do Endpoint Security — Controle da Web 5
McAfee Endpoint Security 10.5 Guia do produto 177
Tabela 5-5 Opções
Seção Opção Definição
Ações declassificação
Ações declassificaçãopara sites
Especifica ações para sites classificados como Vermelho ou Amarelo ousem classificação.Sites e downloads classificados como verde são permitidosautomaticamente.
• Permitir — Permite que os usuários acessem o site.(Padrão para sites não classificados)
• Avisar — Exibe um aviso para notificar os usuários de possíveis perigosassociados ao site.Os usuários devem clicar em Cancelar para voltar ao site visualizadoanteriormente ou em Continuar para ir para o site.
Se a guia do navegador não tiver nenhum site visualizadoanteriormente, Cancelar não estará disponível.
(Padrão para sites com nível de risco amarelo)
• Bloquear — Impede que os usuários acessem o site e exibe umamensagem de que o site está bloqueado.Os usuários devem clicar em OK para voltar ao site visualizadoanteriormente.
Se a guia do navegador não tiver nenhum site visualizadoanteriormente, OK não estará disponível.
(Padrão para sites com nível de risco vermelho)
Ações declassificaçãopara downloadsde arquivos
Especifica ações para downloads de arquivos classificados comoVermelho ou Amarelo ou sem classificação.Essas Ações de classificação são aplicáveis somente quando a opçãoAtivar varredura de arquivos para downloads de arquivos está ativada nasconfigurações de Opções.
• Permitir — Permite que os usuários prossigam com o download.(Padrão para sites não classificados)
• Avisar — Exibe um aviso para notificar os usuários dos possíveisperigos associados ao download do arquivo. O usuário deve descartaro aviso para terminar ou prosseguir com o download.(Padrão para sites com nível de risco amarelo)
• Bloquear — Exibe uma mensagem avisando que o download estábloqueado e impede os usuários de fazerem download do arquivo.(Padrão para sites com nível de risco vermelho)
Tabela 5-6 Opções avançadas
Seção Opção Definição
Bloqueio de categoria da Web Ativar bloqueio de categoria daWeb
Ativa o bloqueio de sites com base na categoria deconteúdo.
Bloquear Impede que os usuários acessem qualquer sitenessa categoria e exibe uma mensagem de que osite está bloqueado.
Categoria da Web Lista as categorias da Web.
5 Usar o Controle da WebReferência da interface do Cliente do Endpoint Security — Controle da Web
178 McAfee Endpoint Security 10.5 Guia do produto
Consulte também Especificar ações de classificação e bloquear acesso a sites com base na categoria da Web napágina 173Uso de classificações de segurança para controlar o acesso na página 174Utilizando categorias da web para controlar acesso na página 174
Usar o Controle da WebReferência da interface do Cliente do Endpoint Security — Controle da Web 5
McAfee Endpoint Security 10.5 Guia do produto 179
5 Usar o Controle da WebReferência da interface do Cliente do Endpoint Security — Controle da Web
180 McAfee Endpoint Security 10.5 Guia do produto
6 Uso da Proteção adaptável contraameaças
A Proteção adaptável contra ameaças é um módulo opcional do Endpoint Security que analisa oconteúdo da empresa e decide o que deve ser feito com base na reputação do arquivo, nas regras enos limites de reputação.
A Proteção adaptável contra ameaças não possui suporte em sistemas gerenciados pelo McAfee ePOCloud.
Conteúdo Sobre a Proteção adaptável contra ameaças Responder a uma solicitação de reputação de arquivo Gerenciamento da Proteção adaptável contra ameaças Referência da interface do Cliente do Endpoint Security — Proteção adaptável contra ameaças
Sobre a Proteção adaptável contra ameaçasA Proteção adaptável contra ameaças analisa o conteúdo da empresa e decide o que deve ser feitocom base na reputação do arquivo, nas regras e nos limites de reputação.
A Proteção adaptável contra ameaças inclui a capacidade de confinar, bloquear ou limpar arquivos combase na reputação. A Proteção adaptável contra ameaças se integra à varredura do Real Protect pararealizar análises de reputação automáticas na nuvem e nos sistemas clientes.
A Proteção adaptável contra ameaças é um módulo opcional do Endpoint Security. Para obter fontes efuncionalidades adicionais de inteligência contra ameaças, distribua o servidor Threat IntelligenceExchange. Para obter informações, entre em contato com o revendedor ou o representante de vendas.
A Proteção adaptável contra ameaças não possui suporte em sistemas gerenciados pelo McAfee ePOCloud.
Benefícios da Proteção adaptável contra ameaçasA Proteção adaptável contra ameaças permite determinar o que ocorre quando um arquivo comreputação maliciosa ou desconhecida é detectado em seu ambiente. Você também pode exibirinformações do histórico de ameaças e as ações realizadas.
A Proteção adaptável contra ameaças fornece estes benefícios:
• Detecção rápida e proteção contra ameaças de segurança e malware.
• Capacidade de saber quais sistemas ou dispositivos estão comprometidos e como a ameaça seespalhou pelo ambiente.
6
McAfee Endpoint Security 10.5 Guia do produto 181
• A capacidade de imediatamente confinar, bloquear ou limpar certificados e arquivos específicos combase em suas reputações de ameaça e seus critérios de risco.
• Integração com a varredura do Real Protect para realizar análises de reputação automáticas nanuvem e nos sistemas clientes.
• Integração em tempo real com o McAfee® Advanced Threat Defense e o McAfee GTI para fornecerdados e avaliação detalhados sobre a classificação de malware. Essa integração permite que vocêresponda a ameaças e compartilhe as informações em todo seu ambiente.
Componentes da Proteção adaptável contra ameaçasA Proteção adaptável contra ameaças pode incluir estes componentes opcionais: servidor TIE e DataExchange Layer.
A Proteção adaptável contra ameaças é um módulo opcional do Endpoint Security que permite criarpolíticas para confinar, bloquear ou limpar arquivos ou certificados com base na reputação. Além disso,A Proteção adaptável contra ameaças se integra à varredura do Real Protect para realizar análises dereputação automáticas na nuvem e nos sistemas clientes.
a Proteção adaptável contra ameaças pode ser integrada a:
• Servidor TIE — Um servidor que armazena informações sobre reputações de arquivos ecertificados e, depois, transmite essas informações para outros sistemas.
O servidor TIE é opcional. Para obter informações sobre o servidor, consulte o Guia do produto doThreat Intelligence Exchange.
• Data Exchange Layer — Clientes e agentes que permitem a comunicação bidirecional entre omódulo Proteção adaptável contra ameaças do sistema gerenciado e o servidor TIE.
O Data Exchange Layer é opcional, mas é necessário para comunicação com o servidor TIE. Paraobter detalhes, consulte o Guia do produto do McAfee Data Exchange Layer.
Esses componentes incluem extensões do McAfee ePO e adicionam vários relatórios e recursos novos.
6 Uso da Proteção adaptável contra ameaçasSobre a Proteção adaptável contra ameaças
182 McAfee Endpoint Security 10.5 Guia do produto
Se o servidor TIE e o Data Exchange Layer estiverem presentes, a Proteção adaptável contra ameaçase o servidor comunicarão informações de reputação do arquivo. A estrutura do Data Exchange Layertransmite essas informações imediatamente para terminais gerenciados. Além disso, compartilhainformações com outros produtos da McAfee que acessam o Data Exchange Layer, como o McAfee
®
Enterprise Security Manager (McAfee ESM) e o McAfee®
Network Security Platform.
Figura 6-1 Proteção adaptável contra ameaças com o servidor TIE e o Data Exchange Layer
Uso da Proteção adaptável contra ameaçasSobre a Proteção adaptável contra ameaças 6
McAfee Endpoint Security 10.5 Guia do produto 183
Se o servidor TIE e o Data Exchange Layer não estiverem presentes, a Proteção adaptável contraameaças se comunicará com o McAfee GTI para obter informações de reputação do arquivo.
Figura 6-2 Proteção adaptável contra ameaças com o McAfee GTI
Como a Proteção adaptável contra ameaças funcionaA Proteção adaptável contra ameaças usa regras para determinar as ações a serem executadas combase em vários pontos de dados, como reputação, inteligência local e informações contextuais. Vocêpode gerenciar as regras de modo independente.A Proteção adaptável contra ameaças funciona de maneira diferente se estiver se comunicando ou nãocom o servidor TIE:
• Se o servidor TIE estiver disponível, a Proteção adaptável contra ameaças usará a estrutura doData Exchange Layer para compartilhar arquivos e informações sobre ameaças instantaneamenteem toda a empresa. Você pode ver o sistema específico onde uma ameaça foi detectada pelaprimeira vez, para onde ela foi depois e detê-la imediatamente.A Proteção adaptável contra ameaças com o servidor TIE permite controlar a reputação do arquivoem nível local em seu ambiente. Você decide quais arquivos podem ser executados e quais sãobloqueados, e o Data Exchange Layer compartilha as informações imediatamente com todo oambiente.
• Se o servidor TIE não estiver disponível no sistema e o sistema estiver conectado à Internet, aProteção adaptável contra ameaças usará o McAfee GTI para tomar decisões referentes areputação.
• Se O servidor TIE não está disponível, e o sistema não está conectado à Internet, a Proteçãoadaptável contra ameaças determina a reputação do arquivo usando informações sobre o sistemalocal.
6 Uso da Proteção adaptável contra ameaçasSobre a Proteção adaptável contra ameaças
184 McAfee Endpoint Security 10.5 Guia do produto
Cenários para uso da Proteção adaptável contra ameaças
• Bloquear um arquivo imediatamente — A Proteção adaptável contra ameaças alerta oadministrador de rede sobre um arquivo desconhecido no ambiente. Em vez de enviar asinformações do arquivo para a McAfee analisar, o administrador bloqueia o arquivo imediatamente.O administrador pode usar o servidor TIE, se disponível, para saber quantos sistemas executaramo arquivo e o Advanced Threat Defense para determinar se o arquivo é uma ameaça.
• Permitir a execução de um arquivo personalizado — Uma empresa usa no dia a dia umarquivo cuja reputação padrão é suspeita ou maliciosa, por exemplo, um arquivo personalizado quefoi criado para a empresa. Como o arquivo é permitido, em vez de enviar as informações sobre oarquivo para a McAfee e receber um arquivo DAT atualizado, o administrador poderá alterar areputação do arquivo para confiável e permitir sua execução sem nenhum tipo de aviso.
• Permitir a execução de um arquivo em um contêiner — Quando uma empresa usa pelaprimeira vez um arquivo cuja reputação é desconhecida, o administrador pode especificar que eleseja executado em um contêiner. Nesse caso, o administrador configura as regras de confinamentonas configurações do Confinamento dinâmico de aplicativos. As regras de confinamento definemquais ações o aplicativo confinado não pode executar.
Verificar status da conexãoPara determinar se a Proteção adaptável contra ameaças no sistema cliente obtém reputações dearquivos do servidor TIE ou do McAfee GTI, verifique a página Cliente do Endpoint Security do Clientedo Endpoint Security.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 No menu Ação , selecione Sobre.
3 Clique em Proteção adaptável contra ameaças à esquerda.
O campo Status da conexão indica uma das seguintes opções para Proteção adaptável contra ameaças:
• Conectividade do Threat Intelligence — Conectado ao servidor TIE para informações de reputação emnível empresarial.
• Conectividade do McAfee GTI somente — Conectado ao McAfee GTI para informações de reputação emnível global.
• Desconectado — Não conectado ao servidor TIE ou ao McAfee GTI. A Proteção adaptável contraameaças determina a reputação do arquivo usando informações do sistema local.
Como a reputação é determinadaA reputação de um arquivo e um certificado é determinada quando um arquivo tenta ser executadoem um sistema gerenciado.
Estas são as etapas para a determinação da reputação de um arquivo ou certificado.
1 Um usuário ou sistema tenta executar um arquivo.
2 O Endpoint Security verifica as exclusões para determinar se o arquivo deve ser inspecionado.
3 O Endpoint Security inspeciona o arquivo e não consegue determinar sua validade e sua reputação.
4 O módulo Proteção adaptável contra ameaças inspeciona o arquivo e coleta propriedades deinteresse do sistema local e do arquivo.
