mcafee endpoint security 10 - kc. · pdf filea proteção adaptável contra...

Guia do produto

McAfee Endpoint Security 10.5

COPYRIGHT

© 2016 Intel Corporation

ATRIBUIÇÕES DE MARCAS COMERCIAISIntel e o logotipo da Intel são marcas comerciais da Intel Corporation nos EUA e/ou em outros países. McAfee, o logotipo da McAfee, McAfee ActiveProtection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence,McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfeeTotal Protection, TrustedSource e VirusScan são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outrospaíses. Outros nomes e marcas podem ser propriedade de terceiros.

INFORMAÇÕES SOBRE LICENÇA

Contrato de licençaAVISO A TODOS OS USUÁRIOS: LEIA ATENTAMENTE O CONTRATO LEGAL CORRESPONDENTE À LICENÇA ADQUIRIDA POR VOCÊ. NELE ESTÃODEFINIDOS OS TERMOS E AS CONDIÇÕES GERAIS PARA A UTILIZAÇÃO DO SOFTWARE LICENCIADO. CASO NÃO SAIBA O TIPO DE LICENÇA QUE VOCÊADQUIRIU, CONSULTE A DOCUMENTAÇÃO RELACIONADA À COMPRA E VENDA OU À CONCESSÃO DE LICENÇA, INCLUÍDA NO PACOTE DO SOFTWAREOU FORNECIDA SEPARADAMENTE (POR EXEMPLO, UM LIVRETO, UM ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONÍVEL NO SITE DO QUAL OPACOTE DE SOFTWARE FOI OBTIDO POR DOWNLOAD). SE VOCÊ NÃO CONCORDAR COM TODOS OS TERMOS ESTABELECIDOS NO CONTRATO, NÃOINSTALE O SOFTWARE. SE FOR APLICÁVEL, VOCÊ PODERÁ DEVOLVER O PRODUTO À McAFEE OU AO LOCAL DE AQUISIÇÃO PARA OBTER REEMBOLSOTOTAL.

2 McAfee Endpoint Security 10.5 Guia do produto

Conteúdo

McAfee Endpoint Security 7

1 Introdução 9Módulos do Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Como o Endpoint Security protege seu computador . . . . . . . . . . . . . . . . . . . . 10

Como sua proteção permanece atualizada . . . . . . . . . . . . . . . . . . . . . 11Interação com o Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Como acessar as tarefas do Endpoint Security no ícone da McAfee na bandeja do sistema.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Sobre mensagens de notificação . . . . . . . . . . . . . . . . . . . . . . . . 14Sobre o Cliente do Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . 15

2 Uso do Cliente do Endpoint Security 19Abrir o Cliente do Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . 19Obter ajuda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Responder a prompts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Responder a um prompt de detecção de ameaça . . . . . . . . . . . . . . . . . . 20Responder a um prompt de varredura . . . . . . . . . . . . . . . . . . . . . . 21

Obter informações sobre sua proteção . . . . . . . . . . . . . . . . . . . . . . . . . 21Tipos de gerenciamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Atualizar conteúdo e software manualmente . . . . . . . . . . . . . . . . . . . . . . . 22O que é atualizado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Exibir o Log de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Nomes e locais de arquivos de log do Endpoint Security . . . . . . . . . . . . . . . 24

Gerenciamento do Endpoint Security . . . . . . . . . . . . . . . . . . . . . . . . . . 26Entrar como administrador . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Desbloquear a interface de cliente . . . . . . . . . . . . . . . . . . . . . . . . 27Desativar e ativar recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Alterar a versão do conteúdo do AMCore . . . . . . . . . . . . . . . . . . . . . 27Usar arquivos Extra.DAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Configurar definições comuns . . . . . . . . . . . . . . . . . . . . . . . . . . 29Configurar comportamento da atualização . . . . . . . . . . . . . . . . . . . . . 34

Referência da interface do cliente do Cliente do Endpoint Security — Em Comum . . . . . . . . 40página Log de eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Em Comum — Opções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Em Comum — Tarefas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

3 Utilizando o Prevenção contra ameaças 55Varrer seu computador em busca de malware . . . . . . . . . . . . . . . . . . . . . . 55

Tipos de varreduras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Executar uma Varredura completa ou uma Varredura rápida . . . . . . . . . . . . . 56Varrer um arquivo ou pasta . . . . . . . . . . . . . . . . . . . . . . . . . . 58

Gerenciar detecções de ameaças . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Gerenciar itens em quarentena . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

Nome da detecção . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

McAfee Endpoint Security 10.5 Guia do produto 3

Repetição de varredura de itens em quarentena . . . . . . . . . . . . . . . . . . 63Gerenciamento do Prevenção contra ameaças . . . . . . . . . . . . . . . . . . . . . . 63

Configuração de exclusões . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Proteção de pontos de acesso do sistema . . . . . . . . . . . . . . . . . . . . . 66Bloqueio de explorações de estouro de buffer . . . . . . . . . . . . . . . . . . . 74Detectar programas potencialmente indesejados . . . . . . . . . . . . . . . . . . 79Configure definições de varreduras comuns . . . . . . . . . . . . . . . . . . . . 81Como o McAfee GTI funciona . . . . . . . . . . . . . . . . . . . . . . . . . . 82Configurar as definições de de Varredura ao acessar . . . . . . . . . . . . . . . . 83Configurar definições da política de . . . . . . . . . . . . . . . . . . . . . . . 90Configurar, agendar e executar tarefas de varredura . . . . . . . . . . . . . . . . 95

Referência da interface do Cliente do Endpoint Security — Prevenção contra ameaças . . . . . . 96Página Quarentena . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Prevenção contra ameaças — Proteção de acesso . . . . . . . . . . . . . . . . . 97Prevenção contra ameaças — Prevenção de exploração . . . . . . . . . . . . . . 110Prevenção contra ameaças — Varredura ao acessar . . . . . . . . . . . . . . . . 116Prevenção contra ameaças — Varredura por solicitação . . . . . . . . . . . . . . 120Varrer locais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124McAfee GTI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126Ações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127Adicionar exclusão ou Editar exclusão . . . . . . . . . . . . . . . . . . . . . . 128Prevenção contra ameaças — Opções . . . . . . . . . . . . . . . . . . . . . . 129tarefa do cliente Reverter conteúdo do AMCore . . . . . . . . . . . . . . . . . . 131

4 Usar o Firewall 133Como funciona o Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133Ativar e desativar o Firewall usando o ícone da bandeja do sistema da McAfee . . . . . . . . . 133Ativar ou exibir grupos temporizados do Firewall usando o ícone da bandeja do sistema da McAfee. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

Sobre grupos temporizados . . . . . . . . . . . . . . . . . . . . . . . . . . 134Gerenciamento do Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

Modificar opções de Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . 135Configurar regras e grupos do Firewall . . . . . . . . . . . . . . . . . . . . . . 139

Referência da interface do Cliente do Endpoint Security — Firewall . . . . . . . . . . . . . 148Firewall — Opções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149Firewall — Regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152

5 Usar o Controle da Web 163Sobre os recursos do Controle da Web . . . . . . . . . . . . . . . . . . . . . . . . . 163

Como o Controle da Web bloqueia ou avisa sobre um site ou um download . . . . . . . 165O botão do Controle da Web identifica ameaças durante a navegação . . . . . . . . . 165Os ícones de segurança identificam ameaças durante a pesquisa . . . . . . . . . . . 166Os relatórios do site apresentam detalhes . . . . . . . . . . . . . . . . . . . . 166Como as classificações de segurança são compiladas . . . . . . . . . . . . . . . . 167

Acessar recursos do Controle da Web . . . . . . . . . . . . . . . . . . . . . . . . . 168Ativar o plug-in de Controle da Web usando o navegador . . . . . . . . . . . . . . 168Ver informações sobre um site enquanto navega . . . . . . . . . . . . . . . . . 169Exibir relatório de site durante a pesquisa . . . . . . . . . . . . . . . . . . . . 170

Gerenciamento do Controle da Web . . . . . . . . . . . . . . . . . . . . . . . . . . 170Configurar opções de Controle da Web . . . . . . . . . . . . . . . . . . . . . 170Especificar ações de classificação e bloquear acesso a sites com base na categoria da Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173

Referência da interface do Cliente do Endpoint Security — Controle da Web . . . . . . . . . 174Controle da Web — Opções . . . . . . . . . . . . . . . . . . . . . . . . . . 174Controle da Web — Ações de conteúdo . . . . . . . . . . . . . . . . . . . . . 177

Conteúdo


6 Uso da Proteção adaptável contra ameaças 181Sobre a Proteção adaptável contra ameaças . . . . . . . . . . . . . . . . . . . . . . 181

Benefícios da Proteção adaptável contra ameaças . . . . . . . . . . . . . . . . . 181Componentes da Proteção adaptável contra ameaças . . . . . . . . . . . . . . . . 182Como a Proteção adaptável contra ameaças funciona . . . . . . . . . . . . . . . . 184Como a reputação é determinada . . . . . . . . . . . . . . . . . . . . . . . . 185

Responder a uma solicitação de reputação de arquivo . . . . . . . . . . . . . . . . . . 187Gerenciamento da Proteção adaptável contra ameaças . . . . . . . . . . . . . . . . . . 188

Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188Confinamento dinâmico de aplicativos . . . . . . . . . . . . . . . . . . . . . . 191Configurar opções da Proteção adaptável contra ameaças . . . . . . . . . . . . . . 197

Referência da interface do Cliente do Endpoint Security — Proteção adaptável contra ameaças . . 199Proteção adaptável contra ameaças — Confinamento dinâmico de aplicativos . . . . . . 199Proteção adaptável contra ameaças — Opções . . . . . . . . . . . . . . . . . . 201

Índice 207

Conteúdo


Conteúdo


McAfee Endpoint Security

O McAfee®

Endpoint Security é uma solução de gerenciamento de segurança abrangente que éexecutada em computadores em rede para identificar e interromper ameaças automaticamente. Estaajuda explica como usar os recursos básicos de segurança e solucionar problemas.

Para usar a Ajuda do Endpoint Security com o Internet Explorer, Configurações de segurança | Script | Scriptativo devem estar ativados no navegador.

Introdução

• Módulos do Endpoint Security na página 9

• Como o Endpoint Security protege seu computador na página 10

• Interação com o Endpoint Security na página 12

Tarefas realizadas com frequência

• Abrir o Cliente do Endpoint Security na página 19

• Atualizar conteúdo e software manualmente na página 22

• Varrer seu computador em busca de malware na página 55

• Desbloquear a interface de cliente na página 27

Mais informações

Para acessar informações adicionais sobre este produto, consulte:

• Guia de instalação do McAfee Endpoint Security

• McAfee Endpoint Security Guia de migração

• Notas de versão do McAfee Endpoint Security

• Ajuda da Prevenção contra ameaças do Endpoint Security

• Ajuda do Firewall do Endpoint Security

• Ajuda do Controle da Web do Endpoint Security

• Ajuda do Proteção adaptável contra ameaças do Endpoint Security

• Suporte da McAfee


http://mysupport.mcafee.com

McAfee Endpoint Security


1 Introdução

O Endpoint Security é uma solução de gerenciamento de segurança abrangente que é executada emcomputadores em rede para identificar e interromper ameaças automaticamente. Esta ajuda explicacomo usar os recursos básicos de segurança e solucionar problemas.

Se o computador for gerenciado, o administrador define e configura o Endpoint Security usando umdos seguintes servidores de gerenciamento:

• McAfee® ePolicy Orchestrator® (McAfee® ePO™)

• McAfee® ePolicy Orchestrator® Cloud (McAfee ePO™ Cloud)

Para ver as informações mais recentes sobre licença de gerenciamento e direitos do EndpointSecurity, consulte KB87057.

A Proteção adaptável contra ameaças não possui suporte em sistemas gerenciados pelo McAfee ePOCloud.

Se o computador for autogerenciado, também chamado de não gerenciado, você ou administradorconfiguram o software usando o Cliente do Endpoint Security.

Conteúdo Módulos do Endpoint Security Como o Endpoint Security protege seu computador Interação com o Endpoint Security

Módulos do Endpoint SecurityO administrador configura e instala um ou mais módulos do Endpoint Security em computadorescliente.

• Prevenção contra ameaças - Verifica vírus, spywares, programas indesejados e outras ameaçasvarrendo itens automaticamente quando os usuários os acessam ou, sob demanda, a qualquermomento.

• Firewall - Monitora a comunicação entre o computador e os recursos da rede e da Internet.Intercepta comunicações suspeitas.

1


https://kc.mcafee.com/corporate/index?page=content&id=KB87057

• Controle da Web - Exibe classificações e relatórios de segurança para sites durante a navegaçãoou pesquisa on-line. O Controle da Web permite que o administrador do site bloqueie o acesso asites com base na classificação de segurança ou no conteúdo.

• Proteção adaptável contra ameaças — Analisa o conteúdo da empresa e decide o que deve serfeito com base na reputação do arquivo, em regras e limites de reputação.

A Proteção adaptável contra ameaças é um módulo opcional do Endpoint Security. Para obterfontes e funcionalidades adicionais de inteligência contra ameaças, distribua o servidor ThreatIntelligence Exchange. Para obter informações, entre em contato com o revendedor ou orepresentante de vendas.


Além disso, o módulo Em Comum fornece configurações para recursos comuns, como registro em loge segurança da interface. Esse módulo é instalado automaticamente se qualquer outro módulo forinstalado.

Como o Endpoint Security protege seu computadorNormalmente, um administrador configura o Endpoint Security, instala o software nos computadoresclientes, monitora o status da segurança e configura regras de segurança, denominadas políticas.

Como usuário do computador cliente, você interage com o Endpoint Security através do softwarecliente instalado no computador. As políticas configuradas pelo administrador determinam como osmódulos e recursos operam no computador e se você pode modificá-los.

Se o Endpoint Security for autogerenciado, é possível especificar o modo de operação dos módulos edos recursos. Para determinar o tipo de gerenciamento, consulte a página Sobre.

Em intervalos regulares, o software cliente no computador se conecta a um site da Internet paraatualizar seus componentes. Ao mesmo tempo, ele envia dados sobre detecções no computador parao servidor de gerenciamento. Esses dados são usados para gerar relatórios para o administrador sobredetecções e questões de segurança no computador.

Geralmente, o software cliente opera em segundo plano, sem nenhuma interação com o usuário.Ocasionalmente, no entanto, pode ser necessário interagir com ele. Por exemplo, talvez você queiraverificar atualizações de software ou fazer varreduras de malware manualmente. Dependendo daspolíticas configuradas pelo administrador, talvez você também possa personalizar as configurações desegurança.

Se você for um administrador, poderá configurar e gerenciar o software cliente de forma centralizadausando o McAfee ePO ou o McAfee ePO Cloud.

Para ver as informações mais recentes sobre licença de gerenciamento e direitos do Endpoint Security,consulte KB87057.

Consulte também Obter informações sobre sua proteção na página 21

1 IntroduçãoComo o Endpoint Security protege seu computador



Como sua proteção permanece atualizadaAtualizações regulares do Endpoint Security asseguram que seu computador esteja sempre protegidocontra as ameaças mais recentes.

Para executar atualizações, o software cliente se conecta a um servidor McAfee ePO local ou remotoou diretamente a um site da Internet. O Endpoint Security verifica se há:

• Atualizações dos arquivos de conteúdos usados para detectar ameaças. Os arquivos de conteúdocontêm definições de ameaças como vírus e spyware, e essas definições são atualizadas à medidaque novas ameaças são descobertas.

• Atualizações de componentes de software como patches e hotfixes.

Para simplificar a terminologia, esta Ajuda se refere a atualizações e melhoramentos comoatualizações.

As atualizações em geral ocorrem automaticamente em segundo plano. Talvez também sejanecessário verificar a existência de atualizações manualmente. Dependendo das configurações, épossível atualizar manualmente sua proteção a qualquer momento no Cliente do Endpoint Security

clicando em .

Consulte também Atualizar conteúdo e software manualmente na página 22

Como os arquivos de conteúdo funcionamAo pesquisar os arquivos em busca de ameaças, o mecanismo de varredura compara o conteúdo dosarquivos varridos com as informações de ameaças conhecidas, armazenadas nos arquivos de conteúdodo AMCore. A Prevenção de exploração usa seus próprios arquivos de conteúdo para proteger contraexplorações.

O McAfee Labs encontra e adiciona informações de ameaças conhecidas (assinaturas) aos arquivos deconteúdo. Com as assinaturas, os arquivos de conteúdo incluem informações sobre limpeza e correçãode danos que o malware detectado pode causar. Novas ameaças aparecem, e o McAfee Labs liberaarquivos de conteúdo atualizados, regularmente.

Se a assinatura de uma ameaça não estiver nos arquivos de conteúdo instalados, o mecanismo devarredura não poderá detectar a ameaça, deixando o sistema vulnerável a ataques.

O Endpoint Security armazena o arquivo de conteúdo carregado atualmente e as duas versõesanteriores na pasta Arquivos de Programas\Common Files\McAfee\Engine\content. Se necessário, épossível voltar a uma versão anterior.

Quando um novo malware é descoberto e uma detecção extra é necessária fora do agendamento deatualizações de conteúdo regulares, o McAfee Labs libera um arquivo Extra.DAT.

Pacote de conteúdo do AMCore

O McAfee Labs libera pacotes de conteúdo do AMCore diariamente até as 19h. (GMT/UTC). Sejustificado por uma nova ameaça, os arquivos de conteúdo do AMCore diários poderão ser liberadosmais cedo e, às vezes, as liberações poderão ser atrasadas.

Para receber alertas relacionados a atrasos ou notificações importantes, inscreva-se no SNS (SupportNotification Service - Serviço de notificação de suporte). Consulte KB67828.

IntroduçãoComo o Endpoint Security protege seu computador 1



O pacote de conteúdo do AMCore inclui estes componentes:

• AMCore — Mecanismo e conteúdo

Contém atualizações do mecanismo de varredura e das assinaturas da Prevenção contra ameaçasbaseadas nos resultados da pesquisa de ameaças contínua.

• Proteção adaptável contra ameaças — Mecanismo de varredura e regras

Contém regras para computar dinamicamente a reputação de arquivos e os processos nosterminais.

A McAfee libera novos arquivos de conteúdo da Proteção adaptável contra ameaças a cada doismeses.

A Proteção adaptável contra ameaças é um módulo opcional do Endpoint Security. Para obterfontes e funcionalidades adicionais de inteligência contra ameaças, distribua o servidor ThreatIntelligence Exchange. Para obter informações, entre em contato com o revendedor ou orepresentante de vendas.

• Real Protect — Mecanismo e conteúdo

Contém atualizações do mecanismo de varredura e das assinaturas do Real Protect baseadas nosresultados da pesquisa de ameaças contínua.

O Real Protect é um componente do módulo Proteção adaptável contra ameaças opcional.

Pacote de conteúdo da Prevenção de exploração

O pacote de conteúdo da Prevenção de exploração inclui:

• Assinaturas de proteção de memória — GBOP (Generic Buffer Overflow Protection - Proteção contraestouro de buffer genérica), validação de chamador, GPEP (Generic Privilege Escalation Prevention -Prevenção contra escalonamento de privilégios genéricos) e Monitoramento de API de destino.

• Lista de proteção do aplicativo — Processos protegidos pela Prevenção de exploração.

O conteúdo da Prevenção de exploração é similar ao dos arquivos de conteúdo do McAfee Host IPS.Consulte KB51504.

A McAfee libera novos arquivos de conteúdo da Prevenção de exploração uma vez por mês.

Interação com o Endpoint SecurityO Endpoint Security possui componentes visuais para interagir com o Cliente do Endpoint Security.

• Ícone da McAfee na bandeja do sistema Windows – Permite iniciar o Cliente do Endpoint Security evisualizar o status da segurança.

• Mensagens de notificação – Alertam sobre varreduras e sobre detecções de intrusão do firewall,além de arquivos com reputações desconhecidas, e solicitam sua posição.

• Página de Varredura ao acessar – Exibe uma lista de detecção de ameaças quando o mecanismo devarredura ao acessar detecta uma ameaça.

• Cliente do Endpoint Security - Exibe o status de proteção atual e oferece acesso a recursos.

Em sistemas gerenciados, o administrador configura e atribui políticas que permitem definir oscomponentes exibidos.

1 IntroduçãoInteração com o Endpoint Security



Consulte também Como acessar as tarefas do Endpoint Security no ícone da McAfee na bandeja do sistema. napágina 13Sobre mensagens de notificação na página 14Gerenciar detecções de ameaças na página 59Sobre o Cliente do Endpoint Security na página 15

Como acessar as tarefas do Endpoint Security no ícone daMcAfee na bandeja do sistema.O ícone da McAfee na bandeja do sistema Windows fornece acesso ao Cliente do Endpoint Security e aalgumas tarefas básicas.

As definições de configuração determinam se o ícone da McAfee está disponível.

Clique com o botão direito do mouse no ícone da McAfee na bandeja do sistema para:

Verificar o status dasegurança.

Selecione Exibir status de segurança para exibir a página de Status de segurança daMcAfee.

Abra o Cliente doEndpoint Security.

Selecione McAfee Endpoint Security.

Atualizar proteção esoftware manualmente.

Selecione Atualizar segurança.

Desativar ou reativar oFirewall.

Selecione Desativar o Firewall do Endpoint Security no menu Configurações rápidas.Quando o Firewall está desativado, a opção é Ativar o Firewall do Endpoint Security.

Ativar, desativar ouexibir grupostemporizados doFirewall.

Selecione uma das opções do menu Configurações rápidas:• Ativar grupos temporizados do Firewall — Ativa os grupos temporizados por

determinado período a fim de permitir o acesso à Internet antes que asregras de restrição de acesso sejam aplicadas. Quando os grupostemporizados estão ativados, a opção é Desativar grupos temporizados doFirewall.Sempre que selecionar essa opção, você redefinirá o tempo dos grupos.

Dependendo das configurações, você pode ser solicitado a fornecer aoadministrador um motivo para ativar os grupos temporizados.

• Exibir grupos temporizados do Firewall — Exibe os nomes dos grupostemporizados e a quantidade de tempo restante para ativação de cadagrupo.

Dependendo de como as configurações foram definidas, essas opçõespodem não estar disponíveis.

Como o ícone indica o status da segurança do Endpoint Security

A aparência do ícone é alterada para indicar o status do Endpoint Security. Ao manter o cursor sobre oícone, é exibida uma mensagem descrevendo o status.

IntroduçãoInteração com o Endpoint Security 1


Ícone Indica...

O Endpoint Security está protegendo o sistema e não existem problemas.

O Endpoint Security detectou um problema de segurança, como a desativação de um móduloou de uma tecnologia.• O Firewall está desativado.

• Prevenção contra ameaças — A Prevenção de exploração, a Varredura ao acessar ou oScriptScan estão desativados.

O Endpoint Security relata problemas de formas diferentes, dependendo do tipo degerenciamento.• Autogerenciado:

• Uma ou mais tecnologias estão desativadas.

• Uma ou mais tecnologias não estão respondendo.

• Gerenciado:

• Uma ou mais tecnologias foram desativadas, não como resultado de uma imposição depolítica do servidor de gerenciamento ou do Cliente do Endpoint Security.

• Uma ou mais tecnologias não estão respondendo.

Quando um problema é detectado, a página Status de segurança da McAfee indica qual módulo outecnologia está desativado.

Consulte também O que é atualizado na página 23

Sobre mensagens de notificaçãoO Endpoint Security usa dois tipos de mensagens para notificar sobre problemas com sua proteção ousolicitar alguma entrada. Algumas mensagens podem não aparecer, dependendo da forma como asdefinições estão configuradas.

O processo McTray.exe deve estar em execução para que o Endpoint Security exiba as mensagens denotificação.

O Endpoint Security envia dois tipos de notificações:

• Os Alertas são exibidos no ícone da McAfee por cinco segundos e depois desaparecem.

Os alertas notificam sobre detecções de ameaças, como eventos de intrusão de Firewall, ou quandouma varredura por solicitação é pausada ou retomada. Eles não requerem nenhuma ação sua.

• Os Avisos abrem uma página na parte inferior da tela e permanecem visíveis até você selecionaruma opção.

Por exemplo:

• Quando uma varredura por solicitação agendada está prestes a começar, o Endpoint Securitypoderá solicitar o adiamento da varredura.

• Quando o mecanismo de varredura ao acessar detecta uma ameaça, o Endpoint Security podesolicitar uma resposta à detecção.

• Quando o Proteção adaptável contra ameaças detecta um arquivo com reputação desconhecida,o Endpoint Security pode solicitar que você permita ou bloqueie o arquivo.

No Windows 8 e 10, use as notificações do sistema – mensagens exibidas em pop-up que notificamsobre alertas e avisos. Clique na notificação do sistema para exibir a notificação no modo área detrabalho.



Consulte também Responder a um prompt de detecção de ameaça na página 20Responder a um prompt de varredura na página 21Responder a uma solicitação de reputação de arquivo na página 187

Sobre o Cliente do Endpoint SecurityO Cliente do Endpoint Security permite que você verifique o status da proteção e acesse recursos nocomputador.

• As opções do menu Ação fornecem acesso aos recursos.

Configurações Configura definições de recursos.Essa opção de menu será disponibilizada se uma das seguintes condições forverdadeira:

• O Modo da interface do cliente estiver configurado como Acesso total.

• Você estiver conectado como administrador.

Carregar Extra.DAT Permite a instalação de um arquivo Extra.DAT baixado.

Reverter conteúdo doAMCore

Reverte o conteúdo do AMCore para uma versão anterior.Essa opção de menu será disponibilizada se houver uma versão anterior deconteúdo do AMCore no sistema e se uma das seguintes condições forverdadeira:

• O Modo da interface do cliente estiver configurado como Acesso total.

• Você estiver conectado como administrador.

Ajuda Exibe a Ajuda.

Links do suporte Exibe uma página com links para páginas úteis, como o McAfee ServicePortale o Centro de conhecimento.

Logon doadministrador

Faz logon como o administrador de site. (Requer credenciais deadministrador.)Essa opção de menu estará disponível se o modo de interface de cliente nãoestiver configurado como Acesso total. Quando já se fez o logon comoadministrador, essa opção é Logoff do administrador.

Sobre Exibe informações sobre o Endpoint Security.

Sair Sai do Cliente do Endpoint Security.

• Os botões na parte superior direita da página proporcionam acesso rápido a tarefas frequentes.

Verifica a existência de malware com uma Varredura completa ou Varredurarápida do sistema.

Esse botão só estará disponível se o módulo Prevenção contra ameaçasestiver instalado.

Atualiza arquivos de conteúdo e componentes de software no seucomputador.

O botão pode não aparecer, dependendo da forma como as definições estãoconfiguradas.



• Os botões no lado esquerdo da página oferecem informações sobre a proteção.

Status Retorna à página Status principal.

Log de eventos Exibe o log de toda a proteção e eventos de ameaça no computador.

Quarentena Abre o Gerenciador de quarentena.

Esse botão só estará disponível se o módulo Prevenção contra ameaças estiverinstalado.

• O Resumo de ameaças oferece informações sobre as ameaças detectadas pelo Endpoint Securityno sistema nos últimos 30 dias.

Consulte também Carregar um arquivo Extra.DAT em um na página 29Entrar como administrador na página 26Varrer seu computador em busca de malware na página 55Atualizar conteúdo e software manualmente na página 22Exibir o Log de eventos na página 23Gerenciar itens em quarentena na página 60Gerenciamento do Endpoint Security na página 26Sobre o Resumo de ameaças na página 16

Sobre o Resumo de ameaçasA página de Status do Cliente do Endpoint Security apresenta um resumo em tempo real das ameaçasdetectadas no seu sistema nos últimos 30 dias.

À medida que novs ameaças são detectadas, a página de Status atualiza dinamicamente os dados naárea do Resumo de ameaças no painel inferior.

O Resumo de ameaças inclui:

• Data da última ameaça eliminada

• Os dois principais vetores de ameaça, por categoria:

Web Ameaças de páginas da web ou downloads.

Dispositivo ou mídia externa Ameaças de dispositivos externos, como USB, 1394 firewire, eSATA, fita,CD, DVD ou disco.

Rede Ameaças de rede (sem relação com o compartilhamento de arquivos emrede).

Sistema local Ameaças da unidade do sistema de arquivos de inicialização local (emgeral, C:) ou de outras unidades que não as classificadas comoDispositivo ou mídia externa.

Compartilhamento de arquivos Ameaças de compartilhamento de arquivos de uma rede

E-mail Ameaças de mensagens de e-mail.

Mensagem instantânea Ameaças de mensagens instantâneas.

Desconhecida Ameaças onde o vetor de ataque não está determinado (devido a umacondição de erro ou outro caso de falha).

• Número de ameaças por vetor de ameaça

Se o Cliente do Endpoint Security não conseguir acessar o Gerenciador de eventos, será mostrada umamensagem de erro de comunicação no Cliente do Endpoint Security. Nesse caso, reinicialize o sistemapara ver o Resumo de ameaças.



Como as configurações afetam seu acesso ao clienteAs definições do Modo da interface do cliente atribuídas a seu computador determinam os módulos eos recursos que podem ser acessados.

Altere o Modo da interface do cliente nas configurações do Em Comum.

Em sistemas gerenciados, as alterações de política do McAfee ePO podem sobrescrever as alterações dapágina Configurações.

As opções de Modo de interface do cliente para o cliente são:

Acesso total Permite acesso a todos os recursos, incluindo:• Ativar e desativar módulos individuais e recursos.

• Acesso à página Configurações para exibir ou modificar todas as definições do Clientedo Endpoint Security.

(Padrão)

Acessopadrão

Exibe o status de proteção e permite acesso à maioria dos recursos:• Atualiza arquivos de conteúdo e componentes de software no seu computador (quando

ativado pelo administrador).

• Executa uma verificação completa em todas as áreas de seu sistema, recomendável sehouver suspeita de que o computador está infetado.

• Executa uma verificação rápida (2 minutos) das áreas do sistema mais suscetíveis ainfecção.

• Acessa o Log de eventos.

• Gerencia os itens na Quarentena.

No modo de interface de Acesso padrão, é possível entrar como administrador para acessartodos os recursos, inclusive todas as configurações.

Bloquearinterface docliente

Requer uma senha para acessar o cliente.Depois de desbloquear a interface de cliente, é possível acessar todos os recursos.

Se você não puder acessar o Cliente do Endpoint Security ou tarefas e recursos específicos necessáriospara fazer seu trabalho, fale com o administrador.

Consulte também Controlar o acesso à interface do cliente na página 32

Como os módulos instalados afetam o cliente Alguns aspectos do cliente podem não estar disponíveis, dependendo dos módulos instalados em seucomputador.

Estes recursos estão disponíveis somente se a Prevenção contra ameaças estiver instalada:

•Botão

• Botão Quarentena



Os recursos instalados no sistema determinam os recursos que aparecerão:

• No Log de eventos, a lista suspensa Filtrar por módulo.

• Na página Configurações.

Em Comum Aparece se algum módulo estiver instalado.

Threat Prevention : Prevençãocontra ameaças

Aparece somente se a Prevenção contra ameaças estiver instalada.

Firewall : Firewall Aparece somente se o Firewall estiver instalado.

Web Control : Controle da Web Aparece somente se o Controle da Web estiver instalado.

Proteção adaptável contraameaças

Aparece somente se a Proteção adaptável contra ameaças e aPrevenção contra ameaças estiverem instaladas.

A Proteção adaptável contra ameaças não possui suporte emsistemas gerenciados pelo McAfee ePO Cloud.

Dependendo do Modo de interface do cliente e de como o administrador configurou o acesso, alguns outodos os recursos talvez não estejam disponíveis.

Consulte também Como as configurações afetam seu acesso ao cliente na página 17



2 Uso do Cliente do Endpoint Security

Use o cliente em modo de Acesso padrão para realizar a maioria das funções, incluindo varreduras dosistema e gerenciamento de itens em quarentena.

Conteúdo Abrir o Cliente do Endpoint Security Obter ajuda Responder a prompts Obter informações sobre sua proteção Atualizar conteúdo e software manualmente Exibir o Log de eventos Gerenciamento do Endpoint Security Referência da interface do cliente do Cliente do Endpoint Security — Em Comum

Abrir o Cliente do Endpoint SecurityAbra o Cliente do Endpoint Security para exibir o status dos recursos de proteção instalados nocomputador.

Se o modo de interface estiver configurado para Bloquear interface do cliente, digite a senha doadministrador para abrir o Cliente do Endpoint Security.

Tarefa1 Use um dos métodos a seguir para exibir o Cliente do Endpoint Security:

• Clique com o botão direito no ícone da bandeja do sistema e selecione McAfee Endpoint Security.

• Selecione Iniciar | Todos os programas | McAfee | McAfee Endpoint Security.

• No Windows 8 e 10, inicie o aplicativo McAfee Endpoint Security.1 Pressione a tecla Windows.

2 Digite McAfee Endpoint Security na área de pesquisa e clique duas vezes ou toque noaplicativo McAfee Endpoint Security.

2 Quando solicitado, digite a senha do administrador na página de Logon do administrador e clique emLogon.

O Cliente do Endpoint Security é aberto no modo de interface configurado pelo administrador.

Consulte também Desbloquear a interface de cliente na página 27

2


Obter ajudaExistem dois métodos para obter ajuda ao trabalhar no cliente: a opção de menu Ajuda e o ícone ?.

Para usar a Ajuda do Endpoint Security com o Internet Explorer, Configurações de segurança | Script | Scriptativo devem estar ativados no navegador.

Tarefa

1 Abra o Cliente do Endpoint Security.

2 Dependendo da página em que você estiver:

• Páginas Status, Log de eventos e Quarentena: no menu Ação , selecione Ajuda.

• Páginas Configurações, Atualizar, Varrer sistema, Reverter conteúdo do AMCore e Carregar Extra.DAT: clique em ?na interface.

Responder a promptsDependendo de como as configurações estejam definidas, o Endpoint Security poderá solicitar umaação quando detectar uma ameaça ou quando uma varredura por solicitação agendada estiver prestesa começar.

Tarefas

• Responder a um prompt de detecção de ameaça na página 20Quando o mecanismo de varredura detecta uma ameaça, o Endpoint Security pode solicitaruma resposta do usuário para continuar, dependendo de como as definições foramconfiguradas.

• Responder a um prompt de varredura na página 21Quando uma varredura por solicitação agendada está prestes a começar, o EndpointSecurity poderá solicitar uma ação do usuário para continuar. O prompt somente aparecese a configuração da varredura permitir que seja adiada, pausada, retomada ou cancelada.

Responder a um prompt de detecção de ameaçaQuando o mecanismo de varredura detecta uma ameaça, o Endpoint Security pode solicitar umaresposta do usuário para continuar, dependendo de como as definições foram configuradas.


TarefaPara obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.

• Na página Varredura ao acessar, selecione as opções que permitem gerenciar detecções de ameaças.

É possível reabrir a página de varreduras para gerenciar as detecções a qualquer momento.

A lista de detecções da varredura ao acessar é limpa quando o serviço do Endpoint Security éreiniciado ou sistema é reinicializado.

Consulte também Gerenciar detecções de ameaças na página 59

2 Uso do Cliente do Endpoint SecurityObter ajuda


Responder a um prompt de varreduraQuando uma varredura por solicitação agendada está prestes a começar, o Endpoint Security poderásolicitar uma ação do usuário para continuar. O prompt somente aparece se a configuração davarredura permitir que seja adiada, pausada, retomada ou cancelada.

Se não for selecionada uma opção, a varredura começa automaticamente.

Em sistemas gerenciados, se a varredura estiver configurada para ser executada apenas quando ocomputador estiver ocioso, o Endpoint Security exibirá uma caixa de diálogo quando a varredura forpausada. Conforme a configuração, também será possível retomar ou redefinir as varreduraspausadas para que sejam executadas apenas em períodos de ociosidade.



• No prompt, selecione uma das opções a seguir.

As opções que aparecem dependem de como a varredura está configurada.

Varrer agora Inicia a varredura imediatamente.

Exibir varredura Exibe as detecções de uma varredura em andamento.

Pausar varredura Pausa a varredura. Dependendo da configuração, ao clicar em Pausar varredura, avarredura poderá ser redefinida para ser executada apenas em períodos deociosidade. Clique em Retomar varredura para retomar a varredura no ponto em quefoi interrompida.

Retomar varredura Retoma uma varredura pausada.

Cancelar varredura Cancela a varredura.

Adiar varredura Adia a varredura por um tempo determinado.

As opções de varredura agendada determinam quantas vezes é possível adiar avarredura em uma hora. Pode ser possível adiar a varredura mais do que uma vez.

Fechar Fecha a página de varredura.

Se o mecanismo de varredura detecta uma ameaça, o Endpoint Security pode solicitar umaresposta do usuário para continuar, dependendo de como as definições foram configuradas.

Obter informações sobre sua proteçãoVocê pode obter informações sobre a proteção do Endpoint Security, incluindo tipo de gerenciamento,módulos de proteção, recursos, status, números de versão e licenciamento.

Tarefa1 Abra o Cliente do Endpoint Security.

2 No menu Ação , selecione Sobre.

Uso do Cliente do Endpoint SecurityObter informações sobre sua proteção 2


3 Clique no nome de um módulo ou recurso à esquerda para saltar para as informações sobre talitem.

4 Clique no botão Fechar do navegador para fechar a página Sobre.

Consulte também Tipos de gerenciamento na página 22Abrir o Cliente do Endpoint Security na página 19

Tipos de gerenciamentoO tipo de gerenciamento indica como o Endpoint Security é gerenciado.


Tipo de gerenciamento Descrição

McAfee ePolicy Orchestrator Um administrador gerencia o Endpoint Security usando o McAfee ePO(localmente).

McAfee ePolicy OrchestratorCloud

Um administrador gerencia o Endpoint Security usando o McAfee ePOCloud.Para ver as informações mais recentes sobre licença de gerenciamentoe direitos do Endpoint Security, consulte KB87057.

Autogerenciado O Endpoint Security é gerenciado localmente usando o Cliente doEndpoint Security. Este modo também é conhecido como nãogerenciado ou independente.

Atualizar conteúdo e software manualmenteVocê pode verificar manualmente e fazer download de arquivos de conteúdo e componentes desoftware atualizados do Cliente do Endpoint Security.

As atualizações manuais são chamadas de atualizações por solicitação.

Você também pode executar atualizações manuais por meio do ícone da bandeja do sistema daMcAfee.

O Endpoint Security não oferece suporte à recuperação e cópia manual de arquivos de conteúdoatualizados para o sistema cliente. Se você precisar de auxílio para atualizar uma versão de conteúdoespecífico, entre em contato com o Suporte da McAfee


2 Clique em Atualizar agora.

Se esse botão não for exibido no cliente, é possível ativá-lo nas configurações.

O Cliente do Endpoint Security verifica se há atualizações.

A página Atualização exibe informações sobre a última atualização: Nunca, Hoje ou a data e a horada última atualização se não for no dia em questão.

2 Uso do Cliente do Endpoint SecurityAtualizar conteúdo e software manualmente



http://mysupport.mcafee.com

Para cancelar a atualização, clique em Cancelar.

• Se a atualização for concluída com êxito, a página exibirá Atualização concluída e a últimaatualização como Hoje.

• Se a atualização não for bem-sucedida, serão exibidos erros na área Mensagens.Veja o PackageManager_Activity.log ou o PackageManager_Debug.log para obter maisinformações.

3 Clique em Fechar para fechar a página Atualização.

Consulte também Como acessar as tarefas do Endpoint Security no ícone da McAfee na bandeja do sistema. napágina 13Como sua proteção permanece atualizada na página 11Nomes e locais de arquivos de log do Endpoint Security na página 24O que é atualizado na página 23Configurar o comportamento padrão de atualizações na página 36Abrir o Cliente do Endpoint Security na página 19

O que é atualizadoO Endpoint Security atualiza conteúdo de segurança e software (hotfixes e patches) de maneiradiferente, dependendo do método de atualização e das configurações.

A visibilidade e o comportamento do botão Atualizar agora são configuráveis.

Método de atualização Atualizações

Opção Atualizar segurança no menu do ícone da bandeja dosistema da McAfee

Conteúdo e software.

Botão Atualizar agora no Cliente do Endpoint Security Conteúdo ou software, ou ambos,dependendo das configurações.

Consulte também Atualizar conteúdo e software manualmente na página 22

Exibir o Log de eventos Os logs de atividade e depuração armazenam um log dos eventos que ocorrem no sistema protegidopela McAfee. Você pode exibir o Log de eventos a partir do Cliente do Endpoint Security.

Tarefa

Para obter ajuda, no menu Ação , selecione Ajuda.


2 Clique em Log de eventos no lado esquerdo da página.

A página mostra qualquer evento que o Endpoint Security tenha registrado em log no sistema nosúltimos 30 dias.

Se o Cliente do Endpoint Security não puder acessar o Gerenciador de eventos, ele exibirá umamensagem de erro de comunicação. Nesse caso, reinicialize o sistema para exibir o Log de eventos.

Uso do Cliente do Endpoint SecurityExibir o Log de eventos 2


3 Selecione um evento no painel superior para exibir os detalhes no painel inferior.

Para alterar os tamanhos relativos dos painéis, clique e arraste o widget em forma de faixa entreos painéis.

4 Na página Log de eventos, classifique, pesquise, filtre ou recarregue eventos.

As opções que aparecem dependem de como a varredura está configurada.

Para... Etapas

Classificar eventos por data,recursos, ação executada egravidade.

Clique no cabeçalho da coluna da tabela.

Pesquisar o log de eventos. Insira o texto de pesquisa no campo Pesquisar e pressione Enter,ou clique em Pesquisar.A pesquisa não diferencia maiúsculas de minúsculas e pesquisaem todos os campos do log de eventos o texto de pesquisa. Alista do evento mostra todos os elementos com um textocorrespondente.

Para cancelar a pesquisa e exibir todos os eventos, clique em x nocampo Pesquisar.

Filtrar eventos por gravidadeou módulo.

Na lista suspensa dos filtros, selecione uma opção.Para remover o filtro e mostrar todos os eventos, selecione Mostrartodos os eventos na lista suspensa.

Atualizar a exibição do Log deeventos com qualquer eventonovo.

Clique em .

Abra a pasta que contém osarquivos de log.

Clique em Exibir pasta de logs.

5 Navegue no Log de eventos.

Para... Etapas

Exibir a página de eventos anterior. Clique em Página anterior.

Exibir a próxima página de eventos. Clique em Próxima página.

Exibir uma página específica do log. Insira o número da página e pressione Enter ou clique em Ir.

Por padrão, o Log de eventos exibe 20 eventos por página. Para exibir mais eventos por página,selecione uma opção na lista suspensa Eventos por página.

Consulte também Nomes e locais de arquivos de log do Endpoint Security na página 24Abrir o Cliente do Endpoint Security na página 19

Nomes e locais de arquivos de log do Endpoint SecurityOs arquivos de log de atividades, erros e depuração registram eventos que ocorrem nos sistemas como Endpoint Security ativado. Configurar registro em log nas configurações de Em Comum

Os arquivos de log de atividades sempre aparecem no idioma especificado pela região do sistemapadrão.

Todos os arquivos do log de atividades e de depuração são armazenados aqui:

%ProgramData%\McAfee\Endpoint Security\Logs

2 Uso do Cliente do Endpoint SecurityExibir o Log de eventos


Cada módulo, recurso ou tecnologia coloca o log de atividades ou depuração em um arquivo separado.Todos os módulos colocam o log de erros em um arquivo, o EndpointSecurityPlatform_Errors.log.

A ativação do log de depuração para qualquer módulo também ativa o log de depuração para osrecursos do módulo Em Comum, como a Autoproteção.

Tabela 2-1 Arquivos de log

Módulo Recurso ou tecnologia Nome do arquivo

Em Comum EndpointSecurityPlatform_Activity.log

EndpointSecurityPlatform_Debug.log

Autoproteção SelfProtection_Activity.log

SelfProtection_Debug.log

Atualizações PackageManager_Activity.log

PackageManager_Debug.log

Erros EndpointSecurityPlatform_Errors.logContém logs de erros para todos os módulos.

Cliente do EndpointSecurity

MFEConsole_Debug.log

Prevenção contraameaças

A ativação do log dedepuração para qualquertecnologia de Prevençãocontra ameaças tambémativa o log de depuraçãopara o Cliente do EndpointSecurity.

ThreatPrevention_Activity.log

ThreatPrevention_Debug.log

Proteção de acesso AccessProtection_Activity.log

AccessProtection_Debug.log

Prevenção de exploração ExploitPrevention_Activity.log

ExploitPrevention_Debug.log

Varredura ao acessar OnAccessScan_Activity.log

OnAccessScan_Debug.log

Varredura por solicitação• Varredura rápida

• Varredura completa

• Varredura por clique nobotão direito

OnDemandScan_Activity.log

OnDemandScan_Debug.log

Firewall Firewall_Activity.log

Firewall_Debug.log

FirewallEventMonitor.logRegistra em log eventos de tráfego bloqueados epermitidos, se configurado.

Controle da Web WebControl_Activity.log

WebControl_Debug.log

Proteção adaptávelcontra ameaças

AdaptiveThreatProtection_Activity.log

AdaptiveThreatProtection_Debug.log

Uso do Cliente do Endpoint SecurityExibir o Log de eventos 2


Tabela 2-1 Arquivos de log (continuação)

Módulo Recurso ou tecnologia Nome do arquivo

Confinamento dinâmico deaplicativos

DynamicApplicationContainment_Activity.log

DynamicApplicationContainment_Debug.log

Por padrão, os arquivos de log de instalação são armazenados aqui:

%TEMP%\McAfeeLogs, que é a pasta TEMP do usuário do Windows.

Gerenciamento do Endpoint SecurityComo administrador, você pode gerenciar o Endpoint Security a partir do Cliente do Endpoint Security,incluindo a ativação e a desativação de recursos, o gerenciamento de arquivos de conteúdo, aespecificação do comportamento da interface do cliente e a configuração de definições comuns.


Consulte também Entrar como administrador na página 26Desbloquear a interface de cliente na página 27Desativar e ativar recursos na página 27Alterar a versão do conteúdo do AMCore na página 27Usar arquivos Extra.DAT na página 28Configurar definições comuns na página 29

Entrar como administradorEntre no Cliente do Endpoint Security como administrador para ativar ou desativar recursos e definirconfigurações.

Antes de iniciarO modo de interface para o Cliente do Endpoint Security deve estar configurado comoAcesso padrão.

Tarefa



2 No menu Ação , selecione Entrada do administrador.

3 No campo Senha, insira a senha do administrador e clique em Entrar.

Agora você pode acessar todos os recursos do Cliente do Endpoint Security.

Para se desconectar, selecione Ação | Logoff de Administrador. O cliente retorna ao modo de interface Acessopadrão.

2 Uso do Cliente do Endpoint SecurityGerenciamento do Endpoint Security


Desbloquear a interface de clienteSe a interface do Cliente do Endpoint Security estiver bloqueada, desbloqueie-a com a senha doadministrador para acessar todas as configurações.

Antes de iniciarO modo de interface para o Cliente do Endpoint Security deve estar configurado comoBloquear interface do cliente.

Tarefa


2 Na página Logon do Administrador, digite a senha do administrador no campo Senha e clique em Entrar.

O Cliente do Endpoint Security é aberto e torna-se possível acessar todos os recursos do cliente.

3 Para sair e fechar o cliente, no menu Ação , selecione Logoff do Administrador.

Desativar e ativar recursosComo administrador, você pode desativar e ativar recursos do Endpoint Security usando o Cliente doEndpoint Security.

Antes de iniciarO modo de interface para o Cliente do Endpoint Security está definido como Acesso total ouvocê está conectado como administrador.

A página Status mostra o status ativado do módulo, que talvez não reflita o status real dos recursos. Épossível consultar o status de cada recurso na página Configurações. Por exemplo, se a configuração AtivarScriptScan não for aplicada com êxito, o status poderá ser (Status: Desativado).



2 Clique no nome do módulo (como Prevenção contra ameaças ou Firewall) na página Status principal.

Ou, no menu Ação , selecione Configurações e clique no nome do módulo na página Configurações.

3 Selecione ou desmarque a opção Ativar módulo ou recurso.

A ativação de qualquer recurso da Prevenção contra ameaças ativa o módulo Prevenção contraameaças.

Consulte também Entrar como administrador na página 26

Alterar a versão do conteúdo do AMCore Use o Cliente do Endpoint Security para alterar a versão do conteúdo do AMCore no sistema cliente.


Uso do Cliente do Endpoint SecurityGerenciamento do Endpoint Security 2


O Endpoint Security armazena o arquivo de conteúdo carregado atualmente e as duas versõesanteriores na pasta Arquivos de Programas\Common Files\McAfee\Engine\content. Se necessário, épossível voltar a uma versão anterior.

Não é possível reverter as atualizações de conteúdo da Prevenção de exploração.



2 No menu Ação do , selecione Reverter conteúdo do AMCore.

3 Na lista suspensa, selecione a versão a ser carregada.

4 Clique em Aplicar.

As detecções no arquivo de conteúdo do AMCore entram em vigor imediatamente.

Consulte também Como os arquivos de conteúdo funcionam na página 11Entrar como administrador na página 26

Usar arquivos Extra.DATVocê pode instalar um arquivo Extra.DAT para proteger seu sistema contra um grande ataque demalware até que a próxima atualização de conteúdo do AMCore agendada seja disponibilizada.

Tarefas

• Download de arquivos Extra.DAT na página 29Para transferir arquivos ExtraDAT por download, clique no link de download fornecido peloMcAfee Labs.

• Carregar um arquivo Extra.DAT em um na página 29Para instalar o arquivo Extra.DAT transferido por download em um , use o Cliente doEndpoint Security.