Uso da Proteção adaptável contra ameaçasSobre a Proteção adaptável contra ameaças 6
McAfee Endpoint Security 10.5 Guia do produto 185
5 O módulo verifica o cache da reputação local do hash do arquivo. Se o hash do arquivo forencontrado, o módulo obterá os dados de reputação e predomínio da empresa do arquivo usando ocache.
• Se o arquivo hash não for encontrado no cache de reputação local, o módulo consultará o TIEServer. Se o hash for encontrado, o módulo obterá os dados de predomínio da empresa (e todasas reputações disponíveis) do hash do arquivo.
• Se o hash do arquivo não for encontrado no servidor TIE ou no banco de dados, o servidorconsultará o McAfee GTI quanto à reputação de hash do arquivo. O McAfee GTI envia asinformações disponíveis, por exemplo, "desconhecido" ou "malicioso", e o servidor armazenaessas informações.
O servidor envia o arquivo para varredura se uma das seguintes afirmações for verdadeira:
• O Advanced Threat Defense fica disponível ou ativado como fornecedor de reputação. Oservidor analisa localmente se a reputação do Advanced Threat Defense está presente. Senão estiver, ele marcará o arquivo como candidato para envio.
• A política do terminal é configurada para enviar o arquivo para Advanced Threat Defense.
Consulte as etapas adicionais em Se o Advanced Threat Defense estiver presente.
6 O servidor retorna a reputação, os dados de predomínio, o período da empresa do Hash do arquivoao módulo baseado nos dados que foram encontrados. Se o arquivo for novo no ambiente, oservidor também enviará uma sinalizador de primeira instância para o módulo Proteção adaptávelcontra ameaças. Se o McAfee Web Gateway estiver presente e enviar uma pontuação de reputação,o servidor TIE retornará a reputação do arquivo.
7 O módulo avalia seus metadados para determinar a reputação do arquivo:
• Propriedades do sistema e do arquivo
• Dados de predomínio e período da empresa
• Reputação
8 O módulo atua de acordo com a política atribuída ao sistema que estiver com o arquivo emexecução.
9 O módulo atualiza o servidor com as informações de reputação e se o arquivo foi bloqueado,permitido ou confinado. Ele também envia eventos de ameaça ao McAfee ePO pelo McAfee Agent.
10 O servidor publica o evento de alteração da reputação para o hash do arquivo.
Se o Advanced Threat Defense estiver presente
Se o Advanced Threat Defense estiver presente, ocorrerá o processo a seguir.
1 Se o sistema for configurado para enviar arquivos ao Advanced Threat Defense, e o arquivo fornovo no ambiente, o sistema enviará o arquivo para o servidor TIE. O servidor TIE, em seguida, oenviará para o Advanced Threat Defense para varredura.
2 O Advanced Threat Defense varre o arquivo e envia os resultados de reputação do arquivo para oservidor TIE usando o Data Exchange Layer. O servidor também atualiza o banco de dados e enviaas informações de reputação atualizadas para todos os sistemas compatíveis com a Proteçãoadaptável contra ameaças para proteger seu ambiente imediatamente. A Proteção adaptável contraameaças ou qualquer outro produto da McAfee podem iniciar esse processo. Em ambos os casos, aProteção adaptável contra ameaças processa a reputação e a salva no banco de dados.
Para obter informações sobre como o Advanced Threat Defense é integrado à Proteção adaptávelcontra ameaças, consulte o Guia do produto do McAfee Advanced Threat Defense.
6 Uso da Proteção adaptável contra ameaçasSobre a Proteção adaptável contra ameaças
186 McAfee Endpoint Security 10.5 Guia do produto
Se o McAfee Web Gateway estiver presente
Se o McAfee Web Gateway estiver presente, ocorrerá o seguinte.
• Ao fazer download dos arquivos, o McAfee Web Gateway envia um relatório ao servidor TIE, quesalva a pontuação de reputação no banco de dados. Quando o servidor recebe uma solicitação dereputação de arquivo do módulo, ele retorna a reputação que recebeu do McAfee Web Gateway ede outros provedores de reputação também.
Para obter informações sobre como o McAfee Web Gateway troca informações usando um servidorTIE, consulte o capítulo sobre proxies no Guia do produto do McAfee Web Gateway.
Quando o cache é removido?
• Todo o cache da Proteção adaptável contra ameaças é removido quando a configuração das regrasé alterada:
• O estado de uma ou mais regras foi alterado, por exemplo, de ativado para desativado.
• O conjunto de regras foi alterado, por exemplo, de Equilibrado para Segurança.
• Um arquivo individual ou um cache de certificado é removido quando:
• O cache tem mais de 30 dias.
• O arquivo foi alterado no disco.
• O servidor TIE publica um evento de alteração de reputação.
Na próxima vez que a Proteção adaptável contra ameaças receber um aviso sobre o arquivo, areputação será recalculada.
Responder a uma solicitação de reputação de arquivoQuando um arquivo com uma reputação específica tenta ser executado no sistema, a Proteçãoadaptável contra ameaças pode solicitar sua autorização para continuar. O aviso é exibido somentequando a Proteção adaptável contra ameaças está instalada e configurada para solicitar.
O administrador configura o limite de reputação que determina o momento da exibição da solicitação.Por exemplo, se o limite de reputação for definido como Desconhecido, o Endpoint Security solicita suaautorização para lidar com todos os arquivos com uma reputação desconhecida ou inferior.
Se você não selecionar uma opção, a Proteção adaptável contra ameaças realizará a ação padrãoconfigurada pelo administrador.
As ações de aviso, tempo limite e padrão dependem da configuração da Proteção adaptável contraameaças.
No Windows 8 e 10, use as notificações do sistema – mensagens exibidas em pop-up que notificamsobre alertas e avisos. Clique na notificação do sistema para exibir a notificação no modo área detrabalho.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 (Opcional) Quando solicitado, digite uma mensagem para ser enviada para o administrador.
Por exemplo, use a mensagem para descrever o arquivo ou explicar sua decisão de permitir oubloquear o arquivo no sistema.
Uso da Proteção adaptável contra ameaçasResponder a uma solicitação de reputação de arquivo 6
McAfee Endpoint Security 10.5 Guia do produto 187
2 Clique em Permitir ou em Bloquear.
Permitir Permite o arquivo.
Bloquear Bloqueia o arquivo no sistema.
Para instruir a Proteção adaptável contra ameaças a não solicitar o arquivo no futuro, selecioneLembrar-me desta decisão.
A Proteção adaptável contra ameaças executará ações com base em sua escolha ou na ação padrão efechará a janela de aviso.
Gerenciamento da Proteção adaptável contra ameaçasComo administrador, você pode especificar as configurações da Proteção adaptável contra ameaças,como a seleção de grupos de regras, a configuração de limites de reputação, a ativação do RealProtect e a configuração do Confinamento dinâmico de aplicativos.
Em sistemas gerenciados, as alterações de política do McAfee ePO podem sobrescrever as alterações dapágina Configurações.
A Proteção adaptável contra ameaças é um módulo opcional do Endpoint Security. Para obter fontes efuncionalidades adicionais de inteligência contra ameaças, distribua o servidor Threat IntelligenceExchange. Para obter informações, entre em contato com o revendedor ou o representante de vendas.
A Proteção adaptável contra ameaças não possui suporte em sistemas gerenciados pelo McAfee ePOCloud.
IntroduçãoApós instalar a Proteção adaptável contra ameaças, o que se deve fazer em seguida?
Para começar a usar a Proteção adaptável contra ameaças, faça o seguinte:
1 Crie políticas da Proteção adaptável contra ameaças para determinar o que deve ser bloqueado,permitido ou confinado.
2 Execute a Proteção adaptável contra ameaças no modo de observação para criar predomínio dearquivo e ver o que a Proteção adaptável contra ameaças detecta em seu ambiente. A Proteçãoadaptável contra ameaças gera eventos Bloquearia, Limparia e Confinaria para mostrar quais ações elaexecutaria. O predomínio de arquivo indica a frequência com que um arquivo é visto no ambiente.
3 Monitore e ajuste as políticas ou as reputações de certificado ou arquivo individuais para controlaro que é permitido no ambiente.
Criação de predomínio e observação de arquivoApós a instalação e distribuição, comece a criar informações de ameaças atuais e predomínio dearquivo.
Você pode ver o que está em execução no seu ambiente e adicionar informações de reputação dearquivos e certificados ao banco de dados do servidor TIE. Essas informações também preenchem osgráficos e os dashboards disponíveis no módulo em que são exibidas informações de reputaçãodetalhadas sobre arquivos e certificados.
6 Uso da Proteção adaptável contra ameaçasGerenciamento da Proteção adaptável contra ameaças
188 McAfee Endpoint Security 10.5 Guia do produto
Para começar, crie uma ou mais políticas do Proteção adaptável contra ameaças para seremexecutadas em alguns sistemas do seu ambiente. As políticas determinam:
• Quando um arquivo ou certificado com uma reputação específica tem permissão para serexecutado em um sistema
• Quando um arquivo ou certificado é bloqueado
• Quando um aplicativo é confinado
• Quando o usuário é questionado sobre o que fazer
• Quando um arquivo é enviado ao Advanced Threat Defense para análise mais detalhada
Ao criar predomínio de arquivo, você poderá executar as políticas no modo de Observação. Asreputações de arquivo e certificado são adicionadas ao banco de dados, eventos Bloquearia, Limparia eRestringiria são gerados, mas nenhuma ação é executada. É possível ver o que o Proteção adaptávelcontra ameaças bloqueia, permite ou restringe se a política é imposta.
Monitoramento e ajustesConforme as políticas são executadas em seu ambiente, os dados de reputação são adicionados aobanco de dados.
Use as exibições de eventos e os dashboards do McAfee ePO para ver os arquivos e os certificadospermitidos, bloqueados ou confinados com base nas políticas.
Você pode exibir informações detalhadas por terminal, arquivo, regra ou certificado e ver rapidamenteo número de itens identificados e as ações realizadas. Você pode fazer busca detalhada clicando emum item ou ajustar as configurações de reputação de certificados ou arquivos específicos para que aação apropriada seja realizada.
Por exemplo, se a reputação padrão de um arquivo for suspeito ou desconhecido, mas você souberque ele é um arquivo confiável, é possível alterar sua reputação para confiável. Em seguida, oaplicativo passa a ter permissão para executar em seu ambiente sem ser bloqueado nem solicitaralguma ação do usuário. Você pode alterar a reputação de arquivos internos ou personalizados usadosem seu ambiente.
• Use o recurso Reputações do TIE para pesquisar um nome de certificado ou arquivo específico.Você poderá exibir detalhes sobre o arquivo ou o certificado, incluindo o nome da empresa, osvalores de hash SHA-1 e SHA-256, MD5, a descrição e as informações do McAfee GTI. No caso dearquivos, você também pode acessar os dados do VirusTotal diretamente na página de detalhes deReputações do TIE para obter informações adicionais.
• Use a página Dashboard de geração de relatórios para ver vários tipos de informações dereputação de uma vez. Você pode exibir o número de arquivos novos vistos no seu ambiente naúltima semana, arquivos por reputação, arquivos cuja reputação foi alterada recentemente,sistemas que executaram novos arquivos recentemente e muito mais. Para exibir informaçõesdetalhadas de um item no dashboard, clique nele.
• Se você tiver identificado um arquivo prejudicial ou suspeito, poderá ver rapidamente quaissistemas executaram o arquivo e podem estar comprometidos.
• Altere a reputação de um arquivo ou certificado conforme o necessário para seu ambiente. Asinformações são atualizadas imediatamente no banco de dados e enviadas para todos osdispositivos gerenciados pelo McAfee ePO. Os arquivos e certificados são bloqueados, permitidos ouconfinados de acordo com sua reputação.
Uso da Proteção adaptável contra ameaçasGerenciamento da Proteção adaptável contra ameaças 6
McAfee Endpoint Security 10.5 Guia do produto 189
Se não tiver certeza do que fazer com um certificado ou arquivo específico, você poderá:
• Bloqueá-lo para que não seja executado enquanto obtém mais informações sobre ele.
Diferentemente da ação de limpeza da Prevenção contra ameaças, que pode excluir o arquivo, obloqueio mantém o arquivo, mas não permite sua execução. O arquivo permanece intactoenquanto você pesquisa sobre ele e decide o que fazer.