Consulte também Sobre arquivos Extra.DAT na página 28

Sobre arquivos Extra.DATQuando um novo malware é descoberto e uma detecção extra é necessária, o McAfee Labsdisponibiliza um arquivo Extra.DAT. Os arquivos Extra.DAT contêm informações que o Prevençãocontra ameaças usa para lidar com o novo malware.

Você pode transferir por download os arquivos Extra.DAT para ameaças específicas a partir da página desolicitação de Extra.DAT do McAfee Labs.

O Prevenção contra ameaças é compatível com o uso de apenas um arquivo Extra.DAT.

Cada arquivo Extra.DAT incorpora uma data de expiração. Quando o arquivo Extra.DAT é carregado,essa data de expiração é comparada com a data de compilação do conteúdo do AMCore instalado nosistema. Se a data de compilação do conteúdo do AMCore definida for mais recente do que a data deexpiração do Extra.DAT, o Extra.DAT é considerado expirado e não é mais carregado e usado pelomecanismo. Durante a atualização seguinte, o Extra.DAT é removido do sistema.



https://www.webimmune.net/extra/getextra.aspx

https://www.webimmune.net/extra/getextra.aspx

Se a atualização seguinte do conteúdo do AMCore incluir a assinatura do Extra.DAT, o Extra.DAT éremovido.

O Endpoint Security armazena os arquivos Extra.DAT na pasta c:\Arquivos de programas\CommonFiles\McAfee\Engine\content\avengine\extradat.

Download de arquivos Extra.DATPara transferir arquivos ExtraDAT por download, clique no link de download fornecido pelo McAfeeLabs.

Tarefa1 Clique no link de download, especifique um local para salvar o arquivo Extra.DAT, depois clique em

Salvar.

2 Se necessário, descompacte o arquivo EXTRA.ZIP.

3 Carregue o arquivo Extra.DAT com o Cliente do Endpoint Security.

Carregar um arquivo Extra.DAT em um Para instalar o arquivo Extra.DAT transferido por download em um , use o Cliente do EndpointSecurity.




2 No menu Ação do , selecione Carregar Extra.DAT.

3 Clique em Procurar, navegue até o local para onde o arquivo Extra.DAT foi transferido por download,depois clique em Abrir.

4 Clique em Aplicar.

As novas detecções no Extra.DAT entram em vigor imediatamente.


Configurar definições comunsConfigurar definições que se aplicam a todos os módulos e recursos do Endpoint Security no móduloEm Comum. Essas definições incluem configurações de segurança da interface e de idioma do Cliente



do Endpoint Security, configurações de registro e do servidor proxy do McAfee GTI e configuração deatualização.

Tarefas

• Proteger recursos do Endpoint Security na página 30Uma das primeiras ações que o malware tenta executar durante um ataque é desativar osoftware de segurança do sistema. Defina a Autoproteção nas configurações de Em Comumpara impedir que os serviços e os arquivos do Endpoint Security sejam interrompidos oumodificados.

• Configurar definições log na página 31Configurar registro em log do Endpoint Security nas definições do Em Comum.

• Permitir a autenticação de certificados na página 31Os certificados permitem que um fornecedor execute códigos dentro de processos daMcAfee.

• Controlar o acesso à interface do cliente na página 32Controle o acesso ao Cliente do Endpoint Security definindo uma senha nas configuraçõesde Em Comum.

• Definir configurações do servidor Proxy para o McAfee GTI na página 33Especifique as opções do servidor proxy para recuperar a reputação do McAfee GTI nasdefinições de Em Comum.

Proteger recursos do Endpoint SecurityUma das primeiras ações que o malware tenta executar durante um ataque é desativar o software desegurança do sistema. Defina a Autoproteção nas configurações de Em Comum para impedir que osserviços e os arquivos do Endpoint Security sejam interrompidos ou modificados.


A desativação da Autoproteção do Endpoint Security deixa o sistema vulnerável a ataques.



2 No menu Ação , selecione Configurações.

3 Clique em Mostrar opções avançadas.

4 Em Autoproteção, verifique se a opção Autoproteção está ativada.

5 Especifique a ação para cada um dos seguintes recursos do Endpoint Security:

• Arquivos e pastas — Impede que usuários modifiquem bancos de dados, binários, arquivos depesquisa segura e arquivos de configuração da McAfee.

• Registro — Impede que usuários modifiquem o hive de Registro da McAfee, componentes COM edesinstalem usando o valor de Registro.

• Processos — Impede a interrupção de processos da McAfee.

6 Clique em Aplicar para salvar suas alterações ou clique em Cancelar.




Configurar definições logConfigurar registro em log do Endpoint Security nas definições do Em Comum.






4 Configure as definições do Log do cliente na página.


Consulte também Nomes e locais de arquivos de log do Endpoint Security na página 24Entrar como administrador na página 26

Permitir a autenticação de certificadosOs certificados permitem que um fornecedor execute códigos dentro de processos da McAfee.

Quando um processo é detectado, a tabela de certificados é preenchida com o Fornecedor, o Assunto eo Hash da chave pública associada.

Essa configuração pode resultar em problemas de compatibilidade e redução de segurança.

Para obter detalhes sobre recursos de produtos, uso e práticas recomendadas, clique em ? ou emAjuda.




4 Na seção Certificados, selecione Permitir.


As informações do certificado serão exibidas na tabela.



Controlar o acesso à interface do clienteControle o acesso ao Cliente do Endpoint Security definindo uma senha nas configurações de EmComum.


O Modo da interface do cliente é definido como Acesso total por padrão, permitindo que os usuários alteremsuas configurações de segurança, o que pode deixar os sistemas desprotegidos contra ataques demalware.




3 Defina as configurações de Modo da interface do cliente na página.

Prática recomendada: para melhorar a segurança, altere o Modo de interface do cliente para Padrão ouBloquear interface do cliente. Ambas as opções requerem uma senha de administrador para acessar asconfigurações do Cliente do Endpoint Security.

Prática recomendada: altere as senhas de administrador regularmente.


Consulte também Efeitos ao definir a senha do administrador na página 32Entrar como administrador na página 26

Efeitos ao definir a senha do administradorAo definir o modo de interface como Acesso padrão ou Bloquear interface do cliente, você tambémdeve definir uma senha de administrador. O administrador também pode gerar uma senha por tempo,que pode ser usada pelos usuários para acessar temporariamente o Cliente do Endpoint Security.

Se você definir o modo de interface como Acesso padrão ou Bloquear interface do cliente, estesusuários serão afetados:



Todos os usuários No modo Bloquear interface do cliente, os usuários deverão inserir a senhado administrador ou a senha temporária para acessar o Cliente doEndpoint Security.Após inseri-la, o usuário terá acesso a toda a interface, incluindodefinições de configuração na página Configurações.

Não administradores(usuários sem direitos deadministrador)

No modo Acesso padrão, os não administradores podem:• Obter informações sobre quais módulos do Endpoint Security estão

instalados, incluindo versão e status.

• Executar varreduras.

• Verificar atualizações (se ativado).

• Exibir e gerenciar itens na Quarentena.

• Exibir o Log de eventos.

• Obter ajuda e acessar as páginas de Perguntas frequentes e Suporte.

No modo Acesso padrão, os não administradores não podem:

• Exibir ou alterar as definições de configuração na página Configurações.

• Reverter o conteúdo do AMCore.

• Carregar arquivos Extra.DAT.

Administradores(usuários com direitos deadministrador)

No modo Acesso padrão, os administradores devem inserir a senha deadministrador ou temporária.Após inseri-la, o administrador terá acesso a toda a interface, incluindodefinições de configuração na página Configurações.

Definir configurações do servidor Proxy para o McAfee GTI Especifique as opções do servidor proxy para recuperar a reputação do McAfee GTI nas definições deEm Comum.






4 Configure as definições do Servidor proxy para o McAfee GTI na página.

Prática recomendada: exclua os endereços do McAfee GTI do servidor proxy. Para obterinformações, consulte KB79640 e KB84374.







Configurar comportamento da atualizaçãoEspecifique o comportamento de atualizações iniciadas a partir do Cliente do Endpoint Security nasdefinições Em Comum.

Tarefas• Configurar sites de origem para atualizações na página 34

É possível configurar os sites dos quais o Cliente do Endpoint Security obtém arquivos desegurança atualizados nas configurações do Em Comum.

• Configurar o comportamento padrão de atualizações na página 36Você pode especificar o comportamento padrão para as atualizações iniciadas no Cliente doEndpoint Security nas configurações do Em Comum.

• Configurar, agendar e executar tarefas de atualização na página 37Você pode configurar tarefas de atualização personalizadas ou alterar o agendamento detarefas de Atualização padrão do cliente usando o Cliente do Endpoint Security nas configuraçõesdo Em Comum.

• Configurar, selecionar e executar tarefas de espelhamento na página 38Você pode modificar ou agendar tarefas de espelhamento do Cliente do Endpoint Securitynas definições do módulo Em Comum.

Configurar sites de origem para atualizações É possível configurar os sites dos quais o Cliente do Endpoint Security obtém arquivos de segurançaatualizados nas configurações do Em Comum.






4 Em Em Comum, clique em Opções.

5 Defina as configurações de Sites de origem para atualizações na página.

É possível ativar e desativar o site de origem de backup padrão, McAfeeHttp, e o servidor degerenciamento (para sistemas gerenciados), mas não é possível modificá-los ou eliminá-los deoutra forma.

A ordem dos sites determina a ordem usada pelo Endpoint Security para pesquisar o site deatualização.



Para... Siga esses passos

Adicione um site à lista. 1 Clique em Adicionar.

2 Especifique as definições do site e clique em OK.

O site aparecerá no início da lista.

Modificar um siteexistente.

1 Clique duas vezes no nome do site.

2 Modifique as configurações e clique em OK.

Excluir um site. Selecione o site, depois clique em Excluir.

Importar sites de umarquivo da lista de sitesde origem.

1 Clique em Importar.

2 Selecione o arquivo a ser importado e clique em OK.

O arquivo de lista de sites substitui a lista de sites de origemexistente.

Exporte a lista de sites deorigem para um arquivoSiteList.xml.

1 Clique em Exportar tudo.

2 Selecione o local onde deseja salvar o arquivo da lista de sites deorigem e clique em OK.

Reorganize os sites nalista.

Para mover os elementos:1 Selecione os elementos que serão movidos.

A alça aparece à esquerda de elementos que podem sermovidos.

2 Arraste e solte os elementos no novo local.Uma linha azul é exibida entre os elementos no local em que vocêpode soltar os elementos arrastados.


Consulte também O que a lista de repositórios contém na página 35Como funciona a tarefa Atualização padrão do cliente na página 37Entrar como administrador na página 26Configurar, agendar e executar tarefas de atualização na página 37

O que a lista de repositórios contémA lista de repositórios especifica as informações sobre os repositórios que o McAfee Agent usa paraatualizar os produtos da McAfee, incluindo arquivos Engine e DAT.

A lista de repositórios inclui:

• Informações e local do repositório

• Preferência de ordem do repositório

• Configurações do servidor proxy, se necessário

• Credenciais criptografadas necessárias para acessar cada repositório

A tarefa do cliente do McAfee Agent Atualização do produto conecta-se ao primeiro repositório ativado(site de atualização) na lista de repositórios. Se o repositório não estiver disponível, a tarefa entra emcontato com o site seguinte até se conectar com êxito ou atingir o final da lista.



Se a rede utilizar um servidor proxy, você poderá especificar as configurações de proxy a seremutilizadas, o endereço do servidor proxy e se deseja utilizar autenticação. As informações de proxy sãoarmazenadas na lista de repositórios. As configurações de proxy definidas por você são aplicadas atodos os repositórios da lista.

A localização da lista de repositórios depende do sistema operacional:

Sistema operacional Localização da lista de repositórios

Microsoft Windows 8 C:\ProgramData\McAfee\Common Framework\SiteList.xml

Microsoft Windows 7

Versões mais recentes C:\Documents and Settings\All Users\Application Data\McAfee\CommonFramework\SiteList.xml

Configurar o comportamento padrão de atualizações Você pode especificar o comportamento padrão para as atualizações iniciadas no Cliente do EndpointSecurity nas configurações do Em Comum.


Use essas configurações para:

•Exibir ou ocultar o botão no cliente.

• Especifique o que atualizar quando o usuário clicar no botão ou quando a tarefa de padrão deatualização do cliente for executada.

Por padrão, a tarefa de Atualização padrão do cliente é executada todos os dias à 1h. e repetida dequatro em quatro horas até 23h59.

Em sistemas autogerenciados, a tarefa Atualização padrão do cliente atualiza todo o conteúdo e osoftware. Em sistemas gerenciados, essa tarefa atualiza apenas o conteúdo.





4 Defina as configurações de Atualização padrão do cliente na página.


Consulte também Entrar como administrador na página 26Configurar sites de origem para atualizações na página 34Configurar, agendar e executar tarefas de atualização na página 37



Como funciona a tarefa Atualização padrão do clienteA tarefa Atualização padrão do cliente baixa a proteção mais atual para o Cliente do Endpoint Security.

O Endpoint Security inclui a tarefa Atualização padrão do cliente que é executada todos os dias à 1h erepete-se de quatro em quatro horas até às 23h59.

A tarefa de Atualização padrão do cliente:

1 Conecta-se ao primeiro site de origem ativado na lista.

Se o site não estiver disponível, a tarefa entra em contato com o site seguinte até se conectar ouatingir o final da lista.

2 Transfere um arquivo CATALOG.Z criptografado do site.

O arquivos contém as informações necessárias para realizar a atualização, incluindo os arquivos eatualizações disponíveis.

3 Verifica as versões de software do arquivo em relação às versões no computador e transfere asnovas atualizações de software disponíveis.

Se a tarefa de Atualização padrão do cliente for interrompida durante a atualização:

Faz a atualização a partir de... Se interrompida...

HTTP, UNC, ou site local Retorna onde a atualização parou na próxima vez que atarefa de atualização é iniciada.

Site FTP (transferência de arquivo único) Não retorna se interrompida.

Site FTP (transferência de vários arquivos) Retoma antes do arquivo que estava sendo baixado nomomento da interrupção.

Consulte também Configurar sites de origem para atualizações na página 34Configurar, agendar e executar tarefas de atualização na página 37O que a lista de repositórios contém na página 35

Configurar, agendar e executar tarefas de atualização Você pode configurar tarefas de atualização personalizadas ou alterar o agendamento de tarefas deAtualização padrão do cliente usando o Cliente do Endpoint Security nas configurações do Em Comum.


Use essas definições para a configuração no cliente quando a tarefa Atualização padrão do cliente forexecutada. Você também pode configurar o comportamento padrão das atualizações de clienteiniciadas no Cliente do Endpoint Security.





4 A partir da opção Em Comum, clique em Tarefas.



5 Defina as configurações da tarefa de atualização na página.


Crie uma tarefa deatualização personalizada.

1 Clique em Adicionar.

2 Digite o nome e, a partir da lista suspensa Selecionar tipo de tarefa,selecione Atualização.

3 Configure as definições e clique em OK para salvar a tarefa.

Altere uma tarefa deatualização.

• Clique duas vezes na tarefa, faça as suas alterações e, em seguida,clique em OK para salvar a tarefa.

Remova uma tarefa deatualização personalizada.

• Selecione a tarefa e clique em Excluir.

Crie uma cópia de umatarefa de atualização.

1 Selecione a tarefa e clique em Duplicar.

2 Digite o nome, defina as configurações e clique em OK para salvar atarefa.

Altere o agendamentopara uma tarefa deAtualização padrão do cliente.

1 Clique duas vezes em Atualização padrão do cliente.

2 Clique na guia Agendamento, altere o agendamento e clique em OKpara salvar a tarefa.

Você também pode configurar o comportamento padrão dasatualizações de cliente iniciadas no Cliente do Endpoint Security.

Execute uma tarefa deatualização.

• Selecione a tarefa e clique em Executar agora.

Se a tarefa já estiver em execução, mesmo que seja pausada ouadiada, o botão será alterado para Exibir.

Se você executar uma tarefa antes de aplicar as alterações, o Clientedo Endpoint Security solicitará que você salve as configurações.


Consulte também Como funciona a tarefa Atualização padrão do cliente na página 37Configurar sites de origem para atualizações na página 34Configurar o comportamento padrão de atualizações na página 36

Configurar, selecionar e executar tarefas de espelhamento Você pode modificar ou agendar tarefas de espelhamento do Cliente do Endpoint Security nasdefinições do módulo Em Comum.









5 Configure as definições da tarefa de espelhamento na página.


Crie uma tarefa deespelhamento.


2 Digite o nome e, a partir da lista suspensa Selecionar tipo de tarefa,selecione Espelhamento.

3 Configure as definições e, em seguida, clique em OK.

Altere uma tarefa deespelhamento.

• Clique duas vezes na tarefa de espelhamento, faça as suasmudanças e, em seguida, clique em OK.

Remova uma tarefa deespelhamento.


Crie uma cópia de umatarefa de espelhamento.


2 Digite o nome, configure as definições e clique em OK.

Agende uma tarefa deespelhamento.

1 Clique duas vezes na tarefa.

2 Clique na guia Agendamento, altere o agendamento e clique em OKpara salvar a tarefa.

Execute uma tarefa deespelhamento.





Como as tarefas de espelhamento funcionamA tarefa de espelhamento replica os arquivos de atualização a partir do primeiro repositório acessíveldefinido na lista de repositórios, em um site de espelhamento na rede.

O uso mais comum desta tarefa é espelhar o conteúdo do site de downloads da McAfee em umservidor local.

Depois que você replicar o site da McAfee que contém os arquivos de atualização, os computadores darede poderão fazer download dos arquivos a partir do site de espelhamento. Esta abordagem permiteque você atualize qualquer computador em sua rede, tenha ou não acesso à Internet. Utilizar um sitereplicado é mais eficiente porque os seus sistemas se comunicam com um servidor que está maispróximo do que um site de Internet da McAfee, economizando tempo de acesso e download.

O Endpoint Security depende de um diretório para se atualizar. Por isso, ao espelhar um site,certifique-se de replicar toda a estrutura de diretórios.



Referência da interface do cliente do Cliente do EndpointSecurity — Em Comum

Forneça ajuda contextual para as páginas na interface do Cliente do Endpoint Security.

Conteúdo página Log de eventos Em Comum — Opções Em Comum — Tarefas

página Log de eventosExibe os eventos de atividade e depuração no Log de eventos.

Tabela 2-2 Opções

Opção Definição

Número de eventos Indica o número de eventos que o Endpoint Security registrou em log no sistemanos últimos 30 dias.

Atualiza a exibição do Log de eventos com novos dados de eventos.

Exibir pasta de logs Abre a pasta que contém os arquivos de log no Windows Explorer.

Mostrar todos oseventos

Remove todos os filtros.

Filtrar por gravidade Filtra os eventos por nível de gravidade:

Alerta Mostra apenas os eventos com gravidade de nível 1.

Crítico e superiores Mostra apenas os eventos com gravidade de nível 1 e 2.

Avisos e superiores Mostra apenas os eventos com gravidade de nível 1, 2 e 3.

Aviso e superiores Mostra apenas os eventos com gravidade de nível 1, 2, 3 e 4.

Filtrar por módulo Filtra os eventos por módulo:

Em Comum Mostra apenas eventos do Em Comum.

Prevenção contra ameaças Mostra apenas eventos da Prevenção contraameaças.

Firewall Mostra apenas eventos do Firewall.

Controle da Web Mostra somente eventos do Controle da Web.

Proteção adaptável contraameaças

Mostra eventos da Proteção adaptável contraameaças somente.

Os recursos que aparecem na lista suspensa dependem dos recursos instaladosno sistema no momento em que o Log de eventos foi aberto.

Pesquisar Pesquisa uma cadeia no Log de eventos.

Eventos por página Seleciona o número de eventos que deverão ser exibidos em uma página. (Porpadrão, 20 eventos por página)

Página anterior Exibe a página anterior no Log de eventos.

Próxima página Exibe a próxima página do Log de eventos.

Página x de x Seleciona uma página do Log de eventos para ser acessada.Insira um número no campo Página e pressione Enter ou clique em Ir paraacessar a página.

2 Uso do Cliente do Endpoint SecurityReferência da interface do cliente do Cliente do Endpoint Security — Em Comum


Cabeçalho dacoluna

Classifica a lista de eventos por...

Data Data em que o evento ocorreu.

Recurso Recurso que registrou o evento em log.

Ação realizada Ação tomada pelo Endpoint Security, se for o caso, em resposta ao evento.A ação é definida nas configurações.

Acesso negado O acesso ao arquivo foi impedido.

Permitido O acesso ao arquivo foi permitido.

Bloqueado O acesso ao arquivo foi bloqueado.

Limpo A ameaça foi removida do arquivo automaticamente.

Confinado Executou o arquivo em um contêiner com base na reputação.

Continuar avarredura

Detectou uma ameaça e continuou varrendo o próximo arquivosem executar nenhuma ação, como Limpar ou Excluir, noarquivo atual.

Excluído O arquivo foi excluído automaticamente.

Movido O arquivo foi movido para Quarentena.

Bloquearia Uma regra de proteção de acesso teria bloqueado o acesso aoarquivo se a regra em questão estivesse sendo imposta. Omodo de observação está ativado.

Limparia Uma regra teria limpado o arquivo se a regra estivesse sendoimposta. O modo de observação está ativado.

Confinaria Uma regra teria confinado o arquivo se a regra estivesse sendoimposta. O modo de observação está ativado.

Gravidade Nível de gravidade do evento.

Crítico 1

Importante 2

Menos importante 3

Aviso 4

Informativo 5

Consulte também Exibir o Log de eventos na página 23

Em Comum — OpçõesDefina as configurações da interface do Cliente do Endpoint Security, da Autoproteção, do log deatividades e depuração e do servidor proxy.

Tabela 2-3 Opções

Seção Opção Definição

Modo de interface docliente

Acesso total Permite o acesso a todos os recursos. (Padrão)

Acesso padrão Exibe o status da proteção e permite o acesso à maioria dosrecursos, como a execução de atualizações e varreduras.O modo Acesso padrão requer uma senha para exibir e alterar asconfigurações da página Cliente do Endpoint Security do Clientedo Endpoint Security.

Uso do Cliente do Endpoint SecurityReferência da interface do cliente do Cliente do Endpoint Security — Em Comum 2


Tabela 2-3 Opções (continuação)


Bloquear interface docliente

Requer uma senha para acessar o Cliente do EndpointSecurity.

Definir senha doadministrador

No caso de Acesso padrão e Bloquear interface do cliente, especifica asenha do administrador para acessar todos os recursos dainterface do Cliente do Endpoint Security.• Senha — Especifica a senha.

• Confirmar senha — Confirma a senha.

Prática recomendada: altere as senhas de administradorregularmente.

Desinstalação Senha obrigatóriapara desinstalar ocliente

Requer uma senha para desinstalar o Cliente do EndpointSecurity e especifica a senha.A senha padrão é mcafee.

(Desativado por padrão)

• Senha — Especifica a senha.

• Confirmar senha — Confirma a senha.

Tabela 2-4 Opções avançadas


Idioma da interfacedo cliente

Automático Seleciona automaticamente o idioma a ser usado em textos dainterface do Cliente do Endpoint Security com base no idioma dosistema cliente.

Idioma Especifica o idioma a ser usado para o texto da interface do Clientedo Endpoint Security.Em sistemas gerenciados, as alterações de idioma feitas no Clientedo Endpoint Security substituem as alterações de política doservidor de gerenciamento. A alteração de idioma é aplicada após areinicialização do Cliente do Endpoint Security.

O idioma do cliente não afeta os arquivos de log. Os arquivos de logsempre aparecem no idioma especificado pela região do sistemapadrão.

Autoproteção Ativar autoproteção Protege os recursos do sistema do Endpoint Security contraatividades maliciosas.

Ação Especifica a ação a tomar quando ocorre uma atividade maliciosa:• Bloquear e relatar – Bloqueia a atividade e relata para o McAfee ePO.

(Padrão)

• Bloquear somente – Bloqueia a atividade, mas não relata para oMcAfee ePO.

• Apenas relatar — Relata para o McAfee ePO, mas não bloqueia aatividade.

Arquivos e pastas Impede a alteração ou a exclusão de arquivos e pastas do sistemada McAfee.

Registro Impede a modificação ou a exclusão de chaves e valores de registroda McAfee.

Processos Impede a interrupção de processos da McAfee.



Tabela 2-4 Opções avançadas (continuação)


Excluir estesprocessos

Permite acesso aos processos especificados.Há suporte para caracteres curinga.

Adicionar — Adiciona um processo à lista de exclusão. Clique emAdicionar e insira o nome exato do recurso, como avtask.exe.

Clicar duas vezes em um item — Altera o item selecionado.

Excluir — Exclui o item selecionado. Selecione o recurso e clique emExcluir.

Certificados Especifica as opções de certificado.

Permitir Permite que um fornecedor execute códigos em processos daMcAfee.

Essa configuração pode resultar em problemas de compatibilidadee redução de segurança.

Fornecedor Especifica o Nome Comum (CN) da autoridade que assinou e emitiuo certificado.

Entidade Especifica o Nome distinto do signatário (SDN) que define aentidade associada ao certificado.Estas informações podem incluir:

• CN — Nome Comum

• OU — Unidade organizacional

• O — Organização

• L — Localidade

• ST — Estado ou província

• C — Código do país

Hash Especifica o hash da chave pública associada.

Log do cliente Local dos arquivosde log

Especifica o local dos arquivos de log.A localização padrão é:

<UNIDADE_DO_SISTEMA>:\ProgramData\McAfee\Endpoint\Logs

Insira ou clique em Procurar para acessar um local.

Log de atividades Ativar log deatividades

Ativa o registro em log de todas as atividades do Endpoint Security.

Tamanho limite (emMB) de cadaarquivo do log deatividades

Limita cada arquivo de log de atividades ao tamanho máximoespecificado (entre 1 MB e 999 MB). O padrão é 10 MB.Se o arquivo de log exceder esse tamanho, 25% das entradas maisantigas do arquivo serão substituídas por novos dados.

Desative essa opção para permitir que arquivos de log aumentemde tamanho.





Log de depuração A ativação do log de depuração para qualquer módulo tambémativa o log de depuração para os recursos do módulo Em Comum,como a Autoproteção.

Prática recomendada: ative o log de depuração, pelo menos,nas primeiras 24 horas durante as fases de teste e piloto. Se nãoocorrer nenhum problema durante esse período, desativar o log dedepuração para evitar impactos no desempenho de sistemascliente.

Ativar paraPrevenção contraameaças

Ativa o log detalhado das atividades da Prevenção contra ameaçase tecnologias individuais:Ativar para Proteção de acesso — Registra em log no arquivoAccessProtection_Debug.log.

Ativar para prevenção de exploração — Registra em log no arquivoExploitPrevention_Debug.log.

Ativar para varredura ao acessar — Registra em log no arquivoOnAccessScan_Debug.log.

Ativar para varredura por solicitação — Registra em log no arquivoOnDemandScan_Debug.log.

A ativação do log de depuração para qualquer tecnologia dePrevenção contra ameaças também ativa o log de depuração para oCliente do Endpoint Security.

Ativar para Firewall Ativa o registro em log detalhado de atividades do Firewall.

Ativar para Controleda Web

Ativa o registro em log detalhado de atividades do Controle da Web.

Ativar paraProteção adaptávelcontra ameaças

Ativa o registro em log detalhado de atividades da Proteçãoadaptável contra ameaças.

Tamanho limite (emMB) de cadaarquivo de log dedepuração

Limita cada arquivo de log de depuração ao tamanho máximoespecificado (entre 1 MB e 999 MB). O padrão é 50 MB.Se o arquivo de log exceder esse tamanho, 25% das entradas maisantigas do arquivo serão substituídas por novos dados.

Desative essa opção para permitir que arquivos de log aumentemde tamanho.

Log de eventos Enviar eventos paraMcAfee ePO

Envia todos os eventos registrados em log no Log de eventos doCliente do Endpoint Security para o McAfee ePO.Essa opção está disponível somente em sistemas gerenciados peloMcAfee ePO.

Registrar eventosno log deaplicativos doWindows

Envia todos os eventos registrados em log no Log de eventos doCliente do Endpoint Security para o log de aplicativos do Windows.O log de aplicativos do Windows pode ser acessado em Visualizador deeventos do Windows | Logs do Windows | Aplicativo.





Níveis degravidade

Especifica o nível de gravidade dos eventos no Log de eventos doCliente do Endpoint Security:• Nenhum — Não envia alertas.

• Apenas alerta — Envia apenas alertas de nível 1.

• Crítico e alerta — Envia alertas de níveis 1 e 2.

• Advertência, crítico e alerta — Envia alertas de níveis 1 a 3.

• Todos, com exceção dos informativos — Envia alertas de níveis 1 a 4.

• Todos — Envia alertas de níveis 1 a 5.

• 1 — Alerta

• 2 — Crítico

• 3 — Advertência

• 4 — Aviso

• 5 — Informativo

Eventos dePrevenção contraameaças a seremregistrados em log

Especifica o nível de gravidade dos eventos de cada recurso daPrevenção contra ameaças a serem registrados em log:Proteção de acesso — Registra em log no arquivoAccessProtection_Activity.log.

Quando o log de eventos da Proteção de acesso é ativado, o log deeventos da Autoproteção também é ativado.

Prevenção de exploração — Registra em log no arquivoExploitPrevention_Activity.log.

Varredura ao acessar — Registra em log no arquivoOnAccessScan_Activity.log.

Varredura por solicitação — Registra em log no arquivoOnDemandScan_Activity.log.

Eventos de Firewalla serem registradosem log

Especifica o nível de gravidade dos eventos do Firewall a seremregistrados em log.

Eventos doControle da Web nolog

Especifica o nível de gravidade dos eventos do Controle da Web aserem registrados em log.

Eventos daProteção adaptávelcontra ameaças aserem registradosem log

Especifica o nível de gravidade de eventos da Proteção adaptávelcontra ameaças a serem registrados em log.

Servidor proxypara o McAfee GTI

Nenhum servidorproxy

Especifica que os sistemas gerenciados recuperam informações dereputação do McAfee GTI diretamente pela Internet, não através deum servidor proxy. (Padrão)

Usar configuraçõesde proxy do sistema

Especifica o uso de configurações de proxy do sistema do cliente e,opcionalmente, ativa a autenticação de proxy HTTP.





Configurar servidorproxy

Personaliza as configurações de proxy.• Endereço — Especifica o endereço IP ou o nome de domínio

totalmente qualificado do servidor proxy HTTP.

• Porta — Limita o acesso através da porta especificada.

• Excluir esses endereços — Não usa o servidor proxy HTTP para sitesou endereços IP que comecem com as entradas especificadas.Clique em Adicionar e insira o nome do endereço a ser excluído.

Prática recomendada: exclua os endereços do McAfee GTI doservidor proxy. Para obter informações, consulte KB79640 eKB84374.

Ativar autenticaçãode proxy HTTP

Especifica que o servidor proxy HTTP requer autenticação. (Essaopção está disponível somente quando um servidor proxy HTTP éselecionado.) Digite as credenciais do servidor proxy HTTP:• Nome de usuário — Especifica a conta de usuário com permissões

para acessar o servidor proxy HTTP.

• Senha — Especifica a senha para o Nome de usuário.

• Confirmar senha — Confirma a senha especificada.

Atualizaçãopadrão do cliente

Ativar o botãoAtualizar agora nocliente

Exibe ou oculta o botão Atualizar agora da página principal do Clientedo Endpoint Security.Clique nesse botão para verificar e fazer download manualmente deatualizações de arquivos de conteúdo e componentes de softwareno sistema cliente.

O que atualizar Especifica o que deve ser atualizado ao clicar no botão Atualizar agora.• Conteúdo de segurança, hotfixes e patches — Atualiza todo o conteúdo de

segurança (incluindo conteúdo de mecanismo, AMCore ePrevenção de exploração), bem como qualquer hotFix e patch,para as versões mais recentes.

• Conteúdo de segurança — Atualiza apenas o conteúdo de segurança.(Padrão)

• Hotfixes e patches — Atualiza somente hotFixes e patches.

Sites de origempara atualizações

Configura quais sites serão usados para obter atualizações dearquivos de conteúdo e componentes de software.É possível ativar e desativar o site de origem de backup padrão,McAfeeHttp, e o servidor de gerenciamento (para sistemasgerenciados), mas não é possível modificá-los ou eliminá-los deoutra forma.

Indica elementos que podem ser movidos na lista.Selecione elementos, depois os arraste e solte no novo local. Umalinha azul é exibida entre os elementos no local em que você podesoltar os elementos arrastados.

Adicionar Adiciona um site à lista de sites de origem.

Clicar duasvezes em umitem

Altera o item selecionado.

Excluir Exclui o site selecionado da lista de sites de origem.







Importar Importar sites de um arquivo da lista de sites de origem.Selecione o arquivo a ser importado e clique em OK.

O arquivo de lista de sites substitui a lista de sites de origemexistente.

Exportar tudo Exporta a lista de sites de origem para um arquivo SiteList.xml.Selecione o local onde deseja salvar o arquivo da lista de sites deorigem e clique em OK.

Servidor proxypara sites deorigem

Nenhum servidorproxy

Especifica que os sistemas gerenciados recuperem informações dereputação do McAfee GTI diretamente pela Internet, e não por meiode um servidor proxy. (Padrão)

Usar configuraçõesde proxy do sistema

Especifica o uso de configurações de proxy do sistema do cliente e,opcionalmente, ativa a autenticação de proxy HTTP ou FTP.

Configurar servidorproxy

Personaliza as configurações de proxy.• Endereço HTTP/FTP — Especifica o endereço DNS, IPv4 ou IPv6 do

servidor proxy FTP ou HTTP.

• Porta — Limita o acesso através da porta especificada.

• Excluir esses endereços — Especifica os endereços de sistemas doCliente do Endpoint Security para os quais você não deseja usar oservidor proxy para obter classificações do McAfee GTI.Clique em Adicionar e insira o nome do endereço a ser excluído.

Ativar aautenticação deHTTP/Proxy FTP

Especifica que o servidor HTTP ou proxy FTP requer autenticação.(Essa opção está disponível somente quando o servidor HTTP ouproxy FTP for selecionado.) Digite as credenciais do servidor proxy:• Nome de usuário — Especifica a conta de usuário com permissões

para acessar o servidor proxy.

• Senha — Especifica a senha para o Nome de usuário especificado.

• Confirmar senha — Confirma a senha especificada.

Consulte também Proteger recursos do Endpoint Security na página 30Configurar definições log na página 31Controlar o acesso à interface do cliente na página 32Definir configurações do servidor Proxy para o McAfee GTI na página 33Configurar o comportamento padrão de atualizações na página 36Configurar sites de origem para atualizações na página 34Adicionar site ou Editar site na página 47

Adicionar site ou Editar siteAdiciona ou edita um site na lista de sites de origem.

Tabela 2-5 Definições de opções

Opção Definição

Nome Indica o nome do site de origem que contém os arquivos atualizados.

Ativar Ativa ou desativa o uso do site de origem para baixar arquivos atualizados.



Tabela 2-5 Definições de opções (continuação)

Opção Definição

Recuperararquivos de

Especifica o local a partir de qual os arquivos deverão ser recuperados.

RepositórioHTTP

Recupera arquivos a partir da localização do repositório HTTP designado.

O HTTP oferece atualização independentemente da segurança da rede, mas suportaníveis mais avançados de conexões simultâneas do que o FTP.

URL • Nome de DNS – Indica que URL é um nome de domínio.

• IPv4 – Indica que URL é um endereço IPv4.


http:// – Especifica o endereço do servidor HTTP e da pasta onde osarquivos de atualização estão localizados.

Porta – Especifica o número da porta do servidor HTTP.

Usarautenticação

Seleciona o uso de autenticação e especifica as credenciais de acessoà pasta do arquivo de atualização.• Nome de usuário – Especifica a conta de usuário com permissões de

leitura para a pasta do arquivo de atualização.

• Senha – Especifica a senha para o Nome de usuário especificado.

• Confirmar senha – Confirma a senha especificada.



Tabela 2-5 Definições de opções (continuação)

Opção Definição

Repositório FTP Recupera arquivos a partir da localização do repositório FTP designado.

Um site FTP oferece a flexibilidade de poder atualizar sem precisar seguir as permissõesde segurança da rede. Uma vez que o FTP foi menos vulnerável à anexação de códigosindesejados que o HTTP, essa opção poderá oferecer uma melhor tolerância.

URL • Nome de DNS – Indica que URL é um nome de domínio.



ftp:// – Especifica o endereço do servidor FTP e da pasta onde os arquivosde atualização estão localizados.

Porta – Especifica o número da porta do servidor FTP.

Usaracessoanônimo

Seleciona o uso de FTP anônimo para acessar a pasta do arquivo deatualização.Desfaça a seleção desta opção para especificar as credenciais de acesso.

• Nome de usuário – Especifica a conta de usuário com permissões de leiturapara a pasta do arquivo de atualização.



Caminho UNCou Caminholocal

Recupera arquivos do caminho UNC ou local designado.

Um site UNC é o mais rápido e mais fácil de ser configurado. As atualizações de UNCentre domínios requerem permissões de segurança para cada domínio, o que torna aconfiguração de atualização mais envolvida.

Caminho • Caminho UNC – Especifica o caminho usando notação UNC (\\servername\path\).

• Caminho local – Especifica o caminho de uma pasta em uma unidade localou de rede.

Usar contade conexão

Acessa os arquivos de atualização usando a conta de conexão. A contadeve ter permissão de leitura para as pastas onde estão localizados osarquivos de atualização.Desfaça a seleção desta opção para especificar as credenciais de acesso.

• Domínio – Especifica o domínio da conta do usuário.

• Nome de usuário – Especifica a conta de usuário com permissões deleitura para a pasta do arquivo de atualização.



Em Comum — TarefasConfigure e agende tarefas do Cliente do Endpoint Security.

Nos sistemas gerenciados, é possível iniciar, parar ou excluir tarefas do Admin.



Tabela 2-6 Opções


Tarefas Indica as tarefas agendadas e atualmente definidas.• Nome - Nome da tarefa agendada.

• Recurso - Módulo ou recurso ao qual a tarefa está associada.

• Agendamento - A data para a qual a execução da tarefa está agendada e o seuestado de ativação.Por exemplo, nos sistemas gerenciados, o agendamento da tarefa Atualizaçãopadrão do cliente pode ser desativada pelo administrador.

• Status - Status da última execução da tarefa:

• (sem status) – Nunca executada

• Em execução – Atualmente em execução ou retomada

• Pausada – Pausada pelo usuário (como a varredura)

• Adiada – Adiada pelo usuário (como a varredura)

• Concluída – Execução concluída sem erros

• Concluída (erros) – Execução concluída com erros

• Com falha – Houve uma falha na conclusão da tarefa

• Última execução - Data e hora da última execução da tarefa.

• Origem - Origem da tarefa:

• McAfee - Fornecido pela McAfee.

• Admin - (Somente sistemas gerenciados) Definido pelo administrador.

• Usuário - Definido no Cliente do Endpoint Security.

Dependendo da origem, algumas tarefas não podem ser alteradas ouexcluídas. Por exemplo, a tarefa Atualização padrão do cliente pode seralterada somente em sistemas autogerenciados. As tarefas Admin, definidaspelo administrador nos sistemas gerenciados não podem ser alteradas nemexcluídas no Cliente do Endpoint Security.

Clicar duasvezes emum item


Adicionar Cria uma tarefa de varredura, atualização ou espelhamento.

Excluir Exclui a tarefa selecionada.





Duplicar Cria uma cópia da tarefa selecionada.

Executar agora Executa a tarefa selecionada.Se a tarefa já estiver em execução, mesmo que seja pausada ou adiada, obotão será alterado para Exibir.

• Varredura rápida - Abre a caixa de diálogo Varredura rápida e inicia a varredura.

• Varredura completa - Abre a caixa de diálogo Varredura completa e inicia a varredura.

• Varredura personalizada - Abre a caixa de diálogo Varredura personalizada e inicia avarredura.

• Atualização padrão do cliente - Abre a caixa de diálogo Atualizar e inicia a atualização.

• Atualizar - Abre a caixa de diálogo Atualização personalizada e inicia a atualização.

• Espelhamento - Abre a caixa de diálogo Espelhamento e inicia a replicação dorepositório.

Se você executar uma tarefa antes de aplicar as alterações, o Cliente doEndpoint Security solicitará que você salve as configurações.

Consulte também Executar uma Varredura completa ou uma Varredura rápida na página 56Atualizar conteúdo e software manualmente na página 22Configurar, selecionar e executar tarefas de espelhamento na página 38Adicionar tarefa na página 51

Adicionar tarefaAdicionar varredura personalizada, espelhamento ou atualização da tarefa.

Opção Definição

Nome Especifica o nome da tarefa.

Selecionar tipo detarefa

Especifica o tipo de tarefa:• Varredura personalizada - Configura e agenda uma varredura personalizada, como

varreduras de memória diárias.

• Espelhamento - Replica os arquivos de conteúdo e de mecanismo atualizados a partirdo primeiro repositório acessível em um site de espelhamento na rede.

• Atualização - Configura e agenda uma atualização dos arquivos de conteúdo,mecanismo de varredura ou produto.

Consulte também Adicionar tarefa de varredura ou Editar tarefa de varredura na página 52Adicionar tarefa de espelhamento ou Editar tarefa de espelhamento na página 53Adicionar tarefa de atualização ou Editar tarefa de atualização na página 52



Adicionar tarefa de varredura ou Editar tarefa de varreduraAgende a tarefa de Varredura completa ou Varredura rápida ou configure e agende as tarefas devarredura personalizada que são executadas no sistema do cliente.

Tabela 2-7 Opções

Guia Opção Definição

Configurações Configura as definições da tarefa de varredura.

Nome Indica o nome da tarefa.

Opções Define as configurações da Varredura por solicitação para a varredura.É possível configurar as configurações de tarefa Varredura completa e Varredura rápidasomente em sistemas autogerenciados.

Agendamento Ativa e agenda a tarefa para que seja executada em uma hora especificada.

Consulte também Configurar, agendar e executar tarefas de varredura na página 95Configurar definições da política de na página 90Executar uma Varredura completa ou uma Varredura rápida na página 56Prevenção contra ameaças — Varredura por solicitação na página 120Agendamento na página 53

Adicionar tarefa de atualização ou Editar tarefa de atualizaçãoAgenda a Atualização padrão do cliente ou configura e agenda as tarefas de atualização personalizadas quesão executadas no sistema cliente.

Tabela 2-8 Opções


Configurações Define as configurações da tarefa de atualização.

Nome Indica o nome da tarefa.

O que atualizar Especifique o que será atualizado:• Conteúdo de segurança, hotfixes e patches

• Conteúdo de segurança

• Hotfixes e patches

É possível configurar essas definições somente em sistemasautogerenciados.

Agendamento Ativa e agenda a tarefa para que seja executada em uma horaespecificada.Por padrão, a tarefa Atualização padrão do cliente é executada diariamente à 0h erepete-se de quatro em quatro horas até às 23h59.

Consulte também Em Comum — Opções na página 41Configurar o comportamento padrão de atualizações na página 36Configurar, agendar e executar tarefas de atualização na página 37Agendamento na página 53



Adicionar tarefa de espelhamento ou Editar tarefa de espelhamentoConfigura e agenda as tarefas de espelhamento.

Tabela 2-9 Opções


Configurações Nome Indica o nome da tarefa.

Local do espelhamento Especifica a pasta para armazenar a replicação do repositório.

Agendamento Ativa e agenda a tarefa para que seja executada em uma horaespecificada.

Consulte também Configurar, selecionar e executar tarefas de espelhamento na página 38Agendamento na página 53

AgendamentoAgende tarefas de varreduras, atualização e espelhamento.

Tabela 2-10 Opções

Categoria Opção Definição

Agendamento Ativar agendamento Agenda a tarefa para ser executada em uma hora especificada.(Ativado por padrão)Esta opção deve ser selecionada para agendar a tarefa.

Tipo de agendamento Especifica o intervalo para executar a tarefa.• Diariamente - Executa a tarefa diariamente, em uma hora específica,

de forma recorrente entre dois horários do dia ou em umacombinação de ambos.

• Semanalmente - Executa a tarefa semanalmente:

• Em um determinado dia da semana, todos os dias úteis, fins desemana ou uma combinação de dias

• Em uma hora específica dos dias selecionados ou de formarecorrente entre dois horários nos dias selecionados

• Mensalmente - Executa a tarefa mensalmente, seja em:

• Um dia específico do mês

• Dias da semana específicos - primeiro, segundo, terceiro, quartoou último

• Uma vez - Inicia a tarefa na hora e na data especificadas.

• Na inicialização do sistema - Executa a tarefa quando o sistema éiniciado.

• Ao entrar - Inicia a tarefa na próxima vez que o usuário entrar nosistema.

• Executar imediatamente - Inicia a tarefa imediatamente.

Frequência Especifica a frequência para as tarefas Diariamente e Semanalmente.

Executar em Especifica os dias da semana para as tarefas Semanalmente eMensalmente.

Executar em Especifica os meses do ano para as tarefas Mensalmente.




Categoria Opção Definição

Executar esta tarefasomente uma vez pordia

Executa esta tarefa uma vez por dia para as tarefas Na inicialização dosistema eAo entrar.

Atrasar esta tarefa em Especifica o número de minutos de atraso antes de executar astarefas Na inicialização do sistema e Ao entrar.

Data de início Especifica a data de inicio para as tarefas Diariamente, Semanalmente,Mensalmente e Uma vez.

Data de término Especifica a data de término das tarefas Diariamente, Semanalmente eMensalmente.

Hora de início Especifica a hora em que a tarefa é iniciada.• Executar uma vez nesta hora - Executa a tarefa uma vez na Hora de início.

• Executar nesta hora e repetir até - Executa a tarefa uma vez na Hora deinício. Em seguida, inicia a tarefa dentro do intervalo especificadode horas/minutos por Iniciar tarefa todos os dias até a hora de términoespecificada.

• Executar nesta hora e repetir durante - Executa a tarefa uma vez na Hora deinício. Em seguida, inicia a tarefa dentro do intervalo especificadode horas/minutos por Iniciar tarefa todos os dias até que seja executadapor um determinado período de tempo.

Opções Executar a tarefa deacordo com o HorárioUniversal Coordenado

Especifica se o agendamento da tarefa será executado de acordocom a hora local no sistema gerenciado ou no UTC (Horário universalcoordenado).

Interromper a tarefacaso ela seja executadapor mais de

Interrompe a tarefa após o número especificado de horas e minutos.Se a tarefa for interrompida antes da conclusão, na próxima vez queela for iniciada, retomará a partir do ponto onde parou.

Tornar aleatório ohorário de início em

Especifica se essa tarefa será executada aleatoriamente dentro dotempo que você especificar.Caso contrário, ela iniciará na hora agendada mesmo se outrastarefas do cliente estiverem agendadas para execução na mesmahora.

Executar tarefa perdida Executa a tarefa após o número de minutos especificado por Atrasarinício em uma vez que o sistema gerenciado for reiniciado.

Conta Especifica as credenciais a usar para executar a tarefa.Se nenhuma credencial for especificada, a tarefa será executadacomo a conta de Administrador do sistema local.

Nome do usuário Especifica a conta de usuário.

Senha Especifica a senha da conta de usuário especificada.

Confirmar senha Confirma a senha da conta de usuário especificada.

Domínio Especifica o domínio da conta de usuário determinada.

Consulte também Adicionar tarefa de varredura ou Editar tarefa de varredura na página 52Adicionar tarefa de atualização ou Editar tarefa de atualização na página 52Adicionar tarefa de espelhamento ou Editar tarefa de espelhamento na página 53



3 Utilizando o Prevenção contra ameaças

O Prevenção contra ameaças verifica vírus, spyware, programas indesejados e outras ameaças,fazendo a varredura automática de itens no computador.

Conteúdo Varrer seu computador em busca de malware Gerenciar detecções de ameaças Gerenciar itens em quarentena Gerenciamento do Prevenção contra ameaças Referência da interface do Cliente do Endpoint Security — Prevenção contra ameaças

Varrer seu computador em busca de malwareFaça a varredura em busca de malware em seu computador selecionando as opções no Cliente doEndpoint Security ou no Windows Explorer.

Tarefas• Executar uma Varredura completa ou uma Varredura rápida na página 56

Use o Cliente do Endpoint Security para executar uma Varredura completa ou umaVarredura rápida manual em seu computador.

• Varrer um arquivo ou pasta na página 58Clique com o botão direito no Windows Explorer para fazer uma varredura imediata em umarquivo individual ou pasta com suspeita de infecção.

Consulte também Tipos de varreduras na página 55

Tipos de varredurasEndpoint Security oferece dois tipos de varreduras: varreduras ao acessar e varreduras por solicitação.

• Varredura ao acessar - O administrador configura varreduras ao acessar a serem executadas emcomputadores gerenciados. Em computadores autogerenciados, configure o mecanismo devarredura ao acessar na página de Configurações.Sempre que acessar arquivos, pastas e programas, o mecanismo de varredura ao acessarintercepta a operação e varre o item, baseado nos critérios definidos pelo administrador.

• Varredura por solicitação

3


Manual O administrador (ou usuário, em sistemas autogerenciados) configura varreduras porsolicitação personalizadas ou predefinidas que os usuários podem executar emcomputadores gerenciados.

• Execute uma varredura por solicitação predefinida a qualquer momento no Cliente

do Endpoint Security clicando em e selecionando um tipo devarredura:A Varredura rápida realiza uma verificação rápida das áreas do sistema mais suscetíveisa infecção.

A Varredura completa executa uma verificação minuciosa em todas as áreas de seusistema. (Recomendado em caso de suspeita de infecção do computador.)

• Faça uma varredura a qualquer momento em um arquivo ou pasta individual doWindows Explorer clicando com o botão direito no arquivo ou pasta e selecionandoFazer varredura para encontrar ameaças no menu pop-up.

• Configure e execute uma varredura personalizada por solicitação comoadministrador do Cliente do Endpoint Security:

1 Selecione Configurações | Em Comum | Tarefas.

2 Selecione a tarefa a executar.

3 Clique em Executar agora.

Agendada O administrador (ou usuário, em sistemas autogerenciados) configura e agendavarreduras por solicitação a serem executadas em computadores.

Quando uma varredura por solicitação agendada está para começar, o EndpointSecurity exibe um prompt de varredura na parte inferior da tela. Você pode iniciar avarredura imediatamente ou adiá-la, se assim estiver configurado.

Para configurar e agendar as varreduras por solicitação predefinidas, Varredura rápidae Varredura completa:1 Configurações | Varredura por solicitação | Varredura completa ou Varredura rápida - Configura

varreduras por solicitação.

2 Configurações | Common | Tarefas — Agenda varreduras por solicitação.

Consulte também Configurar, agendar e executar tarefas de varredura na página 95Responder a um prompt de varredura na página 21

Executar uma Varredura completa ou uma Varredura rápidaUse o Cliente do Endpoint Security para executar uma Varredura completa ou uma Varredura rápidamanual em seu computador.

Antes de iniciarO módulo Prevenção contra ameaças deve ser instalado.

O comportamento da Varredura completa e da Varredura rápida depende de como as configurações foramdefinidas. Com credenciais de administrador, é possível modificar e agendar as varreduras nasconfigurações da Varredura por solicitação.

3 Utilizando o Prevenção contra ameaçasVarrer seu computador em busca de malware




2Clique em .

3 Na página Varrer sistema, clique em Varrer agora na varredura que deseja executar.

Varredura completa Executa uma verificação completa em todas as áreas de seu sistema(recomendável se houver suspeita de que o computador está infectado).

Varredura rápida Executa uma verificação rápida das áreas do sistema mais suscetíveis a infecção.

Se uma varredura estiver em execução, o botão Varrer agora transforma-se em Exibir varredura.

Também poderá ser exibido o botão Exibir detecções para o mecanismo de varredura ao acessar,dependendo de como as configurações foram definidas e se uma ameaça tiver sido detectada.Clique nesse botão para abrir a página Varredura ao acessar para gerenciar as detecções a qualquermomento.

O Cliente do Endpoint Security exibe o status da varredura em uma nova página.

Prática recomendada: a data de criação de conteúdo do AMCore indica a última vez que oconteúdo foi atualizado. Se o conteúdo tiver mais de dois dias, atualize sua proteção antes deexecutar a varredura.

4 Clique nos botões localizados na parte superior da página de status para controlar a varredura.

Pausar varredura Pausa a varredura antes de sua conclusão.


Cancelar varredura Cancela uma varredura em execução.

5 Quando a varredura for concluída, a página exibirá o número de arquivos varridos, o tempodecorrido e todas as detecções.

Nome da detecção Identifica o nome do malware detectado.

Tipo Mostra o tipo de ameaça.

Arquivo Identifica o arquivo infectado.

Ação realizada Descreve a última ação de segurança tomada em relação ao arquivo infectado:• Acesso negado

• Limpo

• Excluído

• Nenhum

A lista de detecções da varredura por solicitação é limpa quando a varredura por solicitaçãoseguinte é iniciada.

Utilizando o Prevenção contra ameaçasVarrer seu computador em busca de malware 3


6 Selecione uma detecção na tabela e depois clique em Limpar ou em Excluir para limpar ou excluir oarquivo infectado.

Dependendo do tipo de ameaça e das definições da varredura, essas ações podem não estardisponíveis.

7 Clique em Fechar para fechar a página.

Consulte também Tipos de varreduras na página 55Nome da detecção na página 61Atualizar conteúdo e software manualmente na página 22Gerenciar detecções de ameaças na página 59Configurar definições da política de na página 90Configurar, agendar e executar tarefas de varredura na página 95

Varrer um arquivo ou pastaClique com o botão direito no Windows Explorer para fazer uma varredura imediata em um arquivoindividual ou pasta com suspeita de infecção.


O comportamento da Varredura por clique no botão direito depende de como as configurações foram definidas.Com credenciais de administrador, é possível modificar as varreduras nas configurações da Varredura porsolicitação.

Tarefa

1 No Windows Explorer, clique com o botão direito no arquivo ou pasta a varrer e selecione Fazervarredura para encontrar ameaças no menu pop-up.

O Cliente do Endpoint Security exibe o status da varredura na página Fazer varredura para encontrarameaças.

2 Clique nos botões localizados na parte superior da página para controlar a varredura.

Pausar varredura Pausa a varredura antes de sua conclusão.


Cancelar varredura Cancela um varredura em execução.

3 Quando a varredura for concluída, a página exibirá o número de arquivos varridos, o tempodecorrido e todas as detecções.

Nome da detecção Identifica o nome do malware detectado.

Tipo Mostra o tipo de ameaça.

Arquivo Identifica o arquivo infectado.

Ação realizada Descreve a última ação de segurança tomada em relação ao arquivo infectado:• Acesso negado

• Limpo

• Excluído

• Nenhum

3 Utilizando o Prevenção contra ameaçasVarrer seu computador em busca de malware


A lista de detecções da varredura por solicitação é limpa quando a varredura por solicitaçãoseguinte é iniciada.

4 Selecione uma detecção na tabela e depois clique em Limpar ou em Excluir para limpar ou excluir oarquivo infectado.

Dependendo do tipo de ameaça e das definições da varredura, essas ações podem não estardisponíveis.

5 Clique em Fechar para fechar a página.

Consulte também Tipos de varreduras na página 55Nome da detecção na página 61Configurar definições da política de na página 90

Gerenciar detecções de ameaçasDependendo de como as configurações foram definidas, é possível gerenciar as detecções a partir doCliente do Endpoint Security.




2 Clique em Varrer agora para abrir a página Varrer sistema.

Utilizando o Prevenção contra ameaçasGerenciar detecções de ameaças 3


3 Em Varredura ao acessar, clique em Exibir detecções.

Esta opção não estará disponível se a lista não contiver detecções ou se a opção de mensagens parausuários estiver desativada.


4 Na página Varredura ao acessar, selecione uma das seguintes opções.

Limpar Tenta limpar o item (arquivo, entrada do registro) e colocá-lo na Quarentena.

O Endpoint Security usa as informações dos arquivos de conteúdo para limpararquivos. O mecanismo de varredura negará acesso a arquivos de conteúdo que nãotenham ferramentas de limpeza ou que estejam irreparavelmente danificados.Nesse caso, a McAfee recomenda excluir o arquivo da quarentena e restaurá-lo apartir de uma cópia de backup limpa.

Excluir Exclui o item que contém a ameaça.

Remover entrada Remove a entrada da lista de detecção.

Fechar Fecha a página de varredura.

Se não houver uma ação disponível para a ameaça, a opção correspondente estará desativada. Porexemplo, Limpar não estará disponível se o arquivo já tiver sido excluído.


Gerenciar itens em quarentena O Endpoint Security salva os itens que são detectados como ameaças na pasta Quarentena. É possívelexecutar ações nos itens em quarentena.


Por exemplo, você pode ser capaz de restaurar um item depois de fazer o download de uma versãomais recente do conteúdo que contém informações que limpam a ameaça.

Os itens em quarentena podem incluir vários tipos de objetos examinados, como arquivos, registros ouqualquer coisa que o Endpoint Security examine em busca de malware.

Tarefa



2 Clique em Quarentena no lado esquerdo da página.

A página mostra os itens na quarentena.

Se o Cliente do Endpoint Security não conseguir acessar o Gerenciador de quarentena, ele mostraráuma mensagem de erro de comunicação. Neste caso, reinicialize o sistema para exibir a página deQuarentena.

3 Utilizando o Prevenção contra ameaçasGerenciar itens em quarentena


3 Selecione um item do painel superior para exibir os detalhes no painel inferior.

Para... Faça isso

Alterar os tamanhos relativos dos painéis. Clique e arraste o widget em forma de faixa entreos painéis.

Ordenar itens na tabela por nome ou tipo deameaça.

Clique no cabeçalho da coluna da tabela.

4 Na página da Quarentena, realize ações nos itens selecionados.


Excluir itens daquarentena.

Selecione os itens, clique em Excluir, depois clique em Excluir novamente paraconfirmar.

Os itens excluídos não podem ser restaurados.

Restaurar itens daquarentena.

Selecione os itens, clique em Restaurar, depois clique em Restaurar novamentepara confirmar.O Endpoint Security restaura os itens ao local original e os remove daquarentena.

Se um item ainda for uma ameaça válida, o Endpoint Security o devolve àquarentena na próxima vez que o item é acessado.

Repetir varredura deitens.

Selecione os itens, depois clique em Repetir a varredura.Por exemplo, você pode repetir a varredura de um item depois de atualizarsua proteção. Se o item não for mais uma ameaça, é possível restaurá-loao local original e o removê-lo da quarentena.

Exibir um item noLog de eventos.

Selecione um item e clique no link Ver no log de eventos no painel de detalhes.A página Log de eventos é aberta, com o evento relacionado ao itemselecionado em destaque.

Obter maisinformações sobreuma ameaça.

Selecione um item, depois clique no link Obtenha mais informações sobre estaameaça no painel de detalhes.Uma nova janela do navegador é aberta para o site do McAfee Labs commais informações sobre a ameaça que fez com que o item fosse colocadoem quarentena.

Consulte também Nome da detecção na página 61Repetição de varredura de itens em quarentena na página 63Abrir o Cliente do Endpoint Security na página 19Atualizar conteúdo e software manualmente na página 22

Nome da detecçãoA quarentena informa as ameaças por nome da detecção.

Nome dadetecção

Descrição

Adware Gera receita mostrando anúncios direcionados ao usuário. O adware recebereceita do fornecedor ou de parceiros do fornecedor. Alguns tipos de adwarepodem capturar ou transmitir informações pessoais.

Discador Redireciona as conexões da Internet para outra parte que não é o ISP padrão dousuário. Os discadores são projetados para adicionar tarifas de conexão para umprovedor de conteúdo, fornecedor ou outro terceiro.

Utilizando o Prevenção contra ameaçasGerenciar itens em quarentena 3


Nome dadetecção

Descrição

Joke Afirma danificar um computador, mas não tem conteúdo nem uso malicioso. Osjokes não afetam a segurança nem a privacidade, mas podem alarmar ouincomodar o usuário.

Keylogger Intercepta dados entre o usuário que os insere e o aplicativo ao qual sedestinam. O keylogger do cavalo de Troia e de um programa potencialmenteindesejado podem ser funcionalmente idênticos. O software McAfee detectaambos os tipos para impedir invasões de privacidade.

Descobridor desenha

Permite que um usuário ou administrador recupere senhas perdidas ouesquecidas de contas ou arquivos de dados. Usado por um agressor,proporcionam acesso a informações confidenciais e são uma ameaça desegurança e privacidade.

Programapotencialmenteindesejado

Inclui muitas vezes um software legítimo (que não é malware) que pode alteraro estado de segurança ou a postura de privacidade do sistema. Esse softwarepode ser transferido por download com um programa que o usuário quer instalar.Pode incluir spyware, adware, keylogger, descobridores de senha, ferramentasde hacker e aplicativos discadores.

Ferramenta deadministraçãoremota

Dá a um administrador o controle remoto de um sistema. Essas ferramentaspodem ser uma ameaça significativa de segurança quando controladas por umagressor.

Spyware Transmite informações pessoais a uma terceira parte sem conhecimento ouconsentimento do usuário. O spyware explora os computadores infectados paraganho comercial:• Apresentando anúncios pop-up não solicitados

• Roubando informações pessoais, incluindo informações financeiras comonúmero de cartão de crédito

• Monitorando a atividade de navegação pela web para fins de marketing

• Encaminhando solicitações HTTP para sites de publicidade

Consulte também Programa potencialmente indesejado.

Indetectável É um tipo de vírus que tenta evitar a detecção de um software antivírus.Também conhecido como interceptor de interrupção.

Muitos vírus indetectáveis interceptam solicitações de acesso a disco. Quandoum aplicativo antivírus tenta ler arquivos ou setores de boot para encontrar ovírus, o vírus mostra uma imagem “limpa" do item solicitado. Outros vírusocultam o tamanho real de um arquivo infectado e mostram o tamanho doarquivo antes da infecção.

3 Utilizando o Prevenção contra ameaçasGerenciar itens em quarentena


Nome dadetecção

Descrição

Cavalo de Troia É um programa malicioso que finge ser um aplicativo benigno. Um cavalo deTroia não se reproduz, mas causa danos ou compromete a segurança docomputador.Em geral, um computador se infecta:

• Quando um usuário abre o anexo do cavalo de Troia em um e-mail.

• Quando um usuário transfere por download o cavalo de Troia a partir de umsite.

• Participando de uma rede P2P.

Como não se reproduzem, os cavalos de Troia não são considerados vírus.

Vírus Anexa-se a discos ou outros arquivos e se reproduz repetidamente, em geralsem conhecimento ou permissão do usuário.Alguns vírus se anexam a arquivos, e quando o arquivo infectado é executado, ovírus também é executado. Outros vírus residem na memória de um computadore infetam arquivos quando o computador abre, modifica ou cria arquivos. Algunsvírus exibem sintomas, enquanto outros danificam arquivos e sistemas docomputador.

Repetição de varredura de itens em quarentenaAo refazer a varredura de itens na quarentena, o Endpoint Security usa as configurações de varreduradesenvolvidas para oferecer proteção máxima.

Prática recomendada: sempre refazer a varredura dos itens em quarentena antes de restaurá-los. Porexemplo, você pode repetir a varredura de um item depois de atualizar sua proteção. Se o item não formais uma ameaça, é possível restaurá-lo ao local original e o removê-lo da quarentena.

Entre a detecção da ameaça e a realização da segunda varredura, as condições de varredura podemmudar, o que pode afetar a detecção de itens em quarentena.

Ao repetir a varredura de itens em quarentena, o Endpoint Security sempre:

• Varre arquivos codificados por MIME.

• Varre arquivos mortos compactados.

• Força uma consulta de McAfee GTI nos itens.

• Define o nível de sensibilidade do McAfee GTI como Muito alto.

Mesmo com o uso dessas configurações de varredura, a realização da segunda varredura de quarentenapode não detectar uma ameaça. Por exemplo, se os metadados do item (caminho ou local do Registro)forem alterados, a nova varredura poderá indicar um falso positivo, mesmo se o item ainda estiverinfectado.

Gerenciamento do Prevenção contra ameaçasComo administrador, você pode especificar as configurações do Prevenção contra ameaças paraimpedir acesso a ameaças e configurar varreduras.


Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças 3


Configuração de exclusõesA Prevenção contra ameaças permite que você ajuste sua proteção especificando os itens a seremexcluídos.

Por exemplo, pode ser necessário excluir alguns tipos de arquivos para impedir que um mecanismo devarredura bloqueie um arquivo usado por um banco de dados ou um servidor. Um arquivo bloqueadopode causar falhas ou gerar erros no banco de dados ou no servidor.

Prática recomendada: para melhorar o desempenho das varreduras ao acessar e por solicitação, usetécnicas de impedimento de varredura em vez de adicionar exclusões de arquivos e pastas.

As exclusões nas listas de exclusões são mutuamente exclusivas. Cada exclusão é avaliadaseparadamente das outras da lista.

Para excluir uma pasta em sistemas Windows, anexe um caractere de barra invertida (\) do caminho.

Para esterecurso...

Especifique ositens a excluir

Ondeconfigurar

Excluir itens por Usarcaracterescuringa?

Proteção de acesso Processos (paratodas as regras ouuma regraespecificada)

Proteção de acesso Nome ou caminho doarquivo do processo,hash de MD5 ousignatário

Todos, exceto ohash de MD5

Prevenção deexploração

Processos Prevenção deexploração

Nome ou caminho doarquivo do processo,hash de MD5 ousignatário

Todos, exceto ohash de MD5

Módulos dochamador

Nome ou caminho doarquivo do Módulo dochamador, hash deMD5 ou signatário

APIs Nome da API

Assinaturas ID da assinatura Não

Todas as varreduras Nomes de detecção Prevençãocontra ameaçasOpções

Nome da detecção(diferencia maiúsculase minúsculas)

Sim

Programaspotencialmenteindesejados

Nome Sim

Varredura aoacessar• Padrão

• Alto risco

• Baixo risco

Arquivos, tipos dearquivos e pastas

Varredura ao acessar Nome do arquivo ouda pasta, tipo dearquivo ou idade doarquivo

Sim

URLs do ScriptScan Nome do URL Não

3 Utilizando o Prevenção contra ameaçasGerenciamento do Prevenção contra ameaças


Para esterecurso...

Especifique ositens a excluir

Ondeconfigurar

Excluir itens por Usarcaracterescuringa?

Varredura porsolicitação• Varredura rápida


• Varredura por clique nobotão direito

Arquivos, pastas eunidades

Varredura porsolicitação

Nome do arquivo ouda pasta, tipo dearquivo ou idade doarquivo

Sim

Varredura porsolicitaçãopersonalizada

Arquivos, pastas eunidades

Em Comum |Tarefas | Adicionartarefa | Varredurapersonalizada

Nome do arquivo ouda pasta, tipo dearquivo ou idade doarquivo

Sim

Consulte também Caracteres curinga em exclusões na página 65

Caracteres curinga em exclusõesVocê pode usar caracteres curinga para representar caracteres em exclusões para varreduras dearquivos, pastas, nomes de detecção e programas potencialmente indesejados.

Tabela 3-1 Caracteres curinga válidos

Caracterecuringa

Nome Representa

? Ponto deinterrogação

Um único caractere.Esse caractere curinga é válido somente quando o número decaracteres corresponde ao tamanho do nome do arquivo ou dapasta. Por exemplo: a exclusão W?? exclui WWW, mas nãoexclui WW ou WWWW.

* Asterisco Vários caracteres, exceto a barra invertida (\).*\ no início de um caminho de arquivo não é válido. Use **\no lugar disso. Por exemplo: **\ABC\*.

** Asterisco duplo Zero ou mais caracteres quaisquer, incluindo a barra invertida(\).Esse caractere curinga corresponde a zero ou mais caracteres.Por exemplo: C:\ABC\**\XYZ corresponde a C:\ABC\DEF\XYZe C:\ABC\XYZ.

Os caracteres curinga podem aparecer na frente de uma barra invertida (\) em um caminho. Porexemplo, C:\ABC\*\XYZ corresponde a C:\ABC\DEF\XYZ.

Exclusões em nível de raizA Prevenção contra ameaças requer um caminho absoluto para as exclusões em nível de raiz. Issosignifica que não é possível usar os caracteres curinga \ ou ?:\ à esquerda para corresponder a nomesde unidades no nível raiz.

Esse comportamento é diferente de VirusScan Enterprise. Consulte o Guia de migração do McAfeeEndpoint Security.

Com a Prevenção contra ameaças, você pode usar os caracteres curinga **\ à esquerda em exclusõesem nível de raiz para corresponder a unidades de disco e subpastas. Por exemplo, **\test correspondeaos seguintes resultados:



C:\test

D:\test

C:\temp\test

D:\foo\test

Proteção de pontos de acesso do sistemaA primeira linha de defesa contra malware é proteger os pontos de acesso do sistema cliente contra oacesso de ameaças. A Proteção de acesso impede a realização de alterações não desejadas emcomputadores gerenciados, restringindo o acesso a arquivos, compartilhamentos, chaves de Registro,valores de Registro, processos e serviços especificados.

A Proteção de acesso usa regras definidas pela McAfee e regras definidas pelo usuário (tambémchamadas de regras personalizadas) para relatar ou bloquear o acesso aos itens. A Proteção de acessocompara uma ação solicitada com uma lista de regras e toma as medidas de acordo com a regra.

A Proteção de acesso deve ser ativada para detectar tentativas de acesso a arquivos,compartilhamentos, chaves de Registro, valores de Registro, processos e serviços.

Como as ameaças obtêm acessoAs ameaças obtêm acesso ao sistema usando vários pontos de acesso.

Ponto de acesso Descrição

Macros Como parte de aplicativos de processamento de texto e de planilhas.

Arquivos executáveis Programas aparentemente benignos podem conter vírus com o programaesperado. Algumas extensões de arquivo comunssão .EXE, .COM, .VBS, .BAT, .HLP e .DLL.

Scripts Associados com páginas da Internet e e-mail, scripts como ActiveX eJavaScript, podem conter vírus, se executados.

Mensagens do InternetRelay Chat (IRC)

Arquivos enviados com estas mensagens podem facilmente conter malwarecomo parte da mensagem. Por exemplo, processos de inicializaçãoautomáticos podem conter ameaças de worms e cavalos de Troia.

Arquivos de Ajuda denavegadores eaplicativos

O download destes arquivos de Ajuda expõem o sistema a vírus eexecutáveis incorporados.

E-mail Brincadeiras, jogos e imagens como parte de mensagens de e-mail comanexos.

Combinações de todosesses pontos de acesso

Os criadores de malware sofisticados combinam todos esses métodos deentrega e até mesmo incorporam partes de um malware a outros paratentar acessar o computador gerenciado.

Como a Proteção de acesso detém ameaçasA Proteção de acesso detém ameaças potenciais gerenciando ações baseadas em regras de proteçãodefinidas pela McAfee e pelo usuário.

O Prevenção contra ameaças segue este processo básico para fornecer proteção de acesso.



Quando ocorre uma ameaça

Quando um usuário ou processo age:

1 A Proteção de acesso examina a ação de acordo com as regras definidas.

2 Se a ação violar uma regra, a Proteção de acesso gerencia a ação usando as informações nasregras configuradas.

3 A Proteção de acesso atualiza o arquivo de log e gera e envia um evento para o servidor degerenciamento, se gerenciado.

Exemplo de uma ameaça de acesso

1 Um usuário baixa um programa legítimo (não malware), MyProgram.exe, da internet.

2 O usuário inicia o MyProgram.exe, e o programa aparentemente funciona como esperado.

3 O MyProgram.exe inicia um processo filho chamado AnnoyMe.exe.

4 O AnnoyMe.exe tenta modificar o sistema operacional para garantir que ele sempre seja carregadona inicialização.

5 A Proteção de acesso processa a solicitação e compara a ação com uma regra existente parabloquear e gerar relatórios.

6 A Proteção de acesso impede que o AnnoyMe.exe modifique o sistema operacional e registra osdetalhes da tentativa. A Proteção de acesso também gera e envia um alerta para o gerenciador degerenciamento.

Sobre as regras de proteção de acessoUse as regras de proteção de acesso definidas pela McAfee e pelo usuário para proteger os pontos deacesso de seu sistema.

As regras definidas pela McAfee são sempre aplicadas antes de quaisquer regras definidas pelousuário.

Tipo de regra Descrição

Regras definidaspela McAfee

• Estas regras impedem a modificação de configurações e arquivos usados comfrequência.

• Você pode ativar, desativar e alterar a configuração de regras definidas pelaMcAfee, mas você não pode excluir essas regras.

Regras definidaspelo usuário

• Estas regras complementam a proteção fornecida pelas regras predefinidas daMcAfee.

• Uma tabela de Executáveis vazia indica que a regra se aplica a todos osexecutáveis.

• Uma tabela de Nomes de usuário vazia indica que a regra se aplica a todos osusuários.

• Você pode adicionar, excluir, ativar, desativar e alterar a configuração dessasregras.

Exclusões

Como regra geral, as exclusões e inclusões são aplicadas à regra específica. Em nível de política, asexclusões são aplicáveis a todas as regras. As exclusões são opcionais.



Consulte também Remove processos da Proteção de acesso na página 73

Configurar regras de proteção de acesso definidas pela McAfeeAs regras definidas pela McAfee impedem que os usuários modifiquem configurações e arquivosusados com frequência.


É possível:

• Alterar as configurações de bloqueio e relatório dessas regras.

• Adicionar executáveis excluídos e incluídos a essas regras.

Não é possível:

• Excluir essas regras.

• Modificar os arquivos e as configurações protegidos por essas regras.

• Adicionar sub-regras ou nomes de usuário a essas regras.



2 Clique em Prevenção contra ameaças na página Status principal.

Ou, no menu Ação , selecione Configurações e clique em Prevenção contra ameaças na páginaConfigurações.


4 Clique em Proteção de acesso.

5 Modifique a regra:

a Na seção Regras, selecione Bloquear, Relatar ou ambas as opções para a regra.

• Para bloquear ou relatar tudo, selecione Bloquear ou Relatar na primeira linha.

• Para desativar a regra, desmarque Bloquear e Relatar.

b Clique duas vezes na regra definida pela McAfee a ser editada.

c Na página Editar regra definida pela McAfee, defina as configurações.

d Na seção Executáveis, clique em Adicionar, defina as configurações e clique em Salvar duas vezespara salvar a regra.


Consulte também Regras de proteção de acesso definidas pela McAfee na página 69Entrar como administrador na página 26Remove processos da Proteção de acesso na página 73



Regras de proteção de acesso definidas pela McAfeeUse as regras de proteção de acesso definidas pela McAfee para proteger seu computador contraalteração indesejadas.

Regra definida pelaMcAfee

Descrição

Navegadores que inicializamarquivos na pasta Arquivos deProgramas Baixados

Impede que o software seja instalado pelo navegador da Web.Uma vez que essa regra também pode bloquear a instalação de programasde software legítimos, instale o aplicativo antes de ativá-la ou adicione oprocesso de instalação como uma exclusão.

Por padrão, essa regra é definida como Relatar.

Essa regra impede que programas de adware e spyware instalem eexecutem executáveis a partir dessa pasta.

Alterar todos os registros deextensão de arquivos

Protege as chaves de Registro em HKEY_CLASSES_ROOT, onde asextensões de arquivos são registradas.Essa regra impede que um malware altere os registros de extensão doarquivo para que possa ser executado silenciosamente.

Prática recomendada: desativar essa regra ao instalar aplicativos válidosque modificam registros de extensão de arquivos no Registro.

Essa regra é uma alternativa mais restritiva a Hijacking.EXE e outras extensõesexecutáveis.

Alterar políticas de direitos deusuários

Protege valores do Registro que contêm informações de segurança doWindows.Essa regra impede que worms alterem contas que tenham direitos deadministrador.

Criação de novos arquivosexecutáveis na pasta Arquivosde programas

Impede a criacao de novos arquivos executaveis na pasta de Arquivos deProgramas.Essa regra impede que aplicativos de adware e spyware criem novosarquivos .EXE e .DLL e instalem novos arquivos executáveis na pastaArquivos de Programas.

Prática recomendada: instalar os aplicativos antes de ativar esta regraou colocar os processos bloqueados na lista de exclusão.

Criacao de novos arquivosexecutaveis na pasta Windows

Impede a criação de arquivos de qualquer processo, não só da rede.Essa regra impede a criação de arquivos .EXE e .DLL na pasta Windows.

Prática recomendada: adicionar os processos que devem colocar osarquivos na pasta Windows à lista de exclusão.

Desativar o Editor do Registroe o Gerenciador de tarefas

Protege as entradas de Registro do Windows, impedindo a desativação doeditor do Registro e do Gerenciador de tarefas.

Em caso de epidemia, desative essa regra para poder alterar o Registro ouabra o Gerenciador de tarefas para interromper os processos ativos.

Execução de scripts pelo hostde script do Windows(CScript.exe ou Wscript.exe)das pastas de usuário comuns

Impede que o host de scripts do Windows execute scripts VBScript eJavaScript em qualquer pasta que contenha "temp" no nome.Essa regra protege contra vários cavalos de Troia e mecanismos deinstalação da Web questionáveis, usados por aplicativos de adware espyware.

Essa regra pode bloquear a instalação e a execução de scripts legítimos eaplicativos de terceiros.




Descrição

Hijacking .EXE ou outrasextensões executáveis

Protege .EXE, .BAT e outras chaves de Registro executáveis emHKEY_CLASSES_ROOT.Essa regra impede que um malware modifique chaves de Registro paraexecutar o vírus quando outro executável estiver sendo executado.

Essa regra é uma alternativa menos restritiva em relação a Alterar todos osregistros de extensão de arquivos.

Instalar Objetos Auxiliares deNavegador ou extensões doshell

Evita que adware, spyware e cavalos de Troia que instalam ObjetosAuxiliares de Navegador façam instalações no computador host.Essa regra impede a instalação de adware e spyware nos sistemas.

Prática recomendada: permitir que aplicativos legítimos personalizadosou de terceiros instalem esses objetos adicionando-os à lista de exclusão.Após a instalação, você pode reativar a regra, pois ela não impede ofuncionamento de Objetos Auxiliares de Navegador instalados.

Instalar novos CLSIDs, APPIDse TYPELIBs

Impede a instalação ou o registro de novos servidores COM.Essa regra protege contra programas de adware e spyware que instalam asi mesmos como um complemento de COM em aplicativos do InternetExplorer ou do Microsoft Office.

Prática recomendada: permita aplicativos legítimos que registramcomplementos de COM, incluindo alguns aplicativos comuns, como o AdobeFlash, adicionando-os à lista de exclusão.

Modificar processos principaisdo Windows

Impede que arquivos sejam criados ou executados com os nomes falsosmais comuns.Essa regra impede que vírus e cavalos de Troia sejam executados com onome de um processo do Windows. Essa regra exclui arquivos do Windowsautênticos.

Modificar configurações doInternet Explorer

Bloqueia a modificação de configurações do Internet Explorer feitas porprocessos.Essa regra evita que cavalos de Troia de páginas iniciais, programas deadware e spyware modifiquem as configurações do navegador, como mudara página inicial ou instalar favoritos.

Modificar configurações derede

Impede que qualquer processo não enumerado na lista de exclusão altereas configurações de rede do sistema.Essa regra protege contra Provedores de serviço em camadas quetransmitem dados, como seu comportamento de navegação, capturando otráfego de rede e o enviando para sites de terceiros.

Prática recomendada: adicionar os processos que precisam alterar asconfigurações de rede à lista de exclusão ou desativar a regra enquanto asalterações são realizadas.

Registrar programas paraexecução automática

Bloqueia a tentativa de registro de vírus, cavalos de Troia, programas deadware e spyware para serem carregados sempre que um sistema éreiniciado.Essa regra impede que processos que não estejam na lista de exclusãoregistrem processos que são executados toda vez que o sistema éreiniciado.

Prática recomendada: adicionar aplicativos legítimos à lista de exclusãoou instalá-los antes de ativar esta regra.




Descrição

Acessar remotamente arquivosou pastas locais

Impede o acesso para leitura e gravação de computadores remotos aocomputador.Essa regra impede a proliferação de worms de compartilhamento.

Em um ambiente típico, essa regra é adequada para estações de trabalho,mas não para servidores, e é útil somente no momento em que oscomputadores estão sendo atacados.

Se um computador for gerenciado por meio do envio por push de arquivos,essa regra impedirá a instalação de atualizações ou patches. Essa regranão afeta as funções de gerenciamento do McAfee ePO.

Criar remotamente arquivos deexecução automática

Impede que outros computadores se conectem e criem ou alterem arquivosde execução automática (autorun.inf).Arquivos de execução automática são usados para iniciar arquivos deprogramas automaticamente, geralmente arquivos de configuração de CDs.

Essa regra impede a execução de aplicativos de spyware e adwaredistribuídos em CDs.

Por padrão, essa regra está selecionada para Bloquear e Relatar.

Criar ou modificarremotamente arquivos oupastas

Bloqueia o acesso para gravação a todos os compartilhamentos.Essa regra é útil em epidemias, impedindo o acesso para gravação a fim delimitar a proliferação da infecção. Essa regra bloqueia programas demalware que, em outras circunstâncias, limitariam criticamente o uso docomputador ou da rede.

Em um ambiente típico, essa regra é adequada para estações de trabalho,mas não para servidores, e é útil somente no momento em que oscomputadores estão sendo atacados.

Se um computador for gerenciado por meio do envio por push de arquivos,essa regra impedirá a instalação de atualizações ou patches. Essa regranão afeta as funções de gerenciamento do McAfee ePO.

Criar ou modificarremotamente os tipos dearquivos PortableExecutable, .INI, .PIF e aslocalizações do sistemaprincipal

Impede que outros computadores se conectem e alterem executáveis,como arquivos na pasta Windows. Essa regra afeta somente os tipos dearquivo que tipicamente são afetados por vírus.Essa regra protege contra worms ou vírus que se espalham com rapidez,que atravessam uma rede através de compartilhamentos abertos ouadministrativos.

Execução de arquivos daspastas do usuário comum

Bloqueia a execução ou inicialização de qualquer executável de qualquerpasta que contenha "temp" no nome.Essa regra protege contra programas de malware salvos e executados napasta temporária do usuário ou do sistema. Esse tipo de malware podeincluir anexos executáveis em mensagens de e-mail e programas obtidospor download.

Embora a regra ofereça a maior proteção possível, ela pode bloquear ainstalação de aplicativos legítimos.

Execução de arquivos daspastas do usuário comum porprogramas comuns

Impede que aplicativos instalem software pelo navegador ou cliente dee-mail.Essa regra impede a execução de anexos de e-mail e executáveis empáginas da Web.

Prática recomendada: para instalar um aplicativo que usa a pasta Temp,adicione o processo à lista de exclusão.

Consulte também Configurar regras de proteção de acesso definidas pela McAfee na página 68



Configurar regras de proteção de acesso definidas pelo usuárioEssas regras complementam a proteção fornecida pelas regras definidas pela McAfee. Você podeadicionar, excluir, ativar, desativar e modificar a configuração dessas regras.


Prática recomendada: para obter informações sobre como criar regras de Proteção de acesso paraproteção contra ransomware, consulte PD25203.







5 Para criar a regra, na seção Regras, clique em Adicionar.

Na página Adicionar regra, defina as configurações.

a Na seção Executáveis, clique em Adicionar, configure as propriedades do executável e clique emSalvar.

Uma tabela de Executáveis vazia indica que a regra se aplica a todos os executáveis.

b Na seção Nomes de usuário, clique em Adicionar e configure as propriedades do nome de usuário.

Uma tabela de Nomes de usuário vazia indica que a regra se aplica a todos os usuários.

c Na seção Sub-regras, clique em Adicionar e, em seguida, configure as propriedade das sub-regras.

Prática recomendada: para evitar impactos no desempenho, não selecione a operação Ler.

Na seção Destinos, clique em Adicionar, configure as informações de destino e clique em Salvar duasvezes.

6 Na seção Regras, selecione Bloquear, Relatar ou ambas as opções para a regra.




Consulte também Remove processos da Proteção de acesso na página 73

Como são avaliados os destinos em sub-regras da Proteção de acessoCada destino é adicionado com uma diretiva Incluir ou Excluir.



https://kc.mcafee.com/corporate/index?page=content&id=PD25203

Ao avaliar um evento do sistema em relação a uma sub-regra, a sub-regra avalia como verdadeiro se:

• Pelo menos um Incluir for avaliado como verdadeiro.

e

• Todas as exclusões forem avaliadas como falsas.

Excluir tem prioridade sobre Incluir. Aqui estão alguns exemplos:

• Se uma única sub-regra incluir e também excluir um arquivo C:\marketing\jjohns, a sub-regra nãoserá disparada para esse arquivo.

• Se uma sub-regra incluir todos os arquivos, mas excluir o arquivo C:\marketing\jjohns, a sub-regraserá disparada se o arquivo não for C:\marketing\jjohns.

• Se uma sub-regra incluir o arquivo C:\marketing\*, mas excluir C:\marketing\jjohns, a sub-regraserá disparada para C:\marketing\qualquer_pessoa, mas não será disparada para C:\marketing\jjohns.

Remove processos da Proteção de acessoSe um programa estiver bloqueado, exclua o processo criando uma exclusão com base em política ouregra.









5 Verifique se a Proteção de acesso está ativada.

6 Execute uma das seguintes ações:

Para... Faça isto...

Excluir processosde todas as regras.

1 Na seção Exclusões, clique em Adicionar para adicionar os processos a seremexcluídos de todas as regras.

2 Na página Adicionar executável, configure as propriedades do executável.

3 Clique em Salvar e em Aplicar para salvar as configurações.

Especificarprocessos parainclusão ouexclusão em umaregra definida porusuário.

1 Edite uma regra definida por usuário existente ou adicione uma regra.

2 Na página Adicionar regra ou Editar regra, na seção Executáveis, clique emAdicionar para adicionar um executável a ser excluído ou incluído.

3 Na página Adicionar executável, configure as propriedades do executável,inclusive se ele deve ser incluído ou excluído da proteção.

4 Clique duas vezes em Salvar e, em seguida, clique em Aplicar para salvar asconfigurações.

Bloqueio de explorações de estouro de bufferPrevenção de exploração impede que estouros de buffer explorados executem códigos arbitrários. Esterecurso monitora as chamadas de API em modo de usuário e reconhece quando são chamadas comoresultado de um estouro de buffer.Quando ocorre uma detecção, as informações são armazenadas no log de atividades, exibidas nosistema cliente e enviadas ao servidor de gerenciamento, se assim configurado.

O Prevenção contra ameaças usa o arquivo de conteúdo de Prevenção de exploração para protegeraplicativos como o Microsoft Internet Explorer, Microsoft Outlook, Outlook Express, Microsoft Word eMSN Messenger.

O Host Intrusion Prevention 8.0 pode ser instalado no mesmo sistema que o Endpoint Security versão10.5. Se o McAfee Host IPS estiver ativado, a Prevenção de exploração será desativada, mesmo seestiver ativada nas configurações de política.

Como explorações de estouro de buffer ocorremOs atacantes usam explorações de estouro de buffer para executar o código executável estourando obuffer de memória de tamanho fixo reservado para processos de entrada. Esse código permite que oatacante domine o computador de destino ou comprometa seus dados.Um grande percentual dos ataques de malware são ataques de estouro de buffer que tentamsobrescrever a memória adjacente na moldura da pilha.

Os dois tipos de explorações de estouro de buffer são:

• Ataques baseados em pilha usam os objetos de memória da pilha para armazenar entradas deusuário (mais comum).

• Ataques baseados em heap inundam o espaço de memória reservado para um programa (raro).

O objeto de memória de pilha fica vazio e aguardando a entrada do usuário. Quando um programarecebe a entrada do usuário, os dados são armazenados na parte superior da pilha e atribuídos a umendereço de memória de retorno. Quando a pilha é processada, a entrada do usuário é enviada aoendereço de retorno especificado pelo programa.



O processo a seguir descreve um ataque de estouro de buffer baseado em pilha:

1 Inundar a pilha.

Quando o programa é gravado, uma quantidade específica de espaço de memória é reservada paraos dados. A pilha estourará se os dados gravados forem maiores do que o espaço reservado paraela na pilha da memória. A situação somente é um problema quando associada a uma entradamaliciosa.

2 Explorar o estouro.

O programa aguarda a entrada do usuário. Se o atacante inserir um comando executável queexceda o tamanho da pilha, esse comanda será salvo fora do espaço reservado.

3 Executar o malware.

O comando não é executado automaticamente quando excede o espaço de buffer da pilha.Inicialmente, o programa começa a falhar em função do estouro de buffer. Se o atacante fornecerum endereço de memória de retorno que faça referência ao comando malicioso, o programatentará recuperar usando o endereço de retorno. Se o endereço de retorno for válido, o comandomalicioso será executado.

4 Explorar as permissões.

Agora, o malware é executado com as mesmas permissões do aplicativo que foi comprometido.Como os programas geralmente são executados no modo kernel ou com permissões herdadas deuma conta de serviço, o atacante agora pode obter controle total do sistema operacional.

Assinaturas e como funcionamAs assinaturas da Prevenção de exploração são coleções de regras que comparam o comportamentoem relação a ataques conhecidos e realizam uma ação ao detectar uma correspondência. A McAfeefornece assinaturas em atualizações de conteúdo da Prevenção de exploração.

As assinaturas protegem aplicativos específicos, que são definidos na lista Regras de proteção doaplicativo. Quando um ataque é detectado, a Prevenção de exploração pode interromper ocomportamento iniciado pelo ataque.

Quando o arquivo de conteúdo da Prevenção de exploração é atualizado, a lista de assinaturas éatualizada, se necessário.

É possível alterar as configurações de ação dessas assinaturas, mas não é possível adicionar, excluirou alterar essas assinaturas. Para proteger arquivos específicos, compartilhamentos, chaves deRegistro, valores de Registro, processos e serviços, crie regras de Proteção de acesso personalizadas.

Ações

Uma ação é o que a Prevenção de exploração faz quando a assinatura é disparada.

• Bloquear — Impede a operação.

• Relatar — Permite a operação e relata o evento.

Se nenhuma delas for selecionada, a assinatura será desativada. A Prevenção de exploração permite aoperação e não relata o evento.

O arquivo de conteúdo da Prevenção de exploração automaticamente define a ação para assinaturasdependendo do nível de gravidade. É possível alterar a ação para uma assinatura específica na seçãoAssinaturas das configurações da Prevenção de exploração. Qualquer alteração feita nas ações daassinatura se mantém durante as atualizações de conteúdo.



Regras comportamentais

As regras comportamentais bloqueiam ataques de dia zero e impõem comportamentos adequados aosistema operacional e aos aplicativos. As regras comportamentais heurísticas definem um perfil deatividade legítima. A atividade que não corresponder a essas regras será considerada suspeita edisparará uma resposta. Por exemplo, uma regra comportamental pode definir que somente umprocesso de servidor Web pode acessar arquivos HTML. Se qualquer outro processo tentar acessararquivos HTML, a Prevenção de exploração executará a ação especificada. Esse tipo de proteção,chamado de blindagem e encapsulamento de aplicativos, impede que os aplicativos e seus dadossejam comprometidos e impede que os aplicativos sejam usados para atacar outros aplicativos.

Além disso, as regras comportamentais bloqueiam explorações de estouro de buffer, impedindo aexecução de código que resulta de um ataque de estouro de buffer, um dos métodos de ataque maiscomuns.

Níveis de gravidade

Cada assinatura tem um nível de gravidade, que descreve o perigo em potencial de um ataque.

• Alto — Assinaturas que protegem contra ameaças de segurança ou ações maliciosas claramenteidentificáveis. A maioria dessas assinaturas é específica de explorações bem identificadas e não édo tipo comportamental.

Para evitar expor sistemas a ataques de exploração, defina as assinaturas com gravidade Alta paraBloquear em cada host.

• Média — Assinaturas que são do tipo comportamental e impedem que os aplicativos operem fora deseu ambiente (relevante para clientes que protegem servidores Web e o Microsoft SQL Server2000).

Prática recomendada: em servidores críticos, defina assinaturas com a gravidade Média paraBloquear após o ajuste.

• Baixa — Assinaturas do tipo comportamental e aplicativos de blindagem. Blindagem significabloquear o aplicativo e os recursos do sistema, de modo que eles não possam ser alterados.

A definição de assinaturas com a gravidade Baixa para Bloquear aumenta a segurança do sistema,mas requer ajuste adicional.

• Informativa — Indica uma alteração na configuração do sistema que pode criar um risco à segurançabenigno ou uma tentativa de acessar informações confidenciais do sistema. Eventos nesse nívelocorrem durante a atividade normal do sistema e, em geral, não são prova de um ataque.

• Desativada — Lista assinaturas que estão desativadas no arquivo de conteúdo da Prevenção deexploração.

Não é possível ativar assinaturas com a gravidade Desativado.

Regras de proteção do aplicativo e como elas funcionamAs Regras de proteção do aplicativo definem os executáveis que são monitorados quanto a assinaturasde Prevenção de exploração. Se um executável não estiver incluído na lista, ele não será monitorado.

As assinaturas da Prevenção de exploração incluem duas classes:

• As Assinaturas de Estouro de buffer fornecem proteção de memória monitorando o espaço damemória usado pelos processos.

• As assinaturas de API monitoram chamadas de API entre os processos em execução no modo deusuário e o kernel.



O conteúdo da Prevenção de exploração fornecido pela McAfee inclui uma lista de aplicativos que sãoprotegidos. A Prevenção contra ameaças exibe esses aplicativos na seção Regras de proteção doaplicativo das configurações de Prevenção de exploração.

Para manter a proteção atualizada, as atualizações do conteúdo da Prevenção de exploraçãosubstituem as regras de proteção do aplicativo definidas pela McAfee nas configurações de Prevenção deexploração com as regras de proteção do aplicativo mais recentes.

É possível ativar, desativar, excluir e alterar o status de inclusão das regras de proteção do aplicativodefinidas pela McAfee. Além disso, é possível criar e duplicar suas próprias regras de proteção doaplicativo. Qualquer alteração feita nessas regras será mantida ao longo das atualizações de conteúdo.

Se a lista incluir regras de proteção do aplicativo conflitantes, as regras com o Status de inclusãoExcluir terão precedência sobre Incluir.

O Cliente do Endpoint Security exibe a lista completa de aplicativos protegidos, não somente osaplicativos atualmente em execução no sistema cliente. Esse comportamento é diferente do McAfeeHost IPS.

Para sistemas gerenciados, as regras de proteção do aplicativo criadas no Cliente do Endpoint Securitynão são enviadas para o McAfee ePO e podem ser sobrescritas quando o administrador distribui umapolítica atualizada.

Definir configurações da Prevenção de exploraçãoPara evitar que aplicativos executem código arbitrário no sistema cliente, configure as exclusões daPrevenção de exploração, as assinaturas definidas pela McAfee e as regras de proteção do aplicativo.


É possível definir a ação para assinaturas definidas pela McAfee. É possível ativar, desativar, excluir ealterar o status de inclusão das regras de proteção do aplicativo definidas pela McAfee. Também épossível criar e duplicar suas próprias regras de proteção do aplicativo. Qualquer alteração feitanessas regras será mantida ao longo das atualizações de conteúdo.

Para a lista de processos protegidos pela Prevenção de exploração, consulte KB58007.






4 Clique em Prevenção de exploração.

5 Defina as configurações na página e clique em Aplicar para salvar suas alterações ou clique emCancelar.





Exclusão de processos da Prevenção de exploraçãoSe um programa confiável for bloqueado, crie uma exclusão para excluí-lo da Prevenção deexploração. É possível excluir o processo por nome do processo, módulo do chamados, API ou ID deassinatura. Também é possível criar regras de Proteção do aplicativo para incluir ou excluir processosda proteção.






4 Clique em Prevenção de exploração.

5 Verifique se a Prevenção de exploração está ativada.

6 Execute uma das seguintes ações:

Para... Faça isto...

Excluir processos detodas as regras.

1 Na seção Exclusões, clique em Adicionar.

2 Na página Adicionar exclusão, configure as propriedades de exclusão.

3 Clique em Salvar e em Aplicar para salvar as configurações.

Especificar processospara inclusão ouexclusão em uma regrade Proteção doaplicativo definida porusuário.

1 Edite uma regra definida por usuário existente ou adicione uma regrade Proteção do aplicativo.

2 Na página Adicionar regra ou Editar regra, na seção Executáveis, clique emAdicionar para adicionar executáveis a serem excluídos ou incluídos.

3 Na página Adicionar executável, configure as propriedades do executável.

4 Clique duas vezes em Salvar e, em seguida, clique em Aplicar para salvaras configurações.

Exclusões da Prevenção de exploração e como elas funcionamOcorre um falso positivo quando um comportamento normal da rotina de trabalho do usuário éinterpretado como um ataque. Para evitar falsos positivos, crie uma exclusão para essecomportamento.

As exclusões permitem reduzir alertas de falsos positivos, minimizando dados desnecessários egarantindo que os alertas emitidos sejam para ameaças de segurança legítimas.

Por exemplo, durante o processo de teste de clientes, um cliente reconhece a assinatura "Java –Criação de arquivos suspeitos na pasta Temp". A assinatura sinaliza que o aplicativo de Java estátentando criar um arquivo na pasta Temp do Windows. Um evento disparado por essa assinatura émotivo de alarme, pois um aplicativo do Java pode estar sendo usado para fazer download de malwarepara a pasta Temp do Windows. Nessa instância, você pode suspeitar, com razão, que um cavalo deTroia foi instalado. Mas se o processo normalmente criar arquivos na pasta Temp, por exemplo, salvarum arquivo usando o aplicativo do Java, crie uma exclusão para permitir essa ação.



Quando ocorre um evento de violação à Prevenção de exploração, há um processo associado e umpossível módulo de chamadas, API ou assinatura. Se você suspeitar que o evento de violação é umfalso positivo, adicione uma exclusão para um ou mais desses identificadores.

Para sistemas gerenciados, as exclusões da Prevenção de exploração criadas no Cliente do EndpointSecurity não são enviadas para o McAfee ePO e podem ser sobrescritas quando o administradordistribui uma política atualizada. Configure exclusões globais na política Prevenção de exploração noMcAfee ePO.

Ao especificar exclusões, considere o seguinte:

• Todas as exclusões são independentes: várias exclusões são conectadas por um OR lógico de modoque, se uma exclusão for correspondente, o evento de violação não ocorrerá.

• É necessário especificar pelo menos um Processo, Módulo do chamador, API ou Assinatura.

• As exclusões com o Módulo do chamador ou a API não se aplicam ao DEP.

• Para exclusões de Processo, é necessário especificar pelo menos um identificador: Nome oucaminho do arquivo, Hash de MD5 ou Signatário.

• Se você especificar mais de um identificador, todos os identificadores se aplicarão.

• Se você especificar mais de um identificador e eles não forem correspondentes (por exemplo, onome do arquivo e o hash de MD5 não se aplicarem ao mesmo arquivo), a exclusão será inválida.

• Exclusões não diferenciam maiúsculas de minúsculas.

• É permitido o uso de caracteres curinga para todos, exceto para o hash de MD5.