• Permitir que ele seja executado confinado.
O Confinamento dinâmico de aplicativos executa aplicativos com reputações específicas em umcontêiner, bloqueando as ações com base nas regras de confinamento. O aplicativo obtémpermissão para execução, mas algumas ações podem falhar, dependendo das regras deconfinamento.
• Importe reputações de certificados ou arquivos no banco de dados para permitir ou bloqueararquivos ou certificados específicos de acordo com outras origens de reputação. Isso permite quevocê use as configurações importadas para certificados e arquivos específicos sem precisardefini-las individualmente no servidor.
• A coluna Reputação composta na página Reputações do TIE mostra a reputação mais predominantee seu provedor. (servidor TIE 2.0 e versões posteriores)
• A coluna Regra aplicada mais recentemente na página Reputações do TIE mostra e rastreia asinformações de reputação com base na regra de detecção mais recente aplicada a cada arquivo noterminal.
É possível personalizar essa página selecionando Ações | Escolher colunas.
Envio de arquivos para análise detalhadaSe a reputação de um arquivo for desconhecida, você poderá enviá-lo ao Advanced Threat Defensepara análise detalhada. Especifique na política do servidor TIE quais arquivos serão enviados.
O Advanced Threat Defense detecta malware de dia zero e combina assinaturas de antivírus,reputação e defesas de emulação em tempo real.Você pode enviar arquivos automaticamente doProteção adaptável contra ameaças para o Advanced Threat Defense com base no nível de reputação eno tamanho do arquivo. As informações de reputação de arquivo enviadas pelo Advanced ThreatDefense são adicionadas ao banco de dados do servidor TIE.
Informações de telemetria do McAfee GTI
As informações de arquivo e certificado enviadas ao McAfee GTI são usadas para que você entenda eaprimore as informações de reputação. Consulte a tabela para obter detalhes sobre as informaçõesfornecidas pelo McAfee GTI sobre arquivos e certificados, somente arquivos ou somente certificados.
6 Uso da Proteção adaptável contra ameaçasGerenciamento da Proteção adaptável contra ameaças
190 McAfee Endpoint Security 10.5 Guia do produto
Categoria Descrição
Arquivo ecertificado
• Versões do módulo e servidor TIE
• Configurações de substituição da reputação definidas com o servidor TIE
• Informações de reputação externas, por exemplo, do Advanced Threat Defense
Somentearquivos
• Nome do arquivo, tipo, caminho, tamanho, produto, editor e predomínio
• Informações de SHA-1, SHA-256 e MD5
• Versão do sistema operacional do computador da geração de relatórios
• Reputação máxima, mínima e média definida para o arquivo
• Se o módulo de geração de relatórios está no Modo de observação
• Se o arquivo teve permissão para ser executado, foi bloqueado, confinado oulimpo
• O produto que detectou o arquivo, por exemplo, Advanced Threat Defense ouPrevenção contra ameaças
Somentecertificado
• Informações de SHA-1
• O nome do emissor do certificado e seu assunto
• As datas em que o certificado era válido e a data de expiração
A McAfee não coleta informações de identificação pessoal e não compartilha informações fora daMcAfee.
Confinamento dinâmico de aplicativosO Confinamento dinâmico de aplicativos permite que você determine que aplicativos com reputaçõesespecíficas sejam executados em um contêiner.
Com base no limite de reputação, a Proteção adaptável contra ameaças solicita que o Confinamentodinâmico de aplicativos execute o aplicativo em um contêiner. Os aplicativos confinados não têmpermissão para executar certas ações, conforme especificado pelas regras de confinamento.
Essa tecnologia possibilita que você avalie aplicativos desconhecidos e potencialmente inseguros,permitindo que eles sejam executados em seu ambiente e, ao mesmo tempo, limitando as ações queeles podem executar. Os usuários podem usar os aplicativos, mas eles podem não funcionar conformeo esperado se o Confinamento dinâmico de aplicativos bloquear determinadas ações. Depois dedeterminar se um aplicativo é seguro, você pode configurar a Proteção adaptável contra ameaças doEndpoint Security ou o servidor TIE para permitir que ele seja executado normalmente.
Para usar o Confinamento dinâmico de aplicativos:
1 Ative a Proteção adaptável contra ameaças e especifique o limite de reputação para disparar oConfinamento dinâmico de aplicativos nas configurações de Opções.
2 Defina as exclusões e as regras de confinamento definidas pela McAfee nas configurações deConfinamento dinâmico de aplicativos.
Consulte também Permissão para que aplicativos confinados sejam executados normalmente na página 194Configurar regras de confinamento definidas pela McAfee na página 195Ativar o limite do gatilho do Confinamento dinâmico de aplicativos na página 194
Uso da Proteção adaptável contra ameaçasGerenciamento da Proteção adaptável contra ameaças 6
McAfee Endpoint Security 10.5 Guia do produto 191
Como funciona o Confinamento dinâmico de aplicativosA Proteção adaptável contra ameaças usa a reputação de um aplicativo para determinar se a execuçãodele com restrições deve ser solicitada ao Confinamento dinâmico de aplicativos. Quando um arquivocom a reputação especificada é executado em seu ambiente, o Confinamento dinâmico de aplicativosbloqueia ou registra em log as ações inseguras, com base nas regras de confinamento.
Conforme os aplicativos disparam as regras de bloqueio de contenção, o Confinamento dinâmico deaplicativos usa essas informações para contribuir para a reputação geral dos aplicativos contidos.
Outras tecnologias, como o McAfee Active Response, podem solicitar confinamento. Se váriastecnologias registradas no Confinamento dinâmico de aplicativos solicitarem o confinamento de umaplicativo, cada solicitação será cumulativa. O aplicativo permanecerá confinado até que todas astecnologias o liberem. Se uma tecnologia que solicitou o confinamento for desativada ou removida, oConfinamento dinâmico de aplicativos liberará esses aplicativos.
Fluxo de trabalho do Confinamento dinâmico de aplicativos
1 O processo começa a ser executado.
2 A Proteção adaptável contra ameaças verifica a reputação do arquivo.
A Proteção adaptável contra ameaças usa o servidor TIE, se disponível, para verificar a reputaçãodo aplicativo. Se o servidor TIE não estiver disponível, a Proteção adaptável contra ameaças usaráo McAfee GTI para obter informações de reputação.
Se a reputação não for conhecida e os mecanismos de verificação baseados na nuvem e em clientedo Real Protect estiverem ativados, a Proteção adaptável contra ameaças consultará o Real Protectsobre a reputação.
3 Se a reputação do aplicativo estiver no limite de reputação de confinamento ou abaixo dele, aProteção adaptável contra ameaças notificará o Confinamento dinâmico de aplicativos de que oprocesso foi iniciado e solicitará confinamento.
4 O Confinamento dinâmico de aplicativos confina o processo.
Você pode visualizar eventos do Confinamento dinâmico de aplicativos no Log de eventos deameaças do McAfee ePO.
5 Se o aplicativo confinado for considerado seguro, você poderá permitir que ele seja executadonormalmente (e não confinado).
6 Uso da Proteção adaptável contra ameaçasGerenciamento da Proteção adaptável contra ameaças
192 McAfee Endpoint Security 10.5 Guia do produto
Consulte também Permissão para que aplicativos confinados sejam executados normalmente na página 194
Uso da Proteção adaptável contra ameaçasGerenciamento da Proteção adaptável contra ameaças 6
McAfee Endpoint Security 10.5 Guia do produto 193
Permissão para que aplicativos confinados sejam executados normalmenteDepois de determinar que um aplicativo confinado é seguro, você pode permitir que ele sejaexecutado normalmente em seu ambiente.
• Adicione o aplicativo à lista global de Exclusões nas configurações de Confinamento dinâmico deaplicativos.
Nesse caso, o aplicativo é liberado do confinamento e executado normalmente, independentementede quantas tecnologias tenham solicitado o confinamento.
• Configure a Proteção adaptável contra ameaças para aumentar o limite de reputação e liberá-lo doconfinamento.
Nesse caso, o aplicativo é liberado do confinamento e executado normalmente, a menos que outratecnologia tenha solicitado o confinamento do aplicativo.
• Se o servidor TIE estiver disponível, altere a reputação do arquivo para um nível que permita suaexecução, como Conhecido confiável.Nesse caso, o aplicativo é liberado do confinamento e executado normalmente, a menos que outratecnologia tenha solicitado o confinamento do aplicativo.
Consulte o Guia do produto do McAfee Threat Intelligence Exchange.
Consulte também Excluir processos do Confinamento dinâmico de aplicativos na página 196
Ativar o limite do gatilho do Confinamento dinâmico de aplicativosCom a tecnologia de Confinamento dinâmico de aplicativos, você pode especificar que os aplicativoscom reputações específicas sejam executados em um contêiner, limitando as ações que eles podemexecutar. Ative a imposição de ação do Confinamento dinâmico de aplicativos e especifique o limite dereputação para o confinamento de aplicativos.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 Clique em Proteção adaptável contra ameaças na página principal de Status.
Ou, no menu Ação , selecione Configurações e depois clique em Proteção adaptável contra ameaças napágina Configurações.
3 Clique em Mostrar opções avançadas.
4 Clique em Opções.
5 Verifique se a Proteção adaptável contra ameaças está ativada.
6 Selecione Disparar o Confinamento dinâmico de aplicativos quando o limite de reputação atingir.
6 Uso da Proteção adaptável contra ameaçasGerenciamento da Proteção adaptável contra ameaças
194 McAfee Endpoint Security 10.5 Guia do produto
7 Especifique o limite de reputação no qual confinar os aplicativos.
• Pode ser confiável
• Desconhecido (Padrão para o grupo de regras Segurança)
• Pode ser malicioso (Padrão para o grupo de regras Equilibrado)
• Provavelmente malicioso (Padrão para o grupo de regras Produtividade)
• Malicioso conhecido
O limite de reputação do Confinamento dinâmico de aplicativos deve ser maior que os limites debloqueio e limpeza. Por exemplo, se o limite de bloqueio estiver definido como Malicioso conhecido, olimite do Confinamento dinâmico de aplicativos deverá ser definido como Provavelmente malicioso oumais alto.
8 Clique em Aplicar para salvar suas alterações ou clique em Cancelar.
Configurar regras de confinamento definidas pela McAfeeAs regras de confinamento definidas pela McAfee bloqueiam ou registram em log as ações que osaplicativos confinados podem executar. É possível alterar as configurações de bloqueio e relatório, masnão é possível alterar nem excluir as regras.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
Para obter informações sobre regras de Confinamento dinâmico de aplicativos, incluindo práticasrecomendadas para quando definir uma regra para relatar ou bloquear, consulte KB87843.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 Clique em Proteção adaptável contra ameaças na página principal de Status.
Ou, no menu Ação , selecione Configurações e depois clique em Proteção adaptável contra ameaças napágina Configurações.
3 Clique em Mostrar opções avançadas.
4 Clique em Confinamento dinâmico de aplicativos.
5 Na seção Regras de confinamento, selecione Bloquear, Relatar ou ambos para a regra.
• Para bloquear ou relatar tudo, selecione Bloquear ou Relatar na primeira linha.
• Para desativar a regra, desmarque Bloquear e Relatar.
6 Na seção Exclusões, configure os executáveis a serem excluídos do Confinamento dinâmico deaplicativos.
Os processos na lista de Exclusões são executados normalmente (e não confinados).
7 Clique em Aplicar para salvar suas alterações ou clique em Cancelar.
Consulte também Excluir processos do Confinamento dinâmico de aplicativos na página 196
Uso da Proteção adaptável contra ameaçasGerenciamento da Proteção adaptável contra ameaças 6
McAfee Endpoint Security 10.5 Guia do produto 195
Gerenciar aplicativos confinadosQuando o Confinamento dinâmico de aplicativos contém um aplicativo confiável, você pode excluí-lodo confinamento usando o Cliente do Endpoint Security. A exclusão do aplicativo o libera, o remove deAplicativos confinados e o adiciona a Exclusões, impedindo que ele seja confinado futuramente.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 Clique em Proteção adaptável contra ameaças na página principal de Status.
Ou, no menu Ação , selecione Configurações e depois clique em Proteção adaptável contra ameaças napágina Configurações.
3 Clique em Mostrar opções avançadas.
4 Clique em Confinamento dinâmico de aplicativos.
5 Na seção Aplicativos confinados, selecione o aplicativo e clique em Excluir.
6 Na página Adicionar executável, configure as propriedades do executável e clique em Salvar.
O aplicativo é exibido na lista Exclusões. O aplicativo permanece na lista Aplicativos confinados até quevocê clique em Aplicar. Quando você retornar para a página Configurações, o aplicativo será exibidosomente na lista Exclusões.
7 Clique em Aplicar para salvar suas alterações ou clique em Cancelar.
Excluir processos do Confinamento dinâmico de aplicativosSe um programa confiável estiver confinado, exclua-o criando uma exclusão do Confinamentodinâmico de aplicativos.
As exclusões criadas usando o Cliente do Endpoint Security aplicam-se apenas ao sistema cliente.Essas exclusões não são enviadas ao McAfee ePO e não são exibidas na seção Exclusões dasconfigurações do Confinamento dinâmico de aplicativos.
Em sistemas gerenciados, crie exclusões globais nas configurações de política do Confinamentodinâmico de aplicativos do McAfee ePO.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 Clique em Proteção adaptável contra ameaças na página principal de Status.
Ou, no menu Ação , selecione Configurações e depois clique em Proteção adaptável contra ameaças napágina Configurações.
3 Clique em Mostrar opções avançadas.
6 Uso da Proteção adaptável contra ameaçasGerenciamento da Proteção adaptável contra ameaças
196 McAfee Endpoint Security 10.5 Guia do produto
4 Clique em Confinamento dinâmico de aplicativos.
5 Na seção Exclusões, clique em Adicionar para adicionar os processos a serem excluídos de todas asregras.
6 Na página Adicionar Executável, configure as propriedades do executável.
7 Clique em Salvar e, em seguida, clique em Aplicar para salvar as configurações.
Configurar opções da Proteção adaptável contra ameaçasAs configurações da Proteção adaptável contra ameaças determinam quando um arquivo ou umcertificado têm permissão para executar, são confinados, limpos, bloqueados ou se os usuários sãosolicitados a executar ações.
Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.
As alterações de políticas no McAfee ePO podem sobrescrever as alterações na página Configurações.
TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.
1 Abra o Cliente do Endpoint Security.
2 Clique em Proteção adaptável contra ameaças na página principal de Status.
Ou, no menu Ação , selecione Configurações e depois clique em Proteção adaptável contra ameaças napágina Configurações.
3 Clique em Mostrar opções avançadas.
4 Clique em Opções.
5 Defina as configurações na página e clique em Aplicar para salvar suas alterações ou clique emCancelar.
Uso da Proteção adaptável contra ameaçasGerenciamento da Proteção adaptável contra ameaças 6
McAfee Endpoint Security 10.5 Guia do produto 197
Bloqueio ou permissão de arquivos e certificadosArquivos e certificados têm reputações de ameaça de acordo com seu conteúdo e suas propriedades.As políticas da Proteção adaptável contra ameaças determinam se arquivos e certificados sãobloqueados ou permitidos em sistemas do seu ambiente de acordo com os níveis de reputação.
Há três níveis de segurança, dependendo de como você deseja equilibrar as regras para tiposespecíficos de sistemas. Cada nível é associado a regras específicas que identificam certificados earquivos maliciosos e suspeitos.
• Produtividade — Sistemas que são alterados com frequência, em geral instalando e desinstalandoprogramas confiáveis e recebendo atualizações frequentes. Computadores usados em ambientes dedesenvolvimento são exemplos desses sistemas. Menos regras são usadas com políticas para essaconfiguração. Os usuários veem o mínimo de bloqueios e avisos quando novos arquivos sãodetectados.
• Equilibrado - Sistemas típicos de negócios em que novos programas e alterações são instaladosraramente. Mais regras são usadas com políticas para essa configuração. Os usuários observammais bloqueios e avisos.
• Seguro — Sistemas gerenciados pela TI com controle rígido e poucas alterações. Exemplos disso sãosistemas que acessam informações críticas ou confidenciais em um ambiente financeiro ougovernamental. Essa configuração também é usada para servidores. É usado um número máximode regras com políticas para essa configuração. Os usuários observam ainda mais bloqueios eavisos.
Para exibir as regras específicas associadas a cada nível de segurança, selecione Menu | Configurações doservidor. Na lista Categorias de configuração, selecione Proteção adaptável contra ameaças.
Ao determinar qual nível de segurança será atribuído a uma política, considere o tipo de sistema emque a política será usada e a quantidade de bloqueios e avisos que você deseja mostrar ao usuário.Após criar uma política, ela deverá ser atribuída a computadores ou dispositivos para que sedetermine a quantidade de bloqueios e avisos que ocorrerão.
Uso da varredura do Real ProtectO mecanismo de varredura do Real Protect inspeciona arquivos suspeitos em um terminal paradetectar padrões maliciosos usando técnicas de aprendizado de máquina. Usando essas informações,o mecanismo de varredura pode detectar malware de dia zero.
A tecnologia do Real Protect não tem suporte em alguns sistemas operacionais Windows. ConsulteKB82761 para obter informações.
O mecanismo de varredura do Real Protect fornece duas opções para realizar análises automatizadas:
• Na nuvem
O Real Protect coleta e envia atributos de arquivos e informações comportamentais para o sistemade aprendizado de máquina na nuvem para análise de malware.
Essa opção requer conectividade com a Internet para mitigar falsos positivos usando a reputaçãodo McAfee GTI.
Prática recomendada: desative o Real Protect baseado na nuvem nos sistemas que não estãoconectados à Internet.
6 Uso da Proteção adaptável contra ameaçasGerenciamento da Proteção adaptável contra ameaças
198 McAfee Endpoint Security 10.5 Guia do produto
• No sistema clienteO Real Protect usa baseado em cliente usa o aprendizado de máquina no sistema cliente paradeterminar se o arquivo corresponde ao malware conhecido. Se o sistema cliente estiver conectadoà Internet, o Real Protect enviará informações de telemetria para a nuvem, mas não usará anuvem para análise.
Se o sistema cliente estiver usando o TIE para reputações, a conectividade com a Internet não seránecessária para mitigar falsos positivos.
Prática recomendada: ative as duas opções do Real Protect, a menos que o Suporte o aconselhe adesmarcar uma ou ambas para reduzir falsos positivos.
Nenhuma informação de identificação pessoal (PII) é enviada para a nuvem.
Referência da interface do Cliente do Endpoint Security —Proteção adaptável contra ameaças
Forneça ajuda contextual para as páginas na interface do Cliente do Endpoint Security.
Conteúdo Proteção adaptável contra ameaças — Confinamento dinâmico de aplicativos Proteção adaptável contra ameaças — Opções
Proteção adaptável contra ameaças — Confinamento dinâmicode aplicativosProteja seu sistema limitando as ações que os aplicativos confinados podem executar com base nasregras configuradas.
Tabela 6-1 Opções
Seção Opção Descrição
Regras deconfinamento
Configura as regras de Confinamento dinâmico de aplicativos.Você pode alterar se as regras de confinamento definidas pela McAfee devembloquear ou relatar, mas não pode alterar nem excluir essas regras.
• Bloquear (apenas) — Bloqueia, sem registrar em log, os aplicativosconfinados para que não executem as ações especificadas pela regra.
• Relatar (apenas) — Registra em log quando os aplicativos tentam executarações na regra, mas não impede que aplicativos executem ações.
• Bloquear e Relatar - Bloqueia e registra em log as tentativas de acesso.
Prática recomendada: quando o impacto total de uma regra não forconhecido, selecione Relatar, mas não Bloquear, para receber um aviso sembloquear as tentativas de acesso. Para determinar se o acesso deve serbloqueado, monitore os logs e os relatórios.
Para bloquear ou relatar tudo, selecione Bloquear ou Relatar na primeira linha.
Para desativar a regra, desmarque Bloquear e Relatar.
Aplicativosconfinados
Lista os aplicativos confinados no momento.• Excluir — Move um aplicativo confinado para a lista Exclusões, liberando-o do
confinamento e permitindo que seja executado normalmente.
Uso da Proteção adaptável contra ameaçasReferência da interface do Cliente do Endpoint Security — Proteção adaptável contra ameaças 6
McAfee Endpoint Security 10.5 Guia do produto 199
Tabela 6-2 Opções avançadas
Seção Opção Descrição
Exclusões Exclui processos do confinamento.• Adicionar — Adiciona um processo à lista de exclusão.
• Clicar duas vezes em um item - Altera o item selecionado.
• Excluir — Exclui o item selecionado.
• Duplicar — Cria uma cópia do item selecionado.
Consulte também Como funciona o Confinamento dinâmico de aplicativos na página 192Adicionar exclusão ou Editar exclusão na página 200Configurar regras de confinamento definidas pela McAfee na página 195Excluir processos do Confinamento dinâmico de aplicativos na página 196
Adicionar exclusão ou Editar exclusãoAdicione ou edite um executável para excluir do Confinamento dinâmico de aplicativos.
Ao especificar exclusões, considere o seguinte:
• Você deve especificar pelo menos um identificador: Nome ou caminho do arquivo, Hash de MD5 ouSignatário.
• Se você especificar mais de um identificador, todos os identificadores se aplicarão.
• Se você especificar mais de um identificador e eles não forem correspondentes (por exemplo, onome do arquivo e o hash de MD5 não se aplicarem ao mesmo arquivo), a exclusão será inválida.
• Exclusões não diferenciam maiúsculas de minúsculas.
• É permitido o uso de caracteres curinga para todos, exceto para o hash de MD5.
Tabela 6-3 Opções
Opção Definição
Nome Especifica o nome pelo qual você chama o executável.Esse campo é necessário com, pelo menos, mais um campo: Nome ou caminho do arquivo,Hash de MD5 ou Signatário.
Nome oucaminho doarquivo
Especifica o nome ou o caminho do arquivo para o executável a ser adicionado oueditado.Clique em Procurar para selecionar o executável.
O caminho do arquivo pode incluir caracteres curinga.
Hash de MD5 Indica o hash de MD5 (número hexadecimal de 32 dígitos) do processo.
6 Uso da Proteção adaptável contra ameaçasReferência da interface do Cliente do Endpoint Security — Proteção adaptável contra ameaças
200 McAfee Endpoint Security 10.5 Guia do produto
Tabela 6-3 Opções (continuação)
Opção Definição
Signatário Ativar a verificação da assinatura digital — Garante que o código não foi alterado oucorrompido desde que foi assinado com um hash criptográfico.Se ativado, especifique:
• Permitir qualquer assinatura — Permite arquivos assinados por qualquer signatário deprocesso.
• Assinado por — Permite somente arquivos assinados pelo signatário de processoespecificado.Um nome distinto de signatário (SDN) é obrigatório para o executável e ele devecorresponder exatamente às entradas no campo acompanhante, incluindo vírgulas eespaços.
O signatário do processo aparece no formato correto nos eventos do Log de eventosdo Cliente do Endpoint Security e no Log de eventos de ameaça do McAfee ePO. Porexemplo:
C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR,CN=MICROSOFT WINDOWS
Para obter um SDN de um executável:
1 Clique com o botão direito do mouse em um executável e selecione Propriedades.
2 Na guia Assinaturas digitais, selecione um signatário e clique em Detalhes.
3 Na guia Geral, clique em Exibir certificado.
4 Na guia Detalhes, selecione o campo Entidade. É exibido o nome diferenciado dosignatário. Por exemplo, o Firefox possui este nome diferenciado de signatário:
• CN = Mozilla Corporation
• OU = Liberação de engenharia
• O = Mozilla Corporation
• L = Mountain View
• S = Califórnia
• C = EUA
Notas Apresenta mais informações sobre o item.
Proteção adaptável contra ameaças — OpçõesDefina as configurações do módulo Proteção adaptável contra ameaças.
Tabela 6-4 Opções
Seção Opção Definição
Opções Ativar Proteçãoadaptável contraameaças
Ativa o módulo Proteção adaptável contra ameaças.(Ativado por padrão)
Permitir que o servidorThreat IntelligenceExchange coletediagnósticos e dadosde uso anônimos
Permite que o servidor TIE envie informações anônimas do arquivopara a McAfee.