• Se você incluir IDs de assinatura em uma exclusão, a exclusão somente se aplicará ao processonas assinaturas especificadas. Se nenhuma ID de assinatura for especificada, a exclusão seaplicará ao processo em todas as assinaturas.

Detectar programas potencialmente indesejadosPara proteger o computador gerenciado contra programas potencialmente indesejados, especifique osarquivos e programas a serem detectados em seu ambiente e, em seguida, ative a detecção.

Programas potencialmente indesejados são programas de software incômodos ou que podem alterar oestado de segurança ou a política de privacidade do sistema. Programas potencialmente indesejadospodem ser incorporados a programas que usuários baixam intencionalmente. Programas indesejadospodem incluir programas de spyware, adware e discadores.

1 Especifique programas indesejados personalizados a detectar pelos mecanismos de varredura aoacessar e por solicitação nas definições de em Opções.

2 Ative a detecção de programas indesejados e especifique as ações a serem realizadas no caso dedetecções nestas configurações:

• Definições de de Varredura ao acessar

• Definições de de Varredura por solicitação

Consulte também Especificar programas potencialmente indesejados personalizados a detectar na página 80Ativar e configurar detecção e respostas de programas potencialmente indesejados na página80Configurar as definições de de Varredura ao acessar na página 83Configurar definições da política de na página 90



Especificar programas potencialmente indesejados personalizados adetectarEspecifique programas adicionais para os mecanismos de varredura ao acessar e por solicitação aserem tratados como programas indesejados nas definições de política Opções.


Os mecanismos de varredura detectam os programas especificados por você e os programasespecificados nos arquivos de conteúdo do AMCore.






4 Clique em Opções.

5 Em Detecções de programas potencialmente indesejados:• Clique em Adicionar para especificar o nome e a descrição opcional de um arquivo ou programa a

ser tratado como programa potencialmente indesejado.

A Descrição aparece como nome da detecção quando ocorre uma detecção.

• Clique duas vezes sobre o nome ou descrição de um programa potencialmente indesejadoexistente para modificar.

• Selecione um programa potencialmente indesejado existente, depois clique em Excluir pararemovê-lo da lista.


Ativar e configurar detecção e respostas de programas potencialmenteindesejadosAtive os mecanismos de varredura ao acessar e por solicitação para detectar programaspotencialmente indesejados e especificar respostas quando uma for encontrada.





1 Configurar definições da de Varredura ao acessar.

a Abra o Cliente do Endpoint Security.

b Clique em Prevenção contra ameaças na página Status principal.


c Clique em Mostrar opções avançadas.

d Clique em Varredura ao acessar.

e Em Configurações do processo, para cada tipo de Varredura ao acessar, selecione Detectar programasindesejados.

f Em Ações, configure as respostas aos programas indesejados.

2 Configure as definições de da Varredura por solicitação.

a Abra o Cliente do Endpoint Security.

b Clique em Prevenção contra ameaças na página Status principal.


c Clique em Mostrar opções avançadas.

d Clique em Varredura por solicitação.

e Para cada tipo de varredura (Varredura completa, Varredura rápida e Varredura por clique no botão direito):

• Selecione Detectar programas indesejados.

• Em Ações, configure as respostas aos programas indesejados.

Consulte também Configurar as definições de de Varredura ao acessar na página 83Configurar definições da política de na página 90Entrar como administrador na página 26

Configure definições de varreduras comunsPara especificar as configurações válidas para varreduras ao acessar e por solicitação, configure asdefinições da política Prevenção contra ameaças Opções.


Estas configurações se aplicam a todas as varreduras:

• O local da quarentena e o número de dias em que os itens deverão ser mantidos em quarentenaantes de serem excluídos automaticamente

• Nomes de detecção a serem excluídos das varreduras



• Proteção contra programas indesejados, como spyware e adware

• Comentário de telemetria com base no McAfee GTI



2 Clique em Prevenção contra ameaças na página principal de Status.


3 Clique em Mostrar Avançados.



Consulte também Entrar como administrador na página 26Configurar as definições de de Varredura ao acessar na página 83Configurar definições da política de na página 90

Como o McAfee GTI funcionaSe você ativar o McAfee GTI para o mecanismo de varredura ao acessar ou por solicitação, omecanismo de varredura usará heurística para verificar se há arquivos suspeitos.

O mecanismo de varredura envia impressões digitais de amostras, ou hashes, para um servidor debanco de dados central hospedado pelo McAfee Labs para determinar se elas são programas demalware. Com o envio de hashes, a detecção pode ser disponibilizada antes da próxima atualização dearquivo de conteúdo, quando o McAfee Labs publicar a atualização.

Você pode configurar o nível de sensibilidade a ser usado pelo McAfee GTI ao determinar se umaamostra detectada é malware. Quanto mais alto o nível de sensibilidade, maior o número de detecçõesde malware. No entanto, se mais detecções forem permitidas, poderá haver mais resultados falsospositivos. O nível de sensibilidade do McAfee GTI é definido como Médio por padrão. Configure o nívelde sensibilidade para cada mecanismo de varredura nas configurações de Varredura ao acessar eVarredura por solicitação.

Você pode configurar o Endpoint Security para usar um servidor proxy para recuperar informações dereputação do McAfee GTI nas configurações do Em Comum.

Para perguntas frequentes sobre o McAfee GTI, consulte KB53735.




Configurar as definições de de Varredura ao acessarEssas definições ativam e configuram a varredura ao acessar, o que inclui a especificação demensagens a serem enviadas quando uma ameaça é detectada e definições diferentes com base notipo de processo.


Consulte a Ajuda para saber sobre as configurações de Opções da Prevenção contra ameaças e obtermais opções de configuração de varredura.






4 Clique em Varredura ao acessar.

5 Selecione Ativar varredura ao acessar para ativar o mecanismo de varredura ao acessar e modificar asopções.

6 Especifique se devem ser usadas Definições padrão para todos os processos ou definiçõesdiferentes para processos de alto e baixo risco.

• Definições padrão — Configure as definições de varredura na guia Padrão.

• Definições diferentes baseadas no tipo de processo — Selecione a guia (Padrão, Alto risco ouBaixo risco) e configure as definições de varredura para cada tipo de processo.


Consulte também Entrar como administrador na página 26Configure definições de varreduras comuns na página 81

Escolher quando varrer arquivos com o mecanismo de varredura aoacessarVocê pode especificar quando o mecanismo de varredura ao acessar varre os arquivos: ao gravar nodisco, ao ler no disco ou deixar que a McAfee decida quando.

Ao gravar no disco ("Varredura de gravação")

A opção Varredura de gravação não impede acesso aos arquivos, antes ou após a varredura, e,portanto, pode deixar o sistema vulnerável a ataques.

Quando você seleciona a opção Varredura de gravação, o mecanismo de varredura examina o arquivosomente depois que ele for gravado no disco e fechado. Um processo pode executar uma operação deLeitura, Abertura ou Execução no arquivo antes que o mecanismo de varredura possa realizar uma



Varredura de gravação, o que pode resultar em infecção. Além disso, os aplicativos podem encontrarerros de SHARING_VIOLATION se acessarem o arquivo novamente após gravá-lo, enquanto umaVarredura de gravação está em andamento.

O mecanismo de varredura ao acessar examina quando os arquivos são:

• Criados ou alterados no disco rígido local.

• Copiados ou movidos de uma unidade mapeada para o disco rígido local (se a opção Nas unidades darede também estiver ativada).

• Copiados ou movidos de um disco rígido local para uma unidade mapeada (se a opção Nas unidadesda rede também estiver ativada).

Ao ler o disco ("Varredura de leitura")

Prática recomendada: ative a opção Varredura de leitura para fornecer segurança contra epidemias.

Quando você seleciona a opção Varredura de leitura, o mecanismo de varredura impede o acesso aosarquivos, a menos que seja determinado que eles sejam limpos.

O mecanismo de varredura ao acessar examina quando os arquivos são:

• Lidos, abertos ou executados no disco rígido local.

• Lidos, abertos ou executados em unidades de rede mapeadas (se a opção Nas unidades da redetambém estiver ativada).

Deixar a McAfee decidir

Prática recomendada: ative essa opção para que a proteção e o desempenho sejam melhores.

Quando você seleciona essa opção, o mecanismo de varredura ao acessar usa a lógica de confiançapara otimizar a varredura. A lógica de confiança melhora sua segurança e impulsiona o desempenhocom impedimento da varredura, evitando varreduras desnecessárias. Por exemplo, a McAfee analisa econsidera que alguns programas são confiáveis. Se a McAfee constatar que esses programas nãoforam adulterados, o mecanismo de varredura poderá realizar uma varredura reduzida ou otimizada.

Como a varredura ao acessar funcionaO mecanismo de varredura ao acessar se integra ao sistema nos níveis mais baixos (driver de filtro dosistema de arquivos) e varre arquivos onde entram primeiro no sistema.

Quando ocorrem detecções, o mecanismo de varredura ao acessar envia notificações à Interface doserviço.

Se você configurar o McAfee GTI, o mecanismo de varredura usará a heurística para verificar se háarquivos suspeitos.

Windows 8 e 10 — Se o mecanismo de varredura detectar uma ameaça no caminho de um aplicativoda Windows Store instalado, ele o marcará como adulterado. O Windows adiciona o sinalizadoradulterado ao bloco do aplicativo. Quando você tenta executá-lo, o Windows envia uma notificaçãosobre o problema e o direciona à Windows Store para efetuar uma reinstalação.

O mecanismo de varredura usa estes critérios para determinar se um item deve ser varrido:

• A extensão do arquivo corresponde à configuração.

• As informações do arquivo não estão no cache de varredura global.

• O arquivo não foi excluído ou varrido previamente.



Varredura de leitura

Quando a varredura de leitura é selecionada e há uma tentativa de leitura, abertura ou execução deum arquivo:

1 O mecanismo de varredura bloqueia a solicitação.

2 O mecanismo de varredura determina se o item precisa ser varrido.

• Se não for necessário varrer o arquivo, o mecanismo de varredura desbloqueará o arquivo,armazenará em cache as informações do arquivo e concederá a operação.

• Se for necessário varrer o arquivo, o mecanismo de varredura varrerá o arquivo, comparando-ocom assinaturas no arquivo de conteúdo do AMCore atualmente carregado.

• Se o arquivo estiver limpo, o mecanismo de varredura bloqueará o arquivo e armazenará oresultado em cache.

• Se o arquivo contiver uma ameaça, o mecanismo de varredura negará acesso ao arquivo eexecutará a ação configurada.

Por exemplo, se a ação for limpar o arquivo, o mecanismo de varredura:

1 Usará as informações do arquivo de conteúdo do AMCore carregado atualmente paralimpar o arquivo.

2 Registrará os resultados no log de atividades.

3 Notificará o usuário de que ele detectou uma ameaça em um arquivo e avisará sobre aação a ser executada (limpar ou excluir o arquivo).

Varredura de gravação

O mecanismo de varredura examina o arquivo somente depois que ele é gravado em disco e fechado.

Quando a Varredura de gravação é selecionada e um arquivo é gravado em disco:

1 O mecanismo de varredura determina se o item precisa ser varrido.

a Se não for necessário varrer o arquivo, o mecanismo de varredura armazenará as informaçõesdo arquivo em cache e concederá a operação.

b Se for necessário varrer o arquivo, o mecanismo de varredura varrerá o arquivo, comparando-ocom assinaturas no arquivo de conteúdo do AMCore atualmente carregado.

• Se o arquivo estiver limpo, o mecanismo de varredura armazenará o resultado em cache.

• Se o arquivo contiver uma ameaça, o mecanismo de varredura executará a açãoconfigurada.

O mecanismo de varredura não nega acesso ao arquivo.



Quando o cache de varredura global é removido?


A Prevenção contra ameaças remove o cache de varredura global e faz uma nova varredura de todosos arquivos quando:

• A configuração da Varredura ao acessar é alterada.

• É adicionado um arquivo Extra.DAT.

• O sistema é reinicializado no modo de segurança.

Se o processo for assinado por um certificado confiável, o certificado de assinatura será armazenadoem cache e permanecerá no cache após a reinicialização do sistema. Há menor probabilidade de omecanismo de varredura varrer arquivos acessados pelos processos que são assinados por umcertificado confiável armazenado em cache, o que resulta no impedimento de varredura e desempenhoaprimorado.



Práticas recomendadas: redução do impacto de varreduras ao acessar nosusuáriosPara minimizar o impacto das varreduras ao acessar no sistema, selecione opções para evitarimpactos no desempenho do sistema e varrer somente o que for necessário.

Escolher opções de desempenho

Algumas opções de varredura podem afetar negativamente o desempenho do sistema. Por essemotivo, somente selecione essas opções se precisar varrer itens específicos. Marque ou desmarqueessas opções nas configurações da Varredura ao acessar.

• Processos de varredura na inicialização do serviço e na atualização do conteúdo — Varre de novo todos os processosque estão atualmente na memória sempre que você:

• Você reativa as varreduras ao acessar.

• Os arquivos de conteúdo são atualizados.

• O sistema é iniciado.

• O processo McShield.exe é iniciado.

como alguns programas ou executáveis são iniciados automaticamente quando você inicializa osistema, desmarque essa opção para melhorar o tempo de inicialização do sistema.

• Varrer instaladores confiáveis — Varre arquivos MSI (instalados por msiexec.exe e assinados pela McAfeeou pela Microsoft) ou arquivos de serviço do Instalador Confiável do Windows.

desmarque essa opção para melhorar o desempenho de instaladores grandes de aplicativos daMicrosoft.

Varrer somente o que é necessário

A varredura de alguns tipos de arquivos pode afetar negativamente o desempenho do sistema. Porisso, selecione estas opções somente se precisar varrer tipos de arquivos específicos. Marque oudesmarque essas opções na seção O que varrer das configurações da Varredura ao acessar.

• Nas unidades da rede — Varre recursos em unidades de rede mapeadas.

desmarque essa opção para melhorar o desempenho.

• Abertos para backup — Varre arquivos quando estes são acessados pelo software de backup.

na maioria dos ambientes, não é necessário ativar essa configuração.

• Arquivos mortos compactados — Examina o conteúdo de arquivos mortos (compactados), incluindoarquivos .jar.

Mesmo que um arquivo morto contenha arquivos infectados, os arquivos não poderão infectar osistema até que o arquivo morto seja extraído. Quando o arquivo morto é extraído, a Varredura aoacessar examina os arquivos e detecta qualquer malware.

Sobre o ScriptScanO ScriptScan é um Objeto Auxiliar de Navegador que examina códigos JavaScript e VBScript quanto ascripts maliciosos antes que sejam executados. Se o script estiver limpo, ele será encaminhado aoJavaScript ou VBScript para tratamento. Se o ScriptScan detectar script malicioso, ele bloqueará aexecução do script.

O ScriptScan examina scripts para o Internet Explorer somente. Ele não analisa scripts em todo osistema e não examina scripts executados por wscript.exe ou cscript.exe.



Quando a Prevenção contra ameaças estiver instalada, na primeira vez que o Internet Explorer foriniciado, será exibido um aviso para habilitar um ou mais complementos da McAfee. Para que oScriptScan varra scripts:

• A configuração Ativar ScriptScan deve estar selecionada. O ScriptScan é desativado por padrão.

• O complemento deve ser ativado no navegador.

Se o ScriptScan estiver desativado quando o Internet Explorer for iniciado e ativado, ele não detectaráscripts maliciosos nessa instância do Internet Explorer. É necessário reiniciar o Internet Explorer apósativar o ScriptScan para que ele detecte scripts maliciosos.

• Se o script estiver limpo, o mecanismo de varredura de scripts o transmitirá para o Windows ScriptHost nativo.

• Se o script contiver uma ameaça em potencial, o mecanismo de varredura de scripts impedirá queele seja executado.

Práticas recomendadas: exclusões do ScriptScan

Sites com muitos scripts e aplicativos baseados na Web podem ter um desempenho ruim quando oScriptScan está ativado. Em vez de desativar o ScriptScan, recomendamos que você especifique asexclusões de URL para sites confiáveis, como sites de uma intranet ou aplicativos Web segurosconhecidos.

É possível especificar subcadeias ou URLs parciais para exclusões do ScriptScan. Se uma cadeia deexclusão corresponder a qualquer parte do URL, o URL será excluído.

Ao criar as exclusões de URL:

• Não há suporte para caracteres curinga.

• URLs mais completos resultam em desempenho aprimorado.



• Não inclua números de porta.

• Use somente Nomes de domínio totalmente qualificados (FQDN) e nomes NetBIOS.

Como determinar definições de varredura para processosSiga esse processo para determinar se é necessário configurar definições diferentes com base no tipode processo.



Configurar definições da política de Essas definições configuram o comportamento de três varreduras por solicitação predefinidas:Varredura completa, Varredura rápida e Varredura por clique no botão direito.


Consulte a Ajuda para saber sobre as configurações de Opções da Prevenção contra ameaças e obtermais opções de configuração de varredura.



2 Clique em Prevenção contra ameaças na página principal de Status.



4 Clique em Varredura por solicitação.

5 Clique em uma guia para definir as configurações para a varredura especificada.


• Varredura rápida

• Varredura por clique no botão direito


Consulte também Entrar como administrador na página 26Configure definições de varreduras comuns na página 81Configurar, agendar e executar tarefas de varredura na página 95



Como funciona a varredura por solicitaçãoO mecanismo de varredura por solicitação pesquisa os arquivos, pastas, memória e registro dosistema, e procura por qualquer malware que possa ter infectado o computador.

Você decide quando e com que frequência as varreduras por solicitação ocorrem. Você pode fazer avarredura dos sistemas manualmente, em um momento programado ou durante a inicialização dosistema.

1 O mecanismo de varredura por solicitação usa os seguintes critérios para determinar se o itemdeve ser examinado na varredura:

• A extensão do arquivo corresponde à configuração.

• O arquivo não foi armazenado em cache, excluído ou varrido anteriormente (caso o mecanismode varredura use o cache de varredura).

Se você configurar o McAfee GTI, o mecanismo de varredura usa a heurística para verificar arquivossuspeitos.

2 Se o arquivo atender aos critérios de varredura, o mecanismo de varredura fará a comparação dasinformações do item com assinaturas de programas de malware conhecidos nos arquivos deconteúdo do AMCore atualmente carregados.

• Se o arquivo estiver limpo, o resultado é armazenado em cache e o mecanismo de varreduraverifica o próximo item.

• Se o arquivo contiver uma ameaça, o mecanismo de varredura executará a ação configurada.

Por exemplo, se a ação é para limpar o arquivo, o mecanismo de varredura:

1 Usa as informações do arquivo de conteúdo AMCore carregado atualmente para limpar oarquivo.

2 Registra os resultados no log de atividades.

3 Notifica o usuário sobre a detecção de uma ameaça no arquivo e inclui o nome do item e aação executada.

Windows 8 e 10 — Se o mecanismo de varredura detectar uma ameaça no caminho de umaplicativo da Windows Store instalado, ele o marcará como adulterado. O Windows adiciona osinalizador adulterado ao bloco do aplicativo. Quando você tenta executá-lo, o Windows enviauma notificação sobre o problema e o direciona à Windows Store para efetuar uma reinstalação.

3 Se o item não atender aos requisitos de varredura, o mecanismo de varredura não o verifica. Aoinvés disso, o mecanismo continua até haja ocorrido a varredura de todos os dados.



A lista de detecções da varredura por solicitação é limpa quando a varredura por solicitação seguinte éiniciada.

O Prevenção contra ameaças limpa o cache de varredura global e realiza uma nova varredura de todosos arquivos quando um Extra.DAT é carregado.

Práticas recomendadas: redução do impacto de varreduras por solicitaçãonos usuáriosPara minimizar o impacto das varreduras por solicitação no sistema, selecione opções para evitarimpactos no desempenho do sistema e varrer somente o que for necessário.

Varrer somente quando o sistema estiver ociosoA forma mais fácil de garantir que a varredura não tenha impacto nos usuários é executar a varredurapor solicitação somente quando o computador estiver ocioso.

Quando a opção está ativada, a Prevenção contra ameaças pausa a varredura ao detectar atividade dodisco ou do usuário, como acesso usando o teclado ou o mouse. A Prevenção contra ameaçasretomará a varredura se o usuário não acessar o sistema por três minutos.

Opcionalmente é possível:

• Permitir que os usuários retomem as varreduras que foram pausadas devido à atividade dousuário.

• Voltar a executar a varredura somente quando o sistema estiver ocioso.

Desative essa opção somente em sistemas de servidor e sistemas que os usuários acessam usando aRDP (Remote Desktop Connection - Conexão de área de trabalho remota). A Prevenção contraameaças depende do McTray para determinar se o sistema está ocioso. Em sistemas acessados apenaspor RDP, o McTray não é iniciado e o mecanismo de varredura por solicitação jamais é executado. Paracontornar esse problema, os usuários podem iniciar o McTray (em C:\Arquivos de programas\McAfee\Agent\mctray.exe, por padrão) manualmente quando entrarem usando a RDP.



Selecione Varrer somente quando o sistema estiver ocioso na seção Desempenho na guia de Configurações deTarefa de varredura.

Pausar varreduras automaticamente

Para melhorar o desempenho, você pode pausar varreduras por solicitação quando o sistema estiverfuncionando com bateria. Você também pode pausar a varredura quando um aplicativo, como umnavegador, tocador de mídia ou apresentação, estiver sendo executado no modo de tela cheia. Avarredura é retomada automaticamente quando o sistema for conectado à energia ou não estiver maisno modo de tela cheia.

• Não varra quando o sistema estiver funcionando com bateria

• Não varra quando o sistema estiver no modo de apresentação (disponível quando a opção Varrer a qualquer momentoestá selecionada)

Selecione essas opções na seção Desempenho da guia Configurações da Tarefa de varredura.

Permitir que os usuários adiem varreduras

Se você escolher Varrer a qualquer momento, poderá permitir que os usuários adiem varreduras agendadasem incrementos de uma hora, até 24 horas ou permanentemente. Cada adiamento de usuário podedurar uma hora. Por exemplo, se a opção Número máximo de horas que o usuário pode adiar estiver configuradacomo 2, o usuário poderá adiar a tarefa de varredura duas vezes (por duas horas). Quando o númeromáximo especificado de horas terminar, a varredura continuará. Se você permitir adiamentosilimitados configurando a opção como 0, o usuário poderá continuar adiando a varredurapermanentemente.

Selecione Usuário pode adiar varreduras na seção Desempenho da guia Configurações da Tarefa devarredura.

Limitar atividades de varredura com varreduras incrementais

Use varreduras incrementais, ou retomáveis, para estabelecer limites quando as atividades devarredura por solicitação ocorrerem e ainda varrer todo o sistema em várias sessões. Para usar avarredura incremental, adicione um limite de tempo à varredura agendada. A varredura éinterrompida quando o limite de tempo é alcançado. Na próxima vez em que essa tarefa for iniciada,ela continuará a partir do ponto do arquivo e da estrutura de pasta em que a varredura anterior foiinterrompida.

Selecione Interromper a tarefa caso ela seja executada por mais de na seção Opções da guia Agendamento daTarefa de varredura.

Configurar a utilização do sistema

A utilização do sistema especifica o período de tempo de CPU que o mecanismo de varredura recebedurante a varredura. Para sistemas com atividade do usuário final, defina a utilização do sistema comoBaixa.

Selecione Utilização do sistema na seção Desempenho da guia Configurações da Tarefa de varredura.



Varrer somente o que é necessário

A varredura de alguns tipos de arquivos pode afetar negativamente o desempenho do sistema. Porisso, selecione estas opções somente se precisar varrer tipos de arquivos específicos. Selecione oudesmarque essas opções na seção O que varrer da guia Configurações da Tarefa de varredura.

• Arquivos migrados para o armazenamentoAlgumas soluções de armazenamento de dados offline substituem arquivos por um arquivo stub.Quando o mecanismo de varredura encontra um arquivo stub, o que indica que o arquivo foimigrado, o mecanismo de varredura restaura o arquivo para o sistema local antes da varredura. Oprocesso de restauração pode impactar negativamente o desempenho do sistema.

desmarque essa opção a menos que precise varrer especificamente os arquivos armazenados.

• Arquivos mortos compactadosMesmo que um arquivo morto contenha arquivos infectados, os arquivos não poderão infectar osistema até que o arquivo morto seja extraído. Quando o arquivo morto é extraído, a Varredura aoacessar examina os arquivos e detecta qualquer malware.

Prática recomendada: como a varredura de arquivos mortos compactados pode afetarnegativamente o desempenho do sistema, desmarque essa opção para melhorar o desempenho dosistema.

Consulte também Configurar definições da política de na página 90Configurar, agendar e executar tarefas de varredura na página 95

Como funciona a utilização do sistemaO mecanismo de varredura por solicitação usa as configurações “Definir prioridade” do Windows para oprocesso de varredura e prioridade de threads. A configuração da utilização do sistema (limitação)permite que o sistema operacional defina o período de tempo de CPU que o mecanismo de varredurapor solicitação recebe durante o processo de varredura.

Configurar a utilização do sistema para varredura como Baixo fornece um desempenho aprimoradopara outros aplicativos em execução. A configuração baixa é útil para sistemas com atividade deusuário final. Inversamente, ao configurar a utilização do sistema como Normal, a varredura éconcluída mais rapidamente. A configuração normal é útil para sistemas que tenham grandes volumese pouca atividade de usuário final.

Cada tarefa é executada de forma independente, sem levar em consideração os limites das outrastarefas.

Tabela 3-2 Configurações de processo padrão

Configurações deprocesso do Prevençãocontra ameaças

Esta opção... Configurações de“Definir prioridade” doWindows

Baixo Fornece um desempenho aprimorado paraoutros aplicativos em execução. Select thisoption for systems with end-user activity.

Baixo

Abaixo do normal Configura a utilização do sistema paravarredura com o valor padrão do McAfeeePO.

Abaixo do normal

Normal (Padrão) Permite que a varredura seja concluída commais rapidez. Selecione essa opção parasistemas que tenham grandes volumes epouca atividade de usuário final.

Normal



Como funciona a varredura de Armazenamento remotoVocê pode configurar o mecanismo de varredura por solicitação para varrer o conteúdo de arquivosgerenciados pelo Armazenamento remoto.

O Armazenamento remoto monitora a quantidade de espaço disponível no sistema local. Quandonecessário, o Armazenamento remoto automaticamente migra o conteúdo (dados) de arquivosqualificados do sistema cliente para um dispositivo de armazenamento, como uma biblioteca de fitas.Quando um usuário abre um arquivo cujos dados foram migrados, o Armazenamento remotoautomaticamente recupera os dados do dispositivo de armazenamento.

Selecione a opção Arquivos migrados para o armazenamento para configurar o mecanismo de varredura porsolicitação e varrer arquivos gerenciados pelo Armazenamento remoto. Quando o mecanismo devarredura encontra um arquivo com conteúdo migrado, ele restaura o arquivo para o sistema localantes da varredura.

Para obter mais informações, consulte O que é o Armazenamento remoto.

Configurar, agendar e executar tarefas de varredura É possível agendar tarefas padrão de Varredura completa e Varredura rápida ou criar tarefas de varredurapersonalizadas a partir do Cliente do Endpoint Security nas configurações Em Comum.







5 Configure as definições da tarefa de varredura na página.


Crie uma tarefa devarredura personalizada.


2 Digite o nome, selecione Varredura personalizada na lista suspensa eclique em Próximo.

3 Configure as definições da tarefa de varredura e agendamento eclique em OK para salvar a tarefa.

Altere uma tarefa devarredura.

• Clique duas vezes na tarefa, faça as suas alterações e, em seguida,clique em OK para salvar a tarefa.

Remova uma tarefa devarredura personalizada.




http://technet.microsoft.com/en-us/library/cc759742(v=ws.10).aspx


Crie uma cópia de umatarefa de varredura.


2 Digite o nome, configure as definições e clique em OK para salvar atarefa.

Altere o agendamentopara uma tarefa deVarredura completa ouVarredura rápida.

1 Clique duas vezes em Varredura completa ou Varredura rápida.

2 Clique na guia Agendamento, mude o agendamento e clique em OK parasalvar a tarefa.

É possível configurar as configurações de tarefa Varredura completa eVarredura rápida somente em sistemas autogerenciados.

Por padrão, a Varredura completa está agendada para ser executada todaquarta-feira à meia-noite. A Varredura Rápida está agendada para serexecutada para todos os dias às 19h. Os agendamentos estão ativados.

Execute uma tarefa devarredura.





Consulte também Entrar como administrador na página 26Configurar definições da política de na página 90Executar uma Varredura completa ou uma Varredura rápida na página 56

Referência da interface do Cliente do Endpoint Security —Prevenção contra ameaças


Conteúdo Página Quarentena Prevenção contra ameaças — Proteção de acesso Prevenção contra ameaças — Prevenção de exploração Prevenção contra ameaças — Varredura ao acessar Prevenção contra ameaças — Varredura por solicitação Varrer locais McAfee GTI Ações Adicionar exclusão ou Editar exclusão Prevenção contra ameaças — Opções tarefa do cliente Reverter conteúdo do AMCore

3 Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças


Página QuarentenaGerencia os itens na Quarentena.

Tabela 3-3 Opções

Opção Definição

Excluir Exclui itens selecionados da Quarentena.Os itens excluídos não podem ser restaurados.

Restaurar Restaura itens da Quarentena.O Endpoint Security restaura os itens ao local original e os remove da Quarentena.

Se um item ainda for uma ameaça válida, o Endpoint Security o devolveimediatamente à Quarentena.

Repetir a varredura Realiza uma nova varredura em itens selecionados na Quarentena.Se o item não for mais uma ameaça, o Endpoint Security restaura-o ao local originale remove-o da Quarentena.

Cabeçalho da coluna Ordena a lista de quarentena por...

Nome da detecção Nome da detecção.

Tipo Tipo de ameaça, como cavalo de Troia ou Adware.

Tempo em quarentena O período de tempo em que o item está em quarentena.

Número de objetos O número de objetos na detecção.

Versão do conteúdo do AMCore O número de versão do conteúdo do AMCore que identificou a ameaça.

Status da nova varredura O status da nova varredura, caso item tenha sido varrido novamente:• Limpo — A nova varredura não resultou em detecção de ameaças.

• Infectado — O Endpoint Security detectou uma ameaça durante a novavarredura.

Consulte também Gerenciar itens em quarentena na página 60Nome da detecção na página 61Repetição de varredura de itens em quarentena na página 63

Prevenção contra ameaças — Proteção de acessoProteja os pontos de acesso do sistema com base em regras configuradas. A Proteção de acessocompara uma ação solicitada com uma lista de regras configuradas e toma medidas de acordo com aregra.

Prática recomendada: para obter informações sobre como criar regras de Proteção de acesso paraproteção contra ransomware, consulte PD25203.

Tabela 3-4 Opções


PROTEÇÃO DE ACESSO Ativar proteção de acesso Ativa o recurso da Proteção de acesso.

Utilizando o Prevenção contra ameaçasReferência da interface do Cliente do Endpoint Security — Prevenção contra ameaças 3


https://kc.mcafee.com/corporate/index?page=content&id=PD25203


Seção Opção Descrição

Exclusões Permite o acesso aos processos especificados, também designados comoexecutáveis, para todas as regras.• Adicionar — Adiciona um processo à lista de exclusões.

• Clicar duas vezes em um item — Altera o item selecionado.

• Excluir — Exclui o item selecionado.

• Duplicar — Cria uma cópia do item selecionado.

Regras Configura as regras de Proteção de acesso.Você pode ativar, desativar e alterar as regras definidas pela McAfee, mas não podeexcluí-las.

• Adicionar — Cria uma regra personalizada e a adiciona à lista.




• Bloquear (somente) — Bloqueia as tentativas de acesso sem registrá-las em log.

• Relatar (somente) — Registra em log sem bloquear tentativas de acesso.

• Bloquear e Relatar — Bloqueia e registra em log as tentativas de acesso.

Prática recomendada: quando o impacto total de uma regra não for conhecido,selecione Relatar, mas não Bloquear, para receber um aviso sem bloquear as tentativasde acesso. Para determinar se o acesso deve ser bloqueado, monitore os logs e osrelatórios.

Para bloquear ou relatar tudo, selecione Bloquear ou Relatar na primeira linha.

Para desativar a regra, desmarque Bloquear e Relatar.

Consulte também Configurar regras de proteção de acesso definidas pela McAfee na página 68Configurar regras de proteção de acesso definidas pelo usuário na página 72Adicionar exclusão ou Editar exclusão na página 108Página Adicionar regra ou Editar regra na página 98Regras de proteção de acesso definidas pela McAfee na página 69

Página Adicionar regra ou Editar regraAdicionar ou editar regras de proteção de acesso definidas pelo usuário.



Tabela 3-6 Opções


Opções Nome Especifica ou indica o nome da regra. (Obrigatório)

Ação Especifica as ações da regra.• Bloquear (somente) - Bloqueia as tentativas de acesso sem registrá-las em log.

• Relatar (somente) - Avisa sobre tentativas de acesso sem bloqueá-las.

• Bloquear e Relatar — Bloqueia e registra em log as tentativas de acesso.

Prática recomendada: quando o impacto total de uma regra não for conhecido,selecione Relatar, mas não Bloquear, para receber um aviso sem bloquear astentativas de acesso. Para determinar se o acesso deve ser bloqueado, monitoreos logs e os relatórios.



Executáveis Especifica os executáveis para a regra.• Adicionar - Cria um executável e adiciona-o à lista.

• Clicar duas vezes em um item - Altera o item selecionado.



• Alternar status de inclusão — Altera o status de inclusão do item entre Incluir e Excluir.

Nomes deusuário

Especifica os nomes de usuário aos quais a regra se aplica (apenas para regrasdefinidas pelo usuário).• Adicionar — Seleciona um nome de usuário e o adiciona à lista.




• Alternar status de inclusão — Altera o status de inclusão do item entre Incluir e Excluir.

Sub-regras Configurar sub-regras (apenas para regras definidas pelo usuário).• Adicionar — Cria uma sub-regra e a adiciona à lista.




Notas Apresenta mais informações sobre o item.

Consulte também Adicionar exclusão ou Editar exclusão na página 108Adicionar nome de usuário ou Editar nome de usuário na página 100Adicionar sub-regra ou Editar sub-regra na página 100



Adicionar nome de usuário ou Editar nome de usuárioAdicionar ou editar o usuário ao qual a regra se aplica (apenas para regras definidas pelo usuário).

Tabela 3-7 Opções

Opção Definição

Nome Especifica o nome do usuário ao qual a regra se aplica.Use este formato para especificar o usuário:

• Usuário local — As entradas válidas incluem:<nome_da_máquina>\<nome_do_usuário_local>

.\<nome_do_usuário_local>

.\administrator (para o administrador local)

• Usuário de domínio — <nome do domínio>\<nome_do_usuário do domínio>

• Sistema local — Local\System especifica a conta NT AUTHORITY\System nosistema.

Status deinclusão

Especifica o status de inclusão para o usuário.• Incluir — Dispara a regra se o usuário especificado executar o executável que viola

uma sub-regra.

• Excluir — Não dispara a regra se o usuário especificado executar o executável queviola uma sub-regra.

Consulte também Página Adicionar regra ou Editar regra na página 98

Adicionar sub-regra ou Editar sub-regraAdiciona ou edita sub-regras de Proteção de acesso definidas pelo usuário.

Tabela 3-8 Opções

Opção Definição

Nome Especifica o nome da sub-regra.

Tipo desub-regra

Especifica o tipo de sub-regra.A alteração do tipo de sub-regra remove quaisquer entradas previamente definidas natabela de destinos.

• Arquivos — Protege um arquivo ou diretório. Por exemplo, criar uma regra personalizadapara bloquear ou relatar as tentativas de excluir uma planilha do Excel que contéminformações sigilosas.

• Chave de registro - Protege a chave especificada. A chave de registro é o local onde ovalor de registro é armazenado. Por exemplo, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

• Valor de registro — Protege o valor especificado. Os valores de Registro são armazenadosnas chaves de registro e são referenciados separadamente das chaves de Registro. Porexemplo, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Autorun.

• Processos — Protege o processo especificado. Por exemplo, crie uma regra personalizadapara bloquear ou relatar tentativas de operações em um processo.

• Serviços — Protege o serviço especificado. Por exemplo, crie uma regra personalizadapara impedir que um serviço seja interrompido ou iniciado.




Opção Definição

Operações Indica as operações permitidas com o tipo de sub-regra. Você deve especificar pelomenos uma operação para aplicar à sub-regra.

Prática recomendada: para evitar impactos no desempenho, não selecione a operaçãoLer.

Arquivos:

• Alterar atributos somente leitura ou ocultos — Bloqueia ou relata alterações nos atributos dosarquivos na pasta especificada.

• Criar — Bloqueia ou relata a criação de arquivos na pasta especificada.

• Excluir — Bloqueia ou relata a exclusão de arquivos na pasta especificada.

• Executar — Bloqueia ou relata a execução de arquivos na pasta especificada.

• Alterar permissões — Bloqueia ou relata a alteração de configurações de permissões dearquivos na pasta especificada.

• Ler — Bloqueia ou relata o acesso de leitura aos arquivos especificados.

• Renomear — Bloqueia ou relata o acesso para renomeação aos arquivos especificados.




Opção Definição

Se o destino Arquivo de destino for especificado, Renomear será a única operação válida.

• Gravar — Bloqueia ou relata o acesso para gravação aos arquivos especificados.

Chave de Registro:

• Gravar — Bloqueia ou relata o acesso para gravação à chave especificada.

• Criar — Bloqueia ou relata a criação da chave especificada.

• Excluir — Bloqueia ou relata a exclusão da chave especificada.

• Ler — Bloqueia ou relata o acesso de leitura à chave especificada.

• Enumerar — Bloqueia ou relata a enumeração das subchaves da chave de Registroespecificada.

• Carregar — Bloqueia ou relata a capacidade de descarregar a chave de Registroespecificada e suas subchaves de Registro.

• Substituir — Bloqueia ou relata a substituição da chave de Registro especificada e suassubchaves por outro arquivo.

• Restaurar — Bloqueia ou relata a capacidade de salvar informações do Registro em umarquivo especificado e cópias na chave especificada.

• Alterar permissões — Bloqueia ou relata a alteração de configurações de permissões dachave de Registro especificada e suas subchaves.

Valor do Registro:

• Gravar — Bloqueia ou relata o acesso para gravação ao valor especificado.

• Criar — Bloqueia ou relata a criação do valor especificado.

• Excluir — Bloqueia ou relata a exclusão do valor especificado.

• Ler — Bloqueia ou relata o acesso de leitura ao valor especificado.

Processos:

• Qualquer acesso — Bloqueia ou relata a abertura do processo com qualquer acesso.

• Criar um thread — Bloqueia ou relata a abertura do processo com acesso para criar umthread.

• Modificar — Bloqueia ou relata a abertura do processo com acesso para modificar.

• Encerrar — Bloqueia ou relata a abertura do processo com acesso para encerrar.

• Executar — Bloqueia ou relata a execução do executável de destino especificado.Você deve adicionar pelo menos um executável de destino à regra.




Opção Definição

Para a operação Executar, um evento é gerado quando é feita uma tentativa de executaro processo de destino. Para todas as outras operações, um evento é gerado quando odestino é aberto.

Serviços:

• Iniciar — Bloqueia ou relata o início do serviço.

• Interromper — Bloqueia ou relata a interrupção do serviço.

• Pausar — Bloqueia ou relata a pausa do serviço.

• Continuar — Bloqueia ou relata a continuação do serviço após a pausa.

• Criar — Bloqueia ou relata a criação do serviço.

• Excluir — Bloqueia ou relata a exclusão do serviço.

• Ativar perfil de hardware — Bloqueia ou relata a ativação do perfil de hardware do serviço.

• Desativar perfil de hardware — Bloqueia ou relata a desativação do perfil de hardware doserviço.

• Modificar modo de inicialização — Bloqueia ou relata a modificação do modo de inicialização(Inicialização, Sistema, Automático, Manual, Desativado) do serviço.

• Modificar informações de entrada — Bloqueia ou relata a modificação de informações deentrada do serviço.

Destinos • Adicionar — Especifica os destinos da regra. Os destinos podem variar de acordo com aseleção do tipo de regra. Você deve adicionar pelo menos um destino à sub-regra.Clique em Adicionar, selecione o status de inclusão e digite ou selecione o destino quedeseja incluir ou excluir.



Consulte também Página Adicionar regra ou Editar regra na página 98Página na página 104Adicionar exclusão ou Editar exclusão na página 108



PáginaEspecificar o status de inclusão e a definição de um destino.

Tabela 3-9 Opções


Destinos Determina se o destino tem uma correspondência positiva em relação àsub-regra. Também especifica o status de inclusão para o destino.• Incluir — Indica que a sub-regra pode corresponder ao destino

especificado.

• Excluir — Indica que a sub-regra não deve corresponder ao destinoespecificado.

Adicione um parâmetro com uma diretiva Incluir ou Excluir.

Se você tiverselecionado otipo desub-regraArquivos...

Especifica o nome do arquivo, o nome da pasta, o caminho ou o destino dotipo de unidade para uma sub-regra de Arquivos.• Caminho do arquivo — Navegue para selecionar o arquivo.

• Arquivo de destino — Navegue para selecionar o caminho ou o nome doarquivo de destino para uma operação Renomear.Se o destino do Arquivo de destino estiver selecionado, (apenas) a operaçãoRenomear deverá ser selecionada.

• Tipo de unidade — Selecione o tipo de unidade de destino na lista suspensa:

• Removível — Arquivos em uma unidade USB ou outra unidade removívelconectada a uma porta USB, incluindo aquelas com o Windows To Go





instalado. Este tipo de unidade não inclui arquivos em CD, DVD oudisquete.

Bloquear esse tipo de unidade também bloqueia as unidades com oWindows To Go instalado.

• Rede — Arquivos em um compartilhamento de rede.

• Fixo — Arquivos no disco rígido local ou em outro disco rígido fixo.

• CD/DVD — Arquivos em um CD ou DVD.

• Disquete — Arquivos em um disquete.

Você pode usar ?, * e ** como caracteres curinga.

Práticas recomendadas para destinos da sub-regra Arquivos

Por exemplo, para proteger:

• Um arquivo ou uma pasta chamado(a) c:\testap, use um destino c:\testap ou c:\testap\

• O conteúdo de uma pasta, use o caractere curinga asterisco — c:\testap\*

• O conteúdo de uma pasta e suas subpastas, use dois asteriscos — c:\testap\**

Há suporte para variáveis de ambiente do sistema. As variáveis deambiente podem ser especificadas em um dos seguintes formatos:• $(EnvVar) - $(SystemDrive), $(SystemRoot)• %EnvVar% - %SystemRoot%, %SystemDrive%Nem todas as variáveis de ambiente definidas pelo sistema podem seracessadas usando a sintaxe $(var), especificamente aquelas que contêmos caracteres or. Você pode usar a sintaxe %var% para evitar esteproblema.

Não há suporte para variáveis do ambiente do usuário.





Se você tiverselecionado otipo desub-regra Chavede Registro...

Define chaves de Registro usando chaves raiz. Estas chaves root sãosuportadas:• HKLM ou HKEY_LOCAL_MACHINE

• HKCU ou HKEY_CURRENT_USER

• HKCR ou HKEY_CLASSES_ROOT

• HKCCS corresponde a HKLM/SYSTEM/CurrentControlSet e HKLM/SYSTEM/ControlSet00X

• HKLMS corresponde a HKLM/Software em sistemas de 32 e 64 bits, e aHKLM/Software/Wow6432Node somente em sistemas de 64 bits

• HKCUS corresponde a HKCU/Software em sistemas de 32 e 64 bits, e aHKCU/Software/Wow6432Node somente em sistemas de 64 bits

• HKULM tratado tanto como HKLM e HKCU

• HKULMS tratado tanto como HKLMS e HKCUS

• HKALL tratado tanto como HKLM e HKU

Você pode usar ?, * e ** como caracteres curinga e | (barra vertical) comoum caractere de escape.

Práticas recomendadas para destinos da sub-regra Chave deRegistro


• Uma chave de Registro chamada HKLM\SOFTWARE\testap, use umdestino HKLM\SOFTWARE\testap ou HKLM\SOFTWARE\testap\

• O conteúdo de uma chave de Registro, use o caractere curinga asterisco— HKLM\SOFTWARE\testap\*

• O conteúdo de uma chave de Registro e suas subchaves, use doisasteriscos — HKLM\SOFTWARE\testap\**

• Chaves de Registro e valores sob uma chave de Registro, ative a operaçãoGravar





Se você tiverselecionado otipo desub-regra Valordo Registro...

Define valores de Registro usando chaves raiz. Estas chaves raiz possuemsuporte:• HKLM ou HKEY_LOCAL_MACHINE

• HKCU ou HKEY_CURRENT_USER

• HKCR ou HKEY_CLASSES_ROOT

• HKCCS corresponde a HKLM/SYSTEM/CurrentControlSet e HKLM/SYSTEM/ControlSet00X

• HKLMS corresponde a HKLM/Software em sistemas de 32 e 64 bits, e aHKLM/Software/Wow6432Node somente em sistemas de 64 bits

• HKCUS corresponde a HKCU/Software em sistemas de 32 e 64 bits, e aHKCU/Software/Wow6432Node somente em sistemas de 64 bits

• HKULM tratado tanto como HKLM e HKCU

• HKULMS tratado tanto como HKLMS e HKCUS

• HKALL tratado tanto como HKLM e HKU

Você pode usar ?, * e ** como caracteres curinga e | (barra vertical) comoum caractere de escape.

Práticas recomendadas para destinos da sub-regra Valor deRegistro


• Um valor de Registro chamado HKLM\SOFTWARE\testap, use um destinoHKLM\SOFTWARE\testap

• Os valores de Registro sob uma chave de Registro, use o caracterecuringa asterisco — HKLM\SOFTWARE\testap\*

• Os valores de Registro sob uma chave de Registro e suas subchaves, usedois asteriscos — HKLM\SOFTWARE\testap\**





Se você tiverselecionado otipo desub-regraProcessos...

Especifica o nome do arquivo ou o caminho do processo, o hash de MD5 ouo destino do signatário para uma sub-regra Processos.Você pode usar ?, * e ** como caracteres curinga para todos, com exceçãodo hash de MD5.

Práticas recomendadas para destinos da sub-regra Processos


• Um processo chamado c:\testap.exe use um nome de arquivo ou caminhode destino c:\testap.exe

• Todos os processos de uma pasta, use o caractere curinga asterisco — c:\testap\*

• Todos os processos de uma pasta e suas subpastas, use dois asteriscos —c:\testap\**

Se você tiverselecionado otipo desub-regraServiços...

Especifica o nome do serviço ou o nome de exibição de uma sub-regraServiços.• Nome registrado de serviço — Contém o nome do serviço na chave de Registro

correspondente em HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\.

• Nome de exibição do serviço — Contém o nome de exibição do serviço do valorde Registro DisplayName em HKLM_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<nome_serviço>\ . Esse é o nome exibidono gerenciador de serviços.

Por exemplo, "Serviço de atualização do Adobe Acrobat" é o nome deexibição para o nome do serviço "AdobeARMservice".

Você pode usar ? e * como caracteres curinga.

Práticas recomendadas para destinos da sub-regra Serviços

Por exemplo, para proteger todos os serviços da Adobe por nome deexibição, use o caractere curinga asterisco: Adobe*

Consulte também Adicionar sub-regra ou Editar sub-regra na página 100

Adicionar exclusão ou Editar exclusãoAdicione ou edite um executável a ser excluído no nível da política ou a ser incluído ou excluído nonível da regra.

Ao especificar exclusões e inclusões, considere o seguinte:

• Você deve especificar pelo menos um identificador: Nome ou caminho do arquivo, Hash de MD5 ouSignatário.


• Se você especificar mais de um identificador e eles não forem correspondentes (por exemplo, onome do arquivo e o hash de MD5 não se aplicarem ao mesmo arquivo), a exclusão ou a inclusãoserão inválidas.

• Exclusões e inclusões não diferenciam maiúsculas de minúsculas.





Opção Definição

Nome Especifica o nome pelo qual você chama o executável.Este campo é necessário com, pelo menos, mais um campo: Nome ou caminho do arquivo,Hash de MD5 ou Signatário.

Status deinclusão

Determina o status de inclusão do executável.• Incluir — Dispara a regra se o executável violar uma sub-regra.

• Excluir — Não dispara a regra se o executável violar uma sub-regra.

O Status de inclusão somente é exibido quando um executável é adicionado a uma regraou ao destino da sub-regra Processos.

Nome oucaminho doarquivo

Especifica o nome ou o caminho do arquivo para o executável a ser adicionado oueditado.Clique em Procurar para selecionar o executável.

O caminho do arquivo pode incluir caracteres curinga.

Hash de MD5 Indica o hash de MD5 (número hexadecimal de 32 dígitos) do processo.

Signatário Ativar a verificação da assinatura digital — Garante que o código não foi alterado oucorrompido desde que foi assinado com um hash criptográfico.Se ativado, especifique:

• Permitir qualquer assinatura — Permite arquivos assinados por qualquer signatário deprocesso.

• Assinado por — Permite somente arquivos assinados pelo signatário de processoespecificado.Um nome distinto de signatário (SDN) é obrigatório para o executável e ele devecorresponder exatamente às entradas no campo acompanhante, incluindo vírgulas eespaços.

O signatário do processo aparece no formato correto nos eventos do Log de eventosdo Cliente do Endpoint Security e no Log de eventos de ameaça do McAfee ePO. Porexemplo:

C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION, OU=MOPR,CN=MICROSOFT WINDOWS

Para obter um SDN de um executável:

1 Clique com o botão direito do mouse em um executável e selecione Propriedades.

2 Na guia Assinaturas digitais, selecione um signatário e clique em Detalhes.

3 Na guia Geral, clique em Exibir certificado.

4 Na guia Detalhes, selecione o campo Entidade. É exibido o nome diferenciado dosignatário. Por exemplo, o Firefox possui este nome diferenciado de signatário:

• CN = Mozilla Corporation

• OU = Liberação de engenharia

• O = Mozilla Corporation

• L = Mountain View

• S = Califórnia

• C = EUA




Consulte também Página Adicionar regra ou Editar regra na página 98

Prevenção contra ameaças — Prevenção de exploraçãoAtivar e configurar a Prevenção de exploração para impedir que explorações de estouro de bufferexecutem códigos arbitrários em seu computador.

Para a lista de processos protegidos pela Prevenção de exploração, consulte KB58007.

O Host Intrusion Prevention 8.0 pode ser instalado no mesmo sistema que o Endpoint Security versão10.5. Se o McAfee Host IPS estiver ativado, a Prevenção de exploração será desativada, mesmo seestiver ativada nas configurações de política.



PREVENÇÃO DEEXPLORAÇÃO

Ativar Prevenção deexploração

Ativa o recurso de Prevenção de exploração.

Se essa opção não for ativada, o sistema ficarádesprotegido contra ataques de malware.



Prevenção contraescalonamentode privilégiosgenéricos

Ativar prevençãocontraescalonamentode privilégiosgenéricos

Ativa o suporte à GPEP (Prevenção contra escalonamento de privilégiosgenéricos).(Desativado por padrão)A GPEP usa assinaturas de GPEP no Conteúdo da prevenção deexploração de modo a fornecer cobertura para explorações deescalonamento de privilégios no modo kernel e no modo de usuário.

Se essa opção for ativada, a gravidade da assinatura 6052 do estourode buffer da GPEP aumentará para Alta, assim, será bloqueada ourelatada, dependendo da ação especificada pela política.

Como a GPEP pode gerar relatórios com falsos positivos, essa opção édesativada por padrão.

Prevenção deexecução dedados doWindows

Ativar prevençãode execução dedados doWindows

Ativa a integração da DEP (Prevenção de execução de dados) doWindows.(Desativado por padrão)Selecione esta opção para:

• Ativar a DEP para aplicativos de 32 bits na lista de proteção doaplicativo da McAfee, se ainda não estiver ativada, e a utilizar nolugar da GBOP (Proteção contra estouro de buffer genérico).A validação do chamador e o monitoramento de API de destino aindasão impostos.

• Monitorar detecções de DEP em aplicativos de 32 bits compatíveiscom DEP.

• Monitorar detecções de DEP em aplicativos de 64 bits na lista deproteção de aplicativos da McAfee.

• Registrar em log todas as detecções da DEP e enviar um evento parao McAfee ePO.

A desativação dessa opção não afeta nenhum processo que tenha aDEP ativada como resultado da política da DEP do Windows.






Exclusões Especifica o processo, o módulo do chamador, a API ou a assinatura aserem excluídos.As exclusões com o Módulo do chamador ou a API não se aplicam aoDEP.

• Adicionar — Cria uma exclusão e a adiciona à lista.




Assinaturas Altera a ação (Bloquear ou Relatar) para assinaturas de Prevenção deexploração definidas pela McAfee.Não é possível alterar a gravidade ou criar assinaturas.

Para desativar a assinatura, desmarque Bloquear e Relatar.

Mostrarassinaturas coma gravidade

Filtra a lista de Assinaturas por gravidade ou status desativado:• Alta

• Média

• Baixa

• Informativa

• Desativada

Não é possível ativar assinaturas com a gravidade Desativado.

Bloquear(somente)

Bloqueia um comportamento que corresponde à assinatura semregistrar em log.

Relatar(somente)

Registra em log um comportamento que corresponde à assinatura sembloquear.

Não é permitido selecionar Relatar somente para a ID de assinatura9990.

Bloquear eRelatar

Bloqueia e registra em log um comportamento que corresponde àassinatura.

Regras deproteção doaplicativo

Configura regras de proteção do aplicativo.• Adicionar — Cria uma regra de proteção do aplicativo e a adiciona à

lista.


• Excluir — Exclui o item selecionado. (regras definidas pelo usuáriosomente)

• Duplicar — Cria uma cópia do item selecionado. (regras definidas pelousuário somente)

Consulte também Definir configurações da Prevenção de exploração na página 77Adicionar exclusão ou Editar exclusão na página 112



Adicionar exclusão ou Editar exclusãoAdicione ou edite uma exclusão da Prevenção de exploração.


• É necessário especificar pelo menos um Processo, Módulo do chamador, API ou Assinatura.

• As exclusões com o Módulo do chamador ou a API não se aplicam ao DEP.

• Para exclusões de Processo, é necessário especificar pelo menos um identificador: Nome oucaminho do arquivo, Hash de MD5 ou Signatário.




• É permitido o uso de caracteres curinga para todos, exceto para o hash de MD5 e IDs deassinatura.

• Se você incluir IDs de assinatura em uma exclusão, a exclusão somente se aplicará ao processonas assinaturas especificadas. Se nenhuma ID de assinatura for especificada, a exclusão seaplicará ao processo em todas as assinaturas.



Processo Nome Especifica o nome do processo a ser excluído. A Prevenção de exploraçãoexclui o processo independentemente de onde ele estiver localizado.Esse campo é necessário com, pelo menos, mais um campo: Nome oucaminho do arquivo, Hash de MD5 ou Signatário.


Especifica o nome ou o caminho do arquivo para o executável a seradicionado ou editado.Clique em Procurar para selecionar o executável.






Signatário Ativar a verificação da assinatura digital — Garante que o código não foi alteradoou corrompido desde que foi assinado com um hash criptográfico.Se ativado, especifique:

• Permitir qualquer assinatura — Permite arquivos assinados por qualquersignatário de processo.

• Assinado por — Permite somente arquivos assinados pelo signatário deprocesso especificado.Um nome distinto de signatário (SDN) é obrigatório para o executável eele deve corresponder exatamente às entradas no campoacompanhante, incluindo vírgulas e espaços.

O signatário do processo aparece no formato correto nos eventos do Logde eventos do Cliente do Endpoint Security e no Log de eventos deameaça do McAfee ePO. Por exemplo:

C=US, S=WASHINGTON, L=REDMOND, O=MICROSOFT CORPORATION,OU=MOPR, CN=MICROSOFT WINDOWS


1 Clique com o botão direito do mouse em um executável e selecionePropriedades.



4 Na guia Detalhes, selecione o campo Entidade. É exibido o nomediferenciado do signatário. Por exemplo, o Firefox possui este nomediferenciado de signatário:





• S = Califórnia

• C = EUA

Módulo dochamador

Nome Especifica o nome do módulo (um DLL) carregado por um executávelproprietário na memória gravável que faz a chamada.Esse campo é necessário com, pelo menos, mais um campo: Nome oucaminho do arquivo, Hash de MD5 ou Signatário.








Signatário Ativar a verificação da assinatura digital — Garante que o código não foi alteradoou corrompido desde que foi assinado com um hash criptográfico.Se ativado, especifique:


• Assinado por — Permite somente arquivos assinados pelo signatário deprocesso especificado.Um nome distinto de signatário (SDN) é obrigatório para o executável eele deve corresponder exatamente às entradas no campoacompanhante, incluindo vírgulas e espaços.












• S = Califórnia

• C = EUA

API Nome Especifica o nome da API (Application Programming Interface - Interfacede programação do aplicativo) que está sendo chamada.

Assinaturas IDs deassinatura

Especifica identificadores de assinatura da Prevenção de exploração(separados por vírgulas).


Consulte também Exclusão de processos da Prevenção de exploração na página 78



Adicionar regra ou Editar Regra páginaAdicione ou edite regras de Proteção do aplicativo definidas pelo usuário.



Nome Especifica ou indica o nome da regra. (Obrigatório)

Status Ativa ou desativa o item.

Status deinclusão

Especifica o status de inclusão do executável.• Incluir — Dispara a regra se um executável da lista de Executáveis for

executado.

• Excluir — Não dispara a regra se um executável da lista de Executáveis forexecutado.

Executáveis Especifica os executáveis para a regra.• Adicionar — Adiciona um executável à lista.




Notas Apresenta mais informações sobre o item.Para regras de Proteção do aplicativo definidas pela McAfee, esse campocontém o nome do executável protegido.

Adicionar executável ou Editar executávelAdicione ou edite um executável em uma regra de Proteção do aplicativo.

Ao configurar executáveis, considere o seguinte:



• Se você especificar mais de um identificador e eles não forem correspondentes (por exemplo, onome do arquivo e o hash de MD5 não se aplicarem ao mesmo arquivo), a definição do executávelserá inválida.



Propriedades Nome Especifica o nome do processo.Esse campo é necessário com, pelo menos, mais um campo: Nome ou caminhodo arquivo, Hash de MD5 ou Signatário.










• Assinado por — Permite somente arquivos assinados pelo signatário deprocesso especificado.Um nome distinto de signatário (SDN) é obrigatório para o executável eele deve corresponder exatamente às entradas no campo acompanhante,incluindo vírgulas e espaços.












• S = Califórnia

• C = EUA


Prevenção contra ameaças — Varredura ao acessarAtive e configure as definições da varredura ao acessar.



VARREDURA AOACESSAR

Ativar varredura aoacessar

Ativa o recurso Varredura ao acessar.(Ativado por padrão)

Ativar varredura aoacessar nainicialização dosistema

Ativa o recurso de Varredura ao acessar cada vez que você inicia ocomputador.(Ativado por padrão)





Especifique o númeromáximo de segundospara cada varredurade arquivo

Limita cada varredura de arquivo ao número especificado desegundos.(Ativado por padrão)

O valor padrão é 45 minutos.

Se a varredura exceder o limite de tempo, será interrompida eregistrará em log uma mensagem.

Varrer setores deinicialização

Examina o setor de inicialização do disco.(Ativado por padrão)

Prática recomendada: desmarque a varredura do setor deinicialização quando um disco contiver um setor de inicializaçãoexclusivo ou atípico que não possa ser varrido.

Processos devarredura nainicialização doserviço e naatualização doconteúdo

Varre de novo todos os processos que estão atualmente namemória sempre que:• Você reativa as varreduras ao acessar.

• Os arquivos de conteúdo são atualizados.

• O sistema é iniciado.

• O processo McShield.exe é iniciado.


Prática recomendada: como alguns programas ou executáveissão iniciados automaticamente quando você inicializa o sistema,desmarque essa opção para melhorar o tempo de inicialização dosistema.

Quando o mecanismo de varredura ao acessar é ativado, elesempre varre todos os processos quando são executados.

Varrer instaladoresconfiáveis

Varre arquivos MSI (instalados pelo msiexec.exe e assinados pelaMcAfee ou pela Microsoft) ou arquivos do serviço Instaladorconfiável do Windows.(Desativado por padrão)

Prática recomendada: desmarque essa opção para melhorar odesempenho de instaladores grandes de aplicativos da Microsoft.

Varrer ao copiar entrepastas locais

Varre arquivos sempre que o usuário copia de uma pasta localpara outra.Se essa opção estiver:• Desativada — Apenas os itens na pasta de destino serão

varridos.

• Ativada — Tanto os itens da pasta de origem (leitura) quanto dapasta de destino (gravação) serão varridos.






Varrer ao copiar daspastas da rede e deunidades removíveis

Varre arquivos quando o usuário copia de uma pasta da rede ou deuma unidade USB removível.

Se a opção não for selecionada, o sistema ficará vulnerável aataques de malware.

(Ativado por padrão)

McAfee GTI Ativa e define as configurações do McAfee GTI.

ScriptScan Ativar ScriptScan Ativa a varredura de scripts JavaScript e VBScript no InternetExplorer para impedir que scripts indesejados sejam executados.(Desativado por padrão)

Se o ScriptScan estiver desativado quando o Internet Explorer foriniciado e ativado, ele não detectará scripts maliciosos nessainstância do Internet Explorer. É necessário reiniciar o InternetExplorer após ativar o ScriptScan para que ele detecte scriptsmaliciosos.

Excluir estes URLs ouURLs parciais

Especifica exclusões do ScriptScan por URL.Adicionar — Adiciona um URL à lista de exclusões.

Excluir — Remove um URL da lista de exclusões.

Os URLs não podem incluir caracteres curinga. Contudo, qualquerURL que contenha uma cadeia de um URL excluído também seráexcluído. Por exemplo, se o URL msn.com for excluído, osseguintes URLs também serão excluídos:• http://weather.msn.com

• http://music.msn.com



Mensagens parausuários ao detectarameaças

Exibir a janela Varreduraao acessar para osusuários quando umaameaça for detectada

Exibe a página Varredura ao acessar com a mensagemespecificada aos usuários do cliente em caso de detecção.(Ativado por padrão)

Quando essa opção está selecionada, os usuários podemabrir essa página na página Varrer agora a qualquer momentoquando a lista de detecção incluir pelo menos uma ameaça.

A lista de detecções da varredura ao acessar é limpa quandoo serviço do Endpoint Security é reiniciado ou sistema éreinicializado.

Mensagem Especifica a mensagem a ser exibida aos usuários do clienteem caso de detecção.A mensagem padrão é: O McAfee Endpoint Security detectou umaameaça.

Configurações deprocesso

Usar configurações padrãoem todos os processos

Aplica as mesmas definições configuradas para todos osprocessos ao executar uma varredura ao acessar.

Definir configuraçõesdiferentes para processosde alto risco e baixo risco

Configura definições de varredura diferentes para cada tipode processo que você identifica.





Padrão Configura as definições dos processos que não sãoidentificados como de alto risco nem de baixo risco.(Ativado por padrão)

Alto risco Configura as definições dos processos de alto risco.

Baixo risco Configura as definições dos processos de baixo risco.

Adicionar Adiciona um processo à lista de Alto risco ou Baixo risco.

Excluir Remove um processo da lista de Alto risco ou Baixo risco.

Varrendo Quando varrer

Ao gravar no disco Tenta varrer todos os arquivos quando são gravados oualterados no computador ou em outro dispositivo dearmazenamento de dados.

Ao ler o disco Varre todos os arquivos à medida que são lidos nocomputador ou em outro dispositivo de armazenamento dedados.

Deixar a McAfee decidir Permite que a McAfee decida se um arquivo deve ser varrido,usando lógica de confiança para otimizar a varredura. Alógica de confiança melhora sua segurança e impulsiona odesempenho evitando varreduras desnecessárias.

Prática recomendada: ative essa opção para que aproteção e o desempenho sejam melhores.

Não varrer ao ler ou gravarem disco

Especifica que somente os processos de Baixo risco não sejamvarridos.

O que varrer

Todos os arquivos Varre todos os arquivos, independentemente da extensão.

Se a opção não for selecionada, o sistema ficará vulnerávela ataques de malware.

Tipos de arquivo padrão eespecificados

Varreduras:• A lista padrão de extensões de arquivos definida no

arquivo atual do conteúdo do AMCore, incluindo arquivossem extensão

• Quaisquer extensões de arquivo adicionais que vocêespecificaExtensões separadas por vírgula.

• (Opcional) Ameaças de macro conhecidas na lista deextensões de arquivos padrão e especificadas

Somente tipos de arquivoespecificados

Varre um ou ambos:• Somente os arquivos com as extensões (separadas por

vírgulas) especificadas por você

• Todos os arquivos sem extensão

Nas unidades da rede Varre recursos em unidades de rede mapeadas.

Prática recomendada: desmarque essa opção paramelhorar o desempenho.





Abertos para backup Varre arquivos quando estes são acessados pelo software debackup.

Prática recomendada: na maioria dos ambientes, não énecessário ativar essa configuração.

Arquivos mortoscompactados

Examina o conteúdo de arquivos mortos (compactados),incluindo arquivos .jar.

Prática recomendada: como a varredura de arquivosmortos compactados pode afetar negativamente odesempenho do sistema, desmarque essa opção paramelhorar o desempenho do sistema.

Arquivos codificados porMIME compactados

Detecta, decodifica e varre arquivos codificados por MIME(Multipurpose Internet Mail Extensions).

Opções de varredura adicionais

Detectar programasindesejados

Ativa o mecanismo de varredura para detectar programaspotencialmente indesejados.O mecanismo de varredura usa as informações que vocêconfigurou nas definições de Opções da Prevenção contraameaças para detectar programas potencialmenteindesejados.

Detectar ameaças deprograma desconhecidas

Usa o McAfee GTI para detectar arquivos executáveis quetenham códigos semelhantes a malware.

Detectar ameaças demacro desconhecidas

Usa o McAfee GTI para detectar vírus de macrodesconhecidos.

Ações Especifique como o mecanismo de varredura responde aodetectar uma ameaça.

Exclusões Especifica arquivos, pastas e unidades a serem excluídos davarredura.

Adicionar Adiciona um item à lista de exclusão.

Excluir Remove um item da lista de exclusão.

Consulte também Configurar as definições de de Varredura ao acessar na página 83McAfee GTI na página 126Ações na página 127Adicionar exclusão ou Editar exclusão na página 128

Prevenção contra ameaças — Varredura por solicitaçãoDefine as configurações de Varredura por solicitação das varreduras pré-configuradas e personalizadasque são executadas em seu sistema.

Consulte as configurações do módulo Em Comum para verificar a configuração de registro em log.



Essas configurações especificam o comportamento do mecanismo de varredura quando você:

• Seleciona Varredura completa ou Varredura rápida na página Varrer agora no Cliente do Endpoint Security.

• Como administrador, executa uma tarefa de varredura por solicitação personalizada em Configurações| Em Comum | Tarefas no Cliente do Endpoint Security.

• Clique com o botão direito em um arquivo ou pasta e selecione Fazer varredura para encontrar ameaças nomenu pop-up.



O que varrer Setores deinicialização

Examina o setor de inicialização do disco.

Prática recomendada: desmarque a varredura do setor deinicialização quando um disco contiver um setor de inicializaçãoexclusivo ou atípico que não possa ser varrido.

Arquivos migradospara o armazenamento

Varre arquivos gerenciados pelo Armazenamento remoto.Algumas soluções de armazenamento de dados offline substituemarquivos por um arquivo stub. Quando o mecanismo de varreduraencontra um arquivo stub, o que indica que o arquivo foi migrado,o mecanismo de varredura restaura o arquivo para o sistema localantes da varredura. O processo de restauração pode impactarnegativamente o desempenho do sistema.

Prática recomendada: desmarque essa opção a menos queprecise varrer especificamente os arquivos armazenados.

Arquivos codificadospor MIMEcompactados

Detecta, decodifica e varre arquivos codificados por MIME(Multipurpose Internet Mail Extensions).

Arquivos mortoscompactados

Examina o conteúdo de arquivos mortos (compactados), incluindoarquivos .jar.

Prática recomendada: selecione essa opção somente emvarreduras agendadas fora do horário comercial, quando osistema não está sendo usado, pois a varredura de arquivosmortos compactados pode afetar negativamente o desempenhodo sistema.

Subpastas(somente Varredurapor clique no botãodireito)

Examina todas as subpastas da pasta especificada.

Opções devarreduraadicionais

Detectar programasindesejados

Ativa o mecanismo de varredura para detectar programaspotencialmente indesejados.O mecanismo de varredura usa as informações que vocêconfigurou nas definições de Opções da Prevenção contra ameaçaspara detectar programas potencialmente indesejados.

Detectar ameaças deprogramadesconhecidas

Usa o McAfee GTI para detectar arquivos executáveis que tenhamcódigos semelhantes a malware.

Detectar ameaças demacro desconhecidas

Usa o McAfee GTI para detectar vírus de macro desconhecidos.

Locais devarredura

(SomenteVarredura completa eVarredura rápida)

Especifica os locais a serem varridos.Essas opções são aplicáveis somente à Varredura completa, à Varredurarápida e às varreduras personalizadas.





Tipos de arquivopara varredura

Todos os arquivos Varre todos os arquivos, independentemente da extensão.A McAfee recomenda com veemência ativar Todos os arquivos.

Se a opção não for selecionada, o sistema ficará vulnerável aataques de malware.

Tipos de arquivopadrão eespecificados

Varreduras:• A lista padrão de extensões de arquivos definida no arquivo

atual do conteúdo do AMCore, incluindo arquivos sem extensão

• Quaisquer extensões de arquivo adicionais que você especificaExtensões separadas por vírgula.

• (Opcional) Ameaças de macro conhecidas na lista de extensõesde arquivos padrão e especificadas

Somente tipos dearquivo especificados

Varre um ou ambos:• Somente os arquivos com as extensões (separadas por vírgulas)

especificadas por você

• Todos os arquivos sem extensão

McAfee GTI Ativa e define as configurações do McAfee GTI.

Exclusões Especifica arquivos, pastas e unidades a serem excluídos davarredura.

Adicionar Adiciona um item à lista de exclusão.

Excluir Remove um item da lista de exclusão.

Ações Especifique como o mecanismo de varredura responde ao detectaruma ameaça.

Desempenho Usar o cache devarredura

Permite que o mecanismo de varredura use os resultados devarredura limpos existentes.

Prática recomendada: selecione essa opção para reduzir onúmero de varreduras duplicadas e melhorar o desempenho.





Utilização do sistema Permite que o sistema operacional especifique o período de tempode CPU que o mecanismo de varredura recebe durante avarredura.Cada tarefa é executada de forma independente, sem levar emconsideração os limites das outras tarefas.

• Baixo — Fornece desempenho aprimorado para outros aplicativosem execução.

Prática recomendada: selecionar esta opção para sistemascom atividade de usuário final.

• Abaixo do normal — Configura a utilização do sistema paravarredura com o padrão do McAfee ePO.

• Normal (Padrão) — Permite que a varredura seja concluída commaior rapidez.

Prática recomendada: selecionar esta opção para sistemasque tenham grandes volumes e pouca atividade de usuáriofinal.

Opções devarreduraagendada

Essas opções são aplicáveis somente à Varredura completa, à Varredurarápida e às varreduras personalizadas.

Varrer apenas quandoo sistema estiverocioso

Executa a varredura apenas quando o sistema está ocioso.A Prevenção contra ameaças pausa a varredura quando o usuárioacessa o sistema usando o teclado ou o mouse. A Prevençãocontra ameaças retoma a varredura quando o usuário (e a CPU)ficam ociosos por cinco minutos.

Desative essa opção somente em sistemas de servidor e sistemasque os usuários acessam usando a RDP (Remote DesktopConnection - Conexão de área de trabalho remota). A Prevençãocontra ameaças depende do McTray para determinar se o sistemaestá ocioso. Em sistemas acessados apenas por RDP, o McTray nãoé iniciado e o mecanismo de varredura por solicitação jamais éexecutado. Para contornar esse problema, os usuários podeminiciar o McTray (em C:\Arquivos de programas\McAfee\Agent\mctray.exe, por padrão) manualmente quando entrarem usando aRDP.

Varrer a qualquermomento

Executa a varredura mesmo se o usuário estiver ativo e especificaas opções para a varredura.

O usuário pode adiar varreduras — Permite que o usuário adie varredurasagendadas e especifica opções para o adiamento da varredura.• Número máximo de vezes que o usuário pode adiar em uma hora — Especifica

o número de vezes (de 1 a 23) que o usuário pode adiar avarredura em uma hora.

• Mensagem do usuário — Especifica a mensagem a ser exibidaquando uma varredura estiver prestes a começar.A mensagem padrão é: O McAfee Endpoint Security está prestesa varrer seu sistema.

• Duração da mensagem (segundos) — Especifica por quanto tempo (emsegundos) a mensagem de usuário é exibida quando umavarredura está prestes a começar. O intervalo válido para aduração é de 30 a 300; o padrão é de 45 segundos.





Não varrer quando o sistema estiver no modo de apresentação — Adia avarredura quando o sistema está em modo de apresentação.

Não varrer quando osistema estiver nomodo de bateria

Adia a varredura quando o sistema está utilizando baterias.

Consulte também Configurar definições da política de na página 90Configurar, agendar e executar tarefas de varredura na página 95Executar uma Varredura completa ou uma Varredura rápida na página 56Varrer um arquivo ou pasta na página 58Varrer locais na página 124McAfee GTI na página 126Ações na página 127Adicionar exclusão ou Editar exclusão na página 128

Varrer locaisEspecifica os locais a serem varridos.

Essas opções são aplicáveis somente à Varredura completa, à Varredura rápida e às varreduraspersonalizadas.



Locais de varredura Varrer subpastas Examina todas as subpastas dos volumes especificados quandouma das seguintes opções é selecionada:• Pasta inicial • Pasta temporária

• Pasta de perfil do usuário • Arquivo ou pasta

• Pasta de arquivos de programas

Desmarque essa opção para varrer apenas o nível raiz dosvolumes.

Especificar locais Especifica os locais a serem varridos.• Adicionar — Adiciona um local para a varredura.

Clique em Adicionar e selecione o local na lista suspensa.


• Excluir — Remove um local da varredura.Selecione o local e clique em Excluir.

Memória para rootkits Faz a varredura da memória do sistema para detectar rootkitsinstalados, processos ocultos e outros comportamentos quepossam sugerir que algum malware esteja tentando se ocultar.Essa varredura ocorre antes de todas as outras.

Se essa opção não for ativada, o sistema ficará desprotegidocontra ataques de malware.





Processos emexecução

Varre a memória de todos os processos em execução.As ações que não sejam Limpar arquivos são tratadas como Continuara varredura.

Se essa opção não for ativada, o sistema ficará desprotegidocontra ataques de malware.

Arquivos registrados Varre arquivos com referência no Registro do Windows.O mecanismo de varredura procura nomes de arquivo noregistro, determina se o arquivo existe, cria uma lista dearquivos a varrer, depois examina os arquivos.

Meu computador Examina todas as unidades conectadas fisicamente aocomputador ou com mapeamento lógico para uma letra deunidade no computador.

Todas as unidadeslocais

Varre todas as unidades e suas subpastas no computador.

Todas as unidadesfixas

Varre todas as unidades conectadas fisicamente ao computador.

Todas as unidadesremovíveis

Varre todas as unidades removíveis ou outros dispositivos dearmazenamento conectados ao computador, com exceção dasunidades com o Windows To Go instalado.

Todas as unidadesmapeadas

— Varre as unidades de rede com mapeamento lógico para umaunidade de rede no computador.

Pasta inicial Varre a pasta inicial do usuário que começar a varredura.

Pasta de perfil dousuário

Varre o perfil do usuário que inicia a varredura, inclusive a pastaMeus documentos do usuário.

Pasta Windows Faz a varredura do conteúdo da pasta Windows.

Pasta de arquivos deprogramas

Varre o conteúdo da pasta Arquivos de programas.

Pasta temporária Varre o conteúdo da pasta temporária.

Lixeira Faz varredura do conteúdo da lixeira.

Arquivo ou pasta Varre a pasta ou o arquivo especificado.

Registro Varre chaves de Registro e valores.

Consulte também Prevenção contra ameaças — Varredura por solicitação na página 120



McAfee GTIAtivar e definir as configurações do McAfee GTI (Global Threat Intelligence).



Ativar o McAfeeGTI

Ativa e desativa verificações heurísticas.• Quando ativado, impressões digitais de amostras, ou hashes, são enviadas

ao McAfee Labs para determinar se são malware. Ao enviar hashes, adetecção pode ser disponibilizada antes da próxima liberação de arquivode conteúdo do AMCore, quando o McAfee Labs publica a atualização.

• Quando desativado, nenhuma impressão digital ou dado é enviado aoMcAfee Labs.

Nível desensibilidade

Configura o nível de sensibilidade a ser usado ao determinar se umaamostra detectada é malware.Quanto mais alto o nível de sensibilidade, maior o número de detecções demalware. No entanto, se mais detecções forem permitidas, poderá havermais resultados falsos positivos.

Muito baixo As detecções e o risco de falsos positivos são os mesmos que existem comarquivos comuns do conteúdo do AMCore. Uma detecção é disponibilizadapara a Prevenção contra ameaças quando o McAfee Labs a publica, e não napróxima atualização de arquivo do conteúdo do AMCore.Use essa configuração para desktops e servidores com direitos de usuáriorestritos e configurações de segurança fortes.

Essa configuração resulta em uma média de 10 a 15 consultas por dia, porcomputador.

Baixo Essa configuração é a recomendação mínima para laptops, desktops eservidores com configurações de segurança fortes.Essa configuração resulta em uma média de 10 a 15 consultas por dia, porcomputador.

Médio Use essa configuração quando o risco regular de exposição a malware formaior que o risco de um falso positivo. As verificações heurísticasproprietárias do McAfee Labs resultam em detecções que possivelmente sãomalware. Contudo, algumas detecções podem resultar em falsos positivos.Com essa configuração, o McAfee Labs verifica se aplicativos populares earquivos do sistema operacional não resultam em falsos positivos.Essa configuração é a recomendação mínima para laptops, desktops eservidores.


Alto Use essa configuração para distribuições em áreas ou sistemas que sãoregularmente infectados.Essa configuração resulta em uma média de 20 a 25 consultas por dia, porcomputador.

Muito alto Use essa configuração para volumes de sistema não operacionais.Presume-se que as detecções encontradas com esse nível sejam maliciosas,mas elas não foram inteiramente testadas para determinar se são falsospositivos.

Use esse nível somente para varrer volumes e diretórios que não forneçamsuporte à execução de programas ou sistemas operacionais.




Consulte também Prevenção contra ameaças — Varredura ao acessar na página 116Prevenção contra ameaças — Varredura por solicitação na página 120Controle da Web — Opções na página 174

AçõesEspecifique como o mecanismo de varredura reage ao detectar uma ameaça.


Seção Opção Definição Tipo de varredura

Varredura aoacessar


Primeira respostada detecção deameaças

Especifica a primeira ação a ser tomada pelo mecanismo de varreduraquando uma ameaça é detectada.

Negar acessoaos arquivos

Evita que usuários acessemarquivos com ameaçaspotenciais.


Continua a varredura quandouma ameaça é detectada. Omecanismo de varredura nãomove itens para a quarentena.

Limpararquivos

Remove a ameaça do arquivodetectado, se possível.

Excluirarquivos

Exclui arquivos com possíveisameaças.

Se a primeiraresposta falhar

Especifica a ação a ser tomada pelo mecanismo de varredura quandouma ameaça é detectada se a primeira ação falhar.





Excluirarquivos

Exclui arquivos com possíveisameaças.

Primeira respostade programaindesejado

Especifica a primeira ação a ser tomada pelo mecanismo de varreduraquando um programa potencialmente indesejado é detectado.Essa opção estará disponível somente se a opção Detectar programasindesejados estiver selecionada.



Permitiracesso aosarquivos








Varredura aoacessar


Limpararquivos

Remove a ameaça do arquivopotencialmente indesejado, sepossível.

Excluirarquivos

Exclui arquivos potencialmenteindesejados.

Se a primeiraresposta falhar

Especifica a ação a ser tomada pelo mecanismo de varredura quandoocorre a detecção de um programa indesejado caso a primeira açãofalhe.Essa opção estará disponível somente se a opção Detectar programasindesejados estiver selecionada.



Permitiracesso aosarquivos




Excluirarquivos

Exclui automaticamentearquivos de programaspotencialmente indesejados.

Consulte também Prevenção contra ameaças — Varredura ao acessar na página 116Prevenção contra ameaças — Varredura por solicitação na página 120

Adicionar exclusão ou Editar exclusãoAdicione ou edite uma definição de exclusão.



Ao acessar Por solicitação

O que excluir Seleciona o tipo de exclusão e os detalhes da exclusão.


Especifica o nome do arquivo ou o caminhopara excluir.O caminho do arquivo pode incluircaracteres curinga.

Para excluir uma pasta em sistemasWindows, anexe um caractere de barrainvertida (\) do caminho.

Selecione Excluir também subpastas senecessário.

Tipo de arquivo Especifica os tipos de arquivos (extensõesde arquivos) a serem excluídos.





Ao acessar Por solicitação

Idade do arquivo Especifica o tipo de acesso (Modificado,Acessado (somente na varredura porsolicitação) ou Criado) dos arquivos a seremexcluídos e a Idade mínima em dias.

Quandoexcluir

Especifica quando excluir o item selecionado.

Ao gravar nodisco ou ler odisco

Exclui da varredura quando arquivos estãosendo gravados no disco ou lidos nele ouem outro dispositivo de armazenamento dedados.

Ao ler o disco Exclui da varredura quando arquivos estãosendo lidos no computador ou em outrodispositivo de armazenamento de dados.

Ao gravar nodisco

Exclui da varredura quando arquivos estãosendo gravados no disco ou modificadosnele ou em outro dispositivo dearmazenamento de dados.

Consulte também Prevenção contra ameaças — Varredura ao acessar na página 116Prevenção contra ameaças — Varredura por solicitação na página 120Caracteres curinga em exclusões na página 65Configuração de exclusões na página 64

Prevenção contra ameaças — OpçõesConfigura as definições válidas para o recurso Prevenção contra ameaças, incluindo quarentena,programas potencialmente indesejados e exclusões.

Esta seção inclui apenas as opções Avançadas.



Gerenciador dequarentena

Pasta de quarentena Especifica o local da pasta de quarentena ou aceita o localpadrão:c:\Quarantine

A pasta de quarentena está limitada a 190 caracteres.

Especifique onúmero máximo dedias para manter osdados emquarentena

Especifica o número de dias (de 1 a 999) em que os itens deverãoser mantidos em quarentena antes de serem excluídosautomaticamente. O padrão é 30 dias.





Exclusão pelo nomeda detecção

Excluir estes nomesde detecção

Especifica as exclusões de detecção pelo nome da detecção.Por exemplo, para especificar que os mecanismos de varredura aoacessar e por solicitação não detectem ameaças de Verificaçãode instalação, insira Verificação de instalação.

Adicionar - Adiciona o nome da detecção à lista de exclusões.Clique em Adicionar, depois insira o nome da detecção.

Clicar duas vezes em um item - Altera o item selecionado.

Excluir - Remove o nome da detecção da lista de exclusões.Selecione o nome e clique em Excluir.

Detecções deprogramaspotencialmenteindesejados

Excluir programasindesejadospersonalizados

Especifica arquivos ou programas individuais a serem tratadoscomo programas potencialmente indesejados.

Os mecanismos de varredura detectam os programasespecificados por você e os programas especificados nosarquivos de conteúdo do AMCore.

O mecanismo de varredura não detecta um programa indesejadodefinido pelo usuário com tamanho de zero byte.

• Adicionar - Define um programa indesejado personalizado.Clique em Adicionar, insira o nome, depois pressione Tab parainserir a descrição.

• Name - Especifica o nome do arquivo do programapotencialmente indesejado.

• Descrição — Especifica as informações que serão exibidas comoo nome da detecção quando ocorrer uma detecção.


• Excluir - Remove um programa potencialmente indesejado dalista.Selecione o item na tabela, depois clique em Excluir.

Análise proativa dedados

Envia dados anônimos de uso e diagnóstico para a McAfee.

Comentários doMcAfee GTI

Permite que os comentários de telemetria com base no McAfeeGTI coletem dados anônimos sobre arquivos e processos emexecução no sistema cliente.





Pulsação desegurança

Realiza uma verificação da integridade do sistema cliente antes edepois das atualizações dos arquivos de conteúdo do AMCore eem intervalos regulares e envia os resultados à McAfee.Os resultados são criptografados e enviados à McAfee através doSSL. A McAfee, por sua vez, reúne e analisa os dadosprovenientes destes relatórios a fim de identificar anomalias quepossam indicar possíveis problemas relacionados ao conteúdo. Arápida identificação de tais problemas é essencial paraproporcionar contenção e remediação oportunas.

A Pulsação de segurança coleta os seguintes tipos de dados:

• Local e versão do sistema operacional

• Versão do produto McAfee

• Conteúdo do AMCore e versão do mecanismo

• Informações do processo em execução da McAfee e Microsoft

Reputação deconteúdo doAMCore

Realiza uma pesquisa por reputação do McAfee GTI no arquivo deconteúdo do AMCore antes de atualizar o sistema cliente.• Se o McAfee GTI der permissão ao arquivo, o Endpoint Security

atualiza o conteúdo do AMCore.

• Se o McAfee GTI não der permissão ao arquivo, o EndpointSecurity não atualiza o conteúdo do AMCore.

Consulte também Configure definições de varreduras comuns na página 81

tarefa do cliente Reverter conteúdo do AMCoreAltera o conteúdo do AMCore para uma versão anterior.

Não é possível reverter as atualizações de conteúdo da Prevenção de exploração.

Opção Definição

Selecionar versão aser carregada

Especifica o número da versão de um arquivo de conteúdo do AMCore anterior aser carregado.O Endpoint Security mantém as duas versões anteriores no sistema cliente.

Quando é feita a alteração para uma versão anterior, o Endpoint Security remove aversão atual do conteúdo do AMCore do sistema.

Consulte também Alterar a versão do conteúdo do AMCore na página 27



4 Usar o Firewall

O Firewall atua como um filtro entre seu computador e a rede ou a Internet.

Conteúdo Como funciona o Firewall Ativar e desativar o Firewall usando o ícone da bandeja do sistema da McAfee Ativar ou exibir grupos temporizados do Firewall usando o ícone da bandeja do sistema da McAfee Gerenciamento do Firewall Referência da interface do Cliente do Endpoint Security — Firewall

Como funciona o FirewallO Firewall varre todo o tráfego de entrada e saída.

Ao analisar o tráfego de entrada ou saída, o Firewall verifica sua lista de regras, que é um conjunto decritérios com ações associadas. Se o tráfego coincide com todos os critérios de uma regra, o Firewallage de acordo com a regra, bloqueando ou permitindo o tráfego através do Firewall.

As informações sobre detecções de ameaças são salvas por relatórios que notificam o administradorsobre qualquer problema de segurança no computador.

As opções e regras do Firewall definem o funcionamento do Firewall. Os grupos de regras organizamas regras do firewall para facilitar o gerenciamento.

Se o Modo de interface do cliente estiver definido para Acesso total ou se você tiver feito logon comoadministrador, as regras e os grupos podem ser configurados usando o Cliente do Endpoint Security.Em sistemas gerenciados, as regras e grupos criados podem ser substituídos quando o administradordistribui uma política atualizada.

Consulte também Configurar as Firewall na página 135Como as regras de firewall funcionam na página 139Como funcionam os grupos de regras do firewall na página 141

Ativar e desativar o Firewall usando o ícone da bandeja dosistema da McAfee

Dependendo de como as configurações foram definidas, você pode ativar ou desativar o Firewallusando o ícone da bandeja do sistema da McAfee.

Dependendo de como as configurações foram definidas, essas opções podem não estar disponíveis.

4


Tarefa• Clique com o botão direito do mouse no ícone da bandeja do sistema da McAfee e selecione Desativar

o Firewall do Endpoint Security no menu Configurações rápidas.

Quando o Firewall está ativado, a opção é Desativar o Firewall do Endpoint Security.

Dependendo das configurações, você pode ser solicitado a fornecer ao administrador um motivopara desativar o Firewall.

Ativar ou exibir grupos temporizados do Firewall usando oícone da bandeja do sistema da McAfee

Ative, desative ou exiba grupos temporizados do Firewall usando o ícone da bandeja do sistema daMcAfee.

Dependendo de como as configurações foram definidas, essas opções podem não estar disponíveis.

Tarefa• Clique com o botão direito do mouse no ícone da bandeja do sistema da McAfee e selecione uma

opção no menu Configurações rápidas.• Ativar grupos temporizados do Firewall — Ativa os grupos temporizados por determinado período a fim

de permitir o acesso à Internet antes que as regras de restrição de acesso sejam aplicadas.Quando os grupos temporizados estão ativados, a opção é Desativar grupos temporizados do Firewall.Sempre que selecionar essa opção, você redefinirá o tempo dos grupos.

Dependendo das configurações, você pode ser solicitado a fornecer ao administrador um motivopara ativar os grupos temporizados.

• Exibir grupos temporizados do Firewall — Exibe os nomes dos grupos temporizados e a quantidade detempo restante para ativação de cada grupo.

Sobre grupos temporizadosGrupos temporizados são grupos de regras do Firewall ativados por determinado período de tempo.

Por exemplo, um grupo temporizado pode ser ativado para permitir que um sistema cliente conecte-sea uma rede pública e estabeleça uma conexão VPN.

Dependendo das configurações de , os grupos podem ser ativados:

• Em um agendamento específico.

• Manualmente, selecionando as opções do ícone da bandeja do sistema da McAfee.

Gerenciamento do FirewallComo administrador, você pode configurar as opções do Firewall e criar regras e grupos no Cliente doEndpoint Security.


4 Usar o FirewallAtivar ou exibir grupos temporizados do Firewall usando o ícone da bandeja do sistema da McAfee


Modificar opções de FirewallComo administrador, você pode modificar as opções de Firewall do Cliente do Endpoint Security.

Tarefas• Configurar as Firewall na página 135

Defina as configurações em Opções para ativar e desativar a proteção por firewall, ative omodo adaptável, e configure as outras opções do Firewall.

• Bloquear o tráfego DNS na página 136Para refinar a proteção por firewall, crie uma lista de FQDNs a serem bloqueados. OFirewall bloqueia as conexões aos endereços IP com resolução para os nomes de domínio.

• Definir redes para usar em regras e grupos na página 137Defina endereços de rede, sub-redes ou faixas a serem usados em regras e grupos.Opcionalmente, especifique que essas redes são confiáveis.

• Configurar executáveis confiáveis na página 138Defina ou edite a lista de executáveis confiáveis que são considerados seguros para seuambiente.

Consulte também Perguntas frequentes — McAfee GTI e Firewall na página 136

Configurar as Firewall Defina as configurações em Opções para ativar e desativar a proteção por firewall, ative o modoadaptável, e configure as outras opções do Firewall.




2 Clique em Firewall na página principal do Status.

Ou, no menu Ação , selecione Configurações e clique em Firewall na página Configurações.

3 Selecione Ativar Firewall para tornar o firewall ativo e modificar suas opções.

O Host Intrusion Prevention 8.0 pode ser instalado no mesmo sistema que o Endpoint Securityversão 10.5. Se o Firewall do McAfee Host IPS estiver instalado e ativado, o Firewall do EndpointSecurity será desativado, mesmo se estiver ativado nas configurações de política.

4 Clique em Mostrar Avançados.



Usar o FirewallGerenciamento do Firewall 4


Bloquear o tráfego DNSPara refinar a proteção por firewall, crie uma lista de FQDNs a serem bloqueados. O Firewall bloqueiaas conexões aos endereços IP com resolução para os nomes de domínio.






3 Em Bloqueio de DNS, clique em Adicionar.

4 Insira os FQDNs dos domínios a serem bloqueados e clique em Salvar.

É possível usar os caracteres curinga * e ?. Por exemplo, *domínio.com.

As entradas duplicadas são removidas automaticamente.

5 Clique em Salvar.


Perguntas frequentes — McAfee GTI e FirewallAqui você encontra respostas para perguntas frequentes.

As configurações de Opções do Firewall permitem que você bloqueie o tráfego de entrada e saída deuma conexão de rede que o McAfee GTI classificou como de alto risco. Essas Perguntas frequentesexplicam o que o McAfee GTI faz e como isso afeta o firewall.

O que é o McAfee GTI?

O McAfee GTI é um sistema de inteligência de reputação de Internet global que determina o queé um bom ou um mau comportamento na Internet. O McAfee GTI usa a análise em tempo realde padrões mundiais de comportamento e envio de e-mails, atividade da Web, malware ecomportamento de sistema a sistema. Com os dados obtidos na análise, o McAfee GTI calculadinamicamente as pontuações de reputação que representam o nível de risco da rede quando ousuário visita uma página da Web. O resultado é um banco de dados de pontuações dereputação para endereços IP, domínios, mensagens específicas, URLs e imagens.Para perguntas frequentes sobre o McAfee GTI, consulte KB53735.

Como o McAfee GTI funciona com o Firewall?

Quando as opções do McAfee GTI são selecionadas, são criadas duas regras de firewall: McAfeeGTI — Permitir o serviço do Firewall do Endpoint Security e McAfee GTI — Obter classificação. A primeira regrapermite uma conexão ao McAfee GTI e a segunda bloqueia ou permite o tráfego com base nareputação da conexão e no conjunto de limites de bloqueio.

O que significa "reputação"?

Para cada endereço IP na Internet, o McAfee GTI calcula um valor de reputação. O McAfee GTIbaseia o valor no comportamento de envio ou hospedagem e em vários dados ambientaiscoletados dos clientes e parceiros sobre o estado do cenário de ameaças da Internet. Areputação é expressa em quatro classes, com base em nossa análise:

4 Usar o FirewallGerenciamento do Firewall



• Não bloquear (risco mínimo) — Trata-se de uma origem ou um destino legítimos de conteúdo/tráfego.

• Alto risco — A origem/destino envia ou hospeda conteúdo/tráfego possivelmente malicioso quea McAfee considera perigoso.

• Risco médio — A origem/destino mostra um comportamento que a McAfee considera suspeito.Qualquer conteúdo/tráfego do site requer um escrutínio especial.

• Não verificado — O site parece ser uma origem ou um destino legítimos de conteúdo/tráfego,mas também exibe propriedades que sugerem a necessidade de inspeção.

O McAfee GTI introduz latência? Quanto?

Quando o McAfee GTI é contatado para fazer uma pesquisa por reputação, é inevitável queocorra alguma latência. A McAfee tem feito todo o possível para minimizar essa latência. McAfeeGTI:• Verifica a reputação somente quando as opções são selecionadas.

• Usa uma arquitetura de armazenamento em cache inteligente. Em padrões de uso de redenormais, o cache resolve a maioria das conexões desejadas sem uma consulta de reputaçãoao vivo.

Se o firewall não puder alcançar os servidores McAfee GTI, o tráfego será interrompido?

Se o firewall não puder alcançar os servidores McAfee GTI, ele automaticamente atribuirá todasas conexões aplicáveis a uma reputação permitida padrão. Depois, o firewall continua a análisedas regras que se seguem.

Definir redes para usar em regras e gruposDefina endereços de rede, sub-redes ou faixas a serem usados em regras e grupos. Opcionalmente,especifique que essas redes são confiáveis.









4 Em Redes definidas, execute uma das ações a seguir:

Para... Etapas

Definir uma novarede.

Clique em Adicionar e insira os detalhes da rede confiável.Defina a rede como confiável selecionando Sim no menu suspenso Confiável.

Se você selecionar Não, a rede será definida para uso nas regras e grupos,mas o tráfego de entrada e de saída da rede não será automaticamenteconfiável.

Alterar umadefinição de rede.

Em cada uma das colunas, clique duas vezes no item e insira as novasinformações.

Excluir uma rede. Selecione uma linha e clique em Excluir.


Sobre redes confiáveisRedes confiáveis são endereços IP, faixas de endereços IP e sub-redes que são consideradosconfiáveis.

A definição de uma rede como confiável cria uma regra Permitir bidirecional para essa rede remota notopo da lista de regras do Firewall.

Uma vez definidas, você pode criar regras de firewall que se apliquem a essas redes confiáveis. Asredes confiáveis também funcionam como exceções do McAfee GTI no firewall.

Prática recomendada: ao adicionar redes a regras e grupos de firewall, selecione Redes definidas para oTipo de rede para aproveitar este recurso.

Configurar executáveis confiáveisDefina ou edite a lista de executáveis confiáveis que são considerados seguros para seu ambiente.









4 Em Executáveis confiáveis, execute uma das ações a seguir:

Para... Etapas

Definir um novo executávelconfiável.

Clique em Adicionar e insira os detalhes do executávelconfiável.

Alterar uma definição deexecutável.

Em cada uma das colunas, clique duas vezes no item e insiraas novas informações.

Excluir um executável. Selecione uma linha e clique em Excluir.


Sobre executáveis confiáveis e aplicativosExecutáveis confiáveis são executáveis que não têm vulnerabilidades conhecidas e são consideradosseguros.

A configuração de um executável confiável cria uma regra Permitir bidirecional para esse executávelno topo da lista de regras do Firewall.

Manter uma lista de executáveis seguros de um sistema reduz e elimina a maioria dos falsos positivos.Por exemplo, quando você executa um aplicativo de backup, muitos falsos positivos podem serdisparados. Para evitar que falsos positivos sejam disparados, torne o aplicativo de backup umaplicativo confiável.

Um executivo confiável está sujeito a vulnerabilidades comuns, como estouro de buffer e uso ilegal. Noentanto, o Firewall ainda monitora os executivos confiáveis e dispara eventos para evitar explorações.

O Catálogo do Firewall contém executáveis e aplicativos. Executáveis no catálogo podem serassociados com um aplicativo contêiner. É possível adicionar executáveis e aplicativos do catálogo àsua lista de executáveis confiáveis. Depois de definidos, é possível referenciar os executáveis emregras e grupos.

Configurar regras e grupos do FirewallComo administrador, você pode configurar regras e grupos do Firewall a partir do Cliente do EndpointSecurity.

Tarefas• Criar e gerenciar regras e grupos do Firewall na página 145

Em sistemas gerenciados, as regras e grupos configurados no Cliente do Endpoint Securitypodem ser substituídos quando o administrador distribui uma política atualizada.

• Criar isolamento de conexão de grupos na página 147Crie um grupo de regras de firewall para isolamento de conexão, para estabelecer umconjunto de regras que se aplicam somente na conexão a uma rede com determinadosparâmetros.

• Criar grupos temporizados na página 148Crie grupos temporizados do Firewall para restringir o acesso à Internet até que umsistema cliente conecte-se por uma VPN.

Como as regras de firewall funcionamAs regras do Firewall determinam como lidar com o tráfego de rede. Cada regra fornece um conjuntode condições que o tráfego deve cumprir e uma ação para permitir ou bloquear o tráfego.

Quando o Firewall encontra um tráfego que corresponde às condições de uma regra, ele realiza a açãoassociada.