Uso da Proteção adaptável contra ameaçasReferência da interface do Cliente do Endpoint Security — Proteção adaptável contra ameaças 6
McAfee Endpoint Security 10.5 Guia do produto 201
Tabela 6-4 Opções (continuação)
Seção Opção Definição
Usar a reputação dearquivos do McAfeeGTI se o servidorThreat IntelligenceExchange não puderser acessado
Obtém informações de reputação do arquivo no Global ThreatIntelligence Proxy se o TIE Server estiver indisponível.
Impedir que osusuários alterem asconfigurações(somente para clientesdo Threat IntelligenceExchange 1.0)
Impede que os usuários em sistemas gerenciados alterem asconfigurações do Threat Intelligence Exchange 1.0.
Atribuição deregra
Produtividade Atribui o grupo de regras Produtividade.Use este grupo para sistemas com alto índice de alterações porinstalações e atualizações frequentes de software confiável.
Este é o grupo com o menor número de regras. Os usuáriosencontram uma quantidade mínima de avisos e bloqueios quandonovos arquivos são detectados.
Equilibrado Atribui o grupo de regras Equilibrado.Use o grupo para sistemas típicos de negócios com inclusões de novosoftware e alterações esporádicas.
Esse grupo usa mais regras, e os usuários encontram mais avisos ebloqueios do que com o grupo Produtividade.
Segurança Atribui o grupo de regras Segurança.Use o grupo para sistemas com baixo índice de alterações, comosistemas gerenciados por TI e servidores altamente controlados.
Os usuários recebem mais avisos e bloqueios do que no grupoEquilibrado.
Varredura doReal Protect
Ativar varredurabaseada em cliente
Ativa o mecanismo de varredura do Real Protect baseado em cliente,que usa aprendizado de máquina no sistema cliente para determinarse o arquivo corresponde ao malware conhecido.Se o sistema clienteestiver conectado à Internet, o Real Protect enviará informações detelemetria para a nuvem, mas não usará a nuvem para análise.Se o sistema cliente estiver usando o TIE para reputações, aconectividade com a Internet não será necessária para mitigar falsospositivos.
Prática recomendada: selecione essa opção a menos que oSuporte o aconselhe a desmarcá-la para reduzir os falsos positivos.
A tecnologia do Real Protect não tem suporte em alguns sistemasoperacionais Windows. Consulte KB82761 para obter informações.
Ativar varredurabaseada na nuvem
Ativa o mecanismo de varredura do Real Protect, que coleta e enviaos atributos do arquivo e suas informações comportamentais aosistema de aprendizado de máquina na nuvem para análise.Essa opção requer conectividade com a Internet para mitigar falsospositivos usando a reputação do McAfee GTI.
Prática recomendada: desative o Real Protect baseado na nuvemnos sistemas que não estão conectados à Internet.
A tecnologia do Real Protect não tem suporte em alguns sistemasoperacionais Windows. Consulte KB82761 para obter informações.
6 Uso da Proteção adaptável contra ameaçasReferência da interface do Cliente do Endpoint Security — Proteção adaptável contra ameaças
202 McAfee Endpoint Security 10.5 Guia do produto
Tabela 6-4 Opções (continuação)
Seção Opção Definição
Imposição deação
Ativar modo deobservação
Gera eventos da Proteção adaptável contra ameaças (Bloquearia,Limparia ou Confinaria) e os envia ao servidor, mas não impõe ações.Ative o modo de observação temporariamente em alguns sistemassomente durante o ajuste da Proteção adaptável contra ameaças.
Como a ativação desse modo faz com que a Proteção adaptávelcontra ameaças gere eventos, mas não imponha ações, seussistemas podem ficar vulneráveis a ameaças.
Disparar oConfinamentodinâmico deaplicativos quando olimite de reputaçãoatingir
Confina os aplicativos quando a reputação alcança o limiteespecificado:• Pode ser confiável
• Desconhecido (Padrão para o grupo de regras Segurança)
• Pode ser malicioso (Padrão para o grupo de regras Equilibrado)
• Provavelmente malicioso (Padrão para o grupo de regras Produtividade)
• Malicioso conhecido
O limite de reputação do Confinamento dinâmico de aplicativos deveser maior que os limites de bloqueio e limpeza. Por exemplo, se olimite de bloqueio estiver definido como Malicioso conhecido, o limite doConfinamento dinâmico de aplicativos deverá ser definido comoProvavelmente malicioso ou mais alto.
Quando um aplicativo com o limite de reputação especificado tentaexecutar em seu ambiente, o Confinamento dinâmico de aplicativospermite sua execução em um contêiner e bloqueia ou registra em logas ações não seguras com base nas regras de confinamento.
Uso da Proteção adaptável contra ameaçasReferência da interface do Cliente do Endpoint Security — Proteção adaptável contra ameaças 6
McAfee Endpoint Security 10.5 Guia do produto 203
Tabela 6-4 Opções (continuação)
Seção Opção Definição
Bloquear quando olimite de reputaçãoatingir
Bloqueia os arquivos quando a reputação do arquivo atinge um limiteespecífico e especifica o limite:• Pode ser confiável
• Desconhecido
• Pode ser malicioso (Padrão para o grupo de regras Segurança)
• Provavelmente malicioso (Padrão para o grupo de regras Equilibrado)
• Malicioso conhecido (Padrão para o grupo de regras Produtividade)
Quando um arquivo com o limite de reputação especificado tenta serexecutado em seu ambiente, ele é impedido, mas permanece noambiente. Se um arquivo for seguro e você desejar que ele sejaexecutado, altere sua reputação para um nível que permita suaexecução, como Pode ser confiável.
Limpar quando o limitede reputação atingir
Limpa arquivos quando a reputação do arquivo atinge um limiteespecífico, e especifica o limite:• Pode ser malicioso
• Provavelmente malicioso
• Malicioso conhecido (Padrão para os grupos de regras Equilibrado eSegurança)
O padrão do grupo de regras Produtividade é desmarcado.
Prática recomendada: use essa opção com reputações de arquivosMalicioso conhecido, pois um arquivo pode ser removido ao serlimpo.
6 Uso da Proteção adaptável contra ameaçasReferência da interface do Cliente do Endpoint Security — Proteção adaptável contra ameaças
204 McAfee Endpoint Security 10.5 Guia do produto
Tabela 6-5 Opções avançadas
Seção Opção Descrição
AdvancedThreat Defense
Enviar arquivos queainda não tenham sidoverificados pela análisedo McAfee AdvancedThreat Defense
Envia arquivos executáveis ao McAfee Advanced Threat Defensepara análise.Quando ativada, a Proteção adaptável contra ameaças enviaarquivos com segurança por HTTPS usando a porta 443 para oAdvanced Threat Defense quando:
• O servidor TIE não tem informações do Advanced ThreatDefense sobre o arquivo.
• O arquivo está no mesmo nível ou abaixo do nível da reputaçãoespecificada.
• O arquivo está no limite ou abaixo do tamanho de arquivoespecificado.
Se houver falha de HTTPS, a Proteção adaptável contra ameaçasenviará os arquivos por HTTP.
Especifique informações para o servidor Advanced Threat Defensena política de gerenciamento do servidor TIE.
Enviar arquivos quandoo limite de reputaçãoatingir
Envia arquivos para o Advanced Threat Defense quando areputação dos arquivos atinge um limite especificado:• Provavelmente confiável
• Desconhecido
• Provavelmente malicioso
O padrão para todos os grupos de regras é Desconhecido.
Tamanho limite (em MB)para
Limita o tamanho dos arquivos enviados para o Advanced ThreatDefense entre 1 MB e 10 MB.O padrão é 5 MB.
Consulte também Configurar opções da Proteção adaptável contra ameaças na página 197Ativar o limite do gatilho do Confinamento dinâmico de aplicativos na página 194Bloqueio ou permissão de arquivos e certificados na página 198Uso da varredura do Real Protect na página 198
Uso da Proteção adaptável contra ameaçasReferência da interface do Cliente do Endpoint Security — Proteção adaptável contra ameaças 6
McAfee Endpoint Security 10.5 Guia do produto 205
6 Uso da Proteção adaptável contra ameaçasReferência da interface do Cliente do Endpoint Security — Proteção adaptável contra ameaças
206 McAfee Endpoint Security 10.5 Guia do produto
Índice
Aações, Prevenção contra ameaças
nos itens em quarentena 60
ações, Threat Preventionespecificar o que acontece quando uma ameaça é
encontrada 83, 90
permitir que usuários limpem e excluam arquivosinfectados 83, 90
programas indesejados 80
adaptadores de rede, permitindo conexões 141
adiamento de varredura, visão geral 92
administradoresdefinidos 10
entrando no Cliente do Endpoint Security 26
senha 27
Advanced Threat Defense 190
envio de arquivos para 198
usadas na determinação de reputações 185
adware, sobre 61
agendamentos, varreduras por solicitação, adiamento 92
Ajuda, exibição 15, 20
alertas, Firewall 14
alertas, Threat Preventionvisão geral da varredura por solicitação 91
ameaçasaplicativos da Windows Store 84
aplicativos do Windows Store 91
arquivos de conteúdo do AMCore 11
detecções durante varredura 58
e classificações de segurança 167
gerenciamento de detecções 59
obtendo mais informações no McAfee Labs 60
Pasta de quarentena 60
Processo de Proteção de acesso 66
repetição de varredura de itens em quarentena 63
responder a detecções 20
tipos 61
violações dos pontos de acesso 66
aplicativos confinados, Confinamento dinâmico de aplicativosgerenciamento no Cliente do Endpoint Security 196
aplicativos da Windows Store, detecção de ameaças 84
aplicativos do Windows Store, detectar ameaças 91
aplicativos, confinadosgerenciamento no Cliente do Endpoint Security 196
aplicativos, confinados (continuação)permissão para executar normalmente 194
aplicativos, sobre 139
aplicativos, Windows Store 84, 91
aprendizado de máquina, mecanismo de varredura do RealProtect 198
Área de trabalho remota e varredura em recurso ocioso 92
arquivoLogs do Cliente do Endpoint Security 23
arquivosarquivos de log 24
caracteres curinga em exclusões 65
como as reputações são determinadas 185
configurando para colocar em quarentena 81
configurar arquivos de log 31
exclusão de tipos específicos das varreduras 64
executar varreduras 58
gerenciando a pasta de quarentena 60
prevenção contra modificação 30
repetição de varredura na Quarentena 63
tipos para evitar varredura 87
tipos para impedir varredura 92
arquivos de conteúdoagendando atualizações a partir do cliente 37
alteração de versão do AMCore 27
arquivos Extra.DAT 28, 29
atualizações da Prevenção de exploração 75
e detecções 20
sobre 11
verificação manual de atualizações 13, 22
visão geral da varredura por solicitação 91
arquivos de conteúdo do AMCorealteração de versão 27
arquivos Extra.DAT 28, 29
assinaturas e atualizações de mecanismos 11
mecanismo de varredura da Proteção adaptável contraameaças e regras 11
mecanismo do Real Protect e conteúdo 11
sobre 11
visão geral da varredura por solicitação 91
visão geral de varredura ao acessar 84
arquivos de definição de detecção, consulte arquivos deconteúdo
arquivos de logconfigurar 31
McAfee Endpoint Security 10.5 Guia do produto 207
arquivos de log (continuação)falhas na atualização 22
locais 24
visualizando 23
arquivos e certificados, bloqueio 198
arquivos e certificados, envio 198
arquivos Extra.DATarquivos de conteúdo do AMCore 11
carregar 29
fazer download 29
sobre 28
usar 28
visão geral da varredura por solicitação 91
visão geral de varredura ao acessar 84
arquivos mortos compactados, evitar varredura 87
arquivos mortos compactos, impedimento de varredura 92
arquivos mortos, evitar varredura 87
arquivos mortos, impedimento de varredura 92
arquivos, conteúdoalteração de versão de conteúdo do AMCore 27
arquivos Extra.DAT 28, 29
assinaturas e atualizações 11
carregar arquivos Extra.DAT 29
Extra.DAT e AMCore 11
Prevenção de exploração 11
Proteção adaptável contra ameaças 11
usar arquivos Extra.DAT 28
visão geral da varredura por solicitação 91
arquivos, especificar opções de varredura 83, 90
assinaturasinformações de ameaças conhecidas 11
assinaturas da GPEP, consulte Assinaturas da Prevenção contraescalonamento de privilégios genéricos