É possível definir regras amplas (por exemplo, todo o tráfego IP) ou restritas (por exemplo, identificarum aplicativo ou serviço específico) e especificar opções. É possível agrupar as regras de acordo comuma função de trabalho, serviço ou aplicativo, a fim de facilitar o gerenciamento. Como com as regras,é possível definir grupos de regras por opções de rede, transporte, aplicativo, agendamento e local.

O Firewall usa a precedência para aplicar as regras:

1 O Firewall aplica a regra na parte superior da lista de regras do firewall.

Se o tráfego atende às condições dessa regra, o Firewall permite ou bloqueia o tráfego. Ele nãotenta aplicar nenhuma outra regra da lista.

2 Se o tráfego não atende às condições da primeira regra, o Firewall continua para a próxima regrada lista até encontrar uma regra que coincida com o tráfego.

3 Se nenhuma regra coincidir, o firewall bloqueia automaticamente o tráfego.

Se o modo adaptável estiver ativado, é criada uma regra de permissão para o tráfego. Algumas vezes,o tráfego interceptado coincide com mais de uma regra da lista. Nesse caso, a precedência significaque o Firewall aplica somente a primeira regra coincidente da lista.

Práticas recomendadas

Coloque a regra mais específica no topo da lista e as regras mais genéricas na parte inferior. Essaordem assegura que o Firewall filtre o tráfego de maneira apropriada.



Por exemplo, para permitir que todas as solicitações de HTTP exceto as originadas em um endereçoespecífico (por exemplo, endereço IP 10.10.10.1), crie duas regras:

• Regra de bloqueio — Bloqueia o tráfego HTTP do endereço IP 10.10.10.1. Essa regra é específica.

• Regra de permissão — Permite todo o tráfego que usa o serviço HTTP. Essa regra é genérica.

Coloque a regra de bloqueio em uma posição mais alta da lista de regras do firewall do que a da regrade permissão. Quando o firewall interceptar a solicitação HTTP do endereço 10.10.10.1, a primeiraregra coincidente que ele encontrará será a que bloqueia esse tráfego através do firewall.

Se a regra de permissão genérica estiver mais alta que a regra de bloqueio específica, o Firewallcomparará as solicitações com a regra de permissão antes de encontrar a regra de bloqueio. Elepermitirá o tráfego, mesmo havendo a intenção de bloquear a solicitação HTTP de um endereçoespecífico.

Como funcionam os grupos de regras do firewallUse os grupos de regras de Firewall para organizar as regras do firewall e facilitar o gerenciamento. Osgrupos de regras do Firewall não afetam a maneira como o Firewall lida com as regras dentro deles; oFirewall ainda processa as regras de cima para baixo.O Firewall processa as configurações para o grupo antes de processar as configurações para as regrasque ele contém. Se houver um conflito entre essas configurações, as configurações do grupo têmprecedência.

Fazer com que grupos reconheçam locaisO Firewall permite fazer com que um grupo reconheça o local de suas regras e criar isolamento deconexão. O Local e as Opções de rede do grupo permitem fazer com que os grupos reconheçam oadaptador de rede. Use grupos de adaptadores de rede para aplicar regras para adaptadoresespecíficos em computadores com várias interfaces de rede. Após ativar o status de local e nomear olocal, os parâmetros para as conexões permitidas podem incluir os seguintes itens para cadaadaptador de rede:

Local:

• Requer que o McAfee ePO esteja acessível • Endereço IP do Servidor WINS primário

• Sufixo DNS específico para conexão • Endereço IP do Servidor WINS secundário

• Endereço IP do Gateway padrão • Acessibilidade do domínio (HTTPS)

• Endereço IP do Servidor DHCP • Chave de registro

• Servidor DNS consultado para resolverURLs

Redes:

• Endereço IP da Rede local

• Tipos de conexão

Se dois grupos com reconhecimento de local são aplicados a uma conexão, o Firewall usa aprecedência normal, processando o primeiro grupo aplicável na lista de regras. Se nenhuma regra doprimeiro grupo coincidir, o processamento de regras continua.

Quando o Firewall encontrar parâmetros de um grupo com reconhecimento de local que coincidemcom uma conexão ativa, ele aplica as regras dentro do grupo. Ele trata as regras como um pequenoconjunto de regras e usa a precedência normal. Se algumas regras não se coincidirem com o tráfegointerceptado, o firewall as ignora.



Se essa opção estiverselecionada...

Então...

Ativar reconhecimento de local Requer um nome de local.

Requer que o McAfee ePO estejaacessível

O McAfee ePO está acessível e o FQDN do servidor foi resolvido.

Rede local O endereço IP do adaptador deve coincidir com uma das entradasda lista.

Sufixo DNS específico paraconexão

O sufixo DNS do adaptador deve coincidir com uma das entradasda lista.

Gateway padrão O endereço IP do gateway do adaptador padrão deve coincidir compelo menos uma das entradas da lista.

Servidor DHCP O endereço IP do servidor DHCP do adaptador deve coincidir compelo menos uma das entradas da lista.

Servidor DNS O endereço IP do servidor DNS do adaptador deve coincidir comalguma entrada da lista.

Servidor WINS primário O endereço IP do servidor WINS primário do adaptador devecoincidir com pelo menos uma das entradas da lista.

Servidor WINS secundário O endereço IP do servidor WINS secundário do adaptador devecoincidir com pelo menos uma das entradas da lista.

Acessibilidade do domínio(HTTPS)

O domínio especificado deve ser acessível usando HTTPS.

Grupos de regras do Firewall e isolamento de conexãoUse o isolamento de conexão para grupos para impedir que algum tráfego indesejado acesse umarede designada.

Quando o isolamento de conexão está ativado para um grupo e uma placa de interface de rede (NIC)corresponde aos critérios do grupo, o Firewall processa somente o tráfego que corresponde a:

• Regra de permissão acima do grupo na lista de regras do firewall

• Critérios do grupo

Qualquer outro tráfego será bloqueado.

Nenhum grupo com isolamento de conexão ativado poderá ter opções de transporte ou executáveisassociados.



Considere duas configurações como exemplos do uso do isolamento de conexão: um ambientecorporativo e um hotel. A lista de regras de firewall ativas contém regras e grupos nesta ordem:

1 Regras para conexão básica

2 Regras de conexão VPN

3 Grupo com regras de conexão a LAN corporativa

4 Grupo com regras de conexão VPN



Exemplo: isolamento de conexão na rede corporativa

As regras de conexão são processadas até que o grupo com regras de conexão a LAN corporativa sejaencontrado. Esse grupo contém as configurações:

• Tipo de conexão = Com fio

• Sufixo DNS específico para a conexão = minhaempresa.com

• Gateway padrão

• Isolamento de conexão = Ativado

O computador tem adaptadores de rede LAN e sem fio. O computador se conecta à rede corporativapor uma conexão com fio. No entanto, a interface sem fio ainda está ativa, de modo que se conecta aum ponto de acesso fora do escritório. O computador se conecta a ambas as redes porque as regraspara o acesso básico estão no topo da lista de regras do firewall. A conexão LAN com fio está ativa eatende aos critérios do grupo da LAN corporativa. O firewall processa o tráfego através da LAN, mascomo o isolamento da conexão está ativado, todo o restante do tráfego que não passa através da LANé bloqueado.

Exemplo: isolamento de conexão em um hotel

As regras de conexão são processadas até que o grupo com regras de conexão a LAN seja encontrado.Esse grupo contém as configurações:

• Tipo de conexão = Virtual

• Sufixo DNS específico para a conexão = vpn.minhaempresa.com

• Endereço IP = Um endereço em um intervalo específico para o concentrador VPN

• Isolamento de conexão = Ativado

As regras de conexão genéricas permitem a configuração de uma conta temporizada no hotel paraacesso à Internet. As regras de conexão VPN permitem a conexão e o uso do túnel VPN. Após o túnelser estabelecido, o cliente VPN cria um adaptador virtual que corresponde aos critérios do grupo deVPN. O único tráfego permitido pelo firewall é o de dentro do túnel VPN e o tráfego básico sobre oadaptador real. As tentativas de outros hóspedes do hotel de acessar o computador pela rede, sejacom ou sem fio, são bloqueadas.

Grupos de regras predefinidas do firewallO Firewall inclui vários grupos de firewall predefinidos.

Grupo doFirewall

Descrição

Rede principal daMcAfee

Contém as regras principais de rede fornecidas pela McAfee e inclui regras parapermitir aplicativos da McAfee e DNS.

Estas regras não podem ser alteradas ou excluídas. Você pode desativar o gruponas Opções do Firewall, mas pode prejudicar as comunicações de rede nocliente.

Adicionado peloadministrador

Contém regras definidas pelo administrador no servidor de gerenciamento.

Estas regras não podem ser alteradas ou excluídas no Cliente do EndpointSecurity.



Grupo doFirewall

Descrição

Adicionado pelo usuário Contém regras definidas no Cliente do Endpoint Security.

Dependendo das definições de política, essas regras podem ser substituídasquando a política for aplicada.

Adaptável Contém regras de exceção do cliente que são criadas automaticamente quandoo sistema estiver no modo adaptável.

Dependendo das definições de política, essas regras podem ser substituídasquando a política for aplicada.

Padrão Contém regras padrão fornecidas pela McAfee.

Estas regras não podem ser alteradas ou excluídas.

Criar e gerenciar regras e grupos do FirewallEm sistemas gerenciados, as regras e grupos configurados no Cliente do Endpoint Security podem sersubstituídos quando o administrador distribui uma política atualizada.


Os grupos e regras aparecem em ordem de prioridade na tabela de Regras do Firewall. Não é possívelclassificar as regras por coluna.





3 Use estas tarefas para gerenciar as regras e grupos do firewall.

Para fazer isso... Siga essas etapas

Exibir as regras em um grupo defirewalls.

Clique .

Fechar um grupo de firewalls. Clique .

Modificar uma regra existente.

Somente é possível modificarregras no grupo Adicionado pelousuário.

1 Expanda o grupo Adicionado pelo usuário.

2 Clique duas vezes na regra.

3 Altere as configurações da regra.

4 Clique em OK para salvar suas alterações.



Para fazer isso... Siga essas etapas

Exibir uma regra existente emqualquer grupo.

1 Expanda o grupo.

2 Selecione a regra para exibir seus detalhes no painelinferior.

Criar uma regra. 1 Clique em Adicionar regra.

2 Especifique as configurações da regra.


A regra aparece no final do grupo Adicionado pelo usuário.

Criar cópias de regras. 1 Selecione a regra ou regras e clique em Duplicar.As regras copiadas aparecem com o mesmo nome no finaldo grupo Adicionado pelo usuário.

2 Modifique as regras para alterar o nome e as configurações.

Excluir regras.

Somente é possível excluirregras dos grupos Adicionadopelo usuário e Adaptável.

1 Expanda o grupo.

2 Selecione a regra ou regras e clique em Excluir.

Criar um grupo. 1 Clique em Adicionar grupo.

2 Especifique as configurações do grupo.


O grupo aparece em Adicionado pelo usuário.

Mover regras e grupos para dentroe entre grupos.

Somente é possível moverregras e grupos no grupoAdicionado pelo usuário.

Para mover os elementos:1 Selecione os elementos que serão movidos.

A alça aparece à esquerda de elementos que podem sermovidos.

2 Arraste e solte os elementos no novo local.Uma linha azul aparece entre os elementos no local em quevocê pode soltar os elementos arrastados.


Consulte também Caracteres curinga em regras de firewall na página 146Entrar como administrador na página 26Criar isolamento de conexão de grupos na página 147

Caracteres curinga em regras de firewallVocê pode usar caracteres curinga para representar os caracteres de alguns valores nas regras defirewall.

Caracteres curinga em valores de caminho e de endereço

Em caminhos de arquivos, chaves de registro, executáveis e URLs, use esses caracteres curinga.

Os caminhos da chave de registro dos locais de grupos de firewall não reconhecem valores decaracteres curingas.



? Ponto de interrogação Um único caractere.

* Asterisco Vários caracteres, excluindo barra (/) e barra invertida (\). Use estecaractere para corresponder ao conteúdo no nível de raiz de uma pastasem subpastas.

** Asterisco duplo Vários caracteres, incluindo barra (/) e barra invertida (\).

| Pipe Escape de caractere curinga.

Para o asterisco duplo (**), o escape é |*|*.

Caracteres curinga em todos os outros valores

Para valores que normalmente não contêm barras nas informações de caminho, use estes caracterescuringa.

? Ponto de interrogação Um único caractere.

* Asterisco Vários caracteres, incluindo barra (/) e barra invertida (\).

| Barra vertical Escape de caractere curinga.

Criar isolamento de conexão de gruposCrie um grupo de regras de firewall para isolamento de conexão, para estabelecer um conjunto deregras que se aplicam somente na conexão a uma rede com determinados parâmetros.






3 Em REGRAS, clique em Adicionar grupo.

4 Em Descrição, especifique as opções para o grupo.

5 Em Local, selecione Ativar reconhecimento de local e Ativar isolamento de conexão. Em seguida, selecione ocritério de local a ser correspondido.

6 Em Rede, para Tipos de conexão, selecione o tipo de conexão (com fio, sem fio ou virtual) que será aplicadoàs regras desse grupo.

As configurações de Transporte e Executáveis não estão disponíveis para os grupos de isolamento deconexão.

7 Clique em OK.



8 Na lista de regras de firewall, crie novas regras dentro desse grupo ou mova as regras existentespara dentro dele.


Consulte também Grupos de regras do Firewall e isolamento de conexão na página 142Como funcionam os grupos de regras do firewall na página 141

Criar grupos temporizadosCrie grupos temporizados do Firewall para restringir o acesso à Internet até que um sistema clienteconecte-se por uma VPN.





3 Crie um grupo Firewall com as configurações padrão que permitem a conectividade com a Internet.

Por exemplo, permita o tráfego da porta 80 HTTP.

4 Na seção Agendamento, selecione como ativar o grupo.

• Ativar agendamento — Especifica uma hora de início e de término para o grupo a ser ativado.

• ativar Desativar agendamento e ativar o grupo a partir do ícone da bandeja do sistema da McAfee — Permite que osusuários ativem o grupo no ícone da bandeja do sistema da McAfee e mantenham o grupoativado pela quantidade de minutos especificada.

Se permitir que os usuários gerenciem o grupo temporizado, você poderá, opcionalmente, exigirque eles forneçam uma justificativa antes de ativar o grupo.

5 Clique em OK para salvar as alterações.

6 Crie um grupo de isolamento de conexão que corresponda à rede VPN para permitir o tráfegonecessário.

Prática recomendada: para impedir o tráfego de saída apenas do grupo de isolamento de conexãono sistema cliente, não coloque nenhuma regra de Firewall abaixo desse grupo.


Consulte também Criar isolamento de conexão de grupos na página 147

Referência da interface do Cliente do Endpoint Security —Firewall


Conteúdo Firewall — Opções

4 Usar o FirewallReferência da interface do Cliente do Endpoint Security — Firewall


Firewall — Regras

Firewall — OpçõesAtive e desative o módulo Firewall, configure opções de proteção e defina redes e executáveisconfiáveis.

Para redefinir as configurações para o padrão da McAfee e cancelar suas alterações, clique em Redefinirpara o padrão.


O Host Intrusion Prevention 8.0 pode ser instalado no mesmo sistema que o Endpoint Security versão10.5. Se o Firewall do McAfee Host IPS estiver instalado e ativado, o Firewall do Endpoint Security serádesativado, mesmo se estiver ativado nas configurações de política.

Tabela 4-1 Opções


Ativar Firewall Ativa e desativa o módulo do Firewall.

Opções deproteção

Permitir tráfego paraprotocolosincompatíveis

Permite todo o tráfego que usa protocolos incompatíveis. Quandodesativado, todos os tráfegos que usam protocolos incompatíveis sãobloqueados.

Permitir tráfego de saídaapenas até que osserviços do Firewallsejam iniciados

Permite o tráfego de saída, mas nenhum tráfego de entrada até queo serviço do Firewall seja iniciado.

Se essa opção estiver desativada, o Firewall permitirá todo otráfego antes que os serviços sejam iniciados, podendo deixar osistema vulnerável.

Permitir tráfego de ponte Permite:• Pacotes de entrada se o endereço MAC de destino estiver no

intervalo suportado de endereços MAC de VM e não for umendereço MAC local no sistema.

• Pacotes de saída se o endereço MAC de origem estiver nointervalo suportado de endereços MAC e não for um endereço MAClocal no sistema.

Ativar alertas deintrusão do firewall

Mostra alertas automaticamente quando o Firewall detecta umpossível ataque.

Bloqueio deDNS

Nome de domínio Define nomes de domínio a bloquear.Quando aplicada, essa configuração adiciona uma regra próximo aotopo das regras do firewall que bloqueia conexões aos endereços IPcom resolução para os nomes de domínio.

• Adicionar - Adiciona um nome de domínio à lista de bloqueio. Separevários domínios com uma vírgula (,) ou quebra de linha.É possível usar os caracteres curinga * e ?. Por exemplo,*domínio.com.

As entradas duplicadas são removidas automaticamente.


• Excluir - Remove o nome de domínio selecionado da lista debloqueio.

Usar o FirewallReferência da interface do Cliente do Endpoint Security — Firewall 4




Opções deajuste

Ativar modo adaptável Cria regras automaticamente para permitir o tráfego.

Prática recomendada: ative o modo adaptável temporariamenteem alguns sistemas somente durante o ajuste do Firewall. Aativação desse modo pode gerar muitas regras de cliente, quedevem ser processadas pelo servidor McAfee ePO, afetando odesempenho negativamente.

Desativar as regrasprincipais de rede daMcAfee

Desativa as regras de rede incorporadas da McAfee (no grupo deregras da Rede principal da McAfee).(Desativado por padrão)

A ativação desta opção pode interromper as comunicações de redeno cliente.

Registrar em log todo otráfego bloqueado

Registra todo o tráfego bloqueado no log de eventos do Firewall(FirewallEventMonitor.log) no Cliente do Endpoint Security.(Ativado por padrão)

Registrar em log todo otráfego permitido

Registra todo o tráfego permitido no log de eventos do Firewall(FirewallEventMonitor.log) no Cliente do Endpoint Security.(Desativado por padrão)

A ativação dessa opção pode afetar negativamente o desempenho.

Reputação darede noMcAfee GTI

Tratar correspondênciado McAfee GTI comointrusão

Trata o tráfego que corresponde à configuração do limite debloqueio do McAfee GTI como uma intrusão. A ativação dessaopção exibe um alerta, envia um evento para o servidor degerenciamento e o adiciona ao arquivo de log do Cliente doEndpoint Security.Todos os endereços IP de uma rede confiável são excluídos dapesquisa do McAfee GTI.

(Ativado por padrão)

Registrar em log otráfego correspondente

Trata o tráfego que corresponde à configuração do limite debloqueio McAfee GTI como uma detecção. A ativação dessa opçãoenvia um evento para o servidor de gerenciamento e o adiciona aoarquivo de log do Cliente do Endpoint Security.(Ativado por padrão)

Todos os endereços IP de uma rede confiável são excluídos dapesquisa do McAfee GTI.

Bloquear todos osexecutáveis nãoconfiáveis

Bloqueia todos os executáveis que não estão assinados ou que têmuma reputação desconhecida do McAfee GTI.





Limite de entrada dereputação da redeLimite de saída dereputação da rede

Especifica o limite de classificação do McAfee GTI para o bloqueiodo tráfego de entrada ou saída de uma conexão de rede.• Não bloquear - Este site parece ser uma origem ou destino legítimo

de conteúdo/tráfego.

• Alto risco - A origem/destino envia ou hospeda conteúdo/tráfegopossivelmente malicioso que o McAfee considera arriscado.

• Risco médio - A origem/destino mostra um comportamento que aMcAfee considera suspeito. Qualquer conteúdo/tráfego do siterequer um escrutínio especial.

• Não verificado - O site parece ser uma origem ou destino legítimo deconteúdo/tráfego, mas também exibe propriedades que sugeremser necessário inspecionar.

Firewalldinâmico

Usar inspeção deprotocolo do FTP

Permite que as conexões FTP sejam rastreadas para que exijamsomente uma regra de firewall para o tráfego de cliente FTP desaída e o tráfego de servidor FTP de entrada.Se essa opção não for selecionada, as conexões de FTP precisarãode uma regra individual para o tráfego de cliente de FTP de entradae o tráfego de servidor de FTP de saída.

Número de segundos(1-240) antes de atingir otempo limite da conexãoTCP

Especifica o tempo, em segundos, que uma conexão TCP nãoestabelecida permanece ativa se pacotes correspondentes àconexão não forem mais enviados ou recebidos. O intervalo válidoé 1–240.

Número de segundos(1-300) antes de atingir otempo limite dasconexões virtuais de ecoUDP e ICMP

Especifica o tempo, em segundos, que uma conexão virtual de ecoUDP ou ICMP permanece ativa se nenhum pacote correspondente àconexão for enviado ou recebido. Essa opção volta ao seu valorconfigurado sempre que um pacote que corresponde à conexãovirtual é enviado ou recebido. O intervalo válido é de 1 a 300.

Redesdefinidas

Define endereços de rede, sub-redes ou intervalos a serem usadosem regras e grupos.• Adicionar — Adiciona um endereço de rede, uma sub-rede ou uma

faixa à lista de redes definidas.Clique em Adicionar e preencha os campos na linha de definição darede.


• Excluir — Exclui o endereço selecionado da lista de redes definidas.

Tipo de endereço Especifica o tipo de endereço da rede a ser definido.

Confiável • Sim — Permite todo o tráfego da rede.A definição de uma rede como confiável cria uma regra Permitirbidirecional para essa rede remota no topo da lista de regras doFirewall.

• Não — Adiciona a rede à lista de redes definidas para a criação deregras.





Proprietário

Executáveisconfiáveis

Especifica executáveis que são seguros em qualquer ambiente enão têm vulnerabilidades conhecidas. Esses executáveis têmpermissão para executar qualquer operação, exceto aquelas quesugerirem que os executáveis foram comprometidos.A configuração de um executável confiável cria uma regra Permitirbidirecional para esse executável no topo da lista de regras doFirewall.

• Adicionar - Adiciona um executável confiável.


• Excluir — Remove o executável da lista de confiança.

Consulte também Configurar as Firewall na página 135Definir redes para usar em regras e grupos na página 137Configurar executáveis confiáveis na página 138Adicionar executável ou Editar executável na página 159

Firewall — RegrasGerencie regras de firewall e grupos.

Você pode adicionar e excluir regras e grupos somente no grupo Adicionado pelo usuário. Firewallmove automaticamente as regras recém-adicionadas a este grupo.

Para redefinir as configurações para o padrão de fábrica e cancelar suas alterações, clique em Redefinirpara o padrão.

Tabela 4-3 Opções

Seção Opção Definição Regra Grupo

REGRAS Adicionar regra Cria uma regra de firewall.

Adicionar grupo Cria um grupo do firewall.

Clicar duas vezesem um item


Duplicar Cria uma cópia do item selecionado.

Excluir Remove um item de firewall selecionado.

Indica elementos que podem ser movidos na lista.Selecione elementos e arraste e solte-os no novo local.Uma linha azul é exibida entre os elementos no localem que você pode soltar os elementos arrastados.

Consulte também Criar e gerenciar regras e grupos do Firewall na página 145Página Adicionar regra ou Editar regra, Adicionar grupo ou Editar grupo na página 153



Página Adicionar regra ou Editar regra, Adicionar grupo ou Editar grupoAdicione ou edite os grupos e as regras de firewall.

Tabela 4-4 Opções


Descrição Nome Especifica o nome descritivo do item (obrigatório).

Status Ativa ou desativa o item.

Especificar ações Permitir — Permite o tráfego por meio do firewall se oitem for correspondente.

Bloquear — Impede que o tráfego passe pelo firewall se oitem for correspondente.

Tratar correspondência como intrusão — Trata o tráfego quecorresponde à regra como uma intrusão. A ativaçãodesta opção exibe um alerta, envia um evento para oservidor de gerenciamento e o adiciona ao arquivo delog do Cliente do Endpoint Security.

Prática recomendada: não ativar esta opção parauma regra Permitir, pois ela resulta em muitos eventos.

Registrar em log o tráfego correspondente - trata o tráfego quecorresponde à regra como uma detecção. A ativaçãodesta opção envia um evento para o servidor degerenciamento e o adiciona ao arquivo de log do Clientedo Endpoint Security.

Direção Especifica a direção:• Qualquer um — Monitora tanto o tráfego de entrada

quanto o de saída.

• Entrada — Monitora o tráfego de entrada.

• Saída — Monitora o tráfego de saída.

Notas Fornece mais informações sobre o item.

Local Ativarreconhecimento delocal

Ativa ou desativa as informações do local do grupo.

Nome Especifica o nome do local (obrigatório).





Ativar isolamentode conexão

Bloqueia o tráfego em adaptadores de rede que nãocorrespondem ao grupo quando há um adaptador quenão corresponde ao grupo.

As configurações de Transporte e Executáveis não estãodisponíveis para os grupos de isolamento de conexão.

Uma das utilizações dessa opção é o bloqueio do tráfegogerado por fontes potencialmente indesejáveis vindas defora da rede corporativa. O bloqueio do tráfego dessamaneira é possível somente se uma regra que precede ogrupo no firewall não o tiver já permitido.

Quando o isolamento de conexão estiver ativado e umNIC corresponder ao grupo, o tráfego só será permitidoquando um dos itens a seguir for aplicável:

• O tráfego corresponde a uma Regra de permissão antes dogrupo.

• O tráfego que percorre um NIC corresponde ao grupoe há uma regra no grupo ou abaixo dele que permite otráfego.

Se nenhum NIC corresponder ao grupo, o grupo éignorado e a correspondência de regras continua.

Requer que oMcAfee ePO estejaacessível

Permite que o grupo faça a correspondência somente sehouver comunicação com o servidor do McAfee ePO e oFQDN do servidor tenha sido resolvido.





Critérios de local • Sufixo DNS específico da conexão - Especifica um sufixo DNSespecífico para a conexão no formato: example.com.

• Gateway padrão - Especifica um endereço IP único paraum gateway padrão no formato IPv4 ou IPv6.

• Servidor DHCP - Especifica um endereço IP único paraum servidor DHCP no formato IPv4 ou IPv6.

• Servidor DNS - Especifica um endereço IP único para umservidor de nome de domínio no formato IPv4 ouIPv6.

• Servidor primário WINS - Especifica um endereço IP únicopara um servidor WINS primário no formato IPv4 ouIPv6.

• Servidor secundário WINS - Especifica um endereço IP únicopara um servidor WINS secundário no formato IPv4 ouIPv6.

• Acessibilidade do domínio (HTTPS) — Requer que o domínioespecificado esteja acessível usando HTTPS.

• Chave de Registro — Especifica a chave de Registro e ovalor da chave.


2 Na coluna Valor, especifique a chave de Registro noformato:<ROOT>\<KEY>\[NOME_DO_VALOR]• <ROOT> — Deve usar o nome completo da raiz,

como HKEY_LOCAL_MACHINE, e não a abreviaçãoHKLM.

• <KEY> — É o nome da chave na raiz.

• [NOME_DO_VALOR] — É o nome do valor dachave. Se nenhum nome de valor for incluído,presume-se que seja o valor padrão.

Formatos de exemplo:

• IPv4 — 123.123.123.123• IPv6 — 2001:db8:c0fa:f340:9219: bd20:9832:0ac7

Redes Especifica as opções de host da rede que se aplicam aoitem.

Protocolo de rede Especifica o protocolo de rede que se aplica ao item.

Qualquer protocolo Permite protocolos IP e não IP.Se um protocolo de transporte ou um aplicativo forespecificado, somente os protocolos IP são permitidos.





Protocolo IP Exclui protocolos não IP.• Protocolo IPv4

• Protocolo IPv6

Se nenhuma caixa de seleção for marcada, qualquerprotocolo IP será aplicável. Pode-se selecionar ambos,IPv4 e IPv6.

Protocolo não IP Inclui somente protocolos não IP.• Selecionar EtherType na lista - Especifica um EtherType.

• Especificar EtherType personalizado - Especifica os quatrocaracteres do valor do EtherType hexadecimal noprotocolo não IP. Consulte Números Ethernet para veros valores de EtherType. Por exemplo, insira 809Bpara AppleTalk, 8191 para NetBEUI ou 8037 para IPX.

Tipos de conexão Indica se um ou todos os tipos de conexão sãoaplicáveis:• Com fio

• Sem fio

• VirtualUm tipo de conexão Virtual é um adaptadorapresentado por uma VPN ou por um aplicativo demáquina virtual, como o VMware, em vez de umadaptador físico.

Especifique asredes

Especifica as redes que se aplicam ao item.• Adicionar — Cria e adiciona uma rede.

• Clicar duas vezes em um item - Altera o itemselecionado.

• Excluir — Remove a rede da lista.

Transporte Especifica as opções de transporte que se aplicam aoitem.



http://www.iana.org/assignments/ethernet-numbers



Protocolo detransporte

Especifica o protocolo de transporte associado ao item.Selecione o protocolo, depois clique em Adicionar paraadicionar portas.

• Todos os protocolos — Permite protocolos IP, não IP e semsuporte.

• TCP e UDP — Selecione na lista suspensa:

• Porta local — Especifica a porta ou o serviço de tráfegolocal ao qual o item se aplica.

• Porta remota — Especifica a porta ou serviço de tráfegoem outro computador ao qual o item é aplicável.

A Porta local e a Porta remota podem ser:

• Um serviço único. Exemplo: 23.

• Um intervalo. Exemplo: 1–1024.

• Uma lista separada por vírgula de portas únicas eintervalos. Por exemplo, 80, 8080, 1–10, 8443 (até4 itens).

Por padrão, as regras se aplicam a todos os serviços eportas.

• ICMP - Na lista suspensa Tipo de mensagem, especifiqueum tipo de mensagem ICMP. Veja ICMP.

• ICMPv6 - Na lista suspensa Tipo de mensagem, especifiqueum tipo de mensagem ICMP. Veja ICMPv6.

• Outros - Seleciona protocolos menos comuns em umalista.

Executáveis Especifica as executáveis que se aplicam à regra.• Adicionar - Cria e adiciona um executável.

• Clicar duas vezes em um item - Altera o itemselecionado.

• Excluir - Remove um executável da lista.

Agendamento Especifica as definições de agendamento para a regra ougrupo.



http://www.iana.org/assignments/icmp-parameters/icmp-parameters.xhtml

http://www.iana.org/assignments/icmpv6-parameters/icmpv6-parameters.xhtml



Ativaragendamento

Ativa o agendamento para a regra ou o grupotemporizado.Quando o agendamento está desativado, a regra ou asregras não são aplicadas no grupo.

• Hora de início - Especifica a hora de início para ativar oagendamento.

• Hora de término - Especifica a hora que o agendamentoserá desativado.

• Dias da semana - Indica os dias da semana para ativaro agendamento.

Para horas de inicio e de fim, use um relógio de 24horas. Por exemplo, 13:00 = 1:00 p.m.

Você pode agendar os grupos temporizados do Firewallou permitir que o usuário os ative usando o ícone dabandeja do sistema da McAfee.

Desativaragendamento eativar o grupo noícone da bandejado sistema daMcAfee

Especifica que o usuário pode ativar o grupotemporizado por um determinado número de minutosusando o ícone da bandeja do sistema da McAfee, emvez de usar o agendamento.

Prática recomendada: use essa opção para permitiramplo acesso à rede, por exemplo, em um hotel,antes que uma conexão VPN seja estabelecida.

A seleção desta opção exibe mais opções de menu emConfigurações rápidas no ícone da bandeja do sistema daMcAfee:

• Ativar grupos temporizados do Firewall — Ativa os grupostemporizados por determinado período a fim depermitir o acesso à Internet antes que as regras derestrição de acesso sejam aplicadas. Quando osgrupos temporizados estão ativados, a opção éDesativar grupos temporizados do Firewall.Sempre que selecionar essa opção, você redefinirá otempo dos grupos.

Dependendo das configurações, você pode sersolicitado a fornecer ao administrador um motivo paraativar os grupos temporizados.

• Exibir grupos temporizados do Firewall — Exibe os nomes dosgrupos temporizados e a quantidade de temporestante para ativação de cada grupo.

Número de minutos(1-60) para ativar ogrupo

Especifica o número de minutos (de 1 a 60) em que ogrupo temporizado permanece ativo após a seleção deAtivar grupos limitados de firewall no ícone da McAfee nabandeja do sistema.



Consulte também Criar e gerenciar regras e grupos do Firewall na página 145Criar grupos temporizados na página 148Ativar ou exibir grupos temporizados do Firewall usando o ícone da bandeja do sistema daMcAfee na página 134Página Adicionar rede ou Editar rede na página 160Adicionar executável ou Editar executável na página 159

Adicionar executável ou Editar executávelAdicione ou edite um executável associado a uma regra ou um grupo.

Tabela 4-5 Opções

Opção Definição

Nome Especifica o nome pelo qual você chama o executável.Esse campo é obrigatório com, pelo menos, um outro campo: Nome ou caminho doarquivo, Descrição do arquivo, Hash de MD5 ou signatário.

Nome ou caminhodo arquivo



Descrição doarquivo

Indica a descrição do arquivo.





Opção Definição



• Assinado por — Permite somente arquivos assinados pelo signatário de processoespecificado.Um nome distinto de signatário (SDN) é obrigatório para o executável e ele devecorresponder exatamente às entradas no campo acompanhante, incluindo vírgulase espaços.

O signatário do processo aparece no formato correto nos eventos do Log deeventos do Cliente do Endpoint Security e no Log de eventos de ameaça do McAfeeePO. Por exemplo:











• S = Califórnia

• C = EUA


Página Adicionar rede ou Editar redeAdiciona ou edita uma rede associada a uma regra ou grupo.

Tabela 4-6 Opções

Opção Definição Regra Grupo

Nome Especifica o nome do endereço de rede (obrigatório).

Tipo Selecione entre:• Rede local — Cria e adiciona uma rede local.

• Rede remota — Cria e adiciona uma rede remota.

Adicionar Adiciona um tipo de rede à lista de redes.

Clicar duas vezes emum item


Excluir Exclui o item selecionado.




Opção Definição Regra Grupo

Tipo de endereço Especifica a origem ou o destino do tráfego. Selecione na listasuspensa Tipo de endereço.

Endereço Especifica o endereço IP para adicionar à rede.Caracteres curinga são válidos.

Consulte também Tipo de endereço na página 161

Tipo de endereçoEspecifique o tipo de endereço de uma rede definida.

Tabela 4-7 Opções

Opção Definição

Endereço IP único Especifica um endereço IP particular. Por exemplo:• IPv4 — 123.123.123.123• IPv6 - 2001:db8::c0fa:f340:9219:bd20:9832:0ac7*

Sub-rede Especifica o endereço de sub-rede de qualquer adaptador na rede. Por exemplo:• IPv4 - 123.123.123.0/24• IPv6 - 2001:db8::0/32

Sub-rede local Especifica o endereço de sub-rede do adaptador local.

Intervalo Especifica um intervalo de endereços IP. Digite o ponto inicial e o ponto final dointervalo. Por exemplo:• IPv4 - 123.123.1.0 – 123.123.255.255• IPv6 - 2001:db8::0000:0000:0000:0000 –2001:db8::ffff:ffff:ffff:ffff

Nome de domíniototalmente qualificado

Especifica o FQDN. Por exemplo, www.exemplo.com.

Qualquer endereço IPlocal

Especifica qualquer endereço IP local.

Qualquer endereço IPv4 Especifica qualquer endereço IPv4.

Qualquer endereço IPv6 Especifica qualquer endereço IPv6.



5 Usar o Controle da Web

Os recursos de proteção do Controle da Web são exibidos no navegador ao navegar e pesquisar.

Conteúdo Sobre os recursos do Controle da Web Acessar recursos do Controle da Web Gerenciamento do Controle da Web Referência da interface do Cliente do Endpoint Security — Controle da Web

Sobre os recursos do Controle da WebÀ medida que o Controle da Web é executado em cada sistema gerenciado, ele notifica os usuáriossobre as ameaças enquanto buscam ou navegam em sites.

Uma equipe da McAfee analisa cada site e atribui uma classificação de segurança codificada por coresde acordo com os resultados do teste. A cor indica o nível de segurança do site.

O software usa os resultados do teste para notificar os usuários sobre as ameaças da Web que podemencontrar.

Nas páginas de resultados da pesquisa — Um ícone é exibido ao lado de cada site listado. A cordo ícone indica a classificação de segurança do site. Os usuários podem acessar mais informações comos ícones.

Na janela do navegador — Um botão é exibido no navegador. A cor do botão indica a classificaçãode segurança do site. Os usuários podem ter acesso a mais informações clicando no botão.

O botão também notifica os usuários quando ocorrem problemas de comunicação e fornece acessorápido a testes que ajudam a identificar problemas comuns.

Nos relatórios de segurança — Os detalhes mostram como a classificação de segurança foicalculada com base nos tipos de ameaças detectadas, nos resultados dos testes e outros dados.

Para sistemas gerenciados, os administradores criam políticas para:

• Ativar e desativar o Controle da Web no sistema, e impedir ou permitir que o plug-in do navegadorseja desativado.

• Controlar o acesso a sites, páginas e downloads com base na classificação de segurança ou no tipode conteúdo.

Por exemplo, bloquear sites com nível de risco vermelho e avisar aos usuários que tentam acessarsites com nível de risco amarelo.

• Identificar sites como bloqueado ou permitido, com base em URLs e domínios.

• Impedir que usuários desinstalem ou alterem arquivos do Controle da Web, chaves de Registro,valores de Registro, serviços e processos.

5


• Personalizar a notificação que é exibida quando os usuários tentam acessar um site bloqueado.

• Monitorar e regular a atividade do navegador nos computadores da rede e criar relatóriosdetalhados sobre sites.

Para sistemas autogerenciáveis, você pode configurar as definições para:

• Ativar e desativar o Controle da Web em seu sistema.

• Controlar o acesso a sites, páginas e downloads com base na classificação de segurança ou no tipode conteúdo.

Por exemplo, bloquear sites com nível de risco vermelho e avisar aos usuários que tentam acessarsites com nível de risco amarelo.

Navegadores compatíveis e incompatíveis.

O Controle da Web oferece suporte a estes navegadores:

• Microsoft Internet Explorer 11

• Google Chrome — versão atual

O Chrome não oferece suporte à opção Mostrar balão.

• Mozilla Firefox — versão atual

• Mozilla Firefox ESR (Versão com suporte estendido) — versão atual e versão anterior

Como o Google e o Mozilla lançam novas versões com frequência, o Controle da Web poderá nãofuncionar com uma nova atualização. Um patch do Controle da Web é lançado sempre que possível paraoferecer suporte às alterações do Google ou do Mozilla.

O Controle da Web não oferece suporte ao Microsoft Edge.

Para obter as informações mais recentes sobre navegadores compatíveis com o Controle da Web,consulte KB82761.

Em sistemas autogerenciados, todos os navegadores – compatíveis e incompatíveis – são permitidospor padrão.

Consulte também O botão do Controle da Web identifica ameaças durante a navegação na página 165Os ícones de segurança identificam ameaças durante a pesquisa na página 166Os relatórios do site apresentam detalhes na página 166Como as classificações de segurança são compiladas na página 167

5 Usar o Controle da WebSobre os recursos do Controle da Web


https://kc.mcafee.com/corporate/index?page=content&id=KB82761#Browsers

Como o Controle da Web bloqueia ou avisa sobre um site ou umdownloadQuando um usuário visita ou acessa um recurso de um site que tenha sido bloqueado ou avisado, oControle da Web exibe uma página ou uma mensagem pop-up indicando o motivo.

Se as ações de classificação de um site estiverem definidas como:

• Avisar — O Controle da Web mostra um alerta para notificar os usuários de perigos em potencialassociados ao site.

Cancelar retorna ao site navegado anteriormente.

Se a guia do navegador não tiver nenhum site visualizado anteriormente, Cancelar não estarádisponível.

Continuar prossegue para o site.

• Bloquear — O Controle da Webexibe uma mensagem indicando que o site está bloqueado e impedeque usuários acessem o site.

OK retorna ao site navegado anteriormente.

Se a guia do navegador não tiver nenhum site visualizado anteriormente, OK não estará disponível.

Se as ações de classificação de download de um site estiverem definidas como:

• Avisar — O Controle da Web mostra um alerta para notificar o usuário de perigos em potencialassociados ao download do arquivo.

Bloquear impede o download e retorna ao site.

Continuar permite o download.

• Bloquear — O Controle da Web exibe uma mensagem indicando que o site está bloqueado e impedeo download.

OK retorna ao site.

O botão do Controle da Web identifica ameaças durante anavegaçãoAo navegar para um site, é exibido um botão com código de cores no navegador. A cordo botão corresponde à classificação de segurança do site.

A classificação de segurança se aplica somente às URLs de protocolo HTTP e HTTPS.

Internet Explorere Safari (Mac)

Firefox eChrome

Descrição

Este site é testado diariamente e certificado como seguropelo McAfee SECURE™. (somente Windows)

Este site é seguro.

Este site pode ter problemas.

Este site tem problemas graves.

Não há classificação disponível para este site.Este botão aparece para o FILE (file://) URLs de protocolo.

Ocorreu um erro de comunicação com o servidor McAfee GTIque contém informações sobre classificações.

Usar o Controle da WebSobre os recursos do Controle da Web 5


Internet Explorere Safari (Mac)

Firefox eChrome

Descrição

O Controle da Web não consultou o McAfee GTI a respeitodeste site, indicando que o site seja interno ou esteja emuma faixa de endereços IP privada.

O site é de phishing.

Phishing é uma tentativa de adquirir informaçõesconfidenciais como nomes de usuário, senhas e detalhes decartão de crédito. Os sites de phishing se passam porentidades confiáveis em uma comunicação eletrônica.

Uma configuração ativa este site.

Uma configuração desativou o Controle da Web.

A localização do botão depende do navegador:

• Internet Explorer - Barra de ferramentas do Controle da Web

• Firefox - Canto direito da barra de ferramentas do Firefox

• Chrome - Barra de endereço

Consulte também Ver informações sobre um site enquanto navega na página 169

Os ícones de segurança identificam ameaças durante apesquisaQuando os usuários digitam palavras-chave em um mecanismo de pesquisa popular como Google,Yahoo, Bing ou Ask, ícones de segurança são exibidos junto aos sites na página de resultados dapesquisa. A cor do botão corresponde à classificação de segurança do site.

Os testes não revelaram nenhum problema importante.

Testes revelaram alguns problemas que talvez você precise saber. Por exemplo, o site tentoualterar os padrões do navegador dos testadores, exibiu pop-ups ou enviou-lhes uma quantidadesignificativa de e-mails não spam.

Testes revelaram alguns problemas que talvez você precise considerar cuidadosamente antes deacessar este site. Por exemplo, o site enviou muitos emails de spam aos verificadores ou incluiuadware no download.

Uma configuração de bloqueou este site.

Este site está sem classificação.

Consulte também Exibir relatório de site durante a pesquisa na página 170

Os relatórios do site apresentam detalhesVocê podem exibir o relatório do site de um site para obter detalhes sobre ameaças específicas.

Os relatórios de sites são entregues pelo servidor de classificações do McAfee GTI e oferecem asinformações a seguir.

5 Usar o Controle da WebSobre os recursos do Controle da Web


Este item... Indica...

Visão geral Classificação geral do site, determinada a partir desses testes:• Avaliação das práticas de e-mail e download de um site usando técnicas próprias de

coleta e análise de dados.

• Exame do site em si, para verificar se ele adota práticas incômodas, como excessode pop-ups ou solicitações para que você mude sua página inicial.

• Análise das afiliações online do site para saber se ele está associado a outros sitessuspeitos.

• Combinação da análise do McAfee de sites suspeitos com os comentários de nossosserviços de Threat Intelligence.

FiliaçõesOn-line

Quão agressivamente o site tenta te levar para outros sites que o McAfee classificoucomo vermelho.Os sites suspeitos com frequência se associam a outros sites suspeitos. O objetivoprimário de sites alimentadores é fazer com que você visite o site suspeito. Um sitepode ser sinalizado com a classificação vermelha se, por exemplo, contiver grandequantidade de links para outros sites com a classificação vermelha. Nesse caso. oControle da Web considera o site com classificação vermelha por associação.

Testes despams naweb

Classificação geral das práticas de e-mail de um site, com base nos resultados dostestes.A McAfee classifica os sites com base na quantidade de e-mails recebidos apósinserirmos um endereço no site e também se esses e-mails se parecem com spam. Seuma dessas medidas ficar acima do que consideramos aceitável, a McAfee classifica osite como amarelo. Se ambas as medidas forem altas, ou uma delas for especialmentegrave, a McAfee classifica o site como vermelho.

Testes dedownload

Classificação geral do impacto sofrido por nosso computador de teste em decorrênciade um software obtido por download em um site com base nos resultados do teste.A McAfee atribui sinalizadores vermelhos a sites que têm downloads infectados porvírus ou que adicionam software não relacionado que muitas pessoas considerariamadware ou spyware. A classificação também registra os servidores de rede que umprograma obtido por download contata durante a operação, bem como quaisquermodificações nas configurações do navegador ou arquivos de registro do computador.

Consulte também Exibir relatório de site durante a pesquisa na página 170Ver informações sobre um site enquanto navega na página 169

Como as classificações de segurança são compiladasUma eqipe do McAfee desenvolve classificações de segurança ao testar critérios para cada site eavaliar os resultados para detectar ameaças comuns.

Os testes automáticos compilam as classificações de segurança para um site através de:

• Download de arquivos para verificar a existência de vírus e programas potencialmente indesejadosjunto com o download.

• Envio de informações de contato nos formulários de inscrição e verificação dos resultados de spamou alto volume de e-mails não spam enviados pelo site ou seus afiliados.

• Verificação de janelas pop-up em excesso.

• Verificação de tentativas do site de explorar as vulnerabilidades do navegador.

• Verificação de práticas fraudulentas ou enganadoras aplicadas por um site.

Usar o Controle da WebSobre os recursos do Controle da Web 5


A equipe compila os resultados dos testes em um relatório de segurança, que também pode incluir:

• Comentários enviados por proprietários de sites, que podem incluir descrições de precauções desegurança usadas pelo site ou respostas aos comentários dos usuários sobre o site.

• Comentários enviados por usuários de sites, que podem incluir relatórios de fraudes de phishing ouexperiências ruins de compras.

• Mais análises pelos especialistas do McAfee.

O servidor do McAfee GTI armazena as classificações de sites e relatórios.

Acessar recursos do Controle da WebAcesse recursos do Controle da Web pelo navegador.

Tarefas• Ativar o plug-in de Controle da Web usando o navegador na página 168

Dependendo das configurações, você deve ativar manualmente o plug-in do Controle daWeb para ser notificado sobre ameaças baseadas na Web durante a navegação e a busca.

• Ver informações sobre um site enquanto navega na página 169Use o botão do Controle da Web no navegador para exibir informações sobre um site. Obotão funciona de forma diferente dependendo do navegador.

• Exibir relatório de site durante a pesquisa na página 170Use o ícone de segurança da página de resultados da pesquisa para exibir maisinformações sobre o site.

Ativar o plug-in de Controle da Web usando o navegadorDependendo das configurações, você deve ativar manualmente o plug-in do Controle da Web para sernotificado sobre ameaças baseadas na Web durante a navegação e a busca.

Antes de iniciarO módulo de Controle da Web deve estar ativado.

Plug-ins também são chamados de complementos no Internet Explorer e extensões no Firefox e noChrome.

Quando você iniciar o Internet Explorer ou o Chrome pela primeira vez, talvez seja solicitado a ativaros plug-ins. Para obter as informações mais recentes, consulte o artigo da Base de conhecimentosKB87568.


• Dependendo no navegador, ative o plug-in.

5 Usar o Controle da WebAcessar recursos do Controle da Web



InternetExplorer

• Clique em Ativar.

• Se mais de um plug-in estiver disponível, clique emEscolher complementos e, emseguida, clique em Ativar para acessar a barra de ferramentas do Controle da Web.

Chrome Clique em Ativar extensão.Se você não for solicitado a ativar o plug-in do Controle da Web , poderá ativá-lomanualmente.

1 Clique em Configurações | Extensões.

2 Clique em Ativar para ativar o Controle da Web do Endpoint Security.

3 Reinicie o Firefox.

Firefox 1 Na página inicial do Mozilla Firefox, Complementos | Extensões.

2 Selecione Ativar para ativar o Controle da Web do Endpoint Security.

No Internet Explorer, se você desativar a barra de ferramentas do Controle da Web, será solicitadoque também desative o plug-in do Controle da Web. Em sistemas gerenciados, se as configuraçõesde política impedirem que o plug-in seja desinstalado ou desativado, o Controle da Webpermanecerá ativado mesmo que a barra de ferramentas não esteja visível.

Ver informações sobre um site enquanto navegaUse o botão do Controle da Web no navegador para exibir informações sobre um site. O botãofunciona de forma diferente dependendo do navegador.

Antes de iniciar• O módulo de Controle da Web deve estar ativado.

• O plug-in do Controle da Web deve ser ativado no navegador.

• A opção Ocultar a barra de ferramentas no navegador do cliente nas configurações Opções deve estardesativada.

Quando o Internet Explorer estiver em modo de tela cheia, a barra de ferramentas do Controle da Webnão será exibida.

Para exibir o menu do Controle da Web:

Internet Explorer e FirefoxClique no botão na barra de ferramentas.

Chrome Clique no botão na barra de endereço.

Tarefa1 Mantenha o cursor sobre o botão na barra de ferramentas do Controle da Web para exibir um balão

que resume a classificação de segurança do site.

(somente Internet Explorer e Firefox)

2 Exibir o relatório detalhado do site, incluindo mais informações sobre a sua classificação desegurança:

• Clique no botão do Controle da Web.