assinaturas da Prevenção contra escalonamento de privilégiosgenéricos 11
assinaturas da Proteção contra estouro de buffer genérico 11
assinaturas de GBOP, consulte Assinaturas da Proteção contraestouro de buffer genérico
assinaturas de Monitoramento de API de destino 11
assinaturas, Prevenção de exploraçãoconfiguração 77
exclusão por ID de assinatura 78
sobre 75
ataques baseados em heap, explorações de estouro de buffer74
ataques baseados em pilha, explorações de estouro de buffer74
ataques, explorações de estouro de buffer 74
atualizaçõesAtualizar botão Agora, Cliente do Endpoint Security 22
cancelamento 22
o que é atualizado 23
opção Atualizar segurança 13
atualizações de conteúdo 11
atualizações de produtoagendando a partir do cliente 37
atualizações de produtosverificação manual 13, 22
atualizações de softwareagendamento a partir do cliente 37
verificação manual 13, 22
atualizações manuais, execução 22
atualizações por solicitação, consulte atualizações manuais,execução
atualizações, componentes do software cliente 11
atualizações, Endpoint SecurityAtualização do cliente padrão, configurando 36
comportamento de configuração 34
configurando e agendando a partir do cliente 37
configurando o site de origem para atualizações 34
tarefa Atualização padrão do cliente, sobre 37
atualizações, Firewallverificação manual 22
atualizações, Prevenção contra ameaçasverificação manual 13, 22
visão geral 11
atualizações, Threat Preventionarquivos de conteúdo 11
arquivos Extra.DAT 29
Atualizar página 22
autogerenciado, sobre 22
Autoproteção, configuração 30
avisos, Endpoint Securityresponder a 20
responder à detecção de ameaças 20
Windows 8 e 10 20
Bbackups, especificar opções de varredura 83, 90
balões, Web Control 166, 170
Bloquear Modo da interface do clientedesbloqueio da interface 27
bloquear modo de acesso da interface do clienteefeitos de definição de senha 32
Bloqueio de modo da interface do clientee configurações de política 17
botão Atualizar agora 23
Botão Exibir detecções 59
botão Exibir varredura 56
botão Varrer agora 56
botõesExibir detecções 59
Exibir varredura 56
Varrer agora 56
botões, Controle da Web 165
Ccache de varredura
varreduras ao acessar 84
varreduras por solicitação 91
Índice
208 McAfee Endpoint Security 10.5 Guia do produto
cache de varredura globalvarreduras ao acessar 84
varreduras por solicitação 91
cache, varredura globalvarreduras ao acessar 84
varreduras por solicitação 91
caracteres curingaem exclusões 65
em exclusões em nível de raiz 65
usar em regras de firewall 146
uso em exclusões 65
categorias da Web, bloqueando ou avisando com base nacategoria da Web 174
categorias da Web, bloquear ou avisar com base em 173
categorias de conteúdo, consulte categorias da Web cavalos de Troia
detecções durante a varredura 56
detecções durante varredura 58
sobre 61
certificadoscomo as reputações são determinadas 185
certificados confiáveis e impedimento de varredura 84
certificados e impedimento de varredura 84
Chromeativação do plug-in do Controle da Web 168
botões do Controle da Web 165
exibindo informações sobre um site 169
navegadores com suporte 163, 169
classificações de segurançacomo classificações de site são obtidas 167
configuração de ações para sites e downloads 173
Controle da Web e 163
controle de acesso a sites 174
ícones de segurança 166
classificações, segurança, consulte classificações de segurança classificações, Web Control, consulte classificações de
segurança cliente, consulte Cliente do Endpoint Security cliente de proteção McAfee, consulte Endpoint Security Client Cliente do Endpoint Security
abertura 13
atualização da proteção 22
configurações de política 17
configurando sites de origem para atualizações 34
definição de configurações de segurança 32
desbloqueio da interface 27
entrando como administrador 26
execução de varreduras 56
exibição da ajuda 20
logs, sobre 24
módulos 17
proteção de uma senha 32
sobre 15
tarefa Atualização padrão do cliente, sobre 37
Tarefa padrão de atualização do cliente, agendamento 37
Tarefa padrão de atualização do cliente, configurando 36
Cliente do Endpoint Security (continuação)tarefas de atualização personalizadas, criando 37
tarefas de espelhamento, configuração e agendamento 38
tarefas de espelhamento, sobre 39
tipos de gerenciamento 10
Varredura completa e Varredura rápida, agendamento 95
visualizando o Log de eventos 23
cliente McAfee, consulte Cliente do Endpoint Security complementos do navegador, consulte plug-ins complementos, navegador, consulte plug-ins conectividade, McAfee GTI ou servidor TIE 185
configuraçõesatualizações, configurando para 34, 36
site de origem, configurando para 34
sites de origem para atualizações do cliente, configurando34
Configurações de “Definir prioridade” do Windows 94
Configurações de ação de conteúdoControle da Web 174
configurações de Ações de conteúdoControle da Web 174
configurações de Ações de conteúdo, Controle da Web 173
configurações de processo, varreduras por solicitação 94
configurações do FirewallOpções 138
configurações, Controle da Webcontrolando acesso com categorias da Web 174
controle de acesso a sites 173
controle de acesso com classificações de segurança 174
configurações, FirewallOpções 138
configurações, Prevenção contra ameaçasrecurso Proteção de acesso 68
configurações, Proteção adaptável contra ameaçastecnologia de Confinamento dinâmico de aplicativos 195
configurações, Threat Preventionconfigurar programas potencialmente indesejados 80
varreduras ao acessar 80
varreduras por solicitação 80
Confinamento dinâmico de aplicativosarquivos de log 24
ativação de limite gatilho 194
como funciona 192
Gerenciamento da Inteligência contra ameaças 188
gerenciamento de aplicativos confinados 196
permissão para que aplicativos confinados sejamexecutados normalmente 194
práticas recomendadas 195
processos, inclusão e exclusão 196
Proteção adaptável contra ameaças 184
regras definidas pela McAfee, configuração 195
sobre 191
contas de usuário, controle de acesso ao cliente 32
conteúdo, atualização usando o cliente 22
Controle da Webarquivos de log 24
Índice
McAfee Endpoint Security 10.5 Guia do produto 209
Controle da Web (continuação)ativação 170
ativação do plug-in 168
botões, descrição 165
Cliente do Endpoint Security 17
como arquivos de download são varridos 172
comportamento, sites avisados e downloads 165
comportamento, sites bloqueados e downloads 165
configuração 170
exibindo informações sobre um site 169
exibindo relatórios de site 169
log de atividades 24
log de depuração 24
menu 165
recursos 163
sobre 9cores, botões do Controle da Web 165
credenciais, lista de repositórios 35
DData Exchange Layer e Proteção adaptável contra ameaças 182,
184
definição de redes 137
descobridores de senha, sobre 61
desempenho, consulte desempenho do sistema desempenho do sistema
redução do impacto da varredura 87, 92
destinos, Proteção de acessoavaliação com sub-regras 72
exemplos 72
detecçãoexcluindo por nome 81
detecçõesexibir mensagens para usuários 83, 90
gerenciamento 56, 59
nomes 61
relatando para o servidor de gerenciamento 10
responder a 20
tipos 56, 58
discadores, sobre 61
do McAfee Endpoint Securityinteragindo com 12
domínios, bloqueio 136
downloadsbloquear e avisar sobre comportamento 165
downloads de arquivobloquear ou avisar com base em classificações 173
varrendo com a Prevenção contra ameaças 172
downloads de arquivosbloqueio de sites desconhecidos 170
Eendereços de IP
grupos com reconhecimento de local 141
endereços de IP (continuação)grupos de regra 141
endereços IP 137
Endereços IPconfiáveis 138
Endpoint Security Clientabrir 19
exibir informações de proteção 21
gerenciamento de detecções de ameaças 59
Resumo de ameaças 16
tipos de gerenciamento 21
varredura em busca de malware 55
varreduras de sistemas 55
Endpoint Security, como proteger seu computador 10
Endpoint Security, gerenciar 26
enviar arquivos para análise detalhadaAdvanced Threat Defense 190
Product Improvement Program 190
eventos]modo de Observação 188
modo de observação 188
eventos Bloquearia 188
eventos Confinaria 188
eventos Limparia 188
eventos Restringiria 188
eventos, rastreamento de eventos do navegador do Controle daWeb 170
evitar varreduraDeixar a McAfee decidir a opção de varredura 83
exceçõesMcAfee GTI 138
exceções, Prevenção de exploração, consulte exclusõesPrevenção de exploração
exclusõesconfiguração 64
Confinamento dinâmico de aplicativos 196
especificar URLs para ScriptScan 83
global, Prevenção de exploração 78
nível de raiz 65
nome da detecção 81
práticas recomendadas do ScriptScan 87
Prevenção de exploração 78
Prevenção de exploração, todas as regras 78
Proteção de acesso, todas as regras 73
uso de caracteres curinga 65
varredura ao acessar, especificar arquivos, pastas eunidades 83
varredura por solicitação, especificar 90
exclusões em nível de raiz, consulte exclusões exclusões globais, Prevenção de exploração 78
executáveisconfiáveis, consulte executáveis confiáveisconfiguração de confiáveis 138
exclusão da Prevenção de exploração 78
exclusão da Proteção de acesso 73
Índice
210 McAfee Endpoint Security 10.5 Guia do produto
executáveis confiáveisconfiguração 138
definição 139
exemplos de fluxo de trabalho 188
criar predomínio e observação de arquivo 188
enviar arquivos para análise detalhada 190
monitoramento e ajustes 189
exploraçõesbloqueio de estouros de buffer 77
bloqueio de explorações de estouro de buffer 74
como as explorações de estouro de buffer ocorrem 74
explorações de estouro de buffer, sobre 74
extensões do navegador, consulte plug-ins extensões, navegador, consulte plug-ins
Ffalhas, atualização 22
falsos positivosFirewall, redução 139
redução pela criação de exclusões da Prevenção deexploração 78
ferramentas de administração remota, sobre 61
Firefoxativação do plug-in do Controle da Web 168
botões do Controle da Web 165
ESR, navegadores com suporte 163
exibindo informações sobre um site 169
navegadores com suporte 163
navegadores suportados 169
firewallativação no ícone da bandeja do sistema da McAfee 13
sobre grupos temporizados 13
Firewallalertas de invasão 14
arquivos de log 24
ativação e desativação usando o ícone da bandeja dosistema 133
ativação e exibição de grupos temporizados 134
ativando e desativando a proteção 135
atualização de conteúdo usando o cliente 22
bloqueio de tráfego DNS 136
Cliente do Endpoint Security 17
como as regras de firewall funcionam 139
como funciona 133
criação de grupos temporizados 148
executáveis confiáveis 139
gerenciamento 134
gerenciar regras e grupos 145
grupos com reconhecimento de local, criando 147
grupos com reconhecimento de local, sobre 141
grupos temporizados, sobre 134
log de atividades 24
log de depuração 24
modificando as opções 135
Perguntas frequentes do McAfee GTI 136
Firewall (continuação)regras, consulte regras de firewallsobre 9
GGoogle
Chrome 163
ícones de segurança 166
mecanismos de pesquisa compatíveis 166
grupo de regras Adaptáveis, Firewall 144
Grupo de regras adaptáveis, Firewall 145
grupo de regras adicionadas pelo Administrador, Firewall 144
grupo de regras adicionadas pelo Usuário, Firewall 144
Grupo de regras adicionados pelo usuário, Firewall 145
grupo de regras Padrão, Firewall 144
grupo de regras principais de rede da McAfee, Firewall 144
grupo de regras, firewall, consulte grupos de regras de firewall grupos com reconhecimento de local
criando 147
isolamento de conexão 142
sobre 141
grupos de firewall, consulte grupos de regras de firewall grupos de regra de firewall
e isolamento de conexão 142
reconhecimento de local, criando 147
reconhecimento de local, sobre 141
grupos de regras de firewallcomo o firewall funciona 133
criação de grupos temporizados 148
gerenciamento de grupos temporizados usando o ícone dabandeja do sistema 13, 134