• Selecione Exibir relatório de site no menu Controle da Web.

• Clique no link Exibir relatório de site no balão do site. (somente Internet Explorer e Firefox)

Usar o Controle da WebAcessar recursos do Controle da Web 5


Consulte também O botão do Controle da Web identifica ameaças durante a navegação na página 165Os relatórios do site apresentam detalhes na página 166

Exibir relatório de site durante a pesquisaUse o ícone de segurança da página de resultados da pesquisa para exibir mais informações sobre osite.

Tarefa1 Coloque o cursor sobre o ícone de segurança. O texto do balão exibe um resumo do relatório de

segurança do site.

2 Clique em Ler relatório de site (no balão) para abrir um relatório de segurança detalhado do site emoutra janela do navegador.

Consulte também Os ícones de segurança identificam ameaças durante a pesquisa na página 166Os relatórios do site apresentam detalhes na página 166

Gerenciamento do Controle da WebComo administrador, você pode especificar as configurações do Controle da Web para ativar epersonalizar a proteção, bloquear com base em categorias da Web e configurar o registro.


Configurar opções de Controle da WebÉ possível ativar o Controle da Web e configurar opções usando o Cliente do Endpoint Security.




2 Clique em Controle da Web na página Status principal.

Ou, no menu Ação , selecione Configurações e clique em Controle da Web na página Configurações.



5 Usar o Controle da WebGerenciamento do Controle da Web


5 Selecione Ativar Controle da Web para tornar o Controle da Web ativo e modificar suas opções.

Para... Faça isso... Notas

Oculte a barra deferramentas do Controleda Web no navegadorsem desativar aproteção.

Selecione Ocultar a barra deferramentas no navegador do cliente.

Rastrear eventos donavegador para usarnos relatórios.

Configure as definições naseção Relatório de eventos.

Configure os eventos do Controle daWeb enviados dos sistemas clientespara o servidor de gerenciamento paraserem usados em consultas erelatórios.

Bloquear ou avisar arespeito de URLsdesconhecidos.

Em Imposição de ação, selecione aação (Bloquear, Permitir ou Avisar)para os sites que ainda nãoforam classificados peloMcAfee GTI.

Fazer a varredura dearquivos antes dodownload.

Em Imposição de ação, selecioneAtivar varredura de arquivos emdownloads de arquivos e, emseguida, selecione o nível derisco do McAfee GTI parabloquear.

Adicionar sites externosà rede privada local.

Em Imposição de ação, sobEspecificar intervalos e endereços IPadicionais para permitir, clique emAdicionar e insira um intervaloou endereço IP externo.

Bloquear a exibição desites arriscados nosresultados da pesquisa.

Em Pesquisa segura, selecioneAtivar pesquisa segura, selecione omecanismo de pesquisa eespecifique se os links dossites perigosos deverão serbloqueados.

A Pesquisa Segura filtraautomaticamente os sites maliciososnos resultados da pesquisa com baseem suas classificações de segurança. OControle da Web utiliza o Yahoo comomecanismo de pesquisa padrão e dásuporte à Pesquisa segura apenas noInternet Explorer.Caso altere o mecanismo de pesquisapadrão, reinicie o navegador para queas alterações tenham efeito.

Na próxima vez em que o usuário abriro Internet Explorer, o Controle da Webexibirá um pop-up solicitando que ousuário mude para a Pesquisa segurada McAfee com o mecanismo depesquisa especificado. Para as versõesdo Internet Explorer nas quais omecanismo de pesquisa estábloqueado, o pop-up de Pesquisasegura não é exibido.

6 Configure outras opções conforme necessário.


Consulte também Como os downloads de arquivos são analisados na página 172Entrar como administrador na página 26

Usar o Controle da WebGerenciamento do Controle da Web 5


Como os downloads de arquivos são analisadosO Controle da Web envia solicitações de download de arquivo à Prevenção contra ameaças paravarredura antes de executar o download.

5 Usar o Controle da WebGerenciamento do Controle da Web


Como o McAfee GTI funcionaO servidor McAfee GTI armazena classificações de sites e relatórios para o Controle da Web. Se vocêconfigurar o Controle da Web para varrer arquivos obtidos por download, o mecanismo de varredurausará a reputação de arquivos fornecida pelo McAfee GTI para verificar se há arquivos suspeitos.

O mecanismo de varredura envia impressões digitais de amostras, ou hashes, para um servidor debanco de dados central hospedado pelo McAfee Labs para determinar se elas são programas demalware. Com o envio de hashes, a detecção pode estar disponível antes da próxima atualização dearquivo de conteúdo, quando o McAfee Labs publicar a atualização.

Você pode configurar o nível de sensibilidade a ser usado pelo McAfee GTI ao determinar se umaamostra detectada é malware. Quanto mais alto o nível de sensibilidade, maior o número de detecçõesde malware. No entanto, se mais detecções forem permitidas, poderá haver mais resultados falsospositivos. O nível de sensibilidade do McAfee GTI é definido como Muito alto por padrão. Defina o nívelde sensibilidade para a varredura de downloads de arquivos nas configurações de política Controle daWeb do Controle da Web.

Você pode configurar o Endpoint Security para usar um servidor proxy para recuperar informações dereputação do McAfee GTI nas configurações do Em Comum.

Para perguntas frequentes sobre o McAfee GTI, consulte KB53735.

Especificar ações de classificação e bloquear acesso a sites combase na categoria da Web Defina as configurações de Ações de conteúdo para especificar as ações a serem aplicadas em sites earquivos de download, com base nas classificações de segurança. Opcionalmente, especifique se ossites devem ser bloqueados ou permitidos em cada categoria da Web.




2 Clique em Controle da Web na página Status principal.

Ou, no menu Ação , selecione Configurações e clique em Controle da Web na página Configurações.


4 Clique em Ações de conteúdo.

5 Na seção Bloqueio de Categoria da Web, para cada Categoria da Web, ative ou desative a opção Bloquear.

Para sites nas categorias não bloqueadas, o Controle da Web também aplica as ações declassificação.

Usar o Controle da WebGerenciamento do Controle da Web 5



6 Na seção Ações de classificação, especifique as ações a serem aplicadas a qualquer site e arquivo dedownload, com base nas classificações de segurança definidas pelo McAfee.

Estas ações também se aplicam a sites que não foram bloqueados pelo bloqueio por categoria daweb.


Consulte também Utilizando categorias da web para controlar acesso na página 174Uso de classificações de segurança para controlar o acesso na página 174Entrar como administrador na página 26

Utilizando categorias da web para controlar acessoAs categorias da web permitem que você tenham controle do acesso a sites, com base nas categoriasque a McAfee definir. Você pode especificar opções para permitir ou bloquear acesso a sites, com basena categoria do conteúdo contido neles.

Ao ativar o bloqueio da categoria da Web nas configurações de de Ações de conteúdo, o softwarebloqueia ou permite as categorias dos sites. Estas categorias da Web incluem Jogos de azar, Jogos eMensagens instantâneas. A McAfee define e mantém uma lista de aproximadamente 105 categorias daWeb.

Quando um cliente usuário acessa um site, o software verifica a categoria da web para aquele site. Seo site faz parte de uma categoria definida, o acesso é permitido ou bloqueado, com base nasconfigurações da política de . Para sites e arquivos baixados nas categorias não bloqueadas, osoftware aplica as Ações de Classificação específicas.

Uso de classificações de segurança para controlar o acessoConfigure ações com base em classificações de segurança para determinar se os usuários podemacessar um site ou recursos em um site.

Nas configurações de Ações de conteúdo, especifique se arquivos e downloads de arquivos devem serpermitidos, avisados ou bloqueados com base na classificação de segurança. Essa configuraçãopossibilita maior nível de granularidade na proteção dos usuários contra arquivos que possamrepresentar uma ameaça em sites classificados com nível de risco verde.

Referência da interface do Cliente do Endpoint Security —Controle da Web


Conteúdo Controle da Web — Opções Controle da Web — Ações de conteúdo

Controle da Web — OpçõesConfigure opções do Controle da Web, que incluem imposição de ação, Pesquisa segura e anotaçõesde e-mail.


5 Usar o Controle da WebReferência da interface do Cliente do Endpoint Security — Controle da Web


Tabela 5-1 Opções


OPÇÕES Ativar o Controle da Web Desativa ou ativa o Controle da Web. (Ativado por padrão)

Ocultar a barra deferramentas no navegadordo cliente

Oculta a barra de ferramentas do Controle da Web no navegadorsem desativar sua funcionalidade. (Desativado por padrão)

Log deeventos

Registrar em logcategorias da Web parasites classificados comnível de risco verde

Registra em log categorias de conteúdo para todos os sitesclassificados com nível de risco verde.Se esse recurso for ativado, isso poderá afetar negativamente odesempenho do servidor McAfee ePO.

Registrar em log oseventos do iFrame doControle da Web

Registra em log quando os sites maliciosos (vermelho) e avisados(amarelo) exibidos em um iframe HTML são bloqueados.

Imposição deação

Aplique essa ação parasites que ainda não foramverificados pelo McAfeeGTI

Especifica a ação padrão a ser aplicada a sites que o McAfee GTIainda não classificou.• Permitir (Padrão) — Permite que os usuários acessem o site.

• Avisar — Exibe um aviso para notificar os usuários de possíveisperigos associados ao site. Os usuários devem descartar o avisoantes de continuar.

• Bloquear — Impede que o usuário acesse o site e exibe umamensagem informando que o download do site está bloqueado.

Ativar suporte paraiFrames HTML

Bloqueia o acesso a sites maliciosos (vermelho) e avisados(amarelo) que aparecem em um iframe HTML. (Ativado porpadrão)

Bloquear sites por padrãose o servidor declassificações do McAfeeGTI não estiver acessível

Bloqueia o acesso a sites por padrão se o Controle da Web nãopuder acessar o servidor McAfee GTI.

Bloquear páginas dephishing para todos ossites

Bloqueia todas as páginas de phishing, substituindo as ações declassificação de conteúdo. (Ativado por padrão)

Ativar varredura dearquivos para downloadsde arquivos

Varre todos os arquivos (.zip, .exe, .ecx, .cab, .msi, .rar, .scre .com) antes de fazer download. (Ativado por padrão)Essa opção impede que os usuários acessem um arquivo obtido pordownload até que o Controle da Web e a Prevenção contraameaças marquem o arquivo como limpo.

O Controle da Web realiza uma pesquisa do McAfee GTI no arquivo.Se o McAfee GTI permitir o arquivo, o Controle da Web enviará oarquivo para a Prevenção contra ameaças para fazer umavarredura. Se um arquivo obtido por download for detectado comouma ameaça, o Endpoint Security intervirá no arquivo e alertará ousuário.

Nível de sensibilidade doMcAfee GTI

Especifica o nível de sensibilidade do McAfee GTI que o Controle daWeb usa em downloads de arquivos.

Usar o Controle da WebReferência da interface do Cliente do Endpoint Security — Controle da Web 5




Exclusões Especificar endereços IPou intervalos a seremexcluídos da classificaçãoou do bloqueio doControle da Web

Adiciona endereços IP e intervalos especificados à rede privadalocal, os excluindo da classificação ou do bloqueio.Os endereços IP privados são excluídos por padrão.

Prática recomendada: use essa opção para tratar sites externoscomo se eles pertencessem à rede local.

• Adicionar — Adiciona um endereço IP à lista de endereços privadosna rede local.


• Excluir — Exclui um endereço IP da lista de endereços privados narede local.

Pesquisasegura

Ativar a pesquisa segura Ativa a pesquisa segura, bloqueando automaticamente sitesmaliciosos no resultado da pesquisa com base nas suasclassificações de segurança.

Definir o mecanismo depesquisa padrão nosnavegadores compatíveis

Especifica o mecanismo de pesquisa padrão a usar nosnavegadores compatíveis:• Yahoo

• Google

• Bing

• Ask

Bloquear links para sitesperigosos nos resultadosde pesquisas

Impede que os usuários cliquem em links para sites perigosos nosresultados de pesquisa.



Anotações de e-mail Ativar anotações em e-mail no navegador Anota URLs em clientes de e-mail com base nonavegador, como o Yahoo Mail e o Gmail.

Ativar anotações em e-mail fora do navegador Anota URLs em ferramentas de gerenciamentode e-mail de 32 bits, como o Microsoft Outlookou o Outlook Express.

Consulte também Configurar opções de Controle da Web na página 170Como os downloads de arquivos são analisados na página 172McAfee GTI na página 177



McAfee GTIAtive e defina configurações do McAfee GTI (Global Threat Intelligence).

Tabela 5-4 Opções


Nível desensibilidade

Configura o nível de sensibilidade a ser usado ao determinar se umaamostra detectada é malware.Quanto mais alto o nível de sensibilidade, maior o número de detecções demalware. No entanto, se mais detecções forem permitidas, poderá havermais resultados falsos positivos.

Muito baixo As detecções e o risco de falsos positivos são os mesmos que existem comarquivos comuns do conteúdo do AMCore. Uma detecção é disponibilizadapara a Prevenção contra ameaças quando o McAfee Labs a publica, e não napróxima atualização de arquivo do conteúdo do AMCore.Use essa configuração para desktops e servidores com direitos de usuáriorestritos e configurações de segurança fortes.

Baixo Essa configuração é a recomendação mínima para laptops, desktops eservidores com configurações de segurança fortes.

Médio Use essa configuração quando o risco regular de exposição a malware formaior que o risco de um falso positivo. As verificações heurísticasproprietárias do McAfee Labs resultam em detecções que possivelmente sãomalware. Contudo, algumas detecções podem resultar em falsos positivos.Com essa configuração, o McAfee Labs verifica se aplicativos populares earquivos do sistema operacional não resultam em falsos positivos.Essa configuração é a recomendação mínima para laptops, desktops eservidores.

Alto Use essa configuração para distribuições em áreas ou sistemas que sãoregularmente infectados.

Muito alto Use essa configuração para volumes de sistema não operacionais.Presume-se que as detecções encontradas com esse nível sejam maliciosas,mas elas não foram inteiramente testadas para determinar se são falsospositivos.

Use esse nível somente para varrer volumes e diretórios que não forneçamsuporte à execução de programas ou sistemas operacionais.

Consulte também Controle da Web — Opções na página 174

Controle da Web — Ações de conteúdoDefina ações a serem tomadas pelo Controle da Web para sites classificados e categorias de conteúdoda Web.

Para sites e downloads de arquivos, o Controle da Web se aplica às ações de classificação.



Tabela 5-5 Opções


Ações declassificação

Ações declassificaçãopara sites

Especifica ações para sites classificados como Vermelho ou Amarelo ousem classificação.Sites e downloads classificados como verde são permitidosautomaticamente.

• Permitir — Permite que os usuários acessem o site.(Padrão para sites não classificados)

• Avisar — Exibe um aviso para notificar os usuários de possíveis perigosassociados ao site.Os usuários devem clicar em Cancelar para voltar ao site visualizadoanteriormente ou em Continuar para ir para o site.

Se a guia do navegador não tiver nenhum site visualizadoanteriormente, Cancelar não estará disponível.

(Padrão para sites com nível de risco amarelo)

• Bloquear — Impede que os usuários acessem o site e exibe umamensagem de que o site está bloqueado.Os usuários devem clicar em OK para voltar ao site visualizadoanteriormente.

Se a guia do navegador não tiver nenhum site visualizadoanteriormente, OK não estará disponível.

(Padrão para sites com nível de risco vermelho)

Ações declassificaçãopara downloadsde arquivos

Especifica ações para downloads de arquivos classificados comoVermelho ou Amarelo ou sem classificação.Essas Ações de classificação são aplicáveis somente quando a opçãoAtivar varredura de arquivos para downloads de arquivos está ativada nasconfigurações de Opções.

• Permitir — Permite que os usuários prossigam com o download.(Padrão para sites não classificados)

• Avisar — Exibe um aviso para notificar os usuários dos possíveisperigos associados ao download do arquivo. O usuário deve descartaro aviso para terminar ou prosseguir com o download.(Padrão para sites com nível de risco amarelo)

• Bloquear — Exibe uma mensagem avisando que o download estábloqueado e impede os usuários de fazerem download do arquivo.(Padrão para sites com nível de risco vermelho)



Bloqueio de categoria da Web Ativar bloqueio de categoria daWeb

Ativa o bloqueio de sites com base na categoria deconteúdo.

Bloquear Impede que os usuários acessem qualquer sitenessa categoria e exibe uma mensagem de que osite está bloqueado.

Categoria da Web Lista as categorias da Web.



Consulte também Especificar ações de classificação e bloquear acesso a sites com base na categoria da Web napágina 173Uso de classificações de segurança para controlar o acesso na página 174Utilizando categorias da web para controlar acesso na página 174



6 Uso da Proteção adaptável contraameaças

A Proteção adaptável contra ameaças é um módulo opcional do Endpoint Security que analisa oconteúdo da empresa e decide o que deve ser feito com base na reputação do arquivo, nas regras enos limites de reputação.


Conteúdo Sobre a Proteção adaptável contra ameaças Responder a uma solicitação de reputação de arquivo Gerenciamento da Proteção adaptável contra ameaças Referência da interface do Cliente do Endpoint Security — Proteção adaptável contra ameaças

Sobre a Proteção adaptável contra ameaçasA Proteção adaptável contra ameaças analisa o conteúdo da empresa e decide o que deve ser feitocom base na reputação do arquivo, nas regras e nos limites de reputação.

A Proteção adaptável contra ameaças inclui a capacidade de confinar, bloquear ou limpar arquivos combase na reputação. A Proteção adaptável contra ameaças se integra à varredura do Real Protect pararealizar análises de reputação automáticas na nuvem e nos sistemas clientes.

A Proteção adaptável contra ameaças é um módulo opcional do Endpoint Security. Para obter fontes efuncionalidades adicionais de inteligência contra ameaças, distribua o servidor Threat IntelligenceExchange. Para obter informações, entre em contato com o revendedor ou o representante de vendas.


Benefícios da Proteção adaptável contra ameaçasA Proteção adaptável contra ameaças permite determinar o que ocorre quando um arquivo comreputação maliciosa ou desconhecida é detectado em seu ambiente. Você também pode exibirinformações do histórico de ameaças e as ações realizadas.

A Proteção adaptável contra ameaças fornece estes benefícios:

• Detecção rápida e proteção contra ameaças de segurança e malware.

• Capacidade de saber quais sistemas ou dispositivos estão comprometidos e como a ameaça seespalhou pelo ambiente.

6


• A capacidade de imediatamente confinar, bloquear ou limpar certificados e arquivos específicos combase em suas reputações de ameaça e seus critérios de risco.

• Integração com a varredura do Real Protect para realizar análises de reputação automáticas nanuvem e nos sistemas clientes.

• Integração em tempo real com o McAfee® Advanced Threat Defense e o McAfee GTI para fornecerdados e avaliação detalhados sobre a classificação de malware. Essa integração permite que vocêresponda a ameaças e compartilhe as informações em todo seu ambiente.

Componentes da Proteção adaptável contra ameaçasA Proteção adaptável contra ameaças pode incluir estes componentes opcionais: servidor TIE e DataExchange Layer.

A Proteção adaptável contra ameaças é um módulo opcional do Endpoint Security que permite criarpolíticas para confinar, bloquear ou limpar arquivos ou certificados com base na reputação. Além disso,A Proteção adaptável contra ameaças se integra à varredura do Real Protect para realizar análises dereputação automáticas na nuvem e nos sistemas clientes.

a Proteção adaptável contra ameaças pode ser integrada a:

• Servidor TIE — Um servidor que armazena informações sobre reputações de arquivos ecertificados e, depois, transmite essas informações para outros sistemas.

O servidor TIE é opcional. Para obter informações sobre o servidor, consulte o Guia do produto doThreat Intelligence Exchange.

• Data Exchange Layer — Clientes e agentes que permitem a comunicação bidirecional entre omódulo Proteção adaptável contra ameaças do sistema gerenciado e o servidor TIE.

O Data Exchange Layer é opcional, mas é necessário para comunicação com o servidor TIE. Paraobter detalhes, consulte o Guia do produto do McAfee Data Exchange Layer.

Esses componentes incluem extensões do McAfee ePO e adicionam vários relatórios e recursos novos.

6 Uso da Proteção adaptável contra ameaçasSobre a Proteção adaptável contra ameaças


Se o servidor TIE e o Data Exchange Layer estiverem presentes, a Proteção adaptável contra ameaçase o servidor comunicarão informações de reputação do arquivo. A estrutura do Data Exchange Layertransmite essas informações imediatamente para terminais gerenciados. Além disso, compartilhainformações com outros produtos da McAfee que acessam o Data Exchange Layer, como o McAfee

®

Enterprise Security Manager (McAfee ESM) e o McAfee®

Network Security Platform.

Figura 6-1 Proteção adaptável contra ameaças com o servidor TIE e o Data Exchange Layer

Uso da Proteção adaptável contra ameaçasSobre a Proteção adaptável contra ameaças 6


Se o servidor TIE e o Data Exchange Layer não estiverem presentes, a Proteção adaptável contraameaças se comunicará com o McAfee GTI para obter informações de reputação do arquivo.

Figura 6-2 Proteção adaptável contra ameaças com o McAfee GTI

Como a Proteção adaptável contra ameaças funcionaA Proteção adaptável contra ameaças usa regras para determinar as ações a serem executadas combase em vários pontos de dados, como reputação, inteligência local e informações contextuais. Vocêpode gerenciar as regras de modo independente.A Proteção adaptável contra ameaças funciona de maneira diferente se estiver se comunicando ou nãocom o servidor TIE:

• Se o servidor TIE estiver disponível, a Proteção adaptável contra ameaças usará a estrutura doData Exchange Layer para compartilhar arquivos e informações sobre ameaças instantaneamenteem toda a empresa. Você pode ver o sistema específico onde uma ameaça foi detectada pelaprimeira vez, para onde ela foi depois e detê-la imediatamente.A Proteção adaptável contra ameaças com o servidor TIE permite controlar a reputação do arquivoem nível local em seu ambiente. Você decide quais arquivos podem ser executados e quais sãobloqueados, e o Data Exchange Layer compartilha as informações imediatamente com todo oambiente.

• Se o servidor TIE não estiver disponível no sistema e o sistema estiver conectado à Internet, aProteção adaptável contra ameaças usará o McAfee GTI para tomar decisões referentes areputação.

• Se O servidor TIE não está disponível, e o sistema não está conectado à Internet, a Proteçãoadaptável contra ameaças determina a reputação do arquivo usando informações sobre o sistemalocal.



Cenários para uso da Proteção adaptável contra ameaças

• Bloquear um arquivo imediatamente — A Proteção adaptável contra ameaças alerta oadministrador de rede sobre um arquivo desconhecido no ambiente. Em vez de enviar asinformações do arquivo para a McAfee analisar, o administrador bloqueia o arquivo imediatamente.O administrador pode usar o servidor TIE, se disponível, para saber quantos sistemas executaramo arquivo e o Advanced Threat Defense para determinar se o arquivo é uma ameaça.

• Permitir a execução de um arquivo personalizado — Uma empresa usa no dia a dia umarquivo cuja reputação padrão é suspeita ou maliciosa, por exemplo, um arquivo personalizado quefoi criado para a empresa. Como o arquivo é permitido, em vez de enviar as informações sobre oarquivo para a McAfee e receber um arquivo DAT atualizado, o administrador poderá alterar areputação do arquivo para confiável e permitir sua execução sem nenhum tipo de aviso.

• Permitir a execução de um arquivo em um contêiner — Quando uma empresa usa pelaprimeira vez um arquivo cuja reputação é desconhecida, o administrador pode especificar que eleseja executado em um contêiner. Nesse caso, o administrador configura as regras de confinamentonas configurações do Confinamento dinâmico de aplicativos. As regras de confinamento definemquais ações o aplicativo confinado não pode executar.

Verificar status da conexãoPara determinar se a Proteção adaptável contra ameaças no sistema cliente obtém reputações dearquivos do servidor TIE ou do McAfee GTI, verifique a página Cliente do Endpoint Security do Clientedo Endpoint Security.



2 No menu Ação , selecione Sobre.

3 Clique em Proteção adaptável contra ameaças à esquerda.

O campo Status da conexão indica uma das seguintes opções para Proteção adaptável contra ameaças:

• Conectividade do Threat Intelligence — Conectado ao servidor TIE para informações de reputação emnível empresarial.

• Conectividade do McAfee GTI somente — Conectado ao McAfee GTI para informações de reputação emnível global.

• Desconectado — Não conectado ao servidor TIE ou ao McAfee GTI. A Proteção adaptável contraameaças determina a reputação do arquivo usando informações do sistema local.

Como a reputação é determinadaA reputação de um arquivo e um certificado é determinada quando um arquivo tenta ser executadoem um sistema gerenciado.

Estas são as etapas para a determinação da reputação de um arquivo ou certificado.

1 Um usuário ou sistema tenta executar um arquivo.

2 O Endpoint Security verifica as exclusões para determinar se o arquivo deve ser inspecionado.

3 O Endpoint Security inspeciona o arquivo e não consegue determinar sua validade e sua reputação.

4 O módulo Proteção adaptável contra ameaças inspeciona o arquivo e coleta propriedades deinteresse do sistema local e do arquivo.

Uso da Proteção adaptável contra ameaçasSobre a Proteção adaptável contra ameaças 6


5 O módulo verifica o cache da reputação local do hash do arquivo. Se o hash do arquivo forencontrado, o módulo obterá os dados de reputação e predomínio da empresa do arquivo usando ocache.

• Se o arquivo hash não for encontrado no cache de reputação local, o módulo consultará o TIEServer. Se o hash for encontrado, o módulo obterá os dados de predomínio da empresa (e todasas reputações disponíveis) do hash do arquivo.

• Se o hash do arquivo não for encontrado no servidor TIE ou no banco de dados, o servidorconsultará o McAfee GTI quanto à reputação de hash do arquivo. O McAfee GTI envia asinformações disponíveis, por exemplo, "desconhecido" ou "malicioso", e o servidor armazenaessas informações.

O servidor envia o arquivo para varredura se uma das seguintes afirmações for verdadeira:

• O Advanced Threat Defense fica disponível ou ativado como fornecedor de reputação. Oservidor analisa localmente se a reputação do Advanced Threat Defense está presente. Senão estiver, ele marcará o arquivo como candidato para envio.

• A política do terminal é configurada para enviar o arquivo para Advanced Threat Defense.

Consulte as etapas adicionais em Se o Advanced Threat Defense estiver presente.

6 O servidor retorna a reputação, os dados de predomínio, o período da empresa do Hash do arquivoao módulo baseado nos dados que foram encontrados. Se o arquivo for novo no ambiente, oservidor também enviará uma sinalizador de primeira instância para o módulo Proteção adaptávelcontra ameaças. Se o McAfee Web Gateway estiver presente e enviar uma pontuação de reputação,o servidor TIE retornará a reputação do arquivo.

7 O módulo avalia seus metadados para determinar a reputação do arquivo:

• Propriedades do sistema e do arquivo

• Dados de predomínio e período da empresa

• Reputação

8 O módulo atua de acordo com a política atribuída ao sistema que estiver com o arquivo emexecução.

9 O módulo atualiza o servidor com as informações de reputação e se o arquivo foi bloqueado,permitido ou confinado. Ele também envia eventos de ameaça ao McAfee ePO pelo McAfee Agent.

10 O servidor publica o evento de alteração da reputação para o hash do arquivo.

Se o Advanced Threat Defense estiver presente

Se o Advanced Threat Defense estiver presente, ocorrerá o processo a seguir.

1 Se o sistema for configurado para enviar arquivos ao Advanced Threat Defense, e o arquivo fornovo no ambiente, o sistema enviará o arquivo para o servidor TIE. O servidor TIE, em seguida, oenviará para o Advanced Threat Defense para varredura.

2 O Advanced Threat Defense varre o arquivo e envia os resultados de reputação do arquivo para oservidor TIE usando o Data Exchange Layer. O servidor também atualiza o banco de dados e enviaas informações de reputação atualizadas para todos os sistemas compatíveis com a Proteçãoadaptável contra ameaças para proteger seu ambiente imediatamente. A Proteção adaptável contraameaças ou qualquer outro produto da McAfee podem iniciar esse processo. Em ambos os casos, aProteção adaptável contra ameaças processa a reputação e a salva no banco de dados.

Para obter informações sobre como o Advanced Threat Defense é integrado à Proteção adaptávelcontra ameaças, consulte o Guia do produto do McAfee Advanced Threat Defense.



Se o McAfee Web Gateway estiver presente

Se o McAfee Web Gateway estiver presente, ocorrerá o seguinte.

• Ao fazer download dos arquivos, o McAfee Web Gateway envia um relatório ao servidor TIE, quesalva a pontuação de reputação no banco de dados. Quando o servidor recebe uma solicitação dereputação de arquivo do módulo, ele retorna a reputação que recebeu do McAfee Web Gateway ede outros provedores de reputação também.

Para obter informações sobre como o McAfee Web Gateway troca informações usando um servidorTIE, consulte o capítulo sobre proxies no Guia do produto do McAfee Web Gateway.

Quando o cache é removido?

• Todo o cache da Proteção adaptável contra ameaças é removido quando a configuração das regrasé alterada:

• O estado de uma ou mais regras foi alterado, por exemplo, de ativado para desativado.

• O conjunto de regras foi alterado, por exemplo, de Equilibrado para Segurança.

• Um arquivo individual ou um cache de certificado é removido quando:

• O cache tem mais de 30 dias.

• O arquivo foi alterado no disco.

• O servidor TIE publica um evento de alteração de reputação.

Na próxima vez que a Proteção adaptável contra ameaças receber um aviso sobre o arquivo, areputação será recalculada.

Responder a uma solicitação de reputação de arquivoQuando um arquivo com uma reputação específica tenta ser executado no sistema, a Proteçãoadaptável contra ameaças pode solicitar sua autorização para continuar. O aviso é exibido somentequando a Proteção adaptável contra ameaças está instalada e configurada para solicitar.

O administrador configura o limite de reputação que determina o momento da exibição da solicitação.Por exemplo, se o limite de reputação for definido como Desconhecido, o Endpoint Security solicita suaautorização para lidar com todos os arquivos com uma reputação desconhecida ou inferior.

Se você não selecionar uma opção, a Proteção adaptável contra ameaças realizará a ação padrãoconfigurada pelo administrador.

As ações de aviso, tempo limite e padrão dependem da configuração da Proteção adaptável contraameaças.



1 (Opcional) Quando solicitado, digite uma mensagem para ser enviada para o administrador.

Por exemplo, use a mensagem para descrever o arquivo ou explicar sua decisão de permitir oubloquear o arquivo no sistema.

Uso da Proteção adaptável contra ameaçasResponder a uma solicitação de reputação de arquivo 6


2 Clique em Permitir ou em Bloquear.

Permitir Permite o arquivo.

Bloquear Bloqueia o arquivo no sistema.

Para instruir a Proteção adaptável contra ameaças a não solicitar o arquivo no futuro, selecioneLembrar-me desta decisão.

A Proteção adaptável contra ameaças executará ações com base em sua escolha ou na ação padrão efechará a janela de aviso.

Gerenciamento da Proteção adaptável contra ameaçasComo administrador, você pode especificar as configurações da Proteção adaptável contra ameaças,como a seleção de grupos de regras, a configuração de limites de reputação, a ativação do RealProtect e a configuração do Confinamento dinâmico de aplicativos.


A Proteção adaptável contra ameaças é um módulo opcional do Endpoint Security. Para obter fontes efuncionalidades adicionais de inteligência contra ameaças, distribua o servidor Threat IntelligenceExchange. Para obter informações, entre em contato com o revendedor ou o representante de vendas.


IntroduçãoApós instalar a Proteção adaptável contra ameaças, o que se deve fazer em seguida?

Para começar a usar a Proteção adaptável contra ameaças, faça o seguinte:

1 Crie políticas da Proteção adaptável contra ameaças para determinar o que deve ser bloqueado,permitido ou confinado.

2 Execute a Proteção adaptável contra ameaças no modo de observação para criar predomínio dearquivo e ver o que a Proteção adaptável contra ameaças detecta em seu ambiente. A Proteçãoadaptável contra ameaças gera eventos Bloquearia, Limparia e Confinaria para mostrar quais ações elaexecutaria. O predomínio de arquivo indica a frequência com que um arquivo é visto no ambiente.

3 Monitore e ajuste as políticas ou as reputações de certificado ou arquivo individuais para controlaro que é permitido no ambiente.

Criação de predomínio e observação de arquivoApós a instalação e distribuição, comece a criar informações de ameaças atuais e predomínio dearquivo.

Você pode ver o que está em execução no seu ambiente e adicionar informações de reputação dearquivos e certificados ao banco de dados do servidor TIE. Essas informações também preenchem osgráficos e os dashboards disponíveis no módulo em que são exibidas informações de reputaçãodetalhadas sobre arquivos e certificados.

6 Uso da Proteção adaptável contra ameaçasGerenciamento da Proteção adaptável contra ameaças


Para começar, crie uma ou mais políticas do Proteção adaptável contra ameaças para seremexecutadas em alguns sistemas do seu ambiente. As políticas determinam:

• Quando um arquivo ou certificado com uma reputação específica tem permissão para serexecutado em um sistema

• Quando um arquivo ou certificado é bloqueado

• Quando um aplicativo é confinado

• Quando o usuário é questionado sobre o que fazer

• Quando um arquivo é enviado ao Advanced Threat Defense para análise mais detalhada

Ao criar predomínio de arquivo, você poderá executar as políticas no modo de Observação. Asreputações de arquivo e certificado são adicionadas ao banco de dados, eventos Bloquearia, Limparia eRestringiria são gerados, mas nenhuma ação é executada. É possível ver o que o Proteção adaptávelcontra ameaças bloqueia, permite ou restringe se a política é imposta.

Monitoramento e ajustesConforme as políticas são executadas em seu ambiente, os dados de reputação são adicionados aobanco de dados.

Use as exibições de eventos e os dashboards do McAfee ePO para ver os arquivos e os certificadospermitidos, bloqueados ou confinados com base nas políticas.

Você pode exibir informações detalhadas por terminal, arquivo, regra ou certificado e ver rapidamenteo número de itens identificados e as ações realizadas. Você pode fazer busca detalhada clicando emum item ou ajustar as configurações de reputação de certificados ou arquivos específicos para que aação apropriada seja realizada.

Por exemplo, se a reputação padrão de um arquivo for suspeito ou desconhecido, mas você souberque ele é um arquivo confiável, é possível alterar sua reputação para confiável. Em seguida, oaplicativo passa a ter permissão para executar em seu ambiente sem ser bloqueado nem solicitaralguma ação do usuário. Você pode alterar a reputação de arquivos internos ou personalizados usadosem seu ambiente.

• Use o recurso Reputações do TIE para pesquisar um nome de certificado ou arquivo específico.Você poderá exibir detalhes sobre o arquivo ou o certificado, incluindo o nome da empresa, osvalores de hash SHA-1 e SHA-256, MD5, a descrição e as informações do McAfee GTI. No caso dearquivos, você também pode acessar os dados do VirusTotal diretamente na página de detalhes deReputações do TIE para obter informações adicionais.

• Use a página Dashboard de geração de relatórios para ver vários tipos de informações dereputação de uma vez. Você pode exibir o número de arquivos novos vistos no seu ambiente naúltima semana, arquivos por reputação, arquivos cuja reputação foi alterada recentemente,sistemas que executaram novos arquivos recentemente e muito mais. Para exibir informaçõesdetalhadas de um item no dashboard, clique nele.

• Se você tiver identificado um arquivo prejudicial ou suspeito, poderá ver rapidamente quaissistemas executaram o arquivo e podem estar comprometidos.

• Altere a reputação de um arquivo ou certificado conforme o necessário para seu ambiente. Asinformações são atualizadas imediatamente no banco de dados e enviadas para todos osdispositivos gerenciados pelo McAfee ePO. Os arquivos e certificados são bloqueados, permitidos ouconfinados de acordo com sua reputação.

Uso da Proteção adaptável contra ameaçasGerenciamento da Proteção adaptável contra ameaças 6


Se não tiver certeza do que fazer com um certificado ou arquivo específico, você poderá:

• Bloqueá-lo para que não seja executado enquanto obtém mais informações sobre ele.

Diferentemente da ação de limpeza da Prevenção contra ameaças, que pode excluir o arquivo, obloqueio mantém o arquivo, mas não permite sua execução. O arquivo permanece intactoenquanto você pesquisa sobre ele e decide o que fazer.

• Permitir que ele seja executado confinado.

O Confinamento dinâmico de aplicativos executa aplicativos com reputações específicas em umcontêiner, bloqueando as ações com base nas regras de confinamento. O aplicativo obtémpermissão para execução, mas algumas ações podem falhar, dependendo das regras deconfinamento.

• Importe reputações de certificados ou arquivos no banco de dados para permitir ou bloqueararquivos ou certificados específicos de acordo com outras origens de reputação. Isso permite quevocê use as configurações importadas para certificados e arquivos específicos sem precisardefini-las individualmente no servidor.

• A coluna Reputação composta na página Reputações do TIE mostra a reputação mais predominantee seu provedor. (servidor TIE 2.0 e versões posteriores)

• A coluna Regra aplicada mais recentemente na página Reputações do TIE mostra e rastreia asinformações de reputação com base na regra de detecção mais recente aplicada a cada arquivo noterminal.

É possível personalizar essa página selecionando Ações | Escolher colunas.

Envio de arquivos para análise detalhadaSe a reputação de um arquivo for desconhecida, você poderá enviá-lo ao Advanced Threat Defensepara análise detalhada. Especifique na política do servidor TIE quais arquivos serão enviados.

O Advanced Threat Defense detecta malware de dia zero e combina assinaturas de antivírus,reputação e defesas de emulação em tempo real.Você pode enviar arquivos automaticamente doProteção adaptável contra ameaças para o Advanced Threat Defense com base no nível de reputação eno tamanho do arquivo. As informações de reputação de arquivo enviadas pelo Advanced ThreatDefense são adicionadas ao banco de dados do servidor TIE.

Informações de telemetria do McAfee GTI

As informações de arquivo e certificado enviadas ao McAfee GTI são usadas para que você entenda eaprimore as informações de reputação. Consulte a tabela para obter detalhes sobre as informaçõesfornecidas pelo McAfee GTI sobre arquivos e certificados, somente arquivos ou somente certificados.



Categoria Descrição

Arquivo ecertificado

• Versões do módulo e servidor TIE

• Configurações de substituição da reputação definidas com o servidor TIE

• Informações de reputação externas, por exemplo, do Advanced Threat Defense

Somentearquivos

• Nome do arquivo, tipo, caminho, tamanho, produto, editor e predomínio

• Informações de SHA-1, SHA-256 e MD5

• Versão do sistema operacional do computador da geração de relatórios

• Reputação máxima, mínima e média definida para o arquivo

• Se o módulo de geração de relatórios está no Modo de observação

• Se o arquivo teve permissão para ser executado, foi bloqueado, confinado oulimpo

• O produto que detectou o arquivo, por exemplo, Advanced Threat Defense ouPrevenção contra ameaças

Somentecertificado

• Informações de SHA-1

• O nome do emissor do certificado e seu assunto

• As datas em que o certificado era válido e a data de expiração

A McAfee não coleta informações de identificação pessoal e não compartilha informações fora daMcAfee.

Confinamento dinâmico de aplicativosO Confinamento dinâmico de aplicativos permite que você determine que aplicativos com reputaçõesespecíficas sejam executados em um contêiner.

Com base no limite de reputação, a Proteção adaptável contra ameaças solicita que o Confinamentodinâmico de aplicativos execute o aplicativo em um contêiner. Os aplicativos confinados não têmpermissão para executar certas ações, conforme especificado pelas regras de confinamento.

Essa tecnologia possibilita que você avalie aplicativos desconhecidos e potencialmente inseguros,permitindo que eles sejam executados em seu ambiente e, ao mesmo tempo, limitando as ações queeles podem executar. Os usuários podem usar os aplicativos, mas eles podem não funcionar conformeo esperado se o Confinamento dinâmico de aplicativos bloquear determinadas ações. Depois dedeterminar se um aplicativo é seguro, você pode configurar a Proteção adaptável contra ameaças doEndpoint Security ou o servidor TIE para permitir que ele seja executado normalmente.

Para usar o Confinamento dinâmico de aplicativos:

1 Ative a Proteção adaptável contra ameaças e especifique o limite de reputação para disparar oConfinamento dinâmico de aplicativos nas configurações de Opções.

2 Defina as exclusões e as regras de confinamento definidas pela McAfee nas configurações deConfinamento dinâmico de aplicativos.

Consulte também Permissão para que aplicativos confinados sejam executados normalmente na página 194Configurar regras de confinamento definidas pela McAfee na página 195Ativar o limite do gatilho do Confinamento dinâmico de aplicativos na página 194



Como funciona o Confinamento dinâmico de aplicativosA Proteção adaptável contra ameaças usa a reputação de um aplicativo para determinar se a execuçãodele com restrições deve ser solicitada ao Confinamento dinâmico de aplicativos. Quando um arquivocom a reputação especificada é executado em seu ambiente, o Confinamento dinâmico de aplicativosbloqueia ou registra em log as ações inseguras, com base nas regras de confinamento.

Conforme os aplicativos disparam as regras de bloqueio de contenção, o Confinamento dinâmico deaplicativos usa essas informações para contribuir para a reputação geral dos aplicativos contidos.

Outras tecnologias, como o McAfee Active Response, podem solicitar confinamento. Se váriastecnologias registradas no Confinamento dinâmico de aplicativos solicitarem o confinamento de umaplicativo, cada solicitação será cumulativa. O aplicativo permanecerá confinado até que todas astecnologias o liberem. Se uma tecnologia que solicitou o confinamento for desativada ou removida, oConfinamento dinâmico de aplicativos liberará esses aplicativos.

Fluxo de trabalho do Confinamento dinâmico de aplicativos

1 O processo começa a ser executado.

2 A Proteção adaptável contra ameaças verifica a reputação do arquivo.

A Proteção adaptável contra ameaças usa o servidor TIE, se disponível, para verificar a reputaçãodo aplicativo. Se o servidor TIE não estiver disponível, a Proteção adaptável contra ameaças usaráo McAfee GTI para obter informações de reputação.

Se a reputação não for conhecida e os mecanismos de verificação baseados na nuvem e em clientedo Real Protect estiverem ativados, a Proteção adaptável contra ameaças consultará o Real Protectsobre a reputação.

3 Se a reputação do aplicativo estiver no limite de reputação de confinamento ou abaixo dele, aProteção adaptável contra ameaças notificará o Confinamento dinâmico de aplicativos de que oprocesso foi iniciado e solicitará confinamento.

4 O Confinamento dinâmico de aplicativos confina o processo.

Você pode visualizar eventos do Confinamento dinâmico de aplicativos no Log de eventos deameaças do McAfee ePO.

5 Se o aplicativo confinado for considerado seguro, você poderá permitir que ele seja executadonormalmente (e não confinado).



Consulte também Permissão para que aplicativos confinados sejam executados normalmente na página 194



Permissão para que aplicativos confinados sejam executados normalmenteDepois de determinar que um aplicativo confinado é seguro, você pode permitir que ele sejaexecutado normalmente em seu ambiente.

• Adicione o aplicativo à lista global de Exclusões nas configurações de Confinamento dinâmico deaplicativos.

Nesse caso, o aplicativo é liberado do confinamento e executado normalmente, independentementede quantas tecnologias tenham solicitado o confinamento.

• Configure a Proteção adaptável contra ameaças para aumentar o limite de reputação e liberá-lo doconfinamento.

Nesse caso, o aplicativo é liberado do confinamento e executado normalmente, a menos que outratecnologia tenha solicitado o confinamento do aplicativo.

• Se o servidor TIE estiver disponível, altere a reputação do arquivo para um nível que permita suaexecução, como Conhecido confiável.Nesse caso, o aplicativo é liberado do confinamento e executado normalmente, a menos que outratecnologia tenha solicitado o confinamento do aplicativo.

Consulte o Guia do produto do McAfee Threat Intelligence Exchange.

Consulte também Excluir processos do Confinamento dinâmico de aplicativos na página 196

Ativar o limite do gatilho do Confinamento dinâmico de aplicativosCom a tecnologia de Confinamento dinâmico de aplicativos, você pode especificar que os aplicativoscom reputações específicas sejam executados em um contêiner, limitando as ações que eles podemexecutar. Ative a imposição de ação do Confinamento dinâmico de aplicativos e especifique o limite dereputação para o confinamento de aplicativos.




2 Clique em Proteção adaptável contra ameaças na página principal de Status.

Ou, no menu Ação , selecione Configurações e depois clique em Proteção adaptável contra ameaças napágina Configurações.



5 Verifique se a Proteção adaptável contra ameaças está ativada.

6 Selecione Disparar o Confinamento dinâmico de aplicativos quando o limite de reputação atingir.



7 Especifique o limite de reputação no qual confinar os aplicativos.

• Pode ser confiável

• Desconhecido (Padrão para o grupo de regras Segurança)

• Pode ser malicioso (Padrão para o grupo de regras Equilibrado)

• Provavelmente malicioso (Padrão para o grupo de regras Produtividade)

• Malicioso conhecido

O limite de reputação do Confinamento dinâmico de aplicativos deve ser maior que os limites debloqueio e limpeza. Por exemplo, se o limite de bloqueio estiver definido como Malicioso conhecido, olimite do Confinamento dinâmico de aplicativos deverá ser definido como Provavelmente malicioso oumais alto.


Configurar regras de confinamento definidas pela McAfeeAs regras de confinamento definidas pela McAfee bloqueiam ou registram em log as ações que osaplicativos confinados podem executar. É possível alterar as configurações de bloqueio e relatório, masnão é possível alterar nem excluir as regras.


Para obter informações sobre regras de Confinamento dinâmico de aplicativos, incluindo práticasrecomendadas para quando definir uma regra para relatar ou bloquear, consulte KB87843.






4 Clique em Confinamento dinâmico de aplicativos.

5 Na seção Regras de confinamento, selecione Bloquear, Relatar ou ambos para a regra.



6 Na seção Exclusões, configure os executáveis a serem excluídos do Confinamento dinâmico deaplicativos.

Os processos na lista de Exclusões são executados normalmente (e não confinados).


Consulte também Excluir processos do Confinamento dinâmico de aplicativos na página 196




Gerenciar aplicativos confinadosQuando o Confinamento dinâmico de aplicativos contém um aplicativo confiável, você pode excluí-lodo confinamento usando o Cliente do Endpoint Security. A exclusão do aplicativo o libera, o remove deAplicativos confinados e o adiciona a Exclusões, impedindo que ele seja confinado futuramente.








5 Na seção Aplicativos confinados, selecione o aplicativo e clique em Excluir.

6 Na página Adicionar executável, configure as propriedades do executável e clique em Salvar.

O aplicativo é exibido na lista Exclusões. O aplicativo permanece na lista Aplicativos confinados até quevocê clique em Aplicar. Quando você retornar para a página Configurações, o aplicativo será exibidosomente na lista Exclusões.


Excluir processos do Confinamento dinâmico de aplicativosSe um programa confiável estiver confinado, exclua-o criando uma exclusão do Confinamentodinâmico de aplicativos.

As exclusões criadas usando o Cliente do Endpoint Security aplicam-se apenas ao sistema cliente.Essas exclusões não são enviadas ao McAfee ePO e não são exibidas na seção Exclusões dasconfigurações do Confinamento dinâmico de aplicativos.

Em sistemas gerenciados, crie exclusões globais nas configurações de política do Confinamentodinâmico de aplicativos do McAfee ePO.









5 Na seção Exclusões, clique em Adicionar para adicionar os processos a serem excluídos de todas asregras.

6 Na página Adicionar Executável, configure as propriedades do executável.

7 Clique em Salvar e, em seguida, clique em Aplicar para salvar as configurações.

Configurar opções da Proteção adaptável contra ameaçasAs configurações da Proteção adaptável contra ameaças determinam quando um arquivo ou umcertificado têm permissão para executar, são confinados, limpos, bloqueados ou se os usuários sãosolicitados a executar ações.


As alterações de políticas no McAfee ePO podem sobrescrever as alterações na página Configurações.










Bloqueio ou permissão de arquivos e certificadosArquivos e certificados têm reputações de ameaça de acordo com seu conteúdo e suas propriedades.As políticas da Proteção adaptável contra ameaças determinam se arquivos e certificados sãobloqueados ou permitidos em sistemas do seu ambiente de acordo com os níveis de reputação.

Há três níveis de segurança, dependendo de como você deseja equilibrar as regras para tiposespecíficos de sistemas. Cada nível é associado a regras específicas que identificam certificados earquivos maliciosos e suspeitos.

• Produtividade — Sistemas que são alterados com frequência, em geral instalando e desinstalandoprogramas confiáveis e recebendo atualizações frequentes. Computadores usados em ambientes dedesenvolvimento são exemplos desses sistemas. Menos regras são usadas com políticas para essaconfiguração. Os usuários veem o mínimo de bloqueios e avisos quando novos arquivos sãodetectados.

• Equilibrado - Sistemas típicos de negócios em que novos programas e alterações são instaladosraramente. Mais regras são usadas com políticas para essa configuração. Os usuários observammais bloqueios e avisos.

• Seguro — Sistemas gerenciados pela TI com controle rígido e poucas alterações. Exemplos disso sãosistemas que acessam informações críticas ou confidenciais em um ambiente financeiro ougovernamental. Essa configuração também é usada para servidores. É usado um número máximode regras com políticas para essa configuração. Os usuários observam ainda mais bloqueios eavisos.

Para exibir as regras específicas associadas a cada nível de segurança, selecione Menu | Configurações doservidor. Na lista Categorias de configuração, selecione Proteção adaptável contra ameaças.