grupos temporizados, sobre 134
precedência 141
predefinidas 144
grupos de regras de firewall predefinidas 144
grupos de regras do firewallconfigurar 139
grupos temporizadosgerenciamento usando o ícone da bandeja do sistema da
McAfee 13
grupos temporizados, Firewallcriação 148
gerenciamento usando o ícone da bandeja do sistema 134
sobre 134
grupos, firewall, consulte grupos de regras de firewall
Hhashes, sobre 82, 173
Host Intrusion Prevention e Prevenção de exploração 74
Host IPS, e Prevenção de exploração 74
Iícone da bandeja de sistema, Cliente 12
Índice
McAfee Endpoint Security 10.5 Guia do produto 211
ícone da bandeja do sistemaopção Atualizar segurança 23
ícone da bandeja do sistema, McAfeeabrir o Endpoint Security Client 19
ativação e desativação do Firewall 133
ativação e exibição de grupos temporizados 134
atualização de segurança 13
configuração de acesso ao Endpoint Security 32
definido 13
grupos temporizados do firewall 13
ícone da McAfee, consulte ícone da bandeja do sistema, McAfee
ícones, McAfee, consulte ícone da bandeja do sistema, McAfee ícones, Web Control 166
impedimento de varreduracertificados confiáveis 84
práticas recomendadas para varreduras 64
práticas recomendadas para varreduras ao acessar 87
práticas recomendadas para varreduras por solicitação 92
inclusõesPrevenção de exploração, regras de Proteção do aplicativo
78
sub-regras de Proteção de acesso 73
independente, consulte autogerenciado, sobre indetectável, sobre 61
informações de identificação pessoal, consulte PII informações, exibir proteção 21
instaladores confiáveis, varredura 83
instaladores, varrer confiáveis 83
Internete mecanismo de varredura do Real Protect 198
e Proteção adaptável contra ameaças 184
Internet Explorerativação do plug-in do Controle da Web 168
exibição da ajuda do Endpoint Security 20
exibindo informações sobre um site 169
navegadores com suporte 163, 169
suporte do ScriptScan 87
introdução à Proteção adaptável contra ameaças 188
intrusões, ativando alertas de Firewall 135
Jjokes, sobre 61
Kkeyloggers, sobre 61
LLiberação de suporte estendido, consulte Firefox ESR,
navegadores com suporte limitação, configuração 94
limitesativação de limite de gatilho do Confinamento dinâmico de
aplicativos 194
Lista de aplicativos confinados, gerenciamento 196
lista de repositórioslocalização do cliente 35
preferência de ordem, lista de repositórios 35
visão geral 35
log de eventos, Cliente do Endpoint Securityvisualizando a página de Log de eventos 23
log do cliente, configurar 31
lógica de confiança, otimização de varreduras ao acessar 83
logs de atividades, Cliente do Endpoint Security 24
logs de depuração, Cliente do Endpoint Security 24
logs de erro, Cliente do Endpoint Security 24
logs de eventos, Cliente do Endpoint Securityfalhas na atualização 22
sobre 24
Mmalware
detecções durante a varredura 56
detecções durante varredura 58
responder a detecções 20
varredura em busca de 55
McAfee Active Response e Confinamento dinâmico deaplicativos 192
McAfee Agenttarefa de Atualização do produto e lista de repositórios 35
McAfee Endpoint Security Client, consulte Endpoint SecurityClient
McAfee ePOatualizar proteção 11
e tipos de gerenciamento 22
McAfee GTIClassificações de segurança do Web Control 167
comentário de telemetria 81
configurando nível de sensibilidade 81
e categorias da Web 174
e mecanismo de varredura do Real Protect 198
e Proteção adaptável contra ameaças 182, 184
enviando eventos d bloqueio para o servidor 135
erro de comunicação do Controle da Web 165
especificação de configurações do servidor proxy 33
exceções 138
opções de firewall, configurando 135
perguntas frequentes, Firewall 136
Relatório de sites do Web Control 166
reputação de rede para o firewall, configurando 135
status de conexão da Proteção adaptável contra ameaças185
varredura de arquivos antes do download 170
varreduras ao acessar, como elas funcionam 84
varreduras ao acessar, como funcionam 91
varreduras ao acessar, configurar 83
varreduras por solicitação, configurar 90
varrendo arquivo antes de download 172
visão geral, Controle da Web 173
visão geral, Prevenção contra ameaças 82
Índice
212 McAfee Endpoint Security 10.5 Guia do produto
McAfee Labsatualizações de arquivos de conteúdo do AMCore 11
download de Extra.DAT 28
e McAfee GTI 82, 136, 173
Extra.DAT 29
obtendo mais informações sobre ameaças 60
McAfee SECURE, botão do Controle da Web 165
McTray, iniciar 92
mecanismo de pesquisa Ask, e ícones de segurança 166
mecanismo de pesquisa Bing, e ícones de segurança 166
mecanismo de varredura do Real Protect 192, 198
Mecanismo de varredura do Real ProtectGerenciamento da Inteligência contra ameaças 188
mecanismo de verificação do Real Protectatualizações de arquivo de conteúdo 11
mecanismos de varreduraReal Protect 192
mecanismos de varredura, Real Protect 198
mecanismos de varredura, visão geral do arquivo de conteúdodo AMCore 11
mensagens de erro, estados do ícone da bandeja do sistema 13
mensagens de notificaçãointeragindo com o Cliente do Endpoint Security 12
sobre 14
Windows 8 e 10 14
mensagens, Endpoint Securityexibir quando ameaça é detectada 83, 90
sobre 14
menu Ação, sobre 15
Menu Iniciar, abrir o Endpoint Security Client 19
menusAção 15, 27
Ajuda 15, 20
Configurações 15, 17, 135, 145
Controle da Web 169
Sobre 21
Microsoft Internet Explorer, consulte Internet Explorer Modo acesso total
modificando as opções de firewall 135
Modo adaptávelconfigurando no Firewall 135
precedência de regras 139
Modo Área de trabalho, Windows 8 e 10responder a prompts de detecção de ameaça 20
Modo da interface do cliente, opções 17
modo de acesso padrãodefinição de configurações de segurança do cliente 32
efeitos de definição de senha 32
Modo de acesso padrãoe configurações de política 17
entrando como administrador 26
gerenciar regras e grupos do firewall 145
Modo de acesso totalconfigurações de política 17
Modo de bloqueio da interface do clienteao abrir o Endpoint Security Client 19
modo de observaçãoeventos da Proteção adaptável contra ameaças 188
modo de Observaçãoeventos de proteção contra ameaça avançada 188
Modo Desktop, Windows 8 e 10mensagens de notificação 14
modos da interfacedefinição de configurações de segurança do cliente 32
modos de acesso, Cliente do Endpoint Security 17
modos de interfaceacesso padrão 32
Acesso padrão 26
bloquear interface do cliente 32
módulo Common, configurarconfigurações 29
Módulo Common, configurarlog 31
Módulo Em Comum, Cliente do Endpoint Security 9, 17
módulo Em Comum, configuraçãoAutoproteção 30
definições do servidor McAfee GTI Proxy 33
segurança da interface do cliente 32
módulo Em Comum, configurandoconfigurações de atualização 34, 36
sites de origem para atualizações do cliente, configurando34
Módulo Em Comum, configurandosite de origem para atualizações do cliente 34
módulosAcesso ao Cliente do Endpoint Security com base em
políticas: 17
exibir informações sobre 21
instalados no Cliente do Endpoint Security 17
sobre Endpoint Security 9módulos, Common
log, configurar 31
módulos, Controle da Webcomo o McAfee GTI funciona 173
módulos, Em ComumAutoproteção, configuração 30
configurações de atualização, configurando 34, 36
configurando site de origem para atualizações do cliente 34
definições do servidor Proxy McAfee GTI, configuração 33
sites de origem para atualizações do cliente, configurando34
módulos, Prevenção contra ameaçascomo o McAfee GTI funciona 82
Mozilla Firefox, consulte Firefox
Nnão gerenciado, consulte autogerenciado, sobre navegador Edge, incompatível com o Controle da Web 163
Índice
McAfee Endpoint Security 10.5 Guia do produto 213
navegadoresativação do plug-in do Controle da Web 168
com suporte 163, 169
comportamento, sites bloqueados e downloads 165
desativação do plug-in do Controle da Web 170
exibindo informações sobre um site 169
sem suporte 163
níveis de segurançaexemplos 198
nível de sensibilidade, McAfee GTI 82, 173
notificações do sistema, Windows 8 e 10 14, 20
Oopção da bandeja do sistema Atualizar segurança 23
opçõesconfigurar varreduras ao acessar 83
configurar varreduras por solicitação 90
varredura em busca de malware 55
opções de utilização do sistema, visão geral 94
opções de varredura, redução de impacto no usuário 92
opções de varredura, redução do impacto no usuário 87
opções do Firewallmodificar 135
Opções, Commonagendar varreduras por solicitação 55
configurar 29
definições de log, configurar 31
Opções, Em ComumAutoproteção, configuração 30
configurações de atualização, configurando 34, 36
configurações do servidor Proxy, configuração 33
site de origem para atualizações do cliente, configurando34
sites de origem para atualizações do cliente, configurando34
Opções, Firewallexecutáveis confiáveis 139
redes definidas 137
Opções, Prevenção contra ameaçasconfigurações de varreduras comuns 81
Opções, Threat Preventionprogramas indesejados 80
Ppágina Configurações
Autoproteção, configuração 30
configurações do servidor proxy, configuração 33
log, configurar 31
segurança da interface do cliente, configuração 32
página de Configuraçõesconfigurações de atualização, configurando 34
Página de configuraçõesconfigurações da varredura ao acessar, configurar 83
configurações de atualização, configurando 36
definições de varredura por solicitação, configurar 90
Página de configurações (continuação)gerenciar regras e grupos do firewall 145
modificando opções de firewall 135
Página de Configuraçõese modo da interface do cliente 17
Página de Logon do Administradorao abrir o Endpoint Security Client 19
página de quarentena 60
página de varredura, exibição 56
página de varreduras, exibição 20
Página Fazer varredura para encontrar ameaças 58
página Logon do Administradordesbloqueio da interface do cliente 27
página Reverter conteúdo do AMCore 27
página Sobre 21
status de conexão da Proteção adaptável contra ameaças185
página Status de segurança da McAfee, exibição 13
página Status, exibição do resumo de ameaças 16
Página Varredura ao acessar 59
página Varrer sistema 56
Página Varrer sistema 59
páginasAtualização 22
configurações 34
Configurações 17, 30–34, 36, 90, 135
Fazer varredura para encontrar ameaças 58
Log de eventos 23
Quarentena 60
Reverter conteúdo do AMCore 27
Sobre 10, 21
Status de segurança da McAfee 13
Varredura ao acessar 20, 59
varredura, exibição 56
Varrer sistema 56, 59
pastascaracteres curinga em exclusões 65
configurando para colocar em quarentena 81
executar varreduras 58
gerenciando em quarentena 60
repetição de varredura na Quarentena 63
perguntas frequentes, McAfee GTI 136
Pesquisa segura, configuração do Controle da Web 170
pesquisasbloqueio de sites arriscados em resultados 170
ícones de segurança 166
phishing, relatórios apresentados por usuários de sites 167
PII, não enviada para a nuvem 198
plug-insativação 168
políticasacessando o Cliente do Endpoint Security 17
definidas 10
recursos do cliente 12
Índice
214 McAfee Endpoint Security 10.5 Guia do produto
políticas, Commonconfigurar 29
políticas, Prevenção contra ameaçasconfigurações de varreduras comuns 81
varreduras por solicitação, adiar 92
políticas, Threat Preventionvarreduras ao acessar 89
pop-ups, e classificações de segurança 167
práticas recomendadasConfinamento dinâmico de aplicativos 195
definição de configurações de segurança do cliente 32
exclusão do McAfee GTI do servidor proxy 33
exclusões do ScriptScan 87
mecanismo de varredura do Real Protect 198
melhoria do desempenho da varredura 64
redução do impacto da varredura ao acessar 87
redução do impacto da varredura por solicitação 92
regras de confinamento definidas pela McAfee 195
senhas 32
uso de redes confiáveis 138
precedênciagrupos de firewall 141
regras do firewall 139
Prevenção contra ameaçasCliente do Endpoint Security 17
recurso Prevenção de exploração 77
recurso Proteção de acesso 68
sobre 9varredura de arquivos antes do download 170
varreduras ao acessar, sobre 84
varrendo arquivos antes do download 172
Prevenção de exploraçãoarquivos de conteúdo 75
arquivos de log 24
atualizações de arquivo de conteúdo 11
configuração 77
e Host IPS 74
exclusão de processos 64
processos, exclusões 78
processos, inclusão e exclusão 78
regras de proteção do aplicativo 76
sobre 74
sobre assinaturas 75
prioridades, varreduras ao acessar 94
processosexclusão da Prevenção de exploração 78
inclusão e exclusão na Proteção de acesso 73
processos de alto risco, especificar 83
processos de baixo risco, especificar 83
processos, Confinamento dinâmico de aplicativosexclusões 196
processos, Prevenção contra ameaçasexclusão 64
inclusão e exclusão na Proteção de acesso 68
varredura 84
processos, Proteção adaptável contra ameaçasinclusão e exclusão do Confinamento dinâmico de
aplicativos 196
processos, Threat Preventionespecificar alto e baixo risco 83
varredura 83
Product Improvement Program 190
programas potencialmente indesejadosativar detecção 80, 83, 90
caracteres curinga 65
configurar detecção 79
detecções durante a varredura 56
detecções durante varredura 58
especificação 80
especificando programas a serem detectados 81
exclusão de itens 64
sobre 61
programas, ativar detecção de potencialmente indesejados 83,90
prompts, Endpoint Securityresponder a varredura 21
sobre 14
proteçãoconfiguração da Autoproteção 30
exibir informações sobre 21
interagindo com o 12
manter atualizado 11
Proteção adaptável contra ameaçasarquivos de log 24
atualizações de arquivo de conteúdo 11
benefícios 181
cenários 184
Cliente do Endpoint Security 17
componentes 182
configuração 197
configuração de limite de gatilho do Confinamentodinâmico de aplicativos 194
exemplos de fluxo de trabalho 188
Gerenciamento da Inteligência contra ameaças 188
log de atividades 24
log de depuração 24
mecanismo de varredura do Real Protect 198
sobre 9, 181
sobre o Real Protect 198
tecnologia de Confinamento dinâmico de aplicativos 195
Proteção de acessoarquivos de log 24
exclusão de processos 64
exemplos 66
processos, inclusão e exclusão 68, 73
regras definidas pela McAfee, configuração 68
regras definidas pela McAfee, sobre 69
regras definidas pelo usuário, configuração 72
regras, sobre 67
sobre 66
Índice
McAfee Endpoint Security 10.5 Guia do produto 215
QQuarentena, Prevenção contra ameaças
definindo configurações de localização e retenção 81
repetição de varredura de itens em quarentena 63
Rransomware
criação de regras de proteção de acesso para a proteçãocontra 72
recursoAcesso ao Cliente do Endpoint Security com base em
políticas: 17
recursosativação e desativação 27
rede privada, adição de sites externos 170
redesconfiáveis 138
definição 137
redes confiáveis, consulte redes regras
Proteção de acesso, exclusões e inclusões 73
Proteção do aplicativo, exclusões e inclusões 78
regras de confinamentoConfinamento dinâmico de aplicativos 191
regras de confinamento definidas pela McAfeepráticas recomendadas 195
regras de firewallcomo o firewall funciona 133
configurar 139
uso de caracteres curinga 146
regras de Proteção de acessoexclusões e inclusões 73
regras de proteção do aplicativo 76
configuração 77
regras de Proteção do aplicativoexclusões e inclusões 78
regras definidas pela McAfee, Confinamento dinâmico deaplicativos 195
regras definidas pela McAfee, Proteção de acesso 69
regras definidas pelo usuário, Proteção de acessoconfiguração 72
regras do firewallcomo funcionam 139
ordenação e precedência 139
permitir e bloquear 139
regras personalizadas, consulte regras definidas pelo usuário,Proteção de acesso
regras, Confinamento dinâmico de aplicativosconfiguração 195
práticas recomendadas 195
regras, firewall, consulte Firewall regras, Prevenção contra ameaças
configuração 68
regras, Prevenção de exploraçãoregras de proteção do aplicativo 76
regras, Proteção de acessotipos 67
regras, Threat Preventioncomo a Proteção de acesso funciona 66
relatórios de segurança, consulte relatórios, Web Control relatórios do site, consulte relatórios, Web Control relatórios, Controle da Web
exibindo 169
segurança 163
relatórios, Web Control 166, 167
exibição 170
segurança do site 166
reputação de arquivosrespondendo a solicitações 187
reputaçõesativação de limite de gatilho do Confinamento dinâmico de
aplicativos 194
como elas são determinadas 185
Confinamento dinâmico de aplicativos 191
status de conexão para determinar 185
requisitosmecanismo de varredura do Real Protect 198
respostas, configurar para detecção de programas indesejados80
Resumo de ameaças, sobre 16
SSafari (Macintosh)
botões do Controle da Web 165
scripts, varredura 87
ScriptScanativar 83
compatível com Internet Explorer somente 87
desativado por padrão 87
exclusão de URLs 64
práticas recomendadas para exclusões 87
sobre 87
segurançaconfiguração de segurança da interface do cliente 32
senhasadministrador 26, 27
configuração de segurança do cliente 32
controle de acesso ao cliente 32
senhas de administradorefeitos 32
servidor proxyconfiguração para o McAfee GTI 33
configurações da lista de repositórios 35
servidor Threat Intelligence Exchange, consulte Servidor TIE servidor TIE
e mecanismo de varredura do Real Protect 198
e Proteção adaptável contra ameaças 182, 184
status de conexão da Proteção adaptável contra ameaças185
servidores, proxy, consulte servidores proxy
Índice
216 McAfee Endpoint Security 10.5 Guia do produto
setores de inicialização, varredura 83, 90
sistemas de servidor e varredura em recurso ocioso 92
sitesbloquear e avisar sobre comportamento 165
classificações de segurança 167
exibindo relatórios de site do Controle da Web 169
proteção de navegação 165
proteção durante pesquisas 166
sites, avisocom base em classificações de segurança 174
com base nas classificações 173
sites, bloqueandocom base na categoria da Web 174
sites, bloqueiocom base em classificações de segurança 174
com base na categoria da Web 173
com base nas classificações 173
sem classificação ou desconhecidos 170
sites arriscados em resultados de pesquisa 170
sites, controlando acessocom base na categoria da Web 174
sites, controlando o acessocom base na categoria da Web 174
sites, controle de acessocom categorias da Web 173
com classificações de segurança 174
Sobre a página 10
software cliente, definido 10
solicitação, Endpoint Securityrespondendo à reputação de arquivos 187
solicitações de download, consulte download de arquivos spyware, sobre 61
statusconexão, verificação 185
status de conexão, verificar 185
status, Endpoint Security, exibição no ícone da bandeja dosistema da McAfee 13
sub-regras, Proteção de acessoavaliação com destinos 72
exclusão e inclusão 73
Ttarefa Atualização padrão do cliente
sobre 37
Tarefa padrão de atualização do clienteagendando com o Cliente do Endpoint Security 37
configurando 36
configurando o site de origem para atualizações 34
tarefa, Prevenção contra ameaçasVarredura completa e Varredura rápida, agendamento 95
varredura personalizada, agendamento 95
tarefas de atualização personalizadas, consulte tarefas, Clientedo Endpoint Security
tarefas de espelhamentoconfiguração e agendamento 38
tarefas de espelhamento (continuação)sobre 39
tarefas do cliente de Atualização do produtolista de repositórios 35
sobre 35
tarefas, Cliente do Endpoint SecurityAtualização do cliente padrão, agendamento 37
Atualização do cliente padrão, configurando 36
atualização personalizada, configurando e agendando 37
configuração e agendamento de tarefas de espelhamento38
tarefas de espelhamento, sobre 39
tarefas, Endpoint SecurityAtualização padrão do cliente, sobre 37
tarefas, Threat PreventionVarreduras completas e rápidas, sobre 55
tempo de CPU, varreduras por solicitação 94
threads, prioridade 94
Threat Preventiongerenciamento 63
Opções, programas indesejados 80
programas potencialmente indesejados, detectar 79
varreduras ao acessar, configurar 83
varreduras por solicitação, configurar 90
varreduras por solicitação, sobre 91
tipo de gerenciamento do McAfee ePO Cloud 22
tipos de gerenciamentoexibição 21
sobre 22
tráfegoexaminado pelo firewall 133
permitir saída até que os serviços de firewall sejaminiciados 135
tráfego DNS, bloqueio 136
Uunidades de rede, especificar opções de varredura 83
URLsexcluir da varredura de scripts 83
exclusão de varreduras do script 64
Vvarredura ao acessar
configurando 81
exclusão de itens 64
Varredura completaagendando no cliente 95
configurar 90
execução usando o Cliente do Endpoint Security 56
sobre 55
varredura de gravação 83
Varredura de gravaçãofluxo de trabalho 84
varredura de leitura 83
Índice
McAfee Endpoint Security 10.5 Guia do produto 217
Varredura de leiturafluxo de trabalho 84
varredura em recurso ocioso 92
Varredura por clique no botão direitoconfigurar 90
executar a partir do Windows Explorer 58
sobre 55
varredura por solicitaçãoconfigurando 81
exclusão de itens 64
Varredura rápidaagendando no cliente 95
configurar 90
execução usando o Cliente do Endpoint Security 56
tipos de varreduras 55
varredurasadiar, pausar, retomar e cancelar 21
agendando com o Cliente do Endpoint Security 95
configurações comuns de varreduras por solicitação e aoacessar 81
Controle da Web 172
execução usando o Cliente do Endpoint Security 56
executar varredura por clique no botão direito 58
Leitura e gravação 84
personalizada, criando e agendando com o cliente 95
responder a prompts 21
tipos 55
uso de caractere curinga em exclusões 65
varreduras ao acessararquivos de log 24
configuração 83
detecções de ameaças 20
gravação vs. leitura no disco 83
número de políticas de varredura 89
otimização com lógica confiável 83
programas potencialmente indesejados, ativar detecção 80
ScriptScan 87
sobre 55
visão geral 84
Varreduras de armazenamento seguro, visão geral 95
varreduras de impacto zero 92
varreduras de sistemas, tipos 55
varreduras incrementais 92
varreduras manuaisexecução usando o Cliente do Endpoint Security 56
executar a partir do Endpoint Security Client 58
sobre tipos de varredura 55
varreduras personalizadas, consulte varreduras por solicitação varreduras por solicitação
arquivos de log 24
execução de Varredura completa ou Varredura rápida 56
executar varredura por clique no botão direito 58
programas potencialmente indesejados, ativar detecção 80
responder a prompts 21
sobre 55
varreduras por solicitação (continuação)utilização do sistema 94
varredura de arquivo ou pasta 58
Varreduras de armazenamento seguro 95
visão geral 91
varreduras retomáveis, consulte varreduras incrementais varreduras, ao acessar
configuração 83
detecção de ameaças em aplicativos da Windows Store 84
detecções de ameaças, responder a 20
exclusão de itens 64
número de políticas 89
otimização com lógica de confiança 83
redução do impacto nos usuários 87
ScriptScan 87
varredura de scripts 87
visão geral 84
varreduras, personalizadas, consulte varreduras, por solicitação
varreduras, por solicitaçãoagendando no cliente 95
configurar 90
detectar ameaças em aplicativos do Windows Store 91
exclusão de itens 64
redução do impacto nos usuários 92
utilização do sistema 94
Varreduras de armazenamento seguro 95
varrer com recurso ocioso 21
vírusassinaturas 11
detecções durante a varredura 56
detecções durante varredura 58
responder a detecções 20
sobre 61
vulnerabilidades, consulte ameaças
WWeb Control
gerenciamento 170
ícones e balões 170
ícones, descrição 166
mecanismos de pesquisa e ícones de segurança 166
relatórios do site 166
Windows 8 e 10abrir o Endpoint Security Client 19
responder a prompts de detecção de ameaça 20
sobre mensagens de notificação 14
YYahoo
ícones de segurança 166
mecanismo de pesquisa compatível 166
mecanismo de pesquisa padrão 170
Índice
218 McAfee Endpoint Security 10.5 Guia do produto