Ao determinar qual nível de segurança será atribuído a uma política, considere o tipo de sistema emque a política será usada e a quantidade de bloqueios e avisos que você deseja mostrar ao usuário.Após criar uma política, ela deverá ser atribuída a computadores ou dispositivos para que sedetermine a quantidade de bloqueios e avisos que ocorrerão.

Uso da varredura do Real ProtectO mecanismo de varredura do Real Protect inspeciona arquivos suspeitos em um terminal paradetectar padrões maliciosos usando técnicas de aprendizado de máquina. Usando essas informações,o mecanismo de varredura pode detectar malware de dia zero.

A tecnologia do Real Protect não tem suporte em alguns sistemas operacionais Windows. ConsulteKB82761 para obter informações.

O mecanismo de varredura do Real Protect fornece duas opções para realizar análises automatizadas:

• Na nuvem

O Real Protect coleta e envia atributos de arquivos e informações comportamentais para o sistemade aprendizado de máquina na nuvem para análise de malware.

Essa opção requer conectividade com a Internet para mitigar falsos positivos usando a reputaçãodo McAfee GTI.

Prática recomendada: desative o Real Protect baseado na nuvem nos sistemas que não estãoconectados à Internet.




• No sistema clienteO Real Protect usa baseado em cliente usa o aprendizado de máquina no sistema cliente paradeterminar se o arquivo corresponde ao malware conhecido. Se o sistema cliente estiver conectadoà Internet, o Real Protect enviará informações de telemetria para a nuvem, mas não usará anuvem para análise.

Se o sistema cliente estiver usando o TIE para reputações, a conectividade com a Internet não seránecessária para mitigar falsos positivos.

Prática recomendada: ative as duas opções do Real Protect, a menos que o Suporte o aconselhe adesmarcar uma ou ambas para reduzir falsos positivos.

Nenhuma informação de identificação pessoal (PII) é enviada para a nuvem.

Referência da interface do Cliente do Endpoint Security —Proteção adaptável contra ameaças


Conteúdo Proteção adaptável contra ameaças — Confinamento dinâmico de aplicativos Proteção adaptável contra ameaças — Opções

Proteção adaptável contra ameaças — Confinamento dinâmicode aplicativosProteja seu sistema limitando as ações que os aplicativos confinados podem executar com base nasregras configuradas.

Tabela 6-1 Opções


Regras deconfinamento

Configura as regras de Confinamento dinâmico de aplicativos.Você pode alterar se as regras de confinamento definidas pela McAfee devembloquear ou relatar, mas não pode alterar nem excluir essas regras.

• Bloquear (apenas) — Bloqueia, sem registrar em log, os aplicativosconfinados para que não executem as ações especificadas pela regra.

• Relatar (apenas) — Registra em log quando os aplicativos tentam executarações na regra, mas não impede que aplicativos executem ações.

• Bloquear e Relatar - Bloqueia e registra em log as tentativas de acesso.

Prática recomendada: quando o impacto total de uma regra não forconhecido, selecione Relatar, mas não Bloquear, para receber um aviso sembloquear as tentativas de acesso. Para determinar se o acesso deve serbloqueado, monitore os logs e os relatórios.



Aplicativosconfinados

Lista os aplicativos confinados no momento.• Excluir — Move um aplicativo confinado para a lista Exclusões, liberando-o do

confinamento e permitindo que seja executado normalmente.

Uso da Proteção adaptável contra ameaçasReferência da interface do Cliente do Endpoint Security — Proteção adaptável contra ameaças 6




Exclusões Exclui processos do confinamento.• Adicionar — Adiciona um processo à lista de exclusão.




Consulte também Como funciona o Confinamento dinâmico de aplicativos na página 192Adicionar exclusão ou Editar exclusão na página 200Configurar regras de confinamento definidas pela McAfee na página 195Excluir processos do Confinamento dinâmico de aplicativos na página 196

Adicionar exclusão ou Editar exclusãoAdicione ou edite um executável para excluir do Confinamento dinâmico de aplicativos.







Tabela 6-3 Opções

Opção Definição

Nome Especifica o nome pelo qual você chama o executável.Esse campo é necessário com, pelo menos, mais um campo: Nome ou caminho do arquivo,Hash de MD5 ou Signatário.





6 Uso da Proteção adaptável contra ameaçasReferência da interface do Cliente do Endpoint Security — Proteção adaptável contra ameaças



Opção Definição



• Assinado por — Permite somente arquivos assinados pelo signatário de processoespecificado.Um nome distinto de signatário (SDN) é obrigatório para o executável e ele devecorresponder exatamente às entradas no campo acompanhante, incluindo vírgulas eespaços.

O signatário do processo aparece no formato correto nos eventos do Log de eventosdo Cliente do Endpoint Security e no Log de eventos de ameaça do McAfee ePO. Porexemplo:











• S = Califórnia

• C = EUA


Proteção adaptável contra ameaças — OpçõesDefina as configurações do módulo Proteção adaptável contra ameaças.

Tabela 6-4 Opções


Opções Ativar Proteçãoadaptável contraameaças

Ativa o módulo Proteção adaptável contra ameaças.(Ativado por padrão)

Permitir que o servidorThreat IntelligenceExchange coletediagnósticos e dadosde uso anônimos

Permite que o servidor TIE envie informações anônimas do arquivopara a McAfee.





Usar a reputação dearquivos do McAfeeGTI se o servidorThreat IntelligenceExchange não puderser acessado

Obtém informações de reputação do arquivo no Global ThreatIntelligence Proxy se o TIE Server estiver indisponível.

Impedir que osusuários alterem asconfigurações(somente para clientesdo Threat IntelligenceExchange 1.0)

Impede que os usuários em sistemas gerenciados alterem asconfigurações do Threat Intelligence Exchange 1.0.

Atribuição deregra

Produtividade Atribui o grupo de regras Produtividade.Use este grupo para sistemas com alto índice de alterações porinstalações e atualizações frequentes de software confiável.

Este é o grupo com o menor número de regras. Os usuáriosencontram uma quantidade mínima de avisos e bloqueios quandonovos arquivos são detectados.

Equilibrado Atribui o grupo de regras Equilibrado.Use o grupo para sistemas típicos de negócios com inclusões de novosoftware e alterações esporádicas.

Esse grupo usa mais regras, e os usuários encontram mais avisos ebloqueios do que com o grupo Produtividade.

Segurança Atribui o grupo de regras Segurança.Use o grupo para sistemas com baixo índice de alterações, comosistemas gerenciados por TI e servidores altamente controlados.

Os usuários recebem mais avisos e bloqueios do que no grupoEquilibrado.

Varredura doReal Protect

Ativar varredurabaseada em cliente

Ativa o mecanismo de varredura do Real Protect baseado em cliente,que usa aprendizado de máquina no sistema cliente para determinarse o arquivo corresponde ao malware conhecido.Se o sistema clienteestiver conectado à Internet, o Real Protect enviará informações detelemetria para a nuvem, mas não usará a nuvem para análise.Se o sistema cliente estiver usando o TIE para reputações, aconectividade com a Internet não será necessária para mitigar falsospositivos.

Prática recomendada: selecione essa opção a menos que oSuporte o aconselhe a desmarcá-la para reduzir os falsos positivos.

A tecnologia do Real Protect não tem suporte em alguns sistemasoperacionais Windows. Consulte KB82761 para obter informações.

Ativar varredurabaseada na nuvem

Ativa o mecanismo de varredura do Real Protect, que coleta e enviaos atributos do arquivo e suas informações comportamentais aosistema de aprendizado de máquina na nuvem para análise.Essa opção requer conectividade com a Internet para mitigar falsospositivos usando a reputação do McAfee GTI.

Prática recomendada: desative o Real Protect baseado na nuvemnos sistemas que não estão conectados à Internet.

A tecnologia do Real Protect não tem suporte em alguns sistemasoperacionais Windows. Consulte KB82761 para obter informações.







Imposição deação

Ativar modo deobservação

Gera eventos da Proteção adaptável contra ameaças (Bloquearia,Limparia ou Confinaria) e os envia ao servidor, mas não impõe ações.Ative o modo de observação temporariamente em alguns sistemassomente durante o ajuste da Proteção adaptável contra ameaças.

Como a ativação desse modo faz com que a Proteção adaptávelcontra ameaças gere eventos, mas não imponha ações, seussistemas podem ficar vulneráveis a ameaças.

Disparar oConfinamentodinâmico deaplicativos quando olimite de reputaçãoatingir

Confina os aplicativos quando a reputação alcança o limiteespecificado:• Pode ser confiável

• Desconhecido (Padrão para o grupo de regras Segurança)

• Pode ser malicioso (Padrão para o grupo de regras Equilibrado)

• Provavelmente malicioso (Padrão para o grupo de regras Produtividade)

• Malicioso conhecido

O limite de reputação do Confinamento dinâmico de aplicativos deveser maior que os limites de bloqueio e limpeza. Por exemplo, se olimite de bloqueio estiver definido como Malicioso conhecido, o limite doConfinamento dinâmico de aplicativos deverá ser definido comoProvavelmente malicioso ou mais alto.

Quando um aplicativo com o limite de reputação especificado tentaexecutar em seu ambiente, o Confinamento dinâmico de aplicativospermite sua execução em um contêiner e bloqueia ou registra em logas ações não seguras com base nas regras de confinamento.





Bloquear quando olimite de reputaçãoatingir

Bloqueia os arquivos quando a reputação do arquivo atinge um limiteespecífico e especifica o limite:• Pode ser confiável

• Desconhecido

• Pode ser malicioso (Padrão para o grupo de regras Segurança)

• Provavelmente malicioso (Padrão para o grupo de regras Equilibrado)

• Malicioso conhecido (Padrão para o grupo de regras Produtividade)

Quando um arquivo com o limite de reputação especificado tenta serexecutado em seu ambiente, ele é impedido, mas permanece noambiente. Se um arquivo for seguro e você desejar que ele sejaexecutado, altere sua reputação para um nível que permita suaexecução, como Pode ser confiável.

Limpar quando o limitede reputação atingir

Limpa arquivos quando a reputação do arquivo atinge um limiteespecífico, e especifica o limite:• Pode ser malicioso

• Provavelmente malicioso

• Malicioso conhecido (Padrão para os grupos de regras Equilibrado eSegurança)

O padrão do grupo de regras Produtividade é desmarcado.

Prática recomendada: use essa opção com reputações de arquivosMalicioso conhecido, pois um arquivo pode ser removido ao serlimpo.





AdvancedThreat Defense

Enviar arquivos queainda não tenham sidoverificados pela análisedo McAfee AdvancedThreat Defense

Envia arquivos executáveis ao McAfee Advanced Threat Defensepara análise.Quando ativada, a Proteção adaptável contra ameaças enviaarquivos com segurança por HTTPS usando a porta 443 para oAdvanced Threat Defense quando:

• O servidor TIE não tem informações do Advanced ThreatDefense sobre o arquivo.

• O arquivo está no mesmo nível ou abaixo do nível da reputaçãoespecificada.

• O arquivo está no limite ou abaixo do tamanho de arquivoespecificado.

Se houver falha de HTTPS, a Proteção adaptável contra ameaçasenviará os arquivos por HTTP.

Especifique informações para o servidor Advanced Threat Defensena política de gerenciamento do servidor TIE.

Enviar arquivos quandoo limite de reputaçãoatingir

Envia arquivos para o Advanced Threat Defense quando areputação dos arquivos atinge um limite especificado:• Provavelmente confiável

• Desconhecido

• Provavelmente malicioso

O padrão para todos os grupos de regras é Desconhecido.

Tamanho limite (em MB)para

Limita o tamanho dos arquivos enviados para o Advanced ThreatDefense entre 1 MB e 10 MB.O padrão é 5 MB.

Consulte também Configurar opções da Proteção adaptável contra ameaças na página 197Ativar o limite do gatilho do Confinamento dinâmico de aplicativos na página 194Bloqueio ou permissão de arquivos e certificados na página 198Uso da varredura do Real Protect na página 198



Índice

Aações, Prevenção contra ameaças

nos itens em quarentena 60

ações, Threat Preventionespecificar o que acontece quando uma ameaça é

encontrada 83, 90

permitir que usuários limpem e excluam arquivosinfectados 83, 90

programas indesejados 80

adaptadores de rede, permitindo conexões 141

adiamento de varredura, visão geral 92

administradoresdefinidos 10

entrando no Cliente do Endpoint Security 26

senha 27

Advanced Threat Defense 190

envio de arquivos para 198

usadas na determinação de reputações 185

adware, sobre 61

agendamentos, varreduras por solicitação, adiamento 92

Ajuda, exibição 15, 20

alertas, Firewall 14

alertas, Threat Preventionvisão geral da varredura por solicitação 91

ameaçasaplicativos da Windows Store 84

aplicativos do Windows Store 91

arquivos de conteúdo do AMCore 11

detecções durante varredura 58

e classificações de segurança 167

gerenciamento de detecções 59

obtendo mais informações no McAfee Labs 60

Pasta de quarentena 60

Processo de Proteção de acesso 66

repetição de varredura de itens em quarentena 63

responder a detecções 20

tipos 61

violações dos pontos de acesso 66

aplicativos confinados, Confinamento dinâmico de aplicativosgerenciamento no Cliente do Endpoint Security 196

aplicativos da Windows Store, detecção de ameaças 84

aplicativos do Windows Store, detectar ameaças 91

aplicativos, confinadosgerenciamento no Cliente do Endpoint Security 196

aplicativos, confinados (continuação)permissão para executar normalmente 194

aplicativos, sobre 139

aplicativos, Windows Store 84, 91

aprendizado de máquina, mecanismo de varredura do RealProtect 198

Área de trabalho remota e varredura em recurso ocioso 92

arquivoLogs do Cliente do Endpoint Security 23

arquivosarquivos de log 24

caracteres curinga em exclusões 65

como as reputações são determinadas 185

configurando para colocar em quarentena 81

configurar arquivos de log 31

exclusão de tipos específicos das varreduras 64

executar varreduras 58

gerenciando a pasta de quarentena 60

prevenção contra modificação 30

repetição de varredura na Quarentena 63

tipos para evitar varredura 87

tipos para impedir varredura 92

arquivos de conteúdoagendando atualizações a partir do cliente 37

alteração de versão do AMCore 27

arquivos Extra.DAT 28, 29

atualizações da Prevenção de exploração 75

e detecções 20

sobre 11

verificação manual de atualizações 13, 22

visão geral da varredura por solicitação 91

arquivos de conteúdo do AMCorealteração de versão 27


assinaturas e atualizações de mecanismos 11

mecanismo de varredura da Proteção adaptável contraameaças e regras 11

mecanismo do Real Protect e conteúdo 11

sobre 11


visão geral de varredura ao acessar 84

arquivos de definição de detecção, consulte arquivos deconteúdo

arquivos de logconfigurar 31


arquivos de log (continuação)falhas na atualização 22

locais 24

visualizando 23

arquivos e certificados, bloqueio 198

arquivos e certificados, envio 198

arquivos Extra.DATarquivos de conteúdo do AMCore 11

carregar 29

fazer download 29

sobre 28

usar 28


visão geral de varredura ao acessar 84

arquivos mortos compactados, evitar varredura 87

arquivos mortos compactos, impedimento de varredura 92

arquivos mortos, evitar varredura 87

arquivos mortos, impedimento de varredura 92

arquivos, conteúdoalteração de versão de conteúdo do AMCore 27


assinaturas e atualizações 11

carregar arquivos Extra.DAT 29

Extra.DAT e AMCore 11

Prevenção de exploração 11

Proteção adaptável contra ameaças 11

usar arquivos Extra.DAT 28


arquivos, especificar opções de varredura 83, 90

assinaturasinformações de ameaças conhecidas 11

assinaturas da GPEP, consulte Assinaturas da Prevenção contraescalonamento de privilégios genéricos

assinaturas da Prevenção contra escalonamento de privilégiosgenéricos 11

assinaturas da Proteção contra estouro de buffer genérico 11

assinaturas de GBOP, consulte Assinaturas da Proteção contraestouro de buffer genérico

assinaturas de Monitoramento de API de destino 11

assinaturas, Prevenção de exploraçãoconfiguração 77

exclusão por ID de assinatura 78

sobre 75

ataques baseados em heap, explorações de estouro de buffer74

ataques baseados em pilha, explorações de estouro de buffer74

ataques, explorações de estouro de buffer 74

atualizaçõesAtualizar botão Agora, Cliente do Endpoint Security 22

cancelamento 22

o que é atualizado 23

opção Atualizar segurança 13

atualizações de conteúdo 11

atualizações de produtoagendando a partir do cliente 37

atualizações de produtosverificação manual 13, 22

atualizações de softwareagendamento a partir do cliente 37

verificação manual 13, 22

atualizações manuais, execução 22

atualizações por solicitação, consulte atualizações manuais,execução

atualizações, componentes do software cliente 11

atualizações, Endpoint SecurityAtualização do cliente padrão, configurando 36

comportamento de configuração 34

configurando e agendando a partir do cliente 37

configurando o site de origem para atualizações 34

tarefa Atualização padrão do cliente, sobre 37

atualizações, Firewallverificação manual 22

atualizações, Prevenção contra ameaçasverificação manual 13, 22

visão geral 11

atualizações, Threat Preventionarquivos de conteúdo 11

arquivos Extra.DAT 29

Atualizar página 22

autogerenciado, sobre 22

Autoproteção, configuração 30

avisos, Endpoint Securityresponder a 20

responder à detecção de ameaças 20

Windows 8 e 10 20

Bbackups, especificar opções de varredura 83, 90

balões, Web Control 166, 170

Bloquear Modo da interface do clientedesbloqueio da interface 27

bloquear modo de acesso da interface do clienteefeitos de definição de senha 32

Bloqueio de modo da interface do clientee configurações de política 17

botão Atualizar agora 23

Botão Exibir detecções 59

botão Exibir varredura 56

botão Varrer agora 56

botõesExibir detecções 59

Exibir varredura 56

Varrer agora 56

botões, Controle da Web 165

Ccache de varredura

varreduras ao acessar 84

varreduras por solicitação 91

Índice


cache de varredura globalvarreduras ao acessar 84


cache, varredura globalvarreduras ao acessar 84


caracteres curingaem exclusões 65

em exclusões em nível de raiz 65

usar em regras de firewall 146

uso em exclusões 65

categorias da Web, bloqueando ou avisando com base nacategoria da Web 174

categorias da Web, bloquear ou avisar com base em 173

categorias de conteúdo, consulte categorias da Web cavalos de Troia

detecções durante a varredura 56


sobre 61

certificadoscomo as reputações são determinadas 185

certificados confiáveis e impedimento de varredura 84

certificados e impedimento de varredura 84

Chromeativação do plug-in do Controle da Web 168

botões do Controle da Web 165

exibindo informações sobre um site 169

navegadores com suporte 163, 169

classificações de segurançacomo classificações de site são obtidas 167

configuração de ações para sites e downloads 173

Controle da Web e 163

controle de acesso a sites 174

ícones de segurança 166

classificações, segurança, consulte classificações de segurança classificações, Web Control, consulte classificações de

segurança cliente, consulte Cliente do Endpoint Security cliente de proteção McAfee, consulte Endpoint Security Client Cliente do Endpoint Security

abertura 13

atualização da proteção 22

configurações de política 17

configurando sites de origem para atualizações 34

definição de configurações de segurança 32

desbloqueio da interface 27

entrando como administrador 26

execução de varreduras 56

exibição da ajuda 20

logs, sobre 24

módulos 17

proteção de uma senha 32

sobre 15

tarefa Atualização padrão do cliente, sobre 37

Tarefa padrão de atualização do cliente, agendamento 37

Tarefa padrão de atualização do cliente, configurando 36

Cliente do Endpoint Security (continuação)tarefas de atualização personalizadas, criando 37

tarefas de espelhamento, configuração e agendamento 38

tarefas de espelhamento, sobre 39

tipos de gerenciamento 10

Varredura completa e Varredura rápida, agendamento 95

visualizando o Log de eventos 23

cliente McAfee, consulte Cliente do Endpoint Security complementos do navegador, consulte plug-ins complementos, navegador, consulte plug-ins conectividade, McAfee GTI ou servidor TIE 185

configuraçõesatualizações, configurando para 34, 36

site de origem, configurando para 34

sites de origem para atualizações do cliente, configurando34

Configurações de “Definir prioridade” do Windows 94

Configurações de ação de conteúdoControle da Web 174

configurações de Ações de conteúdoControle da Web 174

configurações de Ações de conteúdo, Controle da Web 173

configurações de processo, varreduras por solicitação 94

configurações do FirewallOpções 138

configurações, Controle da Webcontrolando acesso com categorias da Web 174

controle de acesso a sites 173

controle de acesso com classificações de segurança 174

configurações, FirewallOpções 138

configurações, Prevenção contra ameaçasrecurso Proteção de acesso 68

configurações, Proteção adaptável contra ameaçastecnologia de Confinamento dinâmico de aplicativos 195

configurações, Threat Preventionconfigurar programas potencialmente indesejados 80

varreduras ao acessar 80


Confinamento dinâmico de aplicativosarquivos de log 24

ativação de limite gatilho 194

como funciona 192

Gerenciamento da Inteligência contra ameaças 188

gerenciamento de aplicativos confinados 196

permissão para que aplicativos confinados sejamexecutados normalmente 194

práticas recomendadas 195

processos, inclusão e exclusão 196

Proteção adaptável contra ameaças 184

regras definidas pela McAfee, configuração 195

sobre 191

contas de usuário, controle de acesso ao cliente 32

conteúdo, atualização usando o cliente 22

Controle da Webarquivos de log 24

Índice


Controle da Web (continuação)ativação 170

ativação do plug-in 168

botões, descrição 165

Cliente do Endpoint Security 17

como arquivos de download são varridos 172

comportamento, sites avisados e downloads 165

comportamento, sites bloqueados e downloads 165

configuração 170


exibindo relatórios de site 169

log de atividades 24

log de depuração 24

menu 165

recursos 163

sobre 9cores, botões do Controle da Web 165

credenciais, lista de repositórios 35

DData Exchange Layer e Proteção adaptável contra ameaças 182,

184

definição de redes 137

descobridores de senha, sobre 61

desempenho, consulte desempenho do sistema desempenho do sistema

redução do impacto da varredura 87, 92

destinos, Proteção de acessoavaliação com sub-regras 72

exemplos 72

detecçãoexcluindo por nome 81

detecçõesexibir mensagens para usuários 83, 90

gerenciamento 56, 59

nomes 61

relatando para o servidor de gerenciamento 10

responder a 20

tipos 56, 58

discadores, sobre 61

do McAfee Endpoint Securityinteragindo com 12

domínios, bloqueio 136

downloadsbloquear e avisar sobre comportamento 165

downloads de arquivobloquear ou avisar com base em classificações 173

varrendo com a Prevenção contra ameaças 172

downloads de arquivosbloqueio de sites desconhecidos 170

Eendereços de IP

grupos com reconhecimento de local 141

endereços de IP (continuação)grupos de regra 141

endereços IP 137

Endereços IPconfiáveis 138

Endpoint Security Clientabrir 19

exibir informações de proteção 21

gerenciamento de detecções de ameaças 59

Resumo de ameaças 16

tipos de gerenciamento 21

varredura em busca de malware 55

varreduras de sistemas 55

Endpoint Security, como proteger seu computador 10

Endpoint Security, gerenciar 26

enviar arquivos para análise detalhadaAdvanced Threat Defense 190

Product Improvement Program 190

eventos]modo de Observação 188

modo de observação 188

eventos Bloquearia 188

eventos Confinaria 188

eventos Limparia 188

eventos Restringiria 188

eventos, rastreamento de eventos do navegador do Controle daWeb 170

evitar varreduraDeixar a McAfee decidir a opção de varredura 83

exceçõesMcAfee GTI 138

exceções, Prevenção de exploração, consulte exclusõesPrevenção de exploração

exclusõesconfiguração 64

Confinamento dinâmico de aplicativos 196

especificar URLs para ScriptScan 83

global, Prevenção de exploração 78

nível de raiz 65

nome da detecção 81

práticas recomendadas do ScriptScan 87

Prevenção de exploração 78

Prevenção de exploração, todas as regras 78

Proteção de acesso, todas as regras 73

uso de caracteres curinga 65

varredura ao acessar, especificar arquivos, pastas eunidades 83

varredura por solicitação, especificar 90

exclusões em nível de raiz, consulte exclusões exclusões globais, Prevenção de exploração 78

executáveisconfiáveis, consulte executáveis confiáveisconfiguração de confiáveis 138

exclusão da Prevenção de exploração 78

exclusão da Proteção de acesso 73

Índice


executáveis confiáveisconfiguração 138

definição 139

exemplos de fluxo de trabalho 188

criar predomínio e observação de arquivo 188

enviar arquivos para análise detalhada 190

monitoramento e ajustes 189

exploraçõesbloqueio de estouros de buffer 77

bloqueio de explorações de estouro de buffer 74

como as explorações de estouro de buffer ocorrem 74

explorações de estouro de buffer, sobre 74

extensões do navegador, consulte plug-ins extensões, navegador, consulte plug-ins

Ffalhas, atualização 22

falsos positivosFirewall, redução 139

redução pela criação de exclusões da Prevenção deexploração 78

ferramentas de administração remota, sobre 61

Firefoxativação do plug-in do Controle da Web 168


ESR, navegadores com suporte 163


navegadores com suporte 163

navegadores suportados 169

firewallativação no ícone da bandeja do sistema da McAfee 13

sobre grupos temporizados 13

Firewallalertas de invasão 14

arquivos de log 24

ativação e desativação usando o ícone da bandeja dosistema 133

ativação e exibição de grupos temporizados 134

ativando e desativando a proteção 135

atualização de conteúdo usando o cliente 22

bloqueio de tráfego DNS 136


como as regras de firewall funcionam 139

como funciona 133

criação de grupos temporizados 148

executáveis confiáveis 139

gerenciamento 134

gerenciar regras e grupos 145

grupos com reconhecimento de local, criando 147

grupos com reconhecimento de local, sobre 141

grupos temporizados, sobre 134



modificando as opções 135

Perguntas frequentes do McAfee GTI 136

Firewall (continuação)regras, consulte regras de firewallsobre 9

GGoogle

Chrome 163


mecanismos de pesquisa compatíveis 166

grupo de regras Adaptáveis, Firewall 144

Grupo de regras adaptáveis, Firewall 145

grupo de regras adicionadas pelo Administrador, Firewall 144

grupo de regras adicionadas pelo Usuário, Firewall 144

Grupo de regras adicionados pelo usuário, Firewall 145

grupo de regras Padrão, Firewall 144

grupo de regras principais de rede da McAfee, Firewall 144

grupo de regras, firewall, consulte grupos de regras de firewall grupos com reconhecimento de local

criando 147

isolamento de conexão 142

sobre 141

grupos de firewall, consulte grupos de regras de firewall grupos de regra de firewall

e isolamento de conexão 142

reconhecimento de local, criando 147

reconhecimento de local, sobre 141

grupos de regras de firewallcomo o firewall funciona 133

criação de grupos temporizados 148

gerenciamento de grupos temporizados usando o ícone dabandeja do sistema 13, 134

grupos temporizados, sobre 134

precedência 141

predefinidas 144

grupos de regras de firewall predefinidas 144

grupos de regras do firewallconfigurar 139

grupos temporizadosgerenciamento usando o ícone da bandeja do sistema da

McAfee 13

grupos temporizados, Firewallcriação 148

gerenciamento usando o ícone da bandeja do sistema 134

sobre 134

grupos, firewall, consulte grupos de regras de firewall

Hhashes, sobre 82, 173

Host Intrusion Prevention e Prevenção de exploração 74

Host IPS, e Prevenção de exploração 74

Iícone da bandeja de sistema, Cliente 12

Índice


ícone da bandeja do sistemaopção Atualizar segurança 23

ícone da bandeja do sistema, McAfeeabrir o Endpoint Security Client 19

ativação e desativação do Firewall 133

ativação e exibição de grupos temporizados 134

atualização de segurança 13

configuração de acesso ao Endpoint Security 32

definido 13

grupos temporizados do firewall 13

ícone da McAfee, consulte ícone da bandeja do sistema, McAfee

ícones, McAfee, consulte ícone da bandeja do sistema, McAfee ícones, Web Control 166

impedimento de varreduracertificados confiáveis 84

práticas recomendadas para varreduras 64

práticas recomendadas para varreduras ao acessar 87

práticas recomendadas para varreduras por solicitação 92

inclusõesPrevenção de exploração, regras de Proteção do aplicativo

78

sub-regras de Proteção de acesso 73

independente, consulte autogerenciado, sobre indetectável, sobre 61

informações de identificação pessoal, consulte PII informações, exibir proteção 21

instaladores confiáveis, varredura 83

instaladores, varrer confiáveis 83

Internete mecanismo de varredura do Real Protect 198

e Proteção adaptável contra ameaças 184

Internet Explorerativação do plug-in do Controle da Web 168

exibição da ajuda do Endpoint Security 20


navegadores com suporte 163, 169

suporte do ScriptScan 87

introdução à Proteção adaptável contra ameaças 188

intrusões, ativando alertas de Firewall 135

Jjokes, sobre 61

Kkeyloggers, sobre 61

LLiberação de suporte estendido, consulte Firefox ESR,

navegadores com suporte limitação, configuração 94

limitesativação de limite de gatilho do Confinamento dinâmico de

aplicativos 194

Lista de aplicativos confinados, gerenciamento 196

lista de repositórioslocalização do cliente 35

preferência de ordem, lista de repositórios 35

visão geral 35

log de eventos, Cliente do Endpoint Securityvisualizando a página de Log de eventos 23

log do cliente, configurar 31

lógica de confiança, otimização de varreduras ao acessar 83

logs de atividades, Cliente do Endpoint Security 24

logs de depuração, Cliente do Endpoint Security 24

logs de erro, Cliente do Endpoint Security 24

logs de eventos, Cliente do Endpoint Securityfalhas na atualização 22

sobre 24

Mmalware




varredura em busca de 55

McAfee Active Response e Confinamento dinâmico deaplicativos 192

McAfee Agenttarefa de Atualização do produto e lista de repositórios 35

McAfee Endpoint Security Client, consulte Endpoint SecurityClient

McAfee ePOatualizar proteção 11

e tipos de gerenciamento 22

McAfee GTIClassificações de segurança do Web Control 167

comentário de telemetria 81

configurando nível de sensibilidade 81

e categorias da Web 174

e mecanismo de varredura do Real Protect 198

e Proteção adaptável contra ameaças 182, 184

enviando eventos d bloqueio para o servidor 135

erro de comunicação do Controle da Web 165

especificação de configurações do servidor proxy 33

exceções 138

opções de firewall, configurando 135

perguntas frequentes, Firewall 136

Relatório de sites do Web Control 166

reputação de rede para o firewall, configurando 135

status de conexão da Proteção adaptável contra ameaças185

varredura de arquivos antes do download 170

varreduras ao acessar, como elas funcionam 84

varreduras ao acessar, como funcionam 91

varreduras ao acessar, configurar 83

varreduras por solicitação, configurar 90

varrendo arquivo antes de download 172

visão geral, Controle da Web 173

visão geral, Prevenção contra ameaças 82

Índice


McAfee Labsatualizações de arquivos de conteúdo do AMCore 11

download de Extra.DAT 28

e McAfee GTI 82, 136, 173

Extra.DAT 29

obtendo mais informações sobre ameaças 60

McAfee SECURE, botão do Controle da Web 165

McTray, iniciar 92

mecanismo de pesquisa Ask, e ícones de segurança 166

mecanismo de pesquisa Bing, e ícones de segurança 166

mecanismo de varredura do Real Protect 192, 198

Mecanismo de varredura do Real ProtectGerenciamento da Inteligência contra ameaças 188

mecanismo de verificação do Real Protectatualizações de arquivo de conteúdo 11

mecanismos de varreduraReal Protect 192

mecanismos de varredura, Real Protect 198

mecanismos de varredura, visão geral do arquivo de conteúdodo AMCore 11

mensagens de erro, estados do ícone da bandeja do sistema 13

mensagens de notificaçãointeragindo com o Cliente do Endpoint Security 12

sobre 14

Windows 8 e 10 14

mensagens, Endpoint Securityexibir quando ameaça é detectada 83, 90

sobre 14

menu Ação, sobre 15

Menu Iniciar, abrir o Endpoint Security Client 19

menusAção 15, 27

Ajuda 15, 20

Configurações 15, 17, 135, 145

Controle da Web 169

Sobre 21

Microsoft Internet Explorer, consulte Internet Explorer Modo acesso total

modificando as opções de firewall 135

Modo adaptávelconfigurando no Firewall 135

precedência de regras 139

Modo Área de trabalho, Windows 8 e 10responder a prompts de detecção de ameaça 20

Modo da interface do cliente, opções 17

modo de acesso padrãodefinição de configurações de segurança do cliente 32

efeitos de definição de senha 32

Modo de acesso padrãoe configurações de política 17

entrando como administrador 26

gerenciar regras e grupos do firewall 145

Modo de acesso totalconfigurações de política 17

Modo de bloqueio da interface do clienteao abrir o Endpoint Security Client 19

modo de observaçãoeventos da Proteção adaptável contra ameaças 188

modo de Observaçãoeventos de proteção contra ameaça avançada 188

Modo Desktop, Windows 8 e 10mensagens de notificação 14

modos da interfacedefinição de configurações de segurança do cliente 32

modos de acesso, Cliente do Endpoint Security 17

modos de interfaceacesso padrão 32

Acesso padrão 26

bloquear interface do cliente 32

módulo Common, configurarconfigurações 29

Módulo Common, configurarlog 31

Módulo Em Comum, Cliente do Endpoint Security 9, 17

módulo Em Comum, configuraçãoAutoproteção 30

definições do servidor McAfee GTI Proxy 33

segurança da interface do cliente 32

módulo Em Comum, configurandoconfigurações de atualização 34, 36


Módulo Em Comum, configurandosite de origem para atualizações do cliente 34

módulosAcesso ao Cliente do Endpoint Security com base em

políticas: 17

exibir informações sobre 21

instalados no Cliente do Endpoint Security 17

sobre Endpoint Security 9módulos, Common

log, configurar 31

módulos, Controle da Webcomo o McAfee GTI funciona 173

módulos, Em ComumAutoproteção, configuração 30

configurações de atualização, configurando 34, 36

configurando site de origem para atualizações do cliente 34

definições do servidor Proxy McAfee GTI, configuração 33


módulos, Prevenção contra ameaçascomo o McAfee GTI funciona 82

Mozilla Firefox, consulte Firefox

Nnão gerenciado, consulte autogerenciado, sobre navegador Edge, incompatível com o Controle da Web 163

Índice


navegadoresativação do plug-in do Controle da Web 168

com suporte 163, 169

comportamento, sites bloqueados e downloads 165

desativação do plug-in do Controle da Web 170


sem suporte 163

níveis de segurançaexemplos 198

nível de sensibilidade, McAfee GTI 82, 173

notificações do sistema, Windows 8 e 10 14, 20

Oopção da bandeja do sistema Atualizar segurança 23

opçõesconfigurar varreduras ao acessar 83

configurar varreduras por solicitação 90

varredura em busca de malware 55

opções de utilização do sistema, visão geral 94

opções de varredura, redução de impacto no usuário 92

opções de varredura, redução do impacto no usuário 87

opções do Firewallmodificar 135

Opções, Commonagendar varreduras por solicitação 55

configurar 29

definições de log, configurar 31

Opções, Em ComumAutoproteção, configuração 30

configurações de atualização, configurando 34, 36

configurações do servidor Proxy, configuração 33

site de origem para atualizações do cliente, configurando34


Opções, Firewallexecutáveis confiáveis 139

redes definidas 137

Opções, Prevenção contra ameaçasconfigurações de varreduras comuns 81

Opções, Threat Preventionprogramas indesejados 80

Ppágina Configurações

Autoproteção, configuração 30

configurações do servidor proxy, configuração 33

log, configurar 31

segurança da interface do cliente, configuração 32

página de Configuraçõesconfigurações de atualização, configurando 34

Página de configuraçõesconfigurações da varredura ao acessar, configurar 83

configurações de atualização, configurando 36

definições de varredura por solicitação, configurar 90

Página de configurações (continuação)gerenciar regras e grupos do firewall 145

modificando opções de firewall 135

Página de Configuraçõese modo da interface do cliente 17

Página de Logon do Administradorao abrir o Endpoint Security Client 19

página de quarentena 60

página de varredura, exibição 56

página de varreduras, exibição 20

Página Fazer varredura para encontrar ameaças 58

página Logon do Administradordesbloqueio da interface do cliente 27

página Reverter conteúdo do AMCore 27

página Sobre 21


página Status de segurança da McAfee, exibição 13

página Status, exibição do resumo de ameaças 16

Página Varredura ao acessar 59

página Varrer sistema 56

Página Varrer sistema 59

páginasAtualização 22

configurações 34

Configurações 17, 30–34, 36, 90, 135

Fazer varredura para encontrar ameaças 58

Log de eventos 23

Quarentena 60

Reverter conteúdo do AMCore 27

Sobre 10, 21

Status de segurança da McAfee 13

Varredura ao acessar 20, 59

varredura, exibição 56

Varrer sistema 56, 59

pastascaracteres curinga em exclusões 65

configurando para colocar em quarentena 81

executar varreduras 58

gerenciando em quarentena 60

repetição de varredura na Quarentena 63

perguntas frequentes, McAfee GTI 136

Pesquisa segura, configuração do Controle da Web 170

pesquisasbloqueio de sites arriscados em resultados 170


phishing, relatórios apresentados por usuários de sites 167

PII, não enviada para a nuvem 198

plug-insativação 168

políticasacessando o Cliente do Endpoint Security 17

definidas 10

recursos do cliente 12

Índice


políticas, Commonconfigurar 29

políticas, Prevenção contra ameaçasconfigurações de varreduras comuns 81

varreduras por solicitação, adiar 92

políticas, Threat Preventionvarreduras ao acessar 89

pop-ups, e classificações de segurança 167

práticas recomendadasConfinamento dinâmico de aplicativos 195

definição de configurações de segurança do cliente 32

exclusão do McAfee GTI do servidor proxy 33

exclusões do ScriptScan 87

mecanismo de varredura do Real Protect 198

melhoria do desempenho da varredura 64

redução do impacto da varredura ao acessar 87

redução do impacto da varredura por solicitação 92

regras de confinamento definidas pela McAfee 195

senhas 32

uso de redes confiáveis 138

precedênciagrupos de firewall 141

regras do firewall 139

Prevenção contra ameaçasCliente do Endpoint Security 17

recurso Prevenção de exploração 77

recurso Proteção de acesso 68

sobre 9varredura de arquivos antes do download 170

varreduras ao acessar, sobre 84

varrendo arquivos antes do download 172

Prevenção de exploraçãoarquivos de conteúdo 75

arquivos de log 24

atualizações de arquivo de conteúdo 11

configuração 77

e Host IPS 74

exclusão de processos 64

processos, exclusões 78

processos, inclusão e exclusão 78

regras de proteção do aplicativo 76

sobre 74

sobre assinaturas 75

prioridades, varreduras ao acessar 94

processosexclusão da Prevenção de exploração 78

inclusão e exclusão na Proteção de acesso 73

processos de alto risco, especificar 83

processos de baixo risco, especificar 83

processos, Confinamento dinâmico de aplicativosexclusões 196

processos, Prevenção contra ameaçasexclusão 64

inclusão e exclusão na Proteção de acesso 68

varredura 84

processos, Proteção adaptável contra ameaçasinclusão e exclusão do Confinamento dinâmico de

aplicativos 196

processos, Threat Preventionespecificar alto e baixo risco 83

varredura 83

Product Improvement Program 190

programas potencialmente indesejadosativar detecção 80, 83, 90

caracteres curinga 65

configurar detecção 79



especificação 80

especificando programas a serem detectados 81

exclusão de itens 64

sobre 61

programas, ativar detecção de potencialmente indesejados 83,90

prompts, Endpoint Securityresponder a varredura 21

sobre 14

proteçãoconfiguração da Autoproteção 30

exibir informações sobre 21

interagindo com o 12

manter atualizado 11

Proteção adaptável contra ameaçasarquivos de log 24

atualizações de arquivo de conteúdo 11

benefícios 181

cenários 184


componentes 182

configuração 197

configuração de limite de gatilho do Confinamentodinâmico de aplicativos 194

exemplos de fluxo de trabalho 188

Gerenciamento da Inteligência contra ameaças 188



mecanismo de varredura do Real Protect 198

sobre 9, 181

sobre o Real Protect 198

tecnologia de Confinamento dinâmico de aplicativos 195

Proteção de acessoarquivos de log 24

exclusão de processos 64

exemplos 66

processos, inclusão e exclusão 68, 73

regras definidas pela McAfee, configuração 68

regras definidas pela McAfee, sobre 69

regras definidas pelo usuário, configuração 72

regras, sobre 67

sobre 66

Índice


QQuarentena, Prevenção contra ameaças

definindo configurações de localização e retenção 81

repetição de varredura de itens em quarentena 63

Rransomware

criação de regras de proteção de acesso para a proteçãocontra 72

recursoAcesso ao Cliente do Endpoint Security com base em

políticas: 17

recursosativação e desativação 27

rede privada, adição de sites externos 170

redesconfiáveis 138

definição 137

redes confiáveis, consulte redes regras

Proteção de acesso, exclusões e inclusões 73

Proteção do aplicativo, exclusões e inclusões 78

regras de confinamentoConfinamento dinâmico de aplicativos 191

regras de confinamento definidas pela McAfeepráticas recomendadas 195

regras de firewallcomo o firewall funciona 133

configurar 139

uso de caracteres curinga 146

regras de Proteção de acessoexclusões e inclusões 73

regras de proteção do aplicativo 76

configuração 77

regras de Proteção do aplicativoexclusões e inclusões 78

regras definidas pela McAfee, Confinamento dinâmico deaplicativos 195

regras definidas pela McAfee, Proteção de acesso 69

regras definidas pelo usuário, Proteção de acessoconfiguração 72

regras do firewallcomo funcionam 139

ordenação e precedência 139

permitir e bloquear 139

regras personalizadas, consulte regras definidas pelo usuário,Proteção de acesso

regras, Confinamento dinâmico de aplicativosconfiguração 195

práticas recomendadas 195

regras, firewall, consulte Firewall regras, Prevenção contra ameaças

configuração 68

regras, Prevenção de exploraçãoregras de proteção do aplicativo 76

regras, Proteção de acessotipos 67

regras, Threat Preventioncomo a Proteção de acesso funciona 66

relatórios de segurança, consulte relatórios, Web Control relatórios do site, consulte relatórios, Web Control relatórios, Controle da Web

exibindo 169

segurança 163

relatórios, Web Control 166, 167

exibição 170

segurança do site 166

reputação de arquivosrespondendo a solicitações 187

reputaçõesativação de limite de gatilho do Confinamento dinâmico de

aplicativos 194

como elas são determinadas 185

Confinamento dinâmico de aplicativos 191

status de conexão para determinar 185

requisitosmecanismo de varredura do Real Protect 198

respostas, configurar para detecção de programas indesejados80

Resumo de ameaças, sobre 16

SSafari (Macintosh)


scripts, varredura 87

ScriptScanativar 83

compatível com Internet Explorer somente 87

desativado por padrão 87

exclusão de URLs 64

práticas recomendadas para exclusões 87

sobre 87

segurançaconfiguração de segurança da interface do cliente 32

senhasadministrador 26, 27

configuração de segurança do cliente 32

controle de acesso ao cliente 32

senhas de administradorefeitos 32

servidor proxyconfiguração para o McAfee GTI 33

configurações da lista de repositórios 35

servidor Threat Intelligence Exchange, consulte Servidor TIE servidor TIE

e mecanismo de varredura do Real Protect 198

e Proteção adaptável contra ameaças 182, 184


servidores, proxy, consulte servidores proxy

Índice


setores de inicialização, varredura 83, 90

sistemas de servidor e varredura em recurso ocioso 92

sitesbloquear e avisar sobre comportamento 165

classificações de segurança 167

exibindo relatórios de site do Controle da Web 169

proteção de navegação 165

proteção durante pesquisas 166

sites, avisocom base em classificações de segurança 174

com base nas classificações 173

sites, bloqueandocom base na categoria da Web 174

sites, bloqueiocom base em classificações de segurança 174

com base na categoria da Web 173

com base nas classificações 173

sem classificação ou desconhecidos 170

sites arriscados em resultados de pesquisa 170

sites, controlando acessocom base na categoria da Web 174

sites, controlando o acessocom base na categoria da Web 174

sites, controle de acessocom categorias da Web 173

com classificações de segurança 174

Sobre a página 10

software cliente, definido 10

solicitação, Endpoint Securityrespondendo à reputação de arquivos 187

solicitações de download, consulte download de arquivos spyware, sobre 61

statusconexão, verificação 185

status de conexão, verificar 185

status, Endpoint Security, exibição no ícone da bandeja dosistema da McAfee 13

sub-regras, Proteção de acessoavaliação com destinos 72

exclusão e inclusão 73

Ttarefa Atualização padrão do cliente

sobre 37

Tarefa padrão de atualização do clienteagendando com o Cliente do Endpoint Security 37

configurando 36

configurando o site de origem para atualizações 34

tarefa, Prevenção contra ameaçasVarredura completa e Varredura rápida, agendamento 95

varredura personalizada, agendamento 95

tarefas de atualização personalizadas, consulte tarefas, Clientedo Endpoint Security

tarefas de espelhamentoconfiguração e agendamento 38

tarefas de espelhamento (continuação)sobre 39

tarefas do cliente de Atualização do produtolista de repositórios 35

sobre 35

tarefas, Cliente do Endpoint SecurityAtualização do cliente padrão, agendamento 37

Atualização do cliente padrão, configurando 36

atualização personalizada, configurando e agendando 37

configuração e agendamento de tarefas de espelhamento38

tarefas de espelhamento, sobre 39

tarefas, Endpoint SecurityAtualização padrão do cliente, sobre 37

tarefas, Threat PreventionVarreduras completas e rápidas, sobre 55

tempo de CPU, varreduras por solicitação 94

threads, prioridade 94

Threat Preventiongerenciamento 63

Opções, programas indesejados 80

programas potencialmente indesejados, detectar 79

varreduras ao acessar, configurar 83

varreduras por solicitação, configurar 90

varreduras por solicitação, sobre 91

tipo de gerenciamento do McAfee ePO Cloud 22

tipos de gerenciamentoexibição 21

sobre 22

tráfegoexaminado pelo firewall 133

permitir saída até que os serviços de firewall sejaminiciados 135

tráfego DNS, bloqueio 136

Uunidades de rede, especificar opções de varredura 83

URLsexcluir da varredura de scripts 83

exclusão de varreduras do script 64

Vvarredura ao acessar

configurando 81


Varredura completaagendando no cliente 95

configurar 90

execução usando o Cliente do Endpoint Security 56

sobre 55

varredura de gravação 83

Varredura de gravaçãofluxo de trabalho 84

varredura de leitura 83

Índice


Varredura de leiturafluxo de trabalho 84

varredura em recurso ocioso 92

Varredura por clique no botão direitoconfigurar 90

executar a partir do Windows Explorer 58

sobre 55

varredura por solicitaçãoconfigurando 81


Varredura rápidaagendando no cliente 95

configurar 90


tipos de varreduras 55

varredurasadiar, pausar, retomar e cancelar 21

agendando com o Cliente do Endpoint Security 95

configurações comuns de varreduras por solicitação e aoacessar 81

Controle da Web 172


executar varredura por clique no botão direito 58

Leitura e gravação 84

personalizada, criando e agendando com o cliente 95

responder a prompts 21

tipos 55

uso de caractere curinga em exclusões 65

varreduras ao acessararquivos de log 24

configuração 83

detecções de ameaças 20

gravação vs. leitura no disco 83

número de políticas de varredura 89

otimização com lógica confiável 83

programas potencialmente indesejados, ativar detecção 80

ScriptScan 87

sobre 55

visão geral 84

Varreduras de armazenamento seguro, visão geral 95

varreduras de impacto zero 92

varreduras de sistemas, tipos 55

varreduras incrementais 92

varreduras manuaisexecução usando o Cliente do Endpoint Security 56

executar a partir do Endpoint Security Client 58

sobre tipos de varredura 55

varreduras personalizadas, consulte varreduras por solicitação varreduras por solicitação

arquivos de log 24

execução de Varredura completa ou Varredura rápida 56

executar varredura por clique no botão direito 58

programas potencialmente indesejados, ativar detecção 80

responder a prompts 21

sobre 55

varreduras por solicitação (continuação)utilização do sistema 94

varredura de arquivo ou pasta 58

Varreduras de armazenamento seguro 95

visão geral 91

varreduras retomáveis, consulte varreduras incrementais varreduras, ao acessar

configuração 83

detecção de ameaças em aplicativos da Windows Store 84

detecções de ameaças, responder a 20


número de políticas 89

otimização com lógica de confiança 83

redução do impacto nos usuários 87

ScriptScan 87

varredura de scripts 87

visão geral 84

varreduras, personalizadas, consulte varreduras, por solicitação

varreduras, por solicitaçãoagendando no cliente 95

configurar 90

detectar ameaças em aplicativos do Windows Store 91


redução do impacto nos usuários 92

utilização do sistema 94

Varreduras de armazenamento seguro 95

varrer com recurso ocioso 21

vírusassinaturas 11




sobre 61

vulnerabilidades, consulte ameaças

WWeb Control

gerenciamento 170

ícones e balões 170

ícones, descrição 166

mecanismos de pesquisa e ícones de segurança 166

relatórios do site 166

Windows 8 e 10abrir o Endpoint Security Client 19

responder a prompts de detecção de ameaça 20

sobre mensagens de notificação 14

YYahoo


mecanismo de pesquisa compatível 166

mecanismo de pesquisa padrão 170

Índice